安全路由协议范文

安全路由协议范文（精选12篇）

一、OSPF安全机制

1.1层次化路由结构

利用OSPF路由协议可以将自治网络划分成为多个区域, 在每一个划分之后的区域之中都存在有独立的链路状态数据库, 并各自独立执行链路状态路由算法。这就可以让本区域中的拓扑结构对区域之外的网络进行隐藏, 并可以让自治系统在交换、传播路由信息的时候的网络流量得到减少, 促进收敛速度的加速。

1.2具有可靠的泛洪机制

在OSPF协议之中采用LSU报文来对路由信息进行携带, 并运用协议本身所定义的泛洪机制让区域之中的路由器的链路状态数据库保持良好的一致性, 让路由选择一致性得到保障。LSA是OSPF路由协议中路由协议的最小单元, 由路由器生成, 并在其中包含了LSA的路由器的标识信息, 根据这个标识之下的机制, 让OSPF拥有一定自我纠错的能力。

1.3优良的报文验证机制

OSPF的报文之中包含了认证类型以及认证数据字段。当前, 在OSPF路由协议中主要有密码认证、空认证以及明文认证这三种认证模式。其中, 明文认证是将口令通过明文的方式来进行传输, 只要可以访问到网络的人都可以获得这个口令, 很容易让OSPF路由域的安全受到威胁。而密码认证则能够提供良好的安全性。为接入同一个网络或者是子网的路由器配置一个共享密码, 然后这些路由器所发送的每一个OSPF报文都会携带一个建立在这个共享密码基础之上的信息摘要。通过MD5算法以及OSPF的报文来生成相应的信息摘要, 当路由器接收到这个报文之后, 根据路由器上配置的共享密码以及接收到的这个报文来生成一个信息摘要, 并将所生成的信息摘要和接收到的信息摘要进行对比, 如果两者一致那么就接收, 如果不一致则丢弃。

二、OSPF路由协议安全性完善措施

相对来讲OSPF的安全性较高, 在很多时候外部对其进行攻击都是因为OSPF路由没有启用密码认证机制或者是攻击者对密码破译之后所实现的。当然即使是启用了密码认证也可以利用重放攻击的方式来进行攻击。要加强其安全性需要注意以下几点:

2.1对于空验证与简单口令验证的防范

对于空验证和简单口令验证带来的安全问题, 可以启用密码验证来进行防范。当启用密码验证之后, OSPF报文会产生一个无符号非递减的加密序列号。在附近的所有邻居路由器中会存放该路由器的最新加密序列号。对于邻居路由器所收到的报文的加密序列号需要大于或者等于所存储的加密序列号, 如果不满足该要求则丢弃。

2.2对于密码验证漏洞的防范

在三种验证方案之中密码验证是最为安全的一种, 但是也并不是牢不可破的。即使是启用了密码验证也不代表所有报文内容都是经过加密后传输的, 其中LSU报文头部仍然会采用明文, 这就存在被攻击者篡改的可能性。即使是采用的MD5算法也并不是绝对安全, 例如中国山东大学的科学家就已经破解了MD5算法。对密钥进行管理与维护需要较高成本, 所以可以考虑和其他成本较低的方式进行结合, 例如数字签名技术。这样可以对大部分的威胁进行有效的抵御。

但是用于生成与验证签名的开销也是非常巨大的。一个路由器需要验证签名的数量会受到很多因素的影响, 例如网络之中路由器的数量、对网络区域的划分、链路状态信息的变化以及刷新频率等等。在OSPF之中, 因为每一条外部子网络径存在有单独的链路状态信息描述, 因此在网络之中就有可能存在有成千上万条这一类链路状态信息。因此, 还需要考虑到缓解这些信息对于路由器性能的影响。通常情况下采用的方法是在路由器之上采用额外的硬件, 对OSPF路由协议进行改进, 周期性或者是按需进行验证签名。在当前的研究方向是在利用密码体制安全性的同时, 利用有效的入侵检测技术让OSPF的安全性得到保证。

三、结语

作为一种应用非常广泛的路由协议OSPF的安全性受到广泛的关注, 虽然其本身具有一定的安全性, 但是却难以满足当前网络安全形势的需要。为此我们需要加强对OSPF安全性的研究, 并积极思考如何对其安全性进行完善。

参考文献

[1]柳强, 黄天章, 郭海龙.基于OSPF协议可信路由技术研究及实现[J].数字技术与应用, 2013, (04) :48-49

——近十年来，随着计算机网络规模的不断扩大，大型互联网络(如Internet)的迅猛发展，路由技术在网络技术中已逐渐成为关键部分，路由器也随之成为最重要的网络设备。用户的需求推动着路由技术的发展和路由器的普及，人们已经不满足于仅在本地网络上共享信息，而希望最大限度地利用全球各个地区、各种类型的网络资源。而在目前的情况下，任何一个有一定规模的计算机网络(如企业网、校园网、智能大厦等)，无论采用的是快速以大网技术、FDDI技术，还是ATM技术，都离不开路由器，否则就无法正常运作和管理，

1网络互连

——把自己的网络同其它的网络互连起来，从网络中获取更多的信息和向网络发布自己的消息，是网络互连的最主要的动力。网络的互连有多种方式，其中使用最多的是网桥互连和路由器互连。

1.1网桥互连的网络

【关键词】OSPF；邻接关系通告；分组；区域；数据库

一、OSPF介绍

OSPF：Open Shortest Path First 开放最短路径优先是基于RFC 2328的开放标准协议，它非常复杂涉及到多种数据类型，网络类型，数据通告过程等，灵活的接口类型，可以随处设置通告网络地址，方便的修改链路开销等。

二、OSPF邻居关系的建立

1.在局域网中路由器A启动后处于down状态，此时没有其它路由器与它进行信息交换，它会从启用OSPF协议的接口向外发送Hello分组，发送分组使用组播地址：224.0.0.5。

2.所有运行OSPF的直连路由器将会收到Hello分组，并将路由器A加入到邻居列表中，此时的邻居处于Init状态（初始化状态）。

3.所有收到Hello分组的路由器都会向路由器A发送一个单播应答分组，其中包含它们自身的信息，并包含自己的邻居表（其中包括路由器A）。

4.路由器A收到这些Hello分组后，将它们加入到自己的邻居表中，并发现自己在邻居的邻居表中，这时就建立了双向邻居关系（two-way）状态。

5.在广播型网络中要选举DR和BDR，选举后路由器处于预启动（exstart）状态。

6.在预启动状态下路由间要交换一个或多个的DBD分组（DDP），这时路由器处于交换状态。在DBD中包含邻居路由器的网络、链路信息摘要，路由器根据其中的序列号判断收到的链路状态的新旧程度。

7.当路由器收到DBD后，使用LSAck分组来确认DBD包，并将收到的LSDB与自身的相比较，如果收到的较新，则路由器向对方发出一个LSR请求，进入加载状态，对方会用LSU进行回应，LSU中包含详细的路由信息。

8.当对方提供了自身的LSA后，相邻路由器处于同步状态和完成邻接状态，在lan中路由器只与DR和BDR建立完全邻接关系，而与DRothers只建立双向邻接关系，此时的相邻路由器进入了Full状态，完成了信息同步。

三、OSPF的分区机制

OSPF路由协议可以使用在大型网络规模中，如要规模太大，路由器需要维持很大的链路状态作息，构建大的链路状态数据库存（LSDB），路由表要较大，影响工作效率，并且当网络中拓扑出现问题时，会引起大的路由波动，所有路由器要重建路由表，所以分区的概念被提出来。

设计者可以将整个网络分为多个区域，每个区域内部的路由器只需要了解本区域内部的网络拓扑情况，而不用掌握所有路由器的链路情况，这样LSDB就减小了很多，并且当其它区域的网络拓扑变化时，相应的信息不会扩散到本区域外，如变化后影响到其它区域，这时ABR才会生成LSA发往其它区域，这样大部分的拓扑变化被隐藏在区域内部，其它区域的自身并不需要明白这些，内部路由器只需维持本区域的LSDB即可，这样就减少了协议数据包，减轻路由器及链路的负载。

四、OSPF的分组类型

1.HELLO报文（Hello Packet）。最常用的一种报文，周期性的发送给本路由器的邻居。内容包括一些定时器的数值，DR，BDR，以及自己已知的邻居。

2.DBD报文（Database Description Packet）。两台路由器进行数据库同步时，用DD报文来描述自己的LSDB，内容包括LSDB中每一条LSA的摘要（摘要是指LSA的HEAD，通过该HEAD可以唯一标识一条LSA）。这样做是为了减少路由器之间传递信息的量，因为LSA的HEAD只占一条LSA的整个数据量的一小部分，根据HEAD，对端路由器就可以判断出是否已经有了这条LSA。

3.LSR报文（Link State Request Packet）。两台路由器互相交换过DD报文之后，知道对端的路由器有哪些LSA是本地的LSDB所缺少的或是对端更新的LSA，这时需要发送LSR报文向对方请求所需的LSA。内容包括所需要的LSA的摘要。

4.LSU报文（Link State Update Packet）。用来向对端路由器发送所需要的LSA，内容是多条LSA（全部内容）的集合。

5.LSAck 报文（Link State Acknowledgment Packet）。用来对接收到的LSU报文进行确认。内容是需要确认的LSA的HEAD（一个报文可对多个LSA进行确认）。

OSPF(Open Shortest Path First开放式最短路径优先)是一个内部网关协议(Interior Gateway Protocol，簡称IGP)，用于在单一自治系统(autonomous system，AS)内决策路由。与RIP相比，OSPF是链路状态路由协议，它在各方面具有较大的优势，虽然比较复杂，但其优越的工作机制却是网络规划中不可或缺的。

OSPF协议是各行业普遍使用的路由协议, 虽然它采用的spf算法和邻接关系等技术避免了自环产生, 提高了路由器的性能, 但随着广泛的应用, 其在安全方面的漏洞也日益被暴露出来。比如:篡改LSA、报文伪造、明文验证等。本文通过对原理的理解和工作过程的分析, 提出了使用数字加密验证的方法来解决以上潜在的漏洞, 从而保证路由器的安全。

1 OSPF协议的工作原理

1.1 工作原理

OSPF是一种开放式的链路状态路由协议, 运行该协议的路由器, 首先和相邻路由器建立邻居关系, 形成邻居表;然后, 相互学习对方的网络拓扑, 建立拓扑图;最后, 根据最短路径算法计算路由。

1.2 邻居关系建立过程

如图1所示, 在路由器R1初始化完成后, 它将向路由器R2发送Hello数据包。此时R1并不知道R2的存在, 因此在数据包中不包含R2的信息。而R2在接收到该数据包后, 将向R1发送Hello包。此时, Hello包中将表明它已知道存在R1这个邻居以及自己记录的其它邻居信息。R1收到这个回应包后就会知道邻居R2的存在, 并且邻居R2也知道了R1的存在。此时在路由器R1和R2之间就建立了邻居关系, 它们就可以把LSA发送给对方。

2 安全分析

2.1 邻居关系建立过程分析

根据图2, 配置调试结果如下:

路由器的缺省配置中, 信息交换是不进行身份验证的, 只要checksum字段无误就可以接收路由包, 安全性极低。从画横线的地方知道, 两个路由器建立了邻居关系。通过debug ip ospf adj命令来进行修改, 但是出现了不能建立邻居关系的结果。同样, 我们把区域设置为不同, 也显示不能建立邻居关系。所以, 可以得出, 如果两个路由器的hello interval和dead interva以及area设置不同, 那么路由器是不能建立邻居关系的, 这也正是ospf的安全漏洞。我们可以在同一个区域中伪造一台路由器, 并且发送伪造的LSA, 该数据报被洪泛到其他路由器, 各路由器接收到以后, 会重新学习邻居表和计算路由表, 当源路由器收到这个虚假的LSA时, 将泛洪一个具有更高序列号的LSA, 其他路由器也更新相应LSA, 这样不停的循环操作可以导致路由器的资源耗尽、性能下降, 甚至出现崩溃。

2.2 明文验证的安全分析

当使用明文验证时, 验证类型字段为1, 64位验证数据字段存放的是验证口令, 在传输过程中ospf分组及其口令都是以明文进行传输, 接收方只要验证它的检验无误并且验证数据字段的值等于规定的口令, 就会接收分组。这种验证方式的弊端在于:通过明文验证的数据包, 其明文密码是直接存放于hello包的包头中, 如果该包被类似sniffer的软件截获, 密码就很容易暴露。所以, 这种验证方式是不安全的。

3 解决办法

根据以上两种安全分析, 我们可以通过使用密文邻居验证来提高运行ospf协议路由器的安全。加密验证的优点: (1) 这种验证方式采用的是MD5加密算法, 该算法中加入了散列函数, 对给定的一个散列值是很不容易找到两个以上的有相同结果的输入值的, 这也意味着ospf分组不容易被修改; (2) 在加密认证过程中, 路由器通过发送一个带有散列函数的ospf数据包, 并且产生一个消息码, 接收方经过散列函数和数据包重新生成消息码并和发送方的消息码进行对比, 从而决定是否接收数据包, 这个过程是相对安全的。关键实施步骤如下:

参考文献

[1]杨文虎, 樊静淳.网络安全技术与实训[M].北京:人民邮电出版社, 2007.

[2]林涛.计算机网络安全技术[M].北京:人民邮电出版社, 2007.

[3]王春海, 张翠轩.非常网管—网络工程案例[M].北京:人民邮电出版社, 2007.

[4]cisco公司.思科网络技术学院教程网络安全基础[M].北京:人民邮电出版社, 1993.

1.有关命令

全局设置

指定使用RIP 协 议 router rip

路由设置

指定与该路由器相连的网络 network network

指定与该路由器相邻的节点地址 neighbor ip-address

2.举例

498)this.style.width=498;“ alt=”“ />

Router1:

router rip

--network 192.200.10.0

--network 192.20.10.0

--neihbor 192.200.10.2

二、IGRP 协 议

1.有关命令

全局设置

指定使用IGRP 协议 router igrp

autonomous-system

路由设置

指定与该路由器相连的网络 network network

2.举 例

498)this.style.width=498;” alt=“” />

Router1:

-- router igrp 200

-- network 192.200.10.0

-- network 192.20.10.0

三、OSPF 协 议

1.有关命令

全局设置

指定使用OSPF 协议 router ospf process-id

路由设置

指定与该路由器相连的网络network

address wildcard-mask area area-id

指定与该路由器相邻的节点地址neighbor ip-address

2.举例

498)this.style.width=498;“ alt=”“ />

Router1:

-- router ospf 200

-- network 192.200.10.0.0.0.0.255 area1

-- network 192.200.20.0.0.0.0.255 area2

-- netghbor 192.200.10.2

-- neighbor 192.200.20.2

四、IPX 协议设置

IPX 协议与IP 协议是两种不同的网络层协议，它们的路由协议也不一样，IPX 的路由协议不象IP的路由协议那样丰富，所以设置起来比较简单，

路由协议设置

，

但IPX协议在以太网上运行时必须指定封装形式。

1.有关命令

全局设置

启动IPX 路由 ipx routing

端口设置

设置IPX 网络及以太网封装形式 ipx network network [encapsulation encapsulation-type]

2.举例

498)this.style.width=498;” alt=“” />

Router1:

-- ipx routing

-- interface ethernet0

-- ipx network 1a encapsulation sap

-- interface serial0

关键词：MANET；安全；定位信息；路由协议

中图分类号：TN929.5 文献标识码：A文章编号：1007-9599 (2011) 05-0000-02

Ad hoc Routing Protocol Based on Location Information

Li Wenjie

(School of Information Engineering,Henan Province,Zhengzhou450000,China)

Abstract:Based on the location information of the routing protocols function much better than the traditional Ad hoc routing protocol,but based on location information the routing protocol can not be used for high-risk environment.This article introduced the Ad hoc networks secure location-based routing protocol information "Secure Position Aided Ad hoc Routing"(SPAAR) aims to improve mobile Ad hoc routing safety,availability and performance.

Keywords:MANET;Safety;Location information;Routing protocol

移动Ad hoc网络MANET（Mobile Adhoc Network）是一种不需要任何固定通信设施，由多个移动节点通过无线链路连接而形成的任意网状的拓扑结构。节点可以任意移动，网络拓扑结构随意变化，MANET随意改变节点位置或调整它们传输和接收参数，将可能出现链路断链和重建。节点的功能和作用在主机里是非常大的，它不仅保持通信的连接，使之相互依靠，而且每个节点又能进行路由器的维护、路由发现等操作，MANET最早主要在军事作战领域应用推广，并随着技术的进步不断向其它领域拓展，但MANET这些独特参数对传统的固定网络传输协议不太适应，加之网络自身有许多安全弱点，所以，这项技术在安全方面有一些弊端，在今后的实践中亟待进一步去完善解决。

一、SPAAR环境

SPAAR的应用环境比较特殊，它主要应用于MANET的环境，这种环境具有高风险的特点。保持正常工作的条件下，它要求具有下列安全设置的环境：

1.删除路由寻找和路径测定中的不可信节点；2.对恶意节点进行控制，防止恶意节点或理想路径或更改最短路径；3.对路由信息和网络拓扑进行安全设置，禁止将其暴露给不可信节点或敌方。4.采取措施，防止恶意节点把分段路由信息带入网络，造成网络的障碍；5.传输的过程要注意，防止恶意节点对路由信息进行不当篡改；6.对恶意路由环路进行控制，杜绝恶意路由环路的产生。

二、路由协议

以下着重对安全路由协议与定位路由协议作以简要阐述。

（一）安全路由协议

实践中，Adhoc网络的路由协议有多种，每种路由协议的作用与功能也不尽相同，受技术发展水平的限制，协议缺乏相应的安全应对措施，应用中存在诸多弊端。随着MANET协议发明和使用，有效的克服了以往中存在的漏洞与不足，同时它需要安全型路由协议来适用存在的特殊环境。

1.安全型路由协议（SRP）

Secure Routing Protocol协议，简称SRP，该协议是近几年来发明的作为解决MANET安全问题的一种行之有效的方法，并得到广泛的应用。笔者认为SRP的工作原理主要通过以下方式实现的，通过确保路由寻找的节点对其进行辨认，并对因放弃重发所引起的错误拓扑信息进行辨认，防止这些错误拓扑信息的接受，帮助协议进行恶意节点的抵御。

2.安全预知型Adhoc路由协议

在SAR协议的工作环境中，所有节点的标记都是通过用真实数值来实现，数据也是通过真实节点来计算的。原节点发出一个RREQ信号，这些信号要求具有安全特征并满足安全标识的路由，否则可以选择其它信号，如修改过的安全标识的RREQ信号，最终实现寻找到有安全保障的路由的目的。另外，应用者还要对它的真实程度进行辨认，丢弃安全等级低的节点，允许符合安全等级的节点共享路由协议。

（二）定位路由协议（Position Based Routing Protocol）

整个MANET网络与路由关系密切，MANET网络的运行过程同时也是在寻找路由。寻找路由的方式也多种多样，在拓扑协议中主要通过要广播RREQ消息来寻找路由。是实际的操作中要对资源处分利用，若仅涉及靠近目的几个节点显然是对这种技术的浪费。在MANET网络中已研究出的定位路由协议有许多种，这些协议在一般比基于拓扑的协议更能提高性能，在某些特定领域优势更加明显。

三、基于定位信息的安全型路由协议（SPAAR）

基于定位信息的安全型路由协议SPAAR（Secure Position Aided Ad hoc Routing），节点只需要接收来自一跳的邻居节点信息，就可以防止不可信节点窃取定位信息，使网络不会受到隐藏节点和黑洞的攻击，这样运用定位信息提高网络性能和安全性，使协议具有了很高的安全保障。

信息发送之前节点需核实一跳的邻居节点，SPAAR需要每个设备在能探测到自身位置的同时，还要知道源节点和目的节点的大概位置，这样计算源节点和目的节点的最近位置就可以计算出来。如果源节点和个别目的节点的首次通信过程中，没有获得目的节点的位置，就可以是用定位服务器进行定位，如果定位服务器不合适，也可以使用溢出算法获取目的节点的位置和相关的定位信息。

（一）设置

每个节点都需要一对公钥/私钥，源节点可以使用目的节点的公钥对消息加密，加过密的消息是其他任何中间节点所无法解除的，只有目的节点能使用自己的私钥进行解密；同样，目的节点利用源节点的公钥对发送来的消息进行加密，源节点可以使用自己的私钥进行解密。这样就达到了共享SPAAR协议的目的。

每一个节点均配置一对公钥或者私钥，目的是为了保障MANET安全，配置前每个节点需要有一个受委托证书服务器“certificate server” T的证书，这个证书可以将节点的相关信息和节点的公钥捆绑在一起，并由该证书服务器 T进行标记。

（二）邻居路由表（The Neighbor Table）

在SPAAR协议中，邻居路由表是由每个节点维护的，又由于邻居路由表中包含每个已经核实的邻居节点的身份和定位信息甚至是每个邻居节点安全通信所需的密钥，所以这些内容也有每个节点进行维护，这样节点就可以从邻居路由表中接收路由信息，这个过程是节点首先要保存从认证信息那里得到邻居节点的公钥和邻居节点的群解密钥，然后 用解密钥解密RREQs、table update信息以及其它用密钥加密的路由信息，从而接收到路由信息。

1.邻居路由表的建立

第1步：节点N周期广播带有认证信息的“hello”，N的邻居节点解密N的证书，以便核准并获得N的公钥，N的邻居路由表储存N的记录（entry）和N的公钥，各节点与证书、坐标以及传输范围（用N的公钥加密）相对应。

当N从邻居节点X1收到“hello”后，可辨认出X1为一跳的邻居节点，对于所有邻居节点，N仅核实一跳邻居节点，N储存邻居节点的公钥、最近位置以及在N邻居路由表中的传输范围。

第2步：节点N产生一对公钥/私钥，我们称公钥/私钥对为邻居群密钥对，私钥称为N群解密钥，用GEK_N路由表示，公钥称为N群密钥，用GDK_N路由表示。

X1、X2接收来自N的路由分组，在X1、X2广播“hello”信息并完成上述步骤之后，该路由表最长持续时间为X1和 X2之间广播“hello”信息所用的时间。

2.邻居表的维护

（1）table update消息和TUSN

每个节点周期性广播table update消息，向邻居节点介绍其最新定位坐标和传输范围，用节点群密钥对table update消息加密，N的邻居节点解密table update消息，分析新定位信息，核实该节点是否仍然为一跳邻居节点，用新定位信息刷新它们的邻居路由表。

TUSN是一种具有时间特征的序号，N节点每广播一次table update消息或发出含有位置信息的RREP时，该序号就加1，TUSN提供最新位置信息，防止table update消息受到重发攻击，在RREQ中，每个节点利用TUSN将目的节点的最新坐标告诉它的邻居节点。

收到table update消息后，TUSN用时间标识，确定该节点从收到邻近节点的table update后过去的时间。如果经过一段时间后仍未收到邻近节点发送的table update信息，网络链路可能断裂，邻居节点将从路由表中删除。

节点广播table update的间隙长短根据其移动速度大小来定，移动节点移动速率高，广播table update消息的频率就高，与它的邻居节点的刷新同步，为了弥补类似前期中的总开销，所有路由信息都附有table update消息，由节点的邻近密码群加密路由信息（RREQ和位置消息）。

（2）Hello消息

所有节点都广播“hello”消息，将节点的相关消息添加到邻居路由表中，节点从N节点处收到“hello”消息后，查看N节点是否已经是它的邻居节点，如果是，该节点检查N节点的“NGK”字段是否有值，若有值，则它已经属于N的邻居群，可忽视“hello”消息；若在节点邻居路由表内无N，或邻居路由表中N节点的“NGK”字段无值，它传送“hello response”消息，与table update类似，Hello消息之间的间隙与节点的移动速度有关。

（三）路由发现

1.路由请求RREQ

第1步：节点N向邻居节点广播RREQ消息（Route Requests），所有消息用群密钥加密。节点每发出一个RREQ消息，将RREQ消息中的序号加1，它用来防止RREPs重发。

第2步：RREQ接收器用专用群解密钥解密，RREQ消息包含RREQ的序号、目的节点识别器、N与目的节点D之间的距离、D点坐标以及TUSN等内容，解密后RREQ的标识符应当与其邻居节点的标识符相匹配，邻居节点的群组密码解密RREQ，随后把请求信息传递给与它的邻居节点。

第3步：中间节点收到RREQ后，核查路由表，检查它或它的任意邻居节点是否靠近D，确认其中是否有到D的各种新路由，若中间节点拥有最近TUSN目的节点的坐标，它用那些坐标代替含有RREQ的坐标，若中间节点和邻居节点都不靠近目的节点D，则将RREQ丢弃，源节点初始化其他路由寻找进程，并向整个网络发出报警消息，隔离恶意节点。如果两者中某一个靠近D，节点则向前发送含有其标记的RREQ和与S的距离，随后用它的群密钥加密，如果若中间节点有带有最近TUSN目的节点的坐标，那些中间节点代替含有RREQ较旧的坐标，中间节点记录收到RREQ的邻居节点的路由缓存（route cache）地址，从而形成反向路径，该过程在到达目的节点之前不断重复。

2.路由响应RREP

第1步：目的节点在收到RREQ之后发出REEP（Route Replies）消息。

第2步：中间节点收到RREP之后，用其私钥解密，用从邻居节点收到的公钥校验标记，随后在路由表中设置前向记录（entry），指出节点从哪收到RREP，中间节点对RREP标记，在反向路由表中，用下一跳节点的公钥进行加密。

第3步：源节点收到RREP信息之后，进行解密和标识鉴别，源节点比较当前和最初的RREQ_SN信息，防护RREP的重发攻击。

3.路由错误消息

由于各种原因，节点受到路由表中有效路由的攻击而使路由无效，如当前时间周期内原存储的路由无法使用，或者邻居节点由于受到攻击而从邻居路由表中删除，那么所有与该邻居节点有关的路由都是无效的。

四、结束语

在这篇论文中，我们提出了一种基于定位信息的安全型路由协议SPAAR，目的为了是满足处理管理敌对型环境的安全需求。在这样高风险环境下协议通过加密技术使用的MANET网络的路由协议，其定位信息具有可靠性、保密性和统一性，相比传统的MANET路由协议来说，可减少路由开销、增加路由的安全，通过加密用于高风险环境中是绝对没有问题的。

参考文献：

[1]Papadimitratos and Z.J.Haas，Secure Routing for Mobile Ad hoc Networks，Proceedings of SCS Communication Networks and Distributed Systems Modeling and Simulation Conference,San Antonio,USA,2002

动态路由协议是网络中路由器之间相互通信、传递路由信息、利用收到的路由信息更新路由器表的过程, 它能实时地适应网络结构的变化。如果路由更新信息表明发生了网络变化, 路由选择软件就会重新计算路由, 并发出新的路由更新信息的约定。随着动态路由协议的广泛应用, 安全问题已成为一个严重的问题, 各种欺骗及攻击手段层出不穷, 因此对各种动态路由协议的安全性倍受关注。下面对3种常用路由协议及防攻击实例进行详尽的分析及总结。

1 RIP V2协议的安全性分析

RIP协议是应用较早、使用较普遍的内部网关协议, 适用于小型同类网络, 是典型的距离向量 (distance-vector) 协议, 现在这种协议已经逐渐退出现有的网络。

RIP协议模拟攻击过程:由于RIP协议是通过UDP协议固定端口520来进行信息交互的, 首先通过linux工具nmap-sU-p520-v router.ip.address.2来扫描520端口, 来确认该网络在使用RIP协议, 然后通过sniffer来嗅探路由更新包, 然后篡改路由更新包, 改变路由信息, 使原来的路由失效。

由于RIP V1协议出现较早而且没有任何安全方面的认证, 这里就不再赘述。RIP V2和RIP V1都是使用不可靠的UDP协议进行传输, 但前者提供了明文和密文两种认证机制。由于明文容易被嗅探到, 所以通常采用密文加密。RIP协议加密同样采用通用的MD5认证, 使用RFCl723标准的报文格式。RIP协议密文认证过程:RIP的认证是单向的, R1认证了R2 (R2送来的key, R1在key-chain中找到相同的值) , R1就能接受R2发送过来的路由, 否则就不能接受R2送来的路由, 下面是RIP密文加密的实例 (以思科路由器为例) 。

由于认证的过程发送的报文都是经过MD5加密, 因此不会被破解, 而没有认证过的路由器发送过来的路由信息就会被丢弃掉, 这样就防止了被篡改过的报文更新路由信息, 所有起用RIP协议的路由器必须配置相同的密码 (通常只有网络管理员才知道) 才能进行路由更新, 从而使路由器起用RIP协议时免受攻击。

2 OSPF协议的安全性分析

OSPF全称为开放最短路径优先。动态路由协议主要的功能是对路由表的计算并通知内核修改路由表以实现报文的转发, 有关路由表的计算是OSPF的核心内容也是OSPF最容易受到攻击的部分, 它是动态生成路由器内核路由表的基础。在路由表条目中, 应包括有目标地址、目标地址类型、链路的代价、链路的存活时间、链路的类型以及下一跳等内容。

由于OSPF采用Dijstra算法计算生成路由并通告路由表, 当网络比较复杂时路由计算会比较慢, 并且通告路由后会引起网络动荡, 尽管OSPF协议把网络分成了不同的自治区以排除路由动荡对网络的影响, 但对相临自治区的影响是显而易见的。针对OSPF的攻击主要就是攻击者冒充一台合法路由器与网络中的一台路由器建立邻接关系, 并向攻击路由器输入大量的链路状态广播 (LSA, 组成链路状态数据库的数据单元) , 就会引导路由器形成错误的网络拓扑结构, 从而导致整个网络的路由表紊乱, 导致整个网络瘫痪。它的攻击过程如下:

首先OSPF是由IP报文承载的协议, 协议类型号为89, 所以用nmap协议扫描来判断OSPF, 确定网络中运行的OSPF协议。以下是OSPF5种重要的报文及报文格式:

(1) HELLO报文 (Hello Packet) 。它是最常用的一种报文, 周期性的发送给本路由器的邻居, 使用的组播地址224.0.0.5。DR和BDR发送和接收报文使用的组播地址是224.0.0.6。HELLO报文内容包括一些定时器的数值, DR, BDR, 以及自己已知的邻居。根据RFC2328的规定, 要保持网络邻居间的hello时间间隔一致。需要注意的是, hello时钟的值与路由收敛速度、网络负荷大小成反比。

(2) DD报文 (Database Description Packet) 。路由信息 (连接状态传送报文) 只在形成邻接关系的路由器间传递。首先, 它们之间互发DD (database description) 报文, 告之对方自己所拥有的路由信息, 内容包括LSDB中每一条LSA的摘要 (摘要是指LSA的HEAD, 通过该HEAD可以唯一标识一条LSA) 。这样做是为了减少路由器之间传递信息的量, 因为LSA的HEAD只占一条LSA的整个数据量的一小部分, 根据HEAD, 对端路由器就可以判断出是否已经有了这条LSA。DD报文有两种, 一种是空DD报文, 用来确定Master/Slave关系 (避免DD报文的无序发送) , 确定Master/Slave关系后, 才发送有路由信息的DD报文, 收到有路由信息的DD报文后, 比较自己的数据库, 发现对方的数据库中有自己需要的数据, 则向对方发送LSR (Link State Request) 报文, 请求对方给自己发送数据。

(3) LSR报文 (Link State Request Packet) 。两台路由器互相交换过DD报文之后, 知道对端的路由器有哪些LSA是本地的、LSDB所缺少的或是对端更新的LSA。这时需要发送LSR报文向对方请求所需的LSA, 内容包括所需要的LSA的摘要。

(4) LSU报文 (Link State Update Packet) 。用来向对端路由器发送所需要的LSA, 内容是多条LSA (全部内容) 的集合。这个报文类型是网络攻击中重点伪造的报文类型。

(5) LSAck报文 (Link State Acknowledgment Packet) 。由于没有使用可靠的TCP协议, 但OSPF包又要求可靠的传输, 所以就有了LSAck包。它用来对接收到的LSU报文进行确认。内容是需要确认的LSA的HEAD (一个报文可对多个LSA进行确认) 。

DD报文、LSR报文、LSU报文发出后, 在没有得到应有的对方相应的LSR、LSU、LSAck报文时, 会重发。 (例外:对DD报文若收到后发现没有必要产生连接状态请求报文, 则不发连接状态请求报文。) 同步后数据改变, 则只向形成Adjacency关系的路由器发LSU报文。所以我们通常通过伪造LSU报文来通告错误的路由信息。OSPF报文头格式如表1所示。

OSPF由于内建几个安全机制所以比起RIP协议安全, 但是, 其中LSA的几个组成部分也可以通过捕获和重新注入OSPF信息包被修改。OSPF可以被配置成没有认证机制这种机制是最容易受到攻击的, 或者使用明文密码认证, 或者MD5, 这样如果攻击者能获得一定程度的访问, 可以利用各种类型ARP欺骗工具来重定向通信。

下面列出有关OSPF的4种拒绝服务的攻击方法:

(1) Max Age attack攻击。LSA的最大age为一小时 (3600) :攻击者发送带有最大MaxAge设置的LSA信息包, 这样, 最开始的路由器通过产生刷新信息来发送这个LSA, 而后就引起在age项中的突然改变值的竞争。如果攻击者持续的突然插入最大值到信息包给整个路由器群将会导致网络混乱和导致拒绝服务攻击。

(2) Sequence++攻击。攻击者持续插入比较大的LSA sequence (序列) 号信息包, 根据OSPF的RFC介绍因为LS sequence number (序列号) 栏是被用来判断旧的或者是否同样的LSA, 比较大的序列号表示这个LSA越是新进的。所以到攻击者持续插入比较大的LSA sequence (序列) 号信息包时候, 最开始的路由器就会产生发送自己更新的LSA序列号来超过攻击者序列号的竞争, 这样就导致了网络不稳定并导致拒绝服务攻击。

(3) 最大序列号攻击。攻击者把最大的序列号0x7FFFFFFF插入。根据OSPF的RFC介绍, 当想超过最大序列号的时候, LSA就必须从路由domain (域) 中刷新, 有InitialSequenceNumber初始化序列号。这样如果攻击者的路由器序列号被插入最大序列号, 并即将被初始化, 理论上就会马上导致最开始的路由器的竞争。但在实践中, 拥有最大MaxSeq (序列号) 的LSA并没有被清除而是在连接状态数据库中保持一小时的时间。

(4) 伪造LSA攻击。最常用的攻击:这种攻击主要是针对无认证的OSPF或明文认证的OSPF来进行的, 通过ping工具来确定网络中正在使用的网络地址, 伪造错误的LSA发向路由器是路由器计算错误的地址, 把报文发向预先探测到的IP地址, 使网络中断。

使用OSPF的密文认证可以尽量避免上面几种攻击, OSPF配置密文认证后, 由于密码是密文, 所以不会被黑客获得, 如果密码不对两端就不会建立起邻居, 也就不会进行路由更新报文的交互, 下面是以思科路由器为例配置OSPF密文认证:

3 BGP协议的安全性分析

BGP (Border Gateway Protocol) 是一种自治系统间的动态路由发现协议, 它的基本功能是在自治系统间自动交换无环路的路由信息, 通过交换带有自治系统号 (AS) 序列属性的路径可达信息, 来构造自治区域的拓扑图, 从而消除路由环路并实施用户配置的路由策略。

BGP协议在实际应用中也会受到象OSPF协议一样的伪造报文攻击等, 但BGP协议一般都是应用在核心网的出口并且配置密码认证, BGP协议的认证只有密文认证, 安全性相对较好, 以思科路由器为例配置BGP密文认证:

4 结束语

经过分析, 上述3种常用动态路由的安全性都存在隐患, 但如果使用认证便能大大降低风险。不同路由协议的认证方式虽然不同, 但只要采用密文认证其安全性是可以得到保证的, 即采取有效的措施, 动态路由的安全可以得到最大限度的保证。

摘要：随着动态路由协议的广泛应用, 路由协议的安全性越来越被人们所关注, 在实际应用中针对路由协议的攻击时常发生。通过对路由协议安全性原理分析及实际应用的解析, 对各种动态路由协议的安全性进行了详细的阐述和总结。

关键词：动态路由协议,安全性,认证,明文,密文

参考文献

[1]W.Richard Stevens.TCP/IP Illustrated, Volume1:The Protocols1993 (10) .

[2]王隆杰.路由协议认证比较[J].计算机与信息技术, 2007 (1) .

关键词：Ad Hoc网络,安全按需路由,虫洞攻击,散列函数

0引言

移动Ad Hoc网络[1,2] (Mobile Ad Hoc Networks, MANETS) 组网方便、快捷, 不受时间和空间限制, 既可应用于救援、会议、战场、探险、远距离或危险环境中的目标监控等场合, 还可用于末端网络的扩展, 因此得到了广泛应用。移动Ad Hoc网络是一种临时自治的分布式系统, 具有无中心接入和多跳的特征[3]。网络中各个节点的地位平等, 每个节点都具有主机与路由器的双重功能。

由于没有固定基础设施、拓扑频繁动态变化、无线信道完全开放、节点的恶意行为难以检测、网络缺乏自稳定性等原因, 移动 Ad Hoc网络容易遭受多种类型的攻击[4,5,6], 主要有路由破坏攻击 (如虫洞攻击, 黑洞攻击) , 资源消耗攻击 (如拒绝服务攻击) 等。因此设计安全的路由协议非常重要。

1安全按需源路由协议

为了使得路由 (secure Ad Hoc on-demand routing, SAOR) 协议实用性较强, 能够满足多数应用场合的安全性要求, 需综合考虑所采用技术的安全特性。按需路由开销相对较小, 且具有较强的实用性, 基于此本文提出一种适用于Ad Hoc网络的安全按需源路由[7,8] (secure Ad Hoc On-demand routing, SAOR) 协议。该协议利用移动节点之间的会话密钥[9]和基于散列函数的消息鉴别码HMAC一起来验证路由发现和路由应答的有效性。提出了的邻居节点维护机制通过把MAC地址与每个节点的ID绑定来防御各种复杂的攻击如虫洞攻击等。该协议的最优性能就是自认证密钥体制带来的小通信开销。该协议同样包括路由发现和路由维护两个过程, 并采纳目的节点序列号及邻节点列表等机制。

1.1 假设阶段

假设Ad Hoc 网络中的每对节点Ns和Nt都拥有自己的共享密钥。假设节点一旦进入网络, 其MAC地址就不会改变, 并且在节点进入网络之前, 每个节点已经获得了被CA签名的证书, 由此可以绑定MAC和ID (可能是节点的IP地址) 。节点A把证书赠予首次遇见的节点, 如果证书得到成功验证, 那么节点就可以和邻节点进行通信, 否则丢弃此节点。

1.2 邻节点列表维护机制

当节点A首次接收到另一个节点B的信息时, 首先把包含在证书的MAC地址和数据包头部的源MAC地址比较。如果两个MAC地址相配, 证书进一步验证CA的公钥。若两次验证均成功通过, 就把ID和MAC地址加入到当前邻节点列表中。因为网络中的节点有可能处于移动状态, 所以一个活跃比特始终用来显示该节点是否处在无限范围内。若在规定的时间内, 端节点还没有收到节点的信息, 活跃比特就失效。认证的保存在邻节点列表中是用来节省证书认证时的非必要的重复计算。因为假设节点进入网络其MAC地址就不会改变, 所以ID的真实性能被保证。

节点每次接收到邻节点的数据包后, 首先核查这个节点是否已经存在它的邻节点列表中, 它是否是活跃的。如果存在, 它进一步核实这个数据包的源MAC地址与已存在当前邻居列表中的节点配对的MAC地址是否相配。只有这些数据分组成功通过这两项验证, 才能传递到上层进一步处理。

1.3 路由发现过程

路由发现过程 (如图1所示) 包括路由请求, 路由请求转发以及在目的节点处对路由请求的验证, 还有相对应的路由应答, 路由应答转发和在源节点对路由应答的验证。

1.3.1 路由请求过程

当源节点想和目的节点通信但路由缓冲中并没有到达目的节点的路由时, 就根据实际应用情况, 结合节点数目、网络范围以及通信要求 (如节点发送通信请求的频率) 等, 为节点的分组发送率定义一个合理的数值区间, 若邻节点的分组发送率 (单位时间内节点发送分组的个数) 高于上限值或低于下限值, 则设置该点状态信息为无效。然后源节点S发起路由请求并广播, 在发起的路由请求报文中携带以下信息:

RREQ={S, D, QNum, TOP_CNT, {NodeList}, QMACs, d}

其中:S为源节点;D为目的节点;QNum是路由请求ID, 是随机产生的分组序列号, 每次启用路由发现机制时, 该数值被单调加1;TOP_CNT 为跳数, 开始时TOP_CNT =0, {Node List}={Null} (开始时路由请求没有经过任何中间节点, 因此没有存储任何信息) QMACs, d = Hash (CORE, TOP_CNT, {Node List}, Ks, d) 被中间节点用来进一步处理的k-MAC, 也被目的节点用来验证RREQ的完整性以及在{Node List}记录的路径的有效性。Ks, d是源节点S和目的节点D之间的共享密钥, CORE = Hash (RREQ, S, D, QNum, Ks, d) 是源节点的证书, 用来保证RREQ的确来自源节点, 并且保证固定域在传播过程中是完整的。其中, 序列对 (S, QNum) 惟一标识一个路由请求。

1.3.2 路由请求转发

当中间节点Ni收到一条新的路由请求RREQ分组时, 首先检查分组序列号QNum是否最大, 不是则不作任何处理丢弃该分组;是, 则继续提取目的节点地址并与自己路由缓冲中相应记录进行比较。如果自己是目的节点, 则回复路由响应报文;否则根据 (S, QNum) 判断是否收到过该路由请求消息, 如果收到过则丢弃该路由请求消息, 否则处理RREQ并进一步广播, 并将TOP_CNT增加1, 然后附加上一节点Ni-1的ID加入到{Node List}, 并且更新QMAC为:

undefined

1.3.3 路径响应RREP过程

目的节点D借助其本身拥有的共享密钥, 重复计算从源节点到目的节点之间路由请求RREQ所经过的中间节点, 并记录在{Node List}。很明显目的节点执行的HASH次数和记录在EERQ中的跳数相等。

如果以上均通过成功验证, D能确定RREQ的确来自源节点, 记录在{Node List}里的每个节点实际上都参加了RREQ的转发, 并且能够容易的获得RREQ经历的跳数。

路由应答初始化, 反向路由应答转发以及在源节点核实RREP基本上和路由请求阶段对称, 这里不在赘述。

1.3.4 路由维护

在路由维护阶段, 网络的拓扑结构发生变化, 如果源节点S到目的节点D之间的路由不再工作, 则探测到路由损坏的节点Nj向源节点S发送路由出错消息RERR (Route Error Report) 。当源节点S收到RERR消息后, S知道原路由已不可用。S将尝试使用他知道的通向D的其它路由, 或者再次借助路由发现去为随后的通向D的分组得到一个新的路由。

从节点Nj返回RERR过程类似于从Nj发送路由应答RREP到源节点S的过程。因而, 在此仅描述不同之处, 如图2所示。除了类型标志符和CORE的计算, RERR和RREP具有类似的格式。CORE的计算如下:

undefined

执行了j次Hash计算, j等价从节点Nj到目的节点D的跳数。

当源节点S收到RERR, 首先执行认证过程, 类似于RREP的过程, 惟一不同的是CORE的计算, CORE的计算如下:

undefined

执行了源节点到目的节点跳数与RERR报告中的跳数之差次Hash计算。

2仿真实验

仿真过程通过网络模拟软件NS-2[10]平台进行, 仿真环境670×670, 在此仿真区域有11个节点移动。每个节点的速度均分布在0～15 m/s之间。使用的随机模型是15个随机的节点, 每个节点都有一个不变的比特流 (每秒2个数据包的速率, 每个数据包为512 B) 。仿真中使用的Hash函数和邻居维护机制使用的数字签名函数分别是MD5 (128 B) 和RSA (1 024 B) 。此协议, 除了正常的路由开销, 还考虑到执行SAOR加密算法所带来的成本和延迟。

图3～图7显示出网络中30%和60%的节点遭到恶意攻击时的模拟结果。伪造虚假的路由应答, 声称自己具有到目的节点的最短路径, 目的是希望路由请求源节点源源不断地给它发送数据包。此后, 恶意节点将简单的丢弃数据包, 如黑洞攻击。

如图3所示, AODV数据包传递率迅速降低, 主要是因为大部分数据包被恶意节点丢弃。从图5、图7可以看出AODV协议中, 找到一条路由的平均时间以及AODV平均路由长度比没有恶意节点存在时要短。原因是显而易见的, 恶意节点可能比目的节点或者具有目的节点的有效路径的中间节点更早的对路由请求做出应答, 声称自己具有到目的节点的最短路径, 这也意味着大部分成功传递的数据包仅发生在邻节点之间。

另一方面, SAOR协议中, 当60%节点成为妥协节点时, 仍然能够完成65%以上的数据包传递率, 如图3所示, 但是此目的的完成却是以更多的路由发现时间、更长的端到端延迟以及更高的路由开销为代价的, 如图4～图6所示。最后, 因为SAOR不可能被妥协的中间节点误导, 可能发现一条到目的节点的路由, 因此SAOR协议中路由发现的平均长度比AODV长, 如图7所示。

3结语

随着计算机网络和移动通信的发展, 移动Ad Hoc网络的安全路由协议仍然是研究热点。本文提出的SAOR协议通过NS-2软件仿真, 结果表明此协议和AODV协议比较, 通信开销小, 却能够有效地防御并抵抗多种攻击如:拒绝服务攻击、黑洞攻击、虫洞攻击、不可视节点攻击等, 具有较强的安全性。

参考文献

[1]PERKING C.Ad hoc networking[M].New York:Addi-son-Wesley, 2001.

[2]王金龙, 王呈贵, 吴启晖, 等.Ad Hoc移动无线网络[M].北京:国防工业出版社, 2004.

[3]郑少仁, 王海涛, 赵志峰, 等.Ad Hoc网络技术[M].北京:人民邮电出版社, 2005.

[4]冯坤, 断立, 察豪.移动Ad Hoc网络安全分析综述[J].微计算机信息, 2006, 22 (6) :50-53.

[5]HU Yih-Chun, PERRIG Adrian, JOHNSON David B.SEAD:secure efficient distance vector routing for mobile wireless Ad hoc networks[J].Ad hoc networks, 2003, 3 (4) :175-192.

[6]付芳, 杨维, 张思东.移动Ad Hoc网络路由协议的安全性分析与对策[J].中国安全科学学报, 2005, 15 (12) :75-78.

[7]葛文英, 李鹏伟.Ad Hoc网络的按需路由研究[J].软件技术研究, 2006 (8) :41-42.

[8]詹鹏飞, 陈前斌, 李云.移动Ad Hoc网络AODV路由协议安全性分析和改进[J].计算机应用, 2003, 23 (8) :44-47.

[9]LI Zhen-jiang, GARCIA-LUNA-ACEVES J J.Enhancing the security of on-demand routing in ad hoc networks[M].Heidelberg:Springer-Verlag, 2005.

[10]于斌, 孙斌, 温暖, 等.NS-2与网络模拟[M].北京:人民邮电出版社, 2007.

[11]韩金冶, 花江, 汪晓宁.战术Ad Hoc网络结构与路由研究综述[J].现代电子技术, 2008, 31 (3) :160-163.

关键词：Ad hoc网络,信任模型,安全,路由

Ad Hoc网络是一种自治的无线移动多跳网络,整个网络没有固定的基础设施和固定的路由器。网络的运作需要移动节点间相互协作,而相互协作的节点可能是正常节点,也可能是恶意节点。在这种复杂环境中,要使网络可以正常运作,路由的安全[1]是关键。目前已有成熟的安全路由协议(如SAODV、ARAN等)主要依靠证书、数字签名及哈希链,虽然能有效的抵御网络的外部攻击,但不能很好的防御内部攻击。现主要针对Ad Hoc网络的几种典型的内部攻击问题进行分析解决,设计一个基于AODV协议[2]的安全路由协议TAODV。一方面,提出了一个信任度计算模型,每个节点对其邻居节点的信任度进行计算,并和它的邻居节点建立信任联系,如果检测出有恶意节点,将会发出错误消息以便网络中的其他节点对其隔离。另一方面,在AODV路由协议中引入信任度,并基于信任度对几种常见而棘手的攻击提出了抵抗对策。实验仿真表明,与已有的安全路由协议SAODV相比较,该路由协议加强了网络的安全性与稳定性。

1 信任度评估模型

设计出一个信任度评估模型,模型通过判断节点间相互信任度,把恶意节点隔离,从而使得节点能选择出信任度较高的路径进行安全路由。由于考虑到网络通信资源的消耗问题,在该模型中采用了本地的直接信任方式。如图1所示,该模型[3,4]中添加了一个检测模块,用以对路由协议进行检测,如果检测通过,就把把当前的信任度值进行更新并继续计算信任度、判断和检测更新操作。

1.1 邻接节点的信任度

模型采用了简单贝叶斯方式来计算邻居信任值。在一样本X中其容量为M(即节点A与B交互M次),A与B通信时,用y表示成功的次数,用n表示失败的次数,公式1给出了计算节点A对B的信任度的方法。图1基于信任度体系的框架结构

本信任度模型的信任度值计算如公式2。由控制报文(记作Ch)中的信任值TCh(A,B)判断A节点是否是B节点一跳范围的“邻居”,邻居节点因出错的机率很小,可以将其权值设得稍小一些。由路由报文(记作Cp)计算出A节点对B节点的信任度值TCp(A,B),因为在传送过程中它很可能遇到问题,应该将其权值设得大一些。

在邻居节点间还无任何通信历史记录时,如果有节点移动到新位置或有新节点加入到Ad Hoc网络中,邻居则给该移动节点赋予初始信任度值为1/2。之后,它们之间的信任度随着两者间联系的稳定而趋于稳定。每个节点将所发现的信任度值低于阀值的邻居节点列入自己的恶意节点列表,并把这个错误警告消息广播出去,从而达到隔离效果。

在网络传输的开始阶段可能存在着传输错误,或者在周期时间内节点之间的状态是闲置的,所以选取稍小于1/2的值作为信任度阈值[5]。随后,恶意节点的通信失败次数增多;而正常节点的通信成功次数不断上升。当网络逐渐达到稳定状态的时候,采用稍大于1/2的一个值作为信任度阈值。

1.2 路径信任度

在TAODV协议运作过程中,中间节点在转发路由请求时其路由请求分组中的路径信任度值采用路径列表中信任度最小的值(如公式3),直到到达目的节点。

目的节点在接收到路由请求后,等待一段时间,如果发现其它的路由请求,不再按照先进先出的规则来判断应答的先后顺序,而是根据收到路由请求信任度值的大小来判断顺序,优先应答信任度高的路由请求。

中间节点收到路由应答时,会比较它对上一跳节点的信任度值和当前路由应答的路径信任度值。如果对上一跳节点的信任值比当前路由应答的路径信任度值小,就会用这个值替代路由应答的路径信任度值,然后继续转发,直到返回到源节点。源节点接受到路由应答后,是否接收该路由应答是根据该路由应答中的路径信任度值决定。

2 安全路由协议TAODV

TAODV协议是在信任度机制的基础上将AODV优化而得到的。在路由发现和路由维护方面该协议的运作流程与AODV协议基本一样。所不同的是:在每个环节前面都使用信任评估模型对发送消息的节点的可靠性进行检测。如果该节点不可靠则丢弃该报文;否则就继续。本协议取路径节点序列中最小的信任度值作为路由发现和维护过程中路径信任度的评判基准值,从而确保路径的高可靠性。

2.1 TAODV的报文扩展

TAODV协议的路由请求分组格式和路由应答分组格式是在AODV协议对应的报文信息中添加路径信任度栏扩展而得,如图2、图3所示。路径信任度起初设置的值为源节点对下一跳节点的信任度,在传递过程中,如果中间节点对邻节点的信任度值比路由中的路径信任度的值小,则用该中间节点的信任度值替换路由中的路径信任度的值。

2.2 TAODV对几种攻击的安全预检测

针对几种常见而棘手的攻击[6],TAODV协议基于信任度机制提出了抵抗对策,从而使得节点能进行预检测,选择可靠性高的节点,较大程度地增强其安全性。

2.2.1 DoS攻击的检测

当Ad Hoc网络中节点高速移动时,网络内的节点往往无法判定众多的路由请求信息是由于节点高速移动引起的链路断裂还是由于DoS攻击所导致。因此,在TAODV协议中规定了节点在单位时间里的发送数量。其具体实现是:每个节点中增加一个定时器,并存储一张用于记录来自不同邻居节点路由请求数量的请求表,邻居节点可发送路由请求的数目与其信任度值呈正比,同时用每秒发送的路由请求报文最大数量(RREQ_Max)作为最大阈值。在单位时间内,信任度越高的节点就可以发起越多的请求数目,但发送的请求的最大数目不能超过如公式4所示的Counter_Threshold值,否则,将不再处理该节点的请求。

2.2.2 节点自私性攻击的检测

使用信任度检测可以将节点的自私行为减少。本协议的运作中,在节点接收报文的平均时间内,把没有收到来自邻居节点转发的报文的情形看作通信失败。自私节点的通信失败次数达到一定值,将使得其邻居节点对该自私节点的信任度比信任度阈值低,这时该自私节点就会被网络排除在外。再者,当节点更新路由表时,路径信任度较高的路径在置换和更新中占优势。因此,自私节点在没有被判定为恶意节点时,它所在的路径被选中的机会也将比正常路径要小。

2.2.3 序列号攻击的检测

恶意节点通常会修改路由应答消息,制造较大的目的节点序列号进行欺骗,企图让其它节点接收其伪造的路由应答消息。因此,为了检测这类攻击,当前的请求序列号与目的节点的序列号的差值必须被限制在一个可信的范围内。公式5给出了序列号的最大正常增加范围threshold。当某节点通信成功的次数越多,对其信任度也相应越大,进而允许路由应答的序列号值越大;反之,则认为它是试图进行序列号攻击的恶意节点,不再对其计算信任度。

2.2.4 黑洞攻击的检测

这里所研究的黑洞攻击主要指因中间节点返回的路由应答是虚假错误的而造成的。本协议的运作过程中,发起路由请求的源节点在收到中间节点返回的路由应答时,判断路由应答中的信任度的大小是否达到了信任度阈值,并依此决定对该路由应答是否接受。从而降低接收虚假错误的中间路由信息的可能性,达到了预测和抵御黑洞攻击的目的。另外,单个节点的黑洞行为与报文丢弃攻击情形相似,其预测抵御措施与对自私节点攻击的对策也相同。

3 实验仿真

网络的平均包传递率能够直接反映了网络的可靠性,端到端的平均延迟能够反应网络的通信质量,体现出协议的整体开销情况。为了有效评估TAODV协议的性能,使用网络仿真软件NS2[7],分别从正常和异常两种情况,针对分组投递率和端到端的延迟方面来观察TAODV协议与已有的安全路由协议SAODV的比较。其中,异常情况下设定恶意节点占正常节点数的25%。仿真实验参数如表1所示。

如图4所示,在同样的节点最大移动速度下,SAODV协议的包传递率比TAODV低约5%。这是因为:SAODV协议采用了双签名的方式,可以抵制黑洞攻击和虫洞攻击,但不能有效的阻止DoS攻击、序列号攻击、自私攻击;而本文提出的TAODV协议采用了信任度机制,可以对各种恶意攻击起预防抵御作用。从图4中还可以看出,随着节点最大移动速度的增加,因网络拓扑结构的变化增大,使得两者的包传递率都呈缓慢下降趋势。

如图5所示,在同样的节点最大移动速度下,SAODV协议比TAODV协议的延迟大。这是由于两个方面的原因产生的:第一,在路由过程中,SAODV协议使用签名认证的方式,其计算的开销比TAODV协议所用的信任度计算的开销大;第二,SAODV协议因不能有效阻止DoS攻击、序列号攻击、自私攻击,会影响到报文传输,造成端到端的延迟增大。从图5还可以看出,两者的延迟随着节点的最大移动速度的增加、网络结构的快速变化而呈略微上升趋势。

4 总结

Ad Hoc网络由于不依赖固定基础设施,使得其安全体系结构面临新的挑战。而路由安全则是Ad Hoc网络安全的关键。本文研究的工作是在已有的基本路由协议AODV基础上,使用信任机制来设计安全路由协议TAODV。本协议基于信任机制,使用节点的通信历史记录对其邻节点的信任度进行计算,进而通过此信任度来判断路由过程中路径信任度。仿真实验结果表明,TAODV协议可以有效地增强网络的安全可靠性,从而达到了改善网络的性能的效果。由于只是对Ad Hoc网络的中AODV协议的安全性进行了优化设计,本协议的运作过程中,需要经过一段时间的观察才能发现恶意节点,怎样快速地判断出恶意节点、信任阀值动态精准地设定问题,将是本课题下一步的研究内容。

参考文献

[1]田野,易平,周雍恺,等.无线网状网络路由安全协议综述.信息通信技术,2009;33(4):57-63

[2] Perkins C,Bdding E,Das S.Ad hoc on-demand distance vector (AODV) routing.(IETF RFC 3561 ).2005

[3]李小勇,桂小林.大规模分布式环境下动态信任模型研究.软件学报,2007;18(6):1510-1521

[4]游之洋,龚伟,赵曦滨,等.基于可和性信任模型的AODV路由协议改进.清华大学学报,2010;50(5):735-738

[5]谭振华,王贺,程维,等.基于通信历史相关性的P2P网络分布式信任模型.东北大学学报.2009;30(9):

[6]五建新,张亚男,谢铮.路由信息的攻击对AODV协议性能的影响分析.电路与系统学报,2005;35(3):93-98

无线传感器网络是一种由大量具有传感功能的小型移动设备构建的网络, 主要用于收集、传播和处理传感信息。由于微机电系统 (MEMS-Micro electrical-mechanical system) 以及无线网络技术的进步, 使得人们能够开发低成本、低功耗、多功能的传感器节点, 从而构建低成本的传感器网络。无线传感器网络在军事、环境科学、医疗健康、空间探索和抢险救灾等领域有着广阔的应用前景。

通常, 在无线传感器网络中, 大量的传感器节点密集地分布在一个区域里, 消息可能需要经过若干节点才能到达目的地, 而且由于传感器网络的动态性, 因此没有固定的基础结构, 所以每个节点都需要具有路由的功能。由于每个节点都是潜在路由节点, 因此更易于受到攻击。网络层路由协议为整个无线传感器网络提供了关键的路由服务, 针对路由的攻击可能导致整个网络的瘫痪。安全的路由算法直接影响到无线传感器网络的安全性和可用性, 因此是整个无线传感器网络安全研究的重点。

目前, 传感器网络的路由协议有很多, 主要可以分为三类, 分别是以数据为中心的路由协议、层次式路由协议以及基于位置的路由协议。在以数据为中心的路由协议中, 通常由sink节点发出查询, 然后满足条件的传感器节点将数据发回sink节点。SPIN是第一个以数据为中心的路由协议, 该协议通过节点之间的协商来消除数据冗余、节省电源。层次式路由协议和单层路由协议相比, 具有更好的可扩展性, 更易于进行数据融合, 从而减少电源的消耗。LEACH是传感器网络中最早的层次式路由协议, 其他的层次式路由协议, 包括PEGASIS、TEEN、APTEEN等协议都是在LEACH的基础上发展起来的。基于位置的路由协议需要知道传感器节点的位置信息, 这些信息可用于计算节点之间的距离、估计能量的消耗以及构建更加高效的路由协议。这种类型的协议包括GEAR、MECN、GAF、GPSR等。

1 以数据为中心的路由协议

采用数据的某些属性来命名数据和进行查询的协议都可以归类为以数据为中心的路由协议。在这类协议中通常由sink节点发出查询, 然后满足条件的传感器节点将数据发回sink节点。和层次式路由协议相比, 以数据为中心的路由协议不需要形成聚类, 因而节省了这方面的开销。

SPIN (sensor protocol for information via negotiation) 是最早的以数据为中心的自适应路由协议, 通过协商机制来解决泛洪算法中的“内爆”和“重叠”问题, 节省了能量的消耗。该协议的思想是:采用更高级的描述符 (也称为元数据) 来描述数据, 节点收到数据后, 广播数据的描述信息, 感兴趣的节点在收到数据的描述信息后, 返回请求信息, 只有在收到相应的请求后, 节点才向目的地发送数据。SPIN协议中有3种类型的消息即ADV、REQ和DATA。节点用ADV宣布有数据发送, 用REQ请求希望接收的数据, 用DATA封装数据。

如图1所示, 当节点A有数据需要发送的时候, 先广播ADV消息, 邻居节点收到ADV消息后, 检查一下自己是否对该数据感兴趣, 如果感兴趣, 则返回REQ消息, 如图1 (b) 。节点A到B发回的R E Q消息后, 将数据消息D A T A发送给B。B收到数据后以同样的过程发送数据, 如图1 (d) - (f) 。

在SPIN协议中, 节点只需要保存邻居节点的信息, 因而需要保存的信息较少。并且通过元数据协商的方式, 极大地减少了数据的冗余传输, 节省了能量的消耗。但是它有一个很大的缺点, 就是不能保证数据一定能够传输到目的地, 例如, 如果数据源和目的地相距很远, 而中间节点对要发送的数据不感兴趣, 这种情况下, 数据就不能发送到目的节点。SPIN协议在设计的时候, 没有考虑安全方面的问题。攻击者在收到ADV消息后, 可以不发送REQ消息, 或者在收到DATA之后, 不再广播ADV消息, 以阻止消息通过。恶意节点收到消息之后, 也可以修改数据包的内容或者目的地, 使传送的消息没有意义。

2 层次式路由协议

层次式路由协议和单层路由协议相比, 具有更好的可扩展性, 更易于进行数据融合, 从而减少电源消耗。LEACH是传感器网络中最早的层次式路由协议, 其他的层次式路由协议, 包括TEEN、APTEEN、PEGASIS等协议都是在LEACH的基础上发展起来的。

LEACH (low energy adaptive clustering hierarchy) 是MIT的Chandrakasan等人为无线传感器网络设计的低功耗自适应聚类路由算法。与一般的平面多跳路由协议和静态聚类算法相比, LEACH可以将网络生命周期延长15%, 主要通过随机选择聚类首领, 平均分担中继通信业务来实现。LEACH定义了“轮” (round) 的概念, 一轮由初始化和稳定工作两个阶段组成。为了避免额外的处理开销, 稳定工作状态一般持续的时间相对较长。

在初始化阶段, 聚类首领是通过下面的机制产生的。传感器节点生成0、1之间的随机数, 如果大于阈值T (n) , 则选该节点为聚类首领。T (n) 的计算方法如下:

其中P为节点中成为聚类首领的百分数, r是当前的轮数, G是在过去的1/P轮没有被选择为聚类首领的节点的集合。一旦聚类首领被选定, 它们便主动向所有节点广播这一消息。依据接收信号的强度, 节点选择它所要加入的组, 并告知相应的聚类首领。基于时分复用的方式, 聚类首领为其中的每个成员分配通信时隙。在稳定工作阶段, 节点持续采集监测数据, 传给聚类首领, 进行必要的融合处理之后, 发送到sink节点, 这是一种减小通信业务量的合理工作模式。持续一段时间以后, 整个网络进入下一轮工作周期, 重新选择聚类首领。

LEACH是一种完全分布式的路由协议, 节点不需要保存任何关于网络拓扑结构的信息。同时, 通过动态和随机的选择聚类首领的方法, 延长了网络的寿命。但是, 在LEACH中, 每个聚类首领都可以直接和Sink节点进行通信, 限制了网络的规模。换句话说, LEACH只适用于节点可以直接和Sink进行通讯的网络。另外, 动态选择聚类首领, 需要额外的开销。

由于节点根据信号的强弱来加入相应的组, 因此恶意攻击者可以轻易的采用HELLO flood攻击, 攻击者以大功率进行广播, 使得大量的节点都选择该恶意节点作为他们的聚类首领。然后恶意节点可以采用其他的攻击方法, 例如选择性转发, 修改数据包等来达到攻击的目的。根据聚类首领的产生机制, 节点可以采用Sybil攻击来增加自己被选择为首领的机会。

3 基于位置的路由协议

基于位置的路由协议需要知道传感器节点的位置信息, 这些信息可用于计算节点之间的距离、估计能量的消耗以及构建更加高效的路由协议。由于传感器节点散布在一个区域内, 并且没有类似于IP地址这样的地址方案, 因而可以利用位置信息来构建高效的路由协议, 以延长网络的寿命。基于位置的路由协议包括GEAR、MECN、SMECN、GAF、GPSR等。

GEAR (Geographic and Energy Aware Routing) 也可以认为是Directed Diffusion方法一种改进。该协议并不采用向整个网络广播兴趣, 而是利用位置信息, 向某一个特定的区域广播兴趣, 然后利用位置信息 (尽可能选择最短路径) 和节点能量剩余的情况, 将数据包发回到sink节点。该方法可以极大地节省能源, 延长传感器网络的使用寿命。

在GEAR中, 每个节点保存到其他节点的估计代价 (estimated cost) 和修正代价 (learned cost) 。估计代价综合考虑了节点的剩余能量信息和到Sink的距离, 修正代价是对估计代价的进一步修正, 它在考虑hole的情况下到目的节点的代价。当所有的邻居节点到目标区域的距离都比节点本身到目标区域的距离远时, 就形成了一个hole。在没有hole的情况下, 估计代价等于修正代价。在GEAR中兴趣的广播分为两个阶段。第一阶段是将兴趣转发到目标区域。在这个阶段, 节点收到消息后, 查看是否有邻居节点到目标区域的距离更近, 如果有, 选择到目标区域最近的邻居节点转发消息。如果没有的话, 就是一个hole。这时节点可根据修正代价来选择一个邻居节点来转发消息。第二阶段是区域内兴趣的广播, 就是将兴趣发送给区域内的各个节点。这一阶段可以采用受限的Flooding方法, 或者采用递归的基于位置的转发来实现。

在GEAR路由协议中, 节点的位置信息是可以伪造的。节点可以伪造位置信息, 从而将自己包含到某一已知的数据流的路径中。由于在选择路径中, 需要考虑节点的能量信息, 因此攻击者可以通过总是声称自己的能量处于最大状态, 来提高自己成为转发节点的概率, 然后采用选择性转发等攻击方法, 达到攻击的目的。攻击者还可以进行Sybil攻击, 来提高自己成为转发节点的概率。

4 结论

尽管针对传感器网络提出的路由协议有很多, 上面仅仅介绍了其中有代表性的几个。但是, 几乎所有的协议在设计的时候都没有以安全作为目标, 再加上传感器网络本身的诸多限制, 使得传感器网络路由协议极易受到各种攻击。在多数应用中, 安全是非常重要的, 甚至是决定性的。例如在军事应用中, 传感器网络用于收集各种情报、提供决策支持, 如果采集的信息是不可靠, 甚至是伪造的, 根据这些信息所做出的决策将会给军队带来极大损失。因此安全问题是传感器网络的一个重要问题。目前, 传感器网络的安全问题越来越受到研究人员的重视, 随着各项研究的深入传感器网络的应用前景必将会更加广泛。

参考文献

[1]任丰原, 黄海宁, 林闯.无线传感器网络.软件学报.2003.

[2]F.Akyildiz et al.Wireless sensor networks:a survey.Computer Networks.Vol.38.March2002.

摘 要：针对低功耗自适应集簇分层型协议LEACH（low energy adaptive clustering hierarchy）的节点生命周期短和能量消耗不平衡的问题，提出了一种LFACH协议的改进算法.算法的主要思想是考虑了节点的当前位置以及当前能量，从而可以使簇头的分布更加均匀，延长节点的生命周期，对改进后的LEACH协议和原LEACH协议进行仿真，结果表明改进后的协议在生存时间上提高了40.7%，并增加了数据的发送量，减少了节点的能量消耗.

关键词：无线传感器网络；LEACH协议；网络生存时间：NS-2仿真；能量均衡

DOI： 10.15938/j.jhust.2015.02.014

中图分类号：TP391.1

文献标志码：A

文章编号：1007-2683（2015）02-0075-05

0 引 言

无线传感器网络WSN（ wireless serisor net-works）被认为是21世纪最重要的技术之一，是一种南大量无线传感器节点组成的白组织多跳网络，其日的是协作地感知、采集和处理网络覆盖区域感知对象的信息，并发送给观察者，传感嚣、感知对象和观察者构成了传感器网络的3个要素.传感器节点由汇聚节点SN（sink node）和普通传感器节点组成.无线传感器网络节点一般以电池供电，但针对应用业务的不同需求，有时需要太阳能、震动能、风能、热能等额外能量提取技术.WSN的能耗主要分为通信能耗、感知能耗和计算能耗，其中通信能耗所占比重最大，所以均衡通信能耗能有效的延长整个网络的生存时间，在无线传感器网络中，网络的拓扑控制与优化重要性表现在：影响整个网络的生存时问；减小节点间通信干扰，提高网络通信效率和为路由协议提供基础，

在无线传感器网络体系结构中，网络层的路由技术对无线传感器网络的性能好坏有着重要影响.随着国内外无线传感器网络的研究发展，许多路由协议被提了出来，从网络拓扑结构的角度可以大体把它们分为两类：平面路由结构和层次路由结构，层次路由算法是现有无线传感器网络路由算法的研究重点，下面将概述一下LEACH路由协议研究：LEACH是无线传感器网络中提出的第一个层次型路由协议，运用了数据压缩技术和分层动态技术，通过随机选取某些节点为簇头来均衡网络内部负载；文描述了一种基于LFACH的改进型非均匀分簇协议UCS（unequal clustering size），协议的中心思想是：考虑候选簇头节点到基站的远近，构造出大小非均匀的簇，从而实现了网络中节点能耗的均衡；文中的LEACH-C是LEACH协议自身的提出者后来在LFACH协议上所做的改进算法；文提出的TEEN（threshold sensitive energy efficient sen-sor network protocol）是阈值敏感能量高效传感器网络协议，它采用与LEACH类似的簇结构和运行方式，定义了软、硬两个阈值来确实是否发送数据；文提出的混合有效能量分布式分簇HEED（hybirdenergy-efficient distributed clustering）算法是在LEACH算法簇头分布不均匀这一问题基础之上做出的对LEACH协议的改进；在文中，高能效传感器采集信息协议PFGASIS（power-efficientgathering in sensor information system）是使用贪婪算法GA（greeciy algorithm）形成链式的簇结构；文中，LEACH-M协议中引入了遗传模拟退火算法.

LEACH算法与一般平面多跳路南算法相比，可以将网络生命周期延长15%，但却存在簇受开销大、重复形成簇和簇规模分布不合理等不足，为此本文提出一种改进算法.

1 LEACH协议简介

L l 算法概述

LEACH协议是由MIT的Hei nzelman等提出的，该算法是为无线传感器网络设计的一种低功耗自适应的分层路由协议，假定了一个均匀的、节点能量有限的密集传感器网络，各节点向接收点报告其数据.LEACH协议将基于TDMA的MAC协议与聚类协}义和一个简单的“路由”协议集成在一起，其基本思想是：通过循环的方式随机选择簇头节点，对簇头节点进行轮换，把整个网络的能量负载平均分配到各个节点上，从而平衡和降低能耗、延长网络的生存周期.

LEACH协议提出“轮”的概念，算法的执行过程是周期性的，每轮循环分为簇的建立阶段和稳定的数据通信阶段，在簇的建立阶段，随机选择节点作为簇头节点，簇头节点确定后即向周围广播信息，其他节点根据接收到的广播信息信号的强弱来选择要加入的簇，并告知相应的簇头节点，从而网络被划分为若干个簇.在数据通信阶段，网络完成簇结构构建，普通节点将采集数据发送给簇头节点，由簇头节点对数据进行处理（如数据融合）操作，再转发给汇聚节点，为了避免额外的处理开销，数据通信阶段一般持续较长的时间.每一轮结束后，网络将重新进入下一轮，继续执行这两个阶段的过程.

LEACH算法选举簇头的过程如下：节点产生一个0-1之间的随机数，如果这个数小于阈值T（n），则发布自己是簇头的公告消息.在每轮循环中，如果节点已经当选过簇头，则把T（n）设置为0，这样该节点就不再会再次当选为簇头，对于未当选过簇头的节点，则将以T（n）的概率当选；随着当选过簇头的节点数目增加，剩余节点当选簇头的阈值T（n）随之增大，节点产生小于T（n）的随机数的概率随之增大，所以节点当选簇头的概率增大，当只剩一个节点未当选时，T（n）=1，表示这个节点一定当选.T（n）如式（1）所示：其中：P簇头在所有节点中所占的百分比；r是选举轮数；rmod（l/P）代表这一轮循环中当选簇头的节点个数；G这一轮循环中未当选过簇头的节点集合.

采用这种随机选举簇头的方法，需要得到节点总数与簇头数的最优比；因为基站是在远离仿真区域的位置，与距离较远的节点通信时，需要设置一些簇头节点提升通信的效率，但是也不能过多（在极端情况下，每一个节点都是簇头，和没有分簇是一样的，没有多跳和数据融合优势），在相对低的比值处有一个最优的数值；在一种典型的情况下，Heinzelman等认为最优值是5%，但是这要依赖于特定的设置并且要求预先确定.

LEACH协议采用了随机选举簇头的方式来轮换簇头，避免了簇头过分消耗能量，采用数据融合则有效地减少了通信量，与一般的多跳路由协议和静态聚类算法相比，能够将网络生命延长15%.

1.2 算法不足

1）由于LEACH协议是假定所有节点都能直接和基站进行通信，而且每个节点都具备支持不同MAC的能力，因此该协议不大适合在大规模部署的应用场景.2）LEACH协议没有说明簇头节点要怎么分布才更加均匀，有可能在实际应用中出现一个区域有很多的簇头节点，而有的很大的区域没有任何的簇头节点，这样会出现网络能耗不均衡.3） LFACH协议假定每个节点的能耗都差不多，这使得该协议不适用于节点能量不均衡负载的网络部署中.4）LEACH协议的簇头选举算法没有考虑剩余能量低的节点当选为簇头节点的情况，该节点很快会耗尽能量提早失效.不利于延长网络的生存时间，网络的鲁棒性也不好.5）簇头节点将采集到的数据通过数据融合后直接发送到基站，若传感器节点分布在很广的范围内，经过很多轮后，距离基站近的簇头节点与距离基站远的节点剩余能量相差很大；如果传感器节点的初始能量值一致，距离汇聚节点远的节点能量最先消耗完，从而导致整体网络生存时间缩短；假设簇头节点和汇聚节点之间只采用多跳路由方式转发数据，那么在网络节点部署区.域广、节点数日众多的情形下，距离基站近的区域的节点因为频繁参与数据的转发，能量消耗极快，该区域的节点反而很容易死掉，进而影响整个网络的生命周期.针对LEACH路由协议的不足，本文提出一种改进的算法，我们且称为NEWLEACH.

2 LEACH协议的改进算法

2.1NEWLEACH算法的基本思想

因为涉及到距离，先简单介绍下LEACH的物理模型：LEACH算法采用第一顺序无线电能量模型FORM（first order radio model），该模型由发送电路、放大电路和接收电路组成.假定信道是双向对称的，即节点A传送数据到节点B的能量消耗与B传送到A是相同的.在传输距离为d时，传感器节点发送和接收kbits消息所消耗的能量见式（2）和式（3）.其中：E是发送电路和接收电路无线电通信消耗的功率值，信号传输距离为d.信号在无线信道传输中的能量消耗与距离dr成正比，在短距离无线传输，即dd0时，r=4.上述的两种能量衰减模型分别称为自由空间（free space）衰减模型和多路信道衰减（multi-pathfading）模型.εam，，为自由空间衰减模型的衰减系数，εfs为多路信道衰减模型的衰减系数.因此，根据发送节点与接收节点之间的距离，发送节点可以使用不同的能耗模型计算发送数据所需要的能量.Etx（k，d）表示发送节点所消耗的总能量，Enx（k）表示接收节点所消耗的总能量，分别表示接收电路和传送电路中所消耗的功率值，并且是发送端发送消息经过放大器时所消耗的能量.

本文的算法基本思想是：从上面的能量消耗模型可以看出，能量消耗其实也和距离有关，在设计优化的簇头选举方法时，应该根据距离来选择不同的能量衰减模型；簇头的最优选择应该是，在当前轮数剩余能量较高的，又或者是距离基站更近的节点，在数据的通信阶段，应该选择当前轮剩余节点剩余能量最高的节点进行数据融合，如果该节点恰好是簇头节点，在完成数据融合后，将数据发送给基站；如果是普通节点，在完成了数据融合后，将数据转发给簇头节点，簇头节点再发送给基站.

2.2 NEWLEACH算法

2.2.1簇头选举

假设仿真区域是在100m×100m的区域内进行的，基站的坐标是在（50，175），我们称为bs，存仿真区域内有一个中心点，我们称为center，任一节点到bs的距离为（d1，到centei‘的距离为d2，如图l所示.从图中我们可以看出d1》d2，因此在设计距离因子时，把节点到基站的距离看成多路信道衰减模型，把节点到中心点的距离看成自由空间衰减模型根.据不同的情况选用不同的模型，使得距离基站近的有更大几率当选为簇头.

传统的LFACH协议不涉及节点的剩余能量问题，改进的NEWLEACH算法用节点的当前剩余能量和初始能量相比，这样做可以使剩余能量更多的节点有更大几率称为簇头，

改进后的簇头选举如式（4）所示.式（4）是在式（1）的基础上做的一个改进：在最坏的情况下（‰…。《E..州且d。《d，），式（4）和式（1）是等价的，在其他的情形下，式（4）能够在一定的程度卜优化簇头的选举情况. -P[rmod（l/P）…案+卢羔]胙r（n）：I -P[rmod（l/P）

C，（4）

0，其他.其中：k为最佳簇头数；理为能量因子；E。。。。.为当前节点的剩余能量值；E训为当前轮所有节点的剩余能量总值；β为距离因子；定义β=1-a，d2为节点到中心点的距离；d1为节点到基站的距离.

2.2.2数据通信

每一轮都有一个数据通信阶段，因为要进行数据融合，这将消耗非常多的能量，而簇头也在簇的建立阶段消耗很大一部分能量，有可能不再是簇内能量最高的节点了，因此，本文采用的方法是：簇建完后，在本簇内寻找一个剩余能量最高的节点，不一定非是簇头节点，进行数据融合后，再发送给基站，这将会减少簇内簇头节点的耗能，对平衡整个簇内的能量起到至关重要的作用.

3 仿真结果及分析

假设在100m×100m的范围内随机播散100个节点，基站坐标为（50，175），节点的初始能量为2J，最佳簇头数为5个.在LinuX平台下，利用NS-2软件对LFACH算法和改进后的算法NE—WLEACH进行仿真实现.

3.1 确定α，β的取值

NEWLFACH改进协议的目的是为了使网络整体寿命延长，因此我们用节点的生存时间为指标做了仿真，如图2所示.在图中用NEWLEACHX中的最后一个数字代表了lOa，例如NEWLFACHI代表了a=0.1，α从0.1到1每隔0.1取值一次，共9组数据.从图中可以看出NEWLFACH4表现最好，因为第一个节点死亡较晚，而且整个网络的生存时间也较长，其他的取值要么死亡节点出现过早，要么整体寿命太短，所以取值α=0.4，p=0.6.

3.2 网络生存时间对比

网络生存周期对比如图3所示，较长的是NE-WLEACH，较短的是LEACH.从图中可以看出，NE-WLEACH整体寿命延长了，首次出现死亡节点是在380s，而LEACH首次出现死亡节点是在270s.LEACH在490s的时候只有6个存活节点，而NE—WLEACH在81Os时还有8个节点存活，节点寿命延长了40.7%.

3.3基站接收数据对比

基站的接收数据对比图如图4所示，在前490s，NEWLEACH和LEACH的发送数据量相差不大，所以曲线基本重合了.LEACH在490s时向基站发送了l116429bit数据，NEWLEACHA-810s时向基站发送了2338967bit个数据，说明改进后的协议数据通信能力也得到了提高，但是存在一样的时间里面，基站接收的数据差异并不那么明显.

3.4能量消耗对比

节点的能量消耗对比如图5所示，在上面的是LFACH，下面的是NWELEACH.在初始能量一致的情况下，在前120s内，改进后的协议消耗较快，有可能足计算各个节点的位置所消耗了一部分能量，但是在很大一部分时间内，LEACH要比NE-WLEACH能量消耗快得多，也说明了改进后的协议在能耗上也有了改善.

4 结 语

本文分析了LEACH协议的簇头选举过程，针对其存在的缺陷，提出了一种基于位置和剩余能量的新的簇头选举方法，通过仿真对比发现：新的算法延长了网络节点生存时间，增加了节点与基站的通信量，也减少网络节点能量的消耗；但是在通信阶段，在相同的时问里，基站接收到的数据相差并不大，说明了新协议在数据的融合方面并没有得到显著的改善.另外，在仿真的初期，整体的能量消耗要比LEACH高一些，这是今后需要改进的地方，希望本文的研究思路及结果对研发适用性广、性能稳定高效的新型无线传感协议有所帮助.

大规模无线自组织网络的各种应用场景(如无线视频会议、VANET系统等)均需要将节点分簇管理,以提高网络的管理效率,簇首的安全与网络的隐私保护是此类无线自组织网络的重要问题,然而目前仅有少量关于无线自组织网络分簇管理的安全性研究[1⁃2]。匿名性、位置信息与无关联性通信是无线网络的三大隐私信息,一旦攻击者获得网络的隐私信息,则可对网络进行毁灭性攻击[3]。然而,无线自组织网络的拓扑变化频繁、节点资源有限,因此其隐私保护的实现极为困难[4]。

已有少量针对Ad Hoc的匿名性研究:文献[5]提出一种分簇无线传感器网络匿名的簇头选举协议,给出了匿名簇头选举的判定规则及成簇模式,设计了相应的匿名数据聚合方案,无需泄露节点身份信息即可完成聚合,可有效抵抗窃听攻击、节点妥协攻击及合谋攻击等恶意行为。文献[6]针对Li⁃Lee协议通信开销大、计算复杂性高等缺陷,提出一种改进的高效匿名认证密钥协商协议。在保留原协议安全属性基础上,重新设计原协议中本地代理与外地代理通信会话密钥建立机制,支持会话密钥更新功能。文献[7]针对移动自组织网络提出了一种基于期望的路由协议,该协议采用分簇签名的方式解决了传统基于加密匿名算法的高计算成本的问题,从数据安全性角度增加了Ad Hoc的匿名性与安全性。文献[8]针对无线传感器网络的分簇与数据聚集协议提出了一种匿名算法,以避免聚集节点遭受物理截获与干扰攻击,使用伪聚集节点干扰攻击者的判断,成功地提高了WSN的鲁棒性与安全性。

上述研究从不同角度提高了无线网络的安全性,文献[5⁃8]针对分簇网络提出了改进,文献[5]与文献[8]分别仅实现了簇头选举过程与数据聚集过程的匿名性,而并未实现完整网络生命期的匿名性。文献[7]则采用加密算法实现数据安全,计算成本较高,并不适用于资源极为有限的无线节点。文献[6]则是针对小规模、非分簇网络的安全策略,并不适用于大规模分簇无线网络。

组播协议可较好地实现分组有向通信(即一对多或多对多传输),组播网络的优点是网络带宽开销较低、扩展性较好。在无线网络中,组播协议拷贝多份消息进行传输,因此,组播协议的接收者可成功地收到数据,但接收者的地址对于发送者是未知或者动态变化的。组播协议可有效地实现分组通信,同时具有一定的匿名性。然而组播通信对Ad Hoc的安全性有特殊要求:Ad Hoc的分组秘钥、分组规则信息以及簇首的ID与位置信息等均需要被有效的保护,此外组播协议需要安全地管理分簇结构、分簇大小、簇间链接等重要信息。

本文提出了一种基于网格的匿名组播路由协议,称为MAno。MAno协议对单播无认证路由协议ANODR[9]进行扩展,使其具有匿名组播的能力。 MAno使用ANODR的无身份信号搜索簇内成员的路由,并设计了匿名的组播方法,实现了网格管理者的隐私保护。本协议中,接收者无需向簇首发送其加入簇的请求即可与网格中的其他节点建立链接与路由,因此MAno协议具有简单、快速的特点,网格的管理者也因此具有隐私保护能力。

1 MAno协议

1.1 网络模型

Ad Hoc网络模型由若干的移动自组织节点组成。 如图1 所示是基于TBO(Trapdoor Boomerang On⁃ion)洋葱结构的匿名路由发现过程示例[10],如果节点A与B均处于彼此的通信范围之内,则认为两者的无线链接为对称链接。每个节点均采用统一的加密算法(对称或者非对称加密)预先加载一个公钥与秘钥。

1.2 攻击模型

假设攻击者满足Kerckhoff Principle(柯克霍夫原则),即攻击者知道网络使用的所有方法。假设对手具有大量的协同窃听节点,并且为全局窃听,即对手可以全程监控整个网络区域,并且窃听与跟踪整个数据流。假设对手的计算能力有限,即无法在合理的时间内解密密文消息。

1.3 秘钥管理模型

假设在组播会话之前即创建了分组的秘钥,并且各节点预先加载了分组秘钥。在动态变化的网络之中,新成员加入簇中的概率相同。假设分簇签名方案具有基本的安全性:秘钥大小与分组大小无关联性[11],假设在组播会话中秘钥与公钥保持不变。

1.4 消息类型的统一化机制

本文设计了一个流量隐藏机制来统一网格中无路由发现消息的格式,以期隐藏消息的真实类型,统一的消息称为Ptype。通过统一的流量形式将节点活动产生的数据包类型隐藏,以免被窃听,该机制可有效地保护簇首的位置隐私。首先,Ptype需保证所有的消息保持相同的大小与变化形式,以防止对手通过分析消息的格式与大小来区分消息类型。

与ANODR相似,在所有的Ptype消息中,每跳通信均生成一个路由假名序列来防止重放攻击。将Kseed设为生成序列的种子,使用单向函数f生成序列中的第i个假名Ni,i是沿链接传输数据包的序号(每跳加1),Ni=f′(Kseed)。

1.5 网格的建立

MAno中第一个决定接收组播数据的节点初始化网格,然后簇首对网格进行维护。簇内成员使用无ID路由发现算法组织成网格形式[9]。

簇内成员通过广播JREQ消息完成加入网格的申请,然后等待已有网格成员的JREP消息。算法1 是节点加入网格算法的伪代码。

算法1(a):收到两个以上JREP

算法1(b):未收到JREP

(1)算法1(a)所示为收到两个以上JREP的处理方法。

本文将ANODR中的JREQ与JREP数据包的格式进行修改,使其适用于组播路由协议。本文中网格的组内成员称为Knot。本文修改的JREQ消息格式如下所示:

< JREQ,TTL,seq#,nonce,onion,One Time PK >

onion与One Time PK采用ANODR协议生成,JREQ阶段的中间节点在多层次进行加密获得onion,JREP阶段则使用相同的方法解密搜索通往网格的路由。节点使用One Time PK对路由伪名加密,然后发送至JREP阶段的下一个节点。 本文为各区域的JREQ消息设置一个TTL集来控制消息传播的距离,每个中间节点将TTL值减1。Nonce则是源节点随机生成的字符,用于安全验证。

由于JREQ源节点无法识别签名消息的所属Knot,因此Knot保持了匿名性,然而,簇首使用簇首秘钥则可发现该签名消息的所属Knot,该消息定义如下:

其中f是单向函数,采用单向函数可抵御重放攻击。

(2)算法1(b)为没有收到JREP的处理方法。

如果没有收到JREP消息,节点会重新广播JREQ消息,并增加TTL值,如果仍然没有收到响应,节点则将其自身作为第一个网格成员(即网格的管理者)。网络的总体架构示例如图2 所示,其中包括一个管理者、Knot与路由中继节点。

节点向两个路由均发送一个路由配置消息,将未收到该消息的中继节点(节点伪名)从其路由表中删除,确认消息(响应消息)也是Ptype格式,如下所示:

由于在所有Ptype格式的消息中,节点在接收数据包之前会在其路由表中搜索中继节点的路由伪名Ni,如果找到该伪名,则使用对应的Kseed对其解密。然后,节点将路由的伪名域改为下一跳的伪名,并转发消息。

Kseed是一个128 b的随机数。节点需要寻找其伪名表中的当前Ni值,但是本文算法不断地将已用的Ni值从内存中删除,仅需要维护一些新值,因此本文维护伪名序列的内存开销极低。

1.6 网格的维护

网格管理者向每个Knot发送hello消息,以收集各Knot的状态,hello消息的形式如下所示:

每个Knot使用其统一的路由伪名来转发hello消息,因为hello消息并非周期性的发送,将两个连续hello消息之间的时间差作为一个随机变量(均匀分布于[0,Tm])(见算法2 第2 行),如果在一个指定的时间长度内Knot未收到hello消息,则应该生成一个新的JREQ并重新申请加入网格。

如果一个Knot决定离开网格,首先通知Knot的邻居节点并向该Knot的各链接发送一个离开消息。该Knot的中继节点从其路由表中删除对应的路由伪名:

如果网格管理者决定离开网格,首先必须选择一个新的管理者:首先广播一个JREQ,然后发送一个离开的消息,离开消息格式如下:

收到上述消息的Knot通过发送确认消息转变为新管理者,确认消息格式如下:

最终,确定了新管理者之后,旧管理者则停止发送hello消息。

算法2:mesh(网格)管理者的维护

1.7 数据包转发

若簇首决定向簇内成员发送数据包,首先广播一个JREQ数据包,将其加入网格中,因此对手通过观察加入mesh的信号无法区分簇内发送者与簇内接收者。簇内发送者加入mesh之后,通过发现的路由发送数据包,Knot接收数据包后,向所有的路由转发该数据包(路由表中使用的是伪名),因此,网络中的每个Knot均会收到同一数据包,数据包格式如下:

index是数据包的序号,节点可使用index来记录数据包,其作用为:如果未按正确的顺序接收数据包,对其进行记录。

2 协议性能分析与仿真实验结果

2.1 网格连接性分析

Ano Mul中网格形成过程简单介绍为:第一个mesh成员的节点成为网格管理者,第二个节点之后,每个新成员搜索通往网格最短的两个路由,每个节点重新建立其通往网格的链接。

每个加入的节点及其建立的路由会影响网格连接性与性能。Knot的链接越冗余,mesh链接越丰富。每个链接的建立均伴随着路由开销的增加。本文基于Matlab进行仿真试验,通过调整加入与重新加入操作的数量来分析mesh连接性与开销之间的关系。

设Nr表示每个Knot加入网格时搜索的mesh路由数量,假设一个网络有n个簇成员,各成员依次加入网格中,开始节点随机分布于3 000 m×3 000 m的网络中,各节点在网格中随机移动。在一定数量的hello消息之后,若Knot发现其无法链接至网格,则该Knot重新申请加入网格之中。

mesh的链接性定义为所有Knot链接至mesh的数量,将所有簇成员的数量除以总仿真时间,获得平均值。

Nr=1 是一种特殊情况,表示一个基于树的组播模型。在基于树的组播通信中,每个成员搜索一个通往分簇的路由,基于树的模型带宽利用率较高,但通常无鲁棒性。

如图3、图4 所示为n =30 个成员的情况,图5、图6则是n =60 个成员的情况,4 个统计图分别统计了网格的链接性与路由开销。两个场景的结果均显示:基于树的链接性远低于基于mesh的连接性,尽管,基于树的拓扑建立的开销最低,但其链接性较差。同时可看出,对于密度较高的网络(第二种情况),连接性数值较高,归一化的加入/重新加入开销较低,原因在于节点越多,网格越复杂,连接性越高。

比较Nr=1 与Nr=5 两种场景的仿真结果,可看出最优情况是Nr=2,对于所有网格方案的连接性结果,路由开销随Nr增加而剧烈增加。因此,本文设计的方案为每个加入的成员搜索两个通往mesh的链接,以此优化mesh连接性与路由开销的平衡。

2.2 簇首的位置隐私机制

如果对手可识别管理者的位置,则可通过节点捕获攻击或Do S攻击来使得网格发生故障。随机hello消息间隔时间(非周期)与统一格式的消息类型机制可实现MAno的位置隐私保护。攻击者无法通过hello消息的数据形状识别消息的类型,因为所有数据都是统一的格式(Ptype),由于管理者在时间上随机地发送初始化与hello消息,因此,窃听攻击无法根据簇首消息传输的时间来识别簇首。

本小节分析了MAno管理者的位置隐私,假设攻击者可成功地窃听并跟踪消息。

如果hello消息为周期性广播发送,对手联合足够数量的卧底节点可分析、计算出其周期Th,然后,从一个点开始按照周期逐跳地追踪Ptype数据包,最终可成功地到达簇首。

而对于MAno,即使对手知道如何计算hello的周期(Th∈[0,Tm]),仍然无法从Ptype中区分出hello数据包,因此,对手在追踪数据流的过程中,容易跟随其他的Ptype数据包。本文将hello消息命名为red Ptype,其他类型的Ptype则为black Ptype,显然,red Ptype数据包可将窃听者引导至簇首,但black Ptype会误导窃听者。平均一个节点收到一个red Ptype消息的时间间隔为Tm/2 ,而平均收到black Ptype消息的时间间隔依赖簇内成员的移动程度与节点的数量。假设某个指定节点接收black Ptype数据包的平均时间间隔为Tbs。因此,在某个位置窃听的第一个Ptype数据包是red数据包的概率是Pr= 2Tb/(Tm+ 2Tb),是black数据包的概率是Pb= Tm/(Tm+ 2Tb) 。若干的对手可以在不同的位置窃听网络的数据包,各个窃听者将跟踪至某个受限的小区域,最终,计算机几个小区域的中心点,可估算出簇首的大概位置。

如果没有收到black数据包,即Pb= 0 ,Pr= 1 ,该情况下,任意窃听节点均可追踪数据流并根据最短路径判断出簇首的位置。考虑一个一维空间的随机游走,假设在每一个游走步骤,向目标移动一步的概率是P1,而背离目标的概率是P2,停止不动的概率是1 - P1- P2,因此,每一步是一个随机变量x1,其均值为 μi= P1- P2,方差是 σ2= P1+ P2- μi2= Pb/2 + Pr- Pr2。根据中心极限定理,在多步游走之后(设为l步),游走的最终位置,该位置可通过正态分布估算:。因此,漫步者在l步之后,未到达目标节点的概率是:

式中:D是游走位置与目标之间的起始距离,如果Pb足够高,可在一定的延迟之后成功到达管理者。窃听者接收的第一个black数据包定位上、下、左、右的概率均是Pb/4 ,另一方面,因为hello消息由管理者发出,假设一个节点在每个hello时间间隔成功地接收到来自邻居的消息,显然收到邻居消息的成功率高于其他远距离的节点,因此,窃听的第一个Ptype消息是上一邻居发出的red消息概率是Pr,而从其他三个方向邻居发出的概率是0,如图7 所示。

在真实的二维网络中,因为攻击者跟踪black型消息,因此可根据从其当前位置到簇首的最短路径成功推导出攻击者并定位。但每次发生攻击的位置应当属于相同的概率分布,因此可使用相同的一维网络随机分布,估算攻击者的最终位置分布。因此,该随机游走过程的每一步是一个随机变量,其均值为 μi,方差为 σi2,对手在第l步跟踪之后可到达簇首的概率为:

如图8 所示是窃听者可成功搜索簇首位置的概率,该概率分布是一个关于跟踪hello消息跳数的函数。该图是D =12 的结果,在D跳之后,对手无法搜索到管理者,即使在追踪3 × D跳之后,找到簇首的概率仍然很低。

3 结语

本文设计了一种基于网格的匿名组播安全路由协议,组播路由协议本身对簇首具有较好的匿名保护性,并为簇首发送hello消息设置了随机的发送间隔,为自组织网络的各种消息设计了统一的消息格式,以此保证了本文组播协议的匿名性。此外,本文基于网格对无线网络的分簇进行管理,新节点加入簇时,无需向簇首发送请求即可与簇内成员建立有效的链接与路由,网格管理使得本协议传递效率高,扩展性好,计算成本低。最终经过理论与实验验证,本文匿名组播协议的网络连接性与匿名性均获得了较好的性能,由于本协议的计算成本极低,可适用于各种类型的自组织网络应用。

参考文献

[1]杜君,李伟华,蒋卫华.一种适用于无线自组织网络的安全路由优化算法[J].传感技术学报,2010,23(3):447-452.

[2]张中科,汪芸.无线自组织网络下抵抗内部节点丢弃报文攻击的安全通信模型[J].计算机学报,2010,33(10):2003-2014.

[3]张美平,许力.基于嵌入式马氏链的无线自组织网络性能分析[J].系统仿真学报,2010,22(1):266-270.

[4]TAHERI S,HARTUNG S,HOGREFE D.Achieving receiver location privacy in mobile Ad Hoc networks[C]//2010 IEEE Second International Conference on Social Computing.Minneapolis,MN:IEEE,2010:800-807.

[5]付帅,马建峰,李洪涛,等.无线传感器网络中匿名的聚合节点选举协议[J].通信学报,2015,36(2):88-97.

[6]王颖,王星魁,彭新光,等.高效无线通信匿名认证密钥协商协议[J].计算机工程与设计,2014(12):4120-4125.

[7]MANJULADEVI V,BHARATHI R J.Efficient anonymous geographic ad Hoc routing[C]//2014 International Conference on Electronics and Communication Systems.[S.l.]:IEEE,2014:1-6.

[8]BUTTYAN L,HOLCZER T.Perfectly anonymous data aggregation in wireless sensor networks[C]//2010 IEEE 7th International Conference on Mobile Ad Hoc and Sensor Systems.[S.l.]:IEEE,2010:513-518.

[9]KONG J,HONG X.Anonymous on-demand routing with untraceable routes for mobile Ad Hoc networks[C]//Proceedings of the 4 th ACM International Symposium on Mobile and Ad Hoc Networking and Computing.[S.l.]:ACM,2003:111-117.

[10]MAKKI S K,REIHER P,MAKKI K,et al.Mobile and wireless network security and privacy[M].Germany:Springer Science&Business Media,2007.