單源P2P組播的系統(tǒng)安全研究.pdf

1、IP組播由于其路由維護復(fù)雜性高，安全性、可靠性無法得到保證等多種原因，一直無法得到廣泛部署。也因此推動了方便部署的應(yīng)用層組播系統(tǒng)研究的迅速發(fā)展。目前，以網(wǎng)絡(luò)電視等應(yīng)用為代表的大量商用系統(tǒng)已經(jīng)部署運營多年，用戶數(shù)也早已過千萬。但P2P 系統(tǒng)和組播系統(tǒng)固有的安全缺陷并沒有解決，2007年，一個針對實際商用P2P組播系統(tǒng)的攻擊實驗（近80％的用戶在很短的時間內(nèi)就受到污染）直接說明系統(tǒng)安全的脆弱性。直到今天，P2P組播系統(tǒng)的安全防護還沒有得到有

2、效解決，商用系統(tǒng)一般采用臨時性措施（如協(xié)議加密，客戶端防破解等）來應(yīng)對系統(tǒng)安全威脅。
　　 在分析IP組播和應(yīng)用層組播（包括P2P組播）的系統(tǒng)安全風(fēng)險的基礎(chǔ)上，對針對應(yīng)用層組播的系統(tǒng)攻擊進行了歸納和總結(jié)，提出目前應(yīng)用層組播系統(tǒng)的主要安全威脅是內(nèi)容污染攻擊。在設(shè)計實現(xiàn)的P2P組播仿真系統(tǒng)上，對內(nèi)容污染攻擊進行了詳細監(jiān)控和分析，兩類攻擊（簡單轉(zhuǎn)發(fā)污染和主動污染攻擊）的實驗結(jié)果進一步證明其系統(tǒng)風(fēng)險是巨大的。
　　 提出基于“可

3、信轉(zhuǎn)發(fā)”的CDMS（Credible Data-driver Multicast Security）模型。即時識別惡意組播報文和即時定位惡意節(jié)點是防護內(nèi)容污染攻擊的兩個難題。CDMS模型首先假設(shè)惡意組播報文可以被即時發(fā)現(xiàn)，節(jié)點在報文安全性得到驗證后才轉(zhuǎn)發(fā)該報文，因此組播系統(tǒng)中的每個節(jié)點都承擔(dān)了相當于IP組播中網(wǎng)絡(luò)邊緣接入路由器的安全審查功能，從而可以有效地降低內(nèi)容污染攻擊的擴大。通過“規(guī)范”節(jié)點轉(zhuǎn)發(fā)行為，也可以有效判斷惡意節(jié)點，同時結(jié)合

4、P2P組播節(jié)點自主性極強的安全路由選擇控制，就可以實現(xiàn)即時、低代價的對惡意節(jié)點的隔離。
　　 提出基于樹鏈混合機制的兩種簽名分擔(dān)新算法（STC算法和EMTC算法）。驗證實時性和不可抵賴性是P2P組播實現(xiàn)可信轉(zhuǎn)發(fā)的突出要求，兩種算法都基于簽名認證，保證了不可抵賴性；STC算法有少量的接收端驗證延遲，EMTC算法在丟包環(huán)境下沒有接收端驗證延遲，報文亂序環(huán)境下的平均延遲也很低。分析計算、仿真、與其他系統(tǒng)的性能比較等也證明新機制的驗證有

5、效性——比較其他多鏈方案中報文攜帶n個Hash只能直接驗證n個報文，樹鏈混合機制可以實現(xiàn)對2(n-1)個報文的直接驗證。在大量仿真實驗基礎(chǔ)上EMTC算法獲得的最優(yōu)跨距組合已逼近分析計算出的最優(yōu)值。
　　 采用三重主動機制保證簽名報文的傳輸。簽名報文可靠、及時發(fā)布傳輸?shù)匠蓡T節(jié)點是簽名分擔(dān)認證算法的安全基礎(chǔ)，三重主動機制包括基于Gossip的主動推送機制、簽名報文的優(yōu)先調(diào)度請求機制和防范攻擊的二次冗余主動調(diào)度機制，保證了簽名報文的發(fā)

6、放。仿真實驗結(jié)果表明該機制的有效性。
　　 提出概率認證預(yù)警機制，可進一步降低系統(tǒng)的安全開銷。在系統(tǒng)未受到攻擊時，所有節(jié)點的所有報文都進行安全轉(zhuǎn)發(fā)的開銷很大，通過概率隨機選擇安全哨兵，執(zhí)行可信認證檢驗，發(fā)現(xiàn)攻擊后立即向來源節(jié)點發(fā)出安全提醒，以幫助其他節(jié)點及時脫離攻擊。在分析該機制可能的安全漏洞的基礎(chǔ)上，提出無責(zé)任轉(zhuǎn)發(fā)、安全提醒回送和安全數(shù)據(jù)回應(yīng)完善概率認證預(yù)警機制。雖然概率認證機制無法完全確認惡意節(jié)點，但是可以防止惡意節(jié)點的進一