基于ｐ２ｐ網絡安全問題的研究

摘要：本文介紹了p2p的基本概念以及特點，分析了和P2P技術相關的信息安全問題，以及如何構建P2P網絡的安全防御體系。本文的最后對P2P安全的一些研究方向做了簡單的介紹。

關鍵詞：P2P；網絡安全；防御體系

中圖分類號：TP309文獻標識碼：A文章編號：1009-3044(2008)05-10ppp-0c

1 P2P簡介

P2P（Peer-to-Peer，即對等網絡）是近年來廣受IT業界關注的一個概念。由于廣大的網絡終端節點（普通用戶擁有的節點，即通常意義上的終端設備）的計算和存儲能力以及連接帶寬隨著摩爾定理不斷地增長，使用P2P技術將大大提高這些節點的利用率，從而進一步提升網絡、設備和信息服務的效能。P2P打破了傳統的Client／Server（C／S）模式，網絡中的每個節點的地位都是對等的。每個節點既充當服務器，為其他節點提供服務，同時也享用其他節點提供的服務。

1.1 什么是P2P

大多數人最初是從Napster的品牌中知道P2P網絡的。在這種應用中，P2P網絡概念用于共享文件。但是，P2P不僅僅是用于文件共享，它還包括建立基于P2P形式的通訊網絡、P2P計算或其它資源的共享等很多方面。P2P最根本的思想，同時也是它與C/S最顯著的區別在于網絡中的節點（peer）既可以獲取其它節點的資源或服務同時又是資源或服務的提供者，即兼具Client和Server的雙重身份。一般P2P網絡中每一個節點所擁有的權利和義務都是對等的，包括通訊、服務和資源消費。

1.2 P2P網絡的特點

與其它網絡模型相比，P2P具有以下特點：

（1）分散化

（2）可擴展性

（3）健壯性

（4）隱私性

（5）高性能

P2P技術的主要特點在于充分利用分布在終端電腦上的邊緣性網絡資源，包括計算資源、帶寬資源等，以降低對中央服務器的消耗需求[1]。

2 P2P網絡面臨的主要安全威脅

P2P存在的技術缺陷為網絡中攻擊者提供了各種各樣的機會。下面將詳細介紹P2P網絡面臨的主要安全威脅。

2.1路由攻擊[2]，其中包括：

（1）不正確的路由攻擊；

（2）不正確的路由更新攻擊；

（3）分隔(Partition)攻擊。

2.2 存取攻擊、行為不一致攻擊

存取攻擊即攻擊者正確地執行查找協議，但否認在它節點上保存有數據。也可以向外界宣稱它保存有這些數據，但卻拒絕提供，使其他節點無法得到數據。

行為不一致攻擊即攻擊者對網絡中距離比較遠的節點進行攻擊，而對自己鄰近的節點卻表現出一切正常的假象。遠方節點能發現這是一個攻擊者，但鄰近節點卻認為這是一個正常的節點。

2.3 目標節點過載攻擊

攻擊者通過向某些特定目標節點發送大量的垃圾分組消息，耗盡目標節點的處理能力，這是一種拒絕服務類型的攻擊。在一段時間之后，系統會認為目標節點已經失效退出，從而將目標節點從系統中刪除。

2.4 穿越防火墻

P2P網絡節點既可以位于公網，也可以處在內部局域網。P2P軟件經過特殊設計，能夠通過防火墻使內外網用戶建立連接，這就像是在防火墻上開放了一個秘密通道(Security Hole)，使得內網直接暴露在不安全的外部網絡環境下[2]。

2.5 強占帶寬

一般在校園網，企業網和某些住宅小區采用的是局域網通過代理服務器上網方式，其連接Internet的帶寬存在上限。又由于P2P節點在下載的同時又能上傳，因而在局域網內部若有相當數量的用戶使用P2P軟件交互數據，就會使帶寬迅速耗盡以致妨礙正常的網絡訪問[3]。

2.6 P2P帶來的新型網絡病毒傳播問題[4]

P2P網絡提供了方便的共享和快速的選路機制，為某些網絡病毒提供了更好的入侵機會。而且由于參與P2P網絡的節點數量非常大，因此通過P2P系統傳播的病毒，波及范圍大，覆蓋面廣，從而造成的損失會很大。而且，P2P網絡中各個節點防御病毒的能力不同，只要有一個節點感染病毒，就可以通過內部共享和通信機制將病毒擴散到臨近的節點，在很短的時間內可以造成網絡擁塞甚至癱瘓，共享信息喪失，機密信息失竊，甚至攻擊者通過網絡控制整個網絡。

隨著P2P技術的發展，將來會出現各種專門針對P2P系統的網絡病毒。利用系統漏洞，達到迅速破壞、控制系統的目的。因此，網絡病毒的潛在危機對P2P系統安全性和健壯性提出了更高的要求，迫切需要建立一套完整、高效、安全的防毒體系。

2.7 知識版權問題[5]

P2P文件共享存在著嚴重的法律問題，就是關于版權軟件、音樂、電影、色情資料和圖片的共享。

3 P2P網絡安全防御體系的建設

P2P安全通信主要涉及P2P內容安全、P2P網絡安全、P2P自身節點安全和P2P中對等節點之間的通信安全。目前主要采取的技術有：

3.1 對等誠信[6]

為使得P2P技術在更多的商業環境里發揮作用，必須考慮到網絡節點之間的信任問題。集中式的節點信任管理既復雜又不一定可靠。所以在P2P網絡中應該考慮對等誠信模型。實際上，對等誠信由于具有靈活性、針對性并且不需要復雜的集中管理，可能是未來各種網絡加強信任管理的必然選擇，而不僅僅局限于對等網絡。

對等誠信的一個關鍵是量化節點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預測網絡的狀態來提高分布式系統的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統eBay。在eBay的信譽度模型中，買賣雙方在每次交易以后可以相互提升信譽度；一名用戶的總的信譽度為過去6個月中這些信譽度的總和。eBay依靠一個中心來管理和存儲信譽度。同樣，在一個分布式系統中，對等點也可以在每次交易以后相互提升信譽度，就象在eBay中一樣。例如，對等點i每次從j下載文件時，它的信譽度就提升（+1）或降低（-1）。如果被下載的文件是不可信的，或是被篡改過的，或者下載被中斷等，則對等點i會把本次交易的信譽度記為負值（-1）。就象在eBay中一樣，我們可以把局部信譽度 定義為對等點i從對等點j下載文件的所有交易的信譽度之和。

每個對等點i可以存貯它自身與對等點j的滿意的交易數 ，以及不滿意的交易數 ，則 可定義為：

Sij=sat(i;j)-unsat(i;j)

3.2 數字版權保護機制；

3.3 P2P網絡安全與自身安全

P2P網絡屬于分布式的網絡體系結構，可以采用傳統的網絡安全技術，如防火墻、VPN和RADIUS等；對于P2P網絡中各結點，用戶可以通過各種個人防火墻和防病毒軟件來解決.

3.4 P2P對等節點之間的通信安全

P2P對等節點之間的通信安全問題比較復雜，主要包括節點之間的雙向認證、節點通過認證之后的訪問權限、認證的節點之間建立安全隧道和信息的安全傳輸等問題。目前比較可行的方案是采用安全遂道（網絡層、傳輸層和應用層安全隧道）[7]，結合數據加密、身份認證、數字簽名等技術來解決信息安全中的機密性、真實性、完整性、不可否認性和存取控制安全等問題。

4 P2P安全技術的研究重點

盡管P2P網絡的安全技術在近年來得到了迅速的發展，但仍然存在各種各樣的問題。這些問題能否解決，對于P2P能否得到更廣泛的應用至關重要。包括網絡拓撲排序分析、如何加入控制，如何構建健壯的網絡等。

5 結束語

P2P作為一種嶄新的傳輸模式，不僅能提供隱私保護與匿名通信，還能提高網絡的健壯性和抗毀性。然而，P2P技術也由于其自身存在的一些缺陷，如缺乏相互信任機制和內容鑒別、查詢泛洪等，面臨著相當嚴重的安全威脅，P2P技術仍然存在一系列安全問題需要進一步的研究。

參考文獻:

[1]周文莉，吳曉非.P2P技術綜述[]J.計算機工程與設計，2006(1).

[2]周亞建，楊義先.與P2P技術相關的信息安全問題[J].電信工程技術與標準化，2006(5).

[3]李樂，候整風.Peer to Peer網絡安全分析.福建電腦，2006(1).

[4]楊振會.P2P網絡技術安全問題探析.現代計算機，2006(11).

[5]張強.互聯網的內容安全及其保護措施的探討.網絡安全技術與應用，2005(8).

[6]程學旗.P2P技術與信息安全.http：//p2p.tmn.cn/html/3/21/20050513/110208.htm

[7]葉潤國.P2P網絡中對等節點間安全通信研究.微電子學與計算機，2004，21(6).

收稿日期：2008-01-10

作者簡介：常璐璐（1982-），女，山東濱州人，助教，本科，研究方向：計算機網絡安全；禹繼國（1972-），男，博士、副教授，研究方向：圖與網絡理論及算法；