1(中国科学技术大学计算机科学与技术系国家高性能计算中心 合肥 230026)
2(中国科学技术大学苏州研究院 苏州 215123)

Abstract: Building trust relationships between entities is an important and difficult part in the security needs of P2P networks. By using appropriate assessment tools, traditional trust models can weaken some security threats such as simple deception, an omission, defamation and joint cheating to a certain extent, however they are unable to resist the attacks of Pseudospoofing and Pseudostheft effectively. In this paper, the trusted computing method initiated by Trusted Computing Group (TCG) is introduced into P2P networks, and we propose an efficient scheme on foundation and management of stable and verifiable digital identities of entities. The new designed trust model, using platform attestation technology through the whole process of trust evaluation, perfectly solved security problems of P2P networks.
Key words: P2P(Peer-to-Peer); trust evaluation; trusted computing; trusted computing platform; platform attestation; DAA(direct anonymous attestation)

摘要：P2P网络的安全需求中，信任关系的建立是重点也是难点。传统的信任评估模型，采用适当的信任评估手段，能够在一定程度上削弱单纯欺骗、不作为、诽谤和联合作弊的安全威胁，但却不能有效地抵御Pseudospoofing和Pseudostheft攻击。在本文中，我们将可信计算组织推出的可信计算技术引入P2P网络，提出了一种有效的P2P网络实体数字身份的创建和管理策略。新的信任模型在信任评估过程中贯穿着平台认证，很好地解决了P2P网络的安全问题。

关键词： P2P; 信任评估; 可信计算; 可信计算平台; 平台认证; 直接匿名认证

1. 引言 
   
    P2P技术的引入，在给人们带来便利的同时，也带来了一系列新的问题，而其中尤其突出的是P2P网络的安全问题。传统的访问控制策略是基于请求方的身份进行授权的，不同身份的请求者授以不同等级的访问权限，信任关系的建立基于请求方的身份。显而易见，这种访问控制策略能有效地解决传统C/S（客户机/服务器）网络的大部分网络安全问题。而在P2P环境下，由于参与的主体数量巨大，运行环境的异构性，网络上的任意两个实体都极有可能互为陌生方。这样，由于实体之间的陌生性，基于身份的访问控制策略就显得力不从心，暴露出许多弱点。
    P2P网络的安全需求中，信任关系的建立是重点也是难点。传统的集中式访问控制策略在P2P环境下已然不再奏效，这时候就需要考虑寻求新的信任关系建立方法，以满足新的应用需求。信任评估作为信任关系建立的一门新兴技术，近年来得到了快速发展。它借鉴了社会人际关系网络的特点—信任在一定程度上具有传递性（例如：一个人对他的朋友的朋友的信任度高于他对一个陌生人的信任度）。信任评估^[1]主要涉及两方面问题：（1）信任的表述和度量；（2）由经验推荐所引起的信任度推导和综合运算，即信任的传递和合成。信任的表述和度量作为信任评估的基础，它根据用户的历史交易行为信息进行建模，将行为的诚信度量化为信任度。信任的传递和合成，有利于陌生实体之间信任关系的建立，消减了服务提供方和服务使用者之间的信息不对称性，在一定程度上保证了交易的安全性。
    目前，已经存在大量的信任评估模型^[2][3][4]，它们在一定程度上都能削弱单纯欺骗、不作为、诽谤和联合作弊的安全威胁。但是这些信任模型都未能考虑实体间信任度量值自身的可信性，从而容易遭受Pseudospoofing和Pseudostheft攻击。
    本文从P2P网络的安全需求出发，将可信计算组织推出的可信计算技术引入P2P网络中，在信任评估过程中贯穿平台认证，从确保实体间信任度量值自身的可信性出发，构建了一种能抵御Pseudospoofing和Pseudostheft攻击的P2P信任模型。

2. 背景知识

2.1 Pseudospoofing和Pseudostheft攻击
    尽管P2P技术已经得到广泛且深入的研究，但是P2P网络的安全问题^[5][6]仍然具有极大的挑战性。一个安全的系统是由其所提供的安全服务组成的，文献^[7]将ISO/ITU OSI参考模型下的安全服务分为五个大类：机密性、完整性、鉴别、访问控制和不可否认性。针对特殊的网络有着特殊的安全需求，如对于P2P网络，需要进一步考虑问责制和匿名性安全服务。
    在传统的C/S系统中，采用集中访问控制策略，每个用户被标识为一个用户帐号，系统基于这些帐号提供安全机制。由于用户帐号给用户标识了一个稳定身份，系统可以采取该方案来实现诸如访问控制、问责制等安全服务。其它服务如鉴别和不可否认性的实现也依赖于稳定身份的创建和管理。由此可见，系统能否提供一般的安全服务，在很大程度上是由系统能否提供稳定身份机制决定的。
    在P2P网络环境下，实体间对等，任意两个实体都可能互为陌生方，因此没有一个实体能被足以信任来主持网络实体稳定身份的创建和维护。实际上，任意一个实体都由它自己选择的假名（ ）标识。在大部分P2P网络中，这些假名没有一个标准的注册流程，同一个实体可以一次性声明多个假名，甚至包括网络中其它实体正在使用的假名。Pseudospoofing攻击，由Detweiler于文献[8]中提出，是指一个实体可以一次性创建和使用多个未被其它实体使用的假名。潜在地，一个攻击者为了达到自己的目的，可能一次性操控成百上千甚至更多假名。一个攻击者也有可能使用网络中其它实体正在使用的假名，尤其是网络中那些声望非常高的实体的假名，该类型攻击在文献^[9]中被命名为"ID Stealth"，而在更多的场合被称为Pseudostheft攻击。一个攻击者为了应对网络中的声望机制，可能实施Pseudospoofing或Pseudostheft攻击。当一个实体的声望降到极低时，它可能丢弃该假名，而通过重新加入网络获得声望较高的全新假名。而在在线拍卖系统中，攻击者可能利用正规参与者的名字乱出价码，达到自己的目的。另外，一个实体可以创建足够多的假名，利用这些假名为特定的一个或多个假名建立声望以便从中获利。显然，任何试图依靠声望系统建立信任关系的P2P网络，都涉及到Pseudospoofing和Pseudostheft攻击。而对于其它安全服务，诸如访问控制，在很大程度也依赖于实体的鉴别。为促使P2P电子商务迈上一个新台阶，通信的保密性和传输数据的完整性是关键，而如果没有一个稳定身份和鉴别机制，在开放网络中是难以实现安全通信的。
    P2P环境下，传统的假名机制提供了完美的匿名性，但却容易遭受Pseudospoofing和Pseudostheft攻击。在本文中，我们引入TCG（Trusted Computing Group，可信计算组织）推出的可信计算技术来解决这些问题，在保证匿名性的同时，仍然能够有效抵御Pseudospoofing和Pseudostheft攻击。

2.2 可信计算
2.2.1 基本概念
    在论述我们的工作之前，有必要先对TCG的相关技术作些简单介绍，尤其是TCG的完整性度量和存储机制。TCG对“可信”的定义是：“一个实体在实现给定目标时，若其行为的结果是可预测以及可控制的，则该实体是可信的^[10]”，因此TCG的完整性度量和存储机制允许平台进入任何可能状态（包括不期望的或不安全的），但是不允许平台提供虚假的状态。

(责任编辑：adminadmin2008)