顾炜江
(南京林业大学 网络中心,江苏 南京 210037)
Ad hoc网络的安全对策初探
顾炜江
(南京林业大学 网络中心,江苏 南京 210037)
无线网络的安全问题变得越来越重要,Ad hoc网络是一种特殊的多跳移动无线网络,具有广泛的应用场合。文中介绍了Ad hoc网络的基本概念、结构特点和路由协议,然后在探讨Ad hoc网络安全需求的基础上,分析了Ad hoc网络易于遭受的攻击,并集中讨论了Ad hoc网络的安全缺陷和安全威胁,提出了网络的安全策略。
Ad hoc网络;安全问题;安全对策
无线局域网出现于1990年,它是在有线局域网的基础上发展而来的,是以无线电信道来代替传统有线介质所构成的局域网络。无线网络使各个终端设备摆脱有线介质的束缚,使其更具有灵活性,并能够实现有线与无线网络之间的互连和互通。因此,无线网络取得了巨大的发展和广泛的应用。但由于其技术的不成熟,无线网络还存在巨大的安全隐患。无线网络结构复杂、种类繁多,下面仅以Ad hoc网络为例,简单分析一下其网络安全问题。
1.Ad hoc网络的定义
Ad hoc网络是指临时应变的特定网络,如图1所示,由若干个移动的无线通信终端构成一个临时应变的网络。这种网络是临时性的、无中心的、无需依靠任何基础设施的非标准网络,因此可称作是“自组织网络”。也有人称它是“特定网络”,是因为它是很短距离的特定连接,并且只能用于近距离的用户,又因为它是便于加入和离开、既能主控又能被控的网络,所以又有人称之为“对等网络”。
2.Ad hoc网络路由协议
按照路由查找方式,Ad hoc路由协议可分为表驱动路由和按需驱动路由。[1]如图2所示。
3.Ad hoc网络的特点
(1)无中心和自组织性。Ad hoc网络中没有绝对的控制中心,网络中的节点通过分布式算法来协调彼此的行为,无需人工干预和任何其他预先设置的网络设施,可以在任何时刻、任何地点快速展开并自动组网。
(2)动态变化的网络拓扑。移动终端能够以任意可能的速度和模式移动,并可随时关闭电台。加上无线发送装置的天线类型多种多样、发送功率的变化、无线信道间的互相干扰、地形和天气等综合因素的影响,移动终端间通过无线信道形成的网络拓扑随时可能发生变化,而且变化的方式和速度都难以预测。
(3)无线传输带宽窄。Ad hoc网络采用无线信道传输,由于无线信道的物理特性,它所能提供的网络带宽相对于有线信道要小得多,并且无线信道的通信质量较差,容易引起网络拥塞。
(4)多跳路由。当节点要与其覆盖范围之外的节点进行通信时,需要中间节点的多跳转发。与固定网络的多跳不同,Ad hoc网络中的多跳路由是由普通的网络节点完成的,而不是由专用的路由设备(如路由器)完成。
(5)能源限制。网络中的移动节点要依靠存储电池等可耗尽能源来提供电源,这使得移动终端的使用受到节点能源的限制。
1.目标分析[2]
(1)可用性。可用性是指即使受到攻击,节点仍然能够在必要的时候提供有效的服务。移动Ad hoc网络中拒绝服务攻击可以在任何层次发起。如在物理层、数据链路层,入侵者能够通过填满有限的通信信道导致网络或服务不可用;在网络层,攻击者可以通过破坏路由协议,从而导致整个网络不可用。并且移动Ad hoc网络拓扑的频繁变化,节点间信道的不可靠等,也对网络的可靠性提出了严峻的挑战。
(2)机密性。机密性是保证特定的信息不会泄露给未经授权的用户。军事情报或用户账号等安全敏感的信息在网络上传输时必须机密可靠,否则这些信息被敌方或恶意用户捕获,后果将不堪设想。路由信息在一些情况下也必须保密,因为这些信息可能被敌方用来识别和确定目标在战场上的位置。该问题的解决需要借助于认证和密钥管理机制。
(3)完整性。完整性保证信息在传输过程中不被窜改。鉴别使接收者能够确定发送方的真实身份,防止伪装节点获取机密信息和资源,或者发送虚假信息破坏网络和服务的可用性。
(4)安全认证。每个节点需要能够确认与其通信的节点身份,同时要能够在没有全局认证机构的情况下实施对用户的鉴别。如果没有认证,攻击者很容易俘获某一节点,从而得以获取重要的资源和信息,并干扰其他节点的通信。只采用认证通常是不够的,认证只负责证明某人的身份,因此还需要通过授权来决定某种身份是否被允许做某些事情。由于Ad hoc网络没有固定的管理域,所以难以实施防火墙技术。
(5)抗抵赖性。抗抵赖指发送方不能否定它所发送的信息,便于事后审计。检测入侵能够检测发送信息和恶意的攻击,并且能够预防内部攻击。
2.Ad hoc网络的安全威胁
(1)开放介质。Ad hoc采用无线信道传输信息,无线信道和有线信道不同,它是一个开放的电磁环境,无线电传输大多采用微波和红外线。微波易受其他无线电波的有意或无意的干扰,比如需电干扰,常用机器设备的辐射干扰以及人为的电磁干扰。这些干扰会不同程度地影响通信质量。红外线方式基于红外线技术的无线网络较易实现数据的高速传输。作为无线网络的传输方式之一,红外线最大的优点是不受无线电波的干扰。然而,红外线传输方式的方向性要求很高,且对非透明的物体穿透性差,导致它有较大局限性。
(2)动态拓扑的缺陷。从理论上讲,Ad hoc网络的节点可以任意速度向任意方向移动,因此这些网络的拓扑变化是高度动态的。这种变化很快但难以预测,从而给入侵者带来可趁之机,静态网络的许多安全措施也不再适用。
(3)分布式协作。Ad hoc网络中常采用分布式决策,没有中心结构来管理所有节点参与的协作,这使袭击者可利用这一弱点,采用破坏协作算法的方式发动攻击,使很多传统网络的入侵检测功能无法实现。
(4)自身数据发送延迟。无线通信的可利用带宽相对较小,作为中间节点转发其他节点的数据,需要消耗一定的带宽,导致节点自身发送数据遭受更大的延迟。同时,数据转发也可能导致局部介质访问冲突,导致更大的冲突避让延迟,因此,在完全开放的Ad hoc网络环境中,并不是每个节点都愿意无偿、主动地参与中间数据转发,Ad hoc移动节点会表现出“自私”特性。这种“自私”特性,主要体现在路由协议的数据转发阶段。这种拒绝转发数据的“自私”行为,实际上是一种针对路由协议的“拒绝服务(DoS)”攻击。
(5)信道接入问题。各个通信节点能否及时有效地获得无线信道的使用权和控制权,将直接影响整个网络的性能。传统的共享信道接入策略只应用于单跳网络,报文一旦发生冲突,网络内的所有节点都能侦测到。而Ad hoc网络是共享信道的多跳网络,发生报文冲突只是局部事件,一部分能正确接收,而另一部分则显示冲突。正是多跳的原因导致了隐藏终端和暴露终端的问题。
如图3所示,节点B在A节点的通信范围内,而C在A的通信范围之外,当A向B发送数据时,C不能发现A、B之间的通信。若此刻C也向B发送数据,则A和C的数据将在B处发生冲突,这就是隐藏终端。如图4所示,如果要A和D联系,而同时要B和C联系,因为B在A的侦听范围内,所以当A向D发送数据时会认为信道忙,从而推迟向D发送数据,造成不必要的时延,这就是暴露终端的问题。
(6)存在单向无线信道问题。Ad hoc网络采用无线信道通信,地形环境或发射功率等因素都可能会产生单向无线信道。例如,车载终端的发送功率大于手持终端,手持终端可以收到来自车载终端的信号,而车载终端无法收到来自手持终端的信号。即存在从车载终端到手持终端的单向信道。
(7)移动终端自身设备限制。由于无线网络终端的移动设备大多采用电池来提供电源,所以节点能量严重受限,有限的能源很容易被垃圾数据耗尽。并且移动设备要保证其机动方便的特性,要求移动终端设备的体积不能做得太大,这就大大提高了对技术的要求。一般情况下,移动终端的结构比有限网络终端结构简单得多,CPU的计算能力较低,无法实现复杂的加密算法,这增加了被窃密的可能性。
(8)路由安全所涉及的问题。无线路由所面临的挑战传统网络中的所有路由问题都会在网络中出现,但传统网络的安全方法却并不总是适用于Ad hoc网络。例如,传统网络中可以通过路由器上的防火墙来隔离恶意攻击从而保护子网,而网络中每个节点都要担当路由的功能。同时由于网络的特性又会产生一些新的问题,这使得网络的路由安全问题尤为复杂。
首先是路由信息的机密性。由于网络中通信是通过无线介质,因此很容易被入侵者窃听。Ad hoc网络路由协议以明文的方式传递路由探测包,这些包中含有本包所遵循的路由。通过分析这些包,入侵者可以了解网络的结构。它可能会暴露出网络中节点的漏洞和它们的位置。入侵者可以利用这些信息进行攻击,控制节点。尤其在算法中,只要窃听到一条路由回应信息就可以知道整条路由。
其次是身份验证问题。由于网络中依靠临近的节点来转发数据包,因此大多数路由协议都是绝对信任参与者的。对参与者的身份需要通过数字签名来验证,简易的移动设备生成一个签名需要消耗2~6毫秒的时间,验证签名需要花费更多的时间,这对电源有限的移动设备来说是难以承受的。同时,过分的信任使得恶意节点可以插入错误的路由更新信息,重发过期的信息,改变路由更新信息或是广播错误的路由更新信息从而使整个网络崩溃。当然这种攻击在传统的网络中也存在,但是环境使这些问题更难检测。
再次是吞吐量问题。当每个有效节点都进行路由时,网络将达到最大吞吐量。但是某个节点可能收到数据,由于超载或该节点本身是一个恶意节点,而最终没有发送该数据,这种节点会严重地影响吞吐量。但是现有的协议不提供任何机制来检测这些节点,无法区别这些影响吞吐量的节点究竟是由于超载或节点本身效率低,还是由于节点本身是恶意节点。进行路由探测时,好的路由协议应该能够识别恶意节点并把它们隔离。
最后是自我稳定性。好的路由协议应该在有限的时间内从攻击中恢复过来,不应该让一个入侵者通过插入少量的错误路由包就永远地控制网络。但是现有的路由协议没有很好地解决该问题。协议中是采用序列号来解决自我稳定性问题的。采用序列号来验证路由的有效时间,会使错误的状态在路由表中存在很长时间。
1.访问控制
在Ad hoc网络中同样存在控制对网络的访问。在网络层,路由协议必须保证不允许非法节点加入网络,保证没有敌对节点加入和离开网络而不被检测到。在应用层,访问控制必须保证非授权用户不能访问服务。访问控制常与身份识别和安全认证相关联,确保合法用户有权访问服务。在一些系统中可能不需要身份识别和认证,节点通过证书来访问服务。根据不同的网络结构和安全级别,访问控制的方式也不同,集中式的低安全级别网络,可以采用服务器控制的方式,以用户ID加密。
2.功率控制
针对Ad hoc网络终端的移动特征,大多采用电池作为能源,因而采取合适的功率控制对Ad hoc网络有非常重要的意义。一方面,Ad hoc网络是无线的多跳网,可用的频率资源非常有限,对功率进行控制就可以限制无线电波的传输范围,提高信道的空间复用度。另一方面,用尽量小的功率传输信号,可以节省节点消耗的能量,延长节点的工作寿命。一个好的功率控制机制应该满足以下几个要求:分步性、简单性、灵活性、健壮性、可扩展性。
目前功率控制主要从网络层和数据链路层进行操作。从网络层的角度来看,发射功率越大,数据包需要转发的次数就越少,路由问题就会变得相对简单,但大功率会干扰周围节点的信息传输,降低信道的空间复用度。而如果发射功率过小,虽然提高了节点的平均可用带宽,但也增加了路由选择和维护的困难。因此,进行功率控制需要同时考虑路由复杂度和空间复用度。数据链路层的功率控制是在网络层给定最大发射功率的条件下,尽量提高信道的空间复用度。实现方法通常有两种:一种是利用RTS和CTS报文,通过附带信噪比等参数,告诉对方节点相关的信道条件,调整发射功率;另一种是利用忙音信道发送忙音信号为功率控制提供参考信息。网络中各节点根据忙音信号的强度推算出信道情况,并决定发送功率的大小。综合网络层和数据链路层的考虑,研究人员提出了一种混合式的功率控制协议PARO(Power-aware Routing Optimization)。该协议将一条路由上每一跳的发送功率作为参考标准,在一对节点之间选择一条总能耗最低的路由。在链路层,控制报文用最大功率发送,数据报文和ACK则用最小功率发送。PARO这种动态的功率控制路由策略适用于移动Ad hoc以及传感器网络等多种环境,有效地改善了网络性能。
3.自适应技术
自适应是指通信系统具有适应通信条件变化的能力。[3]通信条件包括传播条件、大气噪声、人为干扰(有意的或无意的)、被传输信息的形式等。广义的自适应系统可以分为:频率自适应、速率自适应、分集自适应、自适应均衡和自适应调零天线等。
Ad Hoc网络要求协议栈的各层都应根据动态变化的网络环境和需求做出自适应调节。在频带操作、调制技术、MAC协议和功率设置上提供灵活的选择,优化网络连接和改善LPI/LPD指标。自适应机制提供了在网络中动态部署协议和调整流量的能力,不仅允许动态选择MAC和网络层参数,还能够动态指派和协商算法以及更换协议。
Ad hoc网络应实现健壮的自适应路由机制,以便快速响应由于电磁干扰、敌方破坏、节点移动造成的网络拓扑变化。路由协议应利用现有的网络资源,尽量减少传递消息的数量和传输每个消息的能耗来降低整个网络的资源耗费。节点可同时支持多种路由协议,例如可在表驱动路由和按需路由之间切换,或在簇内和簇间采用多径路由来提高数据传递的可靠性。自适应技术可以用于协议栈各层,一种设计选择是按照垂直集成的方式高效地组合这些独立的机制来优化系统性能。为此可以利用跨层设计方法,以便在系统约束下优化包括可生存性在内的各种系统目标。维护相距较远的骨干网络之间的通信,并充当地面骨干网络的备份通信设施来提高整个网络的可靠性和生存性。
4.建立入侵检测系统
入侵检测系统有入侵检测和隔离两项职能。入侵检测按检测数据源分为基于主机的检测和基于网络的检测;按分析和检测方法分为误用检测和异常检测。[4]Ad Hoc对入侵检测技术提出了重大挑战:
(1)开放的环境。使用知识库的更新是困难的,因为节点可能工作在不相连状态。异常检测模型是建立在对用户行为的长期学习基础上的,而Ad hoc中的节点生命周期短并不断移动。
(2)审计数据是局部的,缺少集中控制。Ad hoc中没有流量集中点,没有集中式服务器。
(3)正常、异常行为没有清晰的区别,如网络拓扑的改变使得很难判别是存在一个提供了错误消息的节点还是仅仅失去同步。
(4)有限的资源。这个特性使得入侵检测系统必须是轻负载、低计算量的。
目前,对Ad hoc中入侵检测系统的研究尚处于起步阶段,已有学者设计了入侵检测的检测模型,如一个基于Agent的分布式协作入侵检测方案,设计了一个对路由表的异常更新进行检测的检测模型。该IDS A gent方案运用于网络的每一个节点上,拥有六大功能模块,分为数据收集、本地检测、合作检测、本地入侵响应、全局入侵响应、安全通信等,如图5所示。
本地入侵响应全局入侵响应本地监测 合作监测本地数据收集 安全通信邻居IDSAgent本地系统和通信信息图5 IDS Agent组成
5.加强密钥管理
由于无线通信的无向性,Ad hoc网络很容易造成信息泄漏。因此,需要采用有效的保密措施来保证路由信息和数据的私密性。[5]与其他任何分布式系统一样,正确使用密钥管理系统对于Ad hoc网络的安全性十分重要。在Ad hoc网络中,数据的完整性和抗抵赖性一般需要基于加密算法来实现。无论采用何种加密体制都需要保护私密密钥的安全。但是,在Ad hoc网络如果完全依赖对称加密体制,则易遭受中间人攻击,并且难于排除恶意的内部节点的危害。如采用非对称加密体制,网络的安全将依赖于私密密钥的安全以及节点公开密钥的鉴别。在Ad hoc网络中,如采用单个CA建立密钥管理服务,负责整个网络安全的CA将成为整个网络的安全弱点。如果CA提供的服务不可用,节点将不能获得其他节点的公开密钥,不能与其他节点建立安全连接。备份CA能够缓解单点失效的问题,但是如果CA被入侵,将导致密钥管理系统的私密密钥泄漏。敌对方就能够使用该密钥签发错误的证书,并废除所有合法的证书,将给网络带来致命的威胁,而且简单备份CA提高了此种入侵的可能性。将信任分散是解决Ad hoc密钥管理的方法之一。
密钥管理服务的配置如图6所示,公开密钥K为网络中所有节点所共知,私有密钥k分成n份S1,S2,…Sn,每个服务器一份。每个服务器自己也有一个公开/私有密钥对Ki/ki。该服务由n个服务器共同构成,服务作为一个整体拥有一个公开/私有密钥对Ki/ki节点的公开密钥。
假设在一个Ad Hoc网络中,密钥管理服务由n个特定节点(称作服务器)共同完成。每个服务器都拥有自己的密钥对的同时还存储网络中所有节点的公开密钥,都知道其他服务器的公开密钥。这样,服务器之间就可以建立安全连接。假定在某一段时间,有t个服务器被攻击者截获,t≤n。如果某个服务器被截获,那么攻击者就得到它所存储的所有秘密信息。被截获的服务器可能失效,也可能行为异常。假设攻击者不具备破解所采用的密码方案的能力,那么只要保证以下两条就能保持服务正确。
(1)服务总能处理客户端的查询和更新请求。每次查询总是返回与请求客户端相关的最近更新的公开密钥,并假定在登录时不存在同时更新的情况。
(2)私有密钥从没泄露给攻击者。即攻击者永远不能颁发由服务器私有密钥签署的证书。
无线网络是个错综复杂的系统,其安全问题也越来越重要。本文仅以Ad hoc网络为例简单介绍了其路由协议、网络特点等。重点分析了其网络安全目标和存在的网络威胁,并针对其安全缺陷提出了Ad hoc网络的安全对策。由于水平有限,不足之处,谨请指导。
[1]聂敏,裴昌幸,李建东.移动Ad hoc网络三种路由协议的规模性比较研究[J].兰州大学学院(自然科学版),2005(6).
[2]刘志远,杨植超.Ad hoc网络及其安全性分析[J].计算机技术与发展,2006(1).
[3]王海涛,宋丽华.Ad Hoc网络的可生存性研究[J].数据通信,2005(6).
[4]阮立志等.Ad Hoc网络安全策略研究[M].郑州轻工业学院学报(自然科学版):2005(4).
[5]董坤,单洪.Ad hoc网络的安全威胁及安全策略[J].安徽电子信息职业技术学院学报,2004(5-6).
TP309
B
1673-8454(2010)03-0022-05
(编辑:杨馥红)