（计算机系统结构专业论文）基于p2p模型的分布式安全平台设计.pdf

华中科技大学硕士学位论文 摘要 随着网络应用规模的扩大和网络性能需求的提高，越来越多的网络应用都从集中 膜式向分布模式转变。因此，采用网络边缘单点安全控制，应用固定客户端服务器的 打，扑结构来构建安全平台的传统技术就日益凸显其缺陷和不足。基于p 2 p 模型的分布 戎安全平台是一个全新的构思，可以弥补以上的缺陷与不足。p 2 p 安全平台的设计以 可靠性和安全性为目标，同时也兼顾到跨平台功能和互操作性等多种特性。j p 2 p 安全平台由任意多个责任和能力相对平等的独立实体构成，他们根据共同的 必趣组成对等体组，任意对等体可以向其他对等体或对等体组提供服务，从而构建起 结构相对松散自由但又不至于混乱无序的体系结构。借鉴分布式防火墙的优点，结合 f ：面的结构特点，每个对等体各自都具备一个规则执行器来执行安全规则，从而实现 皇全防范。 p 2 p 安全平台的协议族，从安全和可靠性上规范对等体之间的交互传输。协议族 的设计按照分层的策略，便于以后的扩展。随后，平台安全特性的系统分析和没汁， 对消息传输的完整性和机密性提供了可靠的保障。 使用j a v a 语言编程来实现上述设计，以充分利用j a v a 的跨平台特性：运用j a v a r v l l 技术来构建分布式组件，以屏蔽下层的软硬件坏境：采用x m l 文档格式束封装 消息，同时应用x m l 的模式来对报文进行校验，以保证实现可靠性。 最后通过可靠性和安全性分析，基于p 2 p 模型的分布式安全平台的安全可靠性不 仪在理论上得到证明，在实践上也是完全可行的，有着广泛的应用前景。、i _ 关键词：分布式安全平台，对等网i 对等体，对等体组，安全规则 华中科技大学硕士学位论文 a b s t r a c t a st h es c a l eo fn e t w o r ka p p l i c a t i o ne x p a n d sa n dt h ep e r f o r m a n c ed e m a n dg r o w su p ， m o r ea n dm o r en e t w o r ka p p l i c a t i o n sd e v e l o pf r o mc e n t r a l i z a t i o nt od i s t r i b u t i o n t h u s t r a d i t i o n a ln e t w o r ks e c u r i t y t e c h n o l o g y ，w h o s es e c u r i t y d e v i c ei ss e to nt h e e d g e o f n e t w o r ka n dw h o s ei n f r a s t r u c t u r ei ss t r i c tc l i e n t s e r v e rm o d e ，e x p o s e sm o r ed e f e c t sa n d d i s a d v a n t a g e s t h i st h e s i sp r o v i d e san e wm e c h a n i s m ，ad i s t r i b u t e ds e c u r i t yp l a t f o r m b a s e do np e e r t o p e e rm o d e l t h es e c u r i t y p l a t f o r ma i m st oi m p l e m e n tr e l i a b i l i t ya n d s e c u r i t y , p l u si n t e r o p e r a b i l i t ya n df l e e o f - o p e r a t i o ns y s t e m f i r s t l y t h e p l a t f o r m i s c o m p o s e d o f p e e r s t h a ta r ea u t o n o m o u sa n d o p e r a t e d i n d e p e n d e n t l yo f a l lo t h e r s a p e e rg r o u p i sac o l l e c t i o no f p e e r st h a th a v eac o m m o ns e to f m t e r e s t s ap e e rc a np u b l i s ha sm a n ys e r v i c e st h a ti tc a np r o v i d es ot h ei n f r a s t r u c t u r eo f t h i sp l a t f o r mi se n s u r e dt ob el o o s eb u to r g a n i z e d c o m b i n d e dw i t ht h ea b o v ef e a t u r e sa n d a d v a n t a g e so fd i s t r i b u t e df i r e w a l ls y s t e m ，e a c hp e e ri sc o m p o s e dw i t har u l ep o l i c y m a c h i n et or u ns e c u n t yr u l e i n a d d i t i o n ，a s e to f p r o t o c o l i s d e s i g n e dr e l i a b l y a n d s e c u r e l y t of o r m u l a t e c o m m u n i c a t i o na m o n gp e e r s i t ss c h e m ei sh i e r a r c h i c a ls ot h a ti tc a r lb ee a s i l ye x t e n d e d f o l l o w e di sas y s t e m a n a l y s i s a n dd e s i g ni n s e c u r i t y o ft h i s p l a t f o r m t o i m p l e m e n t c o m p l e t i o na n ds e c r e c yo f m e s s a g e t r a n s f e r d u r i n gt h ei m p l e m e n t a t i o n ，j a v ai su s e dt op r o g r a ms ot h a tt h i ss e c u r i t yp l a t f o r mc a n r t l nf r e eo f o p e r a t i o ns y s t e m j a v ar e m o t em e t h o di n v o c a t i o nt e c h n i q u ei se x c e e dt oc r e a t e & s t r i b u t e dc o m p o n e n ts ot h a tl o w e rs o f t w a r ea n dh a r d w a r ef e a t u r e sc a nb eh i d e d b e s i d e s ， a l l m e s s a g e sa r ef o r m a a e di nx m l d o c u m e n ta n dv e r i f i e db yx m l s c h e m a ，w h i c ha i m st o e n s u r er e l i a b i l i t y a sac o n c l u s i o n ，b ya n a l y z i n gt h ea s p e c t so fr e l i a b i l i t ya n ds e c u r i t y , t h i sd i s t r i b u t e d s e c u r i t yp l a t f o r mb a s e do np e e r t o - p e e rm o d e li sp r o v e dt ob es e c u r ea n dr e l i a b l ei nt h e o r y a n d p r a c t i c e ，t h e r e f o r em a y b et h en e x tg e n e r a t i o ns e c u r ep l a t f o r mi nn e a rf u t u r e k e y w o r d s ：d i s t r i b u t e ds e c u r i t yp l a t f o r m ，p e e rn e t w o r k ，p e e r ，p e e r g r o u p ，s e c u r i t yr u l e i i 华中科技大学硕士学位论文 1 1 网络安全技术的现状与发展 1 绪论 信息正日益成为推动社会发展的资源和动力，网络则是他的基石，通过网络可以 佗分布在不同地理区域的信息实现共享、提供远程服务，这极大的提高了效率。信息 和网络服务的广泛分布和高度共享、对信息资源的拥有和提供多种信息服务成为企业 竞争的重要一环。然而有许多具有私密性的信息资源如工业情报、商业机密、个人隐 私部需要不同程度的安全保护。i n t e r _ n e t 网成为最大的也是最成功的信息媒体，在 给科学研究和资源共享带来极大便利的同时，由于其本身结构上存在着安全隐患而严 重制约了网络的进一步发展，随着网络规模的不断扩大，利用i n t e r n e t 网的缺陷 进行犯罪的事件也r 益增多。站在新世纪之初，人们不得不重新审视网络安全问题， 钉对现今出现的各种变化多端、不胜枚举的网络攻击，制定出新的对策。 当前国际上实现网络安全，其主导思想和工具就是防火墙”1 、加密f s _ 9 1 和身份认 证，在具体实施时经常多种联合运用。传统意义上的防火墙用于限制被保护的网络与 互联网络之问，或者与其他网络之间相瓦进行信息存取和传递操作，它所处的位置在 内部网络与外部网络( 很多时候就是因特网) 之间。实际上，所有以前出现的各种不 同类型的防火墙，从简单的包过滤到应用层代理以至自适应代理，都基于一个共同的 假没，那就是防火墙把一端的用户看成是可信任的，而另一端的用户则都被作为潜在 的攻击者【i o - 1 2 1 来对待。这样的假设是整个防火墙机制工作的基础，但最近几年随着各 种网络技术的发展和各种攻击情况的出现，我们需要重新来探讨一下传统类型防火墙 的问题。 防火墙依赖于物理上的拓扑结构，它从物理上将网络划分为内部网络和外部网 络，这一点影响了防火墙在虚拟专用网( v p n ) 上的应用，因为根据v p n 的概念， 它对内部网络和外部网络的划分是基于逻辑上的，而逻辑上同处内部网络的主机可能 存物理上分处内部和外部两个网络【l ”j 。 传统意义上的防火墙拥有单一的接入点，在这个唯一的接入点对内部网络和外部 华中科技大学硕士学位论文 l t q 络之间的信息传递进行控制。从性能的角度来说，防火墙极易成为网络流量的瓶颈： 叭网络可达性的角度来说，防火墙也是整个网络中的一个脆弱点。 此外，现在的防火墙设置一般都基于i p 地址，因而一些内部主机和服务器的i p 地址的变化将导致设置文件中的规则改变，也就是说这些规则的设定受到网络拓扑的 刮约。随着i p 安全协议的逐渐实现，如果分处内部网络和外部网络的两台主机采用 j p 安全协议进行端到端的通信，防火墙将因为没有相应的密匙而无法看到i p 包的内 1 本，因而也就无法对其进行过滤。由于防火墙假设内部网络的用户可信任，所以一旦 有内部主机被侵入，通常可以容易地扩展该次攻击。当然防火墙作为一种网络安全机 制，不可否认它具有许多优点，其中最重要的是它能够提供外部的安全策略控制，但 是对于以上的这些问题，传统意义上的防火墙都很难解决的。 另一方面，主动网的概念的提出给我们带来了新的契机。d a r p a 于1 9 9 4 - 1 9 9 5 筇，在讨论网络系统发展方向中最早提出了主动网络u 6 1 的概念，他主要是着眼于主动 网络的体系结构和主动分组的安全性而提出的。传统的“被动”网络仅负责在终端系 统之间进行数据转发，并不对数据内容进行调整和改动，他的内部处理机制仅限于路 h 、拥塞控制和q o s ，特别是如果要等待新的技术应用往往要等某种协议标准制定、 推广、实施，而这确实是个漫长的过程，可能会落后于用户的需求。主动网的提出开 辟了新的前景，有利于增强网络内部设备的处理能力，可以根据用户的需求具有针对 性的定制网络。 主动网的应用主要包括防火墙、w e b 代理、多播、移动代理等。m i t 名为a c t i v e 【p o p t i o n 的研究项目将主动网系统直接构建在【p 层。m i t 的另一个项目a n t s ( a c t i v en e t w o r k t r a n s p o r ts y s t e m ) 则提供了一个用j a v a 语言编写的主动网模型。宾 州大学和b e l l c o r e 开发了s w i t c hw a r e 体系结构，目前正在开发称为c a n a l 和基于服务 管理的主动网编程语言技术。哥伦比亚大学的n e t s c r i p t 侧重于编程语言的研究。b b n t e c h n o l o g i e s 的s m a r tp a c k e t 计划也在进行主动网络编程语言、网络管理诊断和安全 性研究。国际上知名的主动网研究项目还有：亚里桑那大学的l i q u i ds o f t w a r e 计划、 哥伦比亚大学的d e l e g a t i o n p a r a d i g m 、卡耐基梅隆大学的d a r w i n 工程、m i t 的a r m ( - k c t i v er e l i a b l em u l t i c a s t ) 和m o 、华盛顿大学的d a n ( d i s t r i b u t e dc o d ec a c h i n gf o r a c t i v e n e t w o r k s ) 等。与国外相比，国内对主动网的研究开展的还不多。 主动网络概念的提出为网络节点的动态可编程提供了个平台，这种可编程性也 华中科技大学硕士学位论文 带求新的安全威胁，是传统的网络安全技术不能避免的这里我们就引入了分卉j 式安 企系统的概念，下面介绍的分布式防火墙就在保留传统的防火墙优势的同时，减小了 他对于物理拓扑结构的依赖，把安全网从网络的出口处延伸到了网络的内部。 1 2 分布式防火墙的体系结构 首先介绍几个与分布式防火墙 1 7 - 2 0 1 有关的概念： 1 安全中心( s c ) 主要负责规则的制定和发送； 2 被保护主机( s h ) 最终接受并执行安全规则的主机； 3 规则执行器( r p m ) 他是一个中间机构，从上层机构获取规则，向下层 的机构( 下层被保护主机或者是下层的规则执行器) 发送规则： 4 规则描述语言( r l ) 用来描述哪些连接是允许的，哪些是禁止的。 分布式防火墙工作的原理很简单，首先由安全中心通过编译器将规则描述语言转 换成内部格式，形成策略文件；然后中心将采用系统管理工具把策略文件分发给各台 “内部”主机；“内部”主机得到策略后根据策略来判定是否接受收到的包。 图1 1 分布式防火墙的体系结构 其中的安全中心对应的不只是一组被保护主机，可能他包含不同安全级别的用户 组，称之为安全组。所谓安全组，就是对安全级别要求相似的受保护主机在逻辑上的 一种分组。从而在整个安全中心机构以下以一种树的形式进行管理。安全中心机构只 对其直属主机进行保护，每个直属主机又可以有多个下属分支，以达到对每一个合法 用户的所有安全要求的满足。不同的用户按照不同安全级别，将分散到不同的组中， 通过向各个组的上级节点直接发送安全规则，并执行安全规则来实现主机安全保护。 3 华中科技大学硕士学位论文 整个系统的体系结构参看上图1 1 。 3 分布式系统的安全研究的必要性 分布式系统具有脆弱性【2 l 】，也可能面临来自各方面的威胁，所以分布式系统应该 具备自身的保护机制，不依赖外界。脆弱性是指由系统设计本身所引起的系统崩溃的 r j 能性，他来自于系统内部：威胁性是指一个或某公司通过某种方法试图破坏系统， 他来自系统外部环境。当威胁真正发生时就构成了侵犯。 以上面提到的分布式防火墙系统为例，由于规则的具体执行是在受保护主机上进 j j 的，所以原来由于使用防火墙而带来的网络速度的瓶颈问题得到了根本的解决，并 儿在传统防火墙中存在的内部攻击问题也得到了根本的解决，也就是说解除了传统防 吵：墙对于网络拓扑结构的依赖性。但是分布式防火墙在整个受保护对象以及保护者 一一即受保护主机与防火墙之间存在的是一种松散耦合的组织关系，任何一个恶意的攻 击i 者都可能冒充这个系统中的成员，截获数据报，篡改后发送给报文的接收者，这是 典型的中间人攻击。这种攻击在安全中心向被保护主机发送规则语言的时候特别危 险，一旦规则按照攻击者的意图被篡改，那么防火墙就对攻击者完全无从防范，攻击 者进入被保护网络就如入无人之境。还有猜测密钥攻击、报文重放攻击等多种恶意的 攻击都对分布式防火墙系统造成了安全威胁。除去恶意的攻击，恶劣的网络状况也会 导致分布式防火墙系统无法正常实施安全防卫。网络拥塞可能造成新的规则无法到达 被保护主机，系统中的各个节点的状态不能同步，就无法对整个受保护主机群实施防 ，。综上所述，必须在系统内部建立一套安全机制来确保系统自身的安全和可靠。 华中科技大学硕士学位论文 2 设计分布式系统的典型技术与模式 概括地说，分布式系统是由多个相互连接的处理资源组成的计算系统，它们在整 个系统的控制下可合作执行一个共同任务，最少依赖子集中的程序、数据或硬件。这 些资源可以是物理上相邻的，也可以是地理上分散的【引1 。分布式系统是在网络的基础 ：发展起来的，按照使用的计算机网络以及其组成的计算机种类的不同可分成同构型 分伟式系统和异构型分布式系统。异构型分布式系统是由若干不同的计算机和网络的 硬件或软件系统互连而成：同构型分布式系统则是由相同的计算机和网络的硬件和软 件组成。 21 分布式系统的特征 分布式系统的主要特征有： l资源共享：包括软、硬件资源的共享； 2 开发性：包括系统的可扩展性、可移植性和互操作性： 3并发性：资源共享上有两种并发性要求：多用户同时发出命令并与机器交互， 多个服务器进程并发运行，分别响应不同的客户请求： 4 容错性：两个基本的容错方法，硬件冗余和软件恢复； 5 、透明性：包括访问透明性，位置透明性，并发透明性，副本透明性，故障透 明性，迁移透明性，性能透明性，规模透明性，其中最重要的是访问透明性和位置透 明性，他们直接影响到分布式系统的表现。 2 2 分布式对象技术 由于二分布式系统结构的多样性，涉及不同的系统体系结构，异构是不可避免的。 在这样的异构环境下实现信息和软件资源的共享将十分困难，而一个健壮的分布式框 架将为分布式应用软件的开发带来巨大的好处。随着面向对象技术的进一步发展，出 现了分布式对象技术。分布式对象技术主要是在分布式异构环境下建立应用系统的框 华中科技大学硕士学位论文 策和对象，这样软件功能就可以包装为更易管理和使用的对象，这些对象可以跨越不 的软硬件平台进行互操作【2 2 】。目前主要的分布式互操作标准有o m g 的c o r b a ， s u n 的j a v ar m i ，m i c r o s o f t 的c o m d c o m 。 ：2 1c o r b a c o r b a 是由o m g ( o b j e c t m a n a g e m e n t g r o u p ，对象管理组织) 开发和维护的一 种开放的工业标准，跨越异种平台的基于对象的分布式应用体系结构参考模型【2 ”。他 解决了平台的异构性问题，并为解决数据库系统的异构性提供了基础结构。c o r b a 的核心o r b ( o b j e c t r e q u e s t b r o k e r ，对象请求代理) ，提供了一种对对象可以透明地 发出请求和接收响应的软件总线机制，使用户可以在不了解实现交互细节的情况下， 建立共享资源的应用，从而能充分利用分布的、可以互操作的对象构造可以互操作的 应用系统。c o r b a 的标准主要分为三部分：接口定义语言( i d l ) 、对象请求代理 一o r b ) 以及o r b 之间的互操作协议i i o p 。 22 2j a v a r m i 技术 j a v ar m i ，是s u n 公司的基于j a v a 软件的分布式对象的1 0 0 纯j a v a 实现技术。 基fj a v a 的对象机制，它提供了一种简单、直接的分布式应用系统的实现模式。j a v a r m i 的平台无关性是通过m ( j a v a v i r t u a l m a c h i n e 。j a v a 虚拟机) 来实现的，也就 是说只要分布于网络中的客户机和服务器都运行m ，就可以使用j a v ar a m i 机制在 客，。程序和服务器程序间相互调用方法，实现信息传输【2 3 1 。r m i 实际上并没有中间件 企业对象的概念，而是采用r p c ( r e m o t ep r o c e d u r ec a l l ，远程过程调用) 机制，使 分布对象可以通信和协同工作。j a v ar m i 最大的优势是他允许能够象传递简单类型数 据一样直接进行整个对象的传递，这也是其他的分布式技术所没有的。如今，j a v ar m i 已可以在i i o p 协议之上，实现远程调用机制，从而使得开发人员从以往的底层通讯 工作中解脱出来，专注于高端应用的实现。 6 华中科技大学硕士学位论文 ：2 3c o m d c o m 技术 c o m 是微软关于组件化软件开发的技术规范，也是m i c r o s o f t 许多软件的基础【2 “。 其核心是定义软件中的可重用部分，每一部分组件都有其特定的界面和所能提供的服 务，提供跨越编程语占和操作系统来访问组件对象的通用途径，使软件以组件方式集 成成为可能。c o m 技术同样使用r p c 机制，使客户可以调用远程组件的方法，实现 分南式应用。 d c o m 则可以说是一种通信协议，提供组件通信的底层控制，能够使位于不同计 算机上的c o m 对象相互通信，关于这些计算机是在局域网、广域网，还是i n t e m e t z 中，则不用考虑，也就是说d c o m 技术实际上就是微软用来实现c o m 对象的位置 透明性的【2 3 1 。而且d c o m 是c o m 技术的无缝扩展，这样对于现有的基于c o m 的应 t 目j 、组件以及工具等都易于实现向分布式计算领域的迁移，这样既保护了客户的已有 投资，也使应用系统能适应现代技术的需要。 2 ，2 4 三种技术的分析 从技术本身来看，d c o m 和c o r b a 都制定了相似的服务体系，实现的功能也相 差不多。由于d c o m 和视窗操作系统的自然结合，使其在对象管理、安全控制方面 具育相对较强的优势，这也是d c o m 技术之所以具有较强竞争力，并首先在i n t e r n e t t 丰富起来的原因之一。尤其是c o m d c o m 的安全控制与对象实现相对独立，直接 利用操作系统的安全控制规则，大大简化了开发人员的编程控制工作。d c o m 的主要 缺点在于其对平台无关性的支持能力。不过在实际应用中，c o m 对象往往以后台应 用的形式为客户提供服务，这使得对象在设计与实现时异常不利于编程人员的调试工 作。w i n d o w s 的虚拟用户工作平台往往会隐含去d c o m 对象的潜在错误，如在d c o m 对象中使用消息窗口则很可能造成应用程序服务器暂停执行的灾难性故障。此外，虽 然微软利用d c o m c n f g 提供了对d c o m 对象的安全管理，但通过使用s o c k e t 连 接应用程序服务器，则可成功旁路其安全验证。 c o r b a 一开始就是众多o m g 成员共同制定的操作规范，整个服务体系相对完 整，也易于编程控制。由于其具有语言、操作系统和硬件平台无关等特点，使它最容 华中科技大学硕士学位论文 埸将大甚的遗留应用和c + + 、s m a l h a l k 对缘轻松集成在一起。应用c o r b a 的名称服 务，可使编程人员不象d c o m 那样往往需要直接使用对象的g u i d ( 全球唯一标识符 号) ，而是仅仅利用对象的名称就可以轻松实现客户与c o r b a 对象的连接，大大降 低了编程的难度。c o r b a 标准在结构标准实现的灵活性、跨语言能力、跨平台实现 及安全性等方面的综合对比中都优于d c o m 和j a v ar m i ，所以它往往成为真f 的丌 放式结构应用程序的首选标准。但由于c o r b a 不象d c o m 技术那样属于操作系统 的一部分，用户在使用时需要辅助的应用软件来支撑，而目前市场上的中间件，如前 文提及的几种c o r b a 产品等，功能完善但价格都比较高，增加了客户投资，免费的 c o r b a 产品，如t a o 等，提供的功能还不尽完善。目前，c o r b a 与j a v ar m l 逐 步融合，大大加速了c o r b a 的发展。 j a v ar m i 的优势除了对象传递外，就是其绝对的平台无关性，由于目前j a v a 语言 已成为i n t e m e t 上占绝对优势的广泛应用的程序语言，所以基于i n t e m e t 的多操作系统 乎台应用系统来说，其优势所在是d c o m 和c 0 r b a 所不能及的。但l o o 纯j a v a 语言要求编程人员必需熟知此语言，而不象d c o m 和c o r b a 那样，编程人员可以 有较多地自主选择。 2 3 分布式网络计算模式 网络计算( n e t w o r kc o m p u t i n g ) 实际上是指以网络为中心的计算，或是基于网络 的计算，它是把计算功能和负荷合理地分配到联网的各计算机上【2 4 1 。所谓网络计算模 ，就是完成网络上的一个计算任务或应用服务占用共享资源的形式和使用共享资源 的方式。目前，客户机服务器模式( c l i e n t s e r v e r ) 是现在比较流行的网络计算模式， 对等网模式( p e e r - t o p e e r ) 就是本文将要应用到的一项新技术。 2 3 ，1 客户机l l t 务器结构 8 0 年代后期和9 0 年代初，随着数据库技术和局域网技术的发展，客户机j j f l 务器 ( c l i e n t s e r v e r ，简称c s ) 结构应运而生。c s 结构具有如下特点： 1 集中计算方式，信息和数据都保存在服务器端。只有服务器端具有控制能力， 华中科技大学硕士学位论文 客户端基本上只是一个高性能的设备； 2 服务器及网络的带宽决定了网络的性能。每台服务器所能提供的信息数量受 到自身存储空间的限制，而任意时刻它所能支持的客户端访问数量则既受到自身处理 能力的限制也受到服务器所在网络吞吐能力的限制： 3 u r l 用来表示信息资源的地址，但是很少能直接体现所定位的信息的内容， 甚至不能直接链接到具体的内容上； 4 被发布信息的分布与生存期十分稳定。服务器只发布机器所有者想公之于众 的信息，这些信息将会在该服务器上稳定地保存一段时间，并且该服务器通常也不间 断地运行在网络上； 5 被发布信息的存贮与管理比较集中、规范。互联网上所有可以公开访问的信 息基本上都保存在服务器上服务器根据适当的算法和规则管理本地信息，应答客户 端的访问请求或进行计算【2 4 1 。 2 3 2 对等网结构 2 3 2 1 对等网的概念 对等网( p e e r - t o p e e r 即p 2 p ) 是一种网络模型，在这种网络中所有的节点是对等 的( 称为对等点) ，各节点具有相同的责任与能力并协同完成任务【2 引。对等点之间通 过直接互连共享信息资源、处理器资源、存储资源甚至高速缓存资源等，无需依赖集 中式服务器或资源就可完成。这种模式与当今广泛使用的客户端服务器( c s ) 的网 络模式形成鲜明对比，c s 模式中服务器是网络的控制核心，而p 2 p 模式的节点则具 有很高的自治性和随意性。随着像n a p s t e r ，g n u t e u 水7 】这种信息共享应用程序变得 越来越流行，p 2 p 技术受到人们的广泛关注。 从互联网的发展历史上看，p 2 p 并不是个全新的概念。t c p i p 是现代互联网整 体架构的基础，但在t c p i p 中并没有客户端和服务器的概念，所有的设备都是通讯 中平等的一端。早在3 0 年前许多公司的计算结构就可以划分到现在的p 2 p 中，只不 过 i j 于带宽及处理能力等的限制，使得人们在沟通中出现了很多中间环节，如中间服 务器、导航网站、第三方信息( 交易) 平台等。现在，廉价的计算能力、网络通讯能 力计算机的存碚能力强有力地推动了这项技术的迅速发展。 9 华中科技大学硕士学位论文 实际匕，p 2 p 模式中也并不一定是完全无一- p 心的，它可分为纯粹的和混合两类。 纯粹的模式是指所有参与的计算机都是对等点，各对等点之问直接通讯，自始至终究 命没有中心服务器对对等点间的信息交换进行控制、协调或处理。而混合模式则依赖 0 二中心服务器去执行某些功能。 2 ，3 2 2 对等网的特征 1 每一个对等点具有相同的地位，既可以请求服务也可以提供服务，同时扮演着 c s 模式中的服务器和客户端两个角色，还可以具有路由器和高速缓冲存储器的功能， 从而弱化了服务器的功能，甚至取消了服务器： 2 p 2 p 技术可以使得非互连网络用户很容易地加入到系统中。在p 2 p 的计算环境 。p 任何设备从大型机到移动电话，甚至是传呼机均可以在任何地点方便地加 进来。p 2 p 技术不仅可以应用于目前有线的互联网络，同时该技术还可以应j 日于无 线计算技术： 3 在p 2 p 模式的网络中，每一个对等体可以充分利用网络上其他对等体的信息资 源、处理器周期、高速缓存和磁盘空间； 4p 2 p 是基于内容的寻址方式，这里的内容不仅包括信息的内容，还包括空闲机 时、存储空问等。p 2 p 网络中，用户直接输入要索取的信息的内容，而不是信息的地 址，软件将会把用户的请求翻译成包含此信息的节点的实际地址而这个地址对用户 来说是透明的； 5 p 2 p 中的每一个对等体通常没有固定的i p 地址，并且可常常从网络上断丌： 6 信息的存储及发布具有随意性，缺乏集中管理。 2 3 2 3 两种计算模式的优缺点分析 从图2 1 ，图2 2 的体系结构为基础对两者的优缺点作如下的分析： l p 2 p 模式是非中心的全互连结构，它与c s 模式有明显的差别。通过上面的 比较，可以看出p 2 p 模式相对于c s 模式的一些主要优点； 2p 2 p 模式最主要的优点就是资源的高度利用率。在网络上，闲散资源有机会 得到利用，所有节点的资源总和构成了整个网络的资源，整个网络可以被用作具有海 量存锗能力和巨大计算处理能力的超级计算机。c s 模式下，客户端纵然有大量的闲 置资源，也无法破利用： 0 华中科技大学硕士学位论文 图2 ip 2 p 网络的体系结构 图2 2c s 网络的体系结构 3 随着节点的增加，c s 模式下，服务器的负载就越来越重，形成了系统的瓶颈， 一旦服务器崩溃，整个网络也随之瘫痪。而在p 2 p 网络中，每个对等体都是一个活动 的参与者，每个对等点都向网络贡献一些资源，如存储空间、c p u 周期等。所以，对 等点越多，网络的性能越好，网络随着规模的增大而越发稳固； 4 基于内容的寻址方式处于一个更高的语义层次，因为用户在搜索时只需指定 具有实际意义的信息标识而不是物理地址，每个标识对应着包含这类信息的节点的集 台。这将创造一个更加精炼的信息仓库和一个更加统一的资源标识方法； 5 信息在网络设备间直接流动，高速及时，降低中转服务成本： 6 c s 模式下的互联网是完全依赖于中心点服务器的，没有服务器，网络就 没肓任何意义。而p 2 p 网络中，即使只有一个对等点存在，网络也是活动的，节点所 有者可以随意地将自己的信息发布到网络上。 表2 1p 2 p 技术与c s 技术比较 p 2 p c ，s 数据发布好 差 数据接收 由 好 数据互动性 好 差 数据即时性( 传输速度) 好差 数据更新好 差 ! 数据质量( 价值) 由 好 ! 数据成本控制好 差 i 数据管理方便性差 好 华中科技大学硕士学位论文 但是，p 2 p 也有不足之处。首先，p 2 p 不易于管理，而对c s 网络，只需在中心 r 进行管理：随之而来的是p 2 p 网络中数据的安全性难于保证。因此，在安全策略、 备份策略等方面，p 2 p 的实现要复杂一些。另外，由于对等点可以随意地加入或退出 网络，会造成网络带宽和信息存在的不稳定，上面的表2 1 就系统的比较了两者的特 2 3 3p 2 p 技术的典型应用 由于p 2 p 模式所具有的技术特点，很多计算机公司、研究部门都认为该技术蕴含 牟 巨大的商业和技术潜在价值，并从不同的角度应用和研究该技术。目前p 2 p 主要的 研究和应用【2 5 】有：文件交换、对等计算、协同工作、即时通讯、搜索引擎、网络游戏、 基于i n t e r n e t 的文件存储系统、基于i n t e m e t 的操作系统，还有对p 2 p 开发平台的研 究t 3 1 - 3 3 1 和p 2 p 安全框架的构建等。下面就简单的介绍一下其中的某些应用。 2 ，3 3 1 交换文件 文件交换这是p 2 p 最初的应用和基本功能之一，可以说文件交换的需求直接引发 了p 2 p 技术热潮。在传统的w e b 方式中，要实现文件交换需要服务器的大力参与， 通过将文件上传到某个特定的网站，用户再到某个网站搜索需要的文件，然后下载， 这种方式的不便之处不言而喻。在这种情况下，n a p s t e r 抓住人们希望通过互联网共 享音乐文件的需求，以p 2 p 模式实现了自由的文件交换体系，从而引发了网络的p 2 p 技术革命。通过来搜索和下载与传统的方式最大的区别就是你不是从其它网站的服务 器搜索与下载资源，而是从任何一个在线网友的机器里直接下载，当然其它网站的服 务器也可以看作是一个对等点，这样真正让个人电脑实现了与服务器平起平坐。文件 交换的需求也很自然地延伸到了信息的交换。例如在线拍卖就被赋予了新的形式，大 家不必到拍卖网站登记要卖的商品了，在自家的硬盘上建个商店就可以了。由此又呵 以延伸到，一切中介网站都可以被替代。目前的文件交换有三种不同的形式： 1 一种是“中心文件目录，分布式文件系统”，交换数据时是通过中央服务器来进 行目录管理的： ! 裱于完全的分布式结构，这类系统没有中间服务器。这类软件更接近于绝对 的t j 由。但另一方面因为没有中1 日j 服务器，这样形成的网络很难进行诸如安全管理、 华中科技大学硕士学位论文 = = = = = = = = = = = = = = = = = = = = = = ；= = = = = = = = 一 身份认证、流量管理、计费等控制； 3 第三类系统是上两类系统的折衷有中间服务器，但文件目录是分布的。 t 问服务器起的作用是让两个对等体进行握手，这种结构通过分布式文件系统，建立 完全开放的可共享文件目录，用相对的分布来兼顾安全和可管理性。 二3 3 2 对等计算 对等计算就是通过并行技术、分布技术将多个网络节点联合起来，利用闲散的资 源来完成大规模的计算任务。p 2 p 用于对等计算的优势在于每个对等点不再只是单纯 的接收计算任务，它还可以根据自己的情况( 比如分到的任务太多) 再搜索其他空闲 青点把收到的任务分发下去。然后中间结果层层上传，最后到达任务分发节点。对等 点之间还可以直接交换中间结果，协作计算。按照这种方式进行，可以合理整合闲散 的计算能力和资源，使得总体计算能力得到大规模提升，获得非常可观的计算性能价 格比。 2 1 3 3 3 协同工作 | 办同工作是指多个用户之间利用网络中的协同计算平台互相协同来共同完成计算 任务，共享各种各样的信息资源等。协同工作使得在不同地点的参与者可啄在一起工 作。p 2 p 技术使得互联网上任意两台都可建立直接的通讯联系，不再需要中心服务器， 降低了对服务器存储以及性能的要求，也降低了对网络吞吐量和快速反应的要求，从 而大大节约了成本，使低成本的协同工作成为可能，最终帮助企业和关键客户，以及 合作伙伴之间建立起一种安全的网上工作联系方式。 2 。3 3 4 即时通信 所谓即时通信，其实指的就是诸如o i c q 、i c q 等被称为在线聊天的软件。p 2 p 的即时通讯软件不仅可以随时知晓对方在线与否，而且交流双方的通讯完全是点对点 进 亍，不依赖服务器的性能和网络带宽。尽管目前的即时通讯技术一般都具有中心服 务器，但中心服务器仅是用来控制着用户的认证信息等基本信息，并且帮助完成节点 之矧的初始互联工作。 2 3 3 5 搜索引擎 搜索引辇是目前人们在网络中搜索信息的主要工具，目前的搜索引擎如：g o o g l e 、 华中科技大学硕士学位论文 尺i 卅等，他们都是集中式的搜索引擎。这种搜索模式往往由一个机群在互联删上盲r f 读取信息，然后按照某种算法根据关键字将信息保存在一个海量数据库内，当用户提 交搜索请求的时候，实际上是在海量数据库内部进行搜索。这种机制虽然能尽快获得 搜索结果，但不能保证搜索范围的深度和结果的时效性。 p 2 p 网络模式中节点之间的动态而又对等的互联关系使得搜索可以在对等点之问 直接地、实时地进行，既可以保证搜索的实时性，又可以达到传统目录式搜索引擎无 町比拟的深度( 理论上将包括网络上所有开放的信息资源) 。p 2 p 为互联网的信息搜 索提供了全新的解决之道。 23 4p 2 p 的安全需求 对所有的计算机系统而言，系统安全都是一个非常关键的核心问题，p 2 p 对等网 络系统也不例外。事实上。对等网络包含了许多不同于传统的客户机服务器系统的安 伞问题。下面通过对p 2 p 网络的三个主要应用实例对等计算、即使通信、文件交互的 | 羊细研究来说明p 2 p 系统中可能存在的安全问题【2 8 。0 1 。 ：3 4 1 对等计算的安全需求 在分布式计算的信任关系中，管理员具有最高的信任度，他们除了负责系统的配 冒和管理之外，还定义和实现系统成员之间的信任关系策略。计算用户信任管理员所 进行的系统设置和提供的全部资源，同时信任分布式计算系统以及一些具有代表权限 的分市式计算。分布式计算的任何成员都不信任桌面用户。因此分布式计算面临的安 全威胁有：非授权用户使用计算系统资源、应用程序分布式计算中可能出现的错误、 操作员和用户导致的错误、网络上的恶意监听，以及计算机病毒等。这些威胁表明了 系统平台、应用程序、数据通信的完整性，以及计算资源使用审计方面的危险，另外， 桌面用户可以构成对应用程序代码和数据的完整性、机密性的破坏。针对以上可能存 在的问题，对等计算的安全需求包括： 1 计算用户的识别和认证 2 计算用户访问资源的授权 3 应用程序代码和数据的完整性和机密性 4 平台和应用通讯的完整性和机密性 4 华中科技大学硕士学位论文 5 应用程序的识别和认证 2 34 2 即时通信的安全需求 交互成员之间的信任水平高度依赖于活动的特殊性以及所包含内容的敏感程度。 如果用户共享的是敏感信息或者允许对这些信息进行远程控制，则所有参与者之间需 要高水平的信任关系。较低程度的信任关系适用于非敏感的交互，例如，不需要在所 有的参加者之间建立信任关系时，会使增加新的消费用户更加容易，这大大地简化了 应用程序的可用性。通常制作人比消费用户需要更高程度的信任关系，并且管理员也 需要高水平的信任度。 建立和管理信任关系有许多不同的方法： 1 所有用户可以直接与其他参加者建立信任关系； 2 对等网络用户可以通过相互作用或网络信誉建立相互信任； 3 信任的第三方可以为建立个人信任提供服务： 4 网络用户所使用的分组可用于信任管理。在个分组内，所有的参与者和其 他会员具有最小的信任，分组内的成员有一些定义好的策略控制。分组的好处是他们 自r 以进行方便、统一的管理和访问控制。 这些即时通信的应用程序具有定的安全脆弱性： l 窃听：网络问的通信可能会被非信任的第三方拦截； 2 篡改：通信内容在传输期间可能会被改变； 3 伪装：非信任的个人可以伪装成信任用户： 4 拒绝服务：正常的通信可能会被洪流或其它类似的攻击所影响。 一个安全的应用程序必须能够处理信息的窃听、篡改和伪装。拒绝服务攻击可能 通过特殊的设备或程序进行限制，但是很难彻底消除。对交互应用更大的威胁是由于 用户的配置错误或应用程序的误用造成的，这种威胁往往会导致无意识的数据共享或 私人信息泄漏。为了保证即时通信应用程序在网络上安全运行，必须满足以下安全要 求： l 身份：对等用户必须能够建立唯一、可认证的数字身份； ! 认证：网络用户必须能够通过网络远程、安全的验证同伴的身份。通过身份 认：l f _ 能够育效的防止伪装攻击，如数字证书和公钥、基于口令的认证； 3 授权：网络用户必须能够控制对本地资源和服务的访问。对远程控制而言， 华中科技大学硕士学位论文 授权是尤其重要的； 4 安全通信：信息和数据必须安全的通过“不安全”