Adhoc安全问题综述Word格式文档下载.docx
- 文档编号:17552513
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:9
- 大小:61.21KB
Adhoc安全问题综述Word格式文档下载.docx
《Adhoc安全问题综述Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Adhoc安全问题综述Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
现在,随着新兴的无线技术如蓝牙技术的成熟,Adhoc网络的商用前景也越来越被看好,各种便携设备如笔记本、移动电话、PDA、MP3播放器的互联成为可能。
下图所示是一个简单的Adhoc网络:
图1一个简单的Adhoc网络
如图1中所示的主机C并不能被主机A的无线覆盖范围所覆盖(在图中用环绕于主机A的圆环来表小),相应地主机C的无线覆流范围也覆盖不到主机A。
如果主机A与主机C之间要进行相互通信,这个时候就需用主机B为它们来进行转发分组,因为B能同时被A与C的无线覆盖,也即主机B就在为主机A和C的通信来承担路由器的功能。
在一般的情况下,在当前无线移动网分有基础设施的无线移动网和无基础设施的无线移动网两大类。
在有基础设施的无线移动网中是通过基站桥接到移动终端,有固定的有线网关。
在华站和移动终端之间仅一跳的距离,因此此种无线网络被称之为单跳无线网。
如图2所示,是一个单跳无线网络的示意图。
在图中,源端和目的端的用户分别与它最近的基站进行无线连接,这两个基站通过本身的交换子系统与公共电话网相接且取得联系,从而相应地源端和目的端之间业务信道建立联系,即两个终端用户之间实现会话。
图2单跳无线网络示意图
在没有特定基础设施的移动无线网络中,加上无线传输范围本身的局限性,使得无法直接通信的两个节点之间就必须要通过多个中间的节点才能进行中继通信,因此这种类型的无线网络即多跳无线网也即移动AdHoc网络。
图3多跳移动Adhoc网络示意图
图3给出的是一科‘经典的无线AdHoc网络结构图,从图中可见,带有无线接口的PDA、手提电脑等移动终端可以作为网络中的节点,而且每个终端节点之间的地位是平等的,并无中心控制的节点,节点与节点之间是用无线信道进行连接,网络的拓扑结构相应地随节点移动而进行动态变化,其每个节点均有主机和路山器的双重功能:
所谓主机功能是实现人机交互的功能;
所谓路由器是运行路由协议、路由发现与维护的功能。
例如图3中所示的源端A和目的端F之间的通信就是依靠多跳机制。
2、Adhoc网络的分类
无线自组网显著特点是网络无中心、自组织和多跳中继。
典型的无线自组网包括移动Adhoc网络(MANET)、无线传感网(WSN)和无线mesh网(无线网状网)。
3、Adhoc网络特点
Adhoc网络与现有的通信网络相比有不同的特点:
(1)在网络拓扑结构上,Adhoc网络具有动态的拓扑结构,而现有网络的拓扑结构相对较稳定。
(2)在传输带宽上,Adhoc网络的传输带宽有限,容易引起网络拥塞。
(3)在主机能源方面,Adhoc网络中的移动节点要依靠电池等可耗尽能源来提供电源,而有线网络中则不需要。
(4)在安全性方面,虽然现有网络中也存在安全性问题,但比较容易采取措施保护,而Adhoc网络面临更大的安全挑战。
(5)与现有的通信网络相比,Adhoc网络生成时间短,它是临时构建的,使用结束后网络环境自动消失。
(6)Adhoc网络具备相对现有网络更高的自我组织能力,不仅可以简化网络的管理,更能在处于动态的条件如移动性、不确定的链接和无法预测流量负载的情况下,有效地使用网络资源。
(7)Adhoc网络采用分布式控制的方式,且网络不受固定拓扑结构限制,从而具有很强的鲁棒性和抗毁性。
二、Adhoc网络的安全目标
Adhoc网络的安全目标与传统网络中的安全目标基本上是一致的,包括:
数据可用性、机密性、完整性、安全认证和抗抵赖性。
但是两者却有着不同的内涵。
(1)可用性。
可用性是指即使受到攻击,节点仍然能够在必要的时候提供有效的服务。
移动Adhoc网络中,拒绝服务攻击可以在任何层次发起。
如在物理层、数据链路层,入侵者能够通过填满有限的通信信道导致网络或服务不可用;
在网络层,攻击者可以通过破坏路由协议,从而导致整个网络不可用。
并且,移动Adhoc网络拓扑的频繁变化、节点间信道的不可靠也对网络的可靠性提出严峻挑战。
(2)机密性。
机密性是保证特定的信息不会泄露给XX的用户。
军事情报或用户账号等安全敏感的信息在网络上传输时必须机密、可靠,否则这些信息被敌方或恶意用户捕获,后果将不堪设想。
路由信息在一些情况下也必须保密,因为这些信息可能被敌方用来识别和确定目标在战场上的位置。
该问题的解决需要借助于认证和密钥管理机制。
(3)完整性。
完整性保证信息在传输过程中不被窜改。
鉴别使接受者能够确定发送方的真实身份,防止伪装节点获取机密信息和资源,或者发送虚假的信息破坏网络和服务的可用性。
(4)安全认证。
每个节点需要能够确认与其通信的节点身份,同时要能够在没有全局认证机构的情况下实施对用户的鉴别。
如果没有认证,攻击者很容易俘获某一节点,从而得以获取重要的资源和信息,并干扰其他节点的通信。
只采用认证通常是不够的,认证只负责证明某人的身份,因此还需要通过授权来决定某种身份是否被允许做某些事情。
由于Adhoc网络没有固定的管理域,所以难以实施防火墙技术。
(5)抗抵赖性。
抗抵赖指发送方不能否定他所发送的信息,便于事后审计、检测入侵,并且能够预防内部攻击。
三、无线自组网面临的安全问题
安全性是无线自组网能否得到广泛应用必须考虑的一项关键因素,特别是无线自组网在军事和商业上的应用。
但是,无线自组网的特点给自身的安全性带来了新的问题和挑战。
现有的常规网络安全解决方案不适合无线自组网,而无线自组网中许多协议和方案(如信道接入机制和路由协议)也没有特别关注安全问题。
为此,必须深入研究适合无线自组网自身特点和应用需求的安全解决方案。
传统有线和蜂窝无线网络采用层次化体系结构,网络拓扑较稳定,并且拥有可信任的服务器、目录服务器、域名服务器和证书权威机构(CA),迄今已提出了一系列行之有效的安全机制,如加密、认证、访问控制和权限管理、防火墙等。
与此不同,无线自组网不依赖固定基础设施,不存在命名服务器和目录服务器等网络设施,也没有可信赖的中心节点,节点彼此之间通过无线链路构成不稳定的网络结构。
另外,无线自组网中节点兼负终端和路由器双重职责,内存和计算功率有限。
上述特点不仅使无线自组网更易受到各类安全威胁和攻击,而且使得现有的许多安全机制不适合于无线自组网,具体如下:
(1)在蜂窝网络中,基站可以充当其管理范围内移动主机的证书授权机构(CA)。
而无线自组网没有产生和分配密钥的密钥管理中心(KMC)、也没有确认和分发密钥的授权和认证机构,这不仅使得传统的加密和认证机制在无线自组网中难以实施,而且也难以在节点之间建立信任关系。
(2)无线自组网的网络拓扑结构、节点数量和运动方式及其节点之间的信任关系都处于动态变化之中。
另外,网络自身的产生的业务量和中转的数据量也有很大不确定性。
因此,基于静态配置的传统网络安全解决方案不适合动态性很强的无线自组网。
(3)无线自组网没有中心节点,每个节点都可同时充当移动终端和路由器,网络内部和外部的界限非常模糊,难以找到适合实施流量监控和访问控制的合适位置。
因此,传统的网络防火墙和入侵检测技术不再适用于无线自组网。
(4)无线自组网具有广泛的应用领域,不同应用场合下网络表现出不同的特点。
例如,室内集会人员的移动设备构成的小型AdHoc网络和战场环境中的无线传感网无论从体系结构、设计目标和采用的协议上都有很大不同。
在第一种应用情景中,移动设备工作在安全和友好的环境中,移动设备之间是协作的并且网络条件是可预测的,因此不需要特别的安全约束。
在第二种情景中,无线设备操作在极度恶劣的非可信的网络环境中,面临大量的安全威胁。
因此,无线自组网的安全性不仅要考虑网络自身的特点,还要考虑网络环境和应用需求。
(5)路由协议——如果Adhoc网络中某些节点为节省本身的资源而停止转发数据,就会影响整个网络性能。
更可怕的是参与到网络中的攻击者专门广播假的路由信息,或故意散布大量的无用数据包,从而导致整个网络的崩溃。
四、相关的安全措施和机制
无线自组网往往是针对特殊应用需求临时构建的,即使在恶劣的网络条件下仍需提供必要的网络服务。
传统的安全机制,例如认证协议、数字签名和加密,在实现无线自组网的安全目标时依然起着重要的作用。
但时,无线自组网的特点要求它必须通过采用特殊的措施和方法来确保安全性。
1、Adhoc网络路由协议安全分析
在Adhoc网络中,移动节点同时起路由器的作用,发现并维持两个节点之间的路由。
Adhoc网络路由协议的基本目的是在节点之间建立正确高效的路由,及时传递各种信息。
如路由产生错误定向,会导致整个网络瘫痪,因此在整个网络安全中,路由安全起着举足轻重的作用。
无线自组网中的路由信息可能受到各种攻击,例如,发送错误的路由更新消息或破坏路由状态的行为。
因此,安全的路由协议是确保无线自组网安全性的一个必要条件,尤其在军事应用场合。
迄今,针对无线自组网提出了包括先验式、反应式和混合式在内的大量路由协议,但这些路由协议的主要目标是在动态变化的网络环境中快速查找可用的路由、减少路由时延和开销以及提高网络吞吐量等,大都没有考虑安全问题。
路由协议的安全性对于保证整个网络的安全十分重要,如果路由被误定向,整个网络将瘫痪。
路由安全需要参与路由的所有节点的具有可靠性。
然而,移动Ad-hoc网络的任何节点都可能参与路由,同时,网络采用无线通信,难于防止非法节点进入网络。
并且节点的物理安全难于保证。
因此,保证移动Ad-hoc网络的路由安全较有线网络更为困难。
目前,已经有超过十种以上的移动Ad-hoc路由协议被提出。
根据路由信息的更新方式,移动Ad-hoc网络路由协议可以分为三类:
主动式、反应式及混合路由协议。
主动式路由协议周期性的更新路由信息,如DSDV、OLSR等。
反应式路由协议只有当节点需要传输数据,并且没有目标节点的路由信息时,才通过路由过程获得需要的路由信息,如ADOV、GSR等。
混合式路由协议一般基于簇或区域将节点分层次组织,在簇内或区域内采用主动获取路由信息的方式,而在全局范围内采用按需路由的方式,如ZRP、CBRP等。
以下分别以AODV、DSDV和ZRP为例分析不同类型路由协议的安全缺陷。
AODV:
AODV协议属于反应式距离向量路由协议。
它仅在需要时建立路由。
在请求路由时,AODV发送路由请求消息(RREQ),在一定的HOP数限制下广播给所有节点。
当RREQ消息到达目标节点,该节点创建路由相应消息(RREP)并发送给向它传送RREP消息的节点。
利用相同的序列号及RREQ的逆向路由,RREP通过点播传送到路由请求节点。
DSDV:
DSDV协议属于主动式路由协议。
协议中使用目的端顺序号避免因使用过时的路由信息而产生无效的路径(包括路由环路和中断的路径)。
每一个目标节点的路径记录对应一个目的地序列号,这个序列号由目标节点产生。
当节点从邻居节点的距离/向量报文中得到某一目标节点的另一个路由记录时,若新记录的顺序号比已有的记录新,则节点使用新路由记
录;
若两个路由记录的顺序号相同,则节点使用路径长度更短的记录;
否则,目标节点的记录不变。
ZRP:
区域路由协议是一种混合式路由协议。
网络被划分为不同的区域。
区域间通过区域中的某个节点连接。
ZRP在全局范围内采用反应式路由协议,而在区域内采用主动式路由协议。
区域内部的路由协议(IARP)并未定义。
但是,ZRP给出了该协议的限制,其中最重要的是该协议必须是主动路由协议。
区域间的路由协议(IERP)与AODV类似,属于反应式路由协议。
协议的安全性分析
路由协议的安全需要考虑三个方面,即路由确定性、孤立恶意节点以及Byzantine鲁棒性。
路由确定性是指路由请求节点能够鉴别返回路由的正确性,并保证在路由存在地情况下发现路由信息。
孤立恶意节点指路由协议能够检测并排除恶意节点对路由的影响。
Byzantine鲁棒性指路由协议能够从恶意节点的破坏中自动恢复。
路由确定性以路由算法中的加密和认证机制为基础。
上述移动Ad-hoc网络路由协议均未在路由算法中考虑加密和认证,因此,不能保证路由的确定性。
从而容易遭受黑洞、路由表溢出、假冒等针对路由协议的攻击。
比如,在基于洪泛的路由协议如AODV中,攻击者监听路由请求。
当恶意节点接收到被攻击节点的路由请求,返回最短路径的相应信息,使恶意节点成为路由的中间节点。
此时,恶意节点能够轻易实现拒绝服务攻击(简单丢弃报文)破坏网络的可用性,或者利用中间人攻击(maninthemiddleattack)获取节点间的通信信息。
目前已提出的移动Ad-hoc网络路由协议均未考虑检测和孤立恶意节点。
在遭受第三节所述的路由协议攻击比如路由表溢出攻击时,网络不具有自恢复能力。
由于DSDV等主动式路由协议主动更新路由信息,而反应式路由协议仅在需要时创建路由。
因此,主动式路由协议更易于遭受路由协议攻击。
自稳定性是Byzantine鲁棒性的基础。
因为ZRP协议未指定域内路由协议,无法评估其自稳定性。
但是,AODV利用序列号确定路由的有效时间,不正确的状态可能在路由表中存在相当长的时间。
因此ADOV不具有自稳定性,因此也不具有Byzantine鲁棒性。
而DSDV也采用类似地顺序号更新路由,因此,也不具有Byzantine鲁棒性。
此外,上述路由协议均未对路由信息进行加密,节点的位置信息很容易被入侵者获得。
即使采用IPSEC加密路由信息,IP报文头仍然为明文。
攻击者仍能够根据报头信息获取节点位置、网络拓扑以及节点间相互关系等敏感信息。
ZRP通过区域划分,不但提高了性能,而且能够隐藏节点的位置信息。
同时,层次路由结构还能够将攻击的影响限制在一定的范围内,提高网络的安全性。
反应式路由协议仅在需要通信时寻找路由,不容易遭受主动攻击。
但是在反应式路由协议在寻径时需要在节点间频繁交换路由信息,因此,它较主动式路由协议更容易暴露节点间的关系。
FrankStajano提出了一种保护节点位置信息的NDM方法,它通过一组相互独立的安全代理采用非对称加密算法保护信息的发送和接收。
虽然,该方法能够保护位置信息,但是,非对称加密算法的运算开销较大,密钥管理服务复杂,不能适应移动Ad-hoc网络的特性。
冗余路径也是提高路由协议鲁棒性的有效方法。
一旦某条路径失效,则利用其冗余路径代替,因此,能够减少恶意节点的危害。
部分路由协议提供冗余路径支持。
但是,路由切换仅在路由的端节点进行,当端节点未检测到攻击时,不能切换路由。
因此协议中冗余路径的作用有限。
根据目前各种Adhoc网络路由协议的弱点,相关研究人员提出了一些优秀的Adhoc网络安全路由协议,如:
SAODV、DDS等。
在机密性、完整性、认证、不可否认性方面提供了安全保障。
下面介绍了SAODV协议的原理。
SAODV是由Zapata提出的一种基于按需路由协议AODV的安全路由协议,在路由发现和路由维护过程中对路由控制消息提供完整性、认证、不可否认性安全保障。
SAODV利用签名对路由消息中的多个字段进行验证,并使用哈希函数来对路由信息中的跳数进行认证。
SAODV路由发现过程中,源节点会产生一个随机值作为Hash字段值,同时用该值作为单向哈希函数的输入值,并用哈希函数输出值再次作为输入值进行计算,运算N(N为网络直径)次,将计算结果作为TopHash字段的值,将源节点的公钥附于路由请求信息中,用私钥对路由请求的多个字段进行签名,最后将此路由请求消息广播出去。
中间节点利用路由请求消息中的公钥对该消息的签名进行验证,从而判断该路由消息的完整性;
并用消息中Hash字段中进行N-i次哈希计算,与TopHash字段值比较,验证成功则中间节点会认为该路由消息中跳数是正确的。
如果上述两个验证成功则会对跳数验证值进行哈希计算并将计算结果代替路由消息中原值,然后将消息再次广播。
目的节点处理结果会与中间节点一样,验证成功后会产生RREP消息,并以单播的方式传播给源节点。
路由维护中也使用签名对路由错误消息保护,转发路由错误消息的节点要对签名签证,验证成功后用自己的密钥对该消息签名转发。
SAODV为路由消息的完整性提供了保护和对跳数的验证,增加哦了SAODV路由协议的安全,但是SAODV并没有提供机密性保证。
2、密钥管理问题
信息的机密性和身份认证离不开有效的密钥管理机制。
密钥管理包括密钥的创建、存储、分发和使用。
在无线自组网中没有集中存放密钥的场所,必须由节点分布存储相关的密钥。
密钥分发必须确保产生的密钥被安全分发到合法通信用户。
对于对称密钥,所有参与方必须安全接收到密钥,在公钥体系中,必须保证私钥被安全交付给授权方。
在无线自组网中,需要一种与情景相关的高效的密钥管理机制。
节点可以通过协商使用共享密钥或交换公钥来加密数据,并可采用一次一密的加密方法来增强安全性。
对拓扑变化较慢的小型无线自组网,密钥可以手工配置;
而对于快速变化的无线自组网,密钥的交换通常按需自动进行。
实际上,资源受限的无线自组网难以实现密钥管理任务。
私有密钥机制的计算量较小,但在网络规模较大时所需管理的密钥数目过多并且功能不够强大。
公开密钥方案管理较简单,但对能量和计算能力受限的节点而言开销较大,并需要证书机构的支持。
考虑到很多场合下无线自组网中的节点是协同工作的,一种解决密钥管理的方法是用团体用户来代替证书权威机构,密钥管理服务由一组节点协作来完成。
这种方法认为:
无线自组网中不存在可信任的中心节点,但是,一定数量的节点构成的节点组是可信任的,并且一定时间内不可信的节点数量远小于可信任的节点数量。
与此类似,基于PGP(PrettyGoodPrivacy)的密钥管理方案中,每个节点基于PGP来创建它自己的公钥和私钥,并且节点自组织地存储、分发和管理证书。
公钥证书的发布基于节点之间现有的信任关系,并且定期在可信的节点之间发放和更新证书以防止多个攻击者发起的合谋攻击。
此外,可以将无线自组网中的共享密钥进行分割,然后将分割后的密钥片断分发给网络的节点。
为了通信,节点必须协作收集一定数量的密钥片断才可以重建密钥。
这种共享密钥管理方法使得单个节点丧失安全性不会危及整个网络的安全。
3、信任机制
在许多无线自组网环境中,节点容易受到恶意攻击甚至被俘获,因此,有必要通过某种机制在节点之间建立适当的信任关系。
无线自组网的拓扑结构和成员处于动态变化之中,节点之间的信任关系也在不断变化,因此,基于静态配置的安全方案在无线自组网中是不可行的。
无线自组网中不能保证各个节点持有被其他节点信任的公钥,并且也无法出示可信任的证书。
一种在网络节点之间建立信任的机制是允许节点之间委托信任关系,已建立信任关系的节点组通过向网络中其他成员传递信任关系来扩展可信任的群体规模。
此外,还可以采用一种本地组信任模型,如果一个节点对于一定数量的可信赖节点是可信的,那么认为该节点可信任。
但是信任关系具有时间限制(不超过证书的过期时间)。
基于此模型,信任节点可以为网络中的其他节点签署证书并监测其他节点的行为,如果发现行为不端的节点则撤销其证书。
再有,Boudriga等提出了一种构建入侵容忍无线自组网的新方案,包含多层信任模型和一种用于资源分配和恢复的网络层机制。
多层信任模型假定将网络划分成2个虚拟集合:
资源域和用户域。
为每种活动类型分配一个唯一的信任级别,基于此信任级别和活动,用户或应用程序按照一种分布式机制分配资源,目的是最大化资源使用率和最小化成本。
五、结语
Adhoc网络是一种特殊的网络,节点数量和类型各异,其安全措施应具有高度的灵活性、多样性和可扩展性。
分析了Adhoc网络的安全弱点,介绍了其安全目标及安全漏洞,并描述了集中安全机制和策略。
由于Adhoc网络本身在安全方面的弱点和应用环境的多样性,使得处理和解决其安全问题非常困难,目前还无法找到一个圆满实现Adhoc安全目标的策略和机制。
移动AdHoc网络安全的研究是一个年轻而又迅速发展的领域,总体来说,下一步发展应包括以下几个方面:
1)进一步提高性能,降低算法对资源的要求。
移动AdHoc网络中节点本身的计算能力和电池能量都十分有限,还要参与网络交换。
网络安全作为网络正常运行的一种保障,不应该也不允许占用节点大量的资源,不能因为增加了安全措施,降低了网络性能,影响了网络的正常运行。
应该设计和采用一些对资源要求少的算法,如:
使用本地认证取代分布式的认证,用对称密钥取代公开密钥等。
2)增强协议的可扩展性。
有些协议在节点数目较少时,性能还可以,当节点数目增加时,其性能会明显下降。
如:
自组织的密钥管理当网络扩大时,证书数据库的形成、维护和认证的花费会明显增加。
算法在设计时,就应考虑到其可扩展性。
3)提供对组播的安全保护。
组播的应用能够有效地减少网络流量,特别适用于军事指挥网络。
现行大多数的安全方案只停留在如何保护路由信息的完整性,如何实现对单个节点的认证,没有考虑如何实现对组播的安全支持。
只有少数文献论述了安全的组播,对移动AdHoc网络环境下的安全组播的研究还很不完善,需要进一步发展。
六、参考文献
[1]朱鹤鸣,无线Adhoc网络的安全策略研究[D].安徽大学.2011
[2]刘昌明,移动Adhoc网络安全研究综述[J],舰船电子工程.2008,28(7):
25-29
[3]王海涛,吴连才等.无线自组网的安全问题综述[J],桂林电子科技大学学报.2011,31
(2):
87-92
[4]冯坤,段立.移动Adhoc网络安全分析综述[J],微计算机信息,2006,22(2-3):
50-53
[5]张小彬,韩继红等,A
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Adhoc 安全问题 综述