（计算机软件与理论专业论文）p2p网络安全模型的研究与设计实现.pdf

摘要 p 2 p 网络是近年来业界研究与关注的一个焦点，它在很多领域都得到了应用， 未来发展空间很大。但是，p 2 p 网络发展过程中，也产生了一系列急需研究和解决 的问题，安全就是其中最重要的问题之一。由于p 2 p 网络自身的特点使得在p 2 p 网络环境中解决安全阀题十分复杂。早期的p 2 p 网络应用基本没有考虑安全因素； 后来发展的一些p 2 p 网络应用系统，虽然有自己的安全机制，但是不具有通用性， 而且安全功能有限；当前一些较好的开发平台也只是为开发安全的应用系统提供 一定支持。因此，需要设计更为完善的安全模型。 本文在国家高技术研究发展计划“p 2 p 网络安全关键技术研究”项目的支持下 主要完成了以下几个方面的工作：首先研究p 2 p 网络的体系结构、特点和应用， 对p 2 p 网络关键应用的安全性进行分析，归纳出p 2 p 网络应用的一般安全需求， 并总结出信任关系是p 2 p 网络应用的核心安全需求；然后对目前的p 2 p 网络开发 平台进行了比较，分析了j x t a 平台的优势，研究了j x t a 平台的体系结构、核心 协议以及安全技术，分析了j x t a 平台的安全性；并研究了信任管理系统，分析了 p 2 p 网络中信任关系的特点，总结了信任管理系统的研究现状以及在p 2 p 网络中 面l 临的问题，深入分析了适合分布式环境的s p k i s d s i 理论；最后提出了一个基 于信任管理系统的p 2 p 网络安全模型s a p 2 p ，并且基于j x t a 平台，采用面向 对象技术设计并实现了该模型。 关键词：p 2 p 网络，安全模型，j x t a 平台，信任管理系统，s p k i s d s i a b s t r a c t p e e r - t o p e e rn e t w o r ki san e t w o r km o d e lr i s i n g i nr e c e n t y e a r s ，a n di s n o wt h e f o c u so fr e s e a r c h e sa n da t t e n t i o n s s e c u r i t yi s ac r i t i c a la n dc e n t r a lc o n c e mf o ra l l n e t w o r km o d e l s p e e r - t o - p e e rn e t w o r k n o to n l yi n v o l v e st r a d i t i o n a ls e c u r i t yp r o b l e m s i n c l i e n t s e r v e rn e t w o r km o d e l 。b u ta l s of a c ean u m b e r o f n e ws e c u r i t yi s s u e st h a ta r en o t t y p i c a li nc l i e n t - s e r v e r n e t w o r k b e c a u s eo ft h ef e a t u r e so fp e e r - t o p e e rn e t w o r k ，i ti sv e r yc o m p l e xt o s o l v e s e c u r i t yi s s u ei np e e r - t o p e e rn e t w o r kc o n d i t i o n s h o w e v e r , s e c u r i t y h a sn o tb e e nt a k e n i n t oc o u n ti ne a r l yp e r i o do fp e e r - t o p e e rn e t w o r ka p p l i c a t i o n s ，a n dn o w a d a y sm o s to f g o o d p e e r - t o - p e e rn e t w o r ka p p l i c a t i o nd e v e l o p m e n tp l a t f o r m so n l yp r o v i d es o m e d e g r e e do fs u p p o a t od e v e l o ps e c u r ea p p l i c a t i o n s t h e r e f o r e ，i ti sn e c e s s a r yt od e s i g n m o r ee x c e l l e n tp e e r - t o p e e rn e t w o r k s e c u r i t ym o d e l t h i st h e s i si n v e s t i g a t e ss o m ea s p e c t so fp e e r - t o p e e rn e t w o r kw i t he m p h a s i so n s e c u r i t yi s s u e t h em a i n r e s u l t sa n dc o n t e n t sa r ea sf o l l o w s ： 1 o nt h eb a s i so f t h ei n t r o d u c t i o na n dr e s e a r c ho f p 2 pn e t w o r ka n di t sa p p l i c a t i o n s ， t h es e c u r i t yo ft h r e et y p i c a lp 2 p a p p l i c a t i o n s i sa n a l y z e d t h e nt h ed e t a i l e ds e c u r i t y r e q u i r e m e n t s a r e g i v e n f u r t h e r m o r e ，t h e c o m m o ns e c u r i t y r e q u i r e m e n t s o fp 2 p a p p l i c a t i o n sa r ec o n c l u d e d ，a n d i ti sp o i n t e do u tt h a tt r u s ti st h ec o r e r e q u i r e m e n ta m o n g a 1 1 2 f i r s t l y , s o m ep o p u l a rp e e r - t o p e e rn e t w o r ka p p l i c a t i o nd e v e l o p m e n tp l a t f o r m s a r ec o m p a r e d ，a n di ti sp r e s e n t e dt h a tj x t a p l a t f o r mh a v et h ea d v a n t a g eo v e rt h eo t h e r t h e nt h et h e s i si n t r o d u c e st h ea r c h i t e c t u r e ，m a i nc o n c e p t s ，a n dc o r ep r o t o c o l s ，a n d r e s e a r c h e st h es e v e r a lk i n d so ft e c h n i q u e su s e di nj x t ai nd e t a i l ，a n da n a l y z e st h e s e c u r i t yo fj x t ap l a t f o r m ；s e c o n d l y ，t r u s tm a n a g e m e n ts y s t e mi sr e s e a r c h e d ，t h e f e a t u r e so ft r u s ti np e e r - t o p e e rn e t w o r ka r ea n a l y z e d t h e nc u t e n tr e s e a r c h e so i lt r u s t m a n a g e m e n ta r ei n t r o d u c e d , a n dt h ei s s u e sw h i c ht r u s tm a n a g e m e n ts y s t e mf a c e si n p e e r - t o - p e e rn e t w o r ka r ec o n c l u d e s p k i s d s it h e o r yt h a t a d a p t st ot h ed i s t r i b u t e d e n v i r o m n e n ti sd e e p l yr e s e a r c h e d 3 o nt h eb a s i so fr e s e a r c h e so nt h ec o r r e l a t i v et h e o r y , t h i st h e s i sp r e s e n tat r u s t m a n a g e m e n ts y s t e mb a s e dp e e r - t o - p e e rn e t w o r ks e c u r i t ym o d e l - - s a p 2 p , a n db a s e do n j x t a p l a t f o r md e s i g n sa n di m p l e m e n t si tb yu s eo f o b j e c t o r i e n t e dm e t h o d k e y w o r d s ：p 2 pn e t w o r k ，s e c u r i t ym o d e l ，j x t ap l a t f o r m ，t r u s tm a n a g e m e n ts y s t e m ， s p k i s d s i 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中做了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：g 小i 彰只期：o 。s 。j 、l 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文和使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印或其它复印手段保存论文。( 保密的论文 在解密后遵循此规定) 本人签名 导师签名 药j 绞j 截j f 摩 日期：如多，m 日期：d s 1 ，i 伊 第一章绪论 第一章绪论 本章简要介绍了p 2 p 网络的发展，概括了p 2 p 网络安全问题的研究现状，分 析研究p 2 p 网络安全问题的意义，最后介绍了课题背景和本文所做的主要研究工 作，并给出了本文内容安排。 i i p 2 p 网络的发展 p 2 p 即p e e r - t o - p e e r 。通常也称为对等弼“，p 2 p 网络技术主要指由硬件形成 连接后的信息控制技术，其代表形式是软件。从技术角度看，p 2 p 是新的应用技 术模式。2 0 世纪7 0 年代中期，源于局域网中文件共享的p 2 p 网络技术就开始流 行起来，但是限于p c 机的性能，并基于易管理性和安全性考虑，后来发展的基 于t c p i p 协议之上的软件大多采用了c s ( 客户端服务器) 模式的结构，比如 浏览器和w e b 服务器，邮件客户端和邮件服务器等。随着w e b 服务需求的增长， 人们感到有必要直接控制、改变和共享资源。9 0 年代后期，p c 机的性能在速度 和处理能力上突飞猛进，人们开始意识到可以将服务器软件放在单独的p c 上， 而且可以在p c 机之间初始化全双工的信息流，这就导致了p 2 p 网络技术的复兴。 2 0 0 0 年用于共享m p 3 音乐的n a p s t e r t 软件与美国唱片界的一场官司将p 2 p 网络 技术重新带回人们的视线。继n a p s t e r 之后，各种基于p 2 p 网络的应用风起云涌， 文件交换方面比较有代表性的有；c m u t e l l a 、f r e e n e t l s l 等；对等计算方面有： s e t i h o m e t 9 】项目使用一个屏保程序占用大约1 0 0 万台c p u 的空闲时间，循环 分析寻求外太空生命过程中所产生的数据；协同工作方面有：i n t e l 内部处理器开 发工具n e t b a t c h 旧】允许工程t ) i l i l f 利用没有使用的1 0 0 0 0 台遍布全球的i n t e l 公司工 作站为芯片的设计执行计算机仿真，在1 0 年里已经为i n t e l 节省了约5 亿美元， g r o o v e j 贝0 是应用相当广泛的企业级协同工作软件。 i b m 为p 2 p 下了如下定义：p 2 p 系统由若干互联协作的计算机构成，且至少 具有如下特征之一：系统依存于边缘化( 非中央式服务器) 设备的主动协作，每 个成员直接从其他成员而不是从服务器的参与中受益；系统中成员同时扮演服务 器与客户端的角色；系统应用的用户能够意识到彼此的存在，构成个虚拟或实 际的群体。p 2 p 网络是互联两整体架构的基础，与互联网最常见的t c p i p 协议相 比并没有客户端和服务器的概念，在通讯过程中，所有的设备都是平等的一端。 到目前为止，p 2 p 应用系统的发展历程，大致可分为三个阶段，第一个阶段 是以n a p s t e r 、f r e e n e t 和g n u t e l l a 等为代表的文件共享系统，这一类系统取得了 极大的成功，直接带来了p 2 p 技术的复兴，第二阶段以g r o o v e 、s e t i h o m e 西安电子科技大学硕士研究生学位论文：p 2 p 踊络安全模型的研究与设计实现 以及即时通讯软件等为代表，p 2 p 开始进入企业应用，应用系统也不再局限于文 件共享，而是出现了各种各样的应用，如：对等计算、协同工作、分布式搜索等。 第三阶段以j x t a e l 2 1 等基础平台为代表，p 2 p 技术逐渐平台化和标准化，进一步 走向成熟和完善，开始大规模的企业应用。 经过初期的热潮后，目前p 2 p 技术已经进入一个稳定的发展期，s u n 、i n t e l 、 m i c r o s o f t 和i b m 等大公司，都投入很大力量到p 2 p 的研究和开发中。2 0 0 0 年8 月i n t e l 、i b m 和h p 等公司发起成立了p 2 p 工作组，日标集中在p 2 p 技术标准、 安全性及可靠性等，但目前p 2 p 工作组已经和全球网格论坛( g c f ) 合并，成立 了统一的分布式计算标准组织。 相对于国外来说，国内p 2 p 发展要滞后许多，基本处于以文件共享和即时通 讯为主的阶段，现有的应用系统大多与n a p s t e r 或g n u t e l l a 相类似，主要应用于 娱乐领域，如：k u r o 、b t 下载软件等。但是，近年来国内p 2 p 网络的研究与应 用逐步兴起，吸引了众多的研究机构和研究人员从事这项工作，以点击科技为代 表的企业已经致力于开发企业级的应用系统，并取得不错的成效，同时也有一些 研究机构着力于p 2 p 基础平台的研究和开发。 i 2p 2 p9 5 l 络安全问题的研究现状及重要意义 当前。p 2 p 网络的应用非常广泛，如文件共享、对等计算、协同工作、即时 通讯等，这些应用给广大用户带来了极大的便利和享受，取得了很大的成功。但 是，同任何一种新兴技术一样，p 2 p 网络还不够成熟和完善，存在着很多亟待解 决的问题，如：路由问题，信息检索问题，带宽占用问题，知识产权问题和安全 问题等等。在上述问题中安全是各种p 2 p 网络应用都必须面临的一个关键问题， 而且在很大程度上决定了p 2 p 网络应用的迸一步发展。然而，由于p 2 p 网络自身 的特点，使得安全问题在p 2 p 网络中非常难以解决，可以说是p 2 p 网络中最关键、 最迫切的一个问题1 1 t 5 。 早期的p 2 p 应用系统并没有考虑很多的安全问题，如：n a p s t e r 不能保证共享 内容确实是m p 3 文件，曾经发生过用户将其他类型文件伪装成m p 3 文件进行传 输的事例，s e t i h o m e 虽然对节点进行评估，但还是发现有节点对系统进行了 欺骗。后来发展的一些p 2 p 网络应用系统，如g r o o v e 等，虽然都有自己的安全 机制，但是它们都是针对特定的应用，不具有通用性，而且安全功能有限，不能 成为p 2 p 网络安全问题的通用解决方案。随着p 2 p 应用的发展，各大公司陆续稚 出p 2 p 应用开发平台，如：i n t e l 公司的p t p t l 岫】和s u n 公司的j x t a 等这些平 台中已经提供了对安全方面的支持，包括：终端认证、安全存储、加密和电子签 第一章绪论 名等安全功能，但这些只是为开发安全的应用系统提供一个基础，还有待于在此 基础上设计完善的安全解决方案。 p 2 p 安全问题既有c s 结构网络中的传统安全问题，又有p 2 p 网络中特有的 新的安全问题，这主要是由于p 2 p 网络和应用的特点而产生的。p 2 p 网络的最大 特点是网络结构从集中式转变为分散式，集中控制可以解决目前网络中多数安全 问题，而在分散式环境中，不仅存在目前网络环境同样的安全威胁，也带来了动 态环境中如何保障资源和系统安全的新课题。如果还解决不了这些问题，那么， p 2 p 网络的发展将受到严重的制约。 1 3 课题介绍 本人的研究工作得到了国家高技术研究发展计划( 8 6 3 计划) ( 2 0 0 3 a a l 4 2 1 5 0 ) “p 2 p 网络安全关键技术研究”项目的支持。 该项目的目标为：为p 2 p 网络的关键应用( 对等计算和协同工作等) 开发安 全平台。并对基于p 2 p 网络的典型应用( 即时通) 的监控技术进行研究，对主流 即时通软件( i c q 、m s n 、y a h o om e s s e n g e r ) 提出可行的监控方案a 其中p 2 p 网络安全平台课题的要求是：分析p 2 p 网络应用的安全性及其安全 需求，研究p 2 p 网络安全平台j x t a 的架构、协议和安全性，研究p 2 p 网络信任 管理系统，并基于j x t a 平台和信任管理系统理论提出并设计一个通用的p 2 p 网 络安全模型，该模型需要满足p 2 p 网络关键应用的安全需求。 1 4 本文的主要研究工作和内容安排 本文的主要工作和内容安排如下： 第一章：主要论述了p 2 p 网络的发展， 络安全的重要意义。 第二章：首先介绍了p 2 p 网络的应用， 性，归纳了p 2 p 网络应用的一般安全需求。 p 2 p 网络安全的现状，和研究p 2 p 网 然后分析了p 2 p 网络关键应用的安全 第三章：首先对目前的p 2 p 网络开发平台进行比较，分析了j x t a 平台的优 势，介绍了j x t a 平台的体系结构、重要概念和核心协议，对j x t a 平台目前采 用的安全技术进行研究，分析了j x t a 平台的安全性；然后介绍了信任管理系统， 分析了p 2 p 网络中信任关系的特点，总结了信任管理系统的研究现状以及在p 2 p 网络中面临的问题，深入分析了适合分布式环境的s p k i s d s i 理论；最后提出了 一个基于信任管理系统的p 2 p 网络安全模型s a p 2 p ，分析了模型的设计目标， 给出了整体架构和功能描述。 4两安也子科技人学碟j 一科究生学位论文：p 2 p 网络安全模型的研究与设计实现 第四章：首先采用面向对象技术从对象模型、动态模型和功能模型三个方面 对安全模型进行系统分析：然后阐述了模型的设计思想，对安全模型的总体设计、 主要功能包的设计和认证与授权过程设计进行了详细的描述。 第五章：主要介绍了p 2 p 网络安全模型关键模块和认证与授权过程的实现， 并对s p k i 证书处理模块做了简要说明。 第六章对全文做了总结，并指出了下一步工作的方向。 第二章p 2 p 网络应用安全需求分析 第二章p 2 p 网络应用的安全需求分析 本章首先概述了p 2 p 网络的体系结构，分析了p 2 p 网络的特点，介绍了p 2 p 网络的应用；然后对p 2 p 网络关键应用的安全性进行分析：最后归纳出p 2 p 网络 应用的一般安全需求，并指出信任关系是p 2 p 网络应用的核心安全需求。 2 1p 2 p 网络 2 1 1p 2 p 网络的体系结构 一般来说，根据实现的功能，将p 2 p 网络的协议栈分成若干层，每层完成相 对独立的功能。目前不同的研究人员在划分的具体细节上有所不同，通过研究比 较，基本上可以分成四层，自下向上依次为：网络连接层、p 2 p 中间层、p 2 p 服 务层和p 2 p 应用层。如图2 1 所示 p 2 p 应用层 ( t o o l s 、a p p l i c a t i o n s 、s e r v i c e se t c ) p 2 p 服务层 ( s e c u r i t y 、r e l i a b i l i t y 、r e s o u r c ea g g r e g a t i o ne t c ) p 2 p 中间层 ( d i s c o v e r y 、l o c a t i n g 、r o u t i n g ) 网络连接层 ( t c p i p 、b l u e t o o t h 、w l a ne t c ) 图2 1p 2 p 网络体系结构示意图 网络连接层：为p 2 p 中间层提供可靠的网络连接。可以是t c p i p 的传输层， 或其它任何能够提供可靠数据传输的网络结构，如：无线网络、蓝牙等。 p 2 p 中间层：是p 2 p 系统的核心层。因为这一层包括了p 2 p 系统中最根本的 东西，如：对等点，对等组，以及对等点发现、定位和路由的算法等。此外，穿 透防火墙和n a t 的机制也处在该层。 p 2 p 服务层：包括对于p 2 p 网络很通用的一些功能如：安全、内容管理、资 源整合和可靠性等。这些服务将对具体的p 2 p 应用提供支持，如：内容管理服务， 可能会包括网络中内容的标识、索引、查找以及缓存等。该层中的安全服务是至 关重要的，它必须对上层提供核心安全服务。 p 2 p 应用层：是在服务层的基础上的各种具体的应用系统，可以是应用开发 工具、具体应用程序，或者向用户提供的具体服务。 2 1 2 p 2 p 网络的特点 覆盖网络( o v e r l a y n e t w o r k s ) 【1 7 】是建立在已存在的个或多个网络之上的一 西安屯子科技大学硕士研究生学位论文：p 2 p 髓络安全模型的研究与设计实现 个间接的或者是可视化的抽象。利用覆盖网络，可以在不修改已存在的软件协议 和网络的底层结构的情况下，快速地添加新的网络功能。p 2 p 网络可以看作是建 立在现有网络结构之上的一个覆盖网络，它的网络结构如图2 2 所示。 图2 2p 2 p 虚拟网络结构示意图 这样的覆盖网络结构有如下的特点： ( 1 ) 节点具有自治性：节点并不完全受制于系统，相对于整个系统而言， 它具有很多自定义的性质。这其中包括安全策略的制定和系统提供的服务和资源。 ( 2 ) 网络结构是分散化的：p 2 p 网络中没有能够对网络进行集中控制的中 心节点。即使网络中有少量服务器，它们也不能成为网络结构的中心点，因为这 些服务器是被弱化的，无法对网络中的活动和操作进行管理和控制。 ( 3 ) 网络是动态的：各节点加入和退出网络的时间是动态的，这也造成了 网络拓扑是动态的。 ( 4 ) 网络连接是跨平台、跨域的：p 2 p 网络建立在可靠的连接层基础之上， 并不限定具体平台。不同的节点属于不同的管理域，在不同域的节点可以直接通 信。因此，p 2 p 网络节点可以建立在台式机、笔记本以及手持设备等各种通信工 具之上。 ( 5 ) 网络具有可配置性：p 2 p 网络的组成结构，可以由程序员或用户来完 成。例如：在j x t a 中用户可以自定义组，具有相同兴趣的用户可以加入同一组。 这样整个网络就被划分成不同的组，组的划分是由程序员和用户来决定的。 2 1 3p 2 p 网络的应用 目前，p 2 p 网络的应用领域越来越广泛，例如：网络社区、电子商务、游戏、 协同工作、搜索引擎、病毒防护、边界服务等等。根据国内外p 2 p 网络应用的发 展现状，从功能角度来说，可以将目前的p 2 p 网络应用主要划分为：对等计算、 第二章p 2 p 网络应用安全需求分析 7 文件共享、协同工作、信息检索和即时通讯等几个方面，下面分别介绍： ( 1 ) 对等计算 对等计算可以充分地把网络中多台计算机暂时不用的计算能力结合起来，使 用积累的能力执行超级计算机的任务。本质而言，对等计算就是网络上c p u 资源 的共享。目前，最成功的应用实例是：s e t i h o m e 。 ( 2 ) 协同工作 协同工作是指多个用户之间利用网络中的协同计算平台来共同完成某项任 务，共享信息资源等。采用p 2 p 技术，任意两台p c 之间都可建立实时联系，创 建安全、共享的虚拟空间，进行交互活动。比较有代表性的应用实例是：g r o o v e 。 ( 3 ) 文件共享 传统的w e b 方式中，要实现文件交换需要w e b 服务器的大力参与，通过将 文件上传到某个特定的网站，用户再到该网站搜索需要的文件，然后下载。而在 p 2 p 网络中，每个用户都可以直接发布共享信息，使大范围的文件交换变得极为 容易。这些应用系统有：n a p s t e r 、g n u t e l l a 和f r e e n e t 。 ( 4 ) 信息检索 p 2 p 网络技术使用户能够深度搜索文档，而且这种搜索无需通过w e b 服务器， 也可以不受信息文档格式和宿主设备的限制，可达到传统目录式搜索引擎无可比 拟的深度。这使p 2 p 网络技术成为当前的一个热点技术，如：著名的搜索引擎公 司g o o g l e ”】宣称要采用p 2 p 网络技术来改进其搜索引擎。 ( 5 ) 即时通讯 即时通讯也应用了p 2 p 技术，他比通过电子邮件的传输更加便捷和快捷，现 在已经非常流行。如采用p 2 p 技术的a i m 1 9 、m s nm e s s e n g e r 2 们、y a h o o ! m e s s e n g e r t 2 ”、和国内的q q t 2 2 1 等软件，允许用户进行在线多方讨论，可以传送文 本、语音和图像等。 此外，p 2 p 网络在边缘服务、智能代理和广域网络存储系统等方面都有应用。 当然以上的应用决不是p 2 p 仅有的应用，p 2 p 还有很多种应用等待人们去发掘和 探索。 2 2p 2 p 网络关键应用的安全性分析 在众多的p 2 p 网络应用中，对等计算、协同工作和文件交换三个方面是最有 价值和最有应用前景的，但是目前这些应用都面临着严重的安全问题，下面分别 进行分析。 ! 翌窒皇兰型垫查兰翌主! 塑竺兰些兰兰：垦! 翌竺室全堡型塑竺茎皇堡生墨型一 2 2 1 对等计算的安全性分析 对等计算主要是集合使用网络系统中计算机的富余计算能力，为计算用户提 供灵活、安全、可靠的计算资源。典型的对等计算实例是s e t i h o m e 项目，每 个对等计算点下载s e t i h o m e 的客户端屏幕保护程序，并从s e t i ) i o m e 总部 获取数据，就可以进行计算，计算结果再传回总部数据库。 一般对等计算应用系统的主要成员包括：计算用户、分布式计算、管理员和 桌面用户。计算用户指定并提交计算任务( 应用程序、数据等) ，经确认后，这些 工作成为分布式计算，任务完成后，计算用户查看并接受计算结果。管理员负责 设置和发布分稚式计算系统，主要内容有：创建用户帐户、用户授权、计算资源 的分配和管理等。桌面用户提供分布式计算资源，他们以正常方式使用自己的机 器，应该感受不到分布式计算在他们的机器上运行时的影响。 图2 3 显示了对等计算各成员之间的交互过程及主要的安全需求，下面对此 进行具体分析。 对计算用户 的标识、认 旺和授权 计算用户 管理 管理员l 椎鳖 一管窖 烈网产 设置j 应用程l 筹憎 审计l 陧审l 萎余了鬻i 誉檗 叫嚣震每茬荸凳舞 | 7的机密性、完整性一 图2 3 对等计算成员间关系及主要安全需求 对等计算中的各系统成员要共同完成对等计算任务，相互间必须有高度的信 任。一般而言，管理员需要最高的可信度，他可以定义系统成员之间的信任关系 策略，计算用户必须信任管理员的管理和服务，同时信任分布式计算系统，桌面 用户需要的可信度最低，其它成员难以相信它。 “安全”对系统中不同的成员有不同的含义，对计算用户而言，就是准确地 把计算任务提交给系统，并从系统中获得正确的计算结果，对敏感的计算任务还 需要确保内容不被泄漏，这就需要系统确保计算用户的应用程序、数据和结果在 提交、执行和传输的过程中不被篡改、泄漏和截取。对桌面用户而言，就是在本 机上执行的对等计算应用程序不会对本地系统造成影响和伤害，这就需要系统确 第二章p 2 p 网络应用安全需求分析 保对等计算程序不会出现重大“b u g ”、恶意代码和病毒，以及不会非法访问资源。 对管理员而言，就是能够有效地控制和管理系统，使系统有序高效地运行。这需 要系统对计算用户、分布式计算程序和计算资源的管理提供支持，包括计算用户 和分布式计算程序的标识、认证、授权，以及计算资源的访问控制和使用审计。 对等计算系统还必须面临网络上的各种安全威胁，如：恶意监听、计算机病 毒，以及各种攻击。这些威胁表明了系统平台、应用程序、数据通信的完整性， 以及计算资源使用审计方面的危险。 根据以上分析，对等计算应用的安全需求主要包括： ( 1 ) 系统中各成员之间信任关系管理。 ( 2 ) 对分布式计算的保护。主要指保证分稚式计算的形成、运行和提交过 程中的代码、数据以及结果的正确性、完整性和机密性。 ( 3 ) 对计算用户和桌面用户的管理。系统中的所有用户必须进行标识、认 证，并对计算用户访问系统资源进行授权。 ( 4 ) 对分布式计算应用程序的管理。系统中进行分布式计算的应用程序应 该进行标识和认证，并确保他的执行不会对桌面用户的安全产生影响。 ( 5 ) 对计算资源使用的审计。系统应该能够对计算资源的分配、使用和回 收进行审计。 2 2 2 协同工作的安全性分析 协同工作通常是指对等点为完成某一特定的任务形成一个群组，他们相互共 享资源、即时交互，而且协作系统中的一个用户可以在同一时刻将一个信息多点 传送到若干个用户。在p 2 p 协同工作方面，目前最成功的系统是g r o o v e 网络平 台。g r o o v e 引入了共享安全空间的概念，在共享安全空间里，包含了用户共享的 文件和程序。 协同工作应用模型中的主要成员包括：制作者、消费者和管理员。通常，协 同工作由少量制作者组成， 赴- f 主动访问共享白板或发起即时交互，而对于大量 的消费者，他们仅仅接受这些共享内容。管理员除负责协作系统的日常维护外， 必要的时候可以控制交互会话以及整个协作系统。 协同工作的过程就是各成员间相互共享内容、即时交互的过程，他们相互问 的信任是进行这一过程的前提。而所需的信任水平则高发依赖于活动的特殊性和 内容的敏感性。通常，制作者比消费者需要更高程度的信任，管理员也需要高水 平的信任度。 图2 4 显示了协同工作各成员之间的交互及主要的安全需求。对制作者而言， 所关心的安全问题主要是共享内容的访问控制和即时交互内容的机密性、完整性。 这就需要对消费者进行认证和授权，确保相互之间通信的机密性和完整性。对消 ! ! 望窒皇兰型苎查兰婴主竺塑竺兰垡丝苎! ! 竺翌竺窒全塑型箜! 壅兰兰兰兰兰一 费者而言，安全问题主要是它接受的共享内容的安全性，这就需要它对制作者的 信任。管理员对系统的管理主要是对制作者和消费者的管理，包括他们用户身份 倭l ， 磅擢鞫 圃鬣鬯兰b 掣 管理目“ 消费 、墅堕里一 i 通信的机密性，完 整性和不可否认性 消费者 图2 4 协同工作成员间关系及主要安全需求 协同工作中，人们关心的往往是具有某种属性的人所能参与的工作，而不关 心具体的人，所以除基于标识的认证外，还需要基于用户属性的认证。协同工作 中用户、站点和资源可能是分离的，处于不同的组织或安全域，他们之间应该能 够进行相互的认证，所以需要支持不同的认证方法，如：数字证书、公钥密码和 基于口令的认证等。类似于基于属性的认证，系统在决定用户对资源的可访问性 时，往往关心的是用户的角色，所以需要基于角色的访问控制。由于节点的自主 性，除强制访河控制外，系统还需要支持节点的自主访问控制。 协同工作也面临和i n t e m e t 上的其它应用程序类似的安全威胁，如：窃听、 篡改、伪装和拒绝服务攻击等，这些威胁需要通过网络上的安全通信来解决。协 同工作的安全需求具体包括： ( 1 ) 系统成员信任关系管理。应该能够根据内容的敏感性，决定信任关系 的程度。 ( 2 ) 系统用户身份的建立。应该为系统用户建立唯一的、可认证的数字身 份。 ( 3 ) 灵活多样的认证机制。同时支持基于标识的认证和基于属性的认证， 支持不同强度的认证方法，支持节点间的双向认证。 ( 4 ) 基于角色的访问控制，以及系统强制访问控制和节点自主访问控制相 结合。 ( 5 ) 系统用户之间的安全通信。保证交互、共享的信息和数据的机密性、 完整性和不可否认性。 鬣 黧一 第二章p 2 p 网络应用安全需求分析 2 2 3 文件共享安全性分析 本文讨论的文件共享主要是指以自由交换和传播文件为目的的非商业化的文 件共享应用，主要强调各个对等点对整个网络的贡献和从网络获取文件的自由。 n a p s t e r 和f r e e n e t 是这一类应用系统的典型代表。 这类文件共享系统的主要成员就是一般的i n t e r n e t 用户，他们既是共享文件 的发布者和消费者，充当双重角色，部分用户可能充当系统管理员。用户在p 2 p 网络上共享自己的文件的目的只是传播和交换，因此只需确保非共享的内容不被 非法访问，不关注谁访问他的文件和访问了哪些文件。 文件共享应用各成员之间的交互以及主要的安全需求如图2 5 所示。这种文 件共享系统所需要的安全性不是很高。在信任关系上，系统信任发布者所发布的 内容是“真实”的，消费用户信任发布者，发布者和管理员对消费用户的信任度 没有特别的要求。但是，文件共享应用中信任关系管理仍然是十分必要的，系统 成员间上述信任关系的建立是保证系统可用性的基础。 同丽匝丽一 一壤嚣嚣嚣卜、 管理员 强茹襻一龋妻八 i 、遐雯蔓卜7 豫 、， 7 者) 文件传输一二，一 i 燮 图2 5 文件共享成员间关系及主要安全需求 文件荚享的威胁来自两个方面：共享文件的无效性和文件内容的真实性、完 整性。当发布者或消费用户有意或者无意地妨碍其它合法用户访问系统上的文件 时，则破坏了共享文件有效性，典型的情形是文件存储位置的过期失效和d o s 攻 击( 拒绝服务攻击) 。另外，管理员或文件发布机制本身应该适当地重复发布共享 文件，以便在文件的某些存储节点发生故障时，仍然能够保证共享文件的有效性。 文件内容的真实性和宛燕性是指文件实际内容和发布者所声称的相一致，并且能 够防止对文件内容的篡改，这就需要文件内容验证机制和访问控制。 此外，某些文件共享系统( 如f r e e n e t ) 对系统用户的匿名性有较高的要求， 某些共享文件内容还需要考虑版权问题。由上面分析，文件共享应用的安全需求 大致包括如下方面： ( 1 ) 必要的信任关系管理。可采用一些简单易行的信任关系管理系统，如： lfl憎愤，虱一鲥饿者虱 西安电子科技大学硕士研究生学位论文：p 2 p 网络安全模型的研究与设计实现 基于声望的信任管理系统。 ( 2 ) 方便易行的用户标识、认证和授权。一般采用自注册用户标识，基于 口令的认证方式即可。授权可由系统或个人根据用户对整个网络贡献的大小来决 定其访问权限。 ( 3 ) 保证共享文件的有效性、真实性和完整性。包括共享文件能够为用户 获取，共享文件的内容可验证为真实的，并且没有被篡改或截取。 ( 4 ) 系统成员的匿名性。包括发布者、存储者和获取者的匿名性，以及防 跟踪、防审察的能力。 ( 5 ) 某些共享内容版权识别。 2 3p 2 p 网络应用的安全需求 2 3 1p 2 p 网络应用的一般安全需求 虽然不同的p 2 p 网络应用的安全需求不尽相同，都有各自的特殊需求或不同 的侧重点，但是一些基本的安全需求是各应用所共同需要的，本文认为p 2 p 应用 的一般性的安全需求包括： ( 1 ) 信任关系 在分布式系统中，建立不同网络节点间的信任关系是建立系统安全的一个基 础。但是由于p 2 p 网络的特点，信任模型是p 2 p 网络应用中一个十分难以解决的 问题，这点将在2 3 2 小节做详述。 ( 2 ) 标识 对等用户必须能够通过标识建立唯一的、可验证的数字身份。如何选择或产 生标识将深刻影响到它们以后如何被验证和如何被用于访问控制。由于p 2 p 网络 的分散性，标识管理显得尤为重要，也较为困难。 ( 3 ) 认证和授权 网络用户必须能够通过网络远程，安全地验证一个对等点的标识，并通过授 权控制对本地资源和服务的访问。由于p 2 p 网络的分散性、自主性和对等性，p 2 p 应用需要采用本地的、自主的和双向的认证和授权。 ( 4 ) 机密性和完整性 机暂陛和完整性是指数据和信息在存储、传输过程中必须确保不被菲授权用 户读取和篡改。它霄】提供了对用户迸行篡改、重发等主动或被动攻击下的保护。 虽然不同的应用对以上安全需求会进行选择或者有不同的要求，但本文认为 这些安全需求是最基本的，是p 2 p 应用系统所必须提供的安全服务。 第二章p 2 p 网络应用安全需求分析 2 _ 3 2p 2 p 网络应用的核心安全需求 在任何一个有一定规模的分布式应用中信任关系都是重要的，在p 2 p 网络应 用中，信任关系显得更为重要。这主要表现在如下两个方面： ( 1 ) p 2 p 网络应用的特殊性使得信任关系必不可少，主要原因如下： 首先，在p 2 p 网络的各种应用中，无论是对等计算、文件共享，还是协 q q - 作，其应用环境都是复杂而不可控的i n t c r n e t 环境，如：s e t i h o m e 项目的桌面 用户遍布全球，在不安全的网络环境下区分可信对象和不可信对象是保证安全的 基本要求。 其次，p 2 p 网络应用中，各用户往往可以扮演多重角色，具有很大的自主性 和对等性，管理员难以进行管理和控制，所以p 2 p 网络应用的顺利进行更有赖于 用户间的相互信任。 再者，部分p 2 p 应用追求匿名性、自由自主和零开销的目的，使得信任关系 成为系统可用性的保证。如：文件共享系统中相当一部分文件是伪造或失效的， 通过建立基于声望的信任管理系统就可以对系统用户评定信任等级，信任等级高 的节点成为首选，从而提高了系统可用性。 ( 2 ) p 2 p 网络的特点决定了p 2 p 应用中信任关系难以建立，这主要是因为： 首先，p 2 p 网络结构是分散化的，没有集中的中心点，也没有层次化的组织 结构，这意味着难以采用类似于统一的p k i 体系的集中式信任管理。 其次，p 2 p 中网络节点是动态的，加入和退出网络的时间是动态的，从而难 以选定一个固定的节点充当可信第三方。 再者，p 2 p 网络具有可配置性，节点具有自主性，可以自定义组，并制定各 自的安全策略，使得某一种信任关系管理难以满足p 2 p 应用的要求。但如果采用 多种信任关系管理系统，又面临统一和相互兼容的问题。 因此，在上述p 2 p 网络应用的一般安全需求中，作者认为信任关系是最基本、 最核心的安全需求，是保证p 2 p 网络应用安全的关键。 第三章安全模型的理论基础 第三章安全模型的理论基础 本章首先对目前的p 2 p 网络开发平台进行比较，分析了j x t a 平台的优势， 介绍了j x t a 平台的体系结构、重要概念和核心协议，对j x t a 平台目前采用的 安全技术进行研究，分析了j x t a 平台的安全性；然后介绍了信任管理系统，分 析了p 2 p 网络中信任关系的特点，总结了信任管理系统的研究现状以及在p 2 p 网 络中面临的问题，深入分析了适合分布式环境的s p k i s d s i 理论；最后提出了一 个基于信任管理系统的p 2 p 网络安全模型一一s a p 2 p ，分析了模型的设计目标， 给出了整体架构和功能描述。 3 1p 2 p 网络开发平台的研究 为了解决p 2 p 网络应用中面临的安全问题需要设计实现一个完善的p 2 p 网 络安全模型。但是目前的p 2 p 网络应用开发尚不规范，存在着许多不同的协议、 体系结构和实现方法，没有统