由于AdHoc网络的安全问题一直未被深入研究,它的安全问题十分严重,已经成为实现AdHoc网的一个巨大障碍。AdHoc网络主要存在以下的安全性问题:无线链路使AdHoc网络容易受到链路层的攻击,包括被动窃听和主动假冒、信息重放和信息破坏;节点在敌方环境(如战场)漫游时缺乏物理保护,使网络容易受到已经泄密的内部节点(而不仅仅是外部节点)的攻击;分布式的网络体系结构使AdHoc网络的拓扑和成员经常改变,节点间的信任关系经常变化,与移动IP相比,AdHoc网络没有值得信任的第三方的证书的帮助,在节点间建立信任关系成为Ad Hoc网络安全的中心问题;通常Ad Hoc网络包含成百上千个节点,需要采用具有扩展性的安全机制。
本文认为还有一些其他的安全缺陷。由于AdHoc网络的开放性结构特点,因此,所有支持AdHoc工作方式的终端都可以接入到AdHoc网络中,或是说组成AdHoc网络。这就是说,别的网络的合法用户也可能成为AdHoc网络中的恶意节点,如出于节约终端能源的考虑而拒绝转发数据,或是为某种特殊的目的而将需要转发的数据复制后再转发出去,或是针对某个号码或是某个簇的恶意行为。因此,需要在多种无线网络融合的基础上,独立地考虑网间与各网络内部的安全方案。
1.3网络融合带来的安全问题
融合后的网络不但融合了各种网络的优点,也必然会将各种网络的缺点带进融合后的网络中。前面所讨论的各种安全缺陷将或多或少地给融合后的网络运行带来各种安全问题。而且,融合后的网络在能提供更多样化的服务的同时也必将面临一系列新的安全缺陷,如网间信息的安全交互等。
AdHoc网络没有专门的安全认证中心,基于证书的加密鉴权方案中所需的可信赖的第三方是否能够在网络中以其他的形式代替,或是如何为AdHoc网络建立专门的安全中心是一个值得探讨的问题。另外,对于融合网络来说,密钥和证书(包括业务提供商分配给用户的密钥和证书以及不同网络之间用来进行相互认证的密钥及一个网络的合法用户接入其他网络时临时分配的证书等)的传输也很困难。
2无线网络融合的安全解决方案
对于由不同子网络融合而成的各种无线网络,它们的安全方案在一定程度上也是有差异的。蜂窝网、WLAN等有中央控制的网络的安全方案较为简单。由于它们各自的安全性能在实际应用中已经得到一定的改善,仅需要考虑网络间的鉴权、认证。同时这些网络有专门的接入、路由设备,对于安全方案的部署有一定的硬件支持,仅需要在接入时由认证中心进行鉴权,路由安全方案则部署在路由设备上。这类网络的安全方案不但易于总结而且由于网络结构的原因易于实现。
本文的重点放在没有特定路由设备的AdHoc网络和蜂窝网络的安全方案上。由于AdHoc公开的对等网络结构、共享的无线资源、严格的资源约束和高度动态的网络拓扑等特点决定了可以应用于该网络的安全方案只需稍做简化即可应用于其他有中央控制的网络内。
2.1网络融合方案的分类
近几年来,移动AdHoc网络(MANET)由于其自组织和自维护性能受到了广泛的关注。将AdHoc网络与蜂窝网络进行融合,AdHoc网络可以作为对蜂窝网络的有效补充。通过不同的融合方法,可以利用AdHoc的特点实现不同的功能。如iCAR、UCAN、MCN、CAMA等系统,都是基于不同的功能而设计出来的。
将各种不同类型且特性差异较大的网络进行融合,其路由、切换、鉴权和计费过程必须在提供各网络自身的路由、切换、鉴权和计费过程基础上实现。相对于路由和切换来说,鉴权是保证通信能够正常进行的前提,是所有功能实现的基础。而鉴权仅仅是安全问题的一部分,安全方案还必须保证通信过程中数据交互的安全。
融合方案在不考虑造价的前提下,可以分为3类:一是以蜂窝网为主干网,AdHoc网作为边沿子网辅助蜂窝网提供服务,这类方法主要是利用AdHoc来充分利用蜂窝网的频率资源;还有是用蜂窝网的带外信号对作为本地主干网的AdHoc网络进行管理,充分发挥AdHoc的优点,通过蜂窝网的集中控制使AdHoc工作得更加稳定;另外是在蜂窝网中引入多跳路由协议来减少基站数、增加覆盖范围,这类方法与第一种相似,但是对终端的性能要求比较高,能否投入实际应用还需要进一步探讨。
2.2各种融合方案的安全弱点
首先确定这些网络的安全重点。以蜂窝网为主干AdHoc为辅助的网络融合方案的安全重点是如何让合法的蜂窝网用户安全地接入到AdHoc网络,以及在接入AdHoc网络后如何在AdHoc网络内保证其通信安全。而以蜂窝网管理AdHoc网络的融合方案的安全重点是如何在AdHoc内部实现安全,以及蜂窝网管理Ad Hoc网络时如何安全地传输控制信息。另外,在蜂窝网中引入Ad Hoc工作方式则更需要对每个用户的身份信息进行更加严格的认证。安全重点可以归结为两大类:信令及信息的安全传输和对用户身份进行可靠的认证。我们认为只要解决了这两类关键问题,系统进行合适的配置就可以基本上保证用户信息的安全性。在这两类安全重点中,信令及信息的安全问题主要来源于Ad Hoc网络的开放性结构,因此工作重点将放在保证Ad Hoc网络的安全性上。
Tseng等提出的使用非对称加密技术的基于公钥的协议是防御性安全方案中安全性能较好的一种方案。本文利用这种算法结合文献[10]中提到的加强正确执行方式和多重防护的方法,以及结合文献[11-13]中应用IPSec提供安全保证的方法来总结一套适用于融合网络的保证信令和信息安全的结构。
2.3安全策略
(1)安全策略综述
本文提出的安全策略为:首先,要保证整个网络的安全就是要保证网络协议栈内各层的安全,通过对协议栈每一层的安全弱点的分析并加强相应的安全措施,来保证安全。同时也可以通过层与层之间的联系来实现对整个协议栈的保护。其次,对于未知攻击者的攻击方法是无法预先知道的,因此建立在这种不确定基础上的解决方案同样也是不可靠的。所以,本文认为对协议本身弱点的研究以及加强节点对协议规范的可靠执行是另一种更好的解决攻击的方法。第三,数据在传输中需要被加密以保证用户数据的安全,因此需要可靠的加密算法来对数据进行加密。目前公钥鉴权、私钥加密的方法广泛地应用于各个网络的安全方案中。因此,通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能,还能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密,以达到用户对通信安全的要求,同时也不会给移动终端带来过高负荷的计算量。但是,对于长时间的数据连接来说,如何更新加密用的私钥以及如何确定更新周期则是另一个值得探讨的问题。
(2)多重防护体系
已实际应用的网络安全技术已经比较成熟。对于多种网络融合后的安全,网间鉴权的实现以及能够保证AdHoc这种安全性极差的网络安全运行十分重要。对于各种集中式管理的网络来说任意两个网络间的网间鉴权方式是极为相似的,要推广到多个网络间的交互鉴权也是较为容易的。况且在集中式管理的网络中有专门的路由设施,由于要由唯一的核心网络向用户提供网络服务,在设置鉴权中心及部署鉴权等安全措施时都十分方便。如在接入时进行鉴权或是在需要服务时进行鉴权,安全方案可以部署在处理路由交换设备上,即由专门的设备负责系统的安全。而由于AdHoc网络分布式的网络特性,其安全方案则不能用这样的思路进行。
多重防护的概念是为了通过强制网络中的用户严格遵守协议规范来加强AdHoc网络的安全性能,同时本文认为这种模型也可以用于保证其他网络的安全。在每一层的每个功能块中包含了保证该功能块的功能正常实现的多个子模块,即将原有的各层功能细化以提高多重防护的可实现性。如网络层安全就是要保证节点转发时完全按照路由表的指示向前传送信息,不做出篡改数据包的下一条地址或在本地复制数据包等恶意行为;链路层安全就是保证正在通信的两个节点间的一跳连接。通过加密等方法来保证每个模块的安全性能需要较长的鉴权认证时间,而对于用户来说,这种时间当然越短越好。因此,本文觉得强化每个模块区分正确和错误操作的能力(或者明确哪些是符合协议规范的操作)可以防止AdHoc网络中的恶意节点入侵,或者说是可以降低恶意节点对网络性能的破坏。
