移 动 无 线 自 组 网 中 路 由 算 法 的 安 全 性 研 究 作 者 : 金 鑫 日 期 : 2003/10/20 _
本 文 提 纲 一 MANET 面 临 的 安 全 威 胁 二 目 前 的 研 究 成 果 三 未 来 的 研 究 方 向
一 MANET 面 临 的 安 全 威 胁 攻 击 的 模 型 主 动 攻 击 针 对 路 由 协 议 的 常 见 攻 击 被 动 攻 击 Active-n-m [1]
主 动 攻 击 主 动 攻 击 主 要 指 更 改 删 除 传 输 的 数 据 干 扰 通 信 信 道 以 及 拒 绝 服 务 攻 击 等 来 自 外 部 的 攻 击 这 类 攻 击 的 主 要 目 标 是 造 成 网 络 拥 塞 扩 散 错 误 的 路 由 信 息 阻 止 服 务 的 正 常 工 作 或 者 彻 底 关 闭 它 们 等 等
被 动 攻 击 攻 击 者 并 不 去 干 扰 正 常 的 路 由 协 议, 而 仅 仅 窃 听 路 由 数 据, 通 过 分 析 窃 听 到 的 路 由 数 据 就 可 能 得 到 有 用 的 信 息 由 于 Ad hoc 网 络 使 用 的 是 无 线 信 道, 所 以 这 种 攻 击 比 较 隐 蔽, 一 般 无 法 检 测 到
Active-n-m 作 者 在 文 献 [1] 中 提 出 了 一 个 攻 击 模 型 : 把 一 个 攻 击 者 表 示 成 Active-n-m, 其 中 n 是 它 所 侵 害 的 正 常 节 点, 而 m 是 它 本 身 所 拥 有 的 节 点 的 个 数 另 外, 如 果 一 个 攻 击 者 将 整 个 网 络 拓 扑 结 构 中 所 有 关 键 路 径 上 的 节 点 都 控 制 了, 也 就 是 说 正 常 节 点 被 分 成 了 若 干 个 子 集, 这 些 子 集 间 如 果 要 进 行 通 信 就 必 须 通 过 这 个 攻 击 者 所 控 制 的 节 点, 作 者 称 之 为 Active-VC
一 MANET 面 临 的 安 全 威 胁 攻 击 的 模 型 针 对 路 由 协 议 的 常 见 攻 击 资 源 耗 费 攻 击 路 由 破 坏 攻 击 两 种 攻 击 都 可 以 看 作 拒 绝 服 务 (Denial-of-Service, DoS) 攻 击 的 实 例
资 源 耗 费 攻 击 在 Ad hoc 网 络 中, 由 于 节 点 的 能 量 和 带 宽 都 非 常 有 限, 所 以 资 源 耗 费 攻 击 更 容 易 被 实 施, 造 成 的 危 害 也 更 大 针 对 Ad hoc 网 络 还 有 一 种 叫 做 剥 夺 睡 眠 (sleep deprivation torture) 的 特 殊 的 攻 击
路 由 破 坏 攻 击 攻 击 者 可 以 创 建 : 黑 洞 (black hole): 偷 偷 地 将 数 据 包 全 部 丢 弃 灰 洞 (gray hole): 有 选 择 的 丢 弃 其 中 的 一 部 分, 如 转 发 路 由 协 议 包 而 丢 弃 数 据 包 虫 洞 (wormhole)[2]: 通 过 有 向 天 线 等 手 段 回 路 (route loop) 或 是 分 割 网 络 (partition): 通 过 修 改 路 由 信 息 发 送 虚 假 路 由 信 息 造 成 路 由
二 目 前 的 研 究 成 果 1 密 钥 的 管 理 2 安 全 路 由 3 入 侵 检 测
二 目 前 的 研 究 成 果 密 钥 的 管 理 分 布 式 密 钥 管 理 [3][4][5] 健 壮 路 由 入 侵 检 测 自 组 织 密 钥 管 理 [6] 基 于 口 令 的 密 钥 管 理 [7] 复 活 的 鸭 子 [8][9] 分 布 式 轻 负 荷 认 证 模 型 [10]
分 布 式 密 钥 管 理 文 献 [3][4] 中 提 出 了 一 种 基 于 Shamir 门 限 [5] 方 法 的 分 布 式 密 钥 认 证 体 系 它 将 CA 的 私 钥 SK 分 解 成 N 个 部 分 (S1,S2,,Sn), 每 个 部 分 由 一 个 节 点 存 储 其 中 任 意 K 个 节 点 可 以 恢 复 出 这 个 私 钥, 从 而 充 当 CA, 完 成 证 书 的 签 发 工 作 Key: How to share a secret
自 组 织 密 钥 管 理 文 献 [6] 中 提 出 了 一 种 类 似 于 PGP 的 自 组 织 密 钥 系 统 系 统 通 过 证 书 链 来 实 现 CA 的 功 能 一 个 节 点 存 储 它 所 信 任 的 节 点 的 证 书 如 果 一 个 节 点 想 获 得 另 一 个 节 点 的 证 书, 那 么 它 就 顺 着 证 书 链 去 查 找, 直 到 找 到 为 止 Key: Small world phenomenon
基 于 口 令 的 密 钥 管 理 文 献 [7] 中 提 出 的 基 于 口 令 的 密 钥 管 理 策 略 是 针 对 小 范 围 内 的 成 员 间 通 信 首 先, 一 个 弱 口 令 被 分 发 给 组 内 成 员, 每 个 成 员 用 这 个 弱 口 令 将 自 己 的 密 钥 信 息 提 交, 然 后 系 统 将 这 些 提 交 的 密 钥 信 息 综 合 起 来 生 成 系 统 密 钥, 最 后 所 有 用 户 就 可 以 用 这 个 系 统 密 钥 进 行 通 信
复 活 的 鸭 子 Stajano 和 Anderson 在 文 献 [8] 和 [9] 中 提 出 了 铭 记 策 略 和 它 的 扩 展 在 这 个 模 型 中, 两 个 设 备 之 间 通 过 一 个 安 全 的 瞬 时 关 联 形 成 一 种 主 从 关 系. 鸭 子 指 从 设 备, 而 它 的 母 亲 指 主 控 设 备. 从 设 备 把 第 一 个 给 它 发 送 密 钥 的 设 备 当 作 它 的 主 控 设 备, 并 听 从 主 控 设 备 的 指 挥 Key: imprinting policy
分 布 式 轻 负 荷 认 证 模 型 文 献 [10] 综 合 了 上 述 几 种 模 型 的 思 想, 提 出 了 一 种 分 布 式 轻 负 荷 的 认 证 模 型 该 模 型 的 主 要 目 的 并 不 是 要 保 障 交 易 的 绝 对 安 全, 而 是 要 使 攻 击 者 付 出 的 代 价 要 高 于 交 易 本 身 这 样 攻 击 者 就 不 愿 意 付 出 大 量 的 努 力 去 破 坏 大 量 的 交 易, 但 是 他 可 能 付 出 较 高 的 代 价 去 破 坏 一 个 单 独 的 交 易
二 目 前 的 研 究 成 果 密 钥 的 管 理 SRP[11] 健 壮 路 由 ARIADNE[12] 入 侵 检 测 SEAD[13] SAR [14] 激 励 机 制 [15][16]
SRP SRP[11] 假 设 在 通 信 的 两 个 节 点 间 存 在 一 个 安 全 关 联 (Security Association, SA), 通 过 SA 进 行 双 向 验 证 来 保 证 两 个 通 信 节 点 间 路 由 信 息 的 准 确 性, 这 样 在 路 由 请 求 过 程 中 就 可 以 不 考 虑 中 间 节 点 的 安 全 性
ARIADNE 文 献 [12] 中 提 出 了 一 种 基 于 DSR 的 安 全 按 需 路 由 协 议 Ariadne Ariadne 分 为 三 个 阶 段 : 1) 提 出 一 种 允 许 目 的 节 点 验 证 路 由 请 求 的 机 制 2) 提 出 了 三 种 可 以 互 换 的 机 制 来 验 证 路 由 请 求 和 路 由 回 复 中 的 数 据 3) 提 出 了 一 种 有 效 的 哈 希 算 法 来 验 证 路 径 上 的 每 个 节 点 都 不 能 缺 少
SEAD SEAD [13] 是 Hu, Johnson 和 Perrig 提 出 了 一 种 基 于 距 离 矢 量 路 由 协 议 DSDV 安 全 路 由 协 议 通 过 让 哈 希 值 和 路 由 信 息 中 的 权 值 以 及 序 列 号 相 关 联, 使 用 单 向 哈 希 函 数 来 防 止 恶 意 节 点 减 小 路 由 信 息 中 对 应 目 的 节 点 的 权 值 或 者 增 加 它 的 序 列 号
SAR 文 献 [14] 中 提 出 的 SAR 算 法 是 一 种 面 向 分 层 结 构 的 ad hoc 网 络 的 安 全 路 由 算 法 它 假 设 已 经 存 在 一 种 密 钥 分 发 算 法, 使 得 在 每 一 个 层 次 上 的 节 点 共 享 一 个 对 称 加 密 密 钥 并 且 它 假 设 每 个 节 点 和 它 所 处 的 信 任 等 级 是 绑 定 得, 节 点 不 能 随 意 修 改 它 的 信 任 等 级, 这 样 一 个 节 点 就 不 能 解 密 其 它 层 次 上 节 点 间 传 输 的 信 息
激 励 机 制 Buttyan 和 Hubanx 将 经 济 学 中 的 思 想 引 入 到 了 Ad hoc 网 络 中, 他 们 在 文 献 [15] 和 [16] 中 提 出 了 虚 拟 货 币 的 概 念, 并 把 它 作 为 转 发 数 据 包 的 报 酬 使 用 虚 拟 货 币, 作 者 提 出 了 两 种 支 付 模 型 : 钱 包 模 型 和 交 易 模 型
二 目 前 的 研 究 成 果 密 钥 的 管 理 分 布 式 协 作 入 侵 检 测 [17] 安 全 路 由 Watchdog&Pathrater[18] 入 侵 检 测 CONFIDANT[19][20][21] CORE[22] 游 戏 理 论 [23] 性 能 比 较 [24]
分 布 式 协 作 入 侵 检 测 Zhang 和 Lee 在 文 献 [17][24] 中 提 出 并 在 NS2 上 实 现 了 一 种 分 布 式 协 作 入 侵 检 测 体 系 模 型 在 这 个 模 型 中,IDS 代 理 在 每 个 单 独 的 移 动 节 点 上 运 行, 进 行 本 地 的 数 据 采 集 和 入 侵 检 测, 当 一 个 节 点 发 出 异 常 警 报 时, 周 围 的 节 点 就 配 合 进 行 检 测 并 在 整 个 网 络 范 围 内 进 行 反 馈
Watchdog & Pathrater 斯 坦 福 大 学 的 Marti 等 人 提 出 了 一 种 看 门 狗 和 选 路 人 算 法 [18] 看 门 狗 是 指 数 据 包 的 发 送 者 在 将 包 发 出 去 之 后 还 要 监 视 他 的 下 一 跳 的 节 点, 如 果 下 一 跳 的 节 点 没 有 对 包 进 行 了 转 发 怎 说 明 那 个 节 点 可 能 存 在 问 题 选 路 人 作 为 一 种 响 应 办 法, 它 评 定 每 一 条 路 的 信 任 等 级, 使 数 据 包 尽 量 避 免 经 过 那 些 可 能 存 在 恶 意 节 点 的 路 径
CONFIDANT CONFIDANT[19][20][21] 是 EPFL 提 出 的 一 种 入 侵 检 测 协 议 它 通 过 节 点 自 身 观 察 和 相 互 通 告 的 手 段 来 检 测 几 种 已 知 类 型 的 攻 击, 使 得 网 络 中 节 点 在 进 行 路 由 时 绕 过 可 能 的 恶 意 节 点, 进 而 将 恶 意 节 点 孤 立 模 拟 结 果 显 示, 对 于 拒 绝 转 发 这 类 攻 击,CONFIDANT 可 以 有 效 的 对 付 占 节 点 总 数 一 半 的 恶 意 节 点 的 攻 击
CORE 文 献 [22] 中 提 出 了 一 种 基 于 游 戏 理 论 [23] 的 CORE 机 制, 它 的 主 要 目 的 是 对 付 Ad hoc 网 络 中 的 自 私 节 点 节 点 的 协 作 是 通 过 一 种 相 互 配 合 的 监 督 技 术 和 一 套 信 誉 体 系 来 实 现 的 每 个 节 点 的 信 誉 分 为 主 观 信 誉, 直 接 信 誉 和 功 能 信 誉 这 些 信 誉 值 被 加 权 平 均 成 一 个 总 的 信 誉 值, 然 后 用 它 来 决 定 是 配 合 还 是 逐 步 孤 立 一 个 节 点
游 戏 理 论»The preference structure»the prisoner s dilemma»the Nash equilibria
性 能 比 较 入 侵 检 测 系 统 在 不 同 的 路 由 协 议 下 的 性 能 是 不 一 样 的 实 验 结 果 显 示 无 论 节 点 是 否 移 动, 先 应 式 路 由 协 议 的 性 能 要 好 于 反 应 式 路 由 协 议 给 定 一 个 路 由 协 议 和 一 个 具 有 N 个 节 点 的 系 统, 需 要 有 多 少 个 节 点 加 入 到 入 侵 检 测 系 统 中 才 能 保 证 监 测 到 的 攻 击 不 小 于 一 定 的 比 例
三 未 来 的 研 究 方 向 Network Performance Centric Security Design Game Theory in Security Design Rational exchange VS Fair exchange Exploiting the Synergy between Peer-to-Peer and Mobile Ad Hoc Networks
参 考 文 献 [1] Yih-Chun Hu, Adrian Perrig, and David B. Johnson. Ariadne: A Secure On- Demand Routing Protocol for AdHoc Networks. Technical Report Technical Report TR01-383, Department of Computer Science, Rice University, December 2001. [2] Y.-C. Hu, A. Perrig, and D.B. Johnson, Packet Leashes: A Defense against Wormhole Attacks in Wireless Ad Hoc Networks, Proceedings of the TwentySecond Annual Joint Conference of the IEEE Computer and Communications Societies (INFOCOM 2003), IEEE, San Francisco, CA, April 2003 [3] JiejunKong, PetrosZerfos, Haiyun Luo, Songwu Lu and Lixia Zhang. Providing Robust and Ubiquitous Security Support for Mobile Ad-Hoc Networks. IEEE 9th International Conference on Network Protocols (ICNP'01), 2001. [4] Haiyun Luo, JiejunKong, PetrosZerfos, Songwu Lu and Lixia Zhang, Selfsecuring Ad Hoc Wireless Networks accepted by the Seventh IEEE Symposium on Computers and Communications (ISCC'02). [5] A. Shamir, How to share a secret, Communications of ACM, 1979
[6] J. Hubaux, L. Buttyan, and S. Capkun. The Quest for Security in Mobile Ad Hoc Networks. InProceedingof the ACM Symposium on Mobile Ad Hoc Networking and Computing (MobiHOC),2001. [7] N. Asokanand P. Ginzboorg. Key Agreement in Ad-hoc Networks. Computer Communications 23, 2000. [8] Frank Stajano and Ross Anderson. The Resurrecting Duckling. Lecture Notes in Computer Science, Springer-Verlag, 1999. [9] F. Stajano. The Resurrecting Duckling -- what next? The 8 thinternational Workshop on Security Protocols, LNCS 2133, Springler-Verlag, 2000. [10]Weimerskirch, Andr6, and Gilles Thonet"A Distributed Light-Weight Authentication Model for Ad-hoc Networks," v. 2288 of LNCS, 2002. [11] PanagiotisPapadimitratosand Zygmunt J. Haas Secure Routing for Mobile Ad hoc Networks SCS Communication Networks and Distributed Systems Modeling and Simulation Conference (CNDS 2002), San Antonio, TX, January 27-31, 2002. [12] Yih-Chun Hu, Adrian Perrig, and David B. Johnson. Ariadne: A Secure On-Demand Routing Protocol for AdHoc Networks. Technical Report Technical Report TR01-383, Department of Computer Science, Rice University, December 2001.
[13] Yih-Chun Hu, David B. Johnson, and Adrian Perrig. SEAD: Secure Efficient Distance Vector Routing for Mobile Wireless AdHoc Networks. In Proceedings of the 4th IEEE Workshop on Mobile Computing Systems & Applications (WMCSA 2002), IEEE, Calicoon, NY, June2002. [14] S. Yi, P. Naldurg, and R. Kravets. Security-aware ad hoc routing for wireless networks. In Proc. ACM Mobihoc, 2001. [15] Levente Butty an and Jean-Pierre Hubaux. Enforcing Service Availability in Mobile Ad-HocWANs. In Proceedings of IEEE/ACM Workshop on Mobile Ad Hoc Networking and Computing (Mobi-HOC), Boston, MA, USA, August 2000. [16] Levente Butty anand Jean-Pierre Hubaux. Stimulating Cooperation in Self- Organizing Mobile Ad Hoc Networks. Technical Report DSC/2001/046, EPFL-DI-ICA, August 2001. [17] Yongguang Zhang and Wenke Lee. Intrusion Detection in Wireless Ad-Hoc Networks. In Proceedings of MOBICOM 2000, pages 275 283, 2000. [18] MGLB00] Sergio Marti, T.J. Giuli, Kevin Lai, and Mary Baker. Mitigating Routing Misbehavior in Mobile Ad Hoc Networks. In Proceedings of MOBICOM 2000, pages 255 265, 2000. [19] Sonja Buchegger and Jean-Yves Le Boudec. IBM Research Report: The Selfish Node: Increasing Routing Security in Mobile Ad Hoc Networks. RR 3354, 2001.
[20] Sonja Buchegger and Jean-Yves Le Boudec. Nodes Bearing Grudges: Towards Routing Security, Fairness, and Robustness in Mobile Ad Hoc Networks. In Proceedings of the Tenth Euromicro Workshop on Parallel, Distributed and Network-based Processing, pages 403 410, Canary Islands,Spain, January 2002. IEEE Computer Society. [21] Sonja Buchegger and Jean-Yves Le Boudec. Performance Analysis of the CONFIDANT Protocol: Cooperation Of Nodes Fairness In Dynamic Ad-hoc NeTworks. In Proceedings of IEEE/ACM Symposium on Mobile Ad Hoc Networking and Computing (MobiHOC), Lausanne, CH, June 2002. [22] Pietro Michiardi and RefikMolva. CORE: A Collaborative Reputation Mechanism to enforce node cooperation in Mobile Ad hoc Networks. Sixth IFIP conference on security communications, and multimedia (CMS 2002), Portoroz, Slovenia., 2002. [23] P. Michiardi, R. Molva, Game theoretic analysis of security in mobile ad hoc networks, Research Report RR-02-070, Institut Eurecom [24] Y. Zhang, W. Lee, and Y. Huang. Intrusion detection techniques for mobile wireless networks. ACM/Kluwer Mobile Networks and Applications (MONET)
Thanks!