Internet Research Task Force (IRTF) H. Schulzrinne
Request for Comments: 5765 Columbia University
Category: Informational E. Marocco
ISSN: 2070-1721 Telecom Italia
E. Ivov
SIP Communicator
February 2010
Security Issues and Solutions in Peer-to-Peer Systems
for Realtime Communications
Abstract
抽象
Peer-to-peer (P2P) networks have become popular for certain applications and deployments for a variety of reasons, including fault tolerance, economics, and legal issues. It has therefore become reasonable for resource consuming and typically centralized applications like Voice over IP (VoIP) and, in general, realtime communication to adapt and exploit the benefits of P2P. Such a migration needs to address a new set of P2P-specific security problems. This document describes some of the known issues found in common P2P networks, analyzing the relevance of such issues and the applicability of existing solutions when using P2P architectures for realtime communication. This document is a product of the P2P Research Group.
ピア・ツー・ピア(P2P)ネットワークは、フォールトトレランス、経済学、および法律上の問題など、さまざまな理由のために特定のアプリケーションや展開に人気となっています。したがって、適応し、P2Pのメリットを活用するための一般的な、リアルタイム通信でのリソース消費量が多いため、一般的に集中管理IP(VoIP)のボイスオーバーなどのアプリケーションと、のための合理的となっています。このような移行は、P2P固有のセキュリティ上の問題の新しいセットに対処する必要があります。この文書では、リアルタイム通信のためのP2Pアーキテクチャを使用した場合、このような問題の関連性と既存のソリューションの適用可能性を分析し、一般的なP2Pネットワークで見つかった既知の問題のいくつかを説明します。この文書では、P2P研究グループの製品です。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Research Task Force (IRTF). The IRTF publishes the results of Internet-related research and development activities. These results might not be suitable for deployment. This RFC represents the consensus of the Peer-to-Peer Research Group of the Internet Research Task Force (IRTF). Documents approved for publication by the IRSG are not a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
この文書はインターネットResearch Task Force(IRTF)の製品です。 IRTFはインターネット関連の研究開発活動の成果を公表しています。これらの結果は、展開に適していない可能性があります。このRFCはインターネットリサーチタスクフォースのピアツーピア研究グループ(IRTF)のコンセンサスを表しています。 IRSGによって公表のために承認されたドキュメントは、インターネット標準の任意のレベルの候補ではありません。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5765.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5765で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。
Table of Contents
目次
1. Introduction ....................................................4
1.1. Purpose of This Document ...................................6
1.2. Structure of This Document .................................7
2. The Attackers ...................................................8
2.1. Incentive of the Attacker ..................................8
2.2. Resources Available to the Attacker ........................9
2.3. Victim of the Attack ......................................10
2.4. Time of Attack ............................................10
3. Admission Control ..............................................10
4. Determining the Position in the Overlay ........................11
5. Resilience against Malicious Peers .............................12
5.1. Identification of Malicious Peers .........................13
5.1.1. Proactive Identification ...........................13
5.1.2. Reactive Identification ............................13
5.2. Reputation Management Systems .............................14
5.2.1. Unstructured Reputation Management .................14
5.2.2. Structured Reputation Management ...................14
6. Routing and Data Integrity .....................................15
6.1. Data Integrity ............................................15
6.2. Routing Integrity .........................................15
7. Peer-to-Peer in Realtime Communication .........................16
7.1. Peer Promotion ............................................17
7.1.1. Active vs. Passive Upgrades ........................17
7.1.2. When to Upgrade ....................................18
7.1.3. Which Clients to Upgrade ...........................18
7.1.4. Incentives for Clients .............................19
7.2. Security ..................................................19
7.2.1. Targeted Denial of Service .........................19
7.2.2. Man-in-the-Middle Attack ...........................20
7.2.3. Trust between Peers ................................20
7.2.4. Routing Call Signaling .............................20
7.2.5. Integrity of Location Bindings .....................21
7.2.6. Encrypting Content .................................21
7.2.7. Other Issues .......................................22
8. Open Issues ....................................................22
9. Security Considerations ........................................23
10. Acknowledgments ...............................................23
11. Informative References ........................................23
Peer-to-peer (P2P) overlays have become quite popular with the advent of file-sharing applications such as Napster [NAPSTER], KaZaa [KAZAA], and BitTorrent [BITTORRENT]. After their success in file-sharing and content distribution [Androutsellis-Theotokis], P2P networks are now also being used for applications such as Voice over IP (VoIP) [SKYPE] [Singh] and television [PPLIVE] [COOLSTREAM]. However, most of these systems are not purely P2P and have centralized components like the login server in Skype [Baset] or moderators and trackers in BitTorrent [Pouwelse]. Securing pure P2P networks is therefore still a field of very active research [Wallach].
ピア・ツー・ピア(P2P)オーバーレイは、ナップスター[NAPSTER]、KaZaaの[KAZAA]、およびBitTorrentの[ビットトレント]などのファイル共有アプリケーションの出現により、非常に人気となっています。ファイル共有やコンテンツ配信[Androutsellis-Theotokis]で彼らの成功の後、P2Pネットワークは今もテレビ[PPLiveの] [COOLSTREAM] Voice over IP(VoIP)などの用途[SKYPE] [シン]とするために使用されています。しかし、これらのシステムのほとんどは、純粋にP2PでないとSkypeでログイン・サーバのような集中型のコンポーネントを持っている[BASET]またはBitTorrentの中モデレーターとトラッカー[Pouwelse]。純粋なP2Pネットワークを確保することは、依然として極めて活発な研究[ウォラック]のフィールドです。
P2P overlays can be broadly classified as structured and unstructured [RFC4981], depending on their routing model. Unstructured overlays are often relatively simple, but search operations in them, usually based on flooding, tend to be inefficient. Structured P2P overlays use distributed hash tables (DHTs) [Stoica] [Maymounkov] [Rowstron] to perform directed searches, which make lookups more efficient in locating data. This document will mostly focus on DHT-based P2P overlays.
P2Pオーバーレイは広く、そのルーティング・モデルに応じて、構造化および非構造化[RFC4981]として分類することができます。非構造化オーバーレイは、多くの場合、比較的簡単ですが、その中の検索操作、通常は洪水に基づいて、非効率的になる傾向があります。構造化P2Pオーバーレイは、分散ハッシュテーブル(のDHTs)[ストイカ] [Maymounkov] [Rowstron]データを配置でルックアップがより効率的に向け検索を実行するために使用します。この文書では、主にDHTベースのP2Pオーバーレイに焦点を当てます。
When analyzing the various attacks that are possible on P2P systems, it is important to first understand the motivation of the attackers as well as the resources (e.g., computation power, access to different IP subnets) that they would have at their disposal.
P2Pシステム上で可能な様々な攻撃を分析するとき、最初に、彼らは彼らの処分で持っているであろうと、攻撃者の動機などのリソース(例えば、計算能力、異なるIPサブネットへのアクセス)を理解することが重要です。
Once the threat has been identified, admission control is a first step towards security that can help avoid a substantial number of attacks [Kim]. Most solutions rely on the assumption that malicious nodes represent a small fraction of all peers. It is therefore important to restrict their number in the overlay.
脅威が識別されると、アドミッション制御は、攻撃[キム]のかなりの数を防ぐことができ、セキュリティに向けた最初のステップです。ほとんどのソリューションは、悪意のあるノードは、すべてのピアのごく一部を表しているという仮定に依存しています。オーバーレイでその数を制限することが重要です。
Other P2P-specific security problems discussed here include attacks on the routing of queries, targeted denial-of-service attacks, and attacks on data integrity.
ここで説明する他のP2P固有のセキュリティ上の問題は、クエリのルーティングへの攻撃、対象サービス拒否攻撃、およびデータの整合性への攻撃が含まれます。
In the remainder of this document, we outline the main security issues and proposed solutions for P2P systems. Following this, we focus on a particular class of P2P applications that provide realtime communications. Realtime communications use the same DHTs used by file-sharing applications; however, the data that is saved in these DHTs is different. In realtime communications, the contents stored in the DHTs comprises user location, the DHT being the substitute for a centralized registration server.
この文書の残りの部分では、我々は、P2Pシステムのための主要なセキュリティ問題と提案されたソリューションの概要を説明します。これに続いて、我々は、リアルタイム通信を提供するP2Pアプリケーションの特定のクラスに焦点を当てます。リアルタイム通信は、ファイル共有アプリケーションで使用されるのと同じのDHTを使用します。しかし、これらのDHTに保存されたデータは異なっています。リアルタイム通信では、のDHTに格納されたコンテンツは、ユーザの位置、集中登録サーバの代替であるDHTを含みます。
At first glance, it may appear that requirements on peer-to-peer systems for realtime communication services are no different than those for file-sharing services. Table 1 demonstrates that there are sizeable differences related to privacy, availability, and a marked increase in the general security requirements.
一見すると、リアルタイム通信サービスのためのピア・ツー・ピア・システム上の要件は、ファイル共有サービスのためのものとは違いはありませんように見えることがあります。表1は、プライバシー、可用性、および一般的なセキュリティ要件の著しい増加に関連したかなりの違いがあることを示しています。
+-----------------+-----------------------+-------------------------+
| | File-sharing | Realtime communication |
+-----------------+-----------------------+-------------------------+
| Distributed | Shared file locations | User locations are |
| database | are indexed in a | indexed in a table |
| | table distributed | distributed among |
| | among peers; often | peers; rarely more than |
| | hundreds or thousands | one per peer. |
| | per peer. | |
| Availability | Same files are | Users are unique; |
| | usually available at | attacks targeting |
| | multiple locations | single users may be |
| | and failures | addressed both to the |
| | involving single | distributed index and |
| | instances are | to the user's device |
| | overcome by abundancy | directly. |
| | of resources; attacks | |
| | targeting single | |
| | files need to be | |
| | addressed to the | |
| | distributed index. | |
| Integrity | Attackers may want to | Attackers may want to |
| | share corrupted files | impersonate different |
| | in place of popular | users in order to |
| | content, e.g., to | handle calls directed |
| | discourage users from | to them; constitute a |
| | acquiring copyrighted | particular threat for |
| | material; constitute | the user as, in case of |
| | a threat for the | success, the attacker |
| | service, but not for | acquires full control |
| | the users. | on the victim's |
| | | personal |
| | | communications. |
| Confidentiality | Shared files are, by | Communications are |
| | definition, readable | usually meant to be |
| | by all users; in some | private and need to be |
| | cases, encryption is | encrypted; |
| | used to avoid | eavesdropping may |
| | elements not involved | reveal sensitive data |
| | in the service to | and is a serious threat |
| | detect traffic. | for users. |
| Bitrate and | The file-transfer use | Realtime traffic almost |
| latency | case is particularly | always requires a |
| | tolerant to unstable | constant minimum |
| | bitrates and ability | bitrate and low latency |
| | to burst on and off | in order to avoid |
| | as peers disappear or | problems like jitter. |
| | new ones become | While this is not |
| | available. | directly related to a |
| | | specific sort of |
| | | attacks, it is a |
| | | significant constraint |
| | | to the design of |
| | | certain design |
| | | solutions, and in |
| | | particular those that |
| | | somehow affect routing. |
| Peer lifetime | File-sharing users do | Realtime communication |
| | not need to stay in | applications need not |
| | the overlay more than | leave the overlay for |
| | the time required for | as long as the user |
| | downloading the | wants to stay connected |
| | content they are | and be reachable. This |
| | looking for. | gives the attackers |
| | | longer time for |
| | | conducting successful |
| | | targeted attacks. |
+-----------------+-----------------------+-------------------------+
Table 1: Main differences between P2P applications used for file-sharing and for realtime communication.
表1:ファイル共有のために、リアルタイム通信に使用されるP2Pアプリケーションの主な違い。
The goal of this document is to provide authors of P2P protocols for realtime communications with background that they may find useful while designing security mechanisms for specific cases. The document has been extensively discussed during face-to-face meetings and on the P2PRG mailing list; it has been reviewed both substantially and editorially by two members of the research group and reflects the consensus of the group.
このドキュメントの目標は、特定のケースのためのセキュリティメカニズムを設計しながら、彼らは役に立つかもしれませんバックグラウンドでリアルタイム通信のためのP2Pプロトコルの作者を提供することです。文書は、広範囲に対面会議中やP2PRGメーリングリストで議論されてきました。それは、研究グループの2人のメンバーの両方によって、実質的および編集上見直し、グループの総意を反映されています。
The content of this document was partially derived from the article "Peer-to-peer Overlays for Real-Time Communication: Security Issues and Solutions," published in IEEE Surveys & Tutorials, Vol. 11, No. 1, and originally authored by Dhruv Chopra, Henning Schulzrinne, Enrico Marocco, and Emil Ivov.
IEEE調査&チュートリアル集に掲載された:この文書の内容は、部分的に記事「セキュリティの問題と解決策、ピア・ツー・ピア・リアルタイム通信のためのオーバーレイ」から派生しました。 11、第1号、及び元々Dhruvチョプラ、ヘニングSchulzrinneと、エンリコMarocco、そしてエミルIvov著。
It is important to note that this document considers "security" from the perspective of application developers and protocol architects. It is hence entirely agnostic to potential legislation issues that may apply when protecting applications against a specific attack, as, for example, in the case of lawful interception.
このドキュメントは、アプリケーション開発者およびプロトコルアーキテクトの視点から「セキュリティ」を考慮することに注意することが重要です。それ故に、例えば、合法的傍受の場合のように特定の攻撃に対するアプリケーションを保護する際に適用することができる潜在的な法律上の問題に全くとらわれません。
The document is organized as follows. In Section 2, we discuss P2P security attackers. We try to elaborate on their motivation, the resources that would generally be available to them, their victims, and the timing of their attacks. In Section 3, we discuss admission control problems. In Section 4, we identify the problem of where a node joins in the overlay. In Section 5, we describe problems related to identification of malicious nodes and the dissemination of this information. In Section 6, we describe the issues of routing and data integrity in P2P networks. Finally, in Section 7 we discuss how issues and solutions previously presented apply in P2P overlays for realtime communication.
次のように文書が編成されています。第2節では、P2Pのセキュリティ攻撃を話し合います。私たちは、彼らの動機については詳しく説明し、一般的に彼ら、彼らの犠牲者に利用できるようになるリソース、およびその攻撃のタイミングを試してみてください。第3節では、アドミッション制御の問題を議論します。第4節では、ノードがオーバーレイに参加する場所の問題を特定します。第5節では、悪意のあるノードの識別し、この情報の普及に関連する問題について説明します。第6節では、P2Pネットワークにルーティングし、データの整合性の問題について説明します。最後に、7章では、我々は以前に提示問題と解決方法は、リアルタイム通信のためのP2Pオーバーレイに適用する方法について説明します。
Table 2 and Table 3 provide an index of the attacks and the solutions discussed in the rest of this document.
表2と表3は、攻撃のインデックスと、この文書の残りの部分で説明したソリューションを提供しています。
+---------------------------------------+---------------------------+
| Attack name | Referring sections |
+---------------------------------------+---------------------------+
| botnets (use of) | Section 2.1, Section 2.2 |
| denial of service (DoS) | Section 2.1, |
| | Section 7.2.1 |
| man in the middle (MITM) | Section 7.2.2 |
| poisoning | Section 6.1, |
| | Section 7.2.2 |
| pollution | Section 2.1, Section 6.1 |
| sybil | Section 2.2, Section 4 |
| targeted denial of service | Section 7.2.1 |
+---------------------------------------+---------------------------+
Table 2: Index of some of the more popular attacks and problems discussed in this document.
表2:この文書で説明するより人気攻撃や問題のいくつかの指標。
+---------------------------------------+---------------------------+
| Solution name | Referring sections |
+---------------------------------------+---------------------------+
| admission control | Section 3 |
| anonymity | Section 5.2 |
| asymmetric key pair | Section 7.2.5 |
| CAPTCHA | Section 3 |
| certificates | Section 7.2.3 |
| CONNECT (SIP method) | Section 7.2.4 |
| cryptographic puzzles | Section 4 |
| diametrically opposite IDs | Section 4 |
| end-to-end encryption | Section 7.2.4 |
| group authority | Section 3 |
| group charter | Section 3 |
| iterative routing | Section 7.2.2 |
| no profit for newcomers | Section 5.2 |
| online phone book | Section 7.2.5 |
| passive upgrades | Section 7.1.1 |
| peer promotion | Section 7.1 |
| proactive identification | Section 5.1.1 |
| reactive identification | Section 5.1.2 |
| recommendation | Section 3 |
| reputation management systems | Section 5.2 |
| self-policing | Section 5.2 |
| signatures | Section 3 |
| social networks (using) | Section 4, Section 6.2, |
| SRTP | Section 7.2.6 |
| structured reputation management | Section 5.2.2 |
| SybilGuard (protocol) | Section 4 |
| transitivity of trust | Section 5.2.2 |
| trust and distrust vectors | Section 5.2.1 |
| trust and trusted nodes | Section 3, Section 6.2, |
| | Section 7.2.3 |
| unstructured reputation management | Section 5.2.1 |
| voluntary moderators | Section 6.1 |
+---------------------------------------+---------------------------+
Table 3: Index of some of the more popular solutions discussed in this document.
表3:この文書で説明するより人気のあるソリューションの一部のインデックス。
Attacks on networks happen for a variety of reasons such as monetary gain, personal enmity, or even for fame in the hacker community.
ネットワーク上の攻撃は、そのような金銭的利益、個人的な敵意など、様々な理由のために、あるいはハッカーコミュニティの名声のために起こります。
There are quite a few well-known cases of denial-of-service attacks for extortion in the client-server model [McCue]. One of the salient points of the P2P model is that the services it provides have higher robustness against failure. However, denial-of-service attacks are still possible against individuals within the overlay if the attackers possess sufficient resources. For instance, a network of worm-infected malicious nodes spread across the Internet and controlled by an attacker (often referred to as botnet) could simultaneously bombard lookup queries for a particular key in the DHT. The peer responsible for this key would then come under a lot of load and could crash [Sit]. However, with replication of key-value pairs at multiple locations, such threats can be mitigated.
クライアントサーバモデル[マッキュー]で強奪のためのサービス拒否攻撃のかなりの数のよく知られた例があります。 P2Pモデルの顕著なポイントの一つは、それが提供するサービスは、障害に対する高い堅牢性を有することです。攻撃者が十分なリソースを持っている場合は、サービス拒否攻撃は、オーバーレイ内の個人に対してまだ可能です。例えば、ワームに感染した悪意あるノードにインターネットを介して拡散し、攻撃者によって制御される(多くの場合、ボットネットと呼ばれる)のネットワークが同時にDHT内の特定のキーの検索クエリに衝突可能性があります。このキーを担当するピアは、負荷の多くのもとに来ると、[シット]をクラッシュする可能性があります。しかし、複数の場所でのキーと値のペアの複製で、このような脅威を軽減することができます。
Attackers may also have other incentives indirectly related to money. With the growth of illegal usage of sharing files with copyrights, record companies have been known to pollute content in the overlays by putting up nodes with corrupt chunks of data but with correct file names to degrade the service [Liang] and in hope that users would get frustrated and stop using it. Similarly, competition between different communication service providers, either or both based on P2P technologies, and the low level of traceability of attacks targeted to single users could be considered as motivation for attempting service disruption.
攻撃者はまた、その他のインセンティブ間接的にお金に関係を有することができます。ユーザーがあろうと、著作権とファイルを共有するの違法使用法の成長と、レコード会社がサービスを低下させるために、データの正しいファイル名で破損しているチャンクを持つノードを置くことによってオーバーレイのコンテンツを汚染することが知られている[梁]と希望でイライラし、それを使用して停止します。同様に、異なる通信サービス・プロバイダー間の競争、P2P技術に基づいていずれかまたは両方、および単一のユーザーに標的型攻撃のトレーサビリティの低レベルは、サービスの中断を試みるためのモチベーションとして考えることができます。
Attacks can also be launched by novice attackers who are attacking the overlay for fun or fame in a community. These are perhaps less likely to be successful or cause damage, since their resources tend to be relatively limited.
攻撃はまた、コミュニティに楽しみや名声のためにオーバーレイを攻撃している初心者の攻撃者によって起動することができます。その資源が比較的限定する傾向があるので、これらは、おそらく成功するか、損傷を引き起こす可能性が低いです。
Resource constraints play an important role in determining the nature of the attack. An attacker who controls a botnet can use an Internet relay channel and launch distributed denial-of-service attacks against another node. With respect to attacks where a single node impersonates multiple identities, as in the case of the Sybil attack [Douceur] described in Section 4, IP addresses are also an important resource for the attacker since in DHTs such as Chord [Stoica], the position in the overlay is determined by using a base hash function such as SHA-1 [SHA1] on the node's IP address. The cryptographic puzzles [Rowaihy] that are sometimes suggested as a way to deter Sybil attacks by making the join process harder are futile against an attacker with a botnet and virtually unlimited computation power. Douceur [Douceur] proves that even with the assumption that attackers only have minimum resources at their disposal, it is not possible to defend against them in a pure P2P system.
リソースの制約は、攻撃の性質を決定する上で重要な役割を果たしています。ボットネットを制御し、攻撃者は、インターネット・リレー・チャネルを使用し、別のノードに対して分散サービス拒否攻撃を開始することができます。セクション4で説明[ドゥスール]シビル攻撃の場合のように単一のノードが複数のIDを偽装攻撃に対して、IPアドレスはまた、コード[Stoicaの]位置としてのDHTにので、攻撃者のために重要な資源でありますオーバーレイ内のノードのIPアドレスを[SHA1]例えばSHA1のような塩基のハッシュ関数を用いて決定されます。時には困難参加プロセスを行うことによって、シビル攻撃を抑止するための方法として提案されている暗号パズル[Rowaihy]は、ボットネットと事実上無制限の計算能力を持つ攻撃者に対して無駄です。 DOUCEURは[DOUCEUR]でも、攻撃者が唯一の彼らの処分で最小限のリソースを持っていることを前提に、純粋なP2Pシステムでそれらを防御することは不可能であることを証明しています。
The victim of an attack could be an individual node, a particular content entry, or the entire overlay service. If malicious nodes are strategically placed in the overlay, they can block a node from using its services. Attacks could also be launched against specific content [Sit] or even the entire overlay service. For example, if the malicious nodes are randomly placed in the overlay and drop packets or upload malicious content, then the quality of the overlay would deteriorate.
攻撃の犠牲者は、個々のノード、特定のコンテンツエントリ、または全体のオーバーレイサービスである可能性があります。悪意のあるノードが、戦略的にオーバーレイに配置されている場合は、そのサービスを使用してからノードをブロックすることができます。攻撃は、特定のコンテンツ[シット]、あるいは全体のオーバーレイサービスに対して起動することができました。悪意のあるノードがランダムにオーバーレイして、ドロップパケットに配置されるか、または悪質なコンテンツをアップロードする場合、例えば、次にオーバーレイの品質が劣化します。
A malicious node could start misbehaving as soon as it enters the overlay or it could follow the rules of the overlay for a finite amount of time and then attack. The latter could prove to be more harmful if the overlay design suggests accumulating trust in peers based on the amount of time they have been present and/or not misbehaving. In Kademlia [Maymounkov], for instance, the routing tables are populated with nodes that have been up for a certain amount of time. While this provides some robustness from attacks in which the malicious nodes start dropping routing requests from the moment they enter, it would take time for the algorithm to adapt to nodes that start misbehaving in a later stage (i.e., after they have been recorded in routing tables). Similarly for reputation management systems, it is important that they adapt to the current behavior of a peer.
悪意のあるノードは、オーバーレイに入るとすぐにふらちな事を始めることができるか、それは有限の時間の量と、攻撃のためのオーバーレイのルールに従うことができます。オーバーレイのデザインは、彼らが存在しておよび/または不正な動作していない時間の量に基づいて、仲間の信頼を蓄積示唆している場合。後者はより有害になるかもしれませんKademliaの[Maymounkov]において、例えば、ルーティングテーブルが一定時間アップされたノードが移入されています。これは、悪意のあるノードは、彼らが入力した瞬間から、ルーティング要求をドロップ開始した攻撃からいくつかの堅牢性を提供していますが、彼らは、ルーティングに記録された後、それは、アルゴリズムは、後の段階で不正な動作を開始ノード(すなわちに適応するための時間がかかるだろうテーブル)。同様に評判管理システムのために、彼らが、ピアの現在の動作に適応することが重要です。
Admission control depends on who decides whether or not to admit a node and how this permission is granted. Kim et al. [Kim] answer these questions independently of any particular environment or application. They define two basic elements for admission in a peer group, a group charter, which is an electronic document that specifies the procedure of admission into the overlay, and a group authority, which is an entity that can certify group admission. A prospective member first gets a copy of the group charter, satisfies the requirements, and approaches the group authority. The group authority then verifies the admission request and grants a group membership certificate.
アドミッション制御は、ノードとどのようにこの権限が付与されているを認めるか否かを決定する人に依存します。 Kimら。 [キム]は独立して任意の特定の環境やアプリケーションのこれらの質問に答えます。これらはグループ許可を証明することができるエンティティであるオーバーレイに入場の手順を指定する電子文書、およびグループ権限、あるピアグループ、グループ憲章に入場するための2つの基本的な要素を定義します。会員候補者はまず、グループ憲章のコピーを取得要件を満たし、かつグループ権限に近づきます。グループ権限は、入場要求を検証し、グループ・メンバーシップ証明書を付与します。
The group charter and authority verification can be provided by a centralized certificate authority or a trusted third party, or it could be provided by the peers themselves (by voting). The former is more practical and tends to make the certification process simpler although it is in violation of the pure P2P model and exposes the system to attacks typical for server-based solutions (e.g., denial- of-service attacks targeted to the central authority). In the latter case, the group authority could either be a fixed number of peers or it could be a dynamic number based on the total membership of the group. The authors argue that even if the group charter requires a prospective member to get votes from peers, the group membership certificate must be issued by a distinct entity. The reason for this is that voters need to accompany their votes with a certificate that proves their own membership. Possible signature schemes that could be used in voting such as plain digital signature, threshold signature, and accountable subgroup multisignature are also described. Saxena et al. [Saxena] performed experiments with the different signature schemes and suggest the use of plain signatures for groups of moderate size and where bandwidth is not a concern. For larger groups and where bandwidth is a concern, they suggest threshold signature [Kong] and multisignature schemes [Ohta].
グループチャーターと権限の検証は、集中型の認証局または信頼できる第三者によって提供されていることも、ピア(投票によって)自身によって提供することができます。前者はより実用的であり、それは純粋なP2Pモデルに違反しているが、認証プロセス簡素にする傾向があると、サーバーベースのソリューションのための典型的な攻撃にシステムを公開(例えば、中央機関を対象サービス拒否攻撃) 。後者の場合には、グループ権限は、いずれかのピアの固定数とすることができるか、それがグループの全メンバーシップに基づいて動的数値であってもよいです。著者は、グループ憲章は、ピアからの票を得るために会員候補者を必要とする場合でも、グループメンバーシップ証明書が異なる実体によって発行されなければならないと主張しています。この理由は、有権者が自分のメンバーシップを証明する証明書を使用して彼らの票を同行する必要があるということです。例えば普通のデジタル署名、閾値署名、及び責任サブグループ多重署名として投票に使用することができる可能な署名方式も記載されています。 Saxenaら。 [Saxena】異なる署名方式を用いて実験を行い、適度な大きさと場所の帯域幅が問題ではないのグループのための普通署名の使用を示唆しています。より大きなグループとどこ帯域幅が懸念されるために、彼らは[太田]しきい値署名[香港]および多重署名スキームを提案します。
Another way of handling admission would be to use mechanisms based on trust and recommendation where each new applicant has to be known and vouched for by at least N existing members. The difficulties that such models represent include identity assertion and preventing bot/ worm attacks. A compromised node could have a valid certificate identifying a trustworthy peer, and it would be difficult to detect this. Possible solutions include sending graphic or logic puzzles easily addressed by humans but hard to solve by computers, also known as CAPTCHA [Ahn]; however, reliability of such mechanisms is at the time of writing a topic of lively debate [Tam] [Chellapilla].
入学を処理する別の方法は、信頼とそれぞれの新しい申請者が知られており、少なくともN既存のメンバーによってのためにvouchedする必要があります勧告に基づくメカニズムを使用することです。このようなモデルは、IDアサーションおよびボット/ワーム攻撃を防ぐことが含まれることを表して難しさ。損なわれたノードは、信頼できるピアを識別する有効な証明書を有することができ、これを検出することは困難であろう。考えられる解決策は、グラフィックやロジックパズルやすい人間によって対処だけでなく、CAPTCHA [アン]として知られているコンピュータによって解決することは困難を送る類;しかし、そのようなメカニズムの信頼性は、活発な議論[タム] [Chellapilla]の話題を書いている時点です。
For ring-based DHT overlays such as Chord [Stoica], Kademlia [Maymounkov], and Pastry [Rowstron], when a node joins the overlay, it uses a numeric identifier (ID) to determine its position in the ring. The positioning of a node determines what information it stores and which nodes it serves. To provide a degree of robustness, content and services are often replicated across multiple nodes. However, it is possible for an adversary with sufficient resources to undermine the redundancy deployed in the overlay by representing multiple identities. Such an attack is called a Sybil attack [Douceur]. This makes the assignment of IDs very important. One possible scheme to tackle such attacks on the ID mapping is to have a temporal mechanism in which nodes need to re-join the network after some time [Condie] [Scheideler]. Such temporal solutions, however, have the drawback that they increase the maintenance traffic and possibly deteriorate the efficiency of caching. Danezis et al. [Danezis] suggest mechanisms to mitigate the effect of Sybil attacks by reducing the amount of information received from malicious nodes. Their idea is to vary the nodes used for routing with time. This helps avoiding trust bottlenecks that may occur when applications only route traffic through a limited set of highly trusted nodes. Other solutions suggest making the joining process harder by introducing cryptographic puzzles as suggested by Rowaihy et al. [Rowaihy]. The assumption is that the adversary has limited computational resources, which may not be true if the adversary has control over a botnet. Another drawback of such methods is that non-malicious nodes would also have to perform the extra computations before they can join the overlay.
そのようなノードがオーバーレイに参加するとき、それは環内の位置を決定するために数値識別子(ID)を使用してコード[Stoicaの]、Kademliaの[Maymounkov]、及びペストリー[Rowstron]、などの環系DHTオーバーレイのため。ノードの位置は、それが格納し、それが機能するノードどのような情報を判断します。堅牢性の程度を提供するために、コンテンツおよびサービスは、多くの場合、複数のノード間で複製されています。しかし、複数のIDを表すことによって、オーバーレイで展開冗長性を弱体化させるのに十分なリソースを持つ敵のために可能です。このような攻撃は、シビル攻撃[ドゥスール]と呼ばれています。これは、IDの割り当てが非常に重要になります。 IDマッピングのような攻撃に対処する一つの可能なスキームは、ノードがいくつかの時間[Condie] [Scheideler]後にネットワークに再加入する必要のある一時的な仕組みを持つことです。このような一時的な解決策は、しかし、彼らは保守トラフィックが増加し、おそらくキャッシュの効率を低下させるという欠点があります。 Danezisら。 【Danezis】悪意のあるノードから受信した情報の量を減少させることによって、シビル攻撃の影響を緩和するためのメカニズムを示唆しています。彼らのアイデアは、時間の経過とともにルーティングに使用ノードを変化させることです。これは非常に信頼されたノードの限られたセットを介したときのアプリケーションのみルートトラフィックを発生することがあり、信頼のボトルネックを回避することができます。他の解決策はRowaihyらによって示唆されるように暗号パズルを導入することにより、接合プロセス難しくなってお勧め。 【Rowaihy]。仮定は、敵が攻撃者がボットネットを制御している場合は、trueではないかもしれない計算リソースを、限られたことです。このような方法の別の欠点は、悪意のないノードはまた、彼らは、オーバーレイに参加することができます前に、余分な計算を実行しなければならないということです。
A possible heuristic to hamper Sybil attacks is to employ redundancy at nodes with diametrically opposite IDs (in the DHT ID space) instead of successive IDs as in Chord. The idea behind choosing diametrically opposite nodes is based on the fact that a malicious peer can grant admission to others as its successor without them actually possessing the required IP address (whose hash is adjacent to the former's), and then they can cooperate to control access to that part of the ring. If, however, admission decisions and redundant content (for robustness) also involve nodes that are the farthest away (diametrically opposite) from a given position, then the adversary would require double resources (IP addresses) to attack. This happens because the adversary would need presence in the overlay at two independent positions in the ring.
シビル攻撃を妨害する可能ヒューリスティックは、コードのように連続したIDの代わりに(DHT ID空間内)正反対のIDを持つノードの冗長性を使用することです。正反対のノードを選択するの背後にある考え方は、悪意あるピアは、それらが実際に(そのハッシュ旧のに隣接している)、必要なIPアドレスを所有することなく、その後継として、他の人への入学を許可することができ、その後、彼らはアクセスを制御するために協力できるという事実に基づいていますリングの一部に。しかし、入学の意思決定や(堅牢性)冗長コンテンツも離れて(正反対)指定された位置から最も離れているノードを伴う場合には、敵が攻撃にダブルのリソース(IPアドレス)が必要となります。敵がリングに2つの独立した位置にオーバーレイでのプレゼンスを必要とするためです。
Another approach proposed by Yu et al. [Yu] to limit Sybil attacks is based on the usage of the social relations between users. The solution exploits the fact that as a result of Sybil attacks, affected P2P overlays end up containing a large set of Sybil nodes connected to the rest of the peers through an irregularly small number of edges. The SybilGuard protocol [Yu] defines a method that allows to discover such kinds of discontinuities in the topology by using a special kind of a verifiable random walk and hence without the need of one node having a global vision of the graph.
ユーらによって提案された別のアプローチ。 [ゆう]シビル攻撃を制限するためには、ユーザ間の社会的関係の利用状況に基づいています。溶液は、シビル攻撃の結果として、影響を受けたP2Pオーバーレイは、エッジの不規則少数を通してピアの残りの部分に接続されたシビル・ノードの大規模なセットを含む終わるという事実を利用します。 SybilGuardプロトコル[ゆう]検証ランダムウォークの、したがってグラフのグローバルな視野を有する一つのノードを必要とせず、特別な種類を使用して、トポロジ内の不連続のような種類を発見することを可能にする方法を定義します。
It is also worth mentioning that in DHT overlays using different geometric concepts (e.g., hypercubes instead of rings), peer positions are usually not related to identifiers. In the content addressable network (CAN) [Ratnasamy], for example, the position of an entering node may be either selected by the node itself or, with little modification to the original algorithm, assigned by peers already in the overlay. However, even when malicious nodes do not know their position before joining, the overlay is still vulnerable to Sybil attacks.
ピアの位置は、通常識別子に関連しない、(例えば、代わりにリングのハイパーキューブ)DHTオーバーレイに異なる幾何学的概念を用いていることにも言及する価値があります。コンテンツアドレス指定可能なネットワークで[Ratnasamy]、例えば、進入ノードの位置は、いずれかのノード自体によって選択されてもよい(CAN)、または、少し修正して、元のアルゴリズムに、オーバレイにすでにピアによって割り当てられます。しかし、悪意のあるノードが参加する前に自分の位置を知らない場合でも、オーバーレイはまだシビル攻撃に対して脆弱です。
Making overlays robust against even a small percentage of malicious nodes is difficult [Castro]. It is therefore important for other peers to identify such nodes and keep track of their number. There are two aspects to this problem. One is the identification itself, and the second is the dissemination of this information amongst the peers. Different metrics need to be defined depending on the peer group for the former, and reputation management systems are needed for the latter.
悪意のあるノードの小さな割合に対してオーバーレイは堅牢作ることは[カストロ]困難です。他のピアは、このようなノードを識別し、その数を追跡することがが重要です。この問題には2つの側面があります。一つは、識別自体であり、第二は、ピア間での情報の普及です。異なるメトリックは、かつてのピア・グループに応じて定義する必要がある、と評判管理システムは、後者のために必要とされます。
For identifying a node as malicious, malicious activity has to be observed first. This could be done in either a proactive way or a reactive way.
悪意のある、悪意のあるアクティビティとしてノードを識別するために最初に観察されなければなりません。これは、積極的な方法または反応方法のいずれかで行うことができます。
When acting proactively, peers perform periodic operations with the purpose of detecting malicious activity. A malicious node could prevent access to content for which it is responsible (e.g., by claiming the object doesn't exist), or return references to content that does not match the original queries [Sit]. With this approach, publishers of content can later perform lookups for it at periodic intervals and verify the integrity of whatever is returned. Any inconsistencies could then be interpreted as malicious activity. The problem with proactive identification is the management of the overhead it implies: if checks are performed too often, they may actually hinder scalability, while, if they are performed too rarely, they would probably be useless.
積極的に行動すると、ピアは悪質なアクティビティを検出する目的で定期的な操作を実行します。悪意のあるノードは、それが(存在しないオブジェクトを主張することによって、例えば)担当するコンテンツへのアクセスを防止する、または元のクエリ[シット]を一致していないコンテンツへの参照を返すことができます。このアプローチでは、コンテンツの出版社は、後に定期的にそれのためのルックアップを実行し、返されているものの整合性を検証することができます。矛盾は、悪質な活動と解釈できます。積極的な識別の問題は、それが意味するのオーバーヘッドの管理です:チェックがあまりにも頻繁に行われている場合、彼らはあまりにもめったに行われていない場合、彼らはおそらく役に立たないだろう、一方で、彼らは実際には、拡張性を妨げる可能性があります。
An additional approach for mitigating routing attacks and identifying malicious peers consists in sending multiple copies of the same message on different paths. With such an approach, implemented, for example, in Kademlia [Maymounkov], the sending peer can identify anomalies comparing responses coming in from different paths.
ルーティング攻撃を緩和し、悪意あるピアを識別するためのさらなるアプローチは、異なる経路で、同じメッセージの複数のコピーを送信することからなります。そのようなアプローチを用いて、実施、例えば、Kademliaの[Maymounkov]において、送信ピアは、異なるパスから到来する応答を比較する異常を識別することができます。
In a reactive strategy, the peers perform normal operations and if they happen to detect some malicious activity, then they can label the responsible node as malicious and avoid sending any further message to it. In a file-sharing application, for example, after downloading content from a node, if the peer observes that data does not match its original query it can identify the corresponding node as malicious. Poon et al. [Poon] suggest a strategy based on the forwarding of queries. If routing is done in an iterative way, then dropping of packets, forwarding to an incorrect node, and delay in forwarding arouse suspicion and the corresponding peer is identified as malicious.
反応戦略では、ピアは、通常の操作を実行すると、彼らはいくつかの悪意のある活動を検出するために起こる場合、それらは悪意があるとして責任あるノードにラベルを付け、そこに任意の更なるメッセージを送るのを避けることができます。ファイル共有アプリケーションで、例えば、ノードからコンテンツをダウンロードした後、ピアは、データが元のクエリが悪意のあるように、対応するノードを識別することができると一致しないことを観察した場合。プーンら。 [プーン]クエリの転送に基づいた戦略を示唆しています。ルーティングは、反復方法で行われている場合、次に、パケットのドロップ間違ったノードに転送し、転送の遅れは疑いを喚起し、対応するピアは、悪意のあるとして識別されます。
Reputation management systems are used to allow peers to share information about other peers based on their own experience and thus help in making better judgments. Most reputation management systems proposed in the literature for file-sharing applications [Uzun] [Damiani] [Lee] [Kamvar] aim at preventing misbehaving peers with low reputation to rejoin the network with a different ID and therefore start from a clean slate. To achieve this, Lee et al. [Lee] store not only the reputation of a peer but also the reputation of files based on file name and content to avoid spreading of a bad file. Another method is to make the reputation of a new peer the minimum possible. Kamvar et al. [Kamvar] define five design considerations for reputation management systems:
評判管理システムは、ピアが自身の経験に基づいて他のピアについての情報を共有するため、より良い判断を行う際に役立つことを可能にするために使用されています。ファイル共有アプリケーションのための文献で提案されているほとんどの評判管理システムは、[ウズン] [ダミアーニ] [リー] [Kamvar]は異なるIDでネットワークに再加入ので、白紙の状態から開始する低評判でふらちなピアを防止することを目指しています。これを達成するために、Leeら。 [リー]店舗だけでなく、相手の評判だけでなく、不正なファイルの拡散を避けるために、ファイル名と内容に基づいてファイルの評判。もう一つの方法は、最小の可能な新しいピアの評判を作ることです。 Kamvarら。 [Kamvar]は評判管理システムのための5つの設計上の考慮事項を定義します。
o The system should be self-policing.
Oシステムは、自己ポリシングする必要があります。
o The system should maintain anonymity.
Oシステムは、匿名性を維持する必要があります。
o The system should not assign any profit to newcomers.
Oシステムは、新規参入者への利益を割り当てるべきではありません。
o The system should have minimal overhead in terms of computation, infrastructure, storage, and message complexity.
Oシステムは、計算、インフラ、ストレージ、およびメッセージの複雑さの点で最小限のオーバーヘッドを有するべきです。
o The system should be robust to malicious collectives of peers who know one another and attempt to collectively subvert the system.
Oシステムは、お互いを知っているピアの悪質な集団に堅牢で、集合システムを破壊しようとしなければなりません。
Unstructured reputation management systems have been proposed by Uzun et al. [Uzun] and Damiani et al. [Damiani]. The basic idea of these is that each peer maintains information about its own experience with other peers and resources, and shares it with others on demand. In the system proposed by Uzun et al. [Uzun], each node maintains trust and distrust vectors for every other node with which it has interacted. When reputation information about a peer is required, a node first checks its local database, and if insufficient information is present, it sends a query to its neighbors just as it would when looking up content. However, such an approach requires peers to get reputation information from as many sources as possible; otherwise, malicious nodes may successfully place targeted attacks returning false values for their victims.
非構造化評判管理システムはウズンらによって提案されています。 【ウズン]とダミアーニら。 【ダミアーニ]。これらの基本的な考え方は、各ピアが他のピアとリソースを持つ独自の経験についての情報を保持し、オンデマンドで他の人とそれを共有することです。ウズンらによって提案されたシステムです。 [ウズン]、各ノードは、それが相互作用していると他のすべてのノードの信頼と不信のベクトルを維持します。ピアについての評判情報が必要な場合は、ノードは、最初にローカルデータベースをチェックし、十分な情報が存在する場合、それがコンテンツを検索するだろうというときと同じようにその隣にクエリを送信します。しかし、このようなアプローチは、できるだけ多くの情報源からの評判情報を取得するには、ピアが必要です。それ以外の場合は、悪意のあるノードが正常に彼らの犠牲者のための偽の値を返す標的型攻撃を配置することがあります。
One of the problems with unstructured reputation management systems is that they either take the feedback from few peers or, if they do so from all, then they incur large traffic overhead. Systems such as those proposed by [Lee] [Kamvar] try to resolve it in a structured manner. The idea of the eigen trust algorithm [Kamvar], for example, is transitivity of trust. If a node trusts peer X, then it would also trust the feedback it gives about other peers. A node builds such information in an iterative way; for maintaining it in a structured way, the authors propose to use a content addressable network (CAN) DHT [Ratnasamy]. The information about each peer is stored and replicated on different peers to provide robustness against malicious nodes. They also suggest favoring peers probabilistically with high trust values instead of doing it deterministically, to allow new peers to slowly develop a reputation. Eventually, they suggest the use of incentives for peers with high reputation values.
非構造化評判管理システムの問題の一つは、彼らがすべてから、そうならば、彼らはその後、彼らは大規模なトラフィックのオーバーヘッドが発生し、いくつかのピアからのフィードバックを取るかのどちらかということです。こうした[リー] [Kamvar]によって提案されたものなどのシステムは、構造化された方法でそれを解決してみてください。固有信頼アルゴリズム[Kamvar]のアイデアは、例えば、信頼の推移です。ノードの信頼関係がXピアなら、それはまた、他のピアについて与えフィードバックを信頼します。ノードは、反復方法でそのような情報を構築します。構造化された方法でそれを維持するために、著者らは、連想ネットワーク(CAN)DHT [Ratnasamy]を使用することを提案します。各ピアに関する情報が格納され、悪意のあるノードに対するロバスト性を提供するために、異なるピアに複製されます。彼らはまた、新しい仲間がゆっくりと評判を開発できるようにするために、高い信頼値を確率的にピアを好むの代わりに、決定論的にそれをやってお勧めします。結局、彼らは高い評価値を持つピアのためのインセンティブを使用することを示唆しています。
Preserving integrity of routing and data, or, in other words, preventing peers from returning corrupt responses to queries and routing through malicious peers, is an important security issue in P2P networks. The data stored on a P2P overlay depends on the applications that are using it. For file-sharing, this data would be the files themselves, their location, and owner information. For realtime communication, this would include user location bindings and other routing information. We describe such data integrity issues in Section 7.
クエリに壊れた応答を返すと、悪意のあるピアを経由から仲間を防止すること、言い換えれば、ルーティングとデータの整合性を維持し、または、P2Pネットワークにおける重要なセキュリティの問題です。 P2Pオーバーレイに格納されたデータは、それを使用しているアプリケーションに依存します。ファイル共有のために、このデータは、ファイルそのもの、その場所、および所有者情報になります。リアルタイム通信のために、これは、ユーザ位置バインディングおよび他のルーティング情報を含むであろう。私たちは、第7節で、このようなデータの整合性の問題について説明します。
For file-sharing applications, insertion of wrong content (e.g., files not matching their names or descriptions) and introduction of corrupt data chunks (often referred to as poisoning and pollution) are a significant problem. BitTorrent uses voluntary moderators to weed out bogus files and the SHA-1 algorithm to determine the hash of each piece of a file to allow verification of integrity. If a peer detects a bad chunk, it can download that chunk from another peer. With this strategy, different peers download different pieces of a file before the original peer disappears from the network. However, if a malicious peer modifies the pieces that are only available on it and the original peer disappears, then the object distribution will fail [Zhang]. An analysis of BitTorrent in terms of integrity and performance can be found in the work of Pouwelse et al. [Pouwelse].
ファイル共有アプリケーションでは、間違ったコンテンツの挿入(例えば、それらの名前や説明と一致しないファイル)と、破損データ・チャンク(しばしば中毒と汚染と呼ばれる)の導入が重要な問題です。 BitTorrentは整合性の検証を可能にするために、ファイルの各部分のハッシュを決定するために偽のファイルやSHA-1アルゴリズムを取り除くために自主的なモデレータを使用しています。ピアが悪いチャンクを検出した場合、それは別のピアからそのチャンクをダウンロードすることができます。元ピアがネットワークから消える前に、この戦略では、異なるピアは、ファイルの異なる部分をダウンロードしてください。悪意あるピアがその上にのみ利用可能であり、元のピアが消滅部分を修正する場合は、そのオブジェクトの分布は[張]を失敗します。整合性とパフォーマンスの面でのBitTorrentの分析はPouwelseらの仕事で見つけることができます。 【Pouwelse]。
To enhance the integrity of routing, it is important to reduce the number of queries forwarded to malicious nodes. Marti et al. [Marti] developed a system that uses social network information to route queries over trusted nodes. Their algorithm uses trusted nodes to forward queries (if one exists and is closer to the required ID in the ID space). Otherwise, they use the regular Chord [Stoica] routing table to forward queries. While their results indicate good average performance, it cannot guarantee log(N) hops for all cases. Danezis et al. [Danezis] suggest a method for routing in the presence of a large number of Sybil nodes. Their method is to ensure that a peer queries a diverse set of nodes and does not place too much trust in a node. Both the above works have been described based on Chord. However, unlike Chord, in DHTs like Pastry [Rowstron] and Kademlia [Maymounkov] there is flexibility in selecting nodes for any row in a peer's routing table. Potentially many nodes have a common ID prefix of a given length and are candidates for routing a given query. To exploit the social network information and still guarantee log(N) hops, a peer should select its friends to route a query, but only when they are present in the appropriate row selected by the DHT algorithm.
ルーティングの整合性を高めるために、悪意のあるノードに転送されたクエリの数を減らすことが重要です。マルティら。 【マルティ】信頼ノード上のルート照会にソーシャルネットワーク情報を使用するシステムを開発しました。彼らのアルゴリズムは、(1が存在し、ID空間内で必要なIDに近い場合)クエリを転送するために、信頼できるノードを使用しています。そうでなければ、彼らはクエリを転送するために定期的な和音[ストイカ]ルーティングテーブルを使用します。その結果が良い平均的なパフォーマンスを示しているが、それはログ(N)は、すべてのケースのためにホップ保証することはできません。 Danezisら。 【Danezis]シビル・ノードの多数の存在下でのルーティングのための方法を提案します。彼らの方法は、ピアノードの多様なセットを照会し、ノードにあまり信頼を置かないようにするためです。どちらも上記の作品は、コードに基づいて記載されています。しかし、コードとは異なり、ペストリー[Rowstron]とKademliaの[Maymounkov]などのDHT内のピアのルーティングテーブル内の任意の行のノードを選択する際の柔軟性があります。潜在的に多くのノードは、所定の長さの共通IDの接頭辞を持っており、特定のクエリをルーティングするための候補です。ホップのソーシャルネットワークの情報を活用し、まだログ(N)を保証するために、ピアがルートにクエリをその友人を選択する必要がありますが、DHTアルゴリズムによって選択された適切な行に存在している場合のみです。
The idea of using P2P in realtime communication essentially implies distributing centralized entities from conventional architectures over P2P overlays and thus reducing the costs of deployment and increasing reliability of the different services. Initiatives such as the P2PSIP working group in IETF [P2PSIP] are currently concentrating on achieving this by using a DHT for services such as registration, location lookup, and support for NAT traversal, which are normally handled by dedicated servers.
リアルタイム通信でP2Pを使用してのアイデアは、基本的にP2Pオーバーレイの上に、従来のアーキテクチャからの集中エンティティを配布するので、導入のコストを削減し、さまざまなサービスの信頼性を向上させる意味します。このようIETF [P2PSIP]でP2PSIPワーキンググループとしての取り組みは、現在、通常は専用サーバによって処理されているNATトラバーサル、登録のため、場所の検索、およびサポートなどのサービスのためにDHTを使用することによって、これを達成することに集中しています。
Even if based on the same technology, overlays used for realtime communication differ from those used for file-sharing in at least two aspects:
同じ技術に基づいていても、リアルタイムの通信に使用されるオーバーレイは、少なくとも二つの側面でのファイル共有のために使用されるものとは異なります。
o Resource consumption. Contrary to file-sharing systems where the DHT is used to store huge amounts of data (even if the distributed database is used only for storing file locations, each user usually indexes hundreds or thousands of files), realtime communication overlays only require a subset of the resources available at any given time as users only register a limited number of locations (rarely more than one).
O消費リソース。 DHTは、大量のデータを格納するために使用されているシステム(分散データベースは、専用のファイルの場所を格納するために使用されている場合でも、各ユーザーのファイルの通常のインデックスの数百または数千)共有ファイルに反して、リアルタイム通信オーバーレイのみのサブセットを必要とします任意の時点で利用可能なリソースは、ユーザーが場所だけの限られた数(まれつ以上)を登録して。
o Confidentiality. In file-sharing applications, eavesdropping and identity theft do not constitute real threats; after all, files are supposed to be made publicly available. This is not true in realtime communications, where the privacy and confidentiality of the participants are of paramount importance. Furthermore, the notion of identity plays an important role in realtime communications since it is the basis for starting a communication session. As such, it is essential to have mechanisms to unequivocally assert identities in realtime communication systems.
Oの機密性。ファイル共有アプリケーションでは、盗聴や個人情報の盗難は、本当の脅威を構成するものではありません。結局、ファイルが公開されることになっています。これは、参加者のプライバシーと機密性が最も重要であるリアルタイム通信に真実ではありません。それは、通信セッションを開始するための基礎であるので、アイデンティティの概念は、リアルタイムコミュニケーションにおいて重要な役割を果たしています。このように、明確に、リアルタイム通信システムにおけるアイデンティティを主張するメカニズムを持っていることが不可欠です。
In this section we go over the admission issues and security problems discussed in previous sections, and discuss solutions that would be applicable to realtime communication in P2P.
このセクションでは、前のセクションで説明入場問題やセキュリティ上の問題を乗り越えて、P2Pでのリアルタイム通信に適用可能である解決策を議論します。
In order to remain compatible with existing user agents, P2P communication architectures would have to allow certain nodes to use their services without actually using overlay-specific semantics. One way to achieve this would be for overlay-agnostic nodes to register with an existing peer or a dedicated proxy via a standard protocol like SIP [RFC3261]. Through the rest of this document, we will refer to nodes that access the service without actually joining the overlay as "clients".
既存のユーザエージェントとの互換性を維持するためには、P2P通信アーキテクチャは、特定のノードが実際にオーバーレイ固有のセマンティクスを使用せずにそのサービスを使用できるようにする必要があります。これを達成する一つの方法は、既存のピアまたはSIP [RFC3261]のような標準プロトコルを介して専用のプロキシに登録するオーバーレイに依存しないノードに対してであろう。このドキュメントの残りの部分を通じて、我々は実際には、「クライアント」としてオーバーレイに参加せずにサービスにアクセスノードを参照します。
In most cases, users would be able to benefit from the overlay by only acting as clients. However, in order to keep the solution scalable, at some point clients would have to be promoted to peers (admission to the DHT). This requires addressing the following issues.
ほとんどの場合、ユーザーはクライアントだけとして作用することにより、オーバーレイの恩恵を受けることができるでしょう。しかし、スケーラブルなソリューションを維持するために、いくつかの点でクライアントがピア(DHTへの入院)に昇格しなければならないであろう。これは、次の問題に取り組む必要です。
Most existing P2P networks [KAZAA] [BITTORRENT] [PPLIVE] would generally leave it to the clients to determine if and when they would apply for becoming peers. A well-known exception to this trend is the Skype network [SKYPE], arguably one of the most popular overlay networks used for realtime communications today. Instances of the Skype application are supposed to operate as either super-nodes, directly contributing to the distributed provision of the service, or ordinary-nodes, simply using the service, and the "promotions" are decided by the higher levels of the hierarchy [Baset]. Even if there is not much difference for a client whether it has to actively ask for authorization to join an overlay or passively wait for an invitation, the latter approach has some advantages that fit well in overlays where only a subset of the peers is required to provide the service (as in realtime communication):
ほとんどの既存のP2Pネットワークは、[KAZAA] [BitTorrentの] [PPLiveの]一般的かどうかを判断するために、彼らは仲間になるため適用されるときにクライアントにそれを残すだろう。この傾向にはよく知られた例外は、Skypeネットワーク[SKYPE]、今日のリアルタイム通信に使用される最も人気のあるオーバーレイネットワークの間違いなく一つです。 [スカイプアプリケーションのインスタンスは、単にサービスを使用して、直接サービスの分散提供、または一般-ノードに寄与し、スーパーノードのいずれかとして動作するようになっている、そして「プロモーション」は、階層の高いレベルによって決定されますBASET]。それは積極的に招待状を待つ受動的にオーバーレイに参加したりするための許可を求める必要があるかどうか、クライアントのためにあまり違いがない場合でも、後者のアプローチは、ピアのサブセットのみが必要にされるオーバーレイにうまく適合し、いくつかの利点があります(リアルタイム通信のように)サービスを提供します。
o An attacker cannot estimate in advance when and if it would be invited to join the overlay as a peer.
とき、ピアとしてオーバーレイに参加するよう招待されるならば、攻撃者oを事前に見積もることはできません。
o It allows peers to perform long-lasting measurements on sets of candidates, in order to accurately select the most appropriate for upgrading and only invite it when they are "ready" to do so. The opposite approach, that is, when clients initiate the join themselves, adds an extra constraint for the peer that has to act upon the request since it doesn't know if and when the peer would attempt to join again.
Oそれは、彼らがそうする「準備完了」しているときに、ピアが正確にアップグレードするための最も適切なを選択して、それだけを招待するためには、候補のセットに長期的な測定を行うことができます。クライアントが自分自身を参加開始すると逆のアプローチは、つまり、ピアは再び参加しようと試みるならば、いつそれがわからないので、要求に応じて行動しているピアのための余分な制約を追加します。
o It discourages malicious peers from attempting Sybil and, more generally, brute force attacks, as only a small ratio of clients has chances to join the overlay (possibly after an accurate examination).
Oそれは、クライアントのわずかな割合は、(おそらく正確な審査を経て)オーバーレイに参加するチャンスを持っているとして、より一般的には、ブルートフォース攻撃をシビルを試みると、悪意のあるピアを阻止します。
In order to answer this question, one would have to define some criteria that would allow determination of the load on a peer and a reasonable threshold. When the load exceeds this threshold, a client is invited to become a peer and share the load. Several mechanisms to diagnose the status of P2P systems have recently been proposed [P2PSIP-DIAG]; in general, reasonable criteria for determining load can be:
この質問に答えるためには、一つは、ピアの負荷と合理的なしきい値の決定を可能にするいくつかの基準を定義する必要があります。負荷がこのしきい値を超えた場合、クライアントは、ピアとなり、負荷を共有するために招待されます。いくつかの機構が提案されているP2Pシステムの状態を診断する[P2PSIP-DIAG]。一般的には、負荷を決定するための合理的な基準があることができます:
o Number of clients attached.
接続されたクライアントのOの数。
o Bandwidth usage for DHT maintenance, forwarding requests, and responses to and from peers and from the attached clients.
DHTのメンテナンス、転送要求、およびへとからのピアと接続されたクライアントからの応答のためのO帯域幅の使用状況。
o Memory usage for DHT routing table, DHT neighborhood table, application-specific data, and information about the attached clients.
DHTルーティングテーブルのメモリ使用量、DHTの近傍テーブル、アプリケーション固有のデータ、および接続されているクライアントに関する情報、O。
Selecting which clients to upgrade would require defining and keeping track of new metrics. The exact set of metrics and how they influence decisions should be the subject of serious analysis and experimentation. These could be based on the following observations:
クライアントが定義し、新しいメトリックの追跡が必要となるアップグレードするかを選択します。正確なメトリックのセットとそれらがどのように意思決定に影響を与えるには、深刻な解析と実験の対象とすべきです。これらは、以下の観測に基づくことができます:
o Uptime. A peer could easily record the amount of time that it has been maintaining a connection with a client and take it into account when trying to determine whether or not to upgrade it.
稼働O。ピアは簡単にそれがクライアントとの接続を維持してきた時間の量を記録し、それをアップグレードするかどうかを判断しようとすると、アカウントにそれを取ることができます。
o Level of activity. It is reasonable to assume that the more a client uses the service (e.g., making phone calls), the less they would be willing to degrade it.
活動のOレベル。より多くのクライアントが(例えば、電話をかける)サービスを使用し、より少ないが、彼らはそれを劣化させることをいとわないと仮定することは合理的です。
o Keeping track of history. Peers could record history of the clients they invite and the way they contribute to the overlay.
歴史のトラックを維持するO。ピアは、彼らが招待クライアントの歴史、彼らはオーバーレイに貢献する道を記録できます。
Other metrics such as public vs. private IP addresses, computation power, and bandwidth should also be taken into account even though they do not necessarily have a direct impact on security.
こうしたパブリック対プライベートIPアドレス、計算能力、および帯域幅などの他の指標はまた、彼らは必ずしもセキュリティに直接影響を持っていないにもかかわらず、考慮すべきです。
Note however that a set of colluded malicious peers can manufacture basically any criteria considered for the upgrade. Furthermore, sophisticated peers can overload the system or run denial-of-service attacks against existing super-nodes in order to improve their chances of being upgraded.
共謀悪意のあるピアのセットは、基本的なアップグレードのために考えられて任意の条件を製造することができることに注意してください。さらに、洗練されたピアは、システムに過負荷をかけるか、アップグレードされているのチャンスを改善するために、既存のスーパーノードに対するサービス拒否攻撃を実行することができます。
Clients need to have incentives for accepting upgrades in order to prevent excessive burden on existing peers. One way to handle this would be to maintain separate incentive management through the use of currency or credits. Another option would involve embedding these incentives inside the protocol itself:
クライアントは、既存のピアに過度の負担を防ぐために、アップグレードを受け入れるためのインセンティブを持っている必要があります。これを処理する1つの方法は、通貨やクレジットを使用して別のインセンティブ管理を維持するだろう。別のオプションは、プロトコル自体の内部でこれらのインセンティブを埋め込む伴うだろう。
o Peers share with clients only a fraction of their bandwidth (uplink and downlink). This would result in higher latency when using the services of the overlay as a client and better service quality for peers.
クライアントとOピア株のみ、その帯域幅の一部(アップリンクおよびダウンリンク)。クライアントや同僚のためのより良いサービスの品質としてオーバーレイのサービスを使用する場合は、より長い待ち時間をもたらすであろう。
o Peers could restrict the number or types of calls that they allow clients to make.
Oピアは、彼らは、クライアントが行うことができコール数や種類を制限することができます。
Introducing such incentives, however, may turn out to be somewhat risky. Differences in quality would probably be perceptible for end users who would not always be able to understand the difference between the roles that their user agent is playing in the overlay. Such behavior may therefore be interpreted as arbitrary and make the service look unreliable.
このようなインセンティブを導入し、しかし、やや危険なことが判明することがあります。品質の違いは、おそらく常にユーザーエージェントがオーバーレイで再生されている役割の違いを理解することができないエンドユーザーのための知覚になります。このような挙動は、したがって、任意のように解釈し、サービスの信頼性が低く見えるようにすることができます。
In addition to bombardment with queries as described in Section 2, the denial-of-service attack against an individual node can be conducted in DHTs if the peers that surround a particular ID are compromised. These peers that act as proxy servers for the victim can fake the responses from the victim by sending fictitious error messages back to peers trying to establish a session. Danezis et al.'s solution [Danezis] can also provide protection against such attacks, as in their solution peers vary the nodes used in queries.
特定のIDを囲むピアが損なわれている場合、セクション2で説明したようにクエリによる衝撃に加えて、個々のノードに対するサービス拒否攻撃は、のDHTで行うことができます。被害者のためのプロキシサーバとして動作するこれらのピア偽物できるセッションを確立しようとしているピアに戻って架空のエラーメッセージを送信することにより、被害者からの応答。その溶液ピアがクエリで使用されるノードを変えるとDanezisらのソリューションは[Danezis】また、このような攻撃に対する保護を提供することができます。
The man-in-the-middle attack is well described by Seedorf [Seedorf1] in the particular case of P2PSIP [P2PSIP] and consists of an attack that exploits the lack of integrity when routing information. A malicious node could return IP addresses of other malicious nodes when queried for a particular ID. The requesting peer would then establish a session with a second malicious node, which would again return a "poisoned" reply. This could go on until the Time to Live (TTL) expires and the requester gives up the "wild goose chase" [Danezis]. A simple way for entities to verify the correctness of the routing lookup is to employ iterative routing and to check the node-ID of every routing hop that is returned, and it should get closer to the desired ID with every hop. However, this is not a strong check and can be defeated [Seedorf1].
man-in-the-middle攻撃がよくP2PSIP [P2PSIP]の特定の場合にセードルフ[Seedorf1]によって記載された情報をルーティングするときに整合性の欠如を利用する攻撃から構成されています。特定のIDを照会すると、悪意のあるノードは、他の悪意のあるノードのIPアドレスを返すことができます。要求側ピアは、再度「毒」返事を返す二悪意のあるノード、とのセッションを確立します。生存時間(TTL)が満了するまで、これは上に行く可能性があり、依頼者は、[Danezis]「野生のガチョウの追跡を」あきらめます。エンティティは、ルーティング検索の正しさを確認するための簡単な方法は、反復的なルーティングを採用すると、返されるすべてのルーティングホップのノードIDをチェックすることであり、それはすべてのホップで希望のIDに近づく必要があります。しかし、これは強力なチェックではなく、[Seedorf1]敗北することができます。
The effect of malicious peers could be mitigated by introducing the concept of trust within an overlay. This can be done in different ways:
悪意のあるピアの効果は、オーバーレイ内の信頼の概念を導入することによって軽減することができます。これは、異なる方法で行うことができます。
o Using certificates assigned by an external authority. The drawback with this approach is that it requires a centralized element.
外部の権威によって割り当てられた証明書を使用して、O。このアプローチの欠点は、集中型の要素を必要とすることです。
o Using certificates reciprocally signed by peers. This mechanism is quite similar to PGP [Zimmermann]; every peer signs certificates of "friend" peers and trusts any other peer with a certificate signed by one of its friends. However, even though it might be theoretically possible, in reality it is extremely difficult to obtain long enough trust chains.
O相互にピアによって署名された証明書を使用しました。この機構は、PGP [ツィンマーマン]と全く同様です。 「友人」仲間との信頼関係のすべてのピア・サイン証明書その友人の一人が署名した証明書を持つ他のピア。しかし、それは理論的には可能であるかもしれないにもかかわらず、現実には、十分な長さの信頼チェーンを得ることは極めて困難です。
One way for implementing realtime communication overlays (as we have mentioned in earlier sections) would be to simply replace centralized entities in signaling protocols like SIP [RFC3261] with distributed services. In some cases, this might imply reusing existing protocol mechanisms for routing signaling messages. In the case of SIP, this would imply regarding peers as SIP proxies. However, the design of SIP supposes that such proxies are trusted, and makes it possible for them to fork requests or change their destination, add or remove header fields, act as the remote party, and generally manipulate message content and semantics.
(私たちは、以前のセクションで言及したように)リアルタイム通信オーバーレイを実装するための一つの方法は、単純に分散サービスでSIP [RFC3261]のようなシグナリングプロトコルで集中型のエンティティを置き換えることであろう。いくつかのケースでは、これは、シグナリングメッセージをルーティングするために、既存のプロトコルメカニズムを再利用暗示するかもしれません。 SIPの場合、これはSIPプロキシとしてピアに関する暗示します。しかし、SIPのデザインは、このようなプロキシが信頼されていることを想定し、それらがリクエストをフォークやその先を変更、追加、またはヘッダフィールドを削除し、相手として働き、そして一般的にメッセージの内容とセマンティクスを操作することが可能になります。
However, in a P2P environment where messages may be routed through numerous successive peers, some of which might be compromised, it is important not to treat them as trusted proxies. One way to limit what peers can do is by protecting signaling with some kind of end-to-end encryption.
ただし、メッセージが損なわれる可能性があるそのうちのいくつかは、多数の連続したピアを経由してルーティングすることができるP2P環境では、信頼できるプロキシとして扱うしないことが重要です。ピアが何ができるかを制限する1つの方法は、エンドツーエンドの暗号化のいくつかの種類とシグナリング保護することです。
Another option would be to extend existing signaling protocols and modify the way they route messages in order to guarantee secure end-to-end transmission. Gurbani et al. [Gurbani] define a similar mechanism for SIP that allows nodes to establish a secure channel by sending a CONNECT SIP request, and then tunnel all SIP messages through it, adopting a similar mechanism to the one used for upgrading from HTTP to HTTPS [RFC2818].
別のオプションは、既存のシグナリングプロトコルを拡張し、安全なエンド・ツー・エンド伝送を保証するために、彼らはメッセージのルーティング方法を変更することであろう。 Gurbaniら。 【Gurbani] HTTPSにHTTPからのアップグレードのために使用されるものと同様の機構を採用し、ノードがそれを介してすべてのSIPメッセージを接続するSIPリクエストを送信し、その後、トンネルによって、安全なチャネルを確立することを可能にするSIPのための同様の機構を定義する[RFC2818] 。
It is important to ensure that the location that a user registers, usually a (URI, IP) pair, is what is returned to the requesting party. Or the entities that issue the lookup request must be able to verify the integrity of this pair. A pure P2P approach to allow verification of the integrity of location binding information is presented in [Seedorf2]. The idea is for an entity to choose an asymmetric key pair and hash its public key to generate its URI. The entity then signs its present location with its private key and registers with the quadruple (URI, IP, signature, public key). Any entity that looks up the URI and receives such a quadruple can then verify its integrity by using the public key and the certificate. Another possible merit of such an approach could be that it is possible to identify the malicious nodes and maintain a black list. However, the resulting URIs are not easy to remember and associate with entities. Discovering these URIs and associating them with entities would therefore require some sort of a directory service. The authors suggest using existing authentication infrastructure for this such as a certified web service using SSL that can publish an "online phone book" mapping users to URIs.
ユーザーが登録した場所、通常は(URI、IP)ペアは、要求者に返されるものであることを確認することが重要です。またはルックアップ要求を発行エンティティは、このペアの整合性を検証できなければなりません。情報を結合位置の完全性の検証を可能にするために、純粋なP2Pアプローチは[Seedorf2]に提示されています。アイデアは、非対称鍵ペアを選択し、そのURIを生成するために、その公開鍵をハッシュするエンティティのためです。エンティティは、四重(URI、IP、署名、公開鍵)とその秘密鍵とレジスタとの現在位置に署名します。 URIを検索し、そのような四重を受けた任意のエンティティは、公開鍵と証明書を使用することによって、その整合性を検証することができます。そのようなアプローチの別の可能な利点は、悪意のあるノードを識別し、ブラックリストを維持することが可能であることとすることができます。しかし、結果のURIは覚えていると、エンティティと関連付けることは容易ではありません。これらのURIを発見し、エンティティとそれらを関連付けると、そのためのディレクトリサービスのいくつかの並べ替えを必要とします。著者は、そのようなURIに「オンライン電話帳」マッピングユーザーを公開することができ、SSLを使用して認証を取得し、Webサービスとしてこのため、既存の認証インフラストラクチャを使用してお勧めします。
Using P2P overlays for realtime communication implies that content is likely to traverse numerous intermediate peers before reaching its destination. A typical example could be the use of peers as media relays as a way of traversing NATs in VoIP calls.
リアルタイム通信のためのP2Pオーバーレイを使用すると、コンテンツがその宛先に到達する前に多数の中間ピアを横断する可能性があることを意味します。典型的な例は、VoIPコールでのNATを横断する方法として、メディアリレーとしてピアの使用可能性があります。
Contrary to publicly shared files, communication sessions are in most cases expected to be private. It is therefore very important to make sure that no media leaves the client application without being encrypted and securely transported through a protocol like SRTP [RFC3711]. However, the processing required by the encryption
反して、公に共有するファイルは、通信セッションはプライベートであることが予想ほとんどのケースです。何のメディアを暗号化して安全にSRTP [RFC3711]のようなプロトコルを介して輸送されることなく、クライアントアプリケーションを残さないことを確認することが非常に重要です。しかし、処理は、暗号化によって必要な
algorithms and the extra resources necessary for managing the keying material (e.g., for retrieving public keys when interacting with unknown peers) may be expensive, especially for mobile devices.
(未知のピアと対話するときに、公開鍵を取得するために、例えば)鍵素材を管理するために必要なアルゴリズムや余分なリソースは、特にモバイルデバイスのために、高価になることがあります。
Details on cost and payment regimes could help identify further threats. Such details could also be important when determining the impact of a potential attack in the context of the specific business models associated with particular overlays. In many cases, answers to the following simple questions significantly aid the design of protection mechanisms:
費用と支払い制度の詳細については、更なる脅威を識別するのに役立つ可能性があります。特定のオーバーレイに関連する特定のビジネス・モデルの文脈における潜在的な攻撃の影響を決定する際に、このような詳細も重要である可能性があります。多くの場合、以下の簡単な質問への回答は大幅に保護メカニズムの設計を支援します:
o Whom do the users pay?
Oユーザーは誰に支払うのですか?
o Do the users only pay when accessing the public telephone network?
公衆電話網にアクセスする際、Oのユーザーにのみ支払うのですか?
o Is the billing done per call or is it fixed?
O課金は呼び出しごとに行われているか、それが固定されていますか?
For instance, the implications of an attack such as taking control over another's user agent or its identity and using it for outbound calls would depend on whether or not this would be economically advantageous for the attacker. Baumann et al. [Baumann] suggest that to prevent unwanted communication costs, gateways for the public telephone network should only be accessible via authenticated servers and dialing authorizations should be enforced. Also, it seems that it would be difficult to do billing in a pure P2P manner as it would mean keeping the billing details with untrusted peers.
例えば、このような他のユーザーエージェントまたはそのアイデンティティに対する制御を取り、発信コールのためにそれを使用するなど、攻撃の影響が、これは攻撃者にとって経済的に有利であろうかどうかに依存します。バウマンら。 [バウマン]それは、不要な通信コストを防ぐために提案し、公衆電話網のためのゲートウェイにのみ適用されるべきで、認証サーバとダイヤル権限を介してアクセスする必要があります。また、信頼できないピアと請求先の詳細を保つ意味するであろうと、純粋なP2P方式で課金を行うことは困難であろうと思われます。
Existing systems used for file-sharing, media streaming, and realtime communications all achieve a reasonable level of security relying on centralized components (e.g., login servers in Skype [Baset], moderators and trackers in BitTorrent [Pouwelse]). Securing pure P2P networks is therefore still a very active research field; at the time of writing the main open issues fall in five areas:
ファイル共有、メディアのストリーミング、リアルタイム通信のすべてに使用される既存のシステムは、集中型のコンポーネントに依存するセキュリティの妥当なレベルを達成する(例えば、スカイプ[BASET]にログインサーバ、BitTorrentの[Pouwelse]でモデレーターとトラッカー)。ピュアP2Pネットワークを確保することは、依然として極めて活発な研究分野です。主な未解決の問題を書いている時点で5つの分野に分類されます。
o Secure assignment of node IDs.
OノードIDの割り当てを固定します。
o Entity-identity association.
Oエンティティ識別情報の関連付け。
o Distributed trust among peers.
Oピア間の信頼を分散。
o Resistance against malicious peer collusion.
悪意のあるピア共謀に対する耐性O。
o Robustness and damage recovery.
O堅牢性とダメージ回復。
In general, P2P overlays are designed to work when the vast majority of their peers are interested in the service provided by the system and act benevolently. Understanding how operations in different overlays are perturbed as the number of malicious or compromised peers grows is another interesting area of research. Also, a widely adopted methodology for the evaluation and classification of security solutions would be likely to help research in the field of P2P security progress more efficiently.
一般的には、P2Pオーバーレイは、仲間の大半は、システムによって提供されるサービスに興味があるとbenevolently行動時に動作するように設計されています。異なるオーバーレイでの操作が悪意のある、または危険にさらさピアの数が増えるように摂動されている方法を理解することは、研究のもう一つの興味深いエリアです。また、セキュリティソリューションの評価および分類のための広く採用されている方法論は、より効率的にP2Pのセキュリティ進捗の分野の研究を支援する可能性が高いだろう。
This document, tutorial in nature, discusses some of the security issues of P2P systems used for realtime communications. It does not aim at identifying all possible threats and the corresponding solutions; instead, starting from an analysis of the attackers, it delves into some important aspects of P2P security, referencing the most relevant works published at the time of writing and discussing how they apply (or could apply) to the case of realtime communications.
この文書は、自然の中でチュートリアルでは、リアルタイム通信に使用されるP2Pシステムのセキュリティ上の問題のいくつかを説明します。これは、すべての可能な脅威と対応するソリューションを特定することを目的としていません。代わりに、攻撃者の分析から始めて、それは執筆時点で公表され、最も関連性の高い作品を参照すると、リアルタイム通信の場合には、それらが適用されます(または適用できる)どのように議論し、P2Pのセキュリティのいくつかの重要な側面を深く掘り下げ。
The authors are particularly grateful to Dhruv Chopra, who contributed to the writing of the article "Peer-to-peer Overlays for Real-Time Communication: Security Issues and Solutions" (IEEE Surveys & Tutorials, Vol. 11, No. 1) from which this work is partially derived.
「:セキュリティの問題と解決策リアルタイム通信のためのピア・ツー・ピアオーバーレイ」(IEEE調査&チュートリアル、第11巻、第1号。)から著者は、記事の執筆に貢献しDhruvチョプラ、特に感謝していますこれは、この作業は、部分的に導出されます。
The authors would also like to thank Vijay Gurbani and Song Haibin for reviewing the document and the many others who provided useful comments.
著者らはまた、文書や有益なコメントを提供し、多くの人を見直すためビジェイGurbaniと歌海浜に感謝したいと思います。
[Ahn] Ahn, L., Blum, M., and J. Langford, "Telling humans and computers apart automatically", Communications of the ACM, vol. 47, no. 2, February 2004.
【アン】アン、L.、ブラム、M.、およびJ.ラングフォード、「離れて自動的に、人間とコンピュータを伝える」、ACM、VOLの通信。 47、ありません。 2、2004年2月。
[Androutsellis-Theotokis] Androutsellis-Theotokis, S. and D. Spinellis, "A survey of peer-to-peer content distribution technologies", ACM CSUR, vol. 36, no. 4, December 2004.
[Androutsellis-Theotokis] Androutsellis-Theotokis、S.及びD. Spinellis、 "ピア・ツー・ピア・コンテンツ配信技術の調査"、ACM CSUR、体積36、ありません。 4、2004年12月。
[BITTORRENT] "BitTorrent", <http://www.bittorrent.com/>.
[BitTorrentの] "ビットトレント"、<http://www.bittorrent.com/>。
[Baset] Baset, S. and H. Schulzrinne, "An analysis of the skype peer-to-peer internet telephony protocol", Proceedings of IEEE INFOCOM 2006, April 2006.
[BASET] BASET、S.およびH. Schulzrinneと、「スカイプピア・ツー・ピアのインターネット電話プロトコルの解析」、IEEE INFOCOM 2006、2006年4月の議事。
[Baumann] Baumann, R., Cavin, S., and S. Schmid, "Voice Over IP - Security and SPIT", Technical Report, University of Berne, September 2006.
[バウマン]バウマン、R.、Cavin、S.、およびS.シュミッド、 "ボイスオーバーIP - セキュリティとSPIT"、技術報告書、ベルン大学、2006年9月。
[COOLSTREAM] "COOLSTREAMING", <http://www.coolstreaming.us>.
[COOL STREAM] "ストリーミングCOOL"、<http://www.coolstreaming.us>。
[Castro] Castro, M., Druschel, P., Ganesh, A., Rowstron, A., and D. Wallach, "Secure routing for structured peer-to-peer overlay networks", Proceedings of 5th symposium on Operating systems design and implementation, December 2002.
【カストロ】カストロ、M.、Druschel、P.、ガネーシュ、A.、Rowstron、A.、およびD.ウォラック、「構造化ピアツーピア・オーバーレイ・ネットワークのためのセキュアなルーティング」、第5回シンポジウムオペレーティングシステムの設計にそして、実施、2002年12月。
[Chellapilla] Chellapilla, K. and P. Simard, "Using Machine Learning to Break Visual Human Interaction Proofs (HIPs)", Proceedings of Advances in Neural Information Processing Systems, December 2004.
[Chellapilla] Chellapilla、K.およびP. Simard、「ビジュアル人間の対話証明を破るために機械学習を用いた(HIPS)」、ニューラル情報処理システム、2004年12月の進歩の議事。
[Condie] Condie, T., Kacholia, V., Sankararaman, S., Hellerstein, J., and P. Maniatis, "Maelstorm: Churn as Shelter", Proceedings of 13th Annual Network and Distributed System Security Symposium, November 2005.
[Condie] Condie、T.、Kacholia、V.、Sankararaman、S.、Hellerstein、J.、およびP.マニアティス、 "Maelstorm:シェルターとして解約"、第13回ネットワークの議事録と分散システムセキュリティシンポジウム、2005年11月。
[Damiani] Damiani, E., Vimercati, D., Paraboschi, S., Samarati, P., and F. Violante, "A Reputation-Based Approach for Choosing Reliable Resources in Peer-to-Peer Networks", Proceedings of Conference on Computer and Communications Security, November 2002.
【ダミアーニ】ダミアーニ、E.、Vimercati、D.、Paraboschi、S.、Samarati、P.、およびF. Violante、「ピア・ツー・ピアネットワークにおける信頼性のリソースを選択するための評判ベースのアプローチ」、会議の議事録コンピュータおよび通信セキュリティ、2002年11月に。
[Danezis] Danezis, G., Lesniewski-Laas, C., Kaashoek, M., and R. Anderson, "Sybil-resistant DHT routing", Proceedings of 10th European Symposium on Research in Computer Security, September 2005.
[Danezis] Danezis、G.、Lesniewski-Laasの、C.、Kaashoek、M.、およびR.アンダーソン、 "シビル耐性DHTルーティング"、コンピュータセキュリティ、2005年9月リサーチ第10回欧州のシンポジウム。
[Douceur] Douceur, J., "The Sybil Attack", Revised Papers from First International Workshop on Peer-to-Peer Systems, March 2002.
[ドゥスール]ドゥスール、J.、「シビル・アタック」は、ピア・ツー・ピア・システムズ、2002年3月に第一回国際ワークショップからの論文を改訂します。
[Gurbani] Gurbani, V., Willis, D., and F. Audet, "Cryptographically Transparent Session Initiation Protocol (SIP) Proxies", Proceedings of IEEE ICC '07, June 2007.
【Gurbani] Gurbani、V.、ウィリス、D.およびF. Audet、 "暗号的透明セッション開始プロトコル(SIP)プロキシ"、IEEE ICC '07、2007年6月会報。
[KAZAA] "KaZaa", <http://www.kazaa.com/>.
[KAZAA] "KaZaaの"、<http://www.kazaa.com/>。
[Kamvar] Kamvar, S., Garcia-Molina, H., and M. Schlosser, "The EigenTrust Algorithm for Reputation Management in P2P Networks", Proceedings of 12th international conference on World Wide Web, May 2003.
[Kamvar] Kamvar、S.、ガルシア - モリーナ、H.、およびM. Schlosser、「P2Pネットワークにおける評判管理のためのEigenTrustアルゴリズム」、ワールド・ワイド・ウェブ、2003年5月の第12回国際会議の議事録。
[Kim] Kim, Y., Mazzocchi, D., and G. Tsudik, "Admission Control in Peer Groups", Proceedings of Second IEEE International Symposium on Network Computing and Applications, April 2003.
[キム]キム、Y.、Mazzocchi、D.、およびG. Tsudik、「ピアグループにおけるアドミッション制御」、ネットワーク・コンピューティングとその応用に関する第2回IEEE国際シンポジウム、2003年4月。
[Kong] Kong, J., Zerfos, P., Luo, H., Lu, S., and L. Zhang, "Providing robust and ubiquitous security support for MANET", Proceedings of 9th International Conference on Network Protocols, November 2001.
[香港]香港、J.、Zerfos、P.、羅、H.、呂、S.、およびL.チャン、「MANETのための堅牢かつユビキタスセキュリティサポートを提供」、ネットワークプロトコル、2001年11月に第9回国際会議の議事録。
[Lee] Lee, S., Kwon, O., Kim, J., and S. Hong, "A Reputation Management System in Structured Peer-to-Peer Networks", Proceedings of 14th IEEE International Workshops on Enabling Technologies: Infrastructure for Collaborative Enterprise, June 2005.
[リー]リー、S.、クォン、O.、キム、J.、およびS.香港、「構造化ピアツーピアネットワークにおける評判管理システム」、実現技術第14回IEEE国際ワークショップの議事録:のためのインフラストラクチャ共同エンタープライズ、2005年6月。
[Liang] Liang, J., Kumar, R., Xi, Y., and K. Ross, "Pollution in p2p file sharing systems", Proceedings of IEEE INFOCOM 2005, March 2005.
[梁]梁、J.、クマー、R.、西、Y.、およびK.ロス、 "P2Pファイル共有システムにおける汚染"、IEEE INFOCOM 2005年2005年3月の議事録。
[Marti] Marti, S., Ganesan, P., and H. Garcia-Molina, "SPROUT: P2P Routing with Social Networks", Proceedings of First International Workshop on Peer-to-Peer and Databases, March 2004.
[マルティ]マルティ、S.、ガネサン、P.、およびH.ガルシア - モリーナ、「SPROUT:ソーシャルネットワークとのP2Pルーティング」、ピア・ツー・ピアとデータベース、2004年3月に第一回国際ワークショップの議事録。
[Maymounkov] Maymounkov, P. and D. Mazi, "Kademlia: A Peer-to-peer Information System Based on the XOR Metric", Proceedings of First International Workshop on Peer-to-peer Systems, March 2002.
[Maymounkov] Maymounkov、P。およびD. Mazi、「Kademliaの:XORメートル法に基づいてピア・ツー・ピア情報システム」、第一回国際ワークショップの議事録ピア・ツー・ピア・システムズ、2002年3月に。
[McCue] McCue, Andy., "Bookie reveals 100,000 cost of denial-of-service extortion attacks", available from http://www.silicon.com, June 2004.
[マッキュー]マッキュー、アンディは、http://www.silicon.comから入手し、2004年6月「ブッキーは、サービス拒否攻撃恐喝100,000コストを明らかにする」。
[NAPSTER] "Napster", <http://www.napster.com/>.
[NAPSTER] "ナップスター"、<http://www.napster.com/>。
[Ohta] Ohta, K., Micali, S., and L. Reyzin, "Accountable Subgroup Multisignatures", Proceedings of 8th ACM conference on Computer and Communications Security, November 2001.
[太田]太田、K.、Micali、S.、およびL. Reyzin、 "説明責任サブグループMultisignatures"、コンピュータおよび通信セキュリティ、2001年11月第8回ACM会議の議事録。
[P2PSIP] "Peer-to-Peer Session Initiation Protocol (P2PSIP) IETF Working Group", <http://www.ietf.org/html.charters/ p2psip-charter.html>.
[P2PSIP] "ピア・ツー・ピアセッション開始プロトコル(P2PSIP)IETFワーキンググループ"、<http://www.ietf.org/html.charters/ P2PSIP-charter.html>。
[P2PSIP-DIAG] Yongchao, S., Jiang, X., Even, R., and D. Bryan, "P2PSIP Overlay Diagnostics", Work in Progress, December 2009.
[P2PSIP-DIAG] Yongchao、S.、江、X.、でも、R.、およびD.ブライアン、 "P2PSIPオーバーレイ診断"、進歩、2009年12月の作業。
[PPLIVE] "PPLive", <http://www.pplive.com>.
[PPLiveの] "PPLiveの"、<http://www.pplive.com>。
[Poon] Poon, W. and R. Chang, "Robust Forwarding in Structured Peer-to-Peer Overlay Networks", Proceedings of ACM SIGCOMM 2004, August 2004.
[プーン]プーン、W.およびR.チャン、「構造化ピアツーピア・オーバーレイ・ネットワークにおける堅牢な転送」、ACM SIGCOMMの2004、2004月の議事。
[Pouwelse] Pouwelse, J., Garbacki, P., Epema, D., and H. Sips, "The Bittorent P2P File-Sharing System: Measurements and Analysis", Proceedings of 4th International Workshop of Peer-to-peer Systems, February 2005.
[Pouwelse] Pouwelse、J.、Garbacki、P.、Epema、D.、およびH. SIPS、「BitTorrentをP2Pファイル共有システム:測定と分析」、ピア・ツー・ピアシステムの第4回国際ワークショップの議事録、 2005年2月。
[RFC2818] Rescorla, E., "HTTP Over TLS", RFC 2818, May 2000.
[RFC2818]レスコラ、E.、 "TLSオーバーHTTP"、RFC 2818、2000年5月。
[RFC3261] Rosenberg, J., Schulzrinne, H., Camarillo, G., Johnston, A., Peterson, J., Sparks, R., Handley, M., and E. Schooler, "SIP: Session Initiation Protocol", RFC 3261, June 2002.
[RFC3261]ローゼンバーグ、J.、Schulzrinneと、H.、カマリロ、G.、ジョンストン、A.、ピーターソン、J.、スパークス、R.、ハンドレー、M.、およびE.学生、 "SIP:セッション開始プロトコル" 、RFC 3261、2002年6月。
[RFC3711] Baugher, M., McGrew, D., Naslund, M., Carrara, E., and K. Norrman, "The Secure Real-time Transport Protocol (SRTP)", RFC 3711, March 2004.
[RFC3711] Baugher、M.、マグリュー、D.、Naslund、M.、カララ、E.、およびK. Norrman、 "セキュアリアルタイム転送プロトコル(SRTP)"、RFC 3711、2004年3月。
[RFC4981] Risson, J. and T. Moors, "Survey of Research towards Robust Peer-to-Peer Networks: Search Methods", RFC 4981, September 2007.
[RFC4981] Risson、J.およびT.ムーアズ、「堅牢なピアツーピアネットワークに向けた研究の調査:検索方法」、RFC 4981、2007年9月。
[Ratnasamy] Ratnasamy, S., Francis, P., Handley, M., Karp, R., and S. Shenker, "A Scalable Content-Addressable Network", Proceedings of ACM SIGCOMM 2001, January 2001.
【Ratnasamy] Ratnasamy、S.、フランシス、P.、ハンドレー、M.、カープ、R.、およびS. Shenker、 "スケーラブルな内容アドレスネットワーク"、ACM SIGCOMMの2001年議事録、2001年1月。
[Rowaihy] Rowaihy, H., Enck, W., McDaniel, P., and T. Porta, "Limiting Sybil attacks in structured peer-to-peer networks", Proceedings of IEEE INFOCOM 2007, May 2007.
[Rowaihy] Rowaihy、H.、Enck、W.、マクダニエル、P.、およびT.ポルタ、 "構造化されたピア・ツー・ピア・ネットワークにおけるシビル攻撃を制限する"、IEEE INFOCOM 2007、2007年5月の議事。
[Rowstron] Rowstron, A. and P. Druschel, "Pastry: Scalable, distributed object location and routing for large-scale peer-to-peer systems", Proceedings of 18th IFIP/ACM International Conference on Distributed Systems Platforms (Middleware 2001), November 2001.
【Rowstron] Rowstron、A.及びP. Druschel、「ペストリー:大規模なピア・ツー・ピア・システムのためのスケーラブルな、分散オブジェクトの位置とルーティング」、分散システムプラットフォーム上で18 IFIP / ACM国際会議の議事録(ミドルウェア2001) 、2001年11月。
[SHA1] 180-1, FIPS., "Secure Hash Standard", April 2005.
[SHA1] 180-1、FIPS。、 "セキュアハッシュ標準"、2005年4月。
[SKYPE] "Skype", <http://www.skype.com/>.
[SKYPE] "スカイプ"、<http://www.skype.com/>。
[Saxena] Saxena, N., Tsudik, G., and J. Yi, "Admission Control in Peer-to-Peer: Design and Performance Evaluation", Proceedings of 1st ACM workshop on Security of ad hoc and sensor networks, October 2003.
「ピア・ツー・ピアでのアドミッションコントロール:設計と性能評価」[Saxena] Saxena、N.、Tsudik、G.、およびJ.李、アドホックのセキュリティとセンサーネットワーク、2003年10月に第1回ACMワークショップの議事録。
[Scheideler] Scheideler, C., "How to Spread Adversarial Nodes?: Rotate!", Proceedings of 37th Annual ACM Symposium on Theory of Computing, May 2005.
[Scheideler] Scheideler、C.、「敵対ノード?:回しを広めるためにどのように!」、コンピューティング、2005年5月の理論上の第37回ACMシンポジウム。
[Seedorf1] Seedorf, J., "Security Challenges for Peer-to-Peer SIP", IEEE Network, vol. 20, no. 5, September 2006.
【Seedorf1]セードルフ、J.、「ピア・ツー・ピアSIPのためのセキュリティ上の課題」、IEEEネットワーク、体積20、ありません。 5、2006年9月。
[Seedorf2] Seedorf, J., "Using Cryptographically Generated SIP-URIs to Protect the Integrity of Content in P2P-SIP", Proceedings of 3rd Annual VoIP Security Workshop, June 2006.
[Seedorf2]セードルフ、J.、「P2P-SIPのコンテンツの完全性を保護するために暗号的に生成されたSIP-URIを使用」、第3回VoIPセキュリティワークショップ、2006年6月の議事。
[Singh] Singh, K. and H. Schulzrinne, "Peer-to-Peer Internet Telephony using SIP", Proceedings of International Workshop on Network and Operating System Support for Digital Audio and Video, June 2005.
デジタルオーディオとビデオ、2005年6月のために、ネットワークに関する国際ワークショップおよびオペレーティングシステムのサポートの議事録「SIPを使用してピア・ツー・ピアインターネット電話」[シン]シン、K.およびH. Schulzrinneと、。
[Sit] Sit, E. and R. Morris, "Security considerations for peer- to-peer distributed hash tables", Revised Papers from First International Workshop on Peer-to-Peer Systems, March 2002.
、ピアツーピアシステム、2002年3月に第一回国際ワークショップからの改訂論文[シット]シット、E.およびR.モリス、「ピアツーピア分散ハッシュテーブルのためのセキュリティの考慮事項」。
[Stoica] Stoica, I., Morris, R., Karger, D., Kaashoek, M., and H. Balakrishnan, "Chord: A Scalable Peer-to-peer Lookup Service for Internet Applications", Proceedings of Applications, Technologies, Architectures, and Protocols for Computer Communication 2001, May 2001.
【Stoicaの】Stoicaの、I.、モリス、R.、カーガー、D.、Kaashoek、M.、およびH.バラクリシュナン、「コード:インターネットアプリケーションのためのスケーラブルなピアツーピア検索サービス」、議事録のアプリケーション、技術コンピュータコミュニケーション2001年、2001年5月のために、アーキテクチャ、およびプロトコル。
[Tam] Tam, J., Simsa, J., Hyde, S., and L. Ahn, "Breaking Audio CAPTCHAs with Machine Learning Techniques", Proceedings of Advances in Neural Information Processing Systems, December 2009.
[タム]タム、J.、Simsa、J.、ハイド、S.、およびL.安、「機械学習技術とブレーキングオーディオCAPTCHAの」、ニューラル情報処理システム、2009年12月の進歩の議事。
[Uzun] Uzun, E., Pariente, M., and A. Selpk, "A Reputation-Based Trust Management System for P2P Networks", Proceedings of International Symposium on Cluster Computing and the Grids, April 2004.
[ウズン]ウズン、E.、Pariente、M.、およびA. Selpk、「P2Pネットワークのためのレピュテーションベース・トラスト・マネジメント・システム」、クラスタコンピューティングに関する国際シンポジウムとグリッド、2004年4月。
[Wallach] Wallach, D., "A Survey of Peer-to-Peer Security Issues", Proceedings of International Symposium of Software Security 2002, November 2002, <http://www.cs.rice.edu/~dwallach/pub/ tokyo-p2p2002.pdf>.
[ウォラック]ウォラック、D.、ソフトウェアセキュリティ2002、2002年11月の国際シンポジウム、<http://www.cs.rice.edu/~dwallach/pub「ピア・ツー・ピアのセキュリティ問題の調査」 /東京p2p2002.pdf>。
[Yu] Yu, H., Kaminsky, M., Gibbons, P., and A. Flaxman, "SybilGuard: Defending Against Sybil Attacks via Social Networks", Proceedings of ACM SIGCOMM 2006, September 2006.
[ゆう]ゆう、H.、カミンスキー、M.、ギボンズ、P.、およびA. Flaxman、 "SybilGuard:ソーシャルネットワークを経由してシビル攻撃からの保護"、ACMのSIGCOMM 2006、2006年9月の議事。
[Zhang] Zhang, X., Chen, S., and R. Sandhu, "Enhancing Data Authenticity and Integrity in P2P Systems", IEEE Internet Computing, vol. 9, no. 6, September 2005.
[チャン]チャン、X.、陳、S.、およびR. Sandhu、 "P2Pシステムにおけるデータの信頼性と整合性の強化"、IEEEインターネットコンピューティング、巻。 9、ありません。 6、2005年9月。
[Zimmermann] Zimmermann, Philip., "Pretty good privacy: public key encryption for the masses", Building in big brother: the cryptographic policy debate pag. 103-107, 1995.
[ツィンマーマン]ツィンマーマン、フィリップ、「かなり良いプライバシー:大衆のための公開鍵暗号」。、ビル兄で:暗号政策論議のPAG。 103-107、1995。
Authors' Addresses
著者のアドレス
Henning Schulzrinne Columbia University 1214 Amsterdam Avenue New York, NY 10027 USA
ヘニングSchulzrinneとコロンビア大学1214アムステルダムアベニュー、ニューヨーク、NY 10027 USA
EMail: hgs@cs.columbia.edu
メールアドレス:hgs@cs.columbia.edu
Enrico Marocco Telecom Italia Via G. Reiss Romoli, 274 Turin 10148 Italy
エンリコ・モロッコテレコムイタリアVia G.ライスRomoli、274 10148トリノイタリア
EMail: enrico.marocco@telecomitalia.it
メールアドレス:enrico.marocco@telecomitalia.it
Emil Ivov SIP Communicator / University of Strasbourg 4 rue Blaise Pascal Strasbourg Cedex F-67070 France
エミールIvov SIP Communicatorの/大学ストラスブールの4 RUEパスカルストラスブールCedexのF-67070フランス
EMail: emcho@sip-communicator.org
メールアドレス:emcho@sip-communicator.org