下载掌阅APP,畅读海量书库
立即打开
针对DTN的研究,美国喷气推进实验室专门成立了DTN研究组 [50] (Delay Tolerant Networking Research Group,DTNRG),研究制定了DTN体系结构、DTN传输的聚束协议 [51] 和DTN安全聚束协议规范 [52] 。类似TCP/IP协议中的IPSec协议,在DTN安全协议规范中,定义了BAB、PIB、PCB、ESB等安全有效载荷字段,如表2-1所示。尽管该安全结构定义了DTN安全技术的发展方向,但是由于DTN结构的复杂性,仅仅通过该安全聚束协议规范是无法得到充分保障的,而且该规范仍然有很多关键问题亟待解决,如实体认证、密钥管理、隐私保护、路由安全、拥塞控制和分片认证等问题。因此,网络安全问题逐渐成为该领域的研究热点 [53] 。
表2-1 DTN安全聚束协议规范字段
由于引入了聚束这一独有的协议层,DTN面临一些特有的安全问题,Farrells 和H. S. Bindra等针对这些问题进行了总结 [54-56] 。在结合深空网络特点的基础上,给出深空DTN面临的一些特有的安全问题,如重放攻击、半诚实环境的数据转发、分片攻击、资源耗损、匿名性保护、自私行为和聚束层安全等。对这些深空 DTN 特有的安全问题进行广泛的研究,将会促进深空DTN技术的发展。
深空 DTN 安全结构的目标是,通过设计身份认证协议、密钥交互/协商协议、消息摘要协议等解决网络资源安全使用、聚束层数据安全传输等问题。目前有两个主要研究方向:聚束层安全结构;基于密钥的安全结构。
基于聚束层的安全攻击是 DTN 独有的安全问题,目前的聚束层安全协议假定的环境与 TCP/IP 协议类似,安全协议建立在稳定的端到端链路、较短的延时和较低的误码率/丢包率基础上。上述前提假设都不符合深空 DTN 安全协议在交互轮数、网络时延、消息开销和同步机制上的要求,造成深空DTN安全协议设计的困难性。
(1)基于公钥基础设施密钥安全结构(Public Key Infrastructure, PKI)的DTN安全体系结构。文献[57]提出针对卫星与传感网络组成异构网络的 DTN 安全框架,支持异构网络环境中多种轻量级密钥管理方案的实施,允许预分配密钥或手工密钥分发的方式,其具有异构适应性、密钥管理简单灵活、信息交互轮数较少的优点。然而在深空DTN中建立PKI本身就是一件困难的事情。
(2)基于身份密码学(Identity-Based Cryptograph,IBC)的DTN安全体系结构 [58] 。共享密钥及身份证书通过基于身份的密钥体制协商,由于基于身份密钥体制无须密钥材料交互过程,因此可以减少密钥材料协商的延时。但是网络空间实体必须具有唯一可识别的身份标识符,密钥更新必须通过密钥管理中心执行,存在单点失效问题。
( 3 )基于层次结构身份密码学( Hierarchy Identity-Based Cryptograph,HIBC)的DTN安全体系结构。首先通过类似USB Key的辅助硬件结构创建一个端到端的安全通道,在基于身份密钥的基础上对网络进行分层,用户从最近域的可信第三方机构申请私钥和公开身份标识符,也可以向顶层的可信第三方机构申请私钥和公开身份标识符,优化了安全管理效率。但是,类似PKI的缺陷,USB Key这样的基础设施是难以在深空网络中建立的。
现有的深空网络安全结构主要依赖地面控制中心提供保护机制,虽然实现简单而且降低了空间实体的资源消耗,但是长延时、预先配置安全信道和不能对网络变化及时反应的缺点使得这种基于地面控制中心的安全结构不能满足日益复杂的深空网络业务需求。
深空 DTN 的数据完整性和私密性包括两个方面。①传统无线网络安全威胁。长延时和空中暴露的传播方式使得深空 DTN 的信号很容易被窃听和截获。②基于“存储转发”机制的攻击。由于数据在送达目的端前转发路径是无法制定和预测的,因此攻击者有充足的机会分析、篡改、伪造和重发数据,而且即使发现攻击,地面控制中心也难以采取及时有效的安全保护策略。因此,深空 DTN 端到端的数据完整性和私密性保护是十分必要的,通常在加密/解密协议间加密密钥和解密密钥之间一一对应关系限制加密/解密协议的灵活性,因此设计具有足够强度和灵活性的加密/解密协议是该方向的主要研究内容。
异构性迫使深空DTN需要多种层次的认证,包括实体身份认证、业务认证、数据包认证和分片认证。通过上述认证技术防止非法用户和非法数据侵占和损耗网络有限资源。针对深空网络的认证协议研究主要包括:深空实体的身份认证;数据包和数据分片的合法性认证;匿名性实体认证。
(1)深空实体的身份认证。在身份认证中,防止非法用户通过伪造身份非法接入网络,占据网络资源,干扰网络的正常运行。在业务认证中,防止攻击者利用深空 DTN 的间断连接和中断,发起资源耗损攻击,消耗有限的网络资源。目前基于PKI的认证方法 [59] 难以覆盖全网络,且证书的申请、发放和更新需要与PKI多次进行交互。在极端情况下,深空网络实体可能根本就不存在与地面控制中心的可靠端到端服务机会,如卫星或探测器已经运行到行星的背面、太阳风的干扰等。而基于本地单个实体的认证机制在安全性上低于 PKI,很容易遭受攻击,引发单点失效的问题。
(2)数据包和数据分片的合法性认证。深空 DTN 的存储转发机制使得数据包被送达目的端前可能被分成多个数据片,因此需要目的端对数据片进行组装。如果数据片数量较多,耗费时延较长,接收者需要大量的计算和存储开销以恢复完整的数据包,这为攻击者攻击DTN网络提供了切入点。攻击者通过发送无意义的分片、篡改消息分片信息或故意丢弃分片发起分片攻击,造成目的端资源耗损。所以聚束层的分片机制给消息签名、认证带来了巨大的挑战。
(3)匿名性实体认证。即验证者只能识别挑战者的合法性,而不能识别合法者的身份,匿名性的保护机制有利于深空 DTN 的存储转发机制。存储转发机制使得深空 DTN 的消息在发送到目的端前需要被存储在多个中间节点上,而且这些中间节点事先无法预测,因此深空 DTN 不能保证消息传输路径上的每个中间节点都是安全可信的,即使对每个消息增加安全措施,中间节点也可以违反端到端的安全传输策略,窥探通信实体的身份,选择性地丢弃数据包。深空 DTN 的匿名性保护包括:源节点与目的节点的身份匿名性保护、位置信息匿名性保护、中间转发节点的身份匿名性保护和位置信息匿名性保护、应用服务的匿名性保护、数据包和数据分片的匿名性保护、安全接入的匿名性保护等。由于缺乏PKI服务器、可控路由、信息反馈机制和全网拓扑知识等,使得传统的TCP/IP匿名通信安全协议无法满足DTN的匿名性保护需要。设计适合深空 DTN 的盲签名、群签名和环签名技术可以提供身份的合法性认证而不会暴露实体的具体身份。
设计有效的身份认证机制,对防止非法用户接入和防止半诚实环境下的自私行为,并使得垃圾数据在第一跳时就能被发现并被删除具有十分重要的意义。本地化的合作身份认证机制和建立信任链的身份认证机制是深空 DTN 在保证安全性的基础上提高效率的有效方式,本地多个节点合作颁发证书和节点自主选择可信任的接入节点降低了对地面PKI的依赖性。
在基于可靠端到端服务的地面无线网络路由设计中,路由安全保护依赖安全管理服务中心或较短延时的反馈机制检测、防止和排除非法中间转发节点。为了解决深空网络拓扑变化剧烈和机会路由问题,基于策略的深空 DTN 路由被提出,中间节点在收到转发消息后,根据自身的网络状态,自主地决定使用何种路由策略,因此在数据发送之前,源节点无法建立和预测一条由源节点到目的节点的准确传输路径。虽然路由策略灵活,但是路由的安全性非常难以保证。例如,为了防止路由虫洞攻击和资源耗损攻击,路由转发的中间节点需要身份认证机制确认合法性;由于无法确定路由,因此每一跳之前都实施身份认证,不仅认证接收端的合法性,也认证下一跳节点的身份合法性,从而拒绝非法数据的转发和拒绝将合法数据转发给非法成员。假设每个转发节点都作为身份认证的服务器,证书的发放和验证不仅大量耗费有限的网络资源,而且增加传输时延,降低网络传输性能。因此对该方向的研究也是目前DTN安全的研究热点之一。
密钥管理(Key Management,KM)是深空DTN安全问题的基础内容,与身份认证存在同样的问题。目前,主要研究集中于 DTN 密钥管理和空间近地轨道卫星网络的密钥管理。
针对深空网络的密钥管理研究主要集中在卫星网络 [60-62] 。例如,文献[63,64]在逻辑密钥层次(Logical Key Hierarchy,LKH) [107] 方案的基础上根据卫星网络的拓扑特点进行优化,但仍需密钥管理中心(Key Management Center,KMC)负责密钥管理任务;文献[65]对卫星网络采用分层分簇,减少密钥更新开销;文献[66]针对近地空间网络使用基于身份的密钥协议消除对证书的依赖,并使用分簇技术提高更新效率;文献[64]结合LKH和群迪菲赫尔曼(Group Diffie Hellman, GDH) [67] 方案来提高卫星网络的带宽利用率。上述密钥管理方案适合延时较短的地面与卫星间的通信网络,KMC 能够提供实时密钥管理服务,因此该类方案不适合非可靠端到端服务、长延时、间断连接的深空DTN密钥管理任务需要。
DTN密钥管理主要集中于密钥材料的发送和共享密钥的协商,其应用场景大多针对地面无线机会网络。例如,文献[68]提出利用基于层次性密码系统(Hierarchical Id-Based Cryptography,HIBC)构造DTN安全通信的方法,利用车载DTN 路由模块节点与个人数字助理(Personal Digital Assistant,PDA)的DTN模块节点的短暂机会相遇进行相互认证;文献[69]提出了基于IBC的匿名认证方案,解决以发展中国家的偏远农村的网络接入和节点规模稀疏为背景下的 DTN 安全问题;文献[70]对偏远农村上网问题进行了进一步的安全性分析,提出了一个上网亭安全架构;文献[71]针对 DTN 初始密钥材料协商难题,提出了利用社会关系来实现 DTN 传输数据的保密认证方案,通过真实社会网的数据对提出的方案进行了验证。上述方案都是建立在特殊网络部署结构上的,都存在一个潜在的可靠端到端服务,如可靠的长途汽车、便携式的 PDA 等,这种潜在的可靠端到端服务在深空DTN中不存在,因此上述方案是无法应用于深空DTN的。
目前的密钥管理方案很难满足深空 DTN 部署的密钥管理需要,有时需要借助深空 DTN 部署特点去设计特定的密钥管理方案。综上所述,目前深空 DTN 安全研究与地面无线网络安全研究具有较大的差距,将地面无线网络安全方案直接应用于深空DTN是不恰当的。