论文部分内容阅读
IP组播由于其路由维护复杂性高,安全性、可靠性无法得到保证等多种原因,一直无法得到广泛部署。也因此推动了方便部署的应用层组播系统研究的迅速发展。目前,以网络电视等应用为代表的大量商用系统已经部署运营多年,用户数也早已过千万。但P2P系统和组播系统固有的安全缺陷并没有解决,2007年,一个针对实际商用P2P组播系统的攻击实验(近80%的用户在很短的时间内就受到污染)直接说明系统安全的脆弱性。直到今天,P2P组播系统的安全防护还没有得到有效解决,商用系统一般采用临时性措施(如协议加密,客户端防破解等)来应对系统安全威胁。在分析IP组播和应用层组播(包括P2P组播)的系统安全风险的基础上,对针对应用层组播的系统攻击进行了归纳和总结,提出目前应用层组播系统的主要安全威胁是内容污染攻击。在设计实现的P2P组播仿真系统上,对内容污染攻击进行了详细监控和分析,两类攻击(简单转发污染和主动污染攻击)的实验结果进一步证明其系统风险是巨大的。提出基于“可信转发”的CDMS (Credible Data-driver Multicast Security)模型。即时识别恶意组播报文和即时定位恶意节点是防护内容污染攻击的两个难题。CDMS模型首先假设恶意组播报文可以被即时发现,节点在报文安全性得到验证后才转发该报文,因此组播系统中的每个节点都承担了相当于IP组播中网络边缘接入路由器的安全审查功能,从而可以有效地降低内容污染攻击的扩大。通过“规范”节点转发行为,也可以有效判断恶意节点,同时结合P2P组播节点自主性极强的安全路由选择控制,就可以实现即时、低代价的对恶意节点的隔离。提出基于树链混合机制的两种签名分担新算法(STC算法和EMTC算法)。验证实时性和不可抵赖性是P2P组播实现可信转发的突出要求,两种算法都基于签名认证,保证了不可抵赖性;STC算法有少量的接收端验证延迟,EMTC算法在丢包环境下没有接收端验证延迟,报文乱序环境下的平均延迟也很低。分析计算、仿真、与其他系统的性能比较等也证明新机制的验证有效性一一比较其他多链方案中报文携带n个Hash只能直接验证n个报文,树链混合机制可以实现对2(n-1)个报文的直接验证。在大量仿真实验基础上EMTC算法获得的最优跨距组合已逼近分析计算出的最优值。采用三重主动机制保证签名报文的传输。签名报文可靠、及时发布传输到成员节点是签名分担认证算法的安全基础,三重主动机制包括基于Gossip的主动推送机制、签名报文的优先调度请求机制和防范攻击的二次冗余主动调度机制,保证了签名报文的发放。仿真实验结果表明该机制的有效性。提出概率认证预警机制,可进一步降低系统的安全开销。在系统未受到攻击时,所有节点的所有报文都进行安全转发的开销很大,通过概率随机选择安全哨兵,执行可信认证检验,发现攻击后立即向来源节点发出安全提醒,以帮助其他节点及时脱离攻击。在分析该机制可能的安全漏洞的基础上,提出无责任转发、安全提醒回送和安全数据回应完善概率认证预警机制。虽然概率认证机制无法完全确认恶意节点,但是可以防止恶意节点的进一步攻击。可信数据驱动组播安全(CDMS)模型中的可信数据包括:可验证的组播数据、可验证是否恶意的安全提醒信息和安全组播数据请求、可验证的组播概率策略和认证签名。这些可信数据结合低代价的组播安全路由维护,共同完成对P2P组播系统的安全防护。