研究：如何构建安全可靠的水下网络？

0 引言

当今世界，全球各国对海洋资源都无比重视。在海洋资源争夺中，以潜艇、水下无人航行器、无人传感器等水下设备构成的水下网络，对水下勘测、侦察、警戒等水下信息的传输起到了至关重要的作用。但是，因为水下航行器发信时容易暴露自身的目标，且水下通信信道是开放的，理论上任何人都能接收信号，所以如何构建安全可靠的水下网络是急需研究的课题。

1 水下网络面临的主要安全问题

海洋水下通信网络从现状和发展趋势看，呈现异构、无线、自主化的网络系统特征，且由于联合反潜、扫雷等海洋水下作战使用和深海水下环境部署场景等方面的一些特定需求，具有以下几方面的突出特点：

（1）水下无人平台和传感器平台的计算资源受限；

（2）水下传播环境特性和水声等无线传输技术的发展现状和趋势预期，使得水下网络的通信资源受限；

（3）网络拓扑结构动态变化；

（4）需要通过海气界面网络连接到其他网络系统，或通过其他网络实现水下一体化通信网络自身的愈合；

（5）网络安全性脆弱；

（6）网络中存在多跳的无线通信链路。

水下网络面临的安全需求与其他无线通信网络如各类民用移动通信网络、传感器网络、陆地战术adhoc通信网络和战术数据链网络等有着许多共同之处。但是，由于海洋水下应用环境、水下平台和水下作战方式的具体特点，水下网络面临的安全挑战和安全需求具有特殊性。它的研究工作方向主要包括以下几方面。

（1）敏感信息保护

海洋水下各类作战方式和应用环境中涉及的各种作战网络、传感器网络、水下机器人编队网络等，由于其基于海洋水体介质的通信链路具有开放性，易于受到监听、劫持等攻击，而网络中传递的业务面数据和控制面数据又往往携带了重要的情报信息、作战指挥控制信息、平台操作控制信息和网络拓扑信息等敏感内容。一旦这些重要、关键数据被窃取或遭到攻击篡改，将会严重威胁指挥决策和作战任务的安全。

（2）用户和网络节点的身份认证

为了保障AUV等具备远距离漫游能力的水下网络节点能安全接入网络，并在海洋水下开放的网络环境中有效组织恶意节点进行网络操作、获取网络数据，保障水下网络的边界安全，需要为水下网络系统设计可靠的身份认证机制，检验入网节点和用户的合法性，并作为网络中其他安全机制的基础。

（3）信任体系维护

作为水下网络边界安全机制的补充措施，对于来自网络内部的恶意节点、妥协节点的攻击行为，可以通过设计网络内部各个节点之间的信任体系，建立以可信计算为核心的水下可信网络信任管理体系，以提高系统的可靠性、安全性。对于难以依托基础设施的水下自组织网络[1]而言，这是一种有效的安全解决途径。

2 水下网络安全总体设计

水下网络的设计目标在于构建水下空间的广域网系统，建设稳健、动态、自适应、灵活、可调整、顽存、安全和可重配置的水下通信网络基础设施，用于水下节点访问信息栅格网络和外部用户/业务系统访问水下节点的信息和资源服务能力。

水下网络面临的网络攻击行为中，很大一部分比例是在各个协议层级对网络进行干扰、窃听、分析和入侵等操作，以降低或破坏通信网络自身效能为目的。因此，针对水下通信网络安全设计的总体设计如下：

（1）从协议分层视点出发，以纵深防御为目标，将网络安全的防御重心下移，重点提高物理介质层、介质访问控制层的安全防御强度，从而在网络的信号层面和通信链路层面实现高强度的身份认证和访问控制。实现有效防御的协议层次越低，网络攻击对系统造成的影响和危害越低。

（2）简化网络层安全机制，对传输层及以上的应用层安全机制进行裁剪，尽量减少基于端到端和多次握手机制的安全措施。因为上述安全措施通常带来较大的网络开销和网络连通性要求，难以适用于间歇性中断、低吞吐量和高延迟的水下无线网络。

（3）从水下网络系统视角出发，在各类水下网络的通信介质层和链路层采用异构体制的设计思路，从系统层面提高水下网络的顽存力。

3 水下网络信誉系统

基于AUV等节点的水下网络具有抗毁性好、易于快速部署等优点。它灵活的网络结构引入了安全方面的脆弱性，且由于应用背景的特点，水下网络面临的网络攻击具有高度定制、机制复杂化和未知类型等特点。针对水下网络面临的安全形势和具体安全需求，基于动态信誉模型的信任机制更适用于异构、广域部署、开放、随遇接入的海洋水下网络环境。

水下网络的动态信誉体系是根据网络各个节点的多方面行为特征对其可信任程度进行量化评估。网络节点信誉的产生、融合、更新、发布和交互等功能操作都取决于信誉体系架构设计，并可以分为中心式和分布式两种类型。

中心式信誉架构[2]是将水下网络中各个节点的信誉数据存放在一个或多个中心节点或信誉管理节点。网络中各个节点对自身能够感知的邻居节点的各类行为特征进行观测统计，并通过管理报文的方式汇聚到管理节点。管理节点采用相应的融合算法对各个网络节点的信誉度进行综合评估，得到的量化数值在水下网络或相应的子网中共享。这种机制的主要优势在于节点信誉数据的查询获取机制较为简便，但管理节点的单点失效或关键链路阻塞将使得网络信誉体系陷入瘫痪。

分布式信誉体系中没有引入中心节点或管理节点，采用完全对等或分层对等的架构，适用于异构、分布式、自主化的网络环境。网络中，各个节点按照一致或独立的算法机制对介质层、网络层能感知到的邻居节点的各类网络行为进行分析评估，并分散保存在网络中，同时通过广播查询或信任链的方式获取对目标节点的信誉数值进行本地计算。

分布式信誉体系可以解决中心式架构的单点失效弱点，并易于获取节点自身1～2跳范围网络区域内的节点可信任度。但是，分布式信誉体系实现机制更为复杂，在多跳场景下会引入较大的网络开销。考虑水下网络的应用和网络结构特点，相对适宜采用分布式信誉体系，并根据网络节点的可信任程度（信誉数值），将网络节点划分为不同信誉等级或安全域的节点子集合，从而基于重叠网络机制，在物理网络的基础上构建不同安全级别的逻辑子网。

4 基于逐跳身份认证的安全路由机制

对于水下网络面临的具有复杂机理的高度定制化网络攻击，通过节点妥协等方式突破网络安全边界后，针对水下网络路由协议的攻击将成为瘫痪网络、窃取数据的重要方式，包括基于恶意节点、妥协节点的虫洞攻击、黑洞攻击、灰洞攻击和路由劫持等形式。目前，在路由安全方面采取的防护方法包括采用公钥加密、对称加密和混合加密等措施，综合运用加密算法、数字签名、哈希函数、可信第三方等机制对路由消息字段进行保护，加强网络路由协议和路由信息的安全性和有效性。

在路由机制中引入逐跳可信认证并建立信任链，如图1所示。基于这种方案的安全路由协议能够发生虫洞、路由阻塞等攻击行为，并采取相应的防御措施。

它的主要特点包括：

（1）可以识别路由请求阶段对源路由的非法篡改行为；

（2）网络引导阶段即建立了基于密钥和加密算法相应的安全认证体系，因此网络运行过程中节点间的数据交互和会话可以不再进行密钥交互；

（3）能有效防止网络合法节点实施虚假的“局部签名”行为或者对网络的验签操作进行干扰破坏；

（4）有效保障数据包转发流程中的“新鲜性”，防止窃听、重放，从而有效对抗虫洞攻击等恶意行为；

（5）网络路由的逐跳认证机制能有效阻止攻击节点发起的DoS攻击。

5 分布式密钥管理机制

水下网络是无中心的异构网络，其自组织架构和动态拓扑特性使得基于固定通信网络的传统密钥管理机制难以直接应用，包括常用的密钥管理设备、认证服务器等中心式节点，在水下网络环境中存在效率低下、单点失效并易于受到DoS攻击。此外，水下网络存在通信链路可靠性低、长链路时延和物理拓扑动态变化的特点。因此，水下网络中中心式的密钥服务和安全认证服务，存在服务延迟高、服务可成功率低、易于被阻塞等缺陷。

5.1 分布式认证

在自组织网络路由理论的相关研究工作中，一种技术途径是可以离线方式预先共享整个网络各个节点的认证密钥，从而保障路由协议和业务会话的安全性。其中，典型的如基于门限密码理论的分布式密钥管理机制。该机制主要具有以下缺陷：

（1）很高的计算资源开销，且需要配置超过门限阈值的多个认证节点以签发安全证书；

（2）在传统的中心式认证架构中，网络节点只需要向中心认证节点发起认证服务请求，并获取相应的证书。在分布式认证体系中，网络节点需要向多个拥有不同私钥的认证节点发起服务请求，并获取相应的证书[3]。认证节点采用分布式部署，大大增加了网络资源开销，降低了认证服务的成功率。

5.2 自组织网络本地认证

针对无线自组织网络环境中的密钥管理方法，一种实现途径是各个网络节点不需要通过预先设定的认证节点来发布证书，而是由各个网络节点自身承担安全证书的发布维护功能。对于用户的认证请求，则通过证书链的机制来完成相应服务功能。它的主要缺陷包括：

（1）由于没有可信的认证中心节点作为第三方，缺乏相应的身份认证过程，恶意节点可以假冒合法节点或伪造节点标识，通过发布虚假证书的方式接入目标网络；

（2）由于单个网络节点拥有的安全证书信息不完备，因此特别是对于AUV等远程漫游节点，认证成功率成为一个致命的弱点；

（3）这种机制的扩展性较差，对于较大规模节点容量的水下网络，证书数据库的建立、维护和认证开销将大大增加。

5.3 基于密钥池的密钥管理机制

建立网络随机密钥预分布模型和相应的密钥池，在网络中各个节点分别保存密钥池的分片

密钥。网络中任意一对节点可以利用具有的相同密钥建立安全的网络链路。但是，基于概率因素，在这种方案中，物理拓扑上连通的网络不一定能建立安全上的连通性。此外，如果网络节点被俘获后妥协，则会导致大部分密钥被窃取，从而彻底破坏整个网络的安全性。

通过提高共享密钥的阈值（阈值可调节）要求，可以对上述机制进行改进，引入数量可自适应调节的共享密钥动态管理机制，有效改善网络对于恶意节点攻击的安全防护能力。当网络中节点之间的连通性达到预定的概率门限阈值时，则需要调节密钥池的规模，增加共享密钥的重叠度。这种情况下，攻击者能够利用捕获少量的网络节点获取足够数量的密钥空间。

对于静态部署的无线传感器网络，可以在随机密钥对模型中引入地理位置信息，根据网络节点的地理位置信息将网络部署地域划分为栅格，以网格栅格为参考共享密钥对的二元高次多项式。考虑到除了各类静态部署的水下潜标节点外，水下网络中还包含基于AUV、UUV等平台的移动传感器节点。因此，还需要针对支持移动节点的动态自组织网络和传感器网络进行进一步的研究工作。

5.4 无线异构网络密钥预共享安全引导模型

针对大多数传感器网络密钥分发机制在网络安全连通性和节点抗俘获能力方面的弱点，可以采用基于拉格朗日插值多项式组和哈希函数的二元门限方案，实现水下异构网络的密钥预共享安全引导模型。它的主要技术途径和特点包括：

（1）基于拉格朗日插值多项式组的二元门限机制，利用单向哈希函数增强子密钥的安全性；

（2）没有采用基于概率分布进行全网密钥共享的方式，可以实现整个水下异构网络的安全连通性；

（3）采用基于门限数字签名的密钥恢复协议设计，增强了密钥恢复操作的安全性，能够有效抵御欺骗攻击、复制攻击和撤销攻击；

（4）网络密钥只有当超过一定阈值数量的节点被俘获的情况下才会泄露，因此当超过一定门限的密钥分片泄露后，可以通过子密钥撤销广播，删除相应多项式对应的子密钥；

（5）当节点被恶意攻击并导致其私钥暴露后，首先发现该事件的节点及时以广播方式发送

公共密钥撤销通告，并删除掉被攻破节点对应的公钥信息。当攻击者发起复制攻击时，复制节点的公钥已被及时删除，因而不能通过其他正常节点的身份认证进行通信。

6 结语

本文通过分析研究国内外在海洋水下通信网络、复杂异构网络系统、无线传感器网络、容迟容断网络、机会网络和移动自组织网络等相关技术领域的研究工作和成果的基础上，针对未来深远海水下作战体系无人平台化、信息栅格化和网络中心作战的发展趋势，对水下网络安全涉及的多项关键技术进行了研究，可为水下网络安全设计提供参考。

参考文献：

[1] Stoleru R,Wu H,Chenji H.Secure Neighbor Discovery in Mobile Ad Hoc Networks[C].2011 Eighth IEEE International Conference on Mobile Ad-Hoc and Sensor Systems,2011:35-42.

[2] Azzedine B,Yonglin R.A security Management Scheme Using a Novel Computational Reputation Model for Wireless and Mobile Ad Hoc Networks[C].Proceeding PE-WASUN ’08 Proceedings of the 5th ACM Symposium on Performance Evaluation of Wireless Ad Hoc,Sensor,and Ubiquitous Networks,2008.

[3] 杨德明,慕德俊,许钟.Ad hoc空间网络密钥管理与认证方案[J].通信学报,2006(08):104-107.

作者简介：

丛键，西南通信技术研究所高级工程师，博士，主要研究方向为无线通信网络及系统；

张海燕，西南通信技术研究所高级工程师，硕士，主要研究方向为无线通信网络及系统。

（本文选自《通信技术》2018年第六期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。