移動Ad Hoc網絡安全路由協議設計與分析技術

張森

摘要：移動Ad Hoc網絡采用獨立性較強的組網方式，是一種具有高動態化的拓撲結構、無有線基礎設施加以支持的無線網絡技術，廣泛應用于軍事領域并不斷地向民用環境下拓展。本文在對路由協議形式化的分析方法進行介紹的基礎上，分析了現有的路由安全威脅模型的缺陷并提出更具適應性的層次化威脅模型。

關鍵詞：移動Ad Hoc網絡 路由協議 路由安全威脅模型

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2014）08-0191-01

1 引言

移動Ad Hoc網絡是沒有固定基礎設施的自組織無線網絡，整個網絡的各個節點均處于不斷地移動狀態且與其它的節點可以任意方式保持動態的聯系。網絡節點同時具有主機、路由器的作用，在兩節點處于相互間無法進行直接通信的范圍內，便可借助于與其它節點的協作完成數據的分組轉發實現通訊目的。在沒有固定的網絡基礎設施的環境下，如需要完成臨時通信，就可以通過簡便的移動Ad Hoc網絡搭建來實現。

路由的安全性對于移動Ad Hoc網絡運行的可靠度非常關鍵，其作用是使處于超出有限的通訊范圍的節點間具備互相通信的能力。通常的安全方案大都利用加密、簽名等密碼學機制來獲取給定節點之間的有效路徑。所以分析路由協議的安全屬性可以通過密碼學安全協議的形式化分析方法。不過，由于這些分析設計方法本身所存在的不足以及采用不合理的安全威脅模型，造成安全缺陷的存在。

2 安全路由協議分析方法

為便于分析路由協議的安全屬性，在對路由協議的設計和形式化分析時，要么采用對安全協議進行直接分析的方法，要么就移動Ad Hoc網絡的特殊性來擴展形式化分析方法。已有的安全路由協議形式化分析方法主要包括計算模型方法和符號模型方法。目前較為流行的分析協議安全性的方法包括通用可復合UC模型與協議復合邏輯PCL。

2.1 通用可復合UC模型

物理計算設備圖靈機能夠對有效算法進行精確的定義，是較為通用的計算模型。在對成對的ITMs系統定義之后，就可以對其交互式系統進行建模。Canetti將最初的定義加以擴展后，就可以建模兩方的分布式系統，而且可以進行PPT-ITMs建模及對多用戶、多協議環境下的安全協議運行，從而建立了通用可復合UC模型。該模型中，n個交互式圖靈機Pi組成了建模任意n方協議，其中Pi為參與協議的一方，將攻擊者實體模型化成和Pi能夠并行運行的交互式圖靈機。UC模型對另一特殊的、可以以任何方式和、Pi交互的攻擊者實體作出定義以對協議的異步并行運行進行建模。參與方在協議運行的時候輸出至紙帶的信息就是其視圖信息。通用可復合UC模型認為各個協議的參與方均遵從協議標準執行動作，即認為其初始狀態為誠實，一旦攻擊方在協議運行過程中將某參與方攻陷，該參與方就可能可按照攻擊者的能力及目的惡意參與后續的協議運行。UC模型對安全的本質性定義為協議是否可以實現理想函數，通過理想函數捕獲協議安全需求，通用可復合定理保證協議在異步并發網絡環境中的安全。模型中的協議消息為bit串，用函數表示協議所使用的密碼學原語，攻擊者為任意概率多項時間算法。

2.2 協議復合邏輯PCL

協議復合邏輯PCL采用簡單化的編程語言對協議角色集合進行描述，各角色指定了誠實的參與方執行動作的序列。PCL中利用反應規則來定義編成語言的操作語義，PCL邏輯有行為謂詞公式、普通公式及模態公式。PCL的證明系統包含一系列的公理及規則，這些公理及規則范圍協議行為公理、擁有公理及普通規則三個部分，也可使用一階邏輯中的所有公理。協議復合邏輯PCL對安全的本質性定位為公式，公理和規則證明協議能否滿足符號安全準則，其中的協議消息為符號術語，將密碼學原語看作執行有限符號運行的操作，也即攻擊者必須擁有正確的密鑰信息方能進行各種密碼學操作。假設協議所用的密碼學算法時理想化狀態下分析協議的安全性，可以對協議的分析進行簡化且方便進行自動化分析。

3 層次化攻擊模型

現有的攻擊模型主要包括active-n-m攻擊模型、參數化攻擊模型、自適應攻擊模型和Dolev-Yao攻擊模型。active-n-m攻擊模型應用較為廣泛，不過也存在著一些問題，主要是規定所有攻擊者控制的攻陷節點的通信能力與網絡的普通節點相同，攻擊者的攻擊能力取決于實際網絡拓撲結構，而且不允許攻擊者控制的攻陷節點間共享協議運行中捕獲的信息；參數化攻擊模型與active-n-m攻擊模型存在著比較相似的問題；自適應攻擊模型為解決上述問題，假設攻擊者控制的攻陷節點的通信能力是自由而不受約束的，這種假設對于路由協議安全分析是不合理的，任何協議均不能預防此類攻擊者；Dolev-Yao攻擊模型忽略了中間節點的行為，并不依賴中間節點進行數據傳輸，因此不能直接用來描述移動Ad Hoc網絡路由協議的安全屬性。

層次化結構模型綜合上述模型特點，從攻擊者擁有的節點個數、攻擊者通信能力和攻擊者計算能力三個方面分析其攻擊強度。其主要目標位確定攻擊者攻陷路由協議所需的最低攻擊能力，使比較不同安全路由協議間的安全性成為可能。同時，攻擊者能夠共享協議運行時所捕獲的信息。此外，避免協議設計人員試圖預防在路由層無法消除的攻擊，為設計可證明安全的Ad Hoc網絡路由協議提供合理的攻擊模型。

4 結語

移動Ad Hoc網絡安全路由協議設計與分析極為復雜，本論文只是對相關問題作出初步的探索，仍然存在較多問題有待解決，需要進行深入的研究。隨著更多的學者不斷參與進行動Ad Hoc網絡的相關研究，該技術迅速擴展至民用系統中，具有非常廣闊的應用前景。

參考文獻：

[1]李金鵬，呂光宏，王立平，薛強.移動Ad hoc網絡安全路由協議研究[J].計算機技術與發展，2008（07）.

[3]柯敏毅，魏樹婧，肖鵬.移動Ad Hoc網絡路由安全問題研究[J]. 網絡安全技術與應用，2008（02）.endprint