陳 龍，陳 琳 (長(zhǎng)江大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，湖北 荊州 434023)

基于AODV協(xié)議安全性的改進(jìn)算法

陳 龍，陳 琳 (長(zhǎng)江大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，湖北 荊州 434023)

Ad Hoc網(wǎng)絡(luò)組網(wǎng)方便、快捷，但其安全性是應(yīng)用上的薄弱環(huán)節(jié)。通過(guò)對(duì)AODV 協(xié)議分析研究及對(duì)路由發(fā)現(xiàn)和路由維持進(jìn)行加密認(rèn)證，提出了一種基于加密認(rèn)證的改進(jìn)的AODV協(xié)議(DES-AODV)，并利用NS2仿真軟件對(duì)DES-AODV協(xié)議進(jìn)行了仿真。仿真結(jié)果表明，該算法在可信路由方面具有較好的安全性，付出一定的消耗代價(jià)可以較好的阻擊針對(duì)路由發(fā)現(xiàn)和路由維護(hù)的攻擊。

Ad Hoc網(wǎng)絡(luò)；AODV；安全；路由協(xié)議

移動(dòng)Ad Hoc網(wǎng)絡(luò)是一種無(wú)線(xiàn)、分布式、動(dòng)態(tài)自組織網(wǎng)絡(luò)，不需要依靠固定通信基礎(chǔ)設(shè)施，組網(wǎng)非常方便、快捷，多應(yīng)用于援救、戰(zhàn)場(chǎng)、會(huì)議、探險(xiǎn)或危險(xiǎn)環(huán)境中的目標(biāo)監(jiān)控等場(chǎng)合。由于網(wǎng)絡(luò)動(dòng)態(tài)變化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、資源受限和無(wú)線(xiàn)通信等特點(diǎn)，使得路由協(xié)議安全比傳統(tǒng)網(wǎng)絡(luò)要復(fù)雜的多，節(jié)點(diǎn)的覆蓋范圍廣和地理位置的不確定性使其極易受到攻擊，因而帶來(lái)了很大的安全隱患。由于移動(dòng)自組織網(wǎng)絡(luò)節(jié)點(diǎn)地理位置不確定、網(wǎng)絡(luò)資源有限，如何在提高安全性的同時(shí)又能保證網(wǎng)絡(luò)通信質(zhì)量，是目前的研究熱點(diǎn)。為此，筆者基于AODV路由協(xié)議，設(shè)計(jì)了一種高效安全的路由方案(DES-AODV)，以消耗少量的網(wǎng)絡(luò)資源為代價(jià)，來(lái)提高網(wǎng)絡(luò)路由和通信的安全性。

1 AODV協(xié)議及安全性分析

1)AODV協(xié)議 無(wú)線(xiàn)自組網(wǎng)按需平面距離矢量路由協(xié)議(Ad Hoc On Demand Distance Vector Routing，AODV)分為2個(gè)階段：路由發(fā)現(xiàn)和路由維護(hù)。路由發(fā)現(xiàn)階段即當(dāng)源節(jié)點(diǎn)要發(fā)送信息時(shí)，先在路由表里查找到目的節(jié)點(diǎn)的路由，若找到則直接發(fā)送，否則就通過(guò)廣播路由請(qǐng)求RREQ(路由請(qǐng)求報(bào)文)信息來(lái)查找路由。當(dāng)網(wǎng)絡(luò)中節(jié)點(diǎn)收到RREQ信息，首先到路由表里搜索到達(dá)目的節(jié)點(diǎn)或一個(gè)擁有足夠新的到目的節(jié)點(diǎn)路由表項(xiàng)，有則回復(fù)RREP(路由回復(fù)報(bào)文)消息，源節(jié)點(diǎn)可以通過(guò)收到的RREP消息在路由表項(xiàng)建立到達(dá)目地節(jié)點(diǎn)路由[1]。

網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)都要進(jìn)行路由維持，在路由表中都需要保持一個(gè)相應(yīng)目的地址的路由表項(xiàng)，以實(shí)現(xiàn)逐跳轉(zhuǎn)發(fā)。在維護(hù)路由表的過(guò)程中，AODV協(xié)議通過(guò)發(fā)送HELLO消息給鄰居節(jié)點(diǎn)或鏈路修復(fù)及路由斷開(kāi)后發(fā)送RERR(路由錯(cuò)誤報(bào)文)消息來(lái)進(jìn)行路由的維護(hù)，每個(gè)節(jié)點(diǎn)周期性的向鄰居節(jié)點(diǎn)發(fā)送HELLO消息，如果在一定的時(shí)間后，某一個(gè)節(jié)點(diǎn)沒(méi)有收到它的鄰居節(jié)點(diǎn)發(fā)送過(guò)來(lái)的HELLO消息，就認(rèn)為與該鄰居節(jié)點(diǎn)的聯(lián)系斷開(kāi)，則會(huì)開(kāi)始一系列的路由修復(fù)，該節(jié)點(diǎn)立刻廣播一個(gè)RREQ給不可達(dá)的節(jié)點(diǎn)，當(dāng)有到不可達(dá)節(jié)點(diǎn)有效的路由的中間節(jié)點(diǎn)或不可達(dá)本身節(jié)點(diǎn)接受到了這個(gè)消息，則會(huì)回復(fù)一個(gè)RREP給源節(jié)點(diǎn)，到達(dá)不可達(dá)的節(jié)點(diǎn)的路由會(huì)重新建立，假如路由的修復(fù)過(guò)程失敗，節(jié)點(diǎn)會(huì)向所有的鄰居節(jié)點(diǎn)廣播RRER消息，通過(guò)RRER消息的廣播，其他節(jié)點(diǎn)就知道鏈路斷開(kāi)，以此來(lái)維護(hù)和修改路由表[2]。

2)AODV協(xié)議安全性分析 移動(dòng)Ad Hoc網(wǎng)絡(luò)中，路由協(xié)議的攻擊方式有2種：主動(dòng)攻擊和被動(dòng)攻擊。主動(dòng)攻擊是攻擊者主動(dòng)發(fā)送數(shù)據(jù)包來(lái)消耗網(wǎng)絡(luò)資源，使得網(wǎng)絡(luò)不能正常運(yùn)行；被動(dòng)攻擊又叫消極攻擊，攻擊者并不消耗網(wǎng)絡(luò)資源，只監(jiān)聽(tīng)網(wǎng)絡(luò)中的路由消息，竊取有效信息以達(dá)到某種目的[3]。

AODV路由發(fā)現(xiàn)過(guò)程采用泛洪方式，消耗的資源較多，因此需要控制泛洪RREQ查找的頻率。攻擊者可以利用這一點(diǎn)，大量連續(xù)發(fā)送偽造的RREQ報(bào)文，在整個(gè)網(wǎng)絡(luò)中查找路由，這會(huì)使得整個(gè)網(wǎng)絡(luò)都是偽造的RREQ報(bào)文，占用大量無(wú)線(xiàn)通信帶寬，導(dǎo)致網(wǎng)絡(luò)擁塞，使正常節(jié)點(diǎn)無(wú)法通信，網(wǎng)絡(luò)的性能大大降低，這種攻擊是利用路由協(xié)議本身功能發(fā)起的攻擊，對(duì)AODV路由協(xié)議而言是正常的通信活動(dòng)，卻對(duì)網(wǎng)絡(luò)性能有嚴(yán)重的影響，這種攻擊需要長(zhǎng)時(shí)間的觀測(cè)才能檢測(cè)出來(lái)。偽造節(jié)點(diǎn)還可以修改控制信息，修改路由的序列號(hào)，在AODV路由協(xié)議中，對(duì)RREQ的有效應(yīng)答必須有比RREQ更大的目的序列號(hào)，攻擊者通過(guò)修改序列號(hào)將自己插入到通向發(fā)送節(jié)點(diǎn)的路徑中，從而可以攔截通向目的節(jié)點(diǎn)的數(shù)據(jù)。AODV協(xié)議還規(guī)定，當(dāng)一個(gè)節(jié)點(diǎn)在收到多個(gè)屬于同一個(gè)路徑的RREQ的時(shí)候，只會(huì)轉(zhuǎn)發(fā)最先收到的請(qǐng)求包，如果惡意節(jié)點(diǎn)使目的所有鄰居節(jié)點(diǎn)最先收到RREQ經(jīng)過(guò)該惡意，使目的節(jié)點(diǎn)忽略通過(guò)其他正確路徑到達(dá)的路由請(qǐng)求，進(jìn)而使源節(jié)點(diǎn)和目的節(jié)點(diǎn)的通信經(jīng)過(guò)該惡意節(jié)點(diǎn)。路由維護(hù)一樣存在一定的安全隱患，像路由表的溢出攻擊，由于移動(dòng)設(shè)備內(nèi)存原本就不大，用于路由表的空間更加有限，惡意節(jié)點(diǎn)可以通過(guò)偽造大量的虛假路由信息，這些信息通往不存在的節(jié)點(diǎn)，從而使網(wǎng)絡(luò)中節(jié)點(diǎn)的路由表空間被虛假信息所占用，使得真實(shí)的路由信息被丟棄。

2 基于AODV的改進(jìn)協(xié)議(DES-AODV)

1)DES-AODV設(shè)計(jì)策略 AODV協(xié)議雖然提高了無(wú)線(xiàn)網(wǎng)絡(luò)的路由效率，但是過(guò)于簡(jiǎn)單，存在著各種各樣的問(wèn)題，尤其是安全性方面的問(wèn)題。為了使改進(jìn)后的DES-AODV協(xié)議的路由效率不明顯降低，DES-AODV協(xié)議的設(shè)計(jì)思想是在AODV協(xié)議的基礎(chǔ)上嵌入了加密機(jī)制，通過(guò)加密方式來(lái)識(shí)別節(jié)點(diǎn)收到的路由請(qǐng)求包和路由維護(hù)包是否合法，具體策略是對(duì)路由發(fā)現(xiàn)和路由維護(hù)過(guò)程進(jìn)行局部加密，在路由請(qǐng)求和路由發(fā)行過(guò)程中所發(fā)送的的數(shù)據(jù)包的頭部添加一個(gè)字段，在路由發(fā)現(xiàn)、路由維護(hù)階段對(duì)該字段賦值并通過(guò)DES(Data Encryption Standard)加密算法對(duì)該字段進(jìn)行加密，即在AODV協(xié)議中嵌入DES加密算法，對(duì)AODV協(xié)議中的路由發(fā)現(xiàn)、路由維護(hù)處理模塊中的sendHello、sendReply、sendRequest、sendError進(jìn)行加密處理，字段值事先約定好，每一個(gè)合法的節(jié)點(diǎn)都知道該字段的值來(lái)進(jìn)行身份驗(yàn)證，當(dāng)然這個(gè)值不是固定的可以根據(jù)自己的需要而定，在路由發(fā)現(xiàn)和路由維護(hù)階段接收方在收到發(fā)送方發(fā)來(lái)的數(shù)據(jù)包后首會(huì)查看該字段并對(duì)其解密，若解密后的字段值與發(fā)送前的值相同，則說(shuō)明該數(shù)據(jù)包是由合法節(jié)點(diǎn)發(fā)送過(guò)來(lái)的，并進(jìn)行相應(yīng)的路由處理，若不同則說(shuō)明該數(shù)據(jù)包是可疑節(jié)點(diǎn)發(fā)送來(lái)數(shù)據(jù)，不予處理或者報(bào)告上一級(jí)在它鄰居可能存在著可疑節(jié)點(diǎn)以便進(jìn)行相應(yīng)的處理，很大程度上阻止了惡意節(jié)點(diǎn)利用網(wǎng)絡(luò)協(xié)議自身的特點(diǎn)而進(jìn)行的攻擊。

2)DES-AODV協(xié)議的安全性 當(dāng)攻擊者利用路由發(fā)現(xiàn)的特點(diǎn)，大量連續(xù)的發(fā)送偽造的RREQ報(bào)文，鄰居節(jié)點(diǎn)便會(huì)檢測(cè)出來(lái)該消息是由惡意節(jié)點(diǎn)發(fā)送的，不會(huì)對(duì)該消息進(jìn)行轉(zhuǎn)發(fā)，不會(huì)使整個(gè)網(wǎng)絡(luò)都是偽造的RREQ報(bào)文，占用大量無(wú)線(xiàn)通信帶寬而導(dǎo)致網(wǎng)絡(luò)擁塞，保證了正常的節(jié)點(diǎn)的通信，網(wǎng)絡(luò)的性能不會(huì)因?yàn)閻阂夤?jié)點(diǎn)的攻擊而大大降低，這種攻擊是利用路由協(xié)議本身功能發(fā)起的攻擊，對(duì)AODV路由協(xié)議而言是正常的通信活動(dòng)，對(duì)網(wǎng)絡(luò)性能有嚴(yán)重的影響，改進(jìn)后的DES-AODV協(xié)議避免了這種現(xiàn)象的發(fā)生。針對(duì)路由維護(hù)過(guò)程中的路由表的溢出攻擊，改進(jìn)后的DES-AODV協(xié)議可以在惡意節(jié)點(diǎn)發(fā)送偽造大量的虛假路由信息被及時(shí)檢測(cè)出來(lái)不予理睬，不會(huì)導(dǎo)致真的路由信息丟失，從而在一定程度上阻擊了針對(duì)路由發(fā)現(xiàn)和路由維護(hù)所發(fā)起的一系列攻擊，提高了網(wǎng)絡(luò)的安全性和可靠性[4-5]。

表1 仿真參數(shù)

3 仿真試驗(yàn)及結(jié)果分析

仿真試驗(yàn)用的是仿真軟件NS2搭建的網(wǎng)絡(luò)仿真平臺(tái)，通過(guò)仿真與評(píng)估來(lái)驗(yàn)證改進(jìn)后的路由協(xié)議的有效性，仿真參數(shù)如表1所示。

1)路由發(fā)現(xiàn)延時(shí) 發(fā)送端發(fā)送數(shù)據(jù)前，需要一定的時(shí)間的路由發(fā)現(xiàn)來(lái)建立路由表，由路由發(fā)現(xiàn)的延時(shí)來(lái)分析，在路由發(fā)現(xiàn)階段中嵌入了解密機(jī)制后協(xié)議是否依然可以正常工作，仿真試驗(yàn)結(jié)果如圖1所示。由圖1可以看出，DES-AODV協(xié)議在路由發(fā)現(xiàn)階段與AODV協(xié)議在路由發(fā)現(xiàn)階段延時(shí)基本差不多，只有在那些路由跳數(shù)比較多的節(jié)點(diǎn)間傳輸時(shí)會(huì)有一些差別。DES-AODV協(xié)議沒(méi)有給網(wǎng)絡(luò)增加很大的負(fù)載，沒(méi)有出現(xiàn)節(jié)點(diǎn)在路由發(fā)行階段找不到路由或數(shù)據(jù)包超時(shí)丟失的情況，說(shuō)明改進(jìn)后的是DES-AODV協(xié)議是可行的。

2)數(shù)據(jù)包的投遞率分析 目的節(jié)點(diǎn)接收到的數(shù)據(jù)包與源節(jié)點(diǎn)發(fā)送的數(shù)據(jù)包之比為投遞率，數(shù)據(jù)包投遞率仿真結(jié)果如圖2所示，在AODV路由協(xié)議下包的投遞率為51.88%，在DES-AODV路由協(xié)議下包的投遞率為51.26 %。由以上數(shù)據(jù)可以看出改進(jìn)后的DES-AODV路由協(xié)議與AODV路由協(xié)議數(shù)據(jù)包的投遞率有微小的區(qū)別，改進(jìn)后數(shù)據(jù)包的投遞率比之前要約低些，丟包率略大，在網(wǎng)絡(luò)通信中數(shù)據(jù)的丟失是很正常的現(xiàn)象，微小變化不會(huì)影響正常的網(wǎng)絡(luò)通信。

圖1 路由發(fā)現(xiàn)延時(shí)

圖2 數(shù)據(jù)包的投遞率分析

圖3 數(shù)據(jù)包傳輸延時(shí)分析

3)數(shù)據(jù)包傳輸延時(shí)分析 數(shù)據(jù)包傳輸延時(shí)是指接收端接受數(shù)據(jù)的時(shí)間減去發(fā)送方發(fā)送數(shù)據(jù)包的時(shí)間。 圖3所描述的是DES-AODV協(xié)議的延時(shí)與AODV協(xié)議的延時(shí)之差，由圖3可以看出延時(shí)曲線(xiàn)在0附近波動(dòng)，說(shuō)明改進(jìn)后的DES-AODV路由協(xié)議與AODV路由協(xié)議在延時(shí)方面基本一致，說(shuō)明對(duì)路由發(fā)現(xiàn)過(guò)程加密認(rèn)證不影響數(shù)據(jù)包的轉(zhuǎn)發(fā)時(shí)間?？梢钥闯鯠ES-AODV路由協(xié)議與AODV路由協(xié)議對(duì)網(wǎng)絡(luò)傳輸性能上面沒(méi)有明顯的差距，進(jìn)一步說(shuō)明了改進(jìn)后的是DES-AODV協(xié)議的可行性。

4 結(jié) 語(yǔ)

基于AODV協(xié)議提出了一種對(duì)路由協(xié)議局部加密進(jìn)行身份驗(yàn)證的方式來(lái)提高路由的安全性，并將這種系統(tǒng)在理論上進(jìn)行了詳細(xì)設(shè)計(jì)，并做了仿真試驗(yàn)。試驗(yàn)結(jié)果表明，加密雖然使網(wǎng)絡(luò)增加了路由發(fā)現(xiàn)階段和路由維護(hù)延時(shí)，但這種影響非常小并不影響網(wǎng)絡(luò)正常運(yùn)行，在安全性方面能有效的防止惡意節(jié)點(diǎn)針對(duì)路由發(fā)現(xiàn)和路由維護(hù)進(jìn)行的攻擊，在一些特殊的領(lǐng)域相較于網(wǎng)絡(luò)攻擊所帶來(lái)的損失消耗一定的網(wǎng)絡(luò)資源是值得，然而在正常的通信中可能帶來(lái)的延時(shí)開(kāi)銷(xiāo)任然是一個(gè)不足之處，還有待下一步的研究。

[1]鄭相全.無(wú)線(xiàn)自組網(wǎng)絡(luò)技術(shù)使用教程[M].北京:清華大學(xué)出版社，2004.

[2]陳玲，王華.移動(dòng)Ad Hoc 網(wǎng)絡(luò)路由協(xié)議研究——一種基于AODV路由協(xié)議的改進(jìn)算法[J].微計(jì)算機(jī)信息，2006,22(3)：167-169.

[3]趙海燕. Ad Hoc網(wǎng)絡(luò)中QoS保障的路由算法研究[D].濟(jì)南：山東師范大學(xué), 2008.

[4]張串絨,張玉清,李發(fā)根,等. 適于ad hoc網(wǎng)絡(luò)安全通信的新簽密算法[J]通信學(xué)報(bào), 2010(3):8-11.

[5]吉祖勤, 方元康. Ad Hoc網(wǎng)絡(luò)安全路由協(xié)議SDSR設(shè)計(jì)[J]. 計(jì)算機(jī)工程, 2011(16):132-136.

[編輯] 洪云飛

10.3969/j.issn.1673-1409(N).2012.03.030

TP393

A

1673-1409(2012)03-N090-03

2012-01-15

湖北省自然科學(xué)基金項(xiàng)目(2011CDC126)。

陳龍(1986-)，男，2011年大學(xué)畢業(yè)，碩士生，現(xiàn)主要從事計(jì)算機(jī)網(wǎng)絡(luò)安全及路由協(xié)議方面的研究工作。

陳琳(1972-)，男,1992年大學(xué)畢業(yè)，博士，副教授，現(xiàn)主要從事計(jì)算機(jī)網(wǎng)絡(luò)和通信與信息系統(tǒng)方面的教學(xué)與研究工作。