[发明专利]对等网络安全防御方法及系统

说明书

技术领域

本发明涉及安全领域，更具体地，涉及一种对等(Peer-to-Peer，简称为P2P)网络安全防御方法及系统。

背景技术

在传统网络中，节点的安全主要是通过安全域、边界防护及等级保护这些传统的安全技术来防护的。

例如，在传统的IP网络中的防火墙和NGN(Next Generation Network，下一代网络)或VoIP(Voice over Internet Protocol，IP电话)网络中的会话边界控制。但是在P2P网络中，由于覆盖层(Overlay层)与底层(Underlay)的安全机制完全脱离，Overlay层无法感知节点在底层上的安全防护强度，安全域、边界防护及等级保护这些传统安全机制在P2P网络中不再适用。

P2P网络的安全问题已经受到越来越多的重视，但目前对于P2P Overlay网络安全问题的研究大多局限于Overlay层本身，即主要研究由于Overlay自身的行为特点所造成的多种安全威胁及防御措施，如信任机制、接入控制、流量控制等安全机制。

(1)信任机制：对每个P2P节点评定信誉度，在多个节点可选的情况下，信誉度高的节点成为首选。信任机制的实施可能采用本地推荐方式、PKI(Public Key Infrastructure，公用密钥基础结构)方式、名誉方式和基于角色方式来实现。

(2)接入控制：根据用户已经通过的认证身份或者用户信息来确定用户的接入访问权限。如果用户试图访问非授权资源或者使用不正确的方式访问已授权资源，接入控制拒绝这种尝试并且报告该事件。控制功能可能基于如下因素：接入控制信息库(存储节点实体的接入权限)、认证信息(该认证信息包括授予权限)、能力(P2P节点拥有或者表现的接入能力)、安全标签(根据安全策略授予用户的标签)、接入尝试次数、接入尝试路由、接入时长和尝试接入的物理位置。

(3)流量控制：确保P2P网络在传送数据和消息时不发生拥塞现象，主要针对中间节点资源受限而设置的。

由于Overlay网络架设在Underlay网络之上，组成Overlay网络的节点会受操作系统、网络协议等基础设施条件影响，因此，若Underlay层的安全防护措施较弱，则攻击者会从底层攻陷节点，从而进一步发起对Overlay层的攻击。

综上所述，现有P2P网络的安全防御机制存在如下技术问题：现有安全机制大都针对Overlay层上的安全，但是一个在Overlay层上可信的节点，在Underlay层可能安全性能很弱，如一个节点可能连基本的防病毒等都没有装，这些在底层存在安全缺陷的节点通过Overlay路径的传播将破坏Overlay层的整体安全。因此，节点在Underlay层安全机制的强弱将直接影响到Overlay网络的安全态势。

发明内容

本发明解决的技术问题是提供一种对等网络安全防御方法及系统，建立P2P网络的Overlay层与Underlay层融合的安全防御措施。

为解决上述技术问题，本发明提供了一种对等网络安全防御方法，包括：

对等网络(P2P Network)检测节点的底层(Underlay层)安全性能，根据检测结果对所述节点进行安全等级评估；

所述P2P网络根据所述节点的安全等级，按照覆盖层(Overlay层)安全策略决策是否允许所述节点加入Overlay层；

其中，所述节点的安全等级信息存储在对等网络节点安全等级证书中。

进一步地，所述P2P网络检测节点的Underlay层安全性能，包括：

所述P2P网络对申请加入Overlay层的节点的Underlay层安全性能进行检测；和/或

所述P2P网络定期对Overlay层中现有节点的Underlay层安全性能进行检测。

进一步地，所述Overlay层安全策略包括：

设置节点安全等级列表，允许所述节点安全等级列表中列出的安全等级的节点加入Overlay层；

或者，设置Overlay层安全等级阈值，允许高于所述Overlay层安全等级阈值的安全等级的节点加入Overlay层。

进一步地，所述检测结果，是指：所述P2P网络对所述节点的Underlay层安全要素进行检测后，形成的节点检测报告；