（通信与信息系统专业论文）基于chord算法的p2p路由表安全的研究.pdf

北京邮电大学硕1 j 研究生学位论文 a b s t r a c t a f t e rt h ep 2 p ( p e e r - t o - p e e r ) c o m eu p ，i td e v e l o p sd r a m a t i c a l l y , a n dt h e r ea t e m a n yp o p u l a ra p p l i c a t i o nb a s e do np 2 pt e c h n o l o g y , s u c ha si p t v , v o d f r o m u n s t r u c t u r e dt os t r u c t u r e dm o d e l ，m a n yd e d u c t i v ea l g o r i t h mo fr o u t i n ga n dl o c a t i o n u n d e r l a yt h a ti m p r o v e st h es c a l a b i l i t ya n de f f i c i e n c yo fa p p l i c a t i o nc o m eu p r o u t i n g a n dl o c a t i o ni sa ni m p o r t a n ts e c t i o nt oi m p l e m e n tt h ea p p l i c a t i o no fo v e r l a y , a n d s e c t i o no fr o u t i n ga n dl o c a t i o ni n c l u d e st h ei n i t i a lo f r o u t i n gt a b l e ，r o u t i n ga n d t r a n s f e r r i n ga n du p d a t eo fr o u t i n gt a b l e o nu n r e l i a b l es t r u c t u r e dp 2 pn e t w o r k , n o d ek e e p sc o n n e c t i o nw i t has m a l l q u a n t i t yn o d e s ，w h i c hi sr o u t i n gt a b l en o d e s t h er o u t i n gt a b l en o d eo ft a p e s t r y , p a s t r y , c a ni sn o n - e x c l u s i v e ，a t t a c k e rc o n v i n c en o d ec h o o s i n gm a l i c i o u sn o d ea s r o u t i n gt a b l en o d eb yf o r g i n gm e s s a g e t h er o u t i n gt a b l en o d eo fc h o r di se x c l u s i v e ， h o w e v e f n o d ec a nn o ti d e n t i f yt h ea u t h e n t i c i t yo fm e s s a g e ，a n dm a l i c i o u sn o d e s c o u l ds e n df a u l tm e s s a g e st ob e f o o lt h ec o r r e c tn o d e s s e c u r i t yo fr o u t i n gt a b l ea n da a a c ki m p a c ti se v a l u a t e db yf i a c t i o no fm a l i c i o u s n o d eo nr o u t i n gt a b l e t od e f e n s et h ev u l n e r a b i l i t yo fr o u t i n gt a b l e ，s e c u r e p r o x i m i t y d i s t a n c ei sp r o p o s e d t h ee x p r e s s i o no fa t t a c ki m p a c ti sd e d u c e d ，a n di m p a c to fa t t a c k i sr e l a t i v et ot h es c a l eo fo v e r l a y , t h e p r o p o r t i o no fm a l i c i o u sn o d e sb e l o n g i n gt oe a c h a t t a c k e r , t h es e c u r ep r o x i m i t yd i s t a n c e , a n dt h en u m b e r o fa t t a c k e r s w ec o n c l u d et h a t t h ep r o p o r t i o no fm a l i c i o u sn o d e si nt h ef m g e rt a b l ew i l lb eh i g h e rt h a nt h ep r o p o r t i o n o fm a l i c i o u sn o d e si nt h eo v e r l a yb e c a u s eo ff i n g e rt a b l ea t t a c k d i f f u s i o no fa t t a c ki s a n o t h e rp o i n to ft h i sp a p e r w h e nt h ec a p a c i t yo fa t t a c k e ri s r e s t r i c t e d ，t h e r ei s e x t r e m ev a l u ef o rf r a c t i o no fm a l i c i o u sn o d eo nr o u t i n gt a b l e t h i sp a p e rs i m u l a t et h e v a r i e t yo ff r a c t i o no fm a l i c i o u sn o d eo nf i n g e rt a b l eu n d e rn e t w o r k sc h u m ，w h e nt h e i m p a c to fu p d a t i n gi se q u a lt od i f f u s i o no fa t t a c k ，t h ef r a c t i o no fr o u t i n gt a b l ei s s t e a d y s e c u r ep r o x i m i t yd i s t a n c ei sg e n e r a ls t r a t e g yf o rm u t i n gt a b l es e c u r i t y , a n di ti s e a s yt oi m p l e m e n t i ti ss i g n i f i c a n tt or e s t r i c tt h ei m p a c to fa t t a c k t h ee x p r e s s i o no f a t t a c ki m p a c ti sa ni m p o r t a n tr e f e r e n c et od e s i g nt h es e c u r i t ys t r a t e g y t h i s p a p e r g r o u n d b r e a k i n gi m p o r tt h ec h u mp a r a m e t e r , m a n i f e s tt h es i g n i f i c a n c eo fc h u r n p a r a m e t e rf o rt h es e c u r i t yo fr o u t i n gt a b l e k e yw o r d s ：c o m p u t e rn e t w o r k , p 2 pr o u t i n ga n dt a b l e ，s e c u r ep r o x i m i t yd i s t a n c e ， c h u r n i i i 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特另t l d i l 以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名： ：呈丝 日期：三竺乏兰：2 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 本学位论文不属于保密范围，适用本授权书。 本人签名： 圭皇 导师签名：蠢些仁 日期：兰1 2 ：三：2 日期：丝轴l 北京邮电大学硕上研究生学位论文第一章绪论 1 1 研究背景 第一章绪论 p 2 p ( p e e r - t o - p e e r ) 即是对等计算和对等网络，通过直接交换的方式共享 计算机资源和服务。在p 2 p 网络中，网络边缘的计算机节点地位等同，整个网络 不依赖于服务器提供的资源。网络边缘节点作为服务器角色提供资源，也充当客 户端获取网络服务。 在p 2 p 应用网络中，建立直接数据交换之前的目标节点定位非常重要。目标 节点定位包括获取目标节点物理位置信息、资源信息、以及建立连接所需的信息。 在早期的p 2 p 网络中，网络的中心服务器记录共享资源所有索引信息并响应对信 息查询请求。边缘节点共享网络资源，节点在加入网络之后向服务器提交共享的 资源列表和节点物理位置信息，物理位置往往以节点i p 地址标识。当节点需要 网络资源时，节点向服务器查询目标节点信息；在与目标节点建立连接之后，节 点从目标下载需要的资源。随着p 2 p 网络发展，服务器负载过重以及版权纠纷问 题日益显现，分布式的p 2 p 网络取代集中式p 2 p 网络是必然的趋势。 分布式p 2 p 网络分为结构化p 2 p 网络和非结构化p 2 p 网络，非结构化的p 2 p 网络是纯粹的p 2 p 网络，网络没有中心服务器，所有节点都是对等实体。在非结 构p 2 p 网络中，节点与物理位置靠近的节点维持连接，定期交换信息。检索资源 时，节点向物理位置邻近节点发送查询请求，收到查询请求的节点检查本地存储 的文件是否满足查询请求。如果有满足查询请求的资源，节点回送响应给请求源 节点，源节点会与该节点建立直接连接并获取网络资源。不管中间节点是否有满 足查询请求的资源，节点都会转发查询请求到邻居节点。查询请求每到达中间节 点，请求跳数减一，当请求跳数为零时，节点忽略查询请求。 结构化p 2 p 网络是纯粹的p 2 p 网络，较非结构p 2 p 网络，结构化p 2 p 路由定 位效率有极大改进。在结构化p 2 p 网络中，节点拥有独一无二的网络i d ，网络 i d 对应于虚拟的地址。网络资源用关键字来标识，关键字存储在与关键字相互 匹配的虚拟地址上。彼此连接的边缘节点不一定是物理位置靠近的网络节点，连 接节点的选取遵从特定的路由定位算法。有结构p 2 p 网络中，在一定跳数内，查 询请求可以覆盖整个网络。这就是说，只要网络中有需要的资源，节点总能定位 到目标节点。由于连接节点物理位黄没有关联，应用层的连接对应于底层的多跳 路由，应用层节点之间时延很大。 论文研究分布式有结构p 2 p 网络，有结构p 2 p 网络典型路由定位算法 c h o r d 7 1 、c a n 6 1 、t a p e s t r y 8 1 、p a s t r y 9 1 ，它们资源定位效率高，网络扩展性好， 有较好容错纠错能力。节点与网络少部分节点保持连接，这极大缩短节点路由表 北京邮电大学硕士研究生学位论文第一章绪论 项长度，提高路由表查询效率。有结构网络路由定位算法没能消除p 2 p 网络的安 全问题n m 儿3 儿钔，在不安全的p 2 p 网络环境中，新加入节点面临劫持攻击和路由表 等攻击。新加入网络节点被攻击者隔离出真实的网络，被劫持节点无法共享资源 和获取网络资源，被劫持节点可能成为攻击者的傀儡节点。路由表项攻击指攻击 者用欺骗和哄骗等手段用恶意节点替换正常节点路由表项中的正常节点，攻击者 通过提高节点路由表中恶意节点的比例进一步控制网络。攻击者控制路由表项越 多，攻击者对网络通信的监控和控制能力越强。 c h o r d 、c a n 、t a p e s t r y 、p a s t r y 都属于有结构p 2 p 网络路由定位算法，但它 们路由表特性稍有差别。t a p e s t r y 、p a s t r y 采用前缀匹配准则来建立逻辑路由表， c a n 选取逻辑位置靠近节点作为邻居节点。节点路由表项对应多个节点，而节点 往往选取传输时延小的节点，该特性有效降低网络异构时延。由于路由表项对应 多个节点，少量恶意节点就可以控制大量路由表项。当攻击者伪造时延数据，正 常节点会被欺骗，并与恶意节点建立连接，恶意节点成为正常节点的邻居节点是 控制网络的前奏。在c h o r d 算法中，网络节点的前项节点、后项节点和路由表节 点都是唯一，这是因为c h o r d 算法没有考虑网络异构时延问题。 从上面的分析可知，在面对p 2 p 网络路由表攻击方面，t a p e s t r y 、p a s t r y 、c a n 算法比较脆弱。针对路由定位算法t a p e s t r y 、p a s t r y 的路由表攻击，研究人员提 出安全邻近距离策略，该策略适用于t a p e s t r y 、p a s t r y 算法。安全邻近距离参数 需要预先设定；当网络规模动态变化时，安全邻近距离的自适应较差。 路由攻击造成路由表恶意节点比例高于网络恶意节点比例，正常节点与恶意 节点连接可能性大于网络恶意节点比例，恶意节点连接度数大于正常节点连接度 数，大于网络节点平均度数。研究人员提出节点度数控制机制限制路由表攻击， 节点度数控制机制的实施难点在于统计节点度数和设置节点度数阈值，同时恶意 节点的勾结和恶意节点陷害可以干扰节点度数统计口引。 一直以来，路由表攻击研究集中在t a p e s t r y 、p a s t r y 路由定位算法，研究人 员忽略了c h o r d 的路由表攻击问题啪1 。t a p e s t r y 、p a s t r y 路由表项节点不具有唯 一性，满足前缀匹配的任意节点都可以作为路由表项节点，攻击者通过各种手段 让恶意节点来填充正常节点路由表。t a p e s t r y 、p a s t r y 算法没有甄别消息内容正 确性的机制，攻击者很容易通过伪造数据欺骗正常节点。c h o r d 算法路由表项节 点具有唯一性，然而由于节点无法了解所有节点信息，c h o r d 算法路由表项的唯 一性失去意义，攻击者可以“伪造 节点的前项节点和后项节点，c h o r d 算法路 由表攻击依然存在。 为了降低网络异构时延，研究c h o r d 的学者提出p c h o r d 3 6 】算法，p c h o r d 是 在c h o r d 算法基础上考虑节点物理位置的改进版本。物理位置靠近的节点传输时 2 北京邮电大学硕士研究生学位论文第一章绪论 延小，物理位置靠近节点作为路由表项节点可以减低网络异构时延。p c h o r d 通 过逻辑分层思想在建立路由表时优先考虑物理位置靠近节点，仿真证明算法在网 络异构时延方面有了极大改进。 1 2 研究意义 论文指出c h o r d 算法的路由表安全问题，引入安全邻近距离概念。安全邻近 距离设置针对c h o r d 算法提出，但本文的安全邻近距离适用于所有d h t 网络。 本文提出的安全邻近距离是网络覆盖层的逻辑距离，p c h o r d 算法考虑网络节点 的物理距离，缩短路径物理距离可以降低网络时延。论文的安全邻近距离策略与 t a p e s t r y 、p a s t r y 的邻近距离设置都是覆盖层的逻辑距离；而论文的设计具有更 好灵活型和通用性，灵活性表现为安全邻近距离随网络规模变化而动态变化；设 计的通用性表现为安全邻近距离适用于大多d h t 路由定位算法。 在安全邻近距离构想中，满足安全邻近距离设置条件的前向节点或后向节点 有效，不满足安全邻近距离设置的前向节点或后向节点无效。安全邻近距离设置 提高路由表项攻击的难度，降低路由表恶化的影响。论文证明安全邻近距离设置 对路由表攻击的遏制作用显著，安全邻近距离设置有效保护p 2 p 网络路由表安 全。 论文必须考虑正常节点不满足安全邻近距离设置条件情况下的误判率，正常 节点的误判造成路由表项空缺。路由表项空缺是安全邻近距离的开销之一，路由 表项空缺比例随安全邻近参数变化而动态变化。路由表项空缺会影响路由定位算 法的效率，路由表空缺率越高，路由定位的效率越低。研究显示合适的安全参数 设置能够确保路由表安全性，同时对路由的效率影响不大。 本文提出的c h o r d 安全邻近距离的适应性是安全邻近距离的主要创新点之 一，随网络规模变化安全邻近距离动态改变，这确保不同网络规模下始终稳定的 安全性能。论文提供计算安全邻近距离的不同方法，包括在无中心服务器条件下 安全邻近距离的计算方法，安全邻近距离适用于不同的p 2 p 网络系统。 论文给出攻击影响度量的定量表达式，理论推导充分考虑网络的动荡变化。 网络震荡是p 2 p 网络的重要特征，论文的仿真考虑p 2 p 网络震荡特征，分析路 由表安全与网络震荡的关系。m a t l a b 数值仿真显示安全邻近参数对攻击影响抑制 明显。o v e r s i m 仿真平台是论文动态仿真的基础，借助o v e r s i m 平台，论文仿真 在网络震荡情况，节点路由表恶意节点比例的变化规律。虽然网络震荡模型不很 完善，但震荡仿真结果对路由表攻击研究有积极的参考意义。 3 北京邮电大学硕十研究生学位论文第一章绪论 1 3 本论文结构安排 论文的组织结构如下：第二章论述p 2 p 网络的安全问题，分析当前安全防御 策略的性能特性，是论文后续章节的研究基础。在第二章的基础上，第三章提出 针对c h o r d 路由表的攻击模型，在已有研究的基础上提出安全邻近距离；本章重 点分析安全邻近距离的意义，推导在复杂网络环境下攻击对节点路由表的影响； 本章成果包括安全邻近参数的引入、路由表攻击影响计算和攻击影响扩散的理论 分析。围绕第三章的理论成果，论文试图通过网络仿真来验证成果；第四章简要 介绍当前p 2 p 仿真平台，重点讨论了仿真框架设计，并对仿真结果进行深入地分 析；网络仿真结果进一步说明论文在网络震荡和网络安全研究上的探索意义。第 五章是对论文的总结，本章介绍研究过程中的不足之处，并对相关遗留问题提出 解决方案，为未来进一步研究指明方向。 4 北京邮电大学硕l 二研究生学位论文 第二章p 2 p 网络与安全 第二章p 2 p 网络与安全 本章讨论p 2 p 网络的安全问题，论文没有考虑传统网络的攻击手段和安全防 御策略，将注意力集中于p 2 p 网络特有的安全问题和p 2 p 网络特有的安全防御 策略。 2 1p 2 p 网络的安全问题 结构化p 2 p 网络定位资源效率高、扩展性好、可靠性高、容错能力强。但由 于p 2 p 网络自身的不可靠和缺乏安全机制，结构化p 2 p 网络的安全问题随p 2 p 技术的应用逐渐凸现出来【2 3 】【剀【删【3 1 l 【3 2 l f 3 3 l 。 p 2 p 网络默认网络节点是可靠的，但在开放的互联网环境中，这种假设带来 诸多安全隐患。研究人员认为服务器认证可以解决p 2 p 的节点安全中心问题，但 服务器认证的实现成本较剐1 3 】【1 4 1 。部分研究人员认为对加入网络节点收费可以 提高攻击者的攻击成本，这种设置会阻碍用户的加入，这对p 2 p 网络的发展极其 不利瞄】。在不安全的环境下实现p 2 p 节点间的可靠通信对p 2 p 网络来至关重要。 2 1 1 加入攻击 当攻击者控制一定的网络节点后，被攻击者控制的节点构成陷阱网络，加入 陷阱网络的节点无法与真实的网络通信。 新节点加入p 2 p 网络中时，节点要与网络节点建立联系，这就是新节点的 b o o t s t r a p p e d 。实现这个过程的方式有缓存机制、服务器机制、随机查询机制等。 在随机查询过程中，恶意节点会响应节点的b o o t s t r a p p e d 请求，新节点被指引到 陷阱网络。当新节点选取陷阱网络中节点作为初始节点时，节点就落入由攻击节 点组成的陷阱网络，节点不知不觉被陷阱网络隔离出真实的网络。 节点被陷阱网络隔离，节点将被陷阱网络控制，成为陷阱网络的成员，辅助 陷阱网络控制新加入的节点。 2 1 2 路由攻击 路由攻击是p 2 p 网络的典型的攻击方式，路由攻击可以出衍生新型的网络攻 击。p 2 p 网络指边缘节点构成的应用层网络，应用层网络有独立的路由定位算 法。在应用层的传递过程中，加入网络的节点承担了消息转发的角色。正如前面 所论述，p 2 p 网络无法保证参与消息传递的中间节点的安全性和可靠性。 存在恶意节点的网络环境中，恶意节点将查询结果指向不正确或不存在的网 络节点。响应消息指向不存在的网络节点，节点无法连接目标节点，p 2 p 网络可 用性下降。响应消息指向错误网络节点，如果很多请求被指向同一节点，该节点 将遭遇d d o s 攻击。为了提高攻击能力，恶意节点保持始终加入网络的状态，充 5 北京邮电大学硕士研究生学位论文 第二章p 2 p 网络与安全 当消息转发的中间节点。 路由表欺骗攻击指是在节点加入、路由表建立、路由表更新的过程中恶意节 点通过欺骗的手段控制节点路由表。在d h t 网络中，节点与部分网络节点保持 连接。节点身份可以认证，但节点甄别信息的真伪却很难。恶意节点截获节点查 询请求，伪造虚假消息欺骗正常节点，正常节点将与恶意节点保持连接。c a n 、 t a p e s t r y 、p a s t r y 算法中的路由表攻击问题很显著，研究人员提出了很多路由表 攻击控制算法。 2 1 3 存取攻击 源节点经过正确的消息转发定位到目标节点，源节点会与目标节点建立连 接，目标节点却否认存在源节点请求的数据，或目标节点拒绝向客户端提供数据。 恶意节点一直向其它节点广播消息，通告节点共享的资源。有经验的攻击者可以 覆盖大部分的网络查询请求，恶意节点的目的源节点引向不存在资源的节点。查 询请求总定位到恶意节点，但节点无法从恶意节点获取数据，源节点获取数据失 败，网络的可用性遭到破坏。 p 2 p 网络索引信息由节点发布，网络很难认证索引信息的工f 确性。导致节点 无法获取数据的原因较大，网络故障不一定都是索引信息错误。这在一定程度提 高了存取攻击的隐蔽性，在复杂的网络环境中，存取攻击的检测有一定难度。 2 1 4 污染攻击 污染攻击包括索引污染攻击和内容污染攻击【2 2 1 。索引污染攻击主要指修改索 引信息，提供大量虚假的索引信息，大量虚假索引信息会掩盖正确的索引信息； 由于节点无法甄别索引信息的好坏，节点往往定位到错误的索引信息。内容污染 攻击指恶意节点纂改、破坏共享的数据内容。污染攻击对象是数据的完整性和正 确性，在数据传输过程中，节点很难判断数据是否被攻击者破坏。 污染攻击实施容易，只需要破坏数据的完整性和可用性。但攻击者分发被污 染的内容需要消耗攻击者相当多的带宽。如果节点分发速度够快，数据影响范围 广，攻击影响较大。针对热点内容的污染攻击比较突出，这对网络可用性的破坏 更大。 2 1 5s y b i l 攻击 s y b i l 攻击利用p 2 p 系统薄弱的节点认证环节，破坏p 2 p 的数据备份系统【3 1 l 。 s y b i l 攻击指同一物理实体获取多个身份，当同实体的多重身份同时存在网络 中，备份的数据可能存在同一物理实体。为了实现p 2 p 系统冗余备份和数据保密， 数据被分别储存于不同的节点。当物理实体获取多重身份，保存数据的不同身份 可能属于同一物理实体。如果攻击者控制这些物理实体，数据冗余备份和数据机 6 北京邮电大学硕上研究生学位论文第二章p 2 p 网络与安全 密性将被破坏。 2 1 6c h u r n 攻击 c h u m 攻击主要利用p 2 p 协议缺陷造成网络拥堵，正常的数据无法路由转发， p 2 p 网络局部实效。由于p 2 p 网络节点加入离开频繁，节点需要掌握最新网络状 况。当节点加入或离开网络时，相关节点需要更新路由表和网络参数设置。在 d h t 网络中，动荡导致需要更新的节点数目很大。更新消息频繁，消耗大量带 宽。在c h o r d 算法中，更新路由表的开销远大于建立路由表的开销。当节点频繁 加入离开网络，节点带宽被震荡开销消耗，正常的消息由于网络状况恶化而被阻 塞。 当攻击者频繁的加入离开网络，网络更新消息极多，网络必然拥堵。由于网 络动荡频繁，消息的正确性无法保证。 2 1 7 拒绝服务攻击 拒绝服务攻击是p 2 p 最有特色的网络攻击，p 2 p 网络消除c s 模式的网络构 架，采用具有冗余备份系统的分布式构架。从分布式构架来看，有冗余备份系统 的p 2 p 网络抗拒绝服务能力较强。值得注意的是p 2 p 网络节点是普通终端，节 点带宽和处理能力有限，这导致p 2 p 网络节抗拒绝服务能力较弱。 在p 2 p 网络中路由攻击和索引攻击极易实施，利用路由攻击和索引攻击，攻 击者把消息和连接引向受害节点，受害节点无法处理大量数据包和连接，在短时 间内，被攻击节点崩溃。针对热点内容提供节点的拒绝服务攻击会降低网络可用 性和用户体验。 利用p 2 p 网络的路由攻击和索引攻击，攻击者可以攻击传统的服务器和内部 网络。p 2 p 网络的路由攻击和索引攻击为攻击者构建了僵尸网络，当攻击者把攻 击目标i p 作为索引信息发布或作为路由信息发布，瞬间大量s y n 连接指向目标 l p ，服务器遭到p 2 p 网络的d d o s 攻击。 论文讨论p 2 p 网络特有攻击，没有考虑传统网络的攻击行为。p 2 p 网络攻击 和传统网络攻击衍生出新型的网络攻击手段，这些新型网络攻击手段具有更强的 隐蔽性和破坏能力。 2 2p 2 p 网络防御策略 本小节论述p 2 p 网络安全策略，分析环节包括节点加入到数据下载的整个过 程。安全策略包括节点i d 安全、节点加入安全、消息搜索安全、路由安全、路 由表安全、数据下载安全等环节【2 1 】【2 4 】【冽【2 8 】【2 9 】。 7 北京邮电大学硕上研究生学位论文第二章p 2 1 网络与安全 2 2 1 节点i d 安全 节点d 安全包括节点认证和节点分配安全；节点认证是在信息网络中通过 系统的验证核实来鉴别用户身份的真实性和有效性技术，节点分配安全是通过系 统设置控制物理实体获取i d 数目，提高物理实体获取i d 的成本【2 5 1 。 在集中p 2 p 网络系统中，认证服务器为节点分配私钥并保存节点公钥。服 务器构架的认证模式能够认证网络节点，防止节点伪造；但服务器模式的成本较 高，加密算法复杂，系统需要保存大量公私钥对。在没有认证服务器的分布式 p 2 p 系统，节点认证需要网络其他节点辅助，认证的实现算法较复杂；认证的消 息开销比较大，认证的效率较低。 节点分配安全是针对p 2 p 网络的s y b i l 攻击提出的，p 2 p 网络必须控制物理 实体获取的i d 数目。在p 2 p 系统中，物理实体往往以i p 地址标识；限制i p 地 址获取的i d 数目可以控制物理实体获取i d 的数目。但p 地址对应的物理实体 不能一概而论，口地址可能对应多台物理实体，单纯口地址与节点数目的对应 有一定的缺陷。研究人员提出对p 2 p 网络m 收费策略来防御s y b i l 攻击，m 收 费提高s y b i l 攻击成本，提高攻击者破坏网络的成本瞄l 。d 收费会阻止正常用户 加入p 2 p 网络，这对网络的正常发展极其不利。研究人员建议i d 与物理实体的 内存、硬盘、计算能力、带宽绑定，获取i d 的物理实体要提供内存、硬盘、计 算能力、带宽等。由于物理实体资源有限，该策略可以控制物理实体获取的i d 数引2 5 1 。 2 2 2 节点加入安全 节点加入安全是利用系统配置和查询请求确保节点接入到真实的p 2 p 网络。 节点加入认证环节包括节点对网络环境的认证、网络环境对加入节点的认证和节 点对节点的认证1 1 3 j 。 在服务器认证的p 2 p 网络中，节点接入的网络环境指服务器。服务器认证加 入网络节点的合法性，节点通过系统设置认证服务器，通信的节点用密码技术认 证对方实体的真实性。初次接入网络节点获取i d ，服务器为节点分配私钥，私 钥用于节点身份认证和数据加密。 在分布式p 2 p 网络中，节点认证安全是p 2 p 安全研究热点。节点认证安全 包括通信节点彼此认证和节点对接入网络环境的认证。分布式p 2 p 网络认证必须 借助网络节点的辅助，通过查询和辅助节点求证，节点可以确认节点的真实性。 为了防止节点遭遇陷阱网络的劫持攻击，随机多点接入网络方案可以降低遭到劫 持攻击的可能性。分布式网络认证需要问询网络其它节点求证，认证的消息开销 比较大，效率较低；但分布式无服务认证系统为p 2 p 网络自治系统提供有价值的 参考信息。 8 北京邮电大学硕士研究生学位论文第二章p 2 p 网络与安全 2 2 3 搜索消息安全 在p 2 p 网络下载需要的内容前，源节点定位目标节点的物理位置至关重要， 消息搜索安全指在源节点定位目标节点的过程中消息的安全性和有效性。 在p 2 p 系统中，源节点发出搜索请求。响应消息涵盖的目标节点较多，目标 节点中提供数据下载的节点只是少部分。这里不能获取目标数据的原因很多，可 能是网络故障，可能是网络错误，可能是网络攻击。真正共享数据的节点较少， 较大部分节点提供索引信息，但不提供数据上传，索引信息与数据传输不一致。 提供数据节点被虚假索引信息淹没，节点无法与提供数据节点建立连接。 消息搜索安全指系统通过安全策略检测索引攻击节点。索引攻击节点发布大 量虚假索引信息，大量虚假索引信息影响节点对资源的定位。验证可以监测网络 存在的虚假索引信息，验证的对象大多为提供过多索引信息的节点。索引攻击研 究表明少部分网络节点提供大部分索引信息，索引攻击检测策略重点针对提供大 量索引信息的节点。提供大量虚假索引信息的节点对网络可用性的威胁很大，安 全策略的目的是隔离索引攻击节点。为了证实提供大量索引信息节点的意图，系 统必须与这些节点建立连接，并从这些节点获取数据。如果从节点获取到真实有 效的数据，那么索引信息节点正常；如果无法建立连接或者无法获取数据，索引 节点极可以是攻击节点。 为了验证索引信息，通过索引信息下载数据势必消耗大量网络带宽，网络节 点必须提供空间来存储下载数据【勿。数据下载作为系统数据冗余备份的一部分， 虚假索引信息的监测过程是系统数据的冗余备份的实现环节；此时带宽和存储空 间的消耗对系统起到积极的作用【。 2 2 4 消息路由安全 消息路由安全指在应用层传递过程中消息沿正确的路径转发，这里主要防御 恶意中间节点对消息转发的影响。消息路由安全不同于路由表安全，消息路由攻 击是恶意行为，而路由表攻击构成恶意状态。消息路由安全和路由表安全都导致 消息转发错误，但消息路由安全和路由表安全需要不同的防御策略。在消息转发 过程中，恶意节点将消息请求转发到错误的地方。防御路由攻击方法有恶意路由 节点检测策略和消息多路径机制。 消息多路径机制的原理是源节点沿不同路径发送消息，每条消息途径的节点 尽可能不同，消息到达目的节点的可能性会大增。消息多路径机制设计简单，但 冗余消息会消耗带宽，消息效率较低。消息多路径需要克服协议的缺陷，c h o r d 核心思想是最大步长逼近贪婪算法，消息转发路径比较稳定，路径有较强的收敛 性。只要目的节点相同，不同的源节点消息会收敛到相同的中间节点，这导致 c h o r d 算法的多路径效率很低。为了克服c h o r d 算法多路径效率低下问题，在不 9 北京邮电大学硕士研究生学位论文 第二章p 2 p 网络与安全 影响应用层跳数情况下，每跳的步长必须具有随机性。t a p e s t r y 、p a s t r y 的路径 收敛问题比c h o r d 好，但消息多路径的效率仍然不高。c a n 算法路径具有很好 的随机性，多维空间中的节点可以沿不同路径逼近目标节点。 p 2 p 网络路由传递分迭代和递归两种方式；在递归传递方式，源节点发送消 息，等待目标节点的响应，消息的转递过程对源节点是透明的；在迭代传递方式 中，源节点跟踪中间结点，直到找到目标节点。迭代路由可以检测路由传递中的 恶意节点，源节点跟踪消息转发过程，发现不合理的转发事件。源节点根据事件 信息，发现可疑中间节点，通过节点验证确认事件的合理性。当消息无法前向传 递时，源节点回溯路径，发现第二条路径继续前向转发。较递归传递方式，迭代 传递方式有更好的安全性能；但源节点必须与中间节点建立直接连接，当源节点 发送的消息较多时，源节点维持的连接数目很多，这对源节点的带宽和处理能力 是个挑战。 迭代的路由传递方式能够有效防御消息路由攻击，而单一的消息路由攻击容 易发现，对p 2 p 消息传递威胁不大。 2 2 5 路由表安全 路由表安全指通过路由表安全策略和路由更新来降低路由表恶意节点比例。 当网络存在恶意节点，节点路由表必定包括恶意节点。在没有恶意攻击情况下， 路由表恶意节点比例应等于网络恶意节点比例，路由表攻击目的是用欺骗手段提 高路由表恶意节点比例。 路由表攻击和路由攻击的表现相同，路由表攻击表现为路由攻击的特征。但 较路由攻击，路由表攻击手段高超，监测发现的难度相对大一些，路由表攻击节 点隐藏了攻击节点。 路由表攻击原理是利用节点对网络信息不了解，诱导节点与恶意节点建立连 接。攻击者欺骗节点的方式不同，最终目标是把恶意节点填入正常节点的路由表。 节点路由表恶意节点比例会远远高于网络恶意节点比例，消息被路由到恶意节点 的可能性极大，消息遭到破坏篡改丢弃的可能性增大。攻击者通过控制消息来控 制p 2 p 网络，破坏消息转发破坏网络，因此路由表攻击对网络的影响较大。 目前路由表攻击防御策略主要有节点连接度数检测算法和安全邻近距离设 置算法【2 l 】【2 4 】【3 3 1 。连接度数检测的依据是分布式p 2 p 网络中节点连接度数均等， 系统通过统计节点连接度数发现路由表攻击节点。安全邻近距离防御策略核心思 想是控制节点的攻击能力，安全邻近距离只是限制条件，满足条件的节点才能作 为路由表项节点。 论文提出了应用层的安全邻近距离设置来限制路由表攻击影响，论文第三章 和第四章详细论述安全邻近距离的设计、实现以及作用。 1 0 北京邮电大学硕：上研究生学位论文第二章p 2 p 网络与安全 在分布式p 2 p 系统，节点维持路由表连接数目基本均等。路由表攻击的目的 是提高路由表恶意节点比例，这表现为恶意节点的连接度数远远高于普通节点。 算法的实现包括连接度数设置和度数统计；在d h t 网络中，节点度数与网络规 模相关，平均连接度数与网络规模成对数关系。当节点连接数目超过平均连接数 目，该节点可能为路由表攻击节点。算法实现的难点在于准确统计节点连接度数， 为了统计节点连接度数，直接查询和辅助探测两种手段必不可少。对连接度数极 高的节点，系统将其隔离出网络；对连接度数超过平均连接度数的节点，系统进 一步发现其动机。 值得注意的是论文的注意力集中于d h t 网络，在非结构化的p 2 p 网络，节 点的连接度数不均衡，这构成无结构p 2 p 网络的“小世界 特性，论文的连接度 数监测毫无意义。从上面的说明可以看出，不同的网络环境需要不同的安全防御 策略。 2 2 6 数据下载安全 数据下载安全指从p 2 p 网络下载到的数据的真实性和有效性。p 2 p 系统的资 源来自边缘节点的共享，系统无法查明资源的出处，不能监测内容的完整性、真 实性和有效性。目前的p 2 p 系统提供免费的下载服务，系统缺少针对内容的数字 认证。目前只有内容提供商能够认证受版权保护的内容，而在侵犯内容提供商利 益的情况下，内容提供商不会为内容提供数字认证。数字内容认证系统建立需要 下载服务商、内容提供商和网络服务商共同协作，p 2 p 网络数字认证系统尚待建 立。 在无数字认证的p 2 p 系统，系统利用分布式的特征对内容进行冗余备份；冗 余备份可以消除网络单点瓶颈问题，还可以实现数据恢复。当攻击者共享被恶意 节点污染的数据，正确节点下载到污染数据后会将污染数据共享出去，这加大污 染数据的散播速度和破坏力多数据源下载可以纠正纠被污染的数据部分，其中前 提是j 下确数据份数超过污染数据份数。当污染数据份数超过正确数据份数，网络 恢复数据的可能性极低，污染数据泛滥。 数据攻击检测算法主要发现错误的内容，目前污染数据发现算法要获取数 据。数据攻击检测系统下载共享数据和索引信息，对下载数据进行分析，统计网 络攻击节点信息。数据下载需要带宽，存储数据需要硬盘空间，分析数据需要处 理能力；这说明数据污染检测系统配置要求很高，实现较为复杂。数据的分析包 括离线和在线两种方式；离线数据分析效率较高，但无法与网络状况同步；在线 数据分析实时性好，对节点处理能力要求较高。检测算法需要高超的甄别能力， 把正确的内容作为参考数据，通过参数数据发现污染数据，隔离攻击节点。 数字认证系统是p 2 p 数据安全的发展方向，通过数据标签技术p 2 p 数字安 北京邮电大学硕上研究生学位论文 第二章p 2 p 网络与安全 全认证系统可以快速高效的认证共享的数据，这是任何检测算法都无法比拟的。 2 3 本章小结 目前，p 2 p 技术是传统网络安全研究的热点，p 2 p 的思想渗入i d s 和d d o s 防御系统【2 0 l 。由于p 2 p 节点的分布特性，防御系统及时发现暴露出来的安全问 题，并提供及时响应策略。利用p 2 p 网络的联动特性，分布的资源得到充分利用。 以p 2 p 技术实现的系统成本低，消除了安全防御系统单点瓶颈问题。 研究人员把信誉度机制【1 0 】【l l l 【1 2 l f l 6 】【1 7 】f 1 8 】作为p 2 p 安全的重要部分，通过交易 历史纪录分析，信誉度系统可以发现恶意节点。但信誉值度量算法停留在历史纪 录等简单的事件，攻击行为很难用信誉值度量。而信誉度机制的原始想法是强迫 节点共享资源，强迫节点上传数据。信誉度机制用来维护p 2 p 网络的可用性，并 不是完全的安全策略。 本章论述p 2 p 技术发展过程中凸现的问题，包括版权问题、带宽问题和安全 问题。就p 2 p 网络安全问题，论文论述了p 2 p 安全的防御策略。 北京邮l 乜人学硕 ：研究生学位论文第三章路由表攻击与安全邻近距离 第三章路由表攻击与安全邻近距离 本章概括介绍有结构p 2 p 网络路由定位算法，在路由定位算法c h o r d 的基础 上提出路由表攻击模型。为了控制路由攻击影响，论文提出安全邻近距离设置。 论文的仿真证明，安全邻近距离设置能够有效控制路由表项攻击影响。 3 1 有结构p 2 p 路由定位算法 在分布式p 2 p 网络中，网络节点承担索引信息储存、资源共享、消息传递和 查询响应等任务f 1 5 】。为了实现所有功能，节点维护节点路由表，路由表的长度与 网络节点数目相关。 本节简要介绍p 2 p 网络路由定位算法c h o r d 7 、c a r 4 6 1 、p 蜘r 【9 1 、t a p e s t r y 8 1 ， 并就算法的性能做简单比较。 3 1 1c h o r d 在c h o r d 中，节点存储( m + 1 ) 个节点信息。其中路由表长度为m ，前项节点 数目为1 ，路由表项构建规则如表3 - 1 。 表3 - 1 路由表构建原则 符号定义 f i n g e r k s t a r t ( 甩+ 2 一1 ) m o d2 ”，1 s ks m i n t e r v a l 【f i n g e r k s t a r t ，f i n g e r k + 1 s t a r t ) n o d ef i r s tn o d e n f i n g e r k s t a r t s u c c e s s 0 r 顺时针第一个节点 p r e d e c e s s o r 逆时针第一个节点 网络节点通过上层应用得到节点i d ；例如，哈希节点特征得到i d ，这里的 特征指物理实体的i p 。哈希关键字得到关键字的k e y ，节点标识符和关键字长度 相等，标识符和关键字构成对应关系。关键字k e y 的信息储存在k e y 的前项节点 中，k e y 的前项节点即是在c h o r d 上k e y 逆时针方向第一个节点。其中k e y 的信 息包括资源大小、物理地址、资源名称等。 在查询过程中，查询消息包含请求目标值，该目标值和节点标识符、关键字 k e y 长度相等，查询消息被转发到最接近请求目标值的节点上。目的节