與P2P技術(shù)相關(guān)的信息安全問題

摘要　本文分析了和P2P技術(shù)相關(guān)的信息安全問題，既包括P2P技術(shù)能增強網(wǎng)絡(luò)的抗毀性和隱私保護(hù)這些令人鼓舞的好處，也包括由其自身的技術(shù)缺陷所帶來的主要安全威脅，如路由攻擊、防火墻穿越等。針對這些安全問題，我們介紹了如何構(gòu)建P2P網(wǎng)絡(luò)的安全防御體系。本文的最后對P2P安全的一些研究方向做了簡單的介紹。

關(guān)鍵詞　P2P　安全　防御體系

1、P2P簡介

　　P2P是一種分布式網(wǎng)絡(luò)，網(wǎng)絡(luò)的參與者共享他們所擁有的一部分硬件資源（處理能力、存儲能力、網(wǎng)絡(luò)連接能力、打印機(jī)等），這些共享資源需要由網(wǎng)絡(luò)提供服務(wù)和內(nèi)容，能被其他對等節(jié)點（Peer）直接訪問而無需經(jīng)過中間實體[1]。在此網(wǎng)絡(luò)中的參與者既是資源（服務(wù)和內(nèi)容）的提供者（Server），又是資源（服務(wù)和內(nèi)容）的獲取者（Client）。

　　P2P打破了傳統(tǒng)的Client／Server（C／S）模式，網(wǎng)絡(luò)中的每個節(jié)點的地位都是對等的。每個節(jié)點既充當(dāng)服務(wù)器，為其他節(jié)點提供服務(wù)，同時也享用其他節(jié)點提供的服務(wù)。P2P與C／S模式的對比如圖1所示[2]。

2、P2P技術(shù)帶來的安全上的好處

　　2.1　隱私保護(hù)與匿名通信[3]

　　在P2P網(wǎng)絡(luò)中，由于信息的傳輸分散在各節(jié)點之間進(jìn)行而無需經(jīng)過某個集中環(huán)節(jié)，用戶的隱私信息被竊聽和泄漏的可能性大大縮小。此外，目前解決Internet隱私問題主要采用中繼轉(zhuǎn)發(fā)的方法，從而將通信的參與者隱藏在眾多的網(wǎng)絡(luò)實體之中。在一些傳統(tǒng)的匿名通信系統(tǒng)中，實現(xiàn)這一機(jī)制依賴于某些中繼服務(wù)器節(jié)點。而在P2P中，所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能，因而大大提高了匿名通信的靈活性和可靠性，能夠為用戶提供更好的隱私保護(hù)。

　　2.2　健壯服務(wù)與網(wǎng)絡(luò)抗毀

　　P2P采用了完全分布式架構(gòu)，網(wǎng)絡(luò)中的節(jié)點既可以獲取其他節(jié)點的資源或服務(wù)、同時又是資源或服務(wù)的提供者，不依賴于少數(shù)集中控制節(jié)點，具有比傳統(tǒng)的Client／Server網(wǎng)絡(luò)更好的健壯性和抗毀性，成為構(gòu)建高健壯性網(wǎng)絡(luò)的有效方式。


圖1　P2P與C／S模式的對比

3、P2P技術(shù)存在的安全缺陷

　　P2P網(wǎng)絡(luò)采用的分布式結(jié)構(gòu)在提供擴(kuò)展性和靈活性的同時，也使它面臨著巨大的安全挑戰(zhàn)：它需要在沒有中心節(jié)點的情況下，提供身份驗證、授權(quán)、數(shù)據(jù)信息的安全傳輸、數(shù)字簽名、加密等機(jī)制。但目前的P2P技術(shù)距離實現(xiàn)這一目標(biāo)尚有一定的距離，它本身存在的一些安全缺陷阻礙其得到進(jìn)一步應(yīng)用。下面將介紹一些主要的P2P安全缺陷[4]。

　�。�1）一個惡意的服務(wù)器可以接受主服務(wù)器的文檔副本，然后向用戶發(fā)送修改過的信息。它還可以在接受了主服務(wù)器的副本后拒絕服務(wù)，造成“服務(wù)否認(rèn)”。更為隱蔽的攻擊是不分配給副本足夠的資源。

　�。�2）現(xiàn)行的大多數(shù)P2P系統(tǒng)并沒有在節(jié)點間建立信任關(guān)系，只是采取一定的機(jī)制防止惡意行為。例如，有的方案并不阻止一個節(jié)點共享一個其內(nèi)容與其描述并不匹配的文件，用戶必須自己解決因下載其他節(jié)點的文件帶來的不安全因素。

　�。�3）雖然JXTA和P2P信任庫也提供傳統(tǒng)的密碼機(jī)制（如加密、數(shù)字簽名和散列等），文檔的合法作者可以通過在其文檔中添加一個加密簽名進(jìn)行完整性檢測，但由于大多數(shù)瀏覽器并不能檢測文檔簽名，所以這種機(jī)制用于P2P網(wǎng)絡(luò)是不切實際的。即使瀏覽器可以進(jìn)行簽名檢測，客戶機(jī)也不能正確區(qū)分一個被移除了簽名的盜版文檔和一個正版的未簽名的文檔。

　　（4）節(jié)點在P2P網(wǎng)絡(luò)中獲取資源或是尋找其他節(jié)點之前，首先要發(fā)出查詢報文以定位資源和獲取鄰居節(jié)點位置。查詢算法為了獲得較高的可靠性，一般采用廣播方式進(jìn)行查詢，這種方式的安全隱患是如果有惡意節(jié)點偽裝成受害節(jié)點發(fā)送大量不同的查詢報文，將會大量消耗網(wǎng)絡(luò)帶寬[5]。

　　（5）在獲取資源的時候我們首先需要保證所下載的資源正是我們需要的資源。在最好的情況下，我們還要確定所下載的資源只包含有符合要求的文件，也就是說沒有其他不需要或是不希望有的垃圾文件。但是在目前已實現(xiàn)的P2P系統(tǒng)中，不存在中心服務(wù)器提供的基于內(nèi)容的鑒別，資源共享嚴(yán)重依賴于資源提供者和需求者之間的相互信任，事實上只能保證所請求資源的標(biāo)志（通常是名稱）與希望的標(biāo)志一致。這也使得一些垃圾文件偽裝成正常文件進(jìn)行傳播[5]。

　　（6）P2P節(jié)點在下載的同時又能夠上傳，如果在局域網(wǎng)內(nèi)部有相當(dāng)數(shù)量的用戶使用P2P軟件交換數(shù)據(jù)，就會使帶寬迅速耗盡以致妨礙正常的網(wǎng)絡(luò)訪問。

4、P2P網(wǎng)絡(luò)面臨的主要安全威脅

　　P2P存在的技術(shù)缺陷為網(wǎng)絡(luò)中攻擊者提供了各種各樣的機(jī)會。下面將詳細(xì)介紹P2P網(wǎng)絡(luò)面臨的主要安全威脅。

　　4.1　P2P信息共享與知識產(chǎn)權(quán)保護(hù)[6]

　　在傳統(tǒng)產(chǎn)權(quán)管理中，資料以有形實體而存在，防止未經(jīng)許可的內(nèi)容使用相對容易。但是，由于數(shù)字內(nèi)容可以很容易地被復(fù)制與傳輸，尤其是P2P共享軟件的繁榮加速了盜版媒體的分發(fā)，增加了知識產(chǎn)權(quán)保護(hù)的難點。美國唱片工業(yè)協(xié)會（RIAA，Recording Industry Association of America）與這些共享軟件公司展開了漫長的官司拉鋸戰(zhàn)，著名的Napster便是這場戰(zhàn)爭的第一個犧牲者。然而，后Napster時代的P2P共享軟件較Napster更具有分散性，也更難加以控制。即使P2P共享軟件的運營公司被判違法而關(guān)閉，整個網(wǎng)絡(luò)仍然會存活，至少會正常工作一段時間。

　　4.2　路由攻擊[7]

　　4.2.1　不正確的路由攻擊

　　攻擊者通過不正確的路由，將其他節(jié)點的查找消息轉(zhuǎn)發(fā)到不正確的或者不存在的節(jié)點上。由于攻擊者可以按照正確的方式和系統(tǒng)其他節(jié)點交互，因此在其他節(jié)點看來，它是一個正常的節(jié)點，也就不能把它從路由表中刪除。而且，即使進(jìn)行重傳也一樣會被攻擊者發(fā)送到不正確的節(jié)點上。

　　攻擊者可以宣稱（當(dāng)然是不正確的）一個隨機(jī)節(jié)點負(fù)責(zé)保存某個關(guān)鍵字。這將會導(dǎo)致關(guān)鍵字被保存在一個不正確的節(jié)點上，當(dāng)然也就不可能被其他節(jié)點檢索到。

　　4.2.2　不正確的路由更新攻擊

　　由于每個節(jié)點都是通過和其他節(jié)點進(jìn)行交互來構(gòu)造自己的路由表，因此攻擊者可以向其他節(jié)點發(fā)送不正確的路由信息來破壞其他節(jié)點的路由表。這將會導(dǎo)致其他節(jié)點將查詢請求轉(zhuǎn)發(fā)到不正確的節(jié)點上。

　　4.2.3　分隔（Partition）攻擊

　　在新節(jié)點加入系統(tǒng)時，必須和系統(tǒng)中現(xiàn)有節(jié)點進(jìn)行聯(lián)系以獲得相應(yīng)的初始路由信息。這時，新節(jié)點可能被分隔到一個不正確的P2P網(wǎng)絡(luò)中。假定一組攻擊者節(jié)點已經(jīng)構(gòu)成了一個虛假網(wǎng)絡(luò)，他們也運行和真實網(wǎng)絡(luò)相同的協(xié)議，因此這個虛假網(wǎng)絡(luò)從內(nèi)部來說也是完全正確的。而且，其中某些節(jié)點也可能是真實網(wǎng)絡(luò)中的節(jié)點。這時，如果新節(jié)點把這個虛假網(wǎng)絡(luò)中的某個節(jié)點作為初始化節(jié)點，那么他將落入到這個虛假網(wǎng)絡(luò)中去，與真實網(wǎng)絡(luò)分隔開來。

　　4.3　存取攻擊

　　攻擊者正確地執(zhí)行查找協(xié)議，但否認(rèn)在它節(jié)點上保存有數(shù)據(jù)。也可以向外界宣稱它保存有這些數(shù)據(jù)，但卻拒絕提供，使其他節(jié)點無法得到數(shù)據(jù)。

　　4.4　行為不一致攻擊

　　攻擊者對網(wǎng)絡(luò)中距離比較遠(yuǎn)的節(jié)點進(jìn)行攻擊，而對自己鄰近的節(jié)點卻表現(xiàn)出一切正常的假象。遠(yuǎn)方節(jié)點能發(fā)現(xiàn)這是一個攻擊者，但鄰近節(jié)點卻認(rèn)為這是一個正常的節(jié)點。

　　4.5　目標(biāo)節(jié)點過載攻擊

　　攻擊者通過向某些特定目標(biāo)節(jié)點發(fā)送大量的垃圾分組消息，耗盡目標(biāo)節(jié)點的處理能力，這是一種拒絕服務(wù)類型的攻擊。在一段時間之后，系統(tǒng)會認(rèn)為目標(biāo)節(jié)點已經(jīng)失效退出，從而將目標(biāo)節(jié)點從系統(tǒng)中刪除。

　　4.6　穿越防火墻[5]

　　P2P網(wǎng)絡(luò)節(jié)點既可以位于公網(wǎng)，也可以處在內(nèi)部局域網(wǎng)。P2P軟件經(jīng)過特殊設(shè)計，能夠通過防火墻使內(nèi)外網(wǎng)用戶建立連接，這就像是在防火墻上開放了一個秘密通道（Security Hole），使得內(nèi)網(wǎng)直接暴露在不安全的外部網(wǎng)絡(luò)環(huán)境下。

　　4.7　P2P帶來的新型網(wǎng)絡(luò)病毒傳播問題[8]

　　P2P網(wǎng)絡(luò)提供了方便的共享和快速的選路機(jī)制，為某些網(wǎng)絡(luò)病毒提供了更好的入侵機(jī)會。而且由于參與P2P網(wǎng)絡(luò)的節(jié)點數(shù)量非常大，因此通過P2P系統(tǒng)傳播的病毒，波及范圍大，覆蓋面廣，從而造成的損失會很大。

　　在P2P網(wǎng)絡(luò)中，每個節(jié)點防御病毒的能力是不同的。只要有一個節(jié)點感染病毒，就可以通過內(nèi)部共享和通信機(jī)制將病毒擴(kuò)散到附近的鄰居節(jié)點。在短時間內(nèi)可以造成網(wǎng)絡(luò)擁塞甚至癱瘓，甚至通過網(wǎng)絡(luò)病毒可以完全控制整個網(wǎng)絡(luò)。

　　隨著P2P技術(shù)的發(fā)展，將來會出現(xiàn)各種專門針對P2P系統(tǒng)的網(wǎng)絡(luò)病毒。利用系統(tǒng)漏洞，達(dá)到迅速破壞、控制系統(tǒng)的目的。因此，網(wǎng)絡(luò)病毒的潛在危機(jī)對P2P系統(tǒng)安全性和健壯性提出了更高的要求，迫切需要建立一套完整、高效、安全的防毒體系。

5、P2P網(wǎng)絡(luò)安全的防御體系建設(shè)

　　P2P的安全通信主要涉及到4個方面：P2P內(nèi)容安全、P2P網(wǎng)絡(luò)安全、P2P節(jié)點自身安全和P2P中對等節(jié)點之間的通信安全。目前采用的主要技術(shù)有：

　　（1）誠信機(jī)制；

　　（2）數(shù)字版權(quán)保護(hù)機(jī)制；

　　（3）P2P網(wǎng)絡(luò)安全：P2P網(wǎng)絡(luò)屬于分布式的網(wǎng)絡(luò)體系結(jié)構(gòu)，可以采用傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，如防火墻、VPN和RADIUS等；

　�。�4）P2P節(jié)點自身安全：可以通過各種個人防火墻和防病毒軟件來解決；

　�。�5）P2P對等節(jié)點之間的通信安全：P2P對等節(jié)點之間的通信安全問題比較復(fù)雜，主要包括節(jié)點之間的雙向認(rèn)證、節(jié)點通過認(rèn)證之后的訪問權(quán)限、認(rèn)證的節(jié)點之間建立安全隧道和信息的安全傳輸?shù)葐栴}。目前比較可行的方案是采用安全遂道（網(wǎng)絡(luò)層、傳輸層和應(yīng)用層安全隧道），結(jié)合數(shù)據(jù)加密、身份認(rèn)證、數(shù)字簽名等技術(shù)來解決信息安全中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制安全等問題。

　　5.1　對等誠信[8]

　　P2P技術(shù)能否發(fā)揮更大的作用，取決于它能否在網(wǎng)絡(luò)節(jié)點之間建立起信任關(guān)系�？紤]到集中式的節(jié)點信任管理既復(fù)雜又不一定可靠，P2P網(wǎng)絡(luò)中應(yīng)該考慮對等誠信模型。實際上，對等誠信由于具有靈活性、針對性并且不需要復(fù)雜的集中管理，可能是未來各種網(wǎng)絡(luò)加強信任管理的必然選擇，而不僅僅局限于對等網(wǎng)絡(luò)。

　　對等誠信的一個關(guān)鍵是量化節(jié)點的信譽度，或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過預(yù)測網(wǎng)絡(luò)的狀態(tài)來提高分布式系統(tǒng)的可靠性。一個比較成功的信譽度應(yīng)用例子是在線拍賣系統(tǒng)eBay。在eBay的信譽度模型中，買賣雙方在每次交易以后可以相互提升信譽度，一名用戶總的信譽度為過去6個月中這些信譽度的總和，eBay依靠一個中心來管理和存儲信譽度。

　　5.2　數(shù)字版權(quán)保護(hù)管理DRM（Digital Rights Management）

　　數(shù)字版權(quán)管理是指采用包括信息安全技術(shù)手段在內(nèi)的系統(tǒng)解決方案，在保證合法的、具有權(quán)限的用戶對數(shù)字媒體內(nèi)容（如數(shù)字圖像、音頻、視頻等）正常使用的同時，保護(hù)數(shù)字媒體創(chuàng)作者和擁有者的版權(quán)，并根據(jù)版權(quán)信息獲得合法收益，而且在版權(quán)受到侵害時能夠鑒別數(shù)字信息的版權(quán)歸屬及版權(quán)信息的真?zhèn)�。�?shù)字版權(quán)保護(hù)不是密碼技術(shù)的簡單應(yīng)用，也不是將受保護(hù)的內(nèi)容從服務(wù)器傳遞到客戶端并用某種方式限制其使用的簡單機(jī)制。內(nèi)容提供者希望通過使用DRM，保護(hù)數(shù)字作品的版權(quán)，促進(jìn)數(shù)字化市場的發(fā)展[9]。

　　5.3　網(wǎng)絡(luò)層安全隧道[10]

　　1995年8月，IETF公布了一系列網(wǎng)絡(luò)信息傳輸安全標(biāo)準(zhǔn)協(xié)議，即IPSec（Internet Security）。IPSec主要包括安全聯(lián)盟SA、鑒別首部AH、封裝安全載荷ESP、密鑰管理IKE及認(rèn)證和加密算法。IPSec提供了基于IP通信的網(wǎng)絡(luò)層安全，它對上層協(xié)議是完全透明的�？衫�用IPSec的端到端傳輸模式來架構(gòu)P2P的網(wǎng)絡(luò)層安全隧道。

　　安全聯(lián)盟（SA）決定了通信雙方所采用的IPSec安全協(xié)議、單向散列、加密算法和密鑰等安全參數(shù)，SA總是成對出現(xiàn)，是通信雙方協(xié)商的結(jié)果。

　　ESP可工作于傳輸模式和隧道模式。傳輸模式對傳輸層報文加密，用于主機(jī)與主機(jī)之間的安全通信；而隧道模式對整個IP數(shù)據(jù)報加密，用于網(wǎng)關(guān)與網(wǎng)關(guān)之間的安全通信。IPSec支持共享密鑰、數(shù)字簽名和公鑰加密三種身份認(rèn)證，均可用于P2P節(jié)點之間的雙向認(rèn)證。

　　5.4　傳輸層安全隧道[10]

　　美國網(wǎng)景（Netscape）公司制定的安全套接層（SSL，Secure Socket Layer）協(xié)議，采用RSA（遵守X.509標(biāo)準(zhǔn)）、私有密鑰及加密技術(shù)在介于TCP層和應(yīng)用層之間的傳輸層建立一條安全隧道，用于瀏覽器和Web服務(wù)器之間的安全通信。SSL主要包括記錄協(xié)議和握手協(xié)議，記錄協(xié)議具體實現(xiàn)壓縮／解壓、加密／解密、計算MAC等；握手協(xié)議要求通信雙方首先協(xié)商密鑰加密算法、數(shù)據(jù)加密算法及摘要算法，然后進(jìn)行身份驗證，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的密鑰。雖然SSL缺省只進(jìn)行服務(wù)器端認(rèn)證，但可以利用SSL對等安全連接中基于X.509標(biāo)準(zhǔn)的雙向認(rèn)證機(jī)制實現(xiàn)P2P的傳輸層安全隧道。

　　5.5　應(yīng)用層安全隧道[10]

　　可以利用S-HTTP（Secure Hyper Text Transfer Protocol）、PKI（Public Key Infrastructure）和GSS-API（General Secure Service Application Programming Interface）等技術(shù)實現(xiàn)P2P的應(yīng)用層安全隧道。但這些技術(shù)在接口技術(shù)、加密算法、身份認(rèn)證和密鑰交換等問題存在較大差異，對每個P2P節(jié)點的應(yīng)用程序要進(jìn)行單獨的修改，缺乏互操作性。

6、P2P安全技術(shù)的研究重點

　　盡管P2P網(wǎng)絡(luò)的安全技術(shù)在近年來得到了迅速的發(fā)展，但仍然存在一些問題。這些問題對于P2P能否得到更廣泛的應(yīng)用至關(guān)重要，需要進(jìn)一步的深入研究。

　　6.1　網(wǎng)絡(luò)拓?fù)浞治鯷8]

　　隨著P2P網(wǎng)絡(luò)內(nèi)部節(jié)點數(shù)不斷增多，系統(tǒng)的運行情況和組織方式逐漸成為影響網(wǎng)絡(luò)發(fā)展的主導(dǎo)因素。因此有必要對P2P網(wǎng)絡(luò)的整體拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)行為進(jìn)行深入的了解、分析，并根據(jù)網(wǎng)絡(luò)的變化，分析發(fā)展趨勢，對網(wǎng)絡(luò)效率和運行情況做出評價。

　　目前通常采用的是基于TCP／IP（Transmission Control Protocol／Internet Protocol）協(xié)議的主動測量方式，通過連續(xù)性、周期性地向目標(biāo)網(wǎng)絡(luò)發(fā)送ICMP數(shù)據(jù)，觀察網(wǎng)絡(luò)的丟包率、RTT（Round Trip Time）值、路徑的平均跳數(shù)等性能參數(shù)來研究網(wǎng)絡(luò)的運行情況。同時在分析大量測試數(shù)據(jù)的基礎(chǔ)上，生成P2P系統(tǒng)的拓?fù)溥B接圖。通過P2P方式建立有效的網(wǎng)絡(luò)拓?fù)鋱D具有如下價值。

　�。�1）直觀的了解系統(tǒng)中各個節(jié)點的邏輯連接關(guān)系，負(fù)載情況，可以為對等節(jié)點間的負(fù)載平衡，擁塞避免等提供第一手資料；

　�。�2）發(fā)現(xiàn)并抵御惡意攻擊，及時處理級連故障（Cascading Failure）；

　�。�3）為積極防御提供數(shù)據(jù)依據(jù)；

　　（4）以此構(gòu)建仿真環(huán)境，提供網(wǎng)絡(luò)信息安全試驗平臺。

　　值得注意是由于對P2P網(wǎng)絡(luò)進(jìn)行拓?fù)浒l(fā)現(xiàn)實時性要求較高，所以探測頻率往往很大，但必須保證不要對目標(biāo)網(wǎng)絡(luò)造成較大的額外負(fù)荷。

　　6.2　加入控制（Admission Control）[8]

　　當(dāng)某個節(jié)點試圖加入P2P傳輸時，系統(tǒng)很難知道加入的節(jié)點是否是惡意節(jié)點，是否被攻擊者控制等。這樣，攻擊者可以嘗試向系統(tǒng)中插入大量被其控制的節(jié)點，以進(jìn)行通信流分析。而對加入系統(tǒng)的節(jié)點進(jìn)行身份認(rèn)證又與匿名性這一目標(biāo)相違背。其次是P2P系統(tǒng)的動態(tài)性很強，許多節(jié)點在網(wǎng)絡(luò)中的時間并不長，它們頻繁地加入和離開系統(tǒng)。當(dāng)一個節(jié)點加入系統(tǒng)時，它需要為系統(tǒng)中其他節(jié)點形成匿名路徑，這可能會帶來一些安全問題。當(dāng)一個節(jié)點離開系統(tǒng)時，該節(jié)點所在匿名路徑上的那些用戶必須等待新的匿名路徑的形成。節(jié)點加入和離開系統(tǒng)的另一個問題是節(jié)點必須知道網(wǎng)絡(luò)中的其他一些節(jié)點。而P2P系統(tǒng)不斷變化的匿名集又給這一問題增添了困難。最后，P2P系統(tǒng)中各個節(jié)點的性能有差異，尤其是在一個開放的環(huán)境中。這導(dǎo)致了一些問題，例如，一個性能差的節(jié)點會降低其所在匿名路徑的效率，即使匿名路徑上其他節(jié)點的性能很好。性能差異還可能有利于攻擊者進(jìn)行時間分析，因為攻擊者可以從一條路徑上的不同的延遲獲得一些相關(guān)的信息等。

　　6.3　如何構(gòu)建健壯的網(wǎng)絡(luò)[8]

　　所謂健壯性，就是當(dāng)網(wǎng)絡(luò)中節(jié)點出現(xiàn)故障、流量發(fā)生阻塞以及拓?fù)浣Y(jié)構(gòu)發(fā)生變化時，仍然能夠正常運行，并提供承諾服務(wù)的能力。要建立健壯的P2P網(wǎng)絡(luò)，需要解決以下問題：

　　6.3.1　故障診斷

　　在一般的P2P網(wǎng)絡(luò)中，由于沒有集中控制節(jié)點，主要的故障最終都?xì)w結(jié)為節(jié)點失效，失效的原因可能是該用戶退出網(wǎng)絡(luò)或是相關(guān)網(wǎng)路中的路由錯誤等。發(fā)現(xiàn)節(jié)點失效的方法通常比較簡單，可以在發(fā)起通信時檢測，或采用定時握手的機(jī)制。

　　一些系統(tǒng)進(jìn)一步監(jiān)測網(wǎng)絡(luò)通信狀態(tài)，如通信延遲、響應(yīng)時間等，以此來指導(dǎo)節(jié)點自適應(yīng)地調(diào)整鄰接關(guān)系和路由、提高系統(tǒng)性能。

　　在要求更高的場合，有時還需要發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和惡意節(jié)點等安全威脅。由于P2P網(wǎng)絡(luò)中節(jié)點的加入往往具有很大的自由性，而且缺少全局性的權(quán)限管理中心或信任中心，對惡意節(jié)點的檢測一般通過信譽機(jī)制來實現(xiàn)。

　　6.3.2　容錯

　　在節(jié)點失效、網(wǎng)絡(luò)擁塞等故障發(fā)生后，系統(tǒng)應(yīng)保證通信和服務(wù)的連續(xù)性。最簡單的辦法是重試，這在發(fā)生暫時性的網(wǎng)絡(luò)擁塞時是有效的。對于經(jīng)常出現(xiàn)的節(jié)點失效問題，則需要調(diào)整路由以繞開故障節(jié)點和網(wǎng)絡(luò)。在Hybrid型的P2P網(wǎng)絡(luò)中，中心索引節(jié)點可以提供失效節(jié)點的替代節(jié)點；在Gnutella等廣播型的P2P網(wǎng)絡(luò)中，部分節(jié)點的失效不會影響整個網(wǎng)絡(luò)的服務(wù)；在Chord、Freenet等內(nèi)容路由型P2P網(wǎng)絡(luò)中，其路由中的每一步都有多個候選，通過選擇相近的路由可以很容易地繞過故障節(jié)點，由于其以n維空間的方式進(jìn)行編址，中間路徑的選擇不會影響最終到達(dá)目標(biāo)節(jié)點。

　　除了通信外，一些P2P網(wǎng)絡(luò)還提供內(nèi)容存儲和傳輸?shù)确��?wù)，這些服務(wù)的容錯能力通過信息的冗余來保證。與廣播機(jī)制或內(nèi)容路由算法相結(jié)合，可以在目標(biāo)節(jié)點失效后很快定位到相近的、存儲有信息副本的節(jié)點。

　　6.3.3　自組織

　　自組織性指系統(tǒng)能夠自動地適應(yīng)環(huán)境的變化、調(diào)整自身結(jié)構(gòu)。對于P2P網(wǎng)絡(luò)來說，環(huán)境的變化既包括節(jié)點的加入和退出、系統(tǒng)規(guī)模的大小，也包括網(wǎng)絡(luò)的流量、帶寬和故障，以及外界的攻擊等影響。

　　目前的P2P系統(tǒng)大都能適應(yīng)系統(tǒng)規(guī)模的變化。典型的方法是以一定的策略更新節(jié)點的鄰接表并將鄰接表限制在一定的規(guī)模內(nèi)，使整個網(wǎng)絡(luò)的規(guī)模不受節(jié)點的限制。

　　在一些對鄰接關(guān)系有一定要求的網(wǎng)絡(luò)中，則需隨節(jié)點的變更動態(tài)調(diào)整系統(tǒng)拓?fù)�。如Clique Net和Herbivote等基于DC-net的匿名網(wǎng)絡(luò)，通過自動分裂／合并機(jī)制將鄰接節(jié)點限制在一定數(shù)量范圍內(nèi)以保證系統(tǒng)的性能。

　　6.4　復(fù)制機(jī)制

　　P2P技術(shù)體系中的復(fù)制機(jī)制主要是為了增強P2P網(wǎng)絡(luò)的抗攻擊性，避免由于網(wǎng)絡(luò)攻擊造成的網(wǎng)絡(luò)重要數(shù)據(jù)丟失，同時增強網(wǎng)絡(luò)的可擴(kuò)展性，使網(wǎng)絡(luò)負(fù)載平衡。

　　6.5　P2P流量的分析和統(tǒng)計[11]

　　流量分析是一個不斷發(fā)展變化的過程。最初的P2P流可通過其固定服務(wù)器IP地址及端口號加以識別，很快便大量出現(xiàn)了采用可變端口及偽裝端口的分布式P2P應(yīng)用軟件。由于Internet上存在著眾多的P2P應(yīng)用軟件，使得P2P流量的識別與監(jiān)控必須采用一種或多種手段協(xié)作進(jìn)行。

　�。�1）IP地址識別：IP地址識別可以分類出集中式P2P中的目錄服務(wù)器以及混和式P2P中的Super-peer以及某些惡意的Peer用戶。

　�。�2）TCP／UDP端口識別：可以分類出采用固定端口的P2P應(yīng)用，以及提示未知端口的出現(xiàn)。

　�。�3）數(shù)據(jù)報深層掃描（DPI）：由于P2P軟件引入動態(tài)端口，只能通過掃描高層協(xié)議來探知P2P數(shù)據(jù)報。如對于Kazaa系統(tǒng)，我們只能深入HTTP內(nèi)部獲取Kazaa特征代碼。對于其它P2P應(yīng)用，有時甚至要通過幾個特征代碼才能判明其為P2P流。通過DPI掃描可識別Gnutellae-donkey Kazaa Bittorrent等5類主流P2P軟件。實驗證明該方法的識別準(zhǔn)確度可以達(dá)到95%，然而DPI掃描技術(shù)無法識別加密的P2P流。

　�。�4）基于會話（Session）的分類：TCP／UDP端口可能存在任何一個數(shù)據(jù)包中，高層協(xié)議的特征代碼卻只能存在于一個會話包的頭幾個數(shù)據(jù)報中。因此，當(dāng)在一個會話包的第一個數(shù)據(jù)報中發(fā)現(xiàn)P2P特征代碼時，該會話包的其余數(shù)據(jù)報也就可以判斷為P2P數(shù)據(jù)報。有時P2P軟件甚至使用多個會話包，這就需要系統(tǒng)軟件能關(guān)聯(lián)匹配這多個會話包進(jìn)行P2P判定。

　　（5）雙向識別：當(dāng)某個方向的流（五元組定義的流）被識別為P2P流，則其反方向流必然也是P2P流。

　　（6）流統(tǒng)計狀態(tài)的識別：在IP層通過統(tǒng)計流量特征的方式識別P2P流。研究表明，P2P流量具有長時固定連接的特點，因此理論上基于流狀態(tài)的統(tǒng)計識別方式可以識別一切大規(guī)模P2P流量。當(dāng)然該方法無法精確判斷出該IP流采用的P2P協(xié)議類型。

　　對于采用可變端口及偽裝端口的分布式P2P應(yīng)用軟件產(chǎn)生的流量，當(dāng)前最為有效的識別手段是DPI掃描，通過掃描應(yīng)用層數(shù)據(jù)報的關(guān)鍵字加以識別。然而，DPI掃描方式的缺點是無法識別加密的P2P流，可預(yù)見P2P軟件的下一發(fā)展趨勢是加密化。對此，國外一些研究人員進(jìn)行了有益的嘗試，試圖通過在傳輸層考察固定時長內(nèi)IP地址數(shù)目與端口號數(shù)目的對應(yīng)關(guān)系區(qū)分出P2P流，依據(jù)是Web服務(wù)通常針對同一IP地址同時使用多個端口號進(jìn)行下載，而P2P流則對一個IP地址僅使用一個端口號連接。然而，該方案在區(qū)分P2P流與游戲、視頻流等其它數(shù)據(jù)流時，僅能采取簡單的排除法。所以，文獻(xiàn)[11]認(rèn)為，研究P2P流的統(tǒng)計特性（連接時長、連接速率、連接突發(fā)度等），利用流統(tǒng)計狀態(tài)信息準(zhǔn)確區(qū)分P2P流將是下一步P2P流量控制研究的主要方向。

　　6.6　P2P“蠕蟲”建模

　　對“蠕蟲”的研究常借用傳染病傳播模型。在傳染病傳播模型中，把傳播分為SI（易感-感染）、SIS（易感-感染-易感）、SIR（易感-感染-免疫）3種類型[12]。考慮“蠕蟲”傳播的一般情況，SIR比較符合主機(jī)在受到“蠕蟲”攻擊時經(jīng)歷的3個狀態(tài)，所以SIR模型在“蠕蟲”傳播模型的研究中應(yīng)用比較廣泛[13]。

　　雖然傳統(tǒng)的SIR蠕蟲傳播模型在研究蠕蟲的傳播趨勢上取得了比較理想的結(jié)果，但由于SIR模型未能考慮實際網(wǎng)絡(luò)中的拓?fù)浣Y(jié)構(gòu)和“蠕蟲”傳播對網(wǎng)絡(luò)設(shè)備影響等因素，不能很好地模擬具體網(wǎng)絡(luò)環(huán)境下蠕蟲的傳播情況。

　　在P2P網(wǎng)絡(luò)環(huán)境下，“蠕蟲”能用P2P的方式互相聯(lián)系、互傳信息、自動更新。例如，利用QQ或者M(jìn)SN Messenger這類即時通信（IM）工具進(jìn)行傳播的病毒，已經(jīng)逐漸成為“蠕蟲”病毒的流行趨勢。這類病毒的共性是：一旦在機(jī)器上獲得控制權(quán)，會首先查看用戶是否安裝了QQ或MSN Messenger，一旦發(fā)現(xiàn)用戶安裝了此類程序，該蠕蟲就會通過對話窗口向在線好友發(fā)送欺騙性的信息，信息包含一個超級鏈接。如果對方在接收窗口中點擊鏈接，就能啟動IE并和這個服務(wù)器建立連接，下載html頁面。這個頁面中含有惡意代碼，把“蠕蟲”下載到本機(jī)并運行，完成了一次傳播。然后再以這臺機(jī)器為基點，向本機(jī)所能發(fā)現(xiàn)的好友發(fā)送同樣的欺騙性消息，傳播迅速。

　　所以，研究P2P網(wǎng)絡(luò)環(huán)境下的“蠕蟲”病毒建模時，需要對SIR模型進(jìn)行了擴(kuò)展，考慮網(wǎng)絡(luò)延遲和拓?fù)浣Y(jié)構(gòu)對蠕蟲傳播的影響。

7、結(jié)束語

　　P2P作為一種嶄新的傳輸模式，不僅能提供隱私保護(hù)與匿名通信，還能提高網(wǎng)絡(luò)的健壯性和抗毀性。然而，P2P技術(shù)也由于其自身存在的一些缺陷，如缺乏相互信任機(jī)制和內(nèi)容鑒別、查詢泛洪等，面臨著相當(dāng)嚴(yán)重的安全威脅，P2P技術(shù)仍然存在一系列安全問題需要進(jìn)一步的研究。

　　參考文獻(xiàn)

　　[1]　Lua E K．Crowcroft J. et al．A Survey and Comparison of Peer-to-Peer Overlay Network Schemes．IEEE Communications Survey and Tutorial，March 2004．1～22

　　[2]　羅杰文．Peer to Peer(P2P)綜述．http：//WWW.huihoo.com/p2p/1/或者h(yuǎn)ttp：//WWW.intscl．a(chǎn)c．cn/users/luojw/papers/p2p_review.pdf

　　[3]　鄒福泰．P2P技術(shù)與信息安全.http：//WWW.blog.edu.cn/userl/3483/archives/2006/1158713．shtml

　　[4]　張京楣．網(wǎng)絡(luò)安全中信任模型的研究．山東大學(xué)碩士論文，2002.5

　　[5]　李樂，候整風(fēng)．Peer to Peer網(wǎng)絡(luò)安全分析．福建電腦，2006.1

　　[6]　楊成，楊義先．信息安全與數(shù)字版權(quán)保護(hù)(上)．計算機(jī)安全，2004，(1)：32～36。

　　[7]　董芳，戴丹，錢敏．對等網(wǎng)絡(luò)P2P系統(tǒng)安全問題的研究．黔男民族師范學(xué)院學(xué)報，2004，(6)：1～4

　　[8]　程學(xué)旗，余智華，et al．P2P技術(shù)與信息安全．http：//p2p.tmn.cn/html/3/21/20050513/110208.htm

　　[9]　俞銀燕，湯幟．?dāng)?shù)字版權(quán)保護(hù)技術(shù)研究綜述．計算機(jī)學(xué)報，2005.12

　　[10]　張強．互聯(lián)網(wǎng)的內(nèi)容安全及其保護(hù)措施的探討．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005，(8)：30～32

　　[11]　李江濤，姜永玲．P2P流量識別與管理技術(shù)．電信科學(xué)，2005，(3)：57～61

　　[12]　Daley D J．Gani J．Epidemic Modeling：An Introduction．uK Cambridge：Cambridge University Press，1999

　　[13]　魯豐，董亞波，等．基于SIR,模型的蠕蟲傳播流量模型．江南大學(xué)學(xué)報(自然科學(xué)版)，2006，(1)：26～29