工業(yè)互聯(lián)網(wǎng)安全技術(shù) 課件 第6章 安全路由

工業(yè)互聯(lián)網(wǎng)安全技術(shù)第6章安全路由6.1安全路由概述6.2安全路由協(xié)議第1章緒論學(xué)習(xí)要求

知識要點能力要求安全路由（1）了解路由的分類（2）掌握常見的路由攻擊安全路由協(xié)議（1）熟悉基于信任的安全路由協(xié)議（2）了解安全混合路由協(xié)議（3）熟悉安全LEACH6.1.1路由概述路由概述路由是一種允許將數(shù)據(jù)從網(wǎng)絡(luò)的一個節(jié)點正確地轉(zhuǎn)發(fā)到不在其傳輸范圍內(nèi)的另一個節(jié)點的機制。為了保證數(shù)據(jù)路由，路由有路由發(fā)現(xiàn)、數(shù)據(jù)轉(zhuǎn)發(fā)和路由維護三個階段。路由發(fā)現(xiàn)：路由發(fā)現(xiàn)階段的目標(biāo)是發(fā)現(xiàn)網(wǎng)絡(luò)中的所有相鄰節(jié)點，并構(gòu)造必要的路由表（網(wǎng)絡(luò)拓?fù)?，以便通過一組路徑將節(jié)點連接起來。數(shù)據(jù)轉(zhuǎn)發(fā)：在路由發(fā)現(xiàn)階段之后，使用路由發(fā)現(xiàn)階段構(gòu)建的路由表中包含的路徑，通過一組中間節(jié)點在源和目標(biāo)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。路由維護：當(dāng)一個節(jié)點檢測到鏈路中出現(xiàn)故障時，它會通過網(wǎng)絡(luò)傳播更新數(shù)據(jù)包，以通知其他節(jié)點該節(jié)點出現(xiàn)了故障。當(dāng)節(jié)點收到更新包時，其會相應(yīng)地更新路由表。6.1.1路由概述路由概述在具有基礎(chǔ)的網(wǎng)絡(luò)中，路由有專門設(shè)計用于執(zhí)行此任務(wù)的節(jié)點（如路由器、交換機等）執(zhí)行，這些節(jié)點在帶寬、存儲內(nèi)存、計算能力等資源方面具有巨大的容量。而在無線自組織網(wǎng)絡(luò)中卻缺乏這樣預(yù)先存在的基礎(chǔ)設(shè)施，構(gòu)成網(wǎng)絡(luò)的節(jié)點需要相互協(xié)作來執(zhí)行路由，這也是本章關(guān)注的重點。在無線自組織網(wǎng)絡(luò)中的節(jié)點具有移動性、有限的資源和有限的物理安全性等特點。因此必須專門為這些網(wǎng)絡(luò)設(shè)計路由協(xié)議，以滿足與這些特性相關(guān)的要求。無線自組織網(wǎng)絡(luò)中的路由協(xié)議主要有兩類：基于拓?fù)涞穆酚蓞f(xié)議和基于位置的路由協(xié)議。6.1.1路由概述路由概述基于拓?fù)涞穆酚蓞f(xié)議主動式路由協(xié)議基于位置的路由協(xié)議

6.1.2對路由協(xié)議的攻擊對路由協(xié)議的攻擊

外部攻擊：這類攻擊由不屬于網(wǎng)絡(luò)的節(jié)點發(fā)起，通?？梢酝ㄟ^使用防火墻和來源認(rèn)證來防御。內(nèi)部攻擊：這類攻擊由屬于網(wǎng)絡(luò)內(nèi)的受損節(jié)點執(zhí)行，因為這些節(jié)點被授權(quán)訪問網(wǎng)絡(luò)，故這類攻擊很難檢測和防御。被動攻擊：攻擊者嗅探網(wǎng)絡(luò)流量并捕獲數(shù)據(jù)但不改變和修改數(shù)據(jù)。攻擊者的目標(biāo)是獲取節(jié)點之間交換的敏感數(shù)據(jù)，從而違反數(shù)據(jù)機密性。這種類型的攻擊也很難檢測，因為網(wǎng)絡(luò)運行不受影響。然而，使用強大的加密機制可以防止違反數(shù)據(jù)機密性。主動攻擊：攻擊者的目的是通過修改傳輸?shù)臄?shù)據(jù)包或引入降低網(wǎng)絡(luò)性能的虛假路由信息來破壞網(wǎng)絡(luò)功能。6.1.2

對路由協(xié)議的攻擊對路由協(xié)議的攻擊

目前，更具體的攻擊形式有以下幾種：操縱路由信息選擇性轉(zhuǎn)發(fā)攻擊女巫攻擊黑洞攻擊蟲洞攻擊Hello泛洪攻擊6.1.3

安全路由需求安全路由需求為了設(shè)計和開發(fā)一個安全路由協(xié)議，在遵守已定義的安全和隱私標(biāo)準(zhǔn)的同時，確定和解決協(xié)議的安全目標(biāo)非常重要。此外，安全目標(biāo)不得限制數(shù)據(jù)網(wǎng)絡(luò)的基本信息要求，即機密性、完整性和可用性。以下幾點是對設(shè)計安全路由的一些建議。安全路由建立任何安全路由協(xié)議的一個重要特征是，其能夠在源和目標(biāo)之間建立并保證安全路由，同時隔離網(wǎng)絡(luò)中的惡意節(jié)點。自穩(wěn)定良好的安全路由協(xié)議的自穩(wěn)定特性意味著該協(xié)議必須能夠在一定時間內(nèi)自動從任何問題中恢復(fù)，而無需人工干預(yù)。6.1.3

安全路由需求安全路由需求有效的惡意節(jié)點識別系統(tǒng)惡意節(jié)點隔離機制應(yīng)當(dāng)被嵌入安全路由協(xié)議設(shè)計中，以隔離網(wǎng)絡(luò)中行為不端的節(jié)點，行為不端的節(jié)點對篡改或中斷網(wǎng)絡(luò)路由過程的影響必須最小。輕量級計算網(wǎng)絡(luò)內(nèi)節(jié)點通常資源受限，計算能力和內(nèi)存有限。因此，任何安全路由協(xié)議都應(yīng)該考慮安全并且輕量級。理想情況下，安全路由操作（如公鑰加密或最短路徑算法）應(yīng)僅限于少數(shù)節(jié)點，以降低復(fù)雜性。第6章安全路由6.1安全路由概述6.2安全路由協(xié)議6.2

安全路由協(xié)議為了增強路由的安全性，一種機制是在路由中使用公鑰加密，例如安全混合路由協(xié)議，但這僅適用于計算和存儲等資源充足的網(wǎng)絡(luò)。當(dāng)網(wǎng)絡(luò)內(nèi)只有部分節(jié)點有充足的資源時，需要考慮減小使用公鑰的范圍，例如安全LEACH。進(jìn)一步地，當(dāng)網(wǎng)絡(luò)內(nèi)所有節(jié)點都資源受限時，需要考慮使用其他機制保證路由安全，例如基于信任的安全路由協(xié)議。保證路由安全需要平衡網(wǎng)絡(luò)內(nèi)資源和所使用機制的代價。

6.2.1安全混合路由協(xié)議安全混合路由協(xié)議

區(qū)域路由協(xié)議（ZRP）是一種典型的混合式路由協(xié)議，包括區(qū)域內(nèi)路由協(xié)議和區(qū)域間路由協(xié)議。ZRP將網(wǎng)絡(luò)劃分為許多小的區(qū)域，在區(qū)域內(nèi)，節(jié)點使用主動式路由協(xié)議來維護路由信息，而在區(qū)域間，節(jié)點使用反應(yīng)式路由協(xié)議，并且區(qū)域的大小可以動態(tài)地調(diào)整以適應(yīng)網(wǎng)絡(luò)的變化，所以網(wǎng)絡(luò)的整體性能可以做到很好。但ZRP并沒有解決端到端身份驗證、數(shù)據(jù)完整性和數(shù)據(jù)保密性等安全問題，因此在ZRP的基礎(chǔ)上提出了一種提供安全措施的安全混合路由協(xié)議。6.2.1安全混合路由協(xié)議安全混合路由協(xié)議在安全混合路由協(xié)議中，除了普通節(jié)點（CNs），還存在稱為認(rèn)證機構(gòu)（CAs）的可信認(rèn)證服務(wù)器，并且所有有效的CNs都知道CAs的公鑰。在CNs進(jìn)入網(wǎng)絡(luò)之前，密鑰已經(jīng)預(yù)先生成，每個CN在向相應(yīng)的CA驗證身份后即可獲得兩對私鑰和公鑰。同時，每個CN還向CA請求一個證書。節(jié)點X從與其最近的CA接受證書如下所示：其中，6.2.1安全混合路由協(xié)議

6.2.1安全混合路由協(xié)議安全區(qū)域內(nèi)路由

SIAR是一種有限深度的主動式鏈路狀態(tài)路由方法，具有附加的安全功能。為了執(zhí)行區(qū)域內(nèi)路由，每個節(jié)點定期計算到所有處于相同區(qū)域節(jié)點的路由，并在稱為SIAR路由表中維護該信息。區(qū)域1內(nèi)有節(jié)點A（后面以X表示節(jié)點X）和M、Y、P、S、R?？紤]A作為源節(jié)點，A主動地計算到M、Y、P、S和R的路由，并將路由信息存儲在SIAR路由表中，這個過程稱為主動路由計算。6.2.1安全混合路由協(xié)議安全區(qū)域內(nèi)路由在主動路由計算時，區(qū)域內(nèi)的每個節(jié)點定期廣播鏈路狀態(tài)包（LSP）。例如，A在區(qū)域1內(nèi)廣播LSP。其中，

6.2.1安全混合路由協(xié)議

6.2.1安全混合路由協(xié)議安全區(qū)域間路由

當(dāng)源節(jié)點和目標(biāo)節(jié)點不在相同的區(qū)域時，源節(jié)點在其SIAR路由表中找不到到目標(biāo)節(jié)點的路徑，此時SIER將啟動。SIER基于本地連接信息提供按需安全路由發(fā)現(xiàn)和路由維護服務(wù)。同時，SIER使用SIAR路由表來指導(dǎo)這些路由查詢。此時考慮節(jié)點A想要發(fā)送一個數(shù)據(jù)包到節(jié)點D，那么A先會在SIAR路由表中尋找到D的有效路由。但D和A不在相同的區(qū)域，A不能找到路由，此時A將采取以下步驟將數(shù)據(jù)包路由到D。6.2.2

安全LEACHLEACH協(xié)議及其漏洞LEACH協(xié)議假設(shè)網(wǎng)絡(luò)中存在兩種網(wǎng)絡(luò)節(jié)點：強大的基站和資源受限的傳感器節(jié)點。在這種網(wǎng)絡(luò)中，節(jié)點通常不直接與基站通信。一是因為這些節(jié)點發(fā)送信號的距離有限，不能直接到達(dá)基站；二是即使基站在節(jié)點的通信范圍內(nèi)，節(jié)點直接與基站通信需要消耗大量的能量。LEACH協(xié)議假設(shè)每個節(jié)點都可以通過以足夠高的功率將數(shù)據(jù)發(fā)送到基站，但直接到基站的單跳傳輸可能是高功率操作，并且考慮到網(wǎng)絡(luò)中存在數(shù)據(jù)的冗余，造成效率低下。6.2.2

安全LEACHLEACH協(xié)議及其漏洞為了解決多跳通信又會存在上述路由器節(jié)點的能量大量消耗的問題，LEACH使用了一種新的路由類型，隨著時間的推移，不斷重新隨機選擇新的節(jié)點作為路由節(jié)點，從而平衡所有網(wǎng)絡(luò)節(jié)點的能量消耗。由于這些額外的接收和轉(zhuǎn)發(fā)操作，與其他非簇頭節(jié)點相比，簇頭節(jié)點具有高得多能量消耗。為了解決這個問題，簇頭節(jié)點并不是一直是簇頭節(jié)點，而是所有節(jié)點輪流成為簇頭節(jié)點，因此用于路由的能量消耗分散在所有節(jié)點之間。使用一組隨機分布的100個節(jié)點，以及距離最近節(jié)點75m處的基站，仿真結(jié)果表明，LEACH耗費的能量是其他路由協(xié)議的八分之一。6.2.2

安全LEACHLEACH協(xié)議及其漏洞與無線傳感器網(wǎng)絡(luò)的大多數(shù)的路由協(xié)議一樣，LEACH容易受到多種安全攻擊，包括干擾、欺騙和重放攻擊等。但由于其是基于簇的協(xié)議，基本上依賴于簇頭節(jié)點進(jìn)行路由，因此涉及簇頭節(jié)點的攻擊最具破壞性。攻擊者也有可能讓路由保持正常，而試圖以某種方式將虛假數(shù)據(jù)注入網(wǎng)絡(luò)。此外，還可能遭受竊聽被動攻擊。6.2.2

安全LEACHLEACH引入安全機制

對無線傳感器網(wǎng)絡(luò)的攻擊來自外部或者內(nèi)部。在這里提出的解決方案旨在保護網(wǎng)絡(luò)免受外部攻擊，并且作出的一個相當(dāng)普通的假設(shè)是基站是可信的。首先為LEACH添加一些關(guān)鍵的安全屬性：數(shù)據(jù)身份驗證數(shù)據(jù)保密性數(shù)據(jù)完整性數(shù)據(jù)新鮮性6.2.2

安全LEACHLEACH引入安全機制

為了保證這些安全屬性，為LEACH設(shè)計安全方案，以防止攻擊者成為簇頭節(jié)點或通過假裝成為簇內(nèi)節(jié)點將虛假數(shù)據(jù)注入網(wǎng)絡(luò)，此外還保護數(shù)據(jù)不被竊聽。安全方案使用了SPINS框架，其是一套用于資源受限的無線傳感器網(wǎng)絡(luò)的輕量級安全框架。SPINS概述

SPINS由兩個為受限傳感器網(wǎng)絡(luò)優(yōu)化的安全模塊SNEP和μTESLA組成。SNEP提供節(jié)點和基站之間的保密性、身份認(rèn)證和新鮮性，μTESLA提供廣播認(rèn)證。μTESLA使用由散列函數(shù)和延遲公開密鑰構(gòu)建的單向密鑰鏈，實現(xiàn)了廣播認(rèn)證所需的不對稱性，同時，μTESLA需要時鐘同步。6.2.2

安全LEACHLEACH引入安全機制安全方案概述

防止攻擊者滲透網(wǎng)絡(luò)（成為簇頭節(jié)點或注入虛假數(shù)據(jù)）的一種簡單方法是使用全局共享密鑰進(jìn)行鏈路層加密和身份驗證。在LEACH協(xié)議中，可以使用這樣的密鑰加密所有數(shù)據(jù)，特別是adv。然而使用全局共享密鑰是危險的，單個節(jié)點被俘獲將危及整個網(wǎng)絡(luò)。為了解決這個問題，可以在小范圍內(nèi)使用該密鑰。對于adv消息，需要廣播認(rèn)證機制，即非簇頭節(jié)點能夠認(rèn)證廣播者是否是網(wǎng)絡(luò)內(nèi)特定的合法節(jié)點。公鑰系統(tǒng)對于這個目的來說是可行的，但是公鑰系統(tǒng)需要大量的資源，因此在這里并不適用。6.2.2

安全LEACH

6.2.2

安全LEACH安全LEACH協(xié)議細(xì)節(jié)安全分析簇頭節(jié)點在基于簇的協(xié)議中起著關(guān)鍵作用，因為其處理大量節(jié)點的數(shù)據(jù)并路由到基站，所以如果其行為不當(dāng)，可能會擾亂整個網(wǎng)絡(luò)區(qū)域。提出的解決方案允許對sec_adv消息進(jìn)行身份驗證，以防止攻擊者成為簇頭節(jié)點。因此，除非節(jié)點受到危害（這里不考慮內(nèi)部攻擊），否則網(wǎng)絡(luò)是受保護的，不會遭到選擇性轉(zhuǎn)發(fā)、黑洞攻擊和泛洪攻擊。在此解決方案中，并不阻止攻擊者加入簇。從消息來源真實性的角度來看，這種預(yù)防措施并非嚴(yán)格必要，因為攻擊者在穩(wěn)定階段發(fā)送的數(shù)據(jù)將不會通過基站的驗證6.2.3

基于信任的安全RPL路由協(xié)議

RPL路由協(xié)議RPL路由協(xié)議的工作方式是一旦開始運行就發(fā)現(xiàn)路徑，這種特性使其可以被歸類為主動路由協(xié)議。在啟動時，RPL路由協(xié)議會創(chuàng)建一個有向無環(huán)圖（DAG）的樹狀結(jié)構(gòu)，并且RPL路由協(xié)議將此網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)維護為一種類似于圖的結(jié)構(gòu)，稱為面向目的地的有向無環(huán)圖（DODAG）。DODAG的構(gòu)建過程：6.2.3

基于信任的安全RPL路由協(xié)議

RPL路由協(xié)議在RPL路由協(xié)議中存在Trickle定時機制，Trickle定時機制使得網(wǎng)絡(luò)內(nèi)節(jié)點在間隔一定時間后廣播DIO信息來對DODAG進(jìn)行維護更新。具體的節(jié)點被維護進(jìn)DODAG的過程：6.2.3

基于信任的安全RPL路由協(xié)議RPL路由協(xié)議當(dāng)前的RPL路由協(xié)議通常在預(yù)配置設(shè)備的應(yīng)用程序中使用密鑰管理，通過密鑰對加入網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗證。但在IETFROLL工作組規(guī)定的RPL路由協(xié)議存在一個安全缺陷，即缺乏安全關(guān)鍵任務(wù)中設(shè)備節(jié)點之間的身份驗證和和安全網(wǎng)絡(luò)連接規(guī)范，這使得設(shè)備節(jié)點可能受到攻擊。針對RPL路由協(xié)議受到的Rank攻擊和女巫攻擊，一種方法是引入信任機制。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制基于信任機制的路由安全早已被提出，并被證明是開發(fā)穩(wěn)定和安全的網(wǎng)絡(luò)配置的一個重要概念。在安全路由的研究中，基于信任的方法是一個研究熱點，通常通過計算節(jié)點的可信任性，進(jìn)而根據(jù)可信任性選擇路由節(jié)點實現(xiàn)路由安全。節(jié)點的可信任性取決于節(jié)點在網(wǎng)絡(luò)中對其鄰居的行為，這些行為經(jīng)過經(jīng)驗量化和累計聚合，得到一個加權(quán)值作為其在網(wǎng)絡(luò)中的信任等級的表示。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制在這里介紹一種簡單的基于信任的安全RPL路由機制，主要思路是計算得到相鄰節(jié)點的信任值，在之后進(jìn)行DODAG維護時，將計算得到的相應(yīng)信任值作為RPL路由協(xié)議目標(biāo)函數(shù)的一個參數(shù)，使得信任值高的節(jié)點成為父節(jié)點的概率更大，相應(yīng)地，信任值低的節(jié)點成為父節(jié)點的概率更小，從而信任值高的節(jié)點能夠參與后續(xù)路由，信任值低的節(jié)點被從網(wǎng)絡(luò)中隔離出來。具體的信任機制如圖所示。6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制直接信任（DT）直接信任的評估是在鄰居的直接觀察下進(jìn)行的。網(wǎng)絡(luò)中的每個節(jié)點都會監(jiān)視其鄰居的行為，并查看其行為是否符合RPL路由協(xié)議或者偏離RPL路由協(xié)議。節(jié)點i對另一個節(jié)點j的直接信任是通過監(jiān)視節(jié)點j發(fā)送的信息，具體而言，節(jié)點i會進(jìn)行如下的轉(zhuǎn)發(fā)檢查：節(jié)點i向節(jié)點j發(fā)送數(shù)據(jù)包后，節(jié)點i將其收發(fā)器設(shè)置為空閑監(jiān)聽模式。所有的單跳鄰居都由其對應(yīng)的節(jié)點監(jiān)控，以檢查它們是否將收到的信息轉(zhuǎn)發(fā)到正確的路徑上。直接信任的計算為：6.2.3

基于信任的安全RPL路由協(xié)議

綜合信任的計算公式如下：6.2.3

基于信任的安全RPL路由協(xié)議

基于信任的機制間接信任（IT）假設(shè)在DODAG的路由維護過程中，節(jié)點j已經(jīng)被維護進(jìn)DODAG中，但節(jié)點