窄带无线网络安全路由技术研究

admin 2022年10月1日10:27:05评论23 views字数 4428阅读14分45秒阅读模式

摘要

窄带无线网络广泛应用于军事、应急通信等领域,无线信道的开放性导致其面临诸多安全威胁。针对窄带无线网络的特点和面临的安全威胁,首先对窄带无线网络安全路由设计需求进行了分析;其次给出了一种适用于窄带无线网络的安全路由协议设计,该设计综合运用身份认证、加扰、加密以及异常情况处理等技术对路由协议进行了安全加固;最后评估了安全加固设计对通信带宽的影响。该研究对窄带无线网络的安全路由工程实现具有一定参考意义。

内容目录:

1 窄带无线网络安全路由需求分析

2 窄带无线网络安全路由设计

2.1 路由更新机制

2.2  路由报文设计

2.3  节点间身份认证设计

2.4 路由报文加扰 / 加密设计

2.5  异常行为处理

3  通信效能影响评估

4  结  语

在窄带无线网络组网过程中,路由设备作为网络的数据中转核心设备,需要参与路由的发现、建立和维护。由于自身的开放性,无线信道易受窃听和干扰,入侵方可在网络层面通过路由欺骗、节点假冒、重放攻击等手段,对窄带无线网络进行破坏。入侵方通过构造合法节点的身份,接入被入侵方网络,通过配置错误的工作参数、发送伪造的错误路由信息等方式对网内其他节点的路由功能进行扰乱,导致网络瘫痪。如果常规的窄带无线路由协议中没有部署安全防护措施,窄带无线网络中会存在极大的安全威胁。因此,需要进一步研究适用于窄带无线网络的安全路由技术,以保障窄带无线网络的安全和正常运行。

01


窄带无线网络安全路由需求分析

受窄带无线网络低带宽、弱连接的限制,以及节点的网络分布式、动态化组网应用方式的限制,安全路由在设计上需要综合考虑各节点在路由组网过程中面临的安全威胁、传输链路质量、信道带宽。针对网络弱连接和高动态的特征,设计与窄带无线网络应用场景紧密结合的路由和安全机制,从而能够在不明显降低通信性能的前提下,对窄带无线自组网节点间组网和路由过程进行安全加固。

通常,安全路由协议的设计目标包括对网络节点身份进行鉴别和认证,确保路由报文数据的完整性以及可用性 。因此,在安全路由协议设计时,重点考虑以下几个方面:

(1)降低路由协议对信道带宽的占用。安全路由协议在设计时,要尽量降低路由协议对信道带宽的占用。常用的降低路由协议的信道带宽占用量的方法有:调整降低发送维护消息频度、压缩路由信息、采用增量更新机制、采用广播更新机制等 。(2)具有适应窄带无线网络的身份认证能力。传统交互式身份认证的方法开销较大,不适用于窄带无线自组织网络。因此,安全路由协议网络中节点鉴别和认证方法需要适配窄带无线网络特性。文献 [3] 提出了一种适用于窄带无线通信网络的基于标签的单向身份认证技术,可防止非法假冒节点的接入,为安全路由协议的身份认证机制设计提供了一定的参考。(3)具备路由报文机密性和完整性保护能力。窄带无线网络的开放性使得路由协议报文在传输过程中可能被非法用户截获、篡改。安全无线路由协议在设计时,应该考虑到此类安全威胁,对路由协议进行安全加固设计,提供机密性和完整性保护能力。

02


窄带无线网络安全路由设计

2.1 路由更新机制

本设计参考 OLSRv2 路由协议 [4] 的触发更新机制,即在拓扑发生变化时,并不立即触发路由更新,而是延缓一定时间后再触发路由更新,以减少不必要的路由信息更新,降低对无线信道带宽的占用。

2.2 路由报文设计

路由信息包括邻居维护信息和拓扑维护信息,结合路由更新机制和安全性考虑,设计路由报文类型如下:

(1)HELLO 报文:用于建立和维护邻居关系。(2)更新报文:用于向邻居通告本节点全部或更新的路由信息。(3)请求报文:用于向邻居请求所有的路由信息或需要重传的路由信息。路由报文安全设计通过在路由报文中增加加密标识和消息序号,以及在报文尾部增加校验字段实现。增加安全设计后的路由报文格式如图 1 所示。

窄带无线网络安全路由技术研究

图 1 路由报文格式

安全路由报文各个字段内容如下:

(1)路由报文头部:由报文类型、分片标志以及报文长度等信息组成。(2)加扰 / 加密标识:共 2 bit,代表报文是否经过加密 / 加扰。(3)路由信息序号:共 6 bit,用于更新报文的序号,序号随更新报文发送递增,同一分片使用相同更新序号。(4)消息载荷:用于存放路由报文消息净荷。(5)哈希运算消息认证码(Hash-based Message Authentication Code,HMAC)校验字段:占用 4 字节,主要有两个方面的用途,一是路由节点间身份认证,以建立和维护安全邻居关系;二是对更新报文和请求报文进行完整性保护,确保路由报文在无线传输过程中未受到非法篡改攻击。

2.3  节点间身份认证设计

考虑到窄带无线自组织网络的分布式特点,路由节点间身份认证采用预共享对称密钥的方式实现。

在进行网络规划的时候,事先为每个节点分配好统一的身份认证密钥,同一子网内路由节点采用该认证密钥通过哈希计算 HMAC 校验值,并封装在HELLO 报文中发送。HMAC 值采用 MD5 算法进行计算,经 MD5 算法计算出的 HMAC 长度为 16 字节,为了减少对信道带宽的占用,可按一定规则提取 16字节中的 4 字节在报文中进行发送。接收端校验通过后,即可完成路由节点间的身份认证,建立安全邻居关系,从而有效防范非法网络节点的接入。节点间通过身份认证,建立安全邻居关系的流程如图 2 所示。

窄带无线网络安全路由技术研究

接收端路由节点收到 HELLO 路由报文后,首先判断源节点是否在邻居列表中,如果源节点在邻居列表中,则更新邻居状态信息,否则触发身份认证处理:接收端路由节点根据本地保存的口令密钥计算出 HAMC 值,并同路由报文中的 HAMC 进行对比,若 HMAC 值一致,则认为源路由节点是合法用户,否则认为是非法用户。

对于合法用户,将源节点加入安全邻居列表中并更新邻居状态信息,从而建立起安全邻居关系。对于非法用户,启用定时器,在规定时间内,不再处理该节点发来的 HELLO 路由报文。该方法可用于防止恶意节点通过不断向路由节点发送 HELLO路由报文的方式,占用节点计算资源使节点瘫痪。

2.4  路由报文加扰 / 加密设计

路由加扰是指所有路由节点事先约定扰码,对所有需要交互的路由报文进行加扰处理,节点收到其他节点发来的路由报文,进行解扰操作后,才会依据报文格式进行进一步的解析和处理。该方法不需要在报文中增加额外的字段传递相关信息,同时加扰和解扰的过程也只是简单的异或运算,由此带来的计算开销可以忽略不计。

加密是指对路由报文进行加密,可以实现路由报文的机密性保护。由于加密算法复杂,且具有不同的密钥体制,基于非对称密钥体制的加密算法无法适用于窄带无线网络环境,因此采用预置密码对称加密方式。在进行网络规划的时候,事先为每个节点分配好统一密钥,节点采用该密钥,并使用特定加密算法进行加解密。

加扰和加密处理流程如图 3、图 4 所示。

窄带无线网络安全路由技术研究

在发送端,节点发送报文时,需要判断报文类型,如果为更新报文,则需要对报文进行加密后再进行加扰处理,否则直接进行加扰处理。

在接收端,节点收到报文时,先对其进行解扰处理,再依据报文类型,决定是否需要进行解密处理。只有当解扰和解密都通过时,才会对报文进行后续处理,否则将报文直接丢弃。

2.5 异常行为处理

安全无线路由协议的路由发现一般包括邻居关系建立、路由状态同步、路由状态更新以及路由状态维护 4 个过程。邻居关系建立后,需要进行路由状态同步,典型的同步过程为双方互相发送请求报文及互相回复更新报文,如果网络状态发生变化,会触发更新报文的发送,路由状态维护过程主要是邻居互发保持报文。

如果网络拓扑变化较快,会触发短期内大量更新报文的发送,因此,在接收更新报文的时候,还需要对时间间隔进行判断,如果间隔太短,则将报文丢弃,以减少网络动荡对路由造成的影响。此外,对更新报文进行解扰解密处理后,还需要将本地状态与报文内容进行对比,如果发现路由的度量 / 代价值差距过大,则表明该报文很有可能来自攻击节点,对报文进行丢弃。在上述判断都没问题的情况下,再对报文进行进一步解析处理。

在本设计中,采用基于时间度量的方式进行异常行为判别和处理。异常行为具体处理流程如图 5所示。

窄带无线网络安全路由技术研究

图 5 异常路由行为处理流程

路由节点在收到 HELLO 报文后,首先判定发送节点是否在本地安全邻居列表中,如果不在,则直接将报文丢弃;其次对 HELLO 报文的时间间隔进行判断,如果时间间隔过短,认为可能遭到攻击,则将报文丢弃。如果上述判断均满足要求,才对报文进行解扰 / 解密处理,处理完成后,会对报文进行进一步的解析处理,并根据处理结果同步本地路由状态。

如果网络状态发生变化,路由节点收到其他节点发来的路由报文后,首先判定发送节点是否在本地合法邻居列表中,如果不在,则可以认为该报文来源于攻击者,不对报文进行任何处理。

03


通信效能影响评估

本文设计的安全路由协议在每个路由报文中会增加 5 个字节的数据,假设某窄带无线通信网络 采 用 时 分 多 址(Time Division Multiple Access,TDMA)时隙静态平均规划的方式,每个节点平均每分钟发送的安全路由报文次数为 6 次,即每分钟增加 30 个字节。在不考虑信道丢包和重传的前提下,估算不同信道带宽和节点数的情况下,安全路由协议对信道带宽占用增加的情况,结果如表 1 所示。

表 1  安全路由协议对带宽占用评估

窄带无线网络安全路由技术研究

从表 1 可以看出,安全路由协议在同一信道带宽情况下对信道带宽的占用率随着网络节点规模增加而增加。在信道带宽为 19.2 kbit/s,节点数量为64 个的情况下,对路由协议进行安全加固后,对信道带宽的占用率仅增加了 1.3%。通过调整路由报文发送间隔参数或者采用路由压缩技术,还可进一步降低安全路由协议对信道带宽的占用。

04


结 语

本文针对窄带无线网络的特点和安全威胁进行了路由协议的安全加固设计,实现了节点间的身份认证,能够有效识别和防范非法用户。通过对路由报文的机密性和完整性保护设计,防止路由报文在传输过程中被非法窃取和篡改;通过异常协议检测机制,实现对异常协议交互行为的识别与阻断。本文设计的安全路由协议对信道带宽的占用率增加极小,适用于窄带无线通信网络,对窄带无线网络的安全路由设计和工程应用有一定借鉴意义。

引用格式:邓波 , 肖俊聪 , 潘莉丽 . 窄带无线网络安全路由技术研究 [J]. 通信技术 ,2022,55(8):1026-1030.
作者简介 >>>
邓  波,男,硕士,工程师,主要研究方向为战术通信网络;
肖俊聪,男,硕士,工程师,主要研究方向为战术通信网络;
潘莉丽,女,硕士,工程师,主要研究方向为通信与网络安全技术。

选自《通信技术》2022年第8期
窄带无线网络安全路由技术研究


商务合作 | 开白转载 | 媒体交流 | 理事服务 

请联系:15710013727(微信同号)

《信息安全与通信保密》杂志投稿

联系电话:13391516229(微信同号)

邮箱:[email protected]   

《通信技术》杂志投稿

联系电话:15198220331(微信同号)

邮箱:[email protected]


原文始发于微信公众号(信息安全与通信保密杂志社):窄带无线网络安全路由技术研究

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日10:27:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   窄带无线网络安全路由技术研究https://cn-sec.com/archives/1316868.html

发表评论

匿名网友 填写信息