基于Ｐ２Ｐ的海量地形漫游中安全認(rèn)證性能分析

摘 要：對(duì)等網(wǎng)中大量動(dòng)態(tài)性節(jié)點(diǎn)間的交互，導(dǎo)致傳統(tǒng)的通過(guò)中心服務(wù)認(rèn)證加密的安全模式難以實(shí)施；針對(duì)此問(wèn)題，結(jié)合海量地形漫游的特點(diǎn)，提出了一種新的基于P2P的安全認(rèn)證模式。該模式將認(rèn)證中心的證書有效分割并通過(guò)P2P的方式高效地在動(dòng)態(tài)節(jié)點(diǎn)間傳輸與更新。理論上分析并對(duì)比了在傳統(tǒng)C/S和P2P模式下的證書分發(fā)過(guò)程中，認(rèn)證中心的負(fù)載性能以及證書傳輸與更新所需時(shí)間。最后對(duì)兩種模式下的安全機(jī)制進(jìn)行了仿真實(shí)驗(yàn)，結(jié)果證實(shí)了基于P2P的安全認(rèn)證機(jī)制的高效性。

關(guān)鍵詞：地形漫游；信息安全；公開密鑰基礎(chǔ)設(shè)施；對(duì)等網(wǎng)

中圖分類號(hào)：TP208文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001-3695(2009)06-2145-03

doi:10.3969/j.issn.1001-3695.2009.06.044

Performance analysis of security certificate authority inP2P-based massive terrain navigation

PAN Shao-minga，YU Zhan-wua，LI Ruia，WANG Haob

(a.State Key Laboratory of Information Engineering in Surveying， Mapping Remote Sensing，b.School of Electronic Information， Wuhan University， Wuhan 430079， China)

Abstract:The dynamic of peers in P2P overlay and their interactions had offered a challenge on security certificate authority.This paper proposed a new security certificate mode， namely P2P-PKI.P2P-PKI effectively broke a certificate into size-equal segments， and transmited and updated the segments among the dynamic peers.Theoretically analyzed the load of certificate authority and the time to certificate transmission and update.Simulation experiments are performed and the results show the out performance of P2P-PKI over the traditional PKI.

Key words:terrain navigation; information security; PKI（public key infrastructure）; P2P

網(wǎng)絡(luò)GIS作為一種信息系統(tǒng)，數(shù)據(jù)是可共享的^[1]。海量地形漫游技術(shù)充分利用數(shù)據(jù)的共享特性，通過(guò)P2P的方式下載地形數(shù)據(jù)，以減少中心服務(wù)器的負(fù)載，提高系統(tǒng)節(jié)點(diǎn)容量和地形漫游的服務(wù)質(zhì)量^[2]。傳統(tǒng)C/S體系結(jié)構(gòu)下通過(guò)中心服務(wù)器對(duì)信息加密，節(jié)點(diǎn)在接收到數(shù)據(jù)之后再進(jìn)行解密的安全認(rèn)證模式，由于對(duì)等網(wǎng)中大規(guī)模動(dòng)態(tài)節(jié)點(diǎn)的存在，在P2P模式下已經(jīng)難以實(shí)施以滿足數(shù)據(jù)安全性要求。針對(duì)此問(wèn)題，筆者提出了基于P2P-PKI的海量地形漫游共享安全認(rèn)證模型，對(duì)認(rèn)證中心的負(fù)載以及證書下載與更新時(shí)間的仿真實(shí)驗(yàn)結(jié)果，表明P2P-PKI的有效性。

1 相關(guān)工作

GIS的安全關(guān)系到國(guó)計(jì)民生，有大量文獻(xiàn)對(duì)此加以討論。文獻(xiàn)[3]通過(guò)對(duì)象存儲(chǔ)的概念，將數(shù)據(jù)以對(duì)象的方式進(jìn)行傳輸和使用，能從根本上解決地理信息的安全傳輸和本地緩沖，但對(duì)于現(xiàn)有的GIS，該方法工程改造難度大。文獻(xiàn)[4]把RBAC(role-based access control)技術(shù)應(yīng)用到GIS，將角色與用戶分離，權(quán)限與角色綁定，并利用PKI/PMI體系來(lái)解決信息安全控制問(wèn)題，較好地解決了傳統(tǒng)的C/S模式下的安全問(wèn)題，但在用戶規(guī)模迅速擴(kuò)大時(shí)，證書撤銷將引發(fā)中心認(rèn)證服務(wù)節(jié)點(diǎn)的新的瓶頸。文獻(xiàn)[5]通過(guò)數(shù)字水印技術(shù)，對(duì)共享的地理空間數(shù)據(jù)加以保護(hù)，在ArcGIS、MapInfo以及AudoCAD等文件系統(tǒng)上取得了比較好的效果，但其針對(duì)不同的文件和數(shù)據(jù)格式，其水印加密算法并不相同，因此不具有普遍的工程實(shí)施意義。文獻(xiàn)[6]提出了一套關(guān)于地理信息服務(wù)的安全保障機(jī)制，從多個(gè)方面討論了基于Web的GIS信息安全問(wèn)題，但其基于中心服務(wù)的認(rèn)證模式，在大規(guī)模節(jié)點(diǎn)下容易形成瓶頸。文獻(xiàn)[7]從數(shù)據(jù)存儲(chǔ)安全和效率的角度提出了結(jié)合文件管理和數(shù)據(jù)庫(kù)管理的GIS海量影像數(shù)據(jù)管理系統(tǒng)，對(duì)本地信息存儲(chǔ)安全給出了一種解決方案，但沒有討論數(shù)據(jù)的傳輸安全問(wèn)題。

針對(duì)上述問(wèn)題，本文提出了一種適用于海量地形漫游的高度動(dòng)態(tài)性對(duì)等網(wǎng)的PKI安全認(rèn)證機(jī)制，并給出了相關(guān)模型與性能分析，最后對(duì)模型進(jìn)行了仿真實(shí)驗(yàn)，結(jié)果表明該機(jī)制的有效性。

2 基于P2P的PKI安全認(rèn)證模型

2.1 安全認(rèn)證模型設(shè)計(jì)

公開密鑰基礎(chǔ)設(shè)施(PKI)^[8]是一個(gè)具有普適性的安全基礎(chǔ)設(shè)施，它利用公鑰密碼技術(shù)在開放的網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)。

傳統(tǒng)的PKI認(rèn)證消息都是通過(guò)證書管理中心(certificate authority，CA)頒發(fā)證書，證書由于過(guò)期、用戶名更換、機(jī)構(gòu)重組等導(dǎo)致證書需要撤銷的，也需要CA發(fā)布證書撤銷列表(certificate revocation list，CRL)，其格式遵循協(xié)議標(biāo)準(zhǔn)X.509的定義^[9]。但是，CRL的使用卻是PKI所遇到的管理問(wèn)題中最復(fù)雜的一個(gè)^[10]，據(jù)1994年MITRE公司向NIST提交的一份報(bào)告表明：在大規(guī)模的PKI環(huán)境中，證書撤銷大約要占PKI總耗費(fèi)的90%^[11]，對(duì)此，有研究提出增量CRL、分段CRL與重復(fù)頒發(fā)CRL等不同優(yōu)化方案^[12，13]，但這些方案都是基于中心服務(wù)器模式，在基于對(duì)等網(wǎng)的海量地形數(shù)據(jù)漫游中，節(jié)點(diǎn)規(guī)模較大，且節(jié)點(diǎn)加入、退出具有高度隨機(jī)性，而傳統(tǒng)的證書發(fā)布與更新，容易造成中心服務(wù)器的性能瓶頸。針對(duì)這個(gè)問(wèn)題，結(jié)合分段CRL與P2P，提出適用于P2P特點(diǎn)的PKI安全認(rèn)證模型。圖1為基于P2P的海量地形漫游系統(tǒng)的PKI安全認(rèn)證模型結(jié)構(gòu)，主要從以下幾方面減少證書發(fā)布和撤銷更新對(duì)CA中心的壓力：

a）P2P-PKI利用CA的簽名可以驗(yàn)證消息的真實(shí)性和完整性^[1]，而將證書列表和證書撤銷列表消息進(jìn)行分段分割。

b）通過(guò)P2P的方式進(jìn)行數(shù)據(jù)信息分段分發(fā)，提高證書并發(fā)傳輸效率。

c）節(jié)點(diǎn)加入后，首先通過(guò)CA中心對(duì)自己進(jìn)行認(rèn)證和頒發(fā)證書，然后直接從不同的鄰居節(jié)點(diǎn)分段獲取最新的證書列表，以降低對(duì)中心節(jié)點(diǎn)的負(fù)載，提高系統(tǒng)總體負(fù)載能力。

d）采用對(duì)等按需更新的原則，即當(dāng)節(jié)點(diǎn)p需要從節(jié)點(diǎn)q下載數(shù)據(jù)時(shí)，節(jié)點(diǎn)q首先從自己的證書列表中查看是否存在節(jié)點(diǎn)p的證書。如果存在，則直接利用該證書對(duì)數(shù)據(jù)進(jìn)行加密發(fā)送；若不存在，則從其他節(jié)點(diǎn)或CA中心請(qǐng)求下載節(jié)點(diǎn)p的證書，下載的新證書存入證書列表，并利用最新的證書加密數(shù)據(jù)并傳輸。

e）按照海量地形漫游共享的混合式P2P模型，證書列表和證書撤銷列表傳輸節(jié)點(diǎn)選擇機(jī)制按照共享節(jié)點(diǎn)的服務(wù)質(zhì)量?jī)?yōu)先選擇^[2]，以提高更新速度和減少傳輸響應(yīng)延遲。

2.2 模型算法性能分析

PKI模型中，影響性能的主要包括兩個(gè)部分：a)大量節(jié)點(diǎn)上線請(qǐng)求下載證書列表；b）原因需要頻繁更新證書列表。

考察兩個(gè)性能指標(biāo)：a）CA中心在一定帶寬下的最大負(fù)載；b）所有節(jié)點(diǎn)完成證書下載或證書列表更新的總時(shí)間。

為了簡(jiǎn)化起見，不失一般性，作如下假設(shè)：

假設(shè)1 設(shè)系統(tǒng)中節(jié)點(diǎn)總個(gè)數(shù)為N，每個(gè)節(jié)點(diǎn)的帶寬一致與響應(yīng)延遲相同，設(shè)為b Bps，該帶寬資源全部用于下載證書列表或更新證書列表。

假設(shè)2 設(shè)每次下載的證書列表或更新的證書列表大小相同，為M Byte，CA中心服務(wù)器的最大發(fā)送帶寬為bca Bps，且平均分配給各個(gè)節(jié)點(diǎn)進(jìn)行證書下載或更新。

假設(shè)3 考慮靜態(tài)模型，系統(tǒng)中節(jié)點(diǎn)穩(wěn)定，不考慮已經(jīng)獲取了分塊的節(jié)點(diǎn)中途退出的情況。事實(shí)上，對(duì)應(yīng)分塊可以通過(guò)其他節(jié)點(diǎn)或CA中心獲取。

1)負(fù)載性能分析 設(shè)證書下載或更新頻率為f次/s，可以計(jì)算傳統(tǒng)C/S模式下CA中心的負(fù)載大小為

mcs=bca/(f×M)（1）

上式表明，在CA中心帶寬一定的情況下，依據(jù)證書列表大小和證書下載或更新頻率增加，CA所能負(fù)載的節(jié)點(diǎn)個(gè)數(shù)呈線性遞減。在P2P模式下，證書下載通過(guò)P2P方式進(jìn)行，而證書更新也只需要刷新有限個(gè)節(jié)點(diǎn)，其他節(jié)點(diǎn)通過(guò)P2P的方式更新，即有

mp2p=0 bca＜f×M

∞ bca≥f×M（2）

式（2）說(shuō)明，在忽略節(jié)點(diǎn)間通過(guò)P2P共享證書的時(shí)間消耗下，只要CA中心的帶寬在給定更新頻率為f和證書大小M下，能保證提供一個(gè)節(jié)點(diǎn)的更新下載，理論上就能保證支持無(wú)窮多的節(jié)點(diǎn)進(jìn)行證書下載和更新。因此P2P模式下支持的負(fù)載個(gè)數(shù)mp2p基本不受CA中心的帶寬限制。



2)時(shí)間性能分析 對(duì)于傳統(tǒng)模式，依據(jù)上述假設(shè)，傳統(tǒng)C/S模式下，完成所有證書下載或更新的時(shí)間為

tcs=N×M/b′（3）

其中b′=min(N×b，bca)，一般情況下，在節(jié)點(diǎn)數(shù)目足夠多時(shí)，按照平均分配帶寬假設(shè)，CA中心平均分配帶寬ca=bca/N小于節(jié)點(diǎn)帶寬b，所以b′=bca，即系統(tǒng)只能最大利用CA中心的發(fā)送帶寬，而節(jié)點(diǎn)具有剩余帶寬資源。

對(duì)于P2P的PKI模型，設(shè)證書下載更新數(shù)據(jù)M分成大小相同的n塊，則有

第一次下載：通過(guò)CA中心將數(shù)據(jù)分成n塊，同時(shí)分發(fā)到n個(gè)節(jié)點(diǎn)花費(fèi)時(shí)間為t1=M/N/b″=M/n×b″，由假設(shè)2可知，有b″=min(b，bca/n)，一般情況下，當(dāng)n足夠大時(shí)，有b″=bca/n，也表明節(jié)點(diǎn)具有剩余帶寬資源。

第二次下載：通過(guò)P2P方式將n塊數(shù)據(jù)分發(fā)到n個(gè)節(jié)點(diǎn)花費(fèi)時(shí)間t2=M/n/b=M/(n×b)，至此有2n個(gè)節(jié)點(diǎn)擁有數(shù)據(jù)。

第三次下載：通過(guò)P2P的方式2n塊數(shù)據(jù)分發(fā)到2n個(gè)節(jié)點(diǎn)花費(fèi)時(shí)間t3=t2。

依此類推，不考慮節(jié)點(diǎn)選擇開銷，忽略最后一次下載剩余節(jié)點(diǎn)個(gè)數(shù)與當(dāng)前已經(jīng)下載完成一個(gè)分塊的節(jié)點(diǎn)個(gè)數(shù)不一致引起的時(shí)間差異問(wèn)題（事實(shí)上，根據(jù)節(jié)點(diǎn)個(gè)數(shù)N選擇一個(gè)合理的n，所引起的誤差完全可以忽略），則經(jīng)過(guò)最多「log2(N+1)次傳遞(「x表示x向上取整數(shù))，至少所有節(jié)點(diǎn)都擁有一塊數(shù)據(jù)，且平均分配，此時(shí)節(jié)點(diǎn)通過(guò)兩兩交換，則可以下載剩余（n-1）塊數(shù)據(jù)，所需時(shí)間為t2，l=M/n/b×(n-1)=(n-1)×M/(n×b)，至此，可以計(jì)算：

tp2p=M/(n×b″)+(「log2(N+1)-1)×

M/(n×b)+(n-1)×M/(n×b)（4）

在P2P-PKI模型中，所有節(jié)點(diǎn)的帶寬資源都是能夠利用的，在節(jié)點(diǎn)內(nèi)部進(jìn)行P2P共享分塊時(shí)，也可以利用CA中心的帶寬，繼續(xù)下載分塊，因此tp2p的計(jì)算是保守的。

根據(jù)式（4）簡(jiǎn)化可得

tp2p=M/(n×b)(b/b″+「log2(N+1)+n-2)（5）

依據(jù)式（3）和（5）得到

tCS/tp2p=N×n×b/（b′×(b/b″+「log2(N+1)+n-2)）（6）

若CA節(jié)點(diǎn)為一普通節(jié)點(diǎn)，有b′=b，b″=b/n，則

tCS/tp2p=N×n/（2n+「log2(N+1)-2）（7）

對(duì)于一個(gè)基于P2P的地形漫游共享系統(tǒng)，節(jié)點(diǎn)個(gè)數(shù)較多，證書數(shù)據(jù)較大^[14]，分成的數(shù)據(jù)塊數(shù)n也較多，則有tCS/tp2p≈N/2，即提高的效率依據(jù)每個(gè)節(jié)點(diǎn)個(gè)數(shù)N成倍增長(zhǎng)。

3 仿真測(cè)試與結(jié)果分析

利用OPNET建立仿真環(huán)境，設(shè)N分別為100、150、200、250、300和350。M設(shè)置為56 KB，n取20， f取0.01次/s，證書管理中心和下載終端均為普通節(jié)點(diǎn)，bca=b，設(shè)為10 MBps。仿真運(yùn)行10次，取平均值。圖2為傳統(tǒng)C/S和基于P2P模式下，安全認(rèn)證中心的負(fù)載與CA帶寬消耗變化的對(duì)比結(jié)果，圖3為兩種模式下，所有證書下載或更新完畢所需時(shí)間的對(duì)比。

仿真節(jié)點(diǎn)規(guī)模和數(shù)據(jù)分組n不是特別大，式（7）中忽略「log2(N+1)-2導(dǎo)致存在一定的誤差，這時(shí)的tCS/tp2p≈N/2×0.86，當(dāng)節(jié)點(diǎn)規(guī)模擴(kuò)大時(shí)，M和n也擴(kuò)大，忽略「log2(N+1)-2導(dǎo)致的誤差也越小；仿真結(jié)果和理論計(jì)算可以看出，新方法效率提高明顯。

結(jié)果表明，在P2P-PKI安全認(rèn)證模式下，CA的負(fù)載更小，證書下載或更新完畢所需時(shí)間更短，綜合性能更優(yōu)，更加適合基于P2P的海量地形漫游服務(wù)；實(shí)際系統(tǒng)中，由于節(jié)點(diǎn)的動(dòng)態(tài)性和節(jié)點(diǎn)查找、分塊拼合以及完整性和合法性驗(yàn)證開銷，與理論值和仿真結(jié)果可能存在一定的偏差，但這種偏差和新系統(tǒng)性能相比是很小的。

4 結(jié)束語(yǔ)

利用P2P進(jìn)行海量地形數(shù)據(jù)傳輸成為了地形漫游新的研究熱點(diǎn)，由此帶來(lái)的新安全性問(wèn)題研究文獻(xiàn)還相對(duì)較少。本文提出的基于P2P-PKI的安全傳輸模型，能較好地解決通過(guò)P2P進(jìn)行海量地形下載漫游的安全性問(wèn)題。

參考文獻(xiàn)：

［1］何建邦，閭國(guó)年，吳平生，等.地理信息共享的原理與方法[M].北京：科學(xué)出版社，2003.

［2］喻占武， 鄭勝， 李忠民. 一種混合式P2P下的大規(guī)模地形數(shù)據(jù)傳輸機(jī)制[J].測(cè)繪學(xué)報(bào)，2008，37(1):243-250.

［3］喻占武，李忠民，鄭勝.基于對(duì)象存儲(chǔ)的新型網(wǎng)絡(luò)GIS體系結(jié)構(gòu)研究[J]. 武漢大學(xué)學(xué)報(bào)：信息科學(xué)版，2008，33(3)：285-288.

［4］王來(lái)剛，王震.GIS中基于RBAC的空間信息安全研究[J]. 地理空間信息，2006，4(4):22-24.

［5］賈培宏，馬勁松.基于數(shù)字水印的地理空間數(shù)據(jù)共享安全技術(shù)研究[J]. 測(cè)繪通報(bào)，2007(2)：70-72.

［6］田斌， 孫敬業(yè)， 揚(yáng)軍. 一種基于Web的數(shù)字地理信息系統(tǒng)安全解決方案[J].四川測(cè)繪，2007，30(2)：141-144.

［7］袁帥，宋曉宇，王永會(huì)，等.GIS海量影像數(shù)據(jù)管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].沈陽(yáng)建筑工程學(xué)院學(xué)報(bào)：自然科學(xué)版， 2003，19(3)：236-239.

［8］ADAMS C，LLOYD S.公開密鑰基礎(chǔ)設(shè)施——概念、標(biāo)準(zhǔn)和實(shí)施[M].北京：人民郵電出版社，2001：5-12.

［9］HOUSLY R， FORD W， POLK W，et al.RFC2459，Internet X.509 public key infrastructure certificate and CRL profile[S].1999.

［10］LEWIS J. Public key infrastructure architecture[R].[S.l.]:The Burton Group，1997.

［11］BERKOVITS S， CHOKHANI S， FURLONG J. Public key infrastructure study:Final report[R].MITRE Corporation for NIST， 1994.

［12］雷璟，陽(yáng)福明，胡慣榮.一種新的PKI證書撤銷機(jī)制[J]. 華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2002，30(11)：13-15.

［13］譚良，劉震，佘堃，等.CRL分段—過(guò)量發(fā)布綜合模型研究[J].電子學(xué)報(bào)，2005，33(2)：227-230.

［14］ARNES A. Public key certificate revocation schemes[D].Norway:Norwegian University of Science and Technology，2000.