《IPv6下网络传输信任模型的分析与改进》由会员分享,可在线阅读,更多相关《IPv6下网络传输信任模型的分析与改进(2页珍藏版)》请在金锄头文库上搜索。
1、1IPv6 下网络传输信任模型的分析与改进摘要IETF 是于 1992 年在 IPv4 的基础上定义的下一代的 Internet 协议,被称之为“IPv6”。网格技术将互联网、计算机、数据库、传感器、远程设备等融为一体。但是许多人下载而不愿共享资源,网络的匿名性和无中心化管理使其成为黑客攻击的目标。因此要求在网格中用有效方法是建立信任机制,使用户能够获得目标节点的历史信息,并据此选择更安全的资源服务对象。 关键词网络传输;网格;节点;IPv6 随着 IP 网络规模和业务的迅速发展,IP 网络的用户数急剧增加,正因为如此,IP网络也暴露出越来越多的问题,如地址空间不足,QoS、安全问题等。为了解
2、决Internet 的这些问题,尤其是解决地址空间不足的问题,IETF 于 1992 年在 IPv4 的基础上定义了下一代的 Internet 协议,被称之为“IPv6”。 一、IPv6 下的网格计算中的多用户协同计算的认证模型 网格(也称网格计算)技术同样也是近年来国内外计算机业研究的热点。是构筑在因特网上的一组新兴技术。传统因特网仅实现了全球计算机硬件或网页意义上的联通,而网格通过创造一个虚拟的协同空间,将全球计算机上的所有信息资源一体化,还可以使用户透明高效地使用计算能力、存储容量等其他资源,因此功能更加强大。 对于像搭建在 IPv6 的网络的基础之上的网格,安全问题始终是关注的一个重点
3、。处于 IPv6 下的网格用户实体间的互信问题显得格外重要,这种互信具体包括两种信任:身份信任和行为信任。虽然行为信任在过去未引起应有的重视,但它关注的却是更现实、更广泛意义上的可信赖性问题,用户实体间可根据过去相互间直接的或间接的行为接触经验而及时动态地调整更新彼此间的信任关系,从而最大2程度地保证网格行为在 IPv6 的环境下的安全可靠。 在 IPv6 的基础之上,如果要确定在网格计算中多个用户协同计算的认证模型,首先要明确网格计算中多用户协同计算的几个特点: 第一,在协同计算中的具体进行参与的用户数目多少要适中。 第二,在将用户加入到协同计算域之后,进行协同计算的过程中,绝大部分的服务都
4、是在协同计算域内部发生的,是用户在域内进行交互的行为,只有在绝少数情况下,才会需要其所在域中的用户协助。 第三,协同计算域是一个临时的域,该域是在网格内部,动态的创建,动态的撤销。在 IPv6 下,主要的信任模型是基于信任域的信任模型。它的设计思想是:把网格分成若干个自治域,将节点间的信任关系分为域内信任关系和域间信任关系,根据这两种不同的信任关系设置不同的策略。典型的策略主要如下所述:首先,域内信任关系是基于同域节点间的交易。任意一个节点需维护两张表:直接信任表和推荐表。 其次,域间信任关系是基于域间节点的交易。域间信任值是它们的直接信任值和其他域的推荐信任值的综合。 二、信任模型分析 基于
5、信任域的信任模型运用不同的方式来分别对待域内的信任关系和域间的信任关系。这使得基于信任域的信任模型更加的合理,因为对于同一域内的节点来说,他们之间的熟悉程度远远大于对其他的节点的熟悉程度,同时,基于信任域的信任模型也有不足之处,首先它未考虑交易的上下文环境,而交易的上下文环境是决定信任与否的一个必要因素。还有就是并未充分体现网格节点的信任自主,这就大大限制了网格的灵活特性,并且异域节点每次交易时都要求严格地按照域间信任抉择的顺序进行,这使算法过于繁复,加大了网络的负担,降低了交易的效率。3基于信任域的信任模型未给出系统初值的建立办法,这使交易的双方很难有一个同一的标准,加大了交易的复杂程度。由
6、于异域也存在关系的亲疏,对其他域的推荐信任并不设置推荐权。基于信任域的信任模型没有考虑节点可能属于多个信任域的情形还有时间的衰减问题。 三、IPv6 信任模型的改进 在 IPv6 中,要改进基于信任域的信任模型首先就要在模型中采用信任等级制度。只有在采用了相应的信任等级之后才能更加准确的把握交易的权限,可根据表所列对应关系确定信任等级,并最终决定其是否具有访问权。 在直接信任表中的各个顶点上加入相应的权值,权值通过交易的数量,交易的大小,交易的次数来决定,权值与信任等级相关联,只有达到相应的权值才能使用相对应的权限,每个刚刚加入表中的节点只能具有最低等的权限,随着相应的交易增加才能使等级提高,
7、普通节点最高提升只能提高到 E,F 是留给新增节点的。 将其他节点的反馈值同样作为权重来参与计算未知节点的信任度。只采用具有一定数量的最可信节点的反馈来参与计算,把那些可信度低的节点的反馈丢掉。这样可以防止那些可信度低节点一起诋毁一个可靠的资源或节点。同时,只对那些被采用了的反馈(而不是所有反馈)进行签名认证,避免产生瓶颈。 在选择域内节点进行平均信誉度计算时,优先考虑不可信任度为 0(即从未有过不诚实交易)的节点而不是信任度高的节点,在计算未知节点的信任度时也是优先选择不可信度为 0(即对其他节点的判断从未有过错误)的反馈节点;在选择要下载的文件版本时,也是优先考虑不可信任度为 0 的那一组
8、所提供的文件。这样做的目的实际上就是更倾向于相信从没犯过错误的,但相应的系统检查是必不可少的。低可信度和高信任度的节点提供恶意文件的可能性相对较小,可以有效地防止恶4意文件的传播。 在网格计算系统中安全问题是被关注的一个重点,网格中的信任尤其是行为信任关系具有非常大的现实意义。本文对基于信任域的信任模型做了改进,将行为信任机制进入到了访问控制中,把用户的身份和对该用户的行为信任关系作为访问控制的参数,弥补了传统基于信任域的信任模型的弱点。 参考文献 1马丽洁,刘德山,IPv6 对网络安全的改进措施J,计算机信息,2009(08). 2王思维,计算机网络连接设计M,西安,西安出版社,2008 年第一版.
