論文p2p網(wǎng)絡(luò)的安全問(wèn)題分析

P2P網(wǎng)絡(luò)的安全問(wèn)題分析摘要本文介紹了P2P的基本概念以及特點(diǎn)，P2P網(wǎng)絡(luò)通過(guò)直接交換方式在大量分散的計(jì)算機(jī)之間實(shí)現(xiàn)資源及服務(wù)共享，其具有分布式結(jié)構(gòu)以及能夠充分利用網(wǎng)絡(luò)資源的特性，使得它在文件共享，流媒體，即時(shí)通信，匿名通信等應(yīng)用中發(fā)揮了巨大作用。分析了在P2P網(wǎng)絡(luò)及其應(yīng)用中的一些安全問(wèn)題，并針對(duì)不同的情況提出了相應(yīng)的解決方案。關(guān)鍵詞P2P，安全性，文件共享，流媒體，即時(shí)通信，匿名通信一、P2P概述P2P即Peer-to-Peer，稱為對(duì)等計(jì)算或?qū)Φ染W(wǎng)絡(luò)。P2P技術(shù)主要指由硬件形成連接后的信息控制技術(shù)，其主要代表形式是基于網(wǎng)絡(luò)協(xié)議的客戶端軟件。P2P起源于最初的互聯(lián)網(wǎng)通信方式，如通過(guò)局域網(wǎng)互聯(lián)同一建筑物內(nèi)的PC。因此從基礎(chǔ)技術(shù)角度看，P2P不是新技術(shù)，而是新的應(yīng)用技術(shù)模式[1]。學(xué)術(shù)界、工業(yè)界對(duì)于P2P沒(méi)有一個(gè)統(tǒng)一的定義，Intel將P2P定義為“通過(guò)系統(tǒng)間的直接交換所達(dá)成的計(jì)算機(jī)資源與信息的共享”，這些資源與服務(wù)包括信息交換、處理器時(shí)鐘、緩存和磁盤(pán)空間等。而IBM將P2P定義如下，P2P系統(tǒng)由若干互聯(lián)協(xié)作的計(jì)算機(jī)構(gòu)成，且至少具有如下特征之一：系統(tǒng)依存于邊緣化(非中央式服務(wù)器)設(shè)備的主動(dòng)協(xié)作，每個(gè)成員直接從其他成員而不是從服務(wù)器的參與中受益；系統(tǒng)中成員同時(shí)扮演服務(wù)器與客戶端的角色；系統(tǒng)應(yīng)用的用戶能夠意識(shí)到彼此的存在，構(gòu)成一個(gè)虛擬或?qū)嶋H的群體[2]。雖然各種定義略有不同，但共同點(diǎn)都是P2P打破了傳統(tǒng)的C/S模式[3]：(1)網(wǎng)絡(luò)中的不同節(jié)點(diǎn)之間無(wú)需經(jīng)過(guò)中繼設(shè)備直接交換數(shù)據(jù)或服務(wù)，每個(gè)節(jié)點(diǎn)的地位都是對(duì)等的，擁有對(duì)等的權(quán)利和義務(wù)，既充當(dāng)服務(wù)器，為其他節(jié)點(diǎn)提供服務(wù)，同時(shí)也享用其他節(jié)點(diǎn)提供的服務(wù)。(2)網(wǎng)絡(luò)服務(wù)從“中心化”轉(zhuǎn)向“邊緣化”，減少了對(duì)傳統(tǒng)C/S結(jié)構(gòu)服務(wù)器計(jì)算能力、存儲(chǔ)能力的要求，同時(shí)因?yàn)橘Y源分布在多個(gè)節(jié)點(diǎn)，更好地實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)的負(fù)載均衡。(3)P2P技術(shù)可以使非互聯(lián)網(wǎng)絡(luò)用戶很容易加入到系統(tǒng)中，理論上其可擴(kuò)展性幾乎可以認(rèn)為是無(wú)限的。(4)P2P技術(shù)使所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能，因而大大提高了匿名通信的靈活性和可靠性，能夠?yàn)橛脩籼峁└玫碾[私保護(hù)。(5)P2P是基于內(nèi)容的尋址方式，內(nèi)容包括信息、空閑機(jī)時(shí)、存儲(chǔ)空間等，用戶直接索取信息的內(nèi)容而不是地址。P2P技術(shù)的優(yōu)點(diǎn)體現(xiàn)在以下幾個(gè)方面[4]：(1)非中心化：網(wǎng)絡(luò)中的資源和服務(wù)分散在所有結(jié)點(diǎn)上，信息的傳輸和服務(wù)的實(shí)現(xiàn)都直接在結(jié)點(diǎn)之間進(jìn)行，可以無(wú)需中間環(huán)節(jié)和服務(wù)器的介入，避免了可能的瓶頸。P2P的非中心化基本特點(diǎn)，帶來(lái)了其在可擴(kuò)展性、健壯性等方面的優(yōu)勢(shì)。(2)可擴(kuò)展性：在P2P網(wǎng)絡(luò)中，隨著用戶的加入，不僅服務(wù)的需求增加了，系統(tǒng)整體的資源和服務(wù)能力也在同步地?cái)U(kuò)充，始終能比較容易地滿足用戶的需要，理論上其可擴(kuò)展性幾乎可以認(rèn)為是無(wú)限的。例如：在傳統(tǒng)的通過(guò)FTP的文件下載方式中，當(dāng)下載用戶增加后，下載速度會(huì)變得越來(lái)越慢，然而P2P網(wǎng)絡(luò)正好相反，加入的用戶越多，P2P網(wǎng)絡(luò)中提供的資源就越多，下載的速度反而越快。(3)健壯性：P2P架構(gòu)天生具有耐攻擊、高容錯(cuò)的優(yōu)點(diǎn)。由于服務(wù)是分散在各個(gè)結(jié)點(diǎn)之間進(jìn)行的，部分結(jié)點(diǎn)或網(wǎng)絡(luò)遭到破壞對(duì)其它部分的影響很小。P2P網(wǎng)絡(luò)一般在部分結(jié)點(diǎn)失效時(shí)能夠自動(dòng)調(diào)整整體拓?fù)?，保持其它結(jié)點(diǎn)的連通性。P2P網(wǎng)絡(luò)通常都是以自組織的方式建立起來(lái)的，并允許結(jié)點(diǎn)自由地加入和離開(kāi)。(4)高性價(jià)比：性能優(yōu)勢(shì)是P2P被廣泛關(guān)注的一個(gè)重要原因。隨著硬件技術(shù)的發(fā)展，個(gè)人計(jì)算機(jī)的計(jì)算和存儲(chǔ)能力以及網(wǎng)絡(luò)帶寬等性能依照摩爾定理高速增長(zhǎng)。采用P2P架構(gòu)可以有效地利用互聯(lián)網(wǎng)中散布的大量普通結(jié)點(diǎn)，將計(jì)算任務(wù)或存儲(chǔ)資料分布到所有結(jié)點(diǎn)上。利用其中閑置的計(jì)算能力或存儲(chǔ)空間，達(dá)到高性能計(jì)算和海量存儲(chǔ)的目的。目前，P2P在這方面的應(yīng)用多在學(xué)術(shù)研究方面，一旦技術(shù)成熟，能夠在工業(yè)領(lǐng)域推廣，則可以為許多企業(yè)節(jié)省購(gòu)買(mǎi)大型服務(wù)器的成本。(5)隱私保護(hù)：在P2P網(wǎng)絡(luò)中，由于信息的傳輸分散在各節(jié)點(diǎn)之間進(jìn)行而無(wú)需經(jīng)過(guò)某個(gè)集中環(huán)節(jié)，用戶的隱私信息被竊聽(tīng)和泄漏的可能性大大縮小。此外，目前解決Internet隱私問(wèn)題主要采用中繼轉(zhuǎn)發(fā)的技術(shù)方法，從而將通信的參與者隱藏在眾多的網(wǎng)絡(luò)實(shí)體之中。在傳統(tǒng)的一些匿名通信系統(tǒng)中，實(shí)現(xiàn)這一機(jī)制依賴于某些中繼服務(wù)器節(jié)點(diǎn)。而在P2P中，所有參與者都可以提供中繼轉(zhuǎn)發(fā)的功能，因而大大提高了匿名通訊的靈活性和可靠性，能夠?yàn)橛脩籼峁└玫碾[私保護(hù)。(6)負(fù)載均衡：P2P網(wǎng)絡(luò)環(huán)境下由于每個(gè)節(jié)點(diǎn)既是服務(wù)器又是客戶機(jī)，減少了對(duì)傳統(tǒng)C/S結(jié)構(gòu)服務(wù)器計(jì)算能力、存儲(chǔ)能力的要求，同時(shí)因?yàn)橘Y源分布在多個(gè)節(jié)點(diǎn)，更好的實(shí)現(xiàn)了整個(gè)網(wǎng)絡(luò)的負(fù)載均衡。二、P2P網(wǎng)絡(luò)面臨的安全威脅及目前的安全機(jī)制安全問(wèn)題是一直伴隨著互聯(lián)網(wǎng)發(fā)展的重要課題，在P2P網(wǎng)絡(luò)中更是如此[5]。由于各對(duì)等點(diǎn)可以隨時(shí)地加入和退出網(wǎng)絡(luò)，因此給網(wǎng)絡(luò)帶來(lái)極大的隨機(jī)性和不確定性，造成網(wǎng)絡(luò)帶寬和信息的不穩(wěn)定性，病毒也可以在共享的對(duì)等網(wǎng)絡(luò)空間中自由復(fù)制和感染文檔。另外，網(wǎng)絡(luò)和節(jié)點(diǎn)的負(fù)載平衡也是應(yīng)考慮的問(wèn)題，洪水般的惡意請(qǐng)求引發(fā)的拒絕服務(wù)攻擊可能導(dǎo)致系統(tǒng)的崩潰，這些都是在P2P網(wǎng)絡(luò)中系統(tǒng)安全面臨著巨大的挑戰(zhàn)[6]。2.1安全威脅2.1在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)都是通過(guò)和其他節(jié)點(diǎn)進(jìn)行交互來(lái)構(gòu)造自己的路由表，故而攻擊者可以通過(guò)向其他節(jié)點(diǎn)發(fā)送不正確的路由信息來(lái)破壞其他節(jié)點(diǎn)的路由表，這將會(huì)導(dǎo)致其他節(jié)點(diǎn)將查詢請(qǐng)求轉(zhuǎn)發(fā)到不正確或不存在的節(jié)點(diǎn)上。在這種情況下，即使是進(jìn)行重傳，查找消息也還是一樣會(huì)被發(fā)送到不正確的節(jié)點(diǎn)上。由于在這種攻擊中，攻擊者是按照正常的方式和系統(tǒng)其他節(jié)點(diǎn)交互，因而在表現(xiàn)上和普通節(jié)點(diǎn)是相同的，也就不可能把它從路由表中刪除。2.1.攻擊者對(duì)于查找協(xié)議正確執(zhí)行，但對(duì)于自身節(jié)點(diǎn)上保存的數(shù)據(jù)拒絕提供，使得其他節(jié)點(diǎn)無(wú)法得到數(shù)據(jù)。這種情況的出現(xiàn)，會(huì)導(dǎo)致P2P網(wǎng)絡(luò)中的搭車者(Freerider)增多，破壞系統(tǒng)網(wǎng)絡(luò)建立起來(lái)的信任機(jī)制以及已有的激勵(lì)機(jī)制。這種自私的行為最后會(huì)極大的損害網(wǎng)絡(luò)的整體利益。2.1.攻擊者對(duì)網(wǎng)絡(luò)中距離比較遠(yuǎn)的節(jié)點(diǎn)進(jìn)行攻擊，而對(duì)自己鄰近的節(jié)點(diǎn)卻表現(xiàn)出一切正常的假象。遠(yuǎn)方節(jié)點(diǎn)能發(fā)現(xiàn)這是一個(gè)攻擊者，但鄰近節(jié)點(diǎn)卻認(rèn)為這是一個(gè)正常的節(jié)點(diǎn)。2.1.這是一種DoS（拒絕服務(wù)類型）類型的攻擊，攻擊者可以向某些特定目標(biāo)節(jié)點(diǎn)發(fā)送大量的垃圾分組消息，從而耗盡目標(biāo)節(jié)點(diǎn)的處理能力。在一段時(shí)間后，系統(tǒng)會(huì)認(rèn)為目標(biāo)節(jié)點(diǎn)已經(jīng)失效退出，從而將目標(biāo)節(jié)點(diǎn)從系統(tǒng)中刪除。另外還可以利用DHT（分布式哈希表）的不完善性，通過(guò)構(gòu)造惡意輸入，使哈希表出現(xiàn)“最壞情況”的時(shí)間復(fù)雜度，從而使系統(tǒng)性能退化，達(dá)到拒絕服務(wù)攻擊的目的。2.1.P2P網(wǎng)絡(luò)是一個(gè)動(dòng)態(tài)變化的網(wǎng)絡(luò)，影響網(wǎng)絡(luò)穩(wěn)定的因素非常多。當(dāng)出現(xiàn)多個(gè)節(jié)點(diǎn)同時(shí)并發(fā)加入系統(tǒng)時(shí)，或者當(dāng)時(shí)間足夠長(zhǎng)、錯(cuò)誤不斷累加到一定程度時(shí)，都有可能使網(wǎng)絡(luò)不穩(wěn)定，如果沒(méi)有很好的容錯(cuò)性方案，攻擊者就可以利用這些漏洞來(lái)發(fā)動(dòng)攻擊。比如通過(guò)控制大量節(jié)點(diǎn)不斷的加入和退出來(lái)擾亂系統(tǒng)，引起大量不必要的數(shù)據(jù)傳輸，從而破壞P2P網(wǎng)絡(luò)的穩(wěn)定性等。2.1.現(xiàn)在的P2P系統(tǒng)大多采用bootstrap機(jī)制，新節(jié)點(diǎn)的初始路由信息是在加入系統(tǒng)時(shí)和系統(tǒng)中現(xiàn)有節(jié)點(diǎn)進(jìn)行通信而獲得的。如果一組攻擊者節(jié)點(diǎn)（其中某些節(jié)點(diǎn)可以是現(xiàn)實(shí)網(wǎng)絡(luò)中的真實(shí)節(jié)點(diǎn)）已經(jīng)構(gòu)成了一個(gè)虛假網(wǎng)絡(luò)，使用和真實(shí)網(wǎng)絡(luò)相同的協(xié)議，這時(shí)若有新節(jié)點(diǎn)把這個(gè)虛假網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)作為初始化節(jié)點(diǎn)，那么將會(huì)落入到這個(gè)虛假網(wǎng)絡(luò)中去，與真實(shí)網(wǎng)絡(luò)分隔開(kāi)來(lái)。2.1.7由于P2P網(wǎng)絡(luò)節(jié)點(diǎn)既可以位于公網(wǎng)，也可以處在內(nèi)部局域網(wǎng)。P2P軟件經(jīng)過(guò)特殊設(shè)計(jì)，能夠突破防火墻使內(nèi)外網(wǎng)用戶建立連接，這就像是在防火墻上開(kāi)放了一個(gè)秘密通道，使得內(nèi)網(wǎng)直接暴露在不安全的外部網(wǎng)絡(luò)環(huán)境下，攻擊者就有可能利用它來(lái)繞過(guò)防火墻，達(dá)到攻擊內(nèi)網(wǎng)用戶的目的。2.1.8P2P帶來(lái)的新型網(wǎng)絡(luò)病毒傳播問(wèn)題P2P網(wǎng)絡(luò)提供了方便的共享和快速的選路機(jī)制，為某些網(wǎng)絡(luò)病毒提供了更好的入侵機(jī)會(huì)。而且由于參與P2P網(wǎng)絡(luò)的節(jié)點(diǎn)數(shù)量非常大，因此通過(guò)P2P系統(tǒng)傳播的病毒，波及范圍大，覆蓋面廣，從而造成的損失會(huì)很大。在P2P網(wǎng)絡(luò)中，每個(gè)節(jié)點(diǎn)防御病毒的能力是不同的。只要有一個(gè)節(jié)點(diǎn)感染病毒，就可以通過(guò)內(nèi)部共享和通信機(jī)制將病毒擴(kuò)散到附近的鄰居節(jié)點(diǎn)。在短時(shí)間內(nèi)可以造成網(wǎng)絡(luò)擁塞甚至癱瘓，甚至通過(guò)網(wǎng)絡(luò)病毒可以完全控制整個(gè)網(wǎng)絡(luò)。2.2一些針對(duì)性解決方案為了防止路由攻擊，首先，關(guān)鍵字只能分配給已經(jīng)認(rèn)證了的可靠節(jié)點(diǎn)，讓其他節(jié)點(diǎn)可以識(shí)別路由的更新消息的真?zhèn)危绮捎霉€機(jī)制認(rèn)證的節(jié)點(diǎn)。其次，在節(jié)點(diǎn)轉(zhuǎn)發(fā)時(shí)，檢測(cè)查找是否向著更接近目標(biāo)節(jié)點(diǎn)的方向進(jìn)行。如果不是，就可以斷定路由存在錯(cuò)誤，應(yīng)停止查找，返回到上一個(gè)正確節(jié)點(diǎn)從新進(jìn)行發(fā)送。為了能夠進(jìn)行這種檢測(cè)，需要每個(gè)節(jié)點(diǎn)具有跟蹤查詢的能力，同時(shí)路由的每一步都必須對(duì)查詢者是可見(jiàn)的。存取攻擊可以采用在系統(tǒng)存儲(chǔ)層實(shí)現(xiàn)數(shù)據(jù)復(fù)制來(lái)解決。但在數(shù)據(jù)復(fù)制過(guò)程必須保證不能出現(xiàn)單個(gè)節(jié)點(diǎn)控制全部復(fù)制數(shù)據(jù)的情況。對(duì)于行為不一致攻擊，我們可以采取遠(yuǎn)方節(jié)點(diǎn)給攻擊者的鄰居節(jié)點(diǎn)發(fā)送一個(gè)消息，告訴它攻擊者的信息，不過(guò)該方法需要公鑰和數(shù)字簽名機(jī)制的支持。應(yīng)對(duì)網(wǎng)絡(luò)病毒可采用現(xiàn)有的防毒體系，針對(duì)個(gè)人節(jié)點(diǎn)和超級(jí)節(jié)點(diǎn)建立防護(hù)。這也對(duì)P2P系統(tǒng)安全性和健壯性提出了更高的要求，需要建立一套完整、高效、安全的防毒體系。至于目標(biāo)節(jié)點(diǎn)過(guò)載攻擊，目前還沒(méi)有一個(gè)較好的解決辦法，但可以通過(guò)數(shù)據(jù)復(fù)制在一定程度上減輕這種攻擊對(duì)整個(gè)系統(tǒng)的危害程度[7]。對(duì)于系統(tǒng)攻擊，為了保證系統(tǒng)的穩(wěn)定性，P2P系統(tǒng)必須具有較好的容錯(cuò)機(jī)制，就算某些節(jié)點(diǎn)失效，仍可以保證路由查找高效進(jìn)行。除此之外，系統(tǒng)還必須具有一些維護(hù)機(jī)制，通過(guò)對(duì)系統(tǒng)進(jìn)行實(shí)時(shí)維護(hù)來(lái)保證所構(gòu)建的虛擬網(wǎng)絡(luò)的全局連通性以及查找算法的高效性?；诎踩粤钆频陌踩Ｐ蛠?lái)應(yīng)對(duì)分隔攻擊。在該模型中，令牌包含一組由簽發(fā)者用密碼的方式簽署的相關(guān)聲明。請(qǐng)求節(jié)點(diǎn)可以通過(guò)安全性令牌服務(wù)節(jié)點(diǎn)來(lái)獲得聲明，中間節(jié)點(diǎn)也可以通過(guò)獲得認(rèn)證來(lái)向目標(biāo)節(jié)點(diǎn)轉(zhuǎn)發(fā)消息。如果進(jìn)來(lái)的消息沒(méi)有必需的聲明，則系統(tǒng)可以忽略或拒絕改消息，從而解決該問(wèn)題。2.3P2P安全通信技術(shù)P2P安全通信主要涉及P2P內(nèi)容安全、P2P網(wǎng)絡(luò)安全、P2P自身節(jié)點(diǎn)安全和P2P中對(duì)等節(jié)點(diǎn)之間的通信安全。目前采用的技術(shù)主要有[8]：(1)對(duì)等誠(chéng)信P2P網(wǎng)絡(luò)技術(shù)能否發(fā)揮更大的作用，取決于它能否在網(wǎng)絡(luò)節(jié)點(diǎn)之間建立信任關(guān)系。考慮到集中式的節(jié)點(diǎn)信任管理既復(fù)雜又不一定可靠，P2P網(wǎng)絡(luò)中應(yīng)該考慮對(duì)等誠(chéng)信模型。實(shí)際上，對(duì)等誠(chéng)信由于具有靈活性、針對(duì)性，并且不需要復(fù)雜的集中管理，可能是未來(lái)各種網(wǎng)絡(luò)加強(qiáng)信任管理的必然選擇，而不僅僅局限于對(duì)等網(wǎng)絡(luò)。(2)數(shù)字版權(quán)保護(hù)網(wǎng)絡(luò)社會(huì)與自然社會(huì)一樣，其自身具有一種自發(fā)地在無(wú)序和有序之間尋找平衡的趨勢(shì)。P2P技術(shù)為網(wǎng)絡(luò)信息共享帶來(lái)了革命性的改進(jìn)，而這種改進(jìn)如果想要持續(xù)長(zhǎng)期地為廣大用戶帶來(lái)好處，必須以不損害內(nèi)容提供商的基本利益為前提，這就要求在不影響現(xiàn)有P2P共享軟件性能的前提下，一定程度上實(shí)現(xiàn)知識(shí)產(chǎn)權(quán)保護(hù)機(jī)制。這種保護(hù)機(jī)制依賴數(shù)字版權(quán)管理，這種管理采用信息安全技術(shù)手段在內(nèi)的系統(tǒng)解決方法，在保護(hù)合法的具有權(quán)限的用戶對(duì)數(shù)字媒體的使用，也保護(hù)數(shù)字媒體創(chuàng)作者和擁有者權(quán)利，促進(jìn)數(shù)字媒體市場(chǎng)化的發(fā)展。(3)P2P網(wǎng)絡(luò)安全與節(jié)點(diǎn)自身安全P2P網(wǎng)絡(luò)屬于分布式網(wǎng)絡(luò)體系結(jié)構(gòu)，可以采用諸如防火墻、VPN等傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，保證P2P網(wǎng)絡(luò)的安全。對(duì)P2P網(wǎng)絡(luò)中各節(jié)點(diǎn)，用戶可以采用個(gè)人防火墻和防毒軟件保護(hù)自身的安全。(4)P2P對(duì)等節(jié)點(diǎn)之間的通信安全P2P對(duì)等節(jié)點(diǎn)之間的通信安全問(wèn)題比較復(fù)雜，主要包括節(jié)點(diǎn)之間的雙向認(rèn)證、節(jié)點(diǎn)之間認(rèn)證后的訪問(wèn)權(quán)限、認(rèn)證的節(jié)點(diǎn)之間建立安全隧道和信息的安全傳輸?shù)葐?wèn)題。目前主要采用安全隧道（網(wǎng)絡(luò)層、傳輸層和應(yīng)用層安全隧道），結(jié)合數(shù)據(jù)加密、身份認(rèn)證、數(shù)字簽名等技術(shù)，解決節(jié)點(diǎn)通信中信息的機(jī)密性、真實(shí)性、完整性等問(wèn)題[9]。三、P2P應(yīng)用中面臨的安全問(wèn)題及目前的安全機(jī)制3.1P2P文件共享應(yīng)用的安全問(wèn)題分析3.1.1安全問(wèn)題P2P文件共享強(qiáng)調(diào)用戶對(duì)整個(gè)系統(tǒng)的貢獻(xiàn)和從系統(tǒng)中獲取共享文件的自由，以自由交換和共享資源為目的。系統(tǒng)主體是一系列平等的用戶，稱為Peer；系統(tǒng)的行為就是Peer的行為，所有的行為都以共享文件為對(duì)象，針對(duì)共享文件進(jìn)行。以下將從Peer用戶安全、Peer行為和共享文件三個(gè)方面對(duì)P2P文件共享應(yīng)用的安全問(wèn)題進(jìn)行分析[10]。(1)Peer的安全問(wèn)題分析Peer的安全問(wèn)題可分為信任問(wèn)題、身份認(rèn)證和授權(quán)問(wèn)題以及匿名問(wèn)題。①信任問(wèn)題P2P系統(tǒng)往往假定成員之間存在著某種信任關(guān)系，實(shí)際上Peer個(gè)體更多的表現(xiàn)是貪婪、自私甚至欺詐的行為。據(jù)統(tǒng)計(jì)，在眾多的P2P文件共享應(yīng)用里，25%的文件是偽造文件。為維護(hù)P2P文件共享系統(tǒng)的可靠性，需要對(duì)各Peer的可信度進(jìn)行量化管理，在多個(gè)Peer可選的情況下，優(yōu)先選擇信任值較高的對(duì)象。②身份認(rèn)證和授權(quán)P2P環(huán)境允許Peer自由加入或退出系統(tǒng)，當(dāng)某個(gè)Peer試圖加入時(shí)，系統(tǒng)很難知道它是否是惡意節(jié)點(diǎn)、是否受攻擊者控制。為維護(hù)系統(tǒng)安全，對(duì)抗假冒身份的攻擊，有必要為系統(tǒng)成員建立身份標(biāo)識(shí)和認(rèn)證機(jī)制，以確保登陸系統(tǒng)的Peer與其聲稱的身份相符合。授權(quán)是對(duì)已認(rèn)證的Peer授予訪問(wèn)、使用某些資源的權(quán)力，通常是緊接著認(rèn)證進(jìn)行的。不同Peer有不同的興趣取向，因此，P2P應(yīng)用通常是將所有成員分組管理并利用組成員資格服務(wù)授權(quán)其可訪問(wèn)的資源。另外，授權(quán)機(jī)制也有助于對(duì)共享文件的合法訪問(wèn)。③匿名問(wèn)題匿名是P2P的目標(biāo)之一，包括保護(hù)Peer的敏感信息、隱藏Peer與其所參與的通信之間的關(guān)系。傳統(tǒng)的匿名保護(hù)往往利用中繼轉(zhuǎn)發(fā)實(shí)現(xiàn)，P2P系統(tǒng)中所有Peer均可參與中繼轉(zhuǎn)發(fā)，因而更有利于將要保護(hù)的Peer隱藏于眾多Peer實(shí)體之中。此外，由于P2P系統(tǒng)信息的傳輸分散于Peer之間進(jìn)行而無(wú)需經(jīng)過(guò)集中的環(huán)節(jié)，Peer的隱私信息泄漏或被竊聽(tīng)的可能性也大大減小。P2P系統(tǒng)中用戶可能經(jīng)常加入或退出系統(tǒng)，每個(gè)Peer需要擁有系統(tǒng)內(nèi)部其他成員的信息，以便在加入系統(tǒng)時(shí)為其他Peer形成匿名路徑，退出時(shí)由系統(tǒng)為該P(yáng)eer原先所在的匿名路徑生成新的路徑。然而，P2P成員的動(dòng)態(tài)性使系統(tǒng)的匿名集經(jīng)常變化，Peer很難獲得可靠的系統(tǒng)成員信息。(2)Peer行為的安全問(wèn)題分析P2P文件共享系統(tǒng)中，Peer的行為主要包括對(duì)共享文件的上傳、請(qǐng)求、下載和通信傳輸。①上傳行為的安全問(wèn)題P2P以端到端的方式實(shí)現(xiàn)文件共享，允許每個(gè)Peer直接訪問(wèn)系統(tǒng)內(nèi)其他成員的硬盤(pán)。其安全隱患是：當(dāng)一個(gè)Peer在向系統(tǒng)開(kāi)放可共享的資源時(shí)，也可能將其他重要的本地信息暴露給其他的Peer。所以在開(kāi)放共享之前，每個(gè)Peer需要確認(rèn)被開(kāi)放的資源，以保護(hù)本地系統(tǒng)信息和非共享資源的安全，以免觸及本地安全，甚至造成非法用戶的遠(yuǎn)程攻擊。②請(qǐng)求行為的安全問(wèn)題P2P網(wǎng)絡(luò)中與Peer請(qǐng)求行為相關(guān)的安全挑戰(zhàn)是DDoS攻擊，攻擊者通過(guò)多級(jí)、多個(gè)傀儡Peer對(duì)目標(biāo)Peer連續(xù)發(fā)出貌似合理但實(shí)際無(wú)法滿足的請(qǐng)求，并通過(guò)傳輸放大，消耗網(wǎng)絡(luò)的計(jì)算資源和帶寬，使局部網(wǎng)絡(luò)的效率下降直至癱瘓。其特點(diǎn)是隱蔽性和放大性。③文件下載的安全問(wèn)題“FreeRider”是當(dāng)前P2P文件共享應(yīng)用中普遍存在的一種Peer行為，即存在P2P用戶希望以極少的付出或零付出來(lái)獲得系統(tǒng)的大量資源或服務(wù)。據(jù)Gnutella官方統(tǒng)計(jì)，僅1%的用戶提供了系統(tǒng)的絕大多數(shù)共享資源，約30%的用戶仍愿意提供資源，但69%的用戶卻只下載不分享，即所謂“FreeRider”?！癋reeRider”的大量存在會(huì)嚴(yán)重降低系統(tǒng)性能，使系統(tǒng)更加脆弱。通常利用激勵(lì)機(jī)制解決該問(wèn)題，還可以對(duì)“FreeRider”通告懲戒。④通信傳輸?shù)陌踩珕?wèn)題保護(hù)通信傳輸?shù)陌踩幢Ｗo(hù)傳輸信息的機(jī)密性和完整性。機(jī)密性是指保護(hù)信息不為非授權(quán)用戶竊取；完整性則是確保信息完整地從源Peer到達(dá)目的Peer，中途沒(méi)有丟失、也沒(méi)有被非法篡改。(3)共享文件的安全問(wèn)題分析共享文件的安全問(wèn)題包括共享文件的傳輸安全和共享文件本身的安全性問(wèn)題。共享文件傳輸?shù)陌踩园ūＷo(hù)共享文件傳輸過(guò)程的機(jī)密性和完整性，共享文件本身的安全性問(wèn)題包括文件本身的安全性和合法性。文件本身的安全性主要是針對(duì)傀儡Peer而言，攻擊者可能在系統(tǒng)內(nèi)注冊(cè)正常的Peer充當(dāng)其傀儡，在傀儡Peer內(nèi)放置病毒文件并冠以偽造的文件名，欺騙其他Peer去下載從而使病毒在系統(tǒng)內(nèi)擴(kuò)散。系統(tǒng)應(yīng)加強(qiáng)防御機(jī)制，及時(shí)發(fā)現(xiàn)傀儡Peer，例如，對(duì)發(fā)起共享的Peer進(jìn)行身份認(rèn)證，由請(qǐng)求文件的Peer對(duì)文件進(jìn)行遠(yuǎn)程的安全掃描。共享文件的合法性強(qiáng)調(diào)部分文件的知識(shí)產(chǎn)權(quán)保護(hù)問(wèn)題，是當(dāng)前影響P2P生存的關(guān)鍵因素之一。保護(hù)共享文件的合法性僅通過(guò)傳統(tǒng)的安全技術(shù)還不夠，需要在加強(qiáng)對(duì)合法文件技術(shù)保護(hù)的同時(shí)從法律倫理的角度提高人們的版權(quán)意識(shí)，并推行作品的“創(chuàng)作共用”制度。3.1.2BT的全名叫“BitTorrent”，其下載的特殊性是下載的人越多，下載速度反而越快。BT協(xié)議是架構(gòu)于TCP/IP協(xié)議之上的一個(gè)P2P文件傳輸協(xié)議，處于TCP/IP結(jié)構(gòu)的應(yīng)用層。安全問(wèn)題是BT下載的最嚴(yán)重問(wèn)題之一，因?yàn)锽T下載時(shí)，同時(shí)要為其他用戶提供下載服務(wù)，別人可以到自己硬盤(pán)中尋找需要的文件塊，這樣就帶來(lái)了許多安全隱患。對(duì)于一些別有用心的人來(lái)說(shuō)，給你安裝一個(gè)什么病毒、木馬之類的破壞性程序是完全可能的。而且你保存在計(jì)算機(jī)中的信息完全可以被別人“看”精光。因?yàn)锽T下載對(duì)用戶基本上沒(méi)有任何身份驗(yàn)證過(guò)程。BT軟件還是屬于后臺(tái)操作，無(wú)論是下載或上傳文件.都存在非法人侵、隱私泄漏等方面的隱患，而且由于開(kāi)放端口還可能導(dǎo)致黑客程序或木馬的侵襲，因此使用BT工具的系統(tǒng)中安裝殺毒軟件和防火墻軟件是必不可少的[11]。BT下載帶來(lái)了新的網(wǎng)絡(luò)安全隱患。BT下載只是提供了用戶文件傳輸?shù)能浖蛥f(xié)議，對(duì)于傳輸?shù)膬?nèi)容，BT無(wú)法控制。利用BT下載來(lái)傳播病毒、間諜軟件或是制造垃圾廣告等行為已經(jīng)出現(xiàn)苗頭，對(duì)BT使用者的電腦帶來(lái)安全隱患。某些間諜及廣告軟件隱藏在BT文件之中，占用用戶大量的系統(tǒng)資源，導(dǎo)致電腦頻頻死機(jī)。間諜軟件會(huì)把用戶的隱私數(shù)據(jù)和重要信息通過(guò)“后門(mén)程序”泄露給商業(yè)網(wǎng)站或是黑客機(jī)構(gòu)，造成用戶的電腦很容易受到攻擊。另外，BT下載也為黃色淫穢資源的傳播提供了更加便捷的途徑，這在一定程度上也影響了BT的形象。3.1.3應(yīng)用實(shí)例Maze天網(wǎng)Maze是北大網(wǎng)絡(luò)實(shí)驗(yàn)室開(kāi)發(fā)的一款PIC(PersonalInformationCenter個(gè)人信息中心)文件系統(tǒng)，它依托于北大互聯(lián)網(wǎng)實(shí)驗(yàn)室的技術(shù)構(gòu)建[12]。Maze提供一種混合P2P文件共享的方法，Maze的特點(diǎn)有：排隊(duì)策略、無(wú)限制目錄瀏覽、目錄下載、多站并行下載、斷點(diǎn)續(xù)傳、流速限制、積分激勵(lì)、點(diǎn)對(duì)點(diǎn)聊天、存儲(chǔ)分類目錄、存儲(chǔ)IT資源、域名訪問(wèn)、天網(wǎng)文件搜索技術(shù)、局域網(wǎng)內(nèi)共享文件、Windows及Linux多平臺(tái)實(shí)現(xiàn)、內(nèi)容檢查、本機(jī)圖標(biāo)視圖。網(wǎng)絡(luò)資料顯示，2006年發(fā)現(xiàn)Maze存在一些漏洞：1、盜取Maze賬戶，可以直接從Maze的資源中下載對(duì)方的配置文件，再進(jìn)行簡(jiǎn)單的修改就可以用對(duì)方的賬號(hào)登錄使用了；2、竊取QQ聊天記錄；3、解密BASE64碼，這些都使用戶的隱私外泄。2007年發(fā)現(xiàn)超長(zhǎng)格式串棧溢出漏洞。相應(yīng)的，Maze隨后也做了相應(yīng)的修改，如：增加敏感文件顯示過(guò)濾；增加用戶共享非法文件提示；增加動(dòng)態(tài)選擇最低延遲心跳服務(wù)器；增加用戶friend，多點(diǎn)下載，ping日志(動(dòng)態(tài)可配置)；修正了斷點(diǎn)續(xù)傳功能；增加了瀏覽鄰居站點(diǎn)文件夾時(shí)過(guò)濾違規(guī)文件的功能；增加了屏蔽敏感文件下載的功能；增加了定時(shí)清空cache文件夾的功能。3.2P2P流媒體應(yīng)用的安全問(wèn)題分析3.2.1安全問(wèn)題流媒體（StreamingMedia）是指視頻、聲音和數(shù)據(jù)通過(guò)實(shí)時(shí)傳輸協(xié)議以連續(xù)流方式順序的從源端向目的端傳輸，目的端只需接收到一定數(shù)據(jù)緩存后就可以立即播放的多媒體應(yīng)用。在采用流式傳輸?shù)南到y(tǒng)中，用戶不必等到整個(gè)文件全部下載完畢，而只須經(jīng)過(guò)幾秒或數(shù)十秒的啟動(dòng)延時(shí)即可進(jìn)行觀看。當(dāng)聲音等媒體在客戶機(jī)上播放時(shí)，文件的剩余部分將在后臺(tái)從服務(wù)器內(nèi)繼續(xù)下載。與傳統(tǒng)的“先下載、再播放”機(jī)制相比，流媒體技術(shù)不僅使啟動(dòng)延時(shí)成十倍、百倍地縮短，而且不需要很大的緩存容量。對(duì)于P2P流媒體系統(tǒng)的安全性，應(yīng)保證頻道內(nèi)容不被非法入侵者破壞和盜用，對(duì)欺詐行為有檢查和處理手段，保證管理系統(tǒng)的安全性和分發(fā)系統(tǒng)的安全性，并應(yīng)具有基本的防病毒能力，具有安全報(bào)警能力等。對(duì)于P2P流媒體所采用的安全機(jī)制主要包括：URL加密，實(shí)現(xiàn)后臺(tái)服務(wù)器隱藏，并實(shí)現(xiàn)防盜鏈技術(shù)；采用MD5加密算法傳輸Hash代碼、無(wú)重復(fù)的用戶唯一標(biāo)識(shí)、多位一體認(rèn)證信息等，采用不損傷硬盤(pán)，保護(hù)用戶機(jī)器的安全性；要有效防止非法用戶訪問(wèn)，由于用戶除了能通過(guò)流媒體發(fā)布端訪問(wèn)媒體資源之外，還可以通過(guò)相鄰的用戶節(jié)點(diǎn)來(lái)使用媒體資源，這就為非法登陸的用戶訪問(wèn)媒體資源提供了便利，通過(guò)客戶端軟件相關(guān)接口的二次功能開(kāi)發(fā)可以達(dá)到對(duì)非法用戶操作控制的目的。3.2.2應(yīng)用實(shí)例PPLivePPLive就是一款用于互聯(lián)網(wǎng)上大規(guī)模視頻直播的共享軟件，該軟件采用多點(diǎn)下載，網(wǎng)狀模型的P2P技術(shù)，有效解決了當(dāng)前網(wǎng)絡(luò)視頻點(diǎn)播服務(wù)的帶寬和負(fù)載有限問(wèn)題，實(shí)現(xiàn)用戶越多，播放越流暢的特性，整體服務(wù)質(zhì)量大大提高[13]。經(jīng)過(guò)對(duì)PPLive在傳輸中抓包的觀察，對(duì)等節(jié)點(diǎn)的地址通過(guò)UDP協(xié)議時(shí)使用明文傳輸，傳輸中的UDP的數(shù)據(jù)報(bào)文有明顯的特征值，UDP報(bào)文和TCP報(bào)文都有固定的控制報(bào)文特征值，以上一些信息都給攻擊者留下了可乘之機(jī)。目前對(duì)于PPLIVE等此類的流媒體應(yīng)用主要是考慮在傳輸中進(jìn)行加密，以及數(shù)字版權(quán)管理（DRM），通過(guò)DRM技術(shù)，內(nèi)容提供商可以方便地對(duì)各種音樂(lè)、圖像等媒體文件進(jìn)行加密保護(hù)，使受保護(hù)的多媒體文件不會(huì)被用戶非法拷貝和復(fù)制。3.3P2P即時(shí)通信應(yīng)用的安全問(wèn)題分析3.3.1即時(shí)通信IM(Instantmessage)所面臨的安全問(wèn)題主要可以分為三類：系統(tǒng)使用性安全、用戶使用性安全、消息秘密性安全。(1)系統(tǒng)使用性安全系統(tǒng)安全是任何一個(gè)軟件所要考慮的問(wèn)題。隨著即時(shí)通訊軟件用戶群的增大，出現(xiàn)了越來(lái)越多的病毒和黑客攻擊，這給即時(shí)通訊軟件的安全敲響了警鐘。造成病毒和黑客能夠如此順利地進(jìn)行攻擊的主要原因有：①防火墻功能丟失。即時(shí)通訊軟件都使用了P2P(PeertoPeer)技術(shù)。這個(gè)技術(shù)能夠穿透防火墻，直接建立傳輸隧道，從而給病毒以可乘之機(jī)，直接把已感染的病毒文件或駐留的木馬文件下載到本地桌面用戶。②腳本功能溢出。即時(shí)通訊軟件為方便用戶使用，基本上都引入腳本功能，自動(dòng)處理消息接收、回復(fù)等，這些腳本一旦被惡意修改，就可能自動(dòng)發(fā)送含有蠕蟲(chóng)病毒的文件，自動(dòng)執(zhí)行黑客程序等。③系統(tǒng)調(diào)用的漏洞。即時(shí)消息軟件都具有運(yùn)行者權(quán)限，可以調(diào)用一些可執(zhí)行程序。例如，為了減小體積，而不缺乏內(nèi)容豐富性，基本上都內(nèi)嵌IE瀏覽器，在解析超鏈接時(shí)能自動(dòng)打開(kāi)，如果沒(méi)有安裝強(qiáng)大的殺毒軟件和防火墻，打開(kāi)一個(gè)有病毒的網(wǎng)頁(yè)是十分危險(xiǎn)的。(2)用戶使用性安全用戶使用性安全體現(xiàn)在密碼保護(hù)和認(rèn)證機(jī)制上，眾所周知，即時(shí)通訊軟件一般需要用戶輸入賬號(hào)和密碼，驗(yàn)證成功后方可使用其服務(wù)。這種簡(jiǎn)單的認(rèn)證機(jī)制給了黑客和攻擊者可趁之機(jī)，由此產(chǎn)生的“盜號(hào)”問(wèn)題一直困擾眾多使用者。(3)消息秘密性安全現(xiàn)代人廣泛使用網(wǎng)絡(luò)通訊作為社會(huì)生活通信和情感交流的渠道，網(wǎng)絡(luò)聊天作為其中一種手段，不乏含有大量的信息隱私性質(zhì)。但是由于協(xié)議的不足和軟件本身漏洞，往往不能保證消息的秘密傳遞和保存。3.3.2騰訊QQ是國(guó)內(nèi)最早和最完善的即時(shí)通訊軟件，并在不斷加強(qiáng)其內(nèi)在的娛樂(lè)性，集合了圖文消息發(fā)送接收，網(wǎng)絡(luò)硬盤(pán)，在線音樂(lè)中心，手機(jī)彩信等功能，吸引了越來(lái)越多的使用者。擁有如此大的用戶群，其安全性問(wèn)題也是大家十分關(guān)注的，各種針對(duì)QQ的病毒、木馬層出不窮。不但騰訊公司積極推出新版本來(lái)修補(bǔ)漏洞，而且包括瑞星等也不斷推出QQ病毒的查殺工具。另一方面，針對(duì)QQ協(xié)議的研究也在isQ，anyQ，linQ，LumaQQ等開(kāi)展出來(lái)，開(kāi)發(fā)了跨平臺(tái)的各種版本，從另一個(gè)方面增大了QQ的兼容性。QQ使用的基本通訊協(xié)議為UDP，由于減少了TCP建立連接的時(shí)間，使得QQ的登錄和響應(yīng)速度都高于MSN。在驗(yàn)證用戶機(jī)制上，QQ也做了一定的改進(jìn)。在登錄請(qǐng)求時(shí)，使用QQ密碼的二次MD5散列對(duì)空字符串加密發(fā)送給服務(wù)器，服務(wù)器證實(shí)后發(fā)送由QQ密碼的MDS加密的隨機(jī)臨時(shí)通訊密鑰作為以后通訊使用。這種驗(yàn)證方式使得在驗(yàn)證和使用中都沒(méi)有暴露用戶的密碼，大大地增強(qiáng)了QQ的使用安全性。對(duì)于消息的秘密性，從協(xié)議本身來(lái)說(shuō)，由于每次通訊都用了臨時(shí)的通訊密鑰進(jìn)行加密，監(jiān)聽(tīng)者難以獲得消息內(nèi)容。然而QQ推出以來(lái)就設(shè)置自動(dòng)在本機(jī)記錄用戶的所有聊天記錄，雖然其聊天記錄管理做得相當(dāng)美觀和實(shí)用，但是針對(duì)各個(gè)版本的QQ軟件，幾乎都推出了QQ聊天記錄查看工具和技巧，使用這些工具不需密碼就能對(duì)QQ聊天記錄進(jìn)行查看和修改，因而這對(duì)公共場(chǎng)合或多人混用機(jī)器十分不安全。幸而QQ還推出了刪除號(hào)碼和聊天信息的機(jī)制防止此類事件的發(fā)生，但是這種防范手段還是偏弱[14]。3.4P2P匿名通信的安全問(wèn)題分析匿名是指隱匿網(wǎng)絡(luò)實(shí)體(包括通信連接)，也就是隱匿發(fā)送者和接收者地址，使其具有不確定性，使攻擊者(attacker)無(wú)法得到是誰(shuí)同誰(shuí)在通信，無(wú)法控制或破壞通信過(guò)程。一個(gè)行為所對(duì)應(yīng)的實(shí)體是匿名的，是指對(duì)應(yīng)該行為的實(shí)體在特定的、具有一定相同特性的實(shí)體集中的不確定性[15]。3.4.1安全問(wèn)題對(duì)匿名通信可以從以下幾個(gè)方面進(jìn)行攻擊。(1)消息標(biāo)簽攻擊(MessageVolume)，每個(gè)數(shù)據(jù)包都包含有反映該數(shù)據(jù)包長(zhǎng)度的信息，攻擊者通過(guò)跟蹤有固定長(zhǎng)度的數(shù)據(jù)包，就能獲知客戶機(jī)/服務(wù)器對(duì)之間的聯(lián)系。(2)消息編碼攻擊(MessageCoding)，在信息發(fā)送的過(guò)程中信息編碼方式?jīng)]有改變，攻擊者可以進(jìn)行模式匹配對(duì)數(shù)據(jù)進(jìn)行跟蹤，從而得知起始地址和目標(biāo)地址。(3)合伙攻擊(Collusion)，利用系統(tǒng)漏洞的一種攻擊，一些被攻克的節(jié)點(diǎn)聯(lián)合起來(lái)獲得通信雙方的信息，打破匿名連接。(4)泛洪攻擊(Flooding)，由于匿名服務(wù)都限定于某個(gè)特定的群，攻擊者使系統(tǒng)溢出從而從群中分離出某些信息。(5)時(shí)間測(cè)量攻擊(Timing)，攻擊者通過(guò)觀察固定的起始點(diǎn)到目的節(jié)點(diǎn)的連接，能夠建立一個(gè)時(shí)間上的相關(guān)關(guān)系，就可以發(fā)現(xiàn)此連接上有沒(méi)有數(shù)據(jù)通信。(6)側(cè)面攻擊(Profiling)，通信量分析攻擊，通過(guò)長(zhǎng)時(shí)間的觀察連接時(shí)間和消息量，流量分析和竊聽(tīng)就屬于這種攻擊。針對(duì)以上的攻擊，目前有一些相應(yīng)的安全措施，比如對(duì)于消息標(biāo)簽攻擊，采用相同長(zhǎng)度的數(shù)據(jù)包就解決了；消息編碼攻擊，通過(guò)重復(fù)加密容易解決；在混淆網(wǎng)絡(luò)中，如果所有參與端到端的匿名網(wǎng)絡(luò)實(shí)體沒(méi)有全部參與串通，那么這種匿名通信就不會(huì)打破，就可以解決合伙攻擊；要是混淆網(wǎng)絡(luò)中所有用戶都以等概率重路由轉(zhuǎn)發(fā)，則不會(huì)有用戶能阻塞別的用戶，泛洪式攻擊就可以避免；但是要阻止流量分析，比如時(shí)間測(cè)量攻擊和側(cè)面攻擊，其主要問(wèn)題是延遲，因此混淆適合于對(duì)延遲不太敏感的應(yīng)用，在猜測(cè)端點(diǎn)與消息之間的關(guān)系似乎難以避免的情況下，可以用填充虛假的消息來(lái)欺騙攻擊者，即在發(fā)送方和接受方的連接期間不斷發(fā)送消息，其中只有少量消息是有用的，給攻擊者造成錯(cuò)覺(jué)，使他們難以找到端到端的關(guān)系[16]。3.4.2應(yīng)用實(shí)例TorTor的全稱是“ThesecondOnionRouter”，是第二代onionrouting(洋蔥路由)的一種實(shí)現(xiàn)，用戶通過(guò)Tor可以在因特網(wǎng)上進(jìn)行匿名交流。Tor是針對(duì)現(xiàn)階段大量存在的流量過(guò)濾、嗅探分析等工具，在JAP之類軟件基礎(chǔ)上改進(jìn)的，支持Socks5，并且支持動(dòng)態(tài)代理鏈(通過(guò)Tor訪問(wèn)一個(gè)地址時(shí)，所經(jīng)過(guò)的節(jié)點(diǎn)在Tor節(jié)點(diǎn)群中隨機(jī)挑選，動(dòng)態(tài)變化，由于兼顧速度與安全性)，因此難于追蹤，有效地保證了安全性。Tor系統(tǒng)是一種基于TCP連接的匿名通信方案。它可以用于網(wǎng)頁(yè)瀏覽，安全殼和即時(shí)消息通信。用戶在通信前，首先要建立一條通過(guò)匿名網(wǎng)絡(luò)的虛電路，虛電路中的轉(zhuǎn)發(fā)節(jié)點(diǎn)僅知道自己的直接前驅(qū)和直接后繼，但是不知道路徑中的其它節(jié)點(diǎn)，而外部觀測(cè)者所看到的IP數(shù)據(jù)包中的地址并不是通信發(fā)起者和接收者的地址，由此通信的發(fā)起者和接收者被匿名。虛電路中數(shù)據(jù)流以固定大小的數(shù)據(jù)包傳輸，數(shù)據(jù)包是用各個(gè)轉(zhuǎn)發(fā)節(jié)點(diǎn)的對(duì)稱密鑰加密的，其數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程與第一代洋蔥路由方案基本一致。雖然Tor低延遲的特性非常適合交互式的網(wǎng)絡(luò)應(yīng)用，如網(wǎng)頁(yè)瀏覽，但是對(duì)于全局攻擊者來(lái)說(shuō)，Tor系統(tǒng)并不是一個(gè)安全的匿名系統(tǒng)