精华内容
下载资源
问答
  • 深入研究移动自组网中的多播路由问题,提出一种适用于移动自组网的基于遗传算法的QoS多播路由算法。通过引入探测时间限制,有效减少了路由结点和链路的寻找范围,同时降低了选择无效结点和链路的可能性。通过证明,...
  • 移动自组网分簇算法研究,张熊,刘元安,随着移动自组网的发展,规模越来越大,使得平面的结构的移动自组网不再适合,而分簇结构却能克服扩展性差的缺点,有利于移动管理
  • 提出了一种基于IPv6的移动自组网移动切换方案IMHM。在没有基础设施的MANET中,IMHM实现了移动节点家乡地址的永久性,即用户采用移动节点的家乡地址与移动节点保持通信,无须参与移动切换过程,移动节点的移动过程及...
  • 提出了一种下一代互联网中移动自组网的移动管理方案。此方案提出了与IPv6网络体系结构充分融合的基于簇的MANET层次体系结构, 并提出了簇的建立算法, 实现了簇首节点数量最小化。基于所提的MANET层次体系结构, 提出了...
  • 关键词:全球定位系统 移动自组网 时分多工同步码分多址系统 帧同步移动自组网(MANET)是一种由相互间能直接通信而没有中心控制的移动节点组成的无线通信网络。基于TD-SCDMA的MANET是在充分利用TD-SCDMA蜂窝网无线...
  • 为了解决现有认证方式无法追踪恶意节点、集中式认证中心易受攻击的问题,基于区块链技术的去中心化、防篡改、可追溯特点,提出了一种分布式轻量化移动自组网认证方案。该方案包括对等网络建立、认证账本设计和共识...
  • 移动自组网(MANET)是自治的无基础设施的网络,它通过IP路由支持多跳无线通信,它被用于没有基础设施存在的动态变化的场景。多数自组网路由协议利用节点之间固有特性即相邻节点的信赖关系进行协作转发数据包。这种...
  • 一种适于波束切换移动自组网的邻居发现改进算法.pdf
  • 从建立面向移动自组网的Web服务应用的平台出发,针对移动自组网的特点和该环境内Web服务应用的特征,提出了一种基于语义的元数据描述模型,并结合该元数据描述模型设计了高效可行的服务匹配策略。实验表明该元数据...
  • 依托Shamir (t,n)秘密共享门限方案和椭圆曲线密码体制(ECC),给出了一个应用于移动自组网环境的部分分布式对密钥管理框架,提出了一种自适应网络规模的秘密门限值动态调整方案,在不改变系统私钥的情况下,设计了一...
  • 针对移动自组网IEEE 802.11 MAC协议存在的安全问题,提出一种基于攻击集的DDoS攻击方法。该方法可以准确地攻击目标节点,与传统攻击方式相比不表现出冗余的攻击行为,同时降低攻击行为的检测率。利用NS2仿真平台搭建...
  • OXP: 一种面向软件定义移动自组网的高效拓展协议,李呈,黄韬,在软件定义移动自组网络中,性能受限的集中式控制器限制了网络规模的拓展。为拓展软件定义移动自组网的规模,目前有部署分布式控
  • 采用具有超大规模密钥管理优势的组合公钥密码体制,结合Shamir的(t,n)门限方案思想,提出了一种适用于移动自组网环境的部分分布式密钥管理方案,给出了一种服务节点私钥矩阵份额的更新方法,并对方案的公私钥种子钥...
  • 为了提供移动自组网端到端的健壮的数据传输策略,对基于地理信息的路由协议进行优化,重点解决由于骨干节点停止工作后容易导致的整个网络快速崩溃问题,实现了能量的均衡。同时,根据排队理论,提出了一种移动节点的...
  • 移动自组网是一种有特殊用途的对等式网络,具有无中心、自组织、可快速展开、可移动等特点,这些特点使得它在战场、救灾等特殊场合的应用日渐受到人们的重视.移动自组网络除了要达到传统有线网络中的安全目标外,还有...
  • 针对移动自组网MAC协议未考虑节点移动性、缺乏功率控制机制、算法开销较大等问题,改进设计基于信道可维持时间的分布式认知MAC协议。新协议建立了节点存储信息结构,根据节点功率与移动速度的关系,构建信道可维持...
  • 提出一种基于模糊集合的分层...该模型采用模糊集合对信任关系进行建模,引入向量贴近度为推荐信任分配权重,并充分考虑分层(分簇)结构移动自组网的特点,强调了系统的可扩展性、动态适应性、鲁棒性和资源开销最小。
  • 然后对移动自组网安全条件进行了归纳,笔者重点介绍了包括SRP,SAR与ARAN在内的有代表性的几种安全路由协议的设计思路及其特点,并针对每种安全路由协议,分析了其中的安全特性。通过综合比较与分析,笔者提出设计...
  • 基于自适应策略的移动自组网与Internet互联,方案分析与仿真方法的论文概述
  • 提出一种面向移动自组网环境的轻量型的密钥分量更新协议,是对Amir Herzberg等人提出的密钥分量更新协议的改进方案。该协议在每个更新周期开始时选举一个认证节点作为辅助节点,辅助节点在更新自己的密钥分量的同时...
  • 移动自组网是近年来很热门的一个话题,但是研究的内容还比较少。大多也都是在高校里,以一些研究生的研究论文为主。而众所周知的是,高校的那些研究大多都算不上什么研究。 我想到的移动自组网必须要处理的两个问题...

    移动自组网是近年来很热门的一个话题,但是研究的内容还比较少。大多也都是在高校里,以一些研究生的研究论文为主。而众所周知的是,高校的那些研究大多都算不上什么研究。

     

    我想到的移动自组网必须要处理的两个问题:在安全的基础上,保证自组网络的可靠性。

     

    安全是必须的,特别考虑到移动自组网的一些特殊应用。

     

    可靠性也是必须的,只有可靠了才能有得到应用,得到认可。

     

    可以提高安全的一些方法包括认证、身份标识、加解密等。有很多现有的安全的方法和论文在这方面,大多也都可以应用。

     

    我觉得目前首要的是可靠性,有一定的可靠性之后才能构建一个系统,后续的研究才可以继续开展。

     

    可靠性设计的内容包括:路由算法、负载均衡、分布、位置定位等等,涉及很多的内容,而每一个方面都是很有技术壁垒的。

    展开全文
  • 针对移动自组网中节点在报文转发过程中的表现出的自私行为,利用博弈理论,从静态和动态2个方面对其进行了完整的建模与分析。首先,提出了一种严厉针锋相对策略,并建立了一个无限重复报文转发博弈模型,求得了激励...
  • 基于区块链的轻量化移动自组网认证方案张勖1,马欣11北京邮电大学网络空间安全学院,北京 1008762移动互联网安全技术国家工程实验室,北京 1008763北京邮电大学网络教育学院,北京 100876摘要:为了解决现有认证方式...
    7ff2519814d6d90d404642d0594d9cd1.gif

    基于区块链的轻量化移动自组网认证方案

    张勖1马欣1

    北京邮电大学网络空间安全学院,北京 100876

    移动互联网安全技术国家工程实验室,北京 100876

    北京邮电大学网络教育学院,北京 100876

    摘要:为了解决现有认证方式无法追踪恶意节点、集中式认证中心易受攻击的问题,基于区块链技术的去中心化、防篡改、可追溯特点,提出了一种分布式轻量化移动自组网认证方案。该方案包括对等网络建立、认证账本设计和共识机制选择,并分析讨论了智能合约的作用。在所提方案中,当给定对等节点之间最大传输时延a6088a4abeebf327c355ec97ccbbd94f.png时,节点认证时间1c24b88af6d40656b540dce346701c61.png和网络规模间fd40405f964c10671781142dda21cefb.png的关系满足39a371f988c794b395632ee71b44bf6f.png

    关键词: 移动自组网 ; 区块链 ; 认证 ; 对等网络 ; 账本 ; 共识机制

    中图分类号:TP309

    文献标识码:A

    doi:10.11959/j.issn.2096−109x.2020040

    1 引言

    移动自组网(MANET,mobile Ad Hoc network)从早期的军事战场环境逐步扩展至应急通信、机器通信、车联网等场景,其应用领域日渐广泛和开放。与具有基础设施的移动通信系统不同,移动自组网中的节点都具备参与组网的能力。在此前提下,对节点的认证结果不仅关系到是否允许该节点接入网络并按权限规定使用网络资源,更为重要的是对节点能否成为组网成员进行确认。为改进传统认证机制的集中式、无法追踪恶意节点的缺陷,基于区块链的认证技术应运而生。虽然在互联网应用中已有研究人员将区块链技术引入认证过程,但在MANET中的相关研究还在进行。在MANET中,通过应用层覆盖协议(overlay approach),可以增强服务传输能力。Liebeherr等的研究表明了覆盖网络可以为自组网中的应用数据提供正向和反向保密。他们提出了一种密钥管理和加密方案“邻域密钥方法”。自组网中的每个节点与它已经认证的邻居节点共享一个密钥。当网络成员改变或网络被分区时,领域密钥方法能够避免代价高昂的全局密钥重置操作。通过新开发的应用层自组网路由协议,即基于 Ad Hoc网络的P2P技术,对文中提出的数据加密方法进行了评估。在应用层覆盖网络的软件系统中,实现了自组网路由协议和安全方案。通过使用手持无线设备进行的大量室内和室外测量实验,评估了该方法的有效性和应用层自组网的性能。当移动自组网的任务或系统实现目标(如可靠性、可用性、可伸缩性和可重构性)侧重在协作、协同方面,当中的信任管理就颇具挑战性。Cho等在定义和管理军用自组网的信任问题时,考虑的内容包括复合认知、社交网络和信息网络之间的交互、严苛的资源限制(算力、能源、带宽、时长)和网络的动态性(拓扑结构的变化、节点的移动性、节点失效、传播信道的条件)。他们把来源于社交网络的“社会信任”的概念和源于消息与交流网络的“服务质量”的概念结合起来,得到复合信任度量。接着,提供了对移动自组网中信任管理机制发展的调研情况,并讨论了移动自组网中被普遍接受的分类、潜在攻击、性能度量和信任度量的内容。最后,就未来移动自组网中基于社交和复合网络的信任管理的研究领域进行讨论和说明。以组(group)为中心的计算和通信的激增,激发了对提供组访问控制机制的需求。Saxena等对Ad Hoc网络中基于身份的组接入控制进行了研究。组接入控制包含组成员接纳和撤销/驱逐机制。尤其在自组网组中,如对等系统和移动自组网,安全的成员接入机制是必需的,以便引导其他组提供安全服务。除此之外,问题成员和恶意成员的撤销也需要安全的成员撤销机制。与集中式的组(多播)不同,自组织的组在运行上呈现去中心化的特征,这类组能够容纳动态的成员资格。这样的特性使在网络中实施接入控制变得有趣且富有挑战性。尽管在成员接纳的问题上已有一些工作取得了初步进展,但成员资格撤销的问题尚未得到解决。他们设计了一种基于身份的组接入控制技术,这个技术避免了以前(基于证书的)方法的缺陷,还提出一种同组成员资格撤销的机制。实验结果证明,解决方案是健壮的、完全分布式的、可扩展的,同时具有合理的效率。传统的互联网组网服务和技术并不总是能很容易地移植到无线自组织环境中。Winter 等介绍了专门针对移动自组织环境的对等网络,通过引入对等覆盖网络技术,移动自组网中许多原先呈现出性能问题的应用几乎不存在了,或者原问题可以被完全忽略。这种方法利用邻近信息有效地生成覆盖结构,同时可反映出基础物理层网络拓扑。此方法减少了因覆盖网络的路由查找导致的物理层路由路径长度的增长。覆盖网络的新颖性在于它不依赖于固定的节点集,并且能够适应物理层网络拓扑的变化。覆盖网络构造过程中一个显著的特征是将通信开销缩减至最低。除此之外,现有的对等网络保持了一套均匀分布的覆盖ID,这种方式曾经在有线网络的开发解决方案中被故意放弃。新的覆盖网络的基础是基于分布式哈希表的对等网络 Pastry。发展和分析了两种不同的引导策略,它们都被设计用于动态网络和移动网络(如Ad Hoc网络)从上述文献中可知,在移动自组网上构建对等网络已有研究成果,即具备了将区块链技术引入的网络前提条件。但是,移动自组网的动态特性和区块链技术共识过程耗时的问题都对认证方案设计构成了挑战。在移动自组网中引入基于区块链的认证机制需要解决网络动态拓扑与对等(P2P,peer to peer)网络建立间的融合问题、轻量级认证账本结构和共识机制设计,以适应移动节点资源受限的需求。本文提出的方案在上述问题上作出如下贡献。1) 通过跨层设计,降低对等网络生成维护开销。认证账本和共识算法轻量化。由此设计的基于区块链的移动自组网认证方案能够满足安全认证需求高的应用场景。2) 通过理论分析,在本文方案基础上,给出了认证时间和网络规模间的关系,有助于网络设计或认证方案选择。

    2 方案设计

    基于区块链技术的轻量化认证方案至少应包括P2P网络、认证账本和共识算法这3部分功能模块,如图1所示。6e14d493c756ac1ce833390d2b80ec4c.png图1   轻量化认证方案功能组成

    2.1 跨层对等网络P2P生成算法

    MANET 拓扑可以建模为静态有向图G=(V,E),V表示节点集,E表示边集。但对其中的源节点S和目的节点D间的通信路径来说,静态建模意义有限,原因是MANET路由协议无论是预设式还是反应式,每个节点都会维护从自己到目的节点的路由信息,所构成的路由表可用c0eea3a71454ca22f71ac0002cddf8ca.png表示,其中i∈S,j∈D 。MANET 中对等网络建立的实质是每个节点能够发现并维护自己的逻辑邻居,构成Peer对。如上所述,由于每个节点已经通过路由协议获知与其他节点的可达路径,因此本文采用直接通过节点自身维护的路由表生成 Peer 节点对列表fa4bc3a991ace93d2ef6c7664a788f98.png的方法形成P2P网络。显然地,au表示的是已认证的MANET成员节点。这样,在移动自组网中,应用层 P2P网络的建立与网络层路由查找融合在一起,可减小协议开销。但是,该跨层对等网络生成算法依赖于已通过认证获得入网权限的节点。而认证过程则是节点入网的必要条件,如果节点认证失败,该节点就无法成为网络成员节点,也就不能参与路由生成。为解决该问题,本文作如下定义。定义 1 存在已认证节点集e7011625c8775480855c702cc84708b2.png可以运行本文提出的分布式认证程序,最小集合至少包含一个节点。以最小集合为例,MANET 的构建起始于待认证节点向最小集合中的节点发起认证请求。与传统认证方案不同的是,随着入网节点的增加,各个节点通过跨层P2P生成算法形成区块链认证的基础网络结构,对后续节点的入网认证则是依据分布式账本结构、共识算法达成的一致性结果为准。

    2.2 轻量级认证账本设计

    账本作为区块链中的核心功能,其结构设计不仅要满足特定需求,还要能够支持分布式数据存储。比特币的账本结构较以太坊和HyperLedger Fabric更为简略,比特币数据块(Block)结构包括 {magic_number,block_size,block_header,transaction_cnt,transaction},magic_number是区块之间的分隔符,其值为 0xD9B4BEF9;block_size是区块大小;block_header是区块头,其中包含版本号、上一区块的哈希值、Merkle根节点哈希值、时间戳、难度值、随机数;transaction_cnt是交易数量;transaction是交易详情。以太坊账本结构中除了交易树外,还引入了状态树和收据树。Fabric 的结构与以太坊类似,但为了提升查找效率,在数据库设计上进行了改进。本文方案应用于移动自组网,节点资源受限,因此账本需要轻量化。构建和保存认证节点的区块链结构被称为认证信息链,结构如图2所示。参考比特币账本结构,轻量化设计体现在以下3方面。57723354d4854bf82ae50545d899b223.png图2   轻量化认证信息链结构1) 仅保留与认证和追踪过程有关的必要字段。2) 由于不采用工作量证明(PoW,proof of work)共识算法,相应的字段予以删除。3) 分隔符采用重复概率低的编码方案,可用1个字节表示,提升识别速度,减少存储开销。具体来说,认证信息链由首尾相连的区块构成,以第N块区块为例,完整的区块包括区块头和区块体,区块头保存区块的元数据{前一区块hash,认证信息MPT Root hash,时间戳},相应的字节长度分别是32 B、32 B和4 B,总计68 B。区块体内容包括{分隔符,区块大小,认证详情},长度分别是1 B、4 B和可变长度。其中,认证详情中存储{索引index,共识结果Proof},共识结果中保存参与共识的节点回复消息,用于后续追踪恶意节点。

    2.3 共识算法

    共识是指通过消息传递使系统中所有节点均以相同顺序执行一个命令序列,即保证全网各节点数据记录一致性。在实际环境中,节点可能出错产生异常行为,或者消息无法被正确传递,也可能存在恶意节点使系统无法达成一致。由此产生的容错问题分为两类:宕机容错(CFT,crash fault tolerant),是指无恶意节点情况下的容错;拜占庭容错(BFT,Byzantine fault tolerant),即有恶意节点情况下的容错。移动自组网中虽然因无线信道和网络拓扑动态变化会引起 CFT 类问题,但本文方案主要解决安全类问题,希望通过区块链技术能够追踪恶意节点,因此共识算法采用改进的实用拜占庭容错 PBFT 算法,称之为MANETBFT。PBFT 通过准备和确认两大阶段的消息同步,在节点数量较小情况下,可以实现高交易量(TPS, transaction per second)且分叉概率很低。将PBFT应用于移动自组网认证,需要解决以下问题。1) 请求认证的节点只能利用公共信道与相邻的P2P网络节点通信。2) 参与共识的P2P节点数量是变化的。3) 多个节点同时请求认证的共识。针对问题1),MANETBFT在P2P节点中增加了认证代理身份,设发起认证请求的普通节点集3b97f34e3b5cd715f18e758ce9dd3f31.png,vi先将REQUEST消息发送至相邻节点之一的P2P节点auk,该auk则成为代理,在代理和其他剩余P2P共识节点中执行PBFT流程,如果auk收到的Reply消息确认了申请节点的认证请求,则更新账本,并将Reply和最新的账本返回给vi,节点身份变更为Vau元素。针对问题2),依据PT表计算a79ff806a50647caf36e1862ababb342.png,即t时刻的P2P节点总数,也就是此时刻参与MANETBFT共识的全部节点数。通过引入变量a79ff806a50647caf36e1862ababb342.png,在每一轮共识过程中,PBFT 算法中代表节点数量的参数75eabc7c4c41a08e0eadeb9cacf17229.png,以适应本场景需求。问题3)多节点同时请求认证,分两种情况:一是多个普通节点在同一时刻分别发起各自的代理进行共识,这种情况 PBFT 采用信息进行区分;二是多个普通节点申请的代理节点相同,本文以异步方式进行共识处理,并结合全网账本信息同步过程实现数据的一致性。图3中以1个普通节点和4个P2P网络节点为例,说明MANETBFT的消息类型和处理流程。具体的消息类型如下。bf768e57825e62bd33b0518986271509.png图3   MANETBFT消息流程其中,o是申请认证,t是发起请求的时间戳,c是客户端标识。其中,o是申请认证,t是发起请求的时间戳,p是代理客户端标识。<< PRE-PREPARE,v,n,d>,m>其中,v是视图编号,n是对REQUEST分配的序列号,d是客户端消息摘要,m是客户端的请求内容。其中,v,n,d同上,i是共识节点编号。参数意义同PREPARE。其中,r是操作结果。其中,r是操作结果。消息流程如下。1) 待认证的普通节点vi在自己的邻居节点表中选择一个P2P节点作为其代理节点auk2) au k收到来自vi发出的 REQUEST 消息后,建立与之对应的带有自己代理客户端标识 p的消息映射对,并向共识节点中的主节点发送REQUESTPROXY消息。3) 主节点和对等节点A、对等节点B、代理节点auk 间按照 PBFT 的消息处理流程,从PRE-PREPARE 消息发送、接收、处理,到PREPARE消息;再经过交换COMMIT消息,最终每个 P2P 节点会把自己对本次请求的结果写入REPLYPROXY消息,返回给auk这个代理客户端。4) auk检查收到的 REPLY,如果有 f+1 个具有不同签名且t和r都相同的回复时,证明客户端的请求已达到全网共识。其中,f是恶意节点数量。5) au k通过映射的 REPLY 消息向 vi回复共识结果。

    3 认证流程及性能分析

    图4 是待认证普通节点 vi的认证过程状态机,图5是P2P网络节点相应的状态机。通过对两类节点状态机的分析,完整展示本文方案。0b8db50d6791c536b8f4c447f61d7038.png图4   普通节点认证状态机a2e97cca97a01368451f735e01599344.png图5   P2P网络节点状态机对于待认证的普通节点vi,处理流程包括{准备,等待,确认}3类状态。准备状态中节点发出REQUEST 消息;设置等待状态,除了考虑异常情况外,还出于流程和程序扩展的考量;确认状态中输入是节点接收到的REPLY消息,根据消息中携带的认证通过或认证失败确认本次认证结果并结束认证流程。vi的认证需要在P2P节点共识基础上完成,因此认证流程还包括如图5 所示的运行于各个P2P 节点的状态机。作为自组网成员节点,图3中涉及的代理节点、主节点、对等节点的功能是每个P2P网络节点都要具备的,结合共识消息, P2P节点状态包括{代理请求,主节点,对等节点,共识,回复,代理确认},状态的输入不限于来自本节点上一状态的输出,如“共识”状态的输入消息“PREPARE”,既可以是来自本节点的“对等节点状态输出”,也可以是其他P2P节点的“对等节点状态输出”。每个状态都设置了定时退回到上一状态的机制,以避免因MANET拓扑变化或恶意认证导致的消息长时间等待。在2.3节中提到MANETPBFT通过引入Ntall解决因新加入的P2P节点而产生的参与共识节点总数变化的问题。在图5中“代理确认”状态中的统计操作涉及该变量,代理根据收到的 f +1个具有不同签名且 t 和 r 都相同的回复REPLYPROXY 产生对认证请求的应答,这里 f是恶意节点数量70d746c2c51f5941e320cd38839bd8d9.png认证结果以及相应的共识节点回复作为上链数据由代理节点写入区块链。如果vi通过认证,其节点属性将变更为auk,它将从代理节点处获取完整的区块链,并更新a79ff806a50647caf36e1862ababb342.png值。P2P 节点间的账本数据一致性操作可采用周期性广播方式进行。本文基于该认证方案,分析 MANET 规模a79ff806a50647caf36e1862ababb342.png与认证时间δ间的关系。设i,代理节点>间 REQUEST 消息传输时延为τ1, 间REQUESTPROXY消息传输时延为τ2,间PRE-PREPARE消息传输时延为τ3间PREPARE消息传输时延为τ4,间 COMMIT 消息传输时延为τ5,间REPLYPROXY消息传输时延为τ6,i>间REPLY消息传输时延为τ7,其中,每一类消息在两个相邻P2P节点间传输一次所需时延分别用τrequest、τrequestproxy、τpre-prepare、τprepare、τcommit、τreplyproxy和τreply表示,根据认证流程可得

    fef9d310365e06183c7f9cfdd01705cd.png

    不失一般性,设该MANET网络中构成的P2P节点对之间最大传输时延为τmax,可推出dda48ad77fc5213da295daa4d9710507.png

    fe4b2a35419b8c98dac965a330e2bcf8.png

    由于式(2)中认证时间δ的上下边界只是对MANET 节点数量进行范围估计,所以此处没有进行严格的分析推导。如果考虑无线信道、链路层协议、路由协议、节点运动模型等因素,可以建模和分析出更为精准的端到端时延条件下, a79ff806a50647caf36e1862ababb342.png与δ间的关系。通过该结论,可以估计MANET 规模或者评估认证时间范围,有助于网络设计或认证方案选择。根据式(2),当对节点认证时间δ有指标要求,在已知τmax时,可以估计出 MANET 节点数量的范围。例如,假设已知τmax=100 ms,δ≤1 s时,c98fac318f95c1a8621f9da61c6f9329.png ,即假设P2P节点对间的最大传输时延是100 ms,如果对节点的认证时间要求在1 s以内,则采用本文认证方案的MANET节点数量应控制在 3~9 个内。也可以在已知τmax和节点数量的情况下,对δ进行估计,如τmax仍然假设为100 ms,a79ff806a50647caf36e1862ababb342.png取6,则此时节点认证时间δ的范围是[0.9 s,2.1 s]。本文算法的性能分析如表1所示,待认证普通节点向其代理节点发送单播消息REQUEST,并等待接收REPLY消息。假设此时网络中有α个待认证节点,则此阶段通信开销为O(α);P2P 节点通过5种消息完成请求、共识和应答,其中,共识过程采用广播方式,在α个待认证节点情况下,其消息复杂度达到了542a44079876ad9a89761a8d9b228248.png3009b4830c75bd9cb9974e3fe0c2aaf8.png认证时间复杂度由通信所需时间和节点共识计算时间决定。设每次广播需要的时间为O( )τ,通信时间复杂度为40cb0c70841c39d289fd1628e3ecb9b0.png。节点计算时间开销集中在区块查询和插入,采用MerkleTree的时间复杂度为O(logN),N为字符串长度。综上,认证时间复杂度的主要影响因素还是通信时间,故上界为40cb0c70841c39d289fd1628e3ecb9b0.png

    4 系统安全模型与安全性分析

    MANET 应用以军事、应急通信等需要高可信环境的场景为主。本文方案以节点硬件信息和口令作为注册身份信息,MANET 成员已预存组网的全部节点身份信息。注册节点通过加密算法(如SM2)产生私钥dA和公钥PA,dA加密存储于本地。通过哈希算法(如SHA-256或SM3)对身份信息进行哈希运算得到身份哈希值 HID。采用签名算法对HID和注册时间戳TReg进行签名,得到注册身份签名值 SIGReg。将消息f3a3a5e2bff593440798f5fa1f2a2157.png封装在REQUEST消息中发送至代理P2P 节点。代理 P2P 节点计算用户的 HID,通过PA计算验证SIGReg。若验证通过,则用哈希算法(如SHA-256或SM3)对PA进行计算,生成区块地址,作为该节点的身份认证区块标识,在该区块体中记录用户的HID,TReg,SIGReg。通过共识机制确认后,代理节点将该区块加入区块链中,并给待认证节点回复REPLY。移动自组网节点的注册过程包含首次认证,如需再次登录认证,执行过程是节点使用 dA对HID与时间戳TA进行实时签名,产生动态身份签名值SIGDyn。节点将消息ace22b93619f7a186e4963cf5eae5b90.png封装在REQUEST中发送给P2P代理节点。P2P节点通过 TA判断消息时效性,使用 PA计算验证动态身份签名值SIG Dyn,签名验证通过后,通过PA计算区块地址,访问身份认证区块,对比消息中包含的HID和区块中的HID,计算验证SIGDyn,从而确定认证节点身份是否合法。本文认证方案中的安全模型将传统集中式认证服务器或者CA三方认证模式,通过区块链技术转变为分布式、无中心的多方参与模型,并与MANET 组网过程结合,为有预先组织设置、高可信要求的应用场景提供了安全的认证方案。安全性分析如下。常见的攻击方法包括网络侦听、重放攻击、口令猜测、跟踪地址攻击等,传统认证方式还面临单点失效和多CA信任难的问题。本文方案采用区块链技术,从而具有了以下几方面安全性。1) 无中心化:通过MANET节点共同参与认证,并将密态账本信息在各节点中同步,可有效实现认证功能从集中式转变为分布式;待认证节点可以从相邻的P2P节点直接发起认证请求,在避免单点失效、多CA信任难问题的同时,能够实现快速认证接入。2) 防篡改:经过共识后的认证信息记录在区块链中,具有严格顺序关系的链式结构以及父/子哈希值变动关联的特性,保证了链上数据的不可篡改性。3) 恶意节点追踪:每个参与共识过程的P2P节点将回复信息返回给主节点后,根据方案设计,结果值会记录在区块体中,如果网络中存在恶意节点,根据区块链的不可篡改性,其操作和时间戳信息都可通过链中信息进行溯源,从而实现恶意节点追踪功能。4) 防欺骗伪造:采用改进的PBFT,MANET内部最大节点欺骗个数是总节点数的0fe6032b774adb0501fc9381a6eee381.png对于外部攻击,假设攻击者掌握用户的身份哈希值,但因其不具备用户私钥,无法对消息进行签名,因此无法伪造用户的动态身份签名值。在上述两种状态下,认证过程具有一定的防欺骗和伪造攻击能力。5) 抗重放攻击:在认证过程中,每次传送的消息都包含了时间戳信息。由于每个区块头中包含时间戳和随机数,如果攻击者将消息重放,收方可通过时间戳判断该消息为重放消息,拒绝其认证请求。由此可以有效防止创建区块过程中的重放攻击。6) 可靠性:分布式账本是一种分布式数据库,即使网络中某个节点损坏,也不影响全网账本的高可用性,且同时满足账本失效转移同步和备份恢复等安全要求。

    5 智能合约讨论

    智能合约是一种在满足特定条件时,自动执行的计算机程序。它是代码和数据的集合,可以部署在区块链网络上运行。其可事先制订规则,让网络中节点按照规则完成预先设计好的合约功能。节点或者用户的认证过程通常同时包含授权功能,触发/执行条件不同、权限等级不同、这些需求都可以在智能合约中设计和实现。另外,通过智能合约,还可以考虑对权限定义中的一部分操作(如对不同等级命令的执行)实现自动执行关联,以减少人为控制带来的风险。本文方案侧重区块链技术在MANET节点认证中的应用,从轻量化角度出发,认证流程中不引入智能合约技术。对授权的设计是下一步工作。

    6 结束语

    本文通过国内外文献首先分析了区块链技术与移动自组网结合的现状。MANET的自组织特性具有和区块链基础结构对等网络天然融合的优势,但自组网的动态性、资源受限又对冗余度高的区块链技术方案设计提出了挑战。针对可信环境要求高的 MANET 场景,本文提出了一种基于区块链的轻量化节点认证方案,详细说明了跨层对等网络 P2P 生成算法、认证账本设计、基于 PBFT 的适应性改进共识算法,并给出了状态机描述的节点认证流程。通过消息分发流程的分析,估算了当给定对等节点之间最大传输时延τmax时,节点认证时间δ和网络规模间的关系是93bd6b4094ac0a41c4122ade1749a135.png作为区块链核心技术之一的智能合约技术,本文规划了其应用于授权权限管理的方向,并将作为下一阶段的工作重点继续推进区块链技术在 MANET网络中的应用。

    作者简介

    张勖(1973-),女,上海人,博士,北京邮电大学副教授,主要研究方向为移动自组网安全、信息物理融合系统。马欣(1996-),女,陕西榆林人,北京邮电大学硕士生,主要研究方向为区块链技术 。网络与信息安全学报

      《网络与信息安全学报》是由工业和信息化部主管,人民邮电出版社有限公司主办的信息安全领域的学术刊物,现为中国网络空间安全协会会刊,中国科技核心期刊、CCF推荐中文科技期刊。办刊宗旨:汇聚安全创新思想,传播学术研究成果,提升科学研发实力,服务国家信息安全。

    4af1f7fe97e057cf57c1ffa0e41db686.png

    中国网络空间安全协会会刊

    中国科技核心期刊

    CCF推荐中文科技期刊

    关注我们,查看更多内容

    aba2a78a3442017fb08fa9298a4f3bba.gif
    展开全文
  • 还是小楼在做实验之前的基础学习工作,密码学相关,关于秘密共享的
  • 提出了一个基于门限和椭圆曲线算法的...椭圆曲线算法的应用减少了对移动节点性能的要求;分簇算法的应用减少了对节点容量的要求;基于资源的选举算法的应用提高了系统的签名效率,同时有利于设备资源利用的负载平衡。
  • 移动自组网的路由协议

    千次阅读 2015-10-31 23:57:02
    优点是不存在特殊的集中控制节点,系统可靠性较高,缺点是没有移动性管理任务,协议的扩展性较差,比较适用于中小网络。 平面式路由协议包括:AODV, DSR, ABR, DSDV,WRP,TORA, FSLS,OSLR, FSR, SSR等路由议。...
    (1)平面式路由(flat routing)算法。网络中的所有节点都处于同一层次上,各节点在网络中获得的路由信息基本相同。优点是不存在特殊的集中控制节点,系统可靠性较高,缺点是没有移动性管理任务,协议的扩展性较差,比较适用于中小网络。

    平面式路由协议包括:AODV, DSR, ABR, DSDV,WRP,TORA, FSLS,OSLR, FSR, SSR等路由议。按照具体的寻址规则,一般又可划分为表驱动路由协议和按需路由协议。

    表驱动路由协议:节点通过周期性广播路由分组信息,在节点发送数据时,只要有到目的节点的路由存在,就可以直接发送分组,时延小。缺点是移动节点之间要交换整个路由表的内容,消耗带宽大。典型的表驱动路由协议有目的节点序列距离向量协议DSDV(Destination Sequenced Distance Vector)和无线路由协议WRP (Wireless Routing protocol)等。

    DSDV路由协议是一种无环距离向量路由协议,它是传统分布式B-F路由算法的改进。在DSDV中,每个节点都维持一个路由表,每个表都有一个由目的节点设定的序列号,用于区分路由的新旧程度。因为需要周期性的更新,DSDV为了建设一个可用的路由需要较长时间使路由协议收敛,并不适合延时敏感业务。

    WRP是基于无环路路径发现算法,它也是一种距离向量路由协议。每个节点包含距离表、路由表、链路费用表和消息重传表4张表。距离表包含通过每个邻居节点到达目的节点的距离,它也包含每条路径上的邻居节点的下一跳节点。路由表包含到目的节点的距离、本节点的前驱节点和后继节点以及该表项是一个简单路径或是一个回路或是无效路径的标签。链路费用表包含从节点到所有邻居节点的链路的费用。消息重传表包含邻居节点是否确认它的更新消息,如果邻居节点没有确认更新消息,就重传更新消息到邻居点。

    按需路由协议:节点只有在需要发送数据时才开始寻找路由,所以必须等待一段时间等路径建立完成才能发送分组。优点是不需要周期性的进行路由信息广播,节约了网络资源,缺点是时延大。典型的按需路由协议有 源路由协议DSR(Dynamic Source Routing)和按需距离向量协AODV(Ad hoc On-DemandDistance Vector)等。

    DSR协议允许源节点动态地寻找路径,每个待发送的数据包都带有完整的,包括从源节点到目的地所有节点(包括源及目的)的一张地址列表。这张地址列表指出了该数据包经过怎样的路径到达目的地。通过该表,每个数据包都可以独立找到目的地,而不需要中间节点存储路径信息。它的特点在于不需要维持路径信息表,只有在发送数据时才启动寻址协议。

    AODV (Ad hoc On-demand Distance Vector Routing)是DSDV的改进型,通过按需路由来降低DSDV中控制报文的数目,从而提高系统效率。为了查找到达目的节点的路由,源节点广播一个路由请求RREQ消息。它的邻居收到广播消息后再次广播,直到请求消息到达目的节点,目的节点发出路由响应消息,源节点收到响应后,它就可以得知到达目的节点的路由。AODV还包括路由维护部分,实现当路径上的中间节点移动时对缓存路由的修改和删除。

    (2分层路由协议的优点是:网络中的节点被划分为不同层次分别管理和路由,网络的扩展能力强,因此适合大规模网络。分层路由协议通过组合使用按需获取和预先获取等路由策略,避免了表驱动路由协议中过量的控制消息流量问题和按需路由协议中的长时延问题。
    分层路由协议的缺点是:由于簇首节点负责管理和维护本簇节点的通信,当簇首节点出现故障时,可能会影响整个簇的通信,即簇首节点的稳定性和可靠性将在很大程度上决定着整个系统的稳定性和可靠性。同时,随着节点不断地移动,簇的维护和管理相对平面式路由协议也复杂得多。

    在分层式路由协议中,层次指的是一个“簇”(Cluster)或“区”(Zone),一般可以采用两种方法进行分层。一种方法是隐式地分层,每个节点属于一个本地范围,范围内外使用不同的路由策略,范围中的节点要进行选路,这种方式称为逻辑分层。另一种方法是将地理上紧密相联的节点组成一个显式的簇,每个簇选举一个簇首,簇内节点与簇首节点直接通信,是单跳的,这种方式称为物理分层。网络由若干个节点组成,在层次内的节点间采用表驱动路由算法,在各层次间采用按需路由算法。常见的分层式路由协议包括:CBRP, HSR, LANMAR, CGSR, DDR, CEDAR,GSR, HARP, ZRP等。

    三、地理位置辅助的路由
    LAR (Location-Based Routing)是利用源节点的物理位置信息来控制路由查找范围的协议。主要思想就是利用GPS数据信息,通过限制路由发现的洪泛,来减少控制报文的数量。具体而言,就是利用GPS数据信息,使洪泛在一个定义好的区域(例如矩形区域)内进行。类似的,还有RDMAR(Relative Distance Micro-discoveryAd Hoc Routing)协议和LOTAR (Location Trace Aided Routing)协议。

    地理位置辅助的路由协议的优点是:在自组网中利用位置信息,可以使节点在寻找路由时避免简单的泛洪。若利用相邻节点或目的节点的位置信息,可以提高路由寻找的效率。
    地理位置辅助的路由协议的缺点是:节点获得自己的地理位置信息常常需要专用定位系统如GPS(Global Positioning System),因此成本较高、建网相对复杂、同时安全性比较低。尤其在战场环境下,敌方如果截获了作战军备的地理位置,后果将不堪设想。
    展开全文
  • 在对抗性的MANETs中,由于存在恶意节点,节点的地址配置无法有效执行,为了对抗恶意节点的相关安全攻击,提出了基于门限的动态地址配置方案(Threshconf)。该方案主要通过门限签名为地址配置协议提供了访问控制安全...
  • 球面离散格网模型单元的面积、形状是否相似关系到模型的精度,因此定量分析单元的几何变形、分布规律等是格网模型建模的重要组成部分。文章通过对基于正八面体和正二十面体球面剖分获得的球面三角单元进行分析,分析...
  • 基于地理位置信息的路由协议具有很好的可扩展性。然而,当源节点和目的节点之间存在洞时,该类路由协议可能遇到局部最优的问题。针对此问题,提出了一种基于洞椭圆化的避洞路由协议。该协议通过把洞规则化为一个椭圆...
  • MANET网络中通信瓶颈区域服务质量评价模型研究 求告知这个该怎么样破题,从哪些方面入手呢?? 或者有这方面的资料,求分享一下,先行谢过

空空如也

空空如也

1 2 3 4 5 ... 15
收藏数 283
精华内容 113
关键字:

移动自组网