张森

摘要：移动Ad Hoc网络采用独立性较强的组网方式，是一种具有高动态化的拓扑结构、无有线基础设施加以支持的无线网络技术，广泛应用于军事领域并不断地向民用环境下拓展。本文在对路由协议形式化的分析方法进行介绍的基础上，分析了现有的路由安全威胁模型的缺陷并提出更具适应性的层次化威胁模型。

关键词：移动Ad Hoc网络 路由协议 路由安全威胁模型

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2014）08-0191-01

1 引言

移动Ad Hoc网络是没有固定基础设施的自组织无线网络，整个网络的各个节点均处于不断地移动状态且与其它的节点可以任意方式保持动态的联系。网络节点同时具有主机、路由器的作用，在两节点处于相互间无法进行直接通信的范围内，便可借助于与其它节点的协作完成数据的分组转发实现通讯目的。在没有固定的网络基础设施的环境下，如需要完成临时通信，就可以通过简便的移动Ad Hoc网络搭建来实现。

路由的安全性对于移动Ad Hoc网络运行的可靠度非常关键，其作用是使处于超出有限的通讯范围的节点间具备互相通信的能力。通常的安全方案大都利用加密、签名等密码学机制来获取给定节点之间的有效路径。所以分析路由协议的安全属性可以通过密码学安全协议的形式化分析方法。不过，由于这些分析设计方法本身所存在的不足以及采用不合理的安全威胁模型，造成安全缺陷的存在。

2 安全路由协议分析方法

为便于分析路由协议的安全属性，在对路由协议的设计和形式化分析时，要么采用对安全协议进行直接分析的方法，要么就移动Ad Hoc网络的特殊性来扩展形式化分析方法。已有的安全路由协议形式化分析方法主要包括计算模型方法和符号模型方法。目前较为流行的分析协议安全性的方法包括通用可复合UC模型与协议复合逻辑PCL。

2.1 通用可复合UC模型

物理计算设备图灵机能够对有效算法进行精确的定义，是较为通用的计算模型。在对成对的ITMs系统定义之后，就可以对其交互式系统进行建模。Canetti将最初的定义加以扩展后，就可以建模两方的分布式系统，而且可以进行PPT-ITMs建模及对多用户、多协议环境下的安全协议运行，从而建立了通用可复合UC模型。该模型中，n个交互式图灵机Pi组成了建模任意n方协议，其中Pi为参与协议的一方，将攻击者实体模型化成和Pi能够并行运行的交互式图灵机。UC模型对另一特殊的、可以以任何方式和、Pi交互的攻击者实体作出定义以对协议的异步并行运行进行建模。参与方在协议运行的时候输出至纸带的信息就是其视图信息。通用可复合UC模型认为各个协议的参与方均遵从协议标准执行动作，即认为其初始状态为诚实，一旦攻击方在协议运行过程中将某参与方攻陷，该参与方就可能可按照攻击者的能力及目的恶意参与后续的协议运行。UC模型对安全的本质性定义为协议是否可以实现理想函数，通过理想函数捕获协议安全需求，通用可复合定理保证协议在异步并发网络环境中的安全。模型中的协议消息为bit串，用函数表示协议所使用的密码学原语，攻击者为任意概率多项时间算法。

2.2 协议复合逻辑PCL

协议复合逻辑PCL采用简单化的编程语言对协议角色集合进行描述，各角色指定了诚实的参与方执行动作的序列。PCL中利用反应规则来定义编成语言的操作语义，PCL逻辑有行为谓词公式、普通公式及模态公式。PCL的证明系统包含一系列的公理及规则，这些公理及规则范围协议行为公理、拥有公理及普通规则三个部分，也可使用一阶逻辑中的所有公理。协议复合逻辑PCL对安全的本质性定位为公式，公理和规则证明协议能否满足符号安全准则，其中的协议消息为符号术语，将密码学原语看作执行有限符号运行的操作，也即攻击者必须拥有正确的密钥信息方能进行各种密码学操作。假设协议所用的密码学算法时理想化状态下分析协议的安全性，可以对协议的分析进行简化且方便进行自动化分析。

3 层次化攻击模型

现有的攻击模型主要包括active-n-m攻击模型、参数化攻击模型、自适应攻击模型和Dolev-Yao攻击模型。active-n-m攻击模型应用较为广泛，不过也存在着一些问题，主要是规定所有攻击者控制的攻陷节点的通信能力与网络的普通节点相同，攻击者的攻击能力取决于实际网络拓扑结构，而且不允许攻击者控制的攻陷节点间共享协议运行中捕获的信息；参数化攻击模型与active-n-m攻击模型存在着比较相似的问题；自适应攻击模型为解决上述问题，假设攻击者控制的攻陷节点的通信能力是自由而不受约束的，这种假设对于路由协议安全分析是不合理的，任何协议均不能预防此类攻击者；Dolev-Yao攻击模型忽略了中间节点的行为，并不依赖中间节点进行数据传输，因此不能直接用来描述移动Ad Hoc网络路由协议的安全属性。

层次化结构模型综合上述模型特点，从攻击者拥有的节点个数、攻击者通信能力和攻击者计算能力三个方面分析其攻击强度。其主要目标位确定攻击者攻陷路由协议所需的最低攻击能力，使比较不同安全路由协议间的安全性成为可能。同时，攻击者能够共享协议运行时所捕获的信息。此外，避免协议设计人员试图预防在路由层无法消除的攻击，为设计可证明安全的Ad Hoc网络路由协议提供合理的攻击模型。

4 结语

移动Ad Hoc网络安全路由协议设计与分析极为复杂，本论文只是对相关问题作出初步的探索，仍然存在较多问题有待解决，需要进行深入的研究。随着更多的学者不断参与进行动Ad Hoc网络的相关研究，该技术迅速扩展至民用系统中，具有非常广阔的应用前景。

参考文献：

[1]李金鹏，吕光宏，王立平，薛强.移动Ad hoc网络安全路由协议研究[J].计算机技术与发展，2008（07）.

[3]柯敏毅，魏树婧，肖鹏.移动Ad Hoc网络路由安全问题研究[J]. 网络安全技术与应用，2008（02）.endprint