（计算机应用技术专业论文）移动ad+hoc网络安全路由协议研究.pdf

南京邮i u 人学坝f ：形究生学位沦义摘要 摘要 a dh o c 网络是种具有特殊用途的对等式自组网络。使用无线通信技术、没有固定的 基础设施和动态变化的拓扑结构是a dh o e 网络的主要特点。安全是移动自组网络的基本 问题，也是当前该领域的研究热点之一。由于移动自组网络的特殊性，实现机密性、完整 性、验证性和不可抵赖性等安全目标面临很大的挑战。当前，移动自组网络安全研究主要 集中在安全路由、安全组播、信任和密钥管理、入侵检测和可用性等方面。 由于加密和认证不足以完全满足应用需求，这就推动了借助节点间合作模型的发展。 本文从移动自组网路由协议的安全需求和现实基础出发，对相关理论、协议、关键技术以 及具体实现进行了广泛深入的研究。在研究d s r 协议的基础上，提出了一种改进的协议 n t d s r ( n o d et r u s t e dd s r ) 协议。主要研究工作包括以下几个方面： 首先，研究了a dh o c 网络自身的特点以及安全威胁，并对已经存在的安全路由协议 进行了分析比较。 其次，提出基于信任机制的安全路由模型，并对这一模型的各个组件进行了详细介绍。 讨论了网络中信任值的计算，推荐信任值的获取，以及如何评估邻居节点行为。 再次，基于d s r 路由协议，提出n t d s r 路由协议。n t d s r 提供了检测节点恶意行 为的功能，并且在各种攻击下具有更好的鲁棒性；n t d s r 协议能够很好地处理内部攻击， 发现节点的恶意行为，并对其采取措施来减小恶意节点的危害性。 最后，通过分析比较和仿真实验，验证了设计方案的正确性和有效性。论文研究成果 的应用可以提高移动a dh o c 网络的安全性。 关键词：移动a dh o c 网络，安全路由协议，信任值，入侵检测 南京邮l 乜人学颂 j 倒f 究生学位论文 a b s t t a c t a b s t r a c t m o b i l ea dh o en e t w o r ki sak i n d o fs e l f - o r g a n i z e dp e e r t o p e e rn e t w o r kf o r m e d t e m p o r a r i l y f o r s p e c i a lp u r p o s e s u s i n g w i r e l e s st r a n s c e i v e r s ，l a c k i n go fp r e d e f i n e d i n f r a s t r u c t u r ea n dd y n a m i ct o p o l o g ya r ei t sm a i nc h a r a c t e r i s t i c s s e c u r i t yi se s s e n t i a lf o ra dh o c n e t w o r k s ，a n di ti sa l s oo n eo ft h eh o ta r e a si na dh o cn e t w o r kr e s e a r c hn o w a d a y s b e c a u s eo f i t sc h a r a c t e r i s t i c s ，i ti sab i gc h a l l e n g ei na c h i e v i n gs u c hs e c u r i t yg o a l sa sc o n f i d e n t i a l i t y , i n t e g r i t y , a u t h e n t i c a t i o na n dn o n - r e p u d i a t i o n c u r r e n t l y , t h em a j o rs u b a r e a so fs e c u r i t yr e s e a r c h i n c l u d es e c u r er o u t i n g ，s e c u r em u l t i c a s t , t r u s ta n dk e ym a n a g e m e n t ，i n t r u s i o nd e t e c t i o na n d a v a i l a b i l i t y e n c r p y t i o na n da u t h e n t i c a t i o nt e c h n i q u e sc o u l dn o te n t i r e l ym e e tt h er e q u i r e m e n t ，w h i c h h a sl e dt ot h ed e v e l o p m e n to fm o d e l st h a tt a r g e tc o o p e r a t i o na m o n gn o d e s b a s e do nr e a l i s t i c r e q u i r e m e n t sa n df o u n d a t i o n s ，t h i st h e s i s i se n g a g e di ne x t e n s i v er e s e a r c ho ns o m er e l e v a n t t h e o r i e s ，p r o t o c o l sa n dk e yt e c h n o l o g i e s t h em a j o rc o n t r i b u t i o n sa r ea sf o l l o w s ： f i r s t l y , t h em a i nc h a r a c t e r i s t i c so fa dh o en e t w o r k sa n di t ss e c u r i t yp r o b l e m sa r ea n a l y z e d ， a n dt h ee x i s t e n ts e c u r ep r o t o c o l sa r ec o m p a r e d s e c o n d l y , as e c u r ep r o t o c o lm o d e li sp r o p o s e db a s e do n t r u s te v a l u a t i o n a l lo fi t sp a r t sa r e i n t r o d u c e d a tt h es a m et i m e ，t h i st h e s i sa l s og i v e sm e t h o d st oe v a l u t ea n du p d a t et h et r u s tv a l u e s b a s e do nt h et r a n s m i s s i o nb e h a v i o r so fe a c hn e i g h b o r t h i r d l y , t h en t d s r i si n t r o d u c e d ，w h i c hi sb a s e do nd s r n t d s ro f f e r sd e t e c t i o no f s e v e r a lm a l i c i o u sb e h a v i o r sa n dr o b u s t n e s su n d e rv a r i o u sr o u t i n ga t t a c k s n t d s rm a i l y r e s o l v e st h ea t t a c k so fb e t r a y e dn o d e s ，a n dt r i e st oi m p r o v et h ep e r f o r m a n c eo fa dh o en e t w o r k s u n d e ra t t a c k s a tl a s t ，t h em e c h a n i s mi sa l s ov a l i d a t e dw i t ha n a l y s i sa n ds o m es i m u l a t i o nw o r ks h o w i n g i t sf e a s i b i l i t y , p e r f o r m a n c ea n db e n e f i t s n t d s rc a ns e c u r ea dh o c sr o u t i n g k e y w o r d s ：m o b i l ea dh o cn e t w o r k , s e c u r er o u t i n gp r o t o c o l ，r e p u t a t i o n ，i n t r u s i o nd e t e c t i o n i l 南京邮电大学学位论文原创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得 的研究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包 含其他人已经发表或撰写过的研究成果，也不包含为获得南京邮电大学或其它 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示了谢意。 研究生签名：删 日期：一兰啤：刨 南京邮电大学学位论文使用授权声明 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本人所送 交学位论文的复印件和电子文档，可以采用影印、缩印或其它复制手段保存论 文。本文电子文档的内容和纸质论文的内容相一致。除在保密期内的保密论文 外，允许论文被查阅和借阅，可以公布( 包括刊登) 论文的全部或部分内容。 论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 研究生签名： ，i 洲 导师签名： ：刎午， f 南京邮电大学坝上研究生学位论文 第一章绪论 1 1 课题背景 第一章绪论 随着信息技术的不断发展，人们对移动通信的需求越来越强。近年来，移动通信技术 得到了飞速发展和普及。新技术不断涌现，蜂窝通信系统、无线局域网( i e e e 8 0 2 1 l 和 h i p e r l a n ) 、蓝牙( b l u e t o o t h ) 、家庭无线网( h o m e r f ) 等移动通信新技术也纷纷涌现。 这些技术的出现极大的方便了日常生活，也推动了无线通信技术的发展。 通常提及的移动通信技术一般都是集中式控制的，是有中心的。它们通常要基于预先 架设的网络基础设施才能运行。例如，蜂窝移动通信系统要有基站和移动交换中心等功能 设施的支持；无线局域网一般也工作在有接入点( a c c e s sp o i n t ) 和有线骨干网的模式下。 但对于有些特殊的应用场合，有中心的移动通信技术并不能胜任。比如，战场上部队的快 速展开和推进，发生地震或者水灾等大型灾害后的营救，野外科考，偏远矿山作业以及临 时性组织的大型会议等。因此，新的网络环境和新的应用需求引发了对无线移动a dh o e 网络协议的设计和研究。美国国防部在1 9 9 6 年提出构建联合战术无线网络系统( j o i n t t a c t i c a lr a d i os y s t e m ，j t r s ) ，主要用于构建战术移动互联网。国际互联网工程任务组 ( i e t f ) 在1 9 9 7 年建立了一个专门的工作组m a n e t ，以求利用多跳无线网络构建一个基 于i p 的移动互联网，并通过i p 实现与固定互联网的无缝连接，这就产生了最初的“自组 网”【1 1 。 a dh o c 网络可以在没有基础设施支持的情况下提供灵活方便的通信，这种技术拓宽了 移动通信的应用领域，具有光明的前景。特别是在军事应用领域，或在发生了地震、水灾、 火灾等重大灾难后固定的通信网络设施可能全部损毁或无法正常工作的地区，或当处于偏 远或野外地区无法依赖固定或预设的网络设施进行通信时，就需要a dh o c 网络技术。它 能够在这些恶劣和特殊的环境下提供通信支持，对抢险和救灾工作具有非凡的意义。a d h o c 网络技术具有单独组网能力和自组织的特点，是上述这些场合通信的唯一或最佳的选 择。 无线自组织网络( a dh o c 网络) 是一种新兴的组网方式，其研究内容属于计算机网络 和无线通信的交叉学科领域。由于a dh o e 网络的特殊性，传统固定和移动通信网中使用 的各种协议和技术无法被直接使用，因此，需要为a dh o c 网络设计专门的协议和各种算 法，还要对a dh o c 网络的应用、组网、管理等进行专门的研究。其中，安全问题的研究 i 南京邮i 乜入学坝卜研究生学位论文第章绪论 也是一个重要的方面，截至目前，已经提出了不少网络安全协议，但总的来说，无线自组 织网络还未达到可以大规模应用的成熟阶段。本文将就无线自组织网络中的安全问题作为 研究对象，提出一种基于信任机制的安全路由协议模型，并利用这一模型改进了d s r 路由 协议的安全性能。 1 2 研究现状 移动a dh o c 网络已经从移动通信中一个小的分支发展为一个专门的领域。近年来， 针对这一领域的学术会议和论文也目益增多，研究方向主要集中在路由协议、能源管理、 网络安全、与传统网络的互联、q o s 等方面。总结目前国内外研究现状，关于a dh o c 网 络的网络安全研究成果主要集中在以下几个方面： 1 安全路由 路由技术是移动a dh o e 网络的关键技术之一，可信网络下的路由协议研究取得了许 多成果。由于目前对于安全需求的增加，对于路由协议的安全方面的考虑也成了路由协议 一个很重要的方面，其目标就是要实现路由协议的可用性、真实性、完整性和抗诋毁能力， 防止恶意节点对路由协议的破坏。现在已经提出的安全路由协议有a r a n 、s a o d v 、 s e a d 、s r p 等2 4 1 。这些安全路由协议均采用加密技术和认证机制来保护路由发现过程， 但是其中大多数安全路由协议并未考虑密钥的生成和分发以及更新问题，而将密钥管理问 题当作前提条件，这将导致路由安全和密钥管理的循环依赖问题。 另外，近年来，信任机制也成为研究安全路由协议的新的有效机制。这种机制相对于 认证和加密等机制，实现起来相对简单，但对提高路由协议安全性能很有效。 2 认证机制 常用的认证系统模型有三种：t t p 、信任链和局部认证；密钥管理模型有四种：完全 分布c a 、分布c a 、指示认证和自我颁发证书。对于认证安全策略的选择也是至关重要的。 最早人们借助传统网络中基于c a 的解决方案，但是无论实用性和安全性方面都受到了严 峻的威胁。随着人们的不断研究和探讨，如今基于信任分担的安全策略得到了广泛的应用。 该策略最早由s k i n el o u 提出，后来被k r e la m o s 引入到a dh o e 网络的认证方面【5 】o ， 3 密钥管理 加密是保证网络安全的基本手段。无论是路由、组播还是单播，均需要利用加密和认 证机制来保证其安全性，而密钥管理是加密和认证机制的基础。可见，移动a dh o e 网络 中的密钥管理问题对于其路由、通信及其高层应用的安全非常重要。目前研究密钥管理方 案主要有以下几个思路： 2 丽京邮电人学坝l 研宄生学位论文第一章绪论 基于概率预分配方案，采用这个思路的研究成果主要有：e c h e n a u e r 和g l i g o r l 6 j 提出 的一个基于概率的为建立成对的会话密钥的密钥预配置方案。这个方案是在预配置时让每 个节点随机的从一个密钥池里选取一定数量的密钥，这样任何两个节点都以定的概率来 共享一个密钥，他们就可以通过这个密钥来进行会话。h a o w e nc h a n ，a d r i a np e r r i g 和d a w n s o n g 7t 改进i 提出了另外三个密钥预配置方案：q 个密钥联合的密钥预 配置方案、多路径的密钥加强方案和随机成对密钥方案。后来d o n g g a nl i u 和p e n gn i n g l 8 - 9 1 提出了另外两个成对的密钥预配置方案和一个基于格的多项式密钥预配置方案。这些方案 基于建立在多项式上的密钥预配置协议，性能超出了原来的基本方案。还有像b l o o m 1 0 】的 密钥管理方案、w e n g l i a n gd u 和j i n gd e n g i t l 提出的多空间的密钥管理方案和基于位置的建 立成对密钥的方案。 基于组的密钥管理方案，主要的成果有g d h 2 协议、i v - k 2 协议、t g d h 协议、 h y p e r c u b e 协议、o c t o p u s 协议和b d 协 2 ；【1 2 】。通过对这些组密钥协议的性能和安全性分析 发现，这些协议组密钥更新算法性能和一致性问题都还需要进一步改善和提高。 4 入侵检测 z h a n g 1 3 1 等指出没有一个开放的计算机系统对于入侵是免疫的，移动a dh o c 网络也不 例外。现有的为固定有线网络所开发的一些入侵检测基础无法适用于这种新的环境中。因 此，提出了一种新的入侵检测和响应结构，能较好地适用于移动a dh o e 网络中。但并未 给出路由协议中应该包含哪些信息才能使入侵检测更为有效，也并未指出最好的异常检测 模型是什么。k a c h i r s k i 1 4 】等基于移动代理技术，介绍了一个分布式入侵检测系统。这种系 统可以从多个网络传感器中提取有用的审计数据，然后分析整个网络是否遭受入侵，试图 阻止入侵活动。与许多为有线网络设计的入侵检测系统相比，该方案执行了一个有效的框 架，可以在多个网络层上解决入侵检测的问题，并考虑到了移动a dh o e 网络管理和决策 机制的分布特性。b h a r g a v a 1 5 】等提出了一个入侵检测模型，以增强移动a dh o e 按需路由 协议的安全性。在这个模型中，每个节点都采用一个i d m ，利用邻居节点的信息来检测邻 居的错误行为。当一个节点的错误数目超过了一个预设的门限，告警信息就发送给其它节 点，开始全局响应的过程。其它节点接收到告警信息后，检查本地的错误数目，并将结果 加入到发告警信息节点的响应中。这样，就在a o d v 协议中执行了次安全通信。b r u t c h i l 6 】 对当前在移动a dh o e 网络入侵检测方面的研究工作做了一个综述。 1 3 本文的主要工作与组织结构 本文分析了移动a dh o e 网络的特点、主要技术、安全性问题，以及a dh o e 网络安全 3 南京邮电人学硕卜研究生学位论文第一章绪论 研究现状。在这一基础上，提出一种基于节点信任机制的安全路由模型，并将这一模型应 用于基本d s r 路由协议，得出一种安全的路由协议。并通过实验仿真，证明这一策略的可 行性和其对a dh o e 网络安全性能的改进。 本文的章节安排如下： 第一章，绪论，主要介绍了论文研究的背景、现状以及文章组织结构。 第二章，a dh o e 网络中的安全问题，主要介绍了a dh o c 网络的特点、网络结构和路 由协议，着重分析了a dh o e 网络中存在的安全隐患、a dh o c 网络的安全目标、安全策略 和机制以及已有安全路由协议等。 第三章，提出一种基于信任机制的a dh o c 安全路由协议模型，并对该模型的有效性 进行了分析。 第四章，d s r 路由协议改进，应用第三章提出的安全模型，研究了d s r 路由协议， 提出一种改进的n t d s r 协议，并通过仿真实验及分析，验证了这一模型的安全有效性。 第五章，总结和展望，在对前面章节工作进行总结的基础上，提出这一方法在未来需 要进行的工作。 4 南京邮电人学硕士研究生学位论义 第二章a dh o c 网络中的安全问题 第二章a dh o e 网络中的安全问题 2 1a dh o e 网络 a dh o e 网络是由一组带有无线收发装置的移动节点组成的无线移动通信网络。a dh o e 网络中的节点不仅具有普通移动终端所需的功能，而且具有报文转发能力。有时节点间的 通信可能要经过多个中间节点的转发，即报文要经过多跳( h o p ) 才能到达目的地，这是 a dh o e 网络与其他移动通信网络的最根本区别。a dh o e 网络的节点通过分层的网络协议 和分布式算法相互协调，实现网络的自动组织和运行。因此它又被称为多跳无线网络 ( m u l t i h o pw i r e l e s sn e t w o r k ) 、自组织网络( s e l f - o r g a n i z e dn e t w o r k ) 等。 2 1 1a dh o c 网络的特点 a dh o e 网络是一种特殊的无线移动网络。网络中所有结点的地位平等【6 1 ，无需设置任 何的中心控制结点。网络中的结点不仅具有普通移动终端所需的功能，而且具有报文转发 能力。与普通的移动网络和固定网络相比，它具有以下特点【1 7 。2 2 】： 1 无中心自组织 。 a dh o e 网络是无控制中心的对等式网络。网络中所有结点的地位平等，网络中没有绝 对的控制中心，即是一个对等式的网络。网络中的各节点通过分层的网络协议和分布式算 法协调彼此的行为，节点可以随时加入和离开网络。任意节点的故障不会影响整个网络的 运行，与有中心网络相比，具有很强的健壮性和抗毁性。无中心和自组织特点使得a dh o e 网络可以实现快速自动组网。 2 动态拓扑 a dh o e 网络是一个动态的网络。a dh o e 网络中的移动终端能够以任意可能的速度和 移动模式移动，并且可以随时关闭电台，加上无线发送装置的天线类型多种多样、发送功 率的变化、无线信道间的互相干扰、地形和天气等综合因素的影响，移动终端间通过无线 信道形成的网络拓扑随时可能发生变化。 3 带宽及终端能量受限 a dh o e 网络采用无线传输技术作为底层通信手段，无线信道所能提供的网络带宽相对 有线信道要低得多。另外由于竞争共享无线信道产生的冲突、信道之间干扰等因素，移动 终端得到的实际带宽远远小于理论上的最大带宽。由于移动终端一般依靠电池供电。因此 如何节省结点电源、延长工作时间是个突出问题。 5 堕皇竺坐生堂塑! 受蔓兰兰些堡兰苎：! 墅! 竺堕堡! 塑兰苎塑堂 4 多跳路由 当结点要与其覆盖范围之外的结点进行通信时，需要中间结点的多跳转发。与固定网 络的多跳不同a dh o c 网络中的多跳路由是由普通的网络结点完成的，而不是由专用的路 由设各( 如路由器) 完成的。 另外a dh c c 网络还具有安全性较差、网络的可扩展性不强等特点。这些特点使得a d h o e 网络在体系结构、网络组织、协议设计等方面都与普通的移动和固定通信网络有着显 著的区别。 2 12a d h o c 网络结构 a dh o e 网络分为两种结构：平面结构和分级结构口j 如国21 所示。 _ 。_ 一_ - o 。 ：? ? ： 二i h2 1a d f l o c h 络站佝 平面结构又称对等式结构。在此结构中，所有网络结点的通信地位相等，无需建立具 有特殊簇( c l u s t e r ) 头功能结点的层次结构，是一种完全分布式网络结构。 分级结构( c l a s s i f i c a t i o ns t r u c t u r e ) 又称簇结构( c l u s t e r i n g ) 。在此结构申，网络按簇 ( c l u s t e r s ) 来划分，预先指定的或在一定算法下根据网络拓扑变化随机生成的簇头( c l u s t e r h e a d s ) 形成了较高一层的网络，在较高一层的簇头结点的集合中又可以选择更高管理权 舶簇头，以此类推形成有不同等级层次的金字塔形结构。 213a d h o c 网络的协议栈 圈2 2 a dh o e 网络的协议栈结构图 6 蛐 嚣蓼 南京邮电人学颂上研究生! 学位论文第二章a dh o c 叫络中的安全问题 如图2 2 所示，a dh o c 网络体系结构与目前i n t e r n e t 网络的体系结构基本致。a dh o c 网络协议栈实际被划分为五层：物理层、链路层、网络层、传输层和应用层。由于a dh o c 网络的特殊性，在不同的应用环境中，节点的数量、功率和移动速度以及链路带宽等因素 各不相同，因此，a dh o c 网络的体系结构应根据具体的使用环境和应用要求进行设计。 2 1 4a dh o c 网络路由协议 目前提出的多种无线a dh o c 网络路由协议( 算法) 大体可分为先应式路由协议、按 需求协议和混合式路由协议【2 4 1 ，如图2 3 所示。 d s d v w r p z r p ； c g s r a b r s s r 图2 3a dh o c 路由协议分类 先应式( p r o a c t i v e ) 路由协议又称为表驱动( t a b l e d g i v e i l ) 路由协议。该算法将 网络中每个结点当作一个独立主动的路由器进行全网络周期性的路由信息的广播和更新， 每个结点需要维护一张完整的网络路由表，路由表项的内容包括目的结点、跳数、目的结 点序号等。每个结点周期性的与邻结点交换路由信息来更新自身的路由表，路由发现依据 路由表来进行。先应式算法的优点是通信时可以立即得到路由信息，缺点是当网络内结点 发生变化时，必须重新交换路由信息以获得新路由的路径，这样增加了网络的负载，路由 开销也随着网络的增大而越来越大。其代表协议有d s d v 、c g s r 、w r p 等。 按需求( o n d e m a n d ) 协议又称反映式路由协议。无线网络当需要路由来传送数据包 时才被动的进行路由发现，即结点仅构建和维护当前需要用来发送数据包的路由信息。网 络拓扑结构和路由表内容也是按需建立的，不需建立去往网络内各个结点的路径，因此不 需要周期性的广播路由信息，节省了一定的网络资源。按需求算法具有较小的通信控制( 路 由维护更新) 开销，但在需要发送数据时，因没有通向目的结点的路由信息，要临时启动 路由发现机制来寻找路由，这会带来一定的时延。代表协议有a o d v 、d s r 、a b r 协议等。 混合式路由协议结合了先应式算法和按需求算法的优势。该算法按区域将无线网络划 分为几个逻辑子网，在逻辑子网内采用先应式的主动算法，在区域间采用按需求的被动算 7 p r s dvd o a 堕墨些! 皇奎兰堡圭堕塑竺兰篁丝茎墨= 三至垒! 望2 1 塑垒! 竺塞全塑璧 法，通过调节区域划分的大小和子网内结点数量以综合提高结点和无线网络的路由能力。 代表协议有z r p 协议等。 2 2a dh o e 网络存在的安全问题 传统网络中的加密、认证协议、数字签名等安全机制对于实现a dh o e 网络的安全目 标具有很重要的作用。但是，传统网络中的主机之间是静态拓扑的，采用分层的网络架构， 并在此基础上定制了相关的安全策略，如加密、认证、访问控制和权限管理等。而a dh o e 网络节点的移动性和网络拓扑结构的动态变化，使得这些安全机制对于a dh o c 网络实施 具有以下问题： 1 传统网络中的加密和认证应该包括一个产生和分配密钥的密钥管理中心、个确 认密钥的认证机构以及分发这些经过认证的公用密钥的目录服务。所有这些服务都是在相 互信任的前提下工作。而a dh o e 网络缺乏足够的物理保护、没有中心节点，因而不能直接 使用传统的加密和认证机制。 2 a dh o e 网络中，不仅拓扑结构、成员、信任关系是动态的，网络中产生和传输的 数据也具有动态特点。例如节点的环境信息、关于网络变化的信息、群组会议交换的信息 都有很高的实时性要求。传统网络服务中的数据库、文件系统和文档服务器等静态数据都 不再适用。因此，基于静态配置的传统网络安全方案不能应用于a dh o e 网络。 3 传统网络中的防火墙技术用来保护网络内部与外界通信时的安全。由于所有进出 该网络的数据都通过一个节点( 服务器) 转发，防火墙技术可以在该节点上得以实现，从 而控制网络外部对内部的访问、内部网络对外部网络的传送的网络信息、过滤各类t c p i p 、 u d p 报文等信息。通过防火墙有效控制，网络内部相对是安全的。但是，由于a dh o e 网 拓扑结构动态变化，无中心节点，进出该网络的数据可以由其中任意节点转发，网络内部 和外部的界限非常模糊，网络内部的节点因缺乏足够的保护很可能被占领而导致被攻击。 2 2 1a dh o e 网络的安全目标 a dh o c 网络的安全目标和传统网络的安全目标基本一致，包括：数据可用性、机密性、 完整性、安全认证和抗抵赖性【2 5 l 。 1 可用性 可用性指即使受到攻击，节点仍然能够在必要时提供有效的服务。拒绝服务攻击可能 在a dh o c 网络的各个协议层进行，使节点无法获得所需的正常服务。例如，在物理层和 m a c 层，攻击者通过发送大量无用的数据分组拥塞无线信道来干扰通信。一种解决方法 g 雨京邮f t 5 人学硕上研究生学位论文第二章a dh o c 网络中的立全问题 是采用扩频和跳频技术，以迫使攻击者不得不牺牲更多的能量来拥塞更大范围的频段。在 网络层，攻击者破坏路由信息，使网络无法互连。在更高层，攻击者通过伪造各种消息使 高层服务紊乱。对于移动终端，可用性还涉及电源问题。一旦没有能源，节点将完全陷于 瘫痪。为了节省能源，通常会考虑让主机在空闲时处于睡眠状态，而在必要时将其唤醒。 但是，攻击者可以设法通过某种合法方式与节点交互，使其始终处于通信状态，目的是消 耗节点的有限能源，这种攻击被称为“剥夺睡眠攻击”。与其他攻击相比，这种攻击可能 更为致命。因此，需要通过强认证机制来确保通信对端的合法性。并应考虑在资源有限的 情况下首先满足优先级较高的任务。 2 机密性 机密性是保证特定的信息不会泄漏给未经授权的用户。军事情报或用户帐号安全敏感 的信息在网络上传输时必须机密、可靠，否则这些信息被敌方或恶意用户获取，后果将不 堪设想。路由信息在一些情况下也必须保密，因为这些信息可能被地方用来识别和确定目 标在战场上的位置。该问题的解决需要借助于认证和密钥共享机制。 3 完整性 完整性保证信息在发送过程中不会被中断，并且保证节点接受的信息与发送的信息完 全一样。如果没有完整性保护，网络中的恶意攻击或无线信道干扰都可能使信息遭受破坏， 从而变得无效。此外，还需要特别考虑存储在用户设备中的数据完整性，防止数据被篡改。 4 安全认证 每个节点需要能够确认与其通信的节点的身份，同时要能够在没有全局认证机构的情 况下实施对用户的鉴别。如果没有认证，攻击者很容易冒充某一个节点，从而得以获取重 要的资源和信息，并干扰其他节点的通信。只采用认证通常是不够的，认证只负责证明某 人的身份，因此还需要通过授权来决定某种身份是否被允许做某些事情。由于a dh o c 网 络没有固定的管理域，所以难以实施防火墙技术。 5 抗抵赖性 抗抵赖性用来确保一个节点不能否认它已经发出的信息。它对检查和孤立被占领节点 具有特别重要的意义，当节点a 接收到来自被占领节点b 的错误信息时，抗抵赖性保证节 点a 能够利用该信息告知其他节点：节点b 已被占领。此外，抗抵赖性对于商业应用中保 证用户的利益至关重要。 2 2 2a dh o e 网络的安全威胁 针对移动a dh o e 网络的攻击特点以及攻击者对象的不同，可以将攻击分为两类：一 9 南京邮 u 大学硕上研究生学位论文第二章a dh o e 网络中的安全问题 类是对移动a dh o c 网络基本机制的攻击，比如说对路由的攻击：另类是对移动a dh o e 网络安全机制的攻击，特别是对密钥管理机制的攻击。 用另一种分类法，也就是根据不同的攻击手段，还可以把攻击分为以下两类【2 6 】： 1 被动攻击( p a s s i v ea t t a c k s ) 被动攻击通常指攻击者窃听信道上的信息。顾名思义，在被动攻击中，攻击者的行为 是被动的。这时攻击者不易被察觉。被动攻击者所窃取的信息可以被用来发起主动攻击。 2 主动攻击( a c t i v ea t t a c k s ) 主动攻击指攻击者主动采取一系列行动来破坏网络。比如说复制、修改和删除传输中 的数据。主动攻击的后果往往较为严重。主动攻击又可以进一步分为外部攻击和内部攻击。 外部攻击( e x t e r n a la t t a c k s ) 是典型的主动攻击，它是由网络外部的恶意节点发起的。其 目的是传播不正确的路由信息，导致网络拥塞、阻止网络服务正常工作或者完全切断网络 服务。内部攻击( i n t e r n a la t t a c k s ) 是由网络内部的恶意节点引起的攻击。它一般更为严重， 这是由于恶意节点作为被授权的一方属于网络内部，它们受网络及其服务所提供的安全机 制的保护。要检测出内部攻击是非常困难的。以下列举一些具体的攻击类型： ( a ) 分布式拒绝服务攻击( d i s t r i b u t e dd e n i a lo f s e r v i c e ) 移动a dh o c 网络是一个分 布式的网络，所以在a dh o c 网络中，攻击者一般通过拥塞无线链路和耗尽电池这两种方 法来发起拒绝服务攻击。分布式拒绝服务( d d o s ) 是一个更严重的威胁，假如攻击者有 足够的计算能力和带宽，就能很容易地使a dh o c 产生碰撞和拥塞。 ( b ) 假冒攻击( i m p e r s o n a t i o n ) 假冒攻击在移动a dh o c 网络的各层都会构成严重的 安全威胁。假如没有适当的认证措施，被攻破的节点能够在不被检测到的情况下加入网络， 发送错误的路由信息。恶意节点也可能伪装成一个正常的节点，向其它节点发送错误的命 令或状态信息。可以在路由信息、配置信息、状态信息或者交换的数据上使用数字签名或 者带密钥的哈希函数，引入认证机制来减轻假冒攻击的威胁。 ( c ) 信息泄漏攻击( d i s c l o s u r e ) 在移动a dh o c 网络中，在交换机密信息时，需要保 护在通信过程中不被窃听。同时，也要防止节点存储的重要数据不被未授权方访问。这样 的信息几乎包括所有的信息，比如说一个节点的状态细节、节点的位置信息、私钥、公钥、 口令等等。这些信息可能正是攻击者发起一次有效攻击所需要的信息。所以，要设法保护 这些重要信息以免泄漏。 ( d ) 信任攻击( t r u s ta t t a c k s ) 信任层次是对反映组织特权的信任级别的一个直接的 表述，反映了移动节点的能力、安全、重要性等。一般需要绑定用户的身份和相应的信任 级。如果没有绑定，任何一个用户都可以模仿其它人，获取更高信任级的特权。为此，需 1 0 南京邮电人学坝j j 研究生学位论文第一：章a dh o c l i ) 9 络中的安全l 司题 要引入更强的接入控制机制。 ( e ) 攻击j 下在传输的信息，被攻击的节点或者敌方节点可以利用路由协议报文携带的 信息来发动攻击。这些攻击可以导致信息被破坏，敏感信息被泄漏，从别的协议实体中偷 取合法服务，拒绝服务攻击等。对传输中的信息的攻击包括中断、扰乱、修改、伪造等方 式。 2 2 3a dh o e 网络的安全策略和机制 根据不同应用中的安全需求，目前a dh o c 网络中可以采取的安全策略有【2 7 之9 】： 1 防止信息窃取攻击 使用多跳的无线链路使a dh o e 网络很容易受到诸如被动窃听、主动入侵、信息假冒 等各种信息窃取攻击。被动窃听可能使敌方获取保密信息；主动窃取攻击中敌方可以删除 有用信息、插入错误信息或修改信息，从而破坏数据的可用性、完整性和抗抵赖性，对付 被动窃听攻击，可以根据实际情况采用i p s e c 中的安全套接字协议( s s l ) 或封装安全净 荷( e s p ) 机制。封装安全净荷可以为不能支持加密的应用程序提供端到端的加密功能， 它不仅可以对应用层数据和协议报头加密，还能对传输层报头加密，从而可以防止攻击者 推测出运行的是哪种应用，具有较好的安全特性。为对付主动攻击，可以采用带有认证的 端到端加密的方法。 2 安全路由 多数a dh o c 网路由协议能够适应网络环境的快速变化。由于路由协议负责为节点指 定和维护必要的路由结构，必须防止对机密性、真实性、完整性、抗抵赖性和可用性的攻 击。如果路由协议受到恶意攻击，整个a dh o c 网络将无法正常工作。所以，必须提供相 应的安全机制，以便保护a dh o c 网络路由协议的正常工作。在开放的环境中保护路由流 量是非常重要的，以便通信各方的身份和位置不被未授权的实体所了解。路由信息必须防 止对认证和抗抵赖性的攻击，以便验证数据的来源。路由协议的安全威胁来自两个方向： 一是网络外部的攻击者通过发送错误的路由信息、重放过期的路由信息、破坏路由信息等 手段，来达到致使网络出现分割、产生无效的错误路由、分组无谓的重传，网络发生拥塞 并最终导致网络崩溃的目的，攻击者还可以通过分析被路由业务流量来获取有用信息；二 是网络内部的攻击者可以向网内其他节点发布错误的路由信息和丢弃有用的路由信息。两 种攻击都能造成网络中合法节点得不到应有的服务，因此也可以看作为一种拒绝服务攻 击。可以使用数据安全中的各种加密机制来解决第一种威胁，比如带有时间戳的数字签名。 解决第二种威胁较为困难，对路由信息进行加密的机制不再可行，因为被占领的节点可以 l l 堕塞坚皇叁兰堡主竺! ! 竺兰垡笙苎塑三至垒! 望! ! 塑堑! 塑窒全塑垦 使用合法的私有密钥对路由信息进行签名。一种可行的方法是要求合法节点周期性的交换 标志序列符，标志序列符由节点的标志符和序列号组成。占领某个节点的入侵者虽然能够 获得合法的密钥，但他很难知道标志序列符，因此可以在一定程度上减少这种攻击带来的 威胁。 3 入侵检测( i d s ) 入侵检测的主要假设是用户和程序的活动是可观察的，如通过系统的统计机制；正常 活动和异常活动有显著的不同行为。a dh o c 网络的入侵检测和响应系统应该是分布式协 作的。网络中的每个节点都参与入侵检测和响应过程。每个节点都有一个独立的i d s 代理， 在本地独立地检测入侵标记，而邻居节点可以在一个较大的范围内合作检测。任何在本地 以强有力的证据检测到一个已知的入侵或异常的节点，都可以独立地确定系统已经遭受攻 击并初始化一个响应进程。如果一个节点检测到入侵或异常情况的证据较弱，或者证据不 足以下结论，需要一个更大范围内的检测，那么这个节点就会初始化一个合作的全局入侵 检测进程，由相邻的i d s 系统代理联合进行进一步的检查。这个进程通过在邻居节点之间 广播入侵检测状态信息来工作。在协作形式下的分布式入侵检测过程中，利用最近接收到 的其它节点的状态信息，来计算本地的新的入侵检测状态。由于a dh o c 网络中的节点可 以自由进出网络，所以该网络是高度动态的。当每个节点都使用从别的节点发来的入侵或 者异常报告时，在分布式检测过程中它不依赖于固定的网络拓扑和成员信息。一旦检测到 入侵，就会重新初始化节点间的通信信道，确定被攻破的节点，重新组织网络以排除被攻 破的节点。i d s 代理从概念上可分为六个部分，如图2 4 所示。 系统调用激活通信其他跟踪 邻接的i d 掌代理 图2 4i d s 代理的概念模型 4 认证协议 身份认证就是要确认实体的身份，是一个双向的过程，分为目标身份认证和消息源身 份认证。目标身份认证是指要确认通信目标方的身份和所宣称的一致。 1 2 南京邮电人学硕士研究生学位论文第一二章a dh o c 网络中的安全问题 5 数据加密 数据加密是使用密码系统保证传输中的数据安全。密码系统的两个基本要素是加密算 法和密钥管理。加密算法是一些公式和法则，它规定了明文和密文之间的变换方法。加密 信息的安全可靠依赖于密钥系统，密钥是控制加密算法和解密算法的关键信息，它的产生、 传输、存储等工作是十分重要的。 6 信任机制 为了更好的解决行为异常节点对网络的干扰，特别是针对节点的自私和不合作等异常 行为，在一些文献中把信誉机制引入到移动自组网中来，其作用有三个： c a ) 对节点进行信誉评估以区分可信任节点和不可信任节点： ( b ) 引导和鼓励节点执行正常操作，避免自私行为； ( c ) 将行为异常节点( 包括恶意节点，不合作节点等等) 从网络中孤立起来。 2 3a dh o e 网络中的安全路由协议 由于移动自组网环境的复杂性和特殊性，所面临的安全问题并不是简简单单的搬用有 线网络的安全机制就能解决的。 根据文献，移动自组网路由的安全性需求主要体现以下几点： 1 路由机制的可用性 指的是路由机制在有攻击行为存在的情况下仍然能够提供有效的路由服务。 2 路由信息的机密性 路由信息也属于敏感信息，因为路由信息包含网络的部分拓扑结构，如果敌人监听到 明文路由信息，经过分析，然后定位某些关键节点，展开主动攻击，会产生网络分割，甚 至网络瘫痪的效果。 3 。路由信息的完整性 用来保证移动自组网中路由数据的真实性与准确性。 4 路由信息的可鉴别 节点应该可以对所接收到的路由报文进行真假鉴别，以此来抵御某些恶意节点散布虚 假路由。 5 路由信息的不可抵赖性 此举是为了防范某些被俘获的节点发布虚假路由信息后，其它节点能够通过不可抵赖 性检测、孤立该节点。 南京邮电人学硕i j 研究生学位论文第二章a dh o c 网络中的安全问题 2 3 1a dh o c 网络中已有的安全路由协议分析 1 s a o d v s a o d v ( s e c u r ea dh o co n d e m a n dd i s t a n c ev e c t o rr o u t i n g ) 1 3 0 1 是按需路由协议a o d v 的安全扩展路由协议，采用数字签名和哈希链来实现路由协议的安全。s a o d v 扩展了 a o d v 的控制信息包，扩展字段如图2 5 所示。 t y p el e