论文p2p网络的安全问题分析

P2P网络的安全问题分析摘要本文介绍了P2P的基本概念以及特点，P2P网络通过直接交换方式在大量分散的计算机之间实现资源及服务共享，其具有分布式结构以及能够充分利用网络资源的特性，使得它在文件共享，流媒体，即时通信，匿名通信等应用中发挥了巨大作用。分析了在P2P网络及其应用中的一些安全问题，并针对不同的情况提出了相应的解决方案。关键词P2P，安全性，文件共享，流媒体，即时通信，匿名通信一、P2P概述P2P即Peer-to-Peer，称为对等计算或对等网络。P2P技术主要指由硬件形成连接后的信息控制技术，其主要代表形式是基于网络协议的客户端软件。P2P起源于最初的互联网通信方式，如通过局域网互联同一建筑物内的PC。因此从基础技术角度看，P2P不是新技术，而是新的应用技术模式[1]。学术界、工业界对于P2P没有一个统一的定义，Intel将P2P定义为“通过系统间的直接交换所达成的计算机资源与信息的共享”，这些资源与服务包括信息交换、处理器时钟、缓存和磁盘空间等。而IBM将P2P定义如下，P2P系统由若干互联协作的计算机构成，且至少具有如下特征之一：系统依存于边缘化(非中央式服务器)设备的主动协作，每个成员直接从其他成员而不是从服务器的参与中受益；系统中成员同时扮演服务器与客户端的角色；系统应用的用户能够意识到彼此的存在，构成一个虚拟或实际的群体[2]。虽然各种定义略有不同，但共同点都是P2P打破了传统的C/S模式[3]：(1)网络中的不同节点之间无需经过中继设备直接交换数据或服务，每个节点的地位都是对等的，拥有对等的权利和义务，既充当服务器，为其他节点提供服务，同时也享用其他节点提供的服务。(2)网络服务从“中心化”转向“边缘化”，减少了对传统C/S结构服务器计算能力、存储能力的要求，同时因为资源分布在多个节点，更好地实现了整个网络的负载均衡。(3)P2P技术可以使非互联网络用户很容易加入到系统中，理论上其可扩展性几乎可以认为是无限的。(4)P2P技术使所有参与者都可以提供中继转发的功能，因而大大提高了匿名通信的灵活性和可靠性，能够为用户提供更好的隐私保护。(5)P2P是基于内容的寻址方式，内容包括信息、空闲机时、存储空间等，用户直接索取信息的内容而不是地址。P2P技术的优点体现在以下几个方面[4]：(1)非中心化：网络中的资源和服务分散在所有结点上，信息的传输和服务的实现都直接在结点之间进行，可以无需中间环节和服务器的介入，避免了可能的瓶颈。P2P的非中心化基本特点，带来了其在可扩展性、健壮性等方面的优势。(2)可扩展性：在P2P网络中，随着用户的加入，不仅服务的需求增加了，系统整体的资源和服务能力也在同步地扩充，始终能比较容易地满足用户的需要，理论上其可扩展性几乎可以认为是无限的。例如：在传统的通过FTP的文件下载方式中，当下载用户增加后，下载速度会变得越来越慢，然而P2P网络正好相反，加入的用户越多，P2P网络中提供的资源就越多，下载的速度反而越快。(3)健壮性：P2P架构天生具有耐攻击、高容错的优点。由于服务是分散在各个结点之间进行的，部分结点或网络遭到破坏对其它部分的影响很小。P2P网络一般在部分结点失效时能够自动调整整体拓扑，保持其它结点的连通性。P2P网络通常都是以自组织的方式建立起来的，并允许结点自由地加入和离开。(4)高性价比：性能优势是P2P被广泛关注的一个重要原因。随着硬件技术的发展，个人计算机的计算和存储能力以及网络带宽等性能依照摩尔定理高速增长。采用P2P架构可以有效地利用互联网中散布的大量普通结点，将计算任务或存储资料分布到所有结点上。利用其中闲置的计算能力或存储空间，达到高性能计算和海量存储的目的。目前，P2P在这方面的应用多在学术研究方面，一旦技术成熟，能够在工业领域推广，则可以为许多企业节省购买大型服务器的成本。(5)隐私保护：在P2P网络中，由于信息的传输分散在各节点之间进行而无需经过某个集中环节，用户的隐私信息被窃听和泄漏的可能性大大缩小。此外，目前解决Internet隐私问题主要采用中继转发的技术方法，从而将通信的参与者隐藏在众多的网络实体之中。在传统的一些匿名通信系统中，实现这一机制依赖于某些中继服务器节点。而在P2P中，所有参与者都可以提供中继转发的功能，因而大大提高了匿名通讯的灵活性和可靠性，能够为用户提供更好的隐私保护。(6)负载均衡：P2P网络环境下由于每个节点既是服务器又是客户机，减少了对传统C/S结构服务器计算能力、存储能力的要求，同时因为资源分布在多个节点，更好的实现了整个网络的负载均衡。二、P2P网络面临的安全威胁及目前的安全机制安全问题是一直伴随着互联网发展的重要课题，在P2P网络中更是如此[5]。由于各对等点可以随时地加入和退出网络，因此给网络带来极大的随机性和不确定性，造成网络带宽和信息的不稳定性，病毒也可以在共享的对等网络空间中自由复制和感染文档。另外，网络和节点的负载平衡也是应考虑的问题，洪水般的恶意请求引发的拒绝服务攻击可能导致系统的崩溃，这些都是在P2P网络中系统安全面临着巨大的挑战[6]。2.1安全威胁2.1在P2P网络中，每个节点都是通过和其他节点进行交互来构造自己的路由表，故而攻击者可以通过向其他节点发送不正确的路由信息来破坏其他节点的路由表，这将会导致其他节点将查询请求转发到不正确或不存在的节点上。在这种情况下，即使是进行重传，查找消息也还是一样会被发送到不正确的节点上。由于在这种攻击中，攻击者是按照正常的方式和系统其他节点交互，因而在表现上和普通节点是相同的，也就不可能把它从路由表中删除。2.1.攻击者对于查找协议正确执行，但对于自身节点上保存的数据拒绝提供，使得其他节点无法得到数据。这种情况的出现，会导致P2P网络中的搭车者(Freerider)增多，破坏系统网络建立起来的信任机制以及已有的激励机制。这种自私的行为最后会极大的损害网络的整体利益。2.1.攻击者对网络中距离比较远的节点进行攻击，而对自己邻近的节点却表现出一切正常的假象。远方节点能发现这是一个攻击者，但邻近节点却认为这是一个正常的节点。2.1.这是一种DoS（拒绝服务类型）类型的攻击，攻击者可以向某些特定目标节点发送大量的垃圾分组消息，从而耗尽目标节点的处理能力。在一段时间后，系统会认为目标节点已经失效退出，从而将目标节点从系统中删除。另外还可以利用DHT（分布式哈希表）的不完善性，通过构造恶意输入，使哈希表出现“最坏情况”的时间复杂度，从而使系统性能退化，达到拒绝服务攻击的目的。2.1.P2P网络是一个动态变化的网络，影响网络稳定的因素非常多。当出现多个节点同时并发加入系统时，或者当时间足够长、错误不断累加到一定程度时，都有可能使网络不稳定，如果没有很好的容错性方案，攻击者就可以利用这些漏洞来发动攻击。比如通过控制大量节点不断的加入和退出来扰乱系统，引起大量不必要的数据传输，从而破坏P2P网络的稳定性等。2.1.现在的P2P系统大多采用bootstrap机制，新节点的初始路由信息是在加入系统时和系统中现有节点进行通信而获得的。如果一组攻击者节点（其中某些节点可以是现实网络中的真实节点）已经构成了一个虚假网络，使用和真实网络相同的协议，这时若有新节点把这个虚假网络中的某个节点作为初始化节点，那么将会落入到这个虚假网络中去，与真实网络分隔开来。2.1.7由于P2P网络节点既可以位于公网，也可以处在内部局域网。P2P软件经过特殊设计，能够突破防火墙使内外网用户建立连接，这就像是在防火墙上开放了一个秘密通道，使得内网直接暴露在不安全的外部网络环境下，攻击者就有可能利用它来绕过防火墙，达到攻击内网用户的目的。2.1.8P2P带来的新型网络病毒传播问题P2P网络提供了方便的共享和快速的选路机制，为某些网络病毒提供了更好的入侵机会。而且由于参与P2P网络的节点数量非常大，因此通过P2P系统传播的病毒，波及范围大，覆盖面广，从而造成的损失会很大。在P2P网络中，每个节点防御病毒的能力是不同的。只要有一个节点感染病毒，就可以通过内部共享和通信机制将病毒扩散到附近的邻居节点。在短时间内可以造成网络拥塞甚至瘫痪，甚至通过网络病毒可以完全控制整个网络。2.2一些针对性解决方案为了防止路由攻击，首先，关键字只能分配给已经认证了的可靠节点，让其他节点可以识别路由的更新消息的真伪，例如采用公钥机制认证的节点。其次，在节点转发时，检测查找是否向着更接近目标节点的方向进行。如果不是，就可以断定路由存在错误，应停止查找，返回到上一个正确节点从新进行发送。为了能够进行这种检测，需要每个节点具有跟踪查询的能力，同时路由的每一步都必须对查询者是可见的。存取攻击可以采用在系统存储层实现数据复制来解决。但在数据复制过程必须保证不能出现单个节点控制全部复制数据的情况。对于行为不一致攻击，我们可以采取远方节点给攻击者的邻居节点发送一个消息，告诉它攻击者的信息，不过该方法需要公钥和数字签名机制的支持。应对网络病毒可采用现有的防毒体系，针对个人节点和超级节点建立防护。这也对P2P系统安全性和健壮性提出了更高的要求，需要建立一套完整、高效、安全的防毒体系。至于目标节点过载攻击，目前还没有一个较好的解决办法，但可以通过数据复制在一定程度上减轻这种攻击对整个系统的危害程度[7]。对于系统攻击，为了保证系统的稳定性，P2P系统必须具有较好的容错机制，就算某些节点失效，仍可以保证路由查找高效进行。除此之外，系统还必须具有一些维护机制，通过对系统进行实时维护来保证所构建的虚拟网络的全局连通性以及查找算法的高效性。基于安全性令牌的安全模型来应对分隔攻击。在该模型中，令牌包含一组由签发者用密码的方式签署的相关声明。请求节点可以通过安全性令牌服务节点来获得声明，中间节点也可以通过获得认证来向目标节点转发消息。如果进来的消息没有必需的声明，则系统可以忽略或拒绝改消息，从而解决该问题。2.3P2P安全通信技术P2P安全通信主要涉及P2P内容安全、P2P网络安全、P2P自身节点安全和P2P中对等节点之间的通信安全。目前采用的技术主要有[8]：(1)对等诚信P2P网络技术能否发挥更大的作用，取决于它能否在网络节点之间建立信任关系。考虑到集中式的节点信任管理既复杂又不一定可靠，P2P网络中应该考虑对等诚信模型。实际上，对等诚信由于具有灵活性、针对性，并且不需要复杂的集中管理，可能是未来各种网络加强信任管理的必然选择，而不仅仅局限于对等网络。(2)数字版权保护网络社会与自然社会一样，其自身具有一种自发地在无序和有序之间寻找平衡的趋势。P2P技术为网络信息共享带来了革命性的改进，而这种改进如果想要持续长期地为广大用户带来好处，必须以不损害内容提供商的基本利益为前提，这就要求在不影响现有P2P共享软件性能的前提下，一定程度上实现知识产权保护机制。这种保护机制依赖数字版权管理，这种管理采用信息安全技术手段在内的系统解决方法，在保护合法的具有权限的用户对数字媒体的使用，也保护数字媒体创作者和拥有者权利，促进数字媒体市场化的发展。(3)P2P网络安全与节点自身安全P2P网络属于分布式网络体系结构，可以采用诸如防火墙、VPN等传统的网络安全技术，保证P2P网络的安全。对P2P网络中各节点，用户可以采用个人防火墙和防毒软件保护自身的安全。(4)P2P对等节点之间的通信安全P2P对等节点之间的通信安全问题比较复杂，主要包括节点之间的双向认证、节点之间认证后的访问权限、认证的节点之间建立安全隧道和信息的安全传输等问题。目前主要采用安全隧道（网络层、传输层和应用层安全隧道），结合数据加密、身份认证、数字签名等技术，解决节点通信中信息的机密性、真实性、完整性等问题[9]。三、P2P应用中面临的安全问题及目前的安全机制3.1P2P文件共享应用的安全问题分析3.1.1安全问题P2P文件共享强调用户对整个系统的贡献和从系统中获取共享文件的自由，以自由交换和共享资源为目的。系统主体是一系列平等的用户，称为Peer；系统的行为就是Peer的行为，所有的行为都以共享文件为对象，针对共享文件进行。以下将从Peer用户安全、Peer行为和共享文件三个方面对P2P文件共享应用的安全问题进行分析[10]。(1)Peer的安全问题分析Peer的安全问题可分为信任问题、身份认证和授权问题以及匿名问题。①信任问题P2P系统往往假定成员之间存在着某种信任关系，实际上Peer个体更多的表现是贪婪、自私甚至欺诈的行为。据统计，在众多的P2P文件共享应用里，25%的文件是伪造文件。为维护P2P文件共享系统的可靠性，需要对各Peer的可信度进行量化管理，在多个Peer可选的情况下，优先选择信任值较高的对象。②身份认证和授权P2P环境允许Peer自由加入或退出系统，当某个Peer试图加入时，系统很难知道它是否是恶意节点、是否受攻击者控制。为维护系统安全，对抗假冒身份的攻击，有必要为系统成员建立身份标识和认证机制，以确保登陆系统的Peer与其声称的身份相符合。授权是对已认证的Peer授予访问、使用某些资源的权力，通常是紧接着认证进行的。不同Peer有不同的兴趣取向，因此，P2P应用通常是将所有成员分组管理并利用组成员资格服务授权其可访问的资源。另外，授权机制也有助于对共享文件的合法访问。③匿名问题匿名是P2P的目标之一，包括保护Peer的敏感信息、隐藏Peer与其所参与的通信之间的关系。传统的匿名保护往往利用中继转发实现，P2P系统中所有Peer均可参与中继转发，因而更有利于将要保护的Peer隐藏于众多Peer实体之中。此外，由于P2P系统信息的传输分散于Peer之间进行而无需经过集中的环节，Peer的隐私信息泄漏或被窃听的可能性也大大减小。P2P系统中用户可能经常加入或退出系统，每个Peer需要拥有系统内部其他成员的信息，以便在加入系统时为其他Peer形成匿名路径，退出时由系统为该Peer原先所在的匿名路径生成新的路径。然而，P2P成员的动态性使系统的匿名集经常变化，Peer很难获得可靠的系统成员信息。(2)Peer行为的安全问题分析P2P文件共享系统中，Peer的行为主要包括对共享文件的上传、请求、下载和通信传输。①上传行为的安全问题P2P以端到端的方式实现文件共享，允许每个Peer直接访问系统内其他成员的硬盘。其安全隐患是：当一个Peer在向系统开放可共享的资源时，也可能将其他重要的本地信息暴露给其他的Peer。所以在开放共享之前，每个Peer需要确认被开放的资源，以保护本地系统信息和非共享资源的安全，以免触及本地安全，甚至造成非法用户的远程攻击。②请求行为的安全问题P2P网络中与Peer请求行为相关的安全挑战是DDoS攻击，攻击者通过多级、多个傀儡Peer对目标Peer连续发出貌似合理但实际无法满足的请求，并通过传输放大，消耗网络的计算资源和带宽，使局部网络的效率下降直至瘫痪。其特点是隐蔽性和放大性。③文件下载的安全问题“FreeRider”是当前P2P文件共享应用中普遍存在的一种Peer行为，即存在P2P用户希望以极少的付出或零付出来获得系统的大量资源或服务。据Gnutella官方统计，仅1%的用户提供了系统的绝大多数共享资源，约30%的用户仍愿意提供资源，但69%的用户却只下载不分享，即所谓“FreeRider”。“FreeRider”的大量存在会严重降低系统性能，使系统更加脆弱。通常利用激励机制解决该问题，还可以对“FreeRider”通告惩戒。④通信传输的安全问题保护通信传输的安全，即保护传输信息的机密性和完整性。机密性是指保护信息不为非授权用户窃取；完整性则是确保信息完整地从源Peer到达目的Peer，中途没有丢失、也没有被非法篡改。(3)共享文件的安全问题分析共享文件的安全问题包括共享文件的传输安全和共享文件本身的安全性问题。共享文件传输的安全性包括保护共享文件传输过程的机密性和完整性，共享文件本身的安全性问题包括文件本身的安全性和合法性。文件本身的安全性主要是针对傀儡Peer而言，攻击者可能在系统内注册正常的Peer充当其傀儡，在傀儡Peer内放置病毒文件并冠以伪造的文件名，欺骗其他Peer去下载从而使病毒在系统内扩散。系统应加强防御机制，及时发现傀儡Peer，例如，对发起共享的Peer进行身份认证，由请求文件的Peer对文件进行远程的安全扫描。共享文件的合法性强调部分文件的知识产权保护问题，是当前影响P2P生存的关键因素之一。保护共享文件的合法性仅通过传统的安全技术还不够，需要在加强对合法文件技术保护的同时从法律伦理的角度提高人们的版权意识，并推行作品的“创作共用”制度。3.1.2BT的全名叫“BitTorrent”，其下载的特殊性是下载的人越多，下载速度反而越快。BT协议是架构于TCP/IP协议之上的一个P2P文件传输协议，处于TCP/IP结构的应用层。安全问题是BT下载的最严重问题之一，因为BT下载时，同时要为其他用户提供下载服务，别人可以到自己硬盘中寻找需要的文件块，这样就带来了许多安全隐患。对于一些别有用心的人来说，给你安装一个什么病毒、木马之类的破坏性程序是完全可能的。而且你保存在计算机中的信息完全可以被别人“看”精光。因为BT下载对用户基本上没有任何身份验证过程。BT软件还是属于后台操作，无论是下载或上传文件.都存在非法人侵、隐私泄漏等方面的隐患，而且由于开放端口还可能导致黑客程序或木马的侵袭，因此使用BT工具的系统中安装杀毒软件和防火墙软件是必不可少的[11]。BT下载带来了新的网络安全隐患。BT下载只是提供了用户文件传输的软件和协议，对于传输的内容，BT无法控制。利用BT下载来传播病毒、间谍软件或是制造垃圾广告等行为已经出现苗头，对BT使用者的电脑带来安全隐患。某些间谍及广告软件隐藏在BT文件之中，占用用户大量的系统资源，导致电脑频频死机。间谍软件会把用户的隐私数据和重要信息通过“后门程序”泄露给商业网站或是黑客机构，造成用户的电脑很容易受到攻击。另外，BT下载也为黄色淫秽资源的传播提供了更加便捷的途径，这在一定程度上也影响了BT的形象。3.1.3应用实例Maze天网Maze是北大网络实验室开发的一款PIC(PersonalInformationCenter个人信息中心)文件系统，它依托于北大互联网实验室的技术构建[12]。Maze提供一种混合P2P文件共享的方法，Maze的特点有：排队策略、无限制目录浏览、目录下载、多站并行下载、断点续传、流速限制、积分激励、点对点聊天、存储分类目录、存储IT资源、域名访问、天网文件搜索技术、局域网内共享文件、Windows及Linux多平台实现、内容检查、本机图标视图。网络资料显示，2006年发现Maze存在一些漏洞：1、盗取Maze账户，可以直接从Maze的资源中下载对方的配置文件，再进行简单的修改就可以用对方的账号登录使用了；2、窃取QQ聊天记录；3、解密BASE64码，这些都使用户的隐私外泄。2007年发现超长格式串栈溢出漏洞。相应的，Maze随后也做了相应的修改，如：增加敏感文件显示过滤；增加用户共享非法文件提示；增加动态选择最低延迟心跳服务器；增加用户friend，多点下载，ping日志(动态可配置)；修正了断点续传功能；增加了浏览邻居站点文件夹时过滤违规文件的功能；增加了屏蔽敏感文件下载的功能；增加了定时清空cache文件夹的功能。3.2P2P流媒体应用的安全问题分析3.2.1安全问题流媒体（StreamingMedia）是指视频、声音和数据通过实时传输协议以连续流方式顺序的从源端向目的端传输，目的端只需接收到一定数据缓存后就可以立即播放的多媒体应用。在采用流式传输的系统中，用户不必等到整个文件全部下载完毕，而只须经过几秒或数十秒的启动延时即可进行观看。当声音等媒体在客户机上播放时，文件的剩余部分将在后台从服务器内继续下载。与传统的“先下载、再播放”机制相比，流媒体技术不仅使启动延时成十倍、百倍地缩短，而且不需要很大的缓存容量。对于P2P流媒体系统的安全性，应保证频道内容不被非法入侵者破坏和盗用，对欺诈行为有检查和处理手段，保证管理系统的安全性和分发系统的安全性，并应具有基本的防病毒能力，具有安全报警能力等。对于P2P流媒体所采用的安全机制主要包括：URL加密，实现后台服务器隐藏，并实现防盗链技术；采用MD5加密算法传输Hash代码、无重复的用户唯一标识、多位一体认证信息等，采用不损伤硬盘，保护用户机器的安全性；要有效防止非法用户访问，由于用户除了能通过流媒体发布端访问媒体资源之外，还可以通过相邻的用户节点来使用媒体资源，这就为非法登陆的用户访问媒体资源提供了便利，通过客户端软件相关接口的二次功能开发可以达到对非法用户操作控制的目的。3.2.2应用实例PPLivePPLive就是一款用于互联网上大规模视频直播的共享软件，该软件采用多点下载，网状模型的P2P技术，有效解决了当前网络视频点播服务的带宽和负载有限问题，实现用户越多，播放越流畅的特性，整体服务质量大大提高[13]。经过对PPLive在传输中抓包的观察，对等节点的地址通过UDP协议时使用明文传输，传输中的UDP的数据报文有明显的特征值，UDP报文和TCP报文都有固定的控制报文特征值，以上一些信息都给攻击者留下了可乘之机。目前对于PPLIVE等此类的流媒体应用主要是考虑在传输中进行加密，以及数字版权管理（DRM），通过DRM技术，内容提供商可以方便地对各种音乐、图像等媒体文件进行加密保护，使受保护的多媒体文件不会被用户非法拷贝和复制。3.3P2P即时通信应用的安全问题分析3.3.1即时通信IM(Instantmessage)所面临的安全问题主要可以分为三类：系统使用性安全、用户使用性安全、消息秘密性安全。(1)系统使用性安全系统安全是任何一个软件所要考虑的问题。随着即时通讯软件用户群的增大，出现了越来越多的病毒和黑客攻击，这给即时通讯软件的安全敲响了警钟。造成病毒和黑客能够如此顺利地进行攻击的主要原因有：①防火墙功能丢失。即时通讯软件都使用了P2P(PeertoPeer)技术。这个技术能够穿透防火墙，直接建立传输隧道，从而给病毒以可乘之机，直接把已感染的病毒文件或驻留的木马文件下载到本地桌面用户。②脚本功能溢出。即时通讯软件为方便用户使用，基本上都引入脚本功能，自动处理消息接收、回复等，这些脚本一旦被恶意修改，就可能自动发送含有蠕虫病毒的文件，自动执行黑客程序等。③系统调用的漏洞。即时消息软件都具有运行者权限，可以调用一些可执行程序。例如，为了减小体积，而不缺乏内容丰富性，基本上都内嵌IE浏览器，在解析超链接时能自动打开，如果没有安装强大的杀毒软件和防火墙，打开一个有病毒的网页是十分危险的。(2)用户使用性安全用户使用性安全体现在密码保护和认证机制上，众所周知，即时通讯软件一般需要用户输入账号和密码，验证成功后方可使用其服务。这种简单的认证机制给了黑客和攻击者可趁之机，由此产生的“盗号”问题一直困扰众多使用者。(3)消息秘密性安全现代人广泛使用网络通讯作为社会生活通信和情感交流的渠道，网络聊天作为其中一种手段，不乏含有大量的信息隐私性质。但是由于协议的不足和软件本身漏洞，往往不能保证消息的秘密传递和保存。3.3.2腾讯QQ是国内最早和最完善的即时通讯软件，并在不断加强其内在的娱乐性，集合了图文消息发送接收，网络硬盘，在线音乐中心，手机彩信等功能，吸引了越来越多的使用者。拥有如此大的用户群，其安全性问题也是大家十分关注的，各种针对QQ的病毒、木马层出不穷。不但腾讯公司积极推出新版本来修补漏洞，而且包括瑞星等也不断推出QQ病毒的查杀工具。另一方面，针对QQ协议的研究也在isQ，anyQ，linQ，LumaQQ等开展出来，开发了跨平台的各种版本，从另一个方面增大了QQ的兼容性。QQ使用的基本通讯协议为UDP，由于减少了TCP建立连接的时间，使得QQ的登录和响应速度都高于MSN。在验证用户机制上，QQ也做了一定的改进。在登录请求时，使用QQ密码的二次MD5散列对空字符串加密发送给服务器，服务器证实后发送由QQ密码的MDS加密的随机临时通讯密钥作为以后通讯使用。这种验证方式使得在验证和使用中都没有暴露用户的密码，大大地增强了QQ的使用安全性。对于消息的秘密性，从协议本身来说，由于每次通讯都用了临时的通讯密钥进行加密，监听者难以获得消息内容。然而QQ推出以来就设置自动在本机记录用户的所有聊天记录，虽然其聊天记录管理做得相当美观和实用，但是针对各个版本的QQ软件，几乎都推出了QQ聊天记录查看工具和技巧，使用这些工具不需密码就能对QQ聊天记录进行查看和修改，因而这对公共场合或多人混用机器十分不安全。幸而QQ还推出了删除号码和聊天信息的机制防止此类事件的发生，但是这种防范手段还是偏弱[14]。3.4P2P匿名通信的安全问题分析匿名是指隐匿网络实体(包括通信连接)，也就是隐匿发送者和接收者地址，使其具有不确定性，使攻击者(attacker)无法得到是谁同谁在通信，无法控制或破坏通信过程。一个行为所对应的实体是匿名的，是指对应该行为的实体在特定的、具有一定相同特性的实体集中的不确定性[15]。3.4.1安全问题对匿名通信可以从以下几个方面进行攻击。(1)消息标签攻击(MessageVolume)，每个数据包都包含有反映该数据包长度的信息，攻击者通过跟踪有固定长度的数据包，就能获知客户机/服务器对之间的联系。(2)消息编码攻击(MessageCoding)，在信息发送的过程中信息编码方式没有改变，攻击者可以进行模式匹配对数据进行跟踪，从而得知起始地址和目标地址。(3)合伙攻击(Collusion)，利用系统漏洞的一种攻击，一些被攻克的节点联合起来获得通信双方的信息，打破匿名连接。(4)泛洪攻击(Flooding)，由于匿名服务都限定于某个特定的群，攻击者使系统溢出从而从群中分离出某些信息。(5)时间测量攻击(Timing)，攻击者通过观察固定的起始点到目的节点的连接，能够建立一个时间上的相关关系，就可以发现此连接上有没有数据通信。(6)侧面攻击(Profiling)，通信量分析攻击，通过长时间的观察连接时间和消息量，流量分析和窃听就属于这种攻击。针对以上的攻击，目前有一些相应的安全措施，比如对于消息标签攻击，采用相同长度的数据包就解决了；消息编码攻击，通过重复加密容易解决；在混淆网络中，如果所有参与端到端的匿名网络实体没有全部参与串通，那么这种匿名通信就不会打破，就可以解决合伙攻击；要是混淆网络中所有用户都以等概率重路由转发，则不会有用户能阻塞别的用户，泛洪式攻击就可以避免；但是要阻止流量分析，比如时间测量攻击和侧面攻击，其主要问题是延迟，因此混淆适合于对延迟不太敏感的应用，在猜测端点与消息之间的关系似乎难以避免的情况下，可以用填充虚假的消息来欺骗攻击者，即在发送方和接受方的连接期间不断发送消息，其中只有少量消息是有用的，给攻击者造成错觉，使他们难以找到端到端的关系[16]。3.4.2应用实例TorTor的全称是“ThesecondOnionRouter”，是第二代onionrouting(洋葱路由)的一种实现，用户通过Tor可以在因特网上进行匿名交流。Tor是针对现阶段大量存在的流量过滤、嗅探分析等工具，在JAP之类软件基础上改进的，支持Socks5，并且支持动态代理链(通过Tor访问一个地址时，所经过的节点在Tor节点群中随机挑选，动态变化，由于兼顾速度与安全性)，因此难于追踪，有效地保证了安全性。Tor系统是一种基于TCP连接的匿名通信方案。它可以用于网页浏览，安全壳和即时消息通信。用户在通信前，首先要建立一条通过匿名网络的虚电路，虚电路中的转发节点仅知道自己的直接前驱和直接后继，但是不知道路径中的其它节点，而外部观测者所看到的IP数据包中的地址并不是通信发起者和接收者的地址，由此通信的发起者和接收者被匿名。虚电路中数据流以固定大小的数据包传输，数据包是用各个转发节点的对称密钥加密的，其数据转发过程与第一代洋葱路由方案基本一致。虽然Tor低延迟的特性非常适合交互式的网络应用，如网页浏览，但是对于全局攻击者来说，Tor系统并不是一个安全的匿名系统