您好、欢迎来到现金彩票网!
当前位置:热购彩票app下载 > 公钥构架 >

PVPN:一种新的安全 P2P 网络体系架构

发布时间:2019-06-27 20:57 来源:未知 编辑:admin

  PVPN:一种新的安全 P2P 网络体系架构_其它考试_资格考试/认证_教育专区。PVPN:一种新的安全 P2P 网络体系架构 ? ? 庞 玲 尹 浩 林 闯 刘雪宁 肖圳莎 (清华大学计算机科学与技术系 北京 100084) (ghua.edu.c

  PVPN:一种新的安全 P2P 网络体系架构 ? ? 庞 玲 尹 浩 林 闯 刘雪宁 肖圳莎 (清华大学计算机科学与技术系 北京 ? ? 摘 要 文章提出了一种针对 P2P 通信环境的安全通信架构——PVPN 架构,通过在 P2P 网络中引 入 VPN 技术,即将进行 P2P 通信的节点临时组成 VPN 网络的方法,来实现该架构。文章还将 DH 算 法与 PVPN 架构相结合,设计了该架构的密钥生成算法。最后将该架构应用到实际的家庭生活电视 机顶盒中,充分满足人们的各种需求,使之具有很好的学术研究和产业应用前景。 关键词 P2P;VPN;PVPN;安全性;Diffie-Hellman 算法 1 引言 Internet是人类有史以来最重要的科技成果之一,它彻底改变了人类的生活和工作方式。但随 着移动终端的加入,节点之间的数据交换越来越频繁,从而引发用户对于安全的数据交换、方便的 远程访问和控制等需求越来越迫切。人们在享受Internet给生活和工作带来很多便利的同时,寻求 一种更加安全方便的网络配置方式,希望在这种网络环境下,点对点通信是安全的,数据交换是便 利的,没有地域界限和网络异构的阻碍。 [1] P2P技术 的发展满足了用户便利交换数据的要求,使通信不受地域界限和网络异构的限制。资 源分布在多个节点,更好的实现了整个网络的负载均衡,理论上其可扩展性是无限的。但由于其非 中心化的思想,没有身份认证,数据加密等安全机制,无法保证通信的安全可靠性,因此如何在尽 可能保证P2P通信优势的前提下,为其建立一套集认证、访问控制、信息加密、数据安全传输于一体 的安全机制,是P2P技术迫切需要解决的问题。 [2] VPN技术 是专用网络在公共网络如Internet上的扩展,通过私有隧道技术,在公共网络上仿线] 一条点到点的专线,从而达到安全的数据传输目的。其采用的隧道技术 、身份认证 以及数据加解 密技术已相当的成熟,应用广泛,扩展性好,能保证通讯数据的机密性和完整性。 [5] [6] [7] 本文将VPN技术引入P2P网络 ,提出了一种新的架构 ——PVPN架构,该架构在保留P2P网络 原有的点对点通信基础上,即会话建立时间短,数据通信充分占用带宽,传输速率快等优点的前提 下,支持灵活的虚拟专用网的建立,并将局域网应用引入到P2P网络中,这样能够解决P2P网络中节 点的不可控问题,而且能够实现节点间的安全数据传输。 在设计PVPN架构的基础上,参考VPN技术的身份认证技术以及隧道技术,结合Diffie-Hellman [8] 密钥交换算法即DH算法 ,设计了PVPN架构的密钥分发方法,确保了在P2P网络中的身份认证以及 安全通信的实现,使节点之间通信具有一定的安全性。 对PVPN架构进行扩展,形成规模化,并应用到实际家庭生活中,将终端的节点换成改进的家庭 消费终端机顶盒,再将手机与之绑定,通过手机控制机顶盒来实施相关的功能,则用户可以随时随 地的操作机顶盒,例如通过手机开启机顶盒上网,进行视频点播,或下载喜欢的电影进行观看,还 可利用手机拍照摄像的功能,将外出旅途中摄下的内容及时的传送到机顶盒,使家人通过电视就能 观赏到旅途的风景,还可以与朋友的电视机顶盒实现共享,分享机顶盒中的内容,如电影,照片, 视频等等。 2 相关技术 [9] 2.1 金万维的天联(TeamLink) “天联”(TeamLink)服务,是金万维开发的“第三代VPN”服务。能实现的服务:在家或出差 在外或分支机构访问公司,搭建“虚拟”开发团队、实现协同开发,在外与公司的电脑之间共享文 ? 470 件,管理架设在公网上的服务器。 缺点:服务器端部署在gnway,所有维护都由第三方来做,虽然减少了维护成本,但在gnway 出 现问题的情况下无法正常工作,比较受限制,而且存在安全隐患。 2.2 Canada的hamachi [10] 由hamachi公司设计开发,于2006年被LogMeIn公司收购,主要用于局域网游戏和远程登陆。可 实现的功能有:通过互联网建立LAN将多台计算机组成单独的安全网络,就如同用电缆进行物理连接 一样;远程访问,使用远程桌面对网络中的任何计算机进行远程控制;文件和网络驱动器,访问重 要的文件和网络驱动器。 缺点:依赖于中央服务器,网络流量大时用户登陆可能失败。缺少群发功能和会议功能,用户 组满员后的更新策略不够灵活,导致新用户欲进不能。 2.3 台湾的DSTi [11] Santrum公司开发的一款具有SSL加密功能的企业用即时通信软件DSTi。实现的功能包括:从远 程访问文件服务器,与其它用户通话,传送实时信息给其它用户,共同编辑、共享其它用户的界面, 从其它用户的共享文件夹读取文件,从远程为客户安装软件,与其它用户召开在线会议,为其它用 户进行简报,与其它用户共同编辑文件,传送文件给其它用户,为其它用户进行远程培训。 缺点:用户端使用不够智能化,软件出现故障后需要用户手动删除正在运行的部分程序,而且 运行中还会出现让用户安装虚拟网卡的现象。 3 PVPN 的体系结构 3.1 架构原理 PVPN架构的思想是在P2P网络中引入VPN技术,希望既可以具有P2P网络的优点,又具有VPN的身 份认证技术以及数据安全的优点。 物理架构原理如图1,在P2P网络中有Node A,B,C,D几个节点,其相互进行通信,此时欲在此 基础上建立VPN,则将发起通信的节点如Node A作为一个超级节点,暂时充当该VPN的服务器,其它 的节点Node B,C作为终端节点临时组成一个VPN。 Fig. 1 Principle of Physical Structure 图1 物理架构原理 逻辑架构原理如图2,P2P网络中的节点可以根据不同的应用组成不同的VPN,即一个节点根据不 同的应用可以加入多个VPN,如Node B,Node C和Node D的应用2可以组成Virtual Lan A,同时Node A和Node C的应用1可以组成Virtual Lan B,Node A和Node B的应用4可以组成Virtual Lan C。 Fig. 2 Principle of logical Structure 图2 逻辑架构原理 ? 471 3.2 框架设计 如图3所示,整个架构是由三种节点组成:中心服务器(P2P-VPN Center,简称PVC) ,超级节点 [12] (发起通话的节点定义为超级节点Super Node,SN)和普通节点(Node) 。定义的PVC负责管理SN 以及未通信的Node,PVC中保存着节点的公钥,地址以及状态等信息;SN管理与之通信的Node,包括 Node的地址及状态等信息。当Node之间进行P2P通信时,通过其所属的SN进行控制管理,这样通信的 Node与SN就组成一个VPN网络。多台PVC之间互相通信时,就组成下图的网络。 Fig. 3 Framework of the network 图3 框架的网络结构图 采用公钥认证方式,在PVC中保存附近终端节点的公钥。Node组成PVPN的基本步骤如下: 1. 一台终端A欲与另一台终端B进行P2P通信,则A先向PVC提出申请,PVC对其进行认证,通过 认证后保留A的申请信息,此时A成为SN。 2. PVC发消息给B,如果B没在该PVC的范围内,则PVC向其它的PVC发广播消息,直到找到B。 3. B向PVC回确认消息,PVC对其进行认证,认证通过后告诉B关于A的邀请信息。 4. 同时PVC给A返回B的信息,包括B的公钥,地址。 5. A、B双方知道对方的信息后,协商通话使用的对称密钥,具体过程下面仔细介绍。 6. 双方使用对称密钥进行通信。 7. A可以采用同样的步骤邀请终端C,然后A保存C的信息。 8. A、B和C临时组成一个VPN,A为SN,保存着B和C的公钥,地址以及状态等信息。 9. B和C也可以通过A进行通信。 3.3 关键技术 主要介绍将P2P通信的节点组成VPN网络时密钥的生成方法,是一种基于DH算法,并结合该架构 而实现的一种算法,数据包经过该协商过程产生对称密钥加密后进行传输。 3.3.1 密钥生成原理 Xa 用户A产生的对称密钥的计算方式为Ka = (Yb) mod p。同样,用户B产生的对称密钥的计算方式 Xb 为Kb = (Ya) mod p。 Xa Xb 对于用户A,Ka = (Yb) mod p 对于用户B,Kb = (Ya) mod p Xa Xb = (gXb mod p)Xa mod p = (g mod p) mod p Xb Xa Xa Xb = (g ) mod p = (g ) mod p Xb Xa Xa Xb = g mod p = g mod p 因此,经过上面的证明,可得Ka =Kb =K,这两个计算产生相同的结果,相当于双方已经交换了 一个相同的秘密密钥K,如图4。 Fig. 4 Key generation 图4 密钥生成图 因为Xa和Xb是保密的,一个敌对方可以利用的参数只有p、g、Ya和Yb。因而敌对方被迫取离散对 ? 472 数来确定密钥,但对于大的素数,计算出离散对数几乎是不可能的,因此通信密钥K是相对安全的。 3.3.2 密钥生成算法 结合本框架,根据上面的密钥生成原理,定义三个函数:Private( ),Public(Xn),Key(Xn,Ym)。 Private( )为私钥生成函数,定义为Private( ) = random( ),无输入,运行函数得到私钥Xn。 Public(Xn)为公钥生成函数,定义为Public(Xn) = gXn mod p,输入为私钥Xn,输出为对应的公钥 Yn。其中素数p和整数g是两个全局公开的参数,且g是p的一个原根,Xnp。 Key(Xn,Ym)为通信对称密钥生成函数,定义为Key (Xn,Ym) = (Ym) Xn mod p,输入为自己的私钥 Xn和对方的公钥Ym,输出为会话的对称密钥K。 当某一个终端A欲与其它终端B、C进行通信时,具体的实现过程为: 1. A先执行Private( ),生成自己的私钥Xa并秘密保存。 2. 然后执行Public(Xa)得到公钥Ya,并将参数g、p以及公钥发给PVC,提出与其他终端(例如B 或C)通信的请求。 3. PVC将请求信息及参数转发给相应的终端B或C。 4. B或C收到请求,执行Private( ),生成自己的私钥Xn并秘密保存。 5. B或C执行Public(Xn)得到公钥Yn,并将公钥发给PVC。 6. PVC将信息转发给A。 7. A、B或C分别执行Key(Xn,Ym),得到通信的对称密钥K。 8. A、B或C开始终端之间点对点的安全通信。 4 性能评估 4.1 测量结果 本文通过模拟实验,分别搭建VPN、P2P和PVPN三种平台。具体的实验环境为,四台计算机,如 下配置: ① Intel(R) Pentium(R) 4 CPU 2.80GHz,512M内存,80G硬盘,Ubuntu系统; ② Intel(R) Celeron (R) 4 CPU 2.13GHz,1G内存,80G硬盘,Windows系统; ③ AMD 2500+,1G内存,80G硬盘,Windows系统; ④ AMD 2200+,512M内存,80G硬盘,Windows系统。 对于VPN平台,选择①为Server,其它三台计算机为终端,分别安装VPN软件OpenVPN,组成VPN 网络,在Server上安装抓包软件Sniffer进行测量。 对于P2P平台,在②上使用了下载软件迅雷,通过Sniffer抓取在下载开始及在下载中的数据包。 对于PVPN平台,使用这四台计算机进行模拟,其中①定义为PVC,其余的三台为终端,且先发起 会话的一台为SN,其余两台为Node,在其进行通信时使用②上的Sniffer抓包测量。 通过图5可以看出,在会线ms左右,VPN网络在10ms左右,而PVPN 网络在2ms左右。 Fig. 5 Time of session setup 图5 会线P网络的数据传输速率为6000KB/S左右,VPN网络的数据传输速率为 2500KB/S左右,而PVPN网络的数据传输速率为5000KB/S左右。 ? 473 Fig. 6 Speed of data transfer 图6 数据传输速率 4.2 性能分析 根据图5和图6可以得到三种架构的性能比较,如表1,通过对会话建立时间和数据传输速率的对 比,PVPN架构较P2P性能有所下降,即会话建立时间较之长并且数据传输速率较之慢,但比VPN的性 能强很多,因此在P2P网络中引入VPN技术的方法,即PVPN架构,在一定的程度上保证了P2P网络的会 话建立时间快,数据传输速率大的优点。 Table 1 Comparison of Performance 表1 性能比较 P2P VPN PVPN Time of session setup (MS) 0.2 10 2 Speed of data transfer (KB/S) 4.3 安全性分析 6000 2500 5000 信息安全的三大参数为:信息的完整性,机密性和可用性。 信息的完整性是要求信息必须是正确和完全的,而且能够免受非授权、意料之外或无意的更改。 完整性还要求计算机程序的更改要在特定的和授权的状态下进行。在PVPN架构中,终端Node都通过 PVC的认证,均为合法用户,而且在参与通信前,欲通信的终端Node必须经过PVC的检验,是合法用 户才能参与到会话中,因此能够防止非授权、意料之外或无意的更改,完整性可以保障。 信息的机密性要求信息免受非授权的披露。它涉及到对计算机数据和程序文件读取的控制,即 谁能够访问那些数据。在PVPN架构中,通信双方在通信之前才协商对称密钥,且通信终止后密钥作 废,这样通信密钥更换比较频繁,通信内容经对称密钥加密后进行传输,因此机密性也可以保障。 信息的可用性要求信息在需要时能够及时获得以满足业务需求。它确保系统用户不受干扰地获 得诸如数据、程序和设备之类的系统信息和资源。在PVPN架构中,终端均处于PVC的管理下,PVC之 间能够实现实时的通信,因此不论终端为通信发起端还是被呼叫端,都能够及时的通过PVC的管理而 参与会话,保障了可用性。 因此,PVPN架构能保障信息的完整性,机密性和可用性,信息的安全性得以保障。 综上所述, PVPN架构具有了P2P网络会话建立时间短, 数据传输速率快的特点, 同时还具备了VPN 技术的安全性的特点,因此PVPN架构实现了在P2P环境下的安全通信。 5 应用与总结 对该架构进行扩展,形成规模化,然后将移动终端(例如手机)和终端Node绑定在一起,以终 端Node为中心,手机等移动终端与终端Node直接进行交互,通过手机控制终端Node实施相应的操作。 将终端的Node换成改进的家庭消费终端机顶盒Box, 则此框架就可以应用到家庭数字终端业务方 面,如图7。 ? 474 Fig. 7 Application of PVPN framework 图7 PVPN框架实际应用图 在基本框架的基础上添加了移动终端手机以及EPG服务器 (电子菜单) 。 将个人手机和机顶盒Box 进行绑定,通过手机来控制机顶盒Box实施相关操作,例如个人用户可以通过手机开启Box的视频点 播功能,在EPG中选择喜欢的电影进行下载,体验宽带的下载速度,实现通过电视观看大片的梦想, 还可方便灵活的通过Box进行朋友之间的局域网游戏以及安全的局域网协同作业等。 还可以利用手机 拍照摄像的功能, 将旅途中摄下的内容及时传送到Box, 使家人在家通过电视及时的看到旅途的风景, 还可以与朋友的Box实现共享,朋友也可以看到你的Box中公开的照片,视频,电影等等。 其改进的家庭消费终端机顶盒Box,具有大容量、支持各种网络接口、扩展性强等优点,能够带 给家庭用户全新的体验,特别迎合日益增长的对家庭数字终端业务的需求,因此具有很好的产业应 用。 本文将VPN技术引入到P2P网络中,提出了一种在P2P环境下安全通信的PVPN架构。该架构结合了 P2P技术的分布性、共享性和VPN技术的安全性,在原有的P2P网络上构建一层安全机制,解决了P2P 节点之间的有效性验证和数据安全传输问题。在提出PVPN架构的基础上,结合DH算法,设计了本架 构中P2P的节点组成VPN并进行通信时的密钥生成方法。测试结果表明,PVPN架构较好地权衡安全性 和数据传输率两方面,获得不错的系统性能。将该模型应用到实际的家庭生活中,能满足现代人们 对安全网络的无限需求的要求,同时又带来了无限的学术研究和产业应用前景。 参 考 文 献 Luo Jiewen. Review of P2P [EB/OL]. Institute of computing technology,Chinese academy of sciences,Nov.3,2005 (罗杰文. Peer to Peer(P2P)综述[EB/OL]. 中科院计算技术研究所,Nov.3,2005) Satish Raghunath, K. K. Ramakrishnan. Resource Management for Virtual Private Networks [J]. IEEE Communications Magazine, 2007 Monia Ghobadi,Sudhakar Ganti,Gholamali C.Shoja. Resource Optimization to Provision a Virtual Private Network Using the Hose Model [C]. IEEE ICC 2007 proceedings Ravi S.Ravindran,Changcheng huang,K.Thulasiraman. A Dynamic Managed VPN Service: Architecture And Algorithms [C]. IEEE ICC 2006 proceedings LUCENT TECHNOLOGIES INC. METHOD AND APPARATUS FOR ENABLING NODE-TO-NODE VIRTUAL PRIVATE NETWORK ( P2P-VPN ) SERVICES IN VPN-ENABLED NETWORK [P]. United States , US2004/0006708 A1 Jan.8,2004 Sadanori Aoyagi,Makoto Takizawa,Masato Saito,Hiroto Aida,Hideyuki Tokuda. ELA: A Fully Distributed VPN System over Node-to-Node Network [C].Proceedings of the 2005 Symposium on Applications and the Internet,2005 Kin-Wah Kwong, Danny H.K. Tsang. Building Heterogeneous Node-to-Node Networks: Protocol and Analysis [J]. IEEE/ACM TRANSACTIONS ON NETWORKING,2008,16 Diffie W,Hellman ME. New directions in cryptography [J]. IEEE Trans. on Information Theory. 1976, 22(6):644-654 胡亚达.大规模网络计算平台中安全服务支撑系统的设计与实现:[硕士学位论文][D].北京:清华大学计算机科学与技术系,2008) ? 476

http://e-ndicus.com/gongyuegoujia/578.html
锟斤拷锟斤拷锟斤拷QQ微锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷锟斤拷微锟斤拷
关于我们|联系我们|版权声明|网站地图|
Copyright © 2002-2019 现金彩票 版权所有