首 页 本刊概况 出 版 人 发行统计 在线订阅 欢迎投稿 市场分析 1 组织交流 1 关于我们
 
1
   通信短波
1
   新品之窗
1
   优秀论文
1
   通信趋势
1
   特别企划
1
   运营商动态
1
   技术前沿
1
   市场聚焦
1
   通信视点
1
   信息化论坛
1
当前位置:首页 > 优秀论文
一种基于MIPv6的Ad Hoc网接入方法
作者:周耀斌
来源:本站原创
更新时间:2011/1/28 13:09:00
正文:
(北京航空航天大学电子信息工程学院,北京 100191)
 
摘要:针对基于MIPv6的Ad Hoc网接入过程中的安全和效率问题,本文提出了一种接入认证方案。该方案采用多跳注册的方法对移动Ad Hoc节点身份进行验证,并应用NS2网络仿真软件平台搭建了基于移动IPv6的Ad Hoc网接入的仿真场景,通过对仿真结果的分析处理,验证了该模型具有良好的网络效率和性能。
关键词:移动Ad Hoc网;移动IPv6;认证
An Ad Hoc Network Access based on MIPv6 Methods
Yaobin,Zhou
(Electronic & Information Engineering Beihang University, Beijing 100191)
Abstract: Considering security and efficiency problems on the Ad Hoc Network Access based on MIPv6 we proposed an access authentication scheme. The proposed scheme offers a secure multi-hop mobile IPv6 registration and We set up MIPv6-based Mobile Ad Hoc Network Simulation scenes access on the platform of NS2 network simulation software and analysis the processing of simulation results to verify that the model has a good network efficiency and performance.
Key words: Mobile Ad Hoc network; Mobile IPv6; Authentication
 
1.引言

 移动Ad Hoc网络,简称MANET(Mobile Ad-Hoc Network),是一种无需固定基础设施的移动无线多跳网络,具有分布性、自治性、易构性和移动性等特点。移动IP技术是实现网络终端设备在全球网络漫游的关键技术。参考文献[1]中给出了一些基于移动IPv4的多跳注册接入方案,这些方案仅适合于移动IPv4。基于移动IPv6的移动Ad Hoc网接入认证结构如下图1,在外地网络中已经不再需要FA(Foreign Agent)[2]

MN1至MN5是MANET网络中的移动节点,图中只有MN2、MN3、MN4、MN5处于基站BS(Base Station)信号范围内,MN1通过处于基站信号范围内的节点进行中继与BS交换信息。当MN1移动到外地网络时,通过认证网关AG(Authentication Gateway)认证,再由Internet网关IG (Internet Gateway)接入Internet。Ali Al Shidhan提出一种基于移动IPv6的多跳注册接入方案[3],但没有使用网络仿真软件做任何仿真验证。
    本文主要工作为:1、对基于移动IP的MANET网络接入认证协议进行分析和研究; 2、提出一种多跳认证接入Internet方案,由结合单向hash函数链的二元多次多项式密钥预分发和多跳安全接入认证两个过程组成;3、提出一种移动IPv6多跳安全注册方案,由外地网络多跳网关IG发现和家乡代理HA (Home Agent)的多跳转交地址绑定两个过程组成;4、对方案进行安全性分析。
2、  基于移动IPv6MANET网络接入认证协议
早期移动IPv4网络协议并没有规定IP层的安全措施。为了加强安全性,移动IPv6协议增加了许多安全属性,用以提供端到端的安全保护。移动IPv6下的MANET网接入认证问题,成为近年来研究的一个热点。
针对该问题,IETF(Internet Engineering Task Force,互联网工程任务组)出台了可扩展认证协议EAP (Extensible Authentication Protocol)[4]、网络接入认证传输协议PANA (Protocol for carrying Authentication for Network Access)[5]。本文所用到的符号及具体含义如表1。
 
3、  移动IPv6多跳接入认证
3.1  系统初始化
    A) 如图2所示,MN1首先通过路由发现,自配置IP地址,然后进行PANA初始化,请求获得基站BS(监控点)的EAP会话身份信息。AG把MN1的身份信息发送给HAS(如通过RADIUS协议)。
B) HAS使用EAP-AKA(Authentication and Key Agreement,认证和密钥分配协议)产生默认的三个密钥MSK(Master Session Key)EMSK(Extended MSK)TEK(Transient EAP Key)和一个随机数NHAS,用TEK加密NHAS,发给MN1。MN1产生一个随机数N1MN1,用TEK加密,发给HAS。
C) HAS使用TEK解密收到的N1MN1,产生出LM6K(Local MIPv6 Key)TM6K(Top MIPv6 Key),连同会话成功消息发给MN1,其中:TM6K=f’(EMSK,NHAS|N1MN1|IDHAS|IDMN1)LM6K=f’(TM6K,IDAG|IDMN1)

图 2 系统初始化.
图 3  多跳网关发现及转交地址注册
4.2   移动IPv6多跳安全注册
移动IPv6与移动IPv4相比,没有外地代理。家乡代理HA(Home agent)是一个位于移动节点MN家乡网络上的路由器。如图1所示,当移动节点MN1由家乡网络移动到外地网络时,MN1首先获得由外地网络分配给它带有外地子网前缀的转交地址CoA(Care of  Address),然后向家乡代理注册该转交地址,使转交地址与家乡地址关联的过程叫做绑定,MN1通过向HA发送绑定更新BU(Binding Update)消息来实现这个绑定注册过程,HA则发送绑定确认BA(Binding Acknowledgemnet)消息来回复MN1。HA截获发往移动节点家乡地址的数据包,将这些数据包进行封装,通过隧道转发到MN1注册的当前转交地址。
4.2.1 多跳网关发现
MIPv6注册首先自配置manet-local地址,然后进行多跳网关发现初始化,自配置可全球路由的IPv6地址,以此作为转交地址,再通知家乡代理绑定更新此转交地址。MN1产生一个随机数N2MN1,使用事先协商好的密钥K1加密M1,最终产生GDQ(Gateway Discovery Request)网关发现请求消息,只有已经成功进行了MIPv6注册并能够连接到基站的中间节点才能够识别此消息,假设其为MN4和MN5N2MN1t用来保证消息的新鲜性。这样用K1产生消息认证码保护了路由信息的安全。MN1向MN4发送消息GDQ ,MN4向MN5转发GDQ4,MN5向IG转发GDQ5,只有拥有LMSK的网关接收到这种转发的消息才能够正确回应MN1,同时网关使用K1 1>K1验证消息的有效性,并且使用MN4>K4MN5>K5来验证MN4和MN5是否为合法节点。网关选择到达MN1的最佳路由,并在GDP4(Gateway Discovery Response)中加入随机数N1IG,MN4和MN5收到消息后计算K1来验证信息的有效性和完整性,并更新其路由信息。MN5转发消息给MN4: GDP5,MN4转发消息给MN1GDP,MN1收到消息后,计算出M2,通过tN1IG验证信息的完整性和新鲜性。MN1把路由记录储存到路由表,并使用IG的路由前缀自配置好转交地址。其协议交互过程如图3。消息具体格式如下表2。 
表 2 消息格式
4.2.2 多跳网关注册
   MN1产生随机数N3MN1,使用KIG1KHA1计算共享密钥,发送绑定信息BUHA。路由中的每个中间节点都插入一个用MAC(Message Authentication Code)保护的随机数,并使用KIG1作为与IG的共享密钥。检查t和比对N1IGGDP是否一致,并通过验证KIG1 ,MN4>KIG4 ,MN5>KIG5的有效性来确认MN1、MN4、MN5的合法性。IG产生随机数N2IG,发送BU消息BU给HA。HA收到消息,校验tN2IGCertIG并释放出IG的公钥来认证IG。使用KHA1算出TM6K,从M3中释放出IDMN1,和TM6K中的IDMN1进行比对,以此认证MN1的身份,从而注册新的CoA地址,最后产生一个随机数N1HA,向IG发布绑定更新确认消息BA。 IG从CertHA释放出HA的公钥以验证消息的完整性和HA的合法性。把NMN4NMN5设置一个增量,然后转发给MN5:BA。最后,MN1检查t,比对收到的BA消息中的N3MN1和BU消息相应值,同时也可以通过KIG1KHA1来验证IG和HA。其协议交互过程如图3。MN1向HA注册其转交地址,并把IG配置为默认路由。
仿真及安全性分析
5.1  仿真及分析
目前网络仿真工具最普遍使用的就是NS (Netwok Simulatino)。NS能仿真网络运行全过程,可以把真实网络中的分组引入到仿真器中,将仿真器中产生的分组输出到真实网络中。仿真结果由trace文件进行记录,通过对trace文件进行分析,可以了解网络的运行状况。本文的仿真平台是基于在ubuntu9.10下安装ns-allinone-2.33+ ns-233-mobiwan-1.patch。
5.1.1 网络拓扑结构及参数设置
该结构由7个节点组成,包括1个通信节点,1个移动节点,1个路由器和4个基站,分别标记为CN、MN、Router1和BS1、BS2、BS3、BS4。具体如下图4。
 
 
 
由于该拓扑为有线和无线网络的混合,所以必须使用分层hierarchical地址,具体设置及无线网络中移动节点MN移动设置如下:
 

 5.1.2 仿真结果及分析

仿真运行完后,产生trace文件如图5。使用Grawk函数对trace文件中产生数据的移动节点6和接收数据的基站节点23之间的通信在AG(Agent,业务层)进行分析,并使用Gnuplot绘图工具绘出曲线如图6和图7
trace文件记录中大部分项目的地址都是2和3的。移动节点和通信节点通过基站节点2和3转发数据进行通信,即移动节点分别从这两个子网获得了转交地址。从图6可以看出,节点2和6之间在AGT层一直有数据通信,从图7可以看出节点3和6之间只有在10s-30s之间才有通信,由此查看trace文件后发现,实际通信没有丢包,即通信没有中断,所以这个过程是移动节点的网络切换过程,在此过程期间实现了转交地址和家乡代理的绑定。
从分析结果可以看出,仿真中MPIv6的运行过程与上文理论分析一致,此仿真是成功的。
5.2  能有效抵抗的攻击分析
该方案提供了两项重要的安全服务:第一就是提供了节点间的双向认证,第二就是能够有效抵抗信息重放、篡改等攻击。
A)  假冒的IG发现和伪造的移动IP注册请求:非法节点可能假冒成合法节点发起大量的GDQ信息和BU信息,耗尽IG的资源,或者重定向从HA发过来的信息,让恶意节点接收。但由于非法节点没有KiKIG,从而不能发起此类攻击。IG通过判断KiKIG是否有效而很容易拒绝假冒的GDQ和BU信息。
B)  重放攻击:随机数和时戳t可以用来阻止该类攻击。例如,在GDQ信息里包括了N2MNtN2NM是一个新鲜的随机数,t是一个请求时间估计的拷贝,IG和中间节点可以比较近期收到的随机数、时戳和GDQ信息里的N2MNt来判别是否为非法节点所发送的。非法节点可以改变时戳,产生新的随机数,但不能够计算出GDQ信息里正确的K1
C)  信息篡改攻击:非法节点一般通过篡改传输的信息,使访问的MN得不得MIP服务,与密钥相关联的MAC可以用来保证所传送信息的完整性。例如,在前面的MN4企图篡改部分GDQ信息里的M1来拒绝MN1的移动IPv6注册服务,IG可以通过判断Ki是否有效来探测出这种更改行为。如果这种有效性验证失败,IG则丢掉该请求信息,并认为这是一条不安全路由,从而选择另一条路由来访问MN。
 结论
    本文提出一种基于移动IPv6的移动Ad Hoc网接入的多跳认证方案,能够有效抵抗假冒IG发现请求攻击、假冒注册请求攻击、回放和消息篡改攻击,更适合移动节点随时随地安全地接入Internet。在移动Ad Hoc网中移动节点经常会在各个网络间切换,而切换中认证的延时是一个不可忽略的因素,如何安全快速地完成认证需要进一步研究。
参考文献
[1] R. KANDIKATTU , L. JACOB.Secure Internet Connectivity for Dynamic Source Routing (DSR) based Mobile Ad hoc Networks[J]. Int. Jour. Elec.Circ. Sys,2008,2(1): 40 – 45
[2] R. WAKIKAWA, J. MALINEN, C. PERKINS, A. NILSSON, A. TUOMINEN. Global connectivity for IPv6 Mobile Ad Hoc Network[R]. IETF Internet Draft , 2006
[3] ALI Al SHIDHANI, VICTOR C. M. LEUNG. Secure Integration between Mobile Ad Hoc Networks and Mobile IPv6[C]. IEEE CCNC, 2010.
[4] B. ABOBA, D. SIMON, P. ERONEN. Extensible Authentication Protocol(EAP) Key Management Framework[S]. IETF RFC 5247,2008
[5] D. FORSBERG, Y. OHBA, B. PATIL, H. TSCHOFENIG, A.YEGIN. Protocol for Carrying Authentication for Network Access (PANA)[S]. IETF RFC5191, 2008
 
作者简介:周耀斌,男,湖南汨罗,北京航空航天大学电子信息工程学院在读硕士,研究方向为信息安全,
 
 
 
 
 
   
《通信市场》 中国·北京·复兴路49号通信市场(100036) 点击查看具体位置
电话:86-10-6820 7724, 6820 7726
京ICP备05037146号-8
建议使用 Microsoft IE4.0 以上版本 800*600浏览 如果您有什么建议和意见请与管理员联系