关键字 |
| 移动自组织网络,统计流量分析,RREQ, RREP,匿名 |
介绍 |
| MANET是一种以无线方式连接多个移动节点的基础设施较少的网络。每个移动节点既可以作为主机,也可以作为路由器。节点以任何速度向任何方向移动。它也是一种无线自组织网络,具有可路由的网络环境。它是一个自我形成和自我修复的网络,在节点之间可能包含多个收发器。相关的问题是很难找到网络的源和目的地,也很难确定端到端通信关系。路由协议分为主动路由协议、被动路由协议和混合路由协议。在主动路由协议中,各个节点之间的路径在它们计划通信之前被找到。在响应式路由协议中,只有在它们计划通信后才会找到路径。在混合路由协议中,两者都得到了满足。 |
相关工作 |
| 本文在不公开节点真实ID的情况下,实现了网络层通信和MAC层通信两种通信方式。每个节点遵循转发表路由表、反向路由表和目标链路ID表3个表。在论文中,[2]采用了两种设计原则,即无身份路由和按需路由,其中它依赖于一次密码活板门。它分为匿名路由发现、匿名路由维护和匿名路由转发三个阶段。本文在[3]安全参数建立过程中,采用了匿名路由发现和数据传输协议。它分为两个阶段:RREQ阶段和RREP阶段。论文[4]采用了一种新型的分布式路由协议,该协议允许可信的中间节点参与路径的构建。这里所遵循的阶段是路径发现阶段、路径反向阶段和数据传输阶段。本文采用了基于多项式插值性质的[5]Shamir秘密共享方案。路由发现和消息传输是该协议遵循的两个阶段。 |
面具 |
| 论文[1]提供了一种新的匿名按需路由协议,称为MASK,以避免对数据通信的被动窃听。它既实现了mac层通信,又实现了网络层通信,不暴露参与节点的真实id。MASK提供发送者、接收者及其关系的匿名性。仿真结果表明,MASK算法是有效的。 |
| 在MASK中,每个节点都被分配一个假名作为通信中的真实id。单一笔名的使用带来困难,因此采用动态笔名。匿名MAC层通信可以通过匿名邻居认证协议实现,该协议使两个邻居节点在同一组中相互识别。MASK使用三阶段握手来实现节点与其新相邻节点之间的密钥交换。握手后,每对节点共享一个密钥链和与握手时使用的假名对应的本地唯一Link ID对。在匿名网络层通信中,每个节点维护如下表: |
| •转发路由表:由dest_id、destseq、前链路id列表和下一个链表组成。 |
| •反向路由表:它由dest_id, destseq, prehoppseudonym组成,其中路由应答被中继回源。 |
| •目标linkID表:它有与邻居共享的链接id。 |
| 当节点需要向目的地址发送报文时,首先广播路由请求消息。格式为。在这里,源节点和中间节点的真实id是隐藏的,但目标id是公开的。匿名路由应答在具有有效路由的目的节点或中间节点上发送回源。ARREP报文格式为。 |
| 在报文转发步骤中,source从列表中随机选择链路id。报文被发送到下一个共享链路id的邻居。数据包的格式为,其中数据可能因应用而不同。可以采用端到端加密,也可以采用密码学方法进行加密。 |
| 问题是对手可能会通过不断发送大量虚假的身份验证请求对目标节点发起主动DoS攻击,路由信息只有在外部对手面前才安全,因此一旦它们成为内部对手,那么就没有安全性,低端设备的实现是一个问题。 |
| 仿真结果表明,MASK具有较高的报文碰撞和丢包概率。此外,由于随机选择下一跳,数据包不会沿着最短路径路由。MASK不能在不牺牲效率的情况下实现匿名性。 |
| 图1为路由发现过程。节点A向节点B发送ARREQ(即匿名路由请求),节点B发送给节点c,节点c发送给目的地D。节点D向节点c发送匿名路由应答(ARREP),节点A接收路由应答。成功发现路由。 |
ANODR |
| 论文[2]提出了一种新的匿名路由协议ANODR(匿名随需路由),它依赖于一次性的加密陷阱门。 |
| 它完全是按需路由(即根据需要设置匿名路由)。此外,它是一种无身份的路由方案,其中使用一次性加密陷阱门代替节点身份。因此,攻击者没有办法破坏移动节点的身份匿名性。ANODR有3个阶段。分别是匿名路由发现、匿名路由维护和匿名路由转发。 |
| 匿名路由发现建立按需路由。通信源通过组装一个RREQ(路由请求)包并在本地广播它来发起路由发现过程。路由发现过程分为RREQ阶段和RREP阶段。源代码将一个随机的瞬间作为洋葱的“核心”。如果每个RREQ转发器在RREQ阶段添加了一层加密,那么只有节点本身可以在RREP阶段剥离这一层。洋葱是在RREQ传播过程中形成的,当rrep返回时,洋葱将用于建立一个匿名虚拟电路。ANODR实现了1)两个连续的RREP转发器之间的对称密钥协议;2)执行目的地发起的RREP过程。全局陷阱门保存了预定目的地的秘密信息和同一目的地的公开承诺。从目的地获得RREP证明(或收据),以防止对抗网络节点发送虚假的RREP来破坏ANODR。 |
| 对于匿名路由维护,路由表项在超时时被回收,类似于DSR和AODV中使用的相同参数。当一个或多个跳因迁移或节点故障而中断时,节点无法通过中断的跳转发报文。当重传数超过设定的阈值时,单跳发送方可以检测到这种异常。 |
| 当节点检测到异常时,在转发表中查找相应的表项,当节点故障时,查找与断开跳相关的另一个节点,并组装一个匿名路由错误报告报文。然后node回收表项并进行传输。 |
| 匿名数据转发是源转发数据包和所有接收节点检查假名的最后阶段。如果不匹配,则丢弃数据包。这个过程一直持续到数据包到达目的地。仿真结果表明,该方法适用于低端节点,具有中等移动性,且具有较低的包时延。 |
ANONDSR |
| 论文[3]包含三个协议:安全参数建立、匿名路由发现和匿名数据传输。 |
| 安全参数建立协议分为两个阶段:RREQ阶段和RREP阶段。匿名路由发现协议在一对源节点和目的节点之间建立一条匿名路由,可以抵抗包括中间转发节点在内的任何对手发起的流量分析攻击。当源端和目标端希望为它们的通信创建匿名路径,并且它们已经在密钥环中拥有共享密钥和密钥索引时,使用该协议。 |
| 匿名数据传输协议为匿名通信数据保护构建了一个加密洋葱。该协议仅在匿名路由发现协议完成时使用。每个中间转发节点检查数据包的假名是否属于自己,如果是匿名路由,则使用其会话密钥解密数据洋葱的一层。然后,它通过转发路由表更改路由假名,使用解密的洋葱而不是接收的洋葱,并在本地广播新数据包。如果报文不在匿名路由上,则丢弃该报文。重复这个过程,直到数据包到达目的地。从目的地到源的反向匿名通信数据传输使用反向数据洋葱。仿真结果表明,AnonDSR没有邻居暴露,对目标是加密保护的。 |
SDAR |
| 论文[4]的主要目标是允许可信的中间节点参与到路径构建协议中,而不损害通信节点的匿名性。 |
| 该过程分为三个阶段:路径发现阶段、路径反向阶段和数据传输阶段。路径发现阶段允许源节点向无线范围内的所有节点发送路径发现消息,通过所有中间节点查找路由路径。一旦节点接收到路径发现消息,它就会执行以下操作, |
| •检查它是否已经从其他节点接收到,如果是,则丢弃它。 |
| •检查该节点是否是发送方的下一跳,如果是则解密消息。 |
| •检查节点是否为预期接收节点。如果不是,则添加节点id、会话密钥、路径id、签名等信息转发给邻居,否则将所有节点id和会话密钥放在一条消息中,加密多次后以反向路径发送给源。 |
| 数据传输阶段类似于洋葱路由,其中每个节点解密一个加密层,并根据下一个节点的id发送给下一个节点。 |
| 主要特性包括非基于源的路由,对路由长度没有源控制和对路径劫持的弹性。SDAR保持发送者和接收者的匿名性,但在拒绝服务攻击下不安全。 |
| 仿真结果表明,SDAR具有显著的降级传递比,较长的端到端延迟,携带密钥的RREQ和RREP数据包大小较大,数据包成功传递低。 |
极 |
| 本文应用了基于多项式插值性质的Shamir秘密共享方案。OLAR是一种无身份的路由方案,它提供源和目的匿名、端到端通信关系匿名、路由匿名等功能。 |
| 秘密共享机制符合(k, n)阈值。(k, n)阈值意味着如果秘密M被分成n部分,那么任何k部分或更多的知识使M易于计算,但任何k−1部分或更少的知识使M完全不确定。 |
| 该协议采用路由发现和消息传输两个阶段。在路由发现阶段,源S广播一个路由请求(RREQ)。初始RREQ的格式如下:。节点收到消息后,检查之前是否收到过RREQ。如果是这样,它将丢弃请求,否则它将尝试使用私钥打开活板门。当D接收到消息时,它解密并比较RPKsrc以验证完整性。如果它们不同,则忽略else以以下格式发送路由应答消息< RREP, (SN, ND, KSD)RP Ksrc)T P Kn2>。 |
| 在匿名消息传输阶段,根据路由发现阶段的路径将消息从源发送到目的。这里做加法和乘法,而不是加密和解密。 |
| OLAR确保了信息传输的私密性。只有源和目的地可以看到原始消息。使用一次性公钥和共享密钥,而不是真实身份。该算法采用距离矢量格式,节点不知道整个路径,由于采用多项式插值,不同阶段的消息不同,攻击者无法通过入侵消息找到路径。保护了源/目的匿名性和端到端链路匿名性,即使是路径上的中间节点也不知道源和目的。开销低,但成本高于其他协议。 |
| 仿真结果表明,随着流量的增加,OLAR算法的性能优于ANODR算法,每个节点的平均计算时间比ANODR算法短。 |
| 在图2中,节点S向节点a发送路由请求,然后向节点B发送路由请求,再向目的节点d发送路由请求,然后向源节点S发送路由应答消息。在OLAR中,另一个步骤是路由确认消息(RCNF),源节点通过中间节点向目的节点发送路由确认消息。 |
比较结果 |
| 在MASK中,使用网络层和MAC层通信。缺点是较高的丢包概率和较低的匿名实现效率。在ANODR中,采用了两种设计原则,即无身份路由和按需路由。当流量较大时,问题是沉重的开销;当数据包大小较大时,问题是性能较差。在AnonDSR中,使用了安全参数建立、匿名路由发现和匿名数据传输三种协议。在SDAR中,采用了一种新的分布式路由协议。拒绝服务攻击是主要的缺点。在太阳能光伏发电中,采用的是沙米尔的秘密共享方案,成本高的问题。 |
结论 |
| 本文详细介绍了五种提供源/目的匿名和端到端路径匿名的匿名路由协议的比较和仿真结果。本文在不公开节点真实ID的情况下,实现了网络层通信和MAC层通信两种通信方式。在论文中,[2]采用了两种设计原则,即无身份路由和按需路由,其中它依赖于一次密码活板门。本文在[3]安全参数建立过程中,采用了匿名路由发现和数据传输协议。论文[4]采用了一种新型的分布式路由协议,该协议允许可信的中间节点参与路径的构建。本文采用了基于多项式插值性质的[5]Shamir秘密共享方案。每种协议都有不同类型的路由方案,如主动、响应和混合。这五种路由协议都保证了源匿名、目的匿名和端到端匿名,但也存在一些问题。比较结果有助于发现所使用的技术和所发现的缺陷。为了克服这些问题,可以使用AODV协议,它是一种反应式路由协议,只有在需要时才确定路由。 In this protocol, to send a message, first a Route Request (RREQ) is send to the nodes and then Route Reply (RREP) is received. Finally the data is transfered. This protocol improves the performance and efficiency |
数字一览 |
 |
 |
| 图1 |
图2 |
|
|
参考文献 |
- 张勇,刘玮,楼伟,方勇,“掩码:移动自组织网络中的匿名按需路由”,ieee传输,无线通信。,第5卷,no。9,第2376-2385页,2006年9月。
- J. Kong和X. Hong,“ANODR:移动Ad-Hoc网络的匿名随需路由与不可跟踪路由”,Proc.MobiHoc, 291-302页,2003。
- R. Song, L. Korba,和G. Yee,“AnonDSR:移动自组织网络的高效匿名动态源路由”,自组织和传感器网络的ACMWorkshop安全研讨会(SASN ' 05), 2005。
- A. Boukerche, K. El-Khatib, L. Xu和L. Korba,“SDAR:无线和移动自组网的安全分布式匿名路由协议”,Proc。IEEE 29安。国际会议。本地计算机网络(LCN ' 04),页。618 - 624年,2004年。
- 秦勇,黄东,“移动互联网络中按需轻量匿名路由”,第四届国际会议,第72-79页,2008。
- Sanzgiri, B. Dahill, B. Levine, C. Shields和E. Royer,“一种用于自组织网络的安全路由协议”,发表于IEEE ICNP ' 02,法国巴黎,2002年11月。
- Perkins, E. Belding-Royer和S. Das,“临时按需距离向量(AODV)路由”,RFC 3561, 2003年7月。
- D.戈德施拉格,M.里德和P.塞弗森。用于匿名和私有互联网连接的Onionrouting。美国计算机学会通讯,1999年。
- S.赛斯和B.普雷尼尔。Arm:移动自组织网络的匿名路由协议。IEEE AINA, 2006。
- P. F. Syverson, D. M. Goldschlag和M. G. Reed:匿名连接和洋葱路由。《IEEE安全与隐私研讨会论文集》(奥克兰,加利福尼亚,1997年5月),44-54页
- J. Kong, X. Hong,和M. Gerla,“移动广告网络中针对匿名威胁的无身份和按需路由方案”,IEEE Trans。移动计算,第6卷,no. 2。8, pp. 888-902, 2007年8月。
- M. Reed, P. Syverson和D. Goldschlag,“匿名连接和洋葱路由”,IEEE J.通信中的选定领域,卷。16日,没有。4,pp. 482-494, May 2002.
- A. Boukerche, K. El-Khatib, L. Xu和L. Korba。SDAR:无线和移动自组织网络的安全分布式匿名路由协议。第29届IEEE本地计算机网络国际会议(LCN ' 04),第618-624页,2004。
- 研究。胡,A.佩瑞格和D. B.约翰逊。Ariadne: Ad Hoc网络的安全按需路由协议。《ACM MOBICOM》,2002年第12-23页
- J. Raymond,《流量分析:协议、攻击、设计问题和开放问题》,论文国际研讨会设计隐私增强技术:匿名性和不可观察性的设计问题,第10-29页,2001。
|
菜单
