-
现代移动自组网(mobile Ad-hoc networks, MANET)的主要安全威胁之一是黑洞攻击。特别地,针对MANET[1]中的自组织按需距离矢量(Ad hoc on-demand distance vector, AODV)协议[2]的黑洞攻击是对MANET的常见攻击。导致这类黑洞攻击成功的主要原因是AODV本身缺乏完善的路由认证机制。
路由传输中的安全认证通常分为两个层面:一是对路由中传输数据的安全认证;二是对传输数据的路由节点的身份认证。前者属于消息认证,后者称为路由认证。一般地,广义的路由认证包含3种情形:1) 源节点与目的节点之间的端到端节点认证[3-4];2) 两连接节点之间的节点对认证或者链路认证[5];3) 路由上全部节点序列的节点链认证,也可以称为狭义的路由认证[6]。
在不考虑节点间的链路信道风险时,通常默认非恶意节点传输的消息就是安全的,路由认证和消息认证的根本不同之处在于路由认证只对传输消息的节点及其节点链的可信身份进行确认,而不是对消息本身的完整性等进行确认。
1999年,由公钥基础设施PKI支撑的认证技术开始用于网络以及路由安全保护。2002年,文献[7]提出了散列链的概念来保护DSDV[8],SAODV[9]也使用散列链和RSA密码体制来保护AODV消息中的跳数字段。2009年,文献[10]使用RSA来保护MANET免受拜占庭攻击,其使用共享密钥的身份验证机制对消息进行端到端认证。
2011年,文献[11]开发了A-AODV,使用HMAC用于端到端身份验证,并通过哈希链验证控制包中的跳数值来验证控制消息的完整性,但是它存在着密钥建立的问题。同年,文献[12]则使用一种路由表更新的方式防止黑洞节点参与路由过程,来完成对黑洞攻击的抵抗,但是文献方案未考虑黑洞节点通过篡改IP地址进行伪装攻击带来的影响,这是该方案的缺陷所在。文献[13]在ARAN[14]协议上做出改进,将每个节点的身份标识加入认证包中,使得认证包通过的路径必须符合包中所有加入过节点身份的节点构成的路径,从而保证了路由路径的完整性和正确性,但是,认证传输数据会随着网络规模增大而增大。
2017年,文献[15]使用RSA计算分组的数字签名用于节点的身份认证,并且将中间节点也加入认证,使得它完成了跳到跳认证以及端到端认证。2018年,文献[16]使用RSA、ECC对AODV分组进行保护,完成了以节点身份为对象的节点认证。同年,文献[17]使用ECC加密AODV分组在车联网的环境下完成对AODV协议的保护。2019年,文献[18]使用混沌映射来完成对AODV协议中单个黑洞攻击以及联合黑洞攻击的抵抗。
通过以上分析可以看出,所有基于PKI机理的网络安全措施都有计算复杂度高、密钥管理复杂等问题,因而在现实的网络安全工程中没有得到有效的实施。此外,这些方案有的是只进行节点认证,即对数据分组进行加密签名,对路径本身是否安全不作考虑;有的只使用链路认证,即端到端认证。目前,尚未有一种可以对所有参与路由的节点进行整体性认证的方案。
由于路由认证的对象是路由或节点序列,而一个路由所形成的序列由相互接续的节点构成,所以路由认证一定是一类链型结构的数据整体认证,或者是对一类数据向量或数据序列的认证。诸如伪随机序列类型的递归函数的状态值之间具有安全的关联关系,基于这个思路,本文在结合节点认证和链路认证的基础上提出一种基于认证链的路由认证方案,在减小计算开销的同时,使得认证传输数据不会随着网络规模增大而增大,并同时具备路由认证的能力。进一步地,本文修订了AODV的路由发现机制,提出了一种用于AODV的路由认证链方法,实现了MANET中的路由保护,并证明可抵御黑洞攻击。
Route Authentication Chain Mechanism Against AODV Black Hole Attack
doi: 10.12178/1001-0548.2019235
- Received Date: 2019-10-24
- Rev Recd Date: 2019-12-30
- Available Online: 2020-07-29
- Publish Date: 2020-07-10
-
Key words:
- AODV /
- black hole attack /
- pseudo-random sequence /
- routing authentication
Abstract: The black hole attack is the main kind of attacks against AODV protocol in an Ad hoc network, black hole attack is a black hole node spoofing a legitimate node by changing the serial number or hop count, thereby drop the received packets, a much more threat by a joint attack of multiple black holes. This paper proposes an authentication chain mechanism based on the secure recursive function to overcome the black hole attack, by which the successive nodes of a route are unified only on the deterministic state transition relation of the recursive function to implement a unique association for security so that the whole route form an authentication chain. With the mechanism of this paper, even if the pseudo-random linear sequence as a kind of simple recursive function is adopted, as long as its linear complexity is greater than the number of nodes in the authenticating chain so that the attacker cannot obtain continuous state values of more than two times the linear complexity of the sequence, and then the secure authentication of the route can be guaranteed. Therefore, the mechanism and method presented in this paper is a novel and effective method to defend against the black hole attack.
Citation: | LIU Kun-yu, ZHOU Liang. Route Authentication Chain Mechanism Against AODV Black Hole Attack[J]. Journal of University of Electronic Science and Technology of China, 2020, 49(4): 542-547. doi: 10.12178/1001-0548.2019235 |