弋改珍

（咸陽師范學(xué)院 信息工程學(xué)院，陜西 咸陽 712000）

隨著Internet的擴(kuò)展和各種Internet應(yīng)用的繁榮，多跳無線網(wǎng)絡(luò)（MWNs：Multi-hop Wireless Networks）將被廣泛采用。然而，無線網(wǎng)絡(luò)的固有特性：有限的覆蓋范圍、低可靠性、缺乏安全性和隱私保護(hù)，嚴(yán)重地阻礙了無線網(wǎng)絡(luò)技術(shù)在實(shí)際中的應(yīng)用。如果在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的周圍部署新的訪問點(diǎn)，以延伸射頻覆蓋范圍，使用多跳無線網(wǎng)絡(luò)技術(shù)能更大領(lǐng)域地提供Internet訪問；同時(shí)多跳無線技術(shù)的多重轉(zhuǎn)發(fā)路徑也增強(qiáng)了網(wǎng)絡(luò)的健壯性和可靠性。因此多跳無線技術(shù)吸引了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。

在無線網(wǎng)絡(luò)應(yīng)用于實(shí)際環(huán)境之前，必須解決由無線特性帶來的特殊安全威脅受到來自各方面的安全性威脅：竊聽、篡改、節(jié)點(diǎn)妥協(xié)、流量分析等。機(jī)密性和私密性是無線網(wǎng)絡(luò)安全需求中的主要考慮的問題，也是無線網(wǎng)絡(luò)安全研究的主要領(lǐng)域之一。本文在總結(jié)MWNs的可能安全威脅的基礎(chǔ)上，分析了信息安全的基本需求。通過鑒別和總結(jié)MWNs的特點(diǎn)，討論了MWNs的信息安全和現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的信息安全之間的區(qū)別。確定了MWNs中實(shí)現(xiàn)信息安全的挑戰(zhàn)，并建議了與MWNs信息安全相關(guān)的4個(gè)研究問題。

1 MWNs的固有特征

1）無線信道的開放性

MWNs的一個(gè)主要特征是無線信道的開放特性。無線信號本質(zhì)上是廣播信號，允許并吸引了眾多的惡意攻擊。開放無線信道允許并引發(fā)更多被動(dòng)和主動(dòng)攻擊，比如偷聽，數(shù)據(jù)注入/修改、擁塞。這些攻擊使得無線信道更易遭受惡意濫用和破壞。此外，這些攻擊潛在的好處是可能引發(fā)更先進(jìn)的攻擊技術(shù)，比如流跟蹤和流分析，呈現(xiàn)出對用戶隱私更要重的威脅。

2）中間節(jié)點(diǎn)的脆弱性

由于無線信號的受限的有效傳送范圍，MWNs中的節(jié)點(diǎn)比其他網(wǎng)絡(luò)中節(jié)點(diǎn)被部署的更密集。密集的網(wǎng)絡(luò)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)比較便宜。由于實(shí)際的經(jīng)濟(jì)原因，每個(gè)節(jié)點(diǎn)沒有強(qiáng)大的裝備以抵抗所有類型的攻擊。另外，無線網(wǎng)絡(luò)節(jié)點(diǎn)通常被部署在建筑物外或者公眾區(qū)域，而不是像有線網(wǎng)絡(luò)節(jié)點(diǎn)一樣被部署的建筑物之內(nèi)。對手能夠很容易地進(jìn)入這些區(qū)域，然后發(fā)起沒有管理員和真實(shí)用戶意識的惡意攻擊。所有這些因素使得MWNs中的節(jié)點(diǎn)更易受節(jié)點(diǎn)妥協(xié)攻擊。

3）多徑轉(zhuǎn)發(fā)特性

在MWNs中，網(wǎng)絡(luò)通過無線信號連通，通過多路由路徑轉(zhuǎn)發(fā)分組以提高網(wǎng)絡(luò)系統(tǒng)的健壯性和可靠性；多徑分組轉(zhuǎn)發(fā)也被用于均衡網(wǎng)絡(luò)流量負(fù)載，最大化網(wǎng)絡(luò)吞吐量。

4）資源受限

由于MWNs中的節(jié)點(diǎn)密集且便宜，特別是無線傳感器網(wǎng)絡(luò)中的監(jiān)控節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)的計(jì)算能力、存儲空間、電源供應(yīng)等都有限，沒有足夠的能力對每個(gè)消息執(zhí)行復(fù)雜的公鑰加密，沒有足夠存儲空間保存所有感知的數(shù)據(jù)，沒有足夠電能有效傳送數(shù)據(jù)。因此，在這種資源受限的環(huán)境下，容易引發(fā)更多的DoS攻擊，這使得許多安全機(jī)制不適合資源受限的MWNs，需要從新的觀點(diǎn)來解決這些信息安全問題。

2 MWNs的安全威脅

Reza Curtmola等人在文獻(xiàn)[1]分析了MWNs中多播環(huán)境存在的安全缺陷：1）在多播環(huán)境中，多播協(xié)議的建立和維護(hù)需要更復(fù)雜的結(jié)構(gòu)和操作，比如樹形結(jié)構(gòu)的構(gòu)造，數(shù)的修剪、合并等。這些情況在單播環(huán)境中沒有相應(yīng)的策略，可能暴露出多播協(xié)議存在的新的缺陷。2）多播路由協(xié)議由路由發(fā)現(xiàn)、路由活動(dòng)和樹管理3部分組成。外部攻擊者通過注入、替換和修改控制分組破壞路由發(fā)現(xiàn)，使自己成為受信節(jié)點(diǎn)加入樹結(jié)構(gòu)，發(fā)布惡意報(bào)告。

Jung-Chun Kao等人在文獻(xiàn)[2]中分析了ad hoc無線網(wǎng)絡(luò)中存在的竊聽攻擊安全威脅。Ad hoc無線網(wǎng)絡(luò)由自治節(jié)點(diǎn)組成，每個(gè)節(jié)點(diǎn)都能發(fā)送和接收分組。這給敵手節(jié)點(diǎn)一個(gè)可乘之機(jī)，敵手節(jié)點(diǎn)通過自治方式連接到網(wǎng)絡(luò)，攔截?cái)?shù)據(jù)信息，對截獲的數(shù)據(jù)信息進(jìn)行分析，從而對網(wǎng)絡(luò)實(shí)施攻擊。Shafi Bashar等人在文獻(xiàn)[3]中分析了多條無線網(wǎng)絡(luò)中存在的竊聽威脅。

根據(jù)文獻(xiàn)[1-3]，MWNs信息安全的可能安全威脅有以下4個(gè)方面：

1）竊聽 由于無線信道的開放特性，敵手在不使用任何物理線路連接的情況下就可進(jìn)行竊聽；又由于MWN的規(guī)模不是足夠大或者許多攻擊者相互勾結(jié)發(fā)起竊聽，敵手有可能進(jìn)行全局竊聽。

2）數(shù)據(jù)注入/修改 開放的無線信道對于防止敵手注入數(shù)據(jù)分組沒有任何阻礙。敵手首先截獲數(shù)據(jù)包，然后將他們的包注入無線網(wǎng)絡(luò)，就能夠很容易的完成數(shù)據(jù)修改。

3）節(jié)點(diǎn)妥協(xié) 無線網(wǎng)絡(luò)節(jié)點(diǎn)或者移動(dòng)站比有線網(wǎng)絡(luò)中的網(wǎng)絡(luò)路由器更容易被泄露。網(wǎng)絡(luò)節(jié)點(diǎn)一旦被泄露，敵手會(huì)獲得比如密鑰的各種秘密信息，可以對收到的密文進(jìn)行解密。因此，敵手停留在網(wǎng)絡(luò)中，成為內(nèi)部攻擊者，這比外部攻擊者更麻煩。

4）流量分析/流跟蹤 比泄露用戶隱私更先進(jìn)的攻擊是流量分析，通過分析通信節(jié)點(diǎn)對之間的流量模式或者通信流就可以發(fā)起流量分析攻擊。通過先進(jìn)的技術(shù)比如時(shí)間相關(guān)性、大小相關(guān)性、或者消息內(nèi)容相關(guān)性，發(fā)起流跟蹤攻擊。一個(gè)基于內(nèi)容相關(guān)性的回溯攻擊，可以泄露源節(jié)點(diǎn)的位置隱私。

3 信息安全需求

根據(jù)MWNs的安全性威脅，確定MWNs信息安全的4個(gè)基本需求：機(jī)密性、完整性、可用性、私密性。

3.1 機(jī)密性

機(jī)密性描述保護(hù)專有資料訪問和公開的已授權(quán)的限制條件的性質(zhì)。開放無線信道特別容易受到竊聽的攻擊，敏感信息的機(jī)密性面臨著更惡意的威脅。為了確保無線信道上傳送的敏感信息的機(jī)密性，可以使用鏈路-鏈路加密解決這個(gè)問題；如果需要遠(yuǎn)程相互認(rèn)證和秘密密鑰交換，可以使用端-端加密保證信息的機(jī)密性。

要保證用戶的隱私，必須首先保證信息的機(jī)密性。

3.2 完整性

在信息安全中，如果沒有授權(quán)不能修改數(shù)據(jù)的屬性，被稱為“integrity”。無線信道容易受到干擾，數(shù)據(jù)完整性應(yīng)該受到適當(dāng)保護(hù)。完整性需求應(yīng)該確保通過無線信道傳播之后，消息沒有被改變。通過輕量hash函數(shù)或者數(shù)字簽名，能夠?qū)崿F(xiàn)數(shù)據(jù)完整性。

3.3 可用性

可用性描述當(dāng)需要信息時(shí)信息必須是可用的信息系統(tǒng)的屬性[4]。換句話說，可用性意思是存儲和處理信息所用的計(jì)算系統(tǒng)，保護(hù)它所用的安全控制，傳送它所用的通信信道必須是運(yùn)行正確的。高可用性系統(tǒng)以始終保持可用為目標(biāo)，防止服務(wù)破壞，由于斷電、硬件失敗、系統(tǒng)更新、或信道中斷。保證可用性可防止拒絕服務(wù)攻擊。

3.4 私密性

私密性描述防止非授權(quán)訪問和公開個(gè)人相關(guān)信息的狀態(tài)。換句話說，私密性可以認(rèn)為是個(gè)人信息的機(jī)密性。在傳統(tǒng)的信息安全系統(tǒng)中，私密性被看做是機(jī)密性的一部分。隨著Internet和各種個(gè)人相關(guān)信息的應(yīng)用，隱私問題已經(jīng)得到了學(xué)術(shù)界和工業(yè)界越來越多的關(guān)注。因此，強(qiáng)調(diào)將私密性從機(jī)密性中分離的隱私保護(hù)。

按照信息內(nèi)容，隱私被分為以下4種類別：身份隱私[5]、數(shù)據(jù)隱私[6]、位置隱私[7]、行為隱私[8]。身份隱私是一種個(gè)人信息的保護(hù)，或者來自第三方和可能來自通信活動(dòng)中的其他當(dāng)事人的個(gè)人可辨認(rèn)信息（PII:personally identifiable information）[9]。換句話說，身份隱私可以被看做個(gè)人信息或者個(gè)人可識別信息的機(jī)密性，這直接關(guān)系到或者間接可推斷出一個(gè)個(gè)體的身份。根據(jù)文獻(xiàn)[10]，身份隱私可被分為5種級別：使用假名（pseudo-nymity）、 不可連接性 （unlinkability） 、 匿名性（anonymity）、不可觀察性 （unobservability）和不可探測性（undetectability）。

數(shù)據(jù)隱私，即內(nèi)容隱私，是隱私需求中的一個(gè)特殊種類，非常類似于數(shù)據(jù)的機(jī)密性[11]。機(jī)密性通常要求消息內(nèi)容只對第三方保守秘密而不是對發(fā)送者和接收者保守秘密。數(shù)據(jù)隱私通過呈現(xiàn)對消息內(nèi)容的一個(gè)額外的需求將與機(jī)密性區(qū)別開來，消息內(nèi)容的細(xì)節(jié)對于接收者也保持機(jī)密，而不僅是對第三方當(dāng)事人保持機(jī)密。傳統(tǒng)的簡單加密方法，無論是對稱密鑰加密還是公鑰加密，對于實(shí)現(xiàn)數(shù)據(jù)隱私是不同的。當(dāng)前，數(shù)據(jù)隱私是一個(gè)關(guān)于隱私的重要的研究課題。

位置隱私可被定義為個(gè)人位置信息的機(jī)密性[12]。由于位置信息的特殊性，位置隱私是另一種特殊隱私需求。位置信息可以通過多種手段（直接定位、計(jì)算、偷聽）獲得。因此，為數(shù)據(jù)機(jī)密性設(shè)計(jì)的傳統(tǒng)方法不能保護(hù)個(gè)人位置隱私。就當(dāng)事人而言，位置信息被分為兩種類型：源（發(fā)送者）位置隱私或者sink（接收者）位置隱私。

行為隱私，是關(guān)于個(gè)人行為信息的隱私保護(hù)，比如什么時(shí)候、什么地點(diǎn)、誰做了什么動(dòng)作。行為隱私通常在前3種類型隱私的庇護(hù)之下，很少有人關(guān)注。然而，違反行為隱私導(dǎo)致違反其他類型隱私比如身份隱私或者位置隱私。行為隱私對于隱私的相關(guān)應(yīng)用或者現(xiàn)實(shí)世界中的商業(yè)非常重要。例如，如果兩個(gè)公司之間的通信行為突然增加，2個(gè)公司正在協(xié)商一個(gè)重要的協(xié)作或者合同。一般地，可能由于上述提到的原因，行為隱私也得到了學(xué)術(shù)界和工業(yè)界越來越多的關(guān)注。

上述4種類型的隱私不是彼此獨(dú)立的，而是他們通常彼此相互關(guān)聯(lián)。例如，違反行為隱私可能揭露了身份隱私，違反結(jié)合現(xiàn)場觀察的行為隱私也可能暴露身份隱私。在這個(gè)意義上，隱私保護(hù)是一個(gè)非常具有挑戰(zhàn)性的問題，并需要從許多方面綜合考慮。

4 與MWNs信息安全相關(guān)的研究問題

當(dāng)今，一個(gè)普通用戶有非常強(qiáng)大的訪問Internet的能力。分布式計(jì)算服務(wù)比如網(wǎng)格計(jì)算規(guī)定一個(gè)用戶具有巨大的計(jì)算能力，搜索引擎，比如google和baidu，規(guī)定普通用戶具有訪問龐大數(shù)據(jù)庫和文件的能力。單個(gè)攻擊者也能利用這些服務(wù)將他自己轉(zhuǎn)配成一個(gè)強(qiáng)大的、智能的對手，抵抗這些對手變得越來越困難。

文中給出幾種MWNs中信息安全的研究挑戰(zhàn)。這些挑戰(zhàn)比如流量分析和內(nèi)部敵手已經(jīng)在傳統(tǒng)有線網(wǎng)絡(luò)中被鑒定，但是它們可能對MWNs中的新行為展現(xiàn)新的威脅。最近發(fā)現(xiàn)在MWNs中，另一些挑戰(zhàn)比如DoS可能導(dǎo)致流量爆炸。

4.1 阻礙流量分析攻擊

流量分析攻擊已經(jīng)在傳統(tǒng)有線網(wǎng)絡(luò)中被鑒定，但是他們對新興MWNs呈現(xiàn)出更嚴(yán)重的威脅。傳統(tǒng)有線網(wǎng)絡(luò)中的竊聽不如無線網(wǎng)絡(luò)中的竊聽容易，為了攻擊需要裝備特殊硬件。竊聽的容易性引起更多的流量分析攻擊，對無線網(wǎng)絡(luò)，特別是MWNs呈現(xiàn)更嚴(yán)重的威脅。

流量分析攻擊有許多形式，比如流跟蹤、速率監(jiān)聽等，流跟蹤是與MWNs相關(guān)的關(guān)鍵攻擊之一。流跟蹤有2種類型：前向跟蹤和后向跟蹤，分別被用于泄露sink隱私和源隱私。根據(jù)先進(jìn)技術(shù)比如時(shí)間相關(guān)性、大小相關(guān)性，或者消息內(nèi)容相關(guān)性可以執(zhí)行流跟蹤。例如，在時(shí)間相關(guān)性中攻擊者觀察輸入和輸出分組的時(shí)間順序，試圖將他們聯(lián)系在一起以推斷出轉(zhuǎn)發(fā)路徑。這些先進(jìn)的流跟蹤技術(shù)對于防止MWNs中流量分析攻擊呈現(xiàn)巨大的挑戰(zhàn)。

4.2 阻撓內(nèi)部敵手

由于無線網(wǎng)絡(luò)的傳送范圍小、節(jié)點(diǎn)密度高、產(chǎn)品成本低等特征，MWNs的中間網(wǎng)絡(luò)容易受到節(jié)點(diǎn)妥協(xié)攻擊。如果泄露中間節(jié)點(diǎn)，攻擊者停留在節(jié)點(diǎn)內(nèi)部，變成內(nèi)部敵手。內(nèi)部敵手可以獲得存儲在節(jié)點(diǎn)中的秘密密鑰，并取得節(jié)點(diǎn)的全部控制權(quán)。由于秘密密鑰已經(jīng)泄露，鏈路-鏈路加密不能保護(hù)用戶的隱私；由于密文與推斷轉(zhuǎn)發(fā)路徑相互關(guān)聯(lián)，端-端加密不能防止敵手跟蹤源或sink節(jié)點(diǎn)。傳統(tǒng)機(jī)密方法不能保護(hù)用戶的隱私，保證MWNs的安全性必須要有新的方案。因此，MWNs中阻止內(nèi)部敵手而保護(hù)用戶隱私具有嚴(yán)峻的挑戰(zhàn)性。

4.3 預(yù)防流量爆炸

正如[10]中給出，通常使用偽消息以實(shí)現(xiàn)事件源的不可觀察性，這是非常具有吸引力和令人滿意的隱私目標(biāo)。然而，偽消息可能導(dǎo)致一個(gè)嚴(yán)重的問題，流量爆炸，能大大降低網(wǎng)絡(luò)系統(tǒng)的性能。由于流量爆炸，DoS可能違背網(wǎng)絡(luò)系統(tǒng)的可用性，因此，流量爆炸不僅是性能問題，同時(shí)也是信息安全問題。預(yù)防流量爆炸并同時(shí)實(shí)現(xiàn)源的不可觀察性是一個(gè)非常具有挑戰(zhàn)性的問題。

4.4 安全性和性能之間的權(quán)衡

MWNs將必定延伸radio覆蓋范圍，同時(shí)吸引更多的用戶。為了支持更多的用戶，各種網(wǎng)絡(luò)資源，比如計(jì)算能力和傳送帶寬，可能變成性能的瓶頸。為了性能需求的考慮使得研究者和設(shè)計(jì)者必然面對安全性和性能之間的權(quán)衡。在一些情況下，為了滿足安全需求，必須犧牲性能；在其它情況下，稍微放松嚴(yán)格的安全需求以換得性能方面的巨大改進(jìn)。這就要求設(shè)計(jì)原理是在滿足預(yù)定義的安全需求之后，最大化性能。即使使用這個(gè)設(shè)計(jì)原理，在復(fù)雜的實(shí)際環(huán)境中，進(jìn)行安全性和性能之間的權(quán)衡仍然具有挑戰(zhàn)性。

5 結(jié) 論

隨著無線網(wǎng)絡(luò)技術(shù)的逐步成熟與應(yīng)用，由于多跳無線網(wǎng)絡(luò)的固有特性，網(wǎng)絡(luò)安全仍然是一個(gè)復(fù)雜而長期的研究領(lǐng)域。由于無線網(wǎng)絡(luò)信道的開放特性，MWNs容易受到竊聽、數(shù)據(jù)篡改、節(jié)點(diǎn)妥協(xié)、流量分析等攻擊。為了進(jìn)一步研究MWNs中的信息安全問題，本文總結(jié)了MWNs的安全威脅以及信息安全需求，給出4個(gè)與MWNs信息安全相關(guān)的研究問題：阻止流量分析攻擊、阻撓內(nèi)部敵手、預(yù)防流量爆炸、和安全性與性能之間的權(quán)衡?，F(xiàn)有的應(yīng)用與有線網(wǎng)絡(luò)上的安全機(jī)制不適合MWNs，需要重新設(shè)計(jì)并實(shí)現(xiàn)適合MWNs的安全機(jī)制。

[1]Curtmola R，Nita-Rotaru C.BSMR:byzantine-resilient secure multicast routing in multihop wireless networks[J].IEEE Transactions on Mobile Computing，2009，8（4）:445-459.

[2]Kao J C，Marculescu R.Minimizing eavesdropping risk by transmission power control in multihop wireless networks[J].IEEE Transactions on Computers，2007，56（8）:1009-1023.

[3]Bashar S，Ding Z.Optimum routing protection against cumulative eavesdropping in multihop wireless networks[C].Boston，USA:Proceedingof IEEEMilitary Communication Conference，2009:1-7.

[4]Fussell R S.Protecting information security Availability via Self-adapting Intelligent Agents[C].Atlantic，NJ，USA:Procee-dingof IEEEMilitary Communication Conference，2005:2977-2982.

[5]Islam S，Hamid A，Hong CS，et al.Preserving identity privacy in wireless mesh networks[C]//In Proc.of the International Conference on Information Networking 2008 （ICOIN'08）.2008:1-5.

[6]Singh M，Saxena A.Secure computation for data privacy[C].Nice， France:Proc.SECCOM'07，2007:58-62.

[7]Decker M.Location Privacy-An Overview[C].Proc.ICMB'08.Barcelona，Spain:IEEE CSpress，2008:221-230.

[8]Wang J，Zhao Y，Jiang S，et al.Providing privacy preserving in cloud computing[C].Changsha，China:Proc.ICTM'09，2009:213-216.

[9]Wei Y，He Y，Hao L.An Identity Privacy Enhanced Trust Model in Fully Distributed Virtual Computing Environments[C].Proc.NSWCTC'09.NY:IEEE CSpress，2009:704-708.

[10]Pfitzmann A，Hansen M.Anonymity，Unlinkability， Undetectability，Unobservability，Pseudonymity，and Identity Management-A Consolidated Proposal for Terminology[M].German:Press of Technische University Dresden，2008.

[11]Weaver A C.Achieving data privacy and security using Web services[C].Hongkong， China:Proc.ICIT'05，2005:2-5.

[12]Maglogiannis I，Kazatzopoulos L，Delakouridis K，et al.Enabling location privacy and medical data encryption in patient telemonitoring systems[J].IEEE Transactions on Information Technology in Biomedicine，2009，13（6）:946-954.