工业互联网安全技术 课件 第6章 安全路由

工业互联网安全技术第6章安全路由6.1安全路由概述6.2安全路由协议第1章绪论学习要求

知识要点能力要求安全路由（1）了解路由的分类（2）掌握常见的路由攻击安全路由协议（1）熟悉基于信任的安全路由协议（2）了解安全混合路由协议（3）熟悉安全LEACH6.1.1路由概述路由概述路由是一种允许将数据从网络的一个节点正确地转发到不在其传输范围内的另一个节点的机制。为了保证数据路由，路由有路由发现、数据转发和路由维护三个阶段。路由发现：路由发现阶段的目标是发现网络中的所有相邻节点，并构造必要的路由表（网络拓扑)，以便通过一组路径将节点连接起来。数据转发：在路由发现阶段之后，使用路由发现阶段构建的路由表中包含的路径，通过一组中间节点在源和目标之间转发数据包。路由维护：当一个节点检测到链路中出现故障时，它会通过网络传播更新数据包，以通知其他节点该节点出现了故障。当节点收到更新包时，其会相应地更新路由表。6.1.1路由概述路由概述在具有基础的网络中，路由有专门设计用于执行此任务的节点（如路由器、交换机等）执行，这些节点在带宽、存储内存、计算能力等资源方面具有巨大的容量。而在无线自组织网络中却缺乏这样预先存在的基础设施，构成网络的节点需要相互协作来执行路由，这也是本章关注的重点。在无线自组织网络中的节点具有移动性、有限的资源和有限的物理安全性等特点。因此必须专门为这些网络设计路由协议，以满足与这些特性相关的要求。无线自组织网络中的路由协议主要有两类：基于拓扑的路由协议和基于位置的路由协议。6.1.1路由概述路由概述基于拓扑的路由协议主动式路由协议基于位置的路由协议

6.1.2对路由协议的攻击对路由协议的攻击

外部攻击：这类攻击由不属于网络的节点发起，通常可以通过使用防火墙和来源认证来防御。内部攻击：这类攻击由属于网络内的受损节点执行，因为这些节点被授权访问网络，故这类攻击很难检测和防御。被动攻击：攻击者嗅探网络流量并捕获数据但不改变和修改数据。攻击者的目标是获取节点之间交换的敏感数据，从而违反数据机密性。这种类型的攻击也很难检测，因为网络运行不受影响。然而，使用强大的加密机制可以防止违反数据机密性。主动攻击：攻击者的目的是通过修改传输的数据包或引入降低网络性能的虚假路由信息来破坏网络功能。6.1.2

对路由协议的攻击对路由协议的攻击

目前，更具体的攻击形式有以下几种：操纵路由信息选择性转发攻击女巫攻击黑洞攻击虫洞攻击Hello泛洪攻击6.1.3

安全路由需求安全路由需求为了设计和开发一个安全路由协议，在遵守已定义的安全和隐私标准的同时，确定和解决协议的安全目标非常重要。此外，安全目标不得限制数据网络的基本信息要求，即机密性、完整性和可用性。以下几点是对设计安全路由的一些建议。安全路由建立任何安全路由协议的一个重要特征是，其能够在源和目标之间建立并保证安全路由，同时隔离网络中的恶意节点。自稳定良好的安全路由协议的自稳定特性意味着该协议必须能够在一定时间内自动从任何问题中恢复，而无需人工干预。6.1.3

安全路由需求安全路由需求有效的恶意节点识别系统恶意节点隔离机制应当被嵌入安全路由协议设计中，以隔离网络中行为不端的节点，行为不端的节点对篡改或中断网络路由过程的影响必须最小。轻量级计算网络内节点通常资源受限，计算能力和内存有限。因此，任何安全路由协议都应该考虑安全并且轻量级。理想情况下，安全路由操作（如公钥加密或最短路径算法）应仅限于少数节点，以降低复杂性。第6章安全路由6.1安全路由概述6.2安全路由协议6.2

安全路由协议为了增强路由的安全性，一种机制是在路由中使用公钥加密，例如安全混合路由协议，但这仅适用于计算和存储等资源充足的网络。当网络内只有部分节点有充足的资源时，需要考虑减小使用公钥的范围，例如安全LEACH。进一步地，当网络内所有节点都资源受限时，需要考虑使用其他机制保证路由安全，例如基于信任的安全路由协议。保证路由安全需要平衡网络内资源和所使用机制的代价。

6.2.1安全混合路由协议安全混合路由协议

区域路由协议（ZRP）是一种典型的混合式路由协议，包括区域内路由协议和区域间路由协议。ZRP将网络划分为许多小的区域，在区域内，节点使用主动式路由协议来维护路由信息，而在区域间，节点使用反应式路由协议，并且区域的大小可以动态地调整以适应网络的变化，所以网络的整体性能可以做到很好。但ZRP并没有解决端到端身份验证、数据完整性和数据保密性等安全问题，因此在ZRP的基础上提出了一种提供安全措施的安全混合路由协议。6.2.1安全混合路由协议安全混合路由协议在安全混合路由协议中，除了普通节点（CNs），还存在称为认证机构（CAs）的可信认证服务器，并且所有有效的CNs都知道CAs的公钥。在CNs进入网络之前，密钥已经预先生成，每个CN在向相应的CA验证身份后即可获得两对私钥和公钥。同时，每个CN还向CA请求一个证书。节点X从与其最近的CA接受证书如下所示：其中，6.2.1安全混合路由协议

6.2.1安全混合路由协议安全区域内路由

SIAR是一种有限深度的主动式链路状态路由方法，具有附加的安全功能。为了执行区域内路由，每个节点定期计算到所有处于相同区域节点的路由，并在称为SIAR路由表中维护该信息。区域1内有节点A（后面以X表示节点X）和M、Y、P、S、R。考虑A作为源节点，A主动地计算到M、Y、P、S和R的路由，并将路由信息存储在SIAR路由表中，这个过程称为主动路由计算。6.2.1安全混合路由协议安全区域内路由在主动路由计算时，区域内的每个节点定期广播链路状态包（LSP）。例如，A在区域1内广播LSP。其中，

6.2.1安全混合路由协议

6.2.1安全混合路由协议安全区域间路由

当源节点和目标节点不在相同的区域时，源节点在其SIAR路由表中找不到到目标节点的路径，此时SIER将启动。SIER基于本地连接信息提供按需安全路由发现和路由维护服务。同时，SIER使用SIAR路由表来指导这些路由查询。此时考虑节点A想要发送一个数据包到节点D，那么A先会在SIAR路由表中寻找到D的有效路由。但D和A不在相同的区域，A不能找到路由，此时A将采取以下步骤将数据包路由到D。6.2.2

安全LEACHLEACH协议及其漏洞LEACH协议假设网络中存在两种网络节点：强大的基站和资源受限的传感器节点。在这种网络中，节点通常不直接与基站通信。一是因为这些节点发送信号的距离有限，不能直接到达基站；二是即使基站在节点的通信范围内，节点直接与基站通信需要消耗大量的能量。LEACH协议假设每个节点都可以通过以足够高的功率将数据发送到基站，但直接到基站的单跳传输可能是高功率操作，并且考虑到网络中存在数据的冗余，造成效率低下。6.2.2

安全LEACHLEACH协议及其漏洞为了解决多跳通信又会存在上述路由器节点的能量大量消耗的问题，LEACH使用了一种新的路由类型，随着时间的推移，不断重新随机选择新的节点作为路由节点，从而平衡所有网络节点的能量消耗。由于这些额外的接收和转发操作，与其他非簇头节点相比，簇头节点具有高得多能量消耗。为了解决这个问题，簇头节点并不是一直是簇头节点，而是所有节点轮流成为簇头节点，因此用于路由的能量消耗分散在所有节点之间。使用一组随机分布的100个节点，以及距离最近节点75m处的基站，仿真结果表明，LEACH耗费的能量是其他路由协议的八分之一。6.2.2

安全LEACHLEACH协议及其漏洞与无线传感器网络的大多数的路由协议一样，LEACH容易受到多种安全攻击，包括干扰、欺骗和重放攻击等。但由于其是基于簇的协议，基本上依赖于簇头节点进行路由，因此涉及簇头节点的攻击最具破坏性。攻击者也有可能让路由保持正常，而试图以某种方式将虚假数据注入网络。此外，还可能遭受窃听被动攻击。6.2.2

安全LEACHLEACH引入安全机制

对无线传感器网络的攻击来自外部或者内部。在这里提出的解决方案旨在保护网络免受外部攻击，并且作出的一个相当普通的假设是基站是可信的。首先为LEACH添加一些关键的安全属性：数据身份验证数据保密性数据完整性数据新鲜性6.2.2

安全LEACHLEACH引入安全机制

为了保证这些安全属性，为LEACH设计安全方案，以防止攻击者成为簇头节点或通过假装成为簇内节点将虚假数据注入网络，此外还保护数据不被窃听。安全方案使用了SPINS框架，其是一套用于资源受限的无线传感器网络的轻量级安全框架。SPINS概述

SPINS由两个为受限传感器网络优化的安全模块SNEP和µTESLA组成。SNEP提供节点和基站之间的保密性、身份认证和新鲜性，µTESLA提供广播认证。µTESLA使用由散列函数和延迟公开密钥构建的单向密钥链，实现了广播认证所需的不对称性，同时，µTESLA需要时钟同步。6.2.2

安全LEACHLEACH引入安全机制安全方案概述

防止攻击者渗透网络（成为簇头节点或注入虚假数据）的一种简单方法是使用全局共享密钥进行链路层加密和身份验证。在LEACH协议中，可以使用这样的密钥加密所有数据，特别是adv。然而使用全局共享密钥是危险的，单个节点被俘获将危及整个网络。为了解决这个问题，可以在小范围内使用该密钥。对于adv消息，需要广播认证机制，即非簇头节点能够认证广播者是否是网络内特定的合法节点。公钥系统对于这个目的来说是可行的，但是公钥系统需要大量的资源，因此在这里并不适用。6.2.2

安全LEACH

6.2.2

安全LEACH安全LEACH协议细节安全分析簇头节点在基于簇的协议中起着关键作用，因为其处理大量节点的数据并路由到基站，所以如果其行为不当，可能会扰乱整个网络区域。提出的解决方案允许对sec_adv消息进行身份验证，以防止攻击者成为簇头节点。因此，除非节点受到危害（这里不考虑内部攻击），否则网络是受保护的，不会遭到选择性转发、黑洞攻击和泛洪攻击。在此解决方案中，并不阻止攻击者加入簇。从消息来源真实性的角度来看，这种预防措施并非严格必要，因为攻击者在稳定阶段发送的数据将不会通过基站的验证6.2.3

基于信任的安全RPL路由协议

RPL路由协议RPL路由协议的工作方式是一旦开始运行就发现路径，这种特性使其可以被归类为主动路由协议。在启动时，RPL路由协议会创建一个有向无环图（DAG）的树状结构，并且RPL路由协议将此网络拓扑结构维护为一种类似于图的结构，称为面向目的地的有向无环图（DODAG）。DODAG的构建过程：6.2.3

基于信任的安全RPL路由协议

RPL路由协议在RPL路由协议中存在Trickle定时机制，Trickle定时机制使得网络内节点在间隔一定时间后广播DIO信息来对DODAG进行维护更新。具体的节点被维护进DODAG的过程：6.2.3

基于信任的安全RPL路由协议RPL路由协议当前的RPL路由协议通常在预配置设备的应用程序中使用密钥管理，通过密钥对加入网络的设备进行身份验证。但在IETFROLL工作组规定的RPL路由协议存在一个安全缺陷，即缺乏安全关键任务中设备节点之间的身份验证和和安全网络连接规范，这使得设备节点可能受到攻击。针对RPL路由协议受到的Rank攻击和女巫攻击，一种方法是引入信任机制。6.2.3

基于信任的安全RPL路由协议

基于信任的机制基于信任机制的路由安全早已被提出，并被证明是开发稳定和安全的网络配置的一个重要概念。在安全路由的研究中，基于信任的方法是一个研究热点，通常通过计算节点的可信任性，进而根据可信任性选择路由节点实现路由安全。节点的可信任性取决于节点在网络中对其邻居的行为，这些行为经过经验量化和累计聚合，得到一个加权值作为其在网络中的信任等级的表示。6.2.3

基于信任的安全RPL路由协议

基于信任的机制在这里介绍一种简单的基于信任的安全RPL路由机制，主要思路是计算得到相邻节点的信任值，在之后进行DODAG维护时，将计算得到的相应信任值作为RPL路由协议目标函数的一个参数，使得信任值高的节点成为父节点的概率更大，相应地，信任值低的节点成为父节点的概率更小，从而信任值高的节点能够参与后续路由，信任值低的节点被从网络中隔离出来。具体的信任机制如图所示。6.2.3

基于信任的安全RPL路由协议

基于信任的机制直接信任（DT）直接信任的评估是在邻居的直接观察下进行的。网络中的每个节点都会监视其邻居的行为，并查看其行为是否符合RPL路由协议或者偏离RPL路由协议。节点i对另一个节点j的直接信任是通过监视节点j发送的信息，具体而言，节点i会进行如下的转发检查：节点i向节点j发送数据包后，节点i将其收发器设置为空闲监听模式。所有的单跳邻居都由其对应的节点监控，以检查它们是否将收到的信息转发到正确的路径上。直接信任的计算为：6.2.3

基于信任的安全RPL路由协议

综合信任的计算公式如下：6.2.3

基于信任的安全RPL路由协议

基于信任的机制间接信任（IT）假设在DODAG的路由维护过程中，节点j已经被维护进DODAG中，但节点