Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc

DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO/TELEGRAM : 0934.573.149
TẢI FLIE TÀI LIỆU – LUANVANTOT.COM
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
GIẢI PHÁP CHỐNG TẤN CÔNG GIAO THỨC ĐỊNH TUYẾN AODV
TRONG MẠNG MANET
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội – 2014

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
GIẢI PHÁP CHỐNG TẤN CÔNG GIAO THỨC ĐỊNH TUYẾN AODV
TRONG MẠNG MANET
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và Mạng máy tính
Mã số:
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS. TS Nguyễn Văn Tam
Hà Nội – 2014

MỤC LỤC
Lời cam đoan………………………………………………………………………………..I
Lời cảm ơn…………………………………………………………………….....................II
Danh mục các ký hiệu và chữ viết tắt……………………………………………….III
Danh mục các bảng…………………………………………………………...................IV
Danh mục các hình vẽ………………………………………………………....................V
I. MỞ ĐẦU ........................................................................... Error! Bookmark not defined.
II. NỘI DUNG .................................................................... Error! Bookmark not defined.
Chƣơng 1: TỔNG QUAN .............................................. Error! Bookmark not defined.
1.1. Giới thiệu mạng MANET .......................................... Error! Bookmark not defined.
1.1.1. Giới thiệu chung .................................... Error! Bookmark not defined.
1.1.2. Định Tuyến trong mạng MANET ......... Error! Bookmark not defined.
1.2. Tổng quan một số vấn đề an ninh trong mạng MANET .. Error! Bookmark not
defined.
1.2.1. Tiêu chí an toàn trong mạng MANET ... Error! Bookmark not defined.
1.2.2. Thách thức an ninh trong mạng MANET ............. Error! Bookmark not
defined.
1.2.3. Các mối đe dọa an ninh trong mạng MANET ...... Error! Bookmark not
defined.
1.2.3.1. Tấn công sửa đổi (Attack using Modification) ... Error! Bookmark
not defined.
1.2.3.2. Tấn công đóng giả (Attacks using Impersonation) .................. Error!
Bookmark not defined.
1.2.3.3. Tấn công chế tạo ( Attacks using Fabrication) .... Error! Bookmark
not defined.
1.2.3.4. Tấn công đặc biệt ............................ Error! Bookmark not defined.
1.2.4. Một số giải pháp tăng cƣờng an ninh trong mạng MANET ........... Error!
1.3. Công cụ nghiên cứu chính NS-2 .............................. Error! Bookmark not defined.
1.3.1. Giới thiệu về NS-2 ................................. Error! Bookmark not defined.
1.3.2. Kiến trúc của NS-2 ................................ Error! Bookmark not defined.
1.4. Kết Luận ........................................................................ Error! Bookmark not defined.

Chƣơng 2: GIẢI PHÁP CHỐNG TẤN CÔNG GIAO THỨC ĐỊNH
TUYẾN AODV TRONG MẠNG MANET .............. Error! Bookmark not defined.
2.1. Tổng quan các vấn đề về mật mã liên quan đến luận văn Error! Bookmark not
defined.
2.1.1. Chữ ký số ............................................... Error! Bookmark not defined.
2.1.1.1. Khái niệm chữ ký số ........................ Error! Bookmark not defined.
2.1.1.2. Phân loại chữ ký số ......................... Error! Bookmark not defined.
2.1.1.3. Sơ đồ chữ ký RSA ........................... Error! Bookmark not defined.
2.1.1.4. Hàm băm ......................................... Error! Bookmark not defined.
2.1.2. Chứng chỉ số .......................................... Error! Bookmark not defined.
2.1.2.1. Chuẩn X509 ..................................... Error! Bookmark not defined.
2.1.2.2. Quá trình ký và xác thực chữ ký ..... Error! Bookmark not defined.
2.2. Giải pháp xác thực thông tin định tuyến – giao thức AODVLV .............. Error!
2.2.1. Định dạng gói tin giao thức AODVLV . Error! Bookmark not defined.
2.2.1.1. Định dạng gói RREQ ...................... Error! Bookmark not defined.
2.2.1.2. Định dạng gói RREP ....................... Error! Bookmark not defined.
2.2.1.3. Định dạng gói RERR ....................... Error! Bookmark not defined.
2.2.1. Những thay đổi trong hoạt động của giao thức AODVLV so với AODV
.......................................................................... Error! Bookmark not defined.
2.2.1.1. Quá trình khám phá tuyến ............... Error! Bookmark not defined.
2.2.1.2. Quá trình đáp ứng tuyến .................. Error! Bookmark not defined.
2.2.1.3. Quá trình thông báo lỗi .................... Error! Bookmark not defined.
2.3. Giải pháp giám sát chống tấn công flooding RREQ trong giao thức
AODVLV .............................................................................. Error! Bookmark not defined.
2.4. Mức độ an ninh của giao thức định tuyến AODVLV ....... Error! Bookmark not
defined.
Chƣơng 3: CÀI ĐẶT MÔ PHỎNG, ĐÁNH GIÁ HIỆU SUẤT CỦA GIAO
THỨC AODVLV SO VỚI GIAO THỨC AODV .. Error! Bookmark not defined.
3.1. Phân tích thiết kế ......................................................... Error! Bookmark not defined.
3.1.1. Phân tích hoạt động của phƣơng thức tấn công blackhole ............. Error!
3.1.2. Phân tích hoạt động của phƣơng thức tấn công flooding RREQ ... Error!
3.1.3. Phân tích thƣ viện dùng để mô phỏng ... Error! Bookmark not defined.

3.1.4. Công cụ phân tích và biểu diễn kết quả mô phỏng ..... Error! Bookmark
not defined.
3.1.5. Các tham số hiệu suất cần đƣợc đánh giá giao thức AODVLV ..... Error!
3.1.6. Cách thức phân tích tệp vết ................... Error! Bookmark not defined.
3.2. Chƣơng trình mô phỏng ............................................. Error! Bookmark not defined.
3.2.1. Thiết lập mạng mô phỏng giao thức ...... Error! Bookmark not defined.
3.2.1.1. Thiết lập tô-pô mạng ....................... Error! Bookmark not defined.
3.2.1.2. Phân tích tệp vết .............................. Error! Bookmark not defined.
3.2.1.3. Kết quả phân tích giao thức AODV và giao thức AODVLV với tốc
độ di chuyển thay đổi ................................... Error! Bookmark not defined.
3.2.1.4. Kết quả phân tích giao thức AODV và giao thức AODVLV với số
nút blackhole tăng dần .................................. Error! Bookmark not defined.
3.2.1.5. Kết quả phân tích giao thức giải pháp chống tấn công flooding
RREQ đề xuất so với giải pháp chống tấn công flooding RREQ cũ đƣợc cài
đặt trong giao thức AODVLV với số nút flooder tăng dần .................. Error!
3.2.2. Đánh giá ảnh hƣởng của giải pháp đề xuất đến hiệu suất của giao thức
định tuyến......................................................... Error! Bookmark not defined.
III. KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ......... Error! Bookmark not defined.
1. Các kết quả của luận văn ............................................... Error! Bookmark not defined.
2. Hƣớng phát triển của đề tài .......................................... Error! Bookmark not defined.
IV. DANH MỤC CÁC TÀI LIỆU THAM KHẢO Error! Bookmark not defined.
V. PHỤ LỤC........................................................................ Error! Bookmark not defined.
1. Cài đặt mô phỏng tấn công blackhole ........................Error! Bookmark not defined.
2. Cài đặt mô phỏng tấn công flooding RREQ ............Error! Bookmark not defined.
3. Cài đặt cơ chế xác thực bằng chữ ký số và chống tấn công flooding RREQ
..................................................................................................Error! Bookmark not defined.

Lời cam đoan
Tôi xin cam đoan luận văn “Giải pháp chống tấn công giao thức định
tuyến AODV trong mạng MANET” là do tôi tự nghiên cứu và hoàn thành dƣới
sự hƣớng dẫn của PGS.TS Nguyễn Văn Tam.
Tôi xin chịu hoàn toàn trách nhiệm về lời cam đoan này.
Hà Nội, ngày 01 tháng 11 năm 2014

Lời cảm ơn
Trƣớc tiên, tôi xin gửi lời cảm ơn chân thành tới PGS.TS. Nguyễn Văn Tam,
ngƣời thầy đã tận tình giúp đỡ tôi trong suốt quá trình làm luận văn và truyền cho tôi
những kinh nghiệm quý báu trong thời gian thực hiện đề tài.
Tôi xin gửi lời biết ơn sâu sắc tới thầy, cô trong trƣờng Đại Học Công Nghệ,
Đại Học Quốc Gia Hà Nội. Thầy, cô đã truyền lại cho chúng tôi những kiến thức vô
cùng hữu ích trong thực tiễn, cũng nhƣ dạy chúng tôi phƣơng pháp nghiên cứu khoa
học, phát huy khả năng tƣ duy sáng tạo trong mọi lĩnh vực.
Cuối cùng, tôi xin đƣợc cảm ơn gia đình, bạn bè, những ngƣời thân yêu nhất của
tôi. Mọi ngƣời luôn ở bên cạnh tôi, động viên, khuyến khích tôi học tập, nghiên cứu.
Do thời gian nghiên cứu và kinh nghiệm nghiên cứu chƣa nhiều nên luận văn
còn nhiều thiếu sót, rất mong nhận đƣợc những ý kiến góp ý của các Thầy/Cô và các
bạn học viên.
Hà Nội, tháng 11 năm 2014

Danh mục các ký hiệu và chữ viết tắt
AODV Adhoc On-demand Distance MANET Mobile Adhoc NETwork
Vector
SAODV Secure Adhoc On-demand ARAN Authenticated Routing for
Distance Vector Adhoc Networks
RREQ Route Request RREP Route Reply
DSDV Destination-Sequenced RERR Route error
Distance Vector
DSR Dynamic Source Routing NS-2 Network Simulator 2
EDRI Extended Data Routing IEEE Institute of Electrical and
Information Electronics Engineers
SSL Secure socket layer CA Certificate authority
NS-2 Network Simulator 2 DOS Denial of Service
DDOS Distributed Denial of Service

Danh mục các bảng
Bảng 1.1: Các kiểu tấn công cơ bản trong MANETtrên các tầng khác nhau Error! Bookmark
not defined.
Bảng 2.1: Khuôn dạng chứng chỉ X509 ................................... Error! Bookmark not defined.
Bảng 3.1: Bảng các tham số cấu hình chung cho việc mô phỏng ........... Error! Bookmark not
defined.
Bảng 3.2: Kết quả tỉ lệ phân phát gói tin của giao thức AODV và giao thức AODVLV theo
tốc độ di chuyển ........................................................................ Error! Bookmark not defined.
Bảng 3.3: Kết quả thời gian trung bình phản ứng của giao thức AODV và giao thức AODVLV
theo tốc độ di chuyển .............................................. Error! Bookmark not defined.
Bảng 3.4: Kết quả độ trễ trung bình của giao thức AODV và giao thức AODVLV theo tốc độ
di chuyển .................................................................................. Error! Bookmark not defined.
Bảng 3.5: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo tốc độ
di chuyển .................................................................................. Error! Bookmark not defined.
Bảng 3.6: Kết quả Tỉ lệ phân phát gói tin thành công của giao thức AODV và giao thức
AODVLV theo số nút blackhole .............................................. Error! Bookmark not defined.
Bảng 3.7: Kết quả độ trễ trung bình của các gói tin CBR của giao thức AODV và giao thức
Bảng 3.8: Kết quả số gói tin bị mất của giao thức AODV và giao thức AODVLV theo số nút
blackhole ................................................................................... Error! Bookmark not defined.
Bảng 3.9: Kết quả tỉ lệ phân phát gói tin thành công của giao thức AODV và giao thức AODVLV
theo số nút flooder .................................................. Error! Bookmark not defined.
Bảng 3.10: Kết quả thời gian trung bình phản ứng của giao thức AODV và giao thức AODVLV
theo số nút flooder .................................................. Error! Bookmark not defined.
Bảng 3.11: Kết quả số gói tin RREQ trung bình nhận đƣợc của một nút trong giao thức AODV và
giao thức AODVLV theo số nút flooder ................. Error! Bookmark not defined.
Bảng 3.12: Kết quả số gói tin bị mất giao thức AODV và giao thức AODVLV theo số nút
flooder ....................................................................................... Error! Bookmark not defined.

Danh mục các hình vẽ
Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET ....... Error! Bookmark not
defined.
Hình 1.2: quá trình tìm đƣờng trong AODV ............................ Error! Bookmark not defined.
Hình 1.2: Phân loại tấn công trong giao thức định tuyến mạng MANET ..... Error! Bookmark
not defined.
Hình 1.3: Mô tả tấn công sửa đổi nguồn .................................. Error! Bookmark not defined.
Hình 1.4: Mô tả tấn công giả mạo ............................................ Error! Bookmark not defined.
Hình 1.5: Mô tả tấn công chế tạo ............................................ Error! Bookmark not defined.
Hình 1.6: Mô tả tấn công wormhole ......................................... Error! Bookmark not defined.
Hình 1.7: Mô tả tấn công black hole ........................................ Error! Bookmark not defined.
Hình 1.8: Cách tính hàm băm khi bắt đầu phát sinh RREQ hay RREP .. Error! Bookmark
not defined.
Hình 1.9: Tổng quan về NS-2 dƣới góc độ ngƣời dùng ........... Error! Bookmark not defined.
Hình 1.10: Luồng các sự kiện cho file Tcl chạy trong NS ....... Error! Bookmark not defined.
Hình 2.4: Nội dung của một chứng chỉ .................................... Error! Bookmark not defined.
Hình 2.5: Nội dung của một chứng chỉ .................................... Error! Bookmark not defined.
Hình 2.6: Định dạng gói RREQ trong giao thức AODVLV .... Error! Bookmark not defined.
Hình 2.7: Định dạng gói RREP trong giao thức AODVLV ..... Error! Bookmark not defined.
Hình 2.8: Định dạng gói RERR trong giao thức AODVLV .... Error! Bookmark not defined.
Hình 2.8: Lƣu đồ thuật toán xử lý khi nhận một gói RREQ .... Error! Bookmark not defined.
trong giao thức AODVLV ........................................................ Error! Bookmark not defined.
Hình 3.1: Hoạt động của blackhole khi nhận một gói RREQ .. Error! Bookmark not defined.
Hình 3.2: Hoại động của flooder .............................................. Error! Bookmark not defined.
Hình 3.3: Hoạt động của flooder khi nhận gói RREQ ............. Error! Bookmark not defined.
Hình 3.5: Biểu đồ thể hiện tỉ lệ phân phát gói tin của giao thức AODV so với AODVLV theo
tốc độ di chuyển ........................................................................ Error! Bookmark not defined.
Hình 3.6: Biểu đồ thể hiện thời gian trung bình phản ứng của giao thức AODV so với AODVLV
theo tốc độ di chuyển .............................................. Error! Bookmark not defined.
Hình 3.7: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR trong giao thức AODV so
với AODVLV theo tốc độ di chuyển........................................ Error! Bookmark not defined.

Hình 3.8: Biểu đồ thể hiện số gói tin bị mất trong giao thức AODV so với AODVLV theo tốc độ
di chuyển ............................................................................. Error! Bookmark not defined.

Hình 3.9: Biểu đồ thể hiện tỉ lệ phân phát gói tin thành công trong giao thức AODV so với
Hình 3.10: Biểu đồ thể hiện độ trễ trung bình của các gói tin CBR của giao thức AODV và giao
thức AODVLV theo số nút blackhole .............................. Error! Bookmark not defined.
Hình 3.11: Biểu đồ thể hiện số gói tin bị mất của giao thức AODV và giao thức AODVLV
theo số nút blackhole ................................................................ Error! Bookmark not defined.
Hình 3.12: Biểu đồ thể hiện tỉ lệ phân phát gói tin thành công của giao thức AODV và giao
thức AODVLV theo số nút flooder .......................................... Error! Bookmark not defined.
Hình 3.13: Biểu đồ thể hiện thời gian trung bình phản ứng của giao thức AODV và giao thức
AODVLV theo số nút flooder .................................................. Error! Bookmark not defined.
Hình 3.14: Biểu đồ thể hiện số gói tin RREQ trung bình nhận đƣợc của một nút trong giao thức
AODV và giao thức AODVLV theo số nút flooder ......... Error! Bookmark not defined.
Hình 3.15: Biểu đồ thể hiện số gói tin bị mất giao thức AODV và giao thức AODVLV theo
số nút flooder ............................................................................ Error! Bookmark not defined.

1
I. MỞ ĐẦU
Ngày nay với sự phát triển mạnh mẽ của các thiết bị di động cá nhân nhƣ:
điện thoại thông minh, máy tính xách tay, máy tính bảng,… thì nhu cầu kết nối
giữa các thiết bị này ngày càng đòi hỏi cao hơn trong tốc độ, khả năng di chuyển
trong kết nối. Mạng MANET (Mobile Ad-hoc Network) là một công nghệ vƣợt
trội đáp ứng nhu cầu kết nối nhờ khả năng hoạt động không phụ thuộc cơ sở hạ
tầng, triển khai nhanh, linh hoạt ở nhiều địa hình khác nhau. Mạng MANET
ngày càng đóng vị trí quan trọng. Nó có thể ứng dụng vào nhiều lĩnh vực trong
cuộc sống nhƣ lĩnh vực quân sự, truyền thông trong điều kiện thiên tai,…Tuy
nhiên chính vì hoạt động không phụ thuộc cơ sở hạ tầng, truyền thông trong
không khí,… đã làm cho mạng MANET bộc lộ nhiều điểm yếu tấn công. Những
thách thức an ninh đặt ra trong việc thiết kế mạng MANET là không hề nhỏ và
cực kỳ cấp thiết, thƣờng tập trung vào đó là bảo mật tầng liên kết, bảo mật định
tuyến, trao đổi và quản lý khóa. Trong khuôn khổ luận văn, tác giả tập trung chủ
yếu vào việc nghiên cứu bổ sung một cơ chế an ninh cho giao thức định tuyến.
Cụ thể là bổ sung cơ chế an ninh cho giao thức định tuyến AODV tạm đặt là
giao thức AODVLV.
Bố cục của luận văn chia làm ba phần:
Chương 1: Tổng Quan
Giới thiệu mạng MANET, các thách thức an ninh, các mối đe dọa an ninh
và một số giải pháp an ninh đã đƣợc nghiên cứu.
Chương 2: Giải pháp chống tấn công giao thức định tuyến AODV trong
mạng MANET
Các vấn đề mật mã liên quan đến luận văn, đƣa ra giải pháp xác thực
thông tin định tuyến sử dụng chữ ký số - giao thức AODVLV, giải pháp giám
sát chống tấn công flooding rreq – giao thức AODVLV.
Chương 3: Cài đặt mô phỏng, đánh giá hiệu suất của giao thức AODVLV
Cài đặt mô phỏng giao thức AODVLV, xây dựng các kịch bản mô phỏng
các tham số hiệu suất cho giao thức AODVLV, so sánh hiệu suất với giao thức
AODV qua biểu đồ.

2
II. NỘI DUNG
Chƣơng 1: TỔNG QUAN
1.1. Giới thiệu mạng MANET
1.1.1. Giới thiệu chung
MANET Là mạng dựa trên mô hình độc lập ad hoc, các nút trong mô hình
này giao tiếp trực tiếp với nhau mà không sử dụng một điểm truy cập nào. Do
việc kết hợp giữa tính di động với mạng Ad hoc nên ngƣời ta thƣờng gọi là
mạng MANET (Mobile Ad-hoc-Network).
Mạng MANET có các đặc điểm chính sau:
- Cấu hình mạng động: Các nút có thể tự do di chuyển theo mọi hƣớng và
không thể đoán trƣớc đƣợc.
- Băng thông hạn chế: Các liên kết không dây có băng thông thấp hơn so
với đƣờng truyền cáp và chúng còn chịu ảnh hƣởng của nhiễu, suy giảm tín
hiệu vì thế mà thƣờng nhỏ hơn tốc độ truyền lớn nhất của sóng vô tuyến.
- Năng lƣợng hạn chế: Một số hoặc tất cả các nút trong mạng MANET
hoạt động phụ thuộc vào pin nên chúng bị hạn chế về khả năng xử lý và bộ nhớ.
- Bảo mật kém: Do đặc điểm của mạng MANET là truyền sóng vô tuyến
nên cơ chế bảo mật của mạng là kém hơn so với các mạng truyền cáp. Chúng
tiềm ẩn nhiều nghi cơ bị tấn công đặc biệt là nghe nén, giả mạo hay tấn công
DDOS,…
1.1.2. Định Tuyến trong mạng MANET
Các yêu cầu quan trọng đối với giao thức định tuyến trong mạng
MANET:
- Thích ứng nhanh khi tô-pô thay đổi: Do các nút trong mạng di chuyển
liên tục, nhanh và không thể đoán trƣớc nên phải tốn nhiều thời gian để có thể
tìm ra tuyến đƣờng đi, dẫn tới việc phải phát lại các gói tin tìm đƣờng.
- Thuật toán tìm đƣờng thông minh, tránh tình trạng lặp định tuyến.
- Đảm bảo cơ chế duy trì tuyến mạng trong điều kiện bình thƣờng.
- Bảo mật: do truyền tín hiệu trong không khí và dễ bị tấn công theo các
phƣơng thức nghe lén, giả mạo và ddos,.. nên các giao thức định tuyến cần phải
đƣợc bổ sung cơ chế phát hiện, ngăn chặn và chống lại các kiểu tấn công.
Các giao thức định tuyến chính trong mạng MANET: Một trong những
phƣơng pháp phổ biến để phân loại các giao thức định tuyến cho mạng MANET
là dựa trên cách thức trao đổi thông tin định tuyến giữa các nút trong mạng.

3
Theo phƣơng pháp này thì giao thức định tuyến trong mạng MANET đƣợc chia
thành các loại sau: Các giao thức định tuyến theo yêu cầu, định tuyến theo bảng,
và định tuyến lai ghép.
- Các giao thức định tuyến theo yêu cầu (on-demand). Quá trình khám phá
tuyến bắt đầu khi có yêu cầu và kết thúc khi có tuyến đƣờng đƣợc tìm ra hoặc
không tìm ra đƣợc tuyến do sự di chuyển của nút. Việc duy trì tuyến là một hoạt
động quan trọng của định tuyến theo yêu cầu. So với định tuyến theo bảng, ít
tiêu đề định tuyến là ƣu điểm của định tuyến theo yêu cầu nhƣng việc phải bắt
đầu lại quá trình khám phá tuyến trƣớc khi truyền dữ liệu gây trễ trong mạng.
Các giao thức chính dạng này nhƣ: giao thức định tuyến vector khoảng cách
theo yêu cầu AODV (Ad hoc On-demand Distance Vector Routing) và giao thức
định tuyến định tuyến nguồn động DSR (Dynamic Source Routing), giao thức
định tuyến theo thứ tự tạm thời TORA (Temporally Ordered Routing
Algorithm).
- Các giao thức định tuyến theo bảng (table-driven). Mỗi nút luôn lƣu trữ
một bảng định tuyến chứa các tuyến đƣờng tới các nút khác trong mạng. Định
kỳ mỗi nút đánh giá các tuyến tới các nút trong mạng để duy trì trạng thái kết
nối. Khi có sự thay đổi cấu hình, các thông báo đƣợc truyền quảng bá trong toàn
mạng để thông báo cho các nút cập nhật lại bảng định tuyến của mình. Với việc
lƣu trữ sẵn có tuyến đƣờng làm cho tốc độ hội tụ mạng nhanh, tuy nhiên cơ chế
định kỳ phát quảng bá thông tin tuyến làm tăng tải trong mạng. Các giao thức
định tuyến theo bảng: giao thức định tuyến không dây WRP (Wireless Routing
Protocol), giao thức định tuyến vector khoảng cách tuần tự đích DSDV
(Dynamic Destination-Sequenced Distance-Vector Routing), giao thức định
tuyến trạng thái liên kết tối ƣu OLSR (Optimized Link State Routing).
- Các giao thức định tuyến lai ghép (hybrid) để kết hợp ƣu điểm của hai
loại giao thức trên và khắc phục các nhƣợc điểm của chúng.

4
Hình 1.1: Phân loại các giao thức định tuyến trong mạng MANET
Giao thức định tuyến AODV: là giao thức dựa trên thuật toán vector khoảng
cách. Giao thức AODV tối thiểu hoá số bản tin quảng bá cần thiết bằng cách tạo
ra các tuyến trên cơ sở theo yêu cầu.
Hình 1.2: quá trình tìm đường trong AODV
Quá trình tìm đƣờng đƣợc khởi tạo bất cứ khi nào một nút cần truyền tin
với một nút khác trong mạng mà không tìm thấy tuyến đƣờng liên kết tới đích
trong bảng định tuyến. Nó phát quảng bá một gói yêu cầu tìm đƣờng (RREQ)
đến các nút lân cận. Các nút lân cận này sau đó sẽ chuyển tiếp gói yêu cầu đến
nút lân cận khác của chúng. Quá trình cứ tiếp tục nhƣ thế cho đến khi có một
nút trung gian nào đó xác định đƣợc một tuyến “đủ tƣơi” để đạt đến đích hoặc
gói tin tìm đƣờng đƣợc tìm đến đích. AODV sử dụng số thứ tự đích để đảm bảo
rằng tất cả các tuyến không bị lặp và chứa hầu hết thông tin tuyến hiện tại. Mỗi
nút duy trì số tuần tự của nó cùng với ID quảng bá. ID quảng bá đƣợc tăng lên
mỗi khi nút khởi đầu một RREQ và cùng với địa chỉ IP của nút, xác định duy
nhất một RREQ. Cùng với số tuần tự và ID quảng bá, nút nguồn bao gồm trong
RREQ hầu hết số tuần tự hiện tại của đích mà nó có. Các nút trung gian trả lời
RREQ chỉ khi chúng có một tuyến đến đích mà số tuần tự đích lớn hơn hoặc
bằng số tuần tự chứa trong RREQ.
Trong quá trình chuyển tiếp RREQ, các nút trung gian ghi vào Bảng định
tuyến của chúng địa chỉ của các nút lân cận khi nhận đƣợc bản sao đầu tiên của gói
quảng bá, từ đó thiết lập đƣợc một đƣờng dẫn theo thời gian. Nếu các bản sao của
cùng một RREQ đƣợc nhận sau đó, các gói tin này sẽ bị huỷ. Khi RREQ đã đạt đến
đích hay một nút trung gian với tuyến “đủ tƣơi”, nút đích (hoặc nút trung gian) đáp
ứng lại bằng cách phát unicast một gói tin trả lời (RREP) ngƣợc trở về nút lân cận
mà từ đó nó nhận đƣợc RREQ. Khi RREP đƣợc định tuyến ngƣợc theo đƣờng
dẫn, các nút trên đƣờng dẫn đó thiết lập các thực thể tuyến chuyển tiếp trong Bảng
định tuyến của chỉ nút mà nó nhận đƣợc RREP. Các thực thể tuyến chuyển tiếp này
chỉ thị tuyến chuyển tiếp. Cùng với mỗi thực thể

5
tuyến là một bộ định thời tuyến có nhiệm vụ xoá các thực thể nếu nó không
đƣợc sử dụng trong một thời hạn xác định.
Trong giao thức AODV, các tuyến đƣợc duy trì với điều kiện nhƣ sau:
Nếu một nút nguồn chuyển động, nó phải khởi động lại giao thức tìm đƣờng để
tìm ra một tuyến mới đến đích. Nếu một nút trên tuyến chuyển động, nút lân cận
luồng lên của nó chú ý đến chuyển động đó và truyền một bản tin “Khai báo sự
cố đƣờng thông” đến mỗi nút lân cận tích cực luồng lên để thông báo cho các
nút này xoá phần tuyến đó. Các nút này thực chất truyền một “Thông báo sự cố
đƣờng thông” đến các nút lân cận luồng lên. Quá trình cứ tiếp tục nhƣ vậy cho
đến khi đạt đến nút nguồn. Nút nguồn sau đó có thể chọn khởi động lại một quá
trình tìm đƣờng tới đích đó nếu một tuyến vẫn cần thiết.
Giao thức AODV sử dụng bản tin HELLO đƣợc phát quảng bá định kỳ
bởi một nút để thông báo cho tất cả các nút khác về những nút lân cận của nó.
Các bản tin HELLO đƣợc sử dụng để duy trì khả năng kết nối cục bộ của một
nút. Tuy nhiên, việc sử dụng bản tin HELLO là không cần thiết. Các nút lắng
nghe việc truyền lại gói dữ liệu để đảm bảo rằng vẫn đạt đến chặng kế tiếp. Nếu
không nghe đƣợc việc truyền lại nhƣ thế, nút có thể sử dụng một trong số các
kỹ thuật, kể cả việc tiếp nhận bản tin HELLO. Các bản tin HELLO có thể liệt kê
các nút khác mà từ đó nút di động đã nghe tin báo, do đó tạo ra khả năng liên kết
lớn hơn cho mạng.
Giao thức AODV không hỗ trợ bất kỳ cơ chế an ninh nào để chống lại các
cuộc tấn công. Điểm yếu chính của giao thức AODV là [6]:
- Kẻ tấn công có thể đóng giả một nút nguồn S bằng cách phát quảng bá
gói RREQ với địa chỉ IP nhƣ là địa chỉ của nút nguồn S.
- Kẻ tấn công có thể giả làm nút đích D bằng cách phát quảng bá gói
RREP với địa chỉ nhƣ là địa chỉ của nút đích D.
- Kẻ tấn công có thể giảm giá trị trƣờng hop count trong RREQ và RREP
để các nút nguồn cho rằng nó có tuyến đƣờng đi ngắn nhất tới đích.
- Kẻ tấn công có thể tăng giá trị trƣờng sequence number trong RREQ và
RREP làm các nút nguồn cho rằng nó có tuyến đƣờng đi mới nhất đi tới đích.
- Kẻ tấn công có thể phát ra gói tin thông báo tuyến đƣờng bị lỗi làm sai
lệch thông tin bảng định tuyến trong mạng.
Nhƣ vậy giao thức AODV cần thiết ít nhất hai cơ chế: Chứng thực dữ
liệu tại mỗi nút nhận và đảm bảo tính toàn vẹn của thông điệp định tuyến.

6
1.2. Tổng quan một số vấn đề an ninh trong mạng MANET
1.2.1. Tiêu chí an toàn trong mạng MANET
Tính sẵn sàng: Đảm bảo cho mạng và các dich vụ trong mạng luôn hoạt
động kể cả khi bị tấn công từ chối dịch vụ. Tại tầng vật lý và liên kết dữ liệu kẻ
tấn công có thể sử dụng các kỹ thuật gây nhiễu, gây trở ngại cho giao tiếp. Trên
tầng mạng, kẻ tấn công có thể phá vỡ các giao thức định tuyến…
Tính toàn vẹn: Đảm bảo dữ liệu truyền thông không bị sửa đổi từ nguồn
đến đích.
Tính bí mật: Đảm bảo thông tin chỉ đƣợc biết bởi những ngƣời đƣợc
phép, không bị tiết lộ cho các tổ chức trái phép.
Tính xác thực: Đảm bảo một nút phải xác định đƣợc danh tính rõ ràng
của một nút khác trong quá trình truyền dữ liệu với nó. Nếu không có tính xác
thực một kẻ tấn công có thể mạo danh một nút, do đó đạt đƣợc quyền truy cập
trái phép vào tài nguyên, thông tin nhạy cảm và ảnh hƣởng đến hoạt động của
các nút khác.
Tính không chối bỏ: Đảm bảo một nút khi nhận đƣợc một thông điệp có
thể biết chắc rằng thông điệp đó đƣợc gửi từ một nút nguồn nào đó. Và cũng
đảm bảo nút nguồn không thể phủ nhận thông điệp mà nó đã gửi hay hành động
mà nó đã thực hiện.
1.2.2. Thách thức an ninh trong mạng MANET
Những điểm yếu cơ bản của mạng MANET [4] đến từ kiến trúc mở peer-
to-peer. Không giống nhƣ mạng có dây là nó có các routers, mỗi nút trong mạng
ad hoc có chức năng nhƣ một router và chuyển tiếp gói tin cho những nút khác.
Việc truyền tin trong không khí là nguy cơ của việc nghe nén thông tin. Khó
kiểm soát việc một nút bên ngoài tham gia vào mạng. Không có cơ sở hạ tầng để
có thể triển khai một giải pháp an ninh. Những kẻ tấn công có thể xâm nhập vào
mạng thông qua việc tấn công các nút, từ đó làm tê liệt hoạt động của mạng.
Việc giới hạn về tài nguyên trong mạng MANET cũng là một thách thức cho
việc thiết kế bảo mật. Giới hạn băng thông của kênh truyền không dây và chia sẻ
qua nhiều thực thể mạng. Khả năng tính toán của một nút cũng bị giới hạn.
Các thiết bị không dây di chuyển nhiều hơn so với các thiết bị có dây.
Hình trạng mạng thay đổi liên tục do sự di chuyển, tham gia hay rời khỏi mạng
của các nút. Ngoài ra còn có nhiễu trong các kênh không dây làm ảnh hƣởng tới
băng thông và độ trễ. Do các nút di chuyển liên tục nên đòi hỏi các giải pháp an

7
ninh cũng phải đáp ứng tại bất kỳ đâu, bất kỳ lúc nào khi chúng di chuyển từ
chỗ này đến chỗ khác.
Những đặc điểm trên của mạng MANET chỉ ra phải xây dựng lên giải
pháp an ninh mà đáp ứng cả về an ninh và hiệu suất của mạng.
- Giải pháp an ninh nên đƣợc cài đặt ở nhiều thực thể nút để cho hỗ trợ
bảo vệ toàn mạng. Trong đó phải đáp ứng khả năng tính toán liên quan tới việc
tiết kiệm năng lƣợng, bộ nhớ cũng nhƣ hiệu năng truyền thông của mỗi nút.
- Giải pháp an ninh cần phải hỗ trợ ở nhiều tầng giao thức, mỗi tầng cung
cấp một một tuyến phòng thủ. Không có giải pháp ở một tầng duy nhất có khả
năng ngăn chặn tất cả các nguy cơ tấn công.
- Giải pháp an ninh cần phải ngăn chặn những nguy cơ tấn công từ bên
ngoài và từ bên trong mạng.
- Giải pháp an ninh cần phải có khả năng ngăn chặn, phát hiện và chống
lại cuộc tấn công.
- Cuối cùng, giải pháp an ninh cần phải phù hợp với thực tiễn và chi phí
thấp.
1.2.3. Các mối đe dọa an ninh trong mạng MANET
Do những đặc điểm của mạng MANET nên chúng có những điểm yếu cố
hữu và tiềm ẩn các nguy cơ đe dọa an ninh từ các cuộc tấn công. Các cuộc tấn
công trong mạng MANET thƣờng đƣợc chia thành hai nhóm.
Các cuộc tấn công từ bên trong mạng:
- Chủ động: Kẻ tấn công chủ động tham gia tấn công vào hoạt động bình
thƣờng của dịch vụ mạng, có thể là hủy gói tin, chỉnh sửa gói tin, phát lại gói
tin, giả mạo gói tin, hay giả một nút nào đó để thực hiện gửi gói tin,…
- Bị động: Kẻ tấn công không làm tê liệt hoạt động của mạng mà chỉ thực
hiện các hành vi nghe trộm các thông tin trên đƣờng truyền. Kiểu tấn công này
rất khó phát hiện vì không có bất cứ việc chỉnh sửa hay làm thay đổi hoạt động
bình thƣờng của mạng.
Các cuộc tấn công từ bên ngoài mạng: Mục đích thƣờng nhắm đến của
các cuộc tấn công từ bên ngoài có thể là gây ùn tắc, làm sai lệch thông tin định
tuyến, ngăn chặn các dịch vụ hoặc làm tê liệt chúng. Các cuộc tấn công từ bên
ngoài có thể đƣợc ngăn ngừa bằng cách sử dụng các giải pháp mã hóa, ids,
firewall, …

8
Ảnh hƣởng của các cuộc tấn công từ bên trong thƣờng lớn hơn so với các
cuộc tấn công diễn ra từ bên ngoài mạng. Vì giả sử một nút độc hại khi đã tham
gia vào bên trong mạng thì nó sẽ có đầy các quyền tham gia vào dịch vụ mạng,
cũng nhƣ các chính sách an ninh bên trong mạng. Nên việc tấn công nhƣ nghe
nén, sửa đổi, hủy bỏ hay chỉnh sửa thông tin mạng là rất dễ dàng.
Bảng 1.1: Các kiểu tấn công cơ bản trong MANETtrên các tầng khác nhau
Tầng Tấn công
Tầng ứng dụng Repudiation, data corruption
Tầng giao vận Session hijacking, SYN flooding
Tầng mạng Spoofing, Fabrication,
Wormhole, Blackhole,
Modification, Denial of Service,
Sinkholes, Sybil,Eavesdropping,
traffic analysis, monitoring
Tầng liên kết dữ liệu Traffic analysis, monitoring,
disruption MAC (802.11), WEP
weakness
Tầng vật lý Jamming, interceptions,
eavesdropping
Nhƣ bảng 1.1[7], chúng ta thấy các cuộc tấn công trong MANET có thể
diễn ra ở bất kỳ tầng nào và mỗi tầng với những hình thức khác nhau có thể là
tấn công chủ động hoặc tấn công bị động. Trong khuôn khổ luận văn, tác giả sẽ
tập trung nghiên cứu các hình thức tấn công trong tầng mạng, cụ thể là các cuộc
tấn công trong giao thức định tuyến mạng MANET. Từ đó đƣa ra giải pháp cụ
thể để có thể ngăn ngừa, hạn chế và chống lại các cuộc tấn công.
Sau đây là một số kiểu tấn công cơ bản vào giao thức định tuyến mạng
MANET [9].

9
MANET routing Attack
Attack using
Modification
- Redirection
by modified
route sequence
no’s
- Redirection
by modified
hop count
- Redirection
by modified
source route
Attack using
Impersonation
- Redirection
by spoofing
Attack using
Fabrication
- Route Cache
poisoning
- Falsifying
route error
Special attacks
- Worm hole
- Black hole
- Gray hole
Hình 1.2: Phân loại tấn công trong giao thức định tuyến mạng
MANET 1.2.3.1. Tấn công sửa đổi (Attack using Modification)
Trong kiểu tấn công này một số trƣờng trong bản tin của giao thức bị sửa
đổi và sau đó thông điệp đƣợc forward qua nhiều nút. Điều này trở thành
nguyên nhân phá vỡ tuyến đƣờng, cũng nhƣ chuyển hƣớng tuyến hay gây ra
một cuộc tấn công từ chối dịch vụ (Denial of Service attacks). Một vài kiểu tấn
công thuộc kiểu này:
Tấn công sửa đổi sequence numbers (Route sequence numbers
modification)
Kiểu tấn công này thể hiện rõ ràng nhất ở giao thức AODV. Trong kiểu
tấn công này kẻ tấn công thực hiện sửa đổi số sequence number trong gói tin
RREQ hoặc RREP đi qua chúng để tạo ra tuyến đƣờng mới có hiệu lực nhất. Từ
đó có thể tham gia đƣợc vào tuyến đƣờng truyền dữ liệu từ nguồn tới đích.
Tấn công sửa đổi trƣờng Hop count
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức AODV. Trong
kiểu tấn công này, kẻ tấn công thực hiện sửa đổi trƣờng hop count trong gói tin
RREQ, RREP, dẫn tới nút nguồn tƣởng rằng đó là tuyến đƣờng ngắn nhất và
thực hiện truyền dữ liệu qua nó.
Tấn công sửa đổi nguồn (Source route modification attack)
Kiểu tấn công này cũng chủ yếu diễn ra trong giao thức đinh tuyến nguồn
DSR. Kẻ tấn công chặn thông điệp sửa đổi danh sách các nguồn trƣớc khi gửi

10
tới nút đích trong quá trình truyền. Ví dụ: Trong hình bên dƣới, tuyến đƣờng
ngắn nhất giữa nút nguồn S và đích X là (S – A – B – C – D – X). S và X không
thể truyền dữ liệu trực tiếp cho nhau và kịch bản nhƣ sau: nút M là nút độc hại
cố gắng thực hiện tấn công từ chối dịch vụ. Giả sử nút nguồn S cố gắng gửi dữ
liệu tới nút X nhƣng nút M chặn gói tin và bỏ đi nút D trong danh sách và gói
tin đƣợc chuyển tiếp đến nút C, nút C cố gắng gửi gói tin đến nút X nhƣng
không thể vì nút C không thể truyền tin trực tiếp tới nút X. Dẫn tới nút M thực
hiện thành công cuộc tấn công DDOS trên X.
S A B C D X
M
S A B M C D X
Hình 1.3: Mô tả tấn công sửa đổi nguồn
1.2.3.2. Tấn công đóng giả (Attacks using Impersonation)
Trong kiểu tấn công này kẻ tấn công tấn công vào tính xác thực và tính bí
mật của mạng. Kẻ tấn công đóng giả địa chỉ của một nút khác để thay đổi hình
trạng của mạng.
S A B C D X
M
X’
Hình 1.4: Mô tả tấn công giả mạo
Theo hình 1.4, nút S muốn gửi dữ liệu tới nút X và trƣớc khi gửi dữ liệu
tới nút X, nó khởi động quá trình tìm đƣờng tới X. Nút M là nút độc hại, khi nút
M nhận đƣợc gói tin tìm đƣờng tới X, M thực hiện sửa đổi địa chỉ của nó thành
địa chỉ của X, đóng giả nó thành nút X’. Sau đó nó gửi gói tin trả lời rằng nó
chính là X tới nút nguồn S. Khi S nhận đƣợc gói tin trả lời từ M, nó không
chứng thực và chấp nhận tuyến đƣờng và gửi dữ liệu tới nút độc hại. Kiểu tấn
công này cũng đƣợc gọi là tấn công lặp định tuyến trong mạng.

11
1.2.3.3. Tấn công chế tạo (Attacks using Fabrication)
Trong kiểu tấn công này, kẻ tấn công chèn vào mạng những thông điệp
giả mạo hoặc gói tin định tuyến sai (fake routing packet) để đánh sập quá trình
định tuyến. Kiểu tấn công giả mạo này rất khó phát hiện trong mạng MANET.
Ví dụ:
S A B C D X
M
Hình 1.5: Mô tả tấn công chế tạo
Theo hình trên, nút nguồn S muốn gửi dữ liệu tới nút X, nó khởi động quá
trình tìm đƣờng tới X. Nút M là nút độc hại cố gắng chỉnh sửa tuyến đƣờng và
trả gửi gói tin trả lời tới nút S. Hơn nữa, một nút độc hại có thể giả mạo gói
RERR để thông báo sự tuyến đƣờng hỏng.
1.2.3.4. Tấn công đặc biệt
Tấn công wormhole: Kẻ tấn công nhận những gói tin tại một nút trong
mạng, thực hiện “tunnels” những gói tin này tới một nút khác trong mạng và sau
đó phát lại chúng vào mạng. Bởi vì khoảng cách “tunneled” dài hơn khoảng
cách một chặng bình thƣờng nên kẻ tấn công có thể “tunneled” gói tin đạt
metric tốt hơn những tuyến đƣờng khác. VD:
Hình 1.6: Mô tả tấn công wormhole
Nút X và nút Y là hai đầu của kiểu tấn công wormhole. Nút X phát lại
mọi gói tin trong vùng A mà nút Y nhận đƣợc trong vùng B và ngƣợc lại. Dẫn
tới việc tất cả các nút trong vùng A cho rằng là hàng xóm của các nút trong vùng

12
B và ngƣớc lại. Kết quả là, nút X và nút Y dễ dàng tham gia vào tuyến đƣờng
truyền dữ liệu. Khi đó chúng chỉ việc hủy bỏ mọi gói tin truyền qua chúng và
nhƣ thế chúng đánh sập mạng.
Tấn công blackhole: Trong kiểu tấn công này kẻ tấn công bất cứ khi nào
nhận đƣợc gói tin tìm đƣờng, ngay lập tức gửi gói tin trả lời rằng nó có tuyến
đƣờng mới nhất đi tới đích. Nút nguồn khi nhận đƣợc gói tin trả lời sẽ cập nhật
vào bảng định tuyến đƣờng đi tới đích và đi qua nút độc hại. Khi đó nút độc hại
chỉ việc hủy tất cả các gói tin đi qua chúng và đánh sập mạng. Kiểu tấn công này
rất thƣờng gặp trong giao thức AODV.
Hình 1.7: Mô tả tấn công black hole
Theo hình trên, nút nguồn S muốn truyền dữ liệu tới nút đích D. S tìm trong
bảng định tuyến của nó và không tìm thấy đƣờng đi tới nút D. Nút S bắt đầu quá
phát quảng bá gói tin tìm đƣờng tới nút D. Nút B là nút độc hại thực hiện tấn công
blackhole. Gói tin tìm đƣờng đƣợc phát quảng bá tới tất cả các nút hàng xóm của
nút S trong đó có nút B. Ngay lập tức nút B gửi gói tin trả lời tới nút S rằng nó có
tuyến đƣờng mới nhất tới nút đích D với số sequence number lớn. Nút S nhận
đƣợc gói tín trả lời đầu tiên từ B nên nó chấp nhận tuyến đƣờng đi quá nút B để tới
đích là nút D. Dữ liệu bắt đầu đƣợc truyền từ S tới D qua nút B. Nút B thực hiện
hủy tất cả gói tin qua nó và cứ nhƣ vậy nó đánh sập mạng.
1.2.4. Một số giải pháp tăng cường an ninh trong mạng MANET
An ninh trong mạng MANET là khái niệm liên quan tới việc đảm bảo cho
việc giao tiếp an toàn giữa các thực thể tham gia trong mạng. Ở tầng mạng nó
đảm bảo cho các chức năng nhƣ định tuyến và chuyển tiếp gói tin. Hoạt động
mạng có thể dễ dàng bị nguy hại nếu không có một biện pháp phòng chống
đƣợc nhúng vào trong các chức năng cơ bản của mạng khi thiết kế. Kể từ đó đã
xuất hiện nhiều các kỹ thuật đƣợc phát triển để chống lại các cuộc tấn công. Có
hai kỹ thuật chính để chống lại các cuộc tấn công [4]:

13
- Kỹ thuật ngăn ngừa: Trong kỹ thuật ngăn ngừa, các giải pháp nhƣ
chứng thực, điều khiển truy nhập, mã hóa và chữ ký số đƣợc sử dụng hỗ trợ bảo
vệ. Một số giải pháp nhƣ tokens hay thẻ thông minh để truy nhập thông qua mã
PIN hay nhận dạng sinh trắc học cũng đƣợc sử dụng.
- Kỹ thuật phản ứng: Trong kỹ thuật phản ứng, giải pháp sử dụng nhƣ
IDS để phát hiện các hành vi bất hợp pháp hoặc không bình thƣờng.
Trong khuôn khổ của luận văn, tác giả sẽ tập trung vào các giải pháp
chống tấn công cho tầng mạng, cụ thể là các giải pháp tăng cƣờng an ninh trong
giao thức định tuyến.
Trong tất cả các tầng thì tầng mạng là tồn tại nhiều điểm yếu bị tấn công
hơn cả trong mạng MANET. Nhiều giải pháp đã đƣợc nghiên cứu giúp tăng
cƣờng an ninh cho tầng mạng. Đầu tiên là giải pháp hỗ trợ bảo mật giao thức
định tuyến. Các kiểu tấn công chủ động nhƣ chỉnh sửa thông tin định tuyến có
thể đƣợc ngăn chặn bằng cách sử dụng các kỹ thuật xác thực nguồn và xác thực
thông điệp. Ví dụ nhƣ chữ ký số, mã xác thực thông điệp (MAC), hashed MAC
(HMAC). Những đơn vị không thể thay đổi đƣợc nhƣ thời gian trễ, vị trí điạ lý
có thể đƣợc sử dụng để phát hiện tấn công wormhole. IPSec đƣợc sử dụng phổ
biến trong tầng mạng có thể đƣợc sử dụng trong MANET để hỗ trợ tính bí mật
của thông tin trên đƣờng truyền. Giao thức định tuyến viết tắt là ARAN có thể
chống lại nhiều kiểu tấn công khác nhau nhƣ chỉnh sửa sequence numbers,
chỉnh sửa hopcount, chỉnh sửa nguồn, lừa gạt, bịa đặt, … Hay nghiên cứu bởi
Deng cho giải pháp chống tấn công blackhole, giải pháp không cho phép nút
trung gian gửi gói tin trả lời về tuyến đƣờng nút nguồn yêu cầu.
Một vài giải pháp đƣợc đề xuất bởi các nhà nghiên cứu nhằm bổ sung các
cơ chế an ninh cho giao thức định tuyến dựa trên các giao thức định tuyến nhƣ
DSDV và AODV. Có thể phân loại chúng ba loại:
 Giải pháp dựa trên mật mã đối xứng

 Secure Efficient Ad hoc Distance Vector (SEAD)

 Secure Routing Protocol (SRP)

 Ariadne

 Giải pháp dựa trên mật mã bất đối xứng

 Authenticate routing for ad hoc network ( ARAN)

 SAR

 Giải pháp lai

14
 Secure Ad hoc On-demand Distance Vector ( SAODV)
a. Giao thức SAODV
Là giao thức mở rộng của của AODV. Nó cho phép chứng thực thông tin
định tuyến. Hai kỹ thuật đƣợc sử dụng là: chuỗi băm và chữ ký số. SAODV giả
định rằng mỗi nút trong mạng có một cặp khóa công khai - bí mật.
Chữ ký số trong SAODV
Khi tính toán chữ ký số, trƣờng Hop Count luôn luôn bằng 0. Trong
trƣờng hợp của trƣờng Signature for RREP của RREQ Double Signature
Extention, thông điệp RREP đƣợc ký mà có thể đƣợc một nút trung gian có
tuyến đƣờng tới đích gửi ngƣợc trở lại để trả lời gói tin RREQ.
Mỗi lần một nút cần tìm đƣờng nó tạo gói tin RREQ và quyết định nó nên
sử dụng kiểu gói tin Single Signature Extention hay Double Signature Extention.
Khi một nút nhận đƣợc một gói RREQ, đầu tiên nó thực hiện xác thực
chữ ký số trƣớc khi tạo hoặc cập nhật một tuyến đƣờng ngƣợc trở lại nút mà nó
nhận đƣợc RREQ. Chỉ khi chữ ký số đƣợc xác thực nó sẽ lƣu tuyến đƣờng.
Nếu gói tin RREQ nhận đƣợc với kiểu Double Signature Extension, nút cũng sẽ
lƣu chữ ký số, trƣờng lifetime và địa chỉ đích cho gói tin RREP trong bảng định
tuyến.
Nếu một nút nhận đƣợc gói tin RREQ không có trƣờng chữ ký số mở
rộng nó sẽ hủy bỏ.
Một nút trung gian sẽ trả lời một gói tin RREQ với một gói RREP nếu nó
có thể đáp ứng đầy đủ yêu cầu. và nút có tƣơng ứng chữ ký số, giá trị old
lifetime và giá trị old originator IP address để đặt vào các trƣờng tƣơng ứng của
kiểu gói tin RREP Double Signature Extension. Nếu không nó sẽ chuyển quảng
bá gói tin RREQ.
Khi một nút nhận đƣợc một gói RREP, đầu tiên nó xác thực chữ ký số
trƣớc khi tạo hoặc cập nhật tuyến đƣờng ngƣợc trở lại nút mà nó nhận RREP.
Khi chữ ký đƣợc xác thực nó sẽ lƣu tuyến với chữ ký số, giá trị lifetime, và giá
trị trƣờng originature IP address của RREP.
Mỗi nút khi tạo hoặc chuyển tiếp một thông điệp RERR, sử dụng chữ ký
số để ký toàn bộ thông điệp và khi các hàng xóm của nó nhận sẽ xác thực để biết
nút gửi thông điệp có chính xác không.
Chuỗi băm trong SAODV

15
Chuỗi băm đƣợc sử dụng trong SAODV để chứng thực giá trị trƣờng hop
count trong thông điệp định tuyến tại tất cả các nút nhận đƣợc thông điệp.
Mỗi khi một nút muốn gửi một gói RREQ hoặc RREP, nó sinh ra một số
ngẫu nhiên (giá trị seed). Lựa chọn một số Maximum Hop Count (giá trị thƣờng
đƣợc đặt bằng giá trị TTL trong IP header). Trƣờng Hash trong kiểu gói tin
Signature Extension đƣợc đặt bằng giá trị seed. Trƣờng Top Hash có đƣợc
bằng cách băm giá trị Maximum Hop count lần giá trị seed.
Hình 1.8: Cách tính hàm băm khi bắt đầu phát sinh RREQ hay RREP
Mỗi khi một nút nhận đƣợc một gói RREQ hoặc RREP, nó xác thực
trƣờng hop count bằng cách băm (Max Hop Count – Hop Count) lần giá trị
trƣờng Hash. Sau đó so sánh với giá trị trƣờng Top Hash. Nếu không bằng
nhau, gói tin sẽ bị hủy bỏ.
Trƣớc khi phát quảng bá gói tin RREQ hoặc chuyển tiếp gói RREP, nút
sẽ thực hiện băm một lần giá trị trƣờng Hash trong kiểu Signature Extension.
b. Giao thức ARAN
Giao thức ARAN sử dụng mã hóa, chứng chỉ số để ngăn chặn hầu hết các
cuộc tấn công và phát hiện những hành vi không bình thƣờng.
Chứng chỉ chứng thực nút
ARAN [18] sử dụng mật mã, chứng chỉ số để đảm bảo tính xác thực, tính
toàn vẹn và không chối bỏ trong quá trình định tuyến. ARAN yêu cầu một trung
tâm chứng thực T, trong đó tất cả các nút đều biết đƣợc khóa công khai của T.
Các nút sử dụng chứng chỉ để chứng thực chính nó với các nút khác trong quá
trình định tuyến.
Trƣớc khi tham gia vào mạng, mỗi nút phải gửi yêu cầu một chứng chỉ từ
T. Sau khi chứng thực định danh với T, mỗi nút sẽ nhận đƣợc một chứng chỉ số.
Ví dụ:
Chứng chỉ bao gồm địa chỉ IP của A, khóa công khi của A, thời gian khi
tạo t và thời gian hết hạn e.

16
Chứng thực quá trình khám phá tuyến
Nút nguồn A bắt đầu quá trình tìm đƣờng tới nút đích X bằng cách gửi
quảng bá tới hàng xóm của nó gói tin tìm đƣờng (RDP – route discovery
packet), kèm chứng chỉ của nó.
RDP bao gồm: định danh “RDP”, địa chỉ IP của đích là X, một số nonce
N (A) để định danh duy nhât RDP đến từ nguồn (mỗi lần cần tìm đƣờng nó tăng
giá trị này lên 1), tất cả đƣợc ký bằng khóa bí mật của A.
Khi một nút nhận đƣợc gói RDP, nó lƣu đƣờng quay trở lại nguồn bằng
cách lƣu nút hàng xóm mà từ đó nó nhận đƣợc RDP. Nó sử dụng khóa công
khai của A đƣợc trích xuất từ chứng chỉ của A. Nó cũng kiểm tra (N(A) và
IP(A)) để xác thực rằng nó chƣa xử lý RDP. Sau đó nó ký nội dụng thông điệp
và kèm chứng chỉ của nó và phát quảng bá tới các hàng xóm của nó. Chữ ký số
ngăn chặn tấn công spoofing.
Nút C là hàng xóm của B nhận đƣợc gói tin. Nó xác thực chữ ký số của
cả A và B. Sau khi xác thực C tách bỏ chứng chỉ và chữ ký của B, lƣu B và ký
nội dung gói tin gốc từ A và phát quảng bá kèm chứng chỉ của nó.
Mỗi nút trung gian lặp lại các bƣớc nhƣ trên cho tới khi gói tin đạt đến
đích. Nút đích unicast gói tin trả lời (REP) ngƣợc trở lại nút nguồn.
REP bao gồm, định danh “REP”, địa chỉ IP của A, số nonce N(A),chứng
chỉ của X. Mỗi nút nhận đƣợc REP sẽ ký REP và ghi đè chứng chỉ của nó trƣớc
khi chuyển gói.
C nhận đƣợc sẽ gỡ bỏ chữ ký và chứng chỉ của D. Sau đó ký và gửi kèm
chứng chỉ của nó đến B.

17
Khi nút nguồn nhận đƣợc REP, nó sẽ xác thực chữ ký của đích và giá trị
nonce trả lại bởi đích. Khi xác thực thành công, nguồn lƣu tuyến đƣờng và bắt
đầu gửi dữ liệu.
1.3. Công cụ nghiên cứu chính NS-2
1.3.1. Giới thiệu về NS-2
NS (phiên bản) là phần mềm mô phỏng mạng điều khiển sự kiện riêng rẽ
hƣớng đối tƣợng, đƣợc phát triển tại UC Berkely, viết bằng ngôn ngữ C++ và
OTcl. NS rất hữu ích cho việc mô phỏng mạng diện rộng (WAN) và mạng local
(LAN). Bốn lợi ích lớn nhất của NS-2 phải kể đến đầu tiên là [1]:
- Khả năng kiểm tra tính ổn định của các giao thức mạng đang tồn tại
- Khả năng đánh giá các giao thức mạng mới trƣớc khi đƣa vào sử dụng
- Khả năng thực thi những mô hình mạng lớn mà gần nhƣ ta không thể
thực thi đƣợc trong thực tế
- Khả năng mô phỏng nhiều loại mạng khác nhau
1.3.2. Kiến trúc của NS-2
Hình 1.9: Tổng quan về NS-2 dưới góc độ người dùng
 OTcl Script Kịch bản OTcl
 Simulation Program Chƣơng trình Mô phòng
 OTcl Bộ biên dịch Tcl mở rộng hƣớng đối tƣợng
 NS Simulation Library Thƣ viện Mô phỏng NS
 Event Scheduler Objects Các đối tƣợng Bộ lập lịch Sự kiện
 Network Component Objects Các đối tƣợng Thành phần Mạng
 Network Setup Helping Modules Các mô đun Trợ giúp Thiết lập Mạng
 Plumbling Modules Các mô đun Plumbling

18
 Simulation Results Các kết quả Mô phỏng
 Analysis Phân tích
 NAM Network Animator Minh họa Mạng NAM
Trong hình trên, NS là Bộ biên dịch Tcl mở rộng hƣớng đối tƣợng; bao
gồm các đối tƣợng Bộ lập lịch Sự kiện, các đối tƣợng Thành phần Mạng và các
mô đun Trợ giúp Thiết lập Mạng (hay các mô đun Plumbing).
Để sử dụng NS-2, user lập trình bằng ngôn ngữ kịch bản OTcl. User có
thể thêm các mã nguồn Otcl vào NS-2 bằng cách viết các lớp đối tƣợng mới
trong OTcl. Những lớp này khi đó sẽ đƣợc biên dịch cùng với mã nguồn gốc.
Kịch bản OTcl có thể thực hiện những việc sau:
- Khởi tạo Bộ lập lịch Sự kiện
- Thiết lập Mô hình mạng dùng các đối tƣợng Thành phần Mạng
- Báo cho nguồn traffic khi nào bắt đầu truyền và ngƣng truyền packet
trong Bộ lập lịch Sự kiện
Phụ thuộc vào mục đích của ngƣời dùng đối với kịch bản mô phỏng OTcl
mà kết quả mô phỏng có thể đƣợc lƣu trữ nhƣ file trace. Định dạng file trace sẽ
đƣợc tải vào trong các ứng dụng khác để thực hiện phân tích:
 - File nam trace (file.nam) đƣợc dùng cho công cụ Minh họa mạng
NAM
 - File Trace (file.tr) đƣợc dùng cho công cụ Lần vết và Giám sát
Mô phỏng XGRAPH hay TRACEGRAPH
Hình 1.10: Luồng các sự kiện cho file Tcl chạy trong NS
 NAM Visual Simulation Mô phỏng ảo NAM
 Tracing and Monitoring Simulation Mô phỏng Lần vết và Giám sát
1.4. Kết Luận

19
Ở chƣơng 1 này tác giả đã nêu tổng quan các đặc điểm về mạng MANET,
các vấn đề an ninh trong mạng MANET, bao gồm: Các thách thức khi xây dựng
một giải pháp an ninh; Các mối đe dọa an ninh, trong đó, tập trung chủ yếu vào
việc phân tích các hình thức tấn công trong tầng mạng, cụ thể là các cuộc tấn
công trong giao thức định tuyến; Chỉ ra một số giải pháp tăng cƣờng an ninh
trong giao thức định tuyến mạng MANET. Dựa trên việc phân tích, đánh giá các
ƣu nhƣợc điểm của các giải pháp có sẵn, tác giả lựa chọn xây dựng một giải
pháp tăng cƣờng an ninh cho giao thức định tuyến AODV, một giao thức hoạt
động rất hiệu quả trong mạng MANET. Chi tiết về giải pháp đƣợc trình bày chi
tiết trong chƣơng 2 của luận văn.

20
Chƣơng 2: GIẢI PHÁP CHỐNG TẤN CÔNG GIAO THỨC
ĐỊNH TUYẾN AODV TRONG MẠNG MANET
Đã có rất nhiều nghiên cứu nhằm bổ sung các cơ chế an ninh cho giao
thức AODV để chống lại các kiểu tấn công. Có những giải pháp mang tính tổng
quát chống lại đƣợc nhiều kiểu tấn công nhƣ SAODV [15], ARAN [17],…
cũng có những giải pháp cải tiến để chống lại từng kiểu tấn công dựa trên đặc
điểm của chúng. Ví dụ: Một số giải pháp chống tấn công blackhole trong giao
thức định tuyến AODV nhƣ: Giải pháp sử dụng bảng thông tin định tuyến mở
rộng (EDRI table) [12], giải pháp GAODV [11], giải pháp lựa chọn đƣờng đi
không phải là đƣờng đi ngắn nhất để loại trừ blackhole,...
Các giải pháp tổng thể nhƣ SAODV, ARAN,…chống đƣợc nhiều kiểu
tấn công. Tuy nhiên:
Đối với SAODV: Do mỗi nút khi tham gia vào mạng, tự nó tạo ra cặp
khóa bí mật, công khai có liên hệ với địa chỉ IP nên có thể bị tấn công theo kiểu
tấn công giả mạo – impersonation attacks (Nút độc hại có thể tạo cho nó nhiều
cặp khóa công khai bí mật, tƣơng ứng với nhiều địa chỉ IP để tham gia vào
mạng). Ngoài ra chi phí cho việc sử dụng chữ ký số lớn dẫn đến việc dễ bị tấn
công theo kiểu phát tràn gói tin RREQ, tiêu hủy hiệu năng của mạng do
SAODV không có cơ chế phát hiện, chống lại kiểu tấn công này.
Đỗi với ARAN: Yêu cầu có một trung tâm chứng thực T, mỗi nút khi tham
gia vào mạng thì phải gửi yêu cầu để đƣợc cấp chứng chỉ, nhƣợc điểm là phải
có thêm cơ sở hạ tầng cho việc triển khai trung tâm chứng thực riêng. Hơn nữa,
trong quá trình định tuyến, mỗi nút đều thực hiện quá trình xác thực và ký dẫn
tới chi phí cực lớn, gây trễ lớn. Trong ARAN cũng không có cơ chế theo dõi
lƣợng gói tin RREQ gửi bởi một nút nên cũng có khả năng bị tấn công phát tràn
RREQ.
Các giải pháp cải tiến giao thức dựa trên đặc điểm của từng loại tấn công,
không sử dụng xác thực nên dễ bị tấn công theo kiểu giả mạo, hoặc bị kẻ tấn
công nghiên cứu lại hoạt động của giao thức để vƣợt qua.
Việc nghiên cứu một giải pháp toàn diện đòi hỏi đáp ứng cả vấn đề an
ninh lẫn phù hợp với điều kiện thực tế, đáp ứng hiệu năng trong mạng MANET
thực sự là một thách thức lớn hiện nay. Trong khuôn khổ luận văn, tác giả có
đƣa ra một số cải tiến nhỏ, tạm gọi là giao thức AODVLV nhƣ sau:
- Luận văn giả sử tồn tại một trung tâm chứng thực CA, mỗi nút khi tham
gia vào mạng sẽ liên lạc với CA để đƣợc cấp chứng chỉ tham gia truyền thông

21
trong mạng. Tất cả các nút đều biết khóa công khai của CA để chứng thực các
nút khác. Nút nguồn sử dụng chứng chỉ đƣợc cấp để ký vào gói tin định tuyến,
mã băm đƣợc sử dụng để xác thực trƣờng hop count, sau đó gửi kèm chứng chỉ
số, chữ ký số và mã băm. Các nút trung gian thực hiện xác thực chữ ký, xác thực
hop count và phát chuyển tiếp khi chữ ký đúng và hop count đúng. Quá trình cứ
tiếp tục cho tới khi đến đƣợc nút đích. Tƣơng tự đối với quá trình đáp ứng
tuyến và thông báo lỗi.
- Do việc sử dụng chữ ký số đòi hỏi các nút phải gửi kèm chứng chỉ của
nó trong gói tin định tuyến nên dẫn tới kích thƣớc gói tin lớn hơn nhiều (mỗi
chứng chỉ khoảng 1000 byte). Nên để giảm kích thƣớc gói tin tác giả có sử dụng
thêm kỹ thuật nén và giải nén chứng chỉ.
- Cải tiến, cài đặt bổ sung cơ chế phát hiện, chống tấn công flooding
RREQ cho giao thức AODVLV.
2.1. Tổng quan các vấn đề về mật mã liên quan đến luận văn
2.1.1. Chữ ký số
2.1.1.1. Khái niệm chữ ký số
* Sơ đồ chữ ký số
Sơ đồ chữ ký số là bộ năm (P, A, K, S, V ), trong đó:
P là tập hữu hạn các văn bản có thể.
A là tập hữu hạn các chữ ký có thể.
K là tập hữu hạn các khoá có thể.
S là tập các thuật toán ký.
V là tập các thuật toán kiểm thử.
Với mỗi k ϵ K, có thuật toán ký sigk ϵ S, sigk : P → A, và thuật toán kiểm
thử Verk ϵ V, Verk : P × A →{đúng, sai}, thoả mãn điều kiện sau với mọi x ϵ P,
y ϵ A:
Đúng, nếu y = sig k(x)
Verk (x, y) =
Sai, nếu y ≠ sigk (x)
2.1.1.2. Phân loại chữ ký số
Có nhiều loại chữ ký tùy theo cách phân loại, sau đây xin giới thiệu một

22
số cách.
* Phân loại chữ ký theo đặc trưng kiểm tra chữ ký
Chữ ký khôi phục thông điệp
Là loại chữ ký, trong đó ngƣời gửi chỉ cần gửi “chữ ký”, ngƣời nhận có
thể khôi phục lại đƣợc thông điệp, đã đƣợc “ký” bởi “chữ ký” này.
Ví dụ: Chữ ký RSA là chữ ký khôi phục thông điệp, sẽ trình bày trong
mục sau.
Chữ ký không thể khôi phục đƣợc thông điệp (đi kèm thông điệp)
Là loại chữ ký, trong đó ngƣời gửi cần gửi “chữ ký” và phải gửi kèm cả
thông điệp đã đƣợc “ký” bởi “chữ ký” này. Ngƣợc lại, ngƣời nhận sẽ không có
đƣợc thông điệp gốc.
Ví dụ: Chữ ký Elgamal là chữ ký đi kèm thông điệp.
* Phân loại chữ ký theo mức an toàn
Chữ ký “không thể phủ nhận”
Nhằm tránh việc nhân bản chữ ký để sử dụng nhiều lần, tốt nhất là ngƣời
gửi tham gia trực tiếp vào việc kiểm thử chữ ký. Điều đó đƣợc thực hiện bằng
một giao thức kiểm thử, dƣới dạng một giao thức mời hỏi và trả lời. Ví dụ: Chữ
ký không thể phủ định Chaum - van Antwerpen.
Chữ ký “một lần”
Để bảo đảm an toàn, “Khóa ký” chỉ dùng 1 lần (one- time) trên 1 tài liệu.
2.1.1.3. Sơ đồ chữ ký RSA
Sơ đồ
Tạo cặp khóa (bí mật, công khai) (a, b) :
Chọn bí mật 2 số nguyên tố lớn p, q, tính n = p * q, công khai n, đặt P = A
= Zn
Tính bí mật Φ(n) = (p-1).(q-1). Chọn khóa công khai b < Φ(n), nguyên tố
cùng nhau với Φ(n).
Khóa bí mật a là phần tử nghịch đảo của b theo mod Φ(n): a*b ≡ 1 (mod
Φ(n)).
Tập cặp khóa (bí mật, công khai) K = {(a, b)/ a, b ϵ Zn , a*b ≡ 1 (mod
Φ(n))}.
- Ký: Chữ ký trên x ϵ P là y = Sigk (x) = xa
(mod n), y ϵ A.

23
- Kiểm tra chữ ký: Verk (x, y) = đúng ↔ x ≡ yb
(mod n).
Ví dụ
- Tạo cặp khóa (bí mật, công khai) (a, b) :
Chọn bí mật số nguyên tố p = 3, q = 5, tính n = p * q = 3*5 = 15, công
khai n.
Đặt P = A = Zn . Tính bí mật Φ(n) = (p-1).(q-1) = 2 * 4 = 8.
Chọn khóa công khai b = 3 < Φ(n), nguyên tố với Φ(n) = 8.
Khóa bí mật a = 3, là phần tử nghịch đảo của b theo mod Φ(n):
a * b ≡ 1 (mod Φ (n)).
- Ký số: Chữ ký trên x = 2 ϵ P là y = Sigk (x) = xa
(mod n)
= 23
(mod 15) = 8, y ϵ A.
- Kiểm tra chữ ký: Verk (x, y) = đúng ↔ x ≡ yb
(mod n)
↔ 2 ≡ 83
(mod 15).
2.1.1.4. Hàm băm
* Khái niệm hàm băm
Hàm băm là thuật toán không dùng khóa để mã hóa ( ở đây dùng thuật
ngữ “băm” thay cho “mã hóa” ), nó có nhiệm vụ “lọc” ( băm ) tài liệu và cho kết
quả là một giá trị “băm” có kích thƣớc cố định, còn gọi là “đại diện tài liệu” hay
“đại diện thông điệp”.
Hàm băm là “hàm một chiều”, theo nghĩa giá trị của hàm băm là duy
nhất, và từ giá trị băm này khó có thể suy ngƣợc lại nội dung hay độ dài ban đầu
của tài liệu gốc.
* Đặc tính của hàm băm
Hàm băm h là hàm một chiều với các đặc tính sau:
- Với tài liệu đầu vào (bản tin gốc) x, chỉ thu đƣợc giá trị băm duy nhất z
= h(x).
- Nếu dữ liệu trong bản tin x bị thay đổi hay bị xóa để thành bản tin x’ thì
giá trị băm h(x’) ≠ h(x).
Cho dù chỉ là một sự thay đổi nhỏ, ví dụ chỉ thay đổi 1 bit dữ liệu của bản
tin gốc x, thì giá trị băm h(x) của nó cũng vẫn thay đổi. Điều này có nghĩa là: hai
thông điệp khác nhau thì giá trị băm của chúng cũng khác nhau.
Nội dung của bản tin gốc khó thể suy ra từ giá trị hàm băm của nó. Nghĩa

24
là: với thông điệp x thì dễ tính đƣợc z = h(x) nhƣng lại khó tính ngƣợc lại đƣợc
x nếu chỉ biết giá trị băm h(x) ( kể cả khi biết hàm băm h).
* Ứng dụng của hàm băm
Với bản tin dài x, thì chữ ký trên x cũng sẽ dài, nhƣ vậy tốn thời gian ký,
tốn bộ nhớ lƣu giữ chữ ký, tốn thời gian truyền chữ ký trên mạng. Ngƣời ta
dùng hàm băm h để tạo đại diện bản tin z = h(x), nó có độ dài ngắn ( Ví dụ 128
bit). Sau đó ký trên z, nhƣ vậy chữ ký trên z sẽ nhỏ hơn rất nhiều so với chữ ký
trên bản tin gốc x.
Hàm băm dùng để xác định tính toàn vẹn dữ liệu.
* Các tính chất của hàm băm
- Tính chất 1: Hàm băm h là không va chạm yếu.
Hàm băm h đƣợc gọi là không va chạm yếu nếu cho trƣớc bức điện x,
khó thể tính toán để tìm ra bức điện x’ ≠ x mà h(x’) = h(x)
- Tính chất 2: Hàm băm h là không va chạm mạnh.
Hàm băm h đƣợc gọi là không va chạm mạnh nếu khó thể tính toán để
tìm ra hai bức thông điệp khác nhau x’ và x ( x’ ≠ x ) mà có h(x’) = h(x)
- Tính chất 3: Hàm băm h là hàm một chiều
Hàm băm h đƣợc gọi là hàm một chiều nếu khi cho trƣớc một bản tóm
lƣợc thông báo z thì khó thể tính toán để tìm ra thông điệp ban đầu x sao cho
h(x) = z.
2.1.2. Chứng chỉ số
Chứng chỉ số là một tệp tin điện tử dùng để xác minh một cá nhân, một
công ty, một máy chủ, một trang web… trên internet. Nó giống nhƣ bằng lái xe,
hộ chiếu hay, chứng minh thƣ hay giấy tờ cá nhân của một ngƣời.
Cũng tƣơng tự nhƣ chứng minh thƣ hay hộ chiếu… Để có một chứng chỉ
số bạn phải xin cấp ở cơ quan có thẩm quyền đủ tin cậy xác minh những thông
tin của bạn. Cơ quan đó đƣợc gọi là CA (Certificate Authority). CA chịu trách
nhiệm về độ chính xác của các trƣờng thông tin trên chứng chỉ.
Chứng chỉ số có các thành phần chính:
Thông tin cá nhân.
Khóa công khai.
Chữ kí số của CA

25
Thời gian sử dụng
Thông tin cá nhân:
Là những thông tin cá nhân của đối tƣợng đƣợc cấp chứng chỉ số nhƣ họ
tên, địa chỉ, ngày sinh, số chứng minh nhân dân, quốc tích, email, số điện thoại
và các trƣờng thông tin mở rộng khác tùy theo cơ quan cấp chứng chỉ số.
Khóa công khai:
Là giá trị do cơ quan CA cấp cho đối tƣợng đăng kí chứng chỉ số. Nó
đƣợc sử dụng nhƣ là khóa mã hóa đi kèm với chứng chỉ số. Khóa công khai và
khóa bí mật tạo nên cặp khóa của hệ mật mã khóa bất đối xứng.
Khóa công khai hoạt động dựa trên nguyên lý các bên tham gia đều biết
khóa công khai của nhau. Bên A dùng khóa công khai của bên B mã hóa thông
tin muốn gửi cho bên B, bên B sử dụng khóa bí mật để giải mã bản tin đƣợc gửi
đến.
Ngƣợc lại nếu bên A dùng khóa bí mật để ký lên một tài liệu thì những ai
có nhu cầu đều có thể dùng khóa công khai của A để xác thực chữ ký trên tài
liệu A đã ký. Để đơn giản có thể coi chứng chỉ số và khóa công khai nhƣ là
chứng minh thƣ hay hộ chiếu… còn khóa bí mật là dấu vân tay, là khuôn mặt…
Chữ kí số của CA:
Là chứng chỉ của đơn vị CA cấp chứng chỉ nhằm đảm bảo tính xác thực
và hợp lệ của CA. Để kiểm tra tính xác thực của chứng chỉ số đầu tiên phải kiểm
tra chữ kí số của CA xem có hợp lệ hay không. Nó giống nhƣ con dấu xác nhận
của cơ quan công an mà bạn trực thuộc trên giấy chứng minh nhân dân hoặc hộ
chiếu.
* Lợi ích của chứng chỉ số
Mã hóa:
Một trong những lợi ích của chứng chỉ số đó là mã hóa. Ngƣời gửi mã
hóa thông tin bằng khóa công khai của ngƣời nhận trƣớc khi đƣợc gửi đi, điều
này đảm bảo chỉ ngƣời nhận mới có khả năng giải mã và đọc đƣợc bản tin nhận
đƣợc từ ngƣời gửi dù trong quá trình truyền tin trên internet thông tin có thể bị
kẻ xấu lấy trộm nhƣng cũng không thể biết đƣợc gói tin mang thông tin gì. Đây
là tính năng quan trọng giúp ngƣời gửi hoàn toàn tin cậy rằng khả năng bảo mật
của thông tin. Điều này rất cần thiết trong các giao dịch điện tử mang tính quan
trọng nhƣ thanh toán điện tử, chuyển khoản, giao dịch liên ngân hàng hoặc
trong bỏ phiếu điện tử…

26
Chống giả mạo:
Trong thông tin điện tử, ngƣời nhận sẽ lo lắng về gói tin mình nhận đƣợc
có phải thật không hay gói tin ngƣời gửi truyền đi có bị làm giả hoặc sửa đổi
thông tin bên trong hay không bởi vì trong công nghệ thông tin các bản tin đều
hoàn toàn có thể sao chép làm giả một cách dễ dàng. Tuy nhiên với bản tin có sử
dụng chứng chỉ số thì ta có thể hoàn toàn yên tâm, bất kì sự thay đổi nào trong
bản tin sẽ bị phát hiện. Với các tên miền, địa chỉ email có sử dụng chứng chỉ số
luôn đảm bảo an toàn.
Xác thực:
Khi ngƣời nhận nhận đƣợc bản tin có đi kèm chứng chỉ số của ngƣời gửi
đồng thời ngƣời đó cũng biết thông tin về ngƣời, tổ chức, cơ quan đã gửi bản
tin, những thông tin đó đã đƣợc cơ quan CA xác thực và có thể hoàn toàn tin
cậy. Điều này rất quan trọng, nó tạo sự tin tƣởng và giảm đáng kể thời gian xác
thực thông tin.
Chống chối cãi:
Khi sử dụng chứng chỉ số, ngƣời gửi phải chịu trách nhiệm về những thông
tin đã gửi đi. Trong trƣờng hợp ngƣời gửi phủ định thông tin mà ngƣời nhận nhận
đƣợc thì chứng chỉ số ngƣời nhận có đƣợc sẻ là bằng chứng xác định thông tin đó
chính xác của ngƣời gửi. Nếu ngƣời gửi vẫn chối cãi thì cơ quan cấp chứng chỉ
CA sẻ chịu trách nhiệm xác định chính xác ngƣời đã gửi bản tin.
Chữ kí điện tử:
Ngày nay việc sử dụng email trở nên rất phổ biến bởi vì email là phƣơng
tiện gửi thƣ nhanh chóng, rẻ tiền. Bên cạnh đó việc sao chép, bị lộ email cũng
rất dễ dàng bởi kẻ gian. Nếu sử dụng chữ kí truyền thống sẻ rất dễ bị giả mạo,
bức thƣ gửi đi có thể đã bị thay đổi trƣớc khi đến tay ngƣời nhận.
Với chữ kí điện tử, bức thử gửi đi đảm bảo hoàn toàn bí mật, an toàn cả
trong trƣờng hợp bị kẻ gian lấy trộm đƣợc bức thƣ, bất kì thay đổi nào trên bức
thƣ sẻ bị ngƣời nhận phát hiện.
Bảo mật website:
Bạn sử dụng website cho mục đích thƣơng mại, hoặc những mục đích
quan trọng khác. Để đảm bảo thông tin trao đổi giữa bạn và khách hàng có thể bị
lộ, có thể sử dụng chứng chỉ số SSL (Secures Socket Layer) cho phép cầu hình
website của mình theo giao thức bảo mật Chứng chỉ số này cho phép thôngtin
trao đổi giữa ban và khách hàng, nhân viên, đối tác…không bị lộ.
Chứng chỉ này đảm bảo an toàn khi thực hiện mua sắm bằng thẻ tín dụng,

27
giao dịch trực tiếp trên mạng, không bị kẻ gian dò ra mật khẩu hay những thông
tin nhạy cảm khác.
Đảm bảo phần mềm:
Hiện nay việc sao chép làm giả và ăn cắp bản quyền phần mềm là việc rất
phổ biến và tình trạng cũng đang khá phổ biến Việt Nam và nhiều nƣớc khác
trên thế giới. Sử dụng chứng chỉ số đảm bảo phần mềm của bạn có “có con tem
chống hàng giả” tin cậy. Nhà sản xuất chứng chỉ số cho phép bạn kí lên Aplet,
Script, Java Software…các file dạng exe, cab, dll . Thông qua chứng chỉ số
ngƣời dùng sẻ xác thực nguồn gốc thực của sản phẩm, xác thực đƣợc bạn là nhà
cung cấp. Qua đó cũng làm cho nhà sản xuất có trách nhiệm cao hơn với sản
phẩm của mình làm ra. Ngoài ra chứng chỉ cũng giúp phát hiện bất kì thay đổi
trên sản phẩm trong trƣờng hợp có viruts, bị crack…
Chứng chỉ số với chức năng đảm bảo phần mềm đã đƣợc sử dụng rộng rãi
trên thế giới. Đây là nền tảng công nghệ đang dần trở thành tiêu chuẩn toàn cầu.
2.1.2.1. Chuẩn X509
Chứng chỉ X.509 v3 là định dạng đƣợc sử dụng phổ biến và đƣợc hầu hết
các nhà cung cấp chứng chỉ PKI triển khai.
Chứng chỉ khóa công khai X.509 đƣợc hội viễn thông quốc tế (ITU) đƣa
ra lần đầu tiên năm 1988 nhƣ là một bộ phận của dịch vụ thƣ mục X.500.
Chứng chỉ số gồm 2 thành phần : phần đầu là những trƣờng cơ bản cần
thiết phải có trong chứng chỉ. Phần thứ hai chứa thêm một số trƣờng phụ, những
trƣờng phụ này đƣợc gọi là trƣờng mở rộng dùng để xác định và đáp ứng yêu
cầu bổ sung của hệ thống.
Khuôn dạng chứng chỉ X509 đƣợc chỉ ra nhƣ bảng 2.1 dƣới đây:
Bảng 2.1: Khuôn dạng chứng chỉ X509
Version number
Serial number
Signature
Issuer
Validity period
Subject
Subjec Public key Information
Issuer unique identifier

28
Subject unique
Extensions
Version: xác định số phiên bản chứng chỉ.
Certificate serial number: là định danh duy nhất của chứng chỉ.
Signature Algorithm ID: chỉ ra thuật toán CA sử dụng để ký số chứng
chỉ, có thể là RSA, Elgamal...
Issuer: chỉ ra nhà cấp chứng chỉ.
Validity Period: khoảng thời gian chứng chỉ có hiệu lực . Trƣờng này
xác định thời gian chứng chỉ bắt đầu có hiệu lực và thời gian hết hạn.
Subject: Xác định thực thể mà khóa công khai của thực thể này xác
nhận. Tên của Subject phải là duy nhất đối với mỗi CA xác nhận.
Subject public key information: chứa khóa công khai và những tham số
liên quan, xác định thuật toán đƣợc sử dụng cùng khóa.
Issuer unique ID (optional): là trƣờng tùy chọn cho phép sử dụng lại
tên của Subject quá hạn. Trƣờng này ít đƣợc sử dụng.
Extension (optional): chỉ có trong chứng chỉ v3.
Certificate Authority’s Digital Signature: chữ kí số của CA đƣợc tính
từ những thông tin trên chứng chỉ với khóa riêng và thuật toán kí số đƣợc chỉ ra
trong trƣờng Signature Algorithm Identifier của chứng chỉ.
Những trường mở rộng của chứng chỉ X.509
Phần mở rộng là những thông tin về các thuộc tính cần thiết đƣợc đƣa ra
để gắn những thuộc tính này với ngƣời sử dụng hay khóa công khai. Những
thông tin trong phần mở rộng thƣờng đƣợc dùng để quản lý xác thực phân cấp,
chính sách chứng chỉ, thông tin về chứng chỉ thu hồi…Nó cũng có thể đƣợc sử
dụng để định nghĩa phần mở rộng riêng chứa những thông tin đặc trƣng cho
cộng đồng nhất định. Mỗi trƣờng mở rộng trong chứng chỉ đƣợc thiết kế với cờ
“critical” hoặc “uncritical”.
Authority key identifier: Chứa ID khóa công khai của CA, ID này là
duy nhất và đƣợc dùng để kiểm tra chữ kí số trên chứng chỉ. Nó cũng đƣợc sử
dụng để phân biệt giữa các cặp khóa do CA sử dụng trong trƣờng hợp CA có
nhiều hơn một khóa công khai, trƣờng này đƣợc sử dụng cho tất cả các CA.
Subject key identifier: Chứa ID khóa công khai có trong chứng chỉ và
đƣợc sử dụng để phân biệt giữa các khóa nếu nhƣ có nhiều khóa đƣợc gắn vào

29
trong cùng chứng chỉ của ngƣời sử dụng (chủ thể có nhiều có hơn một khóa).
Key usage: chứa một chuỗi bit đƣợc sử dụng để xác định chắc năng
hoặc dịch vụ đƣợc hỗ trợ qua việc sử dụng khóa công khai trong chứng chỉ.
Extended key usage: Chứa một hoặc nhiều OIDs (định danh đối tƣợng
– Object Identifier) để xác định cụ thể hóa việc sử dụng khóa công khai trong
chứng chỉ. Các giá trị có thể là: 1. Xác thực server TSL, 2.Xác thực client TSL,
3. Kí mã, 4.Bảo mật email, 5.Tem thời gian.
CRL Distribution Point: Chỉ ra vị trí của CRL tức là nơi hiện có thông
tin thu hồi chứng chỉ. Nó có thể là URI (Uniform Resource Indicator), địa chỉ
của X.500 hoặc LDAP server.
Private key usage period: Trƣờng này cho biết thời gian sử dụng của
khóa riêng gắn với khóa công khai trong chứng chỉ.
Certificate policies: Trƣờng này chỉ ra dãy các chính sách OIDs gắn
với việc cấp và sử dụng chứng chỉ.
Policy Mappings: Trƣờng này chỉ ra chính sách giữa hai miền CA. Nó
đƣợc sử dụng trong việc xác thực chéo và kiểm tra đƣờng dẫn chứng chỉ.
Trƣờng này có trong chứng chỉ CA.
Subject Alternative Name: chỉ ra những dạng tên lựa chọn gắn với
ngƣời sở hữu chứng chỉ. Những giá trị có thể là: địa chỉ Email, địa chỉ IP, địa
chỉ URL…
Issuer Alternative Name: Chỉ ra những dạng tên lựa chọn gắn với
ngƣời cấp chứng chỉ.
Subject Directory Attributes: Trƣờng này chỉ dãy các thuộc tính gắn
với ngƣời sở hữu chứng chỉ. Trƣờng hợp này không đƣợc sử dụng rộng rãi. Nó
đƣợc dùng để chứa những thông tin liên quan đến đặc quyền.
- Basic Contraints Field: trƣờng này cho biết đây có phải là chứng chỉ
của CA hay không bằng cách thiết lập giá trị logic (true). Trƣờng này chỉ có
trong chứng chỉ CA.
Chứng chỉ CA dùng để thực hiện một số chức năng, chứng chỉ này có thể
ở một trong 2 dạng. Nếu CA tạo ra chứng chỉ để tự sử dụng, chứng chỉ này
đƣợc gọi là chứng chỉ CA tự kí. Khi một CA mới đƣợc thiết lập, CA tạo ra một
chứng chỉ CA tự kí để kí lên chứng chỉ của ngƣời sử dụng cuối trong hệ thống.
Path length constraint : Trƣờng này chỉ ra số độ dài tối đa của đƣờng
dẫn chứng chỉ có thể đƣợc thiết lập. Giá trị “zero” chỉ ra rằng CA có thể cấp
chứng chỉ cho thực thể cuối, không cấp chứng chỉ cho những CA khác. Trƣờng

30
này chỉ có trong chứng chỉ của CA.
Name Contraint : Đƣợc dùng để bao gồm hoặc loại trừ các nhánh trong
những miền khác nhau trong khi thiết lập môi trƣờng tin tƣởng giữa các miền
PKI.
Policy Contraint : Đƣợc dùng để bao gồm hoặc loại trừ một số chính
sách chứng chỉ trong khi thiết lập môi trƣờng tin tƣởng giữa các miền PKI.
Hình 2.4: Nội dung của một chứng chỉ
2.1.2.2. Quá trình ký và xác thực chữ ký
Khi Bob và Alice có chứng chỉ do cùng một CA cấp. Các bƣớc trong ký
và xác thực chữ ký khi Bob muốn gửi dữ liệu cho Alice.
- Quá trình ký:
Bob thực hiện đƣa bản thông điệp rõ “Data” qua một hàm băm đã thống
trƣớc với Alice, thu đƣợc chuỗi băm hay “đại diện tài liệu”.
Bob sử dụng khóa bí mật của mình để mã hóa chuỗi băm thu đƣợc một
“chữ ký”.
Bob đính kèm chứng chỉ số của mình và chữ ký kèm vào thông điệp rõ
“Data” để gửi tới cho Alice.

31
Hình 2.5: Nội dung của một chứng chỉ
Khi Alice nhận đƣợc dữ liệu từ Bob bao gồm: chứng chỉ số của Bob,
chữ ký và thông điệp rõ “Data”.
- Quá trình xác thực chữ ký:
Alice thực hiện xác thực chứng chỉ số của Bob có đúng hay không
dựa vào một trung tâm chứng thực CA.
Nếu chứng chỉ là đúng, Alice thực hiện băm thông điệp rõ “Data” bằng
thuật toán băm mà Bob đã thực hiện, thu đƣợc một chuỗi băm.
Alice lấy khóa công khai của Bob từ chứng chỉ số của Bob, thực hiện
giải mã chữ ký số trong dữ liệu Bob gửi, thu đƣợc một chuỗi dữ liệu. Chuỗi dữ
liệu này đƣợc so sánh với chuỗi băm ở bƣớc trên. Nếu 2 chuỗi dữ liệu là trùng
khớp thì Alice xác thực đƣợc rằng ngƣời gửi chính là Bob. Nếu 2 chuỗi dữ liệu
là khác nhau thì ngƣời gửi không phải là Bob hoặc dữ liệu đƣờng truyền đã bị
sửa đổi.
2.2. Giải pháp xác thực thông tin định tuyến – giao thức AODVLV
2.2.1. Định dạng gói tin giao thức AODVLV
2.2.1.1. Định dạng gói RREQ

32
Hình 2.6: Định dạng gói RREQ trong giao thức AODVLV
Type 2
Hop Count Số chặng tình từ nút nguồn tới nút nhận Request
RREQ ID ID định danh duy nhất RREQ từ một nút
Destination IP Address
Địa chỉ IP đích của gói RREQ
Destination Sequence Number
Số thứ tự mới nhất trong quá khứ từ bởi nguồn đi
đến bất kỳ đích khác
Originator IP Address
Địa chỉ IP của nút tạo RREQ
Originator Sequence Number

33
Số thứ tự hiện tại đƣợc sử dụng bởi nguồn
Certificate chứng chỉ đã đƣợc nén của nút nguồn RREQ
Hash Mã băm sử dụng để xác thực Hop Count (32 byte - sử
dụng SHA 256 bit)
Signature Chữ ký của RREQ (64 byte - sử dụng khóa RSA
512 bit)
Top Hash Giá trị băm Max Hop Count lần giá trị trƣờng Hash từ
của nút nguồn. Dùng để xác thực Hop Count (32 byte -
sử dụng SHA 256 bit)
Max Hop Count Số lần băm lớn nhất. Dùng xác thực Hop Count
Compress Value Giá trị sử dụng để giải nén chứng chỉ
2.2.1.2. Định dạng gói RREP
Hình 2.7: Định dạng gói RREP trong giao thức AODVLV

34
Type 4
Hop Count Số chặng tình từ nút nguồn tới nút nhận Request
Destination IP Address
Địa chỉ IP đích của tuyến đƣờng mà nó đáp ứng
Destination Sequence Number
Số thứ tự mới kết hợp với tuyến đƣờng
Originator IP Address
Địa chỉ IP của nút tạo RREQ
Lifetime Thời gian có hiệu lực của gói RREP
Hash Mã băm sử dụng để xác thực Hop Count (32 byte - sử
dụng SHA 256 bit)
Signature Chữ ký của RREQ (64 byte – dùng khóa RSA 512 bit)
Top Hash Giá trị băm Max Hop Count lần giá trị trƣờng Hash từ
của nút nguồn. Dùng để xác thực Hop Count (32 byte -
sử dụng SHA 256 bit)
Max Hop Count Số lần băm lớn nhất. Dùng xác thực Hop Count
2.2.1.3. Định dạng gói RERR
Hình 2.8: Định dạng gói RERR trong giao thức AODVLV

35
Type 8
DestCount Số nút không đạt đến đƣợc, ít nhất bằng 1
Unreachable Destination IP Address
Điạ chỉ IP của nút đích không thể đạt đến
Unreachable Destination Sequence Number
Số tuần tự của nút đích không thể đạt đến
Signature Chữ ký của RREQ (64 byte - sử
dụng khóa RSA 512 bit)
2.2.1. Những thay đổi trong hoạt động của giao thức AODVLV so với AODV
2.2.1.1. Quá trình khám phá tuyến
Một nút khởi động quá trình khám phá tuyến bằng cách phát quảng bá gói
tin RREQ khi nó cần truyền dữ liệu tới đích mà nó không tìm thấy đƣờng đi
trong bảng định tuyến của nó. Trong đó, một số trƣờng bổ sung của gói RREQ
tin đƣợc tạo nhƣ sau:
- Nút nguồn sinh ra một số ngẫu nhiên (seed) 32 bit.
- Đặt giá trị trƣờng Maximum Hop Count bằng giá trị TTL trong IP
header.
- Giá trị trƣờng Hash đƣợc đặt bằng giá trị seed.
- Giá trị trƣờng Top Hash đƣợc tính bằng cách băm Maximum Hop
Count lần giá trị seed.
- Trƣờng Certificate chính là thông tin chứng chỉ của nút nguồn đã đƣợc
nén.
- Giá trị Compress_value chính là thông tin giải nén trƣờng Certificate.
- Nút nguồn sử dụng khóa bí mật của mình để ký tất cả các trƣờng của
gói tin trừ trƣờng Hop Count, đặt giá trị trƣờng chữ ký số Sig_buf bằng giá trị
chữ ký này.
Khi một nút nhận đƣợc gói tin RREQ nó thực hiện những việc sau:
Xác thực chữ ký số:
- Chứng thực chứng chỉ trong gói tin có chính xác và có hiệu lực.

36
Nếu chứng chỉ đúng, sử dụng chứng chỉ để xác thực chữ ký. Xác thực
thành công nếu chữ ký đúng. Nếu không, gói tin sẽ bị hủy bỏ.
Xác thực giá trị trường Hop Count:
- Băm (Max Hop Count - Hop Count ) lần giá trị trƣờng Hash
So sánh giá trị băm đƣợc với giá trị trƣờng Top Hash. Nếu bằng nhau
trƣờng Hop Count đƣợc xác thực. Nếu không, gói tin sẽ bị hủy bỏ.
Sau đó nút thực hiện tạo hoặc cập nhật tuyến ngƣợc trở lại nguồn. Trƣớc
khi chuyển tiếp quảng bá gói tin mỗi nút thực hiện băm giá trị trƣờng Hash một
lần.
Quá trình cứ xác thực cứ tiếp tục nhƣ vậy cho tới khi gói tin khám phá
tuyến đi đƣợc đến đích.
2.2.1.2. Quá trình đáp ứng tuyến
Một nút phát gói tin đáp ứng tuyến khi nó nhận đƣợc gói tin RREQ đƣợc
xác thực và nó là nút đích. Tƣơng tự nhƣ cách tạo gói tin RREQ, một số trƣờng
bổ sung của RREP đƣợc tạo nhƣ sau:
- Nút đích sinh ra một số ngẫu nhiên (seed) 32 bit.
- Đặt giá trị trƣờng Maximum Hop Count bằng giá trị TTL trong IP
header.
- Giá trị trƣờng Hash đƣợc đặt bằng giá trị seed.
- Giá trị trƣờng Top Hash đƣợc tính bằng cách băm Maximum Hop
Count lần giá trị seed.
- Trƣờng Certificate chính là thông tin chứng chỉ của nút đích đã đƣợc
nén.
- Giá trị Compress_value chính là thông tin giải nén chứng trƣờng
Certificate.
- Nút đích sử dụng khóa bí mật của mình để ký tất cả các trƣờng của gói
tin trừ trƣờng Hop Count, đặt giá trị trƣờng chữ ký số Sig_buf bằng giá chữ ký
này.
Khi một nút nhận đƣợc gói tin RREP nó thực hiện những việc sau:
Xác thực chữ ký số:
- Chứng thực chứng chỉ trong gói tin có chính xác và có hiệu lực.

Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc

Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc

Similar to Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc (20)

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149

More from DV Viết Luận văn luanvanmaster.com ZALO 0973287149 (20)

Recently uploaded

Recently uploaded (20)

Giải pháp chống tấn công giao thức định tuyến AODV trong mạng MANET.doc