来源:蜘蛛抓取(WebSpider)
时间:2014-10-11 04:52
标签:
grep不区分大小写
<暂时无法提供服务
网站受到DDOS攻击,正在处理中...
紧急事情请手机短信联系阿莫AD 10网络名区分大小写吗?_百度知道
AD 10网络名区分大小写吗?
提问者采纳
提问者评价
其他类似问题
为您推荐:
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁 上传我的文档
 下载
 收藏
该文档贡献者很忙,什么也没留下。
 下载此文档
正在努力加载中...
无线ad+hoc网络中路由与定位问题的研究
下载积分:1500
内容提示:无线ad+hoc网络中路由与定位问题的研究
文档格式:PDF|
浏览次数:3|
上传日期: 06:17:48|
文档星级:
该用户还上传了这些文档
无线ad+hoc网络中路由与定位问题的研究
官方公共微信52移动Ad Hoc网络可认证安全匿名通信研究
上亿文档资料,等你来发现
52移动Ad Hoc网络可认证安全匿名通信研究
第36卷第5期计算机科学;V01.36No.5;2QQ旦生!旦鱼翌巳坚!里!坠i呈翌盟丛璺z兰Q;移动AdHoc网络可认证安全匿名通信研究;周唾平萍徐佳刘凤玉;(南京理工大学计算机科学与技术学院;南京210094);摘要传统的移动AdHoe网络匿名路由协议无法鏊另;析和仿真结果表明,该协议可对抗基于伪造分组的Do;关键词网络安全,移动AdHoe网络,匿名路由
第36卷第5期计算机科学V01.36No.52QQ旦生!旦鱼翌巳坚!里!坠i呈翌盟丛璺z兰QQ皇移动AdHoc网络可认证安全匿名通信研究周唾平萍徐佳刘凤玉(南京理工大学计算机科学与技术学院南京210094)摘要传统的移动AdHoe网络匿名路由协议无法鏊另q伪造的路由控制分组,并且公钥运算过多导致路由建立时间延长。提出一种基于邻居认证的安全匿名路由协议以解决上述问题,通过基于临时身份公钥的邻居匿名认证机制鉴定邻居节点合法性并动态协商密钥,路由发现过程中利用邻居协商密钥对路由控制消息进行逐跳的验证与处理。上述机制使得伪造路由分组可被有效鉴别,并且中间节点基于对称密钥运算处理分组降低了路由发现时延。理论分析和仿真结果表明,该协议可对抗基于伪造分组的DoS攻击,并且较传统协议具有更低的路由建立时间。关键词网络安全,移动AdHoe网络,匿名路由,临时身份公钥,邻居匿名认证中图法分类号TP309.7文献标识码AResearchOilAnonymousandAuthenticCommunicationsinMobileAdHocNetworksZHOUYaoPINGPingXUJiaLIUFeng-yu(schoolofComputerScienceandTechnology,NanjingUniversityofScienceandTechnology,Nanjing210094,China)AbstractIntraditionaltooanonymousroutingprotocolsinmobileAdHoenetworks,forgedrouteroutecontrolpacketscan’tbedistinguishedandmanypublickeyoperationsmaketheonconstructiontodelaytoolong.Anewsecureanonymousroutingprotocolbasedneighborhoodauthenticationswasproposedsolvesuchproblems.Byanonymousneighbor-hoodauthenticationsusingtemporaryidentity-basedpunickey,sharedkeyswereestablishedbetweenlegalneighboringnodes.Inanonymousensureroutediscoveryprocess,routecontrolpacketswerehop-by-hopauthenticatedandhanlded.SuchdistinguishedrouteonschemesthattheforgedpacketscouldbeefficientlyandnodesenroutecouldhandleroutecontrolpacketsbysymmetrickeyoperationswhichdecreasethetotalresultsshowstructionKeywordsdiscoverydelay.Theoreticalanalysisrouteandsimulationroutecon―thatthisprotocolcanresistDoSattacksbasedforgedcontrolpacketsandhaslowerdelaythantraditionalones.Networksecurity,Mobileadhoenetworks,Anonymousrouting,Temporaryidentity-basedpublickey,A―nonymous引言neighborhoodauthentication1直接应用于拓扑多变的移动AdHoc网络。对此,Boukerehe等人在文献[3]中首先提出适用于移动AdHoe网络的动态分布匿名路由协议SDAR,该协议采用按需路由方式获取中移动AdHoc网络具有通信介质开放、拓扑动态变化、信道与节点资源有限等特性,这使得其在具有组网灵活性的同时,也易遭受对手攻击。尽管传统的加密技术可应用于移动Ad间节点的会话密钥,并基于有线网中的OnionRouting技术进行数据转发。随后提出的一些移动AdHoe网络匿名路由Hoe网络中以提供对数据私密性、完整性和可鉴别性等协议,如ANODRD3,ASRE…,AnonDSR[6],MASK[7]等.多沿袭上述思想,只是在路由发现算法以及数据转发方式上存在差异。在匿名的网络环境中,难以通过节点身份鉴别其发送分组的合法性,因此在匿名通信中如何提供有效的认证机制是的保护,但对手仍然能够通过对通信内容与传输模式的分析获知节点身份、位置等私密信息,并基于该类信息发起针对性的攻击。对于匿名通信的研究来源于上述安全威胁,并已成为移动AdHoc网络安全领域研究的热点问题。有线网络中的匿名通信技术,如MixNetL¨,OnionRou―目前研究的难点。基于传统的私钥签名的认证模式虽然可以提供合法性认证,但是在移动AdHoc网络中上述机制的应tingT[2]等,主要采用重路由的方式实现匿名,即由通信路径上的关键节点通过对通信内容的重定向、乱序、混淆、解密/重加密等方式隐蔽通信者身份或盲化通信双方的连接关系。上述技术的实现关键是网络拓扑不变且对通信者可知,因此不能用存在局限性:其一,对签名的识别需要知道对方的带证书公钥,由于公钥唯一对应一个节点,会泄漏该节点的身份;其二,对于证书的鉴定与处理会带来比较大的计算开销,对于资源到稿日期:2008-06―11本文受国家自然科学基金资助项目(90718021)资助。周唾博士研究生,主要研究方向为信息安全与移动自组织网络,E-mail:zhouyao@maiknjust.edu.ca!平萍博士研究生,主要研究方向为元胞自动机与加密技术理论;徐佳博士研究生,主要研究方向为拥塞控制与网络管理;刘凤玉教授,博士生导师,主要研究领域为信息安全、入侵检测、可信软件等。51??万方数据 有限的节点是额外的负担。对于此类问题,目前的移动AdHoc网络匿名通信技术均未提出很好的解决方案,MASK[7]中虽然提出基于预分配伪名的匿名认证方案,但其伪名管理成本过高,难以应用于节点资源有限的移动AdHoc网络。因此产生匿名环境下新的安全隐患,即难以对抗对手发起的基于伪造分组的DoS攻击,对于洪泛的路由请求分组,此类安全问题更为严重。针对上述问题,本文提出一种新的可认证安全匿名路由协议ANAR。ANAR采用基于身份的公钥系统[8]以简化密钥管理过程,公钥来自节点的身份等公开信息,不需公钥目录以及证书。节点利用随机生成的临时公钥隐藏真实公钥,与邻居进行双向匿名认证。在路由发现过程中,利用合法邻居间认证协商密钥,对路由控制分组进行逐跳的验证与处理。上述机制使得伪造路由控制分组可被接收节点有效鉴别,同时也保证了中间节点对于路由分组的处理基于对称密钥运算,较传统基于公钥处理的机制显著降低计算开销。理论分析和仿真实验表明,ANAR可对抗基于伪造分组的DoS攻击,并且具有比传统匿名路由协议更低的路由建立时延。2预备知识ANAR采用基于身份公钥系统源于双线性对,定义如下[9]:定义I(具有密码学意义的双线性对,以下简称双线性对)设Gl,G2为两个阶同为素数口的群,其中G为加法群,G为乘法群,P是G-的生成元。假设Gl。G中的离散对数难解,一个具有密码学意义的双线性对是指具有如下性质的映射e:GlXGl―G2:?双线性:对任意的P,Q∈G1,a,bE召(石一{YI1≤《q―i)),都有‘e(a?P,b?Q)一e(P,Q)”6(1)?非退化性:对于生成元P有:e(P,P)≠1。?可计算性:对任意的P,Q∈Gl,存在有效的算法计算e(P,Q)。椭圆曲线上的Tate对和Weft对是目前构造具有密码学意义双线性对所一致采用的途径,具体构造与计算方法可参见文献[9-1。3协议描述3.1系统模型在网络启动阶段,由可信的授权者TA建立基于身份的公钥系统[8],公开参数Gl,G2,q,e如定义1中所给。系统建立:任选sE召以及G。的生成元P,计算P鼬一s?P;s做系统主密钥,P脚做系统公钥;选择两个HASH函数H。:{0,1}。一研(G表示Gl中非零元素集合);H2:G一{o,1}“,,l表示明文分组的长度;公开系统参数砧r口硒一(Gl,G,g,e,竹,P,P脚,Hl,H2)。授权用户私钥:对网络中每个节点,给定身份信息TDE{0,1)。,计算公钥PK=H1(ID)∈研,并为其授权用户私钥SK=j?PK。3.2邻居安全管理策略3.2.1临时公钥与主密钥节点以随机生成的临时公钥作为相邻节点间通信时的身?52?万 方数据份伪标识。以节点A为例,它的临时公钥按如下方法计算;A随机选择a∈露,计算临时公钥TP^=a?PKA=a?H1(JDA)∈Gf。定理1无法由临时公钥得到真实公钥,且临时公钥的冲突率为l/口一1,q为G-的阶。证明:①临时公钥为G1中的点,而G中的离散对数问题难解,因此无法由临时公钥反向计算出真实公钥。②Gl为素数阶循环群,其中任意非零元素均为生成元,所以H。(IDA)∈Gf为Gl的生成元。由于a随机分布于刀中,因此I临时公钥TP^寻a?H?(IDA)随机分布于曰中。因为6l的阶为q,所以临时公钥的冲突率为1/q一1,证毕。从定理1中可以看出,采用临时公钥可有效隐藏节点的真实公钥,并且由于Gl的阶q为大素数,临时公钥的冲突率极低。同时定理1的证明过程也说明临时公钥随机分布于G中,不同临时公钥之间不具有比较性。节点为每个临时公钥生成一个128位的秘密数作为对应主密钥,通过下文所述邻居匿名认证过程,节点将自己的主密钥秘密传送给合法邻居。在路由请求过程中,节点在广播的RREQ分组中包含使用主密钥的签名信息,所有合法邻居均可根据签名验证分组有效性。3.2.2HELLO机制节点通过本地广播HELLO消息提供连接信息。每隔HELLO_INTERVAL(HELLO消息周期)时间,节点检查自己在上一个HELL()_INTERVAL周期内是否已经发送了一条广播消息,如果检查出没有发送,那么该节点广播一个丁『L一1的HELL()消息,具有如下的消息组成域:(1)该节点身份伪标识.PJD,为该节点的临时公钥。(2)身份变更标志ChangeYag,0或1,设为1时表明身份变更,0表示不变。(3)欲更新身份(可选)NewPID,当变更标志为1时,此域包含该节点新生成I临时公钥。(4)寿命。ALLOWED_HELLO_LOSS(允许HELLO消息丢失数)×HELLO_INTERVAL。节点通过接收其相邻节点集发送来的分组来确定连接,并在本地邻居表中记录邻居的身份伪标识。如果在过去的一段长于ALI,f用∞一HEI。LO―LOSS×HELLO―INTERVAL的时间内没有接收到任何来自该邻居的消息,那么该节点认为到达该邻居的连接已经丢失,并删除邻居表中相应记录。3.2.3邻居匿名认证若节点接收到新邻居的HELLO消息,则需对消息中PID合法性进行认证,认证过程如下:(1)假定节点A收到节点B的该消息,其中的PID=TPB一6?H1(肛)B)(6∈RZ?)。为了对PJD进行认证,A生成随机数段A,并以自己正在使用的身份伪标识,即临时公钥TPA一口?Hl(IDA)(n∈RZ;)计算Vo―H(e(a?SKA,TPB)|lnA)其中SKA一5?H1(IDA)为A的用户私钥,H(.)为随机HASH函数,“||”表示串联。A向B发送一个包含丁’PA与竹^的认证请求消息。(2)上;接收到该认证请求后,需返回一个应答数Ⅵ=H(e(TPA,b?SKB)I|nA),其中SK日=s?H1(儿)B)为B的用户私钥。由于P(TP^,b?SKB)=e(a?SKA,TPs)=P(H1(I/)A),Hl(IDB))4。6‘’(2)因此u―V1,并且由于s为秘密的系统主密钥,只有拥有用户私钥的合法节点才能返回正确的应答数,因此A可通过验证V1一U来确定B为处于同一网络的合法节点,也即P,D为合法的身份伪标识。(3)B类似地验证A的身份伪标识,即临时公钥丁PA的合法性。在双向认证完成后,A,B分别计算相等的秘密数KAB=H(P(口?SKA,TPB))一H(P(1_PA,b?了、P日))作为邻居共享密钥,并以邻居共享密钥加密各自的主密钥后发送给对方。节点在邻居表中记录所有通过认证邻居的身份伪标识、邻居共享密钥与主密钥。为了防止窃听者的跟踪行为,节点需定期更新身份伪标识,即临时公钥。当某个节点决定更新身份伪标识时,该节点生成新的临时公钥以及对应主密钥并包含于HELIX)消息的NewPID域中,该域被此节点原主密钥加密并签名,同时设置ChangeTag为1。该节点的邻居接收到此HEI。Lo消息后,解密得到新的临时公钥以及对应主密钥,同时更新邻居表中相应记录。由于窃听者不知道该节点的新临时公钥,它无法将该节点在更新身份前后所发送的HELLO消息联系起来。3.3匿名路由发现在本节叙述中,以S,D,Ni(1≤i≤矗)分别表示源节点、目的节点和路由上的志个中间节点,如图1所示。所使用运算符号为:ECx(.),Hk(.)分别表示使用密钥K的对称加密和密码HASH函数,EP雕(.)表示使用密钥PK的公钥加密函数。o①……o….oo图1从源节点s到目的节点D的路由3.3.1路由请求在路由请求过程中,每个中间节点Ni(1≤i≤志)接收到的RREQ消息具有以下格式:["Seq,HJ啦…(Seq),ECus。(H(1190IfSeq)),]LEP麟。(IDs,Ks,SIGs),ECK。(Seq,END)J其中,Seq:本次会话序列号;MKH:上游节点Nf一1的主密钥,‰。(Seq)构成M一1的签名;PKD:D的公钥;Ks:本次会话验证密钥;SIGs:S的私钥签名;,Ds和IDo:S和D的真实身份;END:目的节点收到路由请求的一个标志数。一旦接收到RREQ分组,每个节点M首先检查Seq是否已存在于路由表中,若是则丢弃分组;否则,用邻居表中记录的邻居主密钥验证分组第二部分有效性,并确定MKH,若邻居表中不存在相应记录,也丢弃分组;若存在,则解密第三部分,用自己的身份和Seq生成的HASH值与解密结果比较;若不等,Nl在本地路由表中记录Seq,MKH,ECKs(Seq,END),用H椿i(Seq),欧濂.(H(JDbSeq))分别取代分组中第二和第三部分,其中MKi为N一主密钥;最后重新广播改写后的分组。若相等,说明此节点为目的节点D,D用自己私钥解密分组第四部分,根据IDs生成S的公钥,验证S的签名是否有效,若无效则丢弃分组;否则,D生成并广播RREP消息作为万 方数据响J立。3.3.2路由响应在路由响应过程中,每个中间节点Nf接收到的衄分组具有以下格式:LR+l,H帐I+1.f(Rf+1),‰¨+l(Tf+l,Seq,Ks’)j其中,R+l:下游节点M+l生成的随机数;NK“+l:N和Ni+1的邻居共享密钥,由M+。根据路由请求过程中记录的MK,查询本地邻居表得到;五+。:N州生成的秘密数,作为本次会话中M+,与N共享临时会话密钥;Ks’:目的节点正确恢复出融tEQ分组中会话验证密钥的证明。一旦接收到RREP分组,每个节点用邻居表中记录的邻居共享密钥验证分组第二部分有效性,由于Nf+。和M的邻居共享密钥在N川所有邻居中唯一,只有Nf可发现正确记录NK。+。,因此N{接受分组,其他节点只是简单丢弃。M解密分组第三部分,通过检查ECK。(Seq,END)=ECKs,(Seq,END)确认RREP来自正确目的节点,若上式不等则丢弃分组。记录中添加Tf+-和正,用R,,H脓H.;(Ri),‰H.i(五,若相等,N。选择随机数R,和丁r,在路由表里对应Seq的Seq,K。7)分别取代RREP分组中原对应部分,其中NKf.1’t为上游节点NH和Nl的邻居共享密钥,重新广播改写后的分组。路由响应过程结束后,每个中间节点Nf与其上下游节点分别拥有了共享临时会话密钥T一和Tf+l,Nf的路由表中记录的格式,如图2所示。SeqMK。一lTIT.+I160bits128bits128bits128bits图2中间节点Nf路由表记录格式3.4匿名数据传输数据分组格式为:[DATA,RoutePseum,Payload,Pad―ding]。其中RoutePseum为路由伪名;Payload为被加密的数据内容;Padding为每个转发节点附加的随机伪数据,用于对抗内容分析。数据分组的转发与ASRc5]类似,分组中RoutePseum域为一个二元组:(Index,H乙。(Index)),其中Index为当前发送节点生成的随机数,在每个分组中保持递增,乙为当前发送节点与下一跳节点的共享临时会话密钥。每个接收到该数据分组的节点检查路由表中是否有记录可正确验证RoutePseum,若检查到相应记录k,它接受分组,以k在路由表中对应项T一7生成新的RoutePseton并替代原值,将改写后的分组发往下一跳。为了对抗时间分析,每个节点在接收到分组后并不马上转发,而是缓存一部分分组后以乱序方式发送。4匿名性与安全性分析4.1匿名性分析在ANAR的邻居信息交换中,与节点身份有关的公开信息是该节点的临时公钥,根据3.2.1节定理1,临时公钥不可识别且不可比较,窃听者无法根据临时公钥获知节点身份以及移动路径。在路由发现以及数据转发过程中,所有分组均不包含明?53。文的节点身份,窃听者无法从通信内容得知通信双方身份。RREQ和RREP分组用邻居间密钥生成的MAC值标识,而非使用公开的临时公钥,窃听者无法识别,并且标识中包含变化的序列号或随机数,无法判断不同分组来自或发往同一节点。除了洪泛的RREQ分组,其他分组的内容都经过逐跳的混淆与加密,节点接收与发送的分组在内容及时间上没有任何关联关系,窃听者无法通过流量分析发现分组传输路径。ANAR较传统协议具有更好的匿名性。在传统协议中,RREQ分组中目的节点身份被其公钥加密,若对手同时掌握目的节点身份与公钥,它可通过比较加密内容的异同来推知目的节点。在ANAR中,RREQ分组中目的节点身份信息被每个转发节点的主密钥加密,对对手不可见,凶此无从比较。4.2邻居匿名认证的安全性ANAR的邻居匿名认证机制是协议实现的关键,其算法安全性基于以下双线性计算Deffie-Helleman(BDH)问题[9]的困难性:定义2(BDH问题)设Gl,G2为两个阶同为大素数q的循环群,e:Gl×Gl―G为一个双线性映射,P为Gl的生成元。则(G1,G2,P)上的双线性计算Diffie-Hellman(BDH)问题是:给定Pl―z?P,P2一y?P,尸3―2?P,其中z,Y,z∈RZ彳,由(P1,P2,P3)计算P(P,P)”Y~。定理2非法节点无法通过ANAR中的邻居匿名认证。证明:(以下所使用符号同本文3.2.3节内容)反证法。考虑3.2.3节的邻居认证过程,若B为非法节点,则它通过A的认证意味着它在认证过程中返回了正确的应答数Ⅵ。由于A对V,的验证基于A计算的秘密数Ta―e(a?SKA,TPe),因此B可以通过认证意味着存在多项式时间的算法F,使得B可根据公开信息,即双方交换的临时公钥ZPA,TPe以及系统公开参数pararm有效计算出TA,即F(params,TP▲,TPB)=TA(3)因为TA―P(n?SKA,TPB)一P(s?TPA,矾)(4)所以F(params,丁PA,TPB)=e(5?TP^,TPB)(5)假设存在上述算法F,则可利用F解决BDH问题,方法是:以P1作为F的输入params中的系统公钥P脚,params的其他部分不变;以P2,P3分别作为F输入中的TP一,TPB,调用F得到输出eo。注意此时系统公钥P鼬=z?P,因此原系统主密钥s此时为X,根据(4)式有eo=P(z?P2,P3)=P(z?Y?P,z?P)一P(P,P)”’”易见eo即BDH问题的解,也就是说,若存在上述算法F,则BDH问题不再是困难的,产生矛盾。故不存在上述算法,也即非法节点无法通过邻居匿名认证,证毕。4.3D0s攻击根据攻击目标的不同,匿名环境下DoS攻击可分为两类:多对一攻击与一对多攻击。对于前者,由于ANAR满足身份与位置匿名,对手无法定位目标发起攻击;对于后者,由于每个转发节点需进行加解密运算以处理RREQ或RREP分组,常见攻击方式是发送伪造路由控制分组以耗尽转发节点计算资源。ANAR可有效对抗此类攻击,第一:对RREQ分组逐跳验证有效性,由于非法节点无法通过邻居匿名认证过程获得相邻合法节点的主密钥,伪造分组中当前发送节点?54?万 方数据签名域将不能通过接收节点验证,分组被丢弃;第二:即使对手在伪造RREQ分组中包含它所监听到的合法分组中的上述签名,由于签名基于分组序列号,而重复序列号的分组被丢弃,此类重放攻击亦无效;第三:RREP分组中所包含会话验证密钥被逐跳验证,攻击者不知道正确密钥,伪造分组无法通过验证。由于ANAR通过邻居认证机制在邻居间动态协商共享密钥,节点执行上述验证操作时只需执行简单的查表操作与对称密钥运算。现有移动AdHoc网络匿名路由协议对于伪造RREQ消息未提供有效鉴别机制,对手叮伪造RREQ分组发起资源耗尽类DoS攻击,由于RREQ消息的传播方式为网络洪泛,此类攻击可造成全网的性能衰退甚至瘫痪。在此方面,ANAR具有更好的安全性。4.4路径劫持ANAR协议可以防止路径劫持,只有当可信赖的目的节点收到RREQ分组后,才触发路径响应过程;只有当源节点收到RREP分组后,数据传送阶段才开始进行。若非法节点只在它们之间传送RREQ分组,RREQ分组将不会到达目的节点,也不会触发路径响应过程的进行,源节点同样不会收到RREP分组,此情况下,其它的未经过非法节点的RREQ分组也可能传送到目的节点,而完成路由发现过程。另一方面,若非法节点停止这种循环传送,而传送RREQ分组到一个合法节点,进而完成路由发现过程,尽管该路径经过了一些非法节点,但由于协议本身的安全和匿名特性,也不会影响到数据传送的安全性和匿名性。4.5虫洞攻击虫洞攻击是攻击者在一个节点获取报文分组后,用隧道的方式传到另一个节点。虫洞形成后,攻击者可进行选择性通过之类被动攻击行为,也可与其他方法结合分割控制网络。ANAR可有效对抗虫洞攻击:虫洞的形成需要非法节点参与到路由发现过程中,但ANAR的路由发现机制确保非法节点发送的RREQ或RREP分组无法通过相邻节点验证,非法节点无法参与路由发现而不能形成虫洞。5仿真实验与性能分析5.1仿真设定为了检验ANAR的正确性并分析性能,使用网络模拟软件NS2t103对其进行仿真,并将仿真结果同ANODR[钊和SDAR[31进行比较,后两者在路由发现过程中使用公钥对控制消息进行加密。在仿真中,3种协议节点身份标识均为128位,随机数长度为64位,HASH函数输出为128位,数据传输过程中通过附加伪数据Padding固定数据分组长度为512字节。为简单起见,不考虑网络启动阶段开销,也不考虑网络攻击行为;对于断裂链路,仅重新发起路由发现而不考虑路由修复。不同的加密算法会导致不同的计算时延,为便于比较,假设3种协议的公钥体系均为基于身份公钥系统,且系统参数相同。由于基于身份的公钥体系更为适合无基础架构的AdHoc网络‘挖],该假设有实际意义。公钥长度均为160位,双线性对设为椭圆曲线上TATE对,基于身份的加密与签名算法分别为IB斟s1算法和BIgIll算法,计算时间采用文献[12]中对于移动终端的实测数据:IBE加、解密分别为35ms和27ms;BLS签名与验证时问分别为2.22ms和45.8ms。网络场景设置为:采用1000mX1000m的区域面积,网络中的节点数目为150,传输半径均为200m,带宽为2Mbps,MAC协议为IEEE802.11,无线传播模型为TwoRayGround,应用层流量类型为CBR(以固定速率发送固定长度的分组),每个分组大小为512字节,连接数为10,节点每秒发送lo个分组,节点移动模型采用RamdomWayPoint模型,移动速度在o~10m/s之间变化。每次仿真时间为900秒,所有数据均为5次仿真平均值。5.2结果与分析图3表示3种协议的分组投递率(目的节点接收数据分组数量/源节点发送数据分组数量)。在8个取样点,ANAR的平均数据传输成功率分别比SDAR和ANODR高16.6%和11.2%。原闪是在ANAR的路由发现过程中,公钥运算只发生在通信两端,中间节点在交换路由控制分组时使用高效的对称密钥运算,可以有效加速路由发现过程,并使得建立的路由更为持久;在ANODR和SDAR中,RREQ分组中目的节点身份被其公钥加密,路由请求过程中每个中间节点都需执行私钥解密以进行目的节点判断,由于公钥运算带来的计算延迟远大于对称密钥运算,它们的路由发现时延也远高于ANAR,从而增加了路由建立与维护的难度,使得数据发送失败率加大。图3分组投递率图4显示了不同协议的平均端到端时延(目的节点分组接收时间一源节点分组发送时间)。在8个取样点,ANAR的数据传送时延平均值分别为SDAR和ANODR的34.3%与67.50A。实验结果符合期望,SDAR表现出最高的传输时延,原因是它以洋葱路由[21作为匿名数据传送方式,在路由发现以及数据传输过程中,节点为构造“洋葱”需要进行大量密钥运算,显著延长了路由建立和数据传输时间。ANoDR和ANAR采用匿名虚电路[4]方式转发数据分组,节点处理分组时所需密钥运算较少,总体传输时延较低;同时,ANAR基于对称密钥运算处理路由分组,其路由发现时延低于基于公钥的AN()DR。当移动性不高的时候,所有协议显示了低的传输时延,这是因为一旦路由建立完成,一个稳定的网络允许更长的平均路由生存时间。当移动性增加,传输时延也相应增加。一e一测言磐啪裤穆动速度(m/s)图4平均端到端时延万 方数据图5比较了不同协议的归一化路由开销(控制分组数量/目的节点接收数据分组数量),此处控制分组包括l球EQ,RREP和HEI。ID分组。在8个取样点,ANAR的控制分组占数据分组比例平均为9.5%,SDAR为8.1%,ANoDR为7.2%。虽然ANAR的邻居管理策略所需HELL()消息数量多于SDAR和ANODR,但ANAR通过邻居认证协商对称密钥,降低了路由发现时延并进而减少了过期路由数量,因此ANAR的一次成功会话所需平均路由发现次数要低于其他二者,故总体路由开销差异并不明显。在实际应用中,还可通过改变HELLO_INTERVAL值来调节ANAR中HEuD消息发送频率,以适应不同的网络繁忙度。至::鲧苹;丑2图5归一化路由开销结束语移动AdHoe网络的信道开放性和资源有限性决定了匿名路由协议的设计必须考虑安全与成本问题。在传统协议中,网络易遭受伪造路由控制分组的攻击,并且路由建立时间过长。本文提出一种基于邻居认证的安全高效匿名路由协议,通过基于临时身份公钥的匿名认证机制鉴定相邻节点合法性。在路由发现阶段,路由控制分组被逐跳验证与处理,伪造分组无法通过验证而不会造成危害,并且中间节点基于对称密钥运算处理分组,有效降低了转发时延。在下一步的工作中,将着重于邻居匿名认证算法的优化,进一步降低由此带来的额外通信开销。参考文献[13Berthold0,FederrathH,K6psells-webMiXes:ASystemforAnonymousandUnobservableInternetAccess[c]∥Proc.WorkshopDesignIssuesinAnonymityandUnobservability(DIAU’00).2000:115-129[2]GreedM,SyversonPF,GoldsehlagDM.Anonymousconnec―tionsandonionrouting[J].IEEEJournalonSelectedAreasinCommunications,SpecialIssueonCopyrightandPrivacyProtee―tion,1998,16(4):482-494[33BoukereheA,E卜KhatibK.XuL,etaLSDAR:ASecureDistribu-tedAnonymousRoutingProtocolforWirelessandMobileAdHocNetworks[q}}Proe.29thIEEEInt’1Conf.LocalComputerNetworks(LCN’04).2004:618―624[4]KongJ,HongX,GerlaM.AnIdentity―FreeandOn―DemandRoutingSchemeagainstAnonymityThreatsinMobileAdHoeNetworks[J].IEEETransactionsonMobileComputing,2007,6(8):387-409Is]ZhuB,Wanz。KankanhalliMS,eta1.AnonymousSecureRou―ringinMobileAd-HocNetworks[C]?}Proceedingsofthe29thAnnualIEEEInternationalConferenceonLocalComputerNet―works(LCN’04).2004:102―108(下转第71页)?55?包含各类专业文献、专业论文、高等教育、应用写作文书、外语学习资料、生活休闲娱乐、文学作品欣赏、52移动Ad Hoc网络可认证安全匿名通信研究等内容。
通过比较移动 Ad Hoc 通信网络和传统移动通信网络,可以得出该系统具有 如下的...单播通信的安全管理一般采用对密钥认证方案。而组播通信的安全性管 理一般采用组... 对于一些特殊的应用场合,这些有中心的通信技术就不能...1.2 移动 Ad Hoc 网络的发展历史和研究现状 Ad ...(CRC)的数据包完整性检查功能,支持 鉴权和认证, ... 需要克服无线链路的安全弱点及移动 拓扑所带来的新的安全隐患。 90 年代以来,移动 Ad Hoc 网络的研究在世界范围内方兴未艾,已经从无线通信领域中的一个小分支逐渐... 本文在探讨移动 Ad Hoc 网络的安全 需求的基础上,...如果主机 A 与主机 C 之间要进行相互通信,这个时候...数 据可用性、 机密性、 完整性、 安全认证和抗... 组织对等式多跳移动通信网络, Ad hoc 网络就此诞生...但对于有些特殊场合来说, 有中心的移动网络并不能...(4) 认证 一个移动节点需要通过认证来确保和它通信... 移动Ad Hoc 网络及其关键技术 目 录 第一章 引言...基于口令认证的密钥交换---...这些重要场合的通信不能依赖 于任何预设的基础设施,而需要一种能够临时快速自动... 需要克服无线链 路的安全弱点及移动拓扑所带来的新的安全隐患。 90 年代以来,移动 Ad Hoc 网络的研究在世界范围内方兴未艾,已经从无线通信领域中的 一个小分支... 三握手认证 机制和采用公开密钥加密的策略,进一步完善了 ANMP 体系中的安全机制...可大规模组网等特 殊要求,Ad Hoc网络已成为当今各国军事移动通信研究的一个热点... 移动ad-hoc网络_信息与通信_工程科技_专业资料。一个拓扑学方法查询覆盖多点广播...我们的研究结果可以归纳为以下几点: - AOMP 在延迟方面优于以往最好的应用层...
