導(dǎo)語：Ad Hoc網(wǎng)絡(luò)的安全威脅及對策一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

安全性是決定Adhoc網(wǎng)絡(luò)潛能能否得到充分施展的一個關(guān)鍵所在,特別是AdHoc網(wǎng)絡(luò)在軍事上和商業(yè)上的應(yīng)用。由于不依賴固定基礎(chǔ)設(shè)施,AdHoc網(wǎng)絡(luò)為其使用的安全體系結(jié)構(gòu)提出了新的挑戰(zhàn)。相比于傳統(tǒng)的網(wǎng)絡(luò),AdHoc網(wǎng)絡(luò)更易受到各種安全威脅和攻擊,包括被動竊聽、數(shù)據(jù)篡改和重發(fā)、偽造身份和拒絕服務(wù)等。用于傳統(tǒng)網(wǎng)絡(luò)的安全解決方案不能直接應(yīng)用于AdHoc網(wǎng)絡(luò),現(xiàn)存的用于AdHoc網(wǎng)絡(luò)的大多協(xié)議和提案也沒有很好解決安全問題,特別是沒有考慮特定的環(huán)境。

AdHoc網(wǎng)絡(luò)的安全及目標(biāo)

在傳統(tǒng)網(wǎng)絡(luò)中,網(wǎng)絡(luò)采用層次化體系結(jié)構(gòu),主機之間的連接是準(zhǔn)靜態(tài)的,具有較為穩(wěn)定的拓?fù)?可以提供多種服務(wù)來充分利用網(wǎng)絡(luò)的現(xiàn)有資源,包括路由器服務(wù)、命名服務(wù)、目錄服務(wù)等。目前已經(jīng)提出了一系列針對這類環(huán)境的安全機制和策略,如加密、認(rèn)證、訪問控制和權(quán)限管理、防火墻等。AdHoc網(wǎng)絡(luò)不依賴固定基礎(chǔ)設(shè)施,具有靈活的自組織性和較強的健壯性。AdHoc網(wǎng)絡(luò)中沒有基站或中心節(jié)點,所有節(jié)點都可以移動、節(jié)點間通過無線信道建立臨時松散的連接,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)動態(tài)變化。AdHoc網(wǎng)絡(luò)由節(jié)點自身充當(dāng)路由器,也不存在命名服務(wù)器和目錄服務(wù)器等網(wǎng)絡(luò)設(shè)施。根據(jù)應(yīng)用領(lǐng)域的不同,AdHoc網(wǎng)絡(luò)在體系結(jié)構(gòu)、設(shè)計目標(biāo)、采用的協(xié)議和網(wǎng)絡(luò)規(guī)模上都有很大差別。盡管基本的安全要求,如機密性和真實性,在AdHoc網(wǎng)絡(luò)中仍然適用。但是AdHoc網(wǎng)絡(luò)不能犧牲大量功率用于復(fù)雜的計算,并要考慮無線傳輸?shù)哪芎暮拖∩贌o線頻譜資源。另外,節(jié)點的內(nèi)存和CPU功率很小,強安全保護機制難以實現(xiàn)。這些約束在很大程度上限制了能夠用于AdHoc網(wǎng)絡(luò)的安全機制,因為安全級別和網(wǎng)絡(luò)性能是相關(guān)的。因此,傳統(tǒng)網(wǎng)絡(luò)中的許多安全策略和機制不能直接用于AdHoc網(wǎng)絡(luò),需要對現(xiàn)有的安全方法加以改進(jìn),并采用新的安全策略和方法。

AdHoc網(wǎng)絡(luò)的安全目標(biāo)與傳統(tǒng)網(wǎng)絡(luò)中的安全目標(biāo)基本上是一致的,包括:數(shù)據(jù)可用性、機密性、完整性、安全認(rèn)證和抗抵賴性。但是兩者卻有著不同的內(nèi)涵。

首先,可用性是指既使受到攻擊,節(jié)點仍然能夠在必要的時候提供有效的服務(wù)。可用性定義為與網(wǎng)絡(luò)安全相關(guān)的一個關(guān)鍵特性?？捎眯员ＷC網(wǎng)絡(luò)服務(wù)操作正常并能容忍故障,即使存在拒絕服務(wù)共計的威脅?？捎眯陨婕岸鄬?在網(wǎng)絡(luò)層,攻擊者可以篡改路由協(xié)議,例如將流量轉(zhuǎn)移到無效的地址或關(guān)閉網(wǎng)絡(luò);在會話安全管理層,攻擊者可以刪除會話級安全信道中的加密;在應(yīng)用層,密鑰管理服務(wù)也可能受到威脅等;其次,機密性是保證特定的信息不會泄露給未經(jīng)授權(quán)的用戶。軍事情報或用戶賬號等安全敏感的信息在網(wǎng)絡(luò)上傳輸時必須機密、可靠,否則這些信息被敵方或惡意用戶捕獲,后果將不堪設(shè)想。該問題的解決需要借助于認(rèn)證和密鑰管理機制;第三,完整性保證信息在發(fā)送過程中不會被中斷,并且保證節(jié)點接收的信息應(yīng)與發(fā)送的信息完全一樣。如果沒有完整性保護,網(wǎng)絡(luò)中的惡意攻擊或無線信道干擾都可能使信息遭受破壞,從而變得無效;第四,關(guān)于安全認(rèn)證,每個節(jié)點需要能夠確認(rèn)與其通信的節(jié)點身份,同時要能夠在沒有全局認(rèn)證機構(gòu)的情況下實施對用戶的鑒別。如果沒有認(rèn)證,攻擊者很容易冒充某一節(jié)點,從而得以獲取重要的資源和信息,并干擾其他節(jié)點的通信;第五,抗抵賴性用來確保一個節(jié)點不能否認(rèn)它已經(jīng)發(fā)出的信息。它對檢查和孤立被占領(lǐng)節(jié)點具有特別重要的意義,當(dāng)節(jié)點A接收到來自被占領(lǐng)節(jié)點B的錯誤信息時,抗抵賴性保證節(jié)點A能夠利用該信息告知其他節(jié)點B已被占領(lǐng)。此外,抗抵賴性對于商業(yè)應(yīng)用中保證用戶的利益至關(guān)重要。

AdHoc網(wǎng)絡(luò)的安全策略和機制

傳統(tǒng)的安全機制,例如認(rèn)證協(xié)議、數(shù)字簽名和加密,在實現(xiàn)AdHoc網(wǎng)絡(luò)的安全目標(biāo)時依然具有重要的作用。

1.防止信息竊取攻擊

使用多跳的無線鏈路使AdHoc網(wǎng)絡(luò)很容易受到諸如被動竊聽、主動入侵、信息假冒等各種信息竊取攻擊。被動竊聽可能使敵方獲取保密信息;主動竊取攻擊中敵方可以刪除有用信息、插入錯誤信息或修改信息,從而破壞了數(shù)據(jù)的可用性、完整性、安全認(rèn)證和抗抵賴性。對付被動竊聽攻擊,可以根據(jù)實際情況采用IPSec中的安全套接字協(xié)議(SSL)或封裝安全凈荷(ESP)機制。封裝安全凈荷可以為不能支持加密的應(yīng)用程序提供端到端的加密功能,它不僅可以對應(yīng)用層數(shù)據(jù)和協(xié)議報頭加密,還能對傳輸層報頭加密,從而可以防止攻擊者推測出運行的是那種應(yīng)用,具有較好的安全特性。為對付主動攻擊,可以采用帶有認(rèn)證的端到端加密的方法。

2.加強路由協(xié)議安全

多數(shù)MANET路由協(xié)議能夠適應(yīng)網(wǎng)絡(luò)環(huán)境的快速變化。由于路由協(xié)議負(fù)責(zé)為節(jié)點指定和維護必要的路由結(jié)構(gòu),必須防止機密性、真實性、完整性、抗抵賴性和可用性的攻擊。如果路由協(xié)議受到惡意攻擊,整個AdHoc網(wǎng)絡(luò)將無法正常工作。所以,必須提供相應(yīng)的安全機制,以便保護AdHoc網(wǎng)絡(luò)路由協(xié)議的正常工作。但是,目前已提出的用于AdHoc網(wǎng)絡(luò)的路由協(xié)議大都沒有考慮這個問題。在開放的環(huán)境中保護路由流量是非常重要的,以便通信各方的身份和位置不被未授權(quán)的實體所了解。路由信息必須防止認(rèn)證和抗抵賴性攻擊,以便驗證數(shù)據(jù)的來源。

路由協(xié)議的安全威脅來自兩個方向:一是網(wǎng)絡(luò)外部的攻擊者通過發(fā)送錯誤的路由信息、重放過期的路由信息、破壞路由信息等手段,來達(dá)到致使網(wǎng)絡(luò)出現(xiàn)分割、產(chǎn)生無效的錯誤路由、分組無謂的重傳,網(wǎng)絡(luò)發(fā)生擁塞并最終導(dǎo)致網(wǎng)絡(luò)崩潰的目的,攻擊者還可以通過分析被路由業(yè)務(wù)流量來獲取有用信息;二是網(wǎng)絡(luò)內(nèi)部的攻擊者可以向網(wǎng)內(nèi)其他節(jié)點錯誤的路由信息和丟棄有用的路由信息。兩種攻擊都能造成網(wǎng)絡(luò)中合法節(jié)點得不到應(yīng)有的服務(wù),因此也可以看作為一種拒絕服務(wù)攻擊?？梢允褂脭?shù)據(jù)安全中的各種加密機制來解決第一種威脅,比如帶有時間戳的數(shù)字簽名。解決第二種威脅較為困難,對路由信息進(jìn)行加密的機制不再可行,因為被占領(lǐng)的節(jié)點可以使用合法的私有密鑰對路由信息進(jìn)行簽名。

3.安全認(rèn)證

不同的應(yīng)用環(huán)境可以采用不同的認(rèn)證機制。通過使用便攜式電腦組建AdHoc網(wǎng)絡(luò)來召開臨時會議的應(yīng)用環(huán)境中,與會者彼此之間通常比較熟悉并彼此信任,會議期間他們通過手提電腦通信和交換信息。與會者可能沒有任何途徑來識別和認(rèn)證對方的身份,例如,他們既不共享任何密鑰也沒有任何可供認(rèn)證的公共密鑰。此時,攻擊者可以竊聽并修改在無線信道上傳輸?shù)乃袛?shù)據(jù),還可能冒充其中的與會者。為此,可以采用由Asokan等人提出的基于口令的認(rèn)證協(xié)議(PBA),它繼承了加密密鑰交換協(xié)議(EncryptedKeyExchange)的思想。在PBA中,所有的與會者都參與會話密鑰的生成,從而保證了最終的密鑰不是由極少數(shù)與會者產(chǎn)生的,攻擊者的干擾無法阻止密鑰的生成。同時,PBA還提供了一種完善的口令更新機制,與會者之間的安全通信可以基于動態(tài)改變的口令來建立。按照這種方式,即使攻擊者知道了當(dāng)前的口令,他也無法知道以前的和將來的口令,從而進(jìn)一步減少了信息泄密的概率。

4.密鑰管理

和任何其他分布式系統(tǒng)一樣,正確的使用密鑰管理系統(tǒng)對于AdHoc網(wǎng)絡(luò)的安全性十分重要。需要一種與情景相關(guān)的高效的密鑰管理系統(tǒng)。節(jié)點通過協(xié)商使用共享密鑰或交換公鑰來加密數(shù)據(jù)以防竊聽。對于快速變化的AdHoc網(wǎng)絡(luò),密鑰的交換可能需要按需進(jìn)行而不能假設(shè)實現(xiàn)協(xié)商好的密鑰。而對拓?fù)渥兓^慢的小型AdHoc網(wǎng)絡(luò),密鑰可以進(jìn)行協(xié)商或手工配置。如果采用公鑰體系,整個保護機制依賴于私鑰的安全性。由于節(jié)點的物理安全性較低,私鑰必須秘密地存儲在節(jié)點中,例如使用一個系統(tǒng)密鑰加密。但是這并非一個動態(tài)的AdHoc網(wǎng)絡(luò)希望的特征,因此需要正確的硬件保護(如智能卡)或者將密鑰分布到多個節(jié)點。單獨采用硬件保護也是不夠的,集中式管理不可行,因此希望采用分布式密鑰管理機制。

AdHoc網(wǎng)絡(luò)中,數(shù)據(jù)的完整性和抗抵賴性一般也需要基于某種加密算法來實現(xiàn)。加密協(xié)議總體上可以分為兩大類:私有密鑰機制(如DES和IDEA)和公開密鑰機制(如RSA)。但是面臨的挑戰(zhàn)是密鑰的管理。如果采用私有密鑰機制,則每個需要通信的節(jié)點之間都需要一個秘密密鑰,所需管理的密鑰數(shù)目為N(N-1)/2,其中N是節(jié)點數(shù)。對于規(guī)模較大的AdHoc網(wǎng)絡(luò)而言,難以實施有效的密鑰管理。因此通常采用公開密鑰機制,但是由于沒有中心節(jié)點和證書機構(gòu),密鑰的管理仍很困難。一種解決密鑰管理的方法是使用用戶團體來代替證書權(quán)威機構(gòu),并在節(jié)點中分配證書目錄。

5.訪問控制

在AdHoc網(wǎng)絡(luò)中同樣存在控制對網(wǎng)絡(luò)的訪問以及控制訪問網(wǎng)絡(luò)提供的服務(wù)的需求。在網(wǎng)絡(luò)層,路由協(xié)議必須保證不允許非授權(quán)節(jié)點加入網(wǎng)絡(luò),保證沒有敵對節(jié)點加入和離開網(wǎng)絡(luò)而不被檢測到。在應(yīng)用層,訪問控制必須保證非授權(quán)用戶不能訪問服務(wù)。訪問控制常與身份識別和認(rèn)證相關(guān)聯(lián),確保合法用戶有權(quán)訪問服務(wù)。在一些系統(tǒng)中可能不需身份識別和認(rèn)證,節(jié)點通過證書來訪問服務(wù)。根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)和安全級別,訪問控制的實現(xiàn)方式也不同。集中式的低安全級別網(wǎng)絡(luò),可以采用服務(wù)器控制的方式,用戶ID加密碼。

6.信任問題

在對安全敏感的AdHoc網(wǎng)絡(luò)應(yīng)用環(huán)境中,由于節(jié)點容易受到攻擊,被俘獲的可能性也較大,因此必須要建立適當(dāng)?shù)男湃螜C制。在AdHoc網(wǎng)絡(luò)中,信任問題是中心問題,我們不能信任媒介,必須借助密鑰。因此一個基本的問題是如何生成可信任的密鑰而不依賴受信任的第三方。AdHoc網(wǎng)絡(luò)是一個動態(tài)自組織臨時網(wǎng)絡(luò),不能保證網(wǎng)絡(luò)中各個節(jié)點持有被其他節(jié)點信任的公鑰,并且它們也無法出示可以互相信任的證書,一種策略是允許節(jié)點之間委托信任,已經(jīng)建立信任關(guān)系的節(jié)點能夠向組中其他成員擴展這種信任。

7.網(wǎng)絡(luò)操作和服務(wù)的安全性

AdHoc網(wǎng)絡(luò)的安全操作需要對鏈路或網(wǎng)絡(luò)層進(jìn)行保護。在一些方案中,鏈路層提供強安全服務(wù)用以保護機密性和真實性,在這種情況下高層所需的安全要求會減少。對于軍事應(yīng)用,機密性尤其重要,沒有位置、身份和通信的保護,AdHoc網(wǎng)絡(luò)中的用戶非常容易遭受各種攻擊。如果網(wǎng)絡(luò)的可用性遭到破壞,用戶可能根本無法執(zhí)行他們的任務(wù)。路由信息的真實性和完整性常常并行進(jìn)行處理,如果使用的是公鑰密碼體系,可以采用數(shù)字簽名來證實數(shù)據(jù)的來源和完整性?？沟仲囆阅撤N程度上與真實性(認(rèn)證)相關(guān),路由流量必須留下記錄,使得發(fā)送路由信息的任何方都不能隨后否決它向其他方傳送了數(shù)據(jù)。

AdHoc網(wǎng)絡(luò)的應(yīng)用和安全緊密相關(guān),安全問題的研究日益受到重視,但這是一個復(fù)雜的開放性問題,今后的研究工作任重道遠(yuǎn)。