基于AODV协议安全性的改进算法

陈 龙，陈 琳 (长江大学计算机科学学院，湖北 荆州 434023)

基于AODV协议安全性的改进算法

陈 龙，陈 琳 (长江大学计算机科学学院，湖北 荆州 434023)

Ad Hoc网络组网方便、快捷，但其安全性是应用上的薄弱环节。通过对AODV 协议分析研究及对路由发现和路由维持进行加密认证，提出了一种基于加密认证的改进的AODV协议(DES-AODV)，并利用NS2仿真软件对DES-AODV协议进行了仿真。仿真结果表明，该算法在可信路由方面具有较好的安全性，付出一定的消耗代价可以较好的阻击针对路由发现和路由维护的攻击。

Ad Hoc网络；AODV；安全；路由协议

移动Ad Hoc网络是一种无线、分布式、动态自组织网络，不需要依靠固定通信基础设施，组网非常方便、快捷，多应用于援救、战场、会议、探险或危险环境中的目标监控等场合。由于网络动态变化的网络拓扑结构、资源受限和无线通信等特点，使得路由协议安全比传统网络要复杂的多，节点的覆盖范围广和地理位置的不确定性使其极易受到攻击，因而带来了很大的安全隐患。由于移动自组织网络节点地理位置不确定、网络资源有限，如何在提高安全性的同时又能保证网络通信质量，是目前的研究热点。为此，笔者基于AODV路由协议，设计了一种高效安全的路由方案(DES-AODV)，以消耗少量的网络资源为代价，来提高网络路由和通信的安全性。

1 AODV协议及安全性分析

1)AODV协议 无线自组网按需平面距离矢量路由协议(Ad Hoc On Demand Distance Vector Routing，AODV)分为2个阶段：路由发现和路由维护。路由发现阶段即当源节点要发送信息时，先在路由表里查找到目的节点的路由，若找到则直接发送，否则就通过广播路由请求RREQ(路由请求报文)信息来查找路由。当网络中节点收到RREQ信息，首先到路由表里搜索到达目的节点或一个拥有足够新的到目的节点路由表项，有则回复RREP(路由回复报文)消息，源节点可以通过收到的RREP消息在路由表项建立到达目地节点路由[1]。

网络中的每个节点都要进行路由维持，在路由表中都需要保持一个相应目的地址的路由表项，以实现逐跳转发。在维护路由表的过程中，AODV协议通过发送HELLO消息给邻居节点或链路修复及路由断开后发送RERR(路由错误报文)消息来进行路由的维护，每个节点周期性的向邻居节点发送HELLO消息，如果在一定的时间后，某一个节点没有收到它的邻居节点发送过来的HELLO消息，就认为与该邻居节点的联系断开，则会开始一系列的路由修复，该节点立刻广播一个RREQ给不可达的节点，当有到不可达节点有效的路由的中间节点或不可达本身节点接受到了这个消息，则会回复一个RREP给源节点，到达不可达的节点的路由会重新建立，假如路由的修复过程失败，节点会向所有的邻居节点广播RRER消息，通过RRER消息的广播，其他节点就知道链路断开，以此来维护和修改路由表[2]。

2)AODV协议安全性分析 移动Ad Hoc网络中，路由协议的攻击方式有2种：主动攻击和被动攻击。主动攻击是攻击者主动发送数据包来消耗网络资源，使得网络不能正常运行；被动攻击又叫消极攻击，攻击者并不消耗网络资源，只监听网络中的路由消息，窃取有效信息以达到某种目的[3]。

AODV路由发现过程采用泛洪方式，消耗的资源较多，因此需要控制泛洪RREQ查找的频率。攻击者可以利用这一点，大量连续发送伪造的RREQ报文，在整个网络中查找路由，这会使得整个网络都是伪造的RREQ报文，占用大量无线通信带宽，导致网络拥塞，使正常节点无法通信，网络的性能大大降低，这种攻击是利用路由协议本身功能发起的攻击，对AODV路由协议而言是正常的通信活动，却对网络性能有严重的影响，这种攻击需要长时间的观测才能检测出来。伪造节点还可以修改控制信息，修改路由的序列号，在AODV路由协议中，对RREQ的有效应答必须有比RREQ更大的目的序列号，攻击者通过修改序列号将自己插入到通向发送节点的路径中，从而可以拦截通向目的节点的数据。AODV协议还规定，当一个节点在收到多个属于同一个路径的RREQ的时候，只会转发最先收到的请求包，如果恶意节点使目的所有邻居节点最先收到RREQ经过该恶意，使目的节点忽略通过其他正确路径到达的路由请求，进而使源节点和目的节点的通信经过该恶意节点。路由维护一样存在一定的安全隐患，像路由表的溢出攻击，由于移动设备内存原本就不大，用于路由表的空间更加有限，恶意节点可以通过伪造大量的虚假路由信息，这些信息通往不存在的节点，从而使网络中节点的路由表空间被虚假信息所占用，使得真实的路由信息被丢弃。

2 基于AODV的改进协议(DES-AODV)

1)DES-AODV设计策略 AODV协议虽然提高了无线网络的路由效率，但是过于简单，存在着各种各样的问题，尤其是安全性方面的问题。为了使改进后的DES-AODV协议的路由效率不明显降低，DES-AODV协议的设计思想是在AODV协议的基础上嵌入了加密机制，通过加密方式来识别节点收到的路由请求包和路由维护包是否合法，具体策略是对路由发现和路由维护过程进行局部加密，在路由请求和路由发行过程中所发送的的数据包的头部添加一个字段，在路由发现、路由维护阶段对该字段赋值并通过DES(Data Encryption Standard)加密算法对该字段进行加密，即在AODV协议中嵌入DES加密算法，对AODV协议中的路由发现、路由维护处理模块中的sendHello、sendReply、sendRequest、sendError进行加密处理，字段值事先约定好，每一个合法的节点都知道该字段的值来进行身份验证，当然这个值不是固定的可以根据自己的需要而定，在路由发现和路由维护阶段接收方在收到发送方发来的数据包后首会查看该字段并对其解密，若解密后的字段值与发送前的值相同，则说明该数据包是由合法节点发送过来的，并进行相应的路由处理，若不同则说明该数据包是可疑节点发送来数据，不予处理或者报告上一级在它邻居可能存在着可疑节点以便进行相应的处理，很大程度上阻止了恶意节点利用网络协议自身的特点而进行的攻击。

2)DES-AODV协议的安全性 当攻击者利用路由发现的特点，大量连续的发送伪造的RREQ报文，邻居节点便会检测出来该消息是由恶意节点发送的，不会对该消息进行转发，不会使整个网络都是伪造的RREQ报文，占用大量无线通信带宽而导致网络拥塞，保证了正常的节点的通信，网络的性能不会因为恶意节点的攻击而大大降低，这种攻击是利用路由协议本身功能发起的攻击，对AODV路由协议而言是正常的通信活动，对网络性能有严重的影响，改进后的DES-AODV协议避免了这种现象的发生。针对路由维护过程中的路由表的溢出攻击，改进后的DES-AODV协议可以在恶意节点发送伪造大量的虚假路由信息被及时检测出来不予理睬，不会导致真的路由信息丢失，从而在一定程度上阻击了针对路由发现和路由维护所发起的一系列攻击，提高了网络的安全性和可靠性[4-5]。

表1 仿真参数

3 仿真试验及结果分析

仿真试验用的是仿真软件NS2搭建的网络仿真平台，通过仿真与评估来验证改进后的路由协议的有效性，仿真参数如表1所示。

1)路由发现延时 发送端发送数据前，需要一定的时间的路由发现来建立路由表，由路由发现的延时来分析，在路由发现阶段中嵌入了解密机制后协议是否依然可以正常工作，仿真试验结果如图1所示。由图1可以看出，DES-AODV协议在路由发现阶段与AODV协议在路由发现阶段延时基本差不多，只有在那些路由跳数比较多的节点间传输时会有一些差别。DES-AODV协议没有给网络增加很大的负载，没有出现节点在路由发行阶段找不到路由或数据包超时丢失的情况，说明改进后的是DES-AODV协议是可行的。

2)数据包的投递率分析 目的节点接收到的数据包与源节点发送的数据包之比为投递率，数据包投递率仿真结果如图2所示，在AODV路由协议下包的投递率为51.88%，在DES-AODV路由协议下包的投递率为51.26 %。由以上数据可以看出改进后的DES-AODV路由协议与AODV路由协议数据包的投递率有微小的区别，改进后数据包的投递率比之前要约低些，丢包率略大，在网络通信中数据的丢失是很正常的现象，微小变化不会影响正常的网络通信。

图1 路由发现延时

图2 数据包的投递率分析

图3 数据包传输延时分析

3)数据包传输延时分析 数据包传输延时是指接收端接受数据的时间减去发送方发送数据包的时间。 图3所描述的是DES-AODV协议的延时与AODV协议的延时之差，由图3可以看出延时曲线在0附近波动，说明改进后的DES-AODV路由协议与AODV路由协议在延时方面基本一致，说明对路由发现过程加密认证不影响数据包的转发时间。可以看出DES-AODV路由协议与AODV路由协议对网络传输性能上面没有明显的差距，进一步说明了改进后的是DES-AODV协议的可行性。

4 结 语

基于AODV协议提出了一种对路由协议局部加密进行身份验证的方式来提高路由的安全性，并将这种系统在理论上进行了详细设计，并做了仿真试验。试验结果表明，加密虽然使网络增加了路由发现阶段和路由维护延时，但这种影响非常小并不影响网络正常运行，在安全性方面能有效的防止恶意节点针对路由发现和路由维护进行的攻击，在一些特殊的领域相较于网络攻击所带来的损失消耗一定的网络资源是值得，然而在正常的通信中可能带来的延时开销任然是一个不足之处，还有待下一步的研究。

[1]郑相全.无线自组网络技术使用教程[M].北京:清华大学出版社，2004.

[2]陈玲，王华.移动Ad Hoc 网络路由协议研究——一种基于AODV路由协议的改进算法[J].微计算机信息，2006,22(3)：167-169.

[3]赵海燕. Ad Hoc网络中QoS保障的路由算法研究[D].济南：山东师范大学, 2008.

[4]张串绒,张玉清,李发根,等. 适于ad hoc网络安全通信的新签密算法[J]通信学报, 2010(3):8-11.

[5]吉祖勤, 方元康. Ad Hoc网络安全路由协议SDSR设计[J]. 计算机工程, 2011(16):132-136.

[编辑] 洪云飞

10.3969/j.issn.1673-1409(N).2012.03.030

TP393

A

1673-1409(2012)03-N090-03

2012-01-15

湖北省自然科学基金项目(2011CDC126)。

陈龙(1986-)，男，2011年大学毕业，硕士生，现主要从事计算机网络安全及路由协议方面的研究工作。

陈琳(1972-)，男,1992年大学毕业，博士，副教授，现主要从事计算机网络和通信与信息系统方面的教学与研究工作。