[发明专利]一种在P2P网络中防止攻击的方法、网络节点及系统

说明书

技术领域

本发明涉及P2P技术领域，尤其涉及一种在P2P网络中防止攻击的方法、 网络节点及系统。

背景技术

对等网络(Peer to Peer，P2P)是一种分布式网络，网络的参与者(Peer)共 享他们所拥有的一部分硬件资源(处理能力、存储能力、网络连接能力、打印 机等)，这些共享资源需要由网络提供服务和内容，能被其他对等节点(Peer) 直接访问而无需经过中间实体。在此网络中的参与者既是资源(服务和内容) 的提供者(Server)，又是资源(服务和内容)的获取者(Client)。P2P打破了 传统的客户端/服务器(Client/Server，C/S)模式，网络中的每个节点的地位 都是对等的。每个节点既充当服务器，为其他节点提供服务，同时也接受其他 节点提供的服务。

P2P技术充分利用系统中的各个节点的能力，互相提供服务。使用P2P技术将 大大提高这些节点的利用率，从而进一步提升网络、设备和信息服务的效率。 P2P网络进一步包括结构化、非结构化和松散结构化几种类型。

结构化P2P网络的特点在于资源的发布和网络拓扑紧密相关，资源按照P2P 拓扑中的逻辑地址精确的分布在网络中。在这类网络中的每个节点都具有虚拟 的逻辑地址，并根据地址使所有节点构成一个相对稳定而紧密的拓扑结构。结 构化P2P中，对资源进行Hash(哈希算法)后生成的值为key，生成的key和其对 应的资源记为key/value对。资源根据该key和P2P节点的映射关系分布在结构化 P2P网络中，可以通过该key在该P2P网络中找到该资源。也就是说在P2P网络中 每个Peer都需要负责存储一段key值范围，这段key值范围是根据分布式哈希算法 (Distributed Hash Table，DHT)算出来的。不同的DHT算法计算出来的这段 key值范围也不一样。以chord算法为例：在chord算法中，假设Peer a和Peer b是 邻居，且Peer a的ID小于Peer b的ID，则Peer a负责的key值范围就是从Peer a ID 到Peer b ID这段数值范围的key值。

P2P的一个重要功能是消息的路由，在结构化P2P系统中消息要能够根据key 按照一定的算法，经过若干个peer(节点)路由到目的地。

然而，在P2P网络中，由于Peer是任意一个用户，这些用户中也就可能会出现 一些恶意的用户，故意破坏这些算法规则，导致其它用户的请求不能成功。或 者通过这些特殊的手段达到欺骗其它用户的目的。身份攻击(Identity Attack) 就是其中的一种攻击，这种攻击的原理是：当恶意节点接收到一个用户的请求 后，明知自己不是负责所请求的key/value对的根节点(root node。按照DHT算法 规则负责某个key/value对的节点)，但是恶意节点不再继续按照DHT算法规则 继续路由到真正的root node，而是慌称自己就是root node，并给发起请求的用户 返回自己想返回的任意响应，这样可以进一步实施“钓鱼攻击”。因为在P2P网络 中发起请求的用户并不能知道key的root node在是哪个确定的节点，这样就可能 被攻击者实施攻击。

现有技术中提供了一种发现身份攻击的方法，在overlay中每个节点都选择 几个协作节点(其个数可根据网络规模具体确定)，协作节点可以是网络中的 某些特定的节点，也可以是按照某种规则选择的节点，如，从NodeID中选择出 其中的n位做Hash得到。一般一个协作节点会负责为多个节点保存证据。节点每 次上线后，产生一个自己在线的证据发送给这些协作节点，并且和这些协作节 点保持保活(keep-alive)关系。当一个节点发起一个请求得到响应后，发起请 求的节点根据自己的路由表中节点的分布情况估算root node的NodeId的空间，然 后根据这个空间计算出这个空间内节点的协作节点，再发送一个获取证据的请 求给协作节点，如果协作节点发现有一个更接近key值的节点存在，则将这个证 据返回给发起请求的节点。这样做的前提是：所有的报文要被签名，所有的报 文都具有时间戳。发起请求的节点将获得的响应报文以及协作节点发来的证据 做比较，如果证据证明有比响应节点更接近的节点应该是root node，则认为这个 响应节点是个恶意节点，如果返回的证据证明没有比这个节点更接近的节点负 责这个key值，则认为这次请求响应的消息是有效的。