Ariadne是对DSR的安全扩展。它用单向的HMAC链，即TESLA来认证源路由。Ariadne假定时钟同步，以及预分配了每个节点的TESLA 密钥链中的最后一个密钥。例如，源节点S到达目的节点D的路由经过三个中间节点A、B、C，当路由请求(RREQ)分组传输时，每个中间节点将它自己、整 个分组的哈希值以及由下一个未公布的TESLA密钥签名的HAMC一起附加在源路由上。当目的节点收到RREQ，它首先验证内容是否与哈希值匹配，如果匹 配，将一串HMAC值加到RREP分组中，这个分组沿着反向路径回到源节点。中间节点延迟RREP分组直到它释放了前一个使用的TESLA密钥，这样，下 一跳节点就可以检验TESLA HAMC。

    每跳哈希可以阻止恶意节点修改它收到的RREP分组，使得恶意节点所能做的就是将新节点加到路由中。每跳TESLA HMAC可以进一步阻止中间节点增加除它自己之外的其他节点，因为中间节点并不知道其他节点未发布的密钥。通过这种方法，由Ariadne发现的源路由是安全的。

    4  数据层安全：保护分组的转发

    数据层安全应该能确保每个节点按照自己的路由表转发数据分组。数据层不像控制层那样能简单地通过加密来确保安全，因为针对转发过程的许多攻击根本无法防 范：攻击者可以丢弃需经过它转发的任何分组，而不管这些分组被保护得如何的好；攻击者也可以回放先前记录的分组、或者把伪造的分组插入到网络里。所以，数 据层的安全方案采纳了响应方案，核心是探测机制和响应机制。

    (1) 探测

    开放的无线媒体允许我们在Ad hoc网络中进行局部探测。每个节点都监听信道，同时检测邻居的行为。但是，检测的精确度却由于信道误码、移动性、隐藏终端等因素的影响而受到限制，恶意 节点可能滥用探测机制而故意指责合法的节点。为了得到正确的结论，网络中的一组节点应该能将各自的探测结果以分布式的算法进行协商，从而得到一个一致的结 论。选择什么样的探测方法依赖于目的节点或者中间节点对源节点返回的显式确认，这样源节点能够判断在何处丢弃分组。

    (2) 局部化探测

    看门狗技术采用局部化方法检测和DSR协议有关的错误行为。假设所讨论的链路是对称链路，即如果节点A能听到节点B，B也能听到A。由于整个路径已经确 定，当节点A转发分组到它的下一跳B时，它也知道B的下一跳是C。A监听信道，确定B是否向C传输。如果在一个时间段之内仍没有监听到这类传输，与B相关 的失败标志就会增加。如果该标志超过了预定的门限值，A向源节点报告B的不正常行为。

    文献[5]扩展了这个概念，使局部化探测也可以和距离矢量协议(如AODV)协同工作。通过在AODV分组中增加一个下一跳(Next_Hop)字段，这 样节点就能知道其正确的下一跳邻居。独立的检测通过认证和进一步的合成，最终在局部邻居之间形成一个一致的结果。文献[5]考虑了更多形式的攻击，如分组 的篡改、复制和阻塞等。

    (3) 基于确认的探测

    文献[6]提出了一种基于显式确认信息的检测机制，目的节点对每个接收到的分组都要发送确认分组。根据传递的质量，源节点可能针对一条可疑的路径启动错误 检测进程，该进程在源节点和目的节点间执行对半搜索(Binary Search)，并发送附带了一系列中间节点的探测分组。这些中间节点称作探针(Probe)，它们必须在收到探测分组之后向源节点发回确认分组。源节点 和每个探针共享一个密钥，探针列表采用“洋葱”加密。一旦接收到这个探测分组，每个探针返回一个用共享密钥加密ACK分组。源节点通过验证ACK分组，将 错误定位到与目的节点最近的某个返回了ACK分组的节点。

    (4) 响应

    一旦检测到一个恶意节点，应该启用响应方案进行保护，以阻止网络受到进一步的攻击。例如，收回恶意节点的证书，或者减少其被选作转发路径的机会。根据其工作范围的不同，应对计划可以被分为网络响应方案和终端主机响应方案。