（计算机软件与理论专业论文）一种基于p2p的混合安全信任模型设计.pdf

南京邮电大学硕士研究生学位论文 摘要 摘要 本文在分析了p 2 p 网络中存在的安全问题以及现有信任模型的基础上，设计了一种基 于p 2 p 的混合安全信任模型。该模型介于应用层与网络层的中间，是一个中间层模型，由 自治网络模块和信任管理模块两部分组成。 p 2 p 自治网络模块设计了一种非集中管理认证的，具有监控能力的，自治的网络架构， 为在信任管理模块中计算节点的信任度打下了基础。它分为节点资源层和网络维护层两 层，将诸如节点行为信息等一切网络信息资源化，以统一的方式对这些资源进行存储和查 找，实现对节点行为的监控以及对网络资源的合法维护，通过具有节点行为信息管理角色 的特殊节点将网络中满足一定条件的节点任命为具有某种角色的特殊节点，同时收回不满 足条件的特殊节点的权限，利用这些大量动态存在的具有不同角色的特殊节点来管理网络 中的一切事务，实现网络的自治。 信任管理模块分为权限管理模块和信任度计算模块，主要是实现节点交互前的权限检 测，根据节点的信任度信息及行为信息计算出节点的不同等级的交互权限，从而实现交互 的安全和有效，同时在交互后，通过交互双方分别给予对方交互的评价、交互信任度的计 算以及对推荐节点推荐信任度的更新，使节点的信任度能正确客观地反映节点的信誉。 最后，通过建立一个p 2 p 应用系统，再分别加载基于本文设计的信任模型与基于 e i g e n r e p 算法的信任模型，进行实验测试和数据分析，说明本文设计的安全信任模型可以 有效地解决p 2 p 中的信任问题，提高交易的成功率，同时也能降低网络开销，具有良好的 工程可行性。 关键词：对等网络，信任管理模型，信任度 a b s t r ac t o nt h eb a s i so fa n a l y z i n gs o m es e c u r i t yi s s u e si np 2 pa n dt h ea d v a n t a g e sa n dd i s a d v a n t a g e s o ft h ee x i s t i n gt r u s tm o d e l s ，t h i sp a p e rp r e s e n t sam i x e dp 2 p - b a s e ds e c u r i t yt r u s tm o d e l b e t w e e n a p p l i c a t i o nl a y e ra n dn e t w o r kl a y e r , t h i s m o d e li sam i d d l el a y e rm o d e lc o m p o s e do f s e l f - g o v e r n i n gn e t w o r km o d u l e a n dt r u s tm a n a g e m e n tm o d u l e t h e p 2 ps e l f - g o v e r n i n gn e t w o r km o d u l ei sd e s i g n e da san o n c e n t r a l i z e d a n d s e l f - g o v e r n i n gn e t w o r kf r a m e w o r kw i t h t h es u r v e i l l a n c ec a p a b i l i t i e s a n dt h i sl a y s t h e f o u n d a t i o nf o rc a l c u l a t i n gt h ep e e r st r u s tv a l u ei nt h et r u s tm a n a g e m e n tm o d u l e d i v i d e di n t o t h ep e e rr e s o u r c el a y e ra n dt h en e t w o r km a i n t e n a n c el a y e r , i ti sa b l et om o n i t o rt h ep e e r s a c t i o n s a n dm a n a g en e t w o r kr e s o u r c e sl e g a l l yt h r o u g hr e g a r d i n ga l ln e t w o r ki n f o r m a t i o na sr e s o u r c e s a n ds t o r i n ga n ds e a r c h i n gt h e mi nau n i f o r mw a y f o ra c h i e v i n gt h en e t w o r ks e l f - g o v e r n i n g ，t h e s e l f - g o v e r n i n gm o d e ln o m i n a t e ss o m ep e e r sa ss p e c i a lp e e r sd y n a m i c a l l yw i t hc e r t a i nr o l e st o m a n a g ea l ln e t w o r ka f f a i r s t h ea u t h o r i t yo fb e i n gas p e c i a lp e e ri sa s s i g n e dw h e nm e e t i n g c e r t a i nc o n d i t i o n s ，o re l s ew i l lb ew i t h d r e w t h et r u s tm a n a g e m e n tm o d u l ec o n s i s t i n go fp e r m i s s i o nm a n a g e m e n ts u b - m o d u l ea n dt r u s t v a l u ec a l c u l a t i o ns u b - m o d u l ei su s e dt or e a l i z ep e r m i s s i o nd e t e c t i o nb e f o r ep e e ri n t e r a c t i o na n d c a l c u l a t ep e e r sp e r m i s s i o na td i f f e r e n tl e v e l so fi n t e r a c t i o n s ot h es a f e t ya n de f f e c t i v i t yo f t h e i n t e r a c t i o nc a nb ea c h i e v e d t h ep e e r st r u s tv a l u ec a nr e f l e c ti t sc r e d i b i l i t yc o r r e c t l ya n d o b j e c t i v e l ya f t e ri n t e r a c t i o nb yg i v i n ge v a l u a t i o na n dc a l c u l a t i o no fi n t e r a c t i v et r u s tv a l u ee a c h o t h e ro ft w oi n t e r a c t i v es i d e s ，a n du p d a t i n gr e c o m m e n d a t i o nt r u s tv a l u eo f t h er e c o m m e n d a t i o n p e e r f i n a l l y , t h r o u g he s t a b l i s h i n gap 2 pa p p l i c a t i o ns y s t e m ，a n dt h e nl o a d i n gt h et r u s t m o d e l d e s i g n e di nt h i sp a p e ra n dt h et r u s tm o d e lb a s e do ne i g e n r e pa l g o r i t h ms e p a r a t e l y , t h ep a p e r c a r r i e so u tas e r i e so ft e s t sa n dd a t aa n a l y s i s e x p e r i m e n tr e s u l t ss h o wt h a tt h es e c u r i t yt r u s t m o d e lc a l le f f e c t i v e l yr e s o l v et h et r u s tp r o b l e m si nt h ep 2 pn e t w o r k s ，i m p r o v et h es u c c e s s r a t eo f t r a n s a c t i o n ，r e d u c en e t w o r ko v e r h e a da n da l s oh a sg o o de n g i n e e r i n gf e a s i b i l i t y k e y w o r d s ：p 2 p ，t r u s tm a n a g e m e n t m o d e l ，t r u s tv a l u e i i 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：二沮日期： 上卜 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所送 交学位论文的复印件和电子文档，可以采用影印、缩印或其它复制手段保存论 文。本文电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。 论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 研究生签名：脾 日期： 南京邮电大学硕士研究生学位论文第一章引言 1 1 课题背景 第一章引言 对等网络( p e e r t o p e e r ，p 2 p ) 是一种新兴的不依赖特定中央服务器的网络模型【1 捌。 在这种网络模型中不存在中央服务器，所有节点的地位是平等的，在交互过程中，各节点 同时扮演着服务器和客户端的角色f 2 】。对等节点之间通过直接互联实现信息资源，处理器 资源以及高速缓存资源等的共享和交互，而无需中央服务器的支持。也就是说，所有的节 点都是对等的，他们能力相当，并承担着相同的责任协同完成任务，各节点既充当了服务 器，为其他节点提供服务；同时也是客户端，享受着其他节点提供的服务。在p 2 p 网络中， 各节点可以自由加入和退出【1 卅。 由于p 2 p 网络使参与在其中的计算机系统之间能直接进行资源的交互和共享，无需中 央服务器的支持，消除了服务器和客户端的差别。因此，与传统的客户端服务器 ( c l i e n t s e r v i c e ，c s ) 网络模型相比，p 2 p 网络有效地利用了网络上大量闲置的信息资源， 网络带宽，存储空间和处理器周期等资源，避免了服务器所带来的瓶颈问题，降低了服务 器的成本【2 】。 基于p 2 p 的以上这些明显的优势，p 2 p 技术在文件共享、对等计算、协同工作、即时 通信、搜索引擎等诸多领域得到了广泛的应用【5 1 。但是随着p 2 p 的深入发展，p 2 p 网络高 度的自治性和动态性的这一特点对网络的有效管理和安全性提出了新的挑战和要求。如何 有效地管理p 2 p 网络上的节点，解决p 2 p 网络的安全问题 6 , 7 1 ，将成为计算机领域关注的 热点问题，对该问题的研究具有重要的意义。 因此，建立一个具有自治能力的p 2 p 全分布式网络，对网络中的节点行为具有可监控 性，并在此基础上设计一种安全信任模型是十分必要的。本文中我们借鉴以b a y e s i a n 和 e i g e n r e p 为代表的安全信任算法隅枷】，同时继承了b i t t o r r e n td h t 的优点【l l 】，提出了一种 具有自治能力的，可监控网络中节点行为的p 2 p 安全信任机制。在该机制中，交互双方分 别对对方当前的交互行为进行评估，并结合以往的历史交互信息，给出该节点的信任度。 并以此为依据对该节点的行为给出相应的权限。同时网络中的一切信息资源化，并通过动 1 南京邮电大学硕士研究生学位论文 第一章引言 态生成的大量存在的具有不同角色的特殊节点来管理网络中的一切事务，以应对网络中行 为得不到监控、资源得不到合法性控制、网络缺乏自治能力等问题。 本文中我们将在p 2 p 系统中的p 2 p 应用层与p 2 p 网络层之间设计一个新的模块 叫2 p 安全信任模块，即将p 2 p 系统抽象为一个具有三层协议模型的系统。在该模型中， p 2 p 系统的最上层为p 2 p 应用层，为该系统提供各种p 2 pj 畏务；基于分布式哈希表( d i s t r i b u t e h a s ht a b l e ，d h t ) 1 1 2 1 4 3 的p 2 p 网络位于p 2 p 系统的最底层，该层基于k a d e m l i a 协议【1 5 】， 使用d h t 存储节点的路由信息，为节点之间的交互提供底层的路由保障；我们的工作主 要集中在中间一层_ 2 p 安全信任模型层，在该层中，我们以d h t 为基础，构架了一个 自治的p 2 p 网络，通过对交互行为的即时评估，结合以往的历史信任度，得出节点当前的 交互信任度，基于这个交互信任度并兼顾整个网络的交互经历，设置节点的交互权限，从 而实现p 2 p 系统中的安全性。 通过在p 2 p 应用层和p 2 p 网络层之间设计p 2 p 安全信任模型，我们希望建立一个轻载 高效的p 2 p 安全信任机制，避免了网络缺乏自治能力等问题，避免网络瓶颈的出现。同时 在我们计算信任度的算法中，减小了网络的性能开销，推出了合理的惩罚机制，有效地预 防了夸大、诋毁等现象，确保p 2 p 系统中通过安全可靠的信任机制，使节点都能得到较好 的服务。 1 2 课题来源及研究目标 本课题来自华为科技基金项目基于重叠网络的p 2 p 安全模型研究，该项目从p 2 p 重叠网络结构模型、p 2 p 重叠网络协议、p 2 p 重叠网络安全服务模型三个方面进行了研究。 本文中的内容属于该项目中的一个子模块。 本文的主要目标是通过定义中间层模型，构建面向p 2 p 的安全信任机制。该机制是一 个基于混合信任度的p 2 p 安全模型。其主要实现以下两个功能： 1 p 2 p 自治网络的构架。这是本文中p 2 p 安全模型的底层支持，也是该模型的一大特 色。本部分中引入了节点行为档案的资源化和特殊节点的概念，将网络中的一切网络信息 ( 如节点的交互信息、特殊节点的信息，节点的信任度、数据文件信息等) 资源化，并分 布式冗余缓存在网络中：利用网络中大量动态存在的具有不同角色的特殊节点对网络进行 自治管理。该方案相对于当前流行的同样基于d h t 的p 2 p 技术更具有网络自治性和行为 监控性；同时与当前研究的p 2 p 分层网络中的所提及的超级节点相比，其特殊节点的角色 南京邮电大学硕士研究生学位论文 第一章引言 更具有可扩展性。 2 p 2 p 信任度管理功能。本部分采用了一种改进的信任度的计算方法，该方法既充分 利用了p 2 p 中节点的自身交互历史，又有效地考虑了该节点在整个网络的交互经历。不仅 使安全机制更具有针对性，网络开销变小，还推出了合理的惩罚机制，有效地预防了夸大、 诋毁等现象。最后根据信任度的值，对访问节点的交互权限进行控制。 1 3 本文组织 本文共分为七个章节，内容组织如下： 第一章介绍了本课题的背景、来源，以及本文提出的p 2 p 安全模型的功能，并给出了 本文的组织； 第二章介绍了本文所用到的相关技术，包括p 2 p 相关技术、基于d h t 的存储与搜索 技术及其在p 2 p 中的应用，以及p 2 p 安全信任管理模型的研究现状和发展。详细介绍了 p 2 p 的概念、特点和发展，以及所暴露出来的和存在的安全问题，分析了目前几种主流的 安全信任管理模型，以及它们所存在的不足之处； 第三章主要是针对现有的安全信任模型在一些方面所存在的不足之处，提出了自己的 解决方案，介绍了基于p 2 p 的混合安全信任模型的总体架构图以及相应的流程图，同时概 述了p 2 p 自治网络架构模块和信任管理模块的功能； 第四章详细介绍了p 2 p 自治网络架构模块。在该模块中，网络以资源的形式记录节点 的行为档案，并分布式冗余缓存在网络中的其他节点处，实现了对节点的监控以及对资源 的合法性控制。同时动态生成大量的具有不同角色的特殊节点承担不同的网络管理任务实 现网络的自治管理功能。 第五章详细介绍了信任管理模块。介绍了推荐信任度，局部信任度，推荐度以及交互 后的交互评价值和这些值的计算思想，并给出了具体的计算公式。同时描述了信任评估和 信任更新过程及推荐信任度的更新。另外也提出算法和策略对恶意节点进行控制，提出了 对访问节点的交互权限控制。 第六章对基于p 2 p 的混合安全信任模型及其所采用的算法进行了多次测试，通过与现 有安全模型进行比较，可以看出本文提出的安全模型的性能较现有的安全模型有了一定的 改善； 第七章总结了本文所做的工作，并对该课题进一步研究的方向进行了展望。 3 - 南京邮电大学硕士研究生学位论文第二章相关技术简个 2 1p 2 p 相关技术简介 2 1 1p 2 p 的概念及应用 第二章相关技术简介 p 2 p 即对等网络，它可以简单地定义为通过直接的交换信息，共享计算机资源和服务 的网络，对等计算机兼有客户端和服务器的功能，能同时具有客户机和服务器的身份【2 j 。 对等计算机通过直接互联实现信息资源，处理器资源，存储资源甚至高速缓存资源的全面 共享，无需依赖集中式服务器的支持，消除信息孤岛和资源孤 2 , 4 1 。从某种意义上讲，p 2 p 技术体现了i n t e r n e t 的本质，它使因特网的存储模式由现在的内容位于中心的模式转化为 内容位于边缘的模式f 1 6 阍。 p 2 p 技术与c s 技术的根本区别在于两者的网络拓扑结构不同，p 2 p 技术是一种不依 赖中心节点，而依靠网络边缘节点自组织对等协作的交互形式【1 9 1 。p 2 p 网络打破了传统的 c s 模式，在p 2 p 网络中每个节点的地位都是对等的，每个节点在充当服务器，为其他节 点提供服务的同时，也可以享用其他节点提供的服务【1 9 1 。 从网络的发展历史看，p 2 p 并不是一个全新的理论。t c p i p 是现代互联网整体架构的 基础，但在t c p 中，两节点要进行交互，首先需要建立连接，实现节点与节点之间的直接 互连，所有的节点都是通信中平等的一端。早在3 0 年前，许多公司的计算结构就可以用 现在的p 2 p 构建，但由于带宽和处理能力等的限制，在信息沟通中借助了许多中间环节， 如中间服务器、导航网站和第三方信息交易平台等。现在，低成本高性能的计算机配置， 高速的通信能力和超容量的计算机存储能力正强有力的推动着这一技术的迅速发展【2 l 。 通过对文献f 1 5 ，2 0 的研究可知，当前p 2 p 网络系统模型主要有四种：集中目录式模 型、全分布式模型、混合模型和半分布式模型。 最早出现的集中目录式模型是由一个中央服务器来负责记录网络中所有活动节点共 享资源的目录信息以及反馈对这些资源的查询。当网络中的某一节点需要查询一资源时， 该节点首先向中央服务器发出资源查询请求，服务器从数据库中查询到所有匹配到的资源 南京邮电大学硕士研究生学位论文 第二覃相关技术简介 后，会返回符合要求的所有节点的地址信息列表，请求节点接收到应答后，在地址信息列 表中根据条件选择合适的节点，并向该节点发出连接交互请求。例如n a p s t e r 采用的就是 这种网络模型。 这种模型具有易于管理、快速响应查询请求等优点，但同时也存在很多问题，主要有： 过分依赖中央服务器，中央服务器的瘫痪会导致整个网络的崩溃，缺乏可靠性和安全性； 中央服务器的负载过大，将是整个网络的瓶颈；随着网络的扩大，对中央服务器的性能要 求也会加大，对中央服务器进行维护和更新的费用也会急剧增加，成本过高。因此该模型 并不适合大型网络的应用。 全分布式模型中不存在中央服务器，整个网络由无数节点构成，这些节点作为对等实 体，既可以作为客户端，也可以作为服务器。网络中各节点采用泛洪方式( f l o o d i n g ) 来 搜索网络和发现共享资源，即：请求节点首先向其邻居节点发出资源查询请求，该邻居节 点再将该请求转发给其自身的邻居节点，如果网络找到满足条件的资源，其请求响应将按 原路返回给请求节点。这种模型中比较典型的软件有g n u t e l l a 。该模型避免了服务器性能 瓶颈问题，但采用f l o o d i n g 搜索网络资源时，网络额外开销较大，并且随着网络规模的扩 大，网络开销将成指数级增长。 混合模型结合了集中式模型和分布式模型的优点，网络中存在中间服务器，通过分布 式存储共享文件的目录信息。该模型的构想是把整个网络建成一个二层结构，有普通节点、 搜索节点和索引节点组成，其中一个搜索节点管理多个普通节点，记录这些节点共享资源 的信息列表以及反馈对这些资源的查询。搜索节点之间构成分布式模型。索引节点用于保 存可以利用的搜索节点的信息，并收集状态信息，维护网络的拓扑结构。普通节点首先通 过索引节点获得搜索节点的信息，然后通过搜索节点得到请求资源的信息。这种模型在高 覆盖性、高分散性及扩展性方面有较大的优势，但由于搜索节点及索引节点的选取和分类 算法的原因，也同时影响了p 2 p 网络的服务质量。 半分布式模式，也是当前比较流行的p 2 p 网络模式。该模式的成功，在于其吸取了集 中式和全分布式的优点，继承了混合模式好的思想。该模式选择性能较高( 处理、存储、 带宽等方面性能) 的节点作为超级节点，在各个超级节点上存储系统中其他部分节点的信 息，发现算法仅在超级节点之间转发，超级节点再将查询请求转发给适当的普通节点。半 分布式模型也是一个层次模型，超级节点之间构成一个转发层，超级节点和所负责的普通 节点构成若干层次。采用这种模型的主要有k a z a a 、e d o n k e y 、b i t t o r r e n t 等。 气 南京邮电大学硕士研究生学位论文 第二章相关技术简卜 该模型采用了基于d h t 技术的发现和路由算法，这些算法避免了类似n a p s t e r 的中央 服务器，也不是像g n u t e l l a 那样基于广播的f l o o d i n g 算法进行查找。其为网络中的每个节 点定义了一个全局唯一的标志，称为节点i d ，通过分布式散列函数，将输入的关键字唯一 映射到某个节点i d 上，然后通过某些路由算法同该节点建立连接。 k a d e m l i a 是一种d h t 实现技术，不过和其他d h t 实现技术( 如c h o r d 、c a n 、p a s t r y 等) 比较，k a d e m l i a 通过独特的以异或算法( x o r ) 为距离度量基础，建立了全新的d h f 拓扑结构【1 弘1 5 1 。 采用半分布式模型的优点是性能开销较小，可扩展性较好，易于管理。缺点就是对超 级节点依赖性大，易于受到攻击，容错性也受到影响。本文对p 2 p 系统的分析研究，主要 是指这类基于k a d e m l i a 技术的半分布式模型的p 2 p 系统。 目前，p 2 p 网络的应用主要体现在即时通信、文件共享、对等协作、搜索引擎等方面。 其中有s u n 公司的j x t a 、g o o g l e 等搜索引擎公司开发的p 2 p 搜索系统、国内开展的上海 城市网络中p 2 p 虚拟协同平台的研究、以及文件共享下载系统与w e bs e r v i c e 技术融合的 协同工作系统、即时通信、即时e - m a i l 等【2 1 9 1 。 2 1 2p 2 p 系统的特点 与其他网络模型相比，p 2 p 网络主要有以下特点【5 】【1 “1 8 1 1 2 1 】： 1 ) 分散化 网络中的资源和服务分散在所有节点上，信息的传输和服务的实现都直接在节点之间 进行，可以无需中间环节和服务器的支持，避免了可能的瓶颈。即使是在混合p 2 p 模型中， 虽然在查找资源一定位服务器或安全检验等环节需要集中式服务器的参与，但主要的信息 交换最终仍然在节点中间直接完成，这样就大大降低了对集中式服务器的资源和性能要 求。分散化是p 2 p 的基本特点，由此带来了其在可扩展性、健壮性等方面的优势。 2 ) 可扩展性 在p 2 p 网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务能 力也在同步地扩充，传统的c s 架构中系统能容纳的用户数量和提供服务的能力主要受服 务器的资源限制，相比之下，p 2 p 网络始终能较容易地满足用户的需要。即使在诸如n a p s t e r 等模型架构中，由于大部分处理直接在节点之间进行，大大减少了对服务器的依赖，因而 能够方便地扩展到数百万个以上用户。而对于纯p 2 p 来说，整个体系是全分布式的，不存 南京邮电大学硕士研究生学位论文第二章相关技术简个 在瓶颈。理论上其可扩展性几乎可以认为是无限的，p 2 p 可扩展性好这一优点已经在诸如 n a p s t e r 、g n u t e l l a 、f r e e n e t 等应用的实例中得以证明。 3 ) 健壮性 在互联网上随时可能出现异常情况，网络中断、网络拥塞和节点失效等各种异常事件 都会给系统的稳定性和服务持续性带来影响。在传统的集中式服务模式中，集中式服务器 成为整个系统的要害所在，一旦发生异常就会影响到所有用户的使用。而p 2 p 架构则天生 具有耐攻击、高容错的优点。由于服务是分散在各个节点之间进行的，部分节点或网络遭 到破坏对其它部分的影响很小。而且p 2 p 模型一般在部分节点失效时能够自动调整整体拓 扑，保持其它节点的连通性。事实上，p 2 p 网络通常都是自组织的方式建立起来的，并允 许节点自由地加入和离开。一些p 2 p 模型还能够根据网络带宽、节点数、负载等变化不断 地做自适应的调整。 4 ) 隐私性 随着互联网的普及和计算存储能力飞速增长，收集隐私信息正在变得越来越容易。隐 私的保护作为网络安全性的一个方面越来越被大家所关注。目前i n t e m e t 通用协议不支持 隐藏通信端地址的功能。攻击者可以监控用户的流量特征，获得p 地址，甚至可以使用一 些跟踪软件直接从i p 地址追踪到个人用户。在p 2 p 网络中，由于信息的传输分散在各节 点之间进行而无需经过某个集中环节，用户的隐私信息被窃听和泄露的可能性大大缩小。 此外，目前解决i n t e m e t 隐私问题主要采用中继转发的技术方法，从而将通信的参与者隐 藏在众多的网络实体之中。在传统的一些匿名通信系统中实现这一机制依赖于某些中继服 务器节点。而在p 2 p 中，所有参与者都可以提供中继转发的功能，因而大大提高了匿名通 讯的灵活性和可靠性，能够为用户提供更好的隐私保护。 5 ) 高性能 随着硬件技术的发展，个人计算机的计算和存储能力以及网络带宽等性能依照摩尔定 理高速增长。而在目前的互联网上，这些普通用户拥有的节点只是以客户机的方式连接到 网络中，积极作为信息和服务的消费者，游离于互联网的边缘。对于这些边际节点的能力 来说，存在极大的浪费。采用p 2 p 架构可以有效地利用互联网中散布的大量普通节点，将 计算任务或存储资料分布到所有节点上。利用其中闲置的计算能力或存储空间，达到高性 能计算和海量存储的目的。这与当前高性能计算机中普遍采用的分布式计算的思想是一致 的，但通过利用网络中的大量空闲资源，可以用较低的成本提供较高的计算和存储能力。 7 南京邮电大学硕士研究生学位论文第二章相关技术简介 2 1 3p 2 p 系统的信息安全问题 安全问题是互联网存在的最大问题，在p 2 p 网络中尤其如此。p 2 p 技术自从出现以来 一直受到广泛的关注，目前，在在线交流、文件共享、分布式计算，甚至是企业计算与电 子商务等应用领域p 2 p 已经充分显示出了其强大的技术优势，但由于其自身的特点，也为 信息安全带来了新挑战。除传统的安全性领域外，如身份识别认证、授权、数据完整性、 保密性和不可否认性等，还主要有以下一些特殊问题需要解决1 2 2 2 4 1 1 2 8 】： 1 ) 在p 2 p 共享网络中普遍存在的知识产权保护问题 尽管目前g n u t e l l a 、k a z a a 等p 2 p 共享软件宣传其骨干服务器上并没有存储任何涉及 产权保护的内容的备份，而仅仅是保存了各个内存在互联网上的存储索引【2 5 矧。但无疑的 是，p 2 p 共享软件的繁荣加速了盗版媒体的传播，提高了知识产权保护的难度。美国唱片 工业协会与众多共享软件公司尤其是n a p s t e r 的官司鲫，更是将这一问题推到了人们的面 前。如何更加合法合理的应用这些共享软件，是一个新的课题。p 2 p 技术为网络信息共享 带来了革命性的改进，而这种改进如果想要持续长期地为广大用户带来好处，必须以不损 害内容提供商的基本利益为前提。这就要求在不影响现有p 2 p 共享软件性能的前提下，一 定程度上实现知识产权保护机制。同时，加强人们对数字版权的意识，健全相关的法律法 规，通过一定的法律手段加以维护，会对p 2 p 网络中的版权保护起到更加有效的作用。 2 ) 在p 2 p 环境中建立节点间的信誉问题 由于p 2 p 网络是无中心的环境，存在着动态性、自组织性和匿名性等特点。它不能保 证所有响应节点都提供诚实良好的服务和可靠资源，某些节点甚至提供恶意欺诈服务，从 而导致所发现资源的非法性和不确定性，对服务的请求者以及其它节点造成危害。因此， 在面向大量动态用户的p 2 p 网络环境中，保证提供可靠的资源和服务成为亟需解决的问题， 这就需要在节点之间建立相应的信任机制，对p 2 p 应用中的节点进行信任度评价。这种信 任不仅仅包括对节点身份的信任，还包括对节点行为的信任。这也是本文需要着重研究的 问题。 3 ) 网络病毒传播防阻断问题 随着计算机网络应用的深入发展，计算机病毒对信息安全的威胁日益增加。特别是在 p 2 p 环境下，方便的共享和快速的选路机制，为某些网络病毒提供了更好的入侵机会。由 于p 2 p 网络中逻辑相邻的节点，地理位置可能相隔很远，而参与p 2 p 网络的节点数量又非 r 两京邮电大学硕士研究生学位论文第二章相关技术简介 常大，因此通过p 2 p 系统传播的病毒，波及范围大，覆盖面广，从而造成的损失会很大。 在p 2 p 网络中，每个节点防御病毒的能力是不同的。只要有一个节点感染病毒，就可以通 过内部共享和通信机制将病毒扩散到附近的邻居节点。在短时间内可以造成网络拥塞甚至 瘫痪，共享信息丢失，机密信息失窃，甚至通过网络病毒可以完全控制整个网络。因此， 网络病毒的潜在危机对p 2 p 系统安全性和健壮性提出了更高的要求，迫切需要建立一套完 整、高效、安全的防毒体系。 4 ) 内容鉴别问题 由于p 2 p 系统自身的特点，内容鉴别也存在一定的问题。在获取资源的时候我们首先 需要保证所下载的资源正是我们需要的资源。在最好的情况下，我们还要确定所下载的资 源只包含符合要求的文件，即是说没有其它不需要或是不希望有的垃圾文件。但是在目前 已实现的p 2 p 系统中，不存在中心服务器提供的基于内容的鉴别，资源共享严重依赖于资 源提供者和需求者之间的相互信任【2 9 】，事实上只能保证所请求资源的标志( 通常是名称) 与希望的标志一致，例如，请求节点只能确定从提供节点下载的音乐文件标题与希望获取 的音乐文件标题一致，至于能否保证内容的一致性就无法判断。我们也可以加入一些更多 的判断，如要求一些扩展信息一致，标志文件的元数据一致，但是无法从根本上解决问题。 这也使得一些垃圾文件伪装成正常文件进行传播。 5 ) 网络和节点的负载平衡问题 网络和节点的负载平衡也是应考虑的问题，通讯量的增加将影响网络的健壮性，即洪 水般的恶意请求引发的拒绝式服务攻击可能导致系统的崩溃。节点在p 2 p 网络中获取资源 或是寻找其它节点之前，首先要发出查询报文以定位资源和获取邻居节点的位置。但是查 询算法为了获得较高的准确性，一般采用广播式进行查询，这就造成了一定的隐患。在 g n u t e l l a 网络中查询协议具有一个7 h o p 限制，即查询深度最多不超过7 个节点，假设每个 节点又能找到4 个相邻的节点，那么一次查询能够广播到1 3 0 0 个节点，在这种情况下如 果有恶意节点伪装成受害节点发送大量不同的查询报文，并在应答报文回传之前结束伪 装，受害节点将因为受到巨量应答而当机。有关文献已经实现了利用g n u t e l l a 协议中的4 种基本报文进行查询洪泛【2 5 3 0 1 。一般在校园网，企业网和某些住宅小区采用的是局域网通 过代理服务器上网方式，其连接i n t e m e t 的带宽存在上限。又由于p 2 p 节点在下载的同时 又能够上传，因而在局域网络内部若有相当数量的用户使用p 2 p 软件交换数据，就会使带 宽迅速耗尽以致妨碍正常的网络访问。例如，b i t t o r r e n t 协议【1 1 3 1 1 将下载速度与上传速度关 9 雨京邮电大学硕士研究生学位论文第二章相关技术简介 联起来，使得上下载速度相当，因此一个节点下载1 g 的数据，同时也要上传大约1 g 的数 据，若同时有5 0 0 个节点进行上下载，那么短时间内就会有0 5 t 的数据通过代理服务器， 从而造成网络拥塞。 此外，由于p 2 p 专注于提高共享效率而忽视安全因素，因此也对现有的网络安全体系 产生了影响，p 2 p 协议的缺陷导致了一些外部安全隐患。根据i p 地址，p 2 p 网络节点可以 分为两种：一种是具有公网i p 的节点；另一种是具有非公网地址的节点，通常是经由代理 服务器和防火墙接入网络的局域网用户。p 2 p 软件经过特殊设计能够通过防火墙使内外网 用户建立连接，这样就像是在防火墙上打开了一个秘密通道( s e c u r i t yh o l e ) ，使得内网直 接暴露在不安全的外部网络环境下。根据w w w b i t c o m e t c o r n 发布的客户端更新，他们为了 提高局域网用户下载速度已经实现了连接两个在不同内网中的内网节点，并且采用监听随 机端口的方式避免防火墙封锁端口，这事实是在两个防火墙上开了一个相互连通的隧道， 安全问题更加突出。 从以上各方面可以看出，在p 2 p 网络中，系统安全面临着巨大的挑战，对p 2 p 网络安 全性的研究是当前的研究热点之一，对p 2 p 网络发展有着重大意义。 2 2 基于d h t 的存储与查找算法 2 2 1d h t 概述 由于在非结构化网络中将分布式网络认为是一个完全随机图，结点之间的链路没有遵 循某些预先定义的拓扑来构建。这些系统一般不提供性能保证，但容错性好，支持复杂的 查询，并受节点频繁加入和退出系统的影响小。但是查询的结果可能不完全，查询速度较 慢，采用广播查询的系统对网络带宽的消耗非常大，并由此带来可扩展性差等问题。而基 于d h t 【1 2 1 4 】的分布式存储和查找算法避免了类似n a p s t e r 的中央服务器，也不是像 g n u t e l l a 那样基于广播进行查找，而是通过分布式散列函数，将输入的关键字惟一映射到 某个结点上，然后通过某些路由算法同该结点建立连接。 在d h t 技术中，网络结点按照一定的方式分配一个唯一结点标识符( n o d ei d ) ， 资源对象通过散列运算产生一个唯一的资源标识符( o b j e c ti d ) ，且该资源将存储在结点 i d 与之相等或者相近的结点上。需要查找该资源时，采用同样的方法可定位到存储该资源 的结点。因此，c h o r d 3 2 , 3 3 1 的主要贡献是提出了一个分布式查找协议，该协议可将指定的关 1 n 南京邮电大学硕士研究生学位论文第二覃相关技术简介 键字( k e y ) 映射到对应的结点( n o d e ) 。从算法来看，c h o r d 是相容散列算法的变体。 m i t 的g r i d 和r o n 项目则提出了在分布式广域网中实施查找资源的系统框架【1 2 阳。 采用d h t 技术，其优点在于d h t 类结构能够自适应结点的动态加入腿出，有着良好 的可扩展性、健壮性、结点i d 分配的均匀性和自组织能力。由于重叠网络采用了确定性 拓扑结构，d h t 可以提供精确的发现。只要目的节点存在于网络中，d h t 总能查找到它， 查找的准确性得到了保证【1 扛1 4 1 。 但是，d h t 结构最大的问题是d h t 的维护机制较为复杂，尤其是节点频繁加入退出 造成的网络波动( c h u r n ) 会极大增加d h t 的维护代价。d h t 所面临的另外一个问题是 d h t 仅支持精确关键词匹配查询，无法支持内容语义等复杂查询【m 1 4 1 。 首先采用d h t 组织重叠网络的p 2 p 系统主要有【3 2 4 6 】： t a p e s t r y 提供了一个分布式容错查找和路由基础平台，在此平台基础之上，可以开发 各种p 2 p 应用( o c e a n s t o r e 即是此平台上的一个应用) 。t a p e s t r y 的思想来源于p l a x t o n 。 在p l a x t o n 中，结点使用自己所知道的邻近结点表，按照目的d 来逐步传递消息。t a p e s t r y 基于p l a x t i o n 的思想，加入了容错机制，从而可适应p 2 p 的动态变化的特点。o c e a n s t o r e 1 6 1 是以t a p e s t r y 为路由和查找基础设施的p 2 p 平台。它是一个适合于全球数据存储的p 2 p 应 用系统。任何用户均可以加入o c e a n s t o r e 系统，或者共享自己的存储空间，或者使用该系 统中的资源。通过使用复制和缓存技术，o c e a n s t o r e 可提高查找的效率。 t a p e s t r y 为适应p 2 p 网络的动态特性，作了很多改进，增加了额外的机制实现了网络 的软状态( s o f ts t a t e ) ，并提供了自组织、鲁棒性、可扩展性和动态适应性，当网络高负载 且有失效结点时候性能有限降低，消除了对全局信息的依赖、根结点易失效和弹性 ( r e s i l i e n c e ) 差的问题。 p a s t r y 是微软研究院提出的可扩展的分布式对象定位和路由协议，可用于构建大规模 的p 2 p 系统。在p a s t r y 中，每个结点分配一个1 2 8 位的结点标识符号( n o d e l d ) ，所有 的结点标识符形成了一个环形的n o d e l d 空间，范围从0 到2 1 2 8 1 ，结点加入系统时通 过散列结点i p 地址在1 2 8 位n o d e i d 空间中随机分配。 目前，包括b i t t o r r e n t ，e d o n k e y 等在内的p 2 p 主流软件都采用了d h t 技术作为存储 和查找算法。 南京邮电大学硕士研究生学位论文第二章相关技术简介 2 2 2k a d e m l i a 协议概述 简单的讲，k a d e m l i a 协议( 以下简称k a d ) 1 1 5 】是一种d h t 技术，不过和其他d h t 技 术比较，如c h o r d 、c a n 、p a s t r y 等，k a d 通过独特的以异或算法( x o r ) 为距离度量基 础，建立了一种全新的d h t 拓扑结构，相比于其他算法，大大提高了路由查询速度。 基于k a r l 网络中每个节点都有一个1 6 0 b f f 的i d 值作为标识符，k e y 也是一个1 6 0 b i t 的标识符，每一个加入k a d 网络的计算机都会在1 6 0 b i t 的空间内分配一个节点d 值， 对的数据存放在i d 值最接近k e y 值的节点上。判断两个节点x ，y 的距离远近是基 于数学上的异或的二进制运算，d ( x ，y ) 糍oy ，即对应位相同时结果为0 ，不同时结果为l 。 k a r l 的路由表是通过一些称之为k 桶的表格构造起来的。对每一个0sis1 6 0 ，每个节点 都保存有一些和自己距离范围在区间 2 i , 2 i + 0 内的一些节点信息，这些信息有一些 ( i p a d d r e s s ，u d p p o r t ，n o d e l d ) 数据列表构成，每一个这样的列表都称之为一个k 桶。 2 3 信任管理模型的研究和进展 目前的p 2 p 系统的信任管理模型的基本思想是节点依据相互的信任程度来决定节点问 的通信，信任管理主要集中在信任模型的建立和信任值的计算上t 3 7 j 。下面就e i g e n r e p 模 型及基于b a y e s i a n 的信任模型这两种最典型的信任模型详细阐述隆1 0 1 。 2 3 ie i g e n r e p 模型 s t a n f o r d 大学的e i g e n r e p 是目前已知的一种典型的全局信任度模型