论文部分内容阅读
移动自组网(Mobile Ad hoc Network,简记MANET)具有重要的军事价值和广阔的商业应用前景。MANET的众多新特性使其安全问题较传统网络更为突出。由于MANET依赖无线通信,密码技术成为保障信息安全的主要手段。密钥管理是密码体制的核心,包括信任建立、密钥生成、密钥分配和密钥存储等内容。密码体制的安全性寓于密钥管理之中,密钥一旦泄露则系统无安全可言。事实上,敌方对密钥管理的直接攻击往往比破解密码要容易得多。因此,密钥管理也是MANET安全体制中最薄弱的环节之一。目前,关于MANET密钥管理还有多项问题有待解决:方案不完善,安全性较脆弱;多数方案资源消耗较多,影响了实用性;可扩展性较差,难以用于大规模网络环境。其中可扩展性问题以及资源消耗和性能的平衡问题是MANET安全研究中的基本问题,它们源自于网络的复杂性。传统的安全技术立足于静态的、控制相对集中的网络,难以根本解决以上问题。自组织理论给出了一套有效描述和控制复杂网络和分布式网络的理论和机制,必将有力地促进信息网络研究。因此,本文的研究着重借鉴了网络自组织思想和方法,一方面能更好地化解密钥管理相关方案中安全性能和资源消耗的矛盾、增强扩展性,另一方面探索MANET密钥管理中的一些自组织演化规律,用于指导密钥管理的设计和安全性分析。本文的主要工作包括:1.针对不同应用需求的自组织密钥管理方案研究。信任模型是密钥管理的灵魂,决定了密钥管理体系的基本结构和主要性能取向,因此研究按照不同的信任模型为主线进行。研究突出了对自组织行为模式的灵活运用以及由MANET节点自主实现密钥管理。(1)针对高安全要求的MANET应用,基于层次式信任模型,提出代理托管的密钥管理方案PDKM。层次式信任模型信任基础较强,适于军用战术网、政府企业移动办公网等高安全级别的网络应用。已有成果主要通过对多个虚拟CA的整合提升扩展性,CA之间信任关系复杂,需要交叉CA认证。PDKM的设计受高扩展性需求的驱动和代理签名技术的启发。方案有两个主要优点:1)信任关系明确,避免了交叉CA认证;2)认证时,用户仅需要一次签名检验计算,具有较低的计算和通信开销。(2)针对高灵活性和高效率要求的MANET应用,基于信任网(Web-of-Trust)模型,提出自组织公钥管理方案HPWKM。信任网模型不需要控制机构或可信机构,具备天然自组织性。已有成果中,节点需维护证书库,通过在合并的证书库中搜索证书链完成认证。对于大规模网络,该方法效率较低,并有严重安全问题。HPWKM使用全新设计思想:对大规模MANET划分安全域,设计域内证书预签发机制和确定性证书链路径算法,提高方案扩展能力和认证成功率;HPWKM继承信任网模型的自组织特点,不需要节点维护证书库,相比其它同类方案,具有更低的运行开销和更高的安全性。(3)综合两种信任模型对HPWKM进行改进,提出复合式密钥管理方案——SPKM。HPWKM虽然灵活高效,但仍在安全方面有所欠缺。发展复合式信任模型的目的是希望基于这种模型建立的密钥管理方案兼具较好的安全性和灵活性。在每个安全域内,SPKM使用HPWKM的域内认证机制,节点间多条证书链路径的存在有助于保证安全性;为防止远程认证中的多种攻击,SPKM使用层次式信任机制在每个安全域建立虚拟CA,并用虚拟CA间的交叉认证作为节点域间认证的信任中介。SPKM在安全性、开销和灵活性之间可以取得良好的平衡。2.自组织安全分簇问题研究。本文所提密钥管理方案面向大规模MANET设计,而大规模网络的路由协议一般依赖分簇技术,此外很多密钥管理协议也直接利用簇结构作为基础构建。因此分簇协议对本文密钥管理方案的安全性有直接影响。已有分簇方案基本未考虑安全问题,存在较多安全漏洞,对密钥管理而言是易受攻击的薄弱环节。本文提出安全分簇模型将分簇和信誉机制进行有机整合,设计自组织安全分簇算法SOS-Clustering。算法建立的簇结构中,簇首被所有的簇成员信任,其网络行为也受到成员的监督;协议参与者的消息都具有可鉴别性,不可信行为也将被监测并以局部消息的形式传播,最终导致可信度的降低;SOS-Clustering具有高度自组织性,通信量和计算量得到较好的控制,可在MANET节点中高效运行。3.公钥证书网络的自组织演化建模研究。在信任网安全系统中,公钥证书形成叠加(overlay)网络。公钥证书网络的自组织演化研究就是探求网络固有的、不随人的意志转移的演变规律。这些规律有助于研究不同的公钥证书对系统安全的影响程度,提出加强密钥管理系统安全性的有效措施,利用已有复杂网络理论的成果提高系统性能或指导方案设计。本文建立的抽象数学模型中,网络行为表现为节点对信息价值和连接代价的权衡。模型将网络的演化表述为一个收敛的随机过程,论文对可能的演化结果进行了数学推导和证明。针对PGP证书网络实例,根据参数的改变对其自组织演化的其它可能结果进行讨论,最后指出这些结果和自组织临界理论是一致的。这部分成果也可对其它网络演化的研究提供借鉴。