基于網(wǎng)絡(luò)安全的路由器安全探析

向志敏

(中國聯(lián)合網(wǎng)絡(luò)通信有限公司恩施州分公司，湖北 恩施 445002)

0 引 言

互聯(lián)網(wǎng)時代給人們的日常生活帶來極大的方便。與此同時，網(wǎng)絡(luò)安全的問題也愈來愈受到人們的關(guān)注。路由器作為使用率較高的設(shè)備，更容易遭受攻擊，導(dǎo)致用戶信息泄露。因此，國內(nèi)外諸多學(xué)者對于控制路由器的安全漏洞有著很高的關(guān)注度。為了應(yīng)對這一情況，文獻[1-3]提出采取加密的方式，應(yīng)對路由器的網(wǎng)絡(luò)漏洞，主要通過密碼與WPA2等方式進行控制，其優(yōu)點在于操作簡單，但安全系數(shù)較低；文獻[4-5]提出在網(wǎng)絡(luò)接口與路由器之間嵌入安全模塊，通過安全模塊過濾后的目標地址再傳入，但該方式導(dǎo)致傳輸速度下降，影響人們的正常使用；文獻[6]中提出建立一個實時的監(jiān)控機制，隨時監(jiān)控節(jié)點間的傳輸速率大小，判斷是否遭受拒絕服務(wù)攻擊，但該模式容易遭受其他外在因素影響導(dǎo)致監(jiān)測結(jié)果失真。分析上述研究方法存在的問題，本文提出一種在路由器中嵌入安全模塊的方法，實驗仿真證明，該方法能夠有效阻止檢測、拒絕服務(wù)攻擊，為提高路由器的安全情況提供新的研究思路與方法。

1 無線傳感器網(wǎng)絡(luò)安全路由研究相關(guān)工作

在無限傳感器中，網(wǎng)絡(luò)安全攻擊的特點為通過超額消耗傳感器節(jié)點的能量，導(dǎo)致傳感器網(wǎng)絡(luò)不能高效率的完成數(shù)據(jù)集成工作。安全路由問題引起了諸多學(xué)者的關(guān)注，并成為一項影響網(wǎng)絡(luò)安全的重大弊端。與此同時，虛假路由信息、女巫攻擊、選擇性轉(zhuǎn)發(fā)、污水池(sinkhole)攻擊等眾多安全隱患也在威脅著無線傳感器網(wǎng)絡(luò)。如表1所示，分析無線網(wǎng)絡(luò)安全路由器存在的攻擊特點，可以推斷得出現(xiàn)階段的網(wǎng)絡(luò)攻擊對于無線傳感器性能的影響。根據(jù)不同的路由協(xié)議，其存在的安全威脅也不盡相同，具體分類如表1所示。

表1 路由協(xié)議的安全威脅

目前，路由器的安全方面可以利用路由器的安全協(xié)議，如INSENS, TRANS, SPINS等，經(jīng)采取鏈路層謹慎地加密處理。抵抗外部環(huán)境存在的偽造的身份信息可以通過多路徑路由、身份認證、雙向連接認證和認證廣播等環(huán)節(jié)來完成。而其中不足之處就在于對于Wormholes攻擊的防御方法還沒有特別的完善有效。

2 網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計

2.1 節(jié)點的自組織

通過對網(wǎng)絡(luò)區(qū)域進行研究，以Sink的節(jié)點作為中心，以相同范圍確定區(qū)域，計算總數(shù)量為500個節(jié)點。并且，節(jié)點是隨機分布的，通過節(jié)點的匯聚以及節(jié)點的能力反饋進行判斷各個節(jié)點的位置信息，按照節(jié)點的距離進行排序，算出的位置與Sink節(jié)點相距nR的節(jié)點，計算方式如下：

(1)

算出nR附近中的節(jié)點范圍，把這一節(jié)點劃為第n級，在劃分過程中，根據(jù)與首個節(jié)點的距離不同將節(jié)點劃分級別，如：距離為R的節(jié)點為1級節(jié)點；距離為2R劃分為第2節(jié)點；以此類推，得出n個節(jié)點級別，并通過甄別出候選低于節(jié)點后，將不同等級的ID存入節(jié)點。而后，通過在一定周期內(nèi)采取LEACH算法計算出簇首節(jié)點。例如：在第一級中需要2個節(jié)點，則第2級需要4個節(jié)點…類推需要2n節(jié)點的數(shù)量。

簇首節(jié)點是在接受節(jié)點的信息后，通過發(fā)送第一級節(jié)點與n級節(jié)點相傳遞，通過與上級簇交叉節(jié)點數(shù)據(jù)的傳遞過程如圖1所示，不同級的節(jié)點簇首與簇尾相連，來連接任意選擇節(jié)點進行數(shù)據(jù)傳遞。

在數(shù)據(jù)傳輸?shù)倪^程中，采取相關(guān)措施進行保密處理，具體關(guān)系如圖1所示。

圖1 為各簇之間的密鑰關(guān)系

2.2 網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計

研究無線傳感器節(jié)點的首要研究理論為節(jié)點可信性，在這里節(jié)點可信性的內(nèi)容包括：節(jié)點可用性、節(jié)點可靠度、安全性、可測試性。這一設(shè)計過程需采取節(jié)點的延遲、丟包率、吞吐量等過程進行測算節(jié)點的可信性。這些指標之間的權(quán)值也需要定義。通過借鑒IETF中的IPPM定義出發(fā)，得出Internet網(wǎng)絡(luò)性能度量指標，而后精簡該定義下的算法，得出無線傳感器的可信性為:時延、丟包率和剩余能量。定義:無線傳感器網(wǎng)絡(luò)節(jié)點A和相鄰節(jié)點B的可信度為:

(2)

式中，D代表延時；L代表丟包率；E代表節(jié)點B的剩余能量；(?,β,λ)的選擇使得延時、丟包、剩余能量三項值分別在0～1之間。

上述網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計方法，可以有效地完成網(wǎng)絡(luò)安全路由優(yōu)化分析，且綜合性能較高，有一定的實用價值。

3 實驗仿真證明

為了更好地進行基于網(wǎng)絡(luò)安全的路由分析，需要進行一次實驗。在JiST/SWANS平臺下，進行對于該路由分析的仿真算法實驗，為了降低實驗過程的復(fù)雜程度，通過節(jié)點可信度進行實驗控制。實驗的網(wǎng)絡(luò)環(huán)境為52個節(jié)點在2 000 m × 1 200 m構(gòu)成，實驗采用的MAC層協(xié)議是以IEEE 802.11 DCF模式完成實驗任務(wù)。實驗開始時，網(wǎng)絡(luò)節(jié)點分散分布在模擬環(huán)境中，并假設(shè)節(jié)點靜止。實驗中，節(jié)點Hello包分期發(fā)送，每個發(fā)送周期為2 s，在20周期后，節(jié)點開始發(fā)送路由探測包。實驗仿真網(wǎng)絡(luò)持續(xù)時間為1 000 s。在這個過程中，網(wǎng)絡(luò)中存在30%的cbr源，每15 s發(fā)送100字節(jié)數(shù)據(jù)。數(shù)據(jù)結(jié)果是在實驗環(huán)境相同條件下5次實驗的平均值，而后根據(jù)對應(yīng)的實驗結(jié)果進行模型評價。

3.1 評價指標的設(shè)計

為了更好地驗證本文提出的算法，檢驗基于網(wǎng)絡(luò)安全的路由設(shè)計的有效性，不僅需要進行一次實驗，還要將路由安全性作為主觀評價指標，來定義本文算法進行網(wǎng)絡(luò)安全的路由設(shè)計的性能，將傳統(tǒng)算法作為對比算法進行對比。

3.2 實驗結(jié)果

利用本文算法和傳統(tǒng)算法進行于網(wǎng)絡(luò)安全的路由設(shè)計實驗，對比不同算法進行基于網(wǎng)絡(luò)安全的路由的安全性，結(jié)果見圖2。

圖1 不同算法路由設(shè)計的安全性對比

圖2的仿真實驗可以說明，利用本文算法進行基于網(wǎng)絡(luò)安全路由設(shè)計的安全性要遠遠高于傳統(tǒng)算法進行網(wǎng)絡(luò)安全路由設(shè)計，其原因主要是在本文算法設(shè)計過程中，將節(jié)點分級處理，信息從第一級到第N級經(jīng)過傳輸、剔除，得出更為精確有效的數(shù)據(jù)輸入，分配信息素作為一個可信的安全特征，完成了更為安全的網(wǎng)絡(luò)路由器構(gòu)建。由此滿足了網(wǎng)絡(luò)安全路由設(shè)計精度的需求。