移動自組織網絡中的安全與信任技術研究?

單寶穎 魏東平

（中國石油大學（華東）計算機與通信工程學院 青島 266580）

1 引言

移動自組網，即移動AdHoc網絡，也稱MANET（Mobile AdHoc Network）網絡，是一種獨立于固定基礎設施的分布式移動網絡。節點可以隨意地加入或離開網絡，任何一個節點的故障都不會影響整個網絡的運行，具有很強的抗毀性［1］。

MANET 網絡結合了移動通信和計算機網絡：一方面，MANET 網絡的信息交換采用了分組交換機制；另一方面，用戶終端節點是可以自由移動的并配置無線收發裝置的便攜式終端（比如laptop、PDA 等）。MANET 網絡中的用戶終端與普通網絡用戶終端的最大區別在于前者兼有主機和路由器功能：作為主機，終端節點需要運行各種面向用戶的應用程序；作為路由器，終端節點需要運行相應的路由協議來完成數據的分組轉發工作。MANET網絡最大的優勢在于其可以在不能利用或不方便利用現有的網絡基礎設施（比如基站）的情況下提供一種通信支持方式，拓寬了移動網絡的應用范圍。MANET網絡的自組織性提供了廉價且快速部署網絡的可能，此外，分布式結構使得網絡的健壯性、抗毀性也很強，因此MANET網絡的應用相當廣泛。比如軍事戰場信息系統建設、民用緊急救助、傳感器網絡、臨時商務會議等眾多領域［2］。由以上可知，MANET 網絡的靈活性使其成為當前移動通信領域研究的熱點，但是MANET 網絡使用無線信道傳輸、結構動態拓撲等使得其安全性較差，易受到主動入侵、被動竊聽等各種網絡攻擊，從而限制了其發展。

本文旨在探討MANET網絡的安全問題與信任技術，首先描述了MANET 網絡的安全目標和安全威脅；然后著重討論了影響MANET 網絡應用的關鍵問題——信任問題，包括身份信任和行為信任兩大方面［3］。其中，身份信任和安全認證緊密相關，論文在安全認證機制部分進行了詳細探討；而行為信任與歷史行為和時間有關，通常建立信任模型來作為評判標準，我們在信任技術與合作激勵機制部分進行了重點陳述。最后總結全文并對未來的研究方向做出了展望。

2 MANET網絡中的安全問題

2.1 安全目標

MANET 網絡安全目標與傳統網絡的安全目標基本一致，簡述如下［4～5］：

1）可用性：節點在受到各種攻擊時仍可以通過容錯技術提供相應的服務。

2）機密性：通信消息不會暴露給未授權用戶，或者即使消息被惡意節點截取也無法破譯消息內容。通常用密碼學來加密消息來保證機密性。

3）完整性：消息在發送接收過程中消息內容不被篡改。

4）真實性：對信息的來源進行判斷，能對偽造來源的信息予以鑒別。

5）不可抵賴性：節點不能否認它發送過或接收過的消息。

2.2 安全威脅

不同于傳統網絡，MANET網絡具有移動性強、無固定拓撲、資源受限等特點，使得其比傳統網絡更容易受到安全威脅。解決這些問題對Internet范圍的延伸和無線移動通信的發展具有重大意義。MANET網絡中按攻擊方式分為主動攻擊和被動攻擊兩類［6～7］。

1）主動攻擊

威脅信息完整性和有效性的攻擊就是主動攻擊，比如拒絕服務（DoS）、重放、篡改、假冒等。其主要目的是傳送錯誤信息、干擾通信信道使網絡阻塞等。以下介紹幾種MANET網絡中常見的主動攻擊。

（1）黑洞攻擊（Blackhole）：惡意節點把虛假可用的路由鏈路信息添加到接收到的路由請求包中，使其他節點同其建立路由連接，然后把真正需要轉發的數據包丟棄，從而造成數據包丟失。

（2）槽洞攻擊（Sinkhole）：攻擊者的意圖是盡量把一個區域中的數據流量引誘通過一個惡意節點，該惡意節點就相當于是槽洞。當數據經過該惡意節點時，節點就可以篡改正常數據，從而引發槽洞攻擊，此外還能引發很多其他類型的攻擊。

（3）蟲洞攻擊（Wormhole）：多個惡意節點共謀建立私有的通訊隧道，其中一個攻擊者在私有隧道的一端記錄數據包信息，然后將竊取的信息通過此私有隧道傳遞到隧道的另一端。

（4）女巫攻擊（Sybil）：在P2P 網絡中，我們都默認每一個節點只擁有一個唯一確定的身份。但是當一個惡意節點聲稱自己有多個身份標識，并欺騙信譽系統時，那么它就可以利用這些身份控制或影響網絡的大量正常節點，此時就引發了女巫攻擊。

2）被動攻擊

威脅信息機密性的攻擊比如竊聽和流量分析就是被動攻擊，目的只是獲取信息。信息的暴露會危害信息的發送者或接收者，但是系統不會受到影響。因此，在信息發送者或者接收者發現機密信息已經泄露之前，要發現這種攻擊是困難的。然而，通過對信息進行加密可以避免被動攻擊。

3 安全認證機制

MANET 網絡很容易受到諸如主動入侵或是被動入侵的攻擊，因此對用戶節點身份進行認證是必不可少的。MANET網絡認證體系是安全的第一道防線，也是MANET 網絡安全路由、數據通信的基礎。移動自組織網絡的安全認證機制主要包括以下幾類：

1）集中式認證

集中式認證主要是把有線網絡中的PKI 機制應用到MANET網絡中，其原理是在MANET網絡中的節點中選出一個節點充當CA 認證中心，負責證書的發放、更新、撤銷等管理工作［8］。但是這種方式使得CA 承擔繁重的管理工作，存在單點故障的風險，即一旦CA被攻擊癱瘓，那么整個網絡將會受到嚴重影響。此外，MANET 網絡中的節點大多是移動終端，其電量和存儲能力有限，所以很難找到一個節點來承擔集中式CA 的任務。再者，MANET網絡的動態拓撲性使得路由變換比較頻繁，因而及時定位聯系CA 來進行認證也就變得困難。因此，在MANET 網絡中采用集中式的認證系統并不合適，應該設計適應MANET 網絡分布式特性的認證方案。

2）分布式認證

分布式認證是由MANET網絡內多個節點相互協同作為一個認證權威服務器，這樣CA 的功能就被分配到了多個節點上，其基礎是秘密共享。文獻［9～10］提出了局部分布式方案，該方案利用了門限密碼機制（t，n），主要思想是將CA 的簽名密鑰分成n 份部分簽名密鑰并分發給指定的n 個節點，允許這n 個節點共享簽名密鑰，其中任意t 個節點聯合起來才能合成一份有效的證書來執行CA 功能，而少于t個節點則不能恢復出簽名密鑰也就無法產生有效證書。這種局部分布式認證方案改進了集中式CA的不足，有效防止了單點故障，大大提高了私鑰的安全性。但是新節點的認證需要與t個節點進行通信，而這t個節點很可能分布在網絡各處，任意一個節點返回證書有誤都將無法合成有效證書，因此增加了網絡開銷。此外，門限機制中的參數n 和t 的選擇也并不容易。隨后，文獻［11］提出了全局分布式思想。在全局分布式認證里，CA 的簽名密鑰分給網絡中的所有節點，所有節點共同承擔網絡的認證服務，安全認證服務的可用性較高。但是所有節點都擁有私鑰份額，增加了私鑰暴露的風險。由于CA 證書管理維護比較復雜，A.Khalili 等將基于身份的公鑰加密體制［12～14］應用到了MANET 安全認證中。該方案是以節點的唯一性身份（比如MAC 地址、設備編號等）作為公鑰，所以這種機制不需要公鑰證書。若節點A 向節點B 發送信息，節點A只需用節點B的身份標識ID對信息加密即可，這樣就可以保證只有節點B 可以解密。由于該方案不需要公鑰證書從而公鑰證書的管理難度和公鑰認證的通信開銷大大降低。

3）自組織認證

自組織認證方式的初始化及運行（包括密鑰的管理及撤銷）全部由網內的節點承擔，在該認證系統中，CA 的角色被證書鏈代替。Hubaux 等［15～16］設計了一種自組織認證方案，各節點各自維護證書庫，認證雙方合并它們的證書庫并從中尋找證書鏈。但是該認證方法依靠節點的近距離接觸來交換證書以此來合成證書庫，而MANET 網絡中的節點分布網絡各處，并不能保證網絡中的每個節點都會及時相遇，也就無法保證節點總能很快發現所需證書鏈。文獻［17］提出一種自組織按需式認證方案，該方案不關心整個網絡的證書情況，只在需要的時候才主動構建證書鏈，避免了網絡中周期性廣播交換證書而造成網絡負載過重問題。

4）其他認證

文獻［18］提出一種輕量級可移交CA（LSCA）方案，引入了活躍CA 節點和空閑CA 節點，當前活躍CA激活下次業務簇中的某個空閑CA節點，并以該空閑節點為簇頭形成臨時簇來完成一定的業務。CA 的角色的節點輪轉時間是不確定的，使得攻擊不可預見，增加了系統的健壯性及容忍性。文獻［19］提出了在戰場等惡劣環境中的無人機MBN網絡的安全框架，該方案適應網絡的動態基礎設施變化，即取決于無人機的可用性。當無人機可用時，認證方式在集中式的無人機上實施；當無人機發生故障或被摧毀時，該系統可以無縫切換到分布式認證的無基礎設施模式。

集中式認證、分布式認證和自組織認證是比較典型的三類認證方式，表1 給出了三種認證方式的比較。

表1 集中式認證、分布式認證和自組織認證

4 信任技術與合作激勵機制

MANET 網絡中數據包的傳遞依靠節點間合作完成，因此設計信任評估機制對提高網絡安全性能具有重要意義。以下從信任模型和合作激勵機制兩方面來論述。

4.1 信任模型

MANET 網絡信任模型從結構上來講，可以分為平面結構信任模型和分簇結構信任模型。

1）平面結構信任模型

Eschenauer 等［20］在MANET 網絡中引入了信任建立的過程，并且對比了移動互聯網的信任建立過程。作者提出了支持MANET網絡需求的信任建立框架，并且使用群體智能的方法來分發信任證據。文獻［21］提出了基于證據理論（Dempster-Shafer）的聲譽管理模型并開發了一種應用于信任函數的多專家加權投票策略（加權多數算法）的變體。此外，作者考慮了一些簡單的欺騙模型來檢測信譽信息傳播和聚合過程中的欺騙行為。文獻［22］唐文等人運用模糊集合理論對信任管理問題進行建模并給出了信任的評價機制，構造了一個完整的主觀信任管理模型。文獻［23］在文獻［22］的基礎上進一步將語言變量與模糊邏輯引入到主觀信任的推理研究中，提出一種具有很強描述能力的形式化信任推理機制。文獻［24］提出了基于可用性的信任度量模型（ABTEM），并將該模型應用到路由協議，可以有效發現惡意節點的惡意行為，進而孤立這些惡意節點，提高網絡的可用性。文獻［25］提出了一種動態信任預測模型，這個模型是基于節點的歷史行為和通過擴展模糊邏輯規則預測的未來行為來評估節點的可信性，將該模型運用到未來路由的選擇中來選擇更好的路由。

2）分簇結構信任模型

文獻［26］提出了基于簇的信任模型，根據節點的地理位置將節點聚類，根據鄰居節點的信任值形成一個簇，擁有最高信任值的節點擔任簇頭節點并為簇成員頒發信任值證書。每個節點都需要維護由簇ID、節點ID、簇頭公鑰、簽名等組成的表，節點負擔重。文獻［27］提出了基于中心簇首的信任模型，即使在沒有經驗數據的情況下，該模型也可以有效正確地計算新進入網絡節點的信任值。文獻［28］提出了一個基于安全可信競價的面向簇的路由協議（STACRP）的博弈理論路由模型，為MANET提供了可信框架。

4.2 合作激勵機制

現有的解決方案主要分為三類：基于虛擬貨幣解決方案、基于博弈論的解決方案和基于信譽值方案。

1）基于虛擬貨幣解決方案

基于虛擬貨幣解決方案主要是為積極轉發數據包的良性節點獎勵一定的虛擬貨幣，擁有足夠虛擬貨幣的節點才能發送自己的數據包。為此每個節點都盡力轉發其他節點的報文來獲得虛擬貨幣，從而達到激勵合作的目的。文獻［29］中Hubaux提出了基于虛擬貨幣Nugget的兩種激勵模型：錢包模型（PPM）和交易模型（PTM）。錢包模型（PPM）需要源節點攜帶一定數量的虛擬貨幣（即Nugget幣），每經過一個中間節點轉發都要付給該中間節點一定數量的轉發費作為獎勵，直到到達目的節點。但是這種方法需要源節點估算報文轉發所需的費用，如果錢包里的費用不足以支付途中所經過中間節點的費用時，報文就會被丟棄。由于MANET 網絡具有動態拓撲性，因此估算源節點用來支付所需攜帶的費用是不容易的。交易模型（PTM）不需要源節點攜帶虛擬貨幣，每個轉發節點從上個節點“買下”報文，然后加上本節點的轉發費用后“賣”給下一跳節點，直到到達目的節點，全部費用由目的節點支付。這種方法不需要源節點支付發送費用，攻擊者可以進行洪泛攻擊使得網絡崩潰。Zhong等［30］提出了Sprite 模型，該模型建立集中的結算中心來統一存儲并結算每個節點的虛擬幣，所有參與轉發的節點都記下該報文的收據然后憑收據與結算中心聯系。該結算中心按照博弈論計算出支付方案，根據情況扣去源節點相應的虛擬幣并獎勵給參與轉發的節點一定的虛擬幣。但是該方案需要依賴第三方中心來計算，容易引發單點故障，不適用于MANET網絡分布式的結構。

2）基于博弈論的解決方案

基于博弈論的方案是將轉發行為建模，利用博弈理論找到最優決策。文獻［31］中Felegyhazi等人設計了一個基于拓撲依賴圖的協作分析模型，并求得相關的均衡條件，實現了不采用任何額外的激勵機制來完成轉發的功能。但是本模型假定的是靜態網絡環境，即網絡的拓撲結構不變，這并不符合MANET 網絡動態拓撲的特性。文獻［32］Yu 等人利用博弈論框架分析了MANET網絡下的合作激勵和安全性問題，作者首先研究一個簡單而有啟發性的兩個節點間的分組轉發博弈模型，并推導出最優和防欺騙的包轉發策略。然后，作者研究了在復雜環境下MANET網絡的安全路由和分組轉發博弈模型，并推導出一套基于信譽的防欺騙、抗攻擊的合作激勵策略。在分析合作策略時，除了納什均衡之外，還考慮了帕累托最優、子博弈完善等其他最優化標準。文獻［33］應用演化博弈論對MANET的分組中繼協作問題進行博弈建模和均衡分析，提出了一種能夠有效激勵MANET網絡節點參與數據包中繼協作的納什均衡策略：G-TFT。該策略以中繼節點數量和所需能量成本作為均衡點，建立中繼協作的單階段博弈模型G，驗證節點的自私性。然后把G 擴展到基于時間序列和政策可轉換的演化博弈R，并根據R 的納什均衡策略提出合作激勵策略G-TFT。文獻［34］根據重復博弈理論，把鄰居節點間獲取間接信息過程視為一個多次博弈的過程，建立間接信任信息獲取博弈模型，并分析節點的整體收益，求解納什均衡，最終得出激勵的一致性條件。此外作者還建立了間接信任信息獲取博弈的演化穩定策略，該策略可使節點為了獲得最大利益而在間接信任評估時選擇同鄰居合作，提高了信任管理系統的可用性。

3）基于信譽值方案

基于信譽值方案的合作激勵模型是目前研究比較成熟的方案。其基本思想就是如果節點能夠正確轉發數據包，那么信譽值就會增加；反之，信譽值則減少，當信譽值降低到設定的閾值時，則判定該節點為自私節點。文獻［35］Marti 等人提出watchdog 和pathrater 技術，watchdog 通過監聽下一跳的轉發行為來識別異常節點，如果監聽到下一跳不轉發包，那么該節點行為異常，pathrater 得知后在選擇路由路徑時會避開該節點。之后的信譽機制普遍采用了該算法的思想。文獻［36］提出CONFIDANT 機制，該機制是由監視器、信譽系統、路徑管理和信任管理四個模塊共同完成檢測并孤立不良節點功能。文獻［37］組合了主觀信譽、間接信譽和函數信譽三種不同的信譽來計算出最終的信譽，每個節點都有一套信譽表（RT）和watchdog（WD）機制，而RT 和WD 則是本文提出的協同信譽機制的基礎。

表2給出了以上三種解決方案的比較。

表2 基于虛擬貨幣解決方案、基于博弈論的解決方案和基于信譽值方案

5 結語

MANET 網絡是一種特殊的網絡，與傳統無線網絡不同，MANET 網絡的動態拓撲性和有限資源等特性使得傳統的安全策略并不適應于MANET網絡。因此研究適應于MANET網絡本身特點的安全策略就成為研究者的重要課題。本文對目前關于移動自組網中安全問題和信任技術的研究進行了總結，系統地概述了其安全目標和安全威脅，研究了MANET 網絡的信任機制和合作激勵機制，對各種安全認證機制進行了分類并作了比較分析。MANET網絡安全信任方面下一步發展應包括以下幾個方面：

1）在保證可用性的前提下，增強網絡的機密性和完整性。目前大多數針對MANET的安全解決方案的重點都在機密性和完整性上，對網絡的可用性考慮不夠，而作為一種應急的臨時網絡，MANET的可用性是保證網絡廣泛應用的前提。

2）安全方案應具有自適應性。不同的應用場景對安全性的需求是不一樣的，因此針對不同的應用場景應能自適應選取不同的安全方案。