2 异构网络的安全解决方案
2.1安全体系结构
对于异构网络的安全性来说,现阶段对异构网络安全性的研究一方面是针对GSM/GPRS和WLAN融合网络,另一方面是针对3G(特别是UMTS)和WLAN的融合网络。如文献[20]在GSM/GPRS和WLAN融合支持移动用户的结构中,把WLAN作为3G的接入网络并直接与3G网络的组成部分(如蜂窝运营中心)相连。这两个网络都是集中控制式的,可以方便地共享相同的资源,如计费、信令和传输等,解决安全管理问题。然而,这个安全措施没有考虑双模(GSM/GPRS和WLAN)终端问题。文献[21]将3G和WLAN相融合为企业提供Internet漫游解决方案,在合适的地方安放许多服务器和网关,来提供安全方面的管理。还可以采用虚拟专用网(VPN)的结构,为企业提供与3G、公共WLAN和专用WLAN之间的安全连接。3GPP TS 23.234描述了3G和WLAN的互联结构,增加了如分组数据网关和WLAN接入网关的互联成分[22]。3GPP TS 33.234在此基础上对3G和WLAN融合网络的安全做出了规定,其安全结构基于现有的UMTS AKA方式[23]。
在Ad hoc和蜂窝融合网络安全性研究方面,文献[24]提出了利用蜂窝网的“带外信令”和蜂窝网的中央管理机制来提高Ad hoc的网络管理和控制,从而提高Ad hoc网络的路由和安全性能。但该安全方案只针对Ad hoc网络,没有考虑蜂窝网络和网间的安全问题。
因此,构建一个完善的无线异构网络的安全体系,一般应遵循下列3个基本原则:(1)无线异构网络协议结构符合开放系统互联(OSI)协议体系,因而其安全问题应从每个层次入手,完善的安全系统应该是层层安全的。(2)各个无线接入子网提供了MAC层的安全解决方案,整个安全体系应以此为基础,构建统一的安全框架,实现安全协议的无缝连接。(3)构建的安全体系应该符合无线异构网络的业务特点、技术特点和发展趋势,实现安全解决方案的无缝过渡。
可采用中心控制式和分布代理相结合的安全管理体系,设置安全代理,对分布式网络在接入认证、密钥分发与更新、保障路由安全、入侵检测等方面进行集中控制。
2.2安全路由协议
路由安全在整个异构网络的安全中占有首要地位。在异构网络中,路由协议既要发现移动节点,又要能够发现基站。现有的路由协议大多仅关注于选路及其策略,只有少部分考虑安全问题。
在联合蜂窝接入网系统中(UCAN)[25] ,涉及的安全主要局限在数据转发路径上合法中间节点的鉴定问题。当路由请求消息从信宿发向基站时,在其中就引入单一的含密码的消息鉴定代码(MAC)。MAC鉴定了转发路径,基站就会精确地跟踪每个代理和转发节点的数据流编号,而每个用户都有一个基站所给的密码。UCAN着重于阻止个人主机删除合法主机,或者使未认可的主机有转播功能。它有效地防止了自私节点,但是当有碰撞发生时,防御力就会减少了。另外,文献[26]提出一种用于对付任意恶意攻击的新路由算法。该方法主要在于保护路由机制和路由数据,开发融合网络信任模型,以及提出安全性能分析体制。该路由算法的核心机制是为每个主机选择一条到基站吞吐量最高的路径。每个主机周期性的探测邻居节点的当前吞吐量,选择探测周期内的吞吐量最高值。其目标是识别融合网络中恶意节点的攻击类型,提供有效检测,避免恶意节点。
一般而言,对安全路由协议的研究起码要包括两个部分:基站和移动终端间的路由安全和任意两个移动终端间的路由(Ad hoc网络路由)安全。而由于异构网络的路由协议主要来源于Ad hoc网络路由协议的扩展,从而对异构网络路由协议安全性的研究将主要延伸于Ad hoc网络路由协议的安全性研究。鉴于此,可以将现有的一些Ad hoc安全路由研究植入到异构网络的安全路由研究中。简单的防欺骗的基于信誉的系统SPRITE[27]就是一个很好的研究入口。SPRITE本身需要一个独立于Ad hoc网络之外的固定系统——信誉结算服务(CCS)系统,用于维持节点信誉的平衡,激励中间节点转发数据的积极性。不过,要实现SPRITE系统需要CCS获悉两个节点之间的完整路由信息。而这一点,在异构网络中,由于有基站等固定基础设施的存在,因而实现起来就相对简单了。
当然,异构网络路由协议的安全性要建立在节点得到服务提供商支持的认证,这就要完善基站等固定基础设施的安全体系和密码技术,以使得节点能接入到异构网络,获得异构网络的认证。
2.3接入认证技术
现有的大多数认证体系如Kerberos及X.509等普遍是针对一般的集中式网络环境提出的,因其要求有集中式认证机构如证书发放中心或CA。而对于无固定基础设施支持的分布式移动Ad hoc网络,网络拓扑结构不断地动态变化着,其认证问题只有采用分布式认证方式。对于异构网络,蜂窝基站的引入则可以在充分发挥Ad hoc自身优势的同时克服其固有缺陷。可以根据集中式网络和分布式网络各自的特点,建立异构网络的接入认证系统。文献[28]讨论了WLAN中的节点接入3G的安全认证问题。它构建3G-WLAN信任模型来严格维持3G-WLAN融合网络中所有组成成分之间的信任关系,以加强接入认证过程,保护3G网络免遭伪造的接入认证请求。
从Ad hoc和蜂窝融合网络3种系统模式来看,以蜂窝技术为主Ad hoc为辅的融合网络系统模式,其接入认证的重点就是如何让合法的Ad hoc网络用户安全地接入到蜂窝网络中;以Ad hoc为主蜂窝技术为辅的融合网络系统模式,其接入认证的重点则是如何在Ad hoc内部实现安全以及蜂窝网管理Ad hoc网络时如何安全的传输控制信息。而事实上,这种模式下甚至可以直接采用蜂窝网中一样的接入认证过程,如CAMA。Ad hoc和蜂窝融合的第三种模式——混合模式,则更需要对每个用户的身份信息等进行更加严格的认证。异构网络用户的身份信息认证又包括Ad hoc网络与有基站等固定基础设施的集中式网络之间的认证和任意两种集中式网络之间的认证。
对于复杂的异构网络安全性而言,传统意义上的接入认证只是第一道防线。对付那些已经混入网络的恶意节点,就要采取更严格的措施。建立基于基站的和节点声誉评价的鉴权认证机制或许是一个好的方法。因为蜂窝系统的末端接入网络是完全依赖于节点的广泛分布及协同工作而维护正常通信的,既要拒绝恶意节点的接入,又要确定合适的评价度,保证合法节点不因被恶意节点诬陷而被拒绝接入。这样可以最大限度的保证网络资源的可使用性。
在异构网络中,基站和各移动节点可以共同担当声誉机制中心这类权威机构的角色,形成以基站为主,移动节点分布式评价为辅的方式。同时,还可以借鉴文献[29]中的方式:在节点接入网络时进行预认证,之后网络中的基站和其他移动节点对它的行为跟踪,使它的恶意行为对应一定的声誉值,重新对它进行鉴权认证。
2.4入侵检测技术
异构网络与有线网络存在很大区别,针对有线网络开发的入侵检测系统(IDS)很难直接适用于无线移动网络。传统的IDS大都依赖于对整个网络实时业务的监控和分析,而异构网络中移动环境部分能为入侵检测提供的数据只限于与无线通信范围内的直接通信活动有关的局部数据信息,IDS必须利用这些不完整的信息来完成入侵检测。其次,移动网络链路速度较慢、带宽有限、且节点依靠电池供应能量,这些特性使得它对通信的要求非常严格,无法采用那些为有线IDS定义的通信协议。第三,移动网络中高速变化的拓扑使得其正常与异常操作间没有明确的界限。发出错误信息的节点,可能是被俘节点,也可能是由于正在快速移动而暂时失去同步的节点,一般IDS很难识别出真正的入侵和系统的暂时性故障。因此,一个好的思路就是研究与异构网络特征相适应的可扩展性好的联合分级检测系统。
