水下網路安全關鍵技術研究
摘要:各國海軍一直致力於實現水下作戰平台間安全、可靠、高效的通信,以發揮水下作戰的效能。近年來,由於水下通信技術的發展,國內外對水下通信網路進行了大量的研究工作。但是,由於水下網路的特殊性,水下網路缺乏有效、可靠的安全機制。針對海洋水下網路系統的安全需求進行分析,研究了水下網路的安全體系架構和分散式信譽系統、基於逐條身份認證的安全路由和分散式密鑰管理機制等關鍵技術,以作為未來水下網路安全設計的參考。
0 引 言
當今世界,全球各國對海洋資源都無比重視。在海洋資源爭奪中,以潛艇、水下無人航行器、無人感測器等水下設備構成的水下網路,對水下勘測、偵察、警戒等水下信息的傳輸起到了至關重要的作用。但是,因為水下航行器發信時容易暴露自身的目標,且水下通信信道是開放的,理論上任何人都能接收信號,所以如何構建安全可靠的水下網路是急需研究的課題。
1 水下網路面臨的主要安全問題
海洋水下通信網路從現狀和發展趨勢看,呈現異構、無線、自主化的網路系統特徵,且由於聯合反潛、掃雷等海洋水下作戰使用和深海水下環境部署場景等方面的一些特定需求,具有以下幾方面的突出特點:
(1)水下無人平台和感測器平台的計算資源受限;
(2)水下傳播環境特性和水聲等無線傳輸技術的發展現狀和趨勢預期,使得水下網路的通信資源受限;
(3)網路拓撲結構動態變化;
(4)需要通過海氣界面網路連接到其他網路系統,或通過其他網路實現水下一體化通信網路自身的癒合;
(5)網路安全性脆弱;
(6)網路中存在多跳的無線通信鏈路。
水下網路面臨的安全需求與其他無線通信網路如各類民用移動通信網路、感測器網路、陸地戰術adhoc通信網路和戰術數據鏈網路等有著許多共同之處。但是,由於海洋水下應用環境、水下平台和水下作戰方式的具體特點,水下網路面臨的安全挑戰和安全需求具有特殊性。它的研究工作方向主要包括以下幾方面。
(1)敏感信息保護
海洋水下各類作戰方式和應用環境中涉及的各種作戰網路、感測器網路、水下機器人編隊網路等,由於其基於海洋水體介質的通信鏈路具有開放性,易於受到監聽、劫持等攻擊,而網路中傳遞的業務面數據和控制面數據又往往攜帶了重要的情報信息、作戰指揮控制信息、平台操作控制信息和網路拓撲信息等敏感內容。一旦這些重要、關鍵數據被竊取或遭到攻擊篡改,將會嚴重威脅指揮決策和作戰任務的安全。
(2)用戶和網路節點的身份認證
為了保障AUV等具備遠距離漫遊能力的水下網路節點能安全接入網路,並在海洋水下開放的網路環境中有效組織惡意節點進行網路操作、獲取網路數據,保障水下網路的邊界安全,需要為水下網路系統設計可靠的身份認證機制,檢驗入網節點和用戶的合法性,並作為網路中其他安全機制的基礎。
(3)信任體系維護
作為水下網路邊界安全機制的補充措施,對於來自網路內部的惡意節點、妥協節點的攻擊行為,可以通過設計網路內部各個節點之間的信任體系,建立以可信計算為核心的水下可信網路信任管理體系,以提高系統的可靠性、安全性。對於難以依託基礎設施的水下自組織網路[1]而言,這是一種有效的安全解決途徑。
2 水下網路安全總體設計
水下網路的設計目標在於構建水下空間的廣域網系統,建設穩健、動態、自適應、靈活、可調整、頑存、安全和可重配置的水下通信網路基礎設施,用於水下節點訪問信息柵格網路和外部用戶/業務系統訪問水下節點的信息和資源服務能力。
水下網路面臨的網路攻擊行為中,很大一部分比例是在各個協議層級對網路進行干擾、竊聽、分析和入侵等操作,以降低或破壞通信網路自身效能為目的。因此,針對水下通信網路安全設計的總體設計如下:
(1)從協議分層視點出發,以縱深防禦為目標,將網路安全的防禦重心下移,重點提高物理介質層、介質訪問控制層的安全防禦強度,從而在網路的信號層面和通信鏈路層面實現高強度的身份認證和訪問控制。實現有效防禦的協議層次越低,網路攻擊對系統造成的影響和危害越低。
(2)簡化網路層安全機制,對傳輸層及以上的應用層安全機制進行裁剪,盡量減少基於端到端和多次握手機制的安全措施。因為上述安全措施通常帶來較大的網路開銷和網路連通性要求,難以適用於間歇性中斷、低吞吐量和高延遲的水下無線網路。
(3)從水下網路系統視角出發,在各類水下網路的通信介質層和鏈路層採用異構體制的設計思路,從系統層面提高水下網路的頑存力。
3 水下網路信譽系統
基於AUV等節點的水下網路具有抗毀性好、易於快速部署等優點。它靈活的網路結構引入了安全方面的脆弱性,且由於應用背景的特點,水下網路面臨的網路攻擊具有高度定製、機制複雜化和未知類型等特點。針對水下網路面臨的安全形勢和具體安全需求,基於動態信譽模型的信任機制更適用於異構、廣域部署、開放、隨遇接入的海洋水下網路環境。
水下網路的動態信譽體系是根據網路各個節點的多方面行為特徵對其可信任程度進行量化評估。網路節點信譽的產生、融合、更新、發布和交互等功能操作都取決於信譽體系架構設計,並可以分為中心式和分散式兩種類型。
中心式信譽架構[2]是將水下網路中各個節點的信譽數據存放在一個或多個中心節點或信譽管理節點。網路中各個節點對自身能夠感知的鄰居節點的各類行為特徵進行觀測統計,並通過管理報文的方式匯聚到管理節點。管理節點採用相應的融合演算法對各個網路節點的信譽度進行綜合評估,得到的量化數值在水下網路或相應的子網中共享。這種機制的主要優勢在於節點信譽數據的查詢獲取機制較為簡便,但管理節點的單點失效或關鍵鏈路阻塞將使得網路信譽體系陷入癱瘓。
分散式信譽體系中沒有引入中心節點或管理節點,採用完全對等或分層對等的架構,適用於異構、分散式、自主化的網路環境。網路中,各個節點按照一致或獨立的演算法機制對介質層、網路層能感知到的鄰居節點的各類網路行為進行分析評估,並分散保存在網路中,同時通過廣播查詢或信任鏈的方式獲取對目標節點的信譽數值進行本地計算。
分散式信譽體系可以解決中心式架構的單點失效弱點,並易於獲取節點自身1~2跳範圍網路區域內的節點可信任度。但是,分散式信譽體系實現機制更為複雜,在多跳場景下會引入較大的網路開銷。考慮水下網路的應用和網路結構特點,相對適宜採用分散式信譽體系,並根據網路節點的可信任程度(信譽數值),將網路節點劃分為不同信譽等級或安全域的節點子集合,從而基於重疊網路機制,在物理網路的基礎上構建不同安全級別的邏輯子網。
4 基於逐跳身份認證的安全路由機制
對於水下網路面臨的具有複雜機理的高度定製化網路攻擊,通過節點妥協等方式突破網路安全邊界後,針對水下網路路由協議的攻擊將成為癱瘓網路、竊取數據的重要方式,包括基於惡意節點、妥協節點的蟲洞攻擊、黑洞攻擊、灰洞攻擊和路由劫持等形式。目前,在路由安全方面採取的防護方法包括採用公鑰加密、對稱加密和混合加密等措施,綜合運用加密演算法、數字簽名、哈希函數、可信第三方等機制對路由消息欄位進行保護,加強網路路由協議和路由信息的安全性和有效性。
在路由機制中引入逐跳可信認證並建立信任鏈,如圖1所示。基於這種方案的安全路由協議能夠發生蟲洞、路由阻塞等攻擊行為,並採取相應的防禦措施。
它的主要特點包括:
(1)可以識別路由請求階段對源路由的非法篡改行為;
(2)網路引導階段即建立了基於密鑰和加密演算法相應的安全認證體系,因此網路運行過程中節點間的數據交互和會話可以不再進行密鑰交互;
(3)能有效防止網路合法節點實施虛假的「局部簽名」行為或者對網路的驗簽操作進行干擾破壞;
(4)有效保障數據包轉發流程中的「新鮮性」,防止竊聽、重放,從而有效對抗蟲洞攻擊等惡意行為;
(5)網路路由的逐跳認證機制能有效阻止攻擊節點發起的DoS攻擊。
5 分散式密鑰管理機制
水下網路是無中心的異構網路,其自組織架構和動態拓撲特性使得基於固定通信網路的傳統密鑰管理機制難以直接應用,包括常用的密鑰管理設備、認證伺服器等中心式節點,在水下網路環境中存在效率低下、單點失效並易於受到DoS攻擊。此外,水下網路存在通信鏈路可靠性低、長鏈路時延和物理拓撲動態變化的特點。因此,水下網路中中心式的密鑰服務和安全認證服務,存在服務延遲高、服務可成功率低、易於被阻塞等缺陷。
5.1 分散式認證
在自組織網路路由理論的相關研究工作中,一種技術途徑是可以離線方式預先共享整個網路各個節點的認證密鑰,從而保障路由協議和業務會話的安全性。其中,典型的如基於門限密碼理論的分散式密鑰管理機制。該機制主要具有以下缺陷:
(1)很高的計算資源開銷,且需要配置超過門限閾值的多個認證節點以簽發安全證書;
(2)在傳統的中心式認證架構中,網路節點只需要向中心認證節點發起認證服務請求,並獲取相應的證書。在分散式認證體系中,網路節點需要向多個擁有不同私鑰的認證節點發起服務請求,並獲取相應的證書[3]。認證節點採用分散式部署,大大增加了網路資源開銷,降低了認證服務的成功率。
5.2 自組織網路本地認證
針對無線自組織網路環境中的密鑰管理方法,一種實現途徑是各個網路節點不需要通過預先設定的認證節點來發布證書,而是由各個網路節點自身承擔安全證書的發布維護功能。對於用戶的認證請求,則通過證書鏈的機制來完成相應服務功能。它的主要缺陷包括:
(1)由於沒有可信的認證中心節點作為第三方,缺乏相應的身份認證過程,惡意節點可以假冒合法節點或偽造節點標識,通過發布虛假證書的方式接入目標網路;
(2)由於單個網路節點擁有的安全證書信息不完備,因此特別是對於AUV等遠程漫遊節點,認證成功率成為一個致命的弱點;
(3)這種機制的擴展性較差,對於較大規模節點容量的水下網路,證書資料庫的建立、維護和認證開銷將大大增加。
5.3 基於密鑰池的密鑰管理機制
建立網路隨機密鑰預分布模型和相應的密鑰池,在網路中各個節點分別保存密鑰池的分片
密鑰。網路中任意一對節點可以利用具有的相同密鑰建立安全的網路鏈路。但是,基於概率因素,在這種方案中,物理拓撲上連通的網路不一定能建立安全上的連通性。此外,如果網路節點被俘獲後妥協,則會導致大部分密鑰被竊取,從而徹底破壞整個網路的安全性。
通過提高共享密鑰的閾值(閾值可調節)要求,可以對上述機制進行改進,引入數量可自適應調節的共享密鑰動態管理機制,有效改善網路對於惡意節點攻擊的安全防護能力。當網路中節點之間的連通性達到預定的概率門限閾值時,則需要調節密鑰池的規模,增加共享密鑰的重疊度。這種情況下,攻擊者能夠利用捕獲少量的網路節點獲取足夠數量的密鑰空間。
對於靜態部署的無線感測器網路,可以在隨機密鑰對模型中引入地理位置信息,根據網路節點的地理位置信息將網路部署地域劃分為柵格,以網格柵格為參考共享密鑰對的二元高次多項式。考慮到除了各類靜態部署的水下潛標節點外,水下網路中還包含基於AUV、UUV等平台的移動感測器節點。因此,還需要針對支持移動節點的動態自組織網路和感測器網路進行進一步的研究工作。
5.4 無線異構網路密鑰預共享安全引導模型
針對大多數感測器網路密鑰分發機制在網路安全連通性和節點抗俘獲能力方面的弱點,可以採用基於拉格朗日插值多項式組和哈希函數的二元 門限方案,實現水下異構網路的密鑰預共享安全引導模型。它的主要技術途徑和特點包括:
(1)基於拉格朗日插值多項式組的二元 門限機制,利用單向哈希函數增強子密鑰的安全性;
(2)沒有採用基於概率分布進行全網密鑰共享的方式,可以實現整個水下異構網路的安全連通性;
(3)採用基於門限數字簽名的密鑰恢復協議設計,增強了密鑰恢復操作的安全性,能夠有效抵禦欺騙攻擊、複製攻擊和撤銷攻擊;
(4)網路密鑰只有當超過一定閾值數量的節點被俘獲的情況下才會泄露,因此當超過一定門限的密鑰分片泄露後,可以通過子密鑰撤銷廣播,刪除相應多項式對應的子密鑰;
(5)當節點被惡意攻擊並導致其私鑰暴露後,首先發現該事件的節點及時以廣播方式發送
公共密鑰撤銷通告,並刪除掉被攻破節點對應的公鑰信息。當攻擊者發起複制攻擊時,複製節點的公鑰已被及時刪除,因而不能通過其他正常節點的身份認證進行通信。
6 結 語
本文通過分析研究國內外在海洋水下通信網路、複雜異構網路系統、無線感測器網路、容遲容斷網路、機會網路和移動自組織網路等相關技術領域的研究工作和成果的基礎上,針對未來深遠海水下作戰體系無人平台化、信息柵格化和網路中心作戰的發展趨勢,對水下網路安全涉及的多項關鍵技術進行了研究,可為水下網路安全設計提供參考。
參考文獻:
[1] Stoleru R,Wu H,Chenji H.Secure Neighbor Discovery in Mobile Ad Hoc Networks[C].2011 Eighth IEEE International Conference on Mobile Ad-Hoc and Sensor Systems,2011:35-42.
[2] Azzedine B,Yonglin R.A security Management Scheme Using a Novel Computational Reputation Model for Wireless and Mobile Ad Hoc Networks[C].Proceeding PE-WASUN "08 Proceedings of the 5th ACM Symposium on Performance Evaluation of Wireless Ad Hoc,Sensor,and Ubiquitous Networks,2008.
[3] 楊德明,慕德俊,許鍾.Ad hoc空間網路密鑰管理與認證方案[J].通信學報,2006(08):104-107.
作者簡介:
叢 鍵,西南通信技術研究所高級工程師,博士,主要研究方向為無線通信網路及系統;
張海燕,西南通信技術研究所高級工程師,碩士,主要研究方向為無線通信網路及系統。
(本文選自《通信技術》2018年第六期)
原創聲明 >>>
本微信公眾號刊載的原創文章,歡迎個人轉發。未經授權,其他媒體、微信公眾號和網站不得轉載。
