摘要：安全性是决定AdHoc网络潜能能否得到充分施展的一个关键所在,特别是AdHoc网络在军事上和商业上的应用。由于不依赖固定基础设施,AdHoc网络为其使用的安全体系结构提出了新的挑战。相比于传统的网络,AdHoc网络更易受到各种安全威胁和攻击,包括被动窃听、数据篡改和重发、伪造身份和拒绝服务等。用于传统网络的安全解决方案不能直接应用于AdHoc网络,现存的用于AdHoc网络的大多协议和提案也没有很好解决安全问题,特别是没有考虑特定的环境。

AdHoc网络的安全及目标

在传统网络中,网络采用层次化体系结构,主机之间的连接是准静态的,具有较为稳定的拓扑,可以提供多种服务来充分利用网络的现有资源,包括路由器服务、命名服务、目录服务等。目前已经提出了一系列针对这类环境的安全机制和策略,如加密、认证、访问控制和权限管理、防火墙等。AdHoc网络不依赖固定基础设施,具有灵活的自组织性和较强的健壮性。AdHoc网络中没有基站或中心节点,所有节点都可以移动、节点间通过无线信道建立临时松散的连接,网络的拓扑结构动态变化。AdHoc网络由节点自身充当路由器,也不存在命名服务器和目录服务器等网络设施。根据应用领域的不同,AdHoc网络在体系结构、设计目标、采用的协议和网络规模上都有很大差别。尽管基本的安全要求,如机密性和真实性,在AdHoc网络中仍然适用。但是AdHoc网络不能牺牲大量功率用于复杂的计算,并要考虑无线传输的能耗和稀少无线频谱资源。另外,节点的内存和CPU功率很小,强安全保护机制难以实现。这些约束在很大程度上限制了能够用于AdHoc网络的安全机制,因为安全级别和网络性能是相关的。因此,传统网络中的许多安全策略和机制不能直接用于AdHoc网络,需要对现有的安全方法加以改进,并采用新的安全策略和方法。

AdHoc网络的安全目标与传统网络中的安全目标基本上是一致的,包括:数据可用性、机密性、完整性、安全认证和抗抵赖性。但是两者却有着不同的内涵。

首先,可用性是指既使受到攻击,节点仍然能够在必要的时候提供有效的服务。可用性定义为与网络安全相关的一个关键特性。可用性保证网络服务操作正常并能容忍故障,即使存在拒绝服务共计的威胁。可用性涉及多层:在网络层,攻击者可以篡改路由协议,例如将流量转移到无效的地址或关闭网络;在会话安全管理层,攻击者可以删除会话级安全信道中的加密;在应用层,密钥管理服务也可能受到威胁等;其次,机密性是保证特定的信息不会泄露给未经授权的用户。军事情报或用户账号等安全敏感的信息在网络上传输时必须机密、可靠,否则这些信息被敌方或恶意用户捕获,后果将不堪设想。该问题的解决需要借助于认证和密钥管理机制;第三,完整性保证信息在发送过程中不会被中断,并且保证节点接收的信息应与发送的信息完全一样。如果没有完整性保护,网络中的恶意攻击或无线信道干扰都可能使信息遭受破坏,从而变得无效;第四,关于安全认证,每个节点需要能够确认与其通信的节点身份,同时要能够在没有全局认证机构的情况下实施对用户的鉴别。如果没有认证,攻击者很容易冒充某一节点,从而得以获取重要的资源和信息,并干扰其他节点的通信;第五,抗抵赖性用来确保一个节点不能否认它已经发出的信息。它对检查和孤立被占领节点具有特别重要的意义,当节点A接收到来自被占领节点B的错误信息时,抗抵赖性保证节点A能够利用该信息告知其他节点B已被占领。此外,抗抵赖性对于商业应用中保证用户的利益至关重要。

AdHoc网络的安全策略和机制

传统的安全机制,例如认证协议、数字签名和加密,在实现AdHoc网络的安全目标时依然具有重要的作用。

1.防止信息窃取攻击

使用多跳的无线链路使AdHoc网络很容易受到诸如被动窃听、主动入侵、信息假冒等各种信息窃取攻击。被动窃听可能使敌方获取保密信息;主动窃取攻击中敌方可以删除有用信息、插入错误信息或修改信息,从而破坏了数据的可用性、完整性、安全认证和抗抵赖性。对付被动窃听攻击,可以根据实际情况采用IPSec中的安全套接字协议(SSL)或封装安全净荷(ESP)机制。封装安全净荷可以为不能支持加密的应用程序提供端到端的加密功能,它不仅可以对应用层数据和协议报头加密,还能对传输层报头加密,从而可以防止攻击者推测出运行的是那种应用,具有较好的安全特性。为对付主动攻击,可以采用带有认证的端到端加密的方法。

2.加强路由协议安全

多数MANET路由协议能够适应网络环境的快速变化。由于路由协议负责为节点指定和维护必要的路由结构,必须防止机密性、真实性、完整性、抗抵赖性和可用性的攻击。如果路由协议受到恶意攻击,整个AdHoc网络将无法正常工作。所以,必须提供相应的安全机制,以便保护AdHoc网络路由协议的正常工作。但是,目前已提出的用于AdHoc网络的路由协议大都没有考虑这个问题。在开放的环境中保护路由流量是非常重要的,以便通信各方的身份和位置不被未授权的实体所了解。路由信息必须防止认证和抗抵赖性攻击,以便验证数据的来源。

路由协议的安全威胁来自两个方向:一是网络外部的攻击者通过发送错误的路由信息、重放过期的路由信息、破坏路由信息等手段,来达到致使网络出现分割、产生无效的错误路由、分组无谓的重传,网络发生拥塞并最终导致网络崩溃的目的,攻击者还可以通过分析被路由业务流量来获取有用信息;二是网络内部的攻击者可以向网内其他节点错误的路由信息和丢弃有用的路由信息。两种攻击都能造成网络中合法节点得不到应有的服务,因此也可以看作为一种拒绝服务攻击。可以使用数据安全中的各种加密机制来解决第一种威胁,比如带有时间戳的数字签名。解决第二种威胁较为困难,对路由信息进行加密的机制不再可行,因为被占领的节点可以使用合法的私有密钥对路由信息进行签名。

3.安全认证

不同的应用环境可以采用不同的认证机制。通过使用便携式电脑组建AdHoc网络来召开临时会议的应用环境中,与会者彼此之间通常比较熟悉并彼此信任,会议期间他们通过手提电脑通信和交换信息。与会者可能没有任何途径来识别和认证对方的身份,例如,他们既不共享任何密钥也没有任何可供认证的公共密钥。此时,攻击者可以窃听并修改在无线信道上传输的所有数据,还可能冒充其中的与会者。为此,可以采用由Asokan等人提出的基于口令的认证协议(PBA),它继承了加密密钥交换协议(EncryptedKeyExchange)的思想。在PBA中,所有的与会者都参与会话密钥的生成,从而保证了最终的密钥不是由极少数与会者产生的,攻击者的干扰无法阻止密钥的生成。同时,PBA还提供了一种完善的口令更新机制,与会者之间的安全通信可以基于动态改变的口令来建立。按照这种方式,即使攻击者知道了当前的口令,他也无法知道以前的和将来的口令,从而进一步减少了信息泄密的概率。

4.密钥管理

和任何其他分布式系统一样,正确的使用密钥管理系统对于AdHoc网络的安全性十分重要。需要一种与情景相关的高效的密钥管理系统。节点通过协商使用共享密钥或交换公钥来加密数据以防窃听。对于快速变化的AdHoc网络,密钥的交换可能需要按需进行而不能假设实现协商好的密钥。而对拓扑变化较慢的小型AdHoc网络,密钥可以进行协商或手工配置。如果采用公钥体系,整个保护机制依赖于私钥的安全性。由于节点的物理安全性较低,私钥必须秘密地存储在节点中,例如使用一个系统密钥加密。但是这并非一个动态的AdHoc网络希望的特征,因此需要正确的硬件保护(如智能卡)或者将密钥分布到多个节点。单独采用硬件保护也是不够的,集中式管理不可行,因此希望采用分布式密钥管理机制。

AdHoc网络中,数据的完整性和抗抵赖性一般也需要基于某种加密算法来实现。加密协议总体上可以分为两大类:私有密钥机制(如DES和IDEA)和公开密钥机制(如RSA)。但是面临的挑战是密钥的管理。如果采用私有密钥机制,则每个需要通信的节点之间都需要一个秘密密钥,所需管理的密钥数目为N(N-1)/2,其中N是节点数。对于规模较大的AdHoc网络而言,难以实施有效的密钥管理。因此通常采用公开密钥机制,但是由于没有中心节点和证书机构,密钥的管理仍很困难。一种解决密钥管理的方法是使用用户团体来代替证书权威机构,并在节点中分配证书目录。

5.访问控制

在AdHoc网络中同样存在控制对网络的访问以及控制访问网络提供的服务的需求。在网络层,路由协议必须保证不允许非授权节点加入网络,保证没有敌对节点加入和离开网络而不被检测到。在应用层,访问控制必须保证非授权用户不能访问服务。访问控制常与身份识别和认证相关联,确保合法用户有权访问服务。在一些系统中可能不需身份识别和认证,节点通过证书来访问服务。根据不同的网络结构和安全级别,访问控制的实现方式也不同。集中式的低安全级别网络,可以采用服务器控制的方式,用户ID加密码。

6.信任问题

在对安全敏感的AdHoc网络应用环境中,由于节点容易受到攻击,被俘获的可能性也较大,因此必须要建立适当的信任机制。在AdHoc网络中,信任问题是中心问题,我们不能信任媒介,必须借助密钥。因此一个基本的问题是如何生成可信任的密钥而不依赖受信任的第三方。AdHoc网络是一个动态自组织临时网络,不能保证网络中各个节点持有被其他节点信任的公钥,并且它们也无法出示可以互相信任的证书,一种策略是允许节点之间委托信任,已经建立信任关系的节点能够向组中其他成员扩展这种信任。

7.网络操作和服务的安全性

AdHoc网络的安全操作需要对链路或网络层进行保护。在一些方案中,链路层提供强安全服务用以保护机密性和真实性,在这种情况下高层所需的安全要求会减少。对于军事应用,机密性尤其重要,没有位置、身份和通信的保护,AdHoc网络中的用户非常容易遭受各种攻击。如果网络的可用性遭到破坏,用户可能根本无法执行他们的任务。路由信息的真实性和完整性常常并行进行处理,如果使用的是公钥密码体系,可以采用数字签名来证实数据的来源和完整性。抗抵赖性某种程度上与真实性(认证)相关,路由流量必须留下记录,使得发送路由信息的任何方都不能随后否决它向其他方传送了数据。

AdHoc网络的应用和安全紧密相关,安全问题的研究日益受到重视,但这是一个复杂的开放性问题,今后的研究工作任重道远。