（通信与信息系统专业论文）基于安全度量的网络安全路由研究.pdf

摘要 摘要 随着网络技术的发展，网络路由攻击越来越普遍，严重威胁数据传输的准确 性和机密性。在这种情况下，如何保证网络安全成为一个备受关注的研究课题。 安全路由己成为网络安全的重要研究内容之一，将安全作为一种q o s 参数进行路 由选择是目前网络安全路由研究的一个新思路。 网络路由的安全性是由多种安全因素综合确定的，单一的安全度量难以准确 描述网络路由的安全性。当前许多方法都仅仅侧重于一种策略或目标对安全进行 简单度量或定性的描述，缺乏对安全度量复合性的定量描述。本文针对在有线网 络中采用一个安全度量参数描述链路安全性存在的片面性，为了更加全面准确的 描述网络链路的安全性能，提出一种多安全度量的链路安全性描述策略。根据网 络安全主要目标和策略，即接入控制、认证、加密等机制，将链路安全进行多方 面量化，并将这些安全度量作为选择数据转发路径的多个q o s 参数，形成了具有 安全保证的路由选择问题。本文还将我们提出的描述策略应用于区分服务模型， 将多个安全度量和其它网络q o s 参数( 如时延、最大带宽利用率等) 相结合，形成 多目标多约束的路由选择问题；并且基于遗传算法提出了多目标最优化安全路由 算法m o s r a ( m u l t i o b j e c to p t i m a ls e c u r er o u t i n ga l g o r i t h m ) 来解决这一n p 完全问 题。 针对路由安全比固定网络脆弱的无线移动a dh o c 网络，为了准确的描述无线 网络的路由安全，本文建立起无线节点信任度机制。节点间通过信任度的传播及 迭代，确定无线路径信任度，并将此信任度作为一种无线网络安全度量；在路由 寻求中，将此安全度量作为一种q o s 参数，使之成为无线路由选择的重要依据。 同时，在一次路由寻找过程中建立起多条源到目的节点的路径，数据包在源节点 进行简单的加密后，通过不同的路径进行传播。由此，建立起一种多径路由系统 安全的测量方法，进一步提高了描述无线路由安全性能的准确性。最后提出了 t b m r ( t r u s t b a s e dm u l t i p a t hr o u t i n g ) 协议，实现了无线网络的安全路由。 文中提出的m o s r a 算法在w i n d o w s 平台下利用m a t l a b 进行仿真；t b m r 协 议在w i n d o w 平台下，通过c y g w i n 利用n s 2 进行仿真。仿真结果表明，这些算法 和协议，在不同的仿真环境下，提高了路由选择的安全性能。 摘要 关键词：多目标最优化，安全路由，a dh o c 网络，安全度量 i i a b s t r a c t a b s t r a c t s i n c et h ei n t e m e th a ss i g n i f i c a n t l ya n dr a p i d l yg r o w i n g ，r o u t i n ga t t a c kh a s b e c o m i n gp o p u l a r , w h i c hc a u s e st h r e a ta g a i n s tc o n f i d e n t i a l i t yo ft h ed a t at r a n s m i s s i o n t h u s ，r e s e a r c h e so ns e c u r er o u t i n gb e c o m eo n eo ft h em o s ti m p o r t a n ti s s u e si nn e t w o r k s o c i e t y i n t e g r a t i n gs e c u r i t ym e t r i ca saq o sp a r a m e t e ri sn o v e ls t r a t e g yi ns e c u r e r o u t i n gr e s e a r c h as i n g l e s e c u r i t ys t r a t e g y c a n n o tc h a r a c t e r i z et h en e t w o r kr o u t i n gs e c u r i t y a c c u r a t e l y , f o rt h e r ea r em a n yi s s u e st h a tc o n t r i b u t et oi t m a n ym e t h o d sh a v eb e e n p r o p o s e d a l lt h e s em e t h o d se m p h a s i z es e c u r i t yp a r t i c u l a r l yo n l yo no n ep o l i c yo r o b j e c t i v e ，w h i c h l a c k sac o m p o s i t i o nq u a n t i f i c a t i o nf o rs e c u r i t ym e t r i c f o rt h e u n i l a t e r a lp r o b l e mt h a ti n t e g r a t i n go n l yo n ek i n do fs e c u r i t ym e t r i ci n t oq o sf r a m e w o r k w ep r o p o s ean o v e lm u l t i - s e c u r i t ym e t r i cs t r a t e g yf o rq o s - b a s e dr o u t i n g b a s e do nt h e m a i nt a r g e to fn e t w o r k s e c u r i t y , w eu s e da c c e s s c o n t r o l ， a u t h e n t i c a t i o na n d c r y p t o g r a p h yt od e f i n es e c u r i t ym e t r i c s ，a n di n t e g r a t i n gt h e s es e c u r i t ym e t r i c st oq o s p a r a m e t e rs y s t e m i nt h i sp a p e r , w ea l s os e l e c ts o m en o r m a lq o sp a r a m e t e r s ，s u c ha s t i m ed e l a y , b a n d w i d t hu t i l i z a t i o nr a t i o w i t ha l lt h e s ep a r a m e t e r s ，t h ep r o b l e mb e c o m e s am u l t i o b j e c t i v er o u t i n gp r o b l e m ，a n dw eu s en o n d o m i n a t e ds o r t i n gg e n e t i ca l g o r i t h mi i t os o l v et h en pc o m p l e t ep r o b l e m f i n a l l y , w ep r o p o s ea na l g o r i t h mn a m e dm o s r a ( m u l t i o b j e c t i v eo p t i m a ls e c u r er o u t i n ga l g o r i t h m ) b a s e do nd i f f e r e n t i a t e ds e r v i c e m o d e l a i m i n ga tt h ew e a ks e c u r i t yo ft h em o b i l ea d - h o cn e t w o r k ，w ep r o p o s e da m e c h a n i s mt h a td e s c r i b e st h et r u s tb e t w e e nt h en o d e si nt h en e t w o r k t h ep a t ht r u s ti n t h en e t w o r kc a nc a l c u l a t eb yt h ep r o p a g a t i o no ft h en o d e st r u s t w ec o n s i d e rt h i st r u s ta s as e c u r i t ym e t r i c f u r t h e r m o r e ，w ei n t e g r a t et h i sm e t r i ca saq o sp a r a m e t e ri nr o u t e s e l e c t i n g w h e n an o d es t a r t sar o u t e s e a r c h i n g , t h ep r o g r a mf i n d sm u l t i p l e n o d e - d i s j o i n tr o u t e sb e t w e e nt h es o u r c ea n dd e s t i n a t i o n t h em e s s a g e s ，w h i c ha r e e n c r y p t e di nas i m p l ew a y , a r ep r o p a g a t e di nd i f f e r e n tr o u t e s w ep r o p o s ean o v e l p r o t o c o ln a m e dt b m r ( t r u s t b a s e dm u l t i - p a t hr o u t i n g ) ，w h i c hg u a r a n t e et h es e c u r i t y i i i a b s t r a c t o fr o u t es e l e c t i n gp r o c e s s t h em o s r ai ss i m u l a t e db ym a t l a bi nw i n d o w sp l a t f o r m ，a n dt h et b m ri s s i m u l a t e db yn s 2 t h es i m u l a t i n gr e s u l t ss h o wt h a tb o t ha l g o r i t h ma n dp r o t o c o lc a n p r o v i d eb e t t e rs e c u r i t yp e r f o r m a n c e k e yw o r d s ：m u l t i o b j e c t i v eo p t i m i z a t i o n ，s e c u r er o u t i n g ，a dh o e ，s e c u r i t ym e t r i c i v 图目录 图目录 图1 1o s i 七层标准中常见的漏洞2 图3 1 区分服务模型的基本实现过程1 7 图3 2r d m 带宽分配抽象模型1 8 图3 3 改进后的n s g a i i 算法2 3 图3 - 4 双目标情况下p a r e t o 优化边示意图2 5 图3 5 拥挤距离2 6 图3 6 简单的网络拓扑图2 7 图3 7 交叉过程2 8 图3 8 变异过程2 9 图3 - 9 交叉过程中产生环路3 0 图3 1 0 变异过程中产生环路3 0 图3 1 1m o s r a 算法流程图3 2 图3 1 2g t - i t m 生成的t r a n s i ts t u b 拓扑结构3 3 图3 1 3 平均时延比较3 4 图3 1 4 最大带宽利用率比较3 5 图3 1 5 占用低优先级公用缓冲池比率比较3 6 图3 1 6 第一类安全度量值比较3 6 图3 17 第二类安全度量值比较3 7 图3 1 8 第三类安全度量值比较3 7 图4 1a o d v 协议路由创建过程4 1 图4 _ 2d s r 协议r r e q 报文传播过程4 3 图4 3d s r 协议i m e p 报文传播过程4 3 图4 - 4 路径积累示例4 5 图4 _ 5 路径信任度的确定4 8 图4 - 6 多径路由系统信任度的确立5 0 图4 7r r e q 报文格式5 1 图4 8p r e p 报文格式5 2 v i i 表目录 图4 - 9r e r r 报文格式5 3 图4 1 0t b m r 协议路由表结构5 4 图4 1 1r r e q 接收和转发过程5 5 图4 1 2 选择节点分离路径示意图5 6 图4 1 3 选择节点分离路径流程图5 7 图4 1 4 转发r r e p 报文和更行路由表5 8 图4 15 转发d a t a 报文的流程图5 9 图4 1 6 运动场景初始时刻图6 1 图4 1 7 运动场景运行过程图6 l 图4 1 8 分组交换率比较图6 2 图4 1 9 数据报文端到端平均延迟比较图6 3 图4 2 0 经过恶意节点的包比率比较图6 4 图4 2 1 路由开销率比较图6 4 表目录 表2 1 采用常用认证算法所确定的安全度量举例1 4 表3 1 服务模型特性比较1 7 表3 2t r a n s i t s t u b 模型各个参数3 4 v i i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 签名：聋一盘一一日期：洲年月7 日 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：瑰墨导师签名：驾查盟 日期：剐g 年月7 日 第一章引言 1 1 研究背景 1 1 1 网络安全现状 第一章引言 随着i n t e m e t 在全球的普及和发展，越来越多的计算机用户可以通过网络享受 丰富的信息资源、快捷地收发信息。计算机网络已经和人们的工作紧密的联系在 一起，成为许多人生活中不可或缺的重要部分。近年来，我国的计算机网络发展 尤为迅速。我国互联网的宏观数据有较大的增长，网民上网时间增长，网上购物 人数增多，网络用户玩游戏的时间加长，这说明不仅我国互联网正在快速发展， 而且网上应用正在得到加强。 人们在享受网络带来的巨大便利的同时，网络安全也正受到前所未有的考验。 黑客的网络攻击与入侵行为对于国家安全、经济、社会生活造成了极大的威胁。 近年来有关网络安全事件的报到不绝于耳。电脑病毒在中国造成的重大疫情层出 不穷。像蠕虫王病毒一度造成全球骨干网瘫痪，仅在病毒出现的当天，我国就有 8 0 的网络服务供应商先后遭受了此蠕虫病毒的攻击。据美国f b i 统计：全球平均 每2 0 秒就发生一起i n t e r n e t 计算机系统被入侵事件，美国每年因网络安全造成的 损失高达1 7 0 亿美元。从1 9 8 8 年的蠕虫病毒至今，网络遭受攻击的次数呈数量级 递增，攻击的手段层出不穷，造成了巨大的损失和危害。美国国防部在2 0 0 0 年上 半年遭到的攻击就达1 3 9 9 8 次。据趋势科技统计，2 0 0 3 年仅计算机病毒给全 球企业带来的损失就高达5 5 0 亿美元，2 0 0 4 年1 月2 6 日单电子邮件蠕虫病毒 m y d o o m 就给全球添加了2 6 1 亿美元的损失。目前，如何保护好自己的信息不受 侵犯及如何有效地选择安全路由等一系列信息安全课题已经引起国内外有关人士 的热切注视，并且已经发展成为一个有相当规模的产业。般而言，网络信息安 全包括以下几方面的内容： ( 1 ) 保密性：防止系统内信息非法泄漏。 ( 2 ) 完整性：防止软件、程序与数据被非法删改和破坏。 电子科技大学硕七学位论文 ( 3 ) 可靠性：确保信道、消息源、发信人的真实性以及核对信息获取者的合法 性。 ( 4 ) 合法性：保证信息及信息系统确实为授权使用者所用。 ( 5 ) 可控性：对信息及信息系统实施安全监控管理。 ( 6 ) 不可否认性：保证行为人不能否认自己的行为。 在目前网络中，导致安全问题的主要原因有如下几个方面： ( 1 ) 系统软件，包括操作系统的结构和功能正变得越来越复杂，使得软件设计 者在设计时无法预料程序运行时的系统状态，更无法精确预测在不同的系统状态 下会发生什么结果，所以系统漏洞的存在是在所难免的。 ( 2 ) 随着互联网需求的日益增长，系统的安全漏洞和系统的加密措施已不再像 以前那样仅有为数不多的专业人士知道。在互联网上，有数以万计的黑客站点在 时时刻刻的发布这些信息，并提供各种工具和技术以利用这些漏洞来破解保密体 系，并进行系统攻击。 ( 3 ) 组成计算机网络的某些关键技术也并非绝对安全。如广泛应用的t c p i p 协议本身就有许多不完善之处。图1 1 列举了o s i 七层标准中常见的一些易受攻 击的漏洞。 n f s ，o p e r a t i o n ，以r 打 头的各种调用都有很大 问题，最有名的是黑客 利用缓冲区溢出技术可 通过普通用户获得超级 用户权限 黑客的反加密算法和工 具，常常破坏系统的安 全机制，而且，像畔 也存在很多安全问题 n e t b i o s 有很多没有公开 的后门，叉于n t 和9 5 的 安全有严重影响 应用层 表示层 会晤层 传输层 网络层 数据链路层 物理层 黑客经常利用t c p 洪水 攻击系统，导致系统崩 溃 p i n go f d e a t h 黑客利用 t c p i p 漏j 洞，指定超过 6 3 5 0 0 字节p i n g 包，系 统就当机 黑客利用各种技术窃取 网上通过的每个数据 包，以取得机密数据或 其他用户口令 图1 - 1o s i 七层标准中常见的漏洞 面对信息系统严峻的安全现状，许多机构对信息系统安全评估方式的研究层 出不穷。以前有关信息系统安全的研究多是定性的，近年来定量的研究逐渐成为 2 第一章引言 热点。现有信息系统安全评估方式大致可分为以下四类：安全审计、风险分析、 系统安全工程能力成熟度模型( s s e c m m ) j 和安全测评。安全审计的思想认为i t 系统的安全性可以通过关于安全的最佳实践是否实施来进行评价。风险分析模型 是通过对要保护的i t 资产存在的安全隐患进行分析，经过数学的概率统计得出网 络系统安全性的度量。系统工程安全能力成熟度模型( s s e c m m ) 是通过对安全工 程过程进行管理，将系统安全工程转变为一个定义完好的、成熟的、可测量的过 程；安全测评对信息系统的安全从安全技术、功能和机制角度来进行评估。2 0 0 2 年7 月，美国n i s t ( n a t i o n a li n s t i t u t eo fs t a n d a r da n dt e c h n o l o g y ) 和c s s p a b ( c o m p u t e rs y s t e ms e c u r i t ya n dp r i v a c ya d v i s o r yb o a r d ) 联合举办了一个针对安全度 量的讨论会。会议指出信息技术安全评估通用准贝| l ( c c ) 【2 】中有关安全度量方面的 问题还有很多需要进一步研究。2 0 0 2 年1 0 月，a c s a ( a p p l i e dc o m p u t e rs e c u r i t y a s s o c i a t e s ) 和m i t r ec o r p o r a t i o n 对安全度量作了如下定义：信息系统安全度量是 通过一些评估过程从一个偏序选择的一个值，它表示了信息系统的信息安全相关 的质量，它提供或用于产生一种关于信任程度的描述、预言或比较。如何将安全 度量引入到网络安全路由研究成为一个研究热点。 s a k a r i n d r p 等人认为，安全机制和服务质量在网络性能和数据机密性等方面有 密切的联系并相互影响，将安全带入服务质量的范畴可以将q o s 传统参数和安全 要求进行较好的平衡p j 。s a n d r i n ed u f l o s 认为，将安全度量作为参数引入到应用层 将大大的改善基于安全的分布系统q o s 管理【4 】。s t e f a nl i n d s k o g e 等人提出将安全 引入到q o s 框架并指出其难点在于安全的量化【5 】。s y e dn a q v i 等人提出在网络中 增加更多的安全设备，根据这些安全设备在网络中的位置形成抽象的安全节点拓 扑。这种拓扑是树形结构，根据此树形结构的深度确定一种安全度量【6 】。j o s e p h p a m u l a 等人基于对攻击图的分析，计算最弱网络攻击能够影响到网络的深度，并 将此深度作为一种安全度量【刀。a b d u u a hm s 指定随机值作为链路安全度，将链 路安全度进行乘法运算，形成路径安全度【8 j ，用以描述路径的安全性能。这些方法 都仅仅侧重于一种策略或目标对安全进行简单度量或定性的描述，缺乏对安全度 量复合性的定量描述。这是由于网络路由的安全性是由多种安全因素综合确定的， 单一的安全度量难以准确描述网络路由的安全性。将安全作为一种q o s 参数进行 路由选择是目前网络安全路由研究的一个新思路。如何把安全度量引入到q o s 框 架，其难点在于安全的定量化，因而安全的可测量研究成为一个广泛关注的研究 内容。如何更加准确的描述网络的安全程度，如何对安全度量进行合理的定量化 研究成为本文的研究重点。 电子科技大学硕十学位论文 定量化的安全度量可以作为一种参数引入到i p 网服务模型中。在i e t f 有多 个工作组在不同的领域，从不同角度研究解决i p 网服务质量的方案。针对不同的 具体业务的要求，先后提出了综合服务模型( i n t e r s e r v ) 【9 】和区分服务模型 ( d i f f s e r v ) 1 1 0 】两种q o s 服务模型。从对用户数据的传输质量控制来看，i n t e r s e r v 和d i f f s e r v 具有不同的出发点和实施方法，这具体表现在各自的协议特性和实现 要求上的差异。本文依照常规网络需求，依据区分服务模型，提出将安全度量作 为一个重要的优化目标。同时，为实现对多类负载的高效传输，将时延、最大带 宽利用率等常规q o s 参数也作为优化目标，从而形成了多目标多约束的优化问题。 对于多目标优化问题，其解一般不是一个，而是一组，也就是所说的p a r e t o 解集。p a r e t o 最优性是指该集合中的每一个元素，不可能在进一步优化某一个或几 个目标函数的同时，保证其他目标函数不至于劣化。p a r e t o 最优概念是建立在集合 论基础上对多目标解的一种向量评估模式。遗传算法【】是模拟生物进化过程的一 种并行优化算法，使用于复杂而庞大的搜索空间中寻找最优解或次优解。遗传算 法在搜索过程中，算法自身自动获取和积累有关搜索空间的知识，自适应地控制 搜索过程，不断地缩小搜索过程，从而得到最优解。遗传算法具有简单、通用、 鲁棒性强、并行搜索、群体寻优的特点，已广泛应用于各种具有n p 复杂性的问题 中。 s c h a f f e r 于1 9 8 4 年将遗传算法引入多目标领域，自从1 9 9 0 年以来，其已经成 为多目标优化技术的研究热点。遗传算法是一种群体搜索方法，它可以在一个进 化代中获得多个p a r e t o 优化解。在1 9 9 3 年之后涌现了许多多目标遗传算法，在这 些算法的基础上，有许多具体的工程领域应用成功的实例和对原有算法的改进性 工作。利用多目标遗传算法求解非劣解集是最近几年新出现的一种求解思路，目 前还处在研究中，但是初步的计算结果非常令人振奋。 1 1 2 无线网络安全研究现状 移动a dh o e 网络的前身是分组无线网( p a c k e tr a d i on e t w o r k ) 1 2 】，分组交换在 不受固定或有线的基础设施限制的环境下运行。在战场恶劣的环境下，通信设备 不可能依赖已经铺设的通信基础设施，一方面这些设施可能根本不存在，另一方 面，这些设施会随时遭到破坏。因此，能快速装备、自组织的移动基础设施是这 种网络区别于其他商业蜂窝系统的基本要素。在结构上，这种网络是由一系列移 动结点组成，是一种自组织的网络，它不依赖于任何已有的网络基础设施。网络 4 第一章引言 中的结点动态且任意分布，结点之间通过无线方式互连，它将分组交换网络的概 念引伸到广播网络的范畴。这项工作开辟了移动自组网( m o b i l ea dh o e n e t w o r k ， 简称a dh o c 网络或m a n e t ) 研发的先河。1 9 9 1 年成立的i e e e 8 0 2 1 1 标准委员会 采用了“a dh o c 网络”来描述这种特殊的对等式无线移动网络。 由于a dh o c 无线网络是一种没有基础设施的自组织网络，在动态的拓扑结构 下，该网络中的各个节点可以同其他节点进行单跳或多跳的通信，它有设置快速、 不需要基站、动态的拓扑结构和多跳路由等特征，因此它的应用领域与普通的通 信网络有着显著的区别。它适合用于无法或不便预先铺设网络设施的场合、需快 速自动组网的场合等。针对a dh o c 网络的研究是因军事应用而发起的。因此，军 事应用仍是a dh o c 网络的主要应用领域，但是民用方面，a dh o c 网络也有非常 广泛的应用前景。 m a n e t 工作组基于i p 的路由协议规范和接口设计进行研究，目前针对a d h o c 网络路由协议已经制定了十几个i n t e r n e t 草案标准，比如d s r 、a o d v 等，这 些协议都假设网络中的节点是友好的，不存在恶意行为，其设计目的是在适应网 络快速变化的拓扑结构的同时，优化路由信息的传播速度，因而极少考虑安全问 题。从1 9 9 8 年以来，无论国内还是国外，各科研团体对移动a dh o c 网络的研究 也不断升温，尤其是在网络层的路由协议方面，其研究工作已经取得较大进展。 但是对于a dh o c 网络的安全路由方面其研究发展还较为缓慢，并且安全路由协议 的i t e f 标准也未见公布。 从国内的研究现状来看，在该领域的研究主要集中在a dh o c 网络的路由协议 方面，如文献 1 3 ，设计合理的路由协议完成数据包的向前发送；清华大学的程伟 明教授在进行无线移动自组网中路由模式和协议算法的研究；文献 1 4 】中，东南大 学姜海等着力研究了一种节省能量的网络组播选路协议；但是对于a dh o c 网络的 安全方面则研究很少，文献 1 5 1 中贝q 针对a dh o c 网络的路由安全、q o s 及m a c ( 媒 体接入控制) 协议加以总结分析。目前技术成熟的相关论文和科技文献未见刊登公 布，被国际研究者引用和参考的标准更是没有。 i n t e m e t 安全标准i p s e c ( i p s e c u r i t y ) 用于提供i p 层安全性，曾有研究者提出可 用i p s e c 来解决a dh o c 的安全路由问题。i p s e c 实现了认证头和封装安全载荷两 种机制，有效的保护口数据包的安全。i p s e c 使用安全连接( s a ) ，对数据包实施保 护和相应算法进行定义，以及创建安全连接的i n t e r n e t 密钥交换。这些机制对于 a dh o c 网络中内存小，c u p 计算能力低，使用电池供电的终端设备而言，开销过 大。总之，移动a dh o c 网络独有特点所带来的安全要求不能用固定的传统网络的 5 电子科技大学硕士：学位论文 安全技术来完全解决。随着通信技术的发展，新的网络环境和新的应用需求引发 了对可及时应用的无线移动自组网络安全性的进一步研究。 目前，对a dh o c 移动网络路由协议的安全性分析主要有两大类方法：一是非 形式化的方法；二是形式化的方法。非形式化的方法是目前分析的主要方法，该 方法采用自然语言来描述路由协议中针对入侵者的攻击所采取的安全措施。具体 来说，分析步骤如下： ( 1 ) 逐一列举目前己知的针对路由协议的攻击方法； ( 2 ) 阐述针对该种攻击，路由协议中所采取的安全措施； ( 3 ) 在某种假设的场景中，分析如果攻击发生后，路由协议是如何反应的，即 路由协议是如何预防攻击的发生或如何阻止已发生攻击行为的进一步进行； ( 4 ) 得出结论，对于所列举的攻击行为，路由协议是安全的。 在己提出的安全路由协议中，s a d s r 1 6 1 、a r a n 1 7 1 、s p a a r 1 引，和s e a d 1 9 】 均是采用这种方法分析各自的安全性。例如，在s a d s r 中，攻击行为被分为以下 几种：源路由的修改；路由缓冲破坏；不参与路由发现；修改数据包；恶意丢包； 伪造路由错误消息；发送伪造i d 号的路由请求等。由此可见，采用非形式化的方 法分析路由协议，其优缺点是显而易见的。优点是方法简便，不需要借助于任何 工具，采用常用的推理方法即可得出结论。而缺点是由于分析过程没有经过严格 的数学证明，其结论显然是不严格的，有可能是模糊的或有歧义的。 1 2 研究动机 本文的研究重点是如何更加准确的描述不同网络的安全程度，如何对安全度 量进行合理的定量化。由于网络的安全策略应该能全方位的应对各种不同的威胁， 才能确保网络信息的保密性、完整性和可用性，本文将已有的多种网络安全技术 用于定义链路安全度量，即认证机制、接入控制机制和数据加密机制。认证机制 是网络安全防范和保护的主要策略之一，也是维护网络系统安全、保护网络资源 的重要手段，它的主要任务是保证网络资源不被非法使用和非常访问；数据加密 机制的目的是在网络数据传输过程中保护网内的数据、文件、口令和控制信息， 保证网上传输数据的安全；接入控制机制能帮助信息系统确保服务的可用性，并 控制哪些用户能够登录到服务器并获取网络资源。因此，以上述安全策略所定义 的度量可以视为是良好、合理和具有现实性的【2 0 】。我们的目标是提出一种多安全 6 第一章引言 度量的链路安全性描述策略，根据特定网络和应用的需要，确定具体的安全度量， 并与常规q o s 参数，如时延、最大带宽利用率、公用缓冲池带宽占用率等，形成 多目标多约束最优化问题，并提出相应的求解算法。 针对路由安全比固定网络脆弱的无线移动a dh o c 网络，为了准确的描述无线 网络的路由安全，本文建立起无线节点信任度机制。节点间通过信任度的传播及 迭代，确定无线路径信任度，并将此信任度作为一种无线网络安全度量；在路由 寻求中，将此安全度量作为一种q o s 参数，使之成为无线路由选择的重要依据。 为了更好的保证无线网络路由安全，本文提出一种无线协议，它继承了d s r 协议 的路径积累的特征。当一对源、目的节点想要进行通信时，此协议可以找到多条 从源节点到目的节点的节点分离路径。默认条件下，源节点将在多条节点分离路 径中进行数据包的传播。由于存在多条节点分离的路由，当默认链路不可用时， 协议可提供备用链路，不需要调用路由发现进程。同时，多径路由的存在大大降 低了恶意节点能够正确捕获数据包的概率。同已有协议相比，它在降低了协议的 路由开销的同时，由于多径路由的存在，极大的提高了实现无线网络安全路由的 可能性。本文的工作主要是在移动网络中基于信任度建立描述节点和链路安全度 量策略，并且提出一种量化无线节点和链路安全度量的方法。将量化后的链路、 节点安全度量作为无线网络安全路由的依据。同时，设计出一种新颖的无线路由 协议以应用我们提出的安全度量策略。 1 3 作者主要工作 本文主要研究内容和研究成果包括： ( 1 ) 深入的分析了网络安全问题，强调了将安全度量引入网络的合理性和重要 性。同时将安全度量作为q o s 参数引入区分服务模型中。 ( 2 ) 针对采用一个安全度量参数描述链路安全性存在的片面性，本文提出一种 多安全度量的链路安全性描述策略。根据网络安全主要目标和策略，即接入控制、 认证、加密等机制，将链路安全进行多方面量化，并将这些度量作为选择数据转 发路径的多个q o s 参数，以更加全面准确的描述网络链路的安全性能。同时，将 多个安全度量和常规的网络q o s 参数( 如时延、最大带宽利用率等) 相结合，形成 多目标多约束的路由选择问题。 ( 3 ) 根据网络拓扑性质，依据改进的非支配遗传算法，根据需要解决了遗传算 7 电子科技大学硕十学位论文 法中编码方式、初始化种群选择方法、约束处理、适应度函数、交叉策略、变异 规则、修复函数等问题。提出了多目标最优化安全路由算法m o s r a ( m u l t i o b j e c t o p t i m a ls e c u r er o u t i n ga l g o r i t h m ) 。 ( 4 ) 在无线网络方面，在深入分析现有a dh o c 路由协议的基础上，基于信任 度建立了描述节点和链路安全度量策略，并且提出一种量化无线节点和链路安全 度量的方法。在路由寻求中，将此安全度量作为一种q o s 参数，使之成为无线路 由选择的重要依据。同时，在一次路由寻找过程中建立多条源到目的节点的路径， 数据包在源节点进行简单的加密后，通过不同的路径进行传播。由此，建立起一 种多径路由系统安全的测量方法，进一步提高了描述无线路由安全性能的准确性。 最后提出了无线a dh o c 网络安全路由协议t b m r ( t r u s t - b a s e dm u l t i - p a t h r o u t i n g ) 。 这项工作使用n s 2 和m a t l a b 来实现网络仿真。仿真表明，依据我们定义的安 全度量描述策略，通过相应的求解算法和协议，在有线网络和无线网络中都明显 的提高了路由选择的安全性能。 根据本文的主要工作写成学术论文在i e e ei n t e r n a t i o n a lc o n f e r e n c e so n c y b e m e t i c s & i n t e l l i g e n ts y s t e m s ( c i s la n dr o b o t i c sa u t o m a t i o n & m e c h a t r o n i c s ( r a m ) ( c i s r a m2 0 0 8 ) ( e i 检索) 以及中文核心期刊计算机工程与应用录用。 1 4 论文结构 第2 章将对网络的安全问题以及网络安全度量进行了深入分析，介绍网络安 全度量的研究现状，并且依据已有的多种网络安全技术，即认证机制、接入控制 机制和数据加密机制，定义了多重链路安全度量。 第3 章将第2 章定义的链路安全度量用于区分服务模型下的网络模型。区分 服务模型是一种粗粒度的方法，所谓粗粒度，是指它给几类通信量分配资源，提 供q o s 。同时，采用r d m 模型作为带宽分配模型，建立多目标安全路由算法模型， 确定安全路由算法最优化目标，并基于改进的非支配遗传算法，提出了多目标最 优化安全路由算法m o s r a ( m u l t i o b j e c to p t i m a ls e c u r er o u t i n ga l g o r i t h m ) 来求解 多目标多约束最优化问题。 第4 章在无线网络中基于信任度建立起描述节点和链路安全度量策略，以及 多径路由系统的安全评估。依据我们所提出的策略，提出了t b m r ( t r u s t b a s e d 第一章引言 m u l t i p a t hr o u t i n g ) ( ，其功能是在无线网络中实现安全路由。根据需要，t b m r 协议对m d s r 协议的报文格式、路由表数据结构和处理各类型报文的方法做了修 改。 第5 章将概述整篇论文，对所做工作做出总结，并提出以后研究的方向。 9 电子科技大学硕士学位论文 第二章网络安全度量研究 2 1 解决网络安全问题的现有措施 信息安全性管理是一种风险管理，这是由于在一个人为创造的网络交流环境 中，不存在绝对安全，信息安全的实现也只是一个相对的概念。为了防御种种攻 击，目前业界采取了许多措施。解决网络安全问题的现有措施主要包括技术和非 技术两方面的措施。 1 非技术措施：对系统使用人员加强安全意识教育；制定安全策略；加强对 网络不法行为的制约等。 2 技术措施 ( 1 ) 认证技术：这种技术可以通过对机密信息，例如口令、个人身份号码加密 密钥的确认来认证用户、网络主机以及文档的合法性，也可以使用智能卡、访问 令牌或加密卡的方式，或者采用指纹识别、虹膜等生物测定法。这些方法都是行 之有效的方法，但也不能排除在某些环境下出现意外的情况。例如，机密信息被 破解，令牌被盗、生物测定法识别错误等。 ( 2 ) 密码术：密码术的用途有多种，它可以提供可信性保护、数据完整性认证、 用户、主机和消息认证、以及数字签名的功能，从而对开放网络环境下通信双方 的通信内容和存储在主机上的文件数据提供保护。密码术本身具有的特性，使它 既可以作为一个系统形成一个独立的产品，也可以集成在其他应用程序或网络服 务中，对用户透明。密码术本身的安全问题需要从加密算法、加密协议、密钥生 成以及密钥管理这几个方面来考虑。 ( 3 ) 访问控制：访问控制技术基于安全策略来控制用户对各类资源( 如：网络、 计算机、应用程序以及各类信息) 的访问。安全策略的制定可以根据使用者特定的 需要，如针对独立的用户、集团，或根据访问时间、地点等。根据安全策略，访 问控制需要对试图访问资源的用户进行身份认证。安全策略的制定和实现是访问 控制能否成为“安全门卫”的关键。 ( 4 ) 防火墙技术 一般将需要提供保护的局域网称为内部网，防火墙是隔离内部网和外部网的 1 0 第二章网络的安全测量 关口，它通过在内部网和外部网之间架构一个安全防护区，过滤内部网和外部网 之间的通信，实现对内部网的安全保护。防火墙技术是计算机软件和硬件的综合 实现，通过设定安全规则，防火墙决定是否让每个报文通过。安全规则的制定是 防火墙技术的关键，安全规则的制定可以针对协议、源地址、目的地址或者端口 号，以及通信内容( 通常通过关键字的匹配实现1 。防火墙技术是一种综合性很强的 技术，它可以综合身份认证、加密技术和访问控制技术、以及支持多种现有的安 全通信协议来达到更高的安全性。 ( 5 ) 可靠系统设计 要实现一个高可靠性的安全系统，首先需要有好的设计方案，而且安全通常 是一个整体概念，一个安全的系统不能仅仅依靠个别软件来实现，它既需要安全 的上层应用软件，也需要有底层程序的支持。随着安全概念的扩展，一个可靠的 系统不仅包括软件安全，还包括硬件安全以及系统框架安全。如果在实现一个系 统之前，能够对种种安全因素进行周密的考虑，在设计上加以注意，将会大大提 高所要实现系统的安全性和可靠性。 ( 6 ) 建立信息系统安全度量与评估模型【2 l 】