（计算机软件与理论专业论文）基于gkm的安全发布订阅系统的研究与实现.pdf

at h e s i sf o rt h ed e g r e eo fm a s t e ri nc o m p u t e rs o f t w a r ea n dt h e o r y t h er e s e a r c ha n d i m p l e m e n t a t i o no f t h e g k m - b a s e ds e c u r ep u b l i s h s u b s c r i b es y s t e m b yw uh a i y a n s u p e r v i s o r ： p r o f e s s o rz h o uf u c a i n o r t h e a s t e r nu n i v e r s i 够 j u n e2 0 0 9 1 独创性l 声明 本人声明所呈交的学位论文是在导师的指导下完成的。论文中取得的 研究成果除加以标注和致谢的地方外，不包含其他人已经发表或撰写过的 研究成果，也不包括本人为获得其他学位而使用过的材料。与我一同工作 的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示诚挚 的谢意。 学位论文作者签名：昊白虔久 签字日期： m 3j 、 学位论文版权使用授权书 本学位论文作者和指导教师完全了解东北大学有关保留、使用学位论 文的规定：即学校有权保留并向国家有关部门或机构送交论文的复印件和 磁盘，允许论文被查阅和借阅。本人同意东北大学可以将学位论文的全部 或部分内容编入有关数据库进行检索、交流。 作者和导师同意网上交流的时间为作者获得学位后： 半年口一年一年半口两年口 学位论文作者签名：躺熟导师签名：m 签字日期：w ，3 7 、1 、) 签字日期：夕祈、7 ，弓 ， 东北大学硕士学位论文摘要 基于g k m 的安全发布订阅系统的研究与实现 摘要 随着网络的快速发展，分布式计算发展日新月异，发布订阅技术是随着分布式计算 环境的发展而出现的，它在电子商务、网络游戏、证券交易等项目中都有重要应用。机 密性和完整性是订阅系统安全的两个重要方面，因此如何构建一个安全的发布订阅系统 成为目前研究的重点。 本文在深入研究了发布订阅系统的安全性需求基础上，结合发布订阅系统的结构 和安全的组密钥管理方案，提出了一个基于g k m 的安全发布订阅系统的密钥管理方 案。该方案是一个分层分组式的体系结构，主要对安全框架、密钥生成与分发机制和成 员的动态管理几个方面进行了详细的设计与分析。文中还通过理论分析及实例化代价分 析，从安全性、通讯代价、计算代价、存储代价四个方面综合分析了本文的方案，并与 l k h 方案进行对比，分析结果表明，本文方案的通信代价和计算代价都低于传统的l k h 方案，但存储代价略高于l k h 方案。本文提出的方案满足了安全性需求，使得系统减 少了”l 影响n ”问题，具有较好的可扩展性，有效降低了通信延迟和带宽等负载，适合 于动态多变的发布订阅系统。 本文设计和实现了一个基于g k m 的安全订阅原型系统，实现了发布者端管理数据 库、发送更新数据功能，代理服务器端的用户管理和身份认证、订阅者管理、子组密钥 的管理和接收和数据转发等功能。验证结果表明，文中所提出的方案可以更好地解决发 布订阅系统的订阅内容的安全分发问题。 关键词：发和订阅系统；安全组播：分层分组式；密钥管理；安全性 - r 东北大学硕士学位论文 a b s t r a c t t h er e s e a r c ha n di m p l e m e n t a t i o n0 f t h eg k m b a s e ds e c u r e p u b l i s h s u b s c r i b es y s t e m a b s t r a c t w i mn l er a p i dd e v e l o p m e n to fn e t 、 ，o r kt e c t l l l o l o g y ，d i s t r i b u t e dc o m p u t i n gh 嬲b e 锄 p r o p o s c d p u b l i s h s u b s 甜b et e c h n o l o g yi sa p p e a r sa l o n gw 汕t h i sk i n do fn e wd i s t r i b u t e d c o m p u t i n ge n v i r o n m e n td e v e l o p m e n t ，w h i c hi su s e di nm ee c 0 m m e r c e ，o n l i n eg 锄e s 觚dt l l e s e c 嘶t i e sa l l de x c h a j l g ep r o j e c t s t 1 1 ei m p o r t 锄ts e c u r i t y q u i r e m e n t so fp u b l i s h s u b s 面b e s y s t e l t la r ec o n f i d e n t i a l i t ya r l di n t e 鲥t yh o w t 0b u i l das e c u r ep u b l i s h s u b s c d b es y s t 锄h 嬲 b e c o m et h ef o c u so fc u n ? 即tr e s e a r c h i i lt h j sp a p i th 嬲ad e t a i l e da n a l y s i so ft h es e c u d t y 做l u i 瑚n so fp u b l i s 从u b s 嘶b e y s t e n l s ，a l l d i tc o m b i n 骼t h es t m c t u 】r eo fp u b l i s l l s u b s 嘶b es y s t e m sa n dm u l t i c a s tk e y m 觚a g 锄e n t t l l i sp a p e rd e s i 口sag k m - b 嬲e ds e c u r cp u b l i 洲s u b s 嘶b es y s t 锄s c h 锄e t l l e s c h 锄ai sas t i u 饥鹏o fd e c e i l a l i z e d ，i ti n c l u d e st l l r c ei m p o r t 锄tc o m p o n e n t s ：r e 西s 仃a l i o 玛 k e ye n e r a t i o na n di s t r i b u t i o n 锄dd ”锄i cm e i t l b e r s h i pm a i l a g 锄e i l t ，i ti sd e s i g e d 觚d a i l a l y s i sd e t a i l e d l y 1 1 啪u 曲t l l e o r e t i c a l 锄a l y s i s 锄de x 锄p l e so fa n a l y s i s ，i t 锄a l y z e d 锄d c o m p a r e dt h i s a r t i c l e锄dl k hk e ym a n a g 锄e n tp r o 伊锄丘。o mf o u ra r e 弱o ft l l e c 0 舢1 f l u l l i c a t i o nc o s t ，c o m p u t a t i o n a lc o s t ，s t o r a g ec 0 s t sa n dm u l t i c 硒ts e c u r i t y a n a l y s i sr e s u l t s s h o wt l l a t m e c o m p u t i n gc o s t s 觚dt h ec o m m u n i c a t i o nc o s to ft k ss c h e m aa r cb 甜e rt h a n 仃a d i t i o n a ll k h ，b u tt h es t o r a g ec o s ti s s l i g h t l yh i g l l e rt h 锄m el k h g e tt l l ef o l l o w i n g c o n c l u s i o n ：t h i ss d l e m am e e t st l l en e e d so f s e c u n t y ，h a sg o o ds c a la _ b i l i t y ，r e d u c et l l em u l t i c a s t c o m m u n i c a t i o nd e l a ya l l db 觚d w i d t h ，a 1 1 ds u i t a b l ef o rm ed ”锄i cp u b l i s h s u b s 嘶b es y s t 锄 i nt 1 1 i sp a p ag k m - b a s e ds e c u r ep r o t o t y p es y s t e i i ls y s t 锄o fs u b s c 舶eh a sb e e n d e s i g n e da n dr e a l i z e d ，w i t l lf l u n c t i o n so fs e r v i c er c 百s 舰t i o nc e n t e r ， s e r “c ep u b l i s h i n g 觚d d a t a b a s em 锄a g e m e n to nm ep u b l i s h e rs i d e ，t h eu p d a t eo f u l ed a t a b a s e ，a u t h e n t i c a t i o n 孤d s u b s c 舶e r sm a n a g e l i l e n to fu s 盯g r o u pk e ym a i l a g e m e n ta n dd a t af 0 n a r d i n go nt l l eb r o k e r s i d e v a l i d a t i o nr e s u l t ss h o wm a tm ep m p o s e ds c h 锄ac 锄b e t t e ra d d r e s sm es e c 谢t y s i l b s c p t i o nd i s 埘b u t i o np r o b l e mo f p i l b l i s h s u b s c b es y s t 锄 k e y w o r d s ：p u b l i s l l s u b s c r i b e ；s e c u r em u l t i c a s t ；d e c e n t r a l i z e d ；k e ym a n a g e m e n ；s e c u r i t y 1 i i 东北大学硕士学位论文 目录 目录 独创性声明i 摘要。i i a b s t r a c t i i l 第1 章绪论1 1 1 研究背景1 1 2 国内外研究现状。l 1 3 本文研究内容2 1 4 论文组织结构3 第2 章相关理论基础5 2 1 发布订阅系统5 2 1 1 发布订阅系统模型6 2 1 2 发布订阅系统关键技术8 2 2 安全组播系统1 0 2 3 组密钥管理方案的分类1 2 2 - 3 1 集中式l3 2 3 2 分布式1 6 2 3 3 分层分组式1 8 2 4 组密钥管理的性能分析与评价2 l 2 4 1 安全性要求2 l 2 4 2 评价标准2 l 2 5 小结2 2 第3 章基于g 酬的安全发布订阅系统的研究2 5 3 1 安全发布订阅系统的基本框架结构2 5 3 2 密钥生成和分发2 6 3 3 成员的动态管理2 8 3 3 1 成员的加入。2 9 3 3 2 成员的离开2 9 3 3 3 代理的加入3 0 3 3 4 代理的离开3 0 3 4 小结3l 第4 章性能分析与比较3 3 4 1 代价分析与比较3 3 4 1 1 存储代价3 3 i v 东北大学硕士学位论文 目录 4 1 2 通信代价一3 5 4 1 3 计算代价3 6 4 1 4 综合代价3 7 4 2 实例化代价分析与比较3 8 4 3 安全性分析4 0 4 4 爿、结4 1 第5 章基于g 酬的安全订阅原型系统的设计与实现4 3 5 1 开发工具4 3 5 2 系统的体系结构一4 3 5 2 1 系统的工作原理4 3 5 2 2 系统的模块划分4 4 5 3 发布者端的设计与实现4 6 5 3 1 数据库管理模块4 6 5 3 2 发送更新数据模块4 6 5 4 代理服务器端的设计与实现4 8 5 4 1 用户管理模块4 8 5 4 2 用户身份认证模块5 0 5 4 3 子组密钥管理模块5 l 5 4 4 接收并发送数据模块一5 3 5 5 订阅者端的设计与实现5 5 5 6 ，j 、结5 6 第6 章总结与展望5 7 6 1 总结5 7 6 2 展望5 7 参考文献5 9 蜀c 谢6 3 攻读硕士学位期间参与的科研项目6 4 一v 东北大学硕士学位论文第1 章绪论 第1 章绪论 1 1 研究背景 发布订阅( p u b l i s h s u b s 嘶b e ，简称p u b s u b ) 系统是指在分布式环境中实现动态的、 多对多通信的一种通信网络结构。随着1 1 1 t 锄e t 的快速发展，分布式计算发展日新月异， 发布订阅技术是随着这种新型的分布式计算环境的发展而出现的，它在电子商务、网络 游戏、证券交易等项目中都有重要应用。机密性和完整性是发布订阅系统安全的两个重 要方面【2 呲4 1 ，安全的将内容分发给订阅者是十分重要的，因此如何构建一个安全的发布 订阅系统成为目前研究的重点。 机密性是保证只有合法用户才可以获得指定的数据，非法用户不能得到数据的任何 信息。完整性包括内容的完整性和时间的完整性，内容的完整性指合法用户获得的数据 未做任何修改，时间完整性指的是合法用户在指定的时间内获得完整性数据。在分布式 环境中主要依靠信息安全技术来实现机密性和完整性，其核心是密钥的分发和管理。大 多数的电子订阅系统的安全性要求主要集中在公钥密码系统和密钥分发制度上，这些方 法都依赖于用户组的大小，信息的加密和转发的次数会随着订阅者的数目而增加，当面 对大量的用户时，上述方法显得很没效率。而安全的组播通信在面对大规模用户时是一 种理想的方法，安全组通信密钥管理方案可应用于构建一个安全的发布订阅系统。 安全的组通信通过引入对称加解密技术实现对组播通信数据的访问控制，使得只有 掌握合法组密钥的用户才能对组通信数据进行访问，从而保证数据的机密性和私有性。 在安全组播通信系统中，密钥管理充当着重要的角色。各组内用户通过高效、安全的密 钥管理技术的实施，可以对密钥生成、密钥分发、密钥协商及密钥更新等进行有效的管 理，为安全的组通信进行加密、解密操作提供基本的安全保障。安全的组密钥管理方案 主要分为3 类：集中式、分层分组式和分布式。在集中式密钥管理方案中，由单一通信 实体但当中央控制节点，全权负责组密钥的创建、分发和组成员关系发生变化时的密钥 更新。在分层分组式组通信密钥管理中，整个通信组分为若干子组，每个子组分别有不 同的子组控制器管理。所有子组之间可以是分布关系，或是由一个中央控制节点在最高 层进行集中控制。而在分布式的密钥管理方案中，没有中央控制节点，各节点都是独立 的通信实体，他们共同参与通信组的安全认证和组密钥的创建和更新。 1 2 国内外研究现状 目前来说，国际上对于发布订阅系统的研究层出不穷，早期的关于p u b s u b 的研究 来源于基于信息总线的思想。后来，提出了基于主题的发布订阅系统，现在已有很多成 熟的产品广泛应用于银行、证券、能源、国防、制造业企业信息化等各个领域，如i b m - l _ 东北大学硕士学位论文第1 章绪论 公司的m q s 舐嚣，t i b c o 公司的t i b 瓜e i l d e z v 0 u s ，较有影响的应用案例包括n a s d a q 证 券交易系统、费城股票交易所业务系统等。但这种系统的表达能力很弱，实际上相当于 一种多播系统。 为了打破基于主题的发布订阅系统的局限性，于2 0 世纪9 0 年代末期开始研究表达能 力更强的基于内容的发布订阅系统，早期的美国c o l o r a d o 大学的s i e n a 【l j 和i b m t j w a t s o n 研究中心的g 帅h o n 【2 】是两个开创性的研究项目。此后，越来越多的机构开始 从事研究，其中最具有代表性的研究有：2 0 0 4 年剑桥大学的c i p e m 研究组( 从事开放分布 式系统研究) 将发布订阅作为其两个主要研究方向之一，形成了一篇博士论文；2 0 0 4 年 斯坦福大学的数据库研究组也将发布订阅作为自己的研究方向之一，形成了一篇博士论 文。发布订阅方面的研究兴起不久，研究成果并不很多。 安全性作为一种在传输运用中比较重要的属性一直以来被人们所关注。对于国内， 文献【3 】提出了一种基于s o a p 安全的网络中心发布订阅机制。该机制采用s o a p 消息传递 机制对信息进行了封装，从而屏蔽了信息的异构性，为消息交换和数据传输提供一种安 全的保障。但是由于网络环境的复杂性，这个机制不能很好的在网络中使用。为了解决 结构上的复杂性，人们采用了9 0 s s i p 算法来达到事件可靠性传输【4 1 ，但它只是在完全可 靠性和扩展性之间的折中。文献【5 】将发布订阅和点对点两种通信模式相结合，提出并设 计了一种基于混合通信模式的消息中间件系统，并针对系统实现中的关键问题提出了相 应的解决策略，但是该策略是在一种理想的状态下提出来的，没有考虑节点是否可信的 状况。 在国际上，w a n g 等人给出了p u b s u b 系统的安全需求【6 1 。m i k l o s 等人假定存在一个 可信任的代理网络，用s i e n a 的覆盖关系来约束允许的订阅和广告，但是它要求发布者和 订阅者在发布和订阅时必须出示证书【6 】。文献【7 】把基于角色的访问控制( r b a c ) 和分布式 通知服务结合了起来，并扩展了h 锄销，给出了原型系统。f e i g e 等人采用基于p 的方 法来建立发布和订阅事件的访问控制机制【8 】。基于内容的p u b s u b 系统的安全问题，包括 认证、机密性、完整性和审计性等方面，一些可以采用已有的方法( 如数字签名来解决 信息完整性) 。在多点传送网络的安全群组通信领域，许多学者也进行了大量的研究p 1 6 】。 这些系统利用安全的基于群组的多点传送技术和组密钥管理技术来提供前向和后向的 安全性、可测性、以及可行性。但还有不少问题有待解决。 1 3 本文研究内容 本文详细介绍了发布订阅系统和不同种类的组密钥管理( 简称g l 蝴) 方案，将 发布订阅系统和组密钥管理方案相结合，本文在分析集中式和分层分组式组密钥管理方 案的基础上，提出了一个基于g 的安全发布订阅系统的密钥管理方案，本方案采用 分层分组结构。本文对提出的方案从安全框架、密钥生成与分发机制和成员的动态管理 - - z - 东北大学硕士学位论文第1 章绪论 几个方面进行了详细的设计与分析。而且通过理论和实例化分析和比较，从通讯代价、 计算代价、存储代价和安全性四个方面评价了基于g k m 的发布订阅系统方案，对本文 方案和l k h 密钥管理方案进行了综合性能的比较和分析，分析结果表明，本文方案的通 信代价和计算代价都低于传统的l k h 方案，但存储代价略高于l k h 方案。最后，本文设 计和实现了一个基于g k m 的安全订阅原型系统，实现了发布者端管理数据库、发送更 新数据功能，代理服务器端的用户管理和身份认证、订阅者管理、子组密钥的管理和接 收和数据转发等功能，验证结果表明，文中所提出的方案可以更好地解决发布订阅系统 的订阅内容的安全分发问题。 1 4 论文组织结构 本文共分为6 章： 第l 章绪论：介绍了发布订阅系统的研究背景和国内外研究现状。 第2 章相关理论基础：介绍了发布订阅系统的基本模型、发布订阅系统的关键技术、 安全组播系统、组密钥管理的安全性要求、评价标准以及现有的组密钥管理方案的分类， 并详细介绍了几种典型的密钥管理方案。 第3 章基于g l 蝴的安全发布订阅系统的研究：介绍了安全发布订阅系统的的基本 框架，随后介绍了订阅系统的安全框架、密钥的生成和分发协议以及成员动态管理：包 括新成员加入和老成员离开。 第4 章性能分析与比较：对对本文提出的方案的性能进行评价：从安全性、存储代 价、通信代价、计算代价进行量化分析，并与l k h 协议进行了实例化比较。 第5 章基于g l 州的安全订阅原型系统的设计与实现：给出详细的安全订阅原型系统 的设计与实现过程。 第6 章总结与展望：对以上的工作进行总结，并对未来进行展望，提出今后的研究 方向。 - 3 - 东北大学硕士学位论文第1 章绪论 一4 一 ， 东北大学硕士学位论文 第2 章相关理论基础 第2 章相关理论基础 2 1 发布订阅系统 随着计算机网络的兴起，计算技术已经进入分布式计算时代，分布式计算已经成为 新一代计算和应用的主流。随着i i l t e n l 叫i n t r 趴e t 技术的不断发展，人们对网络应用系统 的需求越来越多。传统的网络应用程序是直接在传输层协议( 如t c p p ) 上进行编程， 这种编程不适用于开发多用户的大型应用系统，而且不可扩展，为了解决这些问题诞生 了新兴的计算机技术一分布式计算。分布式计算环境下，各种不同的工作站通过网络互 相连接，其参与者数量巨大，并且分散于世界各地，使得用户可以充分利用网络上的各 种计算资源完成自己的任务。在早期的分布式计算环境中，由于各参与者之间的网络结 构比较固定，参与者的数量也不多，原有的分布式计算并没有遇到一些实质性的困难。 近年来，随着i i l t e h l c t 的快速发展，传统的分布式计算已不能满足目前大规模的分布式 计算的需要。 新型的分布式计算环境和传统的分布式计算机环境相比，除了具有异构特点等共同 特点外，还需具有以下一些特征： ( 1 ) 大规模：参与者数量的暴增，并且参与者分散于世界各地。 ( 2 ) 分散控制：没有集中控制点，各个节点都是以平等的方式参与其中。 ( 3 ) 自治性：各参与者一般都是自治的实体，它们为了某一目的加入到一个分布式 系统中，给该系统提供了一定的新资源同时并承担一定的任务。 ( 4 ) 动态性：系统中的参与者不固定的因素增加，它们可以以动态的方式参与和退 出系统。同时位置和行为也可能发生变化。比如在旅途中利用笔记本或手机等移动设备 参与或退出网络。 ( 5 ) 松散耦合：各个参与者以一种松散耦合的方式进行资源共享和协同工作。 为了适应分布式大规模计算环境的需要，弥补传统分布式计算的不足，近年来人们 提出了多种技术，包括： ( 6 ) 中阳j 件技术：中间件是一种独立的系统软件或服务程序，分布式应用软件借助 这种软件在不同的技术之间共享资源。随着面向对象技术的推广和应用，面向对象的中 间件技术逐渐成为主流，出现大量中间件标准，并产生了不同类别的中间件产品，主要 有：消息中问件( m o m ) 、数据库中间件( d a t a b a s e m u l d i e w a r e ) 、远程过程调用中间件( r p c ) 和对象请求代理中间件( 0 r b ) 等。 ( 1 ) 网格技术：网格技术是为了实现人们期望对计算机资源的使用能够达到只要通 过简单的接入，就可以获取自己所需要的资源的状态，而不必关心资源的来源、实现细 - 5 东北大学硕士学位论文 第2 章相关理论基础 节和调度过程的要求。对网格的研究主要有：维吉尼亚大学的l e 百o n 计划、欧共体出 资的e u r o g r i d 项目和美国国家科学基金资助的t e 豫g f i d 项目等。 ( 2 ) 移动主体技术：移动主体是主体技术和分布式技术结合的产物，具有主体的自 治性、响应性、推理性，另外还有移动性，即可以在网络上不同的节点之间移动，从而 有效的分散分布式计算中的网络负载、提高通讯效率，并具有很好的安全性和容错能力。 ( 3 ) p 2 p 技术：p 2 p 技术为一种通讯模式，在这种模式下，所有网络节点上的设备都 可以建立p 2 p 对话，信息的需求者同时也是该信息的提供者，同一信息的访问者越多， 速度就越快。所有的节点之间的地位完全对等，每个节点具有c l i e n t 和s e r v e r 的双重特 性，并且各节点可以动态的加入和退出，并在此基础上提供某种特定的服务。如今，p 2 p 技术己经成为一种重要的分布式计算技术。 ( 4 ) w 曲s e r v i c e s 技术：w 曲s e r v i c e s 的主要目标就是在现有的各种异构平台的基础 上构筑一个通用的与平台无关、语言无关的技术层，各种不同平台之上的应用依靠这个 技术来实施彼此的连接和集成。使i n t e n l e t 的信息能为计算机所理解，从而最大限度的 实现网络上的资源共享。 但是上述技术都没有能够很好的解决参与者间以松散耦合的方式进行交互的问题。 所以，一种异步通讯机制一发布订阅通讯模型应运而生。发布订阅技术很好的解决了 参与者之间松散耦合的问题，因此在近年来越来越受到人们的重视。发布订阅 ( p u b l i s t l s u b s 嘶b e ，简称p u b s u b ) 系统是指在分布式环境中实现动态的、多对多通信的 一种通信网络结构。一个发布订阅系统一般来说包括信息发布者、信息订阅者和事件通 知服务三个部分，信息发布者和信息订阅者通过事件通知服务交互。信息订阅者向事件 通知服务发布一个订阅条件，表示对特定信息的兴趣。而信息的发布者则向事件通知服 务发送信息，然后事件通知服务将订阅者感兴趣的信息及时、可靠的传送给信息的订阅 者。在整个系统中，信息发布者和信息订阅者是以松散耦合的方式进行交互的，即生产 者和消费者不是直接交互，而是通过事件通知服务，生产者和消费者都不需要知道对方 的存在。所以对于发布者和订阅者来说发布订阅系统就像一个黑盒，双方并不知道里面 的内容，它们只关心怎样将消息发布到黑盒中和怎样将消息从黑盒中接收需要的订阅消 息。 2 1 1 发布订阅系统模型 发布订阅系统是一种使分布式系统中的各参与者能以“发布订阅”的方式进行交 互的中间件系统。发布订阅系统一般由发布者、订阅者和事件通知服务组成。发布者和 订阅者之间通过“事件”通知服务进行交互。发布者负责产生事件，订阅者则消费事件， 事件通知服务则是通常所说的发布订阅系统( p u b l i s h s u b s c r i b es y s t e m ) 。 在一个发布订阅系统中，发布者将产生的“事件”发布到事件通知服务；订阅者则 6 东北大学硕士学位论文 第2 章相关理论基础 向事件通知服务注册，并发送一个“订阅条件 ，表达对某事件的兴趣；事件通知服务 充当发布者和订阅者中介，负责管理订阅、匹配与订阅相符的事件，并保证将发布者发 布的事件及时、可靠的发送给感兴趣的订阅者。其典型模型如图2 1 所示。 b m k c 俗o s u b s 州b e 耐m e m b e 体 图2 1 发布订阅系统典型模裂 f i g 2 1t y p i c a lm o d e lo fp u b l i s l l p u b s c r i b es y s t 锄 在具体的实现上，发布订阅系统的实现方式分为两种：集中式和分布式。集中式只 有一个事件代理( 即系统中只有一台代理服务器) ，所有的事件和订阅都发送到此事件 代理上，即所有的事件和订阅都通过这个唯一的事件代理进行转发。集中式结构如图2 2 所示。 图2 2 集中式结构 f i g 2 2c e n t 豫l i z e ds t r u c t u r e 这种集中式结构简单，易于维护。但是在一个大型的发布订阅系统中，客户端会有 数十万甚至上百万个，对于每个被发布的消息，事件代理都要在很短的时间内将其与各 个订阅条件进行匹配，找到相应的订阅者，并转发给它们，事件代理需要同时管理这么 - 7 东北大学硕士学位论文第2 章相关理论基础 多客户端，其性能会成为系统的瓶颈。 为了解决系统的瓶颈问题，大规模的发布订阅系统往往采用分布式的系统结构，其 中分布多个事件代理( 即系统中有多台代理服务器) ，每一个事件代理都会为一定量的 本地客户( 订阅者或发布者) 服务。多个事件代理服务器会组织成一定的拓补结构，例 如星形、环形、无环图等结构，负责事件或订阅的转发。分布式结构如图2 3 所示。 图2 3 分布式结构 f i g 2 3d i s t r i b u t c ds 扛1 l c t u 佗 发布订阅系统最突出的优点是发布者和订阅者之间都是松散耦合的，即他们不需要 知道对方的是谁，在什么地方以及对方的运行状态，也不需要等待对方的消息处理。除 了松散耦合的特性以外，发布订阅系统还具有其他的优点：可扩展，即用户可以动态的 加入和离开，系统不需要做任何改动；多点通信：即多个订阅者可以接收同一个一个事 件。 2 1 2 发布订阅系统关键技术 为了使得发布订阅系统能正常的工作，主要涉及了以下几个关键的技术： ( 1 ) 数据模型 发布订阅系统的数据模型决定了系统的表达能力。在发布订阅系统发展过程中出现 了各种各具特色的系统，其表达能力越来越强。基于不同数据模型的发稚订阅系统，按 照订阅消息的方式来分，到目前为止应用最为广泛的系统包括：基于主题的系统、基于 内容的系统和基于类型的系统三大类。 基于主题的系统将所有的事件按照主题划分成组，每个事件只属于其中一个主题。订 阅者在订阅信息时，指明对哪个主题感兴趣，将来一旦出现该主题下的事件，系统都会 自动将其发送给订阅者，订阅者接收其订阅主题的所有事件。这种系统不去理解事件的 内部结构，而将其看成是一个封闭的黑盒子，订阅者不能更细粒度地表达他对某主题下 - 8 东北大学硕士学位论文第2 章相关理论基础 的一部分事件感兴趣。早期的p u b s u b 系统一般都是基于主题的系统，例如t i b 的较早 版本、i b m m q s 舐e s 的较早版本、s 嘶b e 和b a y e u x 等。 在基于内容的发布订阅中，消息的发布者使用预定义的模式创建消息，消息的接收 方就根据这个模式对消息进行过滤，然后把消息发送到订阅的客户端。基于内容的系统 的优点是订阅的灵活性，订阅者在订阅前不需要了解一套定义订阅的主题名；带来的不 利是给系统根据订阅条件来匹配大量事件，带来很大负担。订阅数目比基于主题的系统 的主题的数目要大得多，因此匹配的效率必须很高。目前基于内容的发布订阅系统有 e l v i n ，g r y p h o n ，s i e n a 和j e d i 等系统。目前的基于内容的p u b s u b 系统又可分为两类： 一类是基于m a p 的；另一类是基于x m l 的。 基于类型的发布订阅系纠1 7 】由e u g s t e r 等人将面向对象语言的类型模型与发布订 阅系统的事件模型结合提出来的。在这种系统中，事件被声明为属于特定类型的对象， 事件对象中封装了属性和方法，事件对象根据类型进行分类；订阅对象中封装了订阅者 的订阅条件，订阅者通过指定接收的对象类型来订阅。这种系统表达能力介于基于主题 的和基于内容的系统之间，对类型的粗粒度的过滤类似基于主题的系统，在属性之上的 细粒度的约束又类似于基于内容的系统，而在方法之上的约束又是面向对象技术的结 果。但这类系统的表达式太复杂，很难抽取出不同订阅条件之间的共性，从而很难设计 一个高效的匹配算法，系统的效率较低。 ( 2 ) 匹配算法 在大规模的系统中，事件的发布是非常频繁的。当一个事件被发布后，系统如何能 快速地找到所有对之感兴趣的订阅者，这就是系统匹配算法所要解决的问题。其设计目 标主要包括：匹配的时间效率、匹配的空间效率和订阅维护的效率。其中，匹配的时间 效率是最重要的目标。人们对于匹配算法的研究大多数都是基于这样的思想：各客户的 订阅条件往往不是完全相同的，可能出现重复情况。对于重复的部分，我们只需要判断 一次就可以了，从而可以缩短整个匹配过程所需要的时间。p u b s u b 系统的匹配算法总 是依赖于特定的数据模型：对于基于主题的p u b s u b 系统，因为给定主题下的每个事件 都要被转发给该主题下的所有订阅者，所以不需要为其设计相应的匹配算法；对于基于 m a p 和基于x m l 的p u b s u b 系统，已经提出了很多种高效的匹配算法；而对于其他具 有复杂数据模型的p u b s u b 系统，尚未找到高效的匹配算法。大多数已有的p u b s u b 系 统匹配算法都是基于这样的思想：对各个客户的订阅条件中的一些重复的成分，只需判 断一次来优化，并充分利用订阅的索引结构，以缩短匹配时间。 ( 3 ) 路由算法 发布订阅系统路由算法就是要解决如何在事件代理网络中寻找一条恰当的路径，使 事件低成本、高效和可靠地到达各相关的订阅者的问题。其追求的设计目标有：事件转 9 东北大学硕士学位论文第2 章相关理论基础 发的网络效率、订阅维护的网络效率、容错能力、负载平衡和每个节点的资源消耗。其 中，事件转发的网络效率是最主要的设计目标。常见的主要是基于内容的路由算法，它按 照路由的准确性可以分为非精确型和精确型两大类：非精确型路由算法采用了洪泛法， 会把事件转发给没有订阅的消费者，网络传输效率较低，但同时也降低了每个代理的负 载；精确型路由算法只把事件发给有匹配的订阅条件的订阅者，旨在降低各事件代理之 间的消息转发数量，但同时也增加了维护订阅路由表的成本和事件转发的复杂性等。目 前研究得较多的是精确型路由算法，它主要包括简单路由算法和基于覆盖的路由算法： 简单路由算法是一种基于过滤的算法，它通过在事件代理网络中，洪泛地发布新的和取 消的订阅，使所有代理的路由表中都有每个活动的订阅。然而，由于所有的代理都必须 具有所有活动订阅的知识，简单路由的路由表很大，而且订阅维护的成本很高，不适合 大规模的应用系统。简单路由算法被g 唧h o n 系统采用；基于覆盖的路由算法，不需要 所有活动订阅的全局知识，它采用基于订阅覆盖测试的有选择性的转发策略，避免洪泛 似的在代理网络中发送所有订阅，它被s i e n a 和j e d i 系统采用。 ( 4 ) 密钥管理方法 目前在一般的发布订阅系统中，如果需要安全性保护则所采用的密钥管理方法基本 上都是基于订阅者分组的密钥管理方法。在这种方法中密钥分配中心承担所有的安全管 理任务，其中安全的管理任务主要包括前向加密、后向加密和同谋破解。 国内已有学者对密钥管理方法进行了研究。王化群等人首次利用环上椭圆曲线所构 成的陷门离散对数的同态性质，结合s h 锄i r 秘密分享方案，提出了一种新的适用于a d h o c 网络的密钥管理方案在该方案中，新加入的成员向组内成员提供环上的椭圆曲线加 密体制，并保密相应的陷门。利用该加密体制的同态性参与密钥分发的成员将关于新成 员的子密钥加密后依次相加，新成员得到最后的和，然后解密；为防止攻击者来自于组 内成员，在每次子密钥加密中都加入了混合因子。新方案具有很好的安全性，破解该方 案的难度不低于破解r s a 。李光松，韩文报在基于分簇的网络结构中给出了一种新的 a dh o c 网络密钥管理方案【1 8 】。方案使用了身份签名的密码算法，不需要公钥证书的存 在，用户以其身份标识作为公钥，有效地降低了用户终端计算、存储能力的需求和系统 密钥管理的通信开销。基于分簇的结构将网上节点分成一些相对独立的自治域，既提高 了安全服务的可用性和可扩充性，也便于对某些紧急情况快速做出反应。傅坚，陈斌针 对i p s e c 协议在组播环境中存在的问题【1 9 】，以组控制器为中心提出一种基于组控制器的 一对多组密钥管理方案；将组密钥与源鉴别密钥捆绑在一起，从而很好地解决了组播源 鉴别问题。分析结果表明方案有效控制了组密钥更新对系统性能的影响。 2 2 安全组播系统 一个完整的安全组播系统具有用户接入认证、组用户管理、组播源认证以及组播内 一10 东北大学硕士学位论文第2 章相关理论基础 容安全分发等多种功能。具有一定安全性的组播是指：只有注册的发送者才可以向组播 组发送数据；只有注册的接收者才可以接收组播组数据，几乎不存在组播设置欺骗的可 能性。安全组播目前面临的问题最主要的是组密钥管理和组播源认证。在组密钥更新时， 如何安全的进行密钥分发以通知组内用户进行组密钥更新是组密钥管理技术的核心。其 它安全问题还包括：数据的机密性和完整性、抗抵赖服务、访问控制、组信任问题和服 务可用性等。 组播的安全需求包括接入控制、数据的机密性、流量的机密性、完整性、数据的可 鉴别性、源可认证性、不可否认性以及服务的可用性等。从密钥管理的观点来看，需要 重点关注：数据的机密性、数据的可鉴别性和源的可认证性。本节分析组播的主要安全 问题如下： ( 1 ) 组播通信技术中没有提供任何机制阻止组成员或者非组内成员向这个组发送数 据，容易遭到恶意的攻击。 ( 2 ) 相对于单播通信，组播报文在更广泛的网络上传输，更易于遭到攻击。 ( 3 ) 数据保密：保证非组成员不能解读组播数据。一般使用组成员共享的组密钥加 密组播数据来保证保密性。 ( 4 ) 发送方和数据的真实性：确保接收到的数据是由声称的发送者创建的，而且在 传送过程中没有被修改。真实性有两层含义：组的真实性，即一个组成员可以识别消息 是由另一组成员发来的；实体的真实性：即在组中识别特定的发送者，既使消息的创建 者不是一个组成员，也希望验证消息的来源。