Ｐ２Ｐ網絡安全性現狀研究

賈彥軍

[摘要]在對P2P技術簡要論述的基礎上,重點分析目前P2P網絡系統安全所面臨的各種威脅,如路由攻擊、帶寬消耗攻擊、穿越防火墻攻擊等,最后針對這些安全問題,指出應著重研究的幾個重點。

[關鍵詞]P2P 安全性 安全威

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)0910046-01

一、引言

P2P技術是目前流行于計算機網絡技術研究領域的一個熱點。P2P不僅是一種技術,它更是一種思想,這種分布式網絡技術體現的是一種“我為人人,人人為我”的資源共享思想。盡管P2P技術對未來網絡發展的意義深遠,但是,由于它自身的一些缺陷也使它面臨著巨大的安全挑戰。

二、P2P概述

P2P技術是一種用于不同終端用戶之間,不經過中繼設備直接交換數據或服務的技術,它允許一個用戶直接連接到其他用戶進行文件交換,而不需要連接到服務器上再進行瀏覽與下載。因為消除了中間環節,P2P技術使得網絡上的溝通變得更容易、更直接。P2P打破了以服務器為中心的互聯網格局狀態,重返“非中心化”的網絡初衷。目前,P2P技術已被應用于文件共享、分布式計算、協作系統、電子商務和深度搜索引擎等多個領域。

P2P網絡與傳統C/S模式相比,具有以下優點:

1.分散和平衡化:P2P網絡中每個節點既是服務器又是客戶端,資源和服務分散在結點上,信息的交換和服務的實現都直接在結點間進行,避免了C/S模式下服務器可能造成的“帶寬瓶頸”。

2.健壯和可擴展性:在P2P網絡中,用戶的加入在增加了服務需求的同時,更擴充了系統整體的資源和服務能力。此外,整個體系是全分布的對等的,單點故障并不會影響到整個系統。

3.性能/價格比:P2P網絡有效地利用了互聯網中分散的大量普通結點,將計算任務或存儲資料分布到所有結點上,利用閑置結點的計算能力或存儲空間,低成本地實現了高性能計算和海量存儲的目的。

4.匿名通訊和隱私保護:在P2P網絡中,由于信息的傳輸在各節點間直接進行且任意結點都可提供中繼轉發的功能,所以用戶的隱私信息被竊聽的可能性就大為縮小,這也為匿名通訊提供了可能。

三、P2P網絡面臨的主要安全威脅

(一)帶寬消耗攻擊。結點在P2P網絡中獲取資源或尋找其他結點之前,首先要發出查詢報文以定位資源和獲取鄰居結點位置。查詢算法為了獲得較高的可靠性,一般采用泛洪方式進行查詢,這種方式的安全隱患是如果有惡意結點發送大量不同的查詢報文,將會大量消耗網絡帶寬。此外,P2P結點在下載的同時又能夠上傳,如果局域網內部有相當數量的用戶使用P2P軟件交換數據,就會使帶寬迅速耗盡而導致正常的網絡訪問無法進行。

(二)路由攻擊。1.錯誤的路由。查找協議主要是根據路由表把請求發送到相應的結點。由于每個結點的路由表都是通過和其他結點進行交互來構造的,因此一個攻擊者可以向其他結點發送不正確的路由信息來破壞其他結點的路由表,也可以把通過它進行的查找轉發到不正確或者不存在的結點。為了避免這種攻擊,在每次經過一個結點進行轉發時,查詢者可以檢查查找是否向著更接近目標結點的方向進行。但是,查詢的每一步都必須對查詢者是可見的。2.陷阱。節點的初始路由信息是在加入系統時和系統中已有節點進行通信而獲得的。新結點如果將惡意結點做為初始化結點,有可能被分隔到一個不正確的網絡中。攻擊者可以利用這種方式破壞系統的正常加入過程并可以了解到客戶端的行為。為了防范這種攻擊,新結點啟動時必須借助信任的源進行。當然,構建信任源并不是一件容易的事情。

(三)系統攻擊。P2P網絡是一個動態的網絡,當出現多個節點同時并發加入系統時,或者長時間的錯誤積累到一定程度時,都有可能使網絡不穩定,如果沒有很好的容錯方案,攻擊者就可以利用這些漏洞來發起攻擊。比如通過控制大量節點不斷的加入和退出來引起大量不必要的數據傳輸,從而破壞P2P網絡的穩定性等。攻擊者也可能向某些特定目標節點發送大量的垃圾消息,從而耗盡目標節點的處理能力。一段時間后,系統會認為目標節點已失效,從而將其刪除。

(四)信任攻擊。目前的P2P系統不存在中心服務器提供的基于內容的鑒別,資源共享嚴重依賴于資源提供者和需求者間的彼此信任,事實上只能保證所請求資源的標志(通常是名稱)與希望的標志一致。這就使得一些垃圾文件或者病毒文件偽裝成正常文件進行傳播。攻擊者對網絡中距離遠的結點進行攻擊,而對自己附近的結點表現出一切正常的假相。對付這種攻擊的方法是遠方結點給攻擊者的鄰結點發送一個消息,告訴它攻擊者的信息。但是,這種消息發送機制需要公鑰和數字簽名機制的支持。

(五)存取攻擊。攻擊者正確地執行查找協議,但它卻否認在它之上保存的數據;它也可宣稱它保存有這些數據,但是卻拒絕提供。為了對付這種攻擊,存儲層必須實現數據復制。數據復制過程必須保證不能出現單個結點可以控制全部復制數據的情況。

(六)穿透防火墻攻擊。P2P網絡節點既可位于公網,也可在局域網內部。P2P軟件經過特殊設計,能夠通過防火墻使內外網用戶建立連接,這就像是在防火墻上開了一個秘密通道,使內網直接暴露在不安全的外部網絡環境下。

四、解決P2P網絡安全性問題應研究的幾個重點

(一)信任機制。信任關系是P2P網絡最基本、最核心的安全需求。由于缺乏集中的安全管理機制和認證機構,P2P網絡中各個網絡節點很難建立起一種信任關系。這就無法保證資料的安全性,很容易受到各種木馬和惡意代碼的攻擊。P2P技術能否發揮更大的作用,取決于它能否在網絡節點間建立可靠的信任關系。

(二)數字版權。P2P技術的廣泛應用加速了盜版媒體的傳播,加大了知識產權保護的難度,盡管許多軟件開發商采取了各種措施進行防范,如在線激活、注冊、數字許可證等,但是,這些措施目前由于相關技術不成熟還沒能起到很好的作用。如何在不影響P2P共享軟件性能的前提下,加強知識產權保護機制的實現,是下一代P2P共享軟件要解決的重點問題。

(三)P2P節點間的通信安全。網絡節點之間的通信安全問題比較復雜,主要包括節點之間的雙向認證、訪問權限、認證的節點之間建立安全隧道和信息的安全傳輸等問題。目前比較可行的方案是采用安全隧道(網絡層、傳輸層和應用層安全隧道),結合數據加密、身份認證、數字簽名等技術來解決信息安全中的機密性、真實性、完整性、不可否認性和存取控制安全等問題。

五、結束語

P2P作為一種嶄新的網絡技術,在加強網絡上協同工作、文件交換、分布式計算、服務共享等方面已經充分顯示出了其強大的優勢,然而,P2P技術也由于其與生倶有的一些缺陷,如缺乏相互信任機制和內容鑒別、查詢泛洪等,面臨著相當嚴重的安全威脅,要想使P2P技術的優勢在未來的網絡應用中能夠得到更加充分的發揮,我們對P2P技術的安全問題進行研究的路子任重而道遠。

參考文獻:

[1]趙雙紅、劉壽強,P2P通信網絡安全問題探析,計算機安全,2006,33.

[2]潘娟、許林英,第二代P2P及其安全性研究,微處理機,2006.

[3]俞銀燕、湯幟,數字版權保護技術研究綜述,計算機學報,2005.