Ad Hoc网络的安全及目标
在传统网络中,网络采用层次化体系结构,主机之间的连接是准静态的,具有较为稳定的拓扑,可以提供多种服务来充分利用网络的现有资源,包括路由器服务、命名服务、目录服务等。目前已经提出了一系列针对这类环境的安全机制和策略,如加密、认证、访问控制和权限管理、防火墙等。Ad Hoc网络不依赖固定基础设施,具有灵活的自组织性和较强的健壮性。Ad Hoc网络中没有基站或中心节点,所有节点都可以移动、节点间通过无线信道建立临时松散的连接,网络的拓扑结构动态变化。Ad Hoc网络由节点自身充当路由器,也不存在命名服务器和目录服务器等网络设施。根据应用领域的不同,Ad Hoc网络在体系结构、设计目标、采用的协议和网络规模上都有很大差别。尽管基本的安全要求,如机密性和真实性,在Ad Hoc网络中仍然适用。但是Ad Hoc网络不能牺牲大量功率用于复杂的计算,并要考虑无线传输的能耗和稀少无线频谱资源。另外,节点的内存和CPU功率很小,强安全保护机制难以实现。这些约束在很大程度上限制了能够用于Ad Hoc网络的安全机制,因为安全级别和网络性能是相关的。因此,传统网络中的许多安全策略和机制不能直接用于Ad Hoc网络,需要对现有的安全方法加以改进,并采用新的安全策略和方法。
Ad Hoc网络的安全目标与传统网络中的安全目标基本上是一致的,包括:数据可用性、机密性、完整性、安全认证和抗抵赖性。但是两者却有着不同的内涵。
首先,可用性是指既使受到攻击,节点仍然能够在必要的时候提供有效的服务。可用性定义为与网络安全相关的一个关键特性。可用性保证网络服务操作正常并能容忍故障,即使存在拒绝服务共计的威胁。可用性涉及多层:在网络层,攻击者可以篡改路由协议,例如将流量转移到无效的地址或关闭网络;在会话安全管理层,攻击者可以删除会话级安全信道中的加密;在应用层,密钥管理服务也可能受到威胁等;其次,机密性是保证特定的信息不会泄露给未经授权的用户。军事情报或用户账号等安全敏感的信息在网络上传输时必须机密、可靠,否则这些信息被敌方或恶意用户捕获,后果将不堪设想。该问题的解决需要借助于认证和密钥管理机制;第三,完整性保证信息在发送过程中不会被中断,并且保证节点接收的信息应与发送的信息完全一样。如果没有完整性保护,网络中的恶意攻击或无线信道干扰都可能使信息遭受破坏,从而变得无效;第四,关于安全认证,每个节点需要能够确认与其通信的节点身份,同时要能够在没有全局认证机构的情况下实施对用户的鉴别。如果没有认证,攻击者很容易冒充某一节点,从而得以获取重要的资源和信息,并干扰其他节点的通信;第五,抗抵赖性用来确保一个节点不能否认它已经发出的信息。它对检查和孤立被占领节点具有特别重要的意义,当节点A接收到来自被占领节点B 的错误信息时,抗抵赖性保证节点A能够利用该信息告知其他节点B已被占领。此外,抗抵赖性对于商业应用中保证用户的利益至关重要。
Ad Hoc网络的安全策略和机制
传统的安全机制,例如认证协议、数字签名和加密,在实现Ad Hoc网络的安全目标时依然具有重要的作用。
1.防止信息窃取攻击
使用多跳的无线链路使Ad Hoc网络很容易受到诸如被动窃听、主动入侵、信息假冒等各种信息窃取攻击。被动窃听可能使敌方获取保密信息;主动窃取攻击中敌方可以删除有用信息、插入错误信息或修改信息,从而破坏了数据的可用性、完整性、安全认证和抗抵赖性。对付被动窃听攻击,可以根据实际情况采用IPSec中的安全套接字协议(SSL)或封装安全净荷(ESP)机制。封装安全净荷可以为不能支持加密的应用程序提供端到端的加密功能,它不仅可以对应用层数据和协议报头加密,还能对传输层报头加密,从而可以防止攻击者推测出运行的是那种应用,具有较好的安全特性。为对付主动攻击,可以采用带有认证的端到端加密的方法。
2.加强路由协议安全
多数MANET路由协议能够适应网络环境的快速变化。由于路由协议负责为节点指定和维护必要的路由结构,必须防止机密性、真实性、完整性、抗抵赖性和可用性的攻击。如果路由协议受到恶意攻击,整个Ad Hoc网络将无法正常工作。所以,必须提供相应的安全机制,以便保护Ad Hoc网络路由协议的正常工作。但是,目前已提出的用于Ad Hoc网络的路由协议大都没有考虑这个问题。在开放的环境中保护路由流量是非常重要的,以便通信各方的身份和位置不被未授权的实体所了解。路由信息必须防止认证和抗抵赖性攻击,以便验证数据的来源。
路由协议的安全威胁来自两个方向:一是网络外部的攻击者通过发送错误的路由信息、重放过期的路由信息、破坏路由信息等手段,来达到致使网络出现分割、产生无效的错误路由、分组无谓的重传,网络发生拥塞并最终导致网络崩溃的目的,攻击者还可以通过分析被路由业务流量来获取有用信息;二是网络内部的攻击者可以向网内其他节点发布错误的路由信息和丢弃有用的路由信息。两种攻击都能造成网络中合法节点得不到应有的服务,因此也可以看作为一种拒绝服务攻击。可以使用数据安全中的各种加密机制来解决第一种威胁,比如带有时间戳的数字签名。解决第二种威胁较为困难,对路由信息进行加密的机制不再可行,因为被占领的节点可以使用合法的私有密钥对路由信息进行签名。