P2P技术相关信息安全问题研究.docVIP

P2P技术相关信息安全问题研究 　　摘要：该文分析了和P2P技术相关的信息安全问题，包括由其自身的技术缺陷所带来的主要安全威胁。针对这些安全问题，介绍了如何构建P2P网络的安全防御体系。 　　关键词：P2P；信息安全；防御体系 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2008)34-1859-02 　　P2P Technology on the Issue of Information Security Research 　　XU Xiang 　　(Department of Computer and Information Science, Fujian University of Technology, Fuzhou 350001, China) 　　Abstact: This article has analyzed and the P2P technology related information security question, including main security threat which brings by its own technical flaw.In response to these security issues, describes how to build a P2P network security defense system. 　　Key words: P2P; information security; defense system 　　 　　1 引言 　　在互联网世界中，一切事物无不遵循着自下而上的发展历程，大到互联网自身、小到一个新的发明和流行，都是如此。这一特征使得互联网成为创新者的乐园，给予了人们在现实社会中难以获得的平等自由的空间。 　　然而，互联网自下而上的发展特性同时也带来了一个非常大的问题――公共管理机制的先天缺失。在互联网中，用户自律是最初的基本理念之一，绝大多数技术协议的设计都是以获取最高的性能、最好的扩展性为目标，包括安全在内的很多公共政策问题很长时间以来都不是设计者最关注的问题。基于P2P的各种新应用的开发也是如此，P2P的核心理念是人人平等，用户同时也承担着信息提供者角色，正是由于用户平等参与，为互联网也带来了一些新的安全问题。 　　2 P2P技术带来的安全问题 　　2.1 “去中心化”带来的管理真空 　　P2P技术的特性优势，比如健壮性、可扩展性等等，实际上这些优点都是由P2P技术的一个最基本特性引申出来的，这就是“去中心化”。 　　P2P网络中，每个节点的地位都是平等的，原本应该由网络承担的职责被分散给了每个P2P的参与者，没有集中的服务器，原本互联网中相对集中化的信息共享方式被完全颠覆。这样可以避免可能的瓶颈，使网络的负载能够自动保持均衡，大大提高资源利用率。但是，在一个没有中心、没有权威的环境中，任何管理策略的实施都会遇到极大的挑战。 　　在基于P2P技术的业务网络中，通常情况下，业务的参与者都是自愿且匿名的，也就是说，这些用户是不能事先假设成为完全可以信任的。在一个没有信用保证、大家都隐身匿名的环境中，各种各样的安全隐患都有可能出现。 　　对于P2P技术而言，如何能够提供有效的手段，保证对做坏事者的溯源，将是决定其今后能否持续健康发展的重要因素。 　　2.2 匿名导致业务安全域建立的困难 　　通常情况下，在互联网中会采取为某个特定应用/群体建立安全域，以保证在某个范围内的安全的做法。而安全域的建立一般会采用实体间认证的方式。在实体间都互相认证了解的小型网络中，要建立信任是很容易的。但是当一个网络应用扩展到常规的社会力量不再能满足要求时，建立信任的难度就会变得大起来。尤其是在P2P环境中，参与应用的实体匿名性、不固定性、数量的无限可扩展性，都为P2P安全域的建立设置了障碍。 　　我们必须对现有互联网认证授权技术以及P2P技术加以改进，使其能够真正有效地用于P2P安全域的建立。 　　2.3 恶意代码传播更难以控制 　　据趋势科技统计，IM 、IRC 和 P2P 通信的有关安全威胁持续成长：2005年，与 IM 、IRC 和 P2P通信有关的安全威胁在整体安全威胁散播媒介中占了 16%。 　　由于P2P网络中逻辑相邻的节点地理位置可能相隔很远，而参与P2P网络的节点数量又非常大，因此通过P2P系统传播的病毒波及范围大、覆盖面广，造成的损失会很大。在短时间内可以造成网络拥塞甚至瘫痪、共享信息丢失、机密信息失窃，甚至通过网络病毒可以完全控制整个网络。 　　由于现有的P2P应用都具有很强的防火墙穿越能力，因此将很有可能成为恶意代码的帮凶，更进一步加强它们的传播能力，更加