无线移动网络的认证协议

孙鹤 张海龙 韩基亮

摘 要：随着无线移动自组网络的廣泛应用，网络的信息安全变得更加重要，然而，多数无线网络路由协议是利用节点之间固有特性即相邻节点的信赖关系进行协作转发数据包，这种信赖模型使得恶意节点利用插入错误的路由更新、重放过时的路由信息、改变路由更新、或广播不正确的路由信息来瘫痪网络。针对无线网络的缺陷本文提出了一种认证路由策略来解决网络的安全问题，通过仿真实验，证明这种安全策略的可靠性和高效性。

关键词：无线移动;自组网;认证协议。

1、引言

移动自组网（Mobile Ad hoc Network – MANET）是一种没有固定路由器的网络，它是一群移动结点的集合，形成自然、临时而没有任何基础设施和集中管理的网络，每个结点既做主机又做路由器，通过无线介质把数据包转发到其他结点。

1.1 无线网络的缺陷

假设在没有敌方的环境下，大部分路由协议中节点忠实地转发数据包，恶意的节点被忽略。然而，由于自组网的动态改变拓扑结构和开放的通信媒介，使自组网极易遭到攻击。在网络中，为了建立节点间的路由，路由器交换网络拓扑结构的信息，这样的信息将成为瘫痪网络攻击者的靶子。有两种攻击路由协议的方法。第一种是外部攻击，一个进攻者利用注入错误路由信息，取代旧的路由信息，或扭曲路由信息，或借助于引起重传无效路由来输入额外的流量负载进入网络。第二是来自内部危险节点。这种危险节点能广播错误路由信息给其他节点，检测错误信息是困难的，仅仅需要每个节点签名的路由信息是不能工作的，因为危险节点会使用它们的私钥进行有效签名，因此，路由信息的保护是至关重要的。

1.2 安全无线网络路由协议研究现状

为了保证自组网的可用性，路由流量和路由信息必须被保护，要处理这些问题，几种安全路由协议已经被提出，下面列举当前自组网安全路由最新研究成果。如SRP（Secure Routing Protocol：安全路由协议）[1]协议保证伪造、危险的路由应答将被拒绝或永远不能到达发起路由请求的源节点;SAODV（Secure Ad hoc On-demand Distance Vector Routing：安全的按需距离矢量路由）[2]是AODV（按需距离矢量路由）协议的扩展;SAR（Security-Aware Routing：感知安全路由）[3]协议把安全属性作为参数加入到路由发现过程中;CSER（Cooperative Security-Enforcement Routing：增强安全的协作路由）[4]协议允许一条路径由多段构成，每段路径起点和终点都由与源节点相同安全区的节点担任，每段路径的中间会包含不可信节点;SEAD（Secure Efficient Distance Vector Routing：安全高效的距离矢量路由）

2、路由协议认证过程

安全路由协议SecDSDV的认证过程主要包括三种操作：路由发现认证，路由建立认证，路由维护认证。图1显示整个过程的例子，变量和参数列在表1中。

从第一步到第四步指出路由发现的认证过程;第五步到第八步显示的是路由建立的认证过程;最后一步指出路由维护认证过程。在图1中，带有内容“[[REQ-id， IPQ]KM-]KN-， CM， CN”的白色表格表示节点M正广播一个路由请求包，该数据包含有三项内容：第一项是包的类型标识（“REQ-id”）和目的结点Q的IP地址（IPQ），带有节点M的所有签署的私钥KM-。第二项包含路由发现过程中源节点M的认证CM。第三项是发送节点的认证CX。表格前面的号码代表相应数据包传送的顺序。

2.1.路由发现认证

第一步：当需要一条从M节点到达节点Q的路径时，源节点M借助于向其邻居节点广播一个路由请求包（REQ）开始一个路由发现过程。因为数据包只由节点M签证而没有加密，数据包的内容对其他节点是可读。

第二步：当节点N收到由节点M发送的REQ数据包时，节点N确认节点M的签证并设置一个返回到节点M的反向路径，节点M利用它收到REP记录中的邻居节点N来建立反向路径。然后，节点N在收到的REQ数据包的第一项上签证，增加它的认证，广播修改的REQ包给它的全部邻居节点。

第三步：当节点O收到来自节点N转发的REQ数据包时，节点O在REQ数据包中确认节点M和节点N的认证。然后，节点O移走节点N的认证与签证，在由节点M最初广播的信息中签证并增加它的认证，然后广播新的REQ数据包。

第四步：同样地，节点P将转发REQ数据包。

2.2.路由建立认证

第五步：当目的节点Q收到节点P发送的REQ数据包时，单播路由应答REP数据包到节点P。

第六步：节点P签证路由应答REP数据包，增加它的认证，然后，单播数据包回到源节点路径上的下一跳O。

第七步：类似地，节点O将转继续转发路由应答数据包。

第八步：节点N转发路由应答数据包到源节点M。

直到现在，一个到达目的节点Q的安全路由被发现，对于路由发现认证和路由建立认证，一个源节点相信发起相应路由建立认证过程的节点Q是真正的目的结点。

2.3.路由维护认证

为了维护路由表，每个节点将周期地传送一个路由更新数据包给它的每个邻居路由器，路由更新数据包包含来自发送节点路由表的信息。例如，节点O将传送它的路由更新数据包到节点N，如图1中第9步显示的那样。沿着到达源节点的路径转发这个被修改的数据包。

3、性能评价与仿真

3.1.性能指标与仿真

我们将对以下四个无线网络性能指标吞吐量、可达率、平均延迟和开销进行研究。仿真环境设置20个MANET结点分布在670m X 670m的正方形仿真区域内，结点的初始位置是随机的，结点运动按random way-point模型移动。有线Internet具有2个外部代理（FA）这两个外部代理（FA）被分别放在仿真区左右两侧。我们采用0，1，5和10m/s的结点速度，暂停时间（pause time）为30秒进行仿真。MANET结点与Internet中相关结点（CN）以constant bit rate （CBR）通信。一个MANET结点每0.2秒向结点CN发送一个512 bytes的数据包，即1秒发送5个数据包。在仿真开始10秒后，MANET结点才开始向Internet上的CN结点发送数据包。信号周期（Beacon time）选择为 [10，15]时，能保证网络高连通低开销，使用OPNET仿真器。在这个试验中，有6个MANET结点要进行Internet访问，在自组网中使用DSDV和SecDSDV路由协议，在900秒仿真时间内，MANET结点在相应的仿真区随机运动。