（计算机应用技术专业论文）无线mesh网络安全方案研究.pdf

无线m e s h 网络安全方案研究摘要 摘要 无线m e s h 网络是下一代无线网络中的热门技术，它可以解决接入 n t e r n e t 的关键问题，但是无线m e s h 网络在安全性方面相当薄弱。目前这方面的研究还 很少，提出的安全方案多基于同一种安全策略，不能考虑m e s h 网络在不同环境 中的具体应用需求。 本文基于安全都是需要付出代价的，以新的多策略的安全方案来解决无线 m e s h 网络中的安全问题。提出将安全应用需求划分为机密性、匿名性和移动性 三个方面，而将安全信用等级划分为a 级( 所有节点都不可信) 、b 级( 内部节 点可信) 和c 级( 所有节点可信) 三个等级，并在基于身份的密码机制的基础 上根据需求定制相应的安全方案，以免资源浪费，文中还阐述了各种身份认证的 机制，并从理论上证明了这些身份认证的有效性。在入侵检测方面，本文提出结 合误用检测和异常检测，并根据w m n 中节点的移动性精确化异常检测，以降低 异常检测的误报率。对于所有节点都不可信的w m n 网络环境，提出基于用户而 非基于设备的信任机制。这种安全机制可以有效抵御因为用户的密钥泄露而带来 的网络攻击。对于用户的匿名性安全需求，本文提出了为用户颁发两种d 的方 案，这种方案既为用户颁发含有明文d 可以使用户使用自己身份的d ，还为用 户颁发加密后的口d ，用户可以基于自己的匿名性要求而选择自己需要的身份来 登录系统，提供了更好的适用性。拒绝服务攻击是常见的攻击方式，本文采取谜 题措施抵御拒绝服务攻击，实验证明，采取多策略的安全方案能够更有效的利用 网络资源，防范拒绝服务攻击。 关键词：无线m e s h 网络、网络安全、基于身份的密码机制 中图分类号：t p 3 9 3 0 8 无线m e s h 网络安全方案研究摘要 a b s t r a c t w i r e l e s sm e s hn e t w o r ki sah o t p r o s p e c tt e c h n o l o g yi nt h en e x tg e n e r a t i o n w i r e l e s st e c h n o l o g i e s i t 伽s o l v et h ep r o b l e mo fi n t e r a c ta c c e s s i n g ；h o w e v e r , i ts t i l l l a c k ss e c u r i t yi no r d e rt ob ea p p l i e d a l t h o u g hi m p o r t a n t ，s e c u r i t yi sa l la r e at h u sf a r r e c e i v e sl i t t l ea t t e n t i o n t h es o l u t i o n sp r o p o s e ds of a ra r em o s t l ys o l os c h e m a t e c h n o l o g y , s ot h e yc a n n o tt a k ed i f f e r e n ts e c u r i t yr e q u i r e m e n t so fw m n i nd i f f e r e n t a p p l i c a t i o na r e a s i n t oa c c o u n t b a s e do nt h ep r i n c i p l et h a tn os e c u r i t yo o m e sf r e e ，t h i sa r t i c l ea d o p t sam u l t i p l e s c h e m at e c h n o l o g yt os o l v es e c u r i t y p r o b l e m si nw m n i tc l a s s i f i e ds e c u r i t y r e q u i r e m e n t si n t ot h r e ec a t e g o r i e s ：c o n f i d e n t i a l i t y , a n o n y m i t ya n dm o b i l i t ya n dt r u s t l e v e l si n t ol e v e la ( n o n en o d ei st r u s t a b l e ) 1 e v e lb ( i n n e rn o d e sg a l lb et r u s t e d ) a n d l e v e lc ( a a lt h en o d e sa r et r u s t e d ) u s i n gi d e n t i t y - b a s e de n c r y p t i o n , t h i sa r t i c l e s p e c i f i e ds e c u r i t ys o l u t i o na c c o r d i n gt ot h ea p p l i c a t i o nr e q u i r e m e n t s ，a n dt h u st a k e s b e t t e ru s eo ft h en e t w o r kr e s o u r c e s i ta l s od e s c r i b e dt h ew a yo fa u t h e n t i c a t i o nw i t h t h e o r yv e r i f i c a t i o n i n t r u s i o nd e t e c t i o ns y s t e mi sa l s od i s c u s s e di nt h i sa r t i c l e ；i t i n t e g r a t e dm i s u s ed e t e c t i o na n da n o m a l yd e t e c t i o n , a n dt o o km o b i l i t yi n t oa c c o u n t w h i c h 啪d e c r e a s et h ef a l s ea l a r mr a t e i nt h el e v e lat r u s tl e v e l ac l i e n tb a s e dt r u s t m o d e li sp r o p o s e di n t h i sa r t i c l e t h i sm o d e lg a l ld e f e n dt h ea t t a c k si nw h i c ht h e s e c r e to ft h ec l i e n t si sc a p t u r e db yt h ea t t a c k e r s i no r d e rt os a t i s f yc l i e n t sa n o n y m i t y r e q u i r e m e n t , t h i sa r t i c l ep r o p o s e das o l u t i o ni nw h i c he v e r yc l i e n tw o u l dg o tt w o k i n d so fi d s o n ei so r d i n a r ya n dt h eo t h e ri se n c r y p t e d s oac l i e n tc a c h o o s ea p r o p e ri dt oa c c e s st h es y s t e m , t h i sc a ng r a n tc l i e n tw i t hb e t t e ra d a p t a b i l i t y d e n i a l o f - s e r v i c ea t t a c ki sac o m m o na t t a c km e t h o d w eu s ec l i e n tp u z z l e st os o l v e t h i sp r o b l e m a c c o r d i n gt ot h ee x p e r i m e n t , as o l u t i o nw i t hm u l t i p l es c h e m a sc a nt a k e b e t t e ru s eo fn e t w o r kr e s o u r c e s k e y w o r d s ：w i r e l e s sm e s hn e t w o r k , n e t w o r ks e c u r i t y , i d e n t i t y - b a s e de n c r y p t i o n 论文独创性声明 本论文是我个人在导师指导下进行的研究l 作及取得的研究成果。论文巾除 了特别加以标注和致谢的地方外，不包含其他人或其它机构已经发表或撰写过的 研究成果。其他同志对本研究的启发和所做的贡献均已在论文中作了明确的卢明 并表示了谢意。 作者签名：二三窆签垫r 期作者签名：二丕盈：复r 期 论文使用授权声明 本人完仝了解复旦大学有关保留、使用学位论文的规定，即：学校有权保留 送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其它复制手段保存论文。保密的论文在解密后遵守此 规定。 作者签名：盔盔丕导师签名作者签名：益歪亟导师签名 无线m e s h 网络安全方案研究引言 1 引言 1 1 研究背景及目的 随着人们对网络通信需求的不断提高，人们希望随时随地都能够进行快速、 准确的通信，为了提高工作效率，并且克服现有通信系统的缺点，达到通信的“无 所不在”，最近，人们提出了一种新型的宽带无线网络结构无线m e s h 网络 _ 1 m n ( w i r e l e s sm e s hn e t w o r k ) 1 2 传统的大规模无线通信系统是基于基站方案的无线通信系统，如图1 1 所示， 它是通过“最后一公里”的无线接入，为用户提供无线接入服务，这也是蜂窝无 线通信网络的雏形。但随着无限用户数目的增加，系统有限的频率资源制约着系 统的容量，使其开始无法适应业务需求的增长，于是出现了空间资源复用概念的 蜂窝移动通信系统。真正意义上的蜂窝系统的出现。大大缓解了用户业务与系统 资源之间的矛盾。蜂窝移动通信系统在应用上有它的局限性，从投资收益角度看， 它只适用于人口稠密、有永久用户业务需求的地区。对于用户移动性较大、不适， 于建立大功率基站的应用场合，移动a dh o c 则成为研究的热点。然而移动a d h o c 网络由于其应用环境和技术成本等原因，不适合直接应用到大规模通信领 域，在通信网络中，最大规模的通信业务应该是包括v o 口业务在内的i n t e m e t 业务，所以学术界开始把目光投向基于a dh o c 网络开发连入i n t e m e t 的业务， 于是无线m e s h 网络就在此背景下诞生了。 图1 1 传统的基于基站的无线通信系统 无线m e s h 网络安全方案研究引言 1 1 1 无线m e s h 网络的概念 无线m e s h 网络是一种与传统的无线网络完全不同的网络。传统的无线网络 必须首先访问集中的接入点( a l p ) 才能进行无线连接这样的话，即使两个 i e e e 8 0 2 1 1 的节点实际上就是互相挨着，它们也必须通过接入点才能进行通信。 而在无线m e s h 网络中，每个节点都可以与一个或者多个对等节点进行直接通信。 ”m e s h ”这个词原来的意思就是指所有的节点都互相连接，当然实际上绝大多数现 代的m e s h 网络只是通过部分节点相互连接。 因特网的构架其实就己经是一个m e s h 网络的结构。众所周知，接入因特网 的用户位于网络的边缘，他们通过网络内部的路由器和节点相互连接，而这些路 由器和节点的连接方式是这样的：当任意两个节点之间的一条链路失效后，路由 器会经由一个或多个别的路由器找到一条替代路径。这就体现了m e s h 网络的思 想。通常认为，无线m e s h 是点对点网络的一种，把它看成是移动a dh o c 技术 的一种简化版本。但两者有一定的区别，主要的不同在于网络结构的连接上，即 无线m e s h 中的接入点既可以作为移动a dh o c 网络的一种对等的数据转发实体， 又可作为一连接到其它有线网络的桥接器。无线m e s h 网络是一种高容量高速率 的多点对多点网络，是一种新型的可以解决“最后一英里”瓶颈问题的分布式网 络。 1 1 2 无线m e s h 网络的结构 w m n 的结构与传统意义上的移动a dh o c 网络结构有一定的差异。w m n 由 用户节点、m e s h 路由器节点和网关节点组成。但根据网络具体配置的不同，w m l q 不一定包含以上所有类型的节点。通常m e s h 用户节点可以是笔记本电脑、p d a 、 w i f i 手机、r f i d 阅读器和无线传感器或控制器等；m e s h 路由器可以是普通的 计算机，也可以是专用的嵌入式系统。与传统的无线路由器仅仅包括网管网桥 功能不同，m e s h 路由器还提供其它的路由功能以支持w m n 。通过多跳通信， m e s h 路由器可以以低得多的传输功率达到更广阔的覆盖范围。典型的w m n 的 结构如图1 2 所示，我们可以分三层来看这个示意图，第一层是a c c e s sp o i n t s ( a p s ) ，它们是高速连接i n t e r a c t 的接入点。第二层则由m e s h 路由器组成，这些 路由器一般移动性不强，它们通过长距离高速无线技术( 例如w i m a x ) 互相联 通，组成一个多跳的无线m e s h 骨干网络。第三层由m e s h 用户组成，这些m e s h 用户既可以直接连到某个m e s h 路由器从而接入网络，也可以通过其它m e s h 用 户为其转发分组到达无线m e s h 路由器。 2 无线m e s h 网络安全方案研究引言 图1 2 典型的w 蜊网络结构图 1 1 3 无线m e s h 网络的优点 无线m e s h 网络在组网与选路等特征上与传统无线网络存在着明显的区别。 实际上，无线m e s h 网络更像是i n t e m e t 网络的一种无线版本，由于节点只和其 邻近节点通信，从一个节点发出的数据包将根据路由协议的配置逐跳( h o p ) 传递 到目的节点。这种结构与传统点对多点网络结构相比具有较多的优势，主要表现 在下列几个方面： ( 1 ) 可靠性提高 提高网络可靠性的方法是让每个节点使用多条路径进行接续，以便链路出现 故障时不会影响整个网络。而在传统的点对多点网络中，节点的接入采用了星型 ( s t a r ) 结构，即多个节点将首先接入到一个中心点，再由中心点接入到网络中。 这样一来，若其中某一节点出故障，特别是中心点出现了故障将会影响到整个网 络的正常工作，因而这种网络结构的可靠性得不到很好的保证。例如：在蜂窝移 动通信系统中，星型结构的中心便是移动交换中心( m s c ) ，位于周边的若干个基 站( 晒) 首先接入到一个基站控制器( b s c ) 上，然后再通过b s c 连接到m s c ，若 其中某一b t s 与b s c 间的链路出故障，则此b t s 便无法接入m s c 。为提高网 无线m e s h 网络安全方案研究引言 络的可靠性，目前的点对多点网络中也采用了一些保护措施。如m h s p ( m o n i t o r e d h o t - s t a n d b yp r o t e c t i o n ) ，为主链路配置后备链路，此方法虽然简单，但每条路径 都需要配备有两个独立的链路和一个保护交换，而且同时只能有一个信道用于业 务的传送，大大降低了信道带宽的使用效率。而在无线m e s h 网络中，链路为网 状结构，每个节点可使用的链路数大大增加，且每个网络节点都具有链路功能， 如果其中的某一条链路出了故障，节点便可以自动转移到其它可选链路进行接 入，因而对网络的可靠性有了很大程度的提高。 ( 2 ) 碰撞减轻 无线m e s h 网络可以较大程度地减轻业务执行时碰撞现象的发生。无线m e s h 网络中提供了多个可选路径，业务在执行过程中受路径碰撞的影响便会降低，而 且无线m e s h 网络中还提供了碰撞保护机制，那些未经认证的无线链路若能去执 行m e s h 业务而引起碰撞时，系统将自动对此碰撞与链路进行标识，并将在此链 路上执行的业务转移到可选链路中。另外，在无线m e s h 节点中的可选链路与本 身链路的夹角通常为一钝角，甚至为相反方向，这为减轻链路问的干扰创造了条 件，我们知道，天气对无线信道会有一定的影响，如雨天会对无线链路造成一定 的功率衰减，但是天气的影响是局部的、有方f 句性的，通常同一方向的可选路由 或可选链路处于这种天气条件下的几率要大于方向相差较大的可选路由或链路， 因而呈钝角关系的路由或链路受到这种天气因素的影响便会大大降低，这也从一 个侧面减轻了业务执行时发生碰撞的可能性。 ( 3 ) 简化无线链路设计 与星型网络相比，无线m e s h 在无线链路的设计上也有所简化，主要体现在 两个方面：一是无线m e s h 的节点间呈网状或环状连接，相距较远的节点间通信时 的数据包将通过多个节点的转发，逐点传递到目的节点。但在星型网络中，较远 节点的数据包通常是用一个较长链路连接到某一中心点，再由此中心点转发此数 据包。与点对多点链路相比，无线m e s h 网络链路的长度通常更短，因而无线 m e s h 网络对天线传输距离与性能的要求便会大大降低，降低了天线的成本：二是 无线链路越短，所需的发射功率越低，降低了射频信号间的干扰，从而也减少了 整个网络的自干扰现象。 ( 4 ) 可扩展性 与星型网络相比，无线m e s h 网络是一种对等网络，网络中的每个节点是对 等的，这样连接到一共同节点的链路数目就会减少，因而需要进行信道分配的无 线链路数目也会随之减少，增加了网络的可扩展性。另外，对于网络带宽的配置 可以通过对接入点( a p ) 的配l l 来完成，而且还可以通过运行在节点和接入点上的 无线m e s h 路由( w m r ) 协议对不同业务进行带宽的匹配，实现不同业务间带宽的 4 无线m e s h 网络安全方案研究引言 平衡。因而与星型网络相比，无线m e s h 网络具有更好的可扩展性。 ( 5 ) 维护简便 无线m e s h 简化了网络的维护与升级，如前所述，每个节点都有多条可选路 由因而局部地区的升级与扩容将不会影响到整个网络的运行，方便了网络的维护 与操作。 1 1 4 无线m e s h 网络的应用 无线m e s h 网络的应用主要集中在两个方面：传感器和骨干网。 ( 1 瞒感器m e s h 传感器是一种构造相对简单、体积较小的装置，具有一个简单的处理器。它 经常被用来收集一些数据，例如湿度、压力、温度和振动等，并把这些数据传递 给其它的传感器。由于体积小，所以它们一般没有用户界面，甚至可以被视为数 据传送器。传感器还可以嵌入到设备当中，对压力、流量和温度进行监控。 ( 2 ) 骨干m e s h 无线m e s h 网络的骨干一般是指网络中构成主要数据传输线路的那些高速链 路。传统上，骨干网是使用光纤( 以前是铜线) 将各个边缘网络相互连接起来。在 m e s h 中只需要有一个节点连接到有线网络上，所有的m e s h 节点就都可以接入 到有线网络了。当然出于冗余度和流量的考虑，可能会需要更多的节点与有线网 络相连。骨干m e s h 可以布置在室内也可以在室外，室外设备往往附着在街灯上 或者是建筑物外表面上有电力可用的地方。由于线路上m e s h 设备的出现，每一 个节点都能与其它节点进行联系，因而，很多户外系统就不仅仅起到数据回程作 用了，它们也可以包含集成的接入点供客户端使用。这种解决方案往往包含两套 无线电，其中i e e e 8 0 2 1 l a 作为回程用，i e e e s 0 2 1 x b g 给客户端用，这大大减 轻了回程和用户对流量的争夺问题。 1 1 5 无线m e s h 网络的发展现状 美国m e s hn e t w o r k s 公司己经开发了相关的无线硬件和智能路由软件，其构 建的无线m e s h 网络支持诸如手机和笔记本等移动终端，这些终端可以自由接入 或退出网络，当两个或更多终端离开网络范围时，还可以组成自己的微型网。 由于新颁布的i e e e s 0 2 1 6 a 标准中己经明确提出把无线m e s h 网络技术应用 于宽带无线接入领域，无线m e s h 网络作为一种新的宽带无线接入方式己经引起 了业界的关注，它会对目前用于驻地用户宽带接入网络的d s l 技术和电缆技术 带来很大的竞争压力。很多公司已经开始将无线m e s h 技术用于宽带网络接入， 5 无线m e s h 网络安全方案研究引言 并且相关的无线路由器等产品也己开始商用，如诺基亚公司推出的无线路由器可 以安装在屋顶上，其产品目前已经获得超过5 0 家运营商的青唳，他们将借此建 立以用户为基础的高速无线网络。另外，无线m e s h 智能天线和超宽带技术的融 合更将深刻影响无线宽带接入的未来 1 2 本文主要研究内容 本文综合分析研究了无线m e s h 网络的安全需求与现有的安全方案，设计了 一种多策略的无线m e s h 网络安全方案，并给出了相应的证明与实验。 主要完成的研究内容包括： 1 、分析无线m e s h 网络的安全问题 2 、设计多策略无线m e s h 网络安全方案 3 、介绍如何在无线m e s h 网络中使用基于身份的密码机制 4 、验证多策略方案的安全性 1 3 本文结构 本文第二章首先细化w m n 的安全问题，具体内容包括w m n 所面临的安全 威胁、w m n 的安全目标以及目前学术界对w m n 安全问题的研究状况。 第三章主要提出多策略的安全方案，在第三章中，我们首先阐述基于单个策 略的安全方案的种种问题，然后基于应用和环境划分不同的安全需求等级，最后 再根据这些不同的安全等级定制安全方案，第三章的安全方案阐述主要基于如何 应用现有的协议系统来处理w m n 的特殊安全需求，以及如何将这种多策略的安 全与具体的协议结合起来。 第四章主要阐述w m n 安全方案所采用的基础架构，既密钥分配、信任模式、 身份认证等安全基础设施的问题。它首先阐述w m n 安全方案的基础基于身 份的密码机制，此后在此基础上阐述了w m n 安全系统的初始化，以及w m n 安全中的一些重要过程。 第五章在第四章的基础上运用安全基础架构来阐述如何利用基于身份的密 码体制来进行安全部署，特别是如何利用w m n 安全基础架构来进行多策略的网 络安全设置。它首先讨论了如何设计w i v i n 安全方案中的入侵检测系统，然后又 在安全需求的前提下修改w m n 安全方案中的一些基础过程，实现自动的多策略 系统。第五章还特别针对拒绝服务攻击进行了实验分析。 第六章是本文的总结，该章还展示了本文研究中的问题，并且对w m n 安全 方案未来的研究提出了展望 无线m e s h 网络安全方案研究w m n 安全问题 2w m n 安全问题 与m o b i l ea dh o cn e t w o r k 一样，安全问题是w m n 迈向大规模应用的一个 主要障碍。w m n 与有线网络不同，在有线网络中，攻击者必须获得进入网络的 物理通道或穿过防火墙和网关等几条防线，然而因为w m n 因为没有一条明确的 防线，针对它的攻击可能来自各个方面，攻击目标可以是任何一个用户节点，也 可能是任何一个m e s h 路由器，攻击的手段则包括窃取机密信息、路由攻击、链 路层攻击、拒绝服务攻击、非授权访问攻击等。 下面我们首先讨论w m n 面临的安全威胁，并在此基础上提出w m n 网络安 全目标，最后对前人的工作进行综述。 2 1w m n 的安全威胁 2 1 i 窃听攻击 由于w m n 中网络接入媒体的共享性，用户节点的数据很容易被不相关的恶 意节点窃听。在w m n 中，一个恶意节点可以通过很多种方法偷听到其它节点的 信息： 1 、恶意节点可以直接偷听邻居节点发送的信息，如图2 1 所示。假设此时 节点b 正在向节点a 发送数据，因为无线网络的特点，不仅节点a 可 以收到节点b 的无线信号，节点c 也可以收到节点b 的无线信号。恶 意节点就可以利用这种媒体共享性窃听邻居节点的信息。 图2 i 针对邻居节点的窃听攻击 2 、 恶意节点可以窃听通过它转发的信息。如图2 2 所示，节点a 需要发送 7 无线m e s h 网络安全方案研究w m n 安全问愿 信息到节点c ，但是节点c 超出了节点a 的信号覆盖范围，于是节点b 转发节点a 的信息。如果节点b 是恶意节点，那么它就可以德到所有 通过它转发的节点a 的信息。需要指出的是，这里节点b 与节点a 可 以不是邻居节点，即如果节点a 的信息是通过多跳到达节点b ，节点b 也是可以窃听节点a 与节点c 之间的信息的。 图2 2 对转发信息的窃听 3 、 恶意节点还可以窃听通过它的邻居节点转发的信息，这种情况类似前述 两种情况的综合，只要恶意节点在某条链路中的任何一个节点的信号覆 盖范围内，就能够对这条链路上的任何信息进行窃听。如图2 3 ，恶意 节点d 自己不是从a 到c 的通信链路中的一环，它只需要通过窃听节 点b 转发的信息就可以窃听从节点a 发向节点c 的信息了。 图2 3 窃听链路中转发的信息 2 1 2 非授权访问攻击 非授权访问攻击指入侵者可以伪装成授权用户进入系统。一旦进入，入侵者 就可以通过发送、接收、改变或伪造消息来侵害网络信息流的机密性和完整性。 这是一种主动攻击，而且可以使用与目标网络兼容的无线适配器来实施，或者利 用连接在网络上的已被控制了的( 例如失窃的) 设备。 另一种非授权访问是入侵者通过设置一个伪造的m e s h 路由器来欺骗无线站 点。当一个无线站点刚刚进入一个m e s h 网络覆盖范围时，它会基于信号强度和 观测到的数据包的误码率来选择一个m e s h 路由器进行连接。入侵者通过用强信 号设置一个伪造的m e s h 路由器，就很可能引诱一个站点进入他她的网络以捕获 密钥和登录口令。 8 无线m e s h 网络安全方案研究 w m n 安全问题 2 1 3 路由攻击 攻击者可以通过攻击路由机制来改变网络拓扑结构，并由此严重影响网络性 能。攻击动机可有多种：有时候这种攻击是合理的，因为通过故意不按照路由协 议工作有时可以帮助站点以更低的费用、更省的资源获得更好的服务。如图2 4 所示，无线站点a 需要发送数据到路由器a ，但是它不在路由器a 的覆盖范围 之内，于是通过无线站点b 转发数据，无线站点c 和路由器a 都在无线站点b 的覆盖范围之内，根据最短路径原则路线站点b 应该直接将数据转发给路由器 a ，但是因为转发服务是可以收取费用的，于是它转发给了与自己的另外一台计 算机无线站点c ，再由无线站点c 转发给路由器a 。这种合作式攻击可以更 具危害，攻击者可以将某个路由器包围起来，然后让所有来的数据都通过自己的 站点转发一遍。另一种攻击动机就是完全恶意的了，攻击者的攻击意图可能是分 离路由器与无线站点之间的连接，使得路由器孤立以致失去作用，或者攻击者就 是意图造成被攻击网络的网络阻塞，以达到打击竞争对手的目的 图2 4 合理的路由攻击 路由攻击的手段可有多种： 篡改路由信息【3 】： 攻击者可以通过篡改路由信息将数据引导到某个固定的站点，这样可以造成 网络拥塞。也为攻击者窃听网络中的数据信息提供了便利( 攻击者可以将对自己 有意义的信息都通过自己转发) 。 修改m e s h 路由器的状态【4 】： 通过修改m e s h 路由器的状态，攻击者可以大大降低网络的功能。例如攻击 者可以将某个空闲的m e s h 路由器状态修改为拥堵，这样网络中的信息就不会通 过该路由器转发，从而造成网络资源浪费。此外攻击者还可以修改某个拥堵的 m e s h 路由器状态为空闲，这样就会有更多信息通过这个本来就已经拥堵不堪的 路由器转发，造成大量数据遗失，网络性能受到严重影响。 使用复制站点【5 】： 在w m n 开放的网络环境中，攻击者可以轻易的捕获一个移动站点，从而获 9 无线m e s h 网络安全方案研究w m n 安全问题 得该移动站点的密钥等信息，有了这些信息攻击者就可以克隆这个移动站点。而 这些克隆的移动站点就可以被任意的安插在网络中，对网络的安全性造成映像。 施行拒绝服务攻击 6 】： 拒绝服务攻击是一种简单而有效的路由攻击方式，攻击者可以轻易的发起拒 绝服务攻击，而且这种攻击几乎是无法防范的。针对路由的拒绝服务攻击因路由 协议的不同而有变化，一种简单的攻击就是不断的发起路由发现，只要发起的频 率够快，网络资源就会很快被耗尽，从而引起网络瘫痪。 2 1 4 拒绝服务攻击 攻击者使节点无法对其他合法节点或终端提供所需的正常服务的攻击就是 拒绝服务攻击，这种攻击方式可以在各层进行。在物理层和m a c 层，攻击者通 过拥塞无线信道来干扰通信：在网络层，攻击者能破坏路由信息，使网络无法互 连；在更高层，攻击者通过伪造信息( 例如请求服务信息) 使高层服务紊乱。 拒绝服务攻击的后果取决于w m n 的应用环境。在w m n 中，使中心资源溢 出的拒绝服务威胁甚小。分布式的拒绝服务攻击威胁反而更加严重。如果攻击者 有足够的计算能力和运行带宽，w m n 可能相当容易崩溃或阻塞。对w m n 更严 重的威胁在于，被占领的a p 可能会重新配置全部或部分路由协议，并非常频发 的发送路由信息，造成网络阻塞或使资源异常稀少。具体来说就是一个a p 被占 领后，会欺骗和它连接的其他a p ，然后这些受欺骗的a p 又会欺骗其他a p ，这 样整个网络的毁坏程度会以指数级别增加，从而阻止其他节点获得已改变的网络 拓扑的新信息。在最糟的情况下，攻击者通过改变路由协议，使之以攻击者所期 待的方式运行。 2 2w m n 的安全目标 要w m n 安全，我们从以下几个角度去设定w m n 安全目标：可用性、机密 性、完整性、身份认证、不可抵赖。 2 2 1 可用性 可用性就是要保障网络资源无论在何时，无论经过何种处理，只要需要即可 使用，而不因系统故障或误操作等使资源丢失或妨碍对资源的使用，使得严格时 间要求的服务不能得到及时的响应。可用性要求w m n 在面对各种攻击或错误的 情况下继续提供核心的服务，而且能够及时的恢复全部服务。它的焦点不仅是对 抗计算机入侵者，还要保证在各种网络攻击的情况下商业目标得以实现，关键的 无线m e s h 网络安全方案研究w m n 安全问题 商业功能得以保持。 2 2 2 机密性 机密性要求网络中的数据必须按照数据拥有者的要求保证一定的秘密性，不 会被未授权的第三方非法获知。只有得到了拥有者的许可其他人才能获得具有敏 感性的秘密信息，w i v l n 必须能够防止信息的非授权访问或泄露。在w m n 中， 不仅用户的信息不能被未授权访问，路由信息也需要得到保护，因为根据路由信 息，攻击者可能获得用户的地理位置，从而对用户施行监视，这也有可能为攻击 者的进一步攻击提供便利，所以一定要保证路由信息不被泄露给不相干的第三 方。 2 2 3 完整性 完整性指网络中的信息安全、精确与有效，不因人为的因素而改变信息原有 的内容、形式与流向，即不能为未授权的第三方修改。它包含数据完整性的内涵， 即保证数据不被非法地改动和销毁，同样还包含系统完整性的内涵，即保证系统 以无害的方式按照预定功能运行，不受有意的或者意外的非法操作的破坏。信息 的完整性是信息安全的基本要求，破坏信息完整性是影响信息安全的常用手段。 目前有无线网络使用r c 4 数据流加密算法来保护数据传输和提供数据完整性， 基于8 0 2 1 1 的w l a n 采用的w e p 协议的核心算法就是r c 4 ，然而事实证明r c 4 算法存在很大的安全漏洞。研究者发现，在使用w e p 的无线网络中，在特定的 情况下，人们可以逆转r c 4 算法的加密过程，获取密钥，从而将已加密的信息 解密。实现这一过程并不复杂，只需要使用一台个人电脑对加密的数据包进行分 析，经过几个小时的时间就可以破译出信息的全部内容。 2 2 4 身份认证 身份认证使得一个节点可以确知另一个节点的身份。如果没有身份认证，一 个恶意节点可以自称自己为任意一个节点，从而访问仅仅授权给该节点的任何资 源。 在w m n 中，身份认证有两种形式： ( 1 ) 路由器用户间身份认证。m e s h 路由器需要验证用户的身份以防止未被 授权的访问。用户页需要验证m e s h 路由器的身份以防止攻击者伪装成m e s h 路 由器对其进行攻击。 ( 2 ) 用户用户间身份认证。当数据需要经过另外一位用户转发的时候，w m n 无线m e s h 网络安全方案研究 w m n 安全问题 就需要提供这种身份认证。它为用户之间建立身份信任，用户只会转发授权用户 的数据。 2 2 5 不可抵赖 不可抵赖保证消息源节点不能否认该消息是由它所发送，同时也需要保证不 是某一节点发送的消息不会被认为是该节点所发送。不可抵赖性对于w m n 的商 业应用是必须的，因为这牵扯到计费的问题：一方面，用户不能抵赖自己使用过 的w m n 网络服务。另一方面，运营商也必须按照用户使用的网络服务对其收取 费用，不能收取过多的费用。 2 3 相关工作综述 虽然w m n 研究是最近才开始的，其中最主要的研究领域在路由方面，安全 研究目前还没有引起足够的重视。直到2 0 0 6 年1 0 月，y a n c h a oz h a n g 和y u g u a n g h u a n g 才在i e e e 发表了第一篇关于w m n 的安全架构的文章【刀。 他们在文献用中提出了a r s a ( a t t a c k r e s i l i e n ts e c u r i t y a r c h i t e c t u r e ) 。与其 他无线安全方案不同的是，虹塔a 不需要建立双向的协议，由此削除了本地域与 漫游域的通信负载，从而能够帮助用户实时的接入网络。a r s a 的架构中区分用 户、运营商和中间人三个角色，这种划分类似于金融领域的信用卡用户、商户和 银行三者的划分。a r s a 基于这种划分而确立了以中间人为中心的信用体系。所 有的信任都通过数目有限的中间人得以保证。 1 2 无线m e s h 网络安全方案研究基于应用的多镱略安全方案 3 基于应用的多策略安全方案 w m n 可以应用于许多方面，我们可以为w m n 设计全面的安全方案，但是 安全并不是随便取得的，安全方案必然带来相应的资源消耗。所以本文提出这种 根据不同的应用采取多种策略的安全方案，这样不仅可以节省宝贵的资源，而且 可以把稀缺的资源用在最需要安全的领域，从而为用户提供更有效的安全解决方 案。 3 1 单一策略安全方案的脆弱性 早在移动a dh o g 网络运用于军用领域的时期，就有研究者为其设计单一策 略的安全方案。l i d o n gz h o u 和z y g m u n tj h a s s 就提出过基于分散信任的安全解 决方案 8 1 。该方案基于两个基本原则：( 1 ) 利用移动a d h o c 网络拓扑中的路由冗 余性来保证网络可用性。( 2 ) 网络内部的任何单个节点都是不可信任的，但是我 们可以相信t + 1 个节点的集合，即相信敌人同时占领的节点数不会超过t 。该方 案的核心在于其密钥管理服务，其配置为( n ，t + 1 ) ( n 3 t + 1 ) ，也就是说在网络中 配置n 个服务器，每个服务器都有自己的密钥并保存其它所有节点的公钥。该方 案采用阀值加密【9 ，1 0 】的方法，这种加密方式将加密操作的能力分成n 个部分， 只有( i + 1 ) 个成员共同执行操作才能加密成功。这种基于对t + 1 个节点集合的信任 是相当安全的办法，然而这种方案过于复杂，很难达到大规模的应用，而且这种 复杂的方案也为拒绝服务攻击提供了便利，攻击者在这里只需要对某个范围内的 节点进行拒绝服务攻击就可以破坏网络的同步性，使得密钥更新操作失败，于是 就破坏了整个安全方案。 a r i a d n e 1 1 是另一个颇具影响力的安全方案，该方案使用每跳哈希算法来保 障其安全，每个节点在转发数据时都会把自己的标识加在前面，并且计算h ( 节 点，前一条的哈希链) 。这里h 是一个哈希函数。这样主要是保障路由信息的安 全，攻击者对路由信息中的任何修改都会导致在目的端无法通过验证，其具体步 骤如下： s ：p s 一( g r e o ，s ，d ) ，l | - 上f m c ( a ) s 一：( 风，册i ) a ：h a - h 0 ，胁5 ) ，p a - ( r r e o ，s ，d m 】，如，【】) ，胁- h m a c r 。( p a ) a - ：( p a ，“) 无线m e s h 网络安全方案研究基于应用的多策略安全方案 b ：h s h ( 占，h a ) ，p b 一( r r 疆q ，s ，d ，【4 ，曰】，h b ， r o d ) ，删口- h m a c r j ( p a ) b 一+ ：( n ，_ i ，1 5 ) c ：h c h ( c ，加) ，p c - ( 尺艇q ，s ，d ，阴，b ，c 】，h c ，【m j ，r o d ) ，m c - h 捌c r ( p c ) c _ ：( p c ，m c ) d ：p o 一( p r e p ，d ，5 ，m ，b ，c 】，m ，舢，m c 】) ，m d m 纠( n ) d c ：( 岛，脾d ，【】) c b ：( p d ，m d ，陋】) b _ 爿：( p o ，m o ， k c ，硒】) a s ：( p o ，m o ，【& ，缸，弛】 源节点s 使用源路由来连接目标节点d ，路由的中间节点包括a 、b 和c 。 a r i a d n e 在目标节点d 处建立哈希链h ( c ，h p ，h ，豫幽c 矗岱，d ) ) ) ) 。其中 h m a c x m ( m ) 代表通过s 和d 之间的密钥加密的m ，加密函数为h m a c 。单向 哈希函数h 用于验证哈希链中的信息。矾纠c 一岱，d ) 则用来验证源节点与目标 节点之问的关系。砸o 是路由请求信息，r i 逻p 则是路由应答信息。在目的端， d 可以通过在p c 中的a 来计算船。d 收到的消息中有明文的节点列表，所以d 可以计算_ i l c 并与p c 中的1 l c 相比较。因为h 是单向的哈希函数，反向计算几乎 是不可能的，所以d 可以确认节点列表未被修改。a r i a d n e 这种保护路由信息的 方式十分有效，同时它具有较低的运算负荷。但是这种方法只能用来用于验证， 而不能用于加密，因为每个节点都会收到以明文方式存在的信息。在我们w m n 的安全方案中，这种安全策略还会暴露用户的位置信息，这对于w m n 的商用是 不能接受的。s e a d 1 2 针对a o d v 1 3 提出了相似的解决方案，其方法与a r i a d n e 类似，不同之处在于它使用反向的哈希链以保护路由度量的下限。所以这种方案 也具有a r i a d n e 同样的脆弱性。 a r a r 1 4 使用公钥加密来保证每个节点都知道正确的下一跳，源节点s 洪 泛一个签过名的r r e o 分组，任何一个节点收到第一份r r e o 时，即设置反向 路径指向上一跳，然后签名并广播该分组，其它节点收到后先检查认证后自己签 名广播。当目的节点收到r r e q 时，它对r r e p 签名后并按反向路径单播发送 出去，每个反向路径上的节点都认证前一个节点并如上自己的签名以防止路径被 更改。这种方法仍然是以明文方式存储路由信息，会暴露用户的位置。而且这种 1 4 无线m e s h 网络安全方案研究基于应用的多箍略安全方案 办法假设无线链路是对称的，在很多情况下这种假设并不适用。 以上都是基于防范的机制，文献i t s 指出有些攻击( 例如分组转发攻击) 是 无法防范的，这种时候就要用到反应式方法。反应式方法就是允许攻击的发生， 但要在攻击发生后检测问题点并采取必要的措施进行补救。 检测一般是基于无线信道的开放性，每个节点可以通过监听正在进行的传送 从而评价邻居节点的行为来检测不法行为。但是由于信道错误，冲突和移动性， 这种检测并不精确，而且检测可能被一个恶意节点利用以冤枉其它合法的节点。 为了解决这些问题，有必要对检测结果进行整合和提纯，这有点类似于现实世界 的陪审团制度，经过一组节点的投票表决来达n d , 组内的一致意见，从而提纯小 组内的检测结果，检测出恶意节点。文献【1 6 】提出看门狗方法监视分组转发。它 假设无线链路具有对称的连接性。当a 转发一个分组到b ，根据路由信息它知 道下一跳将是c ，于是它开始监听周围的传输，若在超时前还没能听到b 发往c 的包，则增加对b 的失败计数，当此计数达到一个阀值时，a 就会向源节点报 告这个错误。文献【1 7 】提出的方案在此基础上做了些改进，它考虑了诸如分组修 改、分组复制和分组拒绝服务攻击等其它攻击，在这个方案中，每个独立节点的 检测结果被签名并且洪泛出去，多个不同节点来的结果可以共同撤回对一个恶意 节点的认证，从而将这个节点排除出网络。基于a c k 的检测【1 8 】是一种基于显 示的a c k 信息来检测恶意节点的方案，目的节点成功收到每个分组都会向源节 点发送一个a c k 。若丢包数超过一个阀值，那么