p2p网络节点身份认证方案的设计.docxVIP

p2p网络节点身份认证方案的设计 1 基于节点信任机制的攻击威胁模型 p2p（peer-to-peer）分布网络与传统的c-s（客户端）模式网络相比，p2p削弱了服务器模型的概念。但由于P2P网络开放特性与匿名特性，使得网络中节点的加入具有很大自由性。而且缺少全局性的权限管理中心或信任中心，这样便使得在网络中出现很多恶意节点成为可能。这些恶意节点在网络中给系统构成了安全隐患，通常对恶意节点的防范是采用节点信誉机制来实现的。在文献[1中，详细论述了采用EigenTrust算法如何降低P2P网络中非授权文件的共享，从网络中隔离恶意节点等一系列节点信誉问题。然而这种算法模型却对抵御Sybil攻击显得不尽人意。 本文根据Sybil攻击的特点，将传统C/S模式网络下的客户机使用难题保护系统免受DoS攻击的理论移植到了P2P网络中，并对问题难度进行了深入仔细的分析和计算，从而保证了难题设计与求解的可行性。 2 小流量恶意节点攻击 在具有可信任的认证中心节点的P2P网络环境下，一个未知远程节点呈现不同的可信身份是不可能的。但在没有逻辑中心和可信任认证中心节点的P2P网络里，节点和节点间进行一对一的通信，没法对对方身份进行认证，这样便使得未知远程节点表现为不同身份成为可能。如果本地节点跟远程节点之间并没有直接的物理连接，那么本地节点便会把远程节点仅仅当作信息的抽象，我们称之为身份。P2P系统必须保证不同的身份对应于不同的节点，否则当一个本地节点选择了一个远程恶意节点的身份子集进行文件下载后，此恶意节点便会冒充合法节点向其发送非法数据，在极端的情况下合法节点被欺骗从集合中选择一个远程节点多次，重复进行冗余的远程操作，从而消耗了网络中节点的连接资源，甚至还会造成正常节点无法获取到全局信誉值。 定义这样一种在P2P网络中伪造多个身份进行攻击的方式为Sybil攻击。 这种攻击主要是由于用户创建新身份或者新节点是不需要代价的，但是攻击者却利用这样的漏洞，在掌握了节点或节点身份的集合后，随意做出行为，造成非授权文件在网络中传输，破坏系统中文件共享的安全，消耗节点间的连接资源，而不用担心自身会受到影响。 如图1所示，构建一个一般意义下的分布式网络模型。 其中包括以下几方面： 节点e的集合E; 广播通信的网络； 将每个节点与通信网络相连接的管道。 集合E分为两个不同的子集，C和F。在集合C里的每个节点c都是正常节点，遵循所定义的网络协议规则。集合F里的每个节点f都是恶意节点。节点间通过消息机制完成通信。 每个节点e都会试图向系统中的其他节点说明自己代表的身份为i。假设已经存在了一个本地正确节点l，如果节点e成功的将自己身份i向身份l表征，我们就说l接受了身份i。 每个正常节点c均会表征自己具有一个合法的身份，每个恶意节点f也会尝试着表明自己具有一个合法身份，但它们却拥有一个或多个伪造的身份。在理想情况下，系统应当能够接受所有的合法身份而排斥所有的伪造身份。 在缺少可信任的中心节点时，一个节点仅仅接受直接经过其验证的节点或是接受那些通过被其认可节点验证后的节点。但在这两种情况下仍都有可能产生Sybil攻击。 对于直接经过验证的节点： 一个恶意节点其资源在被限制的情况下仍能够假冒多个身份。 任一个正确的节点必须同时验证一个节点所具有的所有身份。否则，一个恶意节点就能假冒很多个身份。 对于间接经过验证的节点： 在一个拥有极多恶意节点的P2P系统中，会出现更多的假冒身份。因为在EigenTrust模型中如果恶意节点数超过总结点数的40%，那么就会影响到节点全局信誉值的计算。 系统中所有的节点必须并发的进行身份验证操作，否则，一个恶意节点将能够假冒多个的身份。 3 害怕西方攻击 3.1 生成节点身份 由于Sybil攻击跟DoS攻击有共同之处，都是大规模的多节点、多身份的攻击。因此，防范Sybi攻击采用的措施类似于防范DoS攻击：在节点加入网络或者用户创建一个新的身份时必须得付出一定的代价，就是要求其解决一个问题。从一开始就尽力杜绝恶意节点身份的生成，从而避免对已有的大量身份进行多节点全网络的并发验证操作。正如雅虎申请电子邮箱新账户时，需要用户在填写表单时，读取一个JPEG图片中的文字信息，才能正确的完成注册。这样攻击者如果想创建成千上万个用户身份将会花费巨大的代价。 据于此我们提出这样一个原则：在EigenTrus算法模型中，一开始正常节点对某新节点提出难题，接着新节点提交其难题的解决方案，进而正常节点应当能给此解答予以确认，验证通过后新加入的节点才能进行文件的共享。 这个原则的核心就在于：在连接双方进行文件传输前，请求节点所要承担的前期工作任务量要远大于验证节点的任务量。请求节点的花费代价，可以人为的设定，而这种问题的生成和确认对于验证节点都是十分容易的，相反对于