（电磁场与微波技术专业论文）无线ad+hoc网络路由安全研究.pdf

1 一 ， 煳卿 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论 文注释：本学位 本人签名： 导师签名： i4 和 代卜 适用本授权书。 日期：竺! 盟! ! 日期：! ! 堡：三：! ， 套 弋 无线a dh o c 网络路由安全研究 摘要 无线a dh o c 网络是一种无预设基础设施的、动态、自组织和多跳 的无线网络。无线a dh o c 网络组网灵活、快速，具有十分广泛的应用 前景。但是由于没有固定基础设施、拓扑结构动态变化、无线信道开 放性强、节点的恶意行为难以检测、网络缺乏白稳定性等原因，无线 a dh o c 网络容易遭到多种类型的攻击。作为a dh o c 网络关键功能的 路由协议的安全性尤为重要，路由协议的安全性一直以来都是a dh o c 网络研究的热点问题。 本文对无线a dh o c 网络的安全问题以及网络中常见的路由攻击 方式进行了详细的阐述，然后论述了当今国内外在该领域的研究现 状，列举了一些安全路由协议并讨论它们的工作原理和各自的优缺 点。 论文在研究了a dh o c 网络路由协议的安全性基础上，提出了一种 基于a o d v 协议的能够抵御黑洞攻击的安全路由协议。该协议在原始 a o d v 协议的基础上加入了路由测试功能，它能够检测出错误的路 由，并由此确定恶意节点的位置。仿真结果表明，该协议能够有效检 测出恶意节点，提高a dh o c 网络的安全性。同时协议简单有效，路由 开销小，这在资源受限的a dh o c 网络具有较强的实用性。 论文还提出了一种基于o l s r 协议的能够抵御虫洞攻击的安全路 由协议。该协议在发现不正常网络拓扑的情况下，对邻居节点的真伪 进行测试，能够有效地发现伪邻居的存在。仿真结果表明，该协议能 够检测出虚假邻居，提高a dh o c 网络安全性。同时协议简单有效，路 由开销小，这在资源受限的a dh o c 网络具有较强的实用性。 关键词：无线a dh o c 网络路由安全黑洞攻击虫洞攻击 1 一、 声 r r r e s e a r c ho nw i r e l e ssa dh o cn e t w o r k s r o u t i n gs e c u i u t y a b s t r a c t w i r e l e s sa dh o cn e t w o r ki sak i n do fd y n a m i c ，s e l f - o r g a n i z a t i o n a n dm u l t i h o pw i r e l e s sn e t w o r kw h i c hh a sn ob a s i ci n f r a s t r u c t u r e b e c a u s et h ee s t a b l i s h i n go ft h en e t w o r ki sf l e x i b l ea n df a s t w i r e l e s sa d h o cn e t w o r kh a sav e r yb r o a da p p l i c a t i o np r o s p e c t m e a n w h i l e ，b e c a u s e o fs o m eo fa dh o cn e t w o r k sc h a r a c t e r i s t i c ss u c ha st h ea b s e n c eo f i n f r a s t r u c t u r e ，f r e q u e n tc h a n g e s i nn e t w o r k t o p o l o g y ，o p e n n e s s o f w i r e l e s s1 i n k s ，h a r d n e s st od e t e c tt h em i s b e h a v i n gn o d e s ，a n dl a c ko f s e l f - s t a b i l i z a t i o np r o p e r t y ，a dh o cn e t w o r ks u f f e r s m a n yk i n d so f a t t a c k s a st h ec o r ef u n c t i o n ，t h er o u t i n gp r o t o c o l s s e c u r i t yt a k e sv e r y i m p o r t a n tp a r t ，a n dn o w t h er e s e a r c ho ni ti sv e r yh o t t h i st h e s i si n t r o d u c e st h es a f e t yt h r e a tf i r s t a n dt h es e c u r i t yi s s u e s a n dt y p i c a la t t a c k sa r es t u d i e di nd e t a i l t h i st h e s i sd i s c u s s e st h ec u r r e n t s e c u r i t yr e s e a r c ho nw i r e l e s sa dh o cn e t w o r k ，a n di ta l s od i s c u s s e s s o m es e c u r er o u t i n gp r o t o c o l s a f t e rs t u d y i n gt h es e c u r i t yi s s u e so ft h er o u t i n gp r o t o c o l s ，w e p r o p o s eas e c u r i t yp r o t o c o lw h i c hi sb a s e do na o d v t or e s i s tt h eb l a c k h o l ea t t a c k t h i sp r o t o c o la d d sr o u t i n gt e s tp r o c e s s ，a n di tc a nd e t e c tt h e w r o n gr o u t i n g t h es i m u l a t i o nr e s u l t ss h o wt h a tt h en e wp r o t o c o lc a n d e t e c tt h em a l i c i o u sn o d e se f f e c t i v e l y , s ot h ep r o t o c o lc a ni m p r o v et h e s e c u r i t yo fa o d v t h ep r o t o c o li ss i m p l ea n de f f e c t i v e ，a n dt h er o u t i n g l o a di sl o w , s oi ti sv e r yp r a c t i c a li nw i r e l e s sa dh o cn e t w o r k a n dw ep r o p o s eas e c u r i t yp r o t o c o lw h i c hi sb a s e do no l s rt o r e s is tt h ew o r m h o l ea t t a c k 。畅e nt h ep r o t o c o lf i n d st h ew r o n gn e t w o r k t o p o l o g y ，i tw i l ld e t e c tt h en e i g h b o r si d e n t i t y t h es i m u l a t i o nr e s u l t s s h o wt h a tt h en e wp r o t o c o lc a nd e t e c tt h ef a l s en e i g h b o r se f f e c t i v e l y , s o t h ep r o t o c o lc a ni m p r o v et h es e c u r i t yo fo l s r t h e p r o t o c o li ss i m p l e a n de f f e c t i v e ，a n dt h er o u t i n gl o a di sl o w , s oi ti sv e r yp r a c t i c a l w i r e l e s sa dh o cn e t w o r k k e yw o r d s ：w i r e l e s sa dh o cn e t w o r k r o u t i n gs e c u r i t y b l a c kh o a t t a c kw o r m h o l ea t t a c k 一、 f a 厂 目录 第一章绪论l 1 1 论文背景l 1 2 研究内容”l 1 3 论文结构2 第二章无线a dh o c 网络概述及路由安全3 2 1 无线a dh o c 网络概述3 2 2 无线a dh o c 网络安全目标4 2 3 无线a dh o c 网络脆弱性分析4 2 3 1 无线a dh o c 网络的漏洞5 2 3 2 无线a dh o c 网络攻击方式”6 2 4 无线a dh o c 网络安全路由协议l o 2 4 1 安全a o d v 协议10 2 4 2 安全d s d v 协议1 l 2 4 3 安全d s r 路由协议l3 2 4 4 安全o l s r 协议1 4 第三章无线a dh o c 网络抵御黑洞攻击研究1 6 3 1 黑洞攻击介绍1 6 3 2 已有安全方案概要1 7 3 3 一种抵御黑洞攻击的a o d v 协议改进方案“1 8 3 2 1 算法设计1 8 3 2 2 算法实现2 0 3 2 3 安全性分析2 2 3 4 仿真分析2 3 3 4 1 仿真环境一2 3 3 4 2 仿真结果”2 4 3 4 3 小结”3 3 第四章无线a dh o c 网络抵御虫洞攻击研究3 4 4 1 虫洞攻击介绍3 4 4 2 已有安全方案概要3 5 4 3 一种抵御虫洞攻击的o l s r 协议改进方案3 6 4 3 1 算法设计3 7 4 3 2 算法实现3 8 4 3 3 安全性分析“4 l 4 4 仿真分析4 2 4 4 1 仿真环境4 2 4 4 2 仿真结果4 3 4 4 3 小结”51 第五章研究结论5 2 5 1 研究结论5 2 5 2 进一步的研究工作5 2 参考文献5 4 致谢”5 8 攻读学位期间发表的学术论文目录5 9 a 、 一 c 北京邮电人学硕 ：学位论文 1 1 论文背景 第一章绪论 无线a dh o c 网络是一种新型的无线移动网络【l 】，它起源于2 0 世纪7 0 年代 的美国军事研究领域，又被称为移动自组网、多跳网络或对等网络。无线a dh o c 网络是由一组带有无线收发器的移动终端组成的一个无基站、多跳、临时自治 网络系统，它由移动节点组成，不依赖于任何固定网络设施，具有自创造、自 组织和自管理的特点。 早期的无线a dh o c 网络研究设定网络环境是友好协作的，研究重点在于 无线信道访问协议、多跳路由协议等之类的问题，但是随着无线a dh o c 网络 的大规模应用，安全已经成为个主要关心的问题。安全一直以来就是无线网 络的一个难点，而且无线a dh o c 网络的独特性又给其安全设计提出了一系列 新的挑战。这些挑战包括开放的网络体系结构、共享无线媒介、苛刻的资源限 制、网络拓扑动态性强等。因此，现有的一些安全解决方案不能直接应用于无 线a dh o c 网络环境，其安全问题需要重新研究。 在任何网络中，无论是有线网络还是无线网络，路由都是一个重要的功能。 但是，这两种网络的路由协议具有完全不同的特点。通常，有线网络的路由协 议不需要处理系统中节点的移动问题，此外，在通常情况下，有线网络具有较 高的带宽，设计路由协议时也不需要考虑通信开销，而且有线网络的路由协议 可假设执行在可信的网络实体，比如路由器等。但是在无线a dh o c 网络中， 情况则完全不同。无线a dh o e 网络的基本特点是节点的移动性，设计这种网 络的路由协议时还要充分考虑节点资源受限的情况。a dh o c 网络也没有像路由 器那样可以信赖的网络实体，因为网络中的每个节点都可能参与路由功能，因 此a dh o e 网络具有专门的路由协议。在最近几年中，无线a dh o c 网络的路由 安全问题已经成为一个热门研究领域。 1 2 研究内容 本论文围绕无线a dh o c 网络路由协议的安全问题进行了较为深入和系统 的研究，主要研究工作如下： 1 对无线a dh o e 网络的安全漏洞和可能面临的攻击进行分析，并研究现 有的安全路由协议等。 2 针对无线a dh o e 网络面临的黑洞攻击，本文对a o d v 路由协议进行安 北京邮i 乜人学硕i ：学位论义 全性改进，在原始协议的基础上加入路由测试功能，从而发现恶意节 对路由协议进行了仿真验证。 3 针对无线a dh o c 网络面临的虫洞攻击，本文对o l s r 路由协议进行安 全性改进，在原始协议的基础上通过发现异常拓扑并进行测试，从而发现虚假 邻居的存在，论文对路由协议进行了仿真验证。 1 3 论文结构 全文共分为五章，论文的结构安排如下： 第一章介绍了本论文所研究内容的背景及意义，本领域的研究现状，研究 目标及主要工作。 第二章首先介绍无线a dh o c 网络及其关键技术，接下来介绍无线a dh o c 网络面临的安全威胁、基本安全概念等方面的研究现状，最后分析了无线a d h o c 网络常见路由协议的漏洞，并研究了现有的安全路由协议。 第三章对黑洞攻击进行详细分析，介绍国内外已有的安全解决方案，并对 a o d v 路由协议进行改进，提高a o d v 协议的抗黑洞攻击安全性，并对改进协 议进行仿真验证，对仿真结果进行全面的分析。 第四章对虫洞攻击进行详细分析，介绍国内外已有的安全解决方案，并对 o l s r 路由协议进行改进，提高了o l s r 协议的抗虫洞攻击安全性，并对改进 协议进行仿真验证，对仿真结果进行全面的分析。 第五章为结束语，总结了本文所做的工作，并阐述了下一步的研究方向。 2 7 。 f ， 北京4 阱乜人学硕f 学位论文 第二章无线a dh o c 网络概述及路由安全 2 1 无线a dh o c 网络概述 无线a dh o c 网络是一种不需要依靠固定通信网络基础设施，能够快速展 开使用的自组织、自愈的网络【2 】【3 1 ，各个网络节点相互协作，通过无线链路进行 通信；网络节点能够动态地进入和离开网络，不需要事先示警或通知，而且也 不会破坏网络中其它节点的通信。无线a dh o e 网络节点既作为路由器又作为 主机【4 】，能够通过数据分组的发送和接收而进行无线通信。网络节点在网络中 的位置是快速变化的，缺少通信链路的情况也是经常发生的。 与其它无线网络相比，无线a dh o c 网络具有如下特点【5 】： 1 动态拓扑； 2 无中心和自组织； 3 多跳路由； 4 特殊的无线信道特征； 5 主机能源有限； 6 安全性差。 路由是无线a dh o c 网络的核心功能，a dh o c 网络要求路由协议必须采用 分布式操作，能够尽量支持单向链路，避免路由环路现象，而且应该尽量的简 单，能够支持节点的休眠操作以节省电源，能够提供安全性保护等机制。根据 发现路由的驱动模式的不同，可以将a dh o e 网络路由协议分为表驱动路由协 议( t a b l ed r i v e np r o t o c o l s ) 和按需路由协议( s o u r c e i n i t i a t e do n d e m a n d p r o t o c o l s ) ( 6 】。 表驱动路由协议又被称为先验式或主动式路由协议( p r o a c t i v ep r o t o c o l s ) 。 这种路由协议试图维护网络中从各个节点到所有其它节点的最新路由信息，所 有路由信息保持一致。每个节点都维护一张或几张到其它节点的路由信息表。 当网络拓扑结构发生变化时，节点通过交互信息来实时地维护网络路由信息表。 目前常见的表驱动路由协议有d s d v 协议和o l s r 协议等。在先验式路由协议 中，由于每个节点都需要实时地维护路由信息，这就造成在网络规模较大、拓 扑变化较快的环境中，大量的拓扑更新消息会占用过多的信道资源，使得系统 效率下降。 按需路由协议又称为反应式路由协议( r e a c t i v ep r o t o c o l s ) 。它是一种被动 想。路由信息在一些情况下也必须保密，因为这些信息可能被恶意用户用来识 别和确定目标的位置，造成不必要的破坏。 3 完整性：完整性保证信息在发送过程中不会被中断，并且保证节点接收 的信息与发送的信息完全一样。数据的改变可能是由于偶然因素，如无线链路 的异常，也可能因为对手的攻击等恶意因素。如果没有完整性防护，网络中的 恶意攻击可以通过插入、删除、替换等方式使信息遭到破坏。此外还要考虑存 储在用户设备中的数据完整性，防止数据被篡改。 4 安全认证：安全认证的目的是使每个节点能够确认与其通信的节点的身 份，同时要能够在没有全局认证机构的情况下实施对用户的鉴别。在a dh o e 中有两种认证类型，即实体认证和数据认证。 5 抗抵赖性：抗抵赖性可以用来确保一个节点不能否认它发出的信息，它 对检查和孤立被占领节点具有特别重要的意义。 2 3 无线a dh o e 网络脆弱性分析 无线网络通过无线信道通信时，发送信号和接收信号通过空气传播。因此， 任何位于信号发送节点传输范围内且知道无线工作频率以及其他物理层特性 ( 如调制、编码等) 的节点，都能够在发送节点和预期的接收节点察觉不到的 4 北京邮电人学硕 ：学位论文 情况下解析无线信号。无线信道的开放性使得恶意攻击者能较有线网络更容易 地对a dh o c 网络发起攻击。 另外现有的安全技术大部分面向静态的有线网络，这些安全技术常常依赖 于网络中的通信阻塞点。安全设备放置在这些通信阻塞点上，通过检查通信数 据发现可疑行为、执行安全策略或视需要进行安全响应。a dh o c 网路中由于节 点的移动导致网络拓扑结构频繁变化，使得有线网络的安全技术无法运行。此 外，传统的安全解决方案也要依赖于一些处于中心位置的设备进行网络安全管 理，而由于无中心和自组织的特性使得传统的安全解决方案同样不适合于无线 a d h o c 网络。 由于无线网络的固有特点和通信使用的无线传输链路，使得a dh o c 网络 容易遭受多种类型的攻击。加密和授权机制可以极大弥补使用无线链路的弱点。 但由于无线a dh o c 网络没有基于基础设施的资源，如稳定的电源、高带宽、 连接持续和固定的路由等，所以a dh o c 网络很容易遭到各种攻击。 2 3 i 无线a dh o c 网络的漏洞【9 】 无线a dh o c 网络存在多个方面的漏洞，例如在路由、无线信道或者自动 配置机制等。a dh o c 网络的建立要求节点间完全信任。在路由方面，数据包在 网络中正确地传送要依赖于其它节点提供真实的信息。如果某一个节点发出虚 假的路由信息将可能使整个网络节点的路由表中产生大量的虚假路由信息，使 通信受到阻碍。而且，由于a dh o c 网络的通信是基于逐跳路由的，因此需要 网络中所有中间节点协调一致才能完成。如果其中有一个恶意节点拒绝合作， 它只需要简单地阻塞路由信息、修改或丢弃通过它的通信信息就可以完成。通 过路由欺骗或选取占据至关重要的地理位置，一个节点就能控制整个网络的通 信。 无线信道使得a dh o c 网络极易受到攻击，攻击方式有被动窃听和主动干 预。攻击者只需位于某个节点的无线传输范围内就可拦截网络流量。无线a d h o c 网络设计十分强调节点间协作，因为这些协议遵循预定义的过程访问无线 信道，一个异常行为的节点很容易改变协议行为，从而导致拒绝服务攻击。 自动配置机制也会造成漏洞。无论是否使用i c m p 路由器公告，邻居询问 消息和简单d h c p 自动配置消息，都容易遇到虚假应答。这些处理过程利用网 络中节点提供的信息计算一个i p 地址或者验证某个特定i p 地址是否被使用。 恶意节点可能使用伪装其它节点的i p 地址等手段造成地址冲突，达到其攻击目 的。 a dh o c 网络自身的特点也增加了网络的漏洞。例如，a dh o c 网络节点由 北京邮电人学硕一l ：学位论文 于处理器频率低和内存容量小，所以网络的计算能力有限。另一个主要限制 电源能量使用限制，这意味着攻击者通过消耗合法节点的电源能量很容易发 拒绝服务攻击。另外，a dh o c 网络节点很容易被物理捕获，这将导致密钥暴露。 而且，无线a dh o c 网络存在诸多不确定性因素，使得难以分辨网络恶意行为 和正常行为。例如，极高的丢包率可能是由于无线链路本身的物理特性造成的， 引发的数据包的丢失可能并不意味着网络攻击；节点在网络中时隐时现可能是 由于节点的移动和电源限制导致的，而不是遭到了网络攻击。 a dh o c 网络也同样存在着有线网络的一些漏洞，例如被动窃听、欺骗、重 放和拒绝服务等。a dh o e 网络的拓扑结构由地理位置和节点的无线辐射范围决 定，所以它没有明确定义的物理边界，也没有确定的网络接入点( a p ) 。这样 在无线a dh o c 网络中实施传统的局域网防火墙那样的网络访问控制就很困难。 无线a dh o c 网络因其开放性的传输介质、动态变化的网络拓扑、节点间 协作算法、无集中的监控和管理点和缺乏清晰的防御边界等弱点，使得它的安 全性不高，极易遭到各种攻击。下面一节将介绍针对无线a dh o c 网络的攻击 方式。 2 3 2 无线a dh o c 网络攻击方式 无线a dh o c 网络的攻击者可以分为两类，一类从网络外部直接攻击或者 不经过授权就加入网络，这些节点被称为局外人。一般可以使用加密技术验证 其它节点的身份以防范局外人攻击。另一类是来自网络内部授权节点的攻击， 这些节点叫做内部人。内部人节点可能会因为受到非授权用户通过某种形式的 远程渗透或被恶意用户物理俘获而发动攻击。 下面介绍无线a dh o e 网络面临的攻击方式。 1 路由攻击【l 叫 路由攻击是对手对路由协议或路由表进行攻击，比如传播伪造的路由信息 等。通常，路由协议很容易遭到恶意节点的攻击，这是由于路由协议在设计时 通常只考虑性能方面而忽视了安全问题，所以极易受到节点不正常行为的影响。 无线a dh o e 网络的路由协议更容易受到影响，因为无线a dh o e 网络路由协议 以最小化开销和允许每个节点都参与路由过程为协议设计基本目标。追求路由 协议的高效率必然会增加协议的风险性，而协议缺乏冗余知识导致单个节点的 行为会大大影响协议运行。 无线a dh o c 网络网络层的主要功能是网络路由和数据分组转发，这两种 功能互相配合，实现把数据从源节点传输给目的节点。a dh o c 网络路由协议在 移动节点之间交换路由消息、从而在每个节点维护路由状态。已建立起的路由 6 ，i 广 北京邮电人学硕i j 学位论文 上的中间节点根据路由状态，将数据分组转发给目的节点。但是，路由操作和 分组转发操作容易遭到恶意攻击，导致网络层的各种故障。路由攻击指的是不 遵循路由协议规范的路由更新广播的操作。具体攻击操作方式由无线a dh o c 网络应用的路由协议决定。下面介绍常见的路由攻击方式。 ( 1 ) 欺骗：一个恶意节点冒充另一个节点的身份，进而接收所有发送给合 法节点的数据包并且广播虚假路由信息等。防止欺骗的一个方法是要求每个网 络节点对每条路由消息都必须进行签名，这样就可以有效防止路由欺骗攻击， 但是，这样做会增加带宽开销以及节点的c p u 使用率，造成网络性能下降。 ( 2 ) 篡改路由包：这种路由攻击方法截获并篡改路由消息，导致其它节点 被误导。例如，a o d v 路由协议中路由消息的序列号表示新鲜度，恶意节点可 以通过修改序列号发动篡改路由包攻击，使得新鲜的路由广播报文被忽略。篡 改路由消息的恶意节点一般很难被探测到。如果要求每个节点对每个路由消息 进行签名可以有效防止此类攻击。这样，即使恶意节点修改了路由消息，由于 其篡改的路由消息没有被正确签名，其它节点能够通过验证签名的正确与否发 现被非法修改的路由消息，从而避免被误导。 ( 3 ) 包丢弃：在无线a dh o e 网络中，每个节点的都需要负责转发数据包， 如果一个节点向其它节点广播路由消息，然后将收到的数据包丢弃而不是根据 路由公告将数据包发给下一跳，这时此恶意节点就发动了包丢弃攻击。a dh o c 网络依赖于每个节点参与的路由信息来转发数据包，如果节点不转发数据包， 网络将无法正常运行，尤其是恶意节点处在网络关键位置时。包丢弃十分难检 测，因为节点也可能因为一些合法原因而丢包，而且无线链路的特点也使得数 据的传输不是十分可靠。包丢弃攻击中有一种选择性包丢弃，恶意节点丢弃包 含路由消息的数据包，这种专门针对路由的包丢弃是一般性包丢弃攻击的特例。 ( 4 ) 自私节点：无线a dh o e 网络的路由依赖于每个节点参与路由。在某 些情况下，节点可能不参与路由过程。比如，节点因为电池能量不足而不参与 路由过程。但是如果很多节点都这样做的话，那么无线a dh o c 网络将发生故 障并且无法运行。自私节点在使用网络服务来转发自己数据包的同时，却不转 发或极少转发其它节点的数据，它的攻击方式可以是直接丢弃其它节点请求转 发的数据包，造成网络很大的丢包率，它还可以操纵路由协议，防止网络中出 现以自私节点为中间节点的路由，这种方式较难被察觉。 ( 5 ) r u s h i n g 攻击j ：又叫抢占式攻击，这种攻击方式影响反应式路由协 议。攻击者突然向目的节点发送大量路由包，导致路由产生问题。在反应式路 由协议中，一个节点需要知道到某个目的节点的路由时，它将在整个网路中泛 洪路由请求数据包。这种路由请求数据包以可控方式在网络中泛洪。因此，每 7 北京邮电人学硕1 ：学位论义 个节点仅仅转发第一个路由请求数据包，而丢弃后续的请求包。 用反应式路由协议的这一特性加以利用。攻击者通过向目的节点 请求包来发动攻击。这样，收到该抢先发送路由请求包的节点， 进行转发并忽略后续到达的路由请求，导致最终的路由可能包含 种攻击很容易发动，攻击者只需要比合法节点更快速地转发路由 攻击者可以通过形成虫洞或者忽略接收和转发路由请求数据包的 占，这个延时是路由协议为了避免路由请求包的碰撞而设置的。攻击者也可以 选择忽略路由协议指定的访问无线信道延迟来完成抢占。 防御抢占式攻击的最简单方案是随机选择路由请求包。采用此方案时，节 点可以接收某个门限值数量的路由请求，然后节点从收到的路由请求中随机选 择一个并向外转发。值得注意的是，此时同样要有一个超时时限，以使节点在 这个时间内即使没有收集到门限数量的路由请求时，仍然可以从收到的路由请 求中选择一个并转发。这种方法的缺点是增加了路由发现的时延。 ( 6 ) 黑洞攻击【1 2 j ：恶意节点想拦截某个节点的通信时，即使它没有到达被 攻击节点的路由，也利用路由协议向其他节点广播自己具有到达被攻击节点的 最短路由。接下来，攻击者将发往被攻击节点的信息接收下来，并可以选择丢 弃数据包以发动拒绝服务攻击，或者利用自己在路由中的位置，采用中间人攻 击将数据包重定向到伪装的目的节点。 ( 7 ) 虫洞攻击【1 3 j ：在这种攻击中，对手密谋将路由和其它数据包进行带外 传输( 使用不同频段) 。这将干扰路由协议的正常运行。虫洞攻击通常至少需要 a dh o c 网络中两个串通的节点。为了使攻击有效，这些恶意节点在地理位置上 相分离。虫洞攻击的方式是某个恶意节点从一个位置捕获数据包，然后通过隧 道方式将数据包发给另一个恶意节点，一般两个恶意节点有一定的距离，然后 第二个恶意节点在本地重放数据包。虫洞攻击会破坏网络拓扑，造成路由协议 错误执行。 ( 8 ) 重放攻击( r e p l a ya t t a c k ) 瞵j ：重放攻击属于假冒型攻击，恶意节点截 获a dh o c 网络中的某个路由请求分组，在一定时间后重放该分组。由于路由 请求分组本身是一个合法分组，网络中其它节点不容易识别，从而导致该过期 的无用分组消耗大量的网络资源。重放攻击对某些安全路由协议依然有效，因 为消息分组是合法节点的，所以可以通过验证。防止重放攻击的有效方案是保 证消息的新鲜性，例如在消息中加入时间戳，节点在收到过时的消息后一律丢 弃。 ( 9 ) 路由表溢出攻击( r o u t i n gt a b l eo v e r f l o wa t t a c k ) 8 l ：节点的路由表容 量是有限的，如果恶意节点频繁地发送大量的路由请求分组和路由更新分组， 北京邮电人学硕l ：学位论文 恶意节点的邻居节点不得不频繁更新其路由表，最终会使周围节点路由表溢出。 而且网络中充满这些分组，无线信道资源就会被大量占用，导致网络堵塞，网 络性能下降，而且控制分组的优先级较数据分组高，影响正常通信。这种攻击 常用于对关键节点的攻击。 ( 1 0 ) 女巫攻击( s y b i la t t a c k ) 1 6 】：女巫攻击是单个节点冒充多个节点的 身份进行的攻击，这些不同的身份可以同时使用或在某一段时间内陆续使用。 女巫攻击可以影响多径路由，即一组本来不相交的路径可能都经过同一个恶意 节点，因为恶意节点使用多个身份。它也可以影响数据聚集，即同一个节点可 以以不同身份贡献多条知识，另外a dh o e 网络的公平资源分配机制也会受影 响。一般基于信任、选举等的机制都会受到女巫攻击的影响。 2 睡眠剥夺【1 5 j 无线a dh o c 网络中节点电源的使用时间是网络的重要参数，节点一般只 有在必要时才进行数据传输以节省电量。睡眠剥夺攻击就是攻击者为了消耗节 点的电池电量而故意不断与之进行通信。比如，攻击者不断对该节点进行路由 查询，不断转发不必要的数据包，或者通过扰乱路由将大量的通信信息路由到 该节点以消耗电量。 3 拒绝服务攻击( d e n i a lo f s e r v i c e ) 1 6 1 无线a dh o c 很容易遭到拒绝服务攻击，大量非法通信覆盖通信频率，使 得合法的通信无法到达客户端及无线接入点。拒绝服务攻击可以发生在无线a d h o c 网络物理层、m a c 层、网络层以及网络应用程序中。d d o s ( 分布式拒绝 服务攻击) 是d o s 攻击的一种特例，即攻击者控制一批傀儡主机对目标节点发 起的拒绝服务攻击，这种攻击方式由于不是恶意节点直接进行攻击而是控制其 它主机进行的，使得其更难以检测。 4 窃听 当一个节点通过无线传输介质发送消息时，该节点无线传输范围内任何一 个拥有适当无线电收发器的人都可以对消息解码并获得敏感信息，且发送者和 预期的接收者都无法判断是否被窃听。防止窃听攻击，可以在链路层使用加密 方案来保护数据的隐私性。 5 位置暴露 位置暴露会泄露节点的位置信息和网络的结构信息。攻击者可以获得与目 标节点相邻的其它节点信息或者一个节点的实际位置，最终，攻击者知道哪些 节点位于到达目标节点的路由上，如果获知一些中间节点的位置，那么就可以 确定目标节点的位置，导致目标节点受到攻击。 6 通信量分析 9 北京邮电人学硕：l ：学位论文 攻击者提取有关通信特征，包括传输的数据量、通信节点的身份以及通 节点的位置等。 2 4 无线a dh o c 网络安全路由协议 接下来讨论几种a dh o c 网络常见路由协议的安全问题。另外，我们还将 阐述增强这些协议安全性的一些举措，即安全路由协议，这些安全路由协议通 常是一些经典路由协议的扩展，即在这些基本的路由协议上添加不同的安全属 性。 2 4 1 安全a o d v 协议 a o d v ( a dh o co n d e m a n dd i s t a n c ev e c t o r ) 协议是一种反应式路由协议【r 丌。 它是d s r 和d s d v 协议的结合，它借用了d s r 的路由发现策略及d s d v 的逐 跳路由、序列号和定期广播机制。a o d v 路由协议提供对动态链路状况的快速 自适应，处理开销和存储开销低，网络利用率低，路由控制开销低。 a o d v 协议本身没有任何安全机制【i 引，因此恶意节点可以发动多种攻击。 在a dh o c 网络中，针对a o d v 路由协议的攻击方式主要可以分为被动攻击和 主动攻击两大类。 下面是几种针对a o d v 协议进行攻击的具体例子，例如，恶意节点可能冒 充其它一些节点，并伪造一条r r e q 消息，使该消息看起来好像是被模仿节点 发出的。此外，恶意节点也可以对其转发的r r e q 减少跳数，而不是增加消息 的路由跳数，这将导致恶意节点的路径看起来最短，进而使所有数据包传输的 时候都会经过该恶意节点。恶意节点也可以让自己假装成目的节点或者假装自 己有通往目的节点的路由，随后可以通过伪造r r e p 消息，确保所有发往目的 节点的消息都发送到该恶意节点。恶意节点也可以选择不转发r r e q 和p r e p 消息，导致路由不是最优的。恶意节点还可以伪造r e r r 消息或者选择不转发 真正的r e r r 消息。r r e q 消息包括源和目的序列号，序列号单调递增以避免 过时的缓冲路由对网络造成影响，恶意节点可以增加序列号的值以冒充有更加 新鲜的路由，使数据流向恶意节点。 安全a o d v 协议( s e c u r ea o d v ，s a o d v ) 1 1 9 】【2 0 】是a o d v 协议的安全版 本。s a o d v 提供了一些安全特性，如路由数据的完整性、认证以及不可否认 性。s a o d v 协议有两种方法提高协议安全性。第一种是节点需要对消息进行 签名，如r r e q 、r r e p 。这样其它节点可以对消息来源进行验证，而且这样也 可以保护消息内容，使它们不被篡改。对路由消息进行签名意味着每个节点需 要拥有使用非对称密码算法的密钥对。但是r r e p 和r r e q 消息的跳数域需要 1 0 北京邮电人学硕上学位论文 被路由上的节点修改，这时可以使用第二种方法保护这些易变消息，即使用哈 希链。s a o d v 对基本的消息进行了扩展，提高了协议安全性。其中类型字段 指定消息类型，长度字段定义扩展消息的长度，哈希函数字段指示了选定的哈 希函数，最大跳数字段由r r e q 的发送节点赋予t t l 值，哈希极点字段是对一 个随机选取的数值( s e e d ) 做最大跳数次运算所得，签名字段包括源节点对整 个s a o d v 消息的签名，哈希值字段初始值为随机数s e e d 。采用哈希链不需要 时间同步，对节点的存储量也没有很高的要求，对跳数字段十分合适，这样就 保护了这些易变消息。目前，s a o d v 草案没有给出具体的签名算法，而常见 的签名算法( 如r s a ) 效率不高，所以s a o d v 协议的研究热点在于改进对非 易变域的公钥签名算法。s a o d v 协议的优点是由于采用双签名机制，可以有 效保证中间节点回复路由请求的安全性。s a o d v 协议的缺点是节点需要了解 其它所有节点的公钥以用于签名认证，计算开销较大。 a r a n 协议【2 l 】适用于反应式路由协议，如a o d v 和d s r 协议。它是一种 使用公钥证书和公共c a ( c e r t i f i c a t i o n a u t h o r i t y ) 来实现认证的安全路由协议。 a r a n 要求有可信的c a 来发放和撤销公钥证书，每个节点加入网络前必须从 c a 获取公钥证书。a r a n 协议进行路由发现时，源节点发出一个签名的路由 请求消息，消息中带有自己的公钥证书，邻节点验证源节点的签名，如果通过， 对路由请求消息做出相应修改，对其签名并附上自己的证书，再转发给它的邻 居节点。随后每个中间节点验证前一节点的签名，然后用自己的签名和证书替 代上个节点的签名和证书。路由请求消息到达目的节点后，目的节点验证签名， 然后产生路由应答消息，源节点收到路由应答消息后验证目的节点的签名，如 果正确接收其路由。路由发现中断时，发现中断的节点产生路由错误消息，签 名后发送到源节点。 s a r 协议需要用户划分路由协议的安全等级。节点被指定为某个信任值， 只有信任节点可以参与路由。源节点发出一个包含安全属性和信任等级的 r r e q 消息，只有满足安全等级的节点可以参与路由，不满足的需丢弃r r e q 消息。如果满足安全等级的路由不存在，则源节点需重新选择安全等级以寻找 路由。为了防止用户自行获得其它安全等级的优先权，协议对用户的身份和信 任等级进行绑定，并采用密钥技术保证用户遵守信任等级。s a r 可以有效地阻 止外部攻击，但较难防御不可视节点的攻击。 2 4 2 安全d s d v 协议 d s d v ( d e s t i n a t i o ns e q u e n c e dd i s t a n c e v e c t o rr o u t i n g ) 路由协议是一种无环 路距离矢量路由协谢2 2 1 ，它由传统的b e l l m a n f o r d 路由协议的改进，是一个基 北京邮l 乜人学硕l ：学位论文 于表驱动的路由协议，它最大的优点是解决了传统距离矢量路由协议中的无穷 环路问题。 d s d v 协议可以保证没有环路路由，但协议的操作执行需要依赖可信节点。 一个恶意节点就可以破坏协议的正常工作。针对d s d v 协议的攻击方式有很多， 恶意节点可以发送一个带有错误m e t r i c 的路由更新消息。例如，它可以假装自 己离某个目的节点比实际上更近；它也可以操纵路由更新消息中同每个目的节 点关联的序列号，删除那些更新鲜的路由。因此，d s d v 协议的安全需要通过 保护路由更新时的消息传送来强化。 为了改善d s d v 路由协议的安全性，国外的研究人员提出了s e a d 2 3 1 、 s u p e r - s e a d 2 4 】和s - d s d v i 2 5 】等安全路由协议，下面进行简要阐述。 s e a d 协议加入了检测机制，对序列号和m e t r i c 的攻击可以通过对d s d v 发出的路由更新消息进行认证加以解决。s e a d 可以防止恶意节点对发送的路 由更新消息，也可以防止故意增加其序列号或减少消息中与目的节点关联的 m e t r i c 值，s e a l 3 协议使用单向哈希链来进行认证。由于单向哈希链的特点，