利用節點可信度的安全鏈路狀態路由協議

梁洪泉,吳 巍

(1.通信網信息傳輸與分發技術重點實驗室,河北石家莊 050081; 2.中國電子科技集團公司第五十四研究所,河北石家莊 050081)

利用節點可信度的安全鏈路狀態路由協議

梁洪泉1,2,吳 巍1,2

(1.通信網信息傳輸與分發技術重點實驗室,河北石家莊 050081; 2.中國電子科技集團公司第五十四研究所,河北石家莊 050081)

針對當前互聯網中亟需解決的安全路由技術展開研究,在綜合考慮節點身份和交互行為的基礎上,引入一種基于動態貝葉斯網絡的可信度量模型,將此模型應用于開放式最短路徑優先路由協議,同時結合基于組合公鑰的安全認證技術,提出了一種新的安全鏈路狀態路由協議,能夠為信息傳輸選擇高安全可信的路徑.仿真實驗通過模擬拒絕服務攻擊,驗證了在同等條件下新安全鏈路狀態路由協議在增強安全可信性的同時,并未顯著增加協議的開銷和復雜性,且在遭受網絡攻擊時具有較好的時效性和動態自適應能力,能夠有效抑制異常實體的威脅.

可信度量;動態貝葉斯網絡;組合公鑰;可信平臺模塊;網絡安全

隨著當前信息社會的高速發展,網絡安全成為通信網絡領域關注的焦點.一方面,近年來針對網絡節點的攻擊層出不窮且破壞力巨大,網絡節點面臨被攻擊、欺騙等風險;另一方面,以往對信息傳輸服務的研究大多建立在網絡環境安全可信的理想條件下,難以滿足當前用戶對可信傳輸服務的迫切要求.因此,安全路由協議[1-2]成為業界的研究熱點之一.

安全路由協議的研究包括節點安全及節點間信息交互安全兩個方面.當前節點安全的主要解決方案包括基于可信根的身份認證和可信度量技術,前者將可信平臺模塊(Trusted Platform Module,TPM)[3-7]作為內置可信根,并以此為起點,結合安全啟動、數據存儲保護、完整性度量以及可信傳遞等技術,采取逐級度量、驗證和傳遞的方式,完成節點可信度評估,其不足在于:其粒度較粗且難以有效應對內部攻擊,如基本輸入輸出系統(Basic Input Output System,BIOS)易被篡改,導致可信根的可信性無法保證等;后者以社會關系學為基礎,通過證據理論、概率論等方法[8-9]對節點身份和交互行為進行可信度量,但仍需在計算復雜度、精準性和動態適應性等方面進行優化.節點間信息交互安全大多采用基于密碼學的安全加固方式,如文獻[10-11]提出利用簽名技術保證開放式最短路徑優先(Open Shortest Path First,OSPF)協議安全的方法,雖然能有效抵御外部攻擊,但難以有效應對內部破壞,且大多依賴第三方認證系統的支持,因而難以滿足大規模的應用需求.

針對研究現狀,筆者提出了一種基于節點可信度的安全鏈路狀態路由協議,通過在網絡中引入信任和基于組合公鑰(Combined Public Key,CPK)的安全認證機制,一方面增強信息交互的安全性,另一方面在路由決策時綜合考慮節點可信度和路徑可信度,為信息傳輸選擇高安全可信的路徑.

1　節點可信度量模型研究

將基于可信根的身份認證與可信度量技術相結合,研究可信度量的組成和計算模型.

圖1　可信度量模型的組成

1.1可信度量模型的組成

可信度量模型的組成如圖1所示,主要包括:

(1)可信平臺模塊:TPM模塊主要為節點提供身份認證、密碼運算、存儲保護以及接口服務等功能.

(2)可信度量模塊:

利用TPM模塊完成節點的身份認證和完整性評估,利用可信度量模塊完成節點行為的可信度量,兩者的結合能夠提供更細粒度的安全保障.

1.2可信度量的計算

定義1 G=(V,E,T),表示當前網絡的可信關系有向圖,V和E分別為節點和邊集合.若?vi,vj∈V,且vi≠vj,使E(vi,vj)=Eij≠?,Eij、Eji∈E且Eij≠Eji,則稱Eij為節點vi建立的關于節點vj的可信關系,T={T1,T2,…,Tn},表示節點的綜合可信度集合.

節點vi對vj的綜合可信度量Tij由其直接可信度量Dij和間接可信度量Iij綜合得出,Tij的公式如下:

其中,t和t0分別為當前時間戳和最近一次完成可信計算的時間戳;W表示有效歷史交互證據窗口;Wij表示在W中節點vi收集的關于vj的有效證據;C(Wij,t)表示時間戳t之前節點vi收集的關于vj的交互上下文; ΔC=C(Wij,t)-C(Wij,t0);a1和a2分別表示直接和間接可信度的權重,且a1+a2=1;Tij( Eij,C(Wij,t),t)表示在時間戳t的有效歷史交互證據條件下,節點vi對vj的綜合可信度量,且Tij( Eij,C(Wij,t),t)∈[0,1];φ表示可信度懲罰因子;τ(t)表示可信度衰減因子,可表示為

其中,τ(t)∈(0,1);δ為衰減調節因子,δ∈(0,1),其取值與有效證據更新的快慢有關,δ的大小決定了可信度衰減的快慢.當δ=0時,不衰減;δ取值越大,則衰減越快.

φ的表達式為

其中,φ∈(0,1),ΔTi=Ti(t)-Ti(t0).當ΔTi＜0時,需要對該節點進行懲罰,φ越小,則懲罰越嚴厲. Ti的表達式為

其中,Ti∈[0,1],n表示網絡G中與節點vi具有交互關系的節點數量.

目前,針對可信度量的數學模型有很多,文中采用基于動態貝葉斯網絡的可信度量模型(Trusted Measurement Model based on Dynamic Bayesian Networks,TMMDBN)[12],它以貝葉斯公式、貝葉斯定理為理論依據,將傳統的貝葉斯網絡與時序相結合,通過定義先驗網絡、轉移網絡和條件概率,在新證據獲取的基礎上,實現節點綜合可信度的迭代計算,其表達式為

其中,N表示動態貝葉斯網絡數學模型,Bt0、B→和P(t0)分別表示時間戳t0時的先驗網絡、轉移網絡和條件概率.

2　安全鏈路狀態路由協議

在標準OSPF的基礎上進行可信改造,通過引入信任和基于CPK的安全認證機制,實現安全鏈路狀態路由協議(Secure Link State Routing Protocol,SLSRP).

2.1基于CPK的安全認證技術

采用基于CPK的安全認證技術,實現節點、協議交互對等體之間的身份認證,保證數據傳輸的完整性和真實性,其工作原理為:初始時,對數據包進行安全散列,利用當前節點身份標識號碼(IDentity,ID)的私鑰進行簽名運算,獲取簽名數據,并將其攜帶于數據包中發送至對端;接收端依據數據包所攜帶的節點ID,對其進行檢驗以驗證其合法性.另外,為防止信息泄露,一方面,采用對稱密鑰加密技術實現節點間協議的安全收發;另一方面,在節點之間采用CPK技術實現會話密鑰的協商.基于CPK的信息交互處理過程如圖2所示,其密鑰協商僅需1次交互即可完成,無需在網絡中傳遞會話密鑰,保證了密鑰傳遞的安全性.

與傳統的公鑰基礎設施(Public Key Infrastructure,PKI)、數字簽名等技術相比,基于CPK的安全認證技術無需第三方證明及數據庫的在線支持,單個芯片即可實現,在工程應用上具有經濟、高效、支持大規模等優勢,因此,能夠有效彌補OSPF本身安全認證機制簡單且易破解的缺陷.

圖2　基于CPK的信息交互處理流程

2.2SLSRP協議的可信傳遞

首先在不破壞OSPF完整性的基礎上進行可信改造,實現SLSRP.將OSPF協議公共報文頭中的“Authentication”字段長度由64 bit擴展至128 bit,用于存儲CPK簽名,另外,在OSPF的LINK TLV報文中填充節點可信度信息.

SLSRP協議在可信傳遞前,首先由當前節點利用TMMDBN完成對鄰接節點的可信度計算并形成本地可信關系列表;其次,在鄰居發現、鏈路狀態泛洪等協議交互過程中采用基于CPK的安全認證機制來保證協議交互對等體的身份可信,并將攜帶的可信信息在全網范圍內進行安全傳遞和擴散,形成全網統一的包含可信度信息的鏈路狀態數據庫;最后,利用受限最短路徑優先(Constrained Shortest Path First,CSPF)算法計算滿足可信度要求的最優路徑.SLSRP協議的可信傳遞控制流程如圖3所示.

圖3　SLSRP協議的可信傳遞控制流程

2.3SLSRP協議的可信路由計算

定義2 設vs,vd∈V,且vs≠vd,分別表示源和目的節點,若構成可信路徑的各節點能夠滿足信息傳輸的保密性、可用性和完整性要求,并能夠提供可預期的安全可信服務,則稱P(vs,vd)={vs,…,vd},為網絡G中節點vs與vd間的可信路徑.

可信路徑的代價用C來表示,其表達式為

其中,O∈[0,1],為常量;C(vs,vd,O)表示節點vs和vd間滿足節點可信度為O約束條件下的可信路徑的代價;C∈[0,max],max為系統設定的上限值.

SLSRP協議在路由計算時,以節點綜合可信度為基礎,選擇C最小的路徑.當vs與vd間僅有1條滿足要求的可信路徑時,該路徑即為最優路徑;當vs與vd間有多條滿足要求的可信路徑時,除C外,還需結合可信

路徑的長度、可信度均值和可信度抖動進行綜合考慮.可信路徑的可信度均值用M來表示,其表達式為

其中,Px、Mx分別表示第x條可信路徑及其節點可信度均值;Length(Px)表示第x條可信路徑的長度.

可信路徑的可信度抖動用V來表示,其表達式為

其中,Vx表示第x條可信路徑的可信度抖動.

SLSRP協議的最優可信路徑(Optimization Trusted Path First,OTPF)的偽代碼如下所示.其中,第(2)步根據改進的最短路徑算法t Dijkstra計算網絡G中節點vs和vd間的可信路徑集合P;第(3)步若存在多條滿足要求的可信路徑,則按照路徑最短優先原則選擇路徑長度最短的可信路徑;第(4)步若存在多條長度相同的最短可信路徑,則按照可信度抖動最小優先原則選擇抖動最小的可信路徑;第(5)步若存在多條抖動相同的最短可信路徑,則按照可信度均值最大優先原則選擇均值最大的可信路徑.

輸入:G,Vs,Vd

輸出:Pbest

Begin

(1)PminLen=Φ,Pbest=Φ,Pbest_V=Φ

(2)P=t Dijkstra(G,Vs,Vd)

If(P!=Φ)

(3) If(P.GetSize()＞1)

PminLen=Length_first_Cal(P)

(4) If(PminLen.GetSize()＞1)

Pbest_V=V_first_Cal(PminLen)

End if

(5) If(Pbest_V.GetSize()＞1)

Pbest=M_first_Cal(Pbest_V)

End if

Else

Pbest=P

Else

Pbest=Φ

End if

end

3　仿真實驗及分析

可信度量模型采用TMMDBN,仿真實驗主要對SLSRP協議的有效性進行驗證與分析.

3.1實驗設計

基于OPNET Modeler網絡仿真平臺對SLSRP協議進行仿真建模,仿真場景如圖4所示,由38個核心路由器,2個接入路由器和2個用戶節點構成,所有核心路由器構成核心路由域,業務由Src產生,穿越網絡后到達Dest.參數設置如表1所示.

圖4　仿真場景

表1　仿真實驗參數設置

3.2仿真與分析

根據實驗設計進行仿真實驗,通過相同場景下SLSRP與OSPF的對比,分析并驗證SLSRP的時效性和動態自適應能力.

首先,將SLSRP與OSPF的協議開銷進行對比,實時協議開銷如圖5(a)所示,平均協議開銷對比如圖5 (b)所示,星形相連曲線為SLSRP,十字星形相連曲線為OSPF.在仿真初始時,路由震蕩導致了SLSRP與OSPF的協議開銷均較大,在36 s左右達到峰值,此時SLSRP的協議開銷比OSPF增大了約57.1%,此后在80 s左右SLSRP與OSPF均完成了路由收斂且協議開銷相差不大,從整體來看,SLSRP的平均協議開銷比OSPF增加了約11.7%,這主要是由SLSRP引入的認證機制所導致的;在仿真時刻500 s、700 s和900 s遭受拒絕服務攻擊后,由于節點可信度的變化導致SLSRP重新觸發路由計算,因而SLSRP的協議開銷比OSPF明顯增大,而在其他時刻兩者的協議開銷相差不大.

圖5　仿真結果

其次,將SLSRP與OSPF的業務端到端時延進行對比,具體如圖5(c)所示,方形相連曲線表示被攻擊節點數為0時的OSPF,十字星形和星形相連曲線分別表示被攻擊節點數為0和3時的SLSRP.當被攻擊節點數為0時,SLSRP由于采用CPK機制所增加的額外開銷,導致其時延略大;當節點LSR20/17/2分別在仿真時刻500 s、700 s和900 s遭受拒絕服務攻擊時,由于OSPF無法及時獲取鏈路狀態的改變,直至超出54 s的宕機判斷間隔后才觸發路由重新計算,導致時延顯著增大.因此,OSPF協議難以快速應對拒絕服務攻擊;同等條件下,SLSRP則能夠及時獲取節點可信度的變化而觸發路由重新計算,在路由重新收斂的同時,僅僅增加了較小的時間開銷.

在整個仿真過程中,TMMDBN由內嵌于設備模型的可信度量模塊完成,其在非受限資源條件下僅僅是略微增加節點模型的計算復雜性,對網絡系統本身的復雜性和開銷影響很小.伴隨著網絡狀態的變化以及后續攻擊行為,最優可信路徑的選擇發生了4次變化,具體如表2所示.

表3　業務流經的最優可信路徑

實驗結果表明,在正常情況下,SLSRP能夠完成路由收斂和業務轉發,證明了其有效性,與OSPF相比,SLSRP在路由收斂以及業務傳輸時間上相差無幾,但協議開銷略大;當網絡遭受拒絕服務攻擊時,與OSPF相比,SLSRP引入的信任和認證機制并未顯著增加協議的開銷和復雜性,同時能夠及時獲取節點可信度的變化并重新觸發路由計算,使得SLSRP具有較好的動態自適應能力和時效性,并為信息傳輸選擇了高安全可信的路徑,有效抵制了拒絕服務攻擊.

4　結束語

針對不安全的網絡環境,筆者提出了一種基于節點可信度的安全鏈路狀態路由協議,通過在網絡中引入信任機制,使SLSRP在路由計算時對節點可信度和路徑可信度進行了綜合考慮,同時利用基于CPK的安全認證技術來增強協議交互的安全性.仿真實驗表明,SLSRP在遭受拒絕服務攻擊時具有較好的時效性和動態自適應能力,為可信網絡連接技術的研究奠定了較好的基礎.下一步工作是對SLSRP進行優化,并對持續攻擊下SLSRP的路由震蕩問題進行深入研究.

[1]王洪超,郭華明,張宏科.可信路由機理及關鍵技術[J].中興通訊技術,2009,15(6):13-17. WANG Hongchao,GUO Huaming,ZHANG Hongke.Research on Theory and Key Technologies of Trustworthy Routing[J].ZTE Communications,2009,15(6):13-17.

[2]林暉,馬建峰.無線Mesh網絡中基于跨層信譽機制的安全路由協議[J].西安電子科技大學學報,2014,41(1): 116-123. LIN Hui,MA Jianfeng.Cross Layer Reputation Mechanism Based Secure Routing Protocol for WMNs[J].Journal of Xidian University,2014,41(1):116-123.

[3]徐明迪,張煥國,張帆,等.可信系統信任鏈研究綜述[J].電子學報,2014,42(10):2024-2031. XU Mingdi,ZHANG Huanguo,ZHANG Fan,et al.Survey on Chain of Trust of Trusted System[J].Acta Electronica Sinica,2014,42(10):2024-2031.

[4]張倩穎,馮登國,趙世軍.基于可信芯片的平臺身份證明方案研究[J].通信學報,2014,35(8):95-106. ZHANG Qianying,FENG Dengguo,ZHAO Shijun.Research of Platform Identity Attestation Based on Trusted Chip [J].Journal on Communications,2014,35(8):95-106.

[5]TRUSTED COMPUTING GROUP.TPM Platform Module Library Family“2.0”Revision 01.07 Parts 1-4[EB/OL]. [2015-04-14].http://www.trustedcomputinggroup.org.

[6]KRAXBERGER S,TOEGL R,PIRKER M,et al.Trusted Identity Management for Overlay Networks[M].Berlin: Springer-Verlag,2013:16-30.

[7]OBERLE A,LARBIG P,KUNTZE N,et al.Integrity Based Relationships and Trustworthy Communication between Network Participants[C]//Proceedings of the IEEE International Conference on Communications.Piscataway:IEEE,2014:610-615.

[8]MELAYE D,DEMAZEAU Y.Bayesian Dynamic Trust Model[C]//Proceedings of the 4th International Central and Eastern European Conference on Multi-agent System.Berlin:Springer-Verlag,2005:480-489.

[9]FENG R,XU X F,ZHOU X,et al.A Trust Evaluation Algorithm for Wireless Sensor Networks Based on Node Behaviors and D-S Evidence Theory[J].Sensors,2011,11(2):1345-1360.

[10]MURPHY S,BADGER M,WELLINGTON B.OSPF with Digital Signatures[EB/OL].[2015-06-08].http://www. faqs.org/rfcs/rfc2154.html.

[11]李道豐,楊義先,谷利澤,等.采用可凈化簽名的OSPF協議安全保護機制[J].北京郵電大學學報,2011,34(3): 79-83. LI Daofeng,YANG Yixian,GU Lize,et al.Secure Protection Mechanism for OSPF Protocol with Sinitizable Signature Scheme[J].Journal of Beijing University of Posts and Telecommunications,2011,34(3):79-83.

[12]梁洪泉,吳巍.基于動態貝葉斯網絡的可信度量模型研究[J].通信學報,2013,34(9):68-76. LIANG Hongquan,WU Wei.Research of Trust Evaluation Model Based on Dynamic Bayesian Network[J].Journal on Communications,2013,34(9):68-76.

(編輯:齊淑娟)

Secure link status routing protocol based on node trustworthiness

LIANG Hongquan1,2,WU Wei1,2
(1.Science and Technology on Information Transmission and Dissemination in Communication Networks Laboratory,Shijiazhuang 050081,China;2.The 54th Research Institute of China Electronics Technology Group Corporation,Shijiazhuang 050081,China)

To develop secure routing technology for the current Internet,a trusted measurement model based on dynamic Bayesian networks(TMMDBN)is introduced by taking both node identity and its interaction into account.Combining the security authentication technology based on the combined public key (CPK),a new secure link state routing protocol(SLSRP)is proposed by applying the model to the OSPF protocol,which can determine a high security and trusted path for data transmission.Simulation results show that SLSRP achieves a much better security performance than OSPF with little increase in signaling overhead and computational complexity.Moreover,SLSRP has an adaptive capability and can quickly react to the denial of the service attack,which can effectively suppress the threat of an abnormal entity.

trusted measurement;Bayesian networks;combined public key;trusted platform module; network security

TP393

A

1001-2400(2016)05-0121-07

10.3969/j.issn.1001-2400.2016.05.022

2015-07-15 網絡出版時間:2015-12-10

國家部委基金資助項目(B1120131046);國家高技術研究發展計劃(“863”計劃)資助項目(2015A015701)

梁洪泉(1981-),男,高級工程師,中國電子科技集團公司第五十四研究所博士研究生,E-mail:lianghongquan_1981@163.com.

網絡出版地址:http://www.cnki.net/kcms/detail/61.1076.TN.20151210.1529.044.html