开放环境下一种基于两层的高效信任管理模型

李运娣，于海鹏

(河南工程学院 计算机学院，河南 郑州 451191)

随着大规模分布式系统如网格系统、P2P系统和Ad Hoc网络等研究的深入与广泛应用，其安全问题成为了一个越来越突出的矛盾.分布式系统的用户数量庞大且用户可以随意加入和离开系统，这种动态性导致了其安全管理的复杂性.目前,许多网上购物平台如淘宝、eBay和Amazon等运用的都是集中式信任管理方式，这种方式运用一个中央服务器来保存用户的信任评价，信任管理简单但容易出现单点失效和系统性能瓶颈的问题.针对分布式系统的动态性、匿名性和可扩展性等特性，许多纯分散的信任管理模型[1-3]相继被提出.在这些信任管理模型中，不存在中央服务器作为集中的信任管理服务器,系统中的每个节点都保存有一个本地交易数据库，通过运用自己的本地信息和与其他节点的交互信息来综合实现对资源节点的信任评价，从而实现系统的信任管理.因此，这种分散的信任管理方式比传统的集中信任管理方式复杂得多，开销也比较大，系统的可扩展性差.所以，针对集中式与分散式两种信任管理方式的特点，提出了一种基于双层的信任管理模型.在该模型中，系统中所有的节点组成一个个子网，子网按照集中式的方式组建，服务器动态选定，由自身能力强、可信程度高的节点担任.子网之间用分散的方式通过动态服务器相互联系，系统的信任管理主要由子网内与子网间的信任管理两部分组成，充分结合了集中式与分散式两种信任管理方法的优点，提高了系统的性能.

1 开放环境下基于两层的高效信任模型

该模型的信任关系主要包括子网内的信任关系和子网间的信任关系.子网内的信任主要是动态服务器与其管理的节点之间的信任关系，动态服务器管理子网中的节点并代表子网与其他子网进行通信，但同时也接受本子网中所有节点的监督.子网间的相互信任用纯分散的方式进行管理，整个子网作为一个整体向其他子网提供服务，所以子网中每个节点提供的服务质量都直接影响本子网对外的服务信任值.

1.1 动态服务器选择及子网内部信任关系

1.1.1 动态服务器的选择与节点管理

在一个子网中选择综合性能最佳的节点作为动态服务器，其性能包括节点的CPU处理能力、存储能力、节点的带宽及在线时间等.由于动态服务器代表本子网与其他子网进行信息交换，所以其可信性程度直接关系着该子网的服务质量.可信程度高是一个节点能够成为子网动态服务器的首要因素，并且其可信行为一直受本子网节点的监督.为了避免在请求过程中动态服务器由于管理的下层节点过多而超载，采用文献[4]中的主动流控制策略来控制子网的规模以避免系统的瓶颈问题.

对于新节点，由于该节点在网络中还没有交易信任，信任度未知，所以新节点一般先不作为动态服务器而是作为一个子网内的普通节点加入系统.如果新节点各方面的硬件资源都比较好，节点加入系统后可以不申请加入任何子网而作为动态服务器成立新的子网，但是由于新节点信任度的未知性，该节点开始时只有努力提供高质量的服务来提高自身的信任度，从而吸引其他节点不断加入该子网.当新节点作为普通节点加入时，只需要向系统中的子网服务器发出请求信息，子网获取请求信息后，检查自己的状态，如果下层节点数量不至于造成系统的瓶颈，则允许请求节点加入子网，否则拒绝加入[5-6].

子网中的节点与其动态服务器是互相合作与监督的关系，子网中的节点通过服务器发送请求信息，同时也对服务器的资源查询进行应答.在整个合作过程中,子网中节点对动态服务器的服务质量进行评价，当子网节点认为动态服务器不能提供满意质量的服务时，该节点可以选择退出子网再寻求其他子网加入.同时,如果子网节点认为动态服务器存在连续多次提供虚假信息的恶意行为，可以在退出该子网后向其他子网转发其对动态服务器的评价信息.动态服务器则通过计算来监督子网内的节点，当子网内的节点不能很好地提供资源或存在恶意行为时，动态服务器可以将其踢出子网，同时也可以向其他子网转发其评价信息达到孤立恶意节点的目的.

节点退出系统有两种情况，一是子网内普通节点的退出，二是动态服务器节点的退出，退出算法如下：

①节点N要求退出系统，首先判断节点N的节点类别;

②如果N是子网内的普通节点则转步骤④，如果N是动态服务器则转步骤③;

③节点N向其下层节点广播消息通知下层节点自己要离开系统，底层节点收到消息后，重新根据各个节点的综合情况推选出新的动态服务器节点，然后向新的服务器节点注册自己的信息；

④节点N注销离开系统.

1.1.2 子网内部的信任关系

子网内的信任包括对动态服务器的信任评价和对子网中节点的信任评价.为了便于动态服务器间的信息查询，每个服务器节点都保存了一个与该节点有过直接交互的其他服务器节点的信任评价表TBL1.在TBL1中计算对其他服务器节点的直接信任评价值，根据该评价值以有序队列存储，队首存放信任值最高的节点.首先考虑对动态服务器的信任评价，网内节点不直接与其他节点进行信息交互，其请求信息与应答信息都通过动态服务器代理进行.假定一个节点成员nk向该子网的动态服务器Ni发送服务请求，则Ni首先查看子网内的节点，如果子网内有满足请求信息的节点，则直接应答完成交易；否则Ni从其TBL1中取出前n(n值大小根据系统网络情况进行设定，当某个服务器节点的TBL1表中保存的节点个数不足n时，则剩余的随机选择动态服务器进行请求信息转发)个动态服务器节点进行信息转发，收到信息请求的动态服务器首先查看本子网内的节点，如果满足条件则应答，如不满足则继续以上述方式转发请求信息.得到反馈信息后，Ni把最可信的应答信息返回给nk，然后nk与资源节点np直接进行交互.交互结束后,nk对该次交互进行评价：

(1)

评价结束后，nk把评价结果Tnk(t)返回给Ni，如果np与nk处于同一子网内，则Tnk(t)可作为Ni评价本网内节点诚信度的依据.如果np与nk处于不同的子网，则Ni将Tnk(t)返回给np所处子网的动态服务器.nk对Ni作为代理服务器查找资源能力的总体评价为

(2)

其中，2-γ(Tc-Tl)是衰减控制因子;γ是大于0的常数，主要反映衰减快慢，其值越大，时间衰减越快;Tl表示上次交易的时间;Tc表示当前时间;St-1和Ft-1分别为t时间前nk通过Ni交易成功和失败的次数.

其次,考虑动态服务器对本子网内节点的信任评价，反过来假定nk作为资源节点提供服务，即Ni作为资源服务器对外网的请求进行了响应.交互结束后,Ni根据外网返回的交互结果，对nk进行诚信度评价：

(3)

子网节点通过Pt值监视动态服务器，当Pt值过低时就认为动态服务器不能够胜任代理的工作，子网节点可以选择退出子网；反过来动态服务器通过Qt值来监督网内节点，随时发现网内不够诚实或恶意的子网成员.通过子网成员与动态服务器间的互相监督，促使动态服务器和子网成员为了共同利益而尽量提供真实的信息服务.

1.2 子网间的信任关系

系统中子网作为一个整体与其他子网进行信息交互，子网成员的请求与应答信息都由动态服务器代理进行，子网间相互的信任评价直接转换为动态服务器间的信任评价.假定动态服务器Ni为请求节点，而Nj为资源提供节点，则Ni对Nj的直接信任度评价为

(4)

其中,S,F分别为Nj所代表子网给Ni所代表子网提供服务成功的次数和失败的次数.当Ni向网络中发送请求信息时，可能会有多个动态服务器Nj(j=1,2,…,n)对此请求进行响应，Ni根据Nj的综合信任度选择最可信的子网进行信息交互.假定RNi(Nj)表示Ni对Nj的间接信任度，该信任度通过Ni对其他与Nj有过交易的子网提供的对Nj的信任评价迭代计算得到.则Ni对Nj的综合信任度评价为

Tr(Ni,Nj)=α×Dt(Ni,Nj)+(1-α)RNi(Nj),

(5)

其中,α∈(0,1)为调节参数，主要反映了Ni是倾向于自己的判断还是更依赖于网络中其他节点的共享信息.例如,当请求节点Ni与资源节点Nj交互次数较多、对自己的直接信任度比较肯定时，α可取大值，否则取小值.

2 结束语

提出了一种基于两层的信任评估模型，该模型结合了纯分散式信任管理与集中式信任管理的优点，既能保证系统的可扩展性，也避免了单点失效和系统性能的瓶颈问题.首先在子网内运用集中式信任管理方式，由动态服务器集中管理子网内的服务信任问题，实现快速识别恶意成员节点的目的.同时，子网中的节点与动态服务器之间进行相互的信任监督，动态服务器能随时将发现的恶意成员节点驱逐出子网，成员节点对动态服务器节点提供的服务质量进行跟踪监督，可以隔离和孤立恶意的动态服务器，从而促使动态服务器和子网成员为了共同利益而尽量提供真实的信息服务.其次，子网之间运用纯分散方式进行信任管理，把整个子网通过动态服务器抽象为分布式系统的一个节点，运用通常的分布式信任管理方式来评价子网间的信息交换，从而避免了因系统中节点过多而造成的系统性能过低的问题，提高了系统的管理效率.

参考文献：

[1] Yu B, Singh M P. An evidential model of distributed reputation management[C]∥Proceedings of the 1st international joint conference on autonomous agents and muti-agent system.Providence:Brown University,2002:254-258.

[2] 窦文,王怀民,贾焰,等.构造基于推荐的Peer-to-Peer环境下的Trust模型[J].软件学报,2004,15(4):571-583.

[3] Chang J S,Wang H M,Yin G.A time-frame based dynamic trust model for P2P systems[J].Chinese Journal of Computers,2006,29(8):1301-1307.

[4] 冯玉翔,应伟勤.P2P网络环境下自适应的动态信任评估模型[J].华南理工大学学报,2012,40(9):56-61.

[5] 胡建理,周斌,吴泉源.P2P网络中具有激励机制的信任管理研究[J].通信学报,2011,32(5):22-32.

[6] 官尚元,伍卫国,董小社,等.开放分布式环境中信任管理综述[J].计算机科学,2010,37(3): 22-28.