Tổng quan về mạng manet; giao thức định tuyến an ninh h(aodv) và otp aodv trên mạng manet; mô phỏng và đánh giá hiệu năng

BO GIAO DUC VA DAO TAO DAI HOC HUE

TRUONG DAI HOC KHOA HOC

DO VAN NHO

TIM HIEU GIAO THUC DINH TUYEN AN NINH H(AODV) VA OTP_AODV

TREN MANG MANET

CHUYEN NGANH: KHOA HOC MAY TINH MA SO: 8480101

LUAN VAN THAC SI KHOA HOC DINH HUONG UNG DUNG

LOI CAM DOAN

Tơi xin cam đoan đề tài “ Tìm hiểu giao thức định tuyến an ninh H(AODV)

và OTP_AODYV trên mạng MANET” là cơng trình nghiên cứu do tơi thực hiện Tat

cả các số liệu, kết quả nghiên cứu trong luận văn là trung thực, chưa được người khác

cơng bồ trong bất cứ cơng trình nghiên cứu nào Nội dung của luận văn cĩ tham khảo

và sử dụng một số thơng tin, tài liệu từ các nguồn sách, tạp chí được liệt kê trong

danh mục các tài liệu tham khảo Các thơng tin tổng hợp hay các kết quả lấy từ nhiều

nguồn tài liệu khác đều được trích dẫn đầy đủ Tất cả tài liệu tham khảo đều cĩ xuất

xứ rõ ràng và được trích dẫn hợp pháp

Huế, tháng 3, năm 2020

¬——— NHI] Next | SN | HC | 1 1 20 1 tL tO ¬———— Node| Next | SN | HC 4 2 26 2 | = bai nàn] SN | HC | 1 3 20 2 —_-_1 1 } SN:26 HC 5 D 4 HC 2 s 1 D 4 DSN 26 Node | Next | SN | HC | Node | Next | SN | HC | 11 1 | 20] 1 1] es fs 2 | 2] 2 | a [4 | 2% | 1 | LL — L_ ] søireo |) Bang ainh tuyén — > Hướngtuyến RREP ——> Hướngtuyến RREO — —— ¬ | Node | Next | SN | HC | 1 5 2 3

Hình 2.4 Mơ tả quá trình trả lời gĩi RREP về nguồn

Nút đích (4) trả lời gĩi RREP về nguồn nhờ vào thơng tin đường đi ngược đã được lưu trước đĩ, gĩi RREP đi theo hướng (4)—>(2)—(1), cấu trúc gĩi RREP và bảng định tuyến tại các nút như Hình 2.4 Nút nguồn (1) cập nhật thơng tin đường đi mới khám phá vào bảng định tuyến sau khi nhận gĩi RREP Trong trường hợp này thơng tin định tuyến tại nút (1) cĩ ý nghĩa là để chuyền gĩi tin đến nút (4) phải chuyền đến nút (2) với chi phi định tuyến đến nút (4) tốt nhất là 2

2.1.3 Cơ chế duy trì thơng tin định tuyến(Route Maintanance)

Trong mạng MANET sử dụng giao thức AODV, các nút liên hệ với nút láng giềng thơng qua gĩi HELLO Tại mỗi nút, khi thấy nút láng giềng khơng tồn tại nút sẽ phát một gĩi RERR khan cap voi giá trị SN bằng giá trị SN trước đĩ + I và HC bằng œ (vơ cùng) đến các nút trong hệ thống Sau khi nhận gĩi RERR tại mỗi nút sẽ tiễn hảnh xĩa thơng tin đường đi đến nút bị hỏng, nhờ vậy mà thơng tin đường đi luơn được đảm bảo

Nút trung gian Ni(7) tiếp tục khám phá tuyến cho đến khi gặp nút đích Np(9), sau khi nhận được gĩi tin nút đích dùng hàm ƒ băm giá trị OTP¿ và so sánh kết quả

băm với OTP trong gĩi N7) Nếu giá trị OTP giống nhau thì trả lời gĩi H(RREP) về

nút nguồn Ns(1), hình thành 1 tuyến đường đi trong bảng định tuyến, ngược lại thì

hủy gĩi H(RREQ) kết thúc quá trình khám phá tuyến

2.2.6.2 Tra loi tuyén H(RREP)

- € “H&REP) No | a TRREP) N S` H/RREP) ÁP PhỈ 5 À. -~- YF fas < sở # H(RREP) a cero Wireless link “a » H(RREQ) mm <+— H(RREP)

Hình 2.12 Mơ tả quá trình trả lời gĩi RREP về nguồn

Hình 2.12 mơ tả thuật tốn gửi gĩi H(RREP) hỗ trợ cơ chế xác thực OTP Đề

trả lời tuyến, nút đích Np(9) dựa vào bảng định tuyến của nĩ đề xác định nút kế tiếp

về nguồn Nút đích Np(9) gửi gĩi H(RREP) được khởi tạo kèm với OTP thứ k (k =

MAX -brd_¡d) đến nút trung gian Ni(7)

Nút trung gian N¡ (7) nhận được gĩi H(RREP) sau đĩ kiểm tra OTP của nút Np(9) trong gĩi H(RREP)

- Nếu OTP khơng hợp lệ thì hủy gĩi H(RREP) và kết thúc quá trình trả lời tuyến - Ngược lại nút N¡(7) được chấp nhận gĩi H(RREP), N7) tìm đường đi về

nguồn trong bảng định tuyến, thực hiện quy trình chuyền tiếp liên tục từ Ni(7) đến nút nguồn Ns(1) để tìm kiếm và xác minh theo H(RREP) thơng qua nut Ni(5), NiG) Nếu trung gian N¡C) tìm thấy nút nguồn Ns(1) thì N¡ (3) chuyển tiếp gĩi

2.2.4 Yêu cầu bảo mật dinh tuy6n oe ce cece ccee cece esse tess teeeteseteteetteeees 18

2.2.5 Thuật tốn chon duong di cua HAODV) 0 eee eeceteteneteeentenes 19 2.2.6 Mơ tả hoạt động của giao thirc cha H(AODV) uo ec eeeeeetereeeees 22

2.3 GIAO THỨC ĐỊNH TUYẾN AN NINH OTP_AODV 2 24

2.3.1 Mơi trường giả thuyết . - 552222 221222122212211221122222222 xe 25

2.3.2 Thuật tốn chọn đường đi của OTP_AODV àccccceieierere 35 2.3.3 Mơ tả hoạt động của giao thức OTP_AODV ìàceree 31

2.4 SO SÁNH 2 GIAO THỨC ĐỊNH TUYẾN AN NINH H(AODV) VÀ

OTP AODV 222222222212211121121122111211221221212122122 xe 34

2.5 TIỂU KÉT CHƯƠNG 2 222 222122112211221211211211211222222 ae 35 Chương 3 MƠ PHỎNG VÀ ĐÁNH GIÁ HIỆU NĂNG -55 scse2 36 3.1 GIỚI THIỆU VỀ HỆ MƠ PHỊNG NS-2 22-22 222222122212222 2x0 36 3.2 THIET KE MO HINH MANG DE MO PHONG CHO CAC GIAO THUC

ĐỊNH TUYẾN TRÊN MẠNG MANET -2-5222222221222122211221222122 e6 38 3.2.1 Tiêu chí đánh giá kết quả -2-22222222212221222112211211221212 e0 39

3.2.2 Thơng số và giao điện mơ phỏng 22 22222222E222122212221222122ee 39 3:2:3› Tà Iopo:mang:mơ phN:zzzsszxxnssxeBvios 9E BRSBSSEERSHSEEERSHBARĐSpBuspieeal 41 3.2.4 Tạo nguồn sinh lưu động 22 2222222212221222112211221221211222 e0 42

3.3 DANH GIA KET QUA MO PHONG TRONG MOI TRƯỜNG BÌNH

THUONG VA MOI TRƯỜNG BỊ TẤN CƠNG -2-©22222222222sce2 42

Bang 2.1 Bang 2.2 Bang 2.3 Bang 3.1 Bang 3.2 Bang 3.3 Bang 3.4 DANH MUC CAC BANG Trang Cấu trúc gĩi tin của H(AODV) 222222222221221112112122122ee 15 Tao bảng băm chơ:các:HTNAHPsszisssrxi5et0691000001050020Đ1SẸ0509108A0A19 08988 17

Bảng xác thực mật khẩu cho giá †TỊ nút Ì¡ cà cceereree 27

PL3 Các bước viết mã Tcl để thực thi mơ phỏng mang wireless Bước 1: Thiết lập mơ phỏng và xác định các hằng số

Bước đầu tiên của mơ phỏng là định nghĩa các tham số mơi trường vật lý khơng dây và khởi tạo mơ phỏng

# Định nghĩa lớp vật lý

set val(chan) Channel/WirelessChannel set val(prop) Propagation/TwoRayGround set val(netif) Phy/WirelessPhy

set val(mac) Mac/802 11

set val(ifq) Queue/DropTail/PriQueue set val(ll) LL

set val(ant) Antenna/OmniAntenna

# Các tham số kịch bản

set val(x) 1000;# % dimension of the tơ-pơgraphy set val(y) 1000;# Y dimension of the tơ-pơgraphy set val(ifqlen) 50;# max packet in queue

set val(seed) 0.0;#random seed

set val(MANETRouting)[routing protocol] set val(nn) [no of nodes];# number of nodes set val(cp) [traffic pattern file]

set val(sc) [mobility scenario file]

set val(stop) [simulation duration];# simulation time Bước 2: Tạo các đối tượng mơ phỏng

DANH MUC CAC CHU VIET TAT

AODV Ad hoc On-demand Distance Vector CBR Constant Bit Rate

DoS Denial of Service

DSDV Destination Sequence Distance Vector DSR Dynamic Source Routing

ETE End-to-End time delay (Thoi gian tré trung bình của gĩi dữ liệu) FTP File Transfer Protocol

GSR Global State Routing

H(AODV) Hash Ad hoc On-demand Distance Vector HARP Hybird Ad — Hoc Routing Protocol

LAR Location Aided Routing MAC Media Access Control MANET Mobile Ad Hoc Network

MD5 Message-Digest algorithm 5 NS-2 Network Simulation

OLSR Optimized Link State Routing

OTP_AODYV | One Time Password Ad hoc On-demand Distance Vector PDF Packet Delivery Fraction (Tỷ lệ chuyền gĩi tin thành cơng) PKT Routing Packets ( Hao phí truyền thơng)

RERR Route Error RREP Route Reply RREQ Route Request

SLURP Scalable Location Update-Based Routing Protocol SYN Synchronize

TCP Transmission Control Protocol

TORA Temporally Ordered Routing Algorithm TTL Time to live

UDP User Datagram Protocol WRP Wireless Routing Protocol

ZHLS Zone Based Hierarchical Link State Routing Protocol ZRP Zone Routing Protocol

MO DAU

MANET (Mobile Ad Hoc Network) cịn được gọi là mạng tùy biến di động

Mạng MANET cĩ ưu điểm là khả năng hoạt động độc lập, khơng phụ thuộc vào cơ sở hạ tầng mạng cố định, chi phí thấp, triển khai nhanh và cĩ tính di động cao [1]

Định tuyến là một dịch vụ chính được cung cấp tại tầng mạng của mạng

MANET, nút nguồn sử dụng tuyến đường đến đích được khám phá và duy trì nhờ vào các giao thức định tuyến Giao thức định tuyến AODV là một giao thức rất đơn giản, hiệu quả và là một giao thức định tuyến hiệu quả cho mạng tùy biến di động mà

khơng cĩ cố định một mơ hình mạng Các lớp mạng chịu trách nhiệm cho việc phân

phối các gĩi tin định tuyến bao gồm định tuyến thơng qua các bộ định tuyến trung gian Tuy nhiên, trong cơ chế hoạt động của giao thức AODV thì các nút mạng gửi

và nhận dữ liệu mà khơng thực hiện việc kiểm tra độ tin cậy của gĩi Chính điểm này đã tạo điều kiện cho tin tặc tấn cơng làm lệch hướng đường đi của tất cả các nút mạng gây thiệt hại đến hiệu năng của hệ thống [6.7]

Chwong 1 TONG QUAN VE MANG MANET

Chương này trình bày các khái niệm tổng quan nhất về mạng tùy biến di động MANET và đề cập đến các vấn đề an ninh

1.1 MẠNG MANET

1.1.1 Lịch sử phát triển

Mạng MANET là mạng dựa trên mơ hình độc lập Ad hoc, các nút trong mơ hình

này giao tiếp trực tiếp với nhau mà khơng sử dụng một điểm truy cập nào Do việc kết hợp giữa tính đi động và mạng Ad hoc nên thường gọi là mạng MANET (Mobile Adhoc Networks)

Nguyên lý làm việc của mạng Ad hoc bắt nguồn từ năm 1968 khi các mang

ALOHA xuất hiện Tuy các trạm làm việc là cố định nhưng giao thức ALOHA đã

thực hiện việc quản lý truy cập kênh truyền dưới dạng phân tán, đây là cơ sở lý thuyết đề phát triển kỹ thuật truy cập kênh phân tán vào mạng Ad hoc

Năm 1973 tổ chức DARPA đã bắt đầu làm việc trên mạng vơ tuyến gĩi tin PRnet Đây là mạng vơ tuyến gĩi tin đa chặng dau tiên Trong đĩ các nút hợp tác với

nhau đề gửi dữ liệu tới một nút nằm ở xa khu vực kết nối thơng qua một nút khác Nĩ

cung cấp cơ chế cho việc quản lý hoạt động trên cơ sở tập trung và phân tán

Một lợi điểm của làm việc đa chặng so với đơn chặng là triển khai đa chặng tạo

thuận lợi cho việc dùng lại tài nguyên kênh truyền về cả khơng gian, thời gian và giảm năng lượng phát cần thiết

Sau đĩ cĩ nhiều mạng vơ tuyến gĩi tin phát triển nhưng các hệ thống khơng dây này vẫn chưa bao giờ tới tay người dùng cho đến khi chuẩn 802.11 ra đời Tổ chức IEEE đã đồi tên mạng vơ tuyến gĩi tin thành mạng Ad hoc

1.1.2 Đặc điểm chính mạng MANET

năng tự tơ chức và cầu hình Với mục đích truyền thơng, các nút sử dụng kênh khơng dây truy cập ngẫu nhiên để chuyển tiếp dữ liệu Các nút vừa đĩng vai trị là một host đồng thời đĩng vai trị là một router, cĩ khả năng tìm kiếm duy trì và định tuyến các gĩi dữ liệu cho các nút nằm trong vùng phú sĩng của nĩ Chúng cộng tác với nhau và giúp chuyên tiếp đữ liệu giữa các nút Nếu nút đích di chuyển ra khỏi phạm vi phủ sĩng của nút nguồn đang truyền đữ liệu, giao thức định tuyến sẽ tìm một con đường khác thơng qua các router trung gian đề truyền dữ liệu từ nguồn đến đích

- Tất cả các nút đều ngang hàng và khơng cĩ nút nào đĩng vai trị máy chủ trung tâm

- Các nút cĩ thé gia nhập hay rời khỏi mạng bất kế khi nào do đĩ tạo ra sự thay đơi câu tric mang (Topology) mét cach lién tuc

Khác với các hệ thống mạng cĩ dây, việc định tuyến tìm đường đi tối ưu để truyền dữ liệu trong các hệ thống mạng khơng dây khá phức tạp, địi hỏi phải cĩ các cơ chế điều khiển phù hợp với từng mơ hình cụ thê Đây là một trong những hạn chế lớn nhất của mạng khơng dây làm ảnh hưởng đến tốc độ truyền dữ liệu Bên cạnh đĩ, khả năng gây nhiễu và mất gĩi tin trong quá trình truyền đữ liệu của mạng khơng dây là khá cao [4]

Hiện nay, những hạn chế trên đang dần được khắc phục, thơng qua các nghiên

cứu về mạng khơng dây được để xuất và thử nghiệm trên các mơ hình mạng thực tế,

nhằm nâng cao hiệu quả và chất lượng của hệ thống mạng, hứa hẹn những bước phát triển mới trong tương lai về lĩnh vực mạng máy tính

s

Hình 1.1 Minh họa ứng dụng mạng MANET

Mạng MANET phù hợp cho việc sử đụng trong nhiều tình huống kế cả địa hình

mà mạng cĩ dây khơng thể triển khai, hoặc quá tải, hoặc bị hư hỏng Mạng MANET thường được sử dụng trong các trường hợp khẩn cấp, thiên tai hoặc các nhiệm vụ cứu

hộ và thơng tin liên lạc trên chiến trường, hoặc cho ứng dụng thơng thường như các hội nghị trực tuyến, trong nghiên cứu mạng cảm biến

1.1.3 Phân loại giao thức định tuyến

Giao thức định tuyến trong mạng MANET | Bảng ghi Theo yêu cầu Kết hợp DSDV a DSR ZRP WRP — TORA ZHLS GSR — LAR SLURP OLSR AODV HARP H(AODV) OTP_AODV|

Hình 1.2 Phân loại các giao thức dinh tuyén trong mang MANET

1.1.4 Ưu nhược điểm của mạng MANET

* Ưu điểm:

- Mạng MANET cĩ khả năng hoạt động độc lập khơng phụ thuộc vào cơ sở hạ

tầng mạng cổ định, chi phí thấp, triển khai nhanh và tính di động cao

- Cấu trúc liên kết mạng năng động: Cấu trúc liên kết mạng luơn biến đổi theo các mức độ di chuyên của nút mạng

* Nhược điểm:

- Băng thơng hạn chế: Các liên kết khơng dây cĩ băng thơng thấp hơn so với đường truyền cáp và chúng cịn chịu ảnh hưởng của nhiễu sĩng vơ tuyến, suy giảm

tín hiệu, các điều kiện giao thoa, vì thế mà tốc độ truyền thường nhỏ hơn tốc độ truyền

lớn nhất của sĩng vơ tuyến

- Năng lượng hoạt động hạn chế: Tất cả các thiết bị di động đều sử dung pin nên

khi tham gia vào mạng MANET chúng bị hạn chế về năng lượng khả năng xử lý của

- Bảo mật vật lý yếu: Đặc điểm của mạng MANET là truyền sĩng qua mơi trường vơ tuyến, khiến cho cơ chế bảo mật thấp hơn so với mơi trường cáp đo đĩ tiềm ấn nhiều nguy cơ bị tấn cơng, nghe lén đường truyền, giả mạo

1.2 VAN DE AN NINH TRONG MANG MANET

Một mạng máy tính muốn hoạt động tốt và hiệu quả thì vấn để an ninh mạng

phải luơn được chú trọng để đảm báo quá trình truyền tin thành cơng Mạng MANET với đặc tính linh động của mình, thêm vào đĩ là mơi trương truyền tin là khơng khí, cũng như việc vào ra của các nút trong mạng rất khĩ kiểm sốt nên vấn đề an ninh mạng cần phải được chú trọng

1.2.1 Thách thức về an ninh trong mạng MANET

- Mơi trường là khơng khí kém bảo mật là nguy cơ của việc nghe trộm, từ đĩ kẻ tấn cơng cĩ thể phân tích lưu lượng mạng phục vụ cho các mục đích tấn cơng tiếp theo

- Việc các nút gia nhập và rời mạng bất kỳ lúc nảo tạo nên sự thay đổi thường xuyên về cấu trúc mạng, địi hỏi các giao thức định tuyến liên tục phát các yêu cầu quảng bá trong tồn mạng cũng dẫn đến việc mất an ninh trong mạng Đồng thời, việc cấu trúc mạng liên tục thay đổi cũng là một khĩ khăn để các giao thức định tuyến phát hiện rằng thơng điệp điều khiển được sinh ra bởi nút độc hại hay là đo quá trình thay đổi cầu trúc mạng

- Giới hạn về tài nguyên như băng thơng và năng lượng làm giảm khả năng chống đỡ của mạng trước các cuộc tấn cơng

- Thiếu một cơ sở hạ tầng trợ giúp gây khĩ khăn khi triển khai các cơ chế bảo mật trong mạng

1.2.2 Các loại tấn cơng trong mạng MANET

Cĩ nhiều cách phân loại tấn cơng trong mạng MANET, dựa vào tính chất tấn cơng, chia ra làm hai loại: Tấn cơng bị động (Passive afacks) và Tẩn cơng chủ động

TAN CONG TRONG MANG MANET I [ ] Tân cơng bị động Tấn cơng chủ động ———T—— f T Ì T 1 Tầng vật lý Tân liên kết Tầng vật lý Tầng mạng Tầng giao vận Tang ting dụng| đữ liệu

3 a ý đc Tan cong |_| Tan cơng phiên an

Nghe trộm Phân tích x Tân cơng Ace 16 den x kết nơi eae Mã độc ee luơng gây nhiều (Virus, Trojan,

thơng tin — Spywares)

Tan cong L_] Tan céng tran

lơ sâu ngập gĩiSYN

aA cons Tân cơng _ khước từ - thống kê 'Tân cơng dồn dập

Hình 1.3 Các hình thức tấn cơng trong mạng MANET

- Tấn cơng bị động: là kiêu tân cơng khơng tác động trực tiếp vào thiết bị nào

trên mạng, khơng làm cho các thiết bị trên mạng biết được hoạt động của nĩ, vì thế

kiểu tấn cơng này nguy hiểm ở chỗ nĩ rất khĩ phát hiện Các phương thức dùng trong tấn cơng bị động: nghe trộm, phân tích luồng thơng tin

- Tân cơng chủ động: là tân cơng trực tiếp vào một hoặc nhiễu thiết bị trên mạng Tấn cơng chủ động với mục đích tìm cách truy nhập tới một server để thăm dị, đề lay những dữ liệu quan trọng, thậm chí thực hiện thay déi topo mang Kiéu tan céng nay dé phát hiện nhưng khả năng phá hoại của nĩ rất nhanh, khi phát hiện ra người quản trị chưa kịp cĩ phương pháp đối phĩ thì nĩ đã thực hiện xong quá trình phá hoại

-Tấn cơng tầng mạng: tầng mạng cĩ nhiệm vụ là khám phá đường đi từ nút

nguồn đến nút đích Mạng MANET rất dễ bị các nút độc hại xâm nhập vào và thực

hiện việc phá hoại Cách thức thường được sử dụng là giả mạo gĩi tin nhằm thay đơi thơng tin định tuyến hoặc làm ngập lụt các gĩi tin vơ ích nhằm mục đích làm hệ thống mạng tắc nghẽn nghiêm trọng

mạng hoặc truyền một lượng lớn các gĩi đữ liệu vơ ích để gây nghẽn mạng Kết quả là tạo ra bão quảng bá gĩi tin trên mạng, làm tăng hao phí truyền thơng, giảm khả năng đáp ứng tại mỗi nút vì phải xử lý các gĩi tin khơng cân thiết và hậu quả cĩ thé

dẫn đến là từ chối dịch vụ trên hệ thống [7]

1.3 TIEU KET CHUONG 1

Chuong 2 GIAO THUC DINH TUYEN AN NINH H(AODV) VA

OTP_AODV TREN MANG MANET

Mang MANET thiéu phong thủ vật lý về các nút độc hại từ các liên kết khơng an tồn, tần số giới hạn, khoảng cách truyén, gidi han năng lượng giữa các nút mạng

và sự can thiệp của sĩng điện dẫn đến sự gia tăng của nút mạng Các nút độc hại phân

chia mạng hoặc dẫn đến lỗi của tồn bộ mạng gây ra lưu lượng truy cập lớn thơng qua các mối đe đọa bên ngồi Mối đe dọa bên trong được gây ra trong nút mạng bị hỏng cung cấp thơng tin khơng chính xác cho các nút mạng và xảy ra lỗi mạng Phương pháp phịng chĩng với cả mối đe dọa bên ngồi và mối đe dọa bên trong một

cách hiệu quả sẽ tạo ra một đường bảo vệ những nút mạng thiệt hại với các nút đủ

Ngồi ra, các nút độc hại bị xâm nhập trơng giống như hoạt động bình thường, nhưng chúng cĩ thê làm biến dạng các mạng cấu trúc định tuyến, để các nút mạng định tuyến

hoạt động tốt cần cĩ một giao thức an ninh bảo mật trên mạng MANET

Giao thức định tuyến an ninh H(AODV) và OTP_AODV ra đời đã giải quyết

được cơ bản về bài tốn về vấn để bảo mật an tồn dữ liệu trong mạng MANET

Trong Chương 2 sẽ gồm cĩ phần 3 phần: phần 1 trình bày về giao thức định tuyến AODV: phan 2 sẽ trình bày về giao thức định tuyến an ninh H(AODV) sử dụng hàm bằng MD5 để xác thực gĩi tin theo từng chặn hop-to-hop; phần 3 sẽ trình bày về giao

thức định tuyến an ninh OTP_AODV st dung co chế mật khẩu một lần để xác thực

gĩi tin theo dau-cudi

2.1 GIAO THUC DINH TUYEN AODV

Giao thức AODV thuộc nhĩm giao thức định tuyến theo yêu cầu, sử dụng gĩi

yêu cầu đường đi (RREQ) và gĩi trả lời (RREP) để khám phá đường đi khi cĩ nhu

(Sequence Number) duoc tang thêm khi thỏa mãn hai điều kiện: Khi nút nguồn khởi tạo RREQ và nút đích trả lời RREP Giá trị HCsẽ tăng 1 mỗi khi một nút chuyền tiếp thơng điệp RREQ được dùng để xác định chỉ phí đường đi đến đích

2.1.1 Cơ chế tạo thơng tin dinh tuyén (Route Discovery) * 7huật tốn quảng bá gĩi RREO

Giao thức AODV sử dụng gĩi yêu cầu RREQ để tìm đường đi Thuật tốn quảng bá gĩi RREQ (Hình 2.1) thực hiện như sau:

— Bước l: Nếu chưa cĩ đường đi đến dich thì quảng bá gĩi RREQ đến tất cả các nút láng giềng, chuyền sang bước 2

— Bước 2: Nếu đã nhận gĩi RREQ (source, request_¡d) thì hủy gĩi RREQ và kết thúc, ngược lại ghi nhận source, request_id vào cache, chuyền sang bước 3

~ Bước 3: Nếu nút hiện tại là đích hoặc cĩ tuyến đường đi đủ “tươi” đến đích

thì gửi unicast gĩi trả lời RREP chứa thơng tin đường đi về nguồn và kết thúc, ngược

* Thuật tốn cập nhật đường đi vào bang dinh tuyén

Nút nguỗồn sử đụng thơng tin trong gĩi trả lời RREP nhận được để xác định

đường đi Lưu đỗ thuật tốn cập nhật đường đi (Hình 2.21) thực hiện như sau:

— Bước 1: Tìm p là đường đi đến nút đích đã gửi gĩi trả lời RREP, chuyển

sang bước 2

— Bước 2: Nếu khơng tìm thấy p thì thêm đường đi mới vào bảng định tuyến và kết thúc, ngược lại chuyển sang bước 3

— Bước 3: Nếu tuyến đường mới cĩ chỉ phí tốt hơn p thì cập nhật lại đường đi mới vào bảng định tuyến và kết thúc, ngược lại chuyên sang bước 4

2.1.2 Minh họa cơ chế hoạt động

Quá trình khám phá đường đi từ nút nguồn (1) đến nút đích (4) trong sơ đồ mạng

Hình 2.3 được mơ tả như sau:

Quá trình chuyên gĩi RREQ:

Nút nguồn (1) phát quảng bá gĩi RREQ để khám phá đường đi đến nút (4), gĩi

RREQ đi theo 2 hướng: (1)—>(2)—(4) và (1)—(3)—(5)—(6)—(4) Tại mỗi nút khi nhận được gĩi RREQ nút cập nhật thơng tin đường đi ngược về nguơn vào bảng định tuyến Chỉ tiết gĩi RREQ và bảng định tuyến tại mỗi nút được mơ tả như Hình 2.3

Trong trường hợp này nút đích (4) chấp nhận gĩi RREQ đến từ nút (2) và loại bỏ gĩi

RREQ đến từ nút (6) vì gĩi đến trước cĩ chi phí định tuyến thấp hơn =< —— So ———¬ Node | New| SN | HC | Nede | Newt | SN | HC 1 3 20 2 1 1 20 1 L \ | ID | Hc} s | SN] D Jos ID | HC} S| SN] D |psn 10} 1] 1] 20/4] 0 10) 2] 1] 20] 4] 0 _— Node | Next | SN | HC 3 5 “x1 ID |HC | S |SN|D |psụ 10|0|1|2o|4|o SN:20 S aa ———————— D Node Next | SN | HC 1 5 20 —L_—) 3 2 4 ID |Hc| s | sN| D |psụ 10} 3] 1] 20] 4] 0 ID |HCc| s | sN| D |psN ID |Hc| s | sN| D |psụ 10|41|1|20|4|0 10|2|1|20|4|0 CC TT SSS Node | Now| SN | HC | Node | Next | SN | HC | 1 1 20 1 1 2 20 2 Ca He) ph „xe | L—] Goi RREQ

| ~~ 7 Bang dinh tuyén

—* Hướng tuyến RREQ

Hình 2.3 Mơ tả quá trình khám phá đường đi thơng qua gĩi RREQ

¬——— NHI] Next | SN | HC | 1 1 20 1 tL tO ¬———— Node| Next | SN | HC 4 2 26 2 | = bai nàn] SN | HC | 1 3 20 2 —_-_1 1 } SN:26 HC 5 D 4 HC 2 s 1 D 4 DSN 26 Node | Next | SN | HC | Node | Next | SN | HC | 11 1 | 20] 1 1] es fs 2 | 2] 2 | a [4 | 2% | 1 | LL — L_ ] søireo |) Bang ainh tuyén — > Hướngtuyến RREP ——> Hướngtuyến RREO — —— ¬ | Node | Next | SN | HC | 1 5 2 3

Hình 2.4 Mơ tả quá trình trả lời gĩi RREP về nguồn

Nút đích (4) trả lời gĩi RREP về nguồn nhờ vào thơng tin đường đi ngược đã được lưu trước đĩ, gĩi RREP đi theo hướng (4)—>(2)—(1), cấu trúc gĩi RREP và bảng định tuyến tại các nút như Hình 2.4 Nút nguồn (1) cập nhật thơng tin đường đi mới khám phá vào bảng định tuyến sau khi nhận gĩi RREP Trong trường hợp này thơng tin định tuyến tại nút (1) cĩ ý nghĩa là để chuyền gĩi tin đến nút (4) phải chuyền đến nút (2) với chi phi định tuyến đến nút (4) tốt nhất là 2

2.1.3 Cơ chế duy trì thơng tin định tuyến(Route Maintanance)

Trong mạng MANET sử dụng giao thức AODV, các nút liên hệ với nút láng giềng thơng qua gĩi HELLO Tại mỗi nút, khi thấy nút láng giềng khơng tồn tại nút sẽ phát một gĩi RERR khan cap voi giá trị SN bằng giá trị SN trước đĩ + I và HC bằng œ (vơ cùng) đến các nút trong hệ thống Sau khi nhận gĩi RERR tại mỗi nút sẽ tiễn hảnh xĩa thơng tin đường đi đến nút bị hỏng, nhờ vậy mà thơng tin đường đi luơn được đảm bảo

2.1.4 Khuyết điểm của giao thức định tuyến AODV

Trong giao thức AODV, mỗi nút di động duy trì một bảng định tuyến lưu trữ thơng tin nút bước truyền kế tiếp cho một đường truyền đến một nút đích Khi một nút nguồn muốn truyền một gĩi tin đến một nút đích, nĩ sử dụng một tuyến đường cụ thể nếu tuyến đường đĩ cĩ sẵn trong bảng định tuyến Nếu khơng, nút khởi tạo quá trình khám phá tuyến bằng cách truyền phát một thơng báo yêu cầu tuyến Route

Request (RREQ) đến các nút lân cận Sau khi nhận được thơng báo RREQ, các nút

cận kể cập nhật bảng định tuyến của mình cho một tuyến đường ngược đến nút nguồn Tất cả các nút nhận khơng cĩ tuyến đường đến nút đích truyền gĩi tin RREQ đến các nút lân cận của mình Các nút trung gian tăng số lượng bước truyền trước khi chuyền

tiếp RREQ

Trong AODV mỗi nút mạng khám phá đường đi đến nút khác bằng cách sử dụng gĩi yêu cầu RREQ, gĩi trả lời RREP và duy trì thơng tin đường đi bằng gĩi

thơng báo lỗi RERR Vấn đề là khi nhận nút gửi từ gĩi RREQ hoặc RREP thì khơng

cĩ thực hiện kiểm tra độ tin cậy của gĩi gửi cũng như gĩi nhận cĩ an tồn hay là độc hại Các gĩi tin xác thực hop-by-hop nhưng khơng cĩ phương thức bảo mật kiểm tra

độ tin cậy, lỗ hỏng bảo mật này tạo điều kiện cho tin tặc thực hiện các hình thức tấn

cơng vào mạng MANET

AODV cĩ những lỗ hỏng nhất định địi hỏi cần phải cĩ giao thức khắc phục yếu điểm trên, đo đĩ giao thức định tuyến an ninh H(AODV) và OTP_AODV ra đời nhằm giải quyết được vấn đề an ninh trên mạng MANET

2.2 GIAO THỨC ĐỊNH TUYẾN AN NINH H(AODV)

Giao thức H(AODV) được để xuất bởi Cheol-seung Lee [3] vào năm 2015 để giải quyết các thử thách an ninh trong mạng MANET H(AODV) là một giao thức mở rộng của giao thức AODV tại 2 giai đoạn: (1) Yêu cầu tuyến: (2) Trả lời tuyến

Bang 2.1 Cấu trúc gĩi tin của H(AODV)

Gĩi RREQ Gĩi RREP OTP(128 bi) OTP(128 bi) Gĩi H(RREQ) Gĩi H(RREP)

Hai gĩi yêu cầu tuyến H(RREQ) và trả lời tuyến H(RREP) cĩ cấu trúc như hai

gĩi RREQ và RREP, được bé sung thêm thuộc tinh OTP nhu bang 2.1, thudc tinh

này sử dụng đề xác nhận OTP

H(AODV) giả định rằng mỗi nút trong hệ thống mạng đều cĩ một bảng băm cung cấp từ một hệ thống mật mã khĩa bất đối xứng đề bảo mật các thơng điệp định tuyến AODV Hơn nữa, mỗi nút cĩ khả năng xác minh mối liên hệ giữa địa chỉ của nút và khĩa cơng khai của nút đĩ Do đĩ, cần phải cĩ một lược đồ quản lý chuỗi bảng băm cho giao thức H(AODV)

2.2.1 Thuật tốn hàm băm MDS

MD5 (Message-Digest algorithm 5) cung cấp số ngẫu nhiên 128 bit kết quả từ giá trị kết quả cuối cùng bằng cách sử dụng cơng thức 2.6 từ đầu vào cĩ độ dài

thay đổi MD5 được sử dụng để tạo nên mật khẩu mã hĩa bằng OTP (One Time Password) voi chiều là là 32 ký tự Mục đích của việc mã hĩa này là biến đổi một chuỗi mật khẩu thành một đoạn mã khác, sao cho từ đoạn mã đĩ khơng thể nào lần trở lại mật khẩu

A—B+((A+g(B,C, D) +X [k] +T [i]) <<<s) (2.6)

- B6 dém A, B, C, D: MD5

- ø: một trong các ham bam F, G, H, I

Hình 2.5 Vi du các nút mạng khởi tạo OTP để xác thực

2.2.2 Mật khẩu sử đụng một lần (OTP) và cơ chế xác thực OTP 2.2.2.1 Mật khẩu sử dụng một lần

OTP là mật khẩu sử dụng một lần, được nhiều nhà nghiên cứu quan tâm ứng

dụng vào các giải pháp an ninh trong nhiều lĩnh vực như mạng LTE [10], giao địch

ATM [11] OTP được tạo ra bằng cách sử dụng hàm băm ƒ(MDs), mật khâu thứ k

(gọi là OTPx) được tạo từ mật khẩu thứ k-l (la OTPx.1), OTP thứ k của hai nut Nj va

Nj goi la OTP” Hinh 2.6 m6 ta qua trinh tao day cac OTP cua hai nut Ni va Nj nhu

sau, MAX la sé luong cac OTP cần tạo ra:

e Đầu tiên, hai nut Ni va N¡ sử dụng một khĩa bí mật \Ÿ và chia sẻ trên một kênh

truyền an tồn;

e Tiếp theo, nut N; tao va lu day gm MAY cac OTP!” với k=1 MAX, bao gồm:

OTR” = f,= fly) OTP,” = f, = (fly) OTR” = f= S(t)

OTPrit = fusx = f{ Prax);

¢Cudi cing, nut Nj tao va luu day gsm MAX cac OTP?" voi k=1 MAX,

bao gồm: OTR” = f= f(y); OTr”=/,=/(/W)):OfP=ƒ=/(ƯVW)):

OTH= ar= F\ Fone)

Ni @ - N;

//Tao va luu OTP"! tai N; Chia sé khoa ‘Y //Tao va luu CK tai N;

oTP’’ — flv): — OTP'< /(w}

Luu OTP,” ; 3 Luu OTP,’” ;

For (int "SP: k<M4Y; k+)ƒ Reni teagan taeda For (int k=2; k <MAX: k++){

j ji |,

OTR" < flOTR:} OTR — f {OTR}

} po

Huy khoa ¥; Hủy khĩa Ÿ;

Hình 2.6 M6 ta qua trinh tao OTP gitra hai nut Ni va Nj

2.2.2.2 Cơ chế xác thực OTP

Hình 2.7 mơ tả việc xác thuc OTP giữa hai nút N¡ và Nị Nút N¡ gửi gĩi P kèm OTP; dén Nj, nut Nj sử dụng hàm ƒ để băm giá trị OTP!" và so sánh kết quả băm với OTP trong gĩi P Nếu hai giá trị này trùng khớp nhau thì OTP của trong gĩi P là hợp

lệ, gĩi P được chấp nhận, N¡ lưu lại OTP đã sử dụng để loại bỏ Mỗi nút trong mạng

lưu trữ bộ đếm UO để loại bỏ các OTP đã sử dụng trong lần khám phá tiếp theo

Ni Nị

UO — UO + 1;

k=MAX-UO; ofp — ƒ(OTP;1);

P+ OTP; Néu otp= P.OTP Thi

c ggg > + OTP cua nit N; la hop 1é;

+ Chấp nhận gĩi P;

Hình 2.7 Mơ tả quá trình xác thực OTP tại nút N¡ khi nhận gĩi P từ nút N¡ 2.2.3 Tạo bảng băm “Creation Hash Tables”

Bảng 2.2 Tạo bảng băm cho các nút mạng 0 |h%xI) |h?%%2) |h?œ«3) | | hej) | |h?œn) I |h«xI) |hl«x2) |hl«3) | |hlœj | |hlœn) 2 |h@œI) |h«2) |h?«3) | |h?œj | | ban k-i | h*! (x1) | h* x2) |h*«3) | |hxj) | |hÝ%xn) k | bead) |hX%2) |h*«3) | |h*œj) | |h#œn)

Mỗi nút mạng khi tham gia vào quá trình định tuyến sẽ được khởi tạo ra các giá

trị bảng băm như bảng 2.2 Khi các bảng băm tạo ra chuỗi băm như h?(x), h{x), ,

h(x) từ chuỗi bit đơn x, khi ¡ từ một đến chiều đài n thi h°(x) 1a x, h(x) 1a h(h°x))

băm thêm một lần nữa và h(x) là h(h“!(x)) Mỗi nút mạng tạo ra k sé thơng điệp của các n bit bằng cách sử dụng bảng băm tạo OTP

Khi mỗi nút mạng j từ một đến chiều dài n dé tao bảng băm, họ chon x; la hé

số khĩa riêng và tạo chuỗi băm cĩ độ đài là k về hệ số khĩa riêng của số n Nút nguồn Ns truyền một thơng báo sau khi ký nĩ với khĩa riêng thứ k bằng cách sử dụng PKI (cơ sở hạ tầng khĩa cơng khai), sau khi các nút mạng liền kể xác minh giá trị của hỀ

(xj) duoc truyén từ nút nguồn Ns, họ tạo ra vị từ một chiều dài n sử dụng hệ số khĩa

cơng khai O TP của nút mạng

2.2.4 Yêu cầu bảo mật định tuyến Tạo bảng băm CÁ ÐEenneeeeeieieeeierdeeeieddedcdeoe Ni Serre: NT Quang ba gi RREQ + OTP “Ty | So sanh OTP Ngập lụt gĩi RREQ + OTP am"

Gởi gĩi RREP + OTP Goi goi RREP + OTP So sinh OTP Goi goi RREP + OTP

Ns: Nút nguồn Ni: Nút trung gian Np: Nut dich Hình 2.8 Các bước của bảo mật định tuyến

Như hình 2.8, giao thức định tuyến H(AODV) kết hợp OTP vào AODV ở

giai đoạn giới hạn định tuyến OTP xác nhận gĩi tin định tuyến, cung cấp bảo mật

và tính tồn vẹn về việc giả mạo gĩi tin từ độc hại nút và thiết lập xác định định

tuyến thơng qua H(RREQ) và H(RREP) với chuỗi băm sau sự hình thành của mỗi nút mạng Nĩ cĩ thể bảo quản số hop thơng tin giữa các nút mạng và cĩ thê bảo

đảm đường dẫn liên lạc an tồn vì gĩi tin xác minh, tiến hành phương thức tương

tự như chữ ký số OTP

2.2.5 Thuật tốn chọn đường đi của H(AODYV)

2.2.5.1 Thuật tốn quảng bá gĩi yêu cầu tuyến H(RREO)

Hình 2.9 mơ tả thuật tốn yêu cầu tuyến hỗ trợ cơ chế xác thực OTP cho tất cả

các nút Tất cả các nút tham gia trong hệ thống mạng đều được khởi tạo kèm bảng băm, cách tạo ra OTP như hình 2.8 Nút nguồn Ns khám phá tuyến đến nút đích Np

bằng cách quảng bá gĩi tin P H(RREQ) kèm với OTP thứ k (k =MAX-brd_id) đến

nút trung gian N¡, nút N¡ sử dụng hàm ƒ dé băm giá trị OTPk.¡ và so sánh kết quả băm với OTP trong gĩi P Nếu hai giá trị này trùng khớp nhau thì OTP của trong gĩi P là

hợp lệ, gĩi P được chấp nhận, ngược lại gĩi H(RREQ) bị hủy vì xuất hiện nút độc hại

tham gia vào quá trình khám phá tuyến, kết thúc thuật tốn

Tiếp theo, nút trung gian N; xử lý gĩi tin HŒREQ) tương tự giao thức gốc nếu

gĩi H(RREQ) được chấp nhận

- Thêm src_add và brd_id vào Cache đề ghi nhận gĩi được xử lý:

- Nếu nút trung gian Ni cĩ tuyến đủ tươi đến nút đích Np hoặc N: là nút đích thì

Ni gửi gĩi trả lời tuyến H(RREP) kèm OTP¿ về nguồn, kết thúc thuật tốn

- Ngược lại, N¡ tăng chi phí định tuyến lên 1 và tiếp tục quảng bá gĩi H(RREQ) Tương tự, gĩi H(RREQ) tiếp tục được xử lý tại các nút trung gian khác cho đến khi nút đích nhận được gĩi H(RREQ) hoặc nút đích khơng tổn tại Mỗi nút trung gian chỉ xử lý gĩi H(RREQ) nếu OTP trong gĩi là hợp lệ, ngược lại gĩi bị hủy Do giá trị brd_id tăng 1 mỗi khi thực hiện khám phá tuyến nên các OTP cuối cùng sẽ bị loại bỏ sau khi sử dụng

Nút nguồn Ns Bắt đầu Ỷ

Quảng bá gĩi H(RREQ); H(RREQ): H(RREQ) + OTPx Ni nhân được gĩi H(RREO);); z = a

a OTP của Ng là —Ố Xuất hiện độc hại;

8 hợp lệ Húy gĩi HRREQ);

= “

Ni them tuyén về Ns hoặc cập nhật lại

tuyên cũ nêu tuyên mới cĩ chi phí tơt Thêm src_add và brd_1d vào Cache đề ghi

nhận gĩi được xử lý

Ni cĩ tuyến đủ yes eis iG

tươi đến đích? a gl Gửi gĩi H(BREP) + OTPx VỆ nguơn y Nut dich Np H(RREQ).HC++; Hình 2.9 Thuật tốn quảng bá yêu cầu gĩi tin H(RREQ)

225.2 Thuật tốn trả lời tuyến H(RREP)

Hình 2.10 mơ tả thuật tốn gửi gĩi H(RREP) hỗ trợ cơ chế xác thực OTP Đề

trả lời tuyến, nút đích Np dựa vào bảng định tuyến của nĩ để xác định nút kế tiếp về nguồn Gĩi H(RREP) được khởi tạo kèm với OTP thứ k(k= MAX-brd_ ¡d)

Nút trung gian N¡ nhận được gĩi H(RREP) sau đĩ kiểm tra OTP của nút Np trong gĩi H(RREP)

- Nếu OTP khơng hợp lệ thì hủy gĩi H(RREP) và kết thúc thuật tốn

- Ngược lại:

+ Nếu N¡ là nút đích thì chấp nhận gĩi H(RREP) đề xác lập tuyến mới;

+ Ngược lại, N¡ tìm đường di về nguồn trong bảng định tuyến Nếu tìm thấy thi Ni chuyén tiếp gĩi H(RREP), thiết lập lưu đường đi ngược về Np vào bảng định tuyến,

kết thúc thuật tốn; Ngược lại, hủy gĩi HRREP) và kết thúc

Nut dich Np Bat dau r

Tạo gĩi H(RREP);

H(RREP): H(RREP) + OTPx Nut trung gian Nj Vv OTP ctia Np là hợp lệ N, là nút nguồn

Xuất hiện tấn cơng mạng

Hủy gĩi H(RREP) wy ae a re Nhận gĩi H(RREP); Tìm đường đi về nguồn trong bảng định tuyến Chấp nhận gĩi H(RREP) đề xác lập tuyến mới L——X je + yes no

Hủy gĩi H(RREP)

2.2.6 Mơ tả hoạt động của giao thức của H(AODV)

2.2.6.1 Yêu cầu tuyến H(RREO)

Ns: Nat nguồn

Np: Nut dich N Ni: Nut trung gian `

Ny: Nut lang giéng QO _®

HRRE ,<Ý ' = ' s

Ni | Nob

Ns BREQ) 7< HGREO) = On came WD H(RREQ) Co)

‘OO H(RREQ): H(RREQ) + OTP:

Hình 2.11 Mơ tả quá trình khám phá đường di thong qua goi RREQ

Minh họa cơ chế hoạt động của H(AODV) trong Hình 2.11 khơng khác gì

AODV nén phan này luận văn sẽ trình bày sự khác biệt đĩ là cách xác thực an ninh

từng chặn giữa các nút mạng thơng qua OTP

Quá trình khám phá đường đi từ nút nguồn Ns (1) đến nút đích Np (9) trong sơ

đỗ mạng Hình 2.11 được mơ tả như sau:

Đầu tiên nút nguồn Ns(1) phát gĩi tin quảng bá H(RREQ) kèm với OTP thứ k

(k = MAX-brd_id) dén voi nut trung gian N¡(3), nút N;() nhận được dữ liệu gĩi tin từ nút nguồn Ns đồng thời nút sử dụng hàm ƒ để băm giá trị OTPi.¡ và so sánh kết quả bam voi OTP trong goi Ns(1)

- Nếu giá trị OTP khơng giống nhau thì gĩi tin quảng bá HRREQ của nút nguồn NS(1) bị hủy, kết thúc quá trình khám phá tuyến

- Ngược lại thì gĩi tin được xem là hợp lệ tiếp tục quá trình khám quá tuyến, nút trung gian Ni) sẽ gửi gĩi quảng bá HRREQ dén nut Ni(5), Ni(7) Qua trình khám quá tuyến đường từ nút trung gian N:G) -> Ni(6) -> N:Œ7) tương tự như giao thức gốc AODV nhưng phải thơng việc kiểm tra OTP

Nút trung gian Ni(7) tiếp tục khám phá tuyến cho đến khi gặp nút đích Np(9), sau khi nhận được gĩi tin nút đích dùng hàm ƒ băm giá trị OTP¿ và so sánh kết quả

băm với OTP trong gĩi N7) Nếu giá trị OTP giống nhau thì trả lời gĩi H(RREP) về

nút nguồn Ns(1), hình thành 1 tuyến đường đi trong bảng định tuyến, ngược lại thì

hủy gĩi H(RREQ) kết thúc quá trình khám phá tuyến

2.2.6.2 Tra loi tuyén H(RREP)

- € “H&REP) No | a TRREP) N S` H/RREP) ÁP PhỈ 5 À. -~- YF fas < sở # H(RREP) a cero Wireless link “a » H(RREQ) mm <+— H(RREP)

Hình 2.12 Mơ tả quá trình trả lời gĩi RREP về nguồn

Hình 2.12 mơ tả thuật tốn gửi gĩi H(RREP) hỗ trợ cơ chế xác thực OTP Đề

trả lời tuyến, nút đích Np(9) dựa vào bảng định tuyến của nĩ đề xác định nút kế tiếp

về nguồn Nút đích Np(9) gửi gĩi H(RREP) được khởi tạo kèm với OTP thứ k (k =

MAX -brd_¡d) đến nút trung gian Ni(7)

Nút trung gian N¡ (7) nhận được gĩi H(RREP) sau đĩ kiểm tra OTP của nút Np(9) trong gĩi H(RREP)

- Nếu OTP khơng hợp lệ thì hủy gĩi H(RREP) và kết thúc quá trình trả lời tuyến - Ngược lại nút N¡(7) được chấp nhận gĩi H(RREP), N7) tìm đường đi về

nguồn trong bảng định tuyến, thực hiện quy trình chuyền tiếp liên tục từ Ni(7) đến nút nguồn Ns(1) để tìm kiếm và xác minh theo H(RREP) thơng qua nut Ni(5), NiG) Nếu trung gian N¡C) tìm thấy nút nguồn Ns(1) thì N¡ (3) chuyển tiếp gĩi

H(RREP), thiét lập lưu đường đi ngược về nút đích Np(9) vào bảng định tuyến, kết thúc quá trình trả lời tuyến

Nhận xét hoạt động giao thức H(AODYV)

H(RREP) làm thay đổi giá trị thiết lập các thuộc tính bao gồm kích thước tiền

tố, số hop count của nút cĩ liên quan, dia chi IP cua nut dich Np, số thứ tự, dia chi IP

của nút nguồn Ns, thời gian sống, bộ đếm và OTP của thơng điệp phản hồi

Do đĩ, chúng ta cĩ thể ngăn chặn nút độc hại được ngụy trang thành một nút

khác khơng lan truyền thơng tin định tuyến khơng chính xác hoặc ngăn chặn cuộc tan cơng tái tạo về H(RREP) đề bảo đảm đường dẫn định tuyến an tồn

Sau khi xác định tuyến đường, mỗi nút mạng truyền thơng báo xác nhận thường xuyên đến các nút mạng khách đề kiểm tra đường dẫn định tuyến hợp lệ Trừ khi các nút mạng xây ra lưu lượng truy cập của đường dẫn trong suốt thời gian sống, nĩ sẽ kiểm tra xem đường dẫn đĩ cĩ hoạt động trên bảng định tuyến hay khơng Tuy nhiên,

nếu dữ liệu được truyền từ đường dẫn khơng hợp lệ hoặc liên kết đường dẫn bị cắt,

nĩ sẽ truyền H(RRER) thơng báo lỗi được tạo ra Chúng ta cĩ thể ngăn chặn một nút

độc hại được ngụy trang thành nút mạng chính thức khỏi cuộc tấn cơng tạo H(RRER)

vi H(RRER) được ký là OTP

2.3 GIAO THỨC ĐỊNH TUYẾN AN NINH OTP AODV

Khơng giống như các mạng cĩ dây, đặc tính chính của mạng Ad hoc đặt ra một

số thách thức khơng cần thiết đối với thiết kế bảo mật Hơn nữa, vì AODV là một

giao thức định tuyến được thiết kế đặc biệt cho các mạng Ad hoc, nĩ thừa hưởng các

vấn để bảo mật thơng thường khiến nĩ dễ bị tấn cơng bởi các loại tắn cơng khác nhau

Do đĩ, bảo mật AODV là một nhiệm vụ đầy thách thức khi tấn cơng giao thức định

tuyến, kẻ tấn cơng cĩ thể tấn cơng lưu lượng truy cập đến các điểm đến nhất định trong các nút đưới sự kiểm sốt của chúng và khiến các gĩi tin được chuyển tiếp dọc theo tuyến đường khơng tối ưu hoặc thậm chí khơng tổn tại Đề xuất OTP_AODV được thành lập, cho phép xác thực các nút thơng qua việc sử dụng hệ thống OTP

Trên thực tế, OTP là một hệ thống xác thực đáng tin cậy sử dụng mật khẩu mới cho

mỗi lần xác thực mới Sau khi được tích hop vao AODV, OTP ngan chan tan cơng

phát lại và khơng từ chối các gĩi tin định tuyến được trao đổi trong mạng

OTP_AODV đảm bảo tính bảo mật và tính tồn vẹn của các gĩi tin định tuyến được

trao đổi bằng cách sử dụng chữ ký điện tử

2.3.1 Mơi trường giả thuyết

Chúng ta hãy xem xét một mạng cĩ n nút Mỗi nút N¡ phải được xác thực trước

khi truy cập mạng Do đĩ, mỗi nút phải tạo ra một chuỗi OTP; lưu y OTPi, ., OTPn Để được xác thực, gia tri cudi cùng của chuỗi OTP (OTPN) được phát tới các nút láng

giềng Nụ một bước

Các giả định sau đây được sử dụng trong OTP_AODV: « Mỗi nút cĩ một định danh đuy nhất (ID)

« Mỗi nút cĩ thể là một nút độc lập hoặc một dịch vụ xác thực

« Mỗi nút cĩ một chứng chỉ điện tử được ký bởi cơ quan chứng nhận tin cậy Certification Authority (CA)

« Mỗi nút cĩ một cặp khĩa: khĩa riêng và một khĩa cơng khai

« Độ dài của chuỗi băm, giả sử n, nĩ là cố định và tương ứng với số lượng sử dụng được phép của lập trình viên tạo ra con số bí mật

» Mỗi nút cĩ tính tốn được sử dụng để tạo chuỗi OTP

« Các nút được liên kết truyền thơng với nhau và cĩ giá trị OTP được khởi tạo

khác nhau khi tham gia vào hệ thống

2.3.2 Thuật tốn chọn đường đi của OTP_AODV

OTP AODV do các tác giả [9] để xuất vào năm 2014 được xây dựng theo hai giai đoạn: giai đoạn (1) là khởi tạo trong đĩ CA phân phối các khĩa cũng như chứng chỉ cho các nút Sau đĩ, mỗi nút cĩ thể tạo chuỗi OTP và phát giá trị cuối cùng cho

2.3.2.1 Giai đoạn khởi tạo OTP 10DV

Bước đầu tiên trong giai đoạn này liên quan đến các khĩa và chứng chỉ khởi

tạo Một CA đáng tin cậy phân phối cho mỗi nút mạng N¡ một cặp khĩa, (khĩa

riêng với tên gọi SK¡ và khĩa chung la PK; ) được gọi chung là Cert¡ Sau khi nhận

được, mỗi nút sẽ phát chứng chỉ được liên kết với ID¡ định danh của nĩ cho các

nút láng giềng N¡ của nĩ thơng qua gĩi tin HELLO Điều này được định nghĩa bằng cơng thức như sau:

Nị — Broadcast HELLO: : {ID¡, Certi }

Trong bước thứ hai, mỗi nút láng giềng N¡ nhận thơng báo HELLO hoạt động

như một máy chủ xác thực Nút N¡, sau đĩ thêm một hàng vào bảng mật khẩu của nĩ

cho nut Nj noi lưu trữ khĩa chung của N; như được chứa trong chứng chỉ của nĩ Cuối cùng nút N¡ gửi xác minh rõ ràng và ở chế độ unicast đến nút Nj thong qua gĩi tin REP_ HELLO như mơ tả sau đây:

Nj — Unicast Ni REP_ HELLO; : {IDj; , Challenge; }

Bước cuối cùng trong giai đoạn này là chuỗi thế hé OTP Trong thực tế, mỗi nút N¡ đã nhận được thơng báo REP_HELLO từ nút láng giềng của nĩ, tạo ra “mật khâu

bí mật”, mật khẩu chỉ được biết bởi chính nút đĩ và nĩ khơng bao giờ được truyền

đi Liên kết với thử thách nhận được j, mật khẩu bí mật này được sử đụng bởi nut Ni

để tạo chuỗi OTP;¡ cĩ độ dài N theo 2 bước Đầu tiên, nĩ lấy giá trị phần tử nào đĩ

cho trước và nối nĩ với mật khẩu bí mật được tạo Thứ hai, nĩ áp dụng hàm băm N

lần trên kết quả nối để cĩ được chuỗi OTP

Cách thức tạo ra mật khẩu sử dụng một lần (OTP) va co ché xac thuc OTP của của giao thức OTP_AODV hồn tồn giống như giao thức H(AODV) Chuỗi nay được lưu trữ trong bảng mật khẩu của Ni trong hang trong tng voi nut Nj

Sau đĩ, nút N¡ quảng bá gĩi tin đến các nút láng giềng, giá trị OTPN được tao cho mỗi nút láng giềng thơng qua thơng báo MSG-OTP Nút N; là nút láng giềng một bước với các nút N¡ và N:, thơng báo được phát đi như sau:

i — Broadcast MSG OTP;: {ID;, OTP — ID¿ OTP ~ }

Mỗi nút lang giéng lấy giá tri MSG_OTP; gửi cho OTPw tương ứng với ID của nĩ Các giá trị được lưu trữ trong bảng mật khẩu trong hàng tương ứng với nút Ni

Một bộ đếm cũng được liên kết với hàng này và được khởi tạo cho N

Do đĩ, mỗi lần nút N¡ được xác thực bằng một giá trị từ chuỗi OTP, bộ đếm này

bị giảm cho đến khi đạt đến giá trị “1' Trong trường hợp này, nút N; phải gửi yêu cầu

đặt lại mật khẩu đến nút N¡ mục đích là tạo ra chuỗi OTP mới Khi giai đoạn này đạt

được chính xác, tất cả các nút sẽ duy trì cho mỗi láng giềng một bước, thơng tin sau trong bảng mật khẩu như sau:

* Mã định danh nút, ID

« Chuỗi OTP cho phép nút xác thực cho các nút láng giểng

« Bộ đếm khởi tạo cho N

« OTP cuối cùng, OTP N cho phép nút láng giềng xác thực cho nút trong câu hỏi Bảng 2.3 Bảng xác thực mật khẩu cho giá tri nut Ni

Not lang giéng ID OTP Bộ đếm khởi tạo Giá trị OTP

ID; OTP, — OTPx# N OTPNi

ID: OTP,'* — OTPyi* N OTP

Chúng ta hãy xem xét một nút Ni cé hai lang giéng mét Nj va Nk Bảng mật khẩu của nút Ni sé cĩ cấu trúc sau đây được mơ tả bởi Bảng 2.3

Vi nut Nico hai nút lang giéng mot Nj va Nx No quang ba goi tin HELLO i: {ID;, Cer} với chứng chỉ và mã định đanh của nĩ Mỗi nút láng giéng Nj va Nx nhan được gĩi tin HELLO, sau khi thơng qua quá trình xác thực và gửi gĩi tin đến nút N¡ REP HELLO

Nut Nj sé gti goi tin REP_ HELLO j {IDj, Challengej} và nút N: sẽ gửi gĩi tin REP HELLO k {IDx, Challengex }

Khi nút Ni nhận được những gĩi tin này ti nut lang giéng, nĩ tạo một chuỗi OTP và phát nĩ đến hai nút sử dụng gĩi tin MSG_OTP

MSG_OTP;: {1D;, OTP, ID, OTP — } N „ N CA i N N a k H FLLOi vn C * Certi) HELL oj i * Di, Cergii eo — LOI: REP_HEL 4 # it š qIDị, Chanens REP_HELLOK: | Challenge —_ {IDk, —=—c MSG OTpi; MSG_OTPi:

{IDj, ore’), ‘ {1Dj, orp! — i SN”

1Dk, orpt~ &\ N IDk, orp! ~ k nv

v v v

time time dive lu

Hình 2.13 Sơ đồ thời gian giai đoạn khởi tạo và xác thực 23.2.2 Giai đoạn xác thực OTP_ AODV

Khi một nút muốn gửi gĩi điều khiển như gĩi tin RREQ, RREP, nĩ phải ký

tên bằng khĩa riêng của mình và để xác thực Điều này được thực hiện bằng cách sử dụng thêm một gĩi phụ bổ sung, ADD_MSG được liên kết với các gĩi điều khiến Sau đây, chúng ta sẽ mơ tả mơ hình hĩa theo các thơng điệp kiểm sốt được sử dụng trong AODV: RREQ, RREP (bảo mật khám phá tuyến đường) và RERR (bảo trì tuyến đường)

Bảo mật khám phá tuyến đường

Khi một nút nguồn S cần gửi gĩi tin đến nút đích D khơng thuộc về nút láng giéng của nĩ, nĩ sẽ phát một yêu cầu tuyến (RREQ) Nĩ cũng thêm chứng chỉ của mình để xác thực thơng báo điều khiến và ký tất cả các trường khơng thê được sửa đổi bởi các nút trung gian với SKs khĩa riêng của nĩ

Hơn nữa, nút S sử dụng một gĩi phụ bổ sung ADD_MSG chứa ID láng giềng

cũng như gia tri OTP tr bang mat khẩu của nĩ Do đĩ, nếu § đã xác thực trước đĩ

với nut A bang cach st dung gid tri OTP N S-A, thi no phai str dung gia tri OTP N-1 §-A Hai gĩi tin RREQ và ADD_MSG được gửi đồng thời và được chính thức

hĩa như sau:

Broadcast RREQ {ID_RREQ, type @src, @dest, SNS, SND, a HC, CertS, [ID_RREQ, type, @src, @dest, SND, SND]SKs }

S

Broadcast ADD_MSGs: {[Da, OTP —

Chúng ta hãy xem xét rằng nút A là láng giềng một bước với nút S Khi nút A

nhận được gĩi điều khiển từ nút S, nĩ đạt được các hoạt động sau:

« Xác minh RREQ: nút A giải mã nhận được chữ ký số với khĩa cơng khai S, băm giá trị nhận được và so sánh kết quả Nếu hai giá trị khĩa cơng khai giống nhau

thì xác nhận gĩi tin hợp lệ, ngược lại gĩi chỉ đơn giản là bị rơi

« Trích xuất OTP N-1 §-A: nút A băm OTP N-1 S-A nhận được vả so sánh nĩ

với giá trị được lưu trữ (OTPN S-A) trong bảng mật khẩu của nĩ Nếu hai giá trị băm

giống hệt nhau, thì S được xác thực, giá trị OTP mới được lưu trữ và bộ đếm bị giảm

Mặt khác, gĩi bị từ chối vì nĩ khơng phải là đến từ S

+ Điều khiển phát thơng báo: khi nhận dạng gĩi tin S là hợp lệ, nút láng giềng

A phát RREQ cho các nút láng giềng và thêm giá trị OTP của nĩ vào thơng ADD MSG

Khi nút đích D nhận được thơng báo RREQ, nĩ sẽ xác minh danh tính nút

nguồn, nhận dạng nguơn thơng báo và sau đĩ tạo thơng báo RREP

Trong phản hỗi này, cdc trrong RREP duoc ky béi dich va gia tri OTP N-1 D- J được thêm vào thơng báo ADD_MSG Hơn nữa, mỗi nút gửi phản hồi được xác thực bằng OTP Cuối cùng, nút nguồn xác minh chữ ký đích và cập nhật bảng định tuyến của nĩ với tuyến đường mới thu được

Bảo trì tuyến đường

Theo định kỳ, mỗi nút phát thơng báo HELLO tới các láng giềng của mình để

duy trì tuyến Nếu khơng nhận được gĩi tin HELLO sau thời hạn nhất định, liên kết được xem là khơng hợp lệ Nút cuối cùng, ví dụ: trước khi ngất liên kết, phải đạt được

các hành động sau:

+ Loại bỏ tất cả các tuyến chứa nút

« Liệt kê tất cả các điểm đến khơng thê truy cập (unreach_Dest_IP) cũng như số thứ tự của ching (Unreach_dest_SN)

+ Tim ra tất cả những nút láng giềng bị ảnh hưởng

s Gửi cho họ một gĩi tin RERR

Nút nguồn S nút phát hiện ra một ngắt liên kết và nút láng giềng A sử dụng liên kết này Nút S thơng báo với A về thay đổi cấu trúc liên kết bằng thơng báo RERR đã ký sau đây và chứa chứng chỉ của nĩ:

S-> A RERRs {Dest_Count, Unreach_Dest_IP, Unreach dest_SN, Certs, [Dest_Count, Unreach_ Dest IP, Unreach_dest_SN, Certs] SKs }

Do đĩ, mỗi nút nhận thơng báo RERR, kiểm tra chữ ký S sau đĩ chuyên tiếp nĩ Cập nhật chuỗi OTP:

Méi nut Ni gửi một thơng điệp RREQ hoặc RREP, nĩ sẽ xác thực bằng một giá

trị từ chuỗi OTP Khi nhận được gia tri nay, lang giéng Nj sé giảm bộ đếm liên quan

đến nút N¡i Khi bộ đếm này lấy lại giá trị tối thiểu “1”, nút N¡ yêu cầu thiết lập lại

chuỗi OTP và do đĩ thơng qua thơng báo OTP_ MAI

J -> Unicast i OTP_MAJj: {IDi, chanllenge; }

Sau khi nhận được, nút Ni tạo ra một mật khẩu bí mật mới va sử dụng thử thách

mới dé tạo chuỗi OTP mới từ đĩ nĩ gửi giá trị cuối cùng đến nút Nị Tĩm lại, giao thức định tuyến an ninh OTP_AODV đã thành lập, dựa trên hai giai đoạn Trong giai đoạn khởi tạo, CA phân phối các khĩa cũng như chứng chỉ cho các nút Mỗi nút cĩ

thể sau đĩ, tạo chuỗi OTP Chuỗi OTP này sẽ được sử dụng để xác thực và bảo đảm

phát hiện tuyến và các giai đoạn duy trì tuyến

2.3.3 Mơ tả hoạt động của giao thức OTP_AODV

Hành vi của OTP_AODV được trình bày thơng qua cơ chế phát hiện tấn cơng vịng lặp định tuyến, tấn cơng lỗ đen và tấn cơng lỗ sâu như sau:

2.3.3.1 Phát hiện tắn cơng vịng lặp định tuyến

Trong cuộc tấn cơng vịng lặp định tuyến, kẻ tấn cơng gửi hai RREP trong khi giả mạo danh tính của hai nút hợp pháp và do đĩ để tạo ra một vịng định tuyến trên tuyến đường cĩ sẵn [12] Điều này gây ra sự hồn thành của các tài nguyên nút trong vịng lặp

ODO ODDO

@) ©

Hình 2.14 Phát hiện tấn cơng vịng lặp định tuyến bằng OTP_AODV

Như mơ tả trong Hình 2.14, nút độc hại M sử dụng hai RREP để tạo một vịng

định tuyến trong tuyến đã được thiết lập giữa nút nguồn và nút đích để tiêu thụ tài nguyên của các nút trong vịng lặp được tạo (a) Đầu tiên, một đường dẫn ban đầu

được thiết lập từ 1 đến 4 đi qua 2 và 3 (b) Thứ hai, M tạo một gĩi tin RREP dau tiên

và gửi nĩ đến 3 trong khi giả mạo danh tính nút 2 Nút 3 sẽ nhận thấy rằng một nút

độc hại giả mạo danh tính của nút 2 vì M sẽ khơng thể xác thực bằng cách sử dụng

giá trị từ chuỗi OTP của nút 2 Do đĩ, phần đầu tiên của vịng lặp sẽ khơng được hồn thành (c) Cuối cùng, M tạo RREP thứ hai và gửi nĩ tới 2 trong khi giả mạo danh tính

nut 3 Nut 2 sé biét duoc rằng một nút độc hại giả mạo danh tính của nút 3 Do đĩ,

vịng lặp sẽ khơng bao giờ hồn thành

2.3.3.2 Phát hiện tắn cơng lỗ đen

Tấn cơng lỗ đen là một kiểu tấn cơng từ chối dịch vụ trong mà một nút độc hại

sử dụng các lỗ hổng của các gĩi khám phá tuyến của giao thức định tuyến để quảng cáo chính nĩ cĩ đường dẫn ngắn nhất tới nút cĩ các gĩi mà nĩ muốn chặn [13] Đề

thực hiện một cuộc tấn cơng lỗ đen, nút độc hại chờ các nút lân cận gửi gĩi tin RREQ Khi nút độc hại nhận được thơng báo RREQ, mà khơng kiểm tra bảng định tuyến của