（计算机应用技术专业论文）移动自组网中基于推荐信任机制的可信路由协议.pdf

摘要 作为对基于密码体系的安全手段的重要补充，信任机制对移动自组 网的可靠运行和安全保障具有重要意义。但由于信任关系的建立有赖于 第三方节点的推荐，虚假推荐和不推荐行为是信任机制本身必须解决的 问题。本文主要研究基于信任机制的移动自组网中激励节点诚实推荐的 问题，并在此基础上实现可信路由协议。 本文首先以移动自组网中典型的按需路由协议为基础对节点的路由 协作行为进行分析，接着从主动攻击和被动攻击两个方面介绍移动自组 网路由面临的安全问题，然后总结了现有的典型的安全路由协议和信任 管理系统。针对不良节点策略性的虚假推荐和不推荐行为，本文提出一 种基于推荐的信任模型，用推荐信任值和容忍度来评价节点的推荐行为； 引入时间帧和滑动窗口进行信任值合成计算，使用两个时间因子以保证 信任值的时效性和可用性；提出一个低开销的信息共享机制用于节点间 交换经验信息。最后以基于推荐的信任模型为基础，在d s r 协议上实现 一种移动自组网中基于推荐信任的可信路由协议：源节点需要对路由中 所有节点可信；中间节点需要对其上一跳节点、下一跳节点、源节点以 及目的节点可信；目的节点需要对其上一跳节点以及源节点可信。可信 路由协议的实现有效结合了d s r 协议按需操作的特性。仿真结果表明本 文提出的模型能够有效解决不良节点的虚假推荐和不推荐问题，具有较 好的动态适应能力。 关键字移动自组网，网络安全，可信路由协议，推荐，信任管理 a bs t r a c t a sa l li m p o r t a n ts u p p l e m e n tt oc r y p t o g r a p h yb a s e ds e c u r i t ys o l u t i o n s ， t r u s tm a n a g e m e n tp l a y sa ni m p o r t a n tr o l ei ns e c u r i t ya n d r e l i a b i l i t yo fm o b i l e a dh o cn e t w o r k s h o w e v e ri tc a nb ec h e a t e db yt h ep r o p a g a t i o no fr u m o r p r o d u c e db ym a l i c i o u so rs e l f i s hn o d ef o ru s i n gs e c o n d h a n do b s e r v a t i o n t h i s p a p e rm a i n l yd i s c u s s e sh o wt oi n s p i r i tn o d e st op r o v i d eh o n e s t r e c o m m e n d a t i o n ，a n dt h e np r o p o s e at r u s t r o u t i n g p r o t o c o lb a s e do n r e c o m m e n d a t i o na n dt r u s tf o r 队n e t b a s e do nt h ea n a l y s i so ft h ema n e to n d e m a n dr o u t i n gd i s c o v e r y m e c h a n i s m ，t h i sp a p e rs u r v e y st h ec o o p e r a t i o nb e h a v i o rb e t w e e nt h er e l a t i v e i n d e p e n d e n c ee n t i t i e s ，a n da n a l y s i st h es e c u r i t yi s s u e so fm 匕e tf r o m p a s s i v ea r a c k sa n da c t i v ea t t a c k s ，t h e na d d r e s s e st h e e x i s t i n gt y p i c a l r e s e a r c ho nt h es e c u r i t y s c h e m e s ，s e c u r i t yr o u t i n gp r o t o c o l sa n dt r u s t m a n a g e m e n tm e c h a n i s m sa r ei n c l u d e d ，a n dm a k e sac o m p a r i s o na n d d i s c u s s i o no ft h e i rr e s p e c t i v em e r i t sa n df a u l t s t od e t e c td y n a m i cf a l s e r e c o m m e n d a t i o na n dn o n - r e c o m m e n d a t i o nb e h a v i o ro fh a r m f u ln o d e si n m a n e t ，t h i sp a p e rp r e s e n t sat r u s tm o d e lb a s e do nr e c o m m e n d a t i o n m e c h a n i s m s ，e v a l u a t e st h er e c o m m e n d e r sf e e d b a c kb yt h er e c o m m e n d a t i o n t r u s tv a l u ea n d t o l e r a t i o n ，p r o v i d e sac o n c r e t ea n dr e a s o n a b l ef o r m u l ao ft r u s t v a l u eb yt h eu s eo ft i m e - f r a m ea n d s l i d i n gw i n d o w s ，g u a r a n t e e st h e t i m e l i n e s sa n da v a i l a b i l i t yo ft r u s tv a l u eb yt h eu s eo ft w of a d i n gf a c t o r s ，a n d al o w - c o s tr e c o m m e n d a t i o n t e c h n i q u ei sp r o v i d e df o rn o d e st o s h a r e e x p e d e n c ei n f o r m a t i o n f i n a l l y , w ep r o p o s eat r u s tr o u t i n gp r o t o c o lb a s e do n r e c o m m e n d a t i o na n dt r u s tf o rm a n e tw i t ha p p r o p r i a t em o d i f i c a t i o n st o d s r t h r o u g ht h et h e o r e t i c a l a n a l y s i s a n ds i m u l a t e de x p e r i m e n t s ，t h e r a t i o n a l i t ya n dt h ef e a s i b i l i t yo ft h i st r u s tm o d e li sf u r t h e rc o n f i r m e d k e yw o r d sm o b i l ea dh o cn e t w o r k s n e t w o r ks e c u r i t y , t r u s t r o u t i n g p r o t o c o l ，r e c o m m e n d a t i o n ，t r u s tm a n a g e m e n tm e c h a n i s m s n 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获 得中南大学或其他单位的学位或证书而使用过的材料。与我共同工作的 同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：生 学位论文版权使用授权书 本人了解中南大学有关保留、使用学位论文的规定，即：学校有权 保留学位论文并根据国家或湖南省有关部门规定送交学位论文，允许学 位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以 采用复印、缩印或其它手段保存学位论文。同时授权中国科学技术信息 研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向 社会公众提供信息服务。 作者签名：冬至兰，导师签名i 丝2 生日期：斗年月兰日 硕士学位论文 第一章绪论 第一章绪论 1 1 移动自组网概述 1 1 1 移动自组网的概念和特点 移动自组网络是由一组带有无线收发装置的移动节点组成的一个无线移动通信 网络，它不依赖于预设的基础设施而临时组建，网络中的移动节点利用自身的无线 收发设备交换信息，当相互之间不在通信范围内时，可以借助其他中间节点中继来 实现多跳通信。中问节点帮助其他节点中继时，先接收前一个节点发送的分组，然 后再向下一个节点转发以实现中继，所以也称为分组无线网或多跳网。与传统的无 线移动网络不同，移动自组网中的所有节点都具有同等的地位，没有集中控制和管 理的机制。同时，每个节点也具有同等的功能，既充当主机又充当路由器，不需要 固定基站与基干网的支持。 根据节点是否移动，可以将移动自组网分为传感器网络和移动a dh o c 网络。 在传感器网络中，传感器节点计算、存储能力非常有限，各节点静态的随机分布在 某一区域。传感器负责收集区域内的声音、温度，电磁或地震信号等多种信息，通 过其它节点的转发传送到采集点，采集点具有较强的处理能力能够进一步处理信息， 或有更大的发送范围，可以将信息发送给某个大型网络供远程用户检索。移动a dh o e 网络是移动通信和计算机网络的结合，网络的信息交换采用了计算机网络的分组交 换机制，而不是电话交换网的电路交换机制；用户终端是可以移动的便携式设备， 如笔记本计算机、p d a 、手机等，并且用户可以随意移动或处于静止状态。事实上， 很多文献常常把移动自组网等同于移动a dh o e 网络，一般说移动自组网都是指移 动a dh o e 网络f 1 捌。 移动自组网是一种特殊的无线移动网络，与普通的移动网络和固定网络相比移 动自组网具有以下特点： 1 ) 网络自组性 移动自组网相对于常规通信网络而言，最大的区别就是网络的布设和展开无需 依赖于任何预设的基础设施，可以在任何时候、任何地点不需要现有网络基础设施 的支持快速构建起一个移动通信网络。节点通过分层协议和分布式算法协调各自的 行为，开机后就可以快速、自动地实现网络的自主构建、自主组织和自主管理。这 是个人通信的一种体现形式，它可以满足随时随地信息交互的需求，从而真正实现 人类在任何时间、在任何地点与任何人进行通信的梦想。 2 ) 分布式控制 移动自组网中的节点都兼备主机和路由功能，不存在网络中心控制节点，节点 硕士学位论文 第一章绪论 之间的地位是平等的，组成一个对等式网络。网络路由协议通常采用分布式控制方 式，因而具有很强的健壮性和抗毁性。在常规通信网络中，存在基站、控制中心或 路由器这样的集中控制设备，用户终端与它们所处的地位不是对等的。而在移动自 组网中，任何节点的故障不会影响整个网络的运行。 3 ) 动态的网络拓扑 移动自组网是一个动态变化的网络。受用户终端可以任意移动、节点的随时开 机和关机、无线收发装置发送功率的变化以及无线信道间的互相干扰等因素的影响， 移动终端间通过无线信道形成的网络拓扑结构随时可能发生变化，而变化的方式和 速度是不可预测的。具体体现就是拓扑结构中代表移动终端的顶点的增加或消失、 代表无线信道的边的增加和消失以及网络拓扑结构的分割与合并等。 4 ) 有限的无线传输带宽 移动自组网采用无线传输技术作为底层通信手段。由于本身的物理特性，无线 信道相对于有线信道具有较低的容量；并且由于共享信道、信号衰减、噪声和信号 干扰等多种因素的影响，无线链路的容量将更加有限，这使得移动节点可得到的实 际带宽远小于理论上的最大带宽值。 5 ) 移动节点的局限性 移动节点具有方便、轻巧等优点，但也存在固有的缺点，如电源受限、内存较 小和c p u 处理能力较低等。移动自组网由移动节点构成，这些节点依靠电池工作， 所需能量会由于电池耗尽而“消失 ，这将对整个网络的性能有很大的影响。移动节 点的局限性为移动自组网环境下网络协议的设计开发带来很大的困难，尤其是功耗 问题，它是网络协议设计中要考虑的一个非常重要的因素。 6 ) 多跳路由 由于无线节点的信号传播范围有限，移动自组网要求支持多跳通信，当节点要 与其覆盖范围之外的节点进行通信时，需要借助中间节点对其发送的分组进行转发。 与固定网络的多跳不同，移动自组网中的多跳路由是由普通的网络节点完成的，而 不是由专用的路由设备( 如路由器) 完成的。和同等网络规模的单跳网络相比，多跳 的构网方式将大大降低网络节点的发射功率，不仅可以减小功耗、电磁干扰以及成 本，而且可以提高移动终端的灵活性和便携性。 7 ) 有限的安全性 由于无线信道、有限电源、分布式控制等原因，移动自组网比有线网络更易受 到被动窃听、主动篡改、资源消耗等网络攻击。另外，由于移动自组网是一种自组 织、无中心的网络，这就使移动自组网的安全问题更加复杂，许多传统的安全机制 和安全策略将不再适用。因此，数据加密、用户认证、密钥管理、访问控制和其它 安全措施都需要特别考虑。 2 硕士学位论文第一章绪论 1 1 2 移动自组网的应用 通信技术的最大动力来自应用的驱动。移动自组网的出现，最早来源于军事上 的需求。而移动自组网的鲁棒性和抗毁性也满足了某些特定应用要求，它的应用场 合可以归纳为以下几类： 1 ) 军事应用。军事应用是移动自组网技术的主要应用领域。在现代化战场上， 各种军事车辆之间、士兵之间、士兵和军事车辆之间都需要保持密切的联系，以完 成集中统一指挥，协调作战。移动自组网络因其特有的无需架设网络设施、可快速 展开、抗毁性强等特点而成为数字化战场通信的首选技术。 2 ) 紧急和突发场合。一旦发生停电、地震、水灾、火灾或是其他灾难，固定的 基础设施将遭到破坏，组建一个临时的移动自组网可以帮助紧急救援人员完成必要 的通信工作。 3 ) 传感器网络。传感器网络是a dh o e 网络技术应用的另一大领域。传感器可 以工作在危险的环境中，通过在传感器上装备位置指示器、a dh o e 收发器等，可以 将传感器所在现场的信息传送到危险现场以外，这样可以避免让救援人员进入现场 收集和辨别事故信息。分散的传感器通过a dh o e 网络技术组成一个网络，可以实现 传感器之间以及传感器与控制中心之间的通信。 4 ) 移动会议。在室外临时环境中，工作团队的所有成员可以通过a dh o e 方式 组成一个临时网络来协同完成一项大的任务。 5 ) 个人通信。可以通过移动自组网把个人通信、娱乐、办公等设备联网，这些 设备可以或不需要与因特网相连，但它们在执行用户的某项活动时肯定需要彼此通 信，在这种情况下，移动性不是主要问题。 6 ) 商业应用。组建家庭无线网络、无线数据网络、移动医疗监护系统和无线设 备网络，开展移动和可携带计算以及无所不在的通信业务等。 1 1 3 移动自组网的主要研究领域 由于移动自组网的特殊性，传统固定网络和蜂窝移动通信网中使用的各种协议 和技术无法直接使用，需要为移动自组网设计专门的协议和技术。随时变化的网络 拓扑、受限的链路带宽、有限的节点能量以及恶劣的无线环境等都是相关研究必须 面对的问题。 1 ) m a c 层协议 在a dh o c 网络中，由于节点有限的通信范围和随机移动的特性，将产生隐藏终 端和暴露终端问题。由于现有的c s m a 协议不能直按应用于a dh o e 网络，因此必 须采用新型的m a c 层协议，以便获得较高的信道利用率和较低时延的公平接入。对 于隐藏终端问题，可以采用控制报文握手协议来解决，但是在单信道条件下无法彻 底解决，为此必须采用双信道方式：收发数据的数据信道和收发控制信号的控制信 3 硕士学位论文第一章绪论 道。目前己经提出了一些可以应用于a d h o c 网络的m a c 层协议，如m a c a 4 1 以及 d b t w a 7 】等。上述信道接入协议在一定程度上解决了a dh o c 网络中的信道接入问 题，但也存在一定的局限性，一般都要求较小的网络规模和较低的移动性。 2 ) 路由协议 a dh o c 网络路由协议是a dh o c 网络最重要的研究方向之一。由于节点随时移 动、网络拓扑动态变化，使得传统的距离矢量和链路状态路由协议不再适用于a dh o c 网络，必须根据a dh o c 网络的特点进行修改，或者提出一些新的路由协议。设计良 好的路由协议是建立a dh o c 网络的首要问题，也是主要的研究热点和难点。有关 a dh o c 网络路由协议的研究进展将在第二章详细讲述。 3 ) 服务质量( q o s ) 保证 q o s 5 】是指当源节点向目的节点发送分组流时，网络向用户保证提供一组满足预 先定义的服务性能约束，如端到端的延迟、宽带和分组丢失率等。显然，为了提供 q o s 保证，首要的任务就是在源和目的之间寻找具有必要资源来满足q o s 的路由， 其次，对于特定的流，一旦路由被选择后，必须为该流预留必要的资源。提供q o s 路由可以将这些任务结合在一起，这样q o s 保证转换为q o s 路由问题。 保障网络q o s 一般采用两种策略：一是通过提供足够的网络资源来避免竞争， 二是采用对特定分组进行标记，并提供不同优先级的方法来确保某些特定业务的 q o s ，如i e t f 的综合服务模型( l n t e r s e r v ) 和区分服务模型( d i f f s e r v ) 【l l 。但这些 模型没有考虑无线移动的网络环境，而且现有的大部分无线网络中提供的q o s 保障 的机制都基于有基础设施支持的单跳蜂窝模型，无法直接应用于多跳、拓扑变化的 a dh o c 网络中。a dh o c 网络使用无线信道，存在大量背景噪声和冲击噪声，所能提 供的网络带宽比有线信道窄，并且网络容易遭受恶意破坏和干扰，这就要求为a dh o c 网络设计新的q o s 保障机制。 4 ) 功率与能耗控制 无线系统是干扰受限的系统，无论在传统蜂窝还是a dh o c 网络中，一般都需要 控制功率。a dh o c 网络的特点是每个节点的信号覆盖范围十分有限，因而其干扰区 域也很小。功率控制问题涉及无线网络的所有协议层。在多跳、承载数据业务的网 络中，其功率控制要比传统闭环功率控制可能会更困难，因此大部分系统采用开环 功率控制。硬件层次的技术，如低功率的c p u 、显示器和能量有效的算法都得到了 应用。在物理层可以调整节点的发射功率来减少网络的能量消耗；在m a c 层可以使 其进入睡眠状态以减少数据发送的冲突，避免重传；在网络层，采用功率控制路算 法，而不是以最短跳数或最小延迟作为路由度量。 5 ) 安全问题 a dh o c 网络的特点之一就是安全性较差。与固定有线网络相比，a dh o c 网络面 临更多的安全威胁，在固定网络中，攻击者需搭线才能窃听，需要寻找防火墙或网 4 硕士学位论文 第一章绪论 管的漏洞才能访问内部资源。但对于a dh o e 网络，无线信道使得窃听随处可在，节 点的移动性使得网络内部和外部的边界变得模糊，防火墙无法应用。a dh o c 网络比 固定网络更容易遭受各种安全威胁，如窃听、假冒、重放、篡改报文等等。因此， a dh o e 网络更需要安全保障，需要研究适用于a dh o e 网络的安全体系结构和安全 技术。 6 ) 网络的资源管理 与蜂窝通信相比，a dh o e 网络的资源管理更为复杂。首先，a dh o c 网络的无线 资源管理主要针对各种数据业务，其服务质量要得到保证；其次，在这种应用中， 网络的拓扑结构快速变化，而且不可预知，在网络中没有蜂窝通信系统中类似基站 的节点。数据分组可能在任何两个移动节点之间直接传送，或者经过中间节点的转 发，转发的节点数受路由协议和服务质量要求的限制，而不需要固定基站的转接。 由以上所决定的无线资源管理不仅涉及到m a c 层，还扩展到路由层甚至更高的传输 层。在a dh o c 网络中，大量的应用是针对移动节点的，能量的提供只能依赖电池等 便携式能源，而且网络中节点的能量供给差别可能非常大，有个人应用的p d a ，也 有诸如汽车等能量充足的节点。a dh o e 网络协议设计中对能量有效性的考虑也是协 议设计的方向之一。与能量有效性直接相关的是功率的管理，这也是无线资源管理 的基本内容。与蜂窝通信中的情形相同，功率的管理并非是孤立的，必须从无线资 源管理的整体出发，优化网络的资源配置。 1 2 研究内容与意义 目前，有关移动自组网络的应用日益广泛，但仍然缺乏有效的机制来提高系统 整体的安全可用性，这非常显著地表现为应用中大量欺诈行为的存在以及不可靠的 服务质量。因此，有必要建立一种新的分布式信任机制来提高移动自组网络系统安 全性和可用性。由于移动自组网自身的特点，其成员间的沟通不可能像传统具有固 定设施网络中那样充分，网络行为需要节点相互协作才能完成，因而节点之间的相 互信任对网络的安全保障与可靠运行均具有重要的意义。 对移动自组网按需路由发现机制中节点的路由协作行为进行详细分析，可以看 出作为相对独立实体间的协作行为，信任是整个路由协作行为的基础。移动自组网 路由参与节点间信任关系的构建涉及路由信息交换的安全性和节点路由行为的正确 性，利用信任管理机制对路由消息的安全传输及节点的路由行为进行管理，不仅可 以促进节点间的路由协作，而且可以有效地提高路由协议的安全性。 引入信任机制可以有效地消除不良节点的影响，但由于节点间信任关系的建立 有赖于第三方节点的推荐，恶意节点为达到某种目的会在网络中散布虚假推荐信息， 如果节点依据自身信任值以及被评价节点的信任值动态地对其他节点进行欺骗，或 5 硕士学位论文第一章绪论 是与其他不良节点进行合谋攻击，这种行为将很难进行检测；另一方面，自私节点 可能恶意提高其他节点的信任值，从而避免自身加入到路由或转发包等过程中去； 另外，自私节点为节省自身能耗，只从其他节点处获取推荐信息而不愿为其他节点 提供推荐服务，且出于同样原因，自私节点可以策略性改变自己的攻击行为，从而 使其难以检测。 本文主要研究了移动自组网中缺少预先约定信任关系的情况下如何激励节点诚 实推荐的问题，首先提出一个移动自组网环境下基于推荐的信任模型，然后基于d s r 协议实现一个可信路由协议，通过理论分析与仿真实验验证模型的有效性和可行性。 1 3 本论文的组织结构 论文全文共分为六章，每章的内容安排如下： 第一章绪论。这一章主要介绍了移动自组网的概念、特点、应用、主要的研究 领域以及本论文的研究意义与目的。 第二章介绍了当前移动自组网中典型的按需路由协议，对按需路由的发现机制 及节点问路由协作行为进行分析，然后从被动路由攻击和主动路由攻击两个方面分 析按需路由发现机制面临的安全隐患，最后介绍了现有的典型的移动自组网安全路 由协议。 第三章综述移动自组网环境下的信任管理研究。首先讨论了信任的定义及特 点，然后介绍信任关系建模的重要组成部分，最后介绍了现有的典型的信任管理系 统，并分析其优缺点。 第四章提出了移动自组网环境下基于推荐的信任模型，重点介绍了信任值的描 述与量化以及信任值的更新，然后对模型的有效性进行分析。 第五章以基于推荐的信任模型为基础，对d s r 路由协议进行改进，提出一种 可信路由协议，并通过仿真结果进一步验证模型的合理性和可行性。 第六章对所作的研究工作进行了总结，并阐述了将来进一步的工作计划。 6 硕士学位论文 第二章移动自组网路由的安全问题 第二章移动自组网路由的安全问题 作为一种新型网络，移动自组网不仅具有传统网络包转发、链路交换的特点， 而且通过引入移动通信的特性，极大延伸了计算机网络的应用领域。然而，这些特 点同时也为移动自组网络体系结构的不同层面带来新的问题，使作为移动自组网络 通讯管理核心的路由协议面临更为复杂的安全问题，并由此成为移动自组网络研究 的重点。详细分析移动自组网路由与数据转发所面临的安全挑战，探讨现有路由安 全解决方案，对移动自组网路由安全性研究具有十分重要的意义。 2 1 移动自组网路由协议概述 移动自组网特殊的网络结构决定：一方面，移动自组网信息交换采用传统计算 机网络的包交换机制；另一方面，移动节点需要相互间提供包的网络转发服务。因 此，移动节点需要运行相关的路由协议以实现移动自组网的自组织、分布式控制和 运行，完成网络通讯的路径发现与维护、包转发等路由功能。 然而与有线通信相比，无线通信存在通信距离短、传输时延长、通信带宽有限 等弱点。同时，移动节点的位置、发射机与接收机的发射功率及覆盖模式、信道间 的干扰、有限的电池能源等因素都会影响移动自组网移动节点间存在的多跳链接关 系，造成网络拓扑结构的不断变化。这使得如何设计一种高效、安全的路由协议成 为影响移动自组网发展的关键。 目前常用的移动自组网路由协议根据其路由发现机制的不同，大致可划分为两 类：表驱动路由协议和按需路由协议。 1 1 ) 表驱动路由协议：运行表驱动路由协议的节点在本地维护一个或多个存储其 它节点路由信息的路由表，以描述网络当前的拓扑状况。当网络拓扑发生变化时， 表驱动路由协议通过在网络中广播包含路由变化信息的包，来保持所有节点的路由 表信息与当前网络拓扑变化的一致性。在此类路由协议中，不同的路由协议在路由 表的种类、数量以及路由信息更新的方法等方面存在不同。 表驱动路由协议虽然可以快速获得到网络中所有节点的路由，但其不可避免引 起无线链路拥塞和能量过度消耗等问题，显然不适合移动自组网的网络环境。因此， 表驱动路由协议正逐渐为按需路由协议所替代。 2 ) 按需路由协议：按需路由机制仅当某个节点需要建立一条到达其它节点的路 由时，才由源节点发起路由建立请求。该路由仅在通信过程中维持，通信完毕就不 再需要。由于只查找与维护当前通讯所需要的路由，按需路由协议无需周期性广播 路由信息包以实时地更新网络中每个节点的路由信息，从而可以有效地节约网络资 7 硕士学位论文第二章移动自组网路由的安全问题 源，更适合移动自组网的需要。目前移动自组网的路由协议多是采用按需路由机制。 2 2 按需路由发现机制 2 2 1 现有的按需路由协议 按需( o n - d e m a n d ) 路由协议又称反应式路由协议。此类协议认为在资源匮乏的移 动白组网中，节点没有必要通过周期性广播路由信息包来维护与网络中所有节点的 路由，仅当需要发送数据时，才查找与建立相应的传输路径，并只存储当前通讯所 需的路由信息。按需路由发现机制通常包含路由查找和路由维护两个阶段，由源节 点通过广播路由请求包，发起对所需路由的查找，而目的节点或路径中拥有到目的 节点路由信息的中间节点在收到该请求包后，发送路由应答给源节点，由此完成路 由查找阶段f l o 】。按需路由发现机制占用较少的网络资源，但其路由查找过程会导致 数据包传输时延的增加，降低网络的利用率。目前具有代表性的m a n e t 按需路由 协议主要包括d s r t l l l ，a o d v 1 2 1 ，t o r a 13 1 ，a b r 1 4 1 等几种。 1 ) d s r 协议 d s r 协议是最早采用按需路由思想的路由协议。它使用了源路由，且在每一个 分组的分组头中包含整条路由的信息。该协议包含路由建立与路由维持两个阶段， 在路由发现阶段采用f l o o d i n g 法。为减少路由发现过程的开销，每个节点都包含一 个c a c h e ，存放已有路由信息。路由维持过程是源节点用来检测网络拓扑是否发生变 化的机制。当拓扑发生变化，源路由产生中断时，源节点将收到一个路由错误信息， 并通过查找c a c h e 中信息获得新的路由。如果不通，则重新启动路由寻找过程。这 种协议的优点是中间节点不必存储转发报文所需的路由信息，而改由分组自己携带。 因无周期性的广播操作，减少了网络开销。缺点是存在陈1 日路由问题，以及在数据 流突发性较强的情况下可能会带来较大的丢包率。 2 ) a o d v 协议 a o d v 协议也是一种按需路由协议，是d s d v 协议和d s r 协议的结合。其特点 是按需建立路由和使用“目的节点序列号 防止缓存的路由信息过期以及环路的产 生。a o d v 协议中的路由建立完全是按需的，也是通过路由请求回复过程来实现的。 在路由发现阶段，当节点需要发送信息而又没有目的节点的有效路由时，启动一个 路由发现过程，向网络广播一个r r e q 分组。a o d v 允许中间节点响应r r e q 。发 现路由后，中间节点或目的节点以单播的方式向源节点发送一个r r e p 分组，r r e p 沿着刚建立的逆向路径传输。路由协议只维护那些正在使用的路由，而不在激活路 由上的节点的移动性并不会影响该路由。为了检测链路中断情况，a o d v 协议设计 了连通性管理机制，即每个节点都维护有一张邻居列表，记录与自己相邻而且处于 通信状态的节点。节点通过接收周围节点的广播信息来获得它周围邻居节点的信息。 8 硕士学位论文 第二章移动自组网路由的安全问题 如果一段时间没有收到某节点的h e l l o 消息，则认为该节点离开了原来的位置，经过 该节点的路由中断。a o d v 的优点是：使用“目的节点序列号避免了路由环，利 用按需方式减少了网络开销，能对网络拓扑的变化做出快速反应，具有一定的可扩 展性；缺点是只支持双向链路，定期发送h e l l o 报文，造成了一定的额外开销。 3 ) t o r a 协议 t o r a 协议是一个有效的、可扩展性好的按需路由协议。它可以找到从源节点到 目的节点的多条路由。它是一种基于“有向无环图的分布式算法，其机理可用水 从高山上流下的过程来比喻，水代表节点间的链路，水道的转接处代表节点，水流 代表分组，每一个节点有一个相对于目的节点的高度，用做计算路由的度量。当节 点需要一个到达目的节点的路由时，它向网络中广播一个q u e r y 信息，直到目的节点 接收为止。然后发布一个u p d a t e 信息，网络中其他节点根据此信息调整路由参数， 形成多条路径。当路由断裂时，发生链路中断的上游节点将通过其它节点流向目的 节点。这种协议的优点是算法的分布性好，没有周期性的广播操作；缺点是依赖于 i m e p 为其提供可靠的按序传输服务，不支持单向链路。 4 ) a b r 协议 a b r 中路由的选择是以节点问的连接稳定性作为度量依据的。该协议使用一个 新的路由选择度量：联合稳定度，即移动主机节点和链路在时间与空间上的稳定程 度。网络中每个节点周期地广播一个标志，与它相邻的节点每收到一次，就表明发 标志的节点还存在于该网络中。收到标志的邻节点根据路由稳定的时间和路由信号 的强度作为路由选择的测度，每收到一次，相应的节点稳定度增加一点。点数越高， 说明路由越稳定。若路由断裂，稳定度将被重置。这种协议优点是使用了稳定度， 很容易发现稳定路由；缺点是由于节点不能长时间保持静默，需周期性产生标志， 占用较多网络资源。 2 2 2 节点问的路由协作行为 作为分布式系统中具有不同利益的独立实体间的相互合作，移动自组网路由发现 行为的实质就是自治节点间为如何在网络中实现数据的转发而协调的过程。作为相 对独立的实体，移动节点间的路由协作行为具有以下特征： 1 ) 自治性：是移动自组网节点路由行为的基本特性。节点对自己的路由行为和 内部状态有独立的控制权，不受其它节点的直接控制，并根据自身的内部状态和掌 握的网络信息，自行决定是否与其它节点合作参与寻径和转发。 2 ) 协作性：在某个节点提出路由建立请求后，其它节点只有在同时具备提供此 服务的能力和愿望的情况下，才会主动参与路由的发现和数据转发。一个节点不能 强制要求另一个节点为其提供路由服务。因此，只有具有不同利益的相互独立的节 点相互协作、互相服务，才能完成路由协议的寻径与转发任务： 9 硕士学位论文 第二章移动自组网路由的安全问题 3 ) 可通信性：节点间能通过使用某种预先定义的无线传输协议进行路由信息的 交换与传递，协商实现节点间的路由行为，以完成其自身的包传送或协助其它节点 完成相关的包转发活动。 4 ) 自适应性：节点对其所处的网络环境具有感知能力，可以通过不断学习新的 知识和对过去经验知识的积累，掌握网络环境的变化，并通过改变其路由行为来适 应新的网络环境，以更有效的完成与外界的通讯任务。 5 ) 能动性：移动自组网路由参与节点处于由多节点所构成的网络环境中，拥有 其它节点的路由信息和知识，这使其不仅可以对所处环境做出响应，而且能根据自 身的目标主动采取相应的行动，通过自身的路由行为影响网络环境。 2 3 按需路由发现机制面临的安全问题 2 3 1 传统路由协议存在的安全缺陷 传统移动自组网路由协议作为分布式系统中相对独立的节点之间为实现寻径与 转发协作而定义的一系列路由信息交换规范，存在若干安全缺陷【1 5 】： 1 ) 节点间的隐式信任关系：现有移动自组网路由协议中，节点间的数据转发合 作是自发的、基于对所有节点的信任基础之上的。这种假设使得恶意节点可以很容 易利用重发、篡改、插入错误的路由信息等手段，使网络瘫痪。这些在传统有线网 络中也存在的安全问题，在移动自组网网络中则变得更为严重和复杂。 2 ) 网络拓扑的信息泄漏：在诸如a o d v ，d s r 等协议中，均以明文形式在包头 中记录路由信息，指定该包应该途经的节点。通过窃听并分析数据包头所包含的路 由信息，攻击者可以在不被发觉的情况下，获取网络节点间的邻接关系，掌握网络 的拓扑结构，进而可以利用这些信息对关键性的节点进行破坏。 3 ) 无线通信的问题：由于无线信道对信号范围内的所有接受者都是开放的，攻 击者可以很容易地侵入到网络通信中；此外，无线信道对噪声和信号干扰缺乏良好 的保护。因此，恶意入侵者可以监听信道，获取网络节点的物理位置、堵塞、截断 或者篡改网络中的信息，甚至更改并操纵路由。 4 ) 缺乏检测和处罚不规范路由行为的机n - 节点的自治性使得网络协议难以定 义与检测节点的不规范路由行为。因为现实中存在不规范行为的节点可能确实是遇 到某些暂时性的问题，诸如链路负载过重或者内存不足、电池能量过低等。 5 ) 缺乏自稳定性：路由协议应该在被攻击之后能够在有限的时间内恢复，使得 攻击者不能仅注入少量错误路由信息即可造成网络的长时间瘫痪。例如a o d v 等协 议就因为使用序列号来标识有效路由，从而可能导致不正确的路由状态在路由表中 持续较长一段时间。 1 0 硕士学位论文第二章移动自组网路由的安全问题 2 3 2 被动路由攻击 移动自组网路由协议可能面临不同意图、不同手段的网络攻击。根据攻击的方 式，移动自组网路由攻击可以划分为被动式攻击( p a s s i v ea t t a c k s ) 和主动式攻击 ( a c t i v ea t t a c k s ) 两类i 1 7 j 。 在被动攻击中，攻击者并不干扰路由协议的正常运行，而是窃听协议运行过程 中所交换的路由信息，以获取对它有用的信息。由于移动自组网使用不可靠的无线 链路传输交换的路由信息，使得此类攻击变得更为隐蔽，难以被检测。 传统移动自组网路由协议使用明文传输路由信息，被动攻击实施者可以方便地 通过分析窃听所获取的路由数据得到诸如节点的网络地址等有用的信息，并进一步 可以分析掌握路由节点间的相互关系，甚至整个网络的结构。即使采用路由信息加 密技术，被动攻击者也可以通过路由信息的流量分析，根据对不同节点的路由请求 频繁程度，判断节点在网络路由中的作用，进而发现可能对整个网络的性能和安全 产生较大影响的节点。此外，无线信号的发送也可能暴露节点的位置，攻击者即使 不能通过路由分析查明节点间的相互关系，也可以获得某些网络拓扑的相关信息【1 8 】。 2 3 3 主动路由攻击 在主动攻击中，攻击者通过向网络中注入虚假的路由信息来实施阻止路由建立、 重定向包传输、骗取对网络资源的授权等破坏性行为。根据攻击者所处的网络环境， 主动路由攻击又可以进一步划分为外部攻击和内部攻击。外部攻击是由非移动自组 网路由协议参与者对网络路由发起的攻击；而内部路由攻击则是指已获得认证与授 权成为路由协议参与者的恶意节点在路由协议内部所发起的攻击。显然，主动攻击 是路由攻击者实现其恶意目的的直接手段，而其中的内部攻击对移动自组网路由协 议具有更强的破坏性。典型的主动路由攻击有： 1 ) d o s ( d e n i a lo fs e r v i c e ) 攻击：为保证机动性，移动节点通常使用小型信息处 理设备，并依靠电池提供运行能源。这意味着能源消耗的最小化对移动节点来说具 有十分重要的意义。然而移动节点作为路由设备同时又需要为网络中的其它节点传 输数据，这些对节点资源的额外消耗显然与能源消耗的最小化原则是相违背的。d o s 攻击就是通过耗尽节点各类相对匮乏的资源从而导致其瘫痪。 最简单的d o s 攻击是恶意泛洪，攻击者通过持续广播某些特定的路由包，使网 络中所有节点不断转发该包，从而大量占用网络通讯带宽，达到消耗节点有限资源 的目的。这种攻击会对需要解密所接收的路由包才能判断是否丢弃该包的运用加密 技术的路由协议构成更为严重的威胁【1 9 1 。而多个恶意攻击者可以联合发起分布式的 d d o s 攻击，如果攻击者拥有足够的能量和带宽，d d o s 攻击很容易造成m a n e t 网 络的拥塞甚至崩溃。 睡眠剥夺( s l e e pd e p r i v a t i o n ) 则是另一种d o s 攻击。攻击者通过不断发送需要节 1 1 硕士学位论文第二章移动自组网路由的安全问题 点处理的无用数据或者不断请求建立连接，剥夺被攻击节点的“睡眠”，并最终导致 该节点因电源耗尽而瘫痪【2 0 1 。 2 ) 黑洞( b l a c kh o l e ) 攻击：恶意节点通过宣称拥有到某个节点的最短路径，从而 导致网络中其它节点将数据转发到该恶意节点，而该恶意节点对接收到的所有包只 是简单地丢弃而不予转剔2 1 1 。 图2 - 1 对移动自组网路由协议的“黑洞攻击” 如图2 1 所示，源节点s 查找到目的节点r 1 0 的路径，恶意节点m 1 使用r r e p 应答谎称其下一跳就是节点r 1 0 。虽然实际路由应该s r 3 r 5 - r 7 - r 9 一r 1 0 ，然而源节 点s 却因此错误地认为s r 3 一m 1 r 1 0 是最短路由，于是将所有数据包都被转发给m 1 。 而m i 则可以将这些数据包转发给其它恶意节点或将其丢弃。 灰洞( g r a yh o l e ) 攻击则是一种更为狡猾的变种黑洞攻击。其原理与黑洞攻击基本 相同，不同在于恶意节点是有选择性地传输某些包而丢弃另一些包。例如，传输所 有的路由包，却丢弃所有的数据包。由于在移动自组网中，接收节点无法确认某个 节点已经向它发送了某个包，这使得灰洞攻击更难于被查觉，因为整个网络似乎工 作正常，受害节点仍然拥有到其它节点的有效路由。 3 ) 重放( r e p l a y ) 攻击：攻击者通过向网络“重放1 日的广播报文而发起的路由 攻击 2 2 1 。重放是最简单的主动攻击手段。若是数据包，接收节点只需丢弃错误的包， 攻击不会对移动自组网造成太大影响；若是当前路由查找的包，由于节点允许复制 并重构路由查找包，该攻击也不会对网络造成太大影响。但是，如果攻击者不断重 放某节点在过去某一位置时的路由查找或应答包，则可能导致该节点的不可达。 虫洞( w o r m h o l e ) 是一种特殊的重放攻击。恶意攻击者在网络一端的某个节点接收 包，利用“隧道 将包直接发送到网络远端的另一个节点，形成一个穿越网络的“虫 洞。如图2 2 所示，虫洞通常用于两个距离较远的节点，以保证被隧道传输的包相 对更早地到达目的节点。虫洞不要求攻击者改变任何路由参数，即使路由协议采用 1 2 硕士学位论文第二章移动自组网路由的安全问题 了包加密和签名技术，隧道传送后的加密包仍然是有效的，并因此被接收节点所接 受。诚实的“隧道 对移动自组网是无害的，但如果是作为攻击者的工具，攻击者 根据按需路由传输首次接受请求的机制，可以利用虫洞攻击建立自己的路由，并进 一步对网络展开攻击。例如只转发路由信息包而丢弃数据包，路由协议可能会无法 发现虫洞的存在【2 3 1 。 厂l r r e p l 飚i h 隧道乱瞰妇 图2 - 2 对移动自组网路由协议的“虫洞攻击” 4 ) 路由重定向攻击：攻击者通过注入错误的路由信息来对传输路径进行重新定 向，阻止正常的路由传输并由此导致网络高度拥塞。路由环路( r o u t i n gl o o p ) 攻击就 是通过重定向，使一条路径不止一次地穿过相同的节点，从而导致该包被相同的节 点反复地发送直到其因生存周期被耗尽而丢弃。大多数m a n e t 路由算法都包含有 防止路由环路的保护功能，但恶意节点可以针对某些路由算法，通过将篡改过的路 由包注入网络而导致环路的产生并耗尽环路中所有节点的资源。 隔离( p a r t i t i o n i n g ) 也是一种重定向攻击，攻击者通过分析路由信息，获取网络的 相关拓扑信息，通过对桥接不同网络区域的关键节点实施攻击，从而将移动自组网 隔离成两部分，或将某些特殊节点从网络中孤立出来【2 4 】。 2 4 移动自组网现有的安全路由协议 最初对自组网安全问题的研究主要集中在路由协议的安全问题上。安全路由是 对现有路由协议的扩展，目的是通