（计算机系统结构专业论文）基于信任模型的资源共享技术的研究与实现.pdf

摘要 随着i n t e m e t 的迅速发展和普及，用户要求更广泛和普遍的信息和资源共享。p 2 p 技术具有分布 式的特性并且能够充分利用资源，这使得它在文件共享应用中能够发挥巨大作用。但是，由于p 2 p 网络缺乏集中控制，使得p 2 p 网络的安全成为一个突出的问题。 为了解决p 2 p 的安全问题，可以采取传统的安全技术，如安全协议、数字证书等等。论文探讨 了传统安全技术在p 2 p 文件共享系统中的应用。其中，详细分析了p k i 和p g p 的信任模型及其在 p 2 p 网络中的应用方案，并指出它们的不足之处，还提出一个p k i 和p g p 相结合的方案。 为了解决p 2 p 文件共享系统中的访问控制和资源可信度保证的问题，论文提出一个分布式信任 模型。它基于现实世界的信任机制，采用量化的方式对信任进行评估；并且建立了一套名誉传递机 制，用于解决信任决定时信息不足的问题。在模型中，采用主观逻辑来计算量化的信任，使用推荐 协议来处理名誉的传递。 在对相关理论进行分析和研究的基础上，论文给出了文件共享系统的总体设计方案以及其中安 全方案的设计，并详细介绍了认证模块和信任模型的实现。 结合系统的实现，对论文提出的信任模型进行仿真，并分析了仿真结果。最后总结了论文的成 果，并指出需要改进和进一步研究的地方。 关键词：文件共享，p 2 p 。安全，信任模型。 a b s t r a c t w 酏t h er a p i dd e v e l o p m e n ta n dp o p u l a r i z i n go fi n t e r a c t , t h eu s e r sr e q u i r em o r ee x t e n s i v ea n dm o r e g e n e r a li n f o r m a t i o na n d r e s o u r c e ss h a r i n g b e c a u s eo fi t sd i s t r i b u t e dc h a r a c t e r i s t i ca n d m a k i n gr e s o u r c e s b e i n gm o r ef u u yu t i l i z e d ，p e e r - t o - p e e rt e c h n o l o g yc a db eu s e dt oi m p r o v et h ef i l es h a r i n ga p p l i c a t i o n h o w e v e r , p 2 p n e t w o r ki ss h o r to f c e n t r a l i z e dc o n t r o ls ot h a tt h es e c u r i t yi np 2 pn e t w o r ki sf a c e dw i t hm u c h c h a l l e n g e t r a d i t i o n a ls e c u r i t yt e c h n o l o g y , s u c ha ss e c u r i t yp r o t o c o l s ，d i g i t a lc e r t i f i c a t e ，c a r lb eu s e dt os o l v e s o m es e c u r i t yp r o b l e m si np 2 ra f t e rd i s c u s s i n gh o wp k ia n dp g p a r ca p p l i e di n t op 2 pn e t w o r ki nd e t a i l t h et h e s i sg i v e ss o m eo f t h e i rs h o 删n g s a n d p r o p o s e s as o l u t i o ni nw h i c hp g pi si n t e g r a t e dw i t hp k i ad i s t r i b u t e dt r u s tm o d e lh a sb e e np r o p o s e dt os o l v et h ep r o b l e m so fa c c e s sc o n t r o la n dr e s o u r c c s r e l i a b i l i t y i nt h ep 2 pf i l e s h a r i n gs y s t e m i t b a s e so nt h er e a l w o r l dt r u s tm e c h a n i s m a n de m p l o y q u a n t i t a t i v em e t h o dt oe v a l u a t et r u s td e g r e e ar e p u t a t i o nm e c h a n i s mi s b u i l tt od e a lw i t ht h el a c ko f i n f o r m a t i o nw h e na ne n t i t yi st om a k eal r o s td e c i s i o n t h es u b j e c t i v el o g i ci su s e dt oc o m p u t eq u a n t i t a t i v e t r u s td e g r e e ，a n dt h er e c o m m e n d a t i o n p r o t o c o li sa p p l i e d i n t or e p u t a t i o n t r a n s f e r r i n g ， o nt h eb a s i so ft h er e s e a r c ho nc o r r e l a t i v et h e o r i e s ，t h et o t a ls o l u t i o nt ot h ep 2 pf i l es h a r i n gs y s t e mi s i n t r o d u c e d ，i n c l u d i n gt h es o l u t i o nt ot h es e c u r i t y s p e c i a l l y , t h ei m p e m e n t a t i o no f a u t h e n t i c a t i o na n dt r u s t m o d e li sp r e s e n t e di nd e t a i l w i t ht h ei m p l e m e n t a t i o no f t h e s y s t e m ，as i m u l a t i o ne x p e r i m e n t i sb u i l tt op r o v et h ea d v a n t a g e so f t h e t m s tm o d e l f u t u r ew o r k sa b o u tt h et r u s tm o d e la r cd e s c r i b e di nt h ee n d k e yw o r d s ：f i l es h a r i n g ，p 2 p , s e c u r i t y , t r u s tm o d e l i i 东南大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过 的研究成果，也不包含为获得东南大学或其它教育机构的学位或证书而使用过的材料。与我 一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名： 二蔓啦日期：逝z 竺缉立凰三! 日 东南大学学位论文使用授权声明 东南大学、中国科学技术信息研究所、国家图书馆有权保留本人所送交学位论文的复印 件和电子文档，可以采用影印、缩印或其他复制手段保存论文。本人电子文档的内容和纸质 论文的内容相一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布( 包括 刊登) 论文的全部或部分内容。论文的公布( 包括于u 登) 授权东南大学研究生院办理。 研究生签名：二& 名扛导师签名： 日期： 东南大学硕士学位论文 第一章前言 1 1 论文背景 第一章前言 随着i n t e m e t 的迅速发展和普及，用户要求更广泛、普遍的信息和资源共享。如图1 - 1 所示，多 个管理域内的用户希望能够通过i n t e m e t 实现彼此间的信息和资源共享。一种可行的方案是每个管理 域对其它管理域的用户提供诸如卸这类服务。但它的缺点很明显，用户只有在知道确切的服务器地 址后才能访问其上的麸享资源，而不能对整个系统内的共享资源进行有效的搜索。另一种可行的方 案是利用集中式的管理机制，通过一个服务器对多个管理域内的共享资源进行管理。但是这种方式 也存在缺点，服务器将成为整个系统的瓶颈，一旦用户数量增加，整个系统的性能将明显下降，而 且一旦服务器发生故障，整个系统将陷于瘫痪。 我们希望用p 2 p 的方式构建一个可扩展的系统，并且能够对系统内的资源进行统一有效的管理。 图1 1i n t e m e t 范围内的文件共享 如图1 - 2 所示每个管理域提供一个共享服务器，它们以对等点的身份加入到系统来构成一个对等 网络。在管理域内，文件的共享和管理模式可以采用不同的方式，管理域内的用户通过共享服务器 对系统发出请求，这个请求在对等网内进行相应的处理。这种方案也继承了p 2 p 网络的优点：服务 被分散到了多个对等点，个别甚至部分对等点的故障都不会造成服务终止；对等点越多，网络的服 务能力越强。还有一个优点在于，对于采用不同共享和管理模式的管理域，能够通过系统提供的统 一接口使它们能进行交互。 然而由于p 2 p 网络的不确定性( 对等点可以随意的加入或离开p 2 p 网络) 和服务的分散性， 图1 - 2 基于p 2 p 的解决方案 衷南大学硕士学位论文 第一章前言 给p 2 p 技术的应用带来了新的问题。比如e 2 p 网络中的对等点发现。路由和资源定位都是需要解决 的问题。而且，由于缺少集中式的控制使得管理网络和保障网络安全变得比较困难。在i n t e m e t 环境 中，安全问题显得尤为重要- 只有确保p 2 p 网络的安全，才能真正把p 2 p 技术应用在i n t e m e t 中。 1 2 研究目标 本论文以共享服务器构成的对等网为研究对象，提出一个适用于该系统的安全模型，对系统实 施安全控制，主要包括： 1 资源的访问控制：对等点要访问和使用资源，必须得到授权。资源包括提供服务的对等点 和对等点提供的共享资源。 2 资源的可信度保证：确保对等点提供的资源和它所声称的一致。 1 3 论文安排 第一章前言，介绍论文背景。简单分析现有技术用于大范围文件共享的不足之处，并提出采用 p 2 p 技术的方案。然后说明论文的研究目标。 第二章p 2 p 网络的安全性，首先简单介绍p 2 p 技术的发展，特点以及应用领域，然后讲述p 2 p 文件共享技术的相关技术以及所面临的问题。接下来，重点讨论p 2 p 文件共享系统存在的安全问题 及对应的解决方案，包括使用安全协议来解决传输的机密性，使用数字证书来进行身份认证。详细 介绍了p k i 和p g p 在p 2 p 环境中的应用。 第三章p 2 p 的信任模型，是本论文研究的重点。针对p 2 p 的分布式特性，提出个用于解决 p 2 p 安全问题的信任模型。首先介绍信任的概念和特性，然后详细讲述信任模型的相关理论和技术， 包括信任评估机制、名誉传递机制。 第四章系统总体设计。指出系统设计的背景，文件共享系统实现的总体方案。在此基础上，介 绍用于保障系统安全的模块，简单阐述它们的功能，并细化信任模型的模块。最后说明系统实现的 软硬件环境。 第五章系统详细设计与实现，对第四章介绍的模块进行详细说明，并着莺讲述信任模型的实现。 第六章信任模型仿真，结合文件共享系统，对本文提出的信任模型进行仿真，并分析仿真结果。 第七章对论文进行总结性论述。 2 苎量生兰堡垡竺丝丝苎 苎三童望! 堕竺盟塞全堡 2 ip 2 p 网络简介 2 1 ip 2 p 的概念 第二章p 2 p 网络的安全性 p 2 p 是英文p e e r - t o - p e e r 的缩写，称为对等网或者点对点技术。p 2 p 是一种网络模型，在这种网 络中，所有节点具有同等的责任和能力，称为对等点( p e e r ) 。多个对等点通过一定的拓扑构成一个 对等网，从而共事彼此的信息资源、处理器资源和存储资源等，同时也把网络提供的服务分散到各 个对等点上，而无需依赖中央服务器或者集中的资源。简而言之，对等点既可以是服务器，叉可以 是客户端。这种模式与当今广泛使用的客户，服务器( c l i e n t s e r v e r ) 的网络模型形成鲜明对比。 2 1 2p 2 p 的演变 p 2 p 并不是新概念，早在1 9 6 9 年i n t e m e t 前身a r p a n e t 刚出现的时候，网络的应用模式就是 p 2 p 。a r p a n e t 上最早的主机包括u c l a 、s r i 、u c s b 和u t a h 大学的计算机系统，这些计算机系 统都是独立的而且是平等的，a r p a n e t 是以一种平等的方式把这些计算机系统连接起来，而不是 用m a s t c r s l a v e 或者是c l i e n t s e v e 的方式连接。 早期的i n t e m e t 比现在更加开放和自由。就通常意义而言，当时网络上任意两台计算机都可以给 对方发送数据包，网络就是人们进行协同研究工作的场所，不需要提防任何东西。而且当时的协议 和系统都针对专门应用设计，很少出现危及安全的入侵情况。 随着i n t e m e t 的发展、用户数量的急剧增加，网络的主流使用方式变成c l i e n f f s e r v e r 模式：客户 机建立一条连接到某一众所周知的服务器上，下载一些数据，然后中断连接。对于客户机而言，它 不需要拥有一个永久或者是众所周知的地址，也没有必要一直连接到i n t e m e t 上。 与此同时防火墙的发展，动态i p 地址使用的增长和网络地址转换的流行使i n t e m e t 的对称特 性发生改变。 防火墙是随着网络安全的需要丽诞生的。它处在内部网和i n t e m e t 之间，起到网关的作用。防火 墙的典型作用就是允许内部网的计算机与i n t e r n e t 中的计算机建立连接，但阻止i n t e m e t 中的计算机 与内部网的计算机建立连接。这种防火墙就像是一种单向的网关：可以连接出去但是不可以连接进 来。而且向外的连接往往被限制到某些端口。被这种方式保护起来的主机不太容易充当服务器。 随着越来越多的用户通过调制解调器拨号接入网络，给每台计算机分配一个固定i p 地址的做法 已经不可行了，而代之以动态m 地址。这样造成的后果是某些计算机的i p 地址每天都在变化，这 些计算机在i n t e m e t 上不容易被访问到。 网络地址转换( n a t ) 不仅没给计算机提供一个合法的公开地址，而且还把主机隐藏在防火墙 后面它综合了防火墙和动态i p 的所有问题：主机地址不仅不是固定的，而且是不可访问的。所造 成的后果是损失了应用程序之间通信的灵活性。 2 0 世纪9 0 年代末期，i n t e m e t 发展的另一个趋势也对p 2 p 应用程序带来新的挑战。那就是非对 称网络连接的发展。刚络带宽提供者为了得到更高的效率而决定提供非对称的带宽，往往是下行带 宽非常大而上行带宽非常小，a d s l 和c a b l em o d e m 的下行，上行带宽往往相差3 8 倍。这种做法 的根源在于w e b 是i n t e m e t 中的主要应用，绝大部分用户仅仅是w e b 的客户机，而不是服务器。即 东南大学硕士学位论文 第二章p 2 p 网络的安全性 使有部分用户想发布自己的网页也不会通过家庭宽带连接的方式来实现，而是通过第三方提供的专 用服务器来发布自己的网页。 这些因素都使得p 2 p 模型在i n t e r n e t 中越来越少见。但是p 2 p 并没有因此而消失，邮件服务器、 网络新闻服务器、d n s 服务器都可以看做是运行在对等网中，因为它们都可以既充当客户机，又充 当服务器。 从2 0 0 0 年开始，一个音乐文件共享的名为n a p s t e r l 3 1 的p 2 p 程序在网上广为流行，吸引了大量 用户。n a p s t e r 上所有共享的m p 3 文件都是由用户提供的，并保存在用户的计算机上，n a p s t e r 提供 了一个服务器来保存用户提供的m p 3 的目录以及用户的地址，用户可以在查询目录以后和那台计算 机直接连接。虽然n a p s t e r 并不是一个纯粹的p 2 p 应用，但是它利用了p 2 p 的优点，共享资源存储 在用户的计算机上，用户可以直接交换文件。服务器仅需提供目录，负担小，可以支持大量用户。 由于n a p s t e r 涉及到侵犯版权而导致它不得不退出历史舞台。但是它却使人们重新认识到p 2 p 模式 的巨大价值，推动了随后的p 2 p 应用的发展。 近几年，p 2 p 成为研究的热点，并在一些领域得到快速发展，如文件共享、网络文件存储系统、 对等计算、协同工作、即时通信、搜索引擎、网络游戏等。 2 1 3p 2 p 模式与c s 模式的比较 图2 - 1c s 模式与p 2 p 模式 c s 模式是目前i n t e m e t 上最流行的网络计算模式，图2 1 a 是一个典型的c s 模式的拓扑结构。 c s 结构具有如下特点： ( 1 ) 集中计算方式，信息和数据都保存在服务器端。只有服务器端具有控制能力客户端基本上只 是一个高性能的i o 设备。 ( 2 ) 服务器及网络的带宽决定了网络的性能。每台服务器所能提供的信息数量受到自身存储空间的 限制，而任意时刻它所能支持的客户端访问数量则既受到自身处理能力的限制也受到服务器所在网 络吞吐能力的限制。 ( 3 ) u r l 用来表示信息资源的地址，但是u r l 很少能直接体现所定位的信息的内容，甚至不能直 接链接到具体的内容上。 ( 4 ) 被发布信息的分布与生存期十分稳定。服务器只发布机器所有者想公之于众的信息，这些信息 将会在该服务器上稳定地保存一段时间，并且该服务器通常也不间断地运行在网络上。 ( 5 ) 被发布信息的存储与管理比较集中、规范。i n t e m e t 上所有可以公开访问的信息基本上都保存 在服务器上，服务器根据适当的算法和规则管理本地信息，应答客户端的访问请求或进行计算。 p 2 p 模式是非集中式结构的( 如图2 - l b ) ，它与c s 模式有明显的差别。 4 东南大学硕士学位论文第二章p 2 p 网络的安全性 ( 1 ) 每一个对等点具有相同的地位，既可以请求服务也可以提供服务，同时扮演着c s 模式中的服 务器和客户端两个角色，还可以具有路由器和高速缓冲存储器的功能，从而弱化了服务器的功能， 甚至取消了服务器。 ( 2 ) p 2 p 技术可以使得非i n t e m e t 用户很容易地加入到系统中。在p 2 p 的计算环境中任何设备 从大型机到移动电话，甚至是传呼机均可以在任何地点方便的加入进来。p 2 p 技术不仅可以应 用于目前有线的互联网络，同时该技术还可以应用于无线技术。 ( 3 ) 在p 2 p 模式的网络中，每一个对等点可以充分利用网络上其他对等点的信息资源、处理器周期、 高速缓存和磁盘空间。 ( 4 ) p 2 p 是基于内容的寻址方式，这里的内容不仅包括信息的内容，还包括空闲机时、存储空间等。 p 2 p 网络中，用户直接输入要索取的信息的内容，而不是信息的地址，p 2 p 软件将会把用户的请求 翻译成包含此信息的对等点的实际地址，而这个地址对用户来说是透明的。 ( 5 ) p 2 p 中的许多对等点通常没有固定的p 地址。并且可能常常从网络上断开。 ( 6 ) 信息的存储及发布具有随意性，缺乏集中管理。 通过上面的比较，可以看出p 2 p 模式相对于c s 模式的一些主要优点： ( 1 ) p 2 p 模式最主要的优点就是资源的高度利用率。在p 2 p 网络上，闲散资源有机会得到利用，所 有节点的资源总和构成了整个网络的资源，整个网络可以被用作具有海量存储能力和巨大计算处理 能力的超级计算机。c s 模式下，纵然客户端有大量的闲置资源。也无法被利用。 ( 2 ) 随着节点的增加，在c s 模式下，服务器的负载就越来越重，形成了系统的瓶颈，一旦服务器 崩溃，整个网络也随之瘫痪。而在p 2 p 网络中。每个对等点都是一个活动的参与者，每个对等点都 向网络贡献一些资源，如存储空间、c p u 周期等。所以，对等点越多，网络的性能越好，网络随着 规模的增大而越发稳固。 ( 3 ) 基于内容的寻址方式处于一个更高的语义层次，因为用户在搜索时只需指定具有实际意义的信 息标识而不是物理地址，每个标识对应着包含这类信息的对等点的集合。这将创造一个更加精炼的 信息仓库和一个更加统一的资源标识方法。 ( 4 ) 信息在网络设备间直接流动，高速及时，降低中转服务成本。 ( 5 ) c s 模式下的互联网是完全依赖于中心点服务器的，没有服务器，网络就没有任何意义。 而p 2 p 网络中，即使只有一个对等点存在，网络也是活动的，对等点所有者可以随意地将自己的信 息发布到网络上。 但是，p 2 p 也有不足之处。首先。p 2 p 不易于管理，p 2 p 网络中数据的安全性难于保证。因此， 在安全策略、备份策略等方面，p 2 p 的实现要复杂一些。另外，由于对等点可以随意地加入或退出 网络，会造成网络带宽和信息存在的不稳定。 2 1 4p 2 p 的应用 目前，p 2 p 技术韵应用主要包括如下几个方面1 2 1 ： 文件共享 p 2 p 技术使任意两台相连接的计算机直接共享文档、多媒体和其它文件成为可能。利用p 2 p 技 术，计算机之间可以进行直接交互，而不需要使用任何一台中央服务器。这就使得用户可以在网络 上更加广泛的共享文件。著名的应用有n a p s t e r 、g n u t e l l a 、f r e e n e t 等。 分布式计算 目前，p 2 p 技术已经相当成功的运用到分布式计算中去。分布式计算就是把原来需要超级计算 机处理的庞大任务进行分块，并通过位于系统控制中心的调度软件对分块的任务进行调度和管理， 分发给许多普通计算机来执行其具体运算操作，操作完成后再将结果返回给控制中心。自1 9 9 9 年开 5 查妻盔兰堡主兰垡堡兰一 苎三童丝! 堕垡竺室全丝 始，美国伯克利加利福尼亚大学的s e t i h o m e 研究计划就一直在使用p 2 p 计算方法来分析星际间 的无线电信号。 协同工作 协同工作( c o l l a b o r a t i o n ) 是指多个用户之间利用网络中的协同计算平台来共同完成某项任务， 共享信息资源等。g r o o v e 就是一个相当著名的p 2 p 协同工作系统。它能够实现消息通信、内容共享， 并提供了一系列工具用于合作。 即时通信 利用p 2 p 技术的即时通信产品已经被大众所接受和使用。网络中的两个用户可以通过直接连接 来实现文字、语音和视频聊天。著名的产品有腾迅的q q ，微软的m s n ，a o l 的i c q ，以及y a h o o ! 即时通。 搜索引擎 p 2 p 技术使用户能够深度搜索文档，而且这种搜索无需通过w e b 服务器，也可以不受信息文档 格式和宿主设备的限制，可达到传统目录式搜索引擎( 只能搜索到2 0 。3 0 的网络资源) 无可比拟 的深度。目前的应用有i n f r a s e a r c h ，p o i n t e r a 等。 2 2p 2 p 文件共享系统 在文件共享方面，p 2 p 发挥着它的优势：通过充分利用用户的资源( 如处理器、硬盘等) 来提 高共享系统的扩展性和容错能力，并提供有效的资源搜索机制。用户能够很方便的进行文件交换。 目前，p 2 p 文件共享系统已经出现了较为成熟的产品和技术。鉴于本文的背景，后面的讨论将针对 p 2 p 文件共享系统进行。 2 2 1 相关技术 下面针对p 2 p 文件共享系统，对一些相关的技术进行介绍。 n a p s t e r 在n a p s t e r d i 模型中，一群高性能的中央服务器保存着网络中所有活动对等点的动作信息及其共 享资源的目录信息。资源搜索和定位是通过中央服务器实现的。在获得资源信息以后，对等点直接 和目的对等点相连接，并开始文件传输。由于中央服务器不需要保存共享资源，因此与传统的c s 模式的文件共享系统相比，具有较好的扩展性。 g n u t e l l a 创建g n u t e l l a r l 最初的目的是把它作为搜索和传输信息的工具。后来形成了自己的协议规范和开 发接口，可以被用来创建p 2 p 应用程序。 g n u t e l l a 取消了以中央服务器为核心的目录式结构。网络中的每个点都与一组其它的点相连， 任何点都没有导致p 2 p 网络停止工作的资源。在网络中通过广播的方式进行资源搜索，因此相当耗 费带宽。 f r c c n e t f r e e n e t 【5 】也是一个通用的文件共享协议，它的主要目的是实现一个匿名的文件共享系统，支持 用户自由的发布和下载文件。f r e e n e t 的另一特点是支持存储资源的共享，文件的存储与操作者无关， 每个节点的操作者都不知道自己的机器上保存了什么文件，因此用户的行为不能被跟踪。 j x t a j x t a1 6 1 是s h 1 公司的一个开发源码项目，目的是提供一个通用的p 2 p 应用程序开发平台。它的 通用性体现在：互操作性和独立性，不依赖于操作系统、编程语言、网络协议和设备。程序员可以 6 查堕查兰堡主兰堕坚一 苎三童! 竺塑垒塑塞全竺 基于它开发p 2 p 应用程序，并且这些应用程序也具有通用性的特点。 2 2 2p 2 p 文件共享面临的问题 由于对等网缺乏集中控制，带来很多问题，比如对整个网络的管理、监控。而且对等点之间的 交互将占用更多带宽，这就使得在对等网实现中必须考虑有效节省带宽，避免网络的拥塞。下面对 用于文件共享的p 2 p 技术可能面临的问题进行简要介绍。 1 名字空间 目前，w e b 的名字解析工作由d n s 完成。在p 2 p 领域，目前还没有对应的机制。拥有d n s 名 称的计算机是静态的，而对等点要更为动态一些。现在还没有创建满足p 2 p 网络需要的统一名字空 间。 2 对等点发现 在对等网中，对等点不需要一直在线。它可以随时加入或者退出对等网。必须有效获知对等点 的加入和离开。 3 路由 对等网通常有自己的拓扑结构，所以基于i p 层的路由机制并不适合对等网。在一个大规模的对 等网中，路由算法的好坏将影响整个对等网及其上应用程序的性能。特别是在用于文件共享的时候， p 2 p 模式的路由技术通常是基于内容的路由，对搜索提供直接的支持，必须采用特定的路由算法。 4 搜索 由于对等网中的每个对等点都可以是信息的提供者，在一个大规模的对等网中，信息将分散在 整个网络中，而且数量相当巨大。虽然p 2 p 的特性使它可| 三l 缀容易支持分布式搜索，但是要在如此 庞大的信息中迅速发现特定的可用信息仍然是一件非常困难的事。 5 知识产权 在p 2 p 网络中由于缺乏内在的控制机制使得知识产权的问题越发突出。在一个有服务器的环境 下，身份认证和用户访问数据的授权变得相对简单。数据、认证服务和权限管理由服务器统一控制。 而p 2 p 分散了数据，使得知识产权的控制变得困难。 6 对称带宽 许多p 2 p 应用程序既运行客户端又运行服务器端，因此可能既占用上行带宽，又占用下行带宽。 而很多i n t e m e t 的服务提供商提供的下行带宽远远大于上行带宽，而且i s p 底层的基础构架仍只支持 非对称的带宽通道。 7 安全 由于p 2 p 缺乏集中管理使得用户的认证、授权变得相当困难，会导致一些恶意的攻击者进入网 络对合法用户进行攻击。 2 2 3 术语 目前p 2 p 并没有一个统一的标准，各种不同的系统也采用了不同的术语来描述系统中的元素。 这里针对文件共享应用，给出论文中将用到的术语。 对等点( p e e r ) 对等点是p 2 p 网络中的节点，它是p 2 p 解决方案中的基本处理单位。它可以是运行在一台计算 机上的一个应用程序；也可以是分布在多个机器上的应用程序：或者是一个p d a 。因此，把满足如 下条件的实体称为对等点：它能够完成某些有意义的工作，并且可以与网络中的其它实体直接或间 接通信，使得工作的结果能够传递到其它实体。 东南大学硕士学位论文 第二章p 2 p 网络的安全性 对等组( p e e rg r o u p ) 对等组是多个对等点的集合。这些对等点有共同的利益和目标，从而建立起能够服务于他们共 同的利益和目标的对等组。这些对等点称为对等组的成员，它们可以享受该对等组提供的服务，而 非成员对等点则不能获得这些服务。 服务( s e r v i c e ) 服务分为两种：对等点服务对等组服务。 某个特定对等点提供的服务称为对等点服务。一旦这个特定的对等点离开对等网，服务就成为 不可用的。 一个对等组提供的服务称为对等组服务。它是由对等组的多个成员提供的，因此也提供了这个 服务的冗余能力。只要有一个成员在对等网中，这个服务就是可用的。 代理( a g e n t ) 能够执行某些特定任务的对等点( 如第三章将提及的信任决定) 。如果一个对等组是为了给p 2 p 网络中的其它对等点提供服务，如认证、文件存储、网络监控等，那么这个对等组的成员就是用于 这种服务的代理。为了能够更好的描述这种对等点，使用代理来描述它们。 2 3p 2 p 文件共享系统的安全问题 安全问题是构建、实施、集成p 2 p 应用和产品所面临的重要问题。在c s 模式的网络中，有一 个固定的服务器负责处理来自客户的请求，网络中的通信基本上都要经过服务器。因此，可以通过 服务器端配置不同的安全方法和工具如日志、过滤、访问控制等来有效保障整个网络的安 全。然而，要在对等网中进行这样的配置是相当困难的，因为对等网没有一个固定的服务器，网络 通信分散在各个对等点上，而任何对等点都不需要对整个网络的安全负责。 p 2 p 文件共享系统涉及如下安全问题1 7 舻j 。 1 机密性( c o n f i d e n t i a l i t y ) 网络上存在的被动攻击者会窃听信道上传输的数据。因此要求对对等点间的传输的敏感数据加 密。可以使用对称加密算法如r c 5 d e s i d e a 。也可以使用非对称加密算法( 公钥) 。由于非对称加 密算法要占用较多的处理器时间。因此通常利用它来交换对称密钥。 对于对等组而言，单纯的加密并不是一个合适的方法。比如一个公司的成员需要召开一个网络 会议，会议的内容是保密的，每个人都能看到其他人的发言。在这种情况下，他们希望组成一个保 密的对等组，每个成员都共享一个密钥。对于一个生存期很短、规模很小的对等组，这个共享密钥 可以是事先商定，并且不会改变的。但是对于一个生存期比较长、规模比较大的对等组，这个密钥 应该是动态协商、定期更新的。它有点类似于组播密钥的协商和更新，但又不完全相同。 2 完整性( i n t e g r i t y ) 网络上存在的主动攻击者可能更改传输的数据，共享的文件可能含有病毒或木马，要求能够有 效鉴别传输的数据和共享的文件。通常的技术有散列函数、m a c s ( m e s s a g e a u t h e n t i c a t i o n c o d e s ) ， 或者是数字签名。 3 可用性( a v a i l a b i l i t y ) 在p 2 p 文件共享系统中，需要保证共享文件的可用性( 如果一个共享文件不能被访问，那它就 是不可用的) 。而且，系统中的每个对等点都可能( 或者必须) 提供服务，因此也需要保证对等点的 可用性。 一个晟典型的例子就是拒绝服务攻击( d o s ，d e n yo fs e r v i c e ) 。它能够通过增加负载的方法使 一个对等点和其上的资源不可用。常用的方法有耗尽该对等点的带宽，使其不能正确的接收和转发 消息：大量发送无用消息以至于超出了该对等点处理器的处理能力。 对于p 2 p 文件共享系统而言，共享文件的容错性是比较高的，因为在系统中通常存在一个文件 东南大学硕士学位论文第二章p 2 p 网络的安全性 的多个拷贝。然而，在一些需要保存分布式全局数据的应用中如需要在系统中保存分布式的索 引就必须考虑到分布式全局数据的容错问题。另外。虽然个别对等点的失效对系统的服务不会 造成很大影响，但是会影响与其直接相关的用户，因此，必须很好的保证对等点的可用性。 4 用户认证和访问控制 在c s 模式的网络中，服务器是可靠的，也是可信的，然而对等网却不能提供这样的保证。由 于对等组的成员是动态变化的，也即是说对等组中没有一个专门的对等点( 服务器) 用于用户认证， 那么当对等点想加入一个对等组时，谁对它进行认证和授权? 目前，针对对等网的分布式认证和授 权技术正在研究中。因此，在一些应用中仍然保留了认证服务器。还有一部分应用通过实旆较 强的访问控制来保证资源只能被认可的用户访问。 由于没有合适的认证授权机制，访问控制在这种系统中显得尤为重要。然而，在对等组中，资 源分散在很多对等点上，这就使得访问控制也必须分散在多个对等点上。如何保证这些对等点上的 访问控制策略协调一致就变得至关重要，这也正是对等网中访问控制的难点所在。 5 恶意对等点 这种对等点可以是对等网的合法用户，但是它不依照正确的方式参与对等网的活动。如提供描 述和实际内容不符的共享文件，甚至含有病毒或者木马；在参与搜索或路由的时候不正确的转发和 响应消息：或者不会正确保存必要的文档( 如基于d h t 分布式搜索需要的哈希表) 。 6 网络监控 在对等网中网络的流量分散在各个对等点上，传统的基于c s 模式的网络监控方式将不再适 用。需要找到一种方法能有效的收集和分析网络中的数据，使得在攻击发生的时候能够快速反应， 甚至是在攻击发生前就能有效预防。 7 增加安全风险 如果p 2 p 应用程序本身存在漏洞，如缓冲区溢出、后门，那么攻击者会利用它对系统进行攻击， 并以用户的主机为跳板，进入用户所在的管理域。另外，p 2 p 应用可能和管理域的安全策略冲突， 从而破坏原本完善的安全部署。比如一些p 2 p 应用允许突破防火墙。允许绕过防病毒网关a 8 用户缺乏安全意识 用户通常关注的是文件共享p 2 p 应用能够帮助他们方便有效的交换文件，而忽略了安全问题 比如在对等网中，共享文件能够很快的传播，那么对于缺少安全防范的用户，病毒和木马将很快侵 入他们的系统，并扩散到用户所在的局域网。 不可能要求每个用户都具有良好的安全知识。因此只有在p 2 p 应用中加入台适的安全策略， 以便用户能够很容易的配置和选择，从而保护用户的安全。 2 4 安全问题的解决方案 针对对等阏的安全问题，相关的研究一直在进行。一些传统的安全方法能够应用于对等网，有 效解决一部分安全问题。而针对p 2 p 安全的新技术也正在研究和实验中，并出现了一些模型。 2 4 1 安全协议 为了构建i n t e r n e t 的网络安全体系。针对t c p i p 协议族及其上应用层协议在安全性上的不足， i e t f ( i n t e r e c te n g i n e e r i n gt a s kf o r c e ) 制订了一些安全协议。其中，i p s e c 和t l s ( t r a n s p o r t l a y e r s e c u r i t y ) 已经形成了完善的规范，并进入应用领域。 l p s e c 的目的是把安全机制引入i p 协议。它工作在网络层，能够完全透明的为各种应用和用户 提供安全服务，是目前唯一一种能为任何形式的i n t e m e t 通信提供安全保障的协议。应用程序不需要 9 东南大学硕士学位论文 第二章p 2 p 厢络的安全性 做任何修改就可以使用i p s e c 提供的服务。 t l s 的基本设计目标是为两个通信实体之间提供数据的机密性和完整性。它位于传输层和应用 层之间，能够在i n t e r a c t 上提供保密通道以防止窃听、假冒和信息伪造。 i p s e c 提供的是端到端的网络安全传输能力，也即是如果一台主机应用了i p s e c ，那么它的所有 i p 包都处于i p s e c 的保护下。对于p 2 p 应用而言，一个对等点并不等价于一台主机，它通常是p 2 p 应用程序的一个进程，因此，端到端豹网络安全并不适用于p 2 p 应用。t l s 工作在传输层，通过应 用程序的支持来提供网络上两个应用程序通信的安全保障，更适合于p 2 p 应用。 t l s 目前的版本是1 0 ( r f c2 2 4 7 ) 。它是从n e t s c a p e 的s s l3 0 ( s e c u r es o c k e tl a y e r ) 发展而 来的。t s l 和s s l 的差别非常小，但是不能够相互操作。s s l 虽然广泛使用，但是从标准化的角度 考虑，仍然采用t l s 。 t l s 的协议分为两层：t l s 记录协议和t l s 握手协议。 t l s 记录协议建立在其它可靠的传输层协议( 如t c p ) 之上。t l s 记录协议提供的连接安全性 有两个基本特点： 该连接是保密的。在数据加密中使用对称密码算法。对于每个连接，都要根据另一个协议( 如 t l s 握手协议) 协商的秘密产生一个唯一的对称密码算法的密钥( 会话密钥) 。 该连接是可靠的。消息的传输使用了加密的m a c ( m e s s a g e a u t h e n t i c a t i o n c o d e ) 。在计算m a c 时，使用了安全的h a s h 函数( 如s h a ，m d 5 ) 。 记录协议用于封装高层的协议，如t l s 握手协议。握手协议使客户和服务器之间相互进行认证， 并协商加密算法和密钥。t l s 握手协议提供的连接安全性有以下三个基本特点： 对等实体可以使用公钥加密算法进行认证。这种认证是可选的，但是通常至少需要对一方进行 认证。 共享秘密的协商是安全的。 协商是可靠的。协商通信数据不会被篡改而不被发现。 t l s 协议的优势在于它对高层应用协议的透明性。应用层协议能透明的建立于t l s 协议之上。 同时t l s 协议不依赖于底层的传输协议，可以建立在任何能够提供可靠连接的协议上。 t l s 握手协议中的认证算法采用x 5 0 9 证书标准( 在2 4 2 1 将提及) 。而对于没有支持p ( p u b l i c k e yi n f r a s t r u c t u r e ，公开密钥体系结构) 的p 2 p 应用，采用握手协议不能完成其认证的功能。而t l s 记录协议不仅支持握手协议，还支持其它协议扩展，因此，可以根据需要弱化t l s 的认证功能或者 是采用其它认证手段。 2 4 2 数字证书 数字证书( c e r t i f i c a t e ) 是数字世界中信任关系的载体，依赖证书上第三方的数字签名，用户可 以离线确认一个公钥的真实性。数字证书作为一种数字标识，它的作用类似于身份证或护照。各类 终端实体和最终用户利用数字证书来实现网上信息交流和商务活动的身份证明。 数字证书利用现代密码学中的公钥密码技术，即利用一对互相匹配的密钥进行加密、解密。每 个用户拥有一把特定的仅为本人所有的私有密钥( 私钥) ，用它进行解密和签名：同时拥有一把向公 众公开的密钥( 公钥) ，用于公众加密和验证签名。当发送方发送一份保密文件时，使用接收方的公 钥对数据加密，而接收方则使用自己的私钥解密，这样就可以实现信息的安全通信。通过数字的手 段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。 在数字证书的具体应用中，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份 认证体制，能够保证信息除发送方和接收方外不被其它人窃取，信息在传输过程中不被篡改：发送 o 东南大学硕士学位论文 第二章p 2 p 网络的安全性 方能够通过数字证书来确认接收方的身份；发送方对于自己发送的信息不能抵赖。因此，数字证书 可广泛用于信息系统的各个领域，其范围涉及到需要身份认证及数据安全的各个行业。 用户可以离线确认一个公钥的真实性，使得数字证书能够较好的用于对等网中。对等点不依赖 于一个中央服务器就能够通过数字证书确认其它对等点的身份，并通过证书绑定的公钥实现传输数 据的加密和完整性鉴别以及其它安全功能。 数字证书的形式有很多种，不同证书所携带的属性亦不同。 2 421p p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 就是利用公共密钥理论和技术建立的提供安全服务的基础设施。 所谓基础设施，就是在某个大环境下普遍适用的系统和准则。p k i 体系结构采用证书管理公钥，通过 第三方的可信机构c a ( c e r t i f i c a t e a i l 恤o r i 啦) ，把用户的公钥和用户的其他标识信息( 如名称、e - m a i l 、 身份证号等) 捆绑在一起，在i n t e r n e t 网上验证用户的身份。 在p k i 中通常采用的是x 5 0 9 证书。它是由一可信的c