原文链接:https://ieeexplore.ieee.org/abstract/document/7317585
第一部分Introduction从问题陈述开始翻译。
1.综述
A.问题陈述
虽然WMN自动配置和自我修复功能显着降低了网络部署和维护的复杂性,但这也使使WMN骨干网容易遭受路由攻击,包括虫洞和黑洞攻击,如图1所示。因此,即使无线骨干链路已加密,攻击者也可以以较少的成本或精力重定向流量并丢弃数据包。在无人机-WMN协助的救灾情况下,这可能破坏救灾人员之间的通信。此外,无人机与其地面站之间的数据交换将被中断。这个问题使得在实践中使用WMN(或依赖于路由协议的任何无线多跳解决方案来动态设置路由)对于无人机发出命令和控制存在问题,因为飞行规则强制需求总是可以远程驾驶无人机。因此,无人机的控制目前分为两类:通过操作员(地面站)对整个无人机群的高级控制以及通过安全飞行员对每个无人机进行直接控制,这将UAV-WMN推向大规模部署。除此之外,由于无人机依靠信息交换进行自主协同定位,攻击者也可能通过选择性地丢弃数据包来改变无人机的飞行路径。如果攻击者能够破坏网络凭证,并且只要没有有效的方法来刷新这些凭证,攻击者就可以操纵有效载荷数据甚至注入可能导致无人机被劫持的错误的控制信息。例如,攻击者可能冒充无人机并传播虚假的位置信息,利用无人机的防撞机制间接地将无人机引导到攻击者控制的区域。由于通信中断和破坏无人机飞行安全可能导致致命后果(例如,在机场附近),因此部署安全的UAV-WMN骨干网至关重要。目前存在两种保护网状骨干网通信的方法:
-
将完善的非安全路由协议与标准化安全机制相结合,例如IEEE 802.11i安全标准或最近的IEEE 802.11s网格标准。然而,正如参考文献[14],[15]中所示,这些标准容易受到虫洞和黑洞的攻击。
-
使用安全网状路由协议。在过去十年中学者已经提出了许多安全路由协议,但是它们都没有在实践中部署。这些协议的安全机制的高开销或在其设计期间做出的强假设(例如,存在有效的对称密钥管理方案)使得它们在现实生活应用中的部署不可行。
B.创新点
大量正在进行的危机管理优化研究侧重于开发可部署的安全网状路由协议,如文献[18],[19]。本文的主要创新点如下:
-
我们提出了位置感知安全和高效路由方法(PASER)的综合修订版,该方法使用混合密码系统并利用UAV-WMN的特性来有效地保护路由过程。
-
我们进行了安全分析以及对PASER和三个代表性替代解决方案的广泛性能评估。 ARAN:众所周知的,反应性和安全的路由协议Ad hoc网络的认证路由。 HWMPS:IEEE 802.11s网状网标准和混合无线网状协议(HWMP)的安全机制的组合,其在上述标准中指定。 BATMANS:IEEE 802.11i安全机制和更好的移动Ad hoc网络(BATMAN)主动路由协议[22]的组合,广泛部署在社区网络中[23]。
-
本文从理论和仿真实验两个方面分析了协议的路由发现延迟。我们推导出该延迟的下界方程。由于该延迟还包括路由开销,我们为其提供渐进表达式。该延迟对网络性能起主要影响。结果表明,相比ARAN和BATMANS,PASER更加高效,路由发现过程更加健壮,并且在网络规模和流量负载方面具有可拓展性。 -
使用网络模拟器OMNeT ++,逼真的无人机移动模式和实验得出的信道模型,我们研究了在多种流量类型和各种场景大小下的代表性UAV-WMN场景中协议的性能。结果表明,在UAV-WMN,PASER中比其替代方案更能抵御攻击。最重要的是,PASER的性能可与HWMPS相媲美。 IETF路由协议密钥和身份验证(KARP)组认为这些值(安全性和性能)的组合是必要的,以推动安全路由协议的广泛部署。
文章剩余部分结构如下。第二部分回顾相关工作,并重点介绍PASER中新增的值。第三部分介绍PASER的构建模块。第四部分给出了PASER和其他方案在UAV-WMN安全路由方面的的安全性比较。第五部分对所有解决方案进行了广泛的性能评估。第六节是本文的结尾,对第五节中的结果进行总结。
2.相关工作
文献[25]-[27]中的研究对WMN的安全性进行了全面分析。他们指出,某些在无线网络中很常见的攻击(例如PHY层干扰)可以通过传统的安全机制来缓解,而某些攻击则特定于WMN。后者主要攻击网状骨干网的核心业务:路由和用户相关性。针对路由的攻击有虫洞和黑洞攻击,针对用户相关性的攻击主要是在数据内容、流量和位置方面攻击用户隐私。本文的研究主要关注路由功能的安全性。对于WMN中的隐私保护和其他与用户相关的安全服务,文献[28]-[32]中提出了几种方法,可以与安全路由结合使用。例如,在灾难情景中,端到端安全机制已被用于确保救援战斗机数据的隐私[33],而其交通数据(来源,目的地)及其位置的隐私实际上并未受到保护。因为这些信息是在其公共规则中预先定义的。
表1中列出了常见的以及最近的安全WMN路由协议。协议根据密码系统进行分类。接下来,我们将简要探讨每一类中应用的主要安全技术,并重点介绍UAV-WMN中这些技术的可行性。
A.基于非对称密钥的安全路由协议
在安全路由提议ARAN,SOLSR [37],SAODV [36]和SWMP [39]中,假设存在公钥基础结构(PKI),并且每个节点具有密钥对和证书。在UAV-WMN中,这种假设是可行的,因为网络管理者可以充当认证机构,进而实现这一假设。IBC-HWMP和IBC-RAOLSR提出了基于身份的密码(IBC)以避免对公钥基础结构(PKI)的需求。然而,IBC中仍存在许多问题,此外,IBC方案通常基于椭圆曲线密码(ECC),ECDSA-RAOLSR也是如此。而爱德华·斯诺登在2013年泄露的信息显示,基于标准化ECC的算法存在漏洞。除此之外,由于ECC的复杂性,在密码系统的实现上存在问题,尽管算法安全,但系统仍可能易受攻击。为了保证邻居认证,即对抗虫洞攻击,一些方法(如SOLSR)使用时间牵引[49]。实现这种方法时,所有节点必须具有精确同步的时钟,这在实践中并不简单。此外,该方案没有考虑CSMA/CA引发的UAV-WMN中的信道接入延迟。为了最小化内部攻击的危害,一些方法(如SAODV和SOLAR)在路由消息中添加了跳认证器(hop authenticator),它们使用哈希链来防止恶意中间节点减少hop counter。此方案仅在网络规模较小时有效,因为它只能与hop counter一起使用,并且攻击者仍然可以在不增加跳数的情况下转发消息。为了检测恶意节点,IBC-HWMP建议监视邻居的行为。这需要监视器模式中的额外接口,由于UAV的尺寸和重量有限,这在UAV-WMN中非常关键。 文献[17]中提供了邻居监控的其他限制。
UAV-WMN中的部署障碍:由于UAV-WMN中的无人机使用嵌入式系统,这一类的安全路由协议的计算时间较长。例如,使用RSA-1024和EDCSA-160的数字签名操作在Roboard RB110上花费的时间超过26毫秒。Linux内核调试功能ftrace执行的35次测量得出了该结果。因此,在具有五个中间跳的路由的情况下,延迟高于156ms。这无法满足多媒体流的用户体验,根据文献[52],延迟应该低于150毫秒。依靠图形处理单元并不能解决问题,因为并行数字签名会导致线程同步和数据交换的额外开销。
B.基于对称密钥的安全路由协议
与基于非对称密钥的安全路由提议的较长处理时间相比,基于对称密钥的提议的处理时间相对较低。如表I所示,该类的安全路由协议主要依赖于MAC,哈希链或/和Merkle树。也就是说,它们依赖于基于加密哈希函数技术。在这方面,基于使用ftrace和1500个随机字节的35次测量,Roboard RB110上SHA-256算法的时间成本低于0.15 ms。运行20次SHA-256迭代调用的时间成本低于0.20 ms。基于节点共享成对密钥的假设,所有协议都使用MAC进行消息认证,在Ariadne [43]和Castor [44]中以端到端的方式进行验证,例如SEAD [40],SWHMP [41]和SEAODV [42]或者在每一次hop间进行验证。SEAD和Ariadne中使用哈希链来最小化内部攻击的危害,即,防止在转发节点列表中的操纵,。然而,这种机制的安全性受到限制,因为在某些情况下它仍然容易受到操纵[54],此外,攻击者可以在不添加其身份的情况下传递消息。因此,在SEAD中另外使用Merkle树。它们集成在哈希链中,以防止攻击者在不更新转发hop节点列表的情况下传递路由消息。只要攻击者无法伪造合法节点的身份,这种方法就可以正常工作。 Merkle树在Castor中用于不同的环境。它们提供流量认证。Castor使用流的数据包传输率作为其安全指标。这里,Merkle树叶被附加到每个数据包,将其绑定到特定流。这种方法在UAV-WMN中的适用性(即,每个UAV至少一个CBR交通流量)对于所需的树木和叶子的数量是有问题的。在SHWMP中,Merkle树与MAC和IEEE 802.11s的关键方案结合使用,以逐跳方式验证路由消息中的可变字段。在本文看来,这种组合并没有提高协议的安全性,因为使用MAC和IEEE 802.11s的密钥方案已经导致了单跳消息认证。
UAV-WMN中的部署障碍:这类安全路由提议要求对于每次路由发现,源和目标(以及邻居)之间必须具有安全关联。也就是说,这类协议假设存在动态密钥分发方法,然而这中方法的实现在WMNs中并不简单。反过来,动态分配和撤销对称密钥需要节点之间的安全路由。由于上述现有安全路由提议的部署障碍,通常将完善的非安全路由协议与IEEE 802.11s/i的安全框架(在个人模式下)相结合,以减少当前WMN产品的漏洞,见[57] ],[14]。这些框架主要有两个问题:首先,在个人模式下,它们基于静态密码,而不支持动态刷新密码。因此,一旦攻击者破解密码,攻击者就能够发起各种内部路由攻击,例如黑洞攻击。其次,在使用这些框架时,帧的MAC头被验证但未加密。因此,外部攻击者无法更改标头,但可以读取它。外部攻击者可以通过操纵修改自己的MAC地址,从而通过框架的验证,从而成功地将自己的帧转发到合法节点。如[14]所示,这个问题可能导致虫洞攻击。
C.PASER中新增的值
通过PASER,我们致力于在UAV-WMN中部署可部署的安全路由解决方案。也就是说,协议需要可行,高效,并且必须能够抵御UAV-WMN中的所有相关路由攻击。在这方面,PASER新增的值主要分为三个方面。
混合安全方案:PASER实现了复杂的混合密码系统,而不是表I中的非混合密码系统。非对称加密用于初始相互认证和密钥交换,之后应用对称加密来认证路由消息。值得注意的是这种对称方案的两个安全级别。第一级基于使用MAC的组临时密钥。第二级基于使用Merkle树的一次性邻居认证令牌(Merkle树的一种独特应用方式)。因此,即使攻击者破译组密钥并窃听所有消息,攻击者也不能冒充合法节点也不能制作路由消息,因为攻击者无法生成新的身份验证令牌。相反,当使用IEEE 802.11s / i安全框架或基于对称密钥的安全路由协议时,一旦攻击者破解密钥,攻击者就可以充当合法节点。在[20]中显示,在Roboard RB110上,PASER对称方案的计算耗时小于200μs。
In-band密钥管理方法:PASER采用In-band密钥管理方法来解决安全路由协议和密钥分发方法之间的相互依赖循环问题[45]。表I中的所有基于对称密钥的协议,大多数基于非对称密钥的提议以及IEEE 802.11s/i安全框架的密钥管理方法都存在这个问题。相比之下,PASER解决了这个问题,可以快速响应安全漏洞。这解决了当前部署中的一个主要问题[24]。在这方面值得注意的是文献[58]中发表的研究成果,这篇文献还提出通过IBC将密钥管理和安全路由集成在一个框架中。虽然前面提到的工作强调了现有安全路由协议中发现的问题,但与我们的方法相比,它有两个缺点:首先,到目前为止,IBC依然存在问题,它没有提出解决方案。其次,它在每条消息中使用非对称加密。
UAV-WMN的特性:PASER利用UAV-WMN的特性,例如,网络由一个组织操作,并且存在中央单元(地面站),因此,部署PKI和KDC是适当的。此外,PASER的目标是满足来自多个研究项目的所有UAV-WMN的安全路由需求,所以它能抵御多种路由攻击。相比之下,IEEE 802.11s/i和表I中的协议容易受到虫洞或黑洞的攻击,见[14],[17],[26]。
3.建议的解决方案:PASER
PASER旨在以可行的方式确保UAV-WMN中的路由过程。我们最初在[20],[59]中提出了PASER。在本节中,我们通过明确定义PASER中的网络和攻击者模型,并根据与[18],[19]等中的UAV-WMN最终用户和利益相关者的讨论,扩展其安全目标,扩展了我们之前的工作。本文中,PASER已得到增强,可以提供原始认证,以便主动减少内部攻击者造成的伤害,即对抗制造和黑洞攻击。PASER的动态密钥管理方案已经过调整,包含所有PASER消息中的密钥编号,以便更好地检测密钥更改。从路由的角度来看,因为我们发现路径积累在UAV-WMN中无效,从UAV-WMN中的路径累积获得的信息值小于其产生的开销,该方案已被删除。除此之外,虽然我们仅在之前的工作中解决了路线发现过程,但我们已将PASER升级为包括路线维护机制。
A.PASER假设
PASER方法假定以下网络和攻击者模型。
(1)网络模型
作为PASER的目标网络,我们考虑由移动(UAV)节点和静态(地面站)节点组成的无线网状骨干网。我们假设网络由一个组织(例如,消防队)操作,这限制了访问到网络。合法的运营商节点符合系统协议,而恶意节点可能偏离它们。假设公钥基础结构,网络运营商扮演证书颁发机构的角色。合法节点具有集成多种功能的证书(网关,接入点或路由器)。网络运营商运行安全密钥分发中心(KDC),负责动态管理网络凭据。所有节点都知道KDC的公钥。网状网关可以随时与KDC建立可靠的连接,反之亦然。在UAV-WMN中,这种连接可以通过在地面站运行KDC来实现。假设合法节点包含运行安全导航服务的定位设备,例如Galileo Public Regulated Service [60]。也就是说,假设目标场景是室外的并且具有低障碍,如在UAV-WMN中。
(2)攻击者模型
本研究的重点是针对路由安全性的攻击。攻击者的主要目的是操纵路线以破坏网络或发动违反无人机飞行安全的高级攻击。假设攻击者控制许多外部节点,这些节点可能比合法节点具有更多功率和更好的通信范围。攻击者还可能通过社交工程,物理攻击,密码分析等方式破坏合法节点或网络凭据。因此,攻击者可以通过利用受损的身份和密钥作为合法节点出现在网络中。受攻击者控制的节点可能会随意偏离协议行为。比如丢弃,修改或生成损坏的数据包、路由消息。攻击者节点也可以协同工作,并且可以使用额外的通信通道进行远距离通信。但是,攻击者受到计算限制,无法破解加密原语。
283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
