MANET安全路由协议研究进展

Komal Khedkar, Shubham Joshi

印度马哈拉施特拉邦浦那市，D.P.C.O.E.瓦格霍里市，高等教育学院，医学硕士
助理教授，印度马哈拉施特拉邦浦那，D.P.C.O.E. Wagholi

摘要

移动自组织网络(MANET)是一种自配置、多跳无线网络的集合。由于MANET的移动性和动态性，网络不安全。由于MANET自身的特点，它更容易受到不同类型的攻击和安全威胁。移动Ad hoc网络中的路由协议应该是安全的，能够抵御来自内部和外部的攻击。manet中的大多数路由协议都假定网络中的所有节点在向其他节点转发数据包时将相互协作。但是中间节点可能会出现拒绝转发报文、从报文中提取有用信息或修改报文内容等问题。这样的节点称为恶意节点。一种临时的安全路由方法应该通过应用适当的加密技术来防止外部攻击者来解决MANET中的这些问题。通过应用入侵检测系统(IDS)，可以防止内部攻击者。本文讨论了以前使用的各种路由协议。 Analysis is done by considering various previously used mechanisms used by those protocols and aim is to find out one new authentication based approach for secure routing.

关键字

移动自组织网络，恶意节点，入侵检测系统，安全路由，密钥管理。

介绍

移动自组织网络是由多个具有计算和通信能力的移动节点组成的典型的多跳无线网络。MANET的每个节点既可以作为发送方，也可以作为接收方，有时也可以作为路由器。

MANET中的大多数路由协议都假定网络中的节点在向其他节点转发数据包时相互合作。但是中间节点在数据传输过程中可能会产生一些问题，如提取有用信息报文、拒绝转发报文或修改报文内容等。这样的节点称为行为不端的节点或恶意节点。这可以通过使用密码学验证所有路由控制数据包来防止，这样外部攻击者就不能参与路由发现过程。

高效路由协议的数量[2]~[9]基于上述策略。密钥管理是密码生成和分发密钥所必需的。但是所有这些基于认证的安全路由协议都需要底层密钥管理机制的支持，在节点之间分发可信密钥，节点之间交换路由控制报文。

基于身份验证的安全路由控制协议依赖于底层密钥管理协议。但在manet中，一些现有的密钥管理协议也依赖于安全路由来实现其功能。这就产生了安全路由密钥管理循环相互依赖的问题。因此，基于身份验证的安全路由协议应该使用不依赖于安全路由[2]，[6]，[8]的密钥管理机制。

MANET中的节点很容易被捕获，因此，无法阻止持有有效密钥的恶意节点参与路由发现过程。因此，可以通过使用入侵检测系统[10]、[11]来防范此类内部攻击者。

本工作的目的是研究MANET中不同的基于认证的安全路由协议和基于入侵检测的安全路由协议的优缺点。

文献调查

在manet中，安全路由协议基本上有两种类型，A)基于认证的协议和B)基于入侵检测系统(IDS)的协议。基于认证的协议主要用来防御外部攻击者，基于入侵检测系统的协议主要用来防御内部攻击者。

SR-LKM协议[1]使用了一种本地化的密钥管理机制，在这种机制中，网络节点只在其一个希望邻域内执行所有的密钥管理活动，如密钥的建立、更新和撤销。该协议使用的本地化密钥管理方法不依赖于任何路由协议。因此，它没有密钥管理-安全路由相互依赖的问题。它采用了一种新颖的基于握手的广播密钥分发机制和基于LCM的广播密钥分发机制，实现了轻量化。它可以在基于监视的撤销机制的帮助下防止内部和外部攻击者。它的每个节点存储需求不依赖于网络中的节点总数，因此它是存储可扩展的。

SELRAN[2]使用数字签名来保证路由消息的认证和完整性，并对抗恶意更改等外部攻击。但是内部攻击不能通过使用纯加密原语来应对。因此，提出了更复杂的安全链路状态更新程序(SLSUP)和安全邻居建立程序(SNEP)来检测它们。该协议还采用了基于计数器的机制来减少LSU报文的广播开销，使其在资源约束环境(如ad hoc网络)中更加有效。该协议的缺点是使用计算量大的数字签名来验证路由消息，因此不适合资源约束的manet。

ARAN[3]使用公钥加密机制来击败所有已识别的攻击。他们还展示了ARAN如何在路由环境(其中节点被授权参与但不受信任合作)以及参与者不需要被授权参与的环境中是安全的。该协议还使用了计算量大的数字签名来验证路由消息，不适合资源约束的manet。

Panagiotis Papadimitratos和Zygmunt J. Haas提出了提供安全主动拓扑发现的SLSP[4]。当与响应式路由协议结合使用时，它可以作为独立协议使用，也可以自然地适合混合路由框架。SLSP对单个攻击者具有鲁棒性，它能够在本地和网络范围的拓扑发现之间调整其范围，并且能够在拓扑和成员频繁变化的网络中运行。该协议的缺点是它只关心拓扑发现的安全，也不能保证在路由发现期间遵守其操作的对手不会在以后的时间试图破坏实际的数据传输。

SRDP[5]允许源端使用聚合消息验证码(mac)或多重签名安全地发现到目的地的经过身份验证的路由。聚合是必不可少的，因为它允许压缩认证标签，从而节省带宽和降低验证成本。它采用正向认证和反向认证的方式对路由进行认证。在此协议中，源节点必须验证所有附加了由中间节点产生的路由应答(RREP)消息的mac。因此，随着路由长度的增加，源节点的验证成本也会增加。

密钥管理(KM)和安全路由(SR)是manet的两个最重要的问题。安全路由确保在网络周围或网络内部存在敌对节点的真实节点之间成功路由。密钥管理提供了密钥生成和分发方法，以及理想情况下的密钥保护和撤销。KM-SR[6]使用基于身份的加密技术(IBC)，并提供机密性、完整性、身份验证、新鲜度和不可抵赖性等安全特性。它是安全的，因为使用1-to-m广播密钥而不是只有一个组广播密钥，并且由于使用非对称密钥而不是成对对称密钥，每个节点存储的密钥更少。由于IBC的特性，与PKI解决方案相比，存储和通信需求更低。与以前的IBC解决方案相比，它没有KM-SR相互依赖循环问题，并且对内部攻击、移动攻击和许多路由攻击免疫。它使用计算量大的数字签名来验证路由消息，因此不适合资源约束的manet。

HEAP[7]和SEAODV[8]协议使用对称密钥加密对路由控制报文进行认证。在HEAP协议[7]中，节点通过使用公钥证书与新邻居交换密钥。过度使用公钥证书进行密钥管理是该协议的一个缺点。在SEAODV协议[8]中，每个节点分发一个组瞬态密钥(group transient key, GTK)，该密钥分配机制占用了大量的带宽。

在有损信道上多播流的高效认证与签名方案[9]中，提出了两种有效方案:TESLA (time Efficient Stream Loss-tolerant Authentication)和EMSS (Efficient multi -链式流签名)。TESLA提供发送方身份验证、强大的损失健壮性、高可扩展性和最小的开销，代价是松散的初始时间同步和稍微延迟的身份验证。EMSS提供了不可否认的来源，高抗损失和低开销，代价是稍微延迟验证。

IDS协议被设计用来检测内部攻击者。IDS协议分为三类:基于行为的IDS协议、基于签名或模式的IDS协议和基于规范的IDS协议。

Marti等人[10]提出了一种基于行为的看门狗机制，每个网络节点都可以监听所有邻居的传输，以检测它们的路由错误行为。但看门狗机制的缺点是它只能与动态源路由(DSR)一起工作，监视从源到目的路径上的转发节点。他们在《移动自组织网络的入侵检测与响应》[11]中提出了一种基于数据包窥探的网络入侵检测机制，用于检测移动自组织网络中的异常行为。他们提出了被动和主动两种反应机制。在被动响应中，如果一个节点发现了任何入侵节点，那么它就会发出警报，并将该入侵节点从邻居表中移除，并且不再参与路由发现、Hello Messages或与入侵节点的协作路由。当一个节点在活动响应中发出警报时，该节点将该警报转发给它的所有集群头。然后集群头启动投票方案并主动响应入侵。但是，如果大多数簇头实际上是恶意节点，投票方案可能会失败。在这种入侵检测机制中，不能确定错误路由，但是对数据包的任何修改或数据包的丢弃都可以很容易地识别和记录。

结论

移动自组织网络由多个具有计算和通信能力的移动节点组成，每个节点既可以作为发送方，也可以作为接收者，同时还可以作为路由器。为实现安全通信，设计了不同的路由算法。由于这是一个非常广阔的领域，我们只调查和总结了不同的基于认证的安全路由协议和基于入侵检测的安全路由协议。每种安全路由协议都有各自的优点和缺陷。进一步的研究可以找到最佳的最佳路由方法，这将有希望在能源效率方面，并考虑到优化和修复路径，以减少跳数，同时提供安全性。

确认

衷心感谢审稿人对本文的审阅，为大大提高论文质量提供了投入。

参考文献

Shrikant H Talawar, SoumyadevMaity和R. C. Hansdah，“基于集成本地化密钥管理协议的manet安全路由”，国际先进信息网络与应用会议，第605-612页，2014。

L. Chen, J. Leneutre，和J. J. Puig，“一种安全高效的自组织网络链路状态路由协议”，在国际无线与移动通信会议(ICWMC)论文集，36-36页，2006。

K. Sanzgiri, D. LaFlamme, B. Dahill, B. Levine, C. Shields，和E. Belding-Royer，“ad hoc网络的认证路由”，《IEEE通信选定领域杂志》，第23卷，no. 1。3，页598- 610,2005。

P. Papadimitratos和Z. J. Haas，“移动自组织网络的安全路由”，《SCS通信网络和分布式系统建模与仿真会议(CNDS)论文集》，第193-204页，2002。

J. Kim和G. Tsudik，“Srdp: manet中动态源路由的安全路由发现”，《第二届移动与泛在系统国际年会:网络与服务》，第7卷，第7期。6，页1097 - 1109,2009。

S. Zhao, R. Kent，和A. Aggarwal，“移动自组织网络的密钥管理和安全路由集成框架”，第十届隐私、安全和信任国际年会，第11卷，no. 1。3, pp. 1046-1061, 2013。

R. Akbani, T. Korkmaz，和G. Raju，“堆:移动自组织网络的数据包认证方案”，自组织网络会议，第6卷，no. 1。7，页1134 - 1150,2008。

李春华，王振华，杨春华，“无线网状网络的安全路由”，国际网络安全杂志，第13卷，第1期。2，页109 - 120,2011。

Perrig, R. Canetti, D. Song，和J. Tygar，“高效和安全的多播源认证”，在网络和分布式系统安全研讨会(NDSS)，卷1,pp. 35 - 46,2001。

S. Marti, T. J. Giuli, K. Lai, M. Baker等人，“缓解移动自组织网络中的路由错误行为”，国际移动计算与网络会议论文集，第6卷，第6期。11，页255-265,2000。

J. Parker, J. Undercoffer, J. Pinkston和A. Joshi，“移动自组织网络的入侵检测和响应”，《IEEE性能、计算和通信国际会议进程》，第747-752页，2004年。