移动无线自组网中路由算法的安全性研究(1)

移动无线自组网中路由算法的安全性研究作者：__金鑫________日期：__2003/10/20_本文提纲一、MANET面临的安全威胁二、目前的研究成果三、未来的研究方向主动攻击被动攻击Active-n-m[1]攻击的模型针对路由协议的常见攻击一、MANET面临的安全威胁主动攻击•主动攻击主要指更改、删除传输的数据、干扰通信信道以及拒绝服务攻击等来自外部的攻击。这类攻击的主要目标是造成网络拥塞、扩散错误的路由信息、阻止服务的正常工作或者彻底关闭它们等等。被动攻击•攻击者并不去干扰正常的路由协议,而仅仅窃听路由数据，通过分析窃听到的路由数据就可能得到有用的信息。由于Adhoc网络使用的是无线信道,所以这种攻击比较隐蔽,一般无法检测到。Active-n-m•作者在文献[1]中提出了一个攻击模型：把一个攻击者表示成Active-n-m，其中n是它所侵害的正常节点，而m是它本身所拥有的节点的个数。另外,如果一个攻击者将整个网络拓扑结构中所有关键路径上的节点都控制了,也就是说正常节点被分成了若干个子集,这些子集间如果要进行通信就必须通过这个攻击者所控制的节点,作者称之为Active-VC。资源耗费攻击路由破坏攻击攻击的模型针对路由协议的常见攻击一、MANET面临的安全威胁两种攻击都可以看作拒绝服务（Denial-of-Service,DoS）攻击的实例。资源耗费攻击•在Adhoc网络中，由于节点的能量和带宽都非常有限，所以资源耗费攻击更容易被实施，造成的危害也更大。•针对Adhoc网络还有一种叫做“剥夺睡眠(sleepdeprivationtorture)”的特殊的攻击。路由破坏攻击•攻击者可以创建：–黑洞(blackhole)：偷偷地将数据包全部丢弃。–灰洞(grayhole)：有选择的丢弃其中的一部分，如转发路由协议包而丢弃数据包。–虫洞(wormhole)[2]：通过有向天线等手段。–回路(routeloop)或是分割网络(partition)：通过修改路由信息、发送虚假路由信息造成路由。二、目前的研究成果1密钥的管理2安全路由3入侵检测密钥的管理分布式密钥管理[3][4][5]自组织密钥管理[6]基于口令的密钥管理[7]复活的鸭子[8][9]入侵检测分布式轻负荷认证模型[10]健壮路由二、目前的研究成果分布式密钥管理•文献[3][4]中提出了一种基于Shamir门限[5]方法的分布式密钥认证体系。它将CA的私钥SK分解成N个部分(S1,S2,…,Sn)，每个部分由一个节点存储。其中任意K个节点可以恢复出这个私钥，从而充当CA，完成证书的签发工作。Key:Howtoshareasecret自组织密钥管理•文献[6]中提出了一种类似于PGP的自组织密钥系统。系统通过证书链来实现CA的功能。一个节点存储它所信任的节点的证书。如果一个节点想获得另一个节点的证书，那么它就顺着证书链去查找，直到找到为止。Key:Smallworldphenomenon基于口令的密钥管理•文献[7]中提出的基于口令的密钥管理策略是针对小范围内的成员间通信。首先，一个弱口令被分发给组内成员，每个成员用这个弱口令将自己的密钥信息提交，然后系统将这些提交的密钥信息综合起来生成系统密钥，最后所有用户就可以用这个系统密钥进行通信。复活的鸭子•Stajano和Anderson在文献[8]和[9]中提出了铭记策略和它的扩展。在这个模型中,两个设备之间通过一个安全的瞬时关联形成一种主从关系.鸭子指从设备,而它的母亲指主控设备.从设备把第一个给它发送密钥的设备当作它的主控设备,并听从主控设备的指挥。Key:imprintingpolicy分布式轻负荷认证模型•文献[10]综合了上述几种模型的思想，提出了一种分布式轻负荷的认证模型。该模型的主要目的并不是要保障交易的绝对安全，而是要使攻击者付出的代价要高于交易本身。这样攻击者就不愿意付出大量的努力去破坏大量的交易，但是他可能付出较高的代价去破坏一个单独的交易。密钥的管理SRP[11]ARIADNE[12]SEAD[13]SAR[14]入侵检测激励机制[15][16]健壮路由二、目前的研究成果SRP•SRP[11]假设在通信的两个节点间存在一个安全关联（SecurityAssociation,SA）,通过SA进行双向验证来保证两个通信节点间路由信息的准确性,这样在路由请求过程中就可以不考虑中间节点的安全性。ARIADNE•文献[12]中提出了一种基于DSR的安全按需路由协议——Ariadne。Ariadne分为三个阶段：1）提出一种允许目的节点验证路由请求的机制。2）提出了三种可以互换的机制来验证路由请求和路由回复中的数据。3）提出了一种有效的哈希算法来验证路径上的每个节点都不能缺少。SEAD•SEAD[13]是Hu,Johnson和Perrig提出了一种基于距离矢量路由协议DSDV安全路由协议。通过让哈希值和路由信息中的权值以及序列号相关联，使用单向哈希函数来防止恶意节点减小路由信息中对应目的节点的权值或者增加它的序列号。SAR•文献[14]中提出的SAR算法是一种面向分层结构的adhoc网络的安全路由算法。它假设已经存在一种密钥分发算法，使得在每一个层次上的节点共享一个对称加密密钥。并且它假设每个节点和它所处的信任等级是绑定得，节点不能随意修改它的信任等级，这样一个节点就不能解密其它层次上节点间传输的信息。激励机制•Buttyan和Hubanx将经济学中的思想引入到了Adhoc网络中，他们在文献[15]和[16]中提出了虚拟货币的概念，并把它作为转发数据包的报酬。使用虚拟货币，作者提出了两种支付模型：钱包模型和交易模型。密钥的管理分布式协作入侵检测[17]Watchdog&Pathrater[18]CONFIDANT[19][20][21]入侵检测CORE[22]安全路由二、目前的研究成果性能比较[24]游戏理论[23]分布式协作入侵检测•Zhang和Lee在文献[17][24]中提出并在NS2上实现了一种分布式协作入侵检测体系模型。在这个模型中，IDS代理在每个单独的移动节点上运行，进行本地的数据采集和入侵检测，当一个节点发出异常警报时，周围的节点就配合进行检测并在整个网络范围内进行反馈。Watchdog&Pathrater•斯坦福大学的Marti等人提出了一种看门狗和选路人算法[18]。–看门狗是指数据包的发送者在将包发出去之后还要监视他的下一跳的节点，如果下一跳的节点没有对包进行了转发怎说明那个节点可能存在问题。–选路人作为一种响应办法，它评定每一条路的信任等级，使数据包尽量避免经过那些可能存在恶意节点的路径。CONFIDANT•CONFIDANT[19][20][21]是EPFL提出的一种入侵检测协议。它通过节点自身观察和相互通告的手段来检测几种已知类型的攻击，使得网络中节点在进行路由时绕过可能的恶意节点，进而将恶意节点孤立。模拟结果显示，对于拒绝转发这类攻击，CONFIDANT可以有效的对付占节点总数一半的恶意节点的攻击。CORE•文献[22]中提出了一种基于游戏理论[23]的CORE机制，它的主要目的是对付Adhoc网络中的自私节点。节点的协作是通过一种相互配合的监督技术和一套信誉体系来实现的。每个节点的信誉分为主观信誉，直接信誉和功能信誉。这些信誉值被加权平均成一个总的信誉值，然后用它来决定是配合还是逐步孤立一个节点。游戏理论»Thepreferencestructure»Theprisoner’sdilemma»TheNashequilibria性能比较•入侵检测系统在不同的路由协议下的性能是不一样的。实验结果显示无论节点是否移动，先应式路由协议的性能要好于反应式路由协议。•给定一个路由协议和一个具有N个节点的系统，需要有多少个节点加入到入侵检测系统中才能保证监测到的攻击不小于一定的比例。三、未来的研究方向•NetworkPerformanceCentricSecurityDesign•GameTheoryinSecurityDesignRationalexchangeVSFairexchange•ExploitingtheSynergybetweenPeer-to-PeerandMobileAdHocNetworks参考文献[1]Yih-ChunHu,AdrianPerrig,andDavidB.Johnson.Ariadne:ASecureOn-DemandRoutingProtocolforAdHocNetworks.TechnicalReportTechnicalReportTR01-383,DepartmentofComputerScience,RiceUniversity,December2001.[2]Y.-C.Hu,A.Perrig,andD.B.Johnson,“PacketLeashes:ADefenseagainstWormholeAttacksinWirelessAdHocNetworks,”ProceedingsoftheTwentySecondAnnualJointConferenceoftheIEEEComputerandCommunicationsSocieties(INFOCOM2003),IEEE,SanFrancisco,CA,April2003。[3]JiejunKong,PetrosZerfos,HaiyunLuo,SongwuLuandLixiaZhang.ProvidingRobustandUbiquitousSecuritySupportforMobileAd-HocNetworks.IEEE9thInternationalConferenceonNetworkProtocols(ICNP'01),2001.[4]HaiyunLuo,JiejunKong,PetrosZerfos,SongwuLuandLixiaZhang,Self-securingAdHocWirelessNetworksacceptedbytheSeventhIEEESymposiumonComputersandCommunications(ISCC'02).[5]A.Shamir,“Howtoshareasecret,”CommunicationsofACM,1979[6]J.Hubaux,L.Buttyan,andS.Capkun.TheQuestforSecurityinMobileAdHocNetworks.InProceedingoftheACMSymposiumonMobileAdHocNetworkingandComputing(MobiHOC),2001.[7]N.AsokanandP.Ginzboorg.KeyAgreementinAd-hocNetworks.ComputerCommunications23,2000.[8]FrankStajanoandRossAnderson.TheResurrectingDuckling.LectureNotesinComputerScience,Springer-Verlag,1999.[9]F.Stajano.TheResurrectingDuckling--whatnext?The8thInternationalWorkshoponSecurityProtocols,LNCS2133,Springler-Verlag,2000.[10]Weimerskirch,Andr6,andGillesThonetADistributedLight-WeightAuthenticationModelforAd-hocNetworks,v.2288ofLNCS,2002.[11]PanagiotisPapadimitratosandZygmuntJ.HaasSecureRoutingforMobileAdhocNetworksSCSCommunicationNetworksandDistributedSystemsModeli