（计算机系统结构专业论文）ad+hoc网络通信可信性问题的研究.pdf

山东大学硕士学位论文 摘要 当前，安全性是决定a dh o c 网络的潜能能否得到充分施展的一个 关键所在，特别是对于a dh o c 网络在军事上和商业上的应用。相比于 传统的有线网络，无线移动a dh o c 网络更容易受到各种安全威胁和攻 击，如b a d - m o u t h i n g 攻击，o n o f f 攻击和c o n f l i c t i n gb e h a v i o r 攻击等。 现有的安全技术，集中在加密算法和协议上，很难适应无第三方条件 下的对等开放网络环境。动态信任模型的建立能够恰当的捕捉a dh o c 网络环境下网络成员以及成员之间动态变化的行为信息，获得对网络 成员信任度的预测，从而引入信任管理机制，实现对网络节点行为的 预测性和可控性，加强网络的安全性。 本文首先分析了a dh o c 网络应用过程中存在的诸多安全问题，针 对已有的基于加密、p k i 等技术的安全策略在完全分布式a dh o c 网络 中难以实施的问题，提出了基于可信性的动态分布式安全策略，用以 增强网络通信的安全性和可靠性。其中，本文提出了基于有向图节点 深度消隐策略的信任传递规则，可以实现对网络节点之间间接信任的 度量，通过与同类研究成果相比，实验证明该算法可以将计算误差减 少至【1 ，1 】。同时，在遏制协同诋毁攻击方面该算法表现出了明显 的优势。 在网络节点可信性度量的基础上，本文研究了路由层的路由决策 算法和可信路由协议。针对a dh o c 网络环境存在的模糊性和动态性特 点，结合模糊动态规划理论，构建了基于模糊动态规划的有限阶段决 策模型，提出了基于f d p 的可信路由决策算法，并将该路由算法创新 性地应用在传统的动态源路由( d s r ) 协议上，实现了模糊可信动态 源路由( f t d s r ) 协议。通过采用o p n e t 网络仿真工具进行仿真，证 明该路由算法可以对恶意节点进行有效的识别和剔除，从而减少网络 的丢包率，确保网络的吞吐量。另外，该算法具有分布并行计算的特 点，将路由工作和存储需求分布到各个节点设备之上，从而起到了平 衡各个设备工作负载的作用，既不增加单个系统的工作量，同时又能 够实时有效的完成可信路由的计算。 山东大学硕士学位论文 最后，本文还对a dh o c 网络可信路由协议的实现问题进行了探讨 和实践，针对恶意节点在路由过程中所表现出来的故意丢弃数据包、 发送冗余数据包和篡改合法数据包等行为，基于l i u n x 内核中n e t f i l t e r 网络处理架构所提供的对数据包的状态跟踪和包过滤等数据包处理功 能，建立了对网络层数据包流向和内容的检测点函数，可以实现对恶 意行为属性的统计，进而实现了对节点可信性的度量，最后对可信d s r 路由( t d s r ) 协议的实现过程进行了探讨，给出了实现流程和可信路 由优化策略。 关键字：移动a dh o e 网络；可信度量；模糊动态规划；可信路由 i i 山东大学硕士学位论文 a b s t r a c t s e c u r i t y i so n eo ft h ek e yf a c t o r sf o r t h ea dh o cn e t w o r ki n d e t e r m i n i n gw h e t h e ri t sp o t e n t i a lc a p a b i l i t yc a nb ed e v e l o p e do rn o t ， e s p e c i a l l yd u r i n gi t sa p p l i c a t i o ni nm i l i t a r ya n db u s i n e s s c o m p a r e dw i t h t r a d i t i o n a lw i r e dn e t w o r k s ，a dh o cn e t w o r ki sv u l n e r a b l ef o ra t t a c k sa n d t h r e a t s ，s u c ha sb a d - m o u t h i n ga t t a c k ，o n - o f fa t t a c ka n dc o n f l i c t i n g b e h a v i o ra t t a c k p r e s e n t s e c u r i t yt e c h n o l o g ym a i n l y f o c u s e so n e n c r y p t i o na l g o r i t h m sa n dp r o t o c o l s ，a n dl a c kf l e x i b i l i t yi nt h ep e e rt o p e e rn e t w o r ke n v i r o n m e n tw i t h o u ta n yt h i r d p a r t y d y n a m i ct r u s tm o d e l c o u l da c c u r a t e l yc a p t u r et h eb e h a v i o ri n f o r m a t i o nb e t w e e nn o d e sa n d t h e no b t a i nt h e i rm u t u a lt r u s tv a l u e s t h et r u s tm a n a g e m e n tm e c h a n i s m c o u l df u r t h e r l yb ei n t r o d u c e di n t ot h en e t w o r k ，w h i c hc o u l dc o n s e q u e n t l y i m p l e m e n tt h ef o r e c a s ta n dc o n t r o lo fn o d e sb e h a v i o ra n di n c r e a s et h e r e l i a b i l i t yo ft h en e t w o r k i nt h i st h e s i s ，t h ee x i s t i n gs e c u r i t yp r o b l e m si na dh o en e t w o r k sa r e f i r s t l ya n a l y z e d i nv i e wo ft h ep r o b l e m sa n dd e f i c i e n c i e so ft h ep r o p o s e d t e c h n i q u e sa n ds t a n d a r d s ，s u c ha se n c r y p t i o na n dt h ep k i ，t h ec o n c e p to f t r u s ta n dt h ef r a m e w o r ko fd y n a m i cd i s t r i b u t e ds e c u r i t ym e c h n a s i ma r e p r o p o s e dt or e s o l v et h ec o m m u n i c a t i o np r o b l e mi na dh o en e t w o r k s t h e t r u s tc h a i nt h e o r yb a s e do nn o d e sd e p t h - e x p u r g a t i o nr u l e si nd i r e c t a c y c l i cg r a p hi si n t r o d u c e d ，w h i c hc o u l dc a l c u l a t et h et r u s ts c a l eb e t w e e n t w oi n d i r e c ti n t e r a c t i o nn o d e s c o m p a r e dw i t hr e l a t e dr e s e a r c hr e s u l t s ， t h ea l g o r i t h mc o u l dr e d u c et h ed i f f e r e n c er a t et o 【1 ，l 】a ss h o w ni n t h ee x p e r i m e n t m e a n w h i l e ，t h ea l g o r i t h ms h o w so b v i o u ss u p e r i o r i t ya t m i t i g a t i n gm a l i c i o u sc o o r d i n a t e da t t a c k s b a s e do nt h et r u s te v a l u a t i o nm o d e l ，t h et r u s t e dr o u t i n ga l g o r i t h m s a n dp r o t o c o l si nt h er o u t i n gl a y e ra r es t u d i e di nt h i st h e s i s i nv i e wo ft h e f u z z yn e t w o r ke n v i r o n m e n ta n dd y n a m i cc h a r a c t e r i s t i c so fn e t w o r k s ， c o m b i n e dw i t hf u z z yd y n a m icp r o g r a m m i n g ( f d p ) t h e o r y ，t r u s t e d 山东大学硕士学位论文 r o u t i n ga l g o r i t h m sw h i c ha r ed i s t r i b u t e da n dl o c a ld e c i s i o na r ea d o p t e d i m p r o v e dm o d e la n dt h ec o r r e s p o n d i n ga l g o r i t h mb a s e do nf d pf i n i t e h o r i z o nd e c i s i o nm o d e l ，a r ec o n s t r u c t e df o ra dh o cn e t w o r kt os o l v et h e t r u s t e dr o u t i n gd e c i s i o np r o b l e m m o r e o v e r ，b a s e do nt h et r a d i t i o n a l d y n a m i cs o u r c er o u t i n g ( d s r ) p r o t o c o l ，t h ef u z z yt r u s td y n a m i c s o u r c e r o u t i n g ( f t d s r ) p r o t o c o l i s o b t a i n e d a c c o r d i n g t ot h e s i m u l a t i o ni m p l e m e n t do no p n e ts i m u l a t i o n p l a t f o r m ，t h ea l g o r i t h m c o u l di d e n t i f ya n dp u r g et h em a l i c i o u sn o d e se f f i c i e n t l ya n di n c r e a s et h e n e t w o r kp e r f o r m a n c ec o n s e q u e n t l y i na d d i t i o n ，t h ea l g o r i t h mh a s t h e f e a t u r eo fd i s t r i b u t e dp a r a l l e lc o m p u t i n gw h i c hc a nd i s t r i b u t et h er o u t i n g c o m p u t a t i o na n dr o u t es t o r a g er e q u i r e m e n tt oe a c hd e v i c e ，s ot h a ti tc a n b a l a n c et h ew o r k l o a db e t w e e na l lt h ed e v i c e sw i t h o u ti n c r e a s i n gt h e w o r k l o a do fas i n g l eo n ea n dc o m p l e t et h er o u t i n gc a l c u l a t i o n se f f e c t i v e l y i nr e a l t i m e f i n a l l y ，s o m er e s e a r c ha n dp r a c t i c ea r ed o n ei nt h ei m p l e m e n tl e v e l o ft h et r u s t e dr o u t i n gp r o t o c o li nt h i st h e s i s i nt h ed a t ap a c k e t sr o u t i n g p r o c e s s ，m a l i c i o u s n o d e s a l w a y s d r o pp a c k e t sd e l i b e r a t e l y ，s e n d r e d u n d a n tp a c k e t sa r b i t r a r i l ya sw e l la sm o d i f yp a c k e t si l l e g a l l y t h r o u g h t h ea n a l y s i so ft h e s em a l i c i o u sb e h a v i o r s ，at r u s te v a l u a t i o nm o d e lb a s e d o nl i n u xn e t - f i l t e rf r a m ei sp r o p o s e d ，w h i c hc o u l dm o n i t o rt h ei l l e g a l o p e r a t i o n sa n de v a l u a t et h et r u s tv a l u eo fn o d e s ，t h et r u s td y n a m i c s o u r c er o u t e ( t d s r ) p r o t o c o li si m p l e m e n t e df i n a l l yb yt h i sa p p r o a c h ， w h i c hc o u l di m p r o v et h ep e r f o r m a n c eo ft h en e t w o r k ，a n dt h ef l o wc h a r t a sw e l la st h et r u s tr o u t i n go p t i m i z a t i o ns t r a t i g yi sa l s og i v e n k e y w o r d s ：m o b i l ea dh o cn e t w o r k ；t r u s te v a l u a t i o n ；f u z z yd y n a m i c p r o g r a m m i n g ；t r u s tr o u t i n ga l g o r i t h m i v 原创性声明和关于论文使用授权的说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立 进行研究所取得的成果。除文中已经注明引用的内容外，本论文不包含 任何其他个人或集体已经发表或撰写过的科研成果。对本文的研究作出 重要贡献的个人和集体，均已在文中以明确方式标明。本声明的法律责 任由本人承担。 论文作者签名： 关于学位论文使用授权的声明 本人完全了解山东大学有关保留、使用学位论文的规定，同意学 校保留或向国家有关部门或机构送交论文的复印件和电子版，允许论 文被查阅和借阅；本人授权山东大学可以将本学位论文的全部或部分 内容编入有关数据库进行检索，可以采用影印、缩印或其他复制手段 保存论文和汇编本学位论文。 ( 保密论文在解密后应遵守此规定) 论文作者签名导师签名： 日期：珥：圣 山东大学硕士学位论文 第1 章绪论 1 1 论文的选题背景和研究意义 本课题为国家自然科学基金重大研究计划“嵌入式分布系统可信 性研究( n s f c 9 0 7 18 0 3 2 ) 所资助。 1 1 1 研究背景 随着社会的进步，人们对灵活、快捷、方便的通信方式要求越来 越高，而全球化进程的加快又进一步刺激了通信与网络技术的发展， 人们不断追求任何人可以在任何时间、任何地点与其他人进行任何种 类的信息交换。a dh o c 网络作为无线通信领域一种新的网络技术，正 在迅速地从军事通信领域渗透到各个民用通信领域。这些新技术的出 现，极大地方便了人们的生活，同时也推动了无线通信技术的发展。 a dh o c 网络作为一种自组织对等式多跳移动通信网络，它不依赖于任 何固定的基础结构，可以与已有的网络结合形成多跳网络，有效延伸 传统网络的覆盖范围，同时也可以通过临时组网的方式在恶劣的环境 中支持移动节点之间的数据、话音、图像和图形等业务的无线传输。 这也使得a dh o c 网络具有极大的灵活性和可扩展性，可以满足不同场 合的特殊需要，如工业、商业、医疗、家庭、军事等场合和行业。然 而，由于a dh o c 网络采用了无线信道、有限电源、分布式控制等技术， 与传统的有线网络相比，它更加容易受到被动窃听、主动入侵、拒绝 服务( d o s ) 、剥夺睡眠等网络攻击，安全性成为决定a dh o c 网络的潜 能能否得到充分施展的一个关键因素。 1 1 2 问题的提出 针对a dh o c 网络中存在的种种安全问题，国内外研究学者提出了 山东大学硕士学位论文 众多的解决方案，如信道加密、抗干扰、用户认证、密钥管理、访问 控制等，以上安全机制部分缓解了安全问题，但是要真正实现安全目 标，仍然面l 临以下诸多挑战【1 l ： ( 1 ) 无线信道使a dh o c 网络很容易受到被动窃听、主动入侵、 信息阻塞、信息假冒等各种攻击。并且由于节点的能源有限性，c p u 的计算能力较低，无法实现复杂的加密算法，增加了被窃密的可能性。 ( 2 ) 由于节点的移动性和缺乏保护性，节点在应用过程中可能被 占领。恶意攻击不仅来自网络之外，还有可能来自网络内部。集中式 的安全架构很难得到应用。 ( 3 ) a dh o c 网络的拓扑结构和成员具有动态变化性，节点之间的 信任关系会发生不断变化，因此任何静态配置的安全方案在a dh o c 网 络中缺乏可行性。 ( 4 ) 大型的a dh o c 网络中可能包含成千上百个节点，因此安全 策略应该具有较好的可扩展性，以适应网络规模日益增大的需要。 针对这些需要并结合课题“嵌入式分布系统可信性研究”，本文作 为该课题的子课题，重点探讨了a dh o c 网络中基于节点可信性的安全 应对策略，分析了现有技术和研究的局限性和不足，对影响节点可信 性的属性进行了挖掘，从分布式架构、动态配置策略和可扩展性方面 对可信管理机制进行了研究。另外，提出了基于可信机制的路由决策 算法，从而进一步加强a dh o c 网络的安全性、可靠性和实用性。 1 2 国内外研究与发展概况 伴随着a dh o c 网络的广泛应用，a dh o c 网络环境下的安全问题， 一直是国内外研究的热点。由于整个网络表现为由多个软件服务组成 的动态协作模型，在这种动态和不确定的环境下，p k i ( p u b l i ck e y i n f r a s t r u c t u r e ) 中基于c a ( c e r t i f i c a t ea u t h o r i t y ) 的静态信任机制不 能适应这种需求，动态信任模型成为新的研究热点。其中又主要集中 在对网络节点可信性的度量和数据的可靠性路由两个关键方面。 2 山东大学硕士学位论文 曼曼曼曼曼曼曼曼皇曼皇皇曼曼! 皇曼皇曼曼皇! 曼曼曼曼曼曼皇曼! i- ： i i 皇曼皇曼皇皇蔓曼皇曼皇 1 2 1a dh o o 网络节点可信性的度量 当前，针对a dh o c 网络环境下节点可信性度量的模型f 2 以2 】彳艮多， 如g e o r g e 等人提出的基于半环代数理论的信任模型 6 - t ，s u n 等人提出 的基于熵理论的信任模型 8 - 1 2 ，这些模型虽然考虑了信任的动态性， 能够有效地实现对恶意行为的检测，但是这些模型在全局收敛性方面 存在不足，当网络规模较大时，可操作性较差。a dh o c 网络环境下各 节点在通信带宽和资源等方面的有限性，使得对距离较远的节点的可 信性度量成为决定度量模型收敛性和扩展性的关键。在现有模型中， 对间接可信性的度量大都采用了信任链的理论，信任传递的内容主要 分为两类：客观信任信息 1 3 1 和信任值1 6 1 1 4 15 1 。对客观信任信息的传递 需要占用较多网络带宽和资源，且网络规模较大时，客观信任信息往 往存在不确定性和不完整性，因此不适合于规模较大的a dh o c 网络环 境。对信任值进行传递时，文献【1 4 】提出了对信任的推荐路径并行化的 思想，而文献【1 5 】结合人类社会信任理论，提出了对推荐信任的缩放算 法。这些虽然可以实现较为合理的度量，但是算法在准确性和扩展性 方面仍然存在不足。 1 2 2a dh o o 网络中可信路由的研究 移动a dh o c 网络是一个由无线对等节点构成的多跳自组织系统。 两个超出相互通讯范围的对等节点只能通过中介节点来完成信息的交 换。因此，移动a dh o c 网络中的节点同时起到了主机和路由器的功能。 与有着固定拓扑结构的有线网络相比，无线自组织网络的路由面临更 多挑战。已有的路由协议( 如d s r ，a o d v , l a r 等 1 6 - 1 7 1 ) 可以很好的 应对不稳定的拓扑结构，然而，在恶意节点的攻击方面存在很多缺点。 当前，对a dh o c 路由的攻击主要分为外部攻击和内部攻击 1 5 1 。其中外 部攻击往往由网络外部节点发起，通过向网络中输入大量错误路由信 息或者重复转发无效路由信息进行攻击。而内部攻击则通常由于内部 节点妥协，而表现出恶劣、突变和专横的恶意行为，实施攻击。对于 山东大学硕士学位论文 外部攻击，加密机制经常被采用 1 9 - 2 1j ，但是，由于加密策略往往都需 要额外的附加机制来实现，如依靠可信的第三方来实现密钥的分发， 授权和数字签名等，这不适合于纯正的a dh o c 网络。对于内部攻击， 在路由决策过程中引入基于信誉的可信管理机制2 2 i ，可以有效识别 和排除恶意节点。通过对传输行为进行监控和对节点的信誉进行评估， 多个安全路由策略被提了出来。 s e r g i om a r t i 2 3 】等人在d s r 基础上提出了w a t c h d o g 和p a t h r a t o r ( w p ) 机制。针对路由过程中存在的恶意节点，w a t c h d o g 机制首先对 目标节点的转发行为进行监控和记录，由此获得该节点的可信度。 p a t h r a t o r 进一步通过该可信度进行路由选择。由于w a t c h d o g 机制很 好地抓住了a dh o c 网络中无线通讯的特点，每一个节点可以“偷听” 其邻居节点所传输的信息，因此度量节点可以对被度量节点所转发的 包进行记录，从而对恶意行为进行精确捕获，进一步减少路由中的恶 意节点。然而，这种w a t c h d o g 机制需要对被检测节点的状态和转发包 进行记录和维护，这将占用大量的内存。 作为d s r 的扩展，s o n j ab u c h e g g e r 等人提出了一个新的安全路由 协议c o n f i d e n t 4 1 。与前面的w p 机制类似，作者引入了监控机制 对目标节点的转发状态进行监控，通过信誉系统和可信管理组件，完 成对可信的度量和更新。度量得到的值将作为路由控制器的输入。不 同于w p ，在对被检测节点进行评估时，源节点要与其友好节点进行相 关信息的交换。被识别为恶意或不可信的节点将会在一定时间内不被 采用。然而，一旦期限已过，恶意节点将重新成为合法节点，有可能 继续其攻击。另外，在路由决策的过程中引入推荐信任，将会使整个 过程复杂化，增加了系统开销。同样作为d s r 的扩展，g u o 2 4 】等人提 出了基于动态可信度量的路由模型。基于对通信链路可信性的度量，5 种决策策略被提了出来。由于其路由的选择范围受到d s r 的限制，使 得最终选中路由不一定满足全局最优。 众所周知，当前在计算机科学领域，对于可信没有一个广泛认可 的定义。对于安全路由或可信路由，也没有标准的定义。针对这种情 况，很多研究通过分析路由协议中造成威胁的不安全因素开始入手。 s e u n g 2 5 1 等人提出了一个新的综合考虑路由发现过程中安全属性的路 4 山东大学硕士学位论文 由方法，称为安全感知路由( s a r ) 。一个节点只有达到设定可信级别 才可以作为路由器被选中。然而，恶意节点仍然可以通过对可信等级 进行造假或对可信阈值进行猜测来进入路由，针对这种情况，作者没 有给出有效的保护办法。另外，也没有明确给出可信的度量和分发策 略。 j m a r t i n1 2 6 等人提出了a dh o c 网络模糊按需距离向量( f u z z ya d h o eo n d e m a n dd i s t a n c ev e c t o r ，f a o d v ) 路由协议。作者采用了模糊 逻辑进行可信度量，并设置了可信阈值( t t v ) 。基于模糊逻辑的可信 度量可以对可信性进行合理的预测，通过模糊推理规则，可以对恶意 节点进行准确识别。然而，f a o d v 仅仅面向恶意篡改攻击，并且度量 过程中仅仅考虑了路由发现过程中的信息包的转发情况，而没有考虑 数据包的转发情况。 1 3 论文的主要工作 本文共分六章，各章的主要内容如下： ( 1 ) 第一章介绍了选题背景和研究意义，分析了a dh o e 网络环 境下可信机制的重要性、现有技术的研究现状以及存在的问题和不足， 进而确定了本文研究的主要工作。 ( 2 ) 第二章分析了a dh o c 网络的结构特点和存在的安全问题， 提出了a dh o c 网络的信任模型和动态信任管理机制，并介绍了a dh o e 网络的可信网络架构。 ( 3 ) 第三章针对a dh o e 网络环境下节点具有的动态性和异构性 特点，结合人类社会学中的信任机制，提出了基于深度消隐的网络节 点间接可信性度量算法，迸一步结合模糊控制理论，提出了基于模糊 推理的直接可信性度量算法，并分别通过实验证明了两个算法在准确 性和扩展性方面的优越性。 ( 4 ) 第四章根据a dh o e 网络本身具有的网络拓扑动态性、对等 性、开放性和资源有限性等特点，结合节点可信性和链路可信性的定 义，采用模糊动态规划理论建立了不确定环境下的多阶段模糊决策机 制，构建了单源单目的可信路由，并进一步与d s r 路由协议结合，提 山东大学硕士学位论文 出了基于模糊可信的动态源路由协议( f t d s r ) ，最后通过实验仿真证 明了该协议在恶意节点识别和剔除方面的优越性。 ( 5 ) 第五章对l i n u x 下可信动态源路由协议的实现进行了探讨。 基于l i n u xn e t f i l t e r 架构中所提供的数据包状态信息跟踪、数据包过滤 等包处理功能，在对数据路由过程中的恶意行为进行分析的基础上， 探讨了t d s r 路由协议的实现方法。 ( 6 ) 第六章对全文进行总结，并对今后的工作提出了展望。 6 山东大学硕士学位论文 第2 章a dh o o 网络的体系结构和可信管理机制 2 1a db o o 网络的体系结构 a dh o c 网络是一种特殊的无线移动通信网络。a dh o c 网络中节点 之间为对等关系( p e e rt op e e r ) ，无需设置任何中心控制节点，整体上 具有很强的抗毁性。a dh o c 网络与其他移动通信网络的最根本区别是 其网络节点同时兼顾主机和路由功能，在无线辐射范围外的节点可以 通过多跳转发实现报文传递。由于其特殊性，a dh o c 网络常采用分布 式控制方式，并且每个节点都具有自组织功能。其中分布式控制表现 为将网络的控制功能分配到多个分散的节点上，而自组织功能主要体 现在网络拓扑结构发生变化的情况下可以自动探测网络拓扑信息，动 态确定传输路由，从而实现对网络的控制和管理。 2 1 1 节点结构 主机 路由器 主机 路由器 图2 1a dh o e 网络节点结构示意图 a dh o c 网络节点可以看作一个移动的终端，该终端往往具有嵌入 式系统的一些特点，如携带方便、轻巧灵活、电源有限、内存较小、 c p u 处理能力较低和成本较高等特点。由于该节点不仅要具备主机功 能，而且还要具有报文转发能力，即路由器的功能。因此，从功能上 可以将每个节点分为三部分：主机、路由器和电台。其中电台主要在 信息传输时提供无线信道支持。节点从物理结构上往往分为三类1 1 】： 7 山东大学硕十学位论文 如图2 1 所示。2 1 ( a ) 单主机单电台结构，2 1 ( b ) 单主机双电台结 构，2 1 ( c ) 多主机共享一个或多个电台结构。 2 1 2 网络结构 a dh o c 网络采用分布式控制结构，一般分为完全分布式网络结构 ( 平面结构) 和分层分布式控制网络结构( 分簇结构) 。 在a dh o c 网络平面结构中，所有节点在网络控制、路由选择和流 量管理上都为对等关系。如图2 2 所示。在进行数据报文转发时，源 节点和目标节点之间可能存在多条路由，因此可以实现较好的负载平 衡和路由的最优化选择。但该结构存在一弱点，即当网络规模较大， 节点数目较多时，如果存在大规模节点的移动，则会导致网络控制开 销的增加，网络性能降低。且该结构的网络扩充性较差，每一个节点 都需要维护整个网络的拓扑结构，因此该结构往往仅适用于中小规模 的a dh o c 网络。 ，一一一一、，、 ( 队节、) 、j d 、，- ，j ， 。- 一一一一。_ ，。 在a dh o e 分簇网络结构中，所有节点被划分为了多个簇，每个簇 由一个簇头和多个簇成员组成，如图2 3 所示。其中簇头节点负责簇 簇之间数据的转发，簇头节点可以预先指定，也可以由算法人为指定。 而簇成员功能简单，不需要维护复杂的路由信息，这大大减少了网络 控制的复杂度，从而具有了良好的可扩充性，可以通过增加簇头的数 目来增加网络的规模。簇头节点需要维护到达其他簇头的路由信息， 同时还要维护本簇成员的关系。分簇网络结构存在的缺点主要有三点： ( 1 ) 在进行维护网络分簇结构时，需要运行簇头选举算法，增加 了计算的复杂性，可能会耗用大量资源。 山东大学硕士学位论文 ( 2 ) 簇间信息传递都需要经过簇头，因而使得路由决策并非最优。 ( 3 ) 簇头转发信息量较大，可能会限制网络的性能。 o 网关 。普通节点 曰 簇头 分布式网关 单向网关 一普通链路 一骨干链路 图2 - 3 分簇网络结构 由于考虑到分簇结构在可信机制的运用上存在众多固有缺陷，以 及平面结构在应用过程中的普遍性，因此本文的研究内容均基于a d h o c 平面网状结构( 纯a dh o c 网络) 。 2 1 3a dh o o 网络的协议栈 现有的a dh o c 网络的体系结构基于t c p i p 经典体系结构，在精 简、修改和扩充后，采用了5 层协议栈结构【l 】。如图2 4 所示。 ( 1 ) 物理层：负责频率的选择、无线信号的检测、调制解调、信 道加密解密、信号发送接收等。此外，还要确定采用哪种无线扩频技 术( 直接序列扩频d s s s 或调频扩频f h s s ) 。 ( 2 ) 数据链路层：m a c 子层控制移动节点对共享无线信道进行 访问，其中可以采用随机竞争机制( c s m a 、i e e e 8 0 2 1 1 或m a c a ) 、 基于信道划分的接入机制( t d m a 、f d m a 、c d m a 或s d m a ) 、轮转 机制( 轮询或令牌环) 、动态调度机制以及以上机制的组合。逻辑链路 控制子层负责数据流的复用、数据帧的检测、分组的确认、优先级排 队、差错控制和流量控制等。 ( 3 ) 网络层：使用i p v 4 、i p v 6 或其他网络层协议，完成邻居发 现、分组路由、接纳控制、拥塞控制和网络互联等功能。邻居发现主 要用于收集网络拓扑信息。路由协议负责发现和维护通往目的节点的 路由。 9 山东大学硕士学位论文 ( 4 ) 传输层：用于向应用层提供可靠的端到端服务，使上层与通 信子网相隔离，并根据网络层的特性高效的利用网络资源。 ( 5 ) 应用层：提供面向用户的各种应用服务，包括具有严格时延 和丢失率限制的实时应用、基于i 汀p i 汀c p 的自适应应用( 音频和视 频) 和没有任何服务质量保障的数据报业务等。 ( 5 ) 应用层：实时业务、自适应应用、数据报业务等 j、 工 移动定位、自动配置、安全策略 、， ： 传输层：( w ) t c p 、u d p 等 j、 ： 信令协议：r s v p 等 、，0 一 网络互连层：i p v 4 、l p v 6 、m o b i l ei p 等 0 一网络层：邻居发现、路由协议( 。s r 、。s d v 等) 、v c 机制等 j 工 簇头选择和维护 ，0 j逻辑链路控制子层：分组转发确认、差错控制等 ： 一j 媒体接入控制子层( m a c ) ：t 。m a 、c d m a 、t e e e 8 0 2 1 1 等 j、 工 功率控制和拓扑控制 r0 物理层：扩频技术、调制解调、发送接收 图2 4a dh o c 网络通用协议栈结构 1 0 山东大学硕士学位论文 图2 - 4 中虚线方框为可选功能，如功率控制机制可以工作在物理 层之上为链路层提供服务，分簇算法通常工作在链路层之上为网络层 提供服务。可信管理机制主要体现在网络层和应用层之下，分别为传 输层和应用层提供可靠的数据传输服务和安全可信的应用服务。 2 1 4a dh o c 网络的安全问题 在传统网络中，主机之间的连接是固定的，网络采用层次化的体 系结构，具有稳定的拓扑，并且提供了多种服务以充分利用网络的现 有资源，包括命名服务和目录服务等。在此基础上提出了相关的安全 策略，如加密、认证、访问控制和权限管理、防火墙等。而在a dh o c 网络中没有基站和中心节点，所有节点都是移动的，节点间通过无线 信道相连，节点自身充当路由器，也没有命名服务、目录服务等网络 功能。这就导致了传统网络中的安全机制不适用于a dh o e 网络，因此， 必须采用适合a dh o e 网络的安全措施。 a dh o e 网络的独特性使得我们在设计安全策略和实现安全目标 时，需要面临诸多挑战。a dh o e 网络面临的安全性威胁来自无线信道 和网络本身。使用无线信道使a dh o c 网络很容易受到诸如被动窃听、 主动入侵、伪造身份和拒绝服务等各种攻击方式的攻击。而主动攻击 可能使敌方删除信息、插入错误信息、修改信息或者冒充某一节点， 从而破坏了可用性、完整性、安全认证和抗抵赖性。 当前已经提出的用于a dh o c 网络的安全机制主要包括以下几种方 式1 】： ( 1 ) 基于口令的认证协议：基于口令的认证协议继承了密钥交换 协议( e k e ) 的思想。所有的通信成员都参与会话密钥的生成，这保 证了最终的密钥不仅会由极少数人产生，攻击者的干扰无法阻止密钥 的生成。 ( 2 ) “复活鸭子的安全模式：“复活鸭子安全模式的原理是基 于鸭子破壳而出之后，它会把它见到的第一个移动的物体视为它的母 亲；采用同样的机制，移动节点会把第一个给它发送密钥的个体作为 密钥的拥有者，并且只接受所有者的控制，但仍可能与其它节点通信， 山东大学硕士学位论文 以此来限制信息传播的范围。 ( 3 ) 异步的分布式密钥管理：这种方法采用了加密机制如数字签 名来保护路由信息和数据交换。每一个节点都有一个公用私有密钥 对，所需要的密钥管理服务由若干个节点共同完成。这主要基于以下 假设：在a dh o c 网络中，尽管没有任何一个单独的节点是值得信任的， 但可以认为一个节点的集合是可信任的。该策略还采用了私有密钥定 时更新的方法，使攻击者很难同时获取到多个节点的有效密钥。这种 算法原理简单，实现容易，但有一定的局限性。 通过分析a dh o c 网络的特点及容易遭受的攻击，大多数对a dh o e 网络安全问题的研究都集中在密钥管理和路由安全两个方面，然而目 前的路由协议虽然能够适应网络拓扑的快速变化，但是均存在一定的 安全缺陷。基于可信度的路由发现算法，可以对已有的协议在安全方 面存在的缺陷进行改进。借鉴人类社会学中的信任机制，采用基于信 任的管理机制，对节点行为建立预测和控制机制，可以实现分布式的 安全结构，从而提高系统整体的安全性，保证网络的可扩展性。 2 2a dh o c 网络的可信管理机制 2 2 1 信任关系及其定义 在计算机科学领域，信任没有一个被广泛接受的定义，其中较为 认可的定义：信任是一个实体基于交互行为历史经验对另外一个实体 未来行为的主观期望【27 1 。在a dh o c 网络环境下，每个移动终端节点 兼备路由器和主机两种功能。作为主机，终端需要运行面向用户的应 用程序：作为路由器，终端需要运行相应的路由协议，转发数据报文。 信任度表达了一个节点对另外一个节点所能提供特定服务的可能性， 它强调节点行为的可预测性和可控制性。网络中的两个具备直接交互 条件的节点可以建立直接信任关系，否则，两个节点只能通过中介节 点的推荐( 传递) 建立信任关系，通常称为间接信任或推荐信任。 山东大学硕士学位论文 2 2 2a dh o o 网络信任模型 定义1 ：信任实体集：由信任的定义可以看出，信任是两个实体之 间存在的一种关系。a dh o c 网络中的多个实体构成了一个节点集合， 定义为矿 k ， ，其中 i 为网络规模。 定义2 ：直接信任关系：e 胛= i ，w v ，其中节点 ，和节点w 可以直接交互， 指节点1 ，对接点w 的信任关系，表示为节点v 到 节点w 的有向弧e ，定义该有向边上的权值d e o ，l 】，表示节点，对 节w 的直接信任度) 。 定义3 ：间接信任关系：e 毋= l x ，y v ，其中节点x 和节点y 不能直接交互，节点x 需要通过中介节点构成的推荐路径p 获得对节 点y 的信任度，p 表示为从节点x 到节点y 之间的一条或多条有向无环 路径。定义四【o ，1 】，表示节点x 对节点y 的间接信任度) 。 通过上面的定义，实际上已经得到了一个a dh o c 网络环境下的信 任网络图g 一，考虑到信任关系的非对称性，可以将g 简化为一个有向 无环图( d a g ) o ( v ，剧。图2 5 所示为一个规模为13 的信任网络图。 图2 - 5a dh o c 网络环境下的信任网络图 1 3 山东大学硕士学位论文 2 2 3a dh o e 网络动态信任管理机制 a dh o c 网络中，为了能够实现有效、可靠的通信服务，节点必须 具有信任管理的能力，根据上面信任关系的定义，a dh o c 网络环境下 的信任属性是不断变化的，网络节点需要对信任关系进行动态实时的 修正。信任关系通常具有以下属性： ( 1 ) 可度量性：信任是可以分等级进行量化的。 ( 2 ) 非对称性：节点a 信任节点b ，但节点b 不一定信任节点a 。 ( 3 ) 自反性：节点完全信任自己。 ( 4 ) 动态性：信任关系会随着时间和环境上下文的变化而变化。 ( 5 ) 主观性：节点a 对节点b 的信任是主观上的。 当前，在基于i n t e r n e t 的电子商务应用中，信任管理依赖于证书和 目录服务等体系结构，由于提供信任服务的服务器的在线性和永久可 达性，使得在i n t e r n e t 上建立的信任关系是相对长久和稳定的，不需要 动态实时的变化。然而，在移动a dh o c 网络环境下，由于网络结构的 动态变化性，很难维持一个长久的信任关系，需要建立一种实时的、 在线的短时信任管理机制，信任度的计算相对要频繁，且需要满足通 讯的实时性，这对于计算资源原本有限的a dh o c 网络环境是一个巨大 的挑战。在a dh o c 网络环境中，信任关系存在不确定性和模糊性，因 此信任管理机制必须具有以下特征： ( 1 ) 信任关系的建立不依赖于已有的信任体系结构，即不依赖于 任何第三方，需要具有分布式特征。 ( 2 ) 信任关系的建立需要具有快速、实时的特征。 ( 3 ) 信任关系的度量要全面，客观。 2 2 4a dh o e 可信网络架构 通常，我们认为的a dh o c 可信