導語：Ad Hoc網(wǎng)絡的安全威脅及對策一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

安全性是決定Adhoc網(wǎng)絡潛能能否得到充分施展的一個關鍵所在,特別是AdHoc網(wǎng)絡在軍事上和商業(yè)上的應用。由于不依賴固定基礎設施,AdHoc網(wǎng)絡為其使用的安全體系結構提出了新的挑戰(zhàn)。相比于傳統(tǒng)的網(wǎng)絡,AdHoc網(wǎng)絡更易受到各種安全威脅和攻擊,包括被動竊聽、數(shù)據(jù)篡改和重發(fā)、偽造身份和拒絕服務等。用于傳統(tǒng)網(wǎng)絡的安全解決方案不能直接應用于AdHoc網(wǎng)絡,現(xiàn)存的用于AdHoc網(wǎng)絡的大多協(xié)議和提案也沒有很好解決安全問題,特別是沒有考慮特定的環(huán)境。

AdHoc網(wǎng)絡的安全及目標

在傳統(tǒng)網(wǎng)絡中,網(wǎng)絡采用層次化體系結構,主機之間的連接是準靜態(tài)的,具有較為穩(wěn)定的拓撲,可以提供多種服務來充分利用網(wǎng)絡的現(xiàn)有資源,包括路由器服務、命名服務、目錄服務等。目前已經(jīng)提出了一系列針對這類環(huán)境的安全機制和策略,如加密、認證、訪問控制和權限管理、防火墻等。AdHoc網(wǎng)絡不依賴固定基礎設施,具有靈活的自組織性和較強的健壯性。AdHoc網(wǎng)絡中沒有基站或中心節(jié)點,所有節(jié)點都可以移動、節(jié)點間通過無線信道建立臨時松散的連接,網(wǎng)絡的拓撲結構動態(tài)變化。AdHoc網(wǎng)絡由節(jié)點自身充當路由器,也不存在命名服務器和目錄服務器等網(wǎng)絡設施。根據(jù)應用領域的不同,AdHoc網(wǎng)絡在體系結構、設計目標、采用的協(xié)議和網(wǎng)絡規(guī)模上都有很大差別。盡管基本的安全要求,如機密性和真實性,在AdHoc網(wǎng)絡中仍然適用。但是AdHoc網(wǎng)絡不能犧牲大量功率用于復雜的計算,并要考慮無線傳輸?shù)哪芎暮拖∩贌o線頻譜資源。另外,節(jié)點的內(nèi)存和CPU功率很小,強安全保護機制難以實現(xiàn)。這些約束在很大程度上限制了能夠用于AdHoc網(wǎng)絡的安全機制,因為安全級別和網(wǎng)絡性能是相關的。因此,傳統(tǒng)網(wǎng)絡中的許多安全策略和機制不能直接用于AdHoc網(wǎng)絡,需要對現(xiàn)有的安全方法加以改進,并采用新的安全策略和方法。

AdHoc網(wǎng)絡的安全目標與傳統(tǒng)網(wǎng)絡中的安全目標基本上是一致的,包括:數(shù)據(jù)可用性、機密性、完整性、安全認證和抗抵賴性。但是兩者卻有著不同的內(nèi)涵。

首先,可用性是指既使受到攻擊,節(jié)點仍然能夠在必要的時候提供有效的服務。可用性定義為與網(wǎng)絡安全相關的一個關鍵特性。可用性保證網(wǎng)絡服務操作正常并能容忍故障,即使存在拒絕服務共計的威脅。可用性涉及多層:在網(wǎng)絡層,攻擊者可以篡改路由協(xié)議,例如將流量轉移到無效的地址或關閉網(wǎng)絡;在會話安全管理層,攻擊者可以刪除會話級安全信道中的加密;在應用層,密鑰管理服務也可能受到威脅等;其次,機密性是保證特定的信息不會泄露給未經(jīng)授權的用戶。軍事情報或用戶賬號等安全敏感的信息在網(wǎng)絡上傳輸時必須機密、可靠,否則這些信息被敵方或惡意用戶捕獲,后果將不堪設想。該問題的解決需要借助于認證和密鑰管理機制;第三,完整性保證信息在發(fā)送過程中不會被中斷,并且保證節(jié)點接收的信息應與發(fā)送的信息完全一樣。如果沒有完整性保護,網(wǎng)絡中的惡意攻擊或無線信道干擾都可能使信息遭受破壞,從而變得無效;第四,關于安全認證,每個節(jié)點需要能夠確認與其通信的節(jié)點身份,同時要能夠在沒有全局認證機構的情況下實施對用戶的鑒別。如果沒有認證,攻擊者很容易冒充某一節(jié)點,從而得以獲取重要的資源和信息,并干擾其他節(jié)點的通信;第五,抗抵賴性用來確保一個節(jié)點不能否認它已經(jīng)發(fā)出的信息。它對檢查和孤立被占領節(jié)點具有特別重要的意義,當節(jié)點A接收到來自被占領節(jié)點B的錯誤信息時,抗抵賴性保證節(jié)點A能夠利用該信息告知其他節(jié)點B已被占領。此外,抗抵賴性對于商業(yè)應用中保證用戶的利益至關重要。

AdHoc網(wǎng)絡的安全策略和機制

傳統(tǒng)的安全機制,例如認證協(xié)議、數(shù)字簽名和加密,在實現(xiàn)AdHoc網(wǎng)絡的安全目標時依然具有重要的作用。

1.防止信息竊取攻擊

使用多跳的無線鏈路使AdHoc網(wǎng)絡很容易受到諸如被動竊聽、主動入侵、信息假冒等各種信息竊取攻擊。被動竊聽可能使敵方獲取保密信息;主動竊取攻擊中敵方可以刪除有用信息、插入錯誤信息或修改信息,從而破壞了數(shù)據(jù)的可用性、完整性、安全認證和抗抵賴性。對付被動竊聽攻擊,可以根據(jù)實際情況采用IPSec中的安全套接字協(xié)議(SSL)或封裝安全凈荷(ESP)機制。封裝安全凈荷可以為不能支持加密的應用程序提供端到端的加密功能,它不僅可以對應用層數(shù)據(jù)和協(xié)議報頭加密,還能對傳輸層報頭加密,從而可以防止攻擊者推測出運行的是那種應用,具有較好的安全特性。為對付主動攻擊,可以采用帶有認證的端到端加密的方法。

2.加強路由協(xié)議安全

多數(shù)MANET路由協(xié)議能夠適應網(wǎng)絡環(huán)境的快速變化。由于路由協(xié)議負責為節(jié)點指定和維護必要的路由結構,必須防止機密性、真實性、完整性、抗抵賴性和可用性的攻擊。如果路由協(xié)議受到惡意攻擊,整個AdHoc網(wǎng)絡將無法正常工作。所以,必須提供相應的安全機制,以便保護AdHoc網(wǎng)絡路由協(xié)議的正常工作。但是,目前已提出的用于AdHoc網(wǎng)絡的路由協(xié)議大都沒有考慮這個問題。在開放的環(huán)境中保護路由流量是非常重要的,以便通信各方的身份和位置不被未授權的實體所了解。路由信息必須防止認證和抗抵賴性攻擊,以便驗證數(shù)據(jù)的來源。

路由協(xié)議的安全威脅來自兩個方向:一是網(wǎng)絡外部的攻擊者通過發(fā)送錯誤的路由信息、重放過期的路由信息、破壞路由信息等手段,來達到致使網(wǎng)絡出現(xiàn)分割、產(chǎn)生無效的錯誤路由、分組無謂的重傳,網(wǎng)絡發(fā)生擁塞并最終導致網(wǎng)絡崩潰的目的,攻擊者還可以通過分析被路由業(yè)務流量來獲取有用信息;二是網(wǎng)絡內(nèi)部的攻擊者可以向網(wǎng)內(nèi)其他節(jié)點錯誤的路由信息和丟棄有用的路由信息。兩種攻擊都能造成網(wǎng)絡中合法節(jié)點得不到應有的服務,因此也可以看作為一種拒絕服務攻擊。可以使用數(shù)據(jù)安全中的各種加密機制來解決第一種威脅,比如帶有時間戳的數(shù)字簽名。解決第二種威脅較為困難,對路由信息進行加密的機制不再可行,因為被占領的節(jié)點可以使用合法的私有密鑰對路由信息進行簽名。

3.安全認證

不同的應用環(huán)境可以采用不同的認證機制。通過使用便攜式電腦組建AdHoc網(wǎng)絡來召開臨時會議的應用環(huán)境中,與會者彼此之間通常比較熟悉并彼此信任,會議期間他們通過手提電腦通信和交換信息。與會者可能沒有任何途徑來識別和認證對方的身份,例如,他們既不共享任何密鑰也沒有任何可供認證的公共密鑰。此時,攻擊者可以竊聽并修改在無線信道上傳輸?shù)乃袛?shù)據(jù),還可能冒充其中的與會者。為此,可以采用由Asokan等人提出的基于口令的認證協(xié)議(PBA),它繼承了加密密鑰交換協(xié)議(EncryptedKeyExchange)的思想。在PBA中,所有的與會者都參與會話密鑰的生成,從而保證了最終的密鑰不是由極少數(shù)與會者產(chǎn)生的,攻擊者的干擾無法阻止密鑰的生成。同時,PBA還提供了一種完善的口令更新機制,與會者之間的安全通信可以基于動態(tài)改變的口令來建立。按照這種方式,即使攻擊者知道了當前的口令,他也無法知道以前的和將來的口令,從而進一步減少了信息泄密的概率。

4.密鑰管理

和任何其他分布式系統(tǒng)一樣,正確的使用密鑰管理系統(tǒng)對于AdHoc網(wǎng)絡的安全性十分重要。需要一種與情景相關的高效的密鑰管理系統(tǒng)。節(jié)點通過協(xié)商使用共享密鑰或交換公鑰來加密數(shù)據(jù)以防竊聽。對于快速變化的AdHoc網(wǎng)絡,密鑰的交換可能需要按需進行而不能假設實現(xiàn)協(xié)商好的密鑰。而對拓撲變化較慢的小型AdHoc網(wǎng)絡,密鑰可以進行協(xié)商或手工配置。如果采用公鑰體系,整個保護機制依賴于私鑰的安全性。由于節(jié)點的物理安全性較低,私鑰必須秘密地存儲在節(jié)點中,例如使用一個系統(tǒng)密鑰加密。但是這并非一個動態(tài)的AdHoc網(wǎng)絡希望的特征,因此需要正確的硬件保護(如智能卡)或者將密鑰分布到多個節(jié)點。單獨采用硬件保護也是不夠的,集中式管理不可行,因此希望采用分布式密鑰管理機制。

AdHoc網(wǎng)絡中,數(shù)據(jù)的完整性和抗抵賴性一般也需要基于某種加密算法來實現(xiàn)。加密協(xié)議總體上可以分為兩大類:私有密鑰機制(如DES和IDEA)和公開密鑰機制(如RSA)。但是面臨的挑戰(zhàn)是密鑰的管理。如果采用私有密鑰機制,則每個需要通信的節(jié)點之間都需要一個秘密密鑰,所需管理的密鑰數(shù)目為N(N-1)/2,其中N是節(jié)點數(shù)。對于規(guī)模較大的AdHoc網(wǎng)絡而言,難以實施有效的密鑰管理。因此通常采用公開密鑰機制,但是由于沒有中心節(jié)點和證書機構,密鑰的管理仍很困難。一種解決密鑰管理的方法是使用用戶團體來代替證書權威機構,并在節(jié)點中分配證書目錄。

5.訪問控制

在AdHoc網(wǎng)絡中同樣存在控制對網(wǎng)絡的訪問以及控制訪問網(wǎng)絡提供的服務的需求。在網(wǎng)絡層,路由協(xié)議必須保證不允許非授權節(jié)點加入網(wǎng)絡,保證沒有敵對節(jié)點加入和離開網(wǎng)絡而不被檢測到。在應用層,訪問控制必須保證非授權用戶不能訪問服務。訪問控制常與身份識別和認證相關聯(lián),確保合法用戶有權訪問服務。在一些系統(tǒng)中可能不需身份識別和認證,節(jié)點通過證書來訪問服務。根據(jù)不同的網(wǎng)絡結構和安全級別,訪問控制的實現(xiàn)方式也不同。集中式的低安全級別網(wǎng)絡,可以采用服務器控制的方式,用戶ID加密碼。

6.信任問題

在對安全敏感的AdHoc網(wǎng)絡應用環(huán)境中,由于節(jié)點容易受到攻擊,被俘獲的可能性也較大,因此必須要建立適當?shù)男湃螜C制。在AdHoc網(wǎng)絡中,信任問題是中心問題,我們不能信任媒介,必須借助密鑰。因此一個基本的問題是如何生成可信任的密鑰而不依賴受信任的第三方。AdHoc網(wǎng)絡是一個動態(tài)自組織臨時網(wǎng)絡,不能保證網(wǎng)絡中各個節(jié)點持有被其他節(jié)點信任的公鑰,并且它們也無法出示可以互相信任的證書,一種策略是允許節(jié)點之間委托信任,已經(jīng)建立信任關系的節(jié)點能夠向組中其他成員擴展這種信任。

7.網(wǎng)絡操作和服務的安全性

AdHoc網(wǎng)絡的安全操作需要對鏈路或網(wǎng)絡層進行保護。在一些方案中,鏈路層提供強安全服務用以保護機密性和真實性,在這種情況下高層所需的安全要求會減少。對于軍事應用,機密性尤其重要,沒有位置、身份和通信的保護,AdHoc網(wǎng)絡中的用戶非常容易遭受各種攻擊。如果網(wǎng)絡的可用性遭到破壞,用戶可能根本無法執(zhí)行他們的任務。路由信息的真實性和完整性常常并行進行處理,如果使用的是公鑰密碼體系,可以采用數(shù)字簽名來證實數(shù)據(jù)的來源和完整性。抗抵賴性某種程度上與真實性(認證)相關,路由流量必須留下記錄,使得發(fā)送路由信息的任何方都不能隨后否決它向其他方傳送了數(shù)據(jù)。

AdHoc網(wǎng)絡的應用和安全緊密相關,安全問題的研究日益受到重視,但這是一個復雜的開放性問題,今后的研究工作任重道遠。