水下網絡安全關鍵技術研究*

叢 鍵，張海燕

（西南通信技術研究所，四川 成都610041）

0 引 言

當今世界，全球各國對海洋資源都無比重視。在海洋資源爭奪中，以潛艇、水下無人航行器、無人傳感器等水下設備構成的水下網絡，對水下勘測、偵察、警戒等水下信息的傳輸起到了至關重要的作用。但是，因為水下航行器發信時容易暴露自身的目標，且水下通信信道是開放的，理論上任何人都能接收信號，所以如何構建安全可靠的水下網絡是急需研究的課題。

1 水下網絡面臨的主要安全問題

海洋水下通信網絡從現狀和發展趨勢看，呈現異構、無線、自主化的網絡系統特征，且由于聯合反潛、掃雷等海洋水下作戰使用和深海水下環境部署場景等方面的一些特定需求，具有以下幾方面的突出特點：

（1）水下無人平臺和傳感器平臺的計算資源受限；

（2）水下傳播環境特性和水聲等無線傳輸技術的發展現狀和趨勢預期，使得水下網絡的通信資源受限；

（3）網絡拓撲結構動態變化；

（4）需要通過海氣界面網絡連接到其他網絡系統，或通過其他網絡實現水下一體化通信網絡自身的愈合；

（5）網絡安全性脆弱；

（6）網絡中存在多跳的無線通信鏈路。

水下網絡面臨的安全需求與其他無線通信網絡如各類民用移動通信網絡、傳感器網絡、陸地戰術adhoc通信網絡和戰術數據鏈網絡等有著許多共同之處。但是，由于海洋水下應用環境、水下平臺和水下作戰方式的具體特點，水下網絡面臨的安全挑戰和安全需求具有特殊性。它的研究工作方向主要包括以下幾方面。

（1）敏感信息保護

海洋水下各類作戰方式和應用環境中涉及的各種作戰網絡、傳感器網絡、水下機器人編隊網絡等，由于其基于海洋水體介質的通信鏈路具有開放性，易于受到監聽、劫持等攻擊，而網絡中傳遞的業務面數據和控制面數據又往往攜帶了重要的情報信息、作戰指揮控制信息、平臺操作控制信息和網絡拓撲信息等敏感內容。一旦這些重要、關鍵數據被竊取或遭到攻擊篡改，將會嚴重威脅指揮決策和作戰任務的安全。

（2）用戶和網絡節點的身份認證

為了保障AUV等具備遠距離漫游能力的水下網絡節點能安全接入網絡，并在海洋水下開放的網絡環境中有效組織惡意節點進行網絡操作、獲取網絡數據，保障水下網絡的邊界安全，需要為水下網絡系統設計可靠的身份認證機制，檢驗入網節點和用戶的合法性，并作為網絡中其他安全機制的基礎。

（3）信任體系維護

作為水下網絡邊界安全機制的補充措施，對于來自網絡內部的惡意節點、妥協節點的攻擊行為，可以通過設計網絡內部各個節點之間的信任體系，建立以可信計算為核心的水下可信網絡信任管理體系，以提高系統的可靠性、安全性。對于難以依托基礎設施的水下自組織網絡[1]而言，這是一種有效的安全解決途徑。

2 水下網絡安全總體設計

水下網絡的設計目標在于構建水下空間的廣域網系統，建設穩健、動態、自適應、靈活、可調整、頑存、安全和可重配置的水下通信網絡基礎設施，用于水下節點訪問信息柵格網絡和外部用戶/業務系統訪問水下節點的信息和資源服務能力。

水下網絡面臨的網絡攻擊行為中，很大一部分比例是在各個協議層級對網絡進行干擾、竊聽、分析和入侵等操作，以降低或破壞通信網絡自身效能為目的。因此，針對水下通信網絡安全設計的總體設計如下：

（1）從協議分層視點出發，以縱深防御為目標，將網絡安全的防御重心下移，重點提高物理介質層、介質訪問控制層的安全防御強度，從而在網絡的信號層面和通信鏈路層面實現高強度的身份認證和訪問控制。實現有效防御的協議層次越低，網絡攻擊對系統造成的影響和危害越低。

（2）簡化網絡層安全機制，對傳輸層及以上的應用層安全機制進行裁剪，盡量減少基于端到端和多次握手機制的安全措施。因為上述安全措施通常帶來較大的網絡開銷和網絡連通性要求，難以適用于間歇性中斷、低吞吐量和高延遲的水下無線網絡。

（3）從水下網絡系統視角出發，在各類水下網絡的通信介質層和鏈路層采用異構體制的設計思路，從系統層面提高水下網絡的頑存力。

3 水下網絡信譽系統

基于AUV等節點的水下網絡具有抗毀性好、易于快速部署等優點。它靈活的網絡結構引入了安全方面的脆弱性，且由于應用背景的特點，水下網絡面臨的網絡攻擊具有高度定制、機制復雜化和未知類型等特點。針對水下網絡面臨的安全形勢和具體安全需求，基于動態信譽模型的信任機制更適用于異構、廣域部署、開放、隨遇接入的海洋水下網絡環境。

水下網絡的動態信譽體系是根據網絡各個節點的多方面行為特征對其可信任程度進行量化評估。網絡節點信譽的產生、融合、更新、發布和交互等功能操作都取決于信譽體系架構設計，并可以分為中心式和分布式兩種類型。

中心式信譽架構[2]是將水下網絡中各個節點的信譽數據存放在一個或多個中心節點或信譽管理節點。網絡中各個節點對自身能夠感知的鄰居節點的各類行為特征進行觀測統計，并通過管理報文的方式匯聚到管理節點。管理節點采用相應的融合算法對各個網絡節點的信譽度進行綜合評估，得到的量化數值在水下網絡或相應的子網中共享。這種機制的主要優勢在于節點信譽數據的查詢獲取機制較為簡便，但管理節點的單點失效或關鍵鏈路阻塞將使得網絡信譽體系陷入癱瘓。

分布式信譽體系中沒有引入中心節點或管理節點，采用完全對等或分層對等的架構，適用于異構、分布式、自主化的網絡環境。網絡中，各個節點按照一致或獨立的算法機制對介質層、網絡層能感知到的鄰居節點的各類網絡行為進行分析評估，并分散保存在網絡中，同時通過廣播查詢或信任鏈的方式獲取對目標節點的信譽數值進行本地計算。

分布式信譽體系可以解決中心式架構的單點失效弱點，并易于獲取節點自身1～2跳范圍網絡區域內的節點可信任度。但是，分布式信譽體系實現機制更為復雜，在多跳場景下會引入較大的網絡開銷?？紤]水下網絡的應用和網絡結構特點，相對適宜采用分布式信譽體系，并根據網絡節點的可信任程度（信譽數值），將網絡節點劃分為不同信譽等級或安全域的節點子集合，從而基于重疊網絡機制，在物理網絡的基礎上構建不同安全級別的邏輯子網。

4 基于逐跳身份認證的安全路由機制

對于水下網絡面臨的具有復雜機理的高度定制化網絡攻擊，通過節點妥協等方式突破網絡安全邊界后，針對水下網絡路由協議的攻擊將成為癱瘓網絡、竊取數據的重要方式，包括基于惡意節點、妥協節點的蟲洞攻擊、黑洞攻擊、灰洞攻擊和路由劫持等形式。目前，在路由安全方面采取的防護方法包括采用公鑰加密、對稱加密和混合加密等措施，綜合運用加密算法、數字簽名、哈希函數、可信第三方等機制對路由消息字段進行保護，加強網絡路由協議和路由信息的安全性和有效性。

在路由機制中引入逐跳可信認證并建立信任鏈，如圖1所示。基于這種方案的安全路由協議能夠發生蟲洞、路由阻塞等攻擊行為，并采取相應的防御措施。

圖1 基于逐跳身份認證的安全路由機制

它的主要特點包括：

（1）可以識別路由請求階段對源路由的非法篡改行為；

“茶產品分析與檢驗”是一門技術性、應用性、實踐性較強的綜合課程。通過學習該課程，學生可以逐步獲得獨立進行茶產品理化檢驗、有害物分析的工作能力，養成嚴謹求實的科學態度，同時提高獲取信息、團結協作、語言表達、開拓創新等綜合素質。作為地方高校，教學中始終堅持以應用能力為導向，靈活運用多種教學方法和教學手段，強化教學效果。

（2）網絡引導階段即建立了基于密鑰和加密算法相應的安全認證體系，因此網絡運行過程中節點間的數據交互和會話可以不再進行密鑰交互；

（3）能有效防止網絡合法節點實施虛假的“局部簽名”行為或者對網絡的驗簽操作進行干擾破壞；

（4）有效保障數據包轉發流程中的“新鮮性”，防止竊聽、重放，從而有效對抗蟲洞攻擊等惡意行為；

（5）網絡路由的逐跳認證機制能有效阻止攻擊節點發起的DoS攻擊。

5 分布式密鑰管理機制

水下網絡是無中心的異構網絡，其自組織架構和動態拓撲特性使得基于固定通信網絡的傳統密鑰管理機制難以直接應用，包括常用的密鑰管理設備、認證服務器等中心式節點，在水下網絡環境中存在效率低下、單點失效并易于受到DoS攻擊。此外，水下網絡存在通信鏈路可靠性低、長鏈路時延和物理拓撲動態變化的特點。因此，水下網絡中中心式的密鑰服務和安全認證服務，存在服務延遲高、服務可成功率低、易于被阻塞等缺陷。

5.1 分布式認證

在自組織網絡路由理論的相關研究工作中，一種技術途徑是可以離線方式預先共享整個網絡各個節點的認證密鑰，從而保障路由協議和業務會話的安全性。其中，典型的如基于門限密碼理論的分布式密鑰管理機制。該機制主要具有以下缺陷：

（1）很高的計算資源開銷，且需要配置超過門限閾值的多個認證節點以簽發安全證書；

5.2 自組織網絡本地認證

針對無線自組織網絡環境中的密鑰管理方法，一種實現途徑是各個網絡節點不需要通過預先設定的認證節點來發布證書，而是由各個網絡節點自身承擔安全證書的發布維護功能。對于用戶的認證請求，則通過證書鏈的機制來完成相應服務功能。它的主要缺陷包括：

（1）由于沒有可信的認證中心節點作為第三方，缺乏相應的身份認證過程，惡意節點可以假冒合法節點或偽造節點標識，通過發布虛假證書的方式接入目標網絡；

（2）由于單個網絡節點擁有的安全證書信息不完備，因此特別是對于AUV等遠程漫游節點，認證成功率成為一個致命的弱點；

（3）這種機制的擴展性較差，對于較大規模節點容量的水下網絡，證書數據庫的建立、維護和認證開銷將大大增加。

5.3 基于密鑰池的密鑰管理機制

建立網絡隨機密鑰預分布模型和相應的密鑰池，在網絡中各個節點分別保存密鑰池的分片密鑰。網絡中任意一對節點可以利用具有的相同密鑰建立安全的網絡鏈路。但是，基于概率因素，在這種方案中，物理拓撲上連通的網絡不一定能建立安全上的連通性。此外，如果網絡節點被俘獲后妥協，則會導致大部分密鑰被竊取，從而徹底破壞整個網絡的安全性。

通過提高共享密鑰的閾值（閾值可調節）要求，可以對上述機制進行改進，引入數量可自適應調節的共享密鑰動態管理機制，有效改善網絡對于惡意節點攻擊的安全防護能力。當網絡中節點之間的連通性達到預定的概率門限閾值時，則需要調節密鑰池的規模，增加共享密鑰的重疊度。這種情況下，攻擊者能夠利用捕獲少量的網絡節點獲取足夠數量的密鑰空間。

對于靜態部署的無線傳感器網絡，可以在隨機密鑰對模型中引入地理位置信息，根據網絡節點的地理位置信息將網絡部署地域劃分為柵格，以網格柵格為參考共享密鑰對的二元高次多項式?？紤]到除了各類靜態部署的水下潛標節點外，水下網絡中還包含基于AUV、UUV等平臺的移動傳感器節點。因此，還需要針對支持移動節點的動態自組織網絡和傳感器網絡進行進一步的研究工作。

5.4 無線異構網絡密鑰預共享安全引導模型

針對大多數傳感器網絡密鑰分發機制在網絡安全連通性和節點抗俘獲能力方面的弱點，可以采用基于拉格朗日插值多項式組和哈希函數的二元[t,n]門限方案，實現水下異構網絡的密鑰預共享安全引導模型。它的主要技術途徑和特點包括：

（1）基于拉格朗日插值多項式組的二元[t,n]門限機制，利用單向哈希函數增強子密鑰的安全性；

（2）沒有采用基于概率分布進行全網密鑰共享的方式，可以實現整個水下異構網絡的安全連通性；

（3）采用基于門限數字簽名的密鑰恢復協議設計，增強了密鑰恢復操作的安全性，能夠有效抵御欺騙攻擊、復制攻擊和撤銷攻擊；

（4）網絡密鑰只有當超過一定閾值數量的節點被俘獲的情況下才會泄露，因此當超過一定門限的密鑰分片泄露后，可以通過子密鑰撤銷廣播，刪除相應多項式對應的子密鑰；

（5）當節點被惡意攻擊并導致其私鑰暴露后，首先發現該事件的節點及時以廣播方式發送公共密鑰撤銷通告，并刪除掉被攻破節點對應的公鑰信息。當攻擊者發起復制攻擊時，復制節點的公鑰已被及時刪除，因而不能通過其他正常節點的身份認證進行通信。

6 結 語

本文通過分析研究國內外在海洋水下通信網絡、復雜異構網絡系統、無線傳感器網絡、容遲容斷網絡、機會網絡和移動自組織網絡等相關技術領域的研究工作和成果的基礎上，針對未來深遠海水下作戰體系無人平臺化、信息柵格化和網絡中心作戰的發展趨勢，對水下網絡安全涉及的多項關鍵技術進行了研究，可為水下網絡安全設計提供參考。

[1] Stoleru R,Wu H,Chenji H.Secure Neighbor Discovery in Mobile Ad Hoc Networks[C].2011 Eighth IEEE International Conference on Mobile Ad-Hoc and Sensor Systems,2011:35-42.

[2] Azzedine B,Yonglin R.A security Management Scheme Using a Novel Computational Reputation Model for Wireless and Mobile Ad Hoc Networks[C].Proceeding PE-WASUN '08 Proceedings of the 5th ACM Symposium on Performance Evaluation of Wireless Ad Hoc,Sensor,and Ubiquitous Networks,2008.

[3] 楊德明,慕德俊,許鐘.Ad hoc空間網絡密鑰管理與認證方案[J].通信學報,2006(08):104-107.YANG De-ming,MU De-jun,XU Zhong.Ad Hoc Key Management and Authentication Scheme in Space Network[J].Journal of Communication,2006(08):104-107.