（计算机应用技术专业论文）ad+hoc网络协议安全性的形式化验证研究.pdf

摘要 无线移动a dh o c 网络( m a n e t ，以下简称a dh o c 网络) 作为没有基础设施 的网络，在军事和民用方面具有广阔的应用前景，是目前网络研究中的热点问 题。随着近年对a dh o c 网络安全的研究，相关的a dh o c 网络协议也在不断的改进 和完善中，网络中的攻击者以及协议无穷多个会话的并发交叠运行使得协议运 行时往往难以实现它的设计目标，对协议的安全性分析和验证显得至关重要。 形式化的方法已被证明是分析和验证安全协议的有效手段，但常规的形式化方 法，女i n e e d h a m 等人提出的b a n 逻辑以及后来改进的a t 逻辑及s v o 逻辑、p e n i 模型、有限状态模型( f s m ) 及随机预言机模型等方法大都是理想状态空间的 理论推导，逻辑性、理论性都较强，验证过程需要很长的推理步骤，为了直观 而又严密的验证协议，我们采用了a v i s p a 协议验证工具。 本文以a dh o c 网络协议安全性的形式化验证为研究对象，以有效的形式化验 证方法为主要研究内容。本文的创新点如下： 1 、通过分析比较几种常用的形式化分析方法的优点与缺点，选择a v i s p a 工具集作为协议安全的形式化分析工具。 2 、针对相关文献上讨论的a r a n 协议能否防御内部节点攻击的问题，采用 h l s p l 语言对a r a n 协议建立了抽象模型，利用a v i s p a 工具集形式化验证分 析了a r a n 协议的安全性问题，证实了a r a n 协议在存在恶意节点攻击的情况 下能够成功抵御这类攻击。 3 、随着网络编码技术在a dh o c 网络中的应用，网络编码协议的安全性验证 也成为一个新的研究课题。针对网络编码同态签名方案抵御内部恶意节点攻击 的安全性验证问题，本文构建了一个基于网络编码同态签名算法的网络传输协 议，然后利用h l p s l 语言对该网络传输协议建立了抽象验证模型，首次利用 a v i s p a 工具验证了这种协议的安全性。 关键字：a dh o c 网络，a r a n ，a v i s p a ，形式化验证，网络编码 a b s t r a c t w i r e l e s sm o b i l ea dh o cn e t w o r k ( m a n e t , a d h o cn e t w o r k sf o rs h o r t ) i sak i n d o fm o b i l es e l f - o r g a n i z e dn e t w o r k sw i t h o u tf i x e di n f r a s t r u c t u r e a dh o cn e t w o r k s b e c 锄eaf - 0 c u si ns t u d yo fn e t w o r k sb e c a u s et h e yw e r ew i d e l ya p p l i e d t om i l i t a r ya n d c i v i l i a nf i e l d s a l o n gw i t ht h er e s e a r c ho i ls e c u r i t yo fa dh o c n e t w o r k s ，t h er o u t i n g p r o t o c o l sw e r er a p i d l yi m p r o v e da n dp e r f e c t e d h o w e v e rn e t w o r ka t t a c k sa n dt h e i n f i n i t e l vc o n c u r r e n ts e s s i o n ss t i l ll e dt h a tt h ep r o t o c o ld e s i g nw a s d i f f i c u l tt oa c h i e v e i t so b j e c t i v e s i tw a si m p o r t a n tt ov a l i d a t ea n da n a l y z et h es e c u r i t yo fp r o t o c o l s t h e f o m l a lm e t h o d sh a db e e np r o v e dt ob et h ea n a l y s i sa n d v e r i f i c a t i o no ft h ee f f e c t i v e m e a n so fs e c u r ep r o t o c o l s h o w e v e r , t h ef o r m a l i z a t i o no f c o n v e n t i o n a lm e t h o d s ，s u c h 硒b a nl o g i cp r o p o s e db yn e e d h a ma n do t h e r s ，a n ds u b s e q u e n t l yi m p r o v e da t a n d s v ol o g i c p e r t im o d e l ，f i n i t es t a t em o d e l ( f s m ) a n dt h er a n d o mo r a c l em o d e la n d s ow e r ei d e a lt h e o r e t i c a ls t a t es p a c e ，t h e o r e t i c a ll o g i cw a ss t r o n g ，t h ev e r i f i c a t i o n p r o c e s sw o u l dt a k e al o n gs t e pi n t h er e a s o n i n g i n t u i t i v ea n dr i g o r o u st o t h e v a l i d a t i o n w ei n 缸o i i u c e dt h ea v i s p at o o l st ov a l i d a t ef o r m a l l yt h es e c u r i t y o f p r o t o c o l s t h i st h e s i sw a sf o c u s e do nt h es t u d yo ff o r m a lv a l i d a t i o no na d h o en e t w o r k s a n di t sm a i ns t u d yw a sa ne f f e c t i v em e t h o df o rf o r m a lv e r i f i c a t i o n t h em a i n r e s e a r c h a n di n n o v a t i o no ft h i sp a p e rw e r ea sf o l l o w s ： ( 1 ) c o m p a r i n gw i t hs e v e r a lc o m m o nf o r m a lm e t h o d si na d v a n t a g e sa n d d e f e c t s ， w ee h o s ea v i s p at o o l sa st h ef o r m a lv a l i d a t i o nt o o l sf o rv a l i d a t i n gt h es e c u r i t yo f p r o t o c o l s f 2 ) t ov e r i f yt h a ti sw h e t h e ro rn o ta r a np r o t o c o lc o u l dr e s i s tt h ei n t e r n a l m a l i c i o u sa n a c k sw h i c hi si nd i s c u s s i o no fr e l e v a n tl i t e r a t u r e ，w eu s e dt h e h l p s l l a n g u a g et od e s c r i b et h ea r a np r o t o c o la n de s t a b l i s ha na b s t r a c tm o d e l f o r m a l v e r i f i c a t i o no fa r a nc o n f i r m e dt h a tt h ea n s w e ri sp o s i t i v e ，t h a ti st os a ya r a b c a n r e s i s tt h ea t t a c k sf r o mi n t e r n a lm a l i c i o u sn o d e s ( 3 ) w i t hn e t w o r kc o d i n gt e c h n o l o g yi nt h ea d h o cn e t w o r ka p p l i c a t i o n s ，f o r m a l v a l i d a t i o no ns e c u r i t yo fn e t w o r kc o d i n gb e c a m ean e wr e s e a r c hf i e l d f o rv a l i d a t i n g t h es e c u r i t yo ft h eh o m o m o r p h i s ms i g n a t u r es c h e m eb a s e do nn e t w o r kc o d i n g ，w e b u i l ta l la u t h e n t i c a t e dn e t w o r kc o d i n gt r a n s p o r tp r o t o c o lb a s e do nt h eh o m o m o r p h i s m s i g n a t u r ea l g o r i t h mt ov a l i d a t et h es e c u r i t yo ft h i ss c h e m e t h e nw eu s e dt h eh l p s l l a n g u a g et o e s t a b l i s ha na b s t r a c ta u t h e n t i c a t i o nm o d e lf o rt h en e t w o r kt r a n s p o r t p r o t o c o l sa n d v a l i d a t e dt h es e c u r i t yo ft h i sp r o t o c o la tt h ef i r s tt i m e k e yw o r d s ：a dh o cn e t w o r k ，a r a n ，a v i s p a ，f o r m a lv a l i d a t i o n , n e t w o r kc o d i n g 独创性声明 本人声明，所呈交的论文是我个人在导师指导下进行的研究工作及取得的 研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含 其他人已经发表或撰写过的研究成果，也不包含为获得武汉理工大学或其它教 育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 研究生( 签名) ： 日期迦t 2 垒i 丕目 关于论文使用授权的说明 本人完全了解武汉理工大学有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅 和借阅。本人授权武汉理工大学可以将本学位论文的全部内容编入有关数据库 进行检索，可以采用影印、缩印或其他复制手段保存或汇编本学位论文。同时 授权经武汉理工大学认可的国家有关机构或论文数据库使用或收录本学位论 文，并向社会公众提供信息服务。 ( 保密的论文在解密后应遵守此规定) 研究生c 签名，：曼尘垫导师c 签名) ：她日期刚 武汉理工大学硕士学位论文 第1 章引言 1 1 研究背景及课题来源 无线移动a dh o c 网络是一种新型移动无线通信网，它不依赖于任何固定的 基础网络设施，具有灵活、健壮、投资少等特性，现已广泛应用于军事作战指 挥协同、自然灾害处理、紧急通信联系、移动会议通话等领域。但是，a dh o c 网络与普通的移动网络和固定网络相比，它也具有其局限性l l 】：节点频繁在网络 中任意地移动，并自由加入和退出网络，无线传播条件也随时间和空间不断改 变，使网络拓扑结构频繁变化；带宽有限、容量可变的链路，多接入、多径衰 减、噪声和信号干扰等因素将显着降低无线通信的吞吐量；移动节点常常依靠 电池来提供能量，能量有限；多跳通信，无线节点的发射功率有限，常常需要 其它的中间节点来中继信息。 正因为a dh o c 网络的局限性，其存在严重的安全性问题1 2 j ：无线链路使a d h o c 网络容易受到链路层的攻击，包括被动窃听和主动假冒、信息重放和信息破 坏等；节点在敌方环境( 如战场) 漫游时缺乏物理保护，使网络容易受到已经泄 密的内部节点( 而不仅仅是外部节点) 的攻击；a dh o c 网络的拓扑和成员经常改 变，节点间的信任关系经常变化，在节点间建立信任关系成为a dh o c 网络安全的 中心问题；a dh o c 网络包含成百上千个节点，需要采用具有扩展性的安全机制。 a dh o c 网络中最主要的是路由，路由协议的安全对保证整个的安全是至关重要 的。一种设计完善的安全路由算法不仅要能防止网络攻击，还能够确保每个节 点均能成功进行路由的查找和路由的维护。现在主要有两种类型的安全路由协 议。一种是在现有的基本路由协议的基础上附加安全措施，其协议是要有s a r 3 】 ( s e c u r ea w a r ea dh o cr o u t i n g ) 协议、s a o d v q o s t 4 j ( s e c u r i n gq o so n d e m a n d r o u t i n gp r o t o c o lf o r a dh o cn e t w o r k s ) 协议等。另一种是考点安全因素而重新设计 的安全协议，如a r a n ( a u t h e n t i c a t e dr o u t i n gf o ra dh o cn e t w o r k s ) 协议【5 】等。 a dh o c 网络安全协议也在不断的改进和完善。a dh o c 网络中的攻击者以及协 议无穷多个会话的并发交叠运行使得协议运行时往往难以实现它的设计目标， 在著d o l e v y a o 6 j 的攻击者模型下，假设攻击者可以控制整个网络，且拥有众 武汉理工大学硕士学位论文 多的网络资源，其攻击方式多种多样，即使建立在完美密码系统上的认证协议 仍然可能存在各种各样的安全漏洞。对a dh o c 网络协议的安全性分析和验证显得 至关重要，形式化的方法已被证明是分析和验证安全协议的有效手段：国防科 技大学的李梦君博士在其论文【_ 7 】中详细论述了几种安全协议的形式化验证方法， 主要有限状态机模型( f s m ) 、p e t r i 模型峭j ；采用逻辑语言模型如c t l ( 计算机 树逻辑) ，用时态逻辑验证协议路径的正确性【9 1 ；采用进程代数验证协议进程行 为的正确性与安全性等【l0 1 。但上述的方法基于逻辑推理的抽象理论方法都是基 于人工思维的证明方法，需要用户具备深厚的专业知识，无法采用程序控制的 方法进行自动推理的实际验证。2 0 0 3 年，欧洲委员会为了加速下一代网络协议 的研发，提高协议的安全性，由欧共体的意大利、法国、瑞士和德国等国家的 大学及研究机构联合发起一个研究项目，为的是开发出一种自动的工业级的协 议安全分析技术，a v i s p a 工具集应运而生。相对于前述种种需要人工介入的逻 辑推理的验证方法，a v i s p a 是分析网络协议的一个自动化以及能够运用在商业 化上的分析技术。为了直观而又严密的对a dh o c 协议进行安全验证，本文采用 了a v i s p a 工具集对a dh o e 协议进行了形式化的验证。 1 1 1 研究内容 1 、通过分析比较传统的形式化方法与a v i s p a 工具集，找出共同点与不同 点。 2 、研究了a dh o c 路由协议a r a n ，实现了对协议h l p s l 语言的描述及角 色化抽象建模，利用a v i s p a 工具对a r a n 协议进行安全验证，验证了协议在 内部恶意节点攻击情况下的安全性。 3 、网络编码应用于a dh o c 网络，对基于同态签名网络算法的网络编码传输 协议进行形式化描述，并首次用a v i s p a 工具实现了对该协议的形式化验证，证 实网络编码同态签名方案的可行性与安全性。 1 1 2 研究意义 a dh o c 网络可以通过临时自组网的方式在恶劣环境中支持移动节点之间的 数据、语音、图像和图形等业务的无线传输，应用范围可以覆盖工业、商业、 医疗、家庭、办公环境、军事等各种场合，尤其在未来战场上，a dh o c 网对于 2 武汉理工大学硕士学位论文 高技术武器装备、集中指挥、协同作战和提高作战机动性等具有非常重要的意 义。由于网络的动态拓扑结构及自组性使得在实现某些安全目标时，面临诸多 挑战，其网络协议的安全性直接关系到传输信息的安全性。随着因特网络及基 于网络服务的发展，应用于网络的新技术也越来越多，一些新的安全协议的复 杂程度已经超过了人力所能分析的程度，严谨的安全协议分析工具对于加速和 提高下一代安全协议显得非常重要，人们急于找寻一种协议安全分析工具来分 析协议的安全性问题。理想情况下，这些工具应该具备完全自动化，并且要健 壮性强且富于表达、容易理解，只有这样才能把协议的发展和标准化工作整合 起来。尽管在近十几年来很多新的技术已经发展到能够自动分析少量甚至中量 的协议，但发展到自动分析大量的协议仍旧是个挑战。a v i s p a 是一种自动的网 络安全协议认证和分析工具，它把这种挑战提高到了一种系统化的高度。 1 2 论文结构 本文共分5 章，其中第3 章第4 章是本人所做的主要研究工作。 第l 章主要阐述了课题研究的背景、来源及意义。 第2 章主要是背景知识的介绍。第一部分对a dh o c 网络的特点、应用、面 临的安全威胁及安全需求进行了描述，并介绍了a dh o c 网络路由协议的分类及 其面临的安全威胁。第二部分主要介绍了传统的形式化验证方法。第三部分重 点介绍了a v i s p a 工具集及s p a n 工具，举例描述了h l s p l 语言的语义结构。 第3 章是对a r a n 协议的形式化验证。第一二部分对a r a n 协议及相关研 究工作做了介绍。第三部分对a r a n 协议进行了形式化的描述。第四部分利用 h l s p l 语言对a r a n 协议进行角色化抽象建模，编写源验证程序，利用a v i s p a 工具对a r a n 协议进行了形式化的安全验证。第五部分是对a r a n 的安全性分 析。 第4 章是针对网络编码在a dh o c 网络中的应用，应用a v i s p a 工具验证基 于网络编码及其同态签名算法的网络传输协议的安全性。第一部分简要介绍了 相关的研究的工作。第二部分对网络编码同态签名算法做了介绍。第三部分对 基于网络编码及其同态签名算法的网络传输协议的流程做了描述。第四部分对 协议的形式化验证过程及验证结果分析。 第5 章对整个论文的工作作出了总结，并且展望了未来的研究工作。 武汉理工大学硕士学位论文 第2 章课题相关背景知识 2 1a dh o c 网络概述 a dh o e 网络是种不需要固定基础设施支撑的无线移动网络，网络中的节 点均担任主机和路由两种功能，其组网方便、快捷，不受时间和空间的限制。 a dh o e 网络最初应用于军事领域，它的研究起源于战场环境下分组无线网数据 通信项目【l ，主要研究在战场环境下利用分组无线网进行数据通信，该项目由 美国国防部高级研究计划署( t h ed e f e n s e a d v a n c e dr e s e a r c hp r o j e c t s a g e n c y ，简 称d a r p a ) 资助，其后，又在1 9 8 3 年和1 9 9 4 年进行了高生存可适应网络 s u r n ( s u r v i v a b l ea d a p t i v en e t w o r k ) 和全球移动信息系统g l o m o ( g l o b a lm o b i l e i n f o r m a t i o ns y s t e m ) 项目的研究。i e e e 8 0 2 1 1 标准委员会采用了“a dh o c 网络 来描述这种特殊的自组织对等式多跳移动通信网络，互联网工程任务组 ( i n t e m e t e n g i n e e r i n g t a s k f o r c e ，简称i e t f ) 也将a dh o c 网络称为m a n e t ( m o b i l ea dh o cn e t w o r k s ) 。由于无线通信和终端技术的不断发展，a dh o e 网 络在民用环境下也得到了应用，如在没有有线基础设施的山区进行临时紧急通 信时，可以很方便地通过搭建a dh o c 网络实现。a dh o c 网络组网灵活、快速， 使用非常方便，已经成为移动通信技术领域研究的一个重要方向。 在a dh o c 网络中的各移动终端都具备两种功能i l2 】：主机和路由。作为主机， 终端需要运行面向用户的应该程序；作为路由器，终端要运行相应的路由协议， 根据路由策略和路由表参与报文的转发和路由维护。由于移动终端的无线传输 范围有限，当两个移动终端( 如图2 1 中的终端a 和b ) 在彼此的通信覆盖范围 内时，它们可以直接通信。但是如果两个相距较远的终端( 如图2 1 中的终端a 和g ) 要进行通信，则需要通过它们之间的通信范围相互覆盖的移动终端b 、c 、 e 、f 的转发才能实现，故它又被称之为多跳无线网( m u l t i h o pw i r e l e s s n e t w o r k ) 、自组织网络( s e l f - o r g a n i z e d ) 或无固定设置的网络( i n f r a s t r u c t u r e l e s s n e t w o r k ) 。而在普通的移动网络中移动终端不具备路由功能，只是一个普通的 通信终端，当移动终端从一个区移动到另个区时并不改变网络拓扑结构，但 a dh o e 网络中移动终端的移动将会导致网络拓扑结构的改变。 4 武汉理工大学硕士学位论文 图2 - 1a dh o c 网络的多跳转发通信 2 1 1a dh o e 网络的特点 a dh o c 网络作为一种新的组网方式，其是一种自治的移动节点系统，这种 系统可以独立的工作，也可以通过网关和接口与其它固定网络连接，其具有以 下特点【1 3 】【1 4 】： ( 1 ) 无控制中心 a dh o e 网络相对常规通信网络而言，没有严格的控制中心，在网络中的每 个节点相互对等，处于分布式状态，并且节点可以随时加入和离开网络，任何 节点的故障不会影响整个网络的运行，网络抗毁性较强。 ( 2 ) 网络拓扑结构动态变化 在a dh o e 网络中，移动终端可以在网中随意移动，并且移动终端之间的通 信质量影响会导致网络节点与节点的之间链路的频繁增加或消失，各移动终端 之间的关系不断发生变化，而且变化的方式和速度都难以预测，动态变化的网 络拓扑结构主要体现在网络中各节点和链路的数量及分布的动态变化。 ( 3 ) 有限的无线通信带宽 在a dh o e 网络中由于没有有线基础设施的支持，因此各移动终端之间的通 信均通过无线传输来完成。由于无线信道本身的物理特性，无线信道的带宽明 显低于有线信道。除此以外，考虑到无线环境具有比特误码率高、链路质量和 武汉理工大学硕士学位论文 链路容量起伏波动大等问题，移动终端获得的实际带宽远远小于理论上的最大 带宽，其无线通信的带宽非常有限。 ( 4 ) 主机能源有限 在a dh o c 网络中，主机均是一些移动便携设备，如p d a 、笔记本电脑或掌 上电脑等。由于受到设备本向的若干特性限制，并且主机可能处在不停的移动 状态下，主机的能源主要由电池提供，因此a dh o c 网络具有主机能源有限的特 点。 ( 5 ) 网络自组织性 网络的布设或展开无需依赖任何预设的网络设施，只要有需要，可以速度 展开并协调工作，各移动终端之间自组织成一个独立的网络交换数据，网络中 各节点通过分层协议和分布式算法协调各自的行为，具备很强的自组织性。 ( 6 ) 多跳路由 由于a dh o c 网络中节点的信息覆盖范围是有限的，当节点要与其覆盖范围 之外的节点进行通信时，必须通过中间节点的多跳转发。需要网络中其它节点 共同协作完成，而不用借助于专用的路由设备。因为使用多跳，各节点的发射 能量可以很低，从而达到节约节点能耗的目的。 ( 7 ) 安全性相对较差 因为a dh o c 网络采用无线传输、分布式控制等特点，所以其非常容易受到 来自网络中入侵者的窃听、欺骗、拒绝服务等安全威胁。相对于集中式控制的 有线网络而言，安全问题显得更加复杂。 2 1 2a dh o c 网络的应用 a dh o c 网络在民间和军事方面均有广泛的应用。a dh o e 网络最早应用于军 事，因此军事仍然是其主要的应用领域，其在民用领域也有非常广阔的前景， 可支持移动商务、移动会议、自然或灾难营救过程中的信息交换以及临时性的 交互通信等。 a dh o c 网络应用主要在以下几个方面【1 5 】： ( 1 ) 军事应用 a dh o c 网络技术可用来构建战术互联网，或用于已有军事网络以提高网络 的可靠性和生存性。在恶劣的战场环境下，各种军事车辆之间，车辆与士兵之 间，士兵与士兵之间都需要保持密切的联系以完成指挥、部署与协调作战。a dh o e 6 武汉理工大学硕士学位论文 网络其分布性、自组性、机动性的特点能够保证在现代化战场环境下的信息传 输的顺畅。 ( 2 ) 传感器网络 a dh o c 网络分布式、多跳传输的特点非常适合于无线传感器网络。无线传 感器网络是由一组传感器节点通过无线介质连接构成的无线网络，它可以采用 a dh o c 方式配置大量微型的智能传感节点，通过节点的协同工作来采集和处理 网络覆盖区域中的目标信息。 ( 3 ) 紧急和突发情况下的应急通信 在发生了地震、水灾、强热带风暴或遭受其它灾难打击后，固定的通信网 络设施可能被摧毁或无法正常工作；处于边远或偏僻野外地区时，同样无法依 赖固定或预设的网络设施进行通信，这时就需要a dh o e 网络这种不依赖任何固 定网络设施又能快速布设的自组织网络技术。a dh o c 网络技术的独立组网能力 和自组织特点，是这些场合通信的最佳选择。2 0 0 8 年的四川省汶川大地震，各 类救援人员通过a dh o c 网络来保持救援工作的指挥协同，发挥了极其重要的作 用。 ( 4 ) 个人局域网 可用于实现p d a 、手机、手提电脑、游戏掌机等个人电子通信设备之间的 信息互联，还可用于个人局域网之间的多跳通信，如移动小型办公网络中的网 络信息交换等。 ( 5 ) 与无线数据网络的结合 a dh o c 无线数据网络能够在多种移动通信设备之间支持数据交换和共享， 包括作为目前的2 g 3 g 移动通信、w l a n 以及无线城域网w m a n 的补充。 2 1 3 移动a dh o c 网络所面临的安全威胁 随着网络环境的日益复杂化，针对a dh o c 网络的攻击手段也越来越多，按 攻击的被动性和主动性主要分以下两类i l6 j ： ( 1 ) 被动攻击( p a s s i v ea t t a c k s ) 被动攻击通常指攻击者潜伏在网络中窃听、嗅探或收集信道上传输的敏感 信息，一般情况下其极具隐蔽性，不易被发觉，一旦时机成熟，其获取的信息 达到一定的要求后，比如在路由协议中，攻击者通过分析所获取关键的敏感的 路由信息，可以推理出整个网络的拓扑结构，则可以对网络中的关键节点发动 7 武汉理工大学硕士学位论文 主动攻击。 ( 2 ) 主动攻击( a c t i v ea t t a c k s ) 主动攻击指攻击者主动采取一系列故意的行动来破坏网络。如通过伪造无 效的i p 地址去连接服务器，使服务器处理错误的连接而浪费系统资源，并且其 还包括恶意复制、修改和删除传输中的信息等行为。一般来说，主动攻击又可 以进一步分为外部攻击和内部攻击。外部攻击( e x t e r n a la t t a c k s ) 是典型的主动 攻击，它是由网络外部的恶意节点发起的。其目的是传播错误的、篡改的数据 信息，占用系统的资源，导致网络拥塞、影响网络服务的正常工作。内部攻击 ( i n t e r n a la t t a c k s ) 是由网络内部的恶意节点引起的攻击。在网络中，这类恶意 节点己被授权的一方认为是合法的节点，它们受到网络及其服务所提供的安全 机制的保护，其隐蔽性极强，要检测出内部攻击是非常困难的，所以危害性也 较大。 具体的攻击类型： ( 1 ) 分布式拒绝服务攻击( d i s t r i b u t e dd e n i a lo fs e r v i c e ，简称d d o s ) 移动a dh o c 网络是一个分布式的网络，不存在任何的集中化资源，其结构 是一个无中心实体的分布式系统，每个节点都是对等的，所以攻击者可以利用 多个恶意节点向服务器发送合理的请求来占用过多的服务资源，从而使合法的 节点无法得到服务的响应，以达到其拥塞无线链路并耗尽网络资源的攻击目的。 ( 2 ) 假冒攻击( i m p e r s o n a t i o n a t t a c k s ) 假冒攻击就是在没有相应的认证措施的网络中，恶意节点在不被检测到的 情况下进入网络，伪装成一个合法的网络节点，并向其它节点发送错误的命令 或状态信息，以干扰其它合法节点的正常功能，达到欺骗的目的。 ( 3 ) 信任攻击( t m s t a t t a c k s ) 信任层次是对反映系统特权的信任级别的一个直接的表述，反映了移动节 点的能力、安全、重要性等内容，其一般需要绑定用户的身份和相应的信任等 级。如果没有绑定用户的相应信任等级，其它恶意用户都可以模仿其它人，获 取更高信任级的特权。为此，需要引入更强的接入控制机制。为了使节点和用 户按信任等级运行，要采用加密、公钥证书、共享密钥等密码技术。 ( 4 ) 对安全路由的攻击( a t t a c k s a g a i n s ts e c u r er o u t i n g ) 对安全路由的攻击主要是指攻击者未经允许地“窃取路由数据包，并从 路由数据包中获取路由信息，从而推断出一个节点相对于其它节点的位置。并 武汉理工大学硕士学位论文 且这些被窃取的路由信息可能泄露节点之间的关系和它们的i p 地址，从而泄漏 整个网络拓扑结构信息。 2 1 4 移动a dh o c 网络的安全需求 对于移动a dh o c 网络而言，安全是很重要的，特别是那些对安全很敏感的 应用更是需要安全保护。安全是制约a dh o c 网络实际应用的一个主要问题，相 比传统其它无线网络而言，其安全需求主要有以下几个方面【1 7 】： ( 1 ) 安全认证 安全认证是移动a dh o c 网络安全的核心，也是其最大的问题。认证是实现 机密性、完整性、可用性的基础，安全认证主要确保通信的真实性。网络中每 个节点都是其所声称的实体，其两个合法的实体连接不受第三方的干扰，每个 节点能够确保识别与之通信的同等节点的身份，也是就说未经授权的第三方不 能够伪装成两个合法的实体中的任何一个进行非授权传输或接收。如果没有认 证，入侵者可以伪装成一个合法的节点，未经授权便访问网络资源和敏感信息， 为其破坏网络创造条件。 ( 2 ) 数据保密性i 数据保密性指的是指网络中两个节点交换信息时，保证某些信息永远不会 暴露给未经授权的实体，即未经授权第三方无法知道其所传输的内容。为了保 证消息的保密性，需要防止中间节点和不诚实的节点知道所传输的报文的内容， 该问题的解决需要借助于认证和密钥共享机制。 ( 3 ) 数据完整性 完整性主要是确保收到的消息和发出的消息一致，没有被无意或恶意地复 制、修改、更改顺序或重放。在大多数应用中，消息完整性是一个基本条件。 消息在传输过程中的改变包括网络中的恶意攻击和无线信号在传播过程中的衰 减及干扰等。移动a dh o c 网络中，许多移动计算设备很容易被攻击者获取、篡 改、破坏或替换，个合法节点可能会毫不知觉地和一个恶意节点进行通信， 从而危及自身甚至整个网络安全。通常，该问题的解决主要借助于自动恢复机 制。 ( 4 ) 可用性 可用性是根据系统的性能说明，能够按授权的系统实体的要求存取或使用 系统资源的性质。在移动a dh o c 网络中，许多攻击可导致可用性的损失或减少。 9 武汉理工大学硕士学位论文 可用性确保在网络节点受攻击时仍然能够提供有效的网络服务，它依赖于对系 统资源的恰当管理和控制，因此依赖于存取控制服务和其它安全服务。 ( 5 ) 不可否认性 不可否认性防止发送方或接收方否认传输或接收过某条消息。在a dh o c 网络中，当消息由某节点发出后，接收节点能证明消息是由声称的发送节点发 出的，同样，当接收节点收到消息后，发送节点也能证明消息事实上确实由声 称的接收节点收到。不可否认性对探测和隔离危及网络安全的节点具有重大意 义。当节点a 从节点b 接收到一个错误或虚假的消息时，不可否认性使节点a 能够通过这条消息指控节点b ，并且b 还不能够否认自己就是错误或虚假消息 的发出者，从而使其它节点确信节点b 是危及网络安全的恶意节点。 ( 6 ) 数据实时性 由于a dh o c 网络动态变化的拓扑结构，其网络传输的数据都是与时间有关 的，为了保证数据的新鲜性，即数据是现时的、没有被攻击者重放的消息，一 般采用相关的时间同步机制或时间戳机制等以保证数据的实时性。 ( 7 ) 密钥的分发管理 为了满足a dh o c 网络的数据传输安全，需要对加密密钥进行管理，因a dh o c 网络没有控制中心，只能依靠网络中各节点的之间的密钥分发与认证机制来进 行密钥管理。密钥管理应该包括密钥分发、密钥初始化、节点增加与删减、密 钥撤销及密钥更新等。 2 1 5a dh o c 路由协议 移动a dh o c 网络面临的诸多威胁及安全需求使得开发良好的路由协议成为 构建安全的a dh o c 网络的首要问题。传统的路由协议并不适用于网络拓扑结构 高度动态变化的a dh o e 网络，开发一种能够有效的快捷的反映节点间动态路由 信息的路由协议成为近年来研究的热点问题。 良好的a dh o c 路由协议应具备以下功能如： ( 1 ) 对网络的拓扑结构变化感知敏感，并避免路由环路的发生。 路由协议的设计，必须对a dh o e 网络的拓扑结构变化感知敏感。因为，动 态变化的拓扑结构是a dh o e 网络最显著的特点，网络中各节点都是在任意移动 的，其随时都可能进入网络或退出网络引起网络拓扑结构的变化，路由协议的 设计要达到对这种变化感知敏感、反应迅速，并保证协议中无环路的存在，以 l o 武汉理工大学硕士学位论文 节约带宽和避免网络资源的无谓消耗。 ( 2 ) 稳定的维护网络拓扑的连接，合理的利用网络资源。 a dh o c 网络是个多跳自组的无线网络，通过结点的多跳传输维持网络的连 通性，但是无线多跳传输容易造成路径能量损耗和多径传输干扰，使得链路可 用带宽容量低、可靠性差，稳定的维护网络拓扑的连接，利用相应的网络资源 分配管理机制来合理分配资源，是路由协议设计的一个重要内容。 ( 3 ) 分布式操作，高度的自适应性。 a dh o c 网络路由协议的是分布式的结构，其路由协议的设计目标要在相对 小的能量条件下，达到数据传输率接近最基本的信道容量。如何在分布式动态 网络拓扑结构中，充分利用有限的带宽及能量资源，将是自适应技术要解决的 主要问题。采用的自适应技术主要有：自适应的编码、自适应的调制、自适应 资源分配、自适应链路调整等技术。 针对移动a dh o c 网络的应用，现己开发出各种不同策略的路由协议，通常 分以下几类【w j ： 2 1 5 1 表驱动路由 表驱动( t a b l ed r i v e n ) 路由又称为先验式路由或主动路由，其目的是尽力 维护网络中每个节点到所有其他节点的最新路由信息。在路由协议中处于a d h o e 网络中的各节点通过周期性地广播路由分组，相互之间交换路由信息以得到 其它节点的最新路由信息。这种机制需要网络中每个节点都建立和维护一个或 多个路由表，这些表格包含该节点到网络中所有其它节点的最新的路由信息。 当网络中的节点检测到网络的拓扑节构发生变化的时候，该节点在网络中广播 路由更新消息。收到更新消息的节点立即刷新自己的路由表，以维护网络中路 由信息的一致性、准确性和时新性。 表驱动路由的优点是：主动路由的优点是当节点需要发送一个去往其他节 点的数据分组时，只要路由存在，发送分组的时延就很小。其缺点是：为了使 得路由更新能够即时反应当前网络拓扑结构变化，需要花费较大的网络开销。 并且，动态的网络拓扑结构可能会使得某些路由更新变成过时的信息，造成路 由协议始终处于不收敛状态。 具体的路由协议有如下几种： ( 1 ) d s d v ( d e s t n a t i o ns e q u e n c e dd i s t a n c ev e c t o r ) 协议 武汉理工大学硕士学位论文 d s d v 协议1 2 0 j 是一种由c e p e r k i n s 和p r a v i nb h a g w a t 在1 9 9 4 年提出的基于 b e l l m a n f o r d 算法的主动路由协议，它被认为是最早的自组网路由协议。它通过 利用保存在每一个网络节点上的路由表在各节点之间传送数据报文。在网络中 每个节点都维护着一张包括目的节点、跳数和目的节点序列号等标识信息。为 了网络中路由信息的一致性和实时性，每个节点都周期性的广播更新信息，动 态地维护节点路由表。其主要特点是采用了序列号机制来区分路由的新旧程序， 路由的序列号越新，路由就越容易在数据报前向传送的决策中被采用，当某个 节点发送一个更新的路由信息给相邻节点时，它的现有序列号就增加，以防止 可能发生的路由环路。 d s d v 路由协议中，路由表的更新有两种方式：一种是路由表的全部更新， 即当网络拓扑动态变化时，整个路由表都要更新网络拓扑的最新消息，此机制 主要应用于网络拓扑变化快的情况。另一种方式是路由表的部分更新，更新的 路由信息中仅包含变化的路由部分，其它未变化的网络拓扑路由信息不更新， 通常适用于网络变化较慢的情况，但其网络开销比路由全部更新要小。 ( 2 ) o l s r ( o p t i m i z e dl i n ks t a t er o u t i n g ) 协议 o l s r 协议是经典优化链路状态路由协议，i e t fm a n e t 工作组于2 0 0 3 年 7 月完成了o l s r 协议的标准化，r f c 3 6 2 6 2 1 j 。其主要的设计思想是网络中每个 节点从其相邻节点中选择一组节点作为多点中继m p r ( m u l i p o i n tr e l a y ) ，m p r 是被专门选定的节点，用于路由消息广播过程中的控制消息转发。只有被选做 的m p r 节点才能产生链路状态信息，使得网络中洪泛的控制消息量最少，降低 了系统开销。一个m p r 节点选择只报告其自己与其m p r 选择器之间的链路， 其局部的链路状态信息分布在网络中，o l s r 协议使用这些局部链路状态信息计 算路由，提供最佳路由。 o l s r 协议非常适用于规模大、节点密度高的网络，这是因为采用m p r 的 优化在这类网络中表现良好。o l s r 协议作为一种主动式路由协议也适用于通信 节点对随时间的流逝而变化的场合，在这种场合中不会产生额外的控制传输， 这是因为o l s r 协议一直在为所有已知的目的节点在维护路由。 ( 3 ) w r p ( w i r e l e s sr o u t i n gp r o t o c 0 1 ) 协议 w r p 协议【2 2 j 是美国加州大学的s m u r t h y 和j j g a r c i a l u n a a c e v e r s 在 1 9 9 6 年提出的一种距离一矢量路由协议，其路由算法是对路径发现算法p f a ( p a t hf i n d i n g a g l o r i t h m ) 的改进。网络中每个节点都维护一个距离表、路由表、 1 2 武汉理工大学硕士学位论文 链路开销表和报文重传表，并通过更新消息通告给邻居节点，如果节点没有发 现更新的消息分组，则周期性地发送h e l l o 报文来得到与邻居节点的连通性信 息。如果节点在一定时间内收不到某邻居节点的任务消息，则认为与邻居节点 的链路出现了故障；当发现新的邻居节点时，把自己的路由表通告给新的节点 以实现连通。w r p 协议能够快速的检测任意相邻节点的变化，具有较快的路由 收敛性。 其它的主动路由协议还包括t b r p f ( 基于反向路径转发的拓扑分发协议， t o p o l o g yd i s s e m i n a t i o nb a s e do