koorio.com
海量文库 文档专家
赞助商链接
当前位置:首页 >> IT/计算机 >>

P2P安全综述(1)


P2P 网络安全性研究综述与趋势
叶枰
(东南大学 计算机网络和信息集成教育部重点实验室 南京 210096)

A Survey of Peer to Peer Security
Ping Ye
(Key Laboratory of Computer Network and Information Integration, Southeast University, Nanjing 210096 , China,)

Abstract: Peer-to-peer (p2p) networking technology has gained popularity for its improved scalability, resource aggregation and cost sharing. The problems brought up by the network developing and P2P structure has also emerged. This paper gives a detailed analysis to the problems exited in the current P2P systems. Current researches aimed at these problems are introduced from three perspectives of architecture, technology and management, and the key technologies of these researches are concretely discussed. The future research direction of P2P security is argued in the end. Keywords: P2P security, routing, reputation, architecture 摘要: 摘要:P2P 网络技术的可扩展性、资源整合、代价共享能力使得 P2P 应用获得了越来越多的关注,而由于 网络发展和 P2P 自身组织结构缺陷带来的安全问题也日益显现。本文具体分析了当前 P2P 系统所存在的安 全问题,针对这些问题,从体系结构、技术、管理三个角度介绍了当前研究对策,详细讨论了这些对策包 含的关键技术。最后给出了今后 P2P 安全研究的方向。 关键词: 关键词:P2P 安全,路由,信誉,体系结构

1 引言
随着网络技术的高速发展, 网络拓扑及规模的日趋复杂, 广域网内所蕴藏的规模庞大的 各类资源如何在网络复杂化后得以有效的整合及利用成为网络研究领域的热点及重点。以 P2P 网络为基础的 Overlay 网络,由于采用了自组织的管理模式,加上其廉价性和易部署等 特点,使得 P2P 得到了研究界的高度重视。在过去的几年中,P2P 网络的很多相关方面都已 经得到了透彻及成熟的研究,但是随着 P2P 应用的普及,由于网络发展和 P2P 自身组织结 构缺陷带来的安全问题也日益显现。 P2P 从提出一开始就饱受争议。P2P 的典型应用文件共享由于其资源丰富,传输方便而 在互联网中得到大量应用, 然而由于数字内容可以很容易被复制和传输, 这种应用的兴起带 来了盗版产业的兴起, 增加了知识产权保护的难点。 这些应用中也会存在多种恶意节点提供 受损文件甚至是病毒, 网络用户在下载过程中也因此存在极大风险, 由于缺少集中式服务器, 每个节点都必须提供措施来抵抗这些攻击。同时由于 P2P 路由架构的特殊性,每个节点都 可能担当路由和消息转发功能, 恶意节点的存在会使得正常的路由受到影响, 甚至造成整个 P2P 系统的瘫痪。针对这些问题已经取得了很多的研究成果,如文献[6,35,36,37]对 P2P 中的 匿名性、密钥管理、访问控制等分别给出了具体的算法,文献[38,39,40,41]通过构建系统中 节 点的 信誉度 来实 现节点 间的 信任关 系,为 系统 建立 一个良 好和安 全的 环境 ,文献 [9,14,15,16]结合了当前结构化 P2P 拓扑网络中的路由策略, 通过在其中附加一些控制算法来 最大程度保证节点路由的安全性。 本文在第二部分通过与传统网络的对比具体地介绍了 P2P 中存在的典型问题,在第三 部分总结出了目前对 P2P 存在问题的研究对策,分别从体系结构、技术、管理三个角度进

行介绍。文章第四部分为未来的 P2P 安全问题指出了具体研究方向。

2 P2P 安全问题分析 安全问题 问题分析
2.1 密钥交互
传统网络中在数据传输过程中采用会话密钥机制来保证节点间通讯的安全, 从而防范欺 骗、重放攻击、中间人攻击等等,已有的研究主要通过第三方可信服务器来设计详细的的交 互算法,已经取得了很多令人满意的成果。然而在一个纯 P2P 网络中,由于不存在可信服 务器,验证和密钥的管理也就不能由集中服务器来实现。同时 P2P 系统很容易接纳一个恶 意节点,它会对密钥的交互产生很大的威胁,这不仅体现在对密钥本身的攻击,还包括对密 钥交互过程的攻击。 传统集中式控制算法已经不适合, 需要设计分布式密钥交互算法来实现 P2P 系统中数据传输的安全。

2.2 访问控制
在开放式互联网环境中, 很多敏感数据和服务需要访问控制。 在传统的分布式环境下主 要依赖于公共密钥体系(PKI)来保证验证和授权服务的实现, 一旦节点被安全地分发了公钥, 节点产生的任何内容都需经过 PKI 的验证,从而保证全局数据结构和共享内容的正确性和 一致性, 然而 PKI 并不对拥有这些证书的节点行为进行检查。 P2P 的一个很重要的特征就是 能将同一内容的很多拷贝分发在系统中的不同节点上,因此 P2P 中的访问控制不只是设置 节点自身策略,还需要根据内容设计策略。同时,由于 PKI 并不对拥有这些证书的节点行 为进行检查我们并不能保证系统节点能一直保持良好的行为, 当拥有证书的节点变成恶意节 点后,如果不能及时调整访问控制策略,系统也将遭受破坏。

2.3 数字版权
P2P 的文件共享使得文件拷贝变得更加容易。P2P 得到关注起初是由 Napster[4]所支持 的网络上音乐共享,虽然 Napster 在之后的官司斗争中衰落,但是现在的 P2P 共享软件较 Napster 更具有分散性,也更加难以控制,数字产权的问题也一直存在。

2.4 P2P 典型安全问题
网络实体的存在很大程度上是依赖于稳定标识的存在,而 P2P 由于其自身特性不存在 信任第三方提供实体标识保证, 节点在加入系统的过程中是随机分配标识符, 且由于节点加 入和退出的不可预知性,从而使得 P2P 在具有传统网络安全问题的同时又产生出很多独有 的安全问题,具体表现如下: 2.4.1 不正当路由 在结构化拓扑 P2P 网络中,节点都是通过和其他节点进行交互来转发消息或构造自己 的路由表,同时节点也需要进行路由和消息转发。由于 P2P 系统允许互不信任接点的加入, 因此存在某些节点会向其他节点发送不正确的路由信息以达到自身目的。 典型的一个安全问 题是 DoS 攻击,很多恶意节点同时将正常节点的路由请求转发到目标节点,从而导致目标 节点的带宽、CPU 能力的耗尽,这样一段时间后系统会认为目标节点已经失效退出,从而 将目标节点从系统中删除。 2.4.2 资源可靠性 P2P 具有一个很明显的特征就是整合资源, 系统中的每个节点都会为系统带来一定量的 资源(如文件共享、计算能力和存储空间等) 。然而正是由于资源来源丰富,资源提供者的 可信程度也不具相同, 对资源可靠性验证也存在很大难题。 恶意节点为了某种目的往往假称 能够提供所需要求的资源, 因此需要从大量资源中分离出不合格资源。 最典型的一个安全问 题就是存在于 Napster[4]、Gunutella 等文件共享应用中,由于缺少相应机制的约束,用户经 常下载到很多名不副实的文件。 2.4.3 自私行为

在任何 P2P 系统中总会存在这种自私节点,它与恶意节点的目标并不相同。它们目的 并不在于对系统进行破坏, 而是希望能够不停从系统中获取所需要的资源, 但它们却很少甚 至根本不为系统提供任何资源。 这种节点虽然在短时间内不会给系统带来影响, 但是它们的 存在及蔓延不仅会使得 P2P 系统资源的减少,也会降低系统性能,长此以往甚至造成系统 的瘫痪。 Adar 在文献[3]中指出在一个 P2P 系统中往往只有 30%的节点提供了整个系统的 E. 资源,更多的节点在享受系统带来的资源时而不提供任何资源。 2.4.4 否认和不正确反馈 否认和不正确反馈 恶意节点在 P2P 系统中执行了一定操作,事后对这一操作给出不正确反馈。这种情况 常见于信誉系统的设计中,恶意节点为了抬高或降低另外一方信誉值往往给出错误的反馈, 使得另外一方的信誉值不能正确得到反映。 此外, 还有一种问题是节点成功地执行了查找操 作或资源共享,但事后却对所作操作进行否认。

2.5 病毒传播
P2P 网络提供了方便的共享和快速的选路机制,为病毒传播提供了更好的入侵机会。一 旦系统中有一个节点感染病毒, 通过内部共享和通信机制将病毒扩散到附近的邻居节点, 从 而造成网络拥塞或者瘫痪,甚至通过网络病毒可以控制整个系统。由于 P2P 网络中每个节 点是独立的, 不可能通过构建系统级防御体系来阻止病毒传播, 加上各节点防御病毒的能力 是不同的,从而使得系统安全难以保障。

3 P2P 安全研究方法: 安全研究方法: 研究方法
针对 P2P 网络当前存在的安全问题,目前已经有很多相关研究。安全问题从根本上来 说需要从网络体系结构的角度出发, 一个安全体系结构不仅能够帮助系统克服当前已知的安 全问题, 而且还能在遇到新型安全问题时柔性应对。 当然, 这样一个体系结构是难以实现的, 甚至可以说不存在这样能解决所有问题的体系结构,因此很多研究关注于解决 P2P 某类具 体安全问题, 这在一定程度上简化了设计复杂度, 也能为特定应用的特定安全需求提供保证。 然而在实际应用中遇到的很多安全问题并不是能通过技术就能解决的, 社会因素的引入 (如 法律、政策等)也会对系统的安全设计造成影响,从而需要对整个系统进行管理。因此本文 在对目前 P2P 安全研究现状的总结主要从体系结构、技术和管理三个角度出发。

3.1 从体系结构角度出发
传统的 P2P 网络体系结构采用了传统分层理念,它能够准确地描述 P2P 原理及思想, 使得增强 P2P 网络可用性所需考虑的多方面因素放置在 P2P 网络的不同层次予以解决,有 利于从宏观上对需要解决的问题进行把握。 在这个基础上, 传统解决安全问题的方法都集中 在对各层进行补充和添加,通过添加安全控制策略和相应实现机制以期望解决 P2P 中的安 全问题。 分层的体系结构确实为我们研究问题带来一个指导原则, 它为解决新问题提供了一个定 位点,使得各种问题的解决方案能够找准部署的位置。但是这也有它的局限性,由于分层使 得整个体系结构显得比较固定和死板,这种“上层调用下层、下层为上层服务”的思想使得 遇到安全问题时, 只有到达某个层次时才能得到解决, 而不能从一开始或从整体上更全面地 应对问题。 3.1.1 NetBiotic NetBiotic是一个基于应用的P2P体系结构,它可以检测一个病毒是否通过网络进行不可 控制地繁殖, 自动地向系统中其他节点发送警告信息, 同时在病毒流行期间自动加强安全措 施来保护节点。它主要包含两个独立的实体:一个通知模块和一个处理模块,通过这两个模 块来收集和交换P2P网络上的信息,从而使每个节点都能获得一个全局的网络状态以及正在 进行的安全攻击, 这样根据网络的危险等级选择最适当的安全策略。 在具体的原型实现过程

中,主要通过计算节点n在时间t内所收集到的网络攻击百分比的上升或者下降值 pt ,并与 节点事先设定的阈值进行比较,从而决定节点是否该增强还是降低安全策略。然而,在实际 应用中,阈值的选择难以决定,不同阈值对于节点安全策略的选择有很大影响。该体系结构 原型的实现相对简单,只证实了在特定情况下工作良好,尚未在大规模网络中进行测试。此 外, 如果网络中存在多个恶意节点发送错误消息, 原型在接收这些消息后会做出不正确判断, 使得节点容易受到攻击。 3.1.2 PACE[7] 针对当前研究主要集中在构造信任模型和算法而忽视了模型与现实应用结合的问题, PACE 提出了一个体系结构框架,为设计者提供了详细的参考设计原则使得信任模型可以和 分布式应用相结合,使用这些原则设计出来的信任模型可以有效地防止 P2P 中存在的一些 威胁。PACE 定义了外部体系结构(描述节点安排和底层网络基础设施以方便节点交互)和 内部体系结构(指导节点行为) ,在内部体系结构设计中采用分层的思想,在传统的体系结 构基础上添加了信任层,包括密钥管理模块、证书管理模块和信任管理模块,这些模块协同 工作为应用层服务, 应用根据自身应用信任规则决定是否接收。 该体系结构分别在分布式拍 卖、 通用作战图像和分布式文件共享三个方面实现了原型系统。 但是 PACE 并未给出详细的 模块设计, 并没有检测系统在攻击时所具备的能力, 同时外部体系结构和内部体系结构之间 的关系没有很好的说明。 3.1.3 可信计算 可信计算[11] 可信计算的提出也为 P2P 安全体系结构的研究给出了另外一种思路。可信计算最早是 在 1999 年由多家公司发起并成立了可信计算联盟 (TCPA) 在 2003 年改称为可信计算组织 , (TCG) 。它的主要思想是在 PC 机硬件平台上引入安全芯片架构,通过提供的安全特性来 提高终端系统的安全性。它的核心是 TPM(可信平台模块) ,它是平台信任的基础,具有集 成的加密功能,提供完整性、数字签名的创建和使用、隐私保护等机制。每个 TPM 都包含 一套 PCR(平台注册器) ,用来存储平台测量对象的属性和特性,如完整性、进程运行状态 和配置信息等。文献[12]提出了一个基于 TPM 的体系结构框架,通过构造含有 TPM 的可信 硬件架构,并与操作系统内核空间的安全内核相结合,提供了必要的安全保护,从基本的加 密功能到端点平台和程序验证、 敏感数据的密封存储都有相应的安全保障。 该体系结构能有 效地增强传统安全功能,但是对 P2P 通用安全考虑并不够,尤其对 P2P 典型问题没有相应 措施。此外文献[13]中利用 TCG 规范的特征来实现一个匿名验证机制并将此机制扩展以为 节点建立通信的安全渠道。 以上给出了几种典型的体系结构,表 1 对体系结构中的几个特征进行了比较: 体系结构 NetBiotic PACE 可信计算 原型 有(较简单) 有(三个应用) 有(简单) 系统开销 大 中 中 可扩展性 一般 弱 强 安全检测 主动 被动 被动 是否分层 否 是 是

n

表 1 体系结构比较

3.2 从技术角度出发
从对第二部分安全问题的分析,不难看出P2P中的很多安全问题是由其自身架构缺陷所 引起的。以Napster[4]为代表的集中式拓扑P2P网络虽然安全性相对较高,但这是在建立在体 系结构上存在单点失效、 网络规模受限于目录服务器的功能等缺陷之上的。 在无规则拓扑的 P2P 网络中,无论是Gnutella采用的泛洪方式的消息传递机制,还是Freenet[33]采用的回溯 方式的消息传递机制,都存在报文数指数级增长的缺陷,该类P2P 网络管理开销低、鲁棒 性高等优点是建立在报文泛滥导致的网络规模受限、 安全性差等缺陷的基础之上的。 而对于

结构化拓扑P2P 网络来说,自组织管理模式一方面使得管理开销不算太高、节点维护的路 由表大小适中、 适应网络动态性变化的同时使得节点规模得以大幅提升等优点, 另一方面也 存在安全性低、路由效率相对较低的缺点。因此在利用P2P技术带来的优势同时,也要考虑 对它的完善和补充。 3.2.1 访问控制 传统网络中解决访问控制主要通过依赖某种固定基础设施, 典型的就是第三方可信任实 体,然而P2P的纯分布式特性使得这种方法不可能在P2P中得到应用。GAUTH[6]是一个主要 针对P2P访问控制的系统模型,该模型遵从Kim在文献[10]中提出的访问控制框架,采用群 组访问控制策略以及对应的加密技术, 通过设置静态或动态阈值来决定是否允许新节点加入 P2P系统。 Zhang在文献[36]中提出了一个在P2P协作系统中基于属性的细粒度访问控制框 Yu 架,它定义了两种角色:群组角色和应用角色,通过扩展基于角色的信任管理语言RT来实 现一个新的策略模型,以此满足P2P群组的安全需求。为了避免单点失效,它提出了分布式 委托授权机制。但是它并没有考虑不同P2P角色之间的策略交流,同时访问控制策略进行了 事先定义,不能随着角色安全程度的变化而进行动态调整。 3.2.2 密钥交互 密钥交互 P2P在集中式服务器来进行密钥管理,需要采用分布式密钥交互来进行数据验证,即将 密钥分割成多个同时进行传输。由于P2P每个节点都具有路由功能,分布式密钥验证算法也 就很容易受到攻击, 最典型的就是恶意节点对经过其中的密钥信息不进行转发, 这样目标节 点不能接收到完整的密钥信息也就不能完成信息的验证。 Yuuki Takano在文献[37]中提出了一种多路径密钥交互方法,它主要基于两种增强型路 由机制:方向性路由和概率路由,前者同时包含了顺时针路由和逆时针路由,后者可以将路 由路径隐藏起来不被攻击者发现。 在密钥交互开始, 密钥将通过一种秘密共享机制被分裂成 多个,对每个密钥使用上述两种路由机制进行传输。这样密钥被分裂的越多,避免遭受攻击 的可能性也就越大,但是这种可能性随着节点数的增加也会降低,而且如果P2P中有大量恶 意节点存在的话(如Sybil攻击) ,这种方法会受到很大的约束和性能的降低。 3.2.3 安全路由 在集中式拓扑 P2P 网络中,消息的路由通过目录服务器进行,而在无规则拓扑的 P2P 网络中,虽然不存在中心服务器,每个节点都能独立转发路由,但是节点采用的消息传递机 制是泛洪方式或者回溯方式,无法对其进行控制,因此安全路由主要针对结构化 P2P 网络。 在这种网络中通常允许互不信任的节点加入,也就有很大的可能存在恶意节点,从而破坏 P2P 系统通信。针对 P2P 中存在的不正当路由问题,如何进行安全路由也势在必行。 P2P 安全路由包括的三个方面内容:安全地分配节点号、安全地维护路由表和安全地转 发消息。 针对安全地分配节点号问题最简单的办法是使用一个集中式权威来产生加密的节点 标识符证书, 这些证书从服务器中随机获取, 将一个节点标识符和客户产生的公共关键字 (如 公钥)相绑定。针对安全地维护路由表问题的方法是通过使用备份的路由表,一个路由表采 用网络测度信息进行高效路由, 另外一个路由表对路由表入口进行约束。 前者用来转发消息 以获得良好性能,后者在前者失效的情况下使用。通过这种方式,使得恶意节点最多只能控 制节点路由表中的少量随机表项, 保证节点路由表中失效节点的比例不能超过整个系统的失 效节点比例。 目前主要的研究内容主要针对安全转发消息问题,下面结合具体研究进行分析。 3.2.3.1 失效检测和多路径路由 失效检测和多路径路由 路由[9] Miguel Castro1在文献[9] 中提出利用冗余路由结合路由失效检测来进行安全消息转发, 他们采用了邻居集合任播的方法进行冗余路由,通过发送节点的邻居集合为一个关键字k发 送一个消息的多份拷贝,直到到达一个邻居集合中包含关键字k的节点。这样可以通过在不

同的路由上发送多份消息的拷贝,从而保证发往关键字的消息的至少一个复件能够成功到 达。 这种方式势必会给带来网络负载的增加和性能的降低, 可以通过与自保证数据相结合以 减轻这种影响。 任播消息虽然能清楚地实现冗余路由, 但是它不能防止路径在目的节点附近 的汇聚,也就是说它不能保证路由不会交叉。 3.2.3.2 不交叉路径或交替最优路径 不交叉路径或交替最优路径[15] Mudhakar Srivatsa 在文献[15]中则给出了在增强 P2P 路由算法时进行多重不交叉路径或 交替最优路径的重要性。文章首先构造了结构化 P2P 系统的模型,针对其中的算法和机制 建立了攻击模型, 随后主要分析了三类攻击: 恶意节点返回不正当查询路由造成的路由不规 则、针对数据定位算法的攻击和针对 ID 映射机制的攻击,对于每种攻击都提供了定量的分 析以说明攻击所造成破坏的程度。 针对第一种攻击, 通过分析执行一次查询操作需要的平均 跳数 M、恶意节点数比例 p 和平均查询代价之间的关系,说明需要进行多重不交叉路径或 交替最优路径。但是文中并没有对如何进行安全转发给出具体的算法。 3.2.3.3 Cyclone[14] Marc Sánchez Artigas 在文献[14]中提出了一种基于二元等价关系的多分叉路径方法 Cyclone。传统的结构化 P2P 网络主要考虑在 1 维环密钥空间上进行消息的转发,Cyclone 根据算法上的模 n 等价关系将消息转发过程的 1 维拓展为 n 维,每条路上节点的标记模 n 相等, 消息的转发将分别在 n 条路径上进行。 源节点在发送消息开始时首先检查是否目的节 点与自身模 n 相同, 如果是则按照模 n 相等的这条路径转发, 否则将消息发送到自己邻居节 点集中与目的节点模 n 相同的节点。 这样节点可以有 n 中转发消息的路径, 且每种路径是相 互独立的(除源节点和目的节点外经过的节点不交叉) 。实验表明,Cyclone 成功执行消息 转发的比例比 Chord 要高,且随着系统恶意节点比例的增加,Cyclone 成功执行消息转发所 下降的幅度比 Chord 要小。 3.2.3.4 转发过程查询机制 转发过程查询机制[16] Emil Sit 在文献[16]给出了一个对 P2P 网络进行分析的框架,尤其对防御 P2P 攻击提出 了一系列设计原则, 原则提出的出发点都是基于网络中任何信息都不能信任而需要验证。 由 于在路由层,每一次消息都是转发到离目标节点更近的节点,文章建议利用这个优势,发送 者通过观察转发过程, 确定每次消息转发都是发往离目标更近的节点, 这样可以轻易检测到 不正当路由行为。 这就需要整个路由过程的每步都必须是可见的, 但是这种技术带来的负面 影响就是系统代价的提升, 消息转发节点在每一步都要查询下一跳的正确性才会执行消息转 发。 结合以上给出的几个研究,表 2 对它们的特征进行了比较: 消息转发机制 失效检测和 多路径路由 Cyclone 转发过程查询 采取方案 多路径 多路径 下一跳查询 路径交叉 是 否 不存在 可扩展性 一般 强 弱 系统开销 大 一般 大

表 2 安全消息转发机制比较 3.2.4 信誉系统 与传统网络相比,P2P 网络中不存在集中式服务器,节点加入和退出的随意性使得 P2P 系统中的节点之间不可能相互信任,往往会出现利益相互冲突的节点同时出现在一个系统 中,这给系统中节点间的交互带来了很大的安全隐患。因此需要在节点之间建立一种机制, 建设一个透明有序的交互环境,从而将信誉机制引入到 P2P 网络中来。文献[8]中指出信誉 系统设计的目的是提供这样一个服务, 在对行为良好的用户征收最小代价的同时最大程度地 减少不良行为的产生和影响。首先需要明确的是,信誉与信任是两个不同的概念[18]。节点

A 对节点 B 的信任是通过以往跟 B 的交互所积累起来的评价,它反映的是 A 对节点 B 能力 的主观印象。节点 B 的信誉,从 A 的角度看,是基于其他节点对 B 的评价的集合,它客观 反映了节点 B 的能力。 目前针对信誉系统的研究有很多,也有很多相应的信誉系统不断被提出。下面我们对各 个信誉系统进行归类,选出其中的典型系统进行介绍: 3.2.4.1 XRep[38] Ernesto Damiani在文献[38]中提出的信誉系统XRep是面向资源的信誉机制,对于服务方 提供的资源, 在系统中以轮询投票的方式征求其他节点的意见, 从而使用户的选择更加精确。 在实现过程中,XRep中的每个节点需要根据对资源和以往与其他节点交互的经验来维护信 息, 这些信息主要存储在两个信息仓库中: 资源仓库(resource_id, value)和节点仓库(servent_id, num_plus, num_minus),前者主要存储资源的标识及其信誉值,后者主要存储与查询节点以 往交互过的节点标识和交互情况。由于XRep是面向资源的,因此对于错误的文件,无论其 所处节点如何,根据文件信誉值总能够分辨出来,然而这也带来了问题,由于不考虑节点信 誉值,也就无法对资源的服务质量(如带宽,延时等)进行保证,同时系统新资源的引入也 不能够很快获得信誉(cold-start),新资源往往不能得到有效保证。 3.2.4.2 P2PRep[39] Fabrizio Cornelli 在文献[39]中提出的信誉系统 P2Prep 与 XRep 类似, 也是采用轮询方式 以获取对资源可信度的最佳结果,因此提出了两个算法。第一个算法是基本的轮询,被询问 的节点返回他们的意见,查询者根据投票决定最好的选择。第二个算法是加强型轮询,被询 问的节点返回他们的意见的同时还有他们的标识, 查询者根据投票以及投票者的可信度决定 最好的选择。 由于轮询算法通常带来网络负载的增加, 同时在第二种算法中还要传输更多的 信息以确认投票者的标识,这更加重了网络的负载。P2Prep 不能防止恶意节点的攻击,对 于错误的投票无法识别,在系统运行过程中也不能对恶意节点进行惩罚。 3.2.4.3 EigenTrust[40] Sepandar D. Kamvar 在文献[40]中提出的信誉系统 EigenTrust 为系统中的每个节点分配 一个唯一的全局信任值,这个值是基于节点过去的上载量。EigenTrust 在需要时才计算节点 的信誉值, 计算过程需要很多节点合作进行。 在这个过程中, 它采用了基于过渡信任的思想, 即节点 i 对以往为其提供过错误文件的节点有很高的评价权值, 同时对以往为其提供过正确 文件的节点所提供的意见也完全相信。 但是由于 EigenTrust 每次都在文件请求时才计算节点 信任值,且需要收集从其他节点收集数据,这就带来了额外的延迟,这也是很多纯分布式信 誉系统共同存在的问题。 同时 EigenTrust 也没有考虑恶意节点的存在对系统造成的影响以及 对其的防范和惩罚。 3.2.4.4 P2PMW[41] Loubna Mekouar 在文献[41]中提出一种在不完全分布式 P2P 中的信誉系统 P2PMW,在 其中使用超级节点来存放更新节点信誉值,并与其他超级节点通信来提供所需节点信誉值。 在信誉计算过程中,它提供了三种机制:信誉管理机制、基于文件数量的评价机制和基于文 件大小的评价机制。P2PMW 还提出了相应的机制来检测发送不正确文件的恶意节点,同时 对于恶意节点发送的错误反馈信息进行检测, 并通过相应的机制尽量减少它造成的影响。 超 级节点的存在不仅能减少网络的负载, 还能帮助系统完成服务区分功能, 对于高信誉值的节 点提供高质量的服务。但是这种算法引入了超级节点,只适用于不完全分布式 P2P 系统, 不仅存在性能瓶颈和单点失效,还会引发对超级节点的攻击。 结合以上给出的几个信誉系统,表 3 对它们的特征进行了比较:

信誉系统 XRep P2PRep EigenTrust P2PMW

信誉对象 资源 节点 节点 节点

集中节点 不存在 不存在 不存在 存在

信誉表达 0或1 不限定 [0,1] [0,1]

负载 高 高 高 低

表 3 信誉系统比较

3.3 从管理角度
P2P 安全究其根本原因是由于 P2P 将管理权从集中管理者下放到普通用户(即 P2P 节 点) ,它允许节点在任何时候都能连接到任意节点,因此带来了访问控制、隐私保护、带宽 分配等一系列安全问题,这在传统网络中通过集中式服务器解决的问题现在交与用户解决, 这对用户来说实在是太复杂了。防火墙、NAT 等技术为用户提供了一定的保护措施,但是 P2P 可以利用 UDP 技术穿越防火墙,使得防火墙内外网用户建立连接,这样内网就直接暴 露在不安全的外部网络环境之下。而且 P2P 节点自身含有不依赖于所在网络的特性,缺乏 了权威的可信机构,也就很难对节点进行控制。 文献[22]指出人力因素总是安全需考虑的问题,技术风险很大程度上依赖于用户对技术 的了解程度,P2P 也不例外。但是用户在加入 P2P 系统中时,用户与 P2P 系统之间签署协 议并没有统一的标准, 用户通常使用安全等级的默认设置而不了解这种设置会给自身的隐私 和安全带来的风险。KaZaA[23]系统中它会使用户在不知情的情况下共享其文件夹,甚至是 整个硬盘中的内容。 在实际应用过程中,用户甚至想获得更多控制权,这种做法是很危险的。对于普通节点 来说,更多的控制权可以更加有效地利用系统资源,能够提供更加便利的服务。然而对于恶 意节点来说,更多的控制权会使得系统的安全更加难以控制。

4 P2P 安全未来研究方向 安全未 研究方向
尽管 P2P 网络的安全问题在近年来得到了迅速的发展,但仍然存在很多问题,这些问 题也制约着 P2P 未来应用的普及性和可行性,因此需要进一步的深入研究。

4.1 安全 P2P 体系结构
传统 P2P 网络体系结构延续了结构分层原则,能够较为全面地覆盖 P2P 技术和原理, 在一定程度上指引着 P2P 的发展。然而随着 P2P 应用的兴起,安全问题的显现无疑对传统 的体系结构产生了冲击。 在原有体系结构下安全只是一个附加属性, 这就意味着安全并不是 系统设计本身需要注意的问题, 只有系统需要安全时才会考虑。 但是随着安全越来越多的挑 战, 原有体系结构在解决这类问题时往往不能找到合适的位置, 只能在层次中添加相应的安 全机制。D. Clark 在文献[27]中指出在下一代互联网的设计过程中应该将安全作为网络的主 要属性进行考虑。因此,在未来的 P2P 网络发展中针对安全问题能有新型机制去解决它, 而且这些机制在从一开始设计 P2P 网络体系结构时就已经设计好。 当然,P2P 安全体系结构并不能设计成一个固定模式,而是需要设计一个柔性的体系结 构。首先由于用户的行为多种多样、千变万化,我们无法预知未来所存在的安全问题,网络 中也不太可能存在“one-size-fit-all” [28]的技术。其次在设计体系结构时所采取措施不恰当 或眼光不长远,只注重解决 P2P 当前存在的安全问题,则可能会妨碍 P2P 网络将来的发展, 制约 P2P 应用的普及,防火墙的引入就是一个典型问题。在 P2P 网络中,用户需要对自己 的安全负责,因此用户使用防火墙来保护自身不被他人攻击。然而用户在加入 P2P 系统时 会受到系统制约,这样防火墙配置设定就带来扭斗[26]问题,到底是由用户设置自身策略还 是要根据 P2P 系统要求重新设定。因此安全 P2P 体系结构必须是柔性的,能够根据特定场 合适应特定需求,同时随着 P2P 网络的发展,它能实时地容纳新型 P2P 安全问题,并能有

效地去应对这种问题。

4.2 安全信誉系统设计 安全信誉系统设计 信誉系统
信誉机制的引入为 P2P 应用提供了更大的发展空间,它从一定程度上缓解了 P2P 网络 中由于缺少集中服务器管理带来的相互之间不信任的问题。 信誉系统的建立能够有效地保证 P2P 系统中资源可靠性,减少系统中自私行为和恶意行为造成的危害,对系统的正常运行起 到良好的作用。 目前已经设计了很多信誉系统, 然而这些系统或多或少都存在一些问题, 这也是在未来 的信誉系统设计中需要解决的。 节点标识问题: 信誉系统的基础是建立在双方有着稳定标识的基础之上, 这样服务提供 方的信誉值才能获取到并能保存。现在很多信誉系统并没有给出这种稳定标识产生的方法, 只是假设在这种稳定标识已经存在的基础上进行设计。 对于一个信誉系统来说, 网络节点绑 定其标识的时间越长,越有利于信誉系统的运行。一般在信誉系统中,通常对新标识节点赋 予较低的声誉或者对其征收一定费用, 使得恶意节点无法轻易通过更换节点标识来达到欺骗 的目的。然而对于一个结构化 P2P 网络来说,每次节点加入该系统时都会哈希出一个新的 标识,在这种情况下,节点原有信誉值也就不能得到恢复。因此可以考虑采用公私钥对,节 点每次加入系统虽然标识不同, 但通过利用与系统中某个 CA 中心的认证从而获取其原有信 誉值,但是这种中心节点的引入带来了潜在的性能瓶颈和故障点。 信誉信息的内涵属性: 在收集服务提供方相关信誉信息的过程中, 如果多个服务提供方 的信誉计算结果接近, 此时可以考虑根据其信誉信息表达出来的节点多个特性来选择, 比如 从信誉信息中反映出来的延时、带宽、传输速度等参数来决定最后的选择。现在很多信誉系 统并没有考虑信誉信息的内涵属性, 当然信誉信息的所包含的信誉值也一定程度上是这些参 数综合反映的结果, 但是如果信誉信息能够更加详细地反映出这些参数分别的具体结果, 那 么节点在选择服务提供方时能够根据具体需求进行选择。 对信誉系统的攻击:很多信誉系统对恶意节点在 P2P 系统中产生的各种各样的攻击提 出了解决方案并进行了详细设计, 然而他们却忽视了恶意节点对信誉系统本身的攻击, 这主 要包括对节点信誉值的恶意篡改、对信誉信息传输过程中的攻击(包括信息篡改、信息不正 当路由)等等。当然,传统网络中解决此类问题的方法可以引入进来进行防范。如果是针对 信誉信息的不正当路由这种 P2P 系统中存在的典型问题,需要结合安全路由技术,保证信 誉信息能够安全进行转发。 当然,信誉系统的主体设计是为了防止恶意节点和自私节点对系统正常运行造成的破 坏,这其中包含了很多具体的安全问题[8]。我们不可能设计出一个信誉系统能够保证解决 所有这些问题, 因此在设计信誉系统需要对系统需要解决的问题进行一个评估, 在解决这些 问题的情况下尽量减少其他安全问题带来的影响。

4.3 安全路由
Chord、Pastry、Tapestry、CAN[29,31,32,30]等典型的路由协议自从 2001 提出后就成为 结构化 P2P 网络中最基本通用的路由机制,它们的实现方法大致类似,如都采用了 SHA-1 哈希函数来获得标识符,采用路由表机制进行路由转发等等。随着基于此类路由机制的 P2P 应用的广泛普及,由恶意节点存在带来的不正当路由问题也日益突出,给 P2P 系统安全运 行带来了很大威胁。 在过去的几年中, 针对路由的研究主要集中在对上述路由协议的优化, 并没有新型路由 协议的产生。安全路由也集中在研究如何在这些协议的基础上,通过控制节点号分配、路由 表维护、 路由消息转发等来尽量减少恶意节点在系统中造成的破坏。 未来安全路由的研究工 作需要在此基础上进行完善。 安全节点号的分配目前除了通过集中式认证中心来解决外还没 有其他有效方法,这带来了潜在的性能瓶颈和故障点,破坏了节点匿名性和隐私保护,而利

用分布式消息验证方法虽然能保证节点的对等性,但是明显增大了实现的复杂度和网络负 载。 同时还需将理论研究成果应用到实际系统中去。 多路径方式转发消息是保证消息安全到 达目的地的有效方式, 针对这方面的研究[9,14,15,16]也很多, 但是由其带来的查询效率下降、 查询失败率和系统开销代价的增加是未来研究的重点。 新路由机制的提出也是未来结构化 P2P 网络所需关注的新点,新的路由机制在考虑实 现结构化 P2P 网络所需的路由功能外,在设计时就要将 P2P 安全作为需求,从系统的根本 上解决不正当路由造成的安全威胁。

4.4 安全理论与实际的融合 安全理论与实际的融合
任何一项技术的提出首先需要进行理论上的分析和验证,随后需要经过实践的检验, P2P 技术也不例外。

图 1 “三赢”局面 图 2 典型的反映了技术、应用、安全之间的关系。从理论上讲,新技术的产生为新型应 用奠定了基础,为应用的发展带来革新,随着新应用的可行度和普及度的增加,安全问题也 日益明显, 应用所追求的利益最大化使得服务提供者不得不考虑增强服务的安全性, 从而吸 引更多用户, 对安全因素的考虑就不得不诉诸于对原有技术的补充和完善, 从而促进新技术 的引入和创新,最终达到一个技术、应用和安全的“三赢”局面。 从 P2P 技术提出开始,基于 P2P 技术所开发出来的系统经过了几年的发展已经取得了 不小的成功,P2P 应用也得以普及。从最初的 Napster[4]所支持的网上音乐共享系统到现今 流行的 emule、BT[24,25]等文件共享软件,其中所包含的技术也越来越完善。最近几年对 P2P 安全的研究也有了很多相应成果,但是这些研究成果并没有在这些共享软件中得以体 现。 安全问题的解决方案在引入到软件中来时势必会增加软件实现的复杂度, 降低软件执行 效率,同时用户在加入到系统中和在系统中的行为也将受到很大程度的约束,而 P2P 应用 正是由于其廉价性、简单性和易部署性才得到广泛应用,这就带来了一个扭斗[26]现象,用 户需要在简单易行性和安全性之间进行权衡。文献[26]中也指出互联网的研究需要认识到这 种现实(扭斗的存在) ,尽量去平衡这种扭斗关系,至少能容纳这种关系的存在。因此在设 计 P2P 安全问题的解决方案时尽可能地简化其复杂度,尽量在不给原有软件带来复杂和不 给用户使用困难的前提下将 P2P 安全研究理论引入到实践中来。同时,用户在面临这种扭 斗现象时也要拥有选择的权利, 在实际应用中应将安全等级进行划分, 让用户从中去选择适 合自己的配置。

5 结论
本文对目前 P2P 系统中存在的问题进行了详细的分析。针对这些问题,将目前的研究 工作分为三类: 体系结构、 技术和管理, 并对每个工作的研究现状给出了具体的介绍和总结, 同时对未来的 P2P 安全研究给出指引。 P2P 中的安全问题并不可能通过一种方式能够全盘解决。在实际应用过程中,需要针对 具体的应用系统给出相应的解决方案, 不同方案可能侧重问题并不相同。 目前针对具体问题 的安全体系结构很多,而目前针对互联网体系结构的改造也得到广泛关注,如何将 P2P 体 系结构和当前互联网体系结构改造结合起来是未来所要解决的问题。 从技术角度看, 未来工 作需要对当前技术存留的问题进行补充和完善,当然更需要将新技术引入到 P2P 安全工作 中来。对 P2P 安全的管理需要的不仅是系统运营商和 P2P 技术开发者,也需要用户在其中 共同努力,从而实现 P2P 的真正安全。 References: : 1.Milojicic D. S., Kalogeraki V. and Lukose R, “Peer-to-Peer Computing”, Tech Report: HPL2002-57. 2.eBay Feedback, http://www.ebay.com. 3.E. Adar, B. A. Huberman, “Free Riding in Gnutella”, Tech Report, HP. 4.A. Oram, “Peer-to-Peer: Harnessing the Power of Disruptive Technologies”, O'Reilly Books, 2001, Ch. 2, pp. 21-37. 5.Kaouthar Sethom, Khaled Masmoudi, Hossam Afifi, “A Secure P2P Architecture for Location Management”, MDM 2005 05 Ayia Napa Cyprus (c) 2005 ACM. 6.Nitesh Saxena, Gene Tsudik, Jeong Hyun Yi, “Admission Control in Peer-to-Peer: Design and Performance Evaluation”. In Proceedings of the 1st ACM Workshop Security of Ad Hoc and Sensor Networks Fairfax, Virginia. 7.Girish Suryanarayana, Justin R. Erenkrantz and Richard N. Taylor, “An Architectural Approach for Decentralized Trust Management”, IEEE Internet Computing 2005. 8.Sergio Marti and Hector Garcia-Molina, “Taxonomy of Trust: Categorizing P2P Reputation Systems”. Computer Networks: The International Journal of Computer and Telecommunications Networking, Mar. 2006. 9.Miguel Castro, Peter Druschel, etc, “Secure Routing for Structured Peer-to-Peer Overlay Networks”, In Proc. Of the 5th Usenix Symposium on Operating Systems Design and Implementation, Boston, MA, December 2002. 10.Y. Kim, D. Mazzocchi and G. Tsudik, “Admission Control in Peer Groups”, In IEEE International Symposium on Network Computing and Application(NCA), Apr. 2003. 11.https://www.trustedcomputinggroup.org. 12.Xinwen Zhang, Songqing Chen and Ravi Sandhu, “Enhancing Data Authenticity and Integrity in P2P Systems”, IEEE Internet Computing, Nov. 2005. 13.Shane Balfe, Amit D. Lakhani and Kenneth G. Paterson, “Trusted Computing: Providing Security for Peer-to-Peer Networks”, Proceedings of the 2006 ACM Symposium on Information, computer and communications security, Mar. 2006. 14 . Marc Sanchez Artigas, Pedro Garcia Lopez, Antonio F. Gomez Skarmeta, “A Novel Methodology for Constructing Secure Multipath Overlays”, IEEE Internet Computing, Nov. 2005. 15.M. Srivatsa and L. Liu, “Vulnerabilities and Security Threats in Structured Peer-to-Peer

Systems: A Quantitative Analysis”, Proc. Ann. Computer SecurityApplications Conf. (ACSAC), IEEE CS Press, 2004, pp. 252–261. 16. Sit and R. Morris, “Security Considerations for Peer-to-Peer Distributed Hash Tables”, Proc. E. st 1 Int’l Workshop on Peer-to-Peer Systems (IPTPS), LNCS 2429, Springer, 2002, pp. 261–269. 17.Yao Wang, Julita Vassileva, “Bayesian Network-Based Trust Model”, Proceedings of the 2003 IEEE/WIC International Conference Oct. 2003. 18.Yao Wang, Julita Vassileva, “Bayesian Network Trust Model in Peer-to-Peer Networks”, Proc. of the 2nd Int'l Workshop on Agents and Peer-to-Peer Computing, Berlin, Springer-Verlag, 2004. 19. Neil Daswani, Hector Garcia-Molina, Beverly Yang, “Open Problems in Data-Sharing Peer-to-Peer Systems”, Proceedings of the 9th International Conference on Database Theory, Jan. 2003. 20.Shiuhpyng W. Shieh, Dan S. Wallach, “Ad Hoc and P2P Security”, IEEE Internet Computing, Nov. 2005 21.Dan S. Wallach, “A Survey of Peer-to-Peer Security Issues”, International Symposium on Software Security (Tokyo, Japan), November 2002. 22.Jason E. Bailes, Gary F. Templeton, “Managing P2P security”, Communications of the ACM, Sep. 2004. 23 . Nathaniel Leibowitz, Matei Ripeanu, Adam Wierzbicki, “Deconstructing the Kazaa Network”, Proceedings of the Third IEEE Workshop on Internet Applications, Jun. 2003. 24.http://www.emule.org. 25.http://www.btchina.net. 26.David D. Clark, Wroclawski, R.Sollins, Barden, “Tussle in Cyberspace: defining tomorrow’s Internet”, In ACM SIGCOMM 2002, Pittsburgh, PA, USA, 2002. 27.David D. Clark, “Requirements for a Future Internet: Security as a case study”, December 2005, http://find.isi.edu/. 28.Callon R, “The Twelve networking truths”, RFC1925, April 1996. 29.Ion Stoica, Robert Morris, David Karger, M.Frans Kaashoek, Hari Balakrishnan, “Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications”, In Proceeding of ACM SIGCOMM 2001, San Diego, California, USA.

30.Sylvia Ratnasamy, Paul Francis, Mark Handley, Richard Karp, Scott Shenker, “A Scalable Content-Addressable Network”, In Proceedings of ACM SIGCOMM2001, San Diego, California, USA. 31.Antony Rowstron, Peter Druschel, “Pastry: Scalable, Decentralized Object Location and Routing for Large-Scale Peer-to-Peer Systems”, IFIP/ACM International Conference on Distributed Systems Platforms (Middleware 2001). 32.Ben Y. Zhao, John Kubiatowicz, Anthony D. Joseph, “Tapestry: An Infrastructure for Fault-tolerant Wide-area Location and Routing”, Technical Report No. UCB/CSD-01-1141, University of California Berkeley. 33.http://www.freenet.org. 34.http://www.gnutella.com. 35.Jinsong Han, Yunhao Liu, Li Xiao, Renyi Xiao, Lionel M. Ni, “A Mutual Anonymous Peer-to-Peer Protocol Design”, Proceedings of the 19th IEEE International Parallel and Distributed Processing Symposium (IPDPS'05), Apr. 2005. 36 . Yu Zhang, Xianxian Li, Jinpeng Huai, Yunhao Liu, “Access Control in Peer-to-Peer

Collaborative Systems”, Proceedings of the First International Workshop on Mobility in Peer-to-Peer Systems (MPPS) (ICDCSW'05), Jun. 2005. 37.Yuuki Takano, Naoki Isozaki, Yoichi Shinoda, “Multipath Key Exchange on P2P Networks”, Proceedings of the First International Conference on Availability, Reliability and Security (ARES'06), Apr. 2006. 38.Ernesto Damiani, De Capitani di Vimercati, Stefano Paraboschi, Pierangela Samarati, Fabio Violante, “A reputation-based approach for choosing reliable resources in peer-to-peer networks”, Proceedings of the 9th ACM conference on Computer and communications security, Nov. 2002. 39 . Fabrizio Cornelli, Ernesto Damiani, Sabrina De Capitani di Vimercati, Stefano Paraboschi, Pierangela Samarati, “Choosing Reputable Servents in a P2P Network”, Proceedings of the 11th international conference on World Wide Web, May 2002. 40.Sepandar D. Kamvar, Mario T. Schlosser, Hector Garcia-Molina, “The EigenTrust Algorithm for Reputation Management in P2P Networks”, Proceedings of the 12th international conference on World Wide Web, May 2003. 41. Loubna Mekouar, Youssef Iraqi, Raouf Boutaba, “Peer-to-Peer's Most Wanted: Malicious Peers”, Computer Networks: The International Journal of Computer and Telecommunications Networking, Mar. 2006.


赞助商链接
更多搜索:P2P安全综述(1)
推荐相关:
网站首页 | 网站地图
All rights reserved Powered by 酷我资料网 koorio.com
copyright ©right 2014-2019。
文档资料库内容来自网络,如有侵犯请联系客服。zhit325@126.com