无线路由安全(精选十篇)
无线路由安全 篇1
伴随着智能终端设备的不断普及, 越来越多的单位用户开始使用无线路由器, 来在局部范围部署无线网络。不过, 无线路由器常常会因为固件BUG、设置错误、系统漏洞等因素, 引起一些安全问题, 要是这些问题被恶意用户利用, 便很有可能会造成无线路由器被非法攻击, 甚至这些恶意用户可以通过入侵的无线路由器, 威胁整个无线网络的运行安全。为了保证整个无线网络安全, 我们必须高度重视无线路由器的一些安全细项, 避免它们成为安全“短板”。
更新固件程序
众所周知, 与普通计算机相似, 无线路由器的固件程序相当于BIOS软件, 它事先已被固化到路由器设备主板芯片上, 往往用来控制和协调路由器内部集成电路的。正常来说, 无线路由器工作一段时间后, 固件程序自身存在的编程错误、软件BUG等现象, 会被逐渐发现, 一旦它们被恶意用户非法利用, 那么无线路由器就会成为“肉鸡”, 恶意用户利用它能轻松攻击无线局域网中的其他计算机甚至服务器。所以, 为了堵住安全漏洞, 设备生产厂商都会在官方站点上, 及时发布新的固件版本, 来修复存在的安全问题。对于普通用户来说, 只要定期到网上下载安装最新版本固件, 及时对无线路由器后台系统进行升级更新, 就能让设备在高效运行的同时, 不会轻易遭遇恶意用户的攻击。
对无线路由器固件程序进行升级, 实际上就是用高版本替代当前低版本的常规更新操作。在获取高版本固件程序时, 首先应该检查无线路由器的铭牌信息, 记下设备的品牌和型号内容, 根据这些内容进入指定路由器设备的官方站点。比方说, 当终端用户查找到无线路由器是TP-Link品牌时, 只要开启IE浏览窗口, 在该窗口地址栏中输入对应品牌的官方URL地址“http://www.tp-link.com.cn”, 进入如图1所示的浏览页面。选中并点击该页面中的“无线网络产品”链接, 在对应链接页面中找到特定型号的无线路由产品, 点击该产品页面中的“相关下载”按钮, 从下载页面中下载得到最新版本的固件程序和有关升级程序, 将它们一起存储到本地计算机硬盘中。
之后通过双绞线将本地计算机与无线路由器连接在一起, 启动运行计算机系统中的IE浏览器程序, 在浏览窗口中输入无线路由器默认的Web管理地址, 打开路由器后台管理登录页面, 输入管理员账号, 确认后登录进入后台系统管理页面。从中先找到备份功能选项, 指定好备份文件存储路径, 将无线路由器当前的配置参数备份保存好, 避免固件升级操作失败引起的配置丢失现象。接着找到“固件升级”功能, 打开新版本固件上传页面, 添加并导入已经获得的新版本固件程序, 执行“升级”命令进行固件程序的更新操作。更新操作结束后, 将先前已经备份好的路由器配置信息快速还原, 这样就能增强无线路由器自身的安全防范能力了。
要提醒大家的是, 进行无线路由固件程序更新操作时, 必须要注意一些细节事项:首先在固件程序更新过程中, 千万不能断开电源, 否则的话无线路由器可能会受到损坏。其次要将所有处于运行状态的应用程序都退出, 特别是要将屏幕保护程序和杀毒软件退出, 避免固件程序更新操作受到它们的干扰。第三尽量从无线路由器官方网站中下载固件程序和刷新升级工具, 同时确保固件版本要与无线路由器的型号信息保持一致。
修改账号密码
不少用户将无线路由器购买回来后, 往往直接接入网络开始使用, 很少有人会主动修改无线路由器的配置参数, 甚至连缺省的管理员帐号和密码也懒得去修改, 这就为恶意用户的非法入侵带来了机会。即使有用户修改了无线路由器后台系统的默认密码, 但是这些用户在修改密码时, 为了图方便、好记忆, 往往喜欢用电话号码、生日、纪念日或几位连号数字、重复数字作为密码内容, 甚至经常用几个固定的数字作为不同系统的登录密码, 显然这种做法是不可取的, 因为这些简单的密码被暴力破解的成功率很高。非法用户可以使用常见的root、guest、admin等帐号与密码, 来进行试探性登录, 也可以使用专业工具来进行暴力破解性登录, 一旦无线路由器被入侵, 那么本地无线网络将会不可避免地成为“肉鸡”。
修改无线路由器登录密码时, 最理想的密码内容组合是连用户自己都不熟悉规律的密码, 密码没有规律可循, 自然破解起来也就不那么容易了, 比方说同时包含大小写字母、阿拉伯数字以及特殊符号的密码内容, 被成功破解的机率相当低。此外, 无线路由器登录密码最好应定期修改, 千万不能为了图省事, 将密码信息记在无线路由器外壳身上, 或者其他特别显眼的地方。
在进行帐号密码修改操作时, 可以先进入无线路由器后台管理页面, 将鼠标定位到“系统工具”、“修改登录口令”节点上, 在对应选项设置区域, 输入原始帐号名称和密码, 再输入新帐号名称和密码, 单击“执行”按钮就能让新帐号生效了。当然, 有些无线路由器登录密码分为管理员、普通用户等不同级别, 其中管理员级别可以访问无线网络各种参数设置, 还能对参数自由编辑修改, 普通用户级别只能访问无线网络的参数设置, 无法对其自由编辑修改。所以, 用户必须要根据实际情况, 来合理定义好不同级别的登录密码, 确保无线路由器登录安全。
调整远程端口
为了便于对无线路由器的管理维护, 不少用户会在路由器的Web设置页面, 勾选远程登录该设备的允许选项, 可是远程Web登录功能在缺省状态下会使用“80”端口, 这个端口号码经常会被恶意用户非法利用, 不利于无线网络的安全稳定运行。
要想避免无线路由器被非法远程攻击, 我们不妨尝试将缺省的远程管理端口调整为一个不经常使用的号码, 日后只有熟悉新端口号码的用户, 才能通过Web页面远程登录进入无线路由器来对远程管理维护。比方说, 要将Web管理端口调整为“5633”时, 只要先打开无线路由器后台管理界面, 依次展开“安全设置”、“远端Web管理”节点, 在指定节点选项设置区域, 将“Web管理端口”参数调整为“5633”, 再在“远端Web管理IP地址”设置项处, 指定好能对无线路由器进行远程管理维护的计算机IP地址, 按下“保存”按钮执行设置存储操作, 最后重启无线路由器设备。这样, 日后只有在特定计算机上, 输入无线路由器的IP地址和新端口号码, 才能对其进行远程管理维护操作。
当然, 无线路由器还隐藏了Telnet这种远程登录方式, 这种登录方式常常被用户所忽视, 实际上该登录方式大量应用在网络的网关设备和重要主机中, 它也能为网管员提供远程维护通道。但是该远程功能使用的是“23”端口, 该端口也是一把“双刃剑”, 如果被非法用户利用时, 同样会给无线路由器带来安全麻烦。非法用户只要使用专业工具对本地网络进行扫描, 要不了几分钟, 就能扫描到无线路由器开放着的“23”网络端口。
一旦看到该端口处于开放状态时, 我们必须想办法将其及时关闭, 或者将其修改为陌生的端口号码。当然, 有的无线路由器可以通过更新固件程序的方法, 来修复这种安全问题, 用户只要及时到设备官方站点下载更新固件, 就能保证远程维护的安全。
预防网页劫持
用户在上网冲浪过程中, 我们经常会碰到网页劫持现象, 对于这种现象, 使用一些专业的反劫持插件程序, 能够避免大多数网页劫持现象, 不过对于那些来自网络运营商的广告劫持, 反劫持插件程序就无能为力了。现在只要进入无线路由器后台管理页面, 修改有关功能参数, 就能预防网络运营商的网页劫持了。例如, 对于TP-Link WR541G/542G无线路由器来说, 可以进行如下设置操作, 来拒绝网页劫持现象:
首先在IE浏览窗口地址栏中, 输入无线路由器Web访问地址, 登录进入该设备后台管理页面, 依次展开“安全设置”、“防火墙设置”节点选项, 选中对应选项设置区域中的“开启防火墙”选项, 同时将“开启域名过滤”也勾选起来 (如图2所示) , 按下“保存”按钮执行设置保存操作。
接着将鼠标定位到“安全设置”、“域名过滤”节点选项上, 按下对应选项设置区域中的“添加新条目”按钮, 将网络运营商广告域名填写到“域名”位置处, 比方说输入“search.114.vnet.cn”、“114.vnet.cn”等广告域名。再将“生效时间”定义为“00-24”, 将状态参数修改为“生效”, 按下“保存”按钮退出设置操作。要是不清楚网络运营商的广告域名, 不妨在IE浏览界面中随意输入一个不正确的网站域名, 记录下随后出现的劫持页面地址, 将该地址填写在域名过滤列表中。
要想过滤特定劫持页面IP地址时, 不妨先通过ping命令测试网络运营商的广告域名, 将回显出来的IP地址记忆下来。再进入无线路由器IP地址过滤页面, 单击“添加新条目”按钮, 在“广域网IP地址”设置项处, 输入先前记录的IP地址, 同时将“生效时间”指定为“00-24”, 将状态参数调整为“生效”, 将协议参数选择为“All”, 将“通过”参数设置为“禁止通过”, 按下“保存”按钮存储好设置操作, 最后重启无线路由器设备。
当我们再次上网访问时, 网络运营商的广告域名和相关IP地址都会被正确过滤了, 日后IE浏览页面自然就不会发生被广告劫持现象了。如果网络运营商修改了广告链接地址, 只要按照之前的操作步骤, 将变化的广告域名和IP地址输入到过滤列表中即可。同样地, 我们可以将其他的劫持页面域名和IP地址输入到无线路由器过滤列表中, 以达到预防恶意页面劫持的目的。
拒绝他人蹭网
在使用无线路由器组网的环境中, 蹭网现象越来越普遍。为了避免这种现象, 我们可以启用无线路由器的上网信号加密功能, 来对上网传输信号进行非常复杂的加密计算, 让蹭网者即使窃取到上网信号, 也很难将它成功破解开来。在开启无线路由器加密功能时, 不妨先以系统管理员登录无线路由器后台管理界面, 将鼠标定位到“无线网络”、“安全设置”节点上, 在对应节点设置区域选中“开启安全设置”选项 (如图3所示) , 同时将安全类型指定为“WPA-PSK”或“WPA”, 再输入好密钥内容, 确认后保存设置即可。
对于已经成功蹭网的用户, 该如何将他们揪出来呢?使用“Wifi Channel Monitor”这款工具, 配合无线路由器自身的MAC地址过滤功能, 就能将危险的无线网络蹭网者寻找出来, 并拒绝他再次蹭网。因为“Wifi Channel Monitor”工具是利用微软的网络监视器来监控无线网络流量的, 在利用该工具检测蹭网现象之前, 必须先从微软官方站点下载安装“Microsoft Network Monitor”工具, 再开启“Wifi Channel Monitor”程序的运行状态, 进入对应程序主操作界面。按下“Start Capture”工具栏按钮, 选择需要监控的无线网卡设备, 定义好无线网络通道参数, 确认后让程序切换到检测状态。被探测到的无线网络信号会自动显示在对应程序列表中, 将绿色图标的无线信号选中, 这时用户能发现所有与该无线网络相连的设备。用鼠标双击某个设备名称, 在其后界面中能查明设备的客户端类型、数据字节、MAC地址、设备制造商等信息, 根据设备制造商信息就能识别出当前连接的设备是否属于自己所用的上网设备, 如果不是的话, 那该设备自然就是蹭网者了。
一旦识别出蹭网者所用设备后, 重新进入“Wifi Channel Monitor”程序主界面, 从中找到对应设备的MAC地址, 同时将其记录下来。
无线路由安全 篇2
相对而言,无线比有线网络更难保护,因为有线网络的固定物理访问点数量有限,而无线网络中信号能够达到的任何一点都可能被使用。因此各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等手段,但这些安全设置是否真的有效?下面以支持IEEE802.11g标准的无线设备为例,通过实测的方式,带领大家将加密无线路由器的疑惑解开。
加密无线路由器1.设置网络密钥
无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。现在大多数的无线设备只具备WEP加密,更为安全的WPA加密还未被广泛使用。
目前,无线路由器或AP的密钥类型一般有两种。例如,所使用的无线路由器便有64位和128位的加密类型,分别输入10个或26个字符串作为加密密码。
在这里要提醒各位,许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,如果你拿来就用而不作进一步设置的话,那么你的无线网络就成为了一个“不设防”的摆设。因此,为你的无线网络进行加密设置是极为重要的。
测试结果:选用了64位加密方式,实测中,通过NetworkStumbler等软件发现了无线网络的存在,但由于无法获取密码,不能使用该无线网络。
加密无线路由器2.禁用SSID广播
通俗地说,SSID便是你给自己的无线网络所取的名字。需要注意的是,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企图非法连接的攻击者利用通用的初始化字符串来连接无线网络,就极易建立起一条非法的连接,从而给我们的无线网络带来威胁。因此,建议你最好能够将SSID命名为一些较有个性的名字。
无线路由器一般都会提供“允许SSID广播”功能,
如果你不想让自己的无线网络被别人通过SSID名称搜索到,那么最好“禁止SSID广播”。你的无线网络仍然可以使用,只是不会出现在其他人所搜索到的可用网络列表中。
小提示:通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,认为还是值得的。
测试结果:由于没有进行SSID广播,该无线网络被无线网卡忽略了,尤其是在使用WindowsXP管理无线网络时,达到了“掩人耳目”的目的。
加密无线路由器3.禁用DHCP
DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。如果启用了DHCP功能,那么别人就能很容易地使用你的无线网络。因此,禁用DHCP功能对无线网络而言很有必要。
在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。
测试结果:由于无法获得IP地址和DNB服务器信息,既使能找到该无线网络信号,仍然不能使用网络。
加密无线路由器4.启用MAC地址、IP地址过滤
在无线路由器的设置项中,启用MAC地址过滤功能时,要注意的是,在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项。
另外,如果在无线局域网中禁用了DHCP功能,那么建议你为每台使用无线服务的电脑都设置一个固定的IP地址,然后将这些IP地址都输入IP地址允许列表中。启用了无线路由器的IP地址过滤功能后,只有IP地址在列表中的用户才能正常访问网络,其他人只能干瞪眼了。
让“路由卫士”为家庭无线安全护航 篇3
首先到http://www.kuaipan.cn/file/id_48228466939658361.htm处下载luyoudashi_setup.exe安装程序(大小仅为2.8MB),直接双击进行安装操作,然后运行“路由卫士”程序,输入自己路由器之前设置过的账号与密码(为方便以后随时快速再次进入“卫士”,此时可将“记住密码”选中);接着点击“登录”按钮进入运行主界面,第一次运行软件的话一般都会选择点击中间的“立即检查”按钮来全面检查路由器的性能和安全设置,很快我们就会得到类似于“路由器当前检测得分:80分,安全性能一般!”的提示,同时下方详细显示出该路由器各项参数的检测结果(如图1):
除了“路由器登录密码安全检测”“网络状态和网络总体速度检测”“无线Wi-Fi当前状态检测”“无线Wi-Fi安全设置检测”“无线Wi-Fi密码安全性检测”“路由器固件整体安全和性能检测”和“路由器DNS的安全性”项是“正常”外,还有“优化上网参数,提升网络性能项检测”和“视频广告过滤”两项分别被提示“有安全隐患”和“可以优化”。点击“一键优化”按钮,稍等片刻经“路由卫士”的设置处理之后提示就变成了“路由器当前检测得分:100分,非常安全!”
当然,这个“立即检查”也仅只是“路由卫士”的第一个选项卡“路由体检”功能,它的第二项“屏广告”也是非常实用的,可以用来切换是否关闭视频广告的过滤。值得关注的还有第三项“防蹭网”功能,能够直接显示出该路由器的当前连接用户数以及所对应的设备名称、IP地址、总流量等信息。不管是有线连接还是无线连接,也不管是电脑还是手机,在此都逃不出“路由卫士”的眼睛,而且都能够非常方便地通过点击“禁用”项来任意踢掉非法“蹭网”者(如图2)!
第四项“高级设置”功能也非常丰富,包括‘‘上网设置”(可对IP地址、子网掩码及DNS等进行设置)、“Wi-Fi设置”(设置Wi-Fi名称、密码以及信号是否可见)。“局域网IP设置”“DHCP设置”“Mac地址克隆”“路由器密码”和“重启路由器”共七个子功能项(如图3),大家可根据自己的意愿和实际情况来方便设置。
无线路由器安全保护措施 篇4
1 基本安全保护措施
1.1 设置并不定期修改密码
无线路由器自带配置操作系统, 可以通过路由器配置操作设定登陆密码, 这样不知道密码的用户, 即使能够搜索到该路由器信号, 也会因为没有使用权限不能抢占带宽。还要注意密码的不定期更新, 这样才能保证密码的有效性更有保证。
1.2 关闭DHCP服务器
DHCP的功能是为局域网内的电脑自动分配IP址, 可以免去用户自己手动设置。不过由于DHCP功能的开启, 也就使任何在信号覆盖范围的电脑都可以获取I P地址, 非法连入用户的无线网络里, 这就带来了安全隐患。所以, 禁用DHCP功能也是一种较为有效的安全防护措施。
1.3 禁用SSID广播
SSID简单的来讲, 就是为无线网络所起的名字, 不过由于同一厂商的产品出厂时的SSID都是一样的, 这就给了那些非法个人机会, 通过初始的字符串非法入侵无线网络, 使安全系数大大降低。所以关闭SSID广播功能, 还是很必要的。
另外, 关闭S S I D广播不会影响使用, 只是在其他人的搜索信号菜单中会不再显示你的S S I D名称, 这就有效避免了非法用户入侵。
2 高级安全保护措施
2.1 无线加密
目前最为常见的一种手段, 用户可以通过无线路由器的W E B界面, 来进行加密设置。目前, 无线路由器加密类型有如下几种。
2.1.1 WPA-Preshared密钥
WPA-Preshared密钥 (WPS-PSK) WiFi Protected Access是保护数据安全的一个非常安全的方法。通过加密, 无线路由器和无线网卡之间传输的每一个数据包将被一个不同的钥匙打包封装。这意味着即使截获了数据包, 破解了加密字符串, 也不能阅读数据的其他部分。
现在有的最新的无线路由器已经开始使用WPA2, 它把加密密钥从24位升级到48位, 复制一个密钥已经是不可能的事。这个安全模式的Preshared密钥部分表示给授权的用户设置一个密码, 输入密码后, 他们的设备可以处理其他的安全操作。
2.1.2 WPA-RADIUS
与WPA-PSK相同的是, 它的密钥也随着数据包的不同而变化。区别是现在需要一个Radius服务器。它允许批准特定的设备才可以访问你的网络。当一个设备试图链接时, 首先查看R a d i u s服务器上保存的一个设备列表, 如果发现该设备在这个清单中 (通常是根据M A C地址来判断) , 这个设备就被允许访问网络, 开始对数据进行W P A加密。这是迄今为止保护你的数据和网络的最安全的方法。不过, 你需要一个R a d i u s服务器, 而且知道如何合理的配置它。由于操作复杂, 目前只有在大企业才会采用这种方法。
2.1.3 RADIUS
RADIUS是个AAA协议, 也就是通常所说的认证、授权和计费协议。它也是目前大多数ISP用来认证用户接入的协议。在无线安全方面, RADIUS典型的使用设备的M A C地址或用户名和密码组合来认证用户, 给设备授权和对网络链接计费。由于其需要一台R A D I U S服务器, 因此一般应用于大单位。
2.1.4 WEP
WEP有线等效加密 (Wired Equivalent Privacy, WEP) 是个保护无线网络 (Wi-Fi) 的资料安全体制。W E P的设计是要提供和传统有线的局域网路相当的机密性, 而依此命名的。
WEP使用加密密钥 (也称为WEP密钥) 加密8 0 2.1 1网络上传输的每个数据包的数据部分。启用加密后, 两个8 0 2.1 1设备要进行通信, 必须启用加密并且有相同的加密密钥。
由于加密可能会影响传输效率, W E P加密默认是Disable Encryption (禁用) 。无线安全参数具有可选性, 一般有3个参数, 如下所示。
(1) W E P密钥格式:十六进制数位;ASQI字符 (推荐) 。
(2) W E P加密级别:禁用加密功能;4 0 (6 4) 比特加密;1 2 8比特加密。
(3) W E P密钥值:由用户设定。
在使用40 (64) 比特加密方式时, 可输入4组不同的W E P密钥, 每组由1 0个十六进制字符组成, 但同一时刻只能使用一组。在使用1 2 8比特加密方式时则需要输入2 6个十六进制字符作为W E P密钥。
2.2 开启IP地址、IPMAC地址过滤
启用了无线路由器的I P地址过滤功能后, 只有I P地址在列表中的用户才能正常访问无线网络。但是要注意, 在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”选项, 否则无线路由器就会阻止所有用户连入网络。
M A C地址是一个全球唯一的字符串, 它是每块网卡固定的物理地址, 在网卡出厂时就已设定好。MAC地址过滤策略就是使无线路由器只允许部分M A C地址的无线客户端可与它互相通信, 它一个基本而且有用的措施, 必须手动输入M A C地址。无线路由器可对连接它的客户机进行过滤, 同时也可对本无线网络要访问的服务器的地址端口进行过滤。
3 结语
无线网络的安全性, 在这个信息发达的社会中越来越显得重要, 无论是家庭还是企业用户, 网络信息的安全一直都是首要解决的问题。由于无线网络相对于有线网络在安全方面存在先天劣势, 所以无线网络的安全保护措施显得更为重要。
参考文献
[1]http://baike.baidu.com/view/334021.htm.
[2]http://www.techupdate.com.cn/techupdate/2009/0204/1334051.shtml.
[3]云中月.为无线网络上好锁:WEP、WPA无线加密对比[J].网络与信息, 2008 (2) .
无线路由安全 篇5
随遇而“安”,危机四伏:
关于无线设备安全问题已经是老生常谈了,很多文章都介绍过相应的内容。下面笔者也简单说下。
很多用户在买来无线设备后连接上电源和网线就直接使用了,实际上这是非常错误的,我们在使用无线设备上不要有那种即插即用的误区,否则你的无线信号可能被其他人所收到,你的网络可能被其他人所使用,你的计算机也可能被其他人所入侵。简单的安全防范方法主要有禁止SSID广播,修改SSID默认名称以及添加MAC地址过滤与WEP加密等。下面简单说下。
(1)修改默认管理员帐号:
默认情况下无线设备的管理员密码为空或者和说明书上的一样,任何知道你的无线设备IP地址的用户都可以通过这个默认密码进入无线设备,危险是巨大的,
所以我们需要通过无线设备中的安全设置处将默认密码甚至是默认管理员名称进行修改。
(2)修改默认SSID号:
默认情况下每个厂商的无线路由产品都有固定的SSID号,如果购买回来后不修改这个默认SSID号的话,很可能被其他用户猜测到,虽然他和默认密码不同,但是也需要额外注意。一般我们可以通过无线设置中将默认的SSID号手工修改为随便一个名称。
(3)取消SSID广播:
无线路由器的默认SSID广播功能使得任何可以接收到你的无线信号的无线网卡都可以轻松查到你的SSID号,这一点也为安全带来了隐患,所以我们也要进入无线路由器管理界面修改,将SSID广播前的对勾去掉即可。
(4)其他安全手段:
对于有一定技术的非法用户来说,如果在买来无线设备后仅仅做了上面三个安全工作还是远远不能防范的。因此还需要进行MAC地址过滤与WEP加密甚至是WPA加密等。这些内容也已经说过多次了,由于篇幅关系也不详细说明了。
总 结:
无线生活相伴路由 篇6
主持人:随着电脑的普及,很多人家里可不只有一台电脑,往往是台式机和手提兼而有之。想两台电脑同时上网那得靠路由器帮忙,可是用有线路由的话手提电脑的使用范围就被限制在网线的长度之内,多么不方便,所以,就有了无线上网的需要。但究竟该怎么挑无线路由呢?带着这个问题,我们还是听听本期嘉宾蒋鑫鑫老师的讲解。
主持人:蒋老师,您好!
专家: 主持人好,大家好!
主持人:我看过市面上的无线路由器,牌子也不少,D-Link、TP-Link、Linksys、腾达等等,能有二十多种吧,这么多牌子很容易挑花眼,蒋老师我想知道哪种无线路由器更好一些?
专家:从网上我们能查到这么两组数据,2007年10月和2008年5月中国市场最受用户关注的十大路由器品牌。TP-Link和D-Link两个品牌的关注度就超过了半数,用的人比较多。
主持人:那这两个牌子的无线路由器又有什么不同呢?
专家:TP-Link一直走的是低价路线,无线路由器技术参数相同的话,D-Link的价格会高一些,不过D-Link的性能更加稳定,做工也更精致些。如果想选一个大的品牌,价钱又不想太高,样子还看得过去的话,TP-Link很合适。
主持人:这无线路由器也有挺多参数,商场里的人经常提到11M啊、54M、108M啊,不明白的人早就看糊涂了。蒋老师您还是为我们详细解释解释吧。
专家:好,就从11M和54M说起,其实这两个数的单位应该是Mbps,表示的是传输速率,指在一定的网络标准下接收和发送数据的能力。
主持人:那就是说,54M的无线路由传文件音乐什么的每秒就能传54Mb。
专家:这只是标称数值,无线信号很容易受周围环境的影响,实际上的传输速度只能是这个标称速度的一半。像是用54M的无线路由器传输一个100MB的文件,理论上两秒就差不多完了,但实际上得花三十几秒。
主持人:想上网快的话那我得选一个传输速度大的来用。
专家:现在54M、108M的无线路由器是市场主流,基本上能满足家庭用户上网的需要。不过买无线路由的话也得先看看电脑的配置,看看电脑支持的协议标准。
主持人:协议,您指的是802.11a、802.11b和802.11g这些吗?
专家:对。美国电机电子工程师协会,也就是IEEE制定了常用的无线网络标准,包括802.11标准,蓝牙标准和家庭网络标准等。不同的网络标准对应着不同的传输速率,像802.11b能支持的传输速率就是11Mbps,而802.11g就能支持54Mbps了,现在还有新推出的802.11n标准,传输速度可达到108Mbps。
主持人:哦,是不是说如果我的电脑不支持802.11g标准,买个54M的无线路由器就发挥不了作用了?
专家:对,有些朋友追求快速,买了个108M的无线路由器回来,花了不少钱。但电脑也就支持到802.11g标准啊,传输速度还是快不了。
主持人:不管挑什么牌子的路由器,首先还是得明确自己的需求。我想覆盖范围也是咱们用无线路由时非常关注的一个参数,用无线路由就是希望在家里什么地方都能顺利上网。
专家:在几乎所有无线路由器的参数里,我们都能找到有效工作距离这一参数。例如TP-LINK TL-WR541G+的有效工作距离就是室内最远200米,室外最远830米。
主持人:这个数肯定也是理想状态下的吧?
专家:对,周遭环境对无线信号有很大的影响,像家里有墙有微波炉有无绳电话,离无线路由器50米的范围内信号都挺好。室外的话视野开阔,这个范围能扩大到200米、300米。要是安装路由器的地方网络环境比较复杂,为了保证日后使用的信号强度,尽量选有效工作距离大的无线路由产品。
主持人:我见过有人给自己的无线路由器换了个天线,说是信号能更好。
专家:一般无线路由都装了增益天线,增益天线的作用相当于给无线信号加了一个放大器,增强了信号强度,也加宽了有效工作距离,如果觉得自己的无线路由信号不太好,可以再选配天线。
主持人:天线也不是随随便便选一根就成的吧?
专家:没错。得注意一些参数,像是802.11a标准的无线路由适合5GHz频率范围的天线。另外,还要考虑天线的增益值,增益值越大信号的放大倍数就越大,传输质量就越好。也需要观察无线路由器上的天线接口,接口也是不一样的。天线的品质和性能对无线路由来说是非常重要的。
主持人:听说天线还有全向和定向之分。
专家:用全向天线的话传送和接收数据没最大方向,家里一般都是用的这种天线。如果天线是定向的话,在某一个方向辐射和接收能力最大,适合较远距离的点对点传输。
主持人:肯定有人没注意,结果买回个不能用的定向天线。唉,蒋老师,别的无线产品都有固定的工作频段,这无线路由器也不例外吧?
专家:对,我之前列出的那个表里也写出了工作频段,无线路由器采用的网络标准不同,那么它的工作频段也就不同。
主持人:无线路由器上除了天线接口,还有相当多的别的接口呢。
专家:这些接口其实都是相当简单,大家一看就能明白。电源接口这是必需的。然后一个Internet接口其实就是WAN接口,能把广域网和路由器连接起来,WAN接口里用RJ-45端口居多。另外四个是LAN接口,这头插LAN接口那头插电脑网络接口,电脑就是有线上网了。LAN接口一般有AUI、BNC和RJ-45端口。
主持人:无线路由器也能让电脑有线上网,其实就是有线路由加了根天线嘛。
专家:的确如此,但加了一根小天线后带来的市场可是巨大的。
主持人:无线路由器也有处理器、内存这些参数。我们都知道处理器和内存对一台电脑的性能表现是非常重要的,不知对无线路由器的影响有多大呢?
专家:无线路由也有中央处理器,就是CPU,跟在电脑里一样,CPU也是无线路由器的核心。不同品牌不同系列不同型号的无线路由器的中央处理器也不尽相同。ARM9类型是用得比较普遍的。
主持人:那CPU好这无线路由性能就强吗?
专家:因为技术的发展,现如今无线路由器里很多工作都是由芯片完成的,CPU的性能并不能完全代表无线路由器的性能。
主持人:那内存是否能反映无线路由的性能呢?
专家:路由器吞吐量、时延、路由计算能力,这是体现无线路由性能的指标。无线路由器里有这么几种内存,只读内存、闪存、随机存取内存和非易失性RAM,这些内存用来存储配置、路由器操作系统、路由协议软件等。理论上来说内存越大越好,但通过高水平的软件规划和使用内存,不大的内存也能充分发挥出作用。但内存大小还是不能直接反映无线路由的能力的。
主持人:今天蒋老师可以说是把无线路由器的各个参数都解释一个遍,不知朋友们还有什么问题?本期【专家论道】结束后就是阿爆的时间了,大家可以继续在爆料栏目里听蒋老师指点迷津。
阿爆:“阿爆的经验,爆出的智慧”。无线路由看起来小,忽悠你照样有招。想知道卖家那些振振有词的宣传语是真是假,还得让阿爆给你爆上一爆。
【爆料案例一】双天线,好信号
阿爆:“您担心无线路由器的信号不好?没关系,我给您推荐一款更好的。这个路由器采用的是双天线配置,能让发射功率加倍,当然覆盖范围更大。买这一款绝对没错的,我拿声誉保证!”
专家:如果一台无线路由器没采用多路进多路出的MIMO技术,即使装了两根天线,其中一根也只是摆设。因为其中一根是主天线,主天线收不到信号的话另外一根天线才能接收到信号,所以这样的两根天线有一根是备用,起不到扩大覆盖范围的作用。另外,覆盖范围也受到天线增益值的影响,市面上的天线增益值以5dBi为主,但有的无线路由器天线只有2dBi,即使是双天线都能用,覆盖范围也比不过人家单天线的。
【爆料案例二】WEP加密,保护文件安全
阿爆:“这款无线路由器采用的是WEP加密技术,已经达到了很高的级别,绝对能保护您文件的安全!”
专家:无线路由的安全性其实尚未被大众所关注,但无线设备生产商在安全性上可是下了不少功夫。其实现在的无线技术有这么三种:WEP、WPA以及WPA2,加密级别依次升高。不难看出,相比另外两种加密技术,WEP属于最低级的,懂技术的人在软件的帮助下能非常轻松地破解其密钥。按照技术的发展趋势,更复杂更安全的WPA和WPA2是未来的主流。哪个商家还拿WEP说这是最安全的技术,他不是菜鸟就是诚心忽悠你。
阿爆:真是别看无线路由器东西小,商家忽悠起来还是一套一套的。
主持人:还好今天蒋老师帮助戳破了两层商家忽悠的窗户纸。
阿爆:对,阿爆我可是清楚看见里面的猫腻儿啦。
主持人:不知朋友们是不是也有一些体会?赶明儿谁家想添置无线路由器,小磨非常希望你能把今儿学到的知识用上去。好,再次感谢蒋老师的到来,大家下次再见。
无线传感器网络的安全路由问题研究 篇7
无线传感器网络(Wireless Sensor Networks,WSN)是一种由大量微小的集成(包括传感器、数据处理单元和短距离无线通信模块)的节点组成的以数据为中心的无线组织网络。它是一种全新的信息获取和处理技术,能够协作的实时监测、感知和采集网络分布区域内的各种环境或检测对象的信息。与传统网络相比,WSN大规模、随机布设、多跳通信方式、自组织和协同工作等特点使得它在军事、工业、家居、环境等诸多领域都有着广阔的应用前景。随着对WSN的深入研究和广泛应用,其安全性已受到了研究人员的普遍重视。
由于WSN节点间通过多跳转发机制进行数据通信,所有节点都处于平等地位,每个节点兼备路由器和主机两种功能,不但执行自己的应用任务,还要参与路由的发现、维护,以及网络的组织构建。因此,路由安全已成为无线传感器网络安全研究的热点之一。
1 无线传感器网络的路由攻击
WSN中,大量的节点密集地分布在一个区域里,数据通过多跳广播的方式进行传输,由于传感器网络的动态性,没有固定基础结构,每一个节点都是潜在的路由节点,没有受到保护的路由信息很容易遭受多种形式的攻击。根据恶意节点对路由的破坏性,可以将它对路由的攻击分为主动式攻击和被动式攻击。在被动是攻击中,恶意节点只是通过侦听网络获取通信中的机密信息,并不破坏网络正常运行和路由协议的执行,这种攻击破坏性较小。而主动式攻击是主动改变通信数据,增加网络的负担,破坏网络操作或使某些节点不能有效的使用网络中的服务,这种攻击危害较大。传感器网络中的路由攻击主要有以下几种。
1.1 虚假路由信息
通过欺骗、篡改和重发路由信息,攻击者可以创建路由环,吸引或者拒绝网络信息流通量,延长或者缩短路由路径,形成虚假错误信息,以分割网络,增加端到端的时延。
1.2 污水坑(Sinkhole)攻击
在污水坑攻击中,攻击者发送虚假路由通告,表示通过部分俘虏节点的路径是一条高效路由路径,这样,攻击者周围的每个邻居节点很可能乐意把数据包交给攻击者转发,并且还向各自的邻居节点传播这个颇具吸引力的路由消息,使得俘虏节点成为网络中的一个污水坑。攻击者的目标是吸引几乎所有的数据流通过俘虏节点转发,这样,攻击者可以伪造数据包源地址和目的地址,以任意合法节点的名义发送虚假信息,重定向网络数据流,同时也易于实现选择转发攻击。
1.3 Sybil攻击
在Sybil攻击中,攻击者对网络中的其他节点以多个身份出现。这使攻击者具有更高的概率被其他节点选作下一跳目标,并能结合其他的攻击方法破坏网络。这种攻击方式降低了诸如分布式存储路由、分散路由和多路径路由等具有容错功能的路由方案的容错效果,攻击还给基于位置信息的路由协议造成了很大的威胁。位置感知路由协议通常需要节点与其邻近节点交换坐标信息,从而有效地发送标有指定地址的数据包。一般情况,节点仅从与其相邻的节点接收惟一的一组坐标值,但是使用Sybil攻击的攻击者可以“同时拥有多个位置的坐标”。事实上,这种攻击对基于投票的网络数据融合策略的危害也很大。
1.4 虫洞(Wormholes)攻击
在虫洞攻击中,如图所示,通常需要两个恶意节点相互串通,合谋进行攻击。一般情况下,一个恶意节点位于基站附近,另一个恶意节点离基站较远。这样,两个节点间可以通过攻击者隧道传输消息。在一个端节点所在的网络近域中收到的消息通过隧道传输后,及时地在另一端节点所在的网络近域里被重放。因此,一个在多跳以外的恶意节点可以假冒成为其他节点的一两跳距离邻居。值得注意的是,无需任何加密密钥信息即可发起这种攻击。
虫洞攻击可导致污水坑攻击:一个远离基站的恶意节点,由于存在一条通往基站附近的隧道,因此可声称自己就在基站附近,可以和基站建立低时延高带宽的链路,以重定向或控制网络数据流,发起污水坑攻击。另外,虫洞攻击可以使两个远离的节点相信他们自己是通信邻居,这样可能会严重扰乱通信。
1.5 Hello数据包泛洪攻击
Hello泛洪攻击是一种新型的针对传感器网络的攻击方法。在许多协议中,节点需要通过广播Hello报文来声明自己是其他节点的邻居节点,而收到该Hello报文的节点则会假定自身处在发送者正常无线传输范围内,但当一个较强的恶意节点以大功率广播Hello包时,距离较远的合法节点也会收到此包,这些节点会认为这个恶意节点是他们的邻居。在以后的路由中,这些节点很可能会使用这条到恶意节点的路径,而向恶意节点发送数据包。事实上,由于这些节点离恶意节点距离较远,以普通的发射功率传输的数据包根本到不了目的地。这将使得网络处于混乱状态,导致网络不能正常运行。
1.6 ACK欺骗
一些传感器网络路由算法依赖于潜在的或者明确的链路层确认。在ACK欺骗中,攻击者可借助链路层确认包欺骗邻居节点。发起这种攻击的目的包括:使发送者相信一个弱链路是健壮的,或者是相信一个原本已经失效死掉的节点还活着可用。因为沿着弱连接或者失效链接发送的包会发生丢失,这样攻击者可以强化发送者沿着这些链路传输数据包,从而发起Do S攻击。
1.7 流量分析攻击
与有线网络甚至和Ad hoc网络相比,传感器网络中网络流模型种类很少,通常包括:从基站到节点传输的命令流;从节点到基站的数据流;以及一些和簇头节点选举或数据融合相关的局部通信。攻击者通过侦听通信,可以发起流量分析攻击,试图从诸如数据包头、数据流模式、路由协商信息等方面发现那些为网络提供关键服务的节点(诸如簇头节点,密钥管理节点、甚至基站或靠近基站的节点等)位置,然后重点发动其他攻击,谋求更大攻击利益。
1.8 选择性转发
受攻击者控制的恶意节点收到数据包后,可以再简单的丢掉部分数据包后再做转发,必然这样导致数据包不能正确到达目的地,成功扰乱正常的网络功能。由于正常节点也可能时不时因某种原因如拥塞或冲突出现丢包现象,因此恶意节点的异常行为很难被区分处理。不难想象,当攻击者确定自身就在数据流传输路径中时,攻击是最有效的。攻击者对感兴趣的数据流实施阻塞也可达到同样的攻击目的。
2 路由安全防御
为了保证无线传感器网络在存在恶意节点的情况下,从源端到目的端的路由发现功能正常,所有的无线传感器网络路由安全协议必须满足以下的条件:路由发现过程中,孤立未授权节点;敌人不能获得网络的拓扑结构;对攻击者发起的造成路由环的路由欺骗免疫;识别伪造的路由消息;未授权接点不能更改路由信息。为了提供无线传感器网络路由安全,需要解决以下的问题:为无线传感器网络提供低计算和通信开销的认证机制;安全路由发现;路由维护;隔离错误通信链路;预防路由错误;预防泛洪攻击等。
3 安全路由技术分析
3.1 密钥管理技术
对路由面临的攻击和威胁,采用有效的密钥管理技术,对节点间的通信实施加密,以增大路由的安全性。Newsome J等人就应用对称密钥管理技术,提出了针对Sybil攻击的防御方案。该方案首先对Sybil攻击进行定义和分类,把攻击类型分为直接通信和非直接通信、虚构认证和偷窃认证、模仿和非模仿等;针对攻击目标又分为分布式存储、路由、数据融合、投票、公正资源分配、误行为检测等。然后在每个节点与一个可信赖的基站之间建立惟一的对称密钥,两个节点之间使用一个像Needham-Schroeder样的协议进行身份认证并且建立一个共享密钥,相邻节点使用产生的共享密钥对它们之间的连接实现加密。虽然一个入侵者仍能利用一个Wormhole在两个节点间建立一个虚假的连接使它们确信它们是邻居,但是入侵者将不能窃听或修改在它们之间的任何将来的连接信息。
此安全方案设计方便,针对性强,但是安全措施仅采用对称密钥,整个网络易受到攻击;另外把安全性作为主要设计目标,而忽略了能耗问题。
3.2 安全路由协议
理想状态下,如果我们知道遭受到某种确定的攻击,正确的对策或许有用。然而,由于噪声和动态环境的影响,在传感器网络中,攻击和错误很难被检测,并正确区分。同时,由于网络冗余特点,只要错误或攻击源被检测出来,遭受攻击的传感器网络仍然可以继续发挥其功能。因此,为在安全路由设计中降低节点安全操作能源损耗,提高网络生命周期,发展能够容忍攻击的路由协议,提高其抗攻击弹性非常必要。
(1)SPINS(Security Privacy In Sensor Network)协议
该协议旨在解决具有有限资源的无线传感器网络的安全通信问题。基本思路是先广播一个通过对称密钥K生成的数据包,在一个确定的时间后发送方公布该密钥,接收方负责缓存这个数据包直到相应的密钥被公开,这使得在密钥被公布之前,没有人能够得到认证密钥的任何消息,也就没有办法在广播数据包正确认证之前伪造出正确的广播数据包;在密钥公开后,接收方能够认证该数据包。即通过延迟对称密钥的公开来取得与非对称密钥近似的效果。它引入了SNEP和μTESLA两个安全构件。SNEP协议通过在通信双方采用两个同步的计数器,并运用于加密和消息认证码(MAC,Message Authentication Code)计算中,从而获得了数据机密性(满足语义安全、数据认证、完整性、弱新鲜性及重放保护功能,并具有低通信开销(每个报文仅增加8 Byte)。协议还通过发送者在请求报文中向接收者发送一个不重复随机数,并在接收者应答报文中的MAC计算中纳入该随机数,而实现了强新鲜性,可用于时间同步。可验证广播的实现需要非对称机制,否则,恶意节点就可以随意更改收到的消息。
(2)INSENS协议
INSENS是一个面向无线传感器网络的安全的入侵容忍路由协议。协议的设计思想主要有3点:第一,在确定路由路径的时候,尽量绕过恶意节点,限制恶意节点的作用范围。第二,由于传感器节点的资源有限,而Sink的资源相对要丰富一些。所以尽量将计算、通信和存储方面的工作交给Sink来做,以减轻传感器节点的负担。第三,采用“双路径”的路由方法,即使在一条路由路径被攻击后还可以通过另外的路由路径进行通信。INSENS包含路由建立和数据转发两个阶段。路由建立主要是确定网络拓扑结构,选择合适的路由路径,数据转发则是处理节点和Sink之间的数据传输。它借鉴了SPINS协议某些思想。例如,利用类似SNEP的密码MAC来验证控制数据包的真实性和完整性,密码MAC是验证发送到基站的拓扑信息完整性的关键。它还利用μTESLA中单向散列函数链所实现的单向认证机制来认证基站发出的所有信息,这是限制各种拒绝服务攻击的关键。另外,该协议还通过每个节点只与基站共享一个密钥、丢弃重复报文、速率控制以及构建多路径路由等的方法,限制了洪泛攻击,并使得恶意节点所能造成的破坏被限制在局部范围,而不会导致整个网络的失效。除了通过采用对称密钥密码系统和单向散列函数这些低复杂度安全机制外,该协议还将诸如路由表计算等复杂性工作从传感节点转移到资源相对丰富的基站进行,以解决节点资源约束问题。尽管INSENS协议将破坏限制在入侵者周围及其下游区域,但是,当一个内部攻击者处在基站附近时,造成的破坏范围仍会很大。
上述这些安全路由协议一般采用加密和认证、多路径路由、身份认证、双向连接认证和认证广播等机制来有效抵御虚假路由信息、Sybil攻击和Hello泛洪攻击但这些措施只有在路由协议设计完成以前加人到协议中,才可能对攻击的抵御起到一定的作用,并且当发生内部攻击时,这些方案将起不到应有的作用,另外由于传感节点的物理安全得不到保障,路由协议容易遭到捕获攻击,单个节点的泄密甚至可能接管整个网络或阻碍全网的通信。入侵检测可以提供第二道防线来进行内部节点攻击的防御,这一方面的研究目前还不多见。
综上所述,无论是采用加密机制、增加安全机制的安全路由协议,还是提供入侵检测的安全防御方案,都要在复杂性、能量损耗和安全性等方面加以平衡,才能适合各种无线传感器网络的应用需求。
4 总结与展望
由于无线传感器网络自身的一些特点,为其安全路由的设计和实现带来了很多新的挑战。目前,无线传感器网络路由安全中还有一些尚未解决的问题:
抗流量分析攻击越来越重要,应该得到广泛的关注。重新设计传感器网络结构,以减少可被分析的脆弱性很重要。否则,特别是在敌对环境中部署和运行传感器网络将非常困难。
路由协议应具有容错性。由于WSNs节点容易发生故障或受到攻击,因此应尽量利用节点易获得的网络信息计算路由,以确保在路由出现故障或受到攻击时仍然能安全及时的将数据传送到目的地,保证数据传输的可靠性。如何利用大量低成本节点的集合来提供更为安全可靠的网络将是传感器网络安全研究的一个重要方向。入侵检测技术在传感器网络安全中的应用,对防御内部节点的攻击,显得十分重要。
摘要:本文探讨无线传感器网络中的路由攻击及防御措施,并对现有的安全路由技术进行分析,总结了未来的研究策略和发展趋势。
关键词:无线传感器网络,网络安全,路由技术
参考文献
[1]李晓维,徐勇军,任丰原等.无线传感器网络技术.北京理工大学出版社.
[2]范新运,王福豹,任丰原.无线传感器网络的路由协议[J].计算机测量与控制.2005.
[3]宋建华,马传香,何晓冰.无线传感器网络的路由攻击与防范[J].湖北大学学报.2007.
[4]付志威,叶晓慧,张海波.无线传感器网络安全威胁及对策[J].网络安全.2008.
[5]郑弋晖.无线传感器网络的安全研究[J].计算机安全技术.2008.
[6]覃伯平,周贤伟,杨军,宋存义.无线传感器网络的安全路由技术研究[J].传感技术学报.2006.
[7]张志,郑艳.无线传感器网络路由安全问题研究[J].软件导刊.2008.
[8]Adrian Perrig,Robert Szewczyk,Victor Wen,David Culler,J.D.Tygar.SPINS:Security Protocols for Sensor Networks.Mobile Computing and Networking.2001.
[9]Karlof C,Wagner D.Secure Routing in Wireless Sensor Networks:Attacks and Countermeasures.Elseviers’AdHoc Networks Journal.2003.
无线路由安全 篇8
路由协议是无线传感器网络研究领域的关键技术之一, 对无线传感器网络的性能起着至关重要的作用。目前无线传感器网络路由协议遭受的攻击包括:虚假路由信息、选择转发、Sinkhole攻击、Sybil攻击、Wormholes攻击、Hello flood攻击、告知收到欺骗等攻击。
1.1 SPINS安全协议
SPINS安全协议包括安全网络加密协议 (Secure Netw ork Encryption Protocol, SNEP) 和基于时间的高效的容忍丢包的流认证协议 (micro Timed Efficient Streaming Losstolerant Authentication ProtocolμTESLA) 两部分。SPINS提供了数据的机密性、完整性及认证, 它的设计目标是控制被毒化的节点, 防止它扩大破坏后果。SPINS安全协议基于四个假设:基站是可信的;单个节点信任自己;节点之间不互相信任;基站与节点之间的通信链路是不可信任的。在此假设基础上, 协议采用了轻量级的对称密钥以及简单的加解密算法 (如Hash、MAC) 来实现数据的加解密与广播认证。但是SPINS没有考虑Do S攻击的可能性, 安全机制的实现过分依赖基站, 却没有考虑密钥更新的问题。
SNEP通过一个链接加密功能实现加密作用。这个技术在发送者和接收者之间使用一个共有的计数器, 建立一个一次性密钥的接收器防止重放攻击并且保证数据新鲜。SNEP也使用一个信息验证代码保证两方认证和数据完整性。μTESLA是TESLA的优化形式, 是为严格地提供被证实的广播环境的一个新的协议。μTESLA需要在广播节点和接收器之间实现宽松同步。
1.2 INSENSE容侵路由协议
容侵路径协议 (Intrusion-Tolerant Routing in Wireless Se nsor Networks, INSENSE) 由Deng等人提出, 其设计思想是在路由中假如容侵策略, 如此一来, 即使某些节点遭到捕获被毒化, 也不会影响整个网络。INSENSE采用μTESLA中的单向序列和加密的消息鉴别码算法, 及时发现入侵者, 用基站寻找建立路由和用基站向每个节点发送请求信息来增强网络的健壮性, 使网络具有一定的抵抗能力和自我修复能力。INSENSE策略主要包括三个原则:及时发现入侵者;针对传感器节点能源受限问题, 用基站来寻找并建立路由;在入侵者未被检测出来的情况下, 尽量减少入侵造成的破坏。
二、密钥管理
与传统网络一样, WSN密钥管理需满足可用性、机密性、完整性、认证、不可抵赖性等安全需求。
2.1 Eschenauer-Gligor随机密钥预分配
随机密钥预分配方最先由Eschenauer和Gligor提出, 他们把密钥管理分成三个阶段:密钥预分布、共享密钥发现和路径密钥建立。在密钥预分配时, 从含有n个密钥的密钥池中随机取出m个密钥, 组成密钥环并分配给每个传感器节点。在给定的m, n值下, 任意一对节点之间以p的概率共享至少一个密钥。部署后启动密钥发现机制, 每个节点对预分配的密钥ID信息进行广播, 邻居收到后, 直接在自己的密钥环中找到匹配的共享密钥。本方案提出了利用节点间的随机连通图间共享密钥的可能性, 利用简单的共享密钥发现协议实现了密钥的分发、撤销和节点密钥的更新。
2.2 q-composite随机密钥预分配
q-composite随机密钥预分配机制是对随机密钥分配模型的一种改进, 由Chan Perrig Song所提出。q-composite随机密钥预分配与Eschenauer-Gligor随机密钥预分配相似。只是要求相邻节点的公共密钥数大于q, 在获得了所有共享密钥之后, 若两个节点间的共享密钥数超过q, 为q’个, 那么就用所有的q’个共享密钥生成一个通信密钥K, K=Hash (K1||K2||…||Kq) , 相比较而言, q-composite随机密钥预分配机制具有更高的安全性。
2.3随机密钥对方案
随机密钥对方案由Chan-Perrig-Song在预置所有对密钥方案的基础上所提出的, 它不是存储所有的 (n-1) 个密钥对, 而是只存储部分的共享密钥对, 以保证任两个节点之间的安全连通的概率是p, 进而保证整个网络的安全连通概率达到c。随机密钥对模型的性能分析如下:
(1) 提供最佳的节点俘获的恢复力:每个密钥对是唯一的, 任何节点的被俘都不向敌人透露除了其本身参与的直接通信意外的任何信息。
(2) 支持的网络规模:其支持的网络规模可以直接通过n=m/p计算, 在相同内存容量情况下, 该模型可以支持更大的规模。
(3) 对撤除攻击的抵抗力:因为任何一个节点被俘都会暴露与其直接相连的节点的安全通道, 因此会造成另外一些节点因为这个被俘节点的弹劾而被排除在网络之外。在随机密钥对模型下, 如果能够有效控制节点复制, 那么一个成功的节点俘数可以让敌人撤除的节点个数的理论值是k-d, 其中k是一个小常数, d是网络节点初度的期望值。
摘要:安全性是决定无线传感器网络应用前景的一个关键性问题。与传统网络相比, 无线传感器网络所具有的开放通信介质、动态拓扑、缺乏中心授权等固有特征, 使无线传感器网络在应用过程当中更容易受到各种安全威胁和攻击, 例如:被动窃听、数据篡改与重发、伪造身份和拒绝服务等。本文主要是对无线传感器网络安全问题 (包括具体的安全问题, 解决方法等) 进行一系列的分析讨论。
无线路由安全 篇9
关键词:无线传感器网络,安全路由,信任值,组合路由指标
无线传感器网络(Wireless Sensor Network,WSN)被广泛地应用于环境监测、城市监控、灾难恢复、工业感知与控制等[1,2]。由于其本身的分布式和动态特性,使得路由协议很容易受到攻击[3]。对于这种安全威胁,一些传统的方法(加密和密钥管理)并不适用于无线传感器网络,因为大部分加密算法,特别是非对称加密过程,要求很高的计算能力和功率消耗[4]。一种有效的方法被研究人员所认同,即信任管理方法,它能够缓解攻击者的攻击[5]。在信任管理方法中,路由协议将会把邻居节点的信任度当作一个指标,用于路由路径或转发节点的选择。此外,无线传感器网络中还有其他路由指标,用于处理无线传感器网络单一的、动态的特征,例如链路不可靠性、能量、有限的处理能力和存储能力[6]。这些指标的目的是识别链路的状态或者具体的节点行为。然而,在实际的应用中,网络中存在多种行为,这些行为必须同时处理。
本文关注的焦点是恶意节点的转发和合谋攻击问题。同时,在此基础上,还考虑节点之间的链路质量。基于以上两点,提出了一种基于组合路由指标的无线传感器网络安全路由算法(CRSR)。在CRSR算法中,一个节点通过主动地观测被评估节点的收发包状况及借助第三方节点的推荐对被评估节点进行信任评估。同时对于第三方节点的推荐,通过检查信任相似度的方法来避免合谋攻击。节点在进行下一跳选择时,综合考虑下一跳节点的信任值以及下一跳节点的期望传输次数(Excepted Transmission Count,ETX)。通过对这两个指标进行加权组合,形成一个组合路由指标。CRSR算法能够缓解恶意节点的攻击,降低网络的丢包率和传输次数,在路由安全与能效方面都有很大的提高。
1 相关工作
1.1 网络模型
将无线传感器网络当作一个有向图G={V,E},其中顶点集V表示所有传感器节点,边的集合E表示所有传感器节点之间的通信链路。网络中的每个节点,通过多跳的方式将数据传输到汇聚节点。
1.2 问题陈述
如果网络中不存在恶意节点,节点在进行下一跳选择时,可根据节点的ETX值,选择一条到基站期望传输次数最少(链路质量可靠)的路径。但是如果网络中存在恶意节点,并且恶意节点位于最佳的路径上时,那么恶意节点将拒绝或者选择性地转发收到的数据包,使得数据包不能到达基站,极大地降低网络的传递率。另外,如果在进行路由选择时,仅仅以节点的信任值为指标,而不考虑ETX值,那么所选择的路径可能会使数据经过更多的传输次数才能到达基站,造成能量的浪费。
因此,本文综合考虑信任值与ETX,设计一种基于组合路由指标的安全路由算法(CRSR),用于数据包的传输。
2 CSR算法的设计
2.1 ETX的计算
ETX表示一个节点成功传输数据包到另一个节点的期望传输次数[7]。相邻两个节点之间的链路ETX可由以下公式计算
式中:pf是数据包成功到达接收者的概率;pr是接收者反馈的ACK成功到达发送者的概率。规定基站的ETX为0,一个节点i的ETX等于它的下一跳节点j的ETX加上到下一跳节点链路的ETX,计算式为
式中:ETXj为节点j的ETX值;ETXi,j为节点i与节点j之间链路的ETX值。
2.2 信任值的计算
2.2.1 直接信任值的计算
在本文中,根据被评估节点在一段时间τ内收到和转发包的情况来进行信任评估。节点i对节点j的直接信任评估值,可由以下公式得到
式中:Nfj是节点j转发的数据包数;Nrj是节点j收到的数据包数。节点j每收到一个数据包,Nrj增加1;每转发一个数据包,Nfj增加1。
节点的信任值具有时效性。为此,需要对直接信任值的计算进行进一步的修改。假设在上一个时间τ结束时,节点i对节点j的直接信任评估值为LTi,j,则在当前时间段τ结束时,节点i对节点j的直接信任评估值Ti*,j为
其中,0<δ<1。δ的取值,根据实际情况来确定。δ较大时,说明对过去信任的依赖较小,可以防止信任值的老化;δ较小时,说明对当前时间段τ内信任值的依赖较小,可以防止恶意节点在当前时间段τ内对信任的弥补(即恶意节点在当前时间段τ内故意提高转发率)。
为了保证第三方节点推荐的可靠性以及避免第三方节点与被评估节点联合欺骗评估节点(也称为合谋攻击),需要进行信任相似度检测。
2.2.2 信任相似度
信任相似度是指评估节点与第三方节点对同一节点的信任评估的相似程度。节点i与节点k对节点u的信任相似度Si,k的计算式如
由于节点i与节点k可能存在多个公共邻居节点,因此,节点i与节点k的信任相似度为
式中:0<Si*,k≤1,N(i,k)表示节点i与节点k的公共邻居节点集。
2.2.3 间接信任值的计算
只有当Si*,k大于一定阈值α时,节点k推荐给节点i的信任值是有效的。因此,计算间接信任值的公式如
式中:M(i,j)表示节点i与节点j的公共邻居节点,且
2.2.4 综合信任值的计算
节点i对节点j的综合信任值CTi,j可得
式中:0<η<1;0<CTi,j<1。对于一个节点,只有当它的综合信任值大于阈值β时,才是可信的。
2.3 组合路由指标的合成
为了方便组合新的路由指标,对节点的信任值做以下变换
式中:CFi,j越小,节点的信任度越大;反之,节点的信任度越小。对于一个节点,只有当它的CF值小于时,才有可能成为下一跳节点。组合路由指标CR为
式中:w1+w2=1。
在进行路由选择时,使用组合路由指标不但可以选择链路质量较好的链路,还可以避免恶意节点。如图1所示,假设S是源节点,D是目的节点,G是恶意节点。如果仅使用ETX指标,那么应选择的路径是p(S,G,C,D)。但是这条路径上存在恶意节点,因此,不能保证数据能顺利传到目的节点。如果仅使用CF指标,那么应选择的路径是p(S,F,B,D)。然而,这条路径的链路质量并不是最好的,也就是说在数据包传输的过程中,产生的重复包数比较多。如果使用组合路由指标,且设w1=w2=0.5,那么3条路径的CR值分别是CRp(S,E,A,D)=3.75,CRp(S,F,B,D)=4.6,CRp(S,G,C,D)=3.9。因此,选择的路径应该是p(S,E,A,D)。在这条路径上,链路的质量比较可靠,且不存在恶意节点。
2.4 路由设置
在网络初始化时,假设每个节点的信任值为0.5。基站的信任值为1。基站广播beacon包到整个网络,用于计算每个节点的ETX。每个节点将它的邻居节点的ETX值和CF值存储在邻居表中,用于计算每个邻居节点的CR值,并将结果存储于邻居表中。一个节点在进行下一跳选择时,首先根据邻居节点的CF值来判断邻居节点中是否存在恶意节点。如果一个邻居节点的,那么该邻居节点被认为是恶意节点,不能作为下一跳节点,在进行路由选择时被排除。然后,从排除了恶意节点的邻居节点中,选择CR值最小的节点作为下一跳节点。下一跳节点也重复此过程,选择它的下一跳节点。一直重复此过程,直到下一跳节点是基站。
随着网络运行时间的推移,网络中的链路质量会发生变化,因此需要周期性地对节点的ETX进行更新。设更新周期为t,即网络每运行t时间后,对节点ETX进行更新。更新的方法与网络初始化一样,由基站洪泛beacon到网络中进行ETX的更新。然而,在进行ETX更新时,并不需要对节点的信任值赋予一个初值,因为节点的信任值具有时效性,每隔时间τ后都会自动更新。
3 仿真与评价
3.1 仿真设置
本文使用一种基于C++的仿真器进行仿真。将100个节点随机地分布于200 m×200 m区域中,其中恶意节点的个数为20个。每个节点的初始信任值都是0.5。其他固定参数的设置如表1所示。
为了更好地评价CRSR算法,将其与CTP[8]和TSR[9]算法进行对比。本文将从两个方面来对算法进行评价,分别是数据包传递率和总的发送次数。丢包率反映了网络的安全性与可靠性。数据包传递率越大,说明网络防御恶意节点的攻击能力越强,且链路的质量也比较可靠。总的发送次数,反映的是网络的能效。总的发送次数越少,说明网络的能耗越小。
3.2 仿真结果与分析
图2和图3是w1=w2=0.5时仿真结果。从图2中可以看出,随着网络运行时间的变化,使用CTP协议的数据包的传递率一直在减小,而CRSR和TSR算法的传递率是先减小,后增大。并且,CRSR的传递率大于TSR算法。这是因为,在网络运行的初期,还未发现恶意节点。随着运行时间的增加,恶意节点被逐渐发现,因此,CRSR和TSR的传递率逐渐增大。而CTP协议不具有防御恶意节点的功能,因此它的传递率一直下降。在TSR算法中,进行信任估计时没有考虑第三方节点的推荐,而在CRSR中,进行信任评估时也将第三方节点的推荐考虑进来,并且还进行了相似度的对比,因此,CRSR比TSR更容易发现恶意节点,且CRSR的传递率明显高于TSR。
从图3中可以看出,随着网络运行时间的增加,网络中总的传输次数也是逐渐增加的。但是CTP的总的传输次数总是大于TSR,TSR的总的传输次数总是大于CRSR。这是因为,随着网络运行时间的增加,TSR和CRSR逐渐发现了恶意节点,能够避开恶意节点,而CTP不能发现恶意节点,在进行数据包传输时链路上可能存在更多的恶意节点,因此,TSR和CRSR的传输次数总小于CTP。另外,CRSR发现恶意节点的速率比TSR快,因此,CRSR的传输次数也就小于TSR。总的传输次数越大,说明网络的能耗越快。因此,CRSR能够有效地节约网络的能耗,延长网络的寿命。
为了进一步研究综合指标的权重系数w1和w2对传递率和总的传输次数的影响,通过改变w1和w2的值继续做仿真。图4和图5是仿真结果。从图4中可以看出,当|w1-w2|越大,网络的平均数据包传递率越小,|w1-w2|越小,网络的平均数据包传递率越大。这是因为,|w1-w2|越大,在进行路由选择时要么以ETX为主,要么以CF为主。如果以ETX为主,那么避免恶意节点的概率小,遭到恶意节点攻击的概率大。因此,数据包达到基站的概率很小。如果以CF为主,那么选择链路质量较好路径的概率小,发生丢包的概率大,数据包达到基站的概率相应很小。而|w1-w2|越小时,在选择路由时,偏向ETX或者CF的程度也很小,二者的重要性达到均衡。由此,既可以有效地避免恶意节点,也可以选择链路质量较好的路径,数据包的传递率明显增大。
从图5中可以看出,当w1-w2|越大,总的传输次数越大,网络的能耗越大,|w1-w2|越小,总的传输次数越小,网络的能耗越小。它的分析与上面类似,在进行路由选择时,如果偏向任何一个指标,都会使得总的传输次数增大,使得网络消耗更多的能量,降低网络的寿命。
综上分析可知,在对w1和w2进行取值时,应使得|w1-w2|的值尽可能小。在进行路由选择时,既要考虑节点的信任值,又要考虑节点的ETX。通过选择适当的权重系数,不但可以有效地避免恶意节点的攻击,也可以选择链路质量较好的路径,从而提高网络的性能。
4 小结
本文对无线传感器网络的安全路由问题进行了深入研究,分别分析了以ETX为指标的路由算法的安全性和以信任值为指标的路由算法的链路质量问题。通过对ETX和信任值的组合,形成了一个新的组合路由指标,提出了一种基于组合路由指标的安全路由算法CRSR。在CRSR中,进行路由选择时,不但可以避开恶意节点,而且还可以选择链路质量较高的路径。仿真结果表明,CRSR算法能够有效地提高网络的传递率,保证路由的安全性与可靠性,降低总的传输次数,减少网络的能耗。
参考文献
[1]HE L,PAN J,XU J.Reducing data collection latency in wireless sensor networks with mobile elements[C]//2011IEEE Conference on Computer communications workshops(INFOCOM WKSHPS).[S.l.]:IEEE,2011:572-577.
[2]陈超,邓斌,吴伊蒙,等.无线传感器网络数据融合安全机制研究[J].电视技术,2015,39(17):74-78.
[3]ZHANG C,ZHU X,SONG Y,et al.A formal study of trustbased routing in wireless ad hoc networks[C]//INFOCOM,2010 Proceedings IEEE.[S.l.]:IEEE,2010:1-9.
[4]CORDASCO J,WETZEL S.Cryptographic versus trustbased methods for MANET routing security[J].Electronic notes in theoretical computer science,2008,197(2):131-140.
[5]LOPEZ J,ROMAN R,AGUDO I,et al.Trust management systems for wireless sensor networks:best practices[J].pomputer communications,2010,33(9):1086-1093.
[6]BAUMANN R,HEIMLICHER S,STRASSER M,et al.A survey on routing metrics[R].[S.l.]:TIK,2007:262.
[7]DE COUTO D S J,AGUAYO D,BICKET J,et al.A highthroughput path metric for multi-hop wireless routing[J].Wireless networks,2005,11(4):419-434.
[8]GNAWALI O,FONSECA R,JAMIESON K,et al.Collection tree protocol[C]//Proceedings of the 7th ACM Conference on Embedded Networked Sensor Systems.[S.l.]:ACM,2009:1-14.
无线路由安全 篇10
在科技发展的带动下, 社会经历着日新月异的变化, 各种新的技术和设备层出不穷, 极大地推动了社会生产力的提高, 方便了人们的日常生活。无线传感器网络的产生和应用, 在环境检测、医疗护理、国防军事等领域发挥着越来越重要的作用, 其安全问题也引起了人们的广泛关注。本文结合节点信任值的计算, 提出了一种层次路由算法, 希望可以解决无线传感器网络数据传输中的安全路由问题。
1 无线传感器网络与路由安全
无线传感器网络, 是指由部署在监测区域内的、大量的、廉价的、微型的传感器节点组成, 通过无线通信的方式形成的自组织的网络系统, 属于智能专用网络, 可以实现对于指定区域、指定对象的数据收集和管理, 从而为相应的管理和决策提供相应的依据。无线传感器网络的特点包括: (1) 节点的密集性。为了保证感知信息的准确性和全面性, 往往会在资金条件允许的情况下散布大量的传感器, 节点的分布十分密集; (2) 路由的多跳性。受当前技术条件的限制, 传感器的通信距离通常只有数十米的范围, 如果需要实现远程通信, 则必须依靠其他节点的转发, 通过节点之间的相互协作, 实现多跳通信; (3) 网络拓扑的动态性。如果节点出现能量耗尽的情况, 或受其他不可预知因素的影响, 可能会导致节点退出网络, 或者根据需要补充一些新的节点, 这些都会造成网络拓扑结构的变化。
在无线传感器网络中, 路由安全是系统安全的重要组成部分, 直接影响着网络数据传输的安全性和可靠性。一个安全高效的路由协议, 应该包括以下特性:
(1) 减少网络整体的能耗;
(2) 降低配置差错可能造成的影响;
(3) 确保参与信息转发的节点的合法性;
(4) 有效防范外部入侵攻击。
在传统的网络安全体制中, 往往都是针对外部攻击进行防范和应对, 而没有充分考虑开放环境下节点被俘获所带来的内部攻击问题, 并不适用于无线传感器网络。而通过信任评估机制, 对节点的信任值进行评估, 则可以有效对恶意或者不协调的节点进行识别和抵制, 从而提高网络的安全性能。因此, 在无线传感器网络中, 建立基于节点信任值的安全路由协议, 具有良好的可行性和可靠性, 是当前技术人员重点研究的问题。
2 基于节点信任值计算的无线传感器安全路由问题
节点在无线传感器网络中的作用, 不仅需要完成数据信息的感应和处理任务, 还需要完成相应的路由功能, 因此可以作为建设安全路由的重要依据。事实上, 在无线传感器网络的发展过程中, 关于此方面的研究一直都受到了充分的重视。例如, Hsieh等人提出了Sec CBSN算法, 针对节点的不同角色, 制定了不同的信任计算方法, 在路由转发中排除信任值较低的节点, 从而保障簇结构的安全;Safa等人则提出了一种基于节点信任值的层次路由算法, 通过定向扩散以及根据相应信任值组成的簇结构的成员节点, 将数据信息发送到信任簇头, 从而保障数据传输的路径安全。但是, 这些方法往往都缺乏对信任值的整体考虑, 忽视了信任路由自身可能存在的缺陷。因此, 这里提出了一种基于节点信任值的无线传感器安全路由算法, 对几种方法的优点进行了整合, 希望可以切实保证无线传感器网络的安全。
2.1 节点信任值的评估和计算
节点信任值, 主要取决于评估节点 (主体) 对被评估节点 (客体) 的观察, 以及第三方的推荐, 会随着被评估节点行为的变化而发生改变。对于无线传感器网络而言, 为了应对其自组织多条的特点, 应该建立起相应的信任评估机制, 不需要设置核心节点, 由相邻的节点之间进行相互监督, 结合主体对课题的直接和间接信任值, 得出综合信任值。在对节点的信任值进行计算时, 需要结合实际需求, 对主体节点的信任因子进行全面评估, 然后采用加权平均的方法, 对客体节点的直接信任值进行评估和计算。一般来说, 参与计算的信任因子包括:发送率因子、新鲜性因子、一致性因子、转发率因子、完整性因子、能量因子以及时间因子等。
2.2 簇头节点的可信选举
在层次路由中, 簇头节点的作用和意义都是十分重要的, 针对当前日益复杂的网络环境, 要想保障层次路由的安全, 就必须首先保障簇头节点的可靠性和安全性。通常情况下, 可以将簇头节点的可信选举看做一个最优化选择的过程, 不需要考虑过多的因素, 只需要对节点密集度、信任值以及相互之间的距离进行合理设计, 实现最优组合即可。之所以要对密集度和距离进行设置, 是由于通过这样的方式, 可以在对节点信任值进行合理评估和计算的基础上, 实现路由主干节点的均匀选择。一般来说, 节点的密集度越高, 簇内数据的融合效率就相对越高, 节点之间的距离越近, 通信的代价也就越小。
2.3 层次路由算法
在传统的层次路由中, 假定全网的节点均安全可信, 则在实际工作中, 受节点资源的限制和外部网络攻击的影响, 层次路由很容易受到两种威胁, 其一是由恶意的节点充当簇头, 对网络流量进行误导, 其二是恶意节点进入正常的簇结构中, 在数据流中掺入错误信息, 影响数据的真实性和准确性。对此, 可以以LEACH算法和簇头节点的可信选举为前提, 结合节点的信任值计算, 在无线传感器网络中排除恶意节点, 以确保簇结构的安全性和可靠性。
2.4 实验验证
在提出相应的路由算法后, 还需要对其有效性和可靠性进行验证。这里根据实际条件, 使用传感器节点、性能测试仪以及监管主机等自主构建了测试平台, 将16个节点进行随机部署, 然后使用专业的仪器设备, 对指定区域内的温度、湿度等的变化情况进行监测;所有的接点分为2个簇, 簇头节点负责对簇内的信息进行收集, 并传输至汇聚节点;每一个节点为邻居节点建立相应的信任表, 对其信任值的变化情况进行记录;将两个节点性能测试仪进行并联, 对节点的信任值、收发包情况等进行收集, 并上传至监管主机, 这样, 相关人员可以通过监控主机, 随时了解节点信任值的变化情况。实验结果表明, 当时间因子较小时, 节点信任值可以快速收敛, 但是稳定性较差;当时间因子较大时, 节点收敛速度慢, 受历史数据影响大, 但是可以有效避免恶意的信任洗刷行为。
3 结语
实验表明, 对于给定的信任范围, 可以比较节点信任值的大小, 对恶意节点进行有效识别和排除, 从而减少其对于无线传感器网络的危害, 提升网络的安全性和可靠性, 从而解决无线传感器网络中, 由于及诶堤岸被俘获或者失效而引发的路由安全问题。
摘要:本文结合无线传感器网络的特点, 对其安全路由问题进行了分析, 提出了一种基于节点信任值的层次路由算法, 提高网络数据传输安全的方法途径。相关实验结果表明, 该算法可以对节点信任值进行有效评估, 从而解决了节点失效或被俘引发的层次路由安全问题, 应该得到充分的重视。
关键词:无线传感器网络,节点信任值,安全路由问题
参考文献
[1]荆琦, 唐礼勇, 陈钟.无线传感器网络中的信任管理[J].软件学报, 2008 (7) :1716-1730.
[2]姚宣霞, 郑雪峰, 周芳.一种有效的无线传感器网络安全路由方案[J].计算机科学, 2009, 36 (7) :52-55.
[3]倪洋, 田立勤, 沈学利.基于ANP的无线传感器网络节点信任评估[J].微计算机信息, 2010, 26 (7) :56-58.
