《移动自组网络中相邻节点间通信的匿名安全.docx》由会员分享,可在线阅读,更多相关《移动自组网络中相邻节点间通信的匿名安全.docx(7页珍藏版)》请在三一办公上搜索。
1、移动自组网络中相邻节点间通信的匿名安全 Supported by the National High-Tech Research and Development Plan of China under Grant No. 2005AA123110 (国家高技术研究发展计划(863计划)资助项目)第一作者简介:章洋(1970),男,博士生,安徽安庆人,主要研究领域为网络安全与分布式计算。章 洋 范植华(中国科学院 软件研究所 通用软件实验室)摘要:战术无线自组网等类似系统对安全性的要求除了基本的通信内容机密、完整、可用与可信等特性外,还要求通信者的身份对敌人保密,为通信者及其使命提供保护。因此,
2、在此类系统中相邻节点间通信时需要实现匿名双向认证与身份隐藏,防止敌手推断敏感信息。鉴于已有的研究都未专门而全面地论述移动自组网络链路层通信的匿名安全性,本文设计了一种新型链路层通信与接入认证的匿名安全方案,其特点是:利用基于身份的加密方案实现系统中节点的身份隐藏;利用基于多项式的密钥发布方案实现节点入网权限的动态回收;利用压缩的Bloom Filter可在身份隐藏情况下对恶意节点的行为进行追踪。最后分析了算法的安全性与匿名性。关键词:双向认证;Bloom Filter;基于身份的密码系统;匿名性;移动自组网络中图法分类号:TP309文献标识码: A1 引言 移动自组网络由于其通信介质的开放性、
3、拓扑的动态变化性及缺少固定的管理点等特性,易遭受安全攻击,尤其在存在敌意对手的环境中,安全问题变得更为严重。战术无线自组网等类似系统的安全,不但涉及到通信内容的机密性、完整性、鉴别与可用等安全特性,还因为敌手通过通信量分析与报文分组追踪会对通信者本身及其所要完成的秘密使命造成威胁,所以系统需要具有匿名通信能力,这不可避免地需要实现链路层通信的身份隐藏,另外网络层的匿名实现,也需要链路层提供匿名通信的支持。例如,战场上指挥员与执行秘密任务的下属单位进行通信时,希望系统能够提供匿名安全,以保护指挥员身份不被敌人测定及秘密任务不被发现。 为了使敌手不能凭借通信中的固定特征而追踪节点,物理层发射的信号
4、中不能带有标识身份的唯一性指纹,MAC地址也必须随机化。只有具有网络访问权限的节点才能够入网,防止系统外非法节点向网络中注入虚假信息,因此在节点使用随机MAC地址进行通信时,相邻节点虽然不再验证对方的真实身份,但是彼此要相互验证对方具有网络访问权限。在通信过程中合法节点的集合会发生变化,必须能够对节点入网权限进行动态撤销与赋予新节点入网权限。当有节点被入侵与被控制而进行恶意行为时,必须能够被检测,所以在隐藏身份的同时,需要有方法追踪节点的行为。 文献1,2在实现路由匿名时阐述了链路层匿名通信的方案。文献1的方案中存在固定不动的访问点,节点通过不停的更换MAC地址与证书实现匿名,这个方案中固定接
5、入点与不断签发证书的代价使得其不适于战术无线自组网等完全ad hoc的网络。文献2的方案中,通过识别节点为同一组来实现节点匿名接入认证,但是不能动态回收用户的入网权限,预分配足够多的伪名与密钥占用了较多存储空间,所以文献2的方案也不适用于战术无线自组网等类似的网络系统。文献3,4,5设计了移动自组网络的匿名路由协议,但是未阐述相邻节点间通信的匿名方案,只对链路层的通信特点做了一定的假设,没有链路层安全匿名通信的支持,路由的匿名性是脆弱的。 本文的主要工作是:采用源自威尔对的基于身份的加密方案实现相邻节点间匿名双向认证;利用基于多项式的密钥发布方案实现入网权限的动态回收与分配;利用压缩的Bloo
6、m Filter可在身份隐藏情况下为对节点的恶意行为进行追踪提供基础。2网络与攻击模型对于网络,我们首先假设无线信道是对称与双向的,而且信道分配是公平的。其次,在单跳间通信时,敌手无法在接收方收到报文之前,将自己刚收到的报文修改后再发送给接收者。最后,作为本文研究对象的网络系统是一个自治的系统或属于同一个管理单位。对于网络安全的考虑,首先假设相邻节点通信时,要相互进行入网权限的匿名验证,防止非法节点向网络中注入数据包;端到端通信需要验证对方的真实身份,它使用链路层提供的经过单跳认证的匿名通信服务。其次,假设节点有较强的计算能力与存储能力,可执行公钥算法,例如野战指挥网中的节点。最后,链路层以上
7、的上层安全机制不作研究;对物理层的安全问题也不作阐述,只假设物理层发射的信号中不带有标识节点身份的唯一性指纹。我们将移动自组网络中对相邻节点间通信的安全性攻击分为如下两类:被动攻击,主要指非法窃听报文与非法测量信号,窃听者通过监听与测量获得身份信息,并进行数据追踪,它不破坏现有的通信,具有很强的隐蔽性。主动攻击,指阻止传输与破坏数据,包括复制、篡改与删除节点间所交换的数据以及耗尽资源阻塞数据流等。敌手往往采取被动与主动混合的方法发起攻击。敌手能力假设为可自由地窃听,但无全局窃听能力,并且只具有有限的计算能力与侵蚀节点的能力。有限的侵蚀节点的能力指在同一个时间段之内只有可能入侵与控制部分少量节点
8、。3 安全匿名的链路层通信 在网络系统部署展开前,由管理部门(抽象为TA)给每个入网节点安全地装入初始数据,并赋予节点入网权限。在系统运行过程中,当需取消某节点网络访问权限时,在线TA以广播的方式秘密完成。当新节点加入,由在线TA给其注入安全参数与初始数据,并授予其入网权限。当需要对节点的行为进行追踪时,各节点将与邻居通信的统计信息累积打包发送给TA,由TA完成对恶意节点行为的追踪与识别。在运行时,TA的实现可以采取分布式的门限方案,以较轻的负荷完成系统管理功能。以下是本文用到的主要符号与变量。符号 含义符号含义t安全参数,多项式阶数PUBTA的公钥,为sP,P为G中固定点F域,多项式系数所在
9、的域m安全参数,系统伪名集合更新周期节点i的真实身份,二进制串CBF压缩的Bloom Filter将任意二进制串映射为F中元素的密码学散列函数TA赋予节点i的秘密随机数G大素数阶群,其上离散对数难解|二进制串连接操作将任意二进制串映射为G中元素的密码学散列函数H将任意二进制串映射为定长二进制串,标准的密码学散列函数,如SHA1sTA的私钥,也为系统的主密钥以为密钥,以PUB为参数的基于身份的加密函数 表1 符号与变量31 初始数据的装载与授权 系统在运行时将时间分为一个个时间段,时间同步通过GPS或时间统一协议完成,本文只要求松散的时间同步。节点i在时段T的伪名H(|T)(),MAC地址为h(
10、),即将散列到一个较小的固定长度的二进制空间中。经过m个时段,TA增量广播一次系统可用的伪名集合CBF。TA在系统展开部署前将参与组网的所有节点在m个时段所用的伪名用文献11中的方法编码为CBF,选择CBF的长度、独立的散列函数及其个数使判假为真的概率足够小,小到单个节点无法在m个时段内有效找到一个假元素使之在CBF中被查到,例如小于。TA同时选择2t阶多项式、,其系数属于域F。 对每个节点i, TA计算s(),将秘密传送给节点i,作为其入网权限凭证。同时,TA计算、,并将其秘密传送给节点i。另外,TA也将CBF以及系统共享的初始对称密钥秘密传送给节点i。 节点i在时段T向邻居节点公开的身份为
11、,即为其公钥,其对应的私钥为sH(|T)。32 匿名双向认证 在时段T相邻节点i、j间的双向匿名认证过程如下,与分别为节点i、j随机选择的现时。1) ij:;2) j:查询是否在CBF中,若非则拒绝应答,反之继续处理;3) ji:|4) i:验证是否在CBF中,若否则终止处理,反之解密,并进行验证,合法则继续处理;5) ij:;6) j:解密,并进行验证,合法则继续处理。 7) ji: 8)i:解密,并进行验证,不合法则终止处理,合法则发送验证成功消息。如果此过程顺利执行完毕,则双方所声称的伪名合法,可用之访问网络,节点i通过2)至8)的步骤与所有相邻节点进行双向认证。认证后,节点i发送广播包
12、时可使用私钥s进行签名,相邻节点收到报文时,用i的公钥验证签名的合法性,若签名合法,邻居才接受此报文,进行后续处理,否则直接丢弃此报文。如果需要,可由随机现时值与生成一对一会话密钥。33 权限及CBF的更新设需要注销权限的节点为、(),如果rt,则随机生成tr个节点ID,得到、。注销过程是通过系统主密钥增量更新秘密完成,设系统主密钥增量更新值为随机值,则主密钥更新为ss,公钥PUB更新为PUB=PUB。改进文献9中的方案2,进行如下系统更新操作。 TA随机生成阶数为t的多项式p(x),其系数属于域F;计算q(x)p(x),以及权限回收多项式g(x)(x()(x()(x();再计算P(x)p(x
13、)g(x),Q(x)q(x)g(x)。将g(x)| P(x)| Q(x)签名后用加密,并向外广播。随后对与进行更新,px,px。 网络访问权限未被撤销的节点接收到TA发送的广播报文时,计算p()(P()/g(),q()(Q()/g()。然后可得p()q()。节点的,私钥为sH(|T)。网络访问权限被撤销的节点则不能计算出,无法进行更新,其网络访问权限被撤销。 节点对、的更新如下,p(),p()。每个节点对TA广播的报文做一定的缓存,当邻居节点由于某些原因未收到报文时,可由其重传报文进行本地更新。 CBF的更新采用文献11中的方法,进行增量更新,它极大减小了需传输的数据量;数据包签名后用密钥加密
14、。更新的周期为m,或采取事件驱动更新,事件包括新节点加入与旧节点权限被收回。新节点加入系统时要从TA处获得最新的初始数据与授权。4 安全分析 由于节点的MAC地址与伪名不断变化,被动攻击敌手无法通过将MAC地址或伪名与节点所收发的报文绑定起来进行通信量分析或追踪数据。被动攻击敌手可行的攻击方法是通过测量信噪比将前后两个伪名联系起来,如果前后两帧报文信号的信噪比相同,即使两帧报文的MAC源地址及发送者伪名不一样,也可大致判定它们对应同一个节点。但是这种方法在节点移动或发射功率变化的情况下没有效果。 当敌手拥有的节点增多时,敌手通过窃听推断出邻居节点所发报文是中继转发或是源发的概率在增高,同时将前
15、后两个伪名联系起来的能力也在增强,从而削弱系统的匿名效果。可采用文献1中使用熵来衡量系统匿名性的方法来度量系统的匿名效果,所得结论是当敌手测量信噪比进行定位的能力提高与监听能力提高时,系统的匿名性下降,可参看文献1。 除了窃听与测量,敌手也可通过侵蚀系统内合法节点进行被动攻击。敌手侵蚀合法节点会得到更多信息,它能读取被侵蚀节点的伪名与缓存中的数据(包括最新的、权限、CBF、以及m与真实身份等),但节点的历史信息由于合法节点不保存历史记录而无法获得。对于众多伪名,敌手通过被侵蚀节点的信息无法推断不同伪名间的关系,这是由于TA给每个节点的秘密都不相同,且H()函数是单向散列的,所以不同时段的H(|
16、T) 对其他节点来说是不可比较的,这保证了不同的伪名不可区分。当同时有2t个以上节点被侵蚀,它们可以协作求解出与,但敌手在侵蚀能力有限的情况下,它只能通过逐步侵蚀以积累到拥有2t个以上用以求解方程的被侵蚀节点,对这种攻击的防止,主要是通过将t选得足够大并且有效检测出被入侵的节点来完成。网络接入是许多攻击的首要条件,因此敌手会以被侵蚀节点为跳板,给其他非法节点创造入网条件,这是主动攻击中最重要的一种。由于G上的离散对数问题是难解的,所以被侵蚀节点无法求得系统的初始主密钥,被侵蚀节点记录的主密钥增量不能用来推断更早的增量,也不能预测将来的增量,所以敌手不能给任意非法节点伪造入网权限。当敌手通过被侵
17、蚀节点记录了多个连续的主密钥更新增量,它就可能使被取消权限的节点重新具有入网权限凭证。对于这种攻击通过三种方法来进行防止,其一是被取消权限的节点即使具有入网权限凭证,它的伪名也不在CBF中,邻居节点通过查找CBF来排除此节点,而CBF在构造实现时使其判假为真的概率足够小,使敌手无法在有限的时间与有限的计算能力的情况下伪造出符合CBF集合的元素;其二是被取消权限的节点不再具有合法的与秘密值,不再能跟随系统自我更新权限凭证,其权限凭证很快过期;其三是系统通过检测出被入侵的节点并取消其网络访问权限来阻断敌手获得连续的主密钥更新增量的途径。 对于拒绝服务攻击与重放攻击之类的主动攻击,本方案使非法节点无
18、用武之地,因为通过逐跳验证每个报文分组的合法性,邻居节点会拒绝非法报文。对于被侵蚀节点进行这种攻击,系统使用以下几种措施来减轻攻击的影响:使用公平的信道分配协议,保证其它节点能够访问信道;使用分布与集中结合的办法检测节点的异常行为,对同一伪名的行为进行本地检测,对不同伪名的行为予以统计、预处理与传输,进行集中检测;使用Bloom Filter检测报文分组的重复性,来抑制重放攻击。要检测节点的恶意行为,就必须将同一节点使用不同伪名的行为特征综合起来。由于TA知道每个节点的真实身份与,所以TA可以将节点的不同伪名联系起来;同时使用CBF,限制节点不能使用随机的伪名,只能使用CBF集合中的伪名,且节
19、点受其运算资源的限制使伪造CBF中元素的成功概率极小,从而保证了节点的行为可被追踪。5 结论及今后的工作链路层的匿名安全通信是战术无线自组网等类似系统的整体安全解决方案中非常重要的一部分。在本文中,首先利用基于身份的加密方案实现相邻节点间的双向匿名认证,使用经过认证的且不断更新的伪名进行链路层的安全匿名通信;其次利用基于多项式的密钥发布方案进行主密钥增量更新,从而实现网络访问权限的动态回收;最后利用压缩的Bloom Filter在身份隐藏情况下,强制节点使用受限合法的伪名,从而为对恶意节点的行为进行检测追踪提供了基础。通过分析,显示了算法有较好的安全性与匿名性。今后工作的一个重要方向是进一步改
20、造文献9中的方案,使系统的主密钥增量更新值具有自恢复能力,同时要减少数据的存储量与传输量,但以不削弱系统抵御敌手攻击的能力为前提。另一个重要的方向就是加强系统在身份隐藏情况下的入侵检测能力,可能的思路是,在不牺牲匿名性的情况下,进一步限制节点伪名的选择范围与选择方法,使分布式检测能够更有效。References:1 Srdjan Capkun, Jean-Pierre Hubaux2 and Markus Jakobsson. Secure and Privacy-Preserving Communication in Hybrid Ad Hoc Networks. EPFL-IC techn
21、ical report no.2004/10,january.2 Yanchao Zhang, Wei Liu and Wenjing Lou. Anonymous Communications in Mobile Ad Hoc Networks. Local Computer Networks,2004,29th Annual IEEE international Conference on 16-18 Nov.2004 Page(s):102-108.3 K. El-Khatib, L. Korba, R. Song, and G. Yee. Secure dynamic distribu
22、ted routing algorithm for ad hoc wireless networks. In International Conference on Parallel Processing Workshops (ICPPW03),2003.4 J. Kong and X. Hong. ANODR: ANonymous on demand routing with untraceable routes for mobile ad-hoc networks. In Fourth ACM International Symposium on Mobile Ad Hoc Network
23、ing and Computing (MobiHoc03), pages 291302, 2003.5 Bo Zhu, Zhiguo Wan, Mohan S. Kankanhalli, Feng Bao, Robert H. Deng. Anonymous Secure Routing in Mobile Ad-hoc Networks. In Proceedings of the 4th ACM international symposium on Mobile ad hoc networking & computing, pages 291-302. ACM Press, 2003.6
24、D. Boneh and M. Franklin. Identify-based Encryption from The Weil Pairing. In Proc. CRYPTO 01, Springer-Verlag, 2001.7 P. S. L. M. Barreto, H. Y. Kim, B. Bynn, and M. Scott. Efficient Algorithms for Pairing-Based Cryptosystems. In Proc. CRYPTO 02, Springer Verlag, August 2002.8 D. Balfanz, G. Durfee
25、, and N. Shankar et al. Secure Handshakes from Pairing-Based Key Agreements. IEEE Symposium on Security & Privacy, May 2003.9 Donggang Liu Peng Ning Kun Sun. Efficient Self-Healing Group Key Distribution with Revocation Capability. Conference on Computer and Communications Security Proceedings of the 10th ACM conference on Computer and communictions security,pages 231-240, 2003. 10 C.Bloom. Space/time Tradeoffs in Hash Coding with Allowable Errors. CACM, 197011 Michael Mitzenmacher. Compressed Bloom Filters. Proc. of the 20th Annual ACM Symposium on Princles of Distributed Computing, 2001.
