孫鶴 張海龍 韓基亮

摘 要：隨著無線移動(dòng)自組網(wǎng)絡(luò)的廣泛應(yīng)用，網(wǎng)絡(luò)的信息安全變得更加重要，然而，多數(shù)無線網(wǎng)絡(luò)路由協(xié)議是利用節(jié)點(diǎn)之間固有特性即相鄰節(jié)點(diǎn)的信賴關(guān)系進(jìn)行協(xié)作轉(zhuǎn)發(fā)數(shù)據(jù)包，這種信賴模型使得惡意節(jié)點(diǎn)利用插入錯(cuò)誤的路由更新、重放過時(shí)的路由信息、改變路由更新、或廣播不正確的路由信息來癱瘓網(wǎng)絡(luò)。針對無線網(wǎng)絡(luò)的缺陷本文提出了一種認(rèn)證路由策略來解決網(wǎng)絡(luò)的安全問題，通過仿真實(shí)驗(yàn)，證明這種安全策略的可靠性和高效性。

關(guān)鍵詞：無線移動(dòng);自組網(wǎng);認(rèn)證協(xié)議。

1、引言

移動(dòng)自組網(wǎng)（Mobile Ad hoc Network – MANET）是一種沒有固定路由器的網(wǎng)絡(luò)，它是一群移動(dòng)結(jié)點(diǎn)的集合，形成自然、臨時(shí)而沒有任何基礎(chǔ)設(shè)施和集中管理的網(wǎng)絡(luò)，每個(gè)結(jié)點(diǎn)既做主機(jī)又做路由器，通過無線介質(zhì)把數(shù)據(jù)包轉(zhuǎn)發(fā)到其他結(jié)點(diǎn)。

1.1 無線網(wǎng)絡(luò)的缺陷

假設(shè)在沒有敵方的環(huán)境下，大部分路由協(xié)議中節(jié)點(diǎn)忠實(shí)地轉(zhuǎn)發(fā)數(shù)據(jù)包，惡意的節(jié)點(diǎn)被忽略。然而，由于自組網(wǎng)的動(dòng)態(tài)改變拓?fù)浣Y(jié)構(gòu)和開放的通信媒介，使自組網(wǎng)極易遭到攻擊。在網(wǎng)絡(luò)中，為了建立節(jié)點(diǎn)間的路由，路由器交換網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的信息，這樣的信息將成為癱瘓網(wǎng)絡(luò)攻擊者的靶子。有兩種攻擊路由協(xié)議的方法。第一種是外部攻擊，一個(gè)進(jìn)攻者利用注入錯(cuò)誤路由信息，取代舊的路由信息，或扭曲路由信息，或借助于引起重傳無效路由來輸入額外的流量負(fù)載進(jìn)入網(wǎng)絡(luò)。第二是來自內(nèi)部危險(xiǎn)節(jié)點(diǎn)。這種危險(xiǎn)節(jié)點(diǎn)能廣播錯(cuò)誤路由信息給其他節(jié)點(diǎn)，檢測錯(cuò)誤信息是困難的，僅僅需要每個(gè)節(jié)點(diǎn)簽名的路由信息是不能工作的，因?yàn)槲ｋU(xiǎn)節(jié)點(diǎn)會(huì)使用它們的私鑰進(jìn)行有效簽名，因此，路由信息的保護(hù)是至關(guān)重要的。

1.2 安全無線網(wǎng)絡(luò)路由協(xié)議研究現(xiàn)狀

為了保證自組網(wǎng)的可用性，路由流量和路由信息必須被保護(hù)，要處理這些問題，幾種安全路由協(xié)議已經(jīng)被提出，下面列舉當(dāng)前自組網(wǎng)安全路由最新研究成果。如SRP（Secure Routing Protocol：安全路由協(xié)議）[1]協(xié)議保證偽造、危險(xiǎn)的路由應(yīng)答將被拒絕或永遠(yuǎn)不能到達(dá)發(fā)起路由請求的源節(jié)點(diǎn);SAODV（Secure Ad hoc On-demand Distance Vector Routing：安全的按需距離矢量路由）[2]是AODV（按需距離矢量路由）協(xié)議的擴(kuò)展;SAR（Security-Aware Routing：感知安全路由）[3]協(xié)議把安全屬性作為參數(shù)加入到路由發(fā)現(xiàn)過程中;CSER（Cooperative Security-Enforcement Routing：增強(qiáng)安全的協(xié)作路由）[4]協(xié)議允許一條路徑由多段構(gòu)成，每段路徑起點(diǎn)和終點(diǎn)都由與源節(jié)點(diǎn)相同安全區(qū)的節(jié)點(diǎn)擔(dān)任，每段路徑的中間會(huì)包含不可信節(jié)點(diǎn);SEAD（Secure Efficient Distance Vector Routing：安全高效的距離矢量路由）

2、路由協(xié)議認(rèn)證過程

安全路由協(xié)議SecDSDV的認(rèn)證過程主要包括三種操作：路由發(fā)現(xiàn)認(rèn)證，路由建立認(rèn)證，路由維護(hù)認(rèn)證。圖1顯示整個(gè)過程的例子，變量和參數(shù)列在表1中。

從第一步到第四步指出路由發(fā)現(xiàn)的認(rèn)證過程;第五步到第八步顯示的是路由建立的認(rèn)證過程;最后一步指出路由維護(hù)認(rèn)證過程。在圖1中，帶有內(nèi)容“[[REQ-id， IPQ]KM-]KN-， CM， CN”的白色表格表示節(jié)點(diǎn)M正廣播一個(gè)路由請求包，該數(shù)據(jù)包含有三項(xiàng)內(nèi)容：第一項(xiàng)是包的類型標(biāo)識（“REQ-id”）和目的結(jié)點(diǎn)Q的IP地址（IPQ），帶有節(jié)點(diǎn)M的所有簽署的私鑰KM-。第二項(xiàng)包含路由發(fā)現(xiàn)過程中源節(jié)點(diǎn)M的認(rèn)證CM。第三項(xiàng)是發(fā)送節(jié)點(diǎn)的認(rèn)證CX。表格前面的號碼代表相應(yīng)數(shù)據(jù)包傳送的順序。

2.1.路由發(fā)現(xiàn)認(rèn)證

第一步：當(dāng)需要一條從M節(jié)點(diǎn)到達(dá)節(jié)點(diǎn)Q的路徑時(shí)，源節(jié)點(diǎn)M借助于向其鄰居節(jié)點(diǎn)廣播一個(gè)路由請求包（REQ）開始一個(gè)路由發(fā)現(xiàn)過程。因?yàn)閿?shù)據(jù)包只由節(jié)點(diǎn)M簽證而沒有加密，數(shù)據(jù)包的內(nèi)容對其他節(jié)點(diǎn)是可讀。

第二步：當(dāng)節(jié)點(diǎn)N收到由節(jié)點(diǎn)M發(fā)送的REQ數(shù)據(jù)包時(shí)，節(jié)點(diǎn)N確認(rèn)節(jié)點(diǎn)M的簽證并設(shè)置一個(gè)返回到節(jié)點(diǎn)M的反向路徑，節(jié)點(diǎn)M利用它收到REP記錄中的鄰居節(jié)點(diǎn)N來建立反向路徑。然后，節(jié)點(diǎn)N在收到的REQ數(shù)據(jù)包的第一項(xiàng)上簽證，增加它的認(rèn)證，廣播修改的REQ包給它的全部鄰居節(jié)點(diǎn)。

第三步：當(dāng)節(jié)點(diǎn)O收到來自節(jié)點(diǎn)N轉(zhuǎn)發(fā)的REQ數(shù)據(jù)包時(shí)，節(jié)點(diǎn)O在REQ數(shù)據(jù)包中確認(rèn)節(jié)點(diǎn)M和節(jié)點(diǎn)N的認(rèn)證。然后，節(jié)點(diǎn)O移走節(jié)點(diǎn)N的認(rèn)證與簽證，在由節(jié)點(diǎn)M最初廣播的信息中簽證并增加它的認(rèn)證，然后廣播新的REQ數(shù)據(jù)包。

第四步：同樣地，節(jié)點(diǎn)P將轉(zhuǎn)發(fā)REQ數(shù)據(jù)包。

2.2.路由建立認(rèn)證

第五步：當(dāng)目的節(jié)點(diǎn)Q收到節(jié)點(diǎn)P發(fā)送的REQ數(shù)據(jù)包時(shí)，單播路由應(yīng)答REP數(shù)據(jù)包到節(jié)點(diǎn)P。

第六步：節(jié)點(diǎn)P簽證路由應(yīng)答REP數(shù)據(jù)包，增加它的認(rèn)證，然后，單播數(shù)據(jù)包回到源節(jié)點(diǎn)路徑上的下一跳O。

第七步：類似地，節(jié)點(diǎn)O將轉(zhuǎn)繼續(xù)轉(zhuǎn)發(fā)路由應(yīng)答數(shù)據(jù)包。

第八步：節(jié)點(diǎn)N轉(zhuǎn)發(fā)路由應(yīng)答數(shù)據(jù)包到源節(jié)點(diǎn)M。

直到現(xiàn)在，一個(gè)到達(dá)目的節(jié)點(diǎn)Q的安全路由被發(fā)現(xiàn)，對于路由發(fā)現(xiàn)認(rèn)證和路由建立認(rèn)證，一個(gè)源節(jié)點(diǎn)相信發(fā)起相應(yīng)路由建立認(rèn)證過程的節(jié)點(diǎn)Q是真正的目的結(jié)點(diǎn)。

2.3.路由維護(hù)認(rèn)證

為了維護(hù)路由表，每個(gè)節(jié)點(diǎn)將周期地傳送一個(gè)路由更新數(shù)據(jù)包給它的每個(gè)鄰居路由器，路由更新數(shù)據(jù)包包含來自發(fā)送節(jié)點(diǎn)路由表的信息。例如，節(jié)點(diǎn)O將傳送它的路由更新數(shù)據(jù)包到節(jié)點(diǎn)N，如圖1中第9步顯示的那樣。沿著到達(dá)源節(jié)點(diǎn)的路徑轉(zhuǎn)發(fā)這個(gè)被修改的數(shù)據(jù)包。

3、性能評價(jià)與仿真

3.1.性能指標(biāo)與仿真

我們將對以下四個(gè)無線網(wǎng)絡(luò)性能指標(biāo)吞吐量、可達(dá)率、平均延遲和開銷進(jìn)行研究。仿真環(huán)境設(shè)置20個(gè)MANET結(jié)點(diǎn)分布在670m X 670m的正方形仿真區(qū)域內(nèi)，結(jié)點(diǎn)的初始位置是隨機(jī)的，結(jié)點(diǎn)運(yùn)動(dòng)按random way-point模型移動(dòng)。有線Internet具有2個(gè)外部代理（FA）這兩個(gè)外部代理（FA）被分別放在仿真區(qū)左右兩側(cè)。我們采用0，1，5和10m/s的結(jié)點(diǎn)速度，暫停時(shí)間（pause time）為30秒進(jìn)行仿真。MANET結(jié)點(diǎn)與Internet中相關(guān)結(jié)點(diǎn)（CN）以constant bit rate （CBR）通信。一個(gè)MANET結(jié)點(diǎn)每0.2秒向結(jié)點(diǎn)CN發(fā)送一個(gè)512 bytes的數(shù)據(jù)包，即1秒發(fā)送5個(gè)數(shù)據(jù)包。在仿真開始10秒后，MANET結(jié)點(diǎn)才開始向Internet上的CN結(jié)點(diǎn)發(fā)送數(shù)據(jù)包。信號周期（Beacon time）選擇為 [10，15]時(shí)，能保證網(wǎng)絡(luò)高連通低開銷，使用OPNET仿真器。在這個(gè)試驗(yàn)中，有6個(gè)MANET結(jié)點(diǎn)要進(jìn)行Internet訪問，在自組網(wǎng)中使用DSDV和SecDSDV路由協(xié)議，在900秒仿真時(shí)間內(nèi)，MANET結(jié)點(diǎn)在相應(yīng)的仿真區(qū)隨機(jī)運(yùn)動(dòng)。