Ad Hoc网络中合谋攻击研究综述
来源:小侦探旅游网
第36卷 第3期 I1oL36 ・计算机工程 2010年2月 February 2010 No.3 Computer Engineering 安全技术・ 文章编号:10oo—3428(2o1o)o3.__0177—-_o3 文献标识码:A 中围分类号:TP393 Ad Hoc网络中合谋攻击研究综述 谭长庚,李婧榕 (中南大学信息科学与工程学院,长沙410083) 摘要:恶意节点利用协议漏洞发起合谋攻击,将严重影响网络的正常运行。针对Ad Hoc网络的系统脆弱性,分析节点攻击问题,介绍 4类合谋攻击解决方案,并指出各自优缺点。分析结果表明,现有方案都存在一定缺陷,需要对方案的可靠性和可扩展性方面做改进。 关健词:自组织网络;合谋攻击;虫洞攻击 Survey 0f Research 0n Collusion Attack in Ad H0c Network TAN Chang—geng,LI Jing-rong ・ (College ofInformation Science and Engineering,Central South University,Changsha 410083) [Abstract]Malicious node uses protocol loophole launching collusion attack,it badly affects the normal operation of network.Aiming at the system vulnerability of Ad Hoc network,this paper analyses the attack launched by malicious nodes,introduces four kinds of collusion attack solutions,gives their merits and faults.Analysis results show that existing solutions all exist definite defect,they need improve in the aspects of reliability and extendibility. [Key words】Ad Hoc network;collusion attack;wormhole attack Ad Hoc网络具有广阔的应用前景,但其安全问题一直困 码技术的合谋攻击解决方案,信任模型与密码技术相结合的 合谋攻击解决方案,虫洞攻击与Sybil攻击的解决方案,其 他类型的合谋攻击解决方案。 扰研究者,节点合谋攻击是问题之一。本文针对传统安全路 由协议容易忽视节点合谋攻击的问题,重点讨论现有典型的 合谋攻击解决方案。 2.1基于密码技术的合谋攻击解决方案 在部分合作性方案中,节点转发数据包给予虚拟货币作 1 Ad Hoc网络的安全威胁 Ad Hoc网络的安全需求与传统网络一致,包括机密性、 完整性、有效性、身份认证和不可否认性。Ad Hoc网络的安 全现状与安全需求相差甚远,其固有的特性及安全漏洞容易 引发各种类型的攻击。按照攻击性质,攻击行为可分为2类l】J: 一为奖励,持有货币能发送自己的信息。恶意节点合谋工作后, 部分节点获取大量货币,另一部分节点消耗很多,它们通 过平分所得货币便于继续合谋。平分货币的前提是消耗货币 的节点必须使其合作方相信它们确实消耗了那么多货币。节 点问一般采取2种方法获取信任,文献[2]采用密码技术,分 别对这2种方法给出了对策,假设A表示消耗货币的节点集, B表示获取货币的节点集。(1)A让B查看自己发给源节点的 信息,该信息说明了它们所消耗的货币数量。采取对策:允 许每个节点向A发送信息更新自己的货币数量。因此,即使 (1)被动攻击。攻击者通过无线信道窃听节点间的通信, 获取有价值的信息。由于被动攻击只窃取信息,不会破坏协 议的正常工作,因此通常很难被检测到。 (2)主动攻击。恶意节点通过删除信息、插入错误信息、 修改信息等手段,主动破坏网络协议、违反安全策略,直接 影响网络的可用性。按照攻击来源,主动攻击分为外部攻击 和内部攻击。外部攻击是指没有通过验证的网络外节点对网 络的攻击;内部攻击是指网络中的节点被侵占或本身就是叛 B看到了这条信息,也不能确定它所表示的货币数量是否已 由源节点认证。(2)A让B查看接收到的来自源节点的货币信 息,这条信息是源节点直接根据A所声明的货币数量支付的 货币数。采取对策:源节点对信息签名,这个签名只有A和 中央银行才能检验。因此,B无法检验源节点的签名真伪, 将会怀疑签名是伪造的。这种方法依赖于一定的硬件或者中 心机构来破坏节点间的信任,阻止合谋攻击。由于其扩展性 不强,因此不适用于大型的和对实时性要求较高的移动自组 网络。 徒,通过窃听、发布错误路由信息等方法对网络进行攻击。 由于内部的恶意节点是网络的授权主体,受到协议的保护, 因此更难于检测,对Ad Hoc网络危害更大。 在Ad Hoc网络中,把2个或者2个以上的恶意节点通 过相互掩饰联合破坏正常节点和网络的行为称为合谋攻击。 合谋攻击除具备一般攻击的基本特性外,还具备以下3个特 点:(1)互相担保,使攻击节点看似合法节点;(2)互相伪装, 建立虚假链路;(3)做伪证陷害合法节点。由于合谋攻击破坏 为了限制已退出网络的节点利用旧秘密份额进行合谋攻 基金项目:国家自然科学基金资助项目(60873265);教育部博士点基 金资助项[1(20060533057) 力度大,又有一定隐蔽性,因此有效解决节点合谋攻击的方 案至关重要。 作者倚介:谭长庚(1963一),男,副教授、博士研究生,主研方向: 移动自组网的路由协议和性能评价;李婧榕,硕士研究生 2 Ad Hoc网络中的合谋攻击解决方案 目前,节点合谋攻击的解决方案大致分为4类:基于密 收稿日期:2009—06—05 E—mail:cgtan@163.tom 177— 击,文献【3】基于可验证秘密分享机制和门限密码技术,提出 一项(MAC项包括上游节点的trust—level值、节点IP以及节点 的私钥)附加在RREQ包头。当节点质疑另一节点的信任度 时,就广播一个警告信息RWARN(RWARN包含被告节点的 种分布式组密钥管理方案。采用前摄门限密码技术,在不 泄露组秘密的条件下更新所有节点的秘密份额,重新计算新 的组秘密份额。所有更新的组秘密份额组成组秘密的一个新 门限分享后,节点删除旧份额。那么,恶意节点无法将新旧 份额联系起来恢复组秘密,从而防止了已退出网络的节点参 与合谋攻击。该方案有效抵制了恶意节点的合谋攻击,具有 鲁棒性和自适应性的特点。在敌对环境下,该方案的组密钥 更新效率和成功率均优于其他协议。该方案的缺点是门限值 不能根据用户的需求动态调节。 IP和MAC值)控告这个节点,收到RWARN的节点,若不能 用被告节点的私钥解译MAC项,则推导出原告节点为恶意 节点;若能解密MAC项,则检查被告节点与原告节点的 trust—level值是否相等,若相等,则说明被告节点正确评价了 原告节点行为,推导出原告节点为恶意诬陷,否则被告节点 就为恶意节点。 文献[4]讨论了在传感器网络中,不同通信区域的节点互 相伪装,利用成对密钥创建许多错误身份对密钥预分配机制 ● ● 进行合谋攻击,使更多的节点成为受控节点,严重影响网络 的通信安全。该文有效地证明了即使网络中存在小部分合谋 节点,也可以“劫持”大量的通信信道,并提出2种方法: (1)减少妥协节点的利用率,但这种办法受网络条件的局限性 影响;(2)探测成对密钥的重复利用,但开销太大。该文的主 要贡献在于定义了一种在分布式传感器网络中的合谋攻击形 式,并分析了其破坏性,但未给出合理的解决方案。 2.2信任模型与密码技术相结合的合谋攻击解决方案 文献【5]定义了一个簇网络模型,并结合信任机制提出一 种分布式公钥认证方法来发现并隔离合谋节点。同一个簇的 节点互相监测,根据节点行为计算相应的信任值;认证服务 依赖于可信节点签发的公钥证书。假设源节点s和目的节点 D不属于同一个簇,S向D索要公钥证书。S从introducer(与 D在同一个簇,但已与s建立联系的节点集)中选取前”个信 任值最高的节点,询问D的公钥和推荐信任值。通过比较 这n个信息,s选出正确的D的公钥并计算其信任值。然而, introducer中可能包含恶意节点,它们合谋返回错误的公钥或 推荐信任值给S,诬陷正常节点。针对这种情况,采取以下 方法:S在发现D正确的公钥后,降低给予错误公钥的节点 信任值,阻止它们再次成为introducer;通过偏离测试过滤掉 不合理的信任值,再计算D的信任值,同时降低恶意节点的 信任值,并广播一个消息隔离它。该方案通过建立簇网络模 型加强了邻居节点检测力度和公钥认证服务的有效性,较好 地解决了节点合谋诬陷正常节点的问题,隔离并惩罚了恶意 节点。但是,在合谋节点多于正常节点的情况下,该方案找 不到节点的正确公钥。 文献【6]提出一系列解决节点恶意行为的方案。 ̄AODV 提供了一个防范单个节点攻击的安全路由算法。源节点在 RREQ包头定义一个trust—level值,当中间节点收到RREQ 包后,根据上游节点的行为修改trust—level值并重新广播 RREQ包。上游节点检验该重新广播的RREQ包,检查其提 供的trust-level是否与实际相符合,若不符合,则立刻广播 一个警告信息,阻止恶意节点进入网络。文献[7]是对 ̄AODV 的扩展,解决了恶意节点合谋攻击的问题,该文首先定义了 一种合谋攻击模型,如图1所示。其中,A,B,C,M,N为网 络节点,M和N为合谋节点。当M收到A和B的RREQ包 后,将其转发给N和C。由于M和N是合谋节点,因此N 给予M很高的turst—level值,C呗0对M进行正常的trust—level 评价。M对trust.1evel值检验后,诬陷c为恶意节点,使其 受到网络的孤立,而合谋节点M和N就顺利地加入到路径中。 针对该情况,笔者给出了解决方案。每个节点都有一对公钥 和私钥,在收到并重新广播RREQ包前,需计算一个MAC 178一 ● ● 图1攻击模型 文献[8]在上述研究基础上,建立信任模型评价节点的信 任度,分析3种不同的恶意攻击行为:节点自私丢包或有选 择性丢弃“大”包,诬陷节点不传包,节点突然中断路由, 使网络重新发起路由发现。这种方法可以有效地阻止恶意节 点加入到路由选择中。 在AODV协议的基础上,笔者有效解决了单个节点攻击 与合谋诬陷正常节点的问题,其仿真结果表明协议在网络开 销和错误路径率方面都有较好的性能。但由于节点必须参与 整个检测过程,因此会使其能量过早耗完。并且,若所有节 点都不诬陷其他节点,那么协议很可能找不到一条端到端的 安全路由。 文献[9]在链路状态路由协议OLSR基础上提出基于信任 保留的安全路由协议TPSRP。该协议采用信任保留方式对节 点进行认证,即对每个步骤的认证结果进行保留,下一次节 点相遇时可以继续认证。另一方面,TPSRP采用数据挖掘技 术中基于关联规则的行为检测方法,提取节点的行为特征, 总结恶意行为的规律,建立比较完备的信任规则库辨别恶意 行为。主机定时进行流量分析与关联规则匹配,对不符合关 联规则的网络流量,认为是恶意行为。由于每条路径都由通 过认证的节点构成,恶意节点无法进入网络,因此有效地检 测和抵抗了Ad Hoc网络中的合谋攻击。 TPSRP将认证服务与数据挖掘技术相结合,具有一定的 创新性。在节点移动性较强的情况下,它的认证效率要高于 传统认证协议,并能够有效地孤立攻击节点。这种方法节点 的开销过大,容易缩短网络寿命。 2.3虫洞攻击与Sybil攻击的合谋攻击解决方案 在Ad Hoc网络中,虫洞攻击和Sybil攻击属于节点的合 谋攻击形式。 2.3.1 虫洞攻击及其解决方案 虫洞攻击是2个或多个节点间建立私有通道,攻击者通 过私有通道传递窃取的信息。虫洞能造成比实际路径短的假 象,扰乱网络的路由机制,导致路由发现过程失败。目前, 虫洞攻击的解决方案大致分为2类: (1)基于位置信息的方法。此类协议主要利用定向天 线_l。1、超声 或GPSl 】等技术计算网络节点的相对位置,推 导数据包是否从虫洞发送。但该类方法需要额外的设备,检 测能力有限。 (2)数据包限制” 。该方法分为时间限制和位置限制2种。 源节点给每个数据包打上了精确的时间信息或几何位置信息 标签,目的节点将数据包到达的时间和位置信息与标签进行 比较,如果数据在不切实际的时间内传送了不切实际的距离, 那么就认为网络中有虫洞。但该方法存在很大的误差,因为 在实际运行中,很难准确计算出数据包传输的时间和距离。 2.3.2 Sybil攻击及其解决方案 Sybil攻击是针对地理位置协议的一种攻击行为,网络节 点同时冒充几个节点身份出现,破坏资源分配和路由算法的 节点签名认证,因此,该阶段有效地防御了节点问建立虚假 链路的合谋攻击。由于该阶段不考虑任何性能指标,所生成 的路径可能包含大量的攻击节点,因此在路由选择阶段,由 路径的性能指标组成一个判定公式来衡量路径质量的好坏, 从而排除包含恶意节点的路径。 Sprout有效阻止了节点合谋建立虚假链路。即使网络中 存在大量的攻击节点,Sprout仍能找到目的节点的路径。但 是在概率路由产生阶段,存在大量邻居节点被阻止加入路由 选择,可能找不到从源节点到目的节点的路径。 可靠性。目前,Sybil攻击的解决方案大致分为2类: (1)身份认证技术 。 。。节点通过唯一对称密钥验证其邻 居节点的身份,防止节点身份假冒。此外,限制邻居节点的 数量,使其只能与有限个可信任节点通信,从而孤立一部分 妥协节点。这类方法采用节点间共享密钥进行身份认证,使 节点的计算量和能量消耗都很大,占用节点的存储空间多, 缩短了网络的使用寿命,部分协议还需要硬件设备的支持。 (2)无线资源检测法LJ 。若节点要检测其邻居节点是否为 Sybil身份,则为每个邻居分配一个信道,并广播消息,然后 随机选择一个信道进行监听,如果邻居是合法节点,那么能 监听到应答消息。由于信道有限,因此造成节点的检测范围 受限,而且节点的能量消耗过快,加速了节点自身的失效。 (3)基于接收信号强度指示(Received Signal Strength Indicator,RSSI) ̄检测机制…j。此类方法利用对不同接收者 发送过来的消息包的RSSI比值来检测Sybil攻击。它的优点 是无须计算发送者的位置,只需要2个节点就可以检测出 Sybil攻击。该方法无法检测网络中已有的Sybil攻击,只能 检测网络节点布置好后新增加的节点中存在的Sybil攻击, 且需要硬件支持。 2.4其他类型的合谋攻击解决方案 文献[18]提出一种在包含合谋节点的无线网络中进行路 由选择的方案Sprout。Sprout由概率路由产生和路由选择 2个阶段组成。在概率路由产生阶段,路由选择无须考虑网 络性能,如图2所示。 一 冲 (a)阶段1 . (b)阶段2 一一 (c)阶段3 (d)阶段4 图2概率路由产生阶段 由源节点S出发,从其邻居节点中随机选择一个节点作 为其下一跳,剩余邻居节点加入considered数组(黑色节点), 选入路径的节点包含在select—one数组(白色节点)中,网络其 他节点则加入available数组(灰色节点),下一跳节点将从 available中挑选。若select-one数组包含目的节点D,则找到 了目的节点的路径,否则,重新寻路。由于节点的某一跳邻 居一旦成为其下一跳,该节点剩下的一跳邻居节点都直接被 包含到considered数组中,而且链路的建立与删除需要2端 文献[19]提出一种LeakDetector机制,用于解决Ad Hoc 网络中邻居节点合谋隐瞒丢包的问题,弥补了现有安全路由 协议只能监测一跳邻居行为的缺陷。LeakDetector的主要思 想是由目的节点建立一张虚拟图,用于模拟从源节点到目的 节点的多条路径。通过周期性更新包的传输情况,每个中间 节点计算从上游节点接收的包百分比,并将此数据传送给目 的节点。目的节点收集到这些数据后,将其标记在虚拟图的 边上,用于表示每个节点接收与转发的包百分比,从而比较 这2个百分比值。若两者偏离太大,则判定该节点为恶意 节点。 LeakDetector机制能够有效解决带有类似于watchdog监 测器的路由协议无法检测节点合谋掩饰丢包的情况。不过, 该方案需要周期性地更新虚拟图信息,使节点开销较大,容 易缩短网络寿命,不适合拓扑结构复杂的网络。 3结束语 节点合谋攻击的破坏性和难防御性严重影响了网络性 能,而现有解决方案都存在一定缺陷。因此,在Ad Hoc,网 络中设计合谋攻击解决方案时,可以从2个方面考虑:(1)综 合分析合谋攻击的多种表现形式,采用有效的密码技术防止 恶意节点窃取信息,提出分布式的合谋攻击解决方案;(2)由 于Ad Hoc网络的拓扑结构动态变化,因此应当考虑解决方 案的可扩展性和可靠性,能够适应不同规模的网络。 参考文献 [1]王建新,张亚男,王伟乎,等.移动自组网中基于声誉机制的安 全路由协议设计与分析[J]_电子学报,2005,33(4):596—60 1. [2】Zhong Sheng,Wu Fan.On Designing Collusion—resistant Routing Schemes for Noncooperative Wireless Ad Hoc Networks[C]//Proc. of the 13th Annual International Conference on Mobile Computing and Networking.Montreal,Quebec,Canada:[S.n.],2007:278—289. [3]李俊,崔国华,郑明辉.移动自主网络安全分布式组密钥管理 方案[J1_小型微型计算机系统,2007,28(6):991-997. [4]Moore T.A Collusion ARack on Pairwise Key Predistribution Schemes for Distributed Sensor Networks[C]//Proc.of the 4th Annual IEEE International Conference on Pervasive Computing and Communications Workshops.Washington D.C.,USA:[S.n.],2006: 251.255. 【5]Ngai E C H,Lyu M R.An Authentication Service Based on Trust and Clustering in Wireless Ad Hoc Networks:Description and Security Evaluation[C]//Proc.of IEEE International Conference on Sensor Networks,Ubiquitous,and Trustworthy Computing.Taiwan, China:IEEE Press.2006:94-1O3. [6]Pissinou N,Ghosh Makki K.Collaborative Trust—based Secure Routing in Multihop Ad Hoc Networks[J].Lecture Notes in Computer Science,2004,3042(11):1446—1451. (下转第183页) 】79— 完成的。spy比例是指间谍节点占恶意节点总数的比例。“差” 服比例是指所有交易次数中提供的服务为“差”所占的比率。 图3中可看出,类PSM在对恶意节点中存在问谍节点的抑 制上是几乎无效的,随着spy百分比的增加,“差”服务比例 也随着增加。TMFT则能有效地抑制此类行为。实验中发现, 对间谍节点的抑制是缓慢的,原因是网络中推荐行为的次数 远小于网络中交易行为的次数。 平均交易次数 薹 娄 JF I一 l+ .7I 警 二兰= 习 5I .图4交易次数对恶意节点的抑捌 上述3个实验表明,与类PSM相比,TMFT能更容易的 发现间谍行为,而且能较快地驱除网络中的恶意节点。 5结束语 10 15 2O 25 3O 35 4o 45 5O 恶意节点比钟(%) 信任评价是P2P安全问题中的一个重点,由于信任具有 模糊性等特点,因此会存在评价不准确问题。本文构造的信 任模型,使节点之间的信任评价更加准确,同时能较好地抑 制恶意同伙合谋和间谍行为,达到驱除恶意节点的目的。 图2恶意节点对优质服务的影喃 萋 要 塞 参考文献 【1]Kamvar S D,Schlosser M Garcia M H.The Eigentrust Algorithm for Reputation Management in P2P Networks[C]//Proc.of the 12th Int’1 WWW Conf..Budapest,Hungary:ACM Press,2003:640—651. [2]Xiong Li,Liu Ling.PeerTrust:Upporting Reputation-based Trust in spy比t ̄l/(Vo) Peer-to—Peer Communities[J].IEEE Transactions on Knowledge and Data Engineering,2004,16(7):843—854. 圈3 spy节点对差服务的影响 实验3对恶意节点的抑制。此实验是在恶意节点比例为 30%,spy比例为40%的条件下完成的。图4中可看出,随 着平均交易次数的增加,恶意节点的交易行为将减少,最终 将从网络上被驱除。与类PSM相比,TMFT能较快地驱除网 络中的恶意节点。 [3]王亮,郭亚军.电子商务系统的信任建模与评估【J】.计算机工 程,2009,35(10):129—131. [4】胡宝清,模糊理论基础[M].武汉:武汉大学出版社,2004. [5】Kots S,吴喜之.现代贝叶斯统计学[M].北京:中国统计出版社, 2000. 编辑金胡考 (上接第179页) f71 Ghosh Pissinou N,Makki K.Collaborative Trust—based Secure [14]Karlof C,Wagner D.Secure Routing in Wireless Sensor Networks: Attacks and Counter—measures[c]//Proc.of the l st IEEE International Workshop on Sensor Network Protocols and Routng Agaiinst Colluding Malicious Nodes in Multi—hop Ad Hoc Networks[C]//Proc.of the 29th IEEE Annual Conference on Local Computer Networks.Tampa,Florida,USA:IEEE Computer Society, 2004:224—231. Application.Anchorage,USA:[s.n.],2003:113—127. [15]Zhang Qinghua,Wang Pan,Douglas S R,et a1.Defending Against Sybil Auacks in Sensor Networks[C]//Proc.of the 25th IEEE Conference on Distributed Computing Systems Workshops. Washington D.C.,USA:IEEE Press,2005:185—191. [8]Ghosh L Pissinou N.Towards Designing a Trusted Routing Solution in Mobile Ad Hoc Networks[J].Mobile Networks and Applications, 2005,10(6):985—995. [9]付才,洪帆,洪亮,等.基于信任保留的移动AdHoe网络 安全路由协议TPSRP[J].计算机学报,2007,30(10):1853—1864. [10】Hu Lingxuan,Evans D.Using Directional Antennas to Prevent Wormhole Attacks[C]//Proc.of the 1 1th Annual Network and Distributed System Security Symposium.San Diego,California, [16]Newsome J,Shi E,Song D,et a1.The Sybil Attack in Sensor Networks:Analysis and Defenses[C]//Proc.ofthe 3rd International Symposium on Information Processing in Sensor Networks. Pittsburgh,USA:[s.n.],2004:259—268. [17]Demirbas M,Song Young—whan.An RSSI—based Scheme for Sybil Attack Detection in Wireless Sensor Networks[C]//Proc.of the 2006 International Symposium on World of Wireless,Mobile and USA:[s.n.],2004. [1 1]Naveen S,Shankar U,Wagner D.Secure Veriifcation of Location Claims[C]//Proc.of the 2nd ACM Workshop on Wireless Security. Doha,Qatar:[s.n.],2003:1—10. [12]He Tian,Huang Chengdu,Blum B M,et a1.Rang—free Localization Multimedia Networks.Buffalo,New York,USA:[s.n.],2006: 564—570. [18]Eriksson Faloutsos M,Srikanth V K.Routing Amid Colluding Attackers[C]//Proc.of the IEEE Internationa1 Conference on Schemes for Large Scale Sensor Networks[C]//Proc.of the 9th Annual International Conference on Mobile Computing and Networking.New York,USA:ACM Press,2003. Network Protocols.Beijing,China:IEEE Press,2007:184—193. 【19】Graft K,Mogre P S,Hollick M,et a1.Detection of Colluding Misbehaving Nodes in Mobile Ad Hoc and Wireless Mesh [13]Hu Yih—Chun,Perrig A,Johnson D B.Packet Leashes:A De ̄nse Against Wormhole Attacks in Wireless Networks[C]//Proc.of the 22th Annual Joint Conference of the IEEE Computer and Networks[C]//Proc.of GLOBECOM’07.Washington D.C.,USA: 【s.n.1,2007:5097—5101. Communications.『S.1.]:IEEE 1NFOCOM Press,2003:1976 1986. 编辑陆燕菲 183—