Ad hoc網絡中基于門限秘密共享方案的安全性分析與優化

黃 欣，熊國華

（解放軍信息工程大學電子技術學院，河南 鄭州 450000）

移動自組網（Ad hoc網絡）是一種多跳、無中心、自組織的無線網絡.［1－2］由于其構建快速、造價便宜、移動性強，在環境監測、交通管制、軍事安全等方面具有廣泛的應用前景.然而由于其具有網絡拓撲結構動態、通信介質開放、缺少固定的管理中心等特點，使得傳統網絡中的密鑰管理機制不再適應于Ad hoc網絡.

目前，針對Ad hoc網絡密鑰管理的研究主要分為以下幾類：隨機密鑰預分配方案［3－4］、使用部署知識的密鑰預分配方案［5－6］、基于多項式的方案［7］、分布式 CA 方案［8－9］，在這些方案中一個移動終端往往需要存儲大量的密鑰，且要犧牲網絡的連通度.于是基于門限的秘密共享方案［10－13］相繼被提出以解決上述問題，但在這些方案中并沒有給出門限值（n，t）（t表示門限值，n為秘密分配節點數目）的設置與Ad hoc網絡的安全關系；同時子密鑰分配一旦完成，秘密更新周期如何確定也沒有說明.本文首先在靜態安全模型下，分析了（n，t）值對網絡安全性的影響，給出了具體公式以設置最佳的（n，t）值，達到網絡的最大安全.其次，在動態安全模型下，分析了秘密更新時間對網絡安全性的影響，給出了計算公式以便計算最佳更新時間，來達到網絡理想的安全概率.

1 Ad hoc網絡中安全服務的可生存性威脅分析

Ad hoc網絡中安全服務的可生存性是指即使在攻擊、故障或者事故存在的情況下，系統仍然能夠提供基本服務的能力［14］.門限秘密共享方案是把秘密分配給部分或全部網絡節點，因此按攻擊結果，可以將針對Ad hoc網絡的可生存性威脅分為得到秘密份額攻擊和未得到秘密份額攻擊兩大類.

定義1（得到秘密份額攻擊） 攻擊者利用已知信息、系統漏洞或后門等俘獲一個或多個成員節點，得到其私鑰以及持有的共享秘密份額.無論攻擊者保留這些信息自己使用，還是將這些信息公開，都將破壞秘密的安全性.當被俘獲的節點數等于或超過門限值時，攻擊者就可以重建系統的共享秘密.這意味著Ad hoc網絡雖然仍然在繼續運行，但已不能提供可靠的安全服務.得到秘密份額攻擊也稱為俘獲.

定義2（未得到秘密份額攻擊） 攻擊者雖然未得到網絡中節點的秘密份額，但仍能通過剝奪睡眠攻擊，中斷、攔截、篡改秘密份額信息等攻擊手段，使秘密分配節點無法正常工作.當網絡中受到未得到秘密份額攻擊的節點數目大于n－t個，則正常工作的密鑰分配節點數目小于t個，此時密鑰分配失敗.未得到秘密份額攻擊也稱為攻破.

2 靜態安全模型

在網絡節點工作之前，有必要對網絡系統進行初始安全建模，以設定合理的秘密分配節點數目n和門限參數t達到網絡的最大安全.

由定義1可知攻擊者只需要掌握n個秘密分發者中t個以上秘密分發者的共享秘密份額，即可得到共享秘密，導致整個網絡中傳輸的信息沒有安全性而言.因此定義秘密分發者受到得到秘密份額攻擊而無法提供安全服務的事件為A，則有P（A）＝P｛受到得到秘密份額攻擊的節點數目大于等于t｝.

由定義2可知攻擊者只需要毀壞n個秘密分發者中n－t＋1個秘密分發者，即可使秘密分發者無法提供足夠多的共享秘密份額，導致參與者無法獲得共享秘密完成信息的安全傳輸.因此若秘密分發者受到未得到秘密份額攻擊而無法提供安全服務的事件為B，則有P（B）＝P｛受到未得到秘密份額攻擊的節點數目大于n－t＋1｝.

A，B兩個事件雖然獨立，但對單個節點而言，俘獲和破壞不可能同時發生.節點被俘獲時，如果受到破壞，則俘獲失效.當節點被破壞后，節點便不能工作，亦不能被俘獲.攻破和俘獲為互斥事件，即P（A）＋P（B）≤1.在整個網絡中，如果有大于等于t個節點被俘獲，則不可能存在大于n－t個節點被破壞；如果大于n－t個節點被破壞，則不可能有大于等于t個節點被俘獲，因此，A事件和B事件互斥，考慮攻破和俘獲兩種因素，網絡被攻破的概率如（1）式所示，其中：P1指單個節點被俘獲的概率，P2指單個節點被攻破的概率.

設定參數值（1）n＝100，P1＝0.05，P2＝0.1；（2）n＝100，P1＝0.1，P2＝0.2，網絡被攻破的概率與門限t的關系如圖1所示，其中被攻破概率以10倍對數表示，即10logP.

圖1 門限與網絡被攻破概率關系

從圖1中可以看出以下兩點：

（1）秘密分發者被攻擊成功的概率隨著t值的增大而逐漸減小，但超過一定數值后，被攻擊成功的概率又有所增加，門限值t有最佳值，最佳取值取決于P1與P2以及秘密分配節點數目.

（2）當P1與P2增大時，網絡被攻破最小概率呈現指數增加，當P1與P2各增加1倍時，網絡被攻破概率（t取最佳時）增加了140dB，即1014倍.

3 動態安全模型

在實際網絡中，網絡所受到的攻擊一般認為是一個隨機過程，顯然隨著網絡運行時間變大，受到的攻擊數目不斷累積，網絡安全性能下降.在Ad hoc網絡中，網絡拓撲結構和節點數目不斷變化，因此根據網絡狀況動態的調整門限參數n與t非常重要；同時，根據網絡安全性能要求，有必要給出秘密的更新時間，以周期性的更換密鑰確保網絡的安全性.我們設定網絡的攻擊為隨機到達模型，并在此模型下分析網絡的安全性能，提出安全策略.

3.1 網絡攻擊模型

定義3（時間攻擊流） A（Ti，Ti＋T）（T≥0）是指網絡在時間［Ti，Ti＋T）內遭到攻擊的次數，｛A（T），T≥0｝是一個狀態取非負整數、時間連續的隨機過程.

如果在時間間隔內出現m 次攻擊，其概率記為Pm（A（Ti，Ti＋T））＝P｛A（Ti，Ti＋T）＝m｝，其中m＝0，1，2，….

時間攻擊流A（Ti，Ti＋T）滿足下列條件：

（1）攻擊流是一個平穩過程，且每次攻擊都是獨立的；

（2）A（0，0）＝0；

（3）在足夠小的時間ΔT內，系統只會出現2次以及2次以上攻擊的概率可以忽略不計，即P（A（T，T＋ΔT）≥2｝＝0（ΔT）.

由隨機過程知識可知，時間攻擊流A（Ti，Ti＋T）（T≥0）服從一個攻擊強度為λ的泊松分布，其中攻擊強度λ是在單位時間內出現的攻擊次數的期望.

因此可以得到在時間［Ti，Ti＋T）里出現m次攻擊的概率是：

得到秘密份額攻擊和未得到秘密份額攻擊所采用的攻擊方式不同，兩種攻擊相互獨立，同時作用于單個節點.定義λ1為單節點得到秘密份額攻擊到達速率，λ2為單節點未得到秘密份額攻擊到達速率.為抵御網絡攻擊，秘密分發者節點均會增加安全措施，因此到達的攻擊并非都成功，設P1與P2分別為得到秘密份額攻擊和未得到秘密份額攻擊成功的概率，則有效地得到秘密份額攻擊和未得到秘密份額攻擊分別服從到達速率為λ1P1和λ2P2的泊松分布，且兩種攻擊相互獨立，根據隨機過程知識，單節點受到的有效攻擊服從到達速率為（λ1P1＋λ2P2）的泊松分布.因此在考慮兩種攻擊有效時，可以得到單節點在時間［Ti，Ti＋T）里出現m次有效攻擊的概率為

現在考慮多節點受到攻擊的情況，假設每個節點受到的攻擊服從相同參數的泊松分布，且相互獨立，根據隨機過程相關知識，對于n個節點，當n較大時，n個節點所受到的總的攻擊近似服從泊松分布，到達速率為（n＊（λ1P1＋λ2P2）），n個秘密分發者在時間［Ti，Ti＋T）里出現 m 次有效攻擊的概率為：

Jonsson和Olovsson基于一個特定的實驗給出了一個不同的模型.實驗的環境是24臺SUN ELC無盤工作站和一個文件服務器.攻擊者假定為具有正常權限的合法系統用戶.入侵過程分為三個階段：學習階段、標準攻擊階段和創新階段.收集的實驗數據大多與標準攻擊階段相關.在這個階段，統計數據表明：攻擊成功的時間間隔可以近似用指數分布來描述.即有效攻擊到達速率服從泊松分布，可見本文假設的有效攻擊為泊松分布基本符合了實際攻擊模型.

3.2 安全性分析

設初始狀態A（0，0）＝0，則網絡被俘獲概率P（A）和被破壞概率P（B）分別為：

網絡被攻擊成功概率為被俘獲和被破壞的概率之和，即：

圖2 網絡攻破概率與時間的關系

設λ1P1＝0.01，λ2P2＝0.01，秘密分發節點數目n＝100，門限t分別取20，30，40，50，60，70，80，90個時，網絡被攻破概率隨時間關系如圖2所示，從圖2可以看到：

（1）在網絡被攻破概率一定的情況下，門限值t的選擇不是越高越好，也不是越小越好.在圖2中，假設網絡被攻破的概率為0.2，當門限值t＝40個時，網絡被攻破的時間T＝28h；當門限值t＝80個時，網絡被攻破的時間T＝8h；而當門限值t＝20個時，T＝15h，因此，門限值的選取與圖1門限值的選取基本一致.

（2）在攻擊時間一定的情況下，設置不同的門限對網絡被攻破概率的影響不同.在圖2中，當攻擊時間T＝25h時，t＝40個時，網絡被攻破的概率到達最低，P＝0.1；當門限值t＝20個時，P＝0.8，但當門限值t＝80個時，網絡基本上已經被攻破.因此，門限值的選取與攻破時間相關，且與圖1中的門限值基本保持一致.

（3）網絡所受的攻擊時間越長，網絡被攻破的概率越大.無論門限值如何選取，網絡所受的攻擊時間越長，意味著網絡中被俘獲和被攻擊的節點數越多，因此，整個網絡被攻破的概率越大.

綜上所述，在網絡攻破概率和門限值t設置好的情況下，根據（2）式可以確定秘密更新時間，以確保網絡的最大安全.如圖2，當設置網絡被攻破概率P＝0.2，t＝40個時，更新時間T為20～28h，這樣既確保了網絡的安全，又防止了網絡頻繁地秘密更新帶來的網絡通信負荷過大問題.

4 總結

本文從Ad hoc網絡攻擊的實際情況出發，建立了網絡的靜態和動態攻擊模型，并以此為基礎分析了門限秘密共享方案中門限值和秘密更新時間對網絡安全性能的影響.特別是在Ad hoc網絡中節點數目和拓撲結構動態變化中，通過分析不同節點密度下秘密共享方案中門限值對網絡安全性的影響，確定了選取最優的門限值的公式，同時根據運行狀況，確定了秘密更新時間的選擇公式，確保了Ad hoc網絡的進一步安全.

［1］英春，史美林.自組網體系結構研究［J］.通信學報，1999，20（9）：47－54.

［2］MCKENNEY P E，BAUSBACHER P E.Physical－layer and link－layer modeling of packet－radio network performance［J］.IEEE Journal on Selected Areas in Communications，1991，9（1）：59－64.

［3］BLOM R.An optimal class of symmetric key generation systems［C］／／EURO－CRYPT，Paris：Springe－Verlag，1984：335－338.

［4］CHAN H.Random key predistribution schemes for sensor networks［C］／／Proceedings of IEEE Symposium on Security and Privacy，Berkeley：IEEE Press，2003：197－213.

［5］DU W.A key management scheme for wireless sensor networks using deployment knowledge［C］／／IEEE INFOCOM'04，Hong Kong：IEEE Press，2004：7－11.

［6］LIU D.Location－based pairwise key establishments for relatively static sensor networks［C］／／ACM Workshop on Security of Ad hoc and Sensor Networks，Berkeley：IEEE Press，2003：61－77.

［7］BLOM R.An optimal class of symmetric key generation systems［C］／／EURO－CRYPT，Paris：Springe－Verlag，1984：335－338.

［8］YI S，KRAVERS R.Practical PKI for Ad hoc wireless networks［R］.Department of Computer Science，University of Illinois，2001.

［9］YI S，KRAVERS R.MOCA：mobile certificate authority for wireless ad hoc networks［C］／／Proc of the 2nd Annual PKI Research Workshop，Berkeley：IEEE Press，2003：28－29.

［10］ZHOU L，HAAS Z J.Securing ad hoc networks［J］.IEEE Network Magzine，1999，12（6）：24－30.

［11］DENG H，MUKHERJEE A，AGRAWAL D P.Threshold and identity－based key management and authentication for wireless ad hoc networks［C］／／IEEE Computer Society，Proc of International Conference on Information，Berkeley：IEEE，2004：107－111.

［12］CRESCENZO D，ARCE，GE.Threshold cryptography in mobile ad hoc networks［C］／／In International Conference on Security in Communication Networks，Paris：Springe－Verlag，2005，3352：91－104.

［13］ZHANG Y，LIU W，LOU W，ea al.Ac－pki：anonymous and certificateless public－key infrastructure for mobile ad hoc networks［J］.In Proceedings of the IEEE International Conference on Communications，Berkeley：IEEE Press，2005：3515－3519.

［14］ELLISON R，FISHER D，LINGER R.Survivable network systems：an emerging discipline［R］.Software Engineering Institute，Carnegie Mellon University，1997.