◆顧慶傳 張子鋒

（昭通學(xué)院 云南 657000）

基于分簇的戰(zhàn)術(shù)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)應(yīng)用研究

◆顧慶傳 張子鋒

（昭通學(xué)院 云南 657000）

在現(xiàn)代化戰(zhàn)爭中，能否確保戰(zhàn)術(shù)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全，將直接關(guān)系到戰(zhàn)斗能否取勝。而使用基于分簇的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)，則能夠提高網(wǎng)絡(luò)的安全性和效率?；谶@種認(rèn)識，本文對戰(zhàn)術(shù)互聯(lián)網(wǎng)的安全威脅展開了分析，然后對基于分簇的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的應(yīng)用問題展開了研究，從而為關(guān)注這一話題的人們提供參考。

分簇；戰(zhàn)術(shù)互聯(lián)網(wǎng)；網(wǎng)絡(luò)安全關(guān)鍵技術(shù)

0 引言

所謂的戰(zhàn)術(shù)互聯(lián)網(wǎng)，其實(shí)就是數(shù)字化部隊(duì)的站場信息基礎(chǔ)設(shè)施，能夠?yàn)闄C(jī)動作戰(zhàn)提供保障。作為網(wǎng)絡(luò)中心站在局部站場的重要體現(xiàn)，戰(zhàn)術(shù)互聯(lián)網(wǎng)的安全性直接反映了信息化戰(zhàn)爭體系的安全性。對戰(zhàn)術(shù)互聯(lián)網(wǎng)進(jìn)行分簇，可以提高網(wǎng)絡(luò)的可擴(kuò)充性和效率，從而進(jìn)一步確保網(wǎng)絡(luò)的安全使用。因此，相關(guān)人員有必要對基于分簇的戰(zhàn)術(shù)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)展開研究，以便更好地進(jìn)行這些技術(shù)的應(yīng)用。

1 戰(zhàn)術(shù)互聯(lián)網(wǎng)的安全威脅

從網(wǎng)絡(luò)攻擊來源上來看，戰(zhàn)術(shù)互聯(lián)網(wǎng)面臨的安全威脅主要有兩類，即外部攻擊和內(nèi)部攻擊。

所謂的外部攻擊，就是互聯(lián)網(wǎng)外的攻擊者通過篡改路由信息、注入錯誤的路由信息和重放舊路由信息阻礙子網(wǎng)間通信、降低路由效率或?qū)е滦畔⒅貜?fù)發(fā)送，從而導(dǎo)致網(wǎng)絡(luò)流量負(fù)載過重的攻擊行為。而戰(zhàn)術(shù)節(jié)點(diǎn)將處在不斷移動狀態(tài)，隨著網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的變化將會出現(xiàn)連接關(guān)系的變化，所以會導(dǎo)致路由表不斷刷新，繼而導(dǎo)致其容易受到假冒網(wǎng)絡(luò)攻擊。

內(nèi)部攻擊有可能來自于內(nèi)部人員的惡意攻擊，也有可能來自于非惡意攻擊。所謂的惡意攻擊，就是內(nèi)部人員有計(jì)劃地偷聽或損壞信息，并且以欺騙方式進(jìn)行信息使用或拒絕授權(quán)用戶訪問信息。如果內(nèi)部人員以授權(quán)節(jié)點(diǎn)身份對網(wǎng)絡(luò)實(shí)施攻擊，則會導(dǎo)致系統(tǒng)遭到毀滅性破壞。此外，內(nèi)部人員由于技術(shù)缺乏或粗心，也會出現(xiàn)無意繞過安全策略的行為，從而導(dǎo)致網(wǎng)絡(luò)遭受非惡意攻擊。

2 基于分簇的戰(zhàn)術(shù)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)應(yīng)用研究

針對戰(zhàn)術(shù)互聯(lián)網(wǎng)的安全威脅，還要采取以小組為基礎(chǔ)的分簇結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)安全框架的構(gòu)建和實(shí)現(xiàn)。具體來講，就是依據(jù)實(shí)際組織將網(wǎng)絡(luò)節(jié)點(diǎn)劃分成不同小組，然后以小組為基礎(chǔ)分成若干簇，以便利用各簇完成分級網(wǎng)絡(luò)模型的構(gòu)建?？紤]到信息流動和安全性要求，還要在簇間和簇內(nèi)采取不同信任模型，然后在此基礎(chǔ)上采取安全路由和信任管理等安全操作。為排除各種惡意節(jié)點(diǎn)，可以分布式認(rèn)證機(jī)構(gòu)為基礎(chǔ)的認(rèn)證技術(shù)為主對網(wǎng)絡(luò)安全服務(wù)展開評價。因此，從分簇結(jié)構(gòu)上來看，安全認(rèn)證技術(shù)、信任評估技術(shù)和安全路由算法就是確保網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。

2.1 網(wǎng)絡(luò)安全認(rèn)證技術(shù)

使用基于分簇的網(wǎng)絡(luò)安全認(rèn)證技術(shù)，可以將戰(zhàn)術(shù)互聯(lián)網(wǎng)劃分成干線網(wǎng)絡(luò)和末端子網(wǎng)兩部分。由于兩種網(wǎng)絡(luò)有著較大的特點(diǎn)差別，所以還要使用不同的認(rèn)證方案與網(wǎng)絡(luò)相適應(yīng)。從總體上來看，干線網(wǎng)絡(luò)具有傳統(tǒng)網(wǎng)絡(luò)特點(diǎn)，可以參照傳統(tǒng)網(wǎng)絡(luò)的公開密鑰基礎(chǔ)設(shè)施的配置進(jìn)行認(rèn)證方案設(shè)計(jì)。而末端子網(wǎng)為無線自組織網(wǎng)絡(luò)，可以采取分布式的認(rèn)證方案?？紤]到干線網(wǎng)絡(luò)的認(rèn)證機(jī)構(gòu)集群為確保網(wǎng)絡(luò)安全的基礎(chǔ)，還要使用帶冗余的認(rèn)證機(jī)構(gòu)集群作為其認(rèn)證機(jī)構(gòu)。而末端子網(wǎng)是執(zhí)行具體任務(wù)的網(wǎng)絡(luò)，可以應(yīng)用分布式認(rèn)證機(jī)構(gòu)作為臨時性派出的機(jī)構(gòu)，從而滿足網(wǎng)絡(luò)執(zhí)行一次任務(wù)的通信需求[1]。由于每個戰(zhàn)術(shù)單元都需要在上級授權(quán)后才能執(zhí)行任務(wù)，所以可以要求末端子網(wǎng)各節(jié)點(diǎn)需持有上級認(rèn)證機(jī)構(gòu)簽發(fā)的證明才能加入子網(wǎng)證書，而證書中需要包含節(jié)點(diǎn)加入的子網(wǎng)及相應(yīng)分布式認(rèn)證機(jī)構(gòu)的相關(guān)信息。

從功能和操作上來看，分布式認(rèn)證機(jī)構(gòu)系統(tǒng)擁有多個模塊，主要可以劃分成初始化、證書管理和虛擬認(rèn)證機(jī)構(gòu)管理三個部分。而干線網(wǎng)絡(luò)中的認(rèn)證機(jī)構(gòu)為上級認(rèn)證機(jī)構(gòu)，末端子網(wǎng)各小組在派出前需要獲得上級認(rèn)證機(jī)構(gòu)認(rèn)證。在網(wǎng)絡(luò)形成之初，系統(tǒng)會通過初始化完成分布式認(rèn)證機(jī)構(gòu)的建立，而證書管理模塊將會進(jìn)行證書頒發(fā)、更新和撤銷，虛擬認(rèn)證機(jī)構(gòu)管理模塊具有私鑰元頒發(fā)、更新和門限值更改等功能。通過在簇內(nèi)進(jìn)行密鑰共享，并且定期進(jìn)行信息交換，則能夠使簇成員和簇內(nèi)拓?fù)涞玫骄S護(hù)。此外，共享密鑰也能夠?qū)粨Q信息中的關(guān)鍵部分進(jìn)行保護(hù)，所以能夠防止敵人獲知簇內(nèi)拓?fù)湫畔?。而利用對稱密鑰進(jìn)行節(jié)點(diǎn)ID的MAC驗(yàn)證碼的發(fā)送，也能夠使節(jié)點(diǎn)的身份得到驗(yàn)證，從而有效防止敵人混入網(wǎng)絡(luò)。

2.2 網(wǎng)絡(luò)安全信任評估技術(shù)

使用基于分簇的網(wǎng)絡(luò)安全信任評估技術(shù)，不僅能夠抵御外部攻擊、未授權(quán)方破壞等傳統(tǒng)安全威脅，還能夠抵御移動Ad hoc網(wǎng)絡(luò)內(nèi)部節(jié)點(diǎn)提供錯誤路由信息等新型安全威脅，所以能夠有效解決戰(zhàn)術(shù)互聯(lián)網(wǎng)安全問題。根據(jù)基于小組分簇的網(wǎng)絡(luò)結(jié)構(gòu)和認(rèn)證方案，可以對網(wǎng)絡(luò)通信與分布式認(rèn)證機(jī)構(gòu)的信任評估因素進(jìn)行選取，然后完成信任值的計(jì)算。而所謂的信任值計(jì)算，其實(shí)就是對多個因素展開綜合評價，可以決定節(jié)點(diǎn)可信任程序的直接度量過程。所以，使用該技術(shù)可以通過信任評估找到最可信任的節(jié)點(diǎn)，并且使其擔(dān)任簇首或網(wǎng)關(guān)，從而使網(wǎng)絡(luò)的可靠性得到提高。而通過評估節(jié)點(diǎn)間安全行為的交互和信任，使用該技術(shù)也能完成網(wǎng)絡(luò)內(nèi)部惡意節(jié)點(diǎn)的識別和懲罰，因此可以加強(qiáng)對惡意節(jié)點(diǎn)行為的管理，從而確保戰(zhàn)術(shù)互聯(lián)網(wǎng)的通信安全。從戰(zhàn)術(shù)互聯(lián)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)上來看，對網(wǎng)絡(luò)節(jié)點(diǎn)的信任評價值進(jìn)行計(jì)算需要完成綜合網(wǎng)絡(luò)通信、應(yīng)用服務(wù)、相關(guān)安全行為和密碼等方面因素的綜合評價。為發(fā)現(xiàn)網(wǎng)絡(luò)中不良行為，還要對鄰居節(jié)點(diǎn)進(jìn)行監(jiān)視。而通過使用分布式認(rèn)證結(jié)構(gòu)的部分證書鑒別技術(shù)，則能夠發(fā)現(xiàn)證書服務(wù)中的不良行為。利用這些內(nèi)容，則能夠完成網(wǎng)絡(luò)節(jié)點(diǎn)的信任評價。在對末端子網(wǎng)展開信任評價時，需要將分布式認(rèn)證機(jī)構(gòu)的證書服務(wù)和管理過程的密碼學(xué)交互行為當(dāng)成是評價因素。其中，服務(wù)節(jié)點(diǎn)提供的證書分量的正確性，可用于評價節(jié)點(diǎn)信任值。最后，在計(jì)算節(jié)點(diǎn)信任評價時，可以使用開拓綜合評價法和層次分析法。

2.3 網(wǎng)絡(luò)安全路由算法

通過分簇，能夠使網(wǎng)絡(luò)的可擴(kuò)充性和效率得到提高。將分簇技術(shù)與路由結(jié)合起來，則能夠減少簇間通信，從而起到提高網(wǎng)絡(luò)效率的作用。所以，使用適用于分簇網(wǎng)絡(luò)結(jié)構(gòu)的路由算法，能夠滿足簇內(nèi)語音協(xié)作信息的實(shí)時性要求，并且通過定期交換信息完成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的維護(hù)。此外，在簇間采取按需啟動路由的方法，也能夠在減少網(wǎng)絡(luò)開銷的同時，使網(wǎng)絡(luò)容量得到提高。為達(dá)成這一目標(biāo)，還要利用基于分簇的認(rèn)證方案為路由信息提供安全保護(hù)[2]。具體來講，就是使用共享的對稱密鑰為路由信息交換提供保護(hù)，然后使用分布式認(rèn)證機(jī)構(gòu)為簇間路由請求和回復(fù)信息提供保護(hù)。因此，使用該技術(shù)能夠確保路由維護(hù)信息的完整性，從而為數(shù)據(jù)傳輸提供安全保障。此外，為使分簇和路由更好的結(jié)合起來，還要在戰(zhàn)術(shù)互聯(lián)網(wǎng)中使用基于小組的分簇與路由協(xié)議。利用該協(xié)議，能夠?qū)⒕W(wǎng)絡(luò)中組標(biāo)識相同的節(jié)點(diǎn)分在同一簇，并且使用先應(yīng)式路由協(xié)議滿足命令控制和感知數(shù)據(jù)傳遞的要求，能夠使簇間通信和簇內(nèi)通信區(qū)分開來。所以，使用該協(xié)議能夠使網(wǎng)絡(luò)結(jié)構(gòu)與現(xiàn)實(shí)作戰(zhàn)編成保持一致，因此能夠減少簇間路由與通信，從而通過減少網(wǎng)絡(luò)負(fù)擔(dān)提高網(wǎng)絡(luò)安全性。

3 結(jié)束語

總之，考慮到戰(zhàn)術(shù)互聯(lián)網(wǎng)具有一定的動特性和分布性，還要加強(qiáng)對其網(wǎng)絡(luò)安全問題的認(rèn)識。所以，相關(guān)人員應(yīng)該加強(qiáng)對基于分簇的戰(zhàn)術(shù)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)的研究和應(yīng)用，以便更好地確保信息化戰(zhàn)爭體系安全。

[1]黃剛，王汝傳，許一帆.無線傳感器網(wǎng)絡(luò)中基于分簇廣播認(rèn)證協(xié)議方案[J].南京航空航天大學(xué)學(xué)報(bào)，2010.

[2]劉兆來，辛陽，朱洪亮.一種基于分簇結(jié)構(gòu)的Ad Hoc密鑰管理方案[J].信息網(wǎng)絡(luò)安全，2012.