（信号与信息处理专业论文）无线移动ad+hoc网络（manet）安全解决方案的研究.pdf

南京邮电学院硕士研究生学位论文 摘蔓 摘要 a dh o c 网络自其诞生以来，就以其无需固定基础设施支持即可实现便捷有效通信的优异 特性迅速成为业界的一个研究热点。近年来，该网络在军事及民用方面更得到了广泛的应 用。然而，由于其本身固有的动态拓扑和介质开放特性，其安全形势也较一般网络要严峻的 多。a dh o c 的安全方案已成为保障其有效工作的不可或缺的考虑。本论文旨在针对中型或大 型的a dh 0 c 网络提出一种可行性和性价比较高的安全解决方案。 本文首先分析了a dh o c 网络的安全现状，总结出网络的主要安全问题。并提出了各种 针对性的安全策略，比较其在a d h o c 网络中的不同适用性。在借鉴各种最新的安全方案后， 提出了一套普适性的安全解决机制。整个系统包括门限型密钥共享分布式认证系统和i d s 入 侵检测系统，其中，认证系统能有效保障网络不受外部恶意攻击，而i d s 则能抵御来自网络 内部的攻击与异常，这两者的结合实现了对系统安全的全方位预防和保护。分布式认证方案 己实现了仿真模拟评估，结果表明该系统具有高度的安全性和良好的运行性能。新的i d s 系 统综合了当前主流a dh o c 网络i d s 的优势所在，理论上来看，具有很高的安全性。但由于 其内部机制的高度复杂性，目前仍停留在假想模型阶段。 本文的重点在于分布式认证。在深入分析其原理及安全性后，提出了一种全新的分布式 认证体系。该系统充分利用了门限密钥共享机制的优异特性，实现了整个认证过程的完全分 布化，并且提出了新的更新机制，不仅完全符合a dh o c 网络的结构特性，并有很强的自适 应和可扩展性，能满足较高的网络安全性能要求。方案的优异性能在仿真环境n s 一2 中得到了 有效的证明。 扶某种意义上说，本设计方案是对a dh o c 网络安全机制的一种积极探索和有效实践。 关键字：a dh o c ；安全：门限密钥共享，分布式认证；入侵检测系统i d s ： 南京邮f u 学院坝上学位论文 a b s t r a c t a b s t r a c t n o w a d a y sa dh o cn e t w o r kh a sb e e na p p l i e dw i d e l yi nm i l i t a r ya n dd o m e s t i ca r e a s h o w e v e r h i 曲l yd y n a m i ct o p o l o g ya n do p e n i n g sm a k et h en e t w o r km u c hm o r ev u l n e r a b l et h a nt h en o m a l o n e s n o ws e c u r i t yo fa dh o cn e t w o r kh a sb e c o m eab o t t l e n e c ko fi t s 印p l i c a t i o n t h et a 唱e to ft h i s t h e s i si st oi m p l e m e n taf e a s i b l es e c u r i t ys y s t e mf o rm i d d l ea dh o cn e t w o r k f i r s t l y ，t h es t a t eo ft h ea r to fs e c u r i t yi na dh o ci sa n a l y z e d ，a n ds e v e r a lm a i nt h r e a t sa r e p o i n t e do u t a n e rr e f e r r i n gt ot h e1 a t e s ta dh o cn e t w o f ks e c u r i t yi n f o r m a t i o n ，an e ws u “eo f s e c l - j t yn l e c h a n i s mj sp r o p o s e d t h ep r o p o s a lc o n s i s t sd ft w om a i np a r t s ，t h a tj s ，d i s t r j b u t e d a u t h e n t i c a t i o ns y s t e ma n di n t r u s i o nd e t e c t i o ns y s t e m t h et w om o d u l e sc o l l a b o r a t et op r o v i d e f u l l s c a l ep r o t e c t i o na n dd e f e n s ef o rt h en e t w o r k t h ef i r s tp a no fd i s t r i b u t e da u t h e n t i c a t i o nh a s b e e ni m p l e m e n to nu n i xa n dn s 一2 t h es e c o n dp a no fi d si sc o n c l u d e do u to ft h em a i ns t r e a mo f d i 虢r e n ti d sf o ra dh o cn e t w o r k ，h o w e v e r d u et oi t st h e o r e t i c a lc o m p l e x i t y i ts t i l lr e m a i n sa h y p o l h e s i sm o d e l t h ef o c u so ft h et h e s i si so nd i s t r i b u t e da u t h e n t i c a t i o n ，a f t e rat h o r o u g ha n a l y s i so fi t sr a t i o n a i a n ds e c u r i t y ，an e w d i s t r i b u t e da u t h e n t i c a t i o ns y s t e mi sc o n c l u d e d t h es y s t e mt a k e sa d v a n t a g eo f t h r e s h o l dc r y p t o g r a p h ya n dr e a l i z e dat o t a l l yd i s t “b u t e dp r o c e s s t h es y s t e mc a nm e e th i g hs e c u r i t y d e m a n d ss i n c ei t6 t si nw e l lw i t ha dh o cn e t w o r ka n da l s oh a sn e x i b l es c a l a b i l i t ya n d s e l f - a d a p t a t i o n t h en s - 2s i m u l a t i o nr e s u l t sh a v ep r o v e di t sf e a s i b i l i t ya n dg o o dp e r f o r r n a n c e i ns o m ed e g r e e ，t h et h e s i sc a nb ev i e w e da sa na c t i v ea n de m c i e n te x p l o r a t i o no fa dh o c n e t w o r ks e c ur i l ym e c h a n i s m k e ) w o r d s ：a dh o c ；s e c u “t y ；t h r e s h o l dc r y p t o g r a p h y ；d i s t “b u t e da u t h e n t i c a t i o n ；i n t r u s i o n d c i c c t i o ns y s t e n l ； j j 南京邮电学院学位论文独创性声明 y z 6 5 2 7 2 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名 王梅 日期：鲨! ! ： 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：基立墨一导师签名：呈垫日期：型! 兰! 南京邮电学院硕士研究生学位论文 第一章绪论 第章绪论 移动a dh o c 网络( m a n e t ) 是指一组带有无线收发装置的移动节点组成的个多跳 自组织系统。整个网络没有固定的基础设施，也没有固定的路由器。网内所有节点地位平 等，其用户终端既是主机又是路由器，具有动态变化的网络拓扑结构，并且可以以任何方 式动态地保持与其他节点的联系。这种无中心又不依赖固有的基础设施的结构使得它的组 网十分方便快捷。因此特别适用于某些特殊紧急场合。比如，战时出现重要线路故障需要 临时进行无线联络，灾难现场营救及医院急诊等。无线移动a dh o c 网络的典型结构如图 1 1 所示。 磅苦 a f ：、 4 z b i 昏。 i f ，队烹台 d f 奇 o 甚。 篙亭g c b ) 逻辑同瞎鲒构 图1 1 无线移动a d h o c 网络 1 1a d h o c 网络起源和发展 a dh o c 技术最初仅用于军事通信需要【2 1 ，因为在战场恶劣的环境下，通信设备不可能 依赖已经铺设的通信基础设施，一方面这些设施可能根本不存在，另一方面，这些设施会 随时遭到破坏。因此，能快速装备、自组织的移动基础设施是这种网络区别于其他商业蜂 窝系统的基本要素。2 0 世纪7 0 年代，美国国防部高级研究规划署( d a 尉) a ) 资助了一项特 别的研究分组无线网络( p a c k e tr a d i on e t 、帕r k ) ，即让报文交换技术在不受固定或有线 的基础设施限制的环境下运行。最初的动机之一就是满足战场生存的军事需求。之后， d a 褂，a 又于1 9 8 3 年和1 9 9 4 年分别资助进行了抗毁可适应性网络( s u i m n s u n ，i v a b l e a d a p t i v en e t w o f k ) 和全球移动信息系统( g 1 0 m o ：g l o b a lm o b i l eh l f o 锄a 廿o ns y s t e m s ) 两个 。多、o毒。 q6 。d 。 塑塞业i ! 堂堕堕：! ：婴塑生堂垡堡塞 塑= 芝堕堡 项目的研究，以便能够建立某些特殊环境或紧急情况下的无线通信网络。a dh o c 技术就是 吸取了p r n e t 、s u r a n 以及g i o m o 等项目的组网思想，从而产生的一种新型的网络构架 技术i jj 。 i e e e 利用“a dh o c 网络”来表征这一特殊自组织性移动无线网络，取其意为“f o rt h i s 或“f o ri h i sp u r p o s eo n l y ”，即“为某种目的设置的，特别的”意思，即a dh o c 网络是一种有 特殊用途的网络。由于该网络的动态拓扑特性网络本身可以独立工作，也可以与i n t e m e t 或蜂窝无线网络连接。目前，a dh o c 网络的自组织特性对于战场通信指挥与控制、警察与 医疗部门的抢险救灾、传感器网络、课堂教育等众多领域的应用，都具有很重要的战略意 义。凶此该网络已逐渐成为现代通信领域的一个异常活跃的研究热点。但由于其与传统 网络的本质性不同，包括迅速变化的网络拓扑和节点信息等等，使得设计者必须从全新角 度来进行网络路由和实施安全保障，因此，目前a dh o c 网络尚未完全达到实用阶段，大部 分工作仍处在仿真和实验阶段； 1 2a d h o c 网络的特点 作为一种无线移动网络，a dh o c 网络和传统的移动网络有着许多不同，其中一个主要的 区别就是a dh o c 网络中没有基站，也没有移动交换中心。如果两个移动节点位于无线沟通范 围内，那么它们就可以通过无线信道直接建立连接，否则需利用中间的相邻节点转发报文。由 此来看，a dh o c 网络与移动i p 网络也是不同的。移动i p 网络中的移动节点最终还是要依赖于 咧定网络，其中的“本地代理”和“访问代理”都是在原有的网关上加上了一些移动软件模块【4 j 。 而a dh o c 网络中的节点不依赖于任何固定的网络结构，而是依靠节点间的相互连通性来维持 整个州络的互联。a dh o c 网络中的所有节点都同时具备主机和路由器两种功能，节点通过分 层的网络协议和分布式算法相互协调，实现了网络的自动组织和运行。与有中一d 网络相比a d h o c 网络灵；一、健壮、投资少，特别适合于作战指挥、抢险救灾以及应付突发事件和执行临时 仟务的场介。 n 体来讲，a dh o c 网络特性包括以下几个方面： i 网络的自主性：a dh o c 网络的建立通过网络内部节点的分布式协作完成，他们利 用分层的网络协议和分布式算法相互协调，因此网络的组建和维护不需任何外部基 础设施的支持。 2 动态拓扑结构：在a dh o c 网络中，：竹点可以任意移动，因此网络的拓扑结构可能 随时发生变化，而且这种变化的方式和速度难以预测。 钉京| | | | j l 乜学院硕上研究生学位论文第一牵绪论 3 带宽限制和变化的链路容量：无线a dh o c 网络采用无线传输技术作为底层通信手 段，其通信信道相对于有线信道具有较低的容量：并且由于多路访问、多径衰落、 噪声和信号干扰等多种因素使得移动节点的实际带宽小于理论上的最大带宽值。 4 ，能量限制节点：a dh o c 无线网中的用户终端多是笔记本和手持终端车载计算机 等，内存普遍较小，c p u 处理能力有限，电源有限，而每个主机都兼作路由器的工 作，因此减少功耗将是影响网络协议及安全解决方案设计的一个非常重要的因素。 5 多跳通信：由于无线收发机的信号传输范围的限制，源节点到目的节点的通信可能 要经过几个中间节点转发。因此a dh o c 网络要求支持多跳通信。但这种多跳通信 也带来了隐藏终端、暴露终端和公平性等问题。 6 分布式控制：a dh o c 网络中的用户节点部兼备独立路由和主机功能网络没有严 格的控制中心。所有节点的地位平等，即是一个对等式网络。网络路由协议通常采 用分布式控制方式，因而具有很强的鲁棒性。结点可以随时加入和离开网络。任何 结点的故障不会影响整个网络的运行，具有很强的抗毁性。这也是a dh o c 网络有 别于一般传统移动通信网络的一个重要特性。 7 有限的安全性：通常，移动无线网络由于采用无线信道、有限电源、分布式控制等 原因，会比有线网络更易受到安全性的威胁。这些安全性的攻击包括窃听、欺骗和 拒绝服务等。 1 3a dh o c 网络的主要安全问题 a dh o c 网络由于其本身固有的特性 的能昂等，使其很容易遭受到各种攻击 包括以卜几方而： 如开放性介质、动态拓扑、分布式合作以及有限 网络安全性较差 5 6 ，”。网络存在的主要安全问题 1 丌f h 性：可用性就是指网络服多 划用户而言必须是可用的，也就是确保网络节点在 受剑符午| l 刚络攻击时仍然能够提供十h 应的服务。这里的网络攻击主要是指拒绝服务 攻_ 【】r 。存a dh o c 网络中拒绝服务可以发生在任何一层上：在物理层和媒体接入层， 攻击者可以通过无线干扰来扰乱物理通信信道：在网络层，攻击者可以攻击路由协 议；在高层，攻击者可以攻击各种高层服务。针对a dh o c 网络还有一种叫做“剥 夺睡眠”的特殊的攻击，这种攻击使得移动节点的电池很快耗尽，从而达到拒绝服 务的目的。 2 机密性：机密性保证相关信息不泄漏给未授权的用户或实体。由于a dh o c 网络采 mj 剐| | ：l u 学院坝研究生学位论文第一章绪论 用的是无线信道，所以更容易受到窃听攻击。所以在网络中传输的敏感信息，比如 军事敏感信息，都要保证其机密性。特别是路由信息也要在一定程度上保证其机密 性，因为在战场上路由信息的泄漏会使敌方能够判断出移动节点的标识和位置。 3 完整性：完整性保证信息在传输的过程中没有破坏或中断。这种破坏或中断包括网 络上的恶意攻击和无线信号在传播的过程中的衰弱以及人为的干扰。 4 认证：一个移动节点需要通过认证来确保和它通信的通信对端就是真正的通信对 端，也就是说要确认通信对端的身份。如果没有认证，那么网络攻击者就可以假冒 网络中的某个节点来和其它的节点进行通信，那么他就可以获得那些未被授权的资 源和敏感信息，并以此成胁整个网络的安全。 5 1 i 可否认性：不可否认性保证一个节点不能否认其发送出去的信息。这样就能保证 一个移动节点不能抵赖它以前的行为。在战场上如果被占领的节点发送了错误的信 息，那么收到该信息的移动节点就可以利用不可否认性来通知其它节点该节点已被 l i 领。 目前关于a dh o c 网络的安全问题已有很多相关阐述8 ，9 1 0 ，1 ”。就某一特定系统而言， 安伞意味着必须能识别出潜在的攻击和威胁。a dh o c 网络中的攻击主要可分为两种类型， 即被动犁攻击和主动型攻击。被动型攻击只是通过窃听路由数据而获取有用信息虽然很 难被察觉，但它不会破坏整个路由协议的运作。主动型攻击通过向数据流中插入错误的包 或改变网络中数据包的传送而非法篡改数据或者通过认证。 主动型攻击还可进一步划分为外部攻击和内部攻击。外部攻击由网络以外的节点引起； 内部攻击由网络内部的受损害或被截获的节点所引起。在内部攻击中，由于恶意节点常常 足网络内部已被授权方，其攻击后果往往比外部攻击要严重的多。因此，对付主动型内部 攻一l m ! a dh o c 网络安全问题中首当其冲。 i 前a dh o c 网络巾的主动型内部攻击可分为六大类，即黑洞问题、拒绝服务( d o s ) 、 料表溢 、伪装欺骗、能源耗竭及信息泄漏，这八类问题从不同角度对a dh o c 网络的路 j 。域j e 它棚应层阿造成安全攻击。 1 黑洞( b i a c kh o i e ) 黑洞问题在m a n e t 中极易发生，在这种攻击中，恶意节点慌称自己拥有通向某一 1 ，点的最近路由，并企图利用路由协议截获该节点的数据分组。在缺乏安全保护的情况下 数据分组会不断流向该恶意节点以致形成一个信息“黑洞”，造成大量网络数据的丢失 从而严重影响网络通信甚至使整个网络瘫痪。 2 拒绝服务( d o s ) 4 塑塞业! ! 堂! 堡塑主婴茎生兰垡堡苎 兰二兰望堡 当网络带宽被恶意节点截获时极易出现d o s 攻击【】，其表现方式很多，最常见的是在 网络内部散步集中式资源以致网络无法正常运作甚至陷于崩溃。从攻击层面来看，m a n e t 中的d o s 攻击主要分为两种，路由层d o s 及m a c 层d o s 。前者会造成选路功能的失效， 而后者则能潜在的破坏信道接入从而造成带宽和能量等资源的浪费。 3 路由表溢出( r o u t i n gt a b l eo v e r n o w ) 由于m a n e t 中各节点的任意移动性，恶意节点可能会大量生成通向不存在节点的无 效路由，在缺乏足够的安全保护时，这些无效信息越来越多的占用路由表空间，以致新的 有效路由无法生成或者选路协议无法执行”。 4 伪装欺骗( i m p e r s o n a t i o n ) 当网络中的恶意节点伪装成某合法节点发出数据包，从而非法更新路由表时，即出现 所谓的伪装欺骗型攻击【i ”。其直接后果是路由表被破坏，网络信息被错误传递或者丢失， 并且还易诱发其它路由安全问题。 5 能源耗竭( e n e r g ye x h a u s t i n g ) 在m a n e t 中，由于各移动节点只能依靠容量有限的电池作为能源供应，若恶意节点 持续向网内某节点发送路由请求和数据分组，那么很快即会耗尽该节点的能源使其无效， 影响网络正常通信，严重时甚至会使通信中断【i “。 6 信息泄漏( 1 n f o r m a t i o nd i s c l o s u r e ) 信息泄漏问题i i7 j 在无线网络中已是屡见不鲜。常见的如因特网，从其中所发送信号的 头部可获知地址信息。在m a n e t 中，由于缺乏足够的安全保护，恶意节点可以向网络中 未经授权的节点泄漏机密信窟、，如路由或者位置信息等，这使得非法节点得以获知目标路 由上的1 ，点情况，从而容易发起各类恶意攻击。 1 4a dh o c 网络的主要安全策略 山j ：所述可见，在没有健全的安全保障前提下，a dh o c 网络自身的安全形势十分严峻， 因此，婴保证网络稳定可靠的运行，必须采取切实有效的安全策略。 目前，针对网络通信提出的安全策略主要包括以下不同类型： l 基于口令的认证协议 当网络通信范围较小时，通常采用基于口令的认证方式保障安全通信。例如，人们要 在一个房间( 或者在较小的区域) 内召开a dh o c 网络会议，他们之间很熟悉和相互信任。另 外，他们没有用作彼此身份认证的公共密钥，他们仅仅共享了一个弱密钥。为了保护在无 ! ! 皇坐皇兰堕塑主竺茎竺耋垡丝苎 苎二! 塑堕 线信道上传输的所有数据，这时的安全策略是使所有与会者通过一种安全的途径来协商密 钥，从而产生一个强的会话密钥。为了实现这种安全策略，现在普遍采用的是种基于口 令认证的密钥交换方案1 1 8 】，该方案基于d i 陌e h e l l m a n 密钥交换及其扩展，使所有与会者共 同参与会话密钥的产生。在这种认证方式下，最终的会话密钥的产生是由所有与会者的共 同参与下产生的，而不是由少数与会者产生。方案的安全性源于在有限域上计算离散对数 比计算指数的困难性。 2 基于信任分散的安全策略 当网络环境迸步扩大，就需要建立一种可信任第三方的认证机制。在这种机制下， 所有的节点都拥有个公开秘密密钥对，他们彼此用公开密钥来鉴别对方，为了保证公开 密钥的真实性，需要有一个可信任的实体来管理所有的公开密钥，这个可信任实体叫做证 书授权机构( c a ) 1 9 1 。这个可信的c a 给每个节点分配一个唯一的标识并签发一个包含标识 和节点公开密钥的证书。c a 本身有一个公开秘密密钥对，并且所有的节点都知道c a 的公 开密钥，所有的节点都利用c a 进行认证。 然而在a dh o c 网络中所有的节点都容易受到攻击，也容易被俘获。如果在a dh o c 网 络中采用个c a 来管理整个网络节点的公开密钥的话，那么这个c a 节点要是被俘获了， 整个网络也就崩溃了。所以这时的安全策略就是：将这种对一个c a 的信任分散到对若干 个节点的共同信任，即信任分散。 门限密码方案通过密钥共享解决了信任分散问题。密钥共享就是将系统的密钥s 分 解为n 个部分密钥s l ，s 2 ，s n 。这n 个部分密钥分别由系统的n 个成员拥有，使得任 意的不少于t ( t n ) 个的成员可以从他们掌握的部分密钥中共同恢复出系统密钥s ，而任意少 于1 个的成员则无法恢复出系统密钥s ，这就是( t ，n ) 门限密码方案。门限密码方案是目前 各种先进的安全策略酱遍使用的密钥分配机制。 3 “复活鸭子” 浚安全策略主要用于传感器网络控制传感器与控制者的不安全问题【2 “。一个节点可 以“死l ”和“复活”。当个1 ，点“复活”时就将第一个给它发送密钥的节点作为它的拥 有者，必要时该拥有者可以令该常点“死亡”，等下一个拥有者出现时，该节点又“复活”。 4 异步的分布式密钥管理 它提出密钥管理服务是由多个节点( 一个集合) 来管理，而不是单个节点来管理【23 1 。由上 述集中式a c 在a dh o c 网络中的不适用性决定了这种管理的必然性但具体联合管理方 式仍有待进一步探讨。 sl p s e c 协议 6 南京邮电学院硕士研究生学位论文 第一章绪论 为了加强互联网的安全性，从1 9 9 5 年开始，i e t f 着手研究制定了一套用于保护i p 通 信的安全( i ps e c u r i t y ，i p s e c ) 协议【2 4 】。i p s e c 提供如下安全性服务： 访问控制：如果没有正确的密码就不能访问一个服务或系统。可以调用安全性协议 来控制密钥的安全交换，用户身份认证可以用于访问控制。 无连接的完整性：使用t p s e c ，有可能在不参照其他数据包的情况下，对任一单独 的i p 包进行完整性校验。此时每个数据包都是独立的，可以通过自身来确认。此 功能可以通过使用安全散列技术来完成，它与使用检查数字类似，但可靠性更高， 并且更不容易被未授权实体所篡改。 数据源身份认证：通过数字签名的方法对i p 包内的数据来源进行标识。 防御包重发攻击：作为无连接协议，i p 很容易受到重发攻击的威胁。重发攻击是 指攻击者发送个目的主机已接收过的包，通过占用接收系统的资源，使系统的可 用性受到损害。为此，i p s e c 提供了包计数器机制。 保密：保密机制是通过使用加密算法来提供的。 有限的业务流保密性：有时候只使用加密数据不足以保护系统，通过使用i p 隧道 方法，尤其是与安全性网关共同使用，i p s e c 提供了有限的业务流保密性。 尽管如此，i p s e c 却并不适用于无线移动a dh o c 网络。究其原因如下【2 5 】： 1 i p s e c 对所有的i p 数据包都进行了多重封装，大大增加了数据传输的开销。a d h o c 网络无线带宽又常常十分有限，所以对a dh o c 网络而言，i p s e c 显得较为庞大， 2 i p s e c 需要已知范围的i p 地址或固定范围的i p 地址，因此在动态分配i p 地址时不 太适合于i p s e c 。因此更不适用于拓扑高度动态变化的a dh o c 网络。 3 i p s e c 在客户机服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。 并且，除了t c p i p 协议外，i p s e c 不支持其他协议。 4 除了包过滤之外，它没有指定其他访问控制方法。这也在很大程度上限制了其在a d h o c 网络中的实际应用。 另外由于微软公司对i p s e c 的支持不够，目前，i p s e c 的版本也很难统一，又在实际 应j f j 中带来了兼容性问题。 以上这些策略各有所重，但不一定完全适用于m a n e t ，具体我们将在后续章节详细 探讨。 南束邮电学院坝士研究生学位论文篱一章绪沦 1 5 本文所做的主要工作 本文深入介绍了a dh o c 网络的概念及特性，分析了网络的安全现状，同时列举了现 有的各种安全策略。针对分级式a dh o c 网络这一应用对象，我们在分析其本身结构特性及 其对安全的特殊需求后，借鉴了目前已有的优秀安全方案的与部分机制，并在其基础上提 出了自己的改进，形成一种包括分布式接入认证和入侵检测i d s 两大模块的新型a dh o c 安全管理体系。其中，分布式认证体系已经在u n i x 下实现，并在n s 2 进行了仿真，结果 表明，该方案具有较高的安全级别和良好的运行性能。实用起见，我们还将这体系实现 为v c 下的简洁易懂的图形操作界面形式，在小型模拟网络中进行了成功的试验。另方 面，由于其理论复杂性，i d s 系统暂时未能得出具体仿真数据，但由于借鉴和综合了当前主 流i d s 的各种优势，并针对a dh o c 网络结构进行了适应性的分布式构架，在理论上已具有 相当的安全防护级别。这两部分内外结合，互通有无，能为中型或大型无线a dh o c 网络提 供较高的安全级别。 8 向京邮i 乜学院硕士研究生学位论文第二章a dh o c 网络的安全策略 第二章a dh o c 网络的安全策略 2 1a dh o c 网络应用安全策略的特殊性 由于a dh o c 网络是一种分布式无线移动网络，网络本身介质开放，且节点保持高度 动态，缺乏一般移动网络及固定网络中的功能强大的服务器或中心主机支持，因此网络相 对十分脆弱。而应用于a dh o c 网络的所有路由协议，包括d s dv a o dv d s r ，t o r a 等， 在其设计之初均未将安全考虑在内 2 6 】。这就更进步加剧了a dh o c 网络的不安全性。这些 特性决定了，一般应用于集中式管理或固定网络的安全策略很难适用于a d h o c 网络的安全 需求。显然，在a d h o c 网络中应用安全策略有其特殊性。 安全问题即意味着网络受到了攻击，而对于a dh o c 网络的袭击的发起者主要存在于 两处，即网络外部及网络内部。 网络外部发起的攻击绝大部分发生在网络节点接入网络时。节点接入时的攻击是a d h o c 网络与一般网络的显著区别所在，一般网络由于其内部节点固定不变，因此建网 时能确定网内节点情况，一般是十分安全的。但a dh o c 网络的临时自组织性却无法 保障其组网的安全性，在没有特定限制的情况下，任何节点任何时刻都可以随意接入 该网络，与网络其他节点交换信息。这就使得恶意进攻节点有了可趁之机。要对接入 进行确认，就必须引入a dh o c 认证。 网络内部引起的攻击很大程度上也源于a dh o c 网络不同于一般网络的独特特性。由 于a dh o c 网络的拓扑结构高度动态，且其传播介质完全对外开放，因此，其内部合 泣竹点极易被俘获或控制，变成攻击者安插在网络内部的“通信员”。目前，虽然一些 传统的网络数据技术如数据加密和v p n 技术等【2 7 】也能应对这种攻击，但仍不能很好的 适用于无线a dh o c 网络的特殊结构特性。相比之下，入侵检测系统( i d s ) 专门针对 系统1 y 点被俘情况进行预备防御及安全控制，因此具有不可比拟的优势。 综合上述，完拯的a dh o c 网络安全保障体系应包含接入认证和入侵检测两大模块。 2 2 认证一网络接入安全 认证是在网络建立时或有新节点进入时所进行的一系列身份识别确认过程。由于a d h o c 网络的高度开放及移动特性，在没有任何网络接入控制或接入控制不力的情况下，恶 意节点都能轻易进入网络实施各种破坏性攻击，这样的网络的安全状况堪忧。只有对进入 9 南京邮电学院硕士研究生学位论文 第二章 dh o c 网络的安全策略 网络的陌生节点实行严格规范的身份鉴定，才能为网络中的所有通信活动提供个可信稳 定的基础，网络通信才有其实际意义。 2 2 1 认证的必要性 由于认证把握住了节点进入网络这一要塞，可靠的认证机制可以在恶意节点发起任何 攻击前将其直接拒之门外，使网络所受攻击最少，因此在安全方案的应用中具有头等重要 的意义。从某种意义上可以说，有了强大可靠的认证管理系统，a dh o c 的传输管理也可 以相对宽松，这也是提高网络的运行效率的一条有效途经。 2 2 2 现有的认证方式 目前流行的网络认证结构有k e r b e m s 和x 5 0 9 标准。 k e r b e r o s 是一个网路附加系统协定，可以允许用户通过一个安全伺服器的服务来验 证自己。像远端登陆，远端拷贝，系统间的相互拷贝和另外高风险任务的服务将被变得相 当安全和可控制。 x5 0 9 【”1 方案是国际标准化组织c c i t t ( 即国际电话委员会) 建议作为x 5 0 0 目录检索 的一部分，提供安全目录检索服务，是一种行业标准或者行业解决方案。在x 5 0 9 方案中， 默认的加密体制是公钥密码体制。为了进行身份认证，x ，5 0 9 标准及公共密钥加密系统提供 了数字签名的方案。用户可生成一段信息及其摘要( 亦称作信息指纹) 。用户用专用密钥对 摘要加密以形成签名，接收者用发送者的公共密钥对签名解密，并将之与收到的信息”指纹 ”进 j ：比较，以确定其真实性。x 5 0 9 标准采用公共密钥证书，证书由公共密钥加密钥拥有 者的用户标识组成，整个字块有可信赖的第三方签名。典型的第三方即用户所信赖的证书 授权机构c a 。 上述提到的结构中两个实体通过一全局的证书授权机构( c a ) 进行相互认证。虽然这 种模，魁位有线网络中很受欢迎，但是它在无线的a dh o c 网络环境中却不能较好工作。究其 原凶如下： 1 a dh o c 网络无基础设施支持。用于维持这样一个集中式的服务器的代价将十分高 昂。 2 每个c a 服务器将面临单个点的破坏与失败。 3 在易出错的无线信道上多跳通信将导致数据传输面临高丢失率与长潜伏时间。 4 由移动造成的频繁的路由变换使得及时的定位与联系c a 服务器变得复杂。 l o m 京删；电学院硕士研究生学位论文第二章a dh o c 网络的安全策略 2 2 3a dh o c 网络认证的特点与要求 由上述知，在移动a dh o c 网络采用集中式认证系统并不合适，真正有效的认证应该适 应网络分布式的本质特性，是一个分布式的过程。 所谓分布式认证，是指两个节点通过由虚拟可信任认证权威提供的、已签署的、不可伪 造的证明来进行相互认证。与通常依赖于物理存在的、可信任的第三方服务器的网络认证 方法相比，a dh o c 认证宜采用自适应安全的方法，由多个节点相互协同作为一个认证权威 服务器。这样，授权及认证服务器的功能被分配到了每个节点。 以上的分布式认证思想能完全适应a dh o c 网络结构。首先，系统将不会存在单个节点 的破坏，单个节点拒绝服务，或单个节点失效的情况下，整个认证系统失效。并且，认证 可以在每个网络邻区进行，这个特征对于移动的a d h o c 网络中漫游用户的认证十分重要。 显然，这种设计针对于大型网络，其强健性足以抵制无线网络的信道错误。 2 3i d s 一网络运行保障 即使认证和加密足够健壮，还是难免出现节点被俘的情况。而认证和加密都无法对被 俘节点产生限制。因此，有必要引入入侵检测系统，专门针对系统节点被俘情况进行预备 防御及安全控制。 2 3 1入侵检测系统( i d s ) 入侵检测系统( i d s ) 口2 】是一种网络安全工具，它动态的监控某个网络环境中发生的事件 并决定这些事件是表征一个袭击还是表征这个网络的正常工作，其判定依据即是该系统所 采用的检测技术和方法。 j d s 最初是设计用来保护有线网络安全的，目前已发展了近二十年。其最大优势在于， 它能在袭击的早期阶段收集足够的袭击“e 据，并采取相应的抵抗措施，以使网络所受的损 火人火降低。因此，i d s 常被形象的称为网络安全的第一道防线。对于安全性较差的a dh o c 网络，有效的i d s 将能为网络安全方案的实施创造一个稳定的前提。 2 3 2a dh o c 网络中应用i d s 的特点与要求 需要注意的是，移动a dh o c 网络与有线网络存在很大区别。因此针对有线网络开发 的i d s 很难直接适用于a dh o c 网络。i d s 在a dh o c 网络中应用所面临的挑战包括以下几 南京邮电学院硕士研究生学位论文 第二章a dh o c 网络的安全策略 点： 传统的l d s 大都依赖于对整个网络实时业务的监控和分析；而移动a dh o c 网络环 境能为入侵检测提供的数据只限于与无线通信范围内的直接通信活动有关的局部 数据信息，i d s 必须利用这些不完整的信息来完成入侵检测。 移动a dh o c 网络链路速度较慢、带宽有限、且节点依靠电池供应能量，这些特性 使得它对通信的要求非常严格，无法采用那些为有线i d s 定义的通信协议。 移动a dh o c 网络中高速变化的拓扑使得其正常与异常操作间没有明确的界限。发 出错误信息的节点，可能是被俘节点，也可能是由于正在快速移动而暂时失去同步 的节点，一般i d s 很难识别出真正的入侵和系统的暂时性故障。 可见，i d s 应用于a dh o c 网络不是个一蹴而就的过程，而必须根据网络结构特性及安 全需求，有针对性的进行。 2 4a dh o c 网络安全方案整体模型 综合上述，对于a dh o c 网络而言，一个完整的安全方案应包括接入认证及i d s 保障 系统两大模块，前者可以保证网络在一般情况下的安全运行，而i d s 则能在系统被俘节点 发起攻击时进行跟踪追击及相应补救措施。其完整安全框架如下图2 1 所示： 分帮，接入汲迸 ( d i s t r i b u t 黔da c e e 砖s a u t h e n tl e a t i o 稿 入俊梭浏系统 ( i n t r u s i 1 ) e t e e ti ( ，ns y s t e 耱) 2 5 本章小结 图2 1a dh o c 安全解决方案框架图 本章分析了应用于a dh o c 网络的安全策略的特点及其现状，之后分别阐述了a dh o c 安全方案的各个模块，并根据a dh o c 网络结构特性，提出了各种针对性的解决方案。最终 1 2 堕堡! ! ! ! ! ! ! 堂l 墨塑主竺塞兰堂丝丝苎 苎三兰垒! 里! ! 旦垡塑窒全篁堕 我们确定出系统安全方案的框架，包括分布式认证及i d s 系统保障。分布式认证负责网络 的接入控制，i d s 则负责入侵检测控制。本章我们只从概念上分析得出各个模块的框架或基 础，其具体实现过程及相应问题将在后续章节中逐一详细探讨。 m 京邮i b 学院硕士研究生学位论文 第三章a dh o c 网络的分布式认证 第三章a dh o c 网络的分布式认证 3 1 分布式认证技术 现有的大多数认证体系如k e r b e r o s 及x 5 0 9 等普遍是针对一般的集中式网络环境提出 的，因其要求有集中式认证机构如证书发放中心或鉴权中心( a c ) 。这种特定的要求在无 固定基础设施支持的分布式移动a dh o c 网络环境中很难满足。要解决分布式网络环境的认 i 止问题，必须采用分布式认证“。 分布式认证的第一步也是其最重要的工作，即是鉴别或验证一个用户的身份。这时有 几利，方法可选。第一种方法，可以通过一个用户所知道的某些信息对其进行验证，例如口 令，这是最常用的方法，但却不一定是最安全的方法。第二种方法，通过用户所拥有的某 些东西对其进行验证，例如密钥。第三种方法，通过用户本身所具备的某些特性对其进行 验证，如用户的指纹或者视网膜，这是最安全也是最昂贵的方式。虽然这些方法也可以用 在集中式系统中，但一个分布式操作系统中还必须特别考虑以下几点。 1 偷听：我们如何阻止别人在通信线路上进行偷听? 2 多口令管理：如果我们正在访问多个系统，每个系统是否都保留了用户i d 和口令 的副本呢? 每个存储认证信息的数据库都是系统安全漏洞的目标。而且，在每次我 们需要作些什么的时候，是否都需要提供口令昵? 3 重放：有人可以在认证信息在网络中传输的时候对它进行复制，即使这些信息经过 了加密，然后在以后进行重放，从而获得不正当的访问。 4 信任：认证是否应该是单方面的昵? 或者用户是否也应该检验和相信使用的服务是 合法的? 集中系统信任它自己：分布式系统必须寻找一个方法来信任其他系统。 0 ：此设计方案的应用对象是分级式巾大型a dh o c 网络，因此第二种认证方法，即 使用密钥证书，是可行性最高的。目前这方面的一个热点方案是使用证书管理系统翌l 。证 书是一种由计算机生成并在一段时间内有效的经认证的信息包，可以用它在分布式系统中 方便的访问各种资源。时问有效特性有助于避免以后的重放攻击。该特性通过时间戳或现 时来实现。现时是一个随机值，对于每个会话来说都是唯一的。因此，没有两个会话会共 享同一个现时，从而能够更加容易的监测到重放。有两种基本方法来进行证书管理。第一 种方法包括集中的证书分发中心，在那里客户端将获得适合每个想要使用的服务的证书 1 4 i 翱京邮电学院硕上琦 究生学位论文第三章a dh o c 嗣络白勺分布式认证 然后，当客户端使用服务时就提供相应的服务证书。显然，此法只适用于集中式管理系统， 而不适用于分布式的a dh o c 网络体系：第二种方法包括使用证书列表在这些列表中包含 了一系列来自可靠证书颁发机构发布的证书，x 5 0 9 就采用了这种方法口。所有希望检验身 份的服务都必须检查这个列表，检验客户端的真实性。这种方式在集中式网络中更简便易 行，但其原理值得借鉴，经过针对性的修改，也适用于分布式网络。证书管理机制结合第 二章所述的门限密钥共享机制，就可以得出一种高度分布式的认证方案。 下面我们将考察目前已有的类似原理的认证方案，并通过分析比较其各自特性，得出 相对更高效的认证方案。 3 2 现有各种分布式认证方案的分析与比较 目前，针对a dh o c 网络提出的分布式认证方案已有不少，但其大多数仍停留于理论 设计阶段。而没有具体实现。其中，文献【3 3 ，3 4 ，3 5 ，3 6 】提出的均为基于上述证书机制的 门限密钥共享的a dh o c 网络安全解决方案，这种机制能有效适应a dh o c 网络的结构特性， 这体现在两个方面。首先，门限密钥麸享将控制分布到网络内所有节点共事，与网络分布 式的本质是一致的。因为a dh o c 网络不同于一般网络的一个根本之处即是网络缺乏集中式 的管理控制；其次，只有将密钥控制分布到各个节点，才能真正实现网络服务的普遍可用 性，而这一特性在