（无线电物理专业论文）移动ad+hoc网络路由信息安全研究.pdf

中山大学硕士论文 移动a dh o c 网络路由信息安全研究 专业：无线电物理 硕士生：陈君伟 指导教师：周杰英副教授 摘要 移动a dh o e 网络( m a n e t ) 是一种由移动节点组成的，无固定中心，动 态自组织的l 函时的无线网络，节点之间通过多跳转发进行通信，网络拓扑随节点 移动而动态变化。在a dh o c 网络中，节点可以从经过本机的r r e q 报文中学习 路由，该学习过程由于没有相应的安全措施，容易成为网络中一个漏洞，使得节 点有可能接受错误的路由信息，遭受黑洞攻击。 基于序列号的路由信息安全设计( s e c u r er o u t i n gb a s e do ns e q u e n c en u m b e r s r s n ) 以d s r 路由协议为平台，利用可靠的端到端应答建立起相关的可信任路 由信息，并以此为标准，根据序列号依次递增原则，对其后的同源节点r r e q 报文中的路由记录进行信任度划分，保证节点学习到可靠的路由信息。本设计的 目的不在于检测出网络中发起黑洞攻击的节点，即对于处于怀疑状态的r g e q 路由记录，不会因此而判断它的源节点为恶意节点只是采用规避的手段，避免 使用处于怀疑状态的路由信息，保证数据分组传输的安全。本设计优点在于不对 d s r 路由协议傲过多的修改在不增加节点开销的前提下，根据节点在路由发 现时的特征以及节点正常工作的流程，力求能够使得网络对。黑洞攻击”具有一 定的抵御性，增强网络的鲁棒性。 本课题完成s r s n 的详细设计，在o p n e t 网络仿真软件上对节点行为进行 仿真，提取曲线并作性能评估 关键词：a dh o e ，d s r ，端到端应答，序列号，路由信息 中山大学硕士论文a b s t r a c t s t u d yo fs e c u r i n gr o u t i n gi n f o r m a t i o nf o rm a n e t m a j o r ：r a d i op h y s i c s n a m e ：j u n w e ic h e n s u p e r v i s o r ：a s s o c i a t ep r o f e s s o rj i e y i n gz h o u a b s t r a c t m o b i l ca dh o cw i r e l e s sn e t w o r k ( m a n e t ) i st h ec o o p e r a t i v ee n g a g e m e n to f c o l l e c t i o no fw i r e l e 鹳m o b i l en o d e sw i t h o u tr e q u i r e di n t e r v e n f i o no fa n ye x i s t i n g i n f r a s l r u c t a r eo ra d m i n i s t r a t i v es u p p o r t t h ec h a r a c t e f i s t i c so fm a n e ta 砖d y n a m i c t o p o l o g i e sa n dm u l t i - h o p i na dh o cn e t w o r kn o d e sl e a r nr o u t i n gi n f o r m a t i o nf r o m r r e qp a c k e t , w h i c hw i l lb ea t t a c k e db yb l a c kh o l ea t t a c kb yu s i n gb o g u sr r e q p a c k e t s e c u r er o m i o gb a s e do ns e q u e n c en u m b e r ( s r s s ) i sad e s i g nb a s e do nd s r p r o t o c 0 1 i te s t a b i i s h e st r u s t e dr o u t i n gi n f o r m a t i o nl i a tb yr e l i a b l ee n dt oe n d a c k n o w l e d g e m e n t , a n dj u d g e sr i 也qp a c k e tf r o ms a m en o d eb a s e do nt h es t r i c t i n c r e m e n to fs e q u e n c en u m b e ro fi 娘, e qp a c k e tc o m b i n e dw i t ht h et r u s t e dr o u t i n g i n f o r m a t i o nl i s t s r s nd on o ta i mt od e t e c tm a l i c i o u sn o d ei na dh o cn e t w o r kb u t g u a r a n t e es e c u r i t yo f m u t i n gi n f o r m a t i o nw h i c hi sl e a r n tf r o mi u 强q s r s nm a k e sa i i n l ee d “i o no fd s rp r o t o c o la n dc a nd e f e n da g a i n s tb l a c kh o l ea t t a c kw i t h o u t i n c r e a s i n gm u c ho o u s u u f l l p t i o no f r e s o u r c ea n dp a y l o a d i nt h i sp a p e r , w eg i v et h ed e t a i la b o u ts r s n p r e s e n ta n da n a l y z et h es i m u l a t i o n r e s u l t s o f s r s n 1 1 l es i r e u l a t i o n i s d o n e o v e r o 聊q e t k e yw o r d s ：a dh c e ，d s r , e n dt oe n da c k n o w l e d g e m e n t , s e q u e n c en u m b e r , m u t i n g i n f o r m a t i o n 中山大学硕士论文 第l 章 第1 章绪论 1 1a dh o c 网络介绍嘲 移动a d h o c 网络( m o b i l e a d h o c n e t w o r k ，简称m h i e t ) 是由一组具有路 由功能的移动节点组成的多跳临时性自治系统，可快速适应网络的动态拓扑变 化，具有高抗干扰与抗毁性该网络无须任何固定的基础设施而实现网络的快速 展开，组网非常方便灵活，因而被广泛应用于灾难救助、临时会议、自动化战场 控制等场合 作为另外一个有影响力的研究分支一因特网任务工程组( 1 e t f ) ，于1 9 9 6 年成立了专门的移动自组网工作小组( m a n e t w g ) ，其目前的核心任务是研究 移动自组网环境下基于i p 协议的路由协议规范和接口设计，这使得移动自组网 的设计思路也由传统的单一技术体系过渡到基于i p 的多技术体系，从而导致该 网络更具有开放性、适应性、灵活性，提高了开发速度加上移动通信技术的高 速发展，配备有无线收发设备的高性能移动终端的降价和随之将要到来的普及 性，使移动自组网的研究重新开始得到国内外研究人员的重视。而有关移动通信 底层传输标准和规范的制定以及颁布，对移动自组网的深入研究提供了重要的通 信技术保障，并产生了巨大推动作用特别是从1 9 9 8 年以来，无论在国内还是 国外，各科研团体对移动自组网的研究不断升温，尤其是在网络安全方面，其研 究工作己取得了很大进展。而与之相关的各种新的方案也在不断出现，各种协议 和技术都有一定的优缺点，或者只适用于某种特定环境，还有许多问题有待解决。 1 2a dh o c 网络特点伽 在a dh o c 网络中，节点同时具备主机与路由器两种功能在任意时刻，网 络中各个节点可以向任意方向以任意速度运动，即网络中各节点的运动是自主 的。因此，网络的拓扑结构也将不断发生变化。当两个通信方在彼此的传输范围 内时，移动自组网中的两个通信设备之间可以直接进行无线通信。而当两个通信 方不在彼此的传输范围内时，该网络中两个通信设备之问进行无线通信必须经过 中山大学硕士论文 第l 章 其它中间节点转发因此移动自组网通常是个多跳( m u l t i - h o p ) 无线移动网 络图l 一1 描述了一个c a - - 个节点组成的简单的移动自组网络。 图1 1 一个简单的a d h o c 网络 在该图中，节点主机a 不在节点主机c 的传输范围内，同时节点主机c 也 不在节点主机a 的传输范围内，而a 、c 都同在节点主机b 的传输范围之内， 故a 要传输信息到c ，必须通过节点主杌b 。 与其它现有网络相比，移动自组网络具有以下主要特点： 1 易于建网。由于移动自组网不需要固定的骨干网设施，当有建网需要时 仅需将一系列带有收发装置的节点主机置于某一特定区域，这些节点主机就 能形成一个移动自组网络。 2 抗毁性强。因为移动自组网无集中控制管理中心。故当某一节点出现故 障时，并不会使整个网络瘫痪。 3 移动方便。移动自组网仅由一些充当主机与路由器的节点组成，无固定 基本设施，网络搬迁变得异常方便。 4 生存时甸短。移动自组网络一般是为了满足临时需要而建立的，当任务 完成后可被撤除 5 可能存在单向通信。如图1 2 所示，若节点主机a 、b 发射功率不同，a 发射的信号b 能接收到，但b 发射的信号a 却不能接收到。 6 动态拓扑。由于移动自组网中节点主机都可以随时随意移动，加上地理 环境、功率、信道干扰等因素的影响，其拓扑结构将随时改变。 7 主机能源受限。由于节点主机大多依靠电池供电。故其主机能源有限。 中山大学硕士论文 第l 章 8 有限的无线传输带宽。由于无线信道本身的物理特性，它的网络带宽比 有线信道要低得多，另外，考虑到竞争共享、信号衰减、噪音干扰以及无线 信道将产生碰撞等因素，主机节点可得到的实际带宽远小于理论上的带宽最 大值。 图i - 2 主机a ，b 存在单向路径情况 1 3a dh o e 网络协议栈叫1 町 根据a dh o c 网络的特点，参照o s i 的7 层协议栈模型和t c p i p 的体系结构， 可以将a d h o c 网络的协议栈划分为5 层，如图1 3 所示。 应用层 传输层 网络层 链路层 物理层 圈1 - 3 a d h o cf 络协议栈 在上图所示的协议栈中，各层的功能描述如下： 1 物理层 功能包括信道的区分和选择、无线信号的监测、调制解调等由于多径传播 带来的多径衰落、码间串扰，以及无线传输的空间广播特征带来的节点间相互干 扰，降低a dh o c 网络传输链路的带宽容量。因此，物理层的设计目标是以相对 低的能量消耗，克服无线媒体的传输损耗。获得较大的链路容量为了达到上述 3 中山大学硕士论文 第1 章 的物理层的设计目标，必须采用的关键技术包括调制解调、信道编码、多天线、 自适应功率控制、自适应干扰抵消、自适应速率控制等 2 数据链路层 m a c 子层规定了不同的用户如何共享可用的媒体资源，即控制移动节点对 共享式的无线信道的占用其中包括两部分，一是信道划分，即如何把频谱划成 不同的信道；二是如何把信道分配给不同的用户。信道划分的方法包括频分多址、 时分多址、码分多址等组合方式。网络中的节点如何使用划分好的信道成为m a c 层一个研究的难点如果网络中所有节点业务量恒定，可以采取预先分配的非竞 争型m a c 协议，所有节点平均分配信道但是a dh o e 网络中节点的业务量有 时会变化很大，即有些节点在某个时间段可能会有大量的数据分组需要发送( 其 中包括节点转发的数据分组) 在另一个时问段可能又没有数据分组需要发送， 平均分配的信道策略将会使得网络的效率变低，这时需要引入竞争型的m a c 协 议在a dh o e 网络的m a c 协议中应用最广的是b e b 算法和m i l d 算法。在 b e b 算法中，每次发生冲突时，退避计数器的最大值加倍；每次成功发送数据 分组时，退避计数器的当前计数值降至最小。由于每次成功都将退避计数器的值 直接降到最低，这样不能正确反映信道上的竞争状况。尤其是在网络比较繁忙、 冲突较多时，经过多次退避，各个节点的退避计数器的计数值都很大如果此时 某个节点成功发送，它的计数值直接减到最小，而其它不成功的节点的退避计数 器的最大值会更大，造成竞争获胜的节点更加有优势，而其它节点就更难竞争到 信道的现象，造成严重不公平。而m i l d 算法是对b e b 算法的改进。在m i l d 算法中，退避计数器的最大值是乘性增加，线性递减。即在一次信道接入成功后， 计数器的值减小卢，如果该值取得比较合理，计数器的值不会大幅度减小，在后 续的信道竞争中，大家获胜的机会几乎均等，实现了公平接入在发生冲突时， 退避计数器的值增加a 倍，如果该值的取值比较合理，计数器的值也不会急剧增 加其主要思想时随着计数值的增大，使得a 的值随之变小，降低每次增加的幅 度，使得节点不至于在竞争中处于绝对劣势。m i l d 算法可以在一定程度上改善 b e d 算法中存在的严重不公平问题，但是并不能完全消除该现象。 3 网络层 主要功能包括邻居发现、分组路由、拥塞控制和网络互联等功能。邻居发现 4 中山大学硕士论文 第1 章 主要用于收集网络拓扑信息。路由协议的作用是发现和维护去往目的节点的路 由。路由协议可以在i p 层之下或者之上实现，前者实现简单，适用于小型网络； 而后者可以屏蔽底层网络细节，具有较好的可扩展性和互操作性。路由协议包括 单播路由和多播路由协议，此外还可以采用虚电路方式来支持实时数据分组的传 输。a dh o e 网络路由协议的设计主要着眼于避免路由环路、考虑单向链路的影 响，考虑节省节点的功率和延长节点的寿命，考虑网络规模大小对通信的影响， 支持q o s 等等。 4 传输层 主要功能是向应用层提供可靠的端到端服务，使上层与通信子网( 下三层) 相隔离，并根据网络层的特性来高效地利用网络资源，当a dh o e 网络需要接入 i n t e r n e ! t 等外部网络时尤其需要有传输层协议的支持。 5 应用层 主要功能是提供面向用户的各种应用服务，包括具有严格时延和丢失率限制 的实时应用、基于r t p r t c p 的自适应应用和没有任何服务质量保证的数据报业 务 6 可选功能 包括功率控制和拓扑控制、分簇算法、信令协议、移动管理和位置定位、服 务发现、地址自动配置和安全策略等。这些可选功能模块在协议栈中可能出现的 位置取决于各功能模块的作用以及与上下层协议的关系。例如功率控制机制可以 工作在物理层之上为链路层提供服务；信令协议一般在网络层之上工作为传输层 和应用层提供服务；而分簇算法通常工作在链路层之上为网络层提供服务 1 4 课题内容 本课题为广东省信息安全技术重点实验室2 0 0 5 年开放基金项目无线移动 a d h o e 网络中多重跟踪的异常检测技术研究的子课题。 本文在详细分析a dh o e 网络当前所采取的安全措旌的基础上，借鉴砌l e 0 报文序列号严格递增的思想，以及可靠的端到端应答措施，改进d s r 路由协议 中节点从r 肛q 报文中学习路由信息的过程，防止恶意节点借助路由欺骗造成 黑洞攻击的现象。该方案既适应a dh o e 网络移动特性及分布式服务的特点，同 ， 中山大学硕士论文 第1 章 时也保证了在达到网络安全要求的同时不过多增加网络的负载及过多消耗节点 能源。 本文给出了基于序列号的路由信息信任度设计方案，阐述该方案是如何在路 由发现阶段通过相应的措施，从而保证节点从r r e q 报文中学习到可靠的路由 信息，并通过o p n e t1 0 5 a 网络仿真软件对该方案进行仿真，提取其各项性能 指标 1 5 论文结构 本文共分为五章：第一章介绍m a n e t 网络的背景和特点以及网络安全在 m a n e t 网络中的重要性和研究难点，并提出了本文的解决方案。第二章概述了 m a n e t 网络安全的研究现状，分析现有解决方案的特点第三章介绍d s r 路 由协议各种报文结构以及路由发现过程、黑洞攻击形成的条件以及r r e q 序列 号递增的思想。第四章是方案的详细设计，涉及到本方案中用到的各种表和包格 式，并对处理流程进行了详细的描述。第五章是本方案在o p n e t 仿真软件中的 实验，给出仿真结果并对该方案的性能进行分析最后是结束语，总结了本文所 做工作，并提出今后需要继续完善的工作 6 中山大学硕士论文 第2 章 第2 章a d h o c 网络安全 安全性是决定a dh o e 网络能否得到充分利用的一个关键所在，特别是a d h o e 网络在军事上和商业上盼应用。由于不依赖固定基础设施，a dh o e 的安全 体系结构面i 临新的挑战。相对于传统的网络，a dh o c 网络更易受到各种安全威 胁和攻击，包括被动窃听，数据篡改和重发、伪造身份和拒绝服务等。用于传统 网络的安全解决方案不能直接应用于a dh o e 网络，现存的用于a dh o e 网络的 大多协议和提案也没有很好地解决安全问题。 2 1a dh o e 网络与传统网络的比较嘲 在传统网络中，网络采用层次化体系结构，主机之间的连接是准静态的，具 有较为稳定的拓扑，网络中存在各种路由器、交换机等固定的有保障设备可以 提供多种服务来充分利用网络的现有资源，包括路由器服务、命名服务，目录服 务等。日前已经提出了一系列针对这类环境的安全机制和策略，如加密、认证、 访问控制和权限管理、防火墙等而a dh o c 网络不依赖固定基础设施，具有灵 活的自组织性和较强的健壮性。在a d h o e 网络中没有基站或中心节点，所有节 点都可以移动、节点间通过无线信道建立临时松散的连接，网络的拓扑结构动态 变化。a dh o e 网络由节点自身充当路由器，也不存在命名服务器和目录服务器 等网络设施。根据应用领域的不同，a dh o c 网络在体系结构、设计目标、采用 的协议和网络规模上都有很大差别尽管基本的安全要求，如机密性和真实性， 在a dh o c 网络中仍然适用。但是考虑到a dh o e 网络中大多为手持式设备，通 常使用电池作为能源提供方式，所以不能牺牲大量功率用于复杂的计算，并要考 虑无线传输的能耗和稀少的无线频谱资源。另外，节点的内存也十分有限，复杂 的安全保护机制难以实现。这些约束在很大程度上限制了a dh o e 网络的安全机 制，因为安全级别和网络性能是相关的因此，传统网络中的许多安全策略和机 制不能直接用于a dh o e 网络主要表现在表2 1 中的几个方面： 中山大学硕士论文 第2 章 表2 - la dh o c 网络与传统网络的区别 a d h o c 网络传统网络 动态的拓扑结构，不能采用防火拓扑结构相对稳定，可以采用固 墙技术，也没有固定的中央节点。 定的防火墙实施安全保障并有 中央节点用于流量监控和分析。 节点的移动性以及接入的非确认有固定的密钥管理中心，通过该 性，导致网内缺少可信任的节点，中心进行密钥分发、更新 无法建立密钥管理中心。 通常使用共享式路由，加上节点具有固定的路由器等设备，网络 移动性，网络安全难以保障。 安全容易实现。 传统网络中的加密和认证应该包括一个产生和分配密钥的密钥管理中心 ( k m c ) ，一个确认密钥的认证机构，以及分发这些经过认证的公用密钥的目录 服务。例如蜂窝网络中基站可以为移动主机分配密钥，由基站充当其管理范围内 移动主机的证书授权机构( c a ) a dh o e 网络缺乏基础设施支持，没有中心授 权和认证机构，节点的计算能力很低，这些都使得传统的加密和认证机制在a d h o e 网络中难以实现，并且节点之间难以建立起信任关系。 传统网络中的防火墙技术用来保护网络内部与外界通信时的安全由于所有 进出该网络的数据都通过某个节点，防火墙技术可以在该节点上实现，用来控制 非授权人员对内部网络的访问、隐藏网络内部信息以及检查出入数据的合法性 等。防火墙技术假设网络内部在物理上是安全的。但是，a dh o c 网络的拓扑结 构动态变化，没有中心节点，进出该网络的数据可以由端用户无法控制的任意中 问节点转发，而h o c 网络内的节点缺乏足够的保护，很可能被恶意用户利用而 导致来自鼹络内部的攻击，这使得网络内部和外部的界限非常模糊，因此，防火 墙技术不再适用于a dh o c 网络。 a dh o c 网络中，由于节点的移动性和无线信道的时变特性，使得网络拓扑 结构、网络成员及其各成员之间的信任关系处于动态变化之中。此外，网络中产 生和传输的数据也具有很大的不确定性。这些数据包括节点的环境信息、关于网 络变化的信息、各种控制消息等，它们都有较高的实时性要求。使得传统网络服 务中相对固定的数据库、文件系统和文挡服务器不再适用。因此，基于静态配置 中山大学硕士论文 第2 章 的传统网络的安全方案不能用于a dh o e 网络。 2 2a dh o e 网络安全研究难点旧 由于a dh o e 网络与传统的有线网络在拓扑等方面有相当的差别，所以有线 网络中的安全机制很多都没有办法照搬到a dh o e 网络，总结a dh o e 网络，有 以下的特点，给保证a dh o e 网络安全带来困难： 1 缺少等级结构。a dh o e 网络大多基于点对点( p e e rt op e e r ) 结构，在这 样的情况下，网络中无法建立一个具有权威的中央节点对网络中的流量进行 统计，而流量统计与数据收集是传统入侵检测的基础：同理也无法使用传统 的密钥分发机制。 2 共享的无线环境。由于在a dh o e 网络中，节点的加入并不需要有明确的 物理接入点，所以无法明确定义该网络的边界，导致单一的基于明确等级结 构的入侵解决方案无法实施。 3 节点间合作性由于网络中所有节点均需通过其相邻节点的接力传递， 才可以完成网络中的数据传输功能，所以节点间默认存在一定的信任关系， 在这种关系的联系下，网络中的节点可以进行数据的接力传输及路由信息的 共享在这样的前提下，网络中一旦出现被俘获的节点，则该节点有可能对 网络中的数据传输及路由建立带来一定的影响。 4 动态的拓扑结构。在m a n e t 中，该特性比w s n 中更为普遍。由于在 网络中t 各个节点可以随时加入或者离开网络，由此会在网络中产生相当数 量的路由请求信息，而该信息也有可能是由拒绝服务攻击所发起，所以会给 入侵检测带来一定难度 5 有限的节点能源。在a dh o e 网络中，其组成节点大多为各种手持设备， 通常利用电池等有限能源设备供电，入侵检测系统受能源的影响，要求检测 的步骤及时问尽量短。避免出现由于入侵检测而导致节点能源过度消耗，影 响节点的正常工作。 9 中山大学硕士论文第2 章 2 3a dh o c 网络安全的目标m 网络的安全目标与传统网络中的安全目标基本上是一致的，包括：数据可用 性、机密性、完整性、安全认证和抗抵赖性。但是两者却有着不同的具体要求。 可用性( a v a i l a b i l i t y ) 是指即使受到攻击，节点仍然能够在必要的时候提供 有效的服务。可用性定义为与网络安全相关的一个关键特性可用性保证网络服 务操作正常并能容忍故障，即使存在拒绝服务攻击的威胁。可用性涉及多层：在 网络层，攻击者可以篡改路由协议，例如将流量转移到无效的地址或关闭网络； 在会话安全管理层，攻击者可以删除会话级安全信道中的加密：在应用层，密钥 管理服务也可能受到威胁。拒绝服务攻击可能在a dh o c 网络的各个协议层进行， 使节点无法获得所需的正常服务例如，在物理层和m a c 层，攻击者通过发送 大量无用数据分组拥塞无线信道来干扰通信。一种解决方法是采用扩频和跳频技 术，以迫使攻击者不得不牺牲更多能量来拥塞更大范围的频段在网络层，攻击 者破坏路由信息，使网络无法互连在更高层，攻击者通过伪造各种应用使高层 服务紊乱。对于移动终端，可用性还涉及电源问题。一旦没有能源，节点将完全 陷于瘫痪。为了节省能源，通常会考虑让主机在空闲时处于睡眠状态，而在必要 时将其唤醒。但是，攻击者可以设法通过某种合法方式与节点交互，使其始终处 于通信状态，目的是消耗节点的有限能源，这种攻击被称为“剥夺睡眠攻击”。 与其他攻击相比，这种攻击可能更为致命。因此需要通过强认证机制来确保通信 对端的合法性，并应考虑在资源有限的情况下首先满足优先级较高的任务 机密性( c o n f i d e n t i a l i t y ) 。是保证特定的信息不会泄露给未经授权的用户 军事情报或用户账号等安全敏感的信息在网络上传输时必须机密、可靠，否则这 些信息被敌方或恶意用户捕获，后果将不堪设想。路由信息在一些情况下也必须 保密，因为这些信息可能被敌方用来识别和确定目标在战场上的位置。该问题的 解决需要借助于认证和密钥管理机制 完整性( i n t e g r i t y ) 。保证信息在发送过程中不会被中断，并且保证节点接收 的信息应与发送的信息完全一样如果没有完整性保护，网络中的恶意攻击或无 线信道干扰都可能使信息遭受破坏，从而变得无效。此外，还需要特别考虑存储 在用户设备中的数据的完整性，防止数据被篡改。 中山大学碗士论文第2 章 安全认证( a u t h e n t i c a t i o n ) 每个节点需要能够确认与其通信的节点身份， 同时要能够在没有全局认证机构的情况下实施对用户的鉴别。如果没有认证，攻 击者很容易冒充某一节点，从而得以获取重要的资源和信息，并千扰其他节点的 通信。只采用认证通常是不够的，认证只负责证明某节点的身份，因此还需要通 过授权来决定某种身份是否被允许做某些事情。由于a dh o c 网络没有固定的管 理域，所以难以实施防火墙技术 抗抵赖性( n o n - r e p u d i a t i o n ) 确保一个节点不能否认它已经发出的信息。它 对检查和孤立被占领节点具有特别重要的意义，当节点a 接收到来自被占领节 点b 的错误信息时，抗抵赖性保证节点a 能够利用该信息告知其他节点b 已被 占领。此外，抗抵赖性对于商业应用中保证用户的利益至关重要 2 4a dh o c 网络安全威胁 如上文所述，由于a dh o c 网络本身具有诸多系统脆弱性，所以容易受到多 种攻击根据攻击方式的不同，有主动攻击和被动攻击；根据攻击目标的不同， 可以分为针对路由协议等基本机制的攻击和针对密钥管理等安全方案的攻击；根 据攻击源的不同，有外部攻击和内部攻击 2 4 1 对传输信息的攻击 传输信息主要面临的威胁有以下几种： 1 拦截。路由协议传输的信息，会被恶意节点中途拦截，并重定向到其它 节点，从而扰乱网络的正常通信 2 篡改。恶意节点通过篡改路由协议分组，破坏其分组信息的完整性，并 建立错误的路由，造成合法节点被捧挤在网络之外。而对于传输数据分组的 篡改则会导致信宿节点无法正确接收所需的数据 3 中断。路由协议分组，尤其是路由发现和路由更新消息，会被恶意节点 中断，并且有选择地过滤控制消息和路由更新消息，破坏路由协议的正常工 作。 4 伪造。网络内部的恶意节点可能伪造虚假的路由信息，并把这些信息插 入到正常的协议分组中。对网络造成进一步破坏。 l l 中山大学硕士论文 第2 章 2 4 2 对路由协议的攻击 对路由协议的攻击可以分为被动攻击与主动攻击。 1 被动攻击被动攻击主要是指有关节点没有经过授权，对路由分组进行 监听，通过搜集路由信息。有可能推断出节点之间的相对位置。例如，通过 侦听自组网某部分所有的路由更新信息，就可能推断出哪些节点相对集中， 哪些节点相对孤立。此外，通过侦听网络中的路由信息或者数据分组流量， 可以推断出节点闯的相互关系。例如，如果到某节点的路由请求较多，或者 数据分组有较大比例流向某节点，都可以估计该节点在网络中发挥着重要的 作用。被动攻击并不会修改路由协议的工作，而只是依靠侦听得到的有用信 息来作出判断。由于侦听者并不一定发射信号，通常很难检测出这种攻击， 也就很难作出有效的防御 2 主动攻击。针对路由协议的主动攻击主要破坏节点之间的消息流对自 组网络路由协议的的主动攻击总体上都属于拒绝服务攻击，都会破坏节点之 间的正常通信。恶意节点可以截取路由分组后篡改其内容再发送回网络，也 可以通过重放分组，向节点发送过时的路由信息。这些攻击的目的都是为了 通过发送相矛盾的信息来扰乱路由。恶意节点为了能够实施主动攻击，它必 须能够向f 嚼络中的其它节点发送任意分组。最终是为了把原本要发送给其它 节点的分组发送给攻击者，或者是使网络瘫痪。比较容易对自组网实施的主 动攻击有以下几种。 ( 1 ) 黑洞攻击。恶意节点通过路由协议广播宣称自己具有到达某个节 点的最短路径，就可以截取发送个该节点的信息。在基于泛洪的路由协议 中，恶意节点通过侦听其它节点的路由请求，当它可以侦听到某源节点在 搜索到达另一目的节点的路径时所发送的路径请求广播r r e q 后，立刻 产生一个路径响应r r e p 谎称具有到达且的节点的最短路径，如果该 r r e p 比其它r r e p 先传到源节点，就能够在它与源节点之间建立一条攻 击路径。类似这样的路由欺骗方法还有很多，黑洞攻击的主要思想是通过 修改路由发现时的传输信息，把本机插入到节点的通信链路中间，就可以 对经过本机的数据分组进行修改甚至丢弃，从而达到影响网络正常工作的 目的。本文的设计主要是针对黑洞攻击，因为黑洞攻击能在短时间内大幅 1 2 中山大学硬士论文第2 章 降低网络中数据分组的正确投递率。关于黑洞攻击的详细过程将会在下文 中描述 ( 2 )路由表溢出攻击恶意节点试图建立到达并不存在的节点的路 径，目的是创建足够多的路径，直到无法再建立新的路径，甚至让协议崩 溃。先应式路由算法周期性的发送路由信息，维护到所有目的节点的路由， 而按需路由算法只在需要时才创建路由恶意节点只需向网络发送过多的 路由广播就可以破坏先应式路由的网络。按需路由协议并不事先搜集路由 数据，可以不受这种攻击的影响。 ( 3 ) 剥夺睡眠攻击。这种攻击一般只发生在电池寿命非常有限的自组 网络中靠电池供电的设备会尽量只在必要时才发送信号以保存能量。恶 意节点通过重复路由请求或者用黑洞攻击向节点转发冗余分组，就可以消 耗目标节点的电池。这种方法特别适合用来攻击不向网络提供服务或只对 有特定证书节点提供服务的设备。 ( 4 ) 位置泄露攻击。这种攻击可以揭示与节点位置和网络结构有关的 重要信息。这些信息可能反映目标节点都有哪些邻近节点以及节点的物理 位置。通过发送具有错误跳数界限值的路由信息，诱使有的设备回应i c m p 错误信息，然后就可以记录该消息中所包含的设备地址这样，恶意节点 就可以知道通往目标节点的路径都经过了哪些节点。如果知道了部分中问 节点的位置，就同样可以得到目标节点位置的相关信息 回顾上述四种攻击手段，在网络的实际应用中，针对路由表溢出攻击，可以 考虑在每个节点引入路由表修改率这一参数，该参数反映的是在单位时间内路由 表修改的频率。通过对正常网络模型的数据采集及建模分析，可以得到路由表修 改率在正常网络运行时的值，以此值作为阀值，当节点检测到本机中该参数的值 大于阈值时，就预示着网络中可能出现路由表溢出攻击同理对于剥夺睡眠攻击 来说，由于该攻击也是采用大密度的路由请求或者数据分组发送等手段实施对网 络的破坏，所以也可以考虑在每个节点引入相应的参数来作为衡量是否发生该攻 击的标准。而黑洞攻击是于针对路由协议本身的漏洞而产生，一直以来许多文献 针对该攻击也提出了各自的设计方法在a d h o e 网络中，还存在其它形式的攻 击手段，在下文中将会介绍其它文献针对各种攻击手段的预防及检测的办法 中山大学硕士论文 第2 章 2 5a dh o c 网络的安全措施 2 5 1 安全机制的防范 安全防范是a dh o c 网络中的第一道防线，主要用于对接入网络的节点的合 法性进行认证和负责密钥的分发。在a dh o e 网络研究早期，根据不同的安全要 求，提出两种在具体环境下实现的安全防范机制“ 1 基于口令的认证协议 在一个房间中召开无线网络会议系统中，与会者彼此之间都非常熟悉和信 任，会议期间他们通过手提电脑进行联系。参加者没有任何途径来识别和认证对 方的身份，例如他们既不共享任何密钥也没有任何可供认证的公共密钥。使得恶 意节点有可能窃听并修改在与会者通信的无线信道上的数据甚至冒充与会者。由 a s o k a n 等提出的基于口令的认证协议继承了加密密钥交换协议( e k e ，e n c r y p t e d k e ye x c h a n g e ) 的思想。在e k e 中，所有的与会者都参与会议密钥的生成，这 保证了最终的密钥不会仅由少数的与会者产生。恶意节点的干扰无法阻止密钥的 生成。同时e k e 还提供了一种完善的口令更新机制，即使攻击者知道了当前的 口令，它也无法知道以前的口令，从而使以前会议信息不会泄密。与会者的安全 连接通过不断变化的口令建立 2 复活小鸭 在传感器f 同络中，传感器在不同时间内可能属于不同的所有者，由所有者控 制传感器将信息发给授权的接收者。由于传感器缺乏足够的保护，攻击者既很容 易修改或者冒充所有者发送控制信息，也可以破坏它，使其失效。f r a n ks t a j a n o 等 针对这种问题提出了一种“复活小鸭”的认证措施。就像鸭子在破壳而出的时候， 会把它见到的第一个移动物体视为它的母亲一样，传感器采用同样的机制，将第 一个向它发送密钥的个体视为它的所有者。在必要时，所有者可以通过清除在传 感器中的记录使褥传感器。灵魂死亡”；等下一个实体再次向该传感器发送密钥 时，它将“复活”在传感器“灵魂死亡”之前。它只接受其所有者的控制，但 仍然可以与其它节点通信。这种模式还提供了防止损害的设计，以保证在使传感 器“灵魂死亡”的时候不会破坏它的物理设备 1 4 中山大学硕士论文第2 章 2 5 2 入侵检测 入侵可以定义为“一系列试图危害某一资源完整性、机密性或可用性的行 为”，或者是“针对某一系统或网络的未授权或有害的行为”有关安全的研究和 历史表明，不管在网络中采取了多么先进的入侵预防措箍，系统中总是有弱点可 加利用被恶意节点利用来入侵网络。这些弱点包括设计和程序错误。通过加密和 认证等方法( 先验式解决方案) 可以降低入侵的可能但不可能完全消除，在一定情 景下，如网络内存在恶意节点( 已通过认证) 时，预防手段显然失效因此入侵预 防措施并不能消除攻击，而必须使用入侵检测系统0 d s ) 加强网络的安全一个 入侵检测系统为a dh o e 网络提供了第二道防线。入侵检测系统是基于如下假设： 用户和程序的活动是可以观察的，如通过系统的统计枧制；正常活动和异常活动 有显著的不同行为 2 5 2 1 入侵检测的分类 从数据采集的来源可分为基于主机的侵入检测方案( h o s t b a s e di d s ) 和基 于网络的侵入检测方案( n e t w o r k - b a s e di d s ) ；从检测的方法可以分为异常检测 ( a n o m a l yi d s ) 和滥用检测( m i s u s ei d s ) 【1 3 1 。异常检测是利用历史数据来建 立描述该网络正常运作的模型，其历史数据主要由两方面提取：该网络在过去运 行细节：系统中节点的行为。在建立正常模型后，检测进程可以根据现行网络运 行情况，如果上述情况对于正常模型有偏离，且偏离的值超过预定的阂值时，则 可判断该网络中有可能出现了入侵者。 滥用检测首先收集已知各种入侵手段的特征及参数描述，再根据各种参数描 述分剐建立针对各单一入侵手段的模型。检测进程就可以利用各种现有的入侵模 型，与现行网络的即时模型迸行比较，如果有与之匹配的入侵模型，则可知网络 遭受到入侵行为。 滥用检测与异常检测均存在优缺点。滥用检测主要对现行网络各参数进行比 较，优点是虚警率比较低，但它只能检测出已知的各种入侵手段，对于新出现的 入侵手段无能为力而异常检测则有可能检测出各种未知( 未建立模型) 的入侵 手段，但是它的缺点在于虚警率可能较高，而且在m a n e t 动态的拓扑结构中， 如何建立正常的模型是又一难题。 中山大学硕士论文第2 章 2 5 2 2 入侵检测系统体系结构 a dh o c 的入侵检测与响应系统可以是分布式检测或者是联合检测，在当前 的诸多文献中，通常使用的方法是每个节点都单独维护本机的入侵检测系统，作 为分布式检测的实施者，独立地进行本地入侵的检测：如果单个节点无法就本机 的检测数据对网络中的疑似入侵行为作出有效判断时，可以联合邻近节点发起联 合检测，减少错误判断的发生次数。文献1 4 1 给出了i d s 系统的概念模型( 如图 2 i ) 所示 图2 1 入侵检铡系统模型 1 数据收集模块。该模块功能是从各个数据源中收集安全统计相关的数据， 并将该数据转换成为检测引擎所需的输入格式。在节点的i d s 系统中，必定 存在相当数量的数据手机模块，以便从各个数据源或是网络的各个层次收集 统计数据。 2 检测引擎。为了提高入侵检测的精度，可以在不同的检测引擎上使用不 同的检测技术。在模型训练阶段，在检测引擎上建立起能够反映网络正常行 1 6 中山大学硕士论文 第2 章 为的变量( 如果是采用异常检测) ，以便在检测阶段能够较好的与当前网络 统计行为作出比较，较快地对入侵行为作出响应 3 本地会聚与分析模块。该模块主要将来自各个检测引擎的结果加以汇总 与分析后，有选择地将结果发送到全局会聚与分析模块。实行这样设计的原 因在于a dh o e 网络无线以及节点的资源都相当有限，如果将所有检测结果 都加以处理或者是发送到其它节点进行联合检测的话，对无线以及能源都会 造成一定浪费。 4 全局会聚与分析模块该模块的主要作作用有二：一是当节点有足够的 证据支持本机单独检测时，该模块将统计数据加以分析，如果认为网络中确 实出现入侵行为时，由它向入侵响应系统提起申请，对入侵行为进行相应处 理；二是如果本机收集的统计数据不足以支持单独的检测时，由该模块将本 机的数据发往进行联合检测的节点，同时该模块也支持从网络其它节点接收 相关统计数据，在本机进行联合检测。 5 入侵响应系统。入侵响应依赖于入侵的类型、网络协议和应用的类型、 入侵判定的信任级别。通常的入侵响应如：节点闻的通信信道重新初始化； 重新组织网络以排除识别的被“俘获”或者恶意节点；i d s 系统通知端用户 来进行调查以便采取确切的行动，或发“重新认证”申请到网络中的所有节 点 2 5 2 3 入侵检测的目标 在文献嗍【1 6 1 1 1 刀中都阐述移动a dh o e 网络中对入侵检测方案的要求，综合这 些要求和对各种方案的研究，概括如下： 1 i d s 不应当给网络带来新的弱点，即i d s 不能使一个节点更易受攻击 2 d s 应当以尽可能少的使用系统资源来探测和预防入侵 3 具有容错性 4 i d s 的准确度是另一个主要因素，期望较少的错判 5 较好的方法是使用分布式结构。这是由a dh o c 网络自组织、动态拓扑 的特性决定的。 6 应使用移动代理。移动代理是具有跨平台持续运行，自我控制移动能力， 模拟人类行为关系，并篚够提供一定人工智能服务的程序。形象的说，移动 1 7 中山大学硕士论文 第2 章 代理是一段由程序员编写程序代码，可以执行一定的操作，与一般的程序不 同之处在于，移动代理可以在主机间移动目前使用移动代理的方案有文献 【1 7 】【1 3 i 卿等，其优势在于使得节点间统计数据的传输变为特定移动代理的传 输，可以减少带宽的使用和存储器的容量，加快处理进程( 减少了数据传输 所需时间) 文献刚对上述方案进行了分析比较，并指出了移动代理可能的 弱点：本身安全缺陷和增加额外负担 7 应使用轻量( l i g h t - w e i g h t ) 方案这是由入侵检测方案的效果( 正确检 测到入侵) 和效率( 实现正确检测侵入的代价) 之间的均衡决定的由于 移动a dh o e 网络资源十分有限( 带宽、计算能力、能源、存储能力等) ，任 何片面追求侵入检测效果的努力都有可能耗尽节点有限的资源，使得正常的 数据传输无法进行 2 5 2 4 小结 入侵检测技术在有线网络中已获得广泛的应用，而在移动a dh o e 网络中尽 管存在对入侵检测系统的需要，但由于网络自身的特点，入侵检测系统的设计目 前还是不能让人满意。主要表现在：由于a dh o e 网络的移动性以及无中心设备 的结构，使得网络中缺乏一个权威的入侵检测机构，尽管可以通过节点联合检测 的方法对入侵行为作出较为有效的判断，但是节点间统计数据的传递又会给网络 以及节点本身带来负担；而且对于入侵检测而言，关键之处在于要求检测系统具 有性能较好的统计模型以便界定入侵行为。但是a dh o e 网络中没有固定不变的 拓扑结构，而且网络中节点进行数据分组以及路由信息传递的行为又缺乏规律可 循，所以入侵检测系统在a d 1 0 c 网络中的应用仍然存在许多问题。所以在本文 的设计中，不采取入侵检测作为保证路由信息安全的措旌，而是从网络运行中一 些固定( 或者变化不大) 的性质和行为出发，尽管不能作为判断是否出现入侵行 为的手段，但是却可以保证可靠的路由信息 2 5 3 其它安全措篪 在很多民事应用中，比如汽车网络或为偏远地区提供通信服务，节点并不属 于单一机构也不追求共同的目标。在这些网络中，为其它节点提供包转