Sybil攻击及其防御方案

    DHT网络中，最容易受到的三种攻击有Sybil攻击、Eclipse攻击、路由和存取攻击。本文主要介绍Sybil攻击概念、危害及其解决方案。
    DHT网络面临着来自远程恶意节点或节点失效带来的安全威胁，为了解决这些问题，许多系统引入了冗余备份机制。有些系统将运算任务或存储任务在多个远程节点上进行备份，或者将一个完整的任务或数据进行分割然后存储在多个远程节点上。在DHT网络中，一个节点只有一个唯一的节点ID来标识它的身份。而Sybil攻击是指一个节点伪造多个节点id，当对数据进行冗余备份时，有可能这个数据的多个备份都存储在了Sybil节点上，从而削弱了系统的冗余性。    2002年，Douceur提出抵御Sybil攻击的唯一方法是使用可信的CA机构对身份进行认证。该方案使用集中式的CA为每一个加入系统的节点颁发证书。证书中包含该节点的id、IP地址、公钥，并用CA的私钥对证书进行签名。其中节点id是由CA从id空间中随机选择分配的，防止节点自己选择id，从而进行有目的的攻击。将节点id与IP绑定起来，好处在于攻击者所控制的节点之间交换证书更加困难，缺点在于IP的变动会导致证书的失效。每个节点都有一个公私钥对，这是由节点自己产生的，私钥不会出自己的节点。虽然证书机制可以防止一个节点伪造多个id，但是不能防止一个攻击者拥有大量的证书。针对这个问题有两种解决方案，一种是对证书进行收费来增加攻击成本，另一种是将节点id与真实世界的身份进行绑定。第一种方式适合于开放的Internet环境中，但是其提高了节点加入系统的门槛。第二种适合于虚拟的私有网络。CA为攻击者提供了一个明确的攻击目标，存在单点失效问题。    2005年，Wang从物理网络角度构建了一个新的P2P网络。在该网络中，所有节点被分成了若干个group，每个group类似于一个自治系统，有一个agent。一个group又分成了若干个team，每个team有一个leader。每个group和team都有一个id。每个数据对象的id是64位的，其中前32位用于映射group id，后32位用于映射team id。数据对象存储在对应team的leader中，并在该leader所管辖的节点中分布式存储一个数据对象，以便leader失效时重建新的leader。每个leader和agent都存储一张路由表，路由表存储所有group的id和agent的信息，每个agent还存储一张转发表，转发表中记录了该agent所管辖的team的id和leader信息。当有节点查询某个object时，查询请求首先到达该节点所在的team的leader，然后leader查询路由表，将请求转发到对应group的agent上，然后agent再查询转发表，将请求转发到对应的team的leader上，该leader会将object返回给原始节点。该网络的安全性首先是基于一个更好的id，称为net-print（网络指纹），它包括默认路由IP、mac地址、landmark vector。这种网络的缺点是网络状况变化会导致身份检测失败。另一个问题是在网络测量基础设施中的任何的改变都意味着所有节点id的改变。另外，系统并不支持移动的节点。    2006年，Dinger提出了一种针对Chord网络的自注册机制来防御sybil攻击。在该方案中，与CA机制不同的是节点id是分布式分配的。要加入网络的节点首先计算自己的节点id，节点id是IP和端口号异或后的哈希值；然后该节点在chord环中的r个节点中进行注册，这r个节点用该节点的IP地址和j（1=<j<=r）计算出来的。每个节点为每一个IP地址维护着一张注册节点表，如果在该节点中注册的IP地址数超过了系统常数a，将拒绝该节点注册。值得注意的是，一个节点在IP不变的情况下，r个注册节点也是不会变的。节点通过更改端口号来产生新的id，但是注册节点不变，且一个IP的注册次数不能超过a，从而限制了节点id的数量。当节点A要与节点B进行通信时，A首先检查B是否正确注册。A依据B的IP计算B的r个注册节点，然后询问r个注册节点，如果超过一半的节点回复，则认为B合法。超过一半节点回复即承认该节点的原因是防止恶意节点排挤诚实节点。恶意节点也可以接受sybil节点的注册请求。这种方案是不能防御sybil攻击的，它只是提供了一种sybil防御的合理的等级。    2006年，Bazzil提出了一种防御sybil攻击的安全路由协议。网络中每个节点都有一个公私钥对，公钥作为其身份。网络中的节点分为两种，超级节点和普通节点。超级节点的公钥是公开的，而普通节点的公钥是不公开的。可以直接进行通信的节点我们称之为邻居。未完待续。。。