（计算机科学与技术专业论文）基于信任的可生存性系统的研究与实现.pdf

国防科技大学研究生院学位论文 摘要 随着计算机网络和信息系统建设的迅猛发展，各关键部门对网络信息系统的依赖程度 逐渐增加，这使得网络信息系统的安全闯题更加突出。传统的网络安全技术正面临着巨大 的挑战，迫切需要更加有效的安全手段。网络可生存性研究是对传统安全概念和技术的突 破，其重要性得到了广泛的关注。本文主要针对基于p 2 p ( p e e r - t o - p e e r ) 技术的可生存性系 统进行了深入地研究，为保证和增强系统的生存性设计了较为完善的核心技术实现机制， 为保证节点间的安全通信设计了有效可靠的信任评估方法，从而有效解决了系统的信任问 题和安全问题。本文主要工作和研究成果包括： ( 1 ) 深入研究了系统生存性理论和p 2 p 技术，探讨了基于p 2 p 技术的可生存性系统的可行 性，重点分析了p 2 p 网络中存在的信任问题，并通过基于d h t 资源定位算法形成的p 2 p 系统来探索该问题的解决思路。 ( 2 ) 对基于p 2 p 技术的可生存性系统进行了实质性地改进，主要体现在对系统的整体功能 以及各类节点在系统中的作用进行了重新设计，并在此基础上对系统中的关键技术实现机 制进行了完善。对j - x t a 技术和x m l 协议进行了更加深入地研究，两者的结合为系统提 供了稳定的通信平台和可靠的消息传送，是系统中节点通信和消息路由的实现基础。 ( 3 ) 设计并实现了基于信任的可生存性系统原型，通过安全认证机制、基于信任的代偿机 制、基于信任的并发下载机制以及信任机制的实现，保证了系统对恶意节点的加入控制、 节点恶意行为的识别以及对恶意行为节点的处理，而且针对系统中节点的失效状况，能够 选取可信节点继续提供基本功能服务，同时系统能够支持大量节点的下载请求和基于信任 的并发下载，系统性能大大提高。 ( 4 ) 提出了一种可用于生存性系统中的信任的动态评估方法与信任节点选择方案。本文对 节点问信任评估方法作了深入地研究，在此基础上设计出了系统中一个节点对另一节点进 行可信度评估的具体步骤，然后针对系统代偿机制和并发下载机制的应用要求提出了基于 信任的节点选择方案，并给出了具体的设计方案和算法实现，最后通过模拟实验及结果分 析说明了基于信任的节点选择方案对整个系统在功能和性能方面的作用效果，并验证了该 方案的准确性和可靠性 本文的研究成果是8 6 3 项目中的主要组成部分，也为学科建设的网络攻防实验室验收 做出了贡献。 关键滴：生存性，p 2 p ，信任，信任评估 第i 页 国防科技大学研究生院学位论文 w i t ht h er a p i dd e v e l o p m e n to ft h ee o m l m t e rn e t w o r ka n di n f o r m a t i o ns y s t e m s ，m a n y e s s e n l i a ld c p a r t m e , n t s 粥i n c r e a s i n g l yd e p e a d0 1 1t h en e t w o r ki n f o n m l i o ns y s t e m t h i st r e n d 咖3 s e c u r i t yp r o b l e m si nt h en e t w o r ki n f o r m a t i o ns y s t e mt o b em o l ep r o m i n e n t 1 k l z a d i t i o i m ln 咖o r ks , m a i t yt e c h n o l o g yi sf a c i n gt l a eh u g ec h a l l e n g e , 锄dc r yf o r1 1 1 0 1 0e f f e c t i v e s 瞅l t i t ym 嘲s t h er e s 铆e ho fn e t w o r ks t m , i v a b i l i t yi s 1 1b r e s k t h r o g l at ow a d i t i o n a ls e c u r i t y e o m e p ta n dt e c h n o l o g y i t s 细雄啊慨h a so b t a i n e dw i c l 弼, r e a aa t t e n t i o nn o w a d a y s t h i s 也c s i s f o c u s e so nt l a es u r v i v a b l os y s t e mb a s e dmp 2 pt e e l m o l o g y i td o e sn o to n l yp r o v i d ei , e r f b c tc 瓣 m e c h a n i s mo f t o e l m o l o g yi m p l 酬o nf o ra s s n r t n ga n di m p r o v i n gs y s t e ms u r v i v a b i l i t y , b u t a l s op r o v i d ear e l i a b l em e t h o dt oe v a l u a t ec r e d i t a b i l i t yf o rs e c 啪c o m m u n i c a t i o na m o n g n e t w o r kl a o d c $ c o m e q l l e n t l yt h er c s c a r e j ap r o v i d e sa ne f f e c t i v em e a n sf o rs o l v i n gu a i s ta n d s e , a n i t yp r o b l e m si nt h es y s t e m 1 1 拉m a i ne o n l r i b u t i o no f t h i st h e s i si n c l u d e s ： f i r s t l y , t h et h e o r yo fs y s t e ms u r v i v a b i l i t ya n dp 2 pt e e l m o l o g yi s 衄a b ，z e d ，a n dt h e f e a s i b i l i t yo fs u r v i v a b l os y s t e mb a s e do np 2 pt e c h n o l o g yi se x p l o r e d n l i st h e s i sf o c u s e s0 1 1t h e l z u s tp r o b l e m si np ：2 pn e t w o r k sa n dp r o b e si n t ot l a os o l u t i o nt oi r t i s tp r o b l e m si np 2 ps y s t e m b a s e d0 1 1t h ed h t a l g o r i t h m s e c o n d l y , t h es u r v i v a b l es y s t e mk i s c do np 2 pt e d m o l o g yi si m p r o v e ds u b s t a n t i a l l y 1 1 嵋 l i l a j o ra e l f i e v e m c n t sw e r er e d e s i g n e dw h o l ef u n c t i o no f t l a es y s t e ma n dr e d - l i v er o l eo f n o d e s , a n dp e 瓶姗e dt h e1 【e yt e e l m o l o g i c s 嗽l j z a t i o nm e e l m i s m a c c o r d i n gt of u r t h e rr c s e 勰ho f j x t at e e l a n o l o g ya n dx m l p r o t o e o l s w bc 缸8 t h a tt h oc o m b i n a t i o no f t l a c s et w oc a np r o v i d e s t e a d ) e o m m t m i e a t i o np l a t f o r ma n dr d i a b l ed e l i v e r y o fr n c s s a l g e , a n di t 锄a 懿m e o m m t m i e a t i o n a m o n g l a o d c sa n dm e s s a g er o u t i n g t h i r d l y , as u r v i v a b l ep r o t o t y p es y s t e mb a s e d o nl l l a s ti sd e s i g n e da n di m p l e m e n t e r , w h i e l a e o m i s t so fs e c u r i t ya u t h e n t i c a t i o nm h a l l i s m s u r r o g a t em e e l m i s m c o h e r e r e n td o w 1 0 a c l i a g m e e l m i s ma n dt r t l s tm e c h a n i s m t h e 船a 璇l ya u t h e n d e a t i o nm e c h a n i s mc 锄a s , q u l et h ee o n t a o l o f m a l i c i o u sn o d e s j o i n i n g , i d e n t i t i c a t i o no f m a l i c i o u sb e h a v i o ra n dd i s p o s a lo f m a l i c i o u sn o d e s 1 ks t l r r o g a t em e e i m i s mb a s e do nt r t l s tc 觚s e l e c ta n o t h e rm o s tc r e d i t a b l en o d et op r o v i d eb a s i c f u a e t i o n a ls e i v i c oc o n t i n u o u s l yw h e n 伽en o d ei nt h es y s t e me o n a p s e , ! c o n c u r r e n td o w n l o a d i n g m e c h a n i s ma 辎哪嘟t h a tt h es y s t e mc a i ns u p p o r tt l a o 鼬a n dn l i u i o n so fe o n c t u x 锄t d o w n l o a d i n gb a s e d o nt a t ) s t c o n s e q u e n t l y , s y s t e m1 , 既t o r m a n e ei si m p r o v e dr e m a r k a b l y 第i i 页 国防科技大学研究生院学位论文 f i n a l l y , a ne v a l u a t i o nm e t h o do f 匈n 锄i ch - u s tr e l a t i o n s h i pa n dan o d e se l e c t i o ns c h e m e b a s e do nt r u s ta r ep r o p o s e d t 胁t h e s i sp a y sm o r ea t t e n t i o l tt ot h em e t h o do fm i s te v a l u a t i o n a m o n gn o d e s ac o n c r e t ea p p r o a c hf o ra n o d ei nt h es y s t e mt oe v a l u a t m gr e l i a b i f i t yo f t h eo t h e r n o d e si sd e s i g n e d n 嵋n o d e se l e c t i o ns c h e m eb a s e d0 1 1u u s te v a l u a t i o ni sd e s i g n e dt oa p p l yt h e r e q u i r e m e n to fs u r r o g a t em e c h a n i s ma n dc o n c u r r e n td o w n l o a d i n gm e c h a n i s m , a n dt h e nf i l e d e t a i l e dd e s i g ns c h e m ea n da l g o r i t h m i ci m p l e m e n t a t i o na r ep r e s e n t e d as e r i e so fs i m u l a t i o n e x p e r i m e n t sh a v ed o n et oe s t i m a t et h en o d e se l e c t i o ns c h e m eb a s e d u - u s te v a l u a t i o n 1 1 嵋 r e s u l to fe x p e r i m e n t sd e m o n s t r a t e dt h ee f f e c t i v e 尬s so f t h es c h e m ei nf l m f t i o na n dp 盯f 0 幔n 锄c e o f t h ew h o l es y s t e m , a n dv a l i d a t e dt h ev e r a c i t ya n dr e l i a b i l i t yo f t h es c h e m e n 埒r e s e a r c hi nt h et h e s i st a k e st h ea c t i v er o l ei nt h e8 6 3p r o j e c t a tt h es a m et i m e ，ti th a s m a d eg o o dc o n t r i b u t i o nt op r o j e c ta p p r o v a lo f i n f o r m a t i o na t t a c ka n dd e f e n s el a b o r a t o r y k e y w o r d s ：s a r v i v a b i l i t y , p e e r - t o - p e e r , t r e s t , t r n s te v a l u a t i o n 第i 页 国防科技大学研究生院学位论文 图3 1 系统拓扑结构图 图目录 图3 2 系统功能结构图。 图3 3 消息处理过程 2 8 2 9图3 4 分中心服务器的管理界面图 图3 5 服务器节点对普通节点的异常活动的监测和处理流程3 2 图4 1 信任关系的产生 图5 1 节点彳的可信节点集 图5 2 节点彳到节点占成功推荐路径的获得。4 5 图5 3 节点彳到节点占的所有成功推荐路径 图5 4 普通节点处理信任评估消息 图5 5 监控节点处理信任评估反馈消息 图5 6 分中心服务器节点收到信任评估结果 5 2 5 2 5 2 图5 7 普通节点处理新的信任评估请求消息 图5 8 分中心服务器节点收到最新信任评估结果 5 3 图5 9 两种节点选择方案在不可信节点所占比例改变时的实验结果对比5 4 图5 1 0 两种节点选择方案在系统中的节点个数改变时的实验结果对比5 4 图5 1 1 两种节点选择方案整体执行情况对比 第页 国防科技大学研究生院学位论文 表目录 表2 1 覆盖式网络常见的度数和网络维数 表2 2c h o r d 节点的f i n g e r 表中符号及相应定义 表4 1 信任推导算法 表5 1 信任评估消息的处理算法 表5 2 不同推荐路径所得信任值的合并算法 1 2 3 9 4 9 第v 页 独创性声明 本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表和撰写过的研究成果，也不包含为获得国防科学技术大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本文研究所做的任 何贡献，均已在论文中作了明确的说明并表示谢意。 学位论文题目：基王篮任殴丑生在世丕统的巫究兰塞班 学位论文作者签名：立直煎日期：2 彤年f 2 月佑日 学位论文版权使用授权书 本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权 国防科学技术大学可以保留并向国家有关部门或机构送交论文的复印件和电子文 档，允许论文被查阅和借圄；可以将学位论文的全部或部分内容编入有关数据库 并进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密学位论文在解密后适用本授权书。) 学位论文题目：基王值壁趋亘垒在丝丞统趁班究皇塞现 学位论文作者签名： 作者指导教师签名： 里堕型苎奎兰竺壅竺堕兰堡笙苎 第一章绪论 当前，人类已经进入了信息化时代，其典型特征是大范目的网络应用已经广泛深入到 国防、电信、银行、金融、交通、电子商务、能源以及大众商业等各个领域。与此同时， 信息安全相关事件也逐年上升，给实施信息系统的各方都带来严重的威胁，信息安全问题 正日益成为人们关注的焦点。网络信息安全是指对网络信息系统的保密性、完整性、可用 性、可控性和不可否认性的保障，它涉及网络通信、密码学、芯片、操作系统、数据库等 多方面的理论和技术。传统的网络安全技术包括防火墙、入侵检测、漏洞检测评估，灾难 恢复、反病毒、v p n 、p k i 、安全路由、安全操作系统、安全w e b 等，这些技术虽然为保 护信息安全做出了很大的贡献，但对于分布性越来越高的网络应用，攻击、故障和意外事 件仍然难以避免。如何在攻击频发的环境下从容地完成既定的任务，成为当前亟待解决的 网络信息安全问题之一。 网络信息安全经历了通信安全技术、信息安全技术的研究阶段后进入了可生存性研究 阶段。网络可生存性研究是对传统安全概念和技术的突破，它专门针对安全问题的不可避 免性，不再将消除或者防堵作为第一重点，而把耳光投射到如何在网络安全事件爆发时仍 保证系统不问断地正常运行这一点。针对具体应用进行的可生存性系统的开发及其关键技 术的实现是现阶段研究发展的方向，对于推动可生存技术在主流的分布式系统安全方面的 应用有重要意义 1 1 研究背景 可生存性是由b a r n e s 等人于1 9 9 3 年提出来的概念【l 】，系统生存性概念的关键是识别 基本功能服务。基本功能服务是那些系统在受损或意外情况发生时也要提供的服务，非基 本功能服务是除基本功能服务外的系统可以提供的服务。生存性研究与关键信息基础设施 保护紧密相连，其重要性得到了广泛的关注。在生存性研究的初期，生存性及其相关的概 念一度成为热点，目前，生存性研究的焦点是可生存性系统的设计和实现、各种提高系统 生存性的技术研究以及在可生存性系统中如何更有效地解决各种安全问题等。 可生存性系统的设计和实现继承了一些现有的安全系统设计与实现方法，但又不同于 传统的方法，它基于以下四种假设： 系统中任何单个节点都可能是不安全的； l 系统生存性的实现不依赖于系统中任何特定的某一部分； 只有基本功能服务是必须生存的； 第l 页 国防科技大学研究生院学位论文 由于可靠性、设计错误、使用错误等原因，系统中任何节点都不能保证是完全可 信的。 可生存性研究主要面向无边界网络，无边界网络具备没有中心控制、没有全局视图、 节点数量未知等三个基本特征。在上面四种假设的限制下，可生存性系统的设计和实现主 要有以下几种策略： 网络中不能存在单点失效，基本功能服务分布的方式应该不依赖于任何特定的节 点； 在分布式系统中，由协议定义节点问如何相互通信及共享资源，掌握全局信息是 不可能的； 节点必须持续地确认与之通信的节点的可信赖性。 基于以上策略，在进行可生存性系统的设计和实现时，首先要考虑以下几个问题： ( 1 ) 生存性分析是协议相关的而非拓扑结构相关：在网络系统中，和生存性相关的是相邻 节点间的通信协议和规则，而不是网络的拓扑结构。 ( 2 ) 生存性是自然随机的：生存性的目标是对系统作为一个整体的考虑，并不要求特定的 节点保持完好，即生存性考虑的是系统级别的属性而不是单个节点的属性，这与传统 的系统设计方法不同。 ( 3 ) 节点的管理：可生存性系统的设计要求进行节点的管理，集中管理式系统经常会受到 攻击，在无边界网络中，对节点的管理是分布式的，这也同时增加了系统的复杂性。 ( 4 ) 信任的维持：节点间的相互通信是不可避免的，问题是如何决定节点间相互信任的依 据，特别是当系统中没有节点是完全可靠的并且没有中心控制和全局视图时，节点如 何才能保证系统基本功能服务的生存性。根据应用的不同，可以通t q x t 系统拓扑结构 的设计及系统中的一些动态行为来增强可靠性、可见性、对节点的控制、参与者的可 信赖性。对于信任维持来讲，至关重要的是节点之间通信时反馈行为的一致性，并且 在没有中心控制和全局视图的情况下，如果在系统中发现了不可靠的节点，那么如何 确定系统的关键功能是否完好也是非常困难的。 在对生存性以及生存性技术研究的基础上，针对实际应用进行的可生存性系统的设 计、开发和实现已成为当今的热点，本文的工作正是在这种背景下展开的。根据上述开发 可生存性系统要考虑的一些问题，本文研究和实现的重点放在以下几个方面： ( 1 ) 针对具体的应用环境采用合理的系统拓扑结构和节点管理方式； ( 2 ) 为系统间的互操作和节点之间的交互提供稳定可靠的底层通信平台； ( 3 ) 为保证和增强系统的生存性设计完善的核心技术实现机制； “) 为保证节点间的安全通信设计有效可靠的信任评估方法。 第2 页 国防科技大学研究生院学位论文 本文的任务来源于十五8 6 3 项目“协作式应急响应服务与基于漂移的可生存系统研究” ( 项目编号：2 0 0 3 a a l 4 2 0 8 0 ) ，该项目研究目的是提高互联网和应用服务在安全事件爆发时 的应急响应能力和灾难恢复能力，并以中国教育科研网( c e r n e t ) 应急响应服务组 ( c c e r t ) 内容发布网站的建设为背景，考虑在网络安全事件爆发时提高c c e i 盯的生存能 力和提供服务的能力。 1 2 本文工作 针对上述的课题背景，结合项目的需求，本文的主要工作有： ( 1 ) 对系统生存性理论和p 2 p 技术进行了研究，对基于p 2 p 技术的可生存性系统迸行了探 讨，并深入研究了一系列安全相关问题。文中对可生存性的定义、可生存性系统的特 征和开发可生存性系统的相关技术做出了总结，并对p 2 p 系统中广泛应用的d h t 2 资源定位算法的柜关内容作了详细地介绍。深入研究了p 2 p 两络中存在的安全问题尤 其是信任问题，在对基于信任的可生存性系统的研究与实现中探索解决该问题的方 法。 ( 2 ) 对基于p 2 p 技术的可生存性系统进行了实质性地改进，主要是对系统的整体功能以及 各类节点在系统中的作用进行了重新设计并在此基础上对系统中的关键技术实现机 制进行了完善。对j x t a 3 1 技术和x m l 4 协议进行了更加深入地研究，两者的结合为 系统提供了稳定的通信平台和可靠的消息传送，并保证了底层遁信和消息路由，是系 统通信路由机制的实现基础。 ( 3 ) 设计并实现了基于信任的可生存性系统，包括安全认证机制、基于信任的代偿机制、 基于信任的并发下载机制以及信任枫制。其中，安全认证机制保证了系统对恶意节点 盼加入控制、节点恶意行为的识别以及对恶意行为节点的处理；基于信任的代偿机制 针对系统中节点的失效状况，选取其它可信节点继续提供基本功能服务，并在节点恢 复后重新进入正常状态运行：并发下载机制确保了系统能够支持大量节点的下载请求 和基于信任的并发下载；信任机制主要体现在代偿机制和并发下载机制中基于信任的 节点选择方案的应用和实现中。 ( 4 ) 信任机制是本系统的核心技术实现机制。本文对节点闯的信任关系进行了具体地分析 和讨论，并对节点间信任评估方法作了深入地研究，在此基础上设计出了系统中一个 节点对另一节点进行可信度评估的具体步骤；然后针对系统代偿机制和并发下载机错 的应用要求提出了基于信任的节点选择方案，并给出了具体的设计方案和算法实现； 最后对随机节点选择方案和基于信任的节点选择方案进行了模拟实验并对实验结果 进行了一系列分析，通过两种方案的对比说明基于信任的节点选择方案对整个系统在 第3 页 国防科技大学研究生院学位论文 功能和性能方面的作用效果，并验证了该方案的准确性和可靠性。 本文的研究成果已在十五8 6 3 项目“协作式应急响应服务与基于漂移的可生存系统研 究”中得到了很好的应用，并达到了预期的效果，同时为学科建设的网络攻防实验室项目 的验收做出了重要的贡献，并通过各位专家的审核。根据自己所做工作，在导师的指导下 完成了d 耵存储网络中并发下载及安全防御机制的实现一文，现已被计算机工程与科 学杂志录用，另外，在中国计算机学会信息保密专业委员会学术年会上就对等网络中信 任评估方法的研究与实现一文作了大会报告，所取得的研究成果也得到了信息安全领域 各位专家的认可 1 3 论文结构 本文共分为六章，各章的组织结构如下： 第一章为绪论，介绍了网络可生存性研究的意义、可生存性系统的设计与实现策略、 课题的研究背景，并叙述了本文的研究重点、主要工作以及所取得的研究成果 第二章介绍了可生存性系统和p 2 p 技术的研究现状，分析了采用p 2 p 技术实现可生存 性系统的依据和优势，并对与本课题研究相关的p 2 p 网络中的安全问题尤其是信任问题作 了深入地探讨，证明了基于信任的可生存性系统的研究具有重要的理论和实践意义 第三章主要介绍了基于信任的可生存性系统的开发背景、设计和实现目标以及系统的 关键技术实现机制，包括通信路由机制、安全认证机制、基于信任的代偿机制、基于信任 的并发下载机制以及信任机制，其中信任机制是系统的核心技术实现机制。这些工作是对 基于p 2 p 技术的可生存性系统所做的改进和完善。 第四章主要基于信任机制的理论基础和相关的研究工作，首先对系统中的信任作了定 义，然后讨论了节点之间的信任关系、信任关系的推导公式和推导算法，以及信任值的合 并问题。 第五章重点介绍信任机制的实现及其在系统中的应用效果。在对系统中节点间的信任 关系做出具体地分析和讨论后提出了节点闯进行信任评估的方法，在此基础上针对系统代 偿机制和并发下载机制的应用要求提出了基于信任的节点选择方案，给出了具体的设计方 案和算法实现，并通过模拟实验验证了该方案的准确性和可靠性，以及在整个系统中的应 用效果。 第六章总结了本文的工作并提出下一步工作的研究方向。 第4 页 国防科技大学研究生院学位论文 第二章p 2 p 与可生存性研究现状及信任相关研究 2 1 可生存性研究现状 鉴于网络黑客攻击、大规模蠕虫病毒、网络故障及其它意外事故等所造成的危害和损 失日益严重，为了维护网络信息系统的安全，人们研究并提出了一系列的安全措施。但随 着网络信息系统自身规模的日益庞大以及高度的分布式方向发展的趋势，使网络信息系统 成为一种大规模高度分布自治的无边界系统。在这种无边界系统中，传统的安全技术承受 着与日俱增的巨大压力，越发显得力不从心，因此必须提出新的安全理念来确保网络信息 系统的安全性，这就是当前信息安全研究的新方向可生存性研究【5 】。 可生存性系统的研究目标是系统即使遭到入侵或部分破坏的情况下仍能提供基本功 能服务，并维持其完整性和性能等系统属性。 2 1 1 可生存性的定义 目前可生存性还没有统一的严格定义，也没有任何一个定义能够得到学界和业界的普 遍认可。i e e e 定义的可生存性是指当系统的一部分无法工作时，在规定的时问内系统能够 无故障地执行和维持关键功能的能力婀。以e l l i s o n 等为代表的c m u s e i 的研究小组则提 出了下面的定义：可生存性是指在面临攻击、故障或意外事故的情况下，系统能够及时完 成其关键任务的能力【刀。 在定义可生存性时必须要考虑以下五个因素： 系统：要明确提出定义可生存性的分布式网络环境、关键服务类型，以及系统是有边 界系统还是无边界系统等； 威胁：可能影响到系统提供服务的威胁因素，主要分为意外威胁、恶意威胁或灾难威 胁； 自适应性：面临威胁事件，系统有能力适应威胁并且继续向用户提供正常服务； 服务的持续性：服务的可用性应该作为系统需求进行定义，网络性能的下降不应该被 用户觉察到； 响应时间( 及时性) ：服务应该在系统要求或者用户所期望的时间内可用。 本文给出的系统生存性定义是当系统的一部分由于受到攻击或意外事件不能正常提 供服务时，在规定的时间内系统能够执行和维持关键功能的程度。 第5 页 国防科技大学研究生院学位论文 2 1 2 可生存性系统的特征 可生存性系统的一个关键特征就是在面对攻击、错误和意外事件时仍有提供基本功能 服务的能力，核心问题是如何保证系统的完整性、机密性、性能和其它一些关键属性，生 存性的定义中也棠常要将如何维持各种关键属性的平衡加以描述。由于关键属性所包含的 范围很广，一种属性经常同时涵盖了其它的几种属性，例如，安全属性传统上就包含可用 性、完整性、机密性等。 为了维持提供基本功能服务的能力，可生存系统必须具备如下四种特征阿： 抵抗：系统抵抗攻击的策略，例如防火墙、认证、加密、多样性； 识别：系统检测攻击和识别当前状态的策略，例如入侵检测、日志和审计、追踪调查、 自我感知、信任维持、黑盒报告等； 恢复：恢复受到安全威胁的信息，限制破坏程度的扩大，甚至恢复全部的服务，包括 的策略有关键信息和服务的复制、容错设计、各份系统的多样性、系统的动态适应等； 自适应：从入侵等安全事件中学习到改进系统生存性的策略，比如识别更多的攻击模 式。 2 1 3 可生存性系统盼开发实现 由于现阶段可生存性研究还缺乏统一的认识和标准，各个研究组织更多的都是在构建 自己的研究理论框架体系，可生存性的应用都还主要是非正式的，至今尚未出现一个成功 豹基于实际应用的可生存系统的例子。比如c m u s e i c e r t c c 研究中心提出的解决无边 界系统中可生存性问题的紧急算法1 9 1 ，将可生存性需求和诸如安全性、性能等其它的全局 非功能性属性看作是系统的紧急属性，充分利用无边晃系统的特征，通过系统中节点局部 动作相互协作而产生和维持紧急属性来确保系统的可生存性，但是紧急算法还仅仅是一种 实现可生存性的开发思路，有待于针对具体应用进行开发实现。 在生存性研究的初期，生存性及其相关概念的理论研究一度成为热点，但对于可生存 性系统的研究不能只停留在理论阶段，只有理论与实践的结合才能使研究取得质的飞跃， 因此本文对生存性的研究聚焦于针对具体应用进行的可生存系统的设计和实现，以及各种 提高系统生存性的技术实现机制，这样在实际操作的过程中去不断发现问题并解决问题， 对于生存性理论的完善和生存性研究的拓展大有裨益，对于可生存系统的研究达到事半功 倍的效果。 第6 页 国防科技大学研究生院学位论文 2 。2 。1p 2 p 简介 2 2p 2 p 技术相关研究 p 2 p 技术是通过在系统之间以对等方式进行壹接交换来共享计算机资源和服务的一种 应用模式。由于大量的网络终端节点( 普通用户拥有的节点，即通常意义上的终端设备) 的 计算能力、存储能力以及连接带宽服从“摩尔定律”不断地增长，使用p 2 p 技术将大大提 商这些节点的利用率，从而进一步提升网络、设备和信息服务的效能。 p 2 p 之所以吸引人主要在于其在以下两个方面的突出表现；低成本、高可用的超大规 模计算和存储资源共享；强大的网络连通性，更直接、更灵活的信息交互。 目前p 2 p 在加强网络上人的交流、文件交换、分布式计算、服务共享等方面已经充分 显示出了其强大的技术优势。 与其它两络模型相比，p 2 p 具有以下特点【1 0 1 ： 分散化 网络中的资源和服务分散在所有节点上，信息的传输和服务的实现都直接在节点之问 进行，可以无需中间环节和服务器的奔入，避免了可能的瓶颈。 即使是在混合p 2 p 中，虽然在查找资源、定位服务或安全检验等环节需要集中式服务 器的参与，但主要的信息交换最终仍然在节点中间直接完成。这样就大大降低了对集中式 服务器的资源和性能要求。 分散化是p 2 p 的基本特点，由此带来了其在可扩展性、健壮性等方面的优势。 可扩展性 在传统的c s 架构中，系统能够容纳的用户数量和提供服务的能力主要受服务器的资 源限制。为支持互联网上的大量用户，需要在服务器端使用大量高性能的计算机，铺设大 带宽的网络，为此而构筑高可用的c l u s t e r 集群系统。在此结构下，集中式服务器之间的同 步、协同等处理产生了大量的开锩，限制了系统规模的扩展 而在p 2 p 网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务 能力也在同步地扩充，始终能较容易地满足用户的需要。即使在一些混合型架构中，由于 大部分处理直接在节点之间进行，大大减少了对服务器的依赖，因而能够方便地扩展到数 百万个以上的用户而对于纯p 2 p 来说，整个体系是全分布的，不存在瓶颈。理论上其可 扩展性几乎可以认为是无限的。 健壮性 在互联网上随时可能出现异常情况，两络中断、网络拥塞、节点失效等各种异常事件 都会给系统的稳定性和服务持续性带来影响。在传统的集中式服务模式中，集中式服务器 第7 页 国防科技大学研究生院学位论文 成为整个系统的要害所在，一旦发生异常就会影响到所有用户的使用。 而p 2 p 架构则天生具有耐攻击、高容错的优点。由于服务是分散在各个节点之间进行 的，部分节点或网络遭到破坏对其它部分的影响很小。而且p 2 p 模型一般在部分节点失效 时能够自动调整整体拓扑，保持其它节点的连通性。事实上，p 2 p 网络通常都是以自组织 的方式建立起来的，并允许节点自由地加入和离开。一些p 2 p 模型还能够根据网络带宽、 节点数、负载等变化不断地做自适应式的调整。 隐私性 随着互联网的普及和计算，存储能力飞速增长，收集隐私信息正在变得越来越容易。隐 私的保护作为网络安全性的一个方面越来越被大家所关注。目前的i n t e m e t 通用协议不支 持隐藏通信端地址的功能。攻击者可以监控用户的流量特征、获得p 地址，甚至可以使用 一些跟踪软件直接从口地址追踪到个人用户。 在p 2 p 网络中，由于信息的传输分散在各节点之间进行而无需经过某个集中环节，用 户的隐私信息被窃听和泄漏的可能性大大缩小。此外，目前解决i n t c m e t 隐私问题主要采 用中继转发的技术方法，从而将通信的参与者隐藏在众多的网络实体之中。在传统的一些 匿名通信系统中，实现这一机制依赖于某些中继服务器节点。而在p 2 p 中，所有参与者都 可以提供中继转发的功能，因而大大提高了匿名通讯的灵活性和可靠性，能够为用户提供 更好的隐私保护。 高性能 性能优势是p 2 p 被广泛关注的一个熏要原因。 随着硬件技术的发展，个人计算机的计算和存储能力以及网络带宽等性能依照摩尔定 理高速增长。而在目前的互联网上，这些普通用户拥有的节点只是以客户机的方式连接到 网络中，仅仅作为信息和服务的消费者，游离于互联网的边缘。对于这些边际节点的能力 来说，存在极大的浪费。 采用p 2 p 架构可以有效地利用互联网中散布的大量普通节点，将计算任务或存储资料 分布到所有节点上。利用其中闲置的计算能力或存储空间，达到高性能计算和海量存储的 目的。这与当前高性能计算机中普遍采用的分布式计算的思想是一致的。但通过利用网络 中的大量空闲资源，可以用更低的成本获得更高的计算和存储能力。 2 2 2p 2 p 网络中资源的定位 p 2 p 网络中的资源的定位，一般采用以下三种方式： 集中索引方式：每一个节点将自身能够提供共享的内容注册到一个或几个集中式的目 录服务器中。查找资源时首先通过服务器定位，然后两个节点之间再直接通讯。例如早期 第8 页 国防科技大学研究生院学位论文 的n a l 陷t e r 1 1 1 ；这类网络实现简单，但往往需要大的目录服务器的支持，并且系统的健壮性 不好； 广播方式：没有任何索引信息，内容提交与内容查找都通过相邻接节点直接广播传递。 例如g n u t e l l a 0 2 j 。一般情况下，采取这种方式的p 2 p 网络对参与节点的带宽要求比较高； 动态哈希表的方式，动态哈希表( i ) i s m b n t e dh a s ht a b l e ，d h t ) 是当前主流的资源定位 方式，该方式首先将网络中的每一个节点分配虚拟地址( d ) ，同时用一个关键字( k e y ) 来 表示其可提供的共享内容，再通过哈希函数将k e y 转换成一个哈希值h ( k e y ) 。定义网络中 节点相邻为哈希值相邻，发布信息的时候就把( k e y , r i d ) 二元组发布到具有和h 噼吩相近 地址的节点上去，其中v d 指出了文档的存储位置。资源定位的时候，就可以快速根据 h ( k e y ) 到相近的节点上获取二元组( k e y , d ) ，从而获得文档的存储位置。最初的四种d h t 算法是c a _ n 0 3 、c h o r d 1 4 1 、p a s d l 习和t a p e s t n t 垌，不同的d h t 算法决定了p 2 p 网络的逻 辑拓扑，比如c a n 就是一个n 维向量空间，而c h o r d 是一个环形拓扑，t a p e s t r y 则是一 个网状的拓扑。 上述资源定位方式可以依据不同的p 2 p 应用环境中进行选择，但是人们普遍看好d h t 方法。基于d h t 的p 2 p 网络在一定程度上可以直接实现内容的定位。一个矛盾的问题是； 如果一个节点提供共享的内容表示越复杂，贝l j 哈希函数越不好选择，相应的，网络的拓扑 结构就越复杂；而如果内容表示简单，则又达不到真正实现依据内容定位的能力。目前大 多数d h t 方式的p 2 p 网络对节点所提供共享内容的表示都很简单，一般仅仅为文件名。 2 2 3d h t 资源定位算法 n a p s t e r 、g n u t e l l a 和f r e e n e t 等典型p 2 p 应用系统的出现，促进了对d h t t 2 1 资源定位 算法的研究，d h t 采用分布在i n m n e t 上的资源来提供应用，它利用不断增长的带宽和硬 盘容量来提供文件共享服务 这些系统的区别在于如何定位它们的节点所包含的数据。n a p s t e r 拥有一个集中的索引 服务器：每个节点在其加入时将把它拥有的文件列表发送给服务器，该服务器将负责执行 搜索并且发送查询请求给拥有所需文件的节点。这种系统的缺点是服务器易受到攻击而成 为整个系统的安全瓶颈。g n u t e l l a 和相似的网络使用泛洪查询模型，即每个查询会导致消 息被广播给所有在网络中的其他节点，虽然这种系统避免了前者的单点失效问题，但是在 效率方面比u a p s t e r 低得多。f r e e n e t 也是完全分布式的，但它引入了基于k e y 进行路由的 技术，即每个文件与一个k e y 相关，并且拥有相似k e y 的文件簇聚于一系列相似的节点上。 查询可能只需要被路由到这些节点上，而不需要访问许多节点。f r e e n e t 的主要问题是不能 确保可以找到指定的数据 第9 页 国防科技大学研究生院学位论文 d h t 使用一个基于更加结构化的k e y 进行查询的技术，从而既获得g n u t e l l a 和f r e e n e t 的分布性，又可以获得n a p s t e r 的效率并且确保能够查找到指定数据。d h t 的缺点和f r e e n e t 一样，只能够直接支持精确匹配的查询，而不支持关键字查询。 d h t 算法是一种简化大规模分布式应用的方法，它的引入可以提高大规模p 2 p 系统资 源定位查询的效率和系统的可扩展性。d i n 将数据的多个块存储在i n t e m e t 上分布的一系 列节点上，每一块通过一个唯一的关键字( k e y ) 来标识。其目标是将存储和提供数据的负载 均匀地分布到所有节点上，达到负载均衡，也就是说所有的节点可以接收到基本相同数量 的关键字，并且当第n 个节点加入或者退出系统时，只有1 q 的关键字需要移动到另外的 位置。 2 2 3 1d i t t 的基本原理 d h t 为每个节点指定一个唯一的标识符( ) ，给数据( 或资源) 也指定一个与节点d 属于同一名字空间( n a m s p a c e ) 的标识符称为关键字( k 劝，k e y 和节