（计算机应用技术专业论文）结构化对等网络的安全性与匿名性研究.pdf

大连理工大学硕士学位论文 摘要 对等网络( p e e r - t o p e e rn e t w o r k ，简称p 2 p ) 发展至今，主要经历了三代的变革。 其中，结构化对等网络( s t r u c t u r e dp e e r - t o p e e rn e t w o r k ) 以其在分布式查找方面的高性 能和准确性成为了未来发展的趋势。不幸的是，随着结构化对等网络的广泛应用，其自 身的安全隐患也日益暴露出来，制约了其在安全性和匿名性要求更高的系统中的应用。 因此，安全与匿名问题，成为了对等网络目前研究的热点。 本文分析了结构化对等网络上的典型攻击和隐私暴露问题，提出了相应的安全、匿 名对策。在设计部分，通过引入公钥密码系统( p u b l i ck e yc r y p t o g r a p h y ) 和基于身份的 加密方案( i d e n t i t y b a s e de n c r y p t i o n ) 建立了两个安全、匿名的结构化对等网络模型， 模型中运用验证、加密以及签名技术，保证了消息与数据的可靠性、机密性和完整性。 在此基础上，本文又提出了三种新的可行安全机制：( 1 ) 一种可验证的节点i d 生成方式， 目的是限制节点i d 的自由生成，以阻断目前结构化对等网络上众多常见攻击的基础， 即“随心所欲地自由产生节点i d ”；但) 一个路由表更新的验证会话，以防止恶意的路 由表更新请求误导合法节点，使其存储错误的路由信息而导致“路由表污染 ，从而降 低整个网络的效率；( 3 ) 一种转发欺骗的检测机制，目的是检测出路由转发过程中出现 的不诚实行为，以阻止恶意节点将合法的路由消息转发到错误的节点上。此外，鉴于迭 代方式的关键字查找过程会暴露发送者和接收者的身份，本文提出了一种匿名机制 递归方式的“隧道加密”关键字查找过程，以提高系统的匿名性。 最后，论文对所建立的安全、匿名机制及其设计进行了评估分析和模拟，结果表明 本文提出的技术在未显著降低查询效率的基础上能够使结构化对等网络更加健壮、安 全。 关键词：结构化对等网络；网络安全；匿名性；公钥密码学；基于身份的加密方案 结构化对等网络的安全性与匿名性研究 a s t u d yo ns e c u r i t ya n da n o n y m i t yo f s t r u c t u r e dp e e r - t o - p e e rn e t w o r k s a b s t r a c t t h ed e v e l o p m e n to fp e e r - t o p e e rn e t w o r kh a se x p e d e n c e dt h r e er e v o l u t i o n su n t i ln o w s t r u c t u r e dp e e r - t o p e e rn e t w o r kh a sb e c o m et h ef u t u r et r e n do fd e v e l o p m e n t , b e c a u s ei t p r o v i d e sh i 曲p e r f o r m a n c e a n dc o r r e c t n e s sf o re f f i c i e n td i s t r i b u t e d l o o k u p s e r v i c e u n f o r t u n a t e l y ，鹊s t r u c t u r e dp e e r - t o - p e e rn e t w o r ki sd e p l o y e dw i d e l y ，s e c u r ed e f e c t so fi t h a v eb e e ng r a d u a l l ye x p o s e d , w h i c hp r e v e n ti tf r o mb e i n gu s e di nt h es y s t e m sr e q u i r i n g h i g h e rs e c u r i t ya n da n o n y m i t y t h e r e f o r e ，s e c u r i t ya n da n o n y m i t yi s s u e so fp e e r - t o - p e e r b e g i nt ob ef o c u s e do nb yr e s e a r c h e r s t h i st h e s i sd i s c u s s e sa n da n a l y z e sc o m m o na t t a c k sa n dp r i v a c ye x p o s u r ei s s u e so n s t r u c t u r e dp e e r - t o - p e e rn e t w o r k ,a n dp r e s e n t sc o r r e s p o n d i n g s e c u r ea n da n o n y m o u s c o u n t e r m e a s u r e s i nt h ed e s i g np a r t ，t w os e c u r ea n da n o n y m o u sm o d e l sa r eb u i l t ，b y i n t r o d u c i n gp u b l i ck e yc r y p t o g r a p h ya n di d e n t i t y b a s e de n c r y p t i o n i nt h em o d e l s ，t h e r e l i a b i l i t y ，c o n f i d e n t i a l i t y a n di n t e 鲥t yo fm e s s a g e sa n dd a t aa r eg u a r a n t e e db yu s i n g a u t h e n t i c a t i o n , e n c r y p t i o na n ds i g n a t u r et e c h n i q u e s f u r t h e r m o r e , t h r e en e wa n dp r a c t i c a l s e c u r i t ym e c h a n i s m sa r ep r o p o s e d ：( 1 ) av e r i f i a b l ew a yo fg e n e r a t i n gn o d ei d ，t ol i m i tf r e e g e n e r a t i o no fn o d ei d sa n dc u to f ft h ef i r s tp h a s eo fm a n yc o m m o na t t a c k so ns t r u c t u r e d p e e r - t o p e e r ；( 2 ) av e r i f i c a t i o ns e s s i o nf o rr o u t i n gt a b l eu p d a t e s ，t op r e v e n tm a l i c i o u sr o u t i n g t a b l eu p d a t e sf r o mm a k i n gn o d es t o r ei n c o r r e c tr o u t i n gi n f o r m a t i o n , c a u s i n gr o u t i n gt a b l e p o l l u t i o na n dr e d u c i n gt h ee f f i c i e n c yo ft h en e t w o r k ；( 3 ) a na p p r o a c ht od e t e c t i n gd e c e p t i o ni n f o r w a r d i n g ，t od e t e c td i s h o n e s tb e h a v i o r si nf o r w a r d i n gr o u t i n gm e s s a g e s ，a n ds t o pm a l i c i o u s n o d ef r o mf o r w a r d i n gr o u t i n gm e s s a g e st oi n c o r r e c tn o d e s i na d d i t i o n , i no r d e rt oe n h a n c e t h ea n o n y m i t yo ft h es y s t e m ，i n s t e a do ft h ei t e r a t i v ev e r s i o n , w h i c hc o u l de x p o s et h ei d e n t i t y o fr e q u e s t e r sa n dr e c i p i e n t si nal o o k u pp r o c e d u r e ，ar e c u r s i v ev e r s i o no fk e yl o o k u p p r o c e d u r ei ns e c u r et u n n e li sp r e s e n t e d f i n a l l y ，d e s i g n si n t h et h e s i sa r ee v a l u a t e d ，a n a l y z e da n ds i m u l a t e d t h er e s u l t s d e m o n s t r a t et h a tt h ep r e s e n t e dm e c h a n i s m sc a nm a k es t r u c t u r e dp e e r - t o p e e rn e t w o r km o r e r o b u s ta n ds e c u r e ，w i t h o u tr e d u c i n gl o o k u pe f f i c i e n c ys i g n i f i c a n t l y k e yw o r d s ：s t r u c t u r e dp e e r - t o - p e e rn e t w o r k ；n e t w o r ks e c u r i t y ；a n o n y m i t y ； p u b t i ck e yc r y p t o g r a p h y ；i d e n t i t y b a s e de n c r y p t i o n i i 大连理工大学硕士学位论文 大连理工大学学位论文版权使用授权书 本人完全了解学校有关学位论文知识产权的规定，在校攻读学位期间 论文工作的知识产权属于大连理工大学，允许论文被查阅和借阅。学校有 权保留论文并向国家有关部门或机构送交论文的复印件和电子版，可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印、或扫描等复制手段保存和汇编本学位论文。 学位论文题目： 作者签名： 导师签名： 大连理工大学学位论文独创性声明 作者郑重声明：所呈交的学位论文，是本人在导师的指导下进行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文题目： 结抱化殖笠圆络鲍塞全性墨匿名! 陛盈究 作者签名i 一丝也日期：埤年业月皿日 大连理工大学硕士学位论文 1 绪论 1 1引言 随着因特网在规模上不断膨胀、在功能上不断扩展，服务器的负担越来越重，传统 的客户端j j 务器模式( c l i e n t s e r v e r ) 的低效率与难以扩展的缺陷暴露出来。对等网络 是分布式系统和计算机网络相结合的产物，它打破了传统的c s 模式，让一切网络成员 享有自由、平等、互联的功能。1 9 9 9 年，1 8 岁的s h a w nf a n n i n g 开发了世界上第一个应 用型p 2 p 网络软件n a p s t e r ( h t t p ：l l w w w n a p s t e r c o r n ) ，创造了在半年时间里即拥有5 0 0 0 万注册用户的网络奇迹，向整个世界展示了p 2 p 优异的性能和巨大的潜力。对等网络也 被美国财富杂志列为“改变因特网未来的四大新技术之一，甚至被认为是“无线 宽带互联网的未来技术 。 1 1 1 对等网络概述 p e e r - t o p e e r 中“p e e r 的英文原意为“同等、同地位的人 ，因此“p e e r - t o p e e r 译为“对等( 计算) ”。许多人原认为p 2 p 为“p o i n t - t o p o i n t ( 点对点) ，这是一个 误区，对等网络与点对点是完全不同的两个概念。在对等网络中，每个网络节点在行为 上是自由的，在功能上是平等的，在连接上是互联的，所有节点分布式地自组织成一个 整体网络，因此，能够极大程度地提高网络效率，充分利用网络带宽，开发每个网络节 点的潜力。对等网络的核心机制，是在应用层建立逻辑上的覆盖网络( o v e r l a yn e t w o r k ) ， 让研究者和开发者不必关心应用层下面是如何工作，而将精力集中于覆盖网的设计、优 化上。图1 1 显示了p 2 p 覆盖网与底层物理网之间的关系，其中虚线表示逻辑连接，实 线表示物理连接。 po v e r l a y p h y s i c a l n e t w o r k 图1 1p 2 p 覆盖网与物理网 f i g 1 1 p 2 po v e r l a ya n dp h y s i c a ln e t w o r k 结构化对等网络的安全性与匿名性研究 对等网络的发展大体可分为三代【l 】：第一代，混合式对等网络，它是c s 和p 2 p 两 种模式的混合；第二代，无结构对等网络，它以分布、松散的结构来组织网络，故称“无 结构；第三代，结构化对等网络，它以准确、严格的结构来组织网络，并能高效地定 位节点和数据，且通常定位效率为o ( 1 0 9 n ) 甓) b ( 为网络总节点数) 。其中，结构化对 等网络通过使用分布式散列表( d i s t r i b u t e dh a s ht a b l e ) ，以其在分布式查找方面的高 效性和准确性成为了未来发展趋势。高效的分布式查找是对等网络一直以来的研究热 点。仅在2 0 0 1 年一年中，p 2 p 界就涌现了包括c h o r d 2 1 、p a s t l y 3 j 、t a p e s t r y 4 1 等经典的 结构化对等网络模型。2 0 0 2 年，在p 2 p 领域最高级的专业国际会议i p t p s 上发表了更 加容错、实用的k a d e m l i a 协议【5 】，随后被e m u l e 及b i t t o r r e n t 等分布式文件共享系统应 用，同时支持着数百万在线用户。后来，在理论上又出现了常数度对等网络，可使网络 自适应的开销更少。与此同时，人们也意识到了p 2 p 的商业价值，将对等网络应用到了 各个领域，如：文件共享、多媒体传输、实时通信、协同工作、分布式数据存取、分布 式计算、p 2 p 搜索引擎等，甚至最近一些研究者还提出了将p 2 p 应用到电子市场、大型 多人在线游戏以及云计算的方案。表1 1 列出了p 2 p 网络的各种应用。 表2 1p 2 p 网络的各种应用 t a b 2 1 v a r i o u sa p p l i c a t i o n so fp 2 p 类别 代表性应用 文件共享 多媒体传输 协同工作 分布式数据存取 分布式计算 b i t t o r r e n t ：简称b t ，是一个借助分散式服务器( t r a c k e r ) 提供共 享文件索引( t o r r e n t ，即“种子”) 的混合式p 2 p 网络，目前已将 k a d e m l i a 作为d h t 引入到了系统当中。 e m u l e ：继承了e d o n k e y 的优良特性，把网络节点组织成两层 服务器层和客户层，提供将文件分块的多源下载机制，目前也应用 了k a d e m l i a 来提高系统查找效率。 s k y p e ：一款优秀的p 2 p 网络语音传输工具，既提供高清晰的语音 对话，还可以用来拨打国际电话。 p p l i v e ：用于互联网上大规模视频直播的一款p 2 p 多媒体传输软 件，即我们常说的网络电视。 g r o o v e ：“虚拟办公室”，一款著名的协同工作软件，系统以p 2 p 的方式提供实时的文本信息、语音、视频传输，从而支持因特网上 的协同工作。目前已被微软收购并成为新版o 塌c e 的组件。 c f s ：c o o p e r a t i v ef i l es y s t e m ，协同文件系统，是一个以c h o r d 作 为其d h t 的p 2 p 数据存取系统，在c h o r d 的基础上该系统又增加 了文件分块等机制。 s e t i h o m e ： “在家搜索外星智能”，由u cb e r k e l e y 建立的一 项利用连入因特网的成千上万台计算机的闲置计算能力搜索外星 文明的实验性分布式计算系统。 大连理工大学硕士学位论文 1 1 2 结构化对等网络的安全匿名问题 结构化对等网络以其可证明的高性能和准确性成为了分布式查找最有吸引力的选 择。不幸的是，结构化对等网络的设计者专注于网络查找效率，而未将安全性与匿名性 作为主要的设计目标。网络结构越严格，暴露给敌手的拓扑信息也就越多。随着结构化 对等网络不断广泛的应用，其自身的安全隐患也日益暴露了出来。结构化对等网络严格 的拓扑结构和自由开放性为用户带来便利的同时，也为敌手实施攻击提供了温床。安全 性与匿名性上的缺陷，使得结构化对等网络在更广阔领域的应用受到了制约。依据结构 化对等网络协议，节点d 应该通过一致性散列函数生成，但由于缺乏验证机制，恶意 节点能够以精心挑选的多重i d 加入网络( s y b i l 攻击f 6 】) ，占据重要位置，进行覆盖网 分割，欺骗合法节点，发动分布式拒绝服务攻击( d i s t r i b u t e do f d e n i a lo f s e r v i c e ) 等。 另外，网络成员间的交互信息如果未经保密处理，不仅暴露了网络的拓扑结构信息，而 且对隐私问题也构成了威胁。由于网络对所有入开放，限制恶意节点的加入难度很大。 因此，安全的结构化对等网络协议应该引入验证机制，使每个节点都具备鉴别恶意行为 的能力；同时也应该制定可行的加密方案，以保护拓扑结构信息及成员隐私。 1 1 3 研究现状 在结构化对等网络综合的安全问题研究方面，s i t 和m o m s 在 7 】中列举了在基于分 布式散列查询系统的对等网络中可能发生的攻击，并提出了检测和防止这些攻击的设计 原则。其中一条重要的原则就是：要定义一个可验证的系统机制并进行验证。他们认为 必须以可验证方式进行节点i d 的分配。c a s t r o 等人【8 j 设计和分析了结构化对等覆盖网中 的安全路由技术，包括安全的节点加入、安全的路由表维持以及安全的消息转发。 在结构化对等覆盖网中引入可信第三方，是一种解决方案，虽然它破坏了对等网络 完全非集中式的特点。c a s t r o 等人怫j 提出安全的节点加入依靠安全的节点i d 生成，通过 中央可信的认证机构( c e r t i f i c a t ea u t h o r i t y ) 完成。节点i d 证书的签名由c a 完成，c a 持有一个众所周知的公钥。他们提出将对等点口地址绑定到i d 以防止攻击者获得证书。 l i k i r 9 】基于k a d e m l i a ，包含了一个身份特征策略和一个安全通信协议。为实现l i k i r 的 功能，系统中的每个对象都必须以不可否认的方式( n o n - r e p u d i a b l e ) 与其所有者的身份 建立关联。这是通过采用第三方认证服务来实现，运用了一个节点间的认证协议，并引 入了使插入分布式散列表的消息和内容的所有者不可否认的证书技术。然而，在大规模 的对等网络环境中，可信第三方有可能成为覆盖网中的单点失效( s i n g l ep o i n to f f a i l u r e ) ， 证书的维护也过于复杂，且不易于实现。 结构化对等网络的安全性与匿名性研究 k a d e m l i a 是最流行、应用最为广泛的结构化对等网络协议，它具有很多其他协议所 不具备的优秀特性。然而，k a d e m l i a 依然易受对等覆盖网上的常见攻击，虽然它所具备 的一些微妙特性可以减轻某些攻击的危害。b a u m g a r t 和m i e s 设计的s k a d e m l i a 【l o j ，是 一个基于k a d e m l i a 的安全k b r 协议( k e y b a s e dr o u t i n g ，基于关键字路由) 。为使其 能够更灵活地对抗常见攻击，他们运用密码谜题( c r y p t op u z z l e ) 和公钥密码技术来限 制节点i d 的自由生成，引入兄弟列表( s i b l i n gl i s t ) 来扩展k a d e m l i a 路由表，提出使用 多条路径的并行查找算法来提高查找成功率。最后，他们利用覆盖网模拟器o v e r s i m 【l i 】 进行了实验。模拟结果表明，在使用多条路径的前提下，即使网络中有2 0 的恶意节点， 仍然会有9 9 的查找过程成功。然而，s k a d e m l i a 中的节点i d 没有与代表节点身份特 征的口地址相关联，不利于验证会话的进行。 在结构化对等网络上攻击的研究方面，s t e i n e r 等l l2 j 给出了一个如何滥用k a d ( 一 种基于k a d e m l i a 的d h t ) 来发起s y b i l 攻击的详细描述，接着提出了运用中央代理人 ( c e n t r a la g e n t ) 将手机号码绑定到节点i d 的方法，以防止对等点随心所欲地生成大量 i d 。w a n g 等在【1 3 】中也描述了k a d 中的很多攻击。他们衡量了对d h t 常见攻击( 如 s y b i l 攻击) 的代价，并介绍了一种利用劫持反向指针技术的高效攻击手段。这种攻击 依赖于k a d 中脆弱的节点i d 身份特征认证。 在结构化对等网络匿名性的研究方面，s h a z e l 与b w i l e y 提出了a c h o r d i l 4 j ，一个 基于c h o r d 查找服务的抗审查系统( c e n s o r s h i pr e s i s t a n ts y s t e m ) 。他们分析了c h o r d 的 查找机制以及结构化对等网络应用于抗审查系统的可行性，提出了抗审查的结构化对等 网络所必须具备的性质，通过限制各个节点所能获取网络的信息以及为发送者和接收者 提供匿名性，设计了一个查找效率较高的抗审查系统。然而，他们并未对系统的安全性 做更多的分析，也没有提出相关的安全策略。o d o n n e l l 和v a i k u n t a n a t h a n 研究了在c h o r d 中的恶意节点通过观察网络中的信息流能够获得什么样的拓扑结构信息【l 引，并通过模拟 分析了c h o r d 中的一些提高查找效率的策略( 如可变的指针表大小、数据缓存) 对信息 泄露的影响。但是，他们同样也没有为结构化对等网络提出可行的匿名安全策略。 1 2 本文工作 到目前为止，关于结构化对等网络安全与匿名的研究主要以纯理论为主，大多仅提 出了宏观上的安全原则，其中一些安全模型的设计过于繁琐，实用性不强。本文详细分 析了结构化对等网络上的安全与匿名问题，针对其安全隐患提出相应对策，在设计部分 以k a d e m l i a 协议为操作背景，通过引入公钥密码系统及i b e ( 基于身份的加密) 方案构 大连理工大学硕士学位论文 造了两个安全、匿名的结构化对等网络模型，同时又设计了三条安全机制：可验证的节 点i d 生成方式、路由表更新验证会话以及转发欺骗的检测。其中可验证的节点i d 生成 方式将节点的公钥与i p 绑定到i d 上，使得任何一个其他节点都有能力验证该节点i d 的生成是否遵守了协议；路由表更新验证会话使每个节点可以建立身份认证会话，以验 证发出更新请求节点的有效性，防止恶意路由信息“污染 路由表；转发欺骗的检测依 靠对查询返回节点信息的限制，可以有效检测路由转发时的欺骗行为，防止合法节点被 误导至错误的节点上。另外，由于迭代方式的关键字查询过程容易暴露发送者与接收者 的身份，本文给出了一种递归方式隧道加密的关键字查询过程，以保护成员的隐私。最 后，通过分析与模拟对本文的设计进行了验证。 1 3 本文组织 本文组织结构如下：第一章介绍了对等网络的相关背景及结构化对等网络安全性与 匿名性的研究现状，并阐明了本文所做工作；第二章详细介绍了对等网络的工作机理， 其中重点以c h o r d 为背景研究了结构化对等网络的工作机制，并讨论了最流行的结构化 对等网络k a d e m l i a 的优秀特性；第三章分析了结构化对等网络所面临的安全与匿名问 题，并提出了相应的对策；第四章给出了本文设计的两个安全、匿名的结构化对等网络 模型、三个可行的安全机制以及一个匿名方案；第五章对本文的设计进行了模拟与分析： 最后得出结论并展望未来工作。 结构化对等网络的安全性与匿名性研究 2 对等网络的工作机制 对等网络打破了常规的c s 模式，以一种高效的自组织的方式进行节点间的通信。 具体来说，对等网络有如下区别于其他系统的本质特点： ( 1 ) 网络拓扑结构严格。对等网络在应用层构建了一个有严格拓扑结构的覆盖网， 如n a p s t e r 的星形结构、g n u t e u a 的随机图结构、c h o r d 和k a d e m l i a 的带弦环结构等。 该结构对一个对等网络具有基础性的意义，系统的其他许多机制如d h t 、路由、负载 均衡、容错与自适应、自组织等都是以它为基础。 ( 2 ) 节点和数据对象位置确定。d h t 是结构化对等网络的核心设施，它通常基于一 致性散列函数，将每个节点以及每个数据对象映射到覆盖网中，保证了节点与数据对象 的精确定位。 ( 3 ) 高效路由。基于覆盖网拓扑结构与d h t ，对等网络具备自身的路由算法，以保 证高效路由。任意两个节点间定位所需的覆盖网路由跳数典型地为”几( 无结构对等网 络) 或( 结构化对等网络) 。由于覆盖网与物理网的不一致性，实际婵路由跳数会高 于覆盖网路由跳数，但仍能够控制在的常数倍范围之内。 ( 4 ) 负载均衡。d h t 使用一致性散列函数将节点及数据对象映射到覆盖网上，根据 一致性散列函数的特点，这种映射使得节点与数据对象均匀分布在覆盖网上，即便有新 节点加入、旧节点离开、新对象发布，一致性散列函数都能保证高效的动态调整和调整 后的负载均衡 ( 5 ) 容错与动态自适应。严格的拓扑结构和d h t 提高了系统的查找效率和可扩展 性，但同时也使系统对成员不正常行为的容错性下降了。对此，最典型的弥补策略就是 冗余方法。 2 1混合式p 2 p 的工作机制 混合式p 2 p 是第一代对等网络，其典型代表是n a p s t e r 。n a p s t e r 是世界上第一个应 用型p 2 p 网络，也是混合式对等网络体系最杰出的代表之一。n a p s t e r 网络由n a p s t e r 服 务器群和n a p s t e r 用户组成。每个n a p s t e r 服务器保存一部分用户的共享文件索引信息， 所有的服务器互联、整合起来对n a p s t e r 用户提供统一的访问接1 ：3 。每个n a p s t e r 用户连 接到机群中的一台服务器，他将自己的共享文件信息发送给服务器，服务器则将该条信 息与用户位置整合成索引加入索引表中。当一个用户c 想要查询某文件时，首先他向与 自己连接的服务器s 发送一条查询信息q ，服务器s 收到后首先从本地索引表中查询， 大连理工大学硕士学位论文 未命中的话该查询信息将通过服务器间的网络发往其他服务器，命中后由服务器s 将合 适的索引r 发送给用户c ，用户c 根据索引中文件拥有者的位置与之建立连接，传输文 件。n a p s t e r 的工作原理如图2 1 所示。 n a p s t e r c o m 图2 1n a p s t e r 工作原理 f i g 2 in a p s t e rm e c h a n i s m 对等点q 查询 服务器r 回复 d 文件下载 2 2 无结构p 2 p 的工作机制 无结构p 2 p 是第二代对等网络，其典型代表是g n u t e l l a 。在g n u t e l l a 网络中，所有 对等点地位完全相同，不再有服务器的存在，每个对等点既是服务器又是客户，即能向 其他成员发送查询信息，又能接收其他成员发来的查询信息，所以g n u t e l l a 的开发者称 对等点为s e r v e n t ( s e r v e r + c l i e n t ) 。g n u t e l l a 提供了一些“众所周知 的节点，以便因 特网中的某台计算机加入c m u t e l l a 网络。在g n u t e l l a 网络中，消息是通过洪泛式广播的 方式进行传播的，命中后还可以被回播，即沿广播的反向路径回传消息。为了不使网络 中的消息无休止地传播而不断地消耗网络资源，每条消息都有一个t t l ( t i m e - t o 1 i v e ) ， 消息每走跳，”几减l ，直到”r l 为0 时，消息就不再传播。g n u t e l l a 的工作原理如 图2 2 所示。 在第二代对等网络中，值得一提的是f r e e n e t 【l6 j 。正如它的名字，f r e e n e t 是一个自 由、安全、匿名的无结构对等网络。除了具备其他无结构对等网络的特点之外，f r e e n e t 的本质在于它安全、匿名的路由。在f r e e n e t 中，文件查询请求通过一条“代理节点链” 从前一个节点传到后一个节点，路径上的每个节点只知道该请求的前一跳节点和由它决 结构化对等网络的安全性与匿名性研究 定的后一跳节点，对路径上的其他节点一无所知，这在网络领域也经常被称为“隧道路 由力，是具有高安全性的路由方法。 图2 2g n u t e l l a 工作原理 f i g 2 2 g n t r t e l l am e c h a n i s m o 对等点 q 查询 d 文件下载r 回复 2 3 结构化p 2 p 的工作机制 结构化p 2 p 是第三代对等网络，有着众多的经典模型，如c h o r d ，c a n ，p a s t y ， k a d e m l i a 等。结构化对等网络最大的特点就是它们都有一个严格的覆盖网拓扑结构，如 c h o r d 的纯粹带弦环，c a n 的多维空间结构，p a s t r y 的超立方体，k a d e m l i a 的基于异或 度量的带弦环等。所有结构化对等网络都使用分布式散列表来将节点、数据对象映射到 覆盖网中。为了使这种映射唯一、均匀、随机，分布式散列表都使用安全的一致性散列 函数。因此，节点i d 与数据对象i d 都是相同长度的散列值。在路由和定位方面，结构 化对等网络中的每个节点通常都维护一个比较小的路由表，采用分布式、局部性的贪心 路由算法，逐步缩小当前节点与目的节点之间的i d 差异。通常定位效率为o ( 1 0 9 n ) 壁j i ( 其中n 为网络总节点数) ，并且能保证定位成功，单就覆盖网而言此定位效率接近最 优。下面以c h o r d 为背景详细介绍结构化对等网络的特性。 2 3 1c h o r d 协议介绍 c h o r d 协议及其应用系统由m i t 和u cb e r k e l e y 设计与开发，其正式论文最早发表 在a c ms i g c o m m 0 1 上1 2 ，后来又在i e e e a c mt r a n s a c t i o n so nn e t w o r k i n g 杂志上刊登了一篇改进版本的文章【 】。至今为止，论文已被引用7 3 0 0 次之多。c h o r d 的经典之处在于其简单、优美的同时，还能够实现高效、准确的分布式查找。 大连理工大学硕士学位论文 在c h o r d 及其他结构化覆盖网中，每个参与者节点都从一个大的标识符空间 ( i d e n t i f i e rs p a c e ，如1 6 0 位无符号整数的集合) 中随机分配到一个唯一的标识符节 点i d ( n o d e i d ) 。每个数据对象( o b j e c t ) 也从相同的标识符空间中分配到一个唯一的 标识符关键字( k e y ) 。在文件共享系统中，关键字通常是文件属性( 如文件名、 关键词) 的散列摘要。每个关键字需要存储到至少一个活动节点上，且根据某种距离度 量方法该节点的n o d e i d 与该关键字“距离最近 。 协议根据给定关键字不断转发查找消息直到找到存储该关键字的节点。为提高路由 效率，每个节点都维护一个包含其他节点n o d e i d 与i p 地址信息的路由表。由于n o d e l d 是统一、随机分布的，每个节点都负责标识符空间的一个特定范围，通常是在标识符空 间中与该节点n o d e i d 距离较近的那些关键字。对于任意给定的关键字，协议通过路由 表不断将查找消息转发到距离关键字更近的节点，直到找到存储该关键字的目标节点。 6 4 图2 3c h o r d 环( m = 3 ) f i g 2 3 c h o r dr i n g ( m = 3 ) 2 c h o r d 的拓扑结构是一个带弦环，使用安全散列函数将每个网络节点及数据对象映 射到覆盖网上，即n o d e i d = h ( n o d e 属性) ，k e y = h ( o b j e e t 属性) 。根据散列函数的随机性 和抗碰撞性，节点i d 与关键字是唯一的，并且统一、随机、均匀地分布在带弦环上。 结构化对等网络的安全性与匿名性研究 如图2 3 所示，节点i d 按照从大到小顺时针分配到模2 ”的标识符空间带弦环上，其中 m 为标识符的二进制数位数，这里为3 。关键字k 被分配到标识符空间上n o d e l d 按顺时 针紧邻k ( 包括与k 相等) 的节点上，该节点称为关键字k 的后继结点( s u c c e s s o rn o d e ) ， 记作s u c c e s s o r ( k ) 。在图2 3 中，由m = 3 得标识符空间大小为8 ，即c h o r d 环有8 个位置， 其中节点有3 个，n o d e i d 分别为0 、l 、3 ，由图可知s u c c e s s o r ( 1 ) = 1 、s u c c e s s o r ( 2 ) = 3 、 s u c c e s s o r ( 6 ) = 0 ，故k = - i 、k = - 2 、k = - 6 分别被分配到节点n 1 、n 3 、n o 上。每个节点船也有 后继，记作n s u c c e s s o r ，需要注意的是，n s u c c e s s o r 为顺时针紧邻，z 但不等于，2 的节点。 为保持关键字分配的一致性与正确性，当一个节点n 加入网络时，先前由，z 的后继 负责的某些关键字改由刀负责；当n 离开网络时，所有刀负责的关键字将重分配到甩的 后继。除此之外，其他节点不需要改变关键字的分配。在图2 3 的例子中，如果节点n 7 加入，则k - - 6 将重分配到节点n 7 ，即此时s u c c e s s o r ( 6 ) = 7 。 表2 1 节点n 的各变量及其定义 t a b 2 1d e f i n i t i o no f v a r i a b l e so f n o d e 玎 记号 定义 f i n g e r k f i n g e r k n o d e s u c c e s s 0 r p r e d e c e s s o r ( r l + 2 k q ) m o d 2 卅，1 k m f i n g e r k 之后( 包括相等) 的第一个节点 后继结点，即f m g e r 1 n o d e 前驱节点，即c h o r d 环上，z 的前一个节点 为提高查找效率，每个c h o r d 节点都额外维护一个聊项的路由表( 肌为标识符的二 进制位数) ，也称为“指针表 ( f i n g e rt a b l e ) 。该路由表能够加快定位过程，不会影 响查询的正确工作，因为c h o r d 能否正确定位取决于后继的正确性。节点，2 路由表的第 f 项表示在标识符空间顺时针方向上与n 距离至少为2 卜1 的第一个节点s ，即 s = $ u c c e s s o r ( n + 2 卜1 ) ，其中1 i m ( 均为模2 ”运算) ，s 则称为节点刀的第f 个指针， 记作以f i n g e r 0 。一个路由表项包括了相关节点的i d 及m 地址( 以及端口号) 。可以注 意到，节点n 的第一个指针即为环上，2 的直接后继，即s u c c e s s o r = n f i n g e r ( 1 ) n o d e 。表 2 1 列出了在m 位标识符空间中节点n 的各变量及其定义，图2 4 为c h o r d 环上路由表 的简单例子。 在这个路由表例子中，由( 1 + 2 0 ) r o o d 2 3 = 2 的后继为节点n 3 可知，节点n 1 的第1 个指针指向n 3 ；同理，由( 1 + 2 2 ) m o d 2 3 = 5 的后继为节点n o 可知，节点n 1 的第3 个 大连理工大学硕士学位论文 指针指向n 3 。上述路由表的设计有两个特点：首先，每个节点仅保存很少的其他节点 信息，并且对于离它越远的节点所知信息越少：其次，总体来说，一个节点的路由表中 并不包含足够的信息以找到任意给定关键字k 的后继。例如，在图2 4 中，n 3 并不能够 仅靠自己就获得k 1 的后继信息，因为该后继结点n 1 并未保存在它的路由表中。 6 f i n g e rt a b l e 4 图2 4c h o r d 路由表( m ：3 ) f 谵2 4 c h o r df m g e rt a b l e ( m = 3 ) c h o r d 的查找算法准确、简单、优美，仅通过图2 5 中的两个函数即可完成。其中 刀f o o c ) 表示在节点刀上远程调用f o o 函数，本地调用则省略前缀的节点标记。 在第一个函数f i n d _ s u c c e s s o r 中，如果耐落在疗与其后继之间，则返回n 的后继； 否则，忍在本地路由表中找到在耐之前距离留最近的节点n ，并在刀上调用f i n d _ s u c c e s s o r 函数。以这种方式选择玎，是因为距离耐越近的节点，对耐附近区域的信息掌握得越 结构化对等网络的安全性与匿名性研究 多。在第二个函数c l o s e s t _ p r e c e d i n g _ n o d e 中，刀在本地路由表中从后到前找到在a l 前 且与耐距离最近的节点。 图2 5c h o r d 查找算法伪代码 f i g 2 5 p s e u d o c o d eo fc h o r dl o o k u pp r o c e d u r e 仍以图2 4 为例来说明，假设n 3 要查找k 1 的后继，由于n 3 路由表中在k 1 之前 最大的节点为n o ，n 3 将请求n o 进行查找，n o 从自己的路由表查找，发现自己的后继 n 1 也为k 1 的后继，于是向n 3 返回n 1 ，查找成功。【1 7 】中证明了在拥有n 个节点的网 络中，完成一次查找所需要联系的节点数为o ( 1 0 9 ) ，即c h o r d 具有复杂度为o ( 1 0 9 n ) 的高效定位效率。 此外，为使c h o r d 能在节点自由加入或离开的动态环境中保持查找的准确性，节点 加入算法需完成三个任务：在节点刀加入网络时初始化刀的前驱和路由表；更新邻居节 点的前驱、后继信息以反映自己的加入；通知其后继将应由刀负责的关键字分配给n 。 然而，由于c h o r d 路由表的单向性和不灵活性，以及随时可能发生的并发操作和不通知 退出，c h o r d 还需要周期性地调用一个稳定化的自适应算法来保持节点后继的正确性。 【1 7 中给出了详细的算法，本文篇幅有限，在此不加赘述。 2 3 2k a d e m iia 协议介绍 k a d e m l i a 协议是n e wy o r ku n i v e r s i t y 的p m a y m o u n k o v 和d m a z i