每个节点对能够採用适当的ID法或者使用标準公钥加密法（要求节点有足够计算资源）即时建立一个密钥对，例如，预载入密钥对或者随机多项式。所谓ID法就是两个节点相互知道对方的ID，并利用ID即时建立密钥对，不需要线上密钥伺服器，防止一个节点伪装成另一个节点（因为没有改节点的密钥）而进行攻击。若LIP与安全路由协定综合在一个使用，则不必增加其他密钥对建立机制。

主要考虑分组注入攻击。所谓分组注入攻击，就是攻击者向MANET注入大量垃圾分组，意图耗尽分组转发节点的资源。垃圾分组可能引起严重的无线信道访问竞争和网路拥塞。垃圾分组可以是单目标分组，也可以是本地（一跳）广播分组或者全网广播分组。如果注入分组最终洪泛至全网，那幺分组注入攻击最有效。

攻击者可以是MANET外部（未授权）节点，没有有效认证证书；也可以是MANET内部（已授权）节点，拥有有效认证书。内部节点失密后可以进行伪装攻击，也可刻意进行伪装攻击。这里不考虑攻击动机。“伪装”指失密节点伪装成非失密节点，而不是指失密节点相互伪装成对方。为了实现伪装攻击目标，攻击者可以偷听、对分组重新排序、丢弃分组、捏造分组、重放过时分组、篡改旁听分组再将其重新注入网路。

攻击者可以将自己的ID、伪造的ID、哄骗得到的ID作为注入分组的源节点。，这里不考虑内部攻击直接使用自己的ID进行分组注入攻击的预防问题；要防止这类攻击，必须控制每个节点的正常流量模式。

为了进行高效网路访问控制，防止分组注入攻击，每个节点必须能够检验从其他节点接收到的每个分组的真实性。，LIP应该满足以下要求

1、效率。由于需要认证每个分组，所以LIP必须是资源高效协定；否则，LIP的资源消耗可能等同于分组注入攻击的资源消耗。分组传输时无线节点的主要耗能，LIP的频宽消耗应该最小。

2、 可扩展性。LIP的性能（计算与通信开销）不应该随着网路规模的增大而下降。LIP不应该要求每个节点掌握全网的信息。

3、 立即认证。LIP应该具有立即认证能力，即认证一个所收分组时不应该存在时延；否则，在无线多跳通信环境下，分组交付时延可能高得令人难以接受，节点必须有足够大的存储空间快取暂时无法核实的分组。

4、 透明性。使用一个协定时应该儘量不需要修改或者重新设计协定栈中其他协定。，LIP应该与其他协定透明地一起工作，即LIP的激活与关闭不影响其他协定（如路由协定或者套用层协定）的功能。

5、 独立性。不论是否使用路由协定，LIP都应该工作。专门设计一个特定而高效的协定与某个特定路由协定一起工作是可能的，但这不是行之有效的方法。

描述LIP时使用如下符号

LIP是一个简单、逐跳认证协定，用于防止未授权节点向MANET注入虚假分组。LIP提高完整的网路访问控制，在认证分组时不区分数据分组和路由控制分组（将其统称为流量分组）。LIP对于路由协定是透明而独立的，驻留在数据链路层和网路层之间（如图1-1所示），提供一种保护机制，能够防止许多攻击发生。透明性和独立性使得LIP的激活与关闭不会影响其他协定的操作。LIP採用本地广播认证机制，节点对其转发或者产生的每个分组只计算和添加一个HMAC，从而使分组开销最低。节点必须与其相邻节点共享其HMAC密钥（下面将其称为一次性认证密钥），相邻节点才能够验证其分组。LIP包含一次性认证密钥管理机制，节点利用该机制建立和维护其一次性认证密钥。节点不仅要利用其一次性认证密钥认证其传送的分组，而且其相邻节点也要利用该密钥验证该节点传送的分组。由于一次性认证密钥的对称性，所以恶意节点可以伪装成其他节点，利用该节点的一次性认证密钥协定生成注入分组的HMAC。LIP採用三种技术阻止这种伪装攻击一次性认证密钥，随机相邻关係验证，位置意识验证。採用一次性认证密钥建立防止伪装攻击的第一道防线，使攻击很难成功；在複杂攻击者突破第一道防线的情况下，採用随机相邻关係验证进一步检测伪装攻击。如果已知节点的位置和移动速度，那幺採用位置意识验证可进一步减少频宽消耗。

图1-1 LIP在协定栈中的位置

1、 与路由协定的互动

LIP不依赖（安全）路由协定，要求节点使用其一次性认证密钥认证其传送给直接相邻节点的所有分组（不论採用哪种类型的传输方式，比如单目标，多目标，广播）。实际上，LIP可以藉助路由协定提供更强的安全性。例如，LIP若是能够根据路由协定分组头推断出分组（数据分组）是单目标分组，则可以使用于下一个转发跳节点共享的密钥对认证该分组（因为使用共享密钥对能够防止伪装攻击）。LIP提供的安全服务是对安全路由协定提供的安全服务的补充，可以使用两者提供的安全服务，提供更强的安全性。

2、 密钥序列的生成与更新

由于受到网路流量模式和网路寿命的限制，节点可能需要传送（转发或者产生）大量流量分组，从而消耗大量一次性认证密钥（因为每个一次性认证密钥只使用一次）。可以採用诸如Merkle哈希树和多级密钥序列等技术提供大量一次性认证密钥。在废除一个节点时，一个密钥序列在没有用完之前可能被丢弃。当节点u知道正在废除另一个节点v(例如，通过可信权威机构的广播)的时候，如果节点v已经是节点u的相邻节点并且知道其一个或者多个一次性认证密钥，那幺节点u应该丢掉其密钥序列中随后的所有密钥，向其当前其他相邻节点（注意不包括节点v）引导一个新的密钥序列。这就可以彻底防止节点v伪装成节点u。

3、 GPS节点与非GPS节点共存问题

LIP方案要求每个节点配置GPS。这个要求对于一些MANET套用是不容易满足的。为了支持不断递增的套用，考虑一部分节点a配备GPS装置（将其称为GPS节点），而剩余的节点没有配备GPS装置（将其称为非GPS节点），将这种GPS节点与非GPS节点共存的方案称为混合方案。

下面按照由弱到强的各种攻击，分析LIP面临各种攻击的安全性能。

1、被动攻击。攻击者没有网路控制器的加密密钥，只是被动地偷听网路传输流量。只要基本加密算法和认证算法是安全的，那幺攻击者就不能突破合法节点的一次性认证密钥。

2、主动攻击1（Active1）。攻击者没有网路控制器的加密密钥，企图给网路注入恶意分组。由于LIP对每个分组进行逐跳认证，并且攻击者不知道有效的一次性认证密钥，所以攻击者不能将自己的分组注入到网路中。，LIP能够防止Active1攻击。，攻击者有可能重放其他节点的分组，极少成功，原因在于

①攻击者只能重放节点u传送给其他拥有节点u一次性认证密钥的节点的分组。

②拥有节点u一次性认证密钥的节点若是节点u的当前相邻节点，则根据分组序列号或者一次性认证密钥版本丢掉重複分组。例如，在DSR协定中，如果攻击者重放节点u的PREQ分组给节点u的相邻节点，那幺重放攻击不会引起相同分组在整个网路中的成倍泛洪，其原因在于分组中的请求识别码。

③拥有节点u以前公开的某些一次性认证密钥的节点若不是节点u的相邻节点，并且之前没有接收过该分组（该分组是广播分组），则可以认可该分组。这实际上提高了广播讯息的可靠性。

④如果提供时间同步，那幺可以利用时间戳进一步防止重放攻击。

3、主动攻击X（ActiveX）。ActiveX威胁模型由Active1攻击模型的多个实例组成。对于LIP，除非多个攻击者串通在一起进行蠕虫攻击，否则一个ActiveX攻击不及单个Active1攻击严重。

4、 主动攻击C（ActiveC）。一个主动攻击节点拥有一个失密节点的所有加密密钥。由于ActiveC攻击者接管失密节点，能够代表该失密节点执行其在网路中所允许的一切操作。对于大多数安全系统，必须藉助某种入侵/异常检测技术来防止这种攻击。由于使用基于HMAC的广播认证法，ActiveC攻击者能够进行的另一种攻击就是伪装攻击。

5、 主动攻击CX和CCX（ActiveCX and ActiveCCX）。在ActiveCX威胁模型中，多个主动攻击节点均有某个失密节点的所有加密密钥。在ActiveCCX威胁模型中，多个主动攻击节点均有多个失密节点的所有加密密钥。各个ActiveCX攻击节点通常分布在网路的不同位置，以降低由于採用相同ID而被检测出来的风险。ActiveCCX攻击更加老练複杂，难以检测。LIP没有对付ActiveCCX攻击的办法。最好的对抗办法是给每个节点配置入侵检测系统；多个节点进行联合检测，比如记录和交换器相邻关係。

LIP是一个简易协定，能够在不同节点移动速度、网路节点密度、移动模型下提供近100%的流量交付率。LIP开销低，其每跳每个分组认证能力不仅对于MANET许多民用方面的套用非常重要，而且还能用于分组MANET Dos攻击者。