無線移動網絡的認證協議

孫鶴 張海龍 韓基亮

摘 要：隨著無線移動自組網絡的廣泛應用，網絡的信息安全變得更加重要，然而，多數無線網絡路由協議是利用節點之間固有特性即相鄰節點的信賴關系進行協作轉發數據包，這種信賴模型使得惡意節點利用插入錯誤的路由更新、重放過時的路由信息、改變路由更新、或廣播不正確的路由信息來癱瘓網絡。針對無線網絡的缺陷本文提出了一種認證路由策略來解決網絡的安全問題，通過仿真實驗，證明這種安全策略的可靠性和高效性。

關鍵詞：無線移動;自組網;認證協議。

1、引言

移動自組網（Mobile Ad hoc Network – MANET）是一種沒有固定路由器的網絡，它是一群移動結點的集合，形成自然、臨時而沒有任何基礎設施和集中管理的網絡，每個結點既做主機又做路由器，通過無線介質把數據包轉發到其他結點。

1.1 無線網絡的缺陷

假設在沒有敵方的環境下，大部分路由協議中節點忠實地轉發數據包，惡意的節點被忽略。然而，由于自組網的動態改變拓撲結構和開放的通信媒介，使自組網極易遭到攻擊。在網絡中，為了建立節點間的路由，路由器交換網絡拓撲結構的信息，這樣的信息將成為癱瘓網絡攻擊者的靶子。有兩種攻擊路由協議的方法。第一種是外部攻擊，一個進攻者利用注入錯誤路由信息，取代舊的路由信息，或扭曲路由信息，或借助于引起重傳無效路由來輸入額外的流量負載進入網絡。第二是來自內部危險節點。這種危險節點能廣播錯誤路由信息給其他節點，檢測錯誤信息是困難的，僅僅需要每個節點簽名的路由信息是不能工作的，因為危險節點會使用它們的私鑰進行有效簽名，因此，路由信息的保護是至關重要的。

1.2 安全無線網絡路由協議研究現狀

為了保證自組網的可用性，路由流量和路由信息必須被保護，要處理這些問題，幾種安全路由協議已經被提出，下面列舉當前自組網安全路由最新研究成果。如SRP（Secure Routing Protocol：安全路由協議）[1]協議保證偽造、危險的路由應答將被拒絕或永遠不能到達發起路由請求的源節點;SAODV（Secure Ad hoc On-demand Distance Vector Routing：安全的按需距離矢量路由）[2]是AODV（按需距離矢量路由）協議的擴展;SAR（Security-Aware Routing：感知安全路由）[3]協議把安全屬性作為參數加入到路由發現過程中;CSER（Cooperative Security-Enforcement Routing：增強安全的協作路由）[4]協議允許一條路徑由多段構成，每段路徑起點和終點都由與源節點相同安全區的節點擔任，每段路徑的中間會包含不可信節點;SEAD（Secure Efficient Distance Vector Routing：安全高效的距離矢量路由）

2、路由協議認證過程

安全路由協議SecDSDV的認證過程主要包括三種操作：路由發現認證，路由建立認證，路由維護認證。圖1顯示整個過程的例子，變量和參數列在表1中。

從第一步到第四步指出路由發現的認證過程;第五步到第八步顯示的是路由建立的認證過程;最后一步指出路由維護認證過程。在圖1中，帶有內容“[[REQ-id， IPQ]KM-]KN-， CM， CN”的白色表格表示節點M正廣播一個路由請求包，該數據包含有三項內容：第一項是包的類型標識（“REQ-id”）和目的結點Q的IP地址（IPQ），帶有節點M的所有簽署的私鑰KM-。第二項包含路由發現過程中源節點M的認證CM。第三項是發送節點的認證CX。表格前面的號碼代表相應數據包傳送的順序。

2.1.路由發現認證

第一步：當需要一條從M節點到達節點Q的路徑時，源節點M借助于向其鄰居節點廣播一個路由請求包（REQ）開始一個路由發現過程。因為數據包只由節點M簽證而沒有加密，數據包的內容對其他節點是可讀。

第二步：當節點N收到由節點M發送的REQ數據包時，節點N確認節點M的簽證并設置一個返回到節點M的反向路徑，節點M利用它收到REP記錄中的鄰居節點N來建立反向路徑。然后，節點N在收到的REQ數據包的第一項上簽證，增加它的認證，廣播修改的REQ包給它的全部鄰居節點。

第三步：當節點O收到來自節點N轉發的REQ數據包時，節點O在REQ數據包中確認節點M和節點N的認證。然后，節點O移走節點N的認證與簽證，在由節點M最初廣播的信息中簽證并增加它的認證，然后廣播新的REQ數據包。

第四步：同樣地，節點P將轉發REQ數據包。

2.2.路由建立認證

第五步：當目的節點Q收到節點P發送的REQ數據包時，單播路由應答REP數據包到節點P。

第六步：節點P簽證路由應答REP數據包，增加它的認證，然后，單播數據包回到源節點路徑上的下一跳O。

第七步：類似地，節點O將轉繼續轉發路由應答數據包。

第八步：節點N轉發路由應答數據包到源節點M。

直到現在，一個到達目的節點Q的安全路由被發現，對于路由發現認證和路由建立認證，一個源節點相信發起相應路由建立認證過程的節點Q是真正的目的結點。

2.3.路由維護認證

為了維護路由表，每個節點將周期地傳送一個路由更新數據包給它的每個鄰居路由器，路由更新數據包包含來自發送節點路由表的信息。例如，節點O將傳送它的路由更新數據包到節點N，如圖1中第9步顯示的那樣。沿著到達源節點的路徑轉發這個被修改的數據包。

3、性能評價與仿真

3.1.性能指標與仿真

我們將對以下四個無線網絡性能指標吞吐量、可達率、平均延遲和開銷進行研究。仿真環境設置20個MANET結點分布在670m X 670m的正方形仿真區域內，結點的初始位置是隨機的，結點運動按random way-point模型移動。有線Internet具有2個外部代理（FA）這兩個外部代理（FA）被分別放在仿真區左右兩側。我們采用0，1，5和10m/s的結點速度，暫停時間（pause time）為30秒進行仿真。MANET結點與Internet中相關結點（CN）以constant bit rate （CBR）通信。一個MANET結點每0.2秒向結點CN發送一個512 bytes的數據包，即1秒發送5個數據包。在仿真開始10秒后，MANET結點才開始向Internet上的CN結點發送數據包。信號周期（Beacon time）選擇為 [10，15]時，能保證網絡高連通低開銷，使用OPNET仿真器。在這個試驗中，有6個MANET結點要進行Internet訪問，在自組網中使用DSDV和SecDSDV路由協議，在900秒仿真時間內，MANET結點在相應的仿真區隨機運動。