基于網(wǎng)絡(luò)安全的路由器安全探析

向志敏

(中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司恩施州分公司，湖北 恩施 445002)

0 引 言

互聯(lián)網(wǎng)時(shí)代給人們的日常生活帶來極大的方便。與此同時(shí)，網(wǎng)絡(luò)安全的問題也愈來愈受到人們的關(guān)注。路由器作為使用率較高的設(shè)備，更容易遭受攻擊，導(dǎo)致用戶信息泄露。因此，國(guó)內(nèi)外諸多學(xué)者對(duì)于控制路由器的安全漏洞有著很高的關(guān)注度。為了應(yīng)對(duì)這一情況，文獻(xiàn)[1-3]提出采取加密的方式，應(yīng)對(duì)路由器的網(wǎng)絡(luò)漏洞，主要通過密碼與WPA2等方式進(jìn)行控制，其優(yōu)點(diǎn)在于操作簡(jiǎn)單，但安全系數(shù)較低；文獻(xiàn)[4-5]提出在網(wǎng)絡(luò)接口與路由器之間嵌入安全模塊，通過安全模塊過濾后的目標(biāo)地址再傳入，但該方式導(dǎo)致傳輸速度下降，影響人們的正常使用；文獻(xiàn)[6]中提出建立一個(gè)實(shí)時(shí)的監(jiān)控機(jī)制，隨時(shí)監(jiān)控節(jié)點(diǎn)間的傳輸速率大小，判斷是否遭受拒絕服務(wù)攻擊，但該模式容易遭受其他外在因素影響導(dǎo)致監(jiān)測(cè)結(jié)果失真。分析上述研究方法存在的問題，本文提出一種在路由器中嵌入安全模塊的方法，實(shí)驗(yàn)仿真證明，該方法能夠有效阻止檢測(cè)、拒絕服務(wù)攻擊，為提高路由器的安全情況提供新的研究思路與方法。

1 無線傳感器網(wǎng)絡(luò)安全路由研究相關(guān)工作

在無限傳感器中，網(wǎng)絡(luò)安全攻擊的特點(diǎn)為通過超額消耗傳感器節(jié)點(diǎn)的能量，導(dǎo)致傳感器網(wǎng)絡(luò)不能高效率的完成數(shù)據(jù)集成工作。安全路由問題引起了諸多學(xué)者的關(guān)注，并成為一項(xiàng)影響網(wǎng)絡(luò)安全的重大弊端。與此同時(shí)，虛假路由信息、女巫攻擊、選擇性轉(zhuǎn)發(fā)、污水池(sinkhole)攻擊等眾多安全隱患也在威脅著無線傳感器網(wǎng)絡(luò)。如表1所示，分析無線網(wǎng)絡(luò)安全路由器存在的攻擊特點(diǎn)，可以推斷得出現(xiàn)階段的網(wǎng)絡(luò)攻擊對(duì)于無線傳感器性能的影響。根據(jù)不同的路由協(xié)議，其存在的安全威脅也不盡相同，具體分類如表1所示。

表1 路由協(xié)議的安全威脅

目前，路由器的安全方面可以利用路由器的安全協(xié)議，如INSENS, TRANS, SPINS等，經(jīng)采取鏈路層謹(jǐn)慎地加密處理。抵抗外部環(huán)境存在的偽造的身份信息可以通過多路徑路由、身份認(rèn)證、雙向連接認(rèn)證和認(rèn)證廣播等環(huán)節(jié)來完成。而其中不足之處就在于對(duì)于Wormholes攻擊的防御方法還沒有特別的完善有效。

2 網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計(jì)

2.1 節(jié)點(diǎn)的自組織

通過對(duì)網(wǎng)絡(luò)區(qū)域進(jìn)行研究，以Sink的節(jié)點(diǎn)作為中心，以相同范圍確定區(qū)域，計(jì)算總數(shù)量為500個(gè)節(jié)點(diǎn)。并且，節(jié)點(diǎn)是隨機(jī)分布的，通過節(jié)點(diǎn)的匯聚以及節(jié)點(diǎn)的能力反饋進(jìn)行判斷各個(gè)節(jié)點(diǎn)的位置信息，按照節(jié)點(diǎn)的距離進(jìn)行排序，算出的位置與Sink節(jié)點(diǎn)相距nR的節(jié)點(diǎn)，計(jì)算方式如下：

(1)

算出nR附近中的節(jié)點(diǎn)范圍，把這一節(jié)點(diǎn)劃為第n級(jí)，在劃分過程中，根據(jù)與首個(gè)節(jié)點(diǎn)的距離不同將節(jié)點(diǎn)劃分級(jí)別，如：距離為R的節(jié)點(diǎn)為1級(jí)節(jié)點(diǎn)；距離為2R劃分為第2節(jié)點(diǎn)；以此類推，得出n個(gè)節(jié)點(diǎn)級(jí)別，并通過甄別出候選低于節(jié)點(diǎn)后，將不同等級(jí)的ID存入節(jié)點(diǎn)。而后，通過在一定周期內(nèi)采取LEACH算法計(jì)算出簇首節(jié)點(diǎn)。例如：在第一級(jí)中需要2個(gè)節(jié)點(diǎn)，則第2級(jí)需要4個(gè)節(jié)點(diǎn)…類推需要2n節(jié)點(diǎn)的數(shù)量。

簇首節(jié)點(diǎn)是在接受節(jié)點(diǎn)的信息后，通過發(fā)送第一級(jí)節(jié)點(diǎn)與n級(jí)節(jié)點(diǎn)相傳遞，通過與上級(jí)簇交叉節(jié)點(diǎn)數(shù)據(jù)的傳遞過程如圖1所示，不同級(jí)的節(jié)點(diǎn)簇首與簇尾相連，來連接任意選擇節(jié)點(diǎn)進(jìn)行數(shù)據(jù)傳遞。

在數(shù)據(jù)傳輸?shù)倪^程中，采取相關(guān)措施進(jìn)行保密處理，具體關(guān)系如圖1所示。

圖1 為各簇之間的密鑰關(guān)系

2.2 網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計(jì)

研究無線傳感器節(jié)點(diǎn)的首要研究理論為節(jié)點(diǎn)可信性，在這里節(jié)點(diǎn)可信性的內(nèi)容包括：節(jié)點(diǎn)可用性、節(jié)點(diǎn)可靠度、安全性、可測(cè)試性。這一設(shè)計(jì)過程需采取節(jié)點(diǎn)的延遲、丟包率、吞吐量等過程進(jìn)行測(cè)算節(jié)點(diǎn)的可信性。這些指標(biāo)之間的權(quán)值也需要定義。通過借鑒IETF中的IPPM定義出發(fā)，得出Internet網(wǎng)絡(luò)性能度量指標(biāo)，而后精簡(jiǎn)該定義下的算法，得出無線傳感器的可信性為:時(shí)延、丟包率和剩余能量。定義:無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)A和相鄰節(jié)點(diǎn)B的可信度為:

(2)

式中，D代表延時(shí)；L代表丟包率；E代表節(jié)點(diǎn)B的剩余能量；(?,β,λ)的選擇使得延時(shí)、丟包、剩余能量三項(xiàng)值分別在0～1之間。

上述網(wǎng)絡(luò)安全路由優(yōu)化設(shè)計(jì)方法，可以有效地完成網(wǎng)絡(luò)安全路由優(yōu)化分析，且綜合性能較高，有一定的實(shí)用價(jià)值。

3 實(shí)驗(yàn)仿真證明

為了更好地進(jìn)行基于網(wǎng)絡(luò)安全的路由分析，需要進(jìn)行一次實(shí)驗(yàn)。在JiST/SWANS平臺(tái)下，進(jìn)行對(duì)于該路由分析的仿真算法實(shí)驗(yàn)，為了降低實(shí)驗(yàn)過程的復(fù)雜程度，通過節(jié)點(diǎn)可信度進(jìn)行實(shí)驗(yàn)控制。實(shí)驗(yàn)的網(wǎng)絡(luò)環(huán)境為52個(gè)節(jié)點(diǎn)在2 000 m × 1 200 m構(gòu)成，實(shí)驗(yàn)采用的MAC層協(xié)議是以IEEE 802.11 DCF模式完成實(shí)驗(yàn)任務(wù)。實(shí)驗(yàn)開始時(shí)，網(wǎng)絡(luò)節(jié)點(diǎn)分散分布在模擬環(huán)境中，并假設(shè)節(jié)點(diǎn)靜止。實(shí)驗(yàn)中，節(jié)點(diǎn)Hello包分期發(fā)送，每個(gè)發(fā)送周期為2 s，在20周期后，節(jié)點(diǎn)開始發(fā)送路由探測(cè)包。實(shí)驗(yàn)仿真網(wǎng)絡(luò)持續(xù)時(shí)間為1 000 s。在這個(gè)過程中，網(wǎng)絡(luò)中存在30%的cbr源，每15 s發(fā)送100字節(jié)數(shù)據(jù)。數(shù)據(jù)結(jié)果是在實(shí)驗(yàn)環(huán)境相同條件下5次實(shí)驗(yàn)的平均值，而后根據(jù)對(duì)應(yīng)的實(shí)驗(yàn)結(jié)果進(jìn)行模型評(píng)價(jià)。

3.1 評(píng)價(jià)指標(biāo)的設(shè)計(jì)

為了更好地驗(yàn)證本文提出的算法，檢驗(yàn)基于網(wǎng)絡(luò)安全的路由設(shè)計(jì)的有效性，不僅需要進(jìn)行一次實(shí)驗(yàn)，還要將路由安全性作為主觀評(píng)價(jià)指標(biāo)，來定義本文算法進(jìn)行網(wǎng)絡(luò)安全的路由設(shè)計(jì)的性能，將傳統(tǒng)算法作為對(duì)比算法進(jìn)行對(duì)比。

3.2 實(shí)驗(yàn)結(jié)果

利用本文算法和傳統(tǒng)算法進(jìn)行于網(wǎng)絡(luò)安全的路由設(shè)計(jì)實(shí)驗(yàn)，對(duì)比不同算法進(jìn)行基于網(wǎng)絡(luò)安全的路由的安全性，結(jié)果見圖2。

圖1 不同算法路由設(shè)計(jì)的安全性對(duì)比

圖2的仿真實(shí)驗(yàn)可以說明，利用本文算法進(jìn)行基于網(wǎng)絡(luò)安全路由設(shè)計(jì)的安全性要遠(yuǎn)遠(yuǎn)高于傳統(tǒng)算法進(jìn)行網(wǎng)絡(luò)安全路由設(shè)計(jì)，其原因主要是在本文算法設(shè)計(jì)過程中，將節(jié)點(diǎn)分級(jí)處理，信息從第一級(jí)到第N級(jí)經(jīng)過傳輸、剔除，得出更為精確有效的數(shù)據(jù)輸入，分配信息素作為一個(gè)可信的安全特征，完成了更為安全的網(wǎng)絡(luò)路由器構(gòu)建。由此滿足了網(wǎng)絡(luò)安全路由設(shè)計(jì)精度的需求。