移动自组网网络安全技术简述

2020-09-04 08:58丁懿欢
科学与信息化 2020年21期
关键词:入侵检测

丁懿欢

摘 要 当今移动自组网在各个领域应用广泛,但其在网络安全方面上却显得非常脆弱。本文简述了当今移动自组网主流的安全技术,分别为物理层安全技术、入侵检测、安全路由、密钥管理、信誉管理体制五个方面。

关键词 物理层安全;入侵检测;安全路由;密钥管理

前言

移动自组网是一种不依赖于固定基础设施且无中心的网络,该网络能够自行组网,其中的每个节点可以同时具有终端和路由器的作用。移动自组网主要应用于抗险救灾、应急反恐、军事通信等特殊环境下,有着无可取代的地位。同时,网络安全是移动自组网特别关注的领域。移动自组网的机密性、完整性、可用性、安全认证以及抗抵赖性相对于有固定基础设施的无线网络有着特殊的意义:

机密性是指特定密级的信息必须传达给特定的接受者,而不会泄露给非法的用户。同时路由信息也一定要保密。完整性指的是信息在发生过程中不能被篡改,也不能被中断。可用性指的是节点可以一直提供有效服务,即便受到攻击时也能提供服务。安全认证指的是每个节点能与子网内的其他节点进行有效的身份认证和鉴别。抗抵赖性指的是每个节点无法否认已经发生的信息内容。

1网络安全的挑战

移动自组网因其开发性的平台,在网络安全上要面对欺骗、伪装、窃听、攻击等不同程度的伤害。其中攻击主要包括黑洞攻击、虫洞攻击、拒绝服务攻击以及资源耗尽攻击等。移动自组网具有以下的特殊性:

第一无中心。因为移动自组网内没有一个全局的认证机构,认证完全依赖于节点之间操作,没有一个完全可信任的第三方,恶意节点很可能冒充正常节点进行攻击。第二资源有限,尤其是硬件资源,因此无法实现高复杂度的加密算法。第三拓扑变化快速,节点随意加入或者离开。这些动态的变化使得节点成员之间的信任关系并不是一成不变的。而一些静态配置的安全方案无法适用于此。

而这些的特殊性使得它在网络防护方面需要比具有固定基础设施的无线网络付出更高的代价。

2网络安全技术

传统的网络安全技术,比如安全认证、数字签名、防火墙、加密等,并不能完全照搬于移动自组网,必须加以整改优化再利用。本文主要介绍的网络安全技术有物理层安全技术、入侵检测、安全路由、密钥管理以及安全信誉机制。以下分别介绍:

传统的加密方式主要针对加密的消息(内容)而无法涉及消息的承载体——无线信道。这样使得加密和传输独立进行,外挂式、补丁式的安全措施并不能保证没有非法攻击。恶意节点可以利用无线信号的广播性进行假冒、篡改等行為以及中间人转发和重发。因此物理层安全技术受到当今网络安全技术人员的特别关注。技术人员利用无线信道特殊的自然特性,诸如唯一性、随机性、互易性,可以对各类无线终端进行身份认证,生成密钥和对信息的加密。物理层安全技术利用无线信道无法复制的内在属性,实现了效率与安全的折中。主要有的射频指纹与信道密钥,可以将安全信息耦合进无线信号传输里,认证参数和无线信号特征、传输路径绑定,对身份的认证转换为对信道的认证。这样使得认证、加密与传输三者有机地融为一体。

入侵检测是通过对网络中的节点行为进行监控、分析、分类,检测是否有潜在被攻击的迹象和违反安全的行为,使得自身不被恶意节点攻击。传统的分布式入侵检测以及看门狗Watchdog方案很难平衡好效率、公平性以及资源三者之间的关系,而当今基于人工智能算法的入侵检测技术,利用无监督模糊聚类、克隆选择聚类等算法在兼顾公平、资源因素的同时,可以提高检测率以及降低漏检率。

安全路由协议,需要支持网络安全管理,可以通过现有的路由协议上进行改进,也可以提出全新的安全路由协议。前者有AODV协议的安全化、0LSR协议的安全化,DSR协议的安全化等等;后者安全路由协议有SRI,ARAN、SEA、Ariadnec、SGF等协议。安全路由面对不仅来自子网外部攻击,而且还需面对来自子网内部的攻击。外部攻击通过更改路由信息来分隔网络,或者插入路由数据包、重传过时路由信息、产生大量的重传信息和无效路由以此加大网络负载。而更严重的攻击来自子网内部,主要为恶意节点广播的错误路由消息[1]。为了防止内外部的攻击,通过在安全路由协议中添加数字签名,节点能像保护数据通信那样保护路由信息。

传统的加密方式,比如有线等效加密方式,仍有可能被窃听以及遭受到大量攻击。为了提升加密算法的有效性,须结合硬件、存储等资源,兼顾到计算复杂度,并优化已有加密算法结构,从序列、分组、哈希表等角度设计[2],同时也必须考虑到移动自组网拓扑的动态变化。

此外移动自组网这种特殊的网络结构使得其无法拥有一个单独的认证中心。然而移动自组网必须进行有效的身份认证,通过节点之间相互认证,可以建立一个能够被分享的安全密钥。当今的主流技术是利用椭圆曲线密码体制和门限秘密共享技术等加密方式形成可认证的组密钥。针对组密钥更新优化及一致性的管理问题,在没有影响网络安全性的前提下,利用组密钥服务中心化可以提高了组密钥更新效率,也可以有效地避免了因组密钥不一致而造成节点孤立,以上组密钥的管理方式可以兼顾了移动自组网节点移动性以及对等性。组密钥管理方式不仅实现了可认证的密钥管理,同时也满足移动自组网分布式的密钥生成方式。

除了以上几种网络安全措施外,还有安全信誉机制。安全信誉机制从一定程度上解决了移动自组网网络因没有服务器管理而带来的安全管理问题,缓解了自组网节点之间不信任的关系。该机制主要包括两个阶段:首先端对端进行安全路由识别,其次在邻居节点之间建立本地信任关系[1]。

3结束语

移动自组网的无中心对等的网络结构,以及节点资源有限和动态变化使其在网络安全方面面临了种种挑战。以安全目标为导向,解决移动自组网网络安全的脆弱性。主要介绍了物理层安全技术、入侵检测、安全路由协议、密钥管理、安全信誉机制五方面安全技术。

参考文献

[1] 张鹏,孙磊,崔勇,等.移动自组网安全技术研究[J].计算机科学,2009,36(7):1-7,14.

[2] 季新生,黄开枝,金梁,等.5G安全技术研究综述[J].移动通信,2019,43(1):34-39,45.

猜你喜欢
入侵检测
多Agent的创新网络入侵检测方法仿真研究
基于入侵检测的数据流挖掘和识别技术应用
艺术类院校高效存储系统的设计
基于关联规则的计算机入侵检测方法
无线传感器网络发展历史及安全需求及技术挑战
无线传感器网络入侵检测系统综述
人工神经网络的改进及其在入侵检测中的应用
基于Φ—OTDR的分布式入侵检测系统的应用综述
一种基于数据融合的新的入侵检测框架