（计算机软件与理论专业论文）基于信任模型的ad+hoc网络路由防范策略.pdf

中山大学硕士学位论文基于信任模型的a dh * 网络路由防箍策略 基于信任模型的a dh o c 网络路由防范策略 计算机软件与理论 硕士生：梁倩婷 指导老师：张治国 摘要 a dh o c 网络所特有的窘组织性。使得它能在没有任何固定基础设施( 如基站、接入点 等) 的环境下，依靠节点自身所具备的路由能力来完成组网。但这种无中心的管理方式会带 来严重的安全问题，因为路由、分组转发等网络功能的实现都只能依赖于节点自觉配合事 实上，不参与网络协作对单个节点来说可能更有利。其中，自私节点会把停止服务而节约下 来的资源用来满足自身通信需求。而恶意节点则可通过拒绝服务攻击等手段来破坏路由由 于现有的路由协议中并没有针对上述不良节点的防范措簏，所以本文提出了一种基于信任模 型的路由策略，用于识别网络中潜在的不良节点，并在路由时对这些节点加以防范。 本文提出的e d s r 路由策略是在动态源路由协议d s r 的基础上，分别对不良检测、信誉 评估和路由选择这三个方面进行了扩展不良检测是通过节点问的相互监督来实现的。每个 节点会观察自己范围内其他节点的行为，一旦发现不良节点，就会通告其他受影响的节点 有了这些信息，节点就可以对所有已知的节点进行信誉度评估。评估有两个依据，一个是节 点自己对不良行为的观察，另一个是来自其他节点对不良行为的报告。评估的结果将影响本 节点以后的路由选择。只有信誉度最高的路由才会被选上，因为信誉度越高代表该路由上存 在不良节点的可能性越小，能提供的网络服务质量越商 最后，测试部分通过将原始的d s r 与e d s r 进行对比。以说明这种路由防范镱略的有 效性及实际效能。实验结果表明。e d s r 能在不良节点占节点总数3 0 的情况下，能以小 于0 0 3 的相对路由开销，将网络吞吐量提高3 8 5 0 并且节点的移动速度越快，e d s r 的性能提高效果越明显 关键字：a d h o c 网络，路由。协作，自私节点，信誉系统 中出大学硕士学位论文基于信任模型钓 dh o e 嗣络路由防范策略 r e p u l ：a l ：i0 1 3 。b a s e dd e f e n s es t r a t e g yf o r r o u tin gina dh o en e t w o r k c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：o i a n t i n gl i a n g s u p e r v i 蚍z l a i g u oz l a a n g a b s t r a c l ： t h e 鼯接删g i n i z c dp r o p e r t yo fa dh n e l w o r kc n a b l e si t 幻佣咀鼬m d 量n e l w o r k 埘y i n go i l 曲曙n o d e s r o u t i n ga b i l i t y 州鼬i nl u l e n v i r o n m e n tt h a tl a c k so fa n yk i n do ff i x e db a s i c i n f r b l r u e t u r e 。s u c ha sb a s es t a t i o n sa n da c 站p o i n t s b u tt h i sk i n do f c 删z a l e s sm a n a g e l l m n tw i l l b r i n gs e r i o u ss e c u r i t yp r o b l e m s ，f o rt l a ei m p l e m e n t a t i o no fn e t w o r kh l n c l j o n ss u c ha sr o u t i n ga n d p a c k e tf o r w a r d i n g , a l lr e l yo nt h en o d e s c o o p e r a t i o n i nf a c t , i ta p p e a r si ob em o i r ea d v a n t a g e o u s f o rn o d e sn o tt oc o o p e r a t e s e l f i s hn o d e sm mt h ew 鲥l 代t h a ts a v e db yn o t - , a e l y i n gt os a t i s f y i t so w l ln e e do fc o m m u n i c a t i o n s a n dm a l i c i o u sn o d e sc a nd i s r u p tr o u t e sb yl a u n e l a i n gd e n i a l - o f ；c r v i ( d o s ) a t t a c k s a sa np r e s e n tr o u t i n gp r o t o c o l sh a v er oc o u n t e z m e a s t u t ot h e s e m i s b e h a v i o rn o d e s , w ep r o p o ar e p u t a t i o n - b a s e dr o u t i n gd e f e n s es l r a t e g yt od e t e c tl a t e n t m i s b e h a v i o rn o d e si nt h en e t w o r ka n da v o i dt l l e s en o d l 目w h e nm u t i n g t h ee d s rr o u t i n gs t r a t e g yo r o p o s e dht h i st h e s i si sb a s e d0 nt h ed y l l a m i cs o u l r c em u t i n g p r o t o c o l ( d s r ) a n dg i v e se x t e n s i o n si nt h ef o l l o w i n gt h r e ea s l x d s m i s b e h a v i o rd e t e c t i o n , r e p u t a t i o ne v a h t a t i o j aa n dr o u t es e l e c t i o n m i s b e h a v i o rd e t e c t i o ni sf u l f i l l e db ym u t u a ls u p e r v i s i o n a m o n gn o d e s e a c hn o d ew i l lm o n i t o rt h eb e h a v i o ro fn o d e sw i t h i ni t sr a n g e o n c eam i s b e h a v i o r n o d ei sd e t e e l e 4 t , i tw i l lb er e p o r t e dt oo t h e rn o d e st h a ta r cp o t e n t i a l l ya f f e c t e d w i t ha l lt h e s e i n f o r m a t i o n , an o d ec a ne v a l u a t ea l lt h ea l r e a d yk n o w nn o d l r e p u t a t i o ni n 怔m so ft w ok i n d so f m e s s a g e s o n ei st h ed i r e c to b 嚣a t i d nb yt h en o d ci t s e 蚝a n dt h co t h e ri s 妞m i s l ) e l u l v i o r 删吣 s c o tb yo l l a c rl l o d c s t h ee v a h a a t i o n 删把w i l lh a v ea 芦ti m p a c to nan o d r o u t es e l e c t i o n 州啮靠w a f d s o n l y 岫r o u t ew i t hh i g h e s tt c p l l l l a t i o nw i l lb es c l c e t e a , i t si ti m p l i e si o w c i p r o b a b i l i t y o f m i s b e h a v i o r n o d e s a n d b e t t e r n e t w o r k 翻玎v i 眈 a tl a s t , ac o m o a r i s o j lb e t w e d at h eo r i g i n a ld s ra n de d s rw i l lb es h o w c di nt h es i m u l a t i o n p a r t , i no r d e rt op r o v et h a tt h ev a l i d i t ya n de f f i c i e n c yo ft h i sr o u t i n gd e f e n s es l z a t e g y t h e s i m u l a t i o nl e s u l ts h o w st h a te d s r 啪i n e r c a s et h en c t w o r k $ t h r o u g h p u tb y3 5 - 5 0 w i t hl c s s t h a n0 0 3 r e l a t i v eo v e r h e a d ，e 札w h e nm i s b e h a v i o rn o d 髂a m o u n tt o3 0 o ft h et o t a ln o d e s m o r e o v e r , t h ef a s t e rt h el m o d i n o v l , t h eb e t t e rp e r f o r m a n c et h ee d s rw 1 2 1h a v e i “y w o r d s ：a d h o e n e t w o r k , r o u t i n g , c o o p e r a t i o n , s e l f i s h n o a e , r e p u t a t i o n s y s t e m - m 中山大学硕：t 学位论文基于信任模型的a dh o c 阿络路由防范策略 第1 章问题背景与陈述 1 1 a dh o e 网络的出现与发展 a dh o c 一词源于拉丁语，意为“特殊的”。它的出现使得无线网络能摆脱对 基础设施的依赖，发挥更大的灵活性。a dh o c 网络的历史可以追溯n 1 9 7 2 年美国 国防部高级研究规划署( d a r p a ) 所资助的p r n e t ( p a c k e tr a d i on e t w o r k ) 项 目，即分组无线网络。p r n e l 将c s m a 和a l o h a 协议相结合，作为介质访问和 距离向量路由方式所使用，目的是研究在战地环境下的分组无线网数据通信。 随着研究的深入，到了2 0 世纪8 0 年代早期，p r n e t 作为一个重要组成部分被 纳入到抗毁自适应网s u r a n ( s u r v i v a b l e a d a p t i v e n e t w o r k ) 项目中。s u r a n 的 抗毁性主要体现在对无线电设备的改进上，使得它们更小、更便宜以及具备更好 的电磁攻击抗干扰能力。该项目的研究目标是为了能在无基础设施的紧急情况 下，提供分组交换网络通信，以满足战场上军事移动装备的应用需求。可以想象 在战场这样特殊的环境下，例如在森林、荒漠之中，根本就没有可供通信的基础 设施存在，而且既便是有，也极可能在战斗中随时遭到破坏。所以如果战场上所 用的移动设备需要依赖基础设施才可以通信，那么一旦基础设施损坏，整个通信 网络就会陷入瘫痪，并且带来无法估量的损失。 虽说对于a dh o c 研究的初衷是应用于军事领域，但随着无线通信和终端技术 的不断发展，笔记本、掌上电脑等移动设备的日益普及，到了2 0 世纪9 0 年代初， a dh o c 的发展开始向民用方向迈进。那时“无组织”( 即指没有基础设施) 网络 这一概念开始出现学术会议和论著之中，并且i e e e8 0 2 1 l j , 组委员会正式采纳 了“a dh o c 网络”一词。a dh o c 网络的特点随即激起了研究的热潮，并且开始慢 慢向商业、抢险救灾、传感器网络、多媒体教学等非军事领域发展。例如在1 9 9 4 年，d a r p a 又资助了两个下年项目：g l o m o ( g i o b a lm o b i l ei n f o r m a t i o ns y s t e m s ， 全球移动信息系统) 和n t d r ( n e a r - t e r md j i g i t a lr a d i o ，近期无线电) 。其中g l o m o 的目标是能够随时随地提供办公环境下，与以太网相似的无线多媒体连接，而 中山丈学硕b 学位论文 基于信任模型的a dh o c 网络路由防范策略 n t d r 贝i 将聚类、链路状态路由及自组织等概念应用到两层的a dh o e 网络中。应 用领域的开拓和日益广泛的关注促使了关于a dh o e 网络的标准慢慢产生。在i e t f 组织成立了专门研究a dh o e 网络的m a n e t ( m o b i l ea dh o en e t w o r k i n g ) 小组后， 更是不断提出了很多针对a dh o e 网络的路由协议，这些协议大部分作为规范被应 用至今。 尽管a d h o e 网络已经取得了长足的发展，并且出现了一些实际的应用，但总 的来说目前尚未达到真正实用的程度，其中大部分工作仍处在仿真和实验阶段， 仿真规模在数百至数千结点，实验规模在几十个结点左右。 1 2 a dh o e 网络的结构与特点 a dh o e 网络是一种自组织多跳对等无线移动网络，它与蜂窝网络和一般移动 无线网络最大的不同在于其构建既不需要基站、接入点等基础设施的支持。这就 使得a dh o e 网络的组建具有灵活、易扩展、成本低、建设快等优点，因而特别适 应临时组网的要求。例如在现代军事战场、应急救灾、商务会议等特殊场合中， 往往需要在最短的时间内能便捷地建立起一个有效的网络，并且要求在各个节点 随意移动的情况下，能最大程度地保证网络的连通性和可用性。a d h o c 网络的出 现正好迎合了这一类型组网的需求，因而具有广阔的应用前景。除了自组织带来 的众多优点以外，a dh o e 网络还具有一些值得注意的性质，了解这些性质将有助 于加深对a dh o e 网络的理解和研究的展开。 1 无中心对等性。a dh o e 网络中没有绝对的控制中心，所有节点的功能都 是对等的，节点之间通过分布式算法来协调管理。其中每个节点都带有无线电收 发装置，同时兼备主机和路由器的功能。作为主机，节点需要处理用户日常应用； 作为路由器，节点可以按照相应的路由协议对经过的包进行收发及管理。 2 多跳性。无线电设备的传输范围是以设备所在点为中心的圆型区域，收 发设备都具有一定的发射功率，功率越大，传输范围就越广。尽管节点可以直接 与位于其信号范围内的其他节点进行通信，但如果待通信的两个节点之间的距离 超过信号范围的话，传输包就必须要经过若干个中间节点的转发才能到达目的节 点，从而形成了一个多跳的过程。 中山大学硕f 。学位论文基于痿任模型的a dh o e 腭络路由防范策略 3 动态的拓扑结构。a dh o c 网络中，移动终端能够以任意速度和方式移动。 随着各节点位置的变化，一些原来相互可达的节点之间可能由于距离增大而无法 继续通信，而一些原来不可达的节点可能由于移动到足够近而变得可达，这样就 形成了新的拓扑结构。拓扑结构的动态变化加上自动配置的特点，使得a dh o e 网络的灵活性大大增加，但同时也引发一系列的路由问题，这就要求路由算法必 须能及时地发现结构上的变化并做出相应处理。 4 信道非对称性。由于无线电的传输范围因设备的发射功率、地形、温度 等因素而异，所以两个节点闻的信道可能出现不对称的情况。设想两个相邻的节 点上安装了功率不同的无线电收发设备，且发射功率较大的节点位于发射功率较 小的节点的传输范围外( 如图i - 1 ) ，则功率较大节点发出的包可以直接被功率 较小的节点所接收，但反之不然。 图1 1 非对称信道示意图 5 带宽受限。由于无线信道本身的物理特性，它所能提供的网络带宽相对 有线通信而言要少得多，再加上竞争共享无线信道产生的冲突、信号衰减、噪音 和信道之间干扰等多种因素的影响，移动终端最终得到的实际带宽远远小于理论 上的最大带宽。 6 有限的资源。构成a dh o c 网络的移动终端通常是便携计算机、掌上电脑 等，它们一般靠电池供电，缺乏电力的持续补给使得它们不可能应付长时间的运 行。此外，便携设备与有线网上的设备相比，配置上通常内存较小、c p u 性能较 低。再加上a d h o e 网络中的节点还需要同时充当路由器，为了实现网络的路由管 理以及为其他节点提供分组转发，资源紧缺的问题就更加严重了。 3 中山人学硕仁学位论文基于信任模型的a dh o c 嗍络路由防范镱略 7 较低的网络安全性。a dh o e n 络在安全性方面的不足主要表现在三个方 面：( 1 ) a dh o e 网络中采用的是分布式的管理方法，由于缺乏基础设施的集中控 制，因而无法提供如可靠第三方认证、密钥管理等安全服务。( 2 ) a dh o e 网络采 用无线电作为通信媒介，节点间的数据只能采用广播的方式发送，这使得信息极 易被窃听。如此一来，网络中的恶意节点不仅可以从窃听数据中得到有用的信息， 而且还可以通过流量分析等手段，向网络中插入错误信息或者篡改路由，从而达 到破坏网络的目的。( 3 ) 每个节点资源有限，恶意节点可以通过向外发送大量的 包，迫使其他节点不断为它提供转发服务，从而加快正常节点的能源消耗。其结 果不仅使得节点因此无法运作，并且由于a dh o e 网络是靠多跳中转来传输数据 的，如果网络中过多的节点无法正常运作，则严重的话会使整个网络陷入瘫痪。 1 3 问题陈述 尽管与传统移动网络相比，a dh o c 网络有着建设成本低、速度快、组网灵活 等具大的优势，但节点资源的有限和严重的安全性问题在很大程度上制约了它的 应用与发展。尤其是a dh o e 网络中缺乏基础设施，没有了这些固定设施所提供的 可靠路由及数据传输服务，节点间的通信只能寄望于每个节点都最大限度地发挥 出自身的路由作用，最后通过彼此协作来完成。但这种情况是不能保证的，节点 随时会因为各种原因而停止路由及数据转送服务。数据的传输是网络运作最基本 的要求，文献【9 】通过实际测试指出，节点这种停止服务的不良行为会对网络 的性能产生极大的负面影响。 本文路由防范主要针对两种不良行为，一种是自私行为，另一种恶意节点的 拒绝服务攻击。自私节点会为了节约资源而停止向外提供服务，节省下来的不仅 使得节点能更长时间地运行，并且还可以被重新利用来满足自身应用的需求。虽 然这种行为也会对网络性能产生很大的影响，但它本身并不以破坏路由为目的， 自私节点同样希望网络能正常运行，以保证在它需要使用网络时能从其他节点那 里得到良好的服务。而恶意节点则不然，它通过拒绝提供服务来达到切断路由的 目的。这种拒绝服务攻击可以在路由的两个阶段发动。第一个是在路由发现阶段， 恶意节点通常会丢弃所有经过它的路由请求和路由回复，或者直接不参与路由过 中山大学硕： 学位论文基于信任模型的a dh o e 阿络路由舫范策略 程，以此在路由建立的阶段进行破坏。另外一个是在数据传输阶段，选择在这个 阶段发动攻击的恶意节点会积极参与到路由建立中，甚至用尽各种方式来吸引路 由。恶意节点这样做的目的是为了在被选中之后，能通过需简单地丢弃所有经过 的数据来发动拒绝服务攻击，相当于构造了一个“黑洞”。这样一来，恶意节点 所在的这条路由就被完全切断了。而且如果配合一些密码破解技术，恶意节点还 能对截获的数据进行分析。总的来说，无论是自私节点还是恶意节点，它们都会 表现出不协作性，即没有正确转发经过的路由信息或者分组。这些不良节点对网 络的危害主要集中在以下几个方面： 首先，由于大量可行的路由被切断，网络的整体带宽会下降，而且可以被源 节点选择的路由将减少，源节点可能会被迫选择更长的路由进行数据传输。图 1 2 说明了不良节点对路由选择的影响。 图1 - 2 假设不良节点m 刚好处在待通信节点a 和b 之间的最优路径 之上，正常来说，a 通过m 只需2 跳就能到达8 ，但由于m 的不协作使得 这条路由不通。所以a 只能选择更长的路由a - c d b ，这时a 必须 经过3 跷才能到达b 。 另外，可行路由的减少还会导致网络分割块的产生。所谓网络分割块，是指 一个分割块内的节点对于另外一个分割块内的每个节点来说都是不可达的。网络 分割块在正常情况下也有可能产生，但从本质上说是由于节点的移动性以及无线 电传输的范围受限所引起的，通过路由覆盖方面的算法可以在一定程度上减少这 种情况的产生。但由于不良节点对路由的破坏，使得这种情况出现的几率大大增 加。如图1 3 所示，若不良节点将路由切断，那么图中左右两块中的节点将无法 相互通信，即网络被分割成两个小块。 最后，由于传输的分组被不良节点故意丢弃，所以网络整体的丢包率会增加， 并迫使源节点不得不重发分组。大量分组的多次重发不仅极大地消耗源节点的资 源，并且加重了网络路由沿途节点的负担，造成网络拥塞甚至瘫痪。 中山大学硕士学位论文基f 信任模型的a dh o e 网络路由防范策略 点一 图1 - 3 不良节点造成的网络分割块 如果网络中有过多的不良节点，那么数据分组将因为通信路径的中断而无法 到达目的节点，轻则使丢包率增加，令部分有效路径的负担加大，重则会导致网 络无法正常运作。由于目前在a d h o e 网络中广泛使用的路由协议都没有专门针对 安全性的措施，加上a dh o c 网本身结构上的特点，使得以往在有线和传统无线网 络中行之有效的安全协议都不能直接应用在a dh o e 网络上。考虑到a dh o c 应用领 域对信息安全的高度敏感，因而有必要研究一些策略用于提高网络的安全性。 本文将针对这些不良行为，在动态源路由协议d s r ( n y n a m i es o u r c e r o u t i n g ) 的基础上增加一个对节点安全可信度的动态评价系统。通过识别并在路由选择时 尽量绕开不良节点，从而增加路由的安全性，提高网络性能。 1 4 章节安排 第2 章会对当前a dh o c 网络安全方面的研究现状进行综述，主要围绕安全威 胁、攻击模型等方面展开。紧接着第3 章将集中介绍信任模型，其中包括信任模 型的含义及原理说明，最后还对包括一些主要的基于信任模型的路由策略的介 绍。而第四章会对一些被广泛应用的路由协议进行分类介绍。由于本文提出的 e d s r 路由策略是基于动态源路由协议d s r 的，所以特别将d s r 的部分抽取放到 第五章中给予详细说明。从第六章开始将对e d s r 路由防范策略的思想进行详细 描述，而第七章是对第六章实现细节上的补充，其中还包括一些对模拟工具 g l o m o s i m 的简单介绍。对e d s r 性能的测试与分析会放在第八章，通过与d s r 的对比，从数据上说明e d s r 路由策略的可行性与有效性。第九章将对本文所做 工作进行总结，最后根据实际状况指出了一些当前e d s r 存在的不足，并试图给 出相应的改进设想。 中山犬学硕士学位论文 幕于信任模型的a dh o c 网络路由防范策略 第2 章a dh o c 网络安全综述 综述将分为三大部分：第一部分将简单介绍一下a d h o e 中常见的攻击模型， 第二部分着重分析t a dh o e 中的安全问题，而最后一部分将针对几个有代表性的 基于信任模型的协议来展开叙述。 2 1 a d h o e 网络攻击模型 a d h o e 网络中的攻击模型按照不同的方式可分为好几大类。其中一种是按攻 击来源的不同分为外部攻击与内部攻击。外部攻击是由连接到网络中的非法用户 发起的：而内部攻击则是由于网络内部原来合法的用户被恶意攻陷，然后攻击节 点就可以利用合法用户所拥有的权限和受保护的信息来发动攻击。有了这些资 源，攻击者就能更有效的攻击而且更难被发现。所以相对来说，内部攻击的危害 更大，而且难于防范。 还有一种分类方法是按不同的攻击手段分为被动攻击和主动攻击。被动攻击 并不破坏网络原有的功能，其目的一般是通过窃听网络中的通信，以非法获取对 其有用的信息。而主动攻击则不然，它通过更改、删除、干扰传输的数据等手段 来达到各种各样的目的。例如使网络拥塞、破坏路由、分离节点等。为了发动主 动攻击，攻击者必须要有能力向网络中插入数据。 另外还可以根据攻击所针对的协议层，划分为物理层、网络层、应用层攻击 等。下面介绍一些主要的攻击模型，它们根据不同的分类方式分别属于不同的类。 1 拒绝服务攻击( d e n i a l o f - s e r v i c e , d o s ) ：通过破坏节点的路由功能来达 到攻击者向某节点不断发送大量携带虚假地址或错误路径的路由信息，占用被攻 击者大量有用资源，使得正常的路由信息无法及时更新和有效处理，最终造成通 信延时，链路阻塞。 2 黑洞( s i n k h o l e , o rb l a c kh o l e ) ：攻击者监听经过的路由请求，然后插入 中山大学硕 学位论文基于信任模型的a dh o e 网络路由防范麓略 虚假路由，宣称自己有到达目的节点的最短路由，使得源节点将数据包发向该节 点。最后通过将接收到的消息丢弃，从而形成一个的“黑洞”。 3 灰洞( g r a y h o l e ) ：与黑洞全部丢弃包不同，灰洞攻击只是有选择的丢 弃其中的一部分，如转发路由协议包而丢弃数据包。这使得灰洞攻击更具隐蔽性。 4 虫洞( w o r m h o l e ) ：两个或多个恶意节点串通，通过伪造和篡改路由信 息在它们之间创建一条捷径，制造假象，使得其他节点误以为它们有正常转发数 据。 5 回路( r o u t el o o p ) 或是分割网络( p a r t i t i o n ) ：恶意节点通过修改路由信 息、发送虚假路由信息，诱使其他节点创建一条通向它的路由或者是不存在的路 由。 6 路由重播( r e p l a y ) ：恶意节点向网络插入过时的路由信息，使得收到 此信息的节点用陈旧路由替代自身路由表中的相应条目。 7 拥塞攻击：恶意节点不断的发出路由发现请求，使整个网络中充斥着路 由请求包，而耗费宝贵的通信资源。 2 2 a dh o c 网络安全问题 通过对a dh o e 网络面临的攻击的了解以及对a dh o e 网络特点的分析，总结a d h o e 安全具有如下特点： 第一，使用无线信道使a dh o c 很容易受到诸如被动窃听、主动入侵、信息阻 塞、信息假冒等各种方式的攻击。窃听可能使敌方获取保密信息。而主动攻击可 能使敌方删除信息、插入错误信息、修改信息、或者冒充某一节点，从而破坏了 可用性、完整性、安全认证和抗抵赖性。这也是早期a dh o e 网络安全研究中普遍 存在的一种观点，认为移动性( m o b i l i t y ) 损坏了安全型( s e c u r i t y ) ，这种观点目前 得到了初步的改变，但总的来说a dh o e 的安全性还是严峻于传统网络的。 第二，由于节点的能源有限，并且c p u 的计算能力较低，无法实现过于复杂 的加密算法，这增加了被窃密的可能性。考虑到节点的工作方式，剥夺睡眠等攻 中山大学硕 + 学位论文基于信任模型的a dh o c 时络路由防范繁咚 击手段同样威胁着a dh o e 网络安全中的可用性。一般来讲加密过程不会增加信息 在信道中的传递容量，但是用于维护整个安全系统所需的密钥传递和维护，认证 过程等都将消耗节点的能源，更会占用有限的网络带宽，同样，过分复杂的协议 也将加剧这种消耗。 第三，当节点在战场上移动时，由于缺乏足够的保护，很有可能被占领。因 此，恶意的攻击不仅来自a d h o e 之外，而且可能从网内产生为了获得更高的生 存能力，a d h o e 应该具有分布式结构。但是，在安全机制中引入中心控制节点将 使网络更易于受到攻击：因为一旦该节点被占领，整个网络就将瘫痪。因此，采 用先进的入侵检测技术及早发现节点被占领将具有很大的现实意义，人们也正在 寻求一种不同于传统认证模式的新型信任逻辑机制，对于如何保障节点的物理安 全，如今普遍的方法是采取信息分离的方法，即节点和节点的合法使用者各掌握 一部分秘密，当且仅当两者结合在一起相互印证才能说一个节点是安全的。 第四，由于节点的移动性，a d h o e 的拓扑结构和成员处于动态的变化之中。 节点之间的信任关系也在不断变化。因此任何只具有静态配置的安全方案在a d h o c 中是不可行的。此外，a dh o c 使用何种策略在动态的环境下修改各个节点之 间的协作关系也是需要研究的。 第五，a dh o e 中可能包括成百上千个节点。安全策略应该具有可扩展性，以 适应大规模的网络。a dh o e 往往需要快速的组建，方便性和便于维护与安全性同 等重要。相比于固定网络，a dh o e 网络的时效性使得个安全系统建立到结束工作 的周期大大缩短，但频率可能大大提高。 中山大学顾上学位论文 基于信任模型的a dh o c 刚络路由防范策略 第3 章a dh o c 中的信任模型 目前，在a dh o c 网络上的信任模型主要是用于解决节点的自私性问题，以及 路由过程中可能出现的安全问题。信任模型的根本目的是为了在抉择时提供关于 其他实体可信程度的参考，并且作为一种激励机制，促使所有参与模型的实体以 良好的行为换取别人的信任。 在a d h o c 网络中，节点的可信程度也称为信誉度( r e p u t a t i o n ) 。总的来说， 基于信誉度的路由策略一般依赖于节点本身对传输过程的被动观察，以及其他参 与模型的实体之间传输的关于可信节点的推荐或者不良节点的警报。具体信誉度 的建立和维护方法因不同的路由策略而异，大体上说，如果一个节点总是为其他 节点提供路由或者分组转发的帮助，那么其他节点对它的信任程度就会增如，其 信誉值就越高。相反地，如果一个节点被发现经常损害其他节点的利益甚至破坏 网络，那么它的信誉度就会很低。下面将首先从概率论的原理上分析一下信任模 型的数学原理，然后将着重介绍几种有名的基于信誉度的安全路由策略。 3 1 信任模型原理 信任模型是建立在建议值的基础上的，一个建议值代表了一个节点拥有的关 于另一个节点的信任级别。每个节点都会产生一系列关于其他节点的建议值，这 些值与相应节点的历史行为表现有关。如果一个节点的信任值大于系统指定的最 小信任值极限，则可认为这时该节点是可信赖的。 信任值的推理可基于d e m p s t e r - s h a f e r 原理，该原理用正的信任值表示一个善 意节点，而用负的信任值表示一个恶意节点。该原理可以看成是处理不确定问题 的概率原理解释。假设一个给定节点的信任值由两方面合成：假定该节点为善意 节点的概率为研( g ) ，为恶意节点的概率为m ( 口) ，则0 卅( g ) ，小( b ) 1 。 根据概率论，应有埘( g ) + m ( 曰) = 1 。但由于不确定性的存在，使得实际上 中山大学硕| = 学位论文 摹 二信任模型的a dh o cf i j 络路由防范策略 m ( g ) + m ( b ) s i ，定义差值脚( ) = 1 一肌( 曰) 一m ( g ) 表示不确定性。一个节点的信 任状况可以用向量伽( ) ，用( 口) ，m ( g ) ) 描述，表示节点被认为是善意的概率为 【小( g ) ，拂( g ) + m ( ) ) 】，而被认为是恶意节点的概率为【州( 口) ，m ( 占) + 肌( 厶) ) 】 在一些场合，信任值可以根据需要被综合成一个单一数值来使用，例如本文 就是利用这个单一数值评估一个节点是否为可信任的。这时可以规定综合信任值 为该节点为善意节点的最小概率，也就是：s ( 脚( ) ，m ( 曰) ，用( g ) ) = m ( g ) 3 2 基于信任模型的路由策略 下面将介绍几种典型的基于信任模型的路由策略，这些路由策略一般都是建 立在某种路由协议之上，并作为原有协议的扩展来实现某种信任模型。 3 2 1 w a t c h d o g - p a t h r a t e r w a t c h d o g - p a t h r a t c r 【l 】技术是由斯坦福大学的s m a r t i 及t g i u l i 等人提出的 一种基于d s r 协议的安全路由策略，核心在于通过识别并避开恶意节点来提高网 络吞吐量。d s r 协议支持混杂接收模式( p r o m i s c u o u sr e c e i v em o d e ) ，即节点可 以接收到所有在它范围内的信息，即使它并非目的也同样可以接收。w a t c h d o g 是指数据包的发送者在把包传送出去后，通过该模式监视下一跳的节点是否有继 续转发该包。如果没有转发，则说明那个节点可能存在问题。通过这种方式，如 果在加密方式允许的情况下，该节点甚至可以检测下一节点是否篡改了包的内 容。而p a t h r a t c r 可以通过w a t c h d o g 的结果来评定每个节点的信誉度，从而选择一 条可信度最高的路径作为最终路由，使得数据传输能够尽量避免经过那些可能存 在恶意节点的路径。该方法采取的措施虽然没有惩罚攻击节点( 不合作节点) ，但 是避免了这些节点出现在传输路径上。该协议没有精确量化信誉值，存在一定的 检测错误概率( 如把好节点认为是错误节点等) 。 3 2 2 c o r e p m i c h i a r d i 和r m o l v a 在论文【2 】中提出了一种基于游戏理论【11 】的信誉 1 1 - 中山大学硕士学位论文基于信任模型的a dh o ci 尚9 络路由防范镱略 度机制，名为“c o r e ”。它利用节点间的相互监督，迫使网络中的所有节点都 协作参与到提供服务之中。这里的服务是一个泛化的概念，c o r e 可以与某种或 几种服务绑定使用，表示信誉度值的评价是根据节点提供这些指定服务的情况所 得出的。c o r e 把信誉度分为三种，即主观信誉度，间接信誉度和功能信誉度， 然后将各种信誉度综合起来作为最终评价结果。 3 2 3 c o n f i d a n t c o n f i d a n t 3 1 是s o n j a 等提出的一种入侵检测协议。它通过节点自身观 察和相互通告的手段来检测几种已知类型的攻击，使得网络中节点在进行路由时 绕过可能的恶意节点，并且不为已识别出的恶意节点转发包，进而将恶意节点孤 立。模拟结果显示，对于拒绝转发这类攻击，即使恶意节点占节点总数一半， c o n f i d a n t 依然可以有效的应付。 3 2 4 n u g l e t s s b u t t y f i n 和j h u b a u x 提出通过一种1 q n u g l e t s 【1 3 的虚拟货币，建立一套 消费和奖励的机制增加节点的合作性。模型分为两个部分：消费模型( p a c k e tp u r s e m o d e l ) 和交易模型( p a c k e t t r a d e m o d e l ) 。在消费模型中，当源节点要发送一个 包时，它必须为该包支付足够数目的n u 羽e t s 使包能顺利到达目的节点，而所有 的中间节点都会在转发该包后获得一定的n u g l e t s 。而在交易模型中，每个中间 节点都会用一定数目的n u g l e t s 向路由中的上一节点“购买”包，然后再以一定 的价格将包“出售”给下一节点，以此换取以后发送包所需的n u g l e t s 。当某个 节点具有的n u g l c t s 不足时，它将不能发送自身的数据包。该策略需要篡改验证 硬件( t a m p e r - p r o o f h a r d w a r e ) 的支持，以防止节点非法增加自己的n u d e t s 以便 发送包。 中山大学硕e 学位论文基于信任模型的a dh o e 同络路由防范簧略 第4 章a dh o c 网络路由协议 a dh o c 网络发展至今，已经出现了许多专门针对其特点而设计的协议，其中 相当大的一部分要归功于i e t f 组织下的m a n e t 工作组。该小组一直致力于制定 a dh o c 协议规范，目前主要的协议都可以在其主页上找到相应的详细说明文档。 与传统有线和无线网络相比，a dh o c 网络的路由必须面对很多额外的问题，例如 快速变换的拓扑结构，高能耗、低带宽、高出错率等。a dh o c 网络路由协议的目 标是快速、准确、高效、可扩展性好。快速指的是查找路由的时间要尽量短，减 小引入的额外时延；准确指路由协议要能够适应网络拓扑结构的异化，提供准确 的路由信息；高效的含义比较复杂：其一指要能提供最佳路由，其二指维护路由 的控制消息应尽量少，以降低路由协议的开销，其二指路由协议应能根据网络的 拥塞状况和业务的类型选择路由，避免拥塞并提供o o s 保障：可扩展性指路由协议 要能够适应网络规模增长的需要。大体来说，这些协议可分为表驱动( t a b l e d r i v e n ) 和按需源路由( s o u r c e - i n i t i a t e d o n d e m a n d ) 两大类型。此外还有一类特 殊的混合协议，它们将表驱动路由协议和按需源路由协议中各自的一些特性抽取 出来进行综合，以达到一些特殊的效果。下面将分别介绍这三大类协议的特点以 及它们各自的一些具有代表性的协议。 4 1 表驱动路由协议 表驱动的a dh o c 路由协议都会维护一个甚至多个表，用于保存关于其余所有 节点的最新路由信息。所以节点都会对拓扑结构的改变做出反应，并将改变告知 其他节点。另外节点之间还会定期交流表中信息，以保持数据的一致性。由于这 类协议在没路由请求的时候也会交换路由信息，所以也称为是先应式路由协议 ( p r o a c t i v e r o u t i n g p r o t o c 0 1 ) 。这类协议的好处是路由选择的速度快，但由于要经常 交流信息，所以会增加消息处理量和加重网络负担。下面简单介绍两个表驱动的 路由协议：d s d v ( d e s t i n a t i o n s e q u e n c e dd i s t a n c e - v e c t o rr o u t i n g ) 协议和 中山大学硕t 学位论文基于信任模型的a dh o c 网络路由防范策略 o l s r ( o p t i m i z e ( il i n ks t a t er o u t i n g ) 协议。 1 d s d v 协议 d s d v 协议是对b e l l m a n - f o r d 算法模型进行改进而来的，其最大的特点利用目 的节点序列号，解决了d b f 算法的路由环路和无穷计数问题。 2 o l s r 协议 o l s r 协议是基于开放最短路径优先协议( o s p f ) ，它采用一种洪泛机制，保 证每个节点在遇到一个它从未转发过的包时都会转发，这种多点续传机制能有效 减少了网络开销。 4 2 按需源路由协议 简单地说，所谓按需源路由协议就是指只有在源节点需要发送数据时才会向 外发起路由请求，以便找到一条到达目的节点的路由。相对于表驱动路由协议来 说，按需源路由协议又被称为后应式路由协议( r e a c t i v er o u t i n g p r o t o c 0 1 ) 。下面将 分别介绍几种主要的按需源路由协议。 1 a o d v 协议 a o d v 【8 1 ( 按需距离向量协议，o n - d e m a n d d i s t a n c e v e c t o r ) 协议建立在 d s d v 的基础上，是一种纯粹的需驱动路由，不需像d s d v 算法那样维护一个完 整的路由列表，节点不需要维护路由信息或参与路由表交换，只在需要时才产生 路由，减少了所需广播的数量。 a o d v 的路由发现过程与d s r 基本相同，当中间节点收到一个路由请求且自 己具有一条到达目的节点的路由时，该节点仅当自己保存的那条路由的序列号大 于路由请求信息中包含的序列号时，才会向源节点发送路由回复信息。 当一个源节点希望向某个目的节点发送消息，并且还没有到此目的端的有效 路径时，它会发起一个路由发现( r o u t ed i s c o v e r y ) 进程对此节点进行定位。首先 源节点向它的邻居广播一个路由请求( r r e q ，r o u t er e q u e s t ) 分组，这些邻居接着 再向它们的邻居转发此请求，依此类推，直到到达目的端或在某中间节点得到一 中山大学顾士学位论文基于信任模型的a dh o c 阿络路由防范策略 条足够新的可用路由。a o d v 利用目的序列号来确保所有的路由无环路并且包含 最新的路由信息。每