移动Ad Hoc网络安全按需路由协议

作者：刘巧平, 许巧平

来源：《现代电子技术》2010年第16期

摘要:Ad Hoc网络的安全性问题越来越引起人们的关注,如何确保 Ad Hoc网络路由协议的安全成为 Ad Hoc研究的一项关键技术。提出一种适用于移动Ad Hoc网络的安全按需源路由协议,利用移动节点之间的会话密钥和基于散列函数的消息鉴别码HMAC一起来验证路由发现和路由应答的有效性。提出的邻居节点维护机制通过把MAC地址和每个节点的ID绑定来

防御各种复杂的攻击如虫洞攻击。NS-2仿真表明该协议能有效地探测和阻止针对Ad Hoc网络的大部分攻击。关键词:Ad Hoc网络; 安全按需路由;虫洞攻击; 散列函数

中图分类号:TN915-34; TP393 文献标识码:A

文章编号:1004-373X(2010)16-0097-04

Secure On-demand Routing Protocol for Ad Hoc Network

LIU Qiao-ping, XU Qiao-ping

(Inf ormation College, Yan’an University, Xi’an 716000, China)

Abstract: The security issue of the ad hoc network has attracted the attention of people. Therefore, the security of the routing protocol for the ad hoc network is the key problem. A secure ad hoc on-demand routing (SAOR) protocol suitable for ad hoc network is proposed, which uses the session key between pairs of mobile nodes and message anthentication code based on hash function to verify the validity of the route discovery and route replies. By binding the MAC address with ID of every node, the various complex attacks such as wormhole attacks are defended by the proposed neighbor-node maintenance mechanism. NS-2 simulation results show that SAOR can effectively detect and thwart most of attacks upon MANETs (mobile ad hoc network).

Keywords: ad hoc network; secure on-demand routing;wormhole attack; hash function

0 引言

移动Ad Hoc网络[1-组网方便、快捷,不受时间和空间限制,既可应用于救援、会议、战场、探险、远距离或危险环境中的目标监控等场合,还可用于末端网络的扩展,因此得到了广泛应用。移动Ad Hoc网络是一种临时自治的分布式系统,具有无中心接入和多跳的特征[3]。网络中各个节点的地位平等,每个节点都具有主机与路由器的

双重功能。

由于没有固定基础设施、拓扑频繁动态变化、无线信道完全开放、节点的恶意行为难以检测、网络缺乏自稳定性等原因,移动 Ad Hoc网络容易遭受多种类型的攻击[4-6],主要有路由破坏攻击(如虫洞攻击,黑洞攻击),资源消耗攻击(如拒绝服务攻击)等。因此设计安全的路由协议非常重要。

1 安全按需源路由协议

为了使得路由(secure Ad Hoc on-demand routing, SAOR)协议实用性较强,能够满足多数应用场合的安全性要求,需综合考虑所采用技术的安全特性。按需路由开销相对较小,且具有较强的实用性,基于此本文提出一种适用于Ad Hoc网络的安全按需源路由[7-8](secure Ad Hoc On-demand routing,SAOR)协议。该协议利用移动节点之间的会话密钥[9]和基于散列函数的消息鉴别码HMAC一起来验证路由发现和路由应答的有效性。提出了的邻居节点维护机制通过把MAC地址与每个节点的ID绑定来防御各种复杂的攻击如虫洞攻击等。该协议的最优性能就是自认证密钥体制带来的小通信开销。该协议同样包括路由发现和路由维护两个过程,并采纳目的节点序列号及邻节点列表等机制。

1.1 假设阶段

假设Ad Hoc 网络中的每对节点Ns和Nt都拥有自己的共享密钥。假设节点一旦进入网络,其MAC地址就不会改变,并且在节点进入网络之前,每个节点已经获得了被CA签名的证书,由此可以绑定MAC和ID(可能是节点的IP地址)。节点A把证书赠予首次遇见的节点,如果证书得到成功验证,那么节点就可以和邻节点进行通信,否则丢弃此节点。

1.2 邻节点列表维护机制

当节点A首次接收到另一个节点B的信息时,首先把包含在证书的MAC地址和数据包头部的源MAC地址比较。如果两个MAC地址相配,证书进一步验证CA的公钥。若两次验证均成功通过,就把ID和MAC地址加入到当前邻节点列表中。因为网络中的节点有可能处于移动状态,所以一个活跃比特始终用来显示该节点是否处在无限范围内。若在规定的时间内,端节点还没有收到节点的信息,活跃比特就失效。认证的保存在邻节点列表中是用来节省证书认证时的非必要的重复计算。因为假设节点进入网络其MAC地址就不会改变,所以ID的真实性能被保证。

节点每次接收到邻节点的数据包后,首先核查这个节点是否已经存在它的邻节点列表中,它是否是活跃的。如果存在,它进一步核实这个数据包的源MAC地址与已存在当前邻居列表中的节点配对的MAC地址是否相配。只有这些数据分组成功通过这两项验证,才能传递到上层进一步处理。

1.3 路由发现过程