文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.174687
中文引用格式: 楊官霞,,周頔,,張展. 基于改進的MAC和μTESLA的MANET安全路由算法[J].電子技術應用,,2018,44(6):94-98.
英文引用格式: Yang Guanxia,,Zhou Di,,Zhang Zhan. A secure routing protocol for mobile ad hoc network based on MAC and μTESLA[J]. Application of Electronic Technique,2018,,44(6):94-98.
0 引言
移動自組網(Mobile Ad Hoc Network,,MANET)由許多可以相互通信的移動設備組成,,網絡中的節(jié)點可以自由移動,形成一個無縫連接的自組織網絡,,其不需要任何基礎通信設施協(xié)助,,在軍事通信、救災搶險,、環(huán)境監(jiān)測等領域有著廣泛應用[1],。由于MANET網絡中的節(jié)點可以自由移動,導致網絡的拓撲結構經常變化,,通信鏈路存在中斷風險,,導致包丟失率增大。當路由中斷后,,重新尋找路由需要耗費時間,,造成端到端傳輸時延增大,并降低了網絡的吞吐量,。同時,,由于MANET網絡中的設備的功率,、內存和存儲容量有限,網絡中的所有設備需要共享帶寬,,這要求路由設計時需考慮能量損耗問題,。因此,最優(yōu)路由選擇是目前移動自組網面臨的主要挑戰(zhàn)[2-4],。
目前,,結合MANET的網絡特性,已提出了許多有意義的路由協(xié)議,,如AODV[5-8],、DSR[9-11]等。這些路由協(xié)議結合報文送達率,、端到端傳輸時延,、包丟失率、網絡吞吐量等性能指標,,提出了最優(yōu)的路由選擇策略,。在多跳網絡中,各個節(jié)點無法獨立完成數據傳輸任務,,多節(jié)點之間的通信極易受到攻擊,,安全性成為移動自組網路由協(xié)議亟待解決的重要問題之一[12]。
為增強路由協(xié)議的安全性,,許多路由協(xié)議對各節(jié)點發(fā)送和接收的數據進行加密和鑒別,。如SEAD[13]路由協(xié)議采用單向hash鏈鑒別路由表更新報文中的序列號等信息,驗證報文的可靠性,。Ariadne[14]在DSR路由協(xié)議的基礎上增加數字簽名技術,可以阻止多種類型的拒絕服務(Denial of Service,,DoS)攻擊,。ARAN[15]在AODV路由協(xié)議的基礎上采用公共密鑰加密和鑒別IP地址,防止路由被復制,。SAODV[16]也是在AODV路由協(xié)議上增加安全措施來增強路由的安全性,,具體是采用數字簽名鑒別報文的不變部分,采用hash鏈保護跳數信息,。然而,,現(xiàn)有的安全路由協(xié)議主要關注信息認證,而忽略了路由發(fā)現(xiàn)之后數據的機密性,。
本文提出一種兼顧數據完整性和機密性的安全路由協(xié)議,,采用消息認證碼(MAC)和加密密鑰算法認證源節(jié)點、目的節(jié)點和中間節(jié)點,,采用μTESLA協(xié)議[17]保護數據的機密性,,采用單向hash函數降低帶寬占用率和運算復雜度,,可以在保證路由基本性能要求的前提下防范多種網絡攻擊,提高路由的安全性能,。
1 自組網路由協(xié)議的安全性
移動自組網中常用的路由協(xié)議是AODV和DSR,。這兩種協(xié)議都是按需路由協(xié)議,網絡中的節(jié)點只在通信需要時才會交換路由信息,。但這些協(xié)議并沒有考慮通信的安全性,,在傳輸過程中沒有保護節(jié)點之間的位置等信息,所有通信范圍內的無線設備都可以獲取網絡中傳輸的內容,,極易受到冒充身份,、修改數據包內容等攻擊。
對路由協(xié)議的攻擊主要分為兩類:主動攻擊和被動攻擊,。被動攻擊只會偷聽網絡中傳輸的數據,,不會擾亂網絡。主動攻擊會復制,、修改和刪除節(jié)點之間交換的數據,,降低網絡性能甚至破壞網絡,影響更為惡劣,。按照攻擊所使用的工具進行分類,,還可將攻擊分為外部攻擊和內部攻擊。外部攻擊是典型的主動攻擊,,試圖阻塞網絡,、傳播錯誤路由信息甚至關閉整個網絡。這些攻擊通常需要采用防火墻,、加密等安全措施來防范,。內部攻擊主要由惡意節(jié)點發(fā)起,此類攻擊更加隱蔽[18-20],。表1列出了一些常用的攻擊類型和防范措施,。
對各節(jié)點發(fā)送和接收的數據進行加密和鑒別是保證通信安全性的主要途徑。常用的加密方式有hash鏈和數字簽名兩種,。表2列出了現(xiàn)有的常用安全路由協(xié)議及加密方式,。
2 兼顧數據完整性和機密性的安全路由協(xié)議
本文假定無線網絡中的網絡連接是雙向的,所有節(jié)點都有同步時鐘,,在寬松的時鐘同步下使用間隔密鑰,。加密密鑰在節(jié)點之間生成和發(fā)布,這樣網絡中的每兩個節(jié)點之間都共享一個加密密鑰,,如源節(jié)點S和目標節(jié)點D之間共享的加密密鑰是KSD,。本文采用μTESLA協(xié)議保證數據的機密性,信息認證使用消息認證碼和加密密鑰方式,。
2.1 μTESLA協(xié)議
一般地,,認證廣播需要一個非對稱機制,,然而非對稱密碼機制的運算量大、存儲空間耗費多,,難以應用于資源緊張的設備上,。μTESLA協(xié)議采用一個延遲透露的對稱密鑰來解決上述問題,是一種高效的廣播認證方案,。在μTESLA協(xié)議中,,密鑰鏈中的每一個密鑰與一個時段相對應,該時段內發(fā)送的所有數據包采用相同的密鑰鑒別,。譬如,,假設數據包P1和P2在時段1發(fā)送,采用密鑰K1加密,;P3在時段2發(fā)送,,采用密鑰K2加密。當接收到這些數據包之后,,首先通過一個單向函數K0=F(K1)鑒別K1,,如果鑒別成功,接收端采用密鑰K1解密數據包P1和P2,。同樣地,,在其他時段,只要節(jié)點接收到前一個時段的密鑰Kj,,就采用一組單向函數Ki=Fj-i(Kj)來鑒別密鑰Kj,。鑒別成功則授權新的密鑰Kj,用于解密時段i和j之間接收到的所有數據包,。這里,,單向函數采用hash函數。
在這一策略中,,將密鑰透露從數據包廣播中獨立出來,,只與時段相關聯(lián),當前密鑰通過專有的數據包周期性地進行廣播,。
2.2 路由認證
幾乎所有的路由攻擊都是由惡意入侵或者假冒攻擊來改變路由數據,。為了阻止這些攻擊,,負責解釋路由信息的每一個節(jié)點必須鑒別數據的原始性和完整性,。本文結合密鑰和單向hash函數生成消息認證碼,依據消息認證碼對路由中各節(jié)點進行認證,。
2.2.1 路由請求
如圖1所示,,源節(jié)點S想要建立其與目的節(jié)點D之間的路由,這樣源節(jié)點開啟朝向目的節(jié)點的路由發(fā)現(xiàn),,向其一跳鄰居廣播一個路由發(fā)現(xiàn)包,。
每一個節(jié)點沿著路徑重復以上步驟,,更新數據包和轉發(fā)廣播至目的節(jié)點。數據包中,,(h0,,h1,…,,hn)包含了用于中間節(jié)點鑒別的地址和節(jié)點序列號信息,。
2.2.2 路由應答
當接收到路由請求數據包之后,目的節(jié)點沿著相反的路徑發(fā)送一個應答數據包(REP)給源節(jié)點,。
第一個中間節(jié)點接收到從目的節(jié)點D到源節(jié)點S的應答數據包為:
同樣地,,其他中間節(jié)點也將自身的MAC密鑰附在REP包上,不斷地轉發(fā)給前一跳,。最終,,REP包到達源節(jié)點的形式為:
當源節(jié)點接收到路由應答包后,采用中間節(jié)點的MAC密鑰和HD來鑒別報文,。
2.2.3 路由維護
自組織無線網絡的拓撲結構經常變化,,網絡中的節(jié)點可能增加或者減少,這樣路由可能中斷,。當路由中斷之后,,路由錯誤報文(RERR)將從錯誤發(fā)生位置發(fā)送到源節(jié)點,然后初始化一個新的路由請求,。
如圖2所示,,假設節(jié)點C脫離了節(jié)點B的傳輸范圍,這樣節(jié)點B就會生成一個路由錯誤報文,,并通過中間節(jié)點B和A發(fā)送給源節(jié)點A,,方式為:
當源節(jié)點S接收到RERR報文之后,依據中間節(jié)點的MAC密鑰鑒別這些MAC,。鑒別成功后,,源節(jié)點重新請求路由發(fā)現(xiàn)去尋找一個新的路由。
2.2.4 數據機密性
現(xiàn)有的自組織網絡安全路由協(xié)議主要關注于認證,,很少考慮路由發(fā)現(xiàn)之后的數據機密性,。本文利用μTESLA協(xié)議中的單向函數保護數據的機密性。在路由階段,,P通過中間節(jié)點的路由請求包傳送到目的節(jié)點,,采用源節(jié)點和中間節(jié)點的加密密鑰解密。
單向函數的初始密鑰K0分布在所有節(jié)點之間,,目的節(jié)點可以采用單向函數鑒別Ki,,表示為:
這樣,接收端可以解碼時段i發(fā)送的所有數據包。當時段i結束之后,,密鑰Ki消失,,源節(jié)點發(fā)送新的密鑰Ki+1。目的節(jié)點接收包含新密鑰的報文后,,仍采用單向函數鑒別密鑰Ki+1,,鑒別成功后用其解密所有在i+1時段發(fā)送的數據包。
3 仿真分析
3.1 仿真環(huán)境與評價指標
本文選用國際上通用的NS2仿真平臺[21](主要仿真參數見表3),,將本文路由協(xié)議與AODV[5],、ARAN[15]、SAODV[16]路由協(xié)議進行對比,,從抗攻擊能力方面定性對比不同協(xié)議的性能,,從報文送達率、路由開銷和端到端平均時延3個方面定量評價不同協(xié)議的性能,。
定量評價指標為[22]:
(1)報文送達率:目的節(jié)點接收到的數據包與實際發(fā)送的數據包的比率,;
(2)路由開銷:路由包與數據包的比率;
(3)端到端平均延遲:從源節(jié)點發(fā)出報文到目的節(jié)點接收到報文所用的時間的平均值,。
3.2 安全性分析
表4對比了不同方法采用的安全措施和抗攻擊能力,。其中,AODV協(xié)議沒有采用安全措施,,故難以抵抗各種攻擊,;ARAN采用數字簽名進行信息認證,可以抵抗黑洞攻擊,;SAODV采用數字簽名和hash鏈結合的方式進行信息認證,,可以抵抗DOS和黑洞攻擊。本文方法除了采用密鑰和單向hash函數生成的消息認證碼進行信息認證之外,,還采用μTESLA協(xié)議保證數據的機密性,,可以抵抗目前主流的DoS、黑洞和蟲洞3種攻擊,。
3.3 性能評測
圖3顯示了4種路由協(xié)議在不同節(jié)點數量下的報文送達率對比情況,,圖4顯示了4種路由協(xié)議在不同節(jié)點數量下的路由開銷對比情況,圖5顯示了4種路由協(xié)議在不同節(jié)點數量下的端對端平均時延對比情況,。
從圖3可以看出,,節(jié)點數量越多,報文送達率越低,。與其他方法對比,,本文方法的報文送達率下降最緩慢,且當節(jié)點數量相同時,,本文方法的報文送達率高于其他方法,。
從圖4可以看出,隨著節(jié)點數量的增加,,4種方法的路由開銷也都增大,,但本文方法的增速較慢,且當節(jié)點數量超過50之后本文方法的路由開銷最小,。
從圖5可以看出,,端到端平均時延也會隨著節(jié)點數量的增加而增大。本文方法的平均時延低于ARAN和SAODV兩種增加安全措施的路由協(xié)議,,盡管高于AODV協(xié)議的端到端平均時延,,但安全性能得到了很大提升。
4 結束語
本文提出了一種基于MAC和μTESLA的安全路由協(xié)議,,可以解決現(xiàn)有移動自組網安全路由協(xié)議難以兼顧數據完整性和機密性的難題,。該方法包括兩個部分:(1)信息認證,主要措施是采用單向hash函數和密鑰生成消息認證碼,,依據消息認證碼進行信息認證,,保護數據的完整性;(2)數據機密性保護,,采用μTESLA協(xié)議傳輸加密后的數據包,,該協(xié)議采用對稱密鑰的延遲透露策略實現(xiàn)非對稱密碼機制,可以有效降低廣播認證的資源消耗,。通過與現(xiàn)有的AODV,、ARAN和SAODV等主流路由協(xié)議進行定性和定量對比分析,證實本文方法不僅抗攻擊能力強于其他路由協(xié)議,,而且報文送達率,、路由開銷和端到端時延等路由評價指標也優(yōu)于其他路由協(xié)議。
參考文獻
[1] NADEEM A,,HOWARTH M P.A survey of MANET intrusion detection & prevention approaches for network layer attacks[J].Communications Surveys & Tutorials IEEE,,2017,(4):2027-2045.
[2] AGUILERA U,,LOPEZ-DE-IPINA D.An architecture for automatic service composition in MANET using a distributed service graph[J].Future Generation Computer Systems,,2014,34(5):176-189.
[3] HIRANANDANI D,,OBRACZKA K,,GARCIA-LUNA-ACEVES J J.MANET protocol simulations considered harmful:the case for benchmarking[J].IEEE Wireless Communications,2013,,20(4):82-90.
[4] 吳呈邑,,熊焰,黃文超,,等.移動自組網中基于動態(tài)第三方的可信公平非抵賴協(xié)議[J].電子學報,,2013,41(2):
227-232.
[5] SAHA H N,SINGH R,,BHATTACHARYYA D,,et al.Modi-fied fidelity based on-demand secure(MFBOD) routing protocol in mobile ad-hoc network[J].Foundations of Com-
puting & Decision Sciences,2015,,40(4):267-298.
[6] FEHNKER A,,VAN GLABBEEK R,HFNER P,,et al.A process algebra for wireless mesh networks used for modelling, verifying and analysing AODV[J].Eprint Arxiv,,2013,7211(5513):295-315.
[7] BOORANAWONG A,,TEERAPABKAJORNDET W,,LIM-SAKUL C.Energy consumption and control response evaluations of AODV routing in WSANs for building-temperature control[J].Sensors,2013,,13(7):8303-8330.
[8] CAROLINA D V S,,CARLOS M P,ALDO O L,,et al.On the MAC/network/energy performance evaluation of wireless sensor networks: contrasting MPH,,AODV,DSR and ZTR routing protocols[J].Sensors,,2014,,14(12):22811-22847.
[9] ABDEL-HALIM I T,F(xiàn)AHMY H M A,,BAHAA-ELDIN A M.Agent-based trusted on-demand routing protocol for mobile ad-hoc networks[J].Wireless Networks,,2015,21(2):467-483.
[10] GRAVES S,,SIKORSKA M,,BOROWY-BOROWSKI H,et al.Performance analysis of AODV,,DSDV and DSR in MANETs[J].International Journal of Distributed & Parallel Systems,,2014,2(6):353-365.
[11] BELLA G,,COSTANTINO G,,CROWCROFT J,et al.Enhancing DSR maintenance with power awareness[J].Computer Standards & Interfaces,,2016,,35(1):107-113.
[12] MOHANAPRIYA M,KRISHNAMURTHI I.Modified DSR protocol for detection and removal of selective black hole attack in MANET[J].Computers & Electrical Engineering,,2014,,40(2):530-538.
[13] BORKAR G M,,MAHAJAN A R.A secure and trust based on-demand multipath routing scheme for selforganized mobile ad-hoc networks[J].Wireless Networks,2017,,23(8):2455-2472.
[14] SARKAR S,,DATTA R.A secure and energy-efficient stochastic multipath routing for self-organized mobile ad hoc networks[J].Ad Hoc Networks,2016,,37(P2):209-227.
[15] LI H,SINGHAL M.A secure routing protocol for wireless ad hoc networks[C].Proceedings of the 39th Annual Hawaii International Conference on System Sciences,,2006.HICSS′06.IEEE,,2006:225-235.
[16] DAS D,MAJUMDER K,,DASGUPTA A.A game-theory basedsecure routing mechanism in mobile ad hoc network[C].International Conference on Computing,,Communication and Automation.IEEE,2017:437-442.
[17] LI X,,NA R,,WU F,et al.Efficient and enhanced broadcast authentication protocols based on multilevel μTESLA[C].Performance Computing and Communications Conference(IPCCC),,2014 IEEE International.IEEE,,2014:1-8.
[18] SAMREEN S.Impact of trust management framework on the performance of path allegiance metric based routing protocol in a mobile ad hoc network[C].International Conference on Automatic Control and Dynamic Optimization Techniques.IEEE,2017:477-482.
[19] DJAHEL S,,NAIT-ABDESSELAM F,,KHOKHAR A.A cross layer framework to mitigate a joint MAC and routing attack in multihop wireless networks[C].IEEE 34th Conference on Local Computer Networks,2009.LCN 2009.IEEE,,2009:730-737.
[20] DWIVEDI S,,TRIPATHI P.An efficient approach for detection of wormhole attack in mobile ad-hoc network[J].International Journal of Computer Applications,2014,,104(7):18-23.
[21] The network simulator-ns-2[EB/OL].[2017-11-16].http://www.isi.edu/nsnam/ns/.
[22] 胡光明,,胡華平,龔正虎.簇結構移動自組網絡密鑰管理與安全路由增強技術[J].計算機研究與發(fā)展,,2016,,43(z2):197-204.
作者信息:
楊官霞1,周 頔2,,張 展3
(1.浙江長征職業(yè)技術學院 計算機與信息技術系,,浙江 杭州310023;
2.四川文理學院,,四川 達州635000,;3.河南理工大學 電氣學院,河南 焦作454000)