单源P2P组播的系统安全研究-计算机系统结构专业论文.docx

华 华 中 科 技 大 学 博 士 学 位 论 文 IV IV 摘 要 IP 组播由于其路由维护复杂性高，安全性、可靠性无法得到保证等多种原因， 一直无法得到广泛部署。也因此推动了方便部署的应用层组播系统研究的迅速发 展。目前，以网络电视等应用为代表的大量商用系统已经部署运营多年，用户数也 早已过千万。但 P2P 系统和组播系统固有的安全缺陷并没有解决，2007 年，一个针 对实际商用 P2P 组播系统的攻击实验（近 80%的用户在很短的时间内就受到污染） 直接说明系统安全的脆弱性。直到今天，P2P 组播系统的安全防护还没有得到有效 解决，商用系统一般采用临时性措施（如协议加密，客户端防破解等）来应对系统 安全威胁。 在分析 IP 组播和应用层组播（包括 P2P 组播）的系统安全风险的基础上，对 针对应用层组播的系统攻击进行了归纳和总结，提出目前应用层组播系统的主要安 全威胁是内容污染攻击。在设计实现的 P2P 组播仿真系统上，对内容污染攻击进行 了详细监控和分析，两类攻击（简单转发污染和主动污染攻击）的实验结果进一步 证明其系统风险是巨大的。 提出基于“可信转发”的 CDMS（Credible Data-driver Multicast Security） 模型。即时识别恶意组播报文和即时定位恶意节点是防护内容污染攻击的两个难 题。CDMS 模型首先假设恶意组播报文可以被即时发现，节点在报文安全性得到验证 后才转发该报文，因此组播系统中的每个节点都承担了相当于 IP 组播中网络边缘 接入路由器的安全审查功能，从而可以有效地降低内容污染攻击的扩大。通过“规 范”节点转发行为，也可以有效判断恶意节点，同时结合 P2P 组播节点自主性极强 的安全路由选择控制，就可以实现即时、低代价的对恶意节点的隔离。 提出基于树链混合机制的两种签名分担新算法（STC 算法和 EMTC 算法）。验证 实时性和不可抵赖性是 P2P 组播实现可信转发的突出要求，两种算法都基于签名认 证，保证了不可抵赖性；STC 算法有少量的接收端验证延迟，EMTC 算法在丢包环境 PAGE VI PAGE VI 下没有接收端验证延迟，报文乱序环境下的平均延迟也很低。分析计算、仿真、与 其他系统的性能比较等也证明新机制的验证有效性——比较其他多链方案中报文 携带n个 Hash 只能直接验证 n 个报文，树链混合机制可以实现对 2(n-1)个报文的直 接验证。在大量仿真实验基础上 EMTC 算法获得的最优跨距组合已逼近分析计算出 的最优值。 采用三重主动机制保证签名报文的传输。签名报文可靠、及时发布传输到成员 节点是签名分担认证算法的安全基础，三重主动机制包括基于Gossip的主动推送机 制、签名报文的优先调度请求机制和防范攻击的二次冗余主动调度机制，保证了签 名报文的发放。仿真实验结果表明该机制的有效性。 提出概率认证预警机制，可进一步降低系统的安全开销。在系统未受到攻击时， 所有节点的所有报文都进行安全转发的开销很大，通过概率随机选择安全哨兵，执 行可信认证检验，发现攻击后立即向来源节点发出安全提醒，以帮助其他节点及时 脱离攻击。在分析该机制可能的安全漏洞的基础上，提出无责任转发、安全提醒回 送和安全数据回应完善概率认证预警机制。虽然概率认证机制无法完全确认恶意节 点，但是可以防止恶意节点的进一步攻击。 可信数据驱动组播安全（CDMS）模型中的可信数据包括：可验证的组播数据、 可验证是否恶意的安全提醒信息和安全组播数据请求、可验证的组播概率策略和认 证签名。这些可信数据结合低代价的组播安全路由维护，共同完成对 P2P 组播系统 的安全防护。 关键词： P2P 组播，组播系统安全，可信认证，可信转发 ，内容污染攻击 Abstract Large-scale deployment is still unreachable for IP multicasting, due to the high complexity of route maintenance and the unguaranteed security and reliability. In the meanwhile, the call for multi-point data transferring is ever growing, and this fosters the fast development of application level multicast. Currently, commercial multimedia delivering systems, such as Internet TV, have been practically implemented for yea