P2P文件共享应用安全问题分析

Ｐ２Ｐ（ＰｅｅｒｔｏＰｅｅｒ）技术即对等技术是提高网络通信效率和网络资源利用率的有效途径，被美国的《财富》杂志称为未来影响Ｉｎｔｅｒｎｅｔ的四项新技术之一［１］。但Ｐ２Ｐ所定义的分布式的计算环境、连接的脆弱性、用户交互的动态本质以及管理机构的缺乏使其在安全上面临各种挑战。目前，Ｐ２Ｐ安全研究工作整体比较薄弱［２］，缺少系统的分析；相关的文献往往只对Ｐ２Ｐ的安全问题一一列举［１－３］，或只是对具体安全问题进行阐述［４－５］。

本文以Ｐ２Ｐ文件共享应用为例，从Ｐｅｅｒ用户安全、系统行为安全、共享文件的安全三个方面进行分析，为Ｐ２Ｐ的安全技术研究提供一个比较全面、整体的认识。１Ｐ２Ｐ及其文件共享技术

Ｐ２Ｐ系统是具有相同兴趣的用户为直接共享彼此的资源而建立起来的一种分布式的虚拟组织。用户既是系统资源的提供者，又是资源的消费者。用户之间直接交互，无需第三方的干预。

文件共享是目前Ｐ２Ｐ技术最广泛的应用，它利用基于Ｐ２Ｐ网络协议的客户端软件摆脱了文件交换过程对服务器的依赖，使用户可以直接从其他用户的机器上获取感兴趣的文件，所有的上传、下载行为直接在用户之间进行，而不通过中央服务器，或者中央服务器只起辅助作用。根据应用中有无中央服务器，可以将Ｐ２Ｐ文件共享应用分为如下三类［６－７］：

（１）集中式。系统仍保留一个中心实体提供索引以及部分必要的网络服务等，例如Ｎａｐｓｔｅｒ。

（２）全分布式。系统不存在中心实体或服务器，所有用户平等，例如Ｇｎｕｔｅｌｌａ。

（３）半分布式。在上述基础上，引进超级节点，综合了（１）、（２）的优势，例如ＫａＺａＡ。

这三类结构中，（１）、（３）类结构安全管理比较方便，第（２）类需在分布式环境下建立用户身份标识、认证和授权等，问题较多［４］。本文的分析将以第（２）类即全分布式的应用为例。

２Ｐ２Ｐ文件共享应用的安全问题分析

全分布式Ｐ２Ｐ文件共享强调用户对整个系统的贡献和从系统中获取共享文件的自由，以自由交换和共享资源为目的［７］。系统主体是一系列平等的用户，称为Ｐｅｅｒ；系统的行为就是Ｐｅｅｒ的行为，所有的行为都以共享文件为对象，针对共享文件进行。以下将从Ｐｅｅｒ用户安全、Ｐｅｅｒ行为和共享文件三个方面对Ｐ２Ｐ文件共享应用的安全问题进行分析。

２．１Ｐｅｅｒ的安全问题分析

Ｐｅｅｒ的安全问题可分为信任问题、身份认证和授权问题以及匿名问题。

２．１．１信任问题

Ｐ２Ｐ系统往往假定成员之间存在着某种信任关系，实际上Ｐｅｅｒ个体更多的表现是贪婪、自私甚至欺诈的行为。据统计，在众多的Ｐ２Ｐ文件共享应用里，２５％的文件是伪造文件。为维护Ｐ２Ｐ文件共享系统的可靠性，需要对各Ｐｅｅｒ的可信度进行量化管理，在多个Ｐｅｅｒ可选

Ｐ２Ｐ文件共享应用安全问题分析

杨岳湘，方素华，唐川，王锐

（国防科学技术大学计算机学院，湖南长沙４１００７３）

摘要：介绍以Ｐ２Ｐ文件共享应用为例，分别从Ｐｅｅｒ用户安全、Ｐｅｅｒ的行为及共享文件三个方面讨论其安全问题，为Ｐ２Ｐ的安全技术研究工作提供比较全面的认识。

关键词：Ｐ２Ｐ应用文件共享安全分析

ＳｅｃｕｒｉｔｙａｎａｌｙｓｉｓｏｎＰ２Ｐｆｉｌｅ－ｓｈａｒｉｎｇ

ＹＡＮＧＹｕｅＸｉａｎｇ，ＦＡＮＧＳｕＨｕａ，ＴＡＮＧＣｈｕａｎ，ＷＡＮＧＲｕｉ

（ＮａｔｉｏｎａｌＵｎｉｖｅｒｓｉｔｙｏｆＤｅｆｅｎｓｅＴｅｃｈｎｏｌｏｇｙ，ＣｏｍｐｕｔｅｒＳｃｈｏｏｌ，Ｃｈａｎｇｓｈａ，４１００７３，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：Ｉｎｔｈｅｔｅｘｔ，ｆｉｌｅ－ｓｈａｒｉｎｇｉｓｔａｋｅｎａｓａｎａｐｐｌｉｃａｔｉｏｎｅｘａｍｐｌｅｔｏｄｉｓｃｕｓｓｔｈｅｓｅｃｕｒｉｔｙｐｒｏｂｌｅｍｓｆｒｏｍａｎｇｌｅｓｏｆｔｈｅＰｅｅｒ，ｔｈｅａｃｔｉｏｎａｎｄｔｈｅｓｈａｒｅｄｆｉｌｅｒｅｓｐｅｃｔｉｖｅｌｙ，ｗｈｉｃｈｉｓｅｘｐｅｃｔｅｄｔｏｐｒｏｖｉｄｅａｓｙｓｔｅｍａｔｉｃｕｎｄｅｒｓｔａｎｄｉｎｇｆｏｒｆｕｒｔｈｅｒｒｅｓｅａｒｃｈｉｎＰ２Ｐ．Ｋｅｙｗｏｒｄｓ：Ｐ２Ｐ；ａｐｐｌｉｃａｔｉｏｎ；ｆｉｌｅ－ｓｈａｒｉｎｇ；ｓｅｃｕｒｉｔｙ；ａｎａｌｙｓｉｓ

的情况下，优先选择信任值较高的对象［８－９］。

目前基于Ｐ２Ｐ环境的Ｐｅｅｒ信任模型主要有如下三类：

（１）基于ＰＫＩ的信任模型：由少数超级Ｐｅｅｒ监督整个系统，定期通告各Ｐｅｅｒ的信任值。这种方法易于管理，但不易扩展且存在超级Ｐｅｅｒ单点失效问题。例如ｅＤｏｎｋｅｙ的服务器。

（２）基于局部推荐：Ｐｅｅｒ通过询问有限个其他Ｐｅｅｒ来获取某个Ｐｅｅｒ的信任值，通常利用局部广播实现。这种方法效率高、易扩展，但只能获取局部片面的信任值。

（３）全局可信度模型：通过邻居Ｐｅｅｒ相互满意度的多次迭代最终获得全局可信度，如参考文献［５］提出的Ｔｒｕｓｔ模型。这类模型获得的可信度比较高，但效率不高，存在迭代收敛问题。

大规模环境下的Ｐ２Ｐ应用可以选择扩展性较好的（２）、（３）类模型。第（３）类模型适用于安全性要求较高的应用，一般的应用第（２）类模型就可以满足。小规模的Ｐ２Ｐ应用，特别是动态环境下的应用，可选择第（１）类信任模型。

２．１．２身份认证和授权

Ｐ２Ｐ环境允许Ｐｅｅｒ自由加入或退出系统，当某个Ｐｅｅｒ试图加入时，系统很难知道它是否是恶意节点、是否受攻击者控制。为维护系统安全，对抗假冒身份的攻击，有必要为系统成员建立身份标识和认证机制，以确保登陆系统的Ｐｅｅｒ与其声称的身份相符合。

传统的分布式环境一般利用单个ＣＡ中心为系统成员颁发证书进行集中管理。但ＣＡ中心的单点失效对Ｐ２Ｐ系统的安全性将会造成致命的影响，况且Ｐ２Ｐ的目标是尽量避免中心节点的存在，所以集中式ＣＡ中心不适用于Ｐ２Ｐ。使用多个ＣＡ分布式协作有望解决该问题。为此提出了一种基于椭圆曲线数字签名和密钥分离的分布式认证模型。但目前分布式ＣＡ的研究还存在较多困难，整体进展缓慢。Ｓｕｎ公司的ＪＸＴＡ平台采取折衷手段，利用平台本身作为内建的证书颁发机构自签发一个根证书，再向Ｐｅｅｒ发布基于根证书的证书。这种方式可以为用户获得一定程度的身份保证，但可能受到中间人攻击。应该在ＪＸＴＡ证书机制的基础上，引入数字签名和加密算法等安全手段，以确保Ｐｅｅｒ身份的可靠性。

授权是对已认证的Ｐｅｅｒ授予访问、使用某些资源的权力，通常是紧接着认证进行的。不同Ｐｅｅｒ有不同的兴趣取向，因此，Ｐ２Ｐ应用通常是将成员分组管理并利用组成员资格服务授权其可访问的资源。另外，授权机制也有助于对共享文件的合法访问。

２．１．３匿名问题

匿名是Ｐ２Ｐ的目标之一，包括保护Ｐｅｅｒ的敏感信息、隐藏Ｐｅｅｒ与其所参与的通信之间的关系。常用技术有ＭＩＸ、Ｃｒｏｗｄ、ＦｒｅｅＮｅｔ等匿名协议。

传统的匿名保护往往利用中继转发实现，Ｐ２Ｐ系统中所有Ｐｅｅｒ均可参与中继转发，因而更有利于将要保护的Ｐｅｅｒ隐藏于众多Ｐｅｅｒ实体之中。此外，由于Ｐ２Ｐ系统信息的传输分散于Ｐｅｅｒ之间进行而无需经过集中的环节，Ｐｅｅｒ的隐私信息泄漏或被窃听的可能性也大大减小。

Ｐ２Ｐ系统中用户可能经常加入或退出系统，每个Ｐｅｅｒ需要拥有系统内部其他成员的信息，以便在加入系统时为其他Ｐｅｅｒ形成匿名路径，退出时由系统为该Ｐｅｅｒ原先所在的匿名路径生成新的路径。然而，Ｐ２Ｐ成员的动态性使系统匿名集经常变化，Ｐｅｅｒ很难获得可靠的系统成员信息。

２．２Ｐｅｅｒ行为的安全问题分析

Ｐ２Ｐ文件共享系统中，Ｐｅｅｒ的行为主要包括对共享文件的上传、请求、下载和通信传输。

２．２．１上传行为的安全问题

Ｐ２Ｐ以端到端的方式实现文件共享，允许每个Ｐｅｅｒ直接访问系统内其他成员的硬盘。其安全隐患是：当一个Ｐｅｅｒ在向系统开放可共享的资源时，也可能将其他重要的本地信息暴露给其他的Ｐｅｅｒ。所以在开放共享之前，每个Ｐｅｅｒ需要确认被开放的资源，以保护本地系统信息和非共享资源的安全，以免触及本地安全，甚至造成非法用户的远程攻击。

２．２．２请求行为的安全问题

Ｐ２Ｐ网络中与Ｐｅｅｒ请求行为相关的安全挑战是ＤＤｏＳ攻击，攻击者通过多级、多个傀儡Ｐｅｅｒ对目标Ｐｅｅｒ连续发出貌似合理但实际无法满足的请求，并通过传输放大，消耗网络的计算资源和带宽，使局部网络的效率下降直至瘫痪。其特点是隐蔽性和放大性。典型的ＤＤｏＳ攻击有Ｓｙｎ－Ｆｌｏｏｄ、Ｓｍｕｒｆ等。

解决ＤＤｏＳ攻击应以早期预防和防御手段为主，目标是尽早发现攻击。系统在发现攻击后，应能够根据攻击的强弱，自适应调整防御策略，阻断ＤＤｏＳ的扩散，使损失最小；尽可能保持服务效率，用负载均衡技术弱化ＤＤｏＳ攻击；利用灾难性恢复机制恢复受攻击的系统。２．２．３文件下载的安全问题

“ＦｒｅｅＲｉｄｅｒ”是当前Ｐ２Ｐ文件共享应用中普遍存在的一种Ｐｅｅｒ行为，即存在Ｐ２Ｐ用户希望以极少的付出或零付出来获得系统的大量资源或服务。据Ｇｎｕｔｅｌｌａ官方统计，仅１％的用户提供了系统的绝大多数共享资源，约３０％的用户仍愿意提供资源，但６９％的用户却只下载不分享，即所谓“ＦｒｅｅＲｉｄｅｒ”。“ＦｒｅｅＲｉｄｅｒ”的大量存在会严重降低系统性能，使系统更加脆弱。

通常利用激励机制解决该问题，如北大的Ｍａｚｅ信息共享系统就使用了激励机制。另外，还可以结合２．１．１节所述的Ｐｅｅｒ之间的信任模型对“ＦｒｅｅＲｉｄｅｒ”通告惩戒。２．２．４通信传输的安全问题

保护通信传输的安全，即保护传输信息的机密性和完整性。机密性是指保护信息不为非授权用户窃取；完

（下转第１３４页）