弋改珍

（咸陽(yáng)師范學(xué)院 信息工程學(xué)院，陜西 咸陽(yáng) 712000）

隨著Internet的擴(kuò)展和各種Internet應(yīng)用的繁榮，多跳無(wú)線網(wǎng)絡(luò)（MWNs：Multi-hop Wireless Networks）將被廣泛采用。然而，無(wú)線網(wǎng)絡(luò)的固有特性：有限的覆蓋范圍、低可靠性、缺乏安全性和隱私保護(hù)，嚴(yán)重地阻礙了無(wú)線網(wǎng)絡(luò)技術(shù)在實(shí)際中的應(yīng)用。如果在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施的周圍部署新的訪問(wèn)點(diǎn)，以延伸射頻覆蓋范圍，使用多跳無(wú)線網(wǎng)絡(luò)技術(shù)能更大領(lǐng)域地提供Internet訪問(wèn)；同時(shí)多跳無(wú)線技術(shù)的多重轉(zhuǎn)發(fā)路徑也增強(qiáng)了網(wǎng)絡(luò)的健壯性和可靠性。因此多跳無(wú)線技術(shù)吸引了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。

在無(wú)線網(wǎng)絡(luò)應(yīng)用于實(shí)際環(huán)境之前，必須解決由無(wú)線特性帶來(lái)的特殊安全威脅受到來(lái)自各方面的安全性威脅：竊聽(tīng)、篡改、節(jié)點(diǎn)妥協(xié)、流量分析等。機(jī)密性和私密性是無(wú)線網(wǎng)絡(luò)安全需求中的主要考慮的問(wèn)題，也是無(wú)線網(wǎng)絡(luò)安全研究的主要領(lǐng)域之一。本文在總結(jié)MWNs的可能安全威脅的基礎(chǔ)上，分析了信息安全的基本需求。通過(guò)鑒別和總結(jié)MWNs的特點(diǎn)，討論了MWNs的信息安全和現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的信息安全之間的區(qū)別。確定了MWNs中實(shí)現(xiàn)信息安全的挑戰(zhàn)，并建議了與MWNs信息安全相關(guān)的4個(gè)研究問(wèn)題。

1 MWNs的固有特征

1）無(wú)線信道的開(kāi)放性

MWNs的一個(gè)主要特征是無(wú)線信道的開(kāi)放特性。無(wú)線信號(hào)本質(zhì)上是廣播信號(hào)，允許并吸引了眾多的惡意攻擊。開(kāi)放無(wú)線信道允許并引發(fā)更多被動(dòng)和主動(dòng)攻擊，比如偷聽(tīng)，數(shù)據(jù)注入/修改、擁塞。這些攻擊使得無(wú)線信道更易遭受惡意濫用和破壞。此外，這些攻擊潛在的好處是可能引發(fā)更先進(jìn)的攻擊技術(shù)，比如流跟蹤和流分析，呈現(xiàn)出對(duì)用戶隱私更要重的威脅。

2）中間節(jié)點(diǎn)的脆弱性

由于無(wú)線信號(hào)的受限的有效傳送范圍，MWNs中的節(jié)點(diǎn)比其他網(wǎng)絡(luò)中節(jié)點(diǎn)被部署的更密集。密集的網(wǎng)絡(luò)節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)比較便宜。由于實(shí)際的經(jīng)濟(jì)原因，每個(gè)節(jié)點(diǎn)沒(méi)有強(qiáng)大的裝備以抵抗所有類型的攻擊。另外，無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)通常被部署在建筑物外或者公眾區(qū)域，而不是像有線網(wǎng)絡(luò)節(jié)點(diǎn)一樣被部署的建筑物之內(nèi)。對(duì)手能夠很容易地進(jìn)入這些區(qū)域，然后發(fā)起沒(méi)有管理員和真實(shí)用戶意識(shí)的惡意攻擊。所有這些因素使得MWNs中的節(jié)點(diǎn)更易受節(jié)點(diǎn)妥協(xié)攻擊。

3）多徑轉(zhuǎn)發(fā)特性

在MWNs中，網(wǎng)絡(luò)通過(guò)無(wú)線信號(hào)連通，通過(guò)多路由路徑轉(zhuǎn)發(fā)分組以提高網(wǎng)絡(luò)系統(tǒng)的健壯性和可靠性；多徑分組轉(zhuǎn)發(fā)也被用于均衡網(wǎng)絡(luò)流量負(fù)載，最大化網(wǎng)絡(luò)吞吐量。

4）資源受限

由于MWNs中的節(jié)點(diǎn)密集且便宜，特別是無(wú)線傳感器網(wǎng)絡(luò)中的監(jiān)控節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)的計(jì)算能力、存儲(chǔ)空間、電源供應(yīng)等都有限，沒(méi)有足夠的能力對(duì)每個(gè)消息執(zhí)行復(fù)雜的公鑰加密，沒(méi)有足夠存儲(chǔ)空間保存所有感知的數(shù)據(jù)，沒(méi)有足夠電能有效傳送數(shù)據(jù)。因此，在這種資源受限的環(huán)境下，容易引發(fā)更多的DoS攻擊，這使得許多安全機(jī)制不適合資源受限的MWNs，需要從新的觀點(diǎn)來(lái)解決這些信息安全問(wèn)題。

2 MWNs的安全威脅

Reza Curtmola等人在文獻(xiàn)[1]分析了MWNs中多播環(huán)境存在的安全缺陷：1）在多播環(huán)境中，多播協(xié)議的建立和維護(hù)需要更復(fù)雜的結(jié)構(gòu)和操作，比如樹(shù)形結(jié)構(gòu)的構(gòu)造，數(shù)的修剪、合并等。這些情況在單播環(huán)境中沒(méi)有相應(yīng)的策略，可能暴露出多播協(xié)議存在的新的缺陷。2）多播路由協(xié)議由路由發(fā)現(xiàn)、路由活動(dòng)和樹(shù)管理3部分組成。外部攻擊者通過(guò)注入、替換和修改控制分組破壞路由發(fā)現(xiàn)，使自己成為受信節(jié)點(diǎn)加入樹(shù)結(jié)構(gòu)，發(fā)布惡意報(bào)告。

Jung-Chun Kao等人在文獻(xiàn)[2]中分析了ad hoc無(wú)線網(wǎng)絡(luò)中存在的竊聽(tīng)攻擊安全威脅。Ad hoc無(wú)線網(wǎng)絡(luò)由自治節(jié)點(diǎn)組成，每個(gè)節(jié)點(diǎn)都能發(fā)送和接收分組。這給敵手節(jié)點(diǎn)一個(gè)可乘之機(jī)，敵手節(jié)點(diǎn)通過(guò)自治方式連接到網(wǎng)絡(luò)，攔截?cái)?shù)據(jù)信息，對(duì)截獲的數(shù)據(jù)信息進(jìn)行分析，從而對(duì)網(wǎng)絡(luò)實(shí)施攻擊。Shafi Bashar等人在文獻(xiàn)[3]中分析了多條無(wú)線網(wǎng)絡(luò)中存在的竊聽(tīng)威脅。

根據(jù)文獻(xiàn)[1-3]，MWNs信息安全的可能安全威脅有以下4個(gè)方面：

1）竊聽(tīng) 由于無(wú)線信道的開(kāi)放特性，敵手在不使用任何物理線路連接的情況下就可進(jìn)行竊聽(tīng)；又由于MWN的規(guī)模不是足夠大或者許多攻擊者相互勾結(jié)發(fā)起竊聽(tīng)，敵手有可能進(jìn)行全局竊聽(tīng)。

2）數(shù)據(jù)注入/修改 開(kāi)放的無(wú)線信道對(duì)于防止敵手注入數(shù)據(jù)分組沒(méi)有任何阻礙。敵手首先截獲數(shù)據(jù)包，然后將他們的包注入無(wú)線網(wǎng)絡(luò)，就能夠很容易的完成數(shù)據(jù)修改。

3）節(jié)點(diǎn)妥協(xié) 無(wú)線網(wǎng)絡(luò)節(jié)點(diǎn)或者移動(dòng)站比有線網(wǎng)絡(luò)中的網(wǎng)絡(luò)路由器更容易被泄露。網(wǎng)絡(luò)節(jié)點(diǎn)一旦被泄露，敵手會(huì)獲得比如密鑰的各種秘密信息，可以對(duì)收到的密文進(jìn)行解密。因此，敵手停留在網(wǎng)絡(luò)中，成為內(nèi)部攻擊者，這比外部攻擊者更麻煩。

4）流量分析/流跟蹤 比泄露用戶隱私更先進(jìn)的攻擊是流量分析，通過(guò)分析通信節(jié)點(diǎn)對(duì)之間的流量模式或者通信流就可以發(fā)起流量分析攻擊。通過(guò)先進(jìn)的技術(shù)比如時(shí)間相關(guān)性、大小相關(guān)性、或者消息內(nèi)容相關(guān)性，發(fā)起流跟蹤攻擊。一個(gè)基于內(nèi)容相關(guān)性的回溯攻擊，可以泄露源節(jié)點(diǎn)的位置隱私。

3 信息安全需求

根據(jù)MWNs的安全性威脅，確定MWNs信息安全的4個(gè)基本需求：機(jī)密性、完整性、可用性、私密性。

3.1 機(jī)密性

機(jī)密性描述保護(hù)專有資料訪問(wèn)和公開(kāi)的已授權(quán)的限制條件的性質(zhì)。開(kāi)放無(wú)線信道特別容易受到竊聽(tīng)的攻擊，敏感信息的機(jī)密性面臨著更惡意的威脅。為了確保無(wú)線信道上傳送的敏感信息的機(jī)密性，可以使用鏈路-鏈路加密解決這個(gè)問(wèn)題；如果需要遠(yuǎn)程相互認(rèn)證和秘密密鑰交換，可以使用端-端加密保證信息的機(jī)密性。

要保證用戶的隱私，必須首先保證信息的機(jī)密性。

3.2 完整性

在信息安全中，如果沒(méi)有授權(quán)不能修改數(shù)據(jù)的屬性，被稱為“integrity”。無(wú)線信道容易受到干擾，數(shù)據(jù)完整性應(yīng)該受到適當(dāng)保護(hù)。完整性需求應(yīng)該確保通過(guò)無(wú)線信道傳播之后，消息沒(méi)有被改變。通過(guò)輕量hash函數(shù)或者數(shù)字簽名，能夠?qū)崿F(xiàn)數(shù)據(jù)完整性。

3.3 可用性

可用性描述當(dāng)需要信息時(shí)信息必須是可用的信息系統(tǒng)的屬性[4]。換句話說(shuō)，可用性意思是存儲(chǔ)和處理信息所用的計(jì)算系統(tǒng)，保護(hù)它所用的安全控制，傳送它所用的通信信道必須是運(yùn)行正確的。高可用性系統(tǒng)以始終保持可用為目標(biāo)，防止服務(wù)破壞，由于斷電、硬件失敗、系統(tǒng)更新、或信道中斷。保證可用性可防止拒絕服務(wù)攻擊。

3.4 私密性

私密性描述防止非授權(quán)訪問(wèn)和公開(kāi)個(gè)人相關(guān)信息的狀態(tài)。換句話說(shuō)，私密性可以認(rèn)為是個(gè)人信息的機(jī)密性。在傳統(tǒng)的信息安全系統(tǒng)中，私密性被看做是機(jī)密性的一部分。隨著Internet和各種個(gè)人相關(guān)信息的應(yīng)用，隱私問(wèn)題已經(jīng)得到了學(xué)術(shù)界和工業(yè)界越來(lái)越多的關(guān)注。因此，強(qiáng)調(diào)將私密性從機(jī)密性中分離的隱私保護(hù)。

按照信息內(nèi)容，隱私被分為以下4種類別：身份隱私[5]、數(shù)據(jù)隱私[6]、位置隱私[7]、行為隱私[8]。身份隱私是一種個(gè)人信息的保護(hù)，或者來(lái)自第三方和可能來(lái)自通信活動(dòng)中的其他當(dāng)事人的個(gè)人可辨認(rèn)信息（PII:personally identifiable information）[9]。換句話說(shuō)，身份隱私可以被看做個(gè)人信息或者個(gè)人可識(shí)別信息的機(jī)密性，這直接關(guān)系到或者間接可推斷出一個(gè)個(gè)體的身份。根據(jù)文獻(xiàn)[10]，身份隱私可被分為5種級(jí)別：使用假名（pseudo-nymity）、 不可連接性 （unlinkability） 、 匿名性（anonymity）、不可觀察性 （unobservability）和不可探測(cè)性（undetectability）。

數(shù)據(jù)隱私，即內(nèi)容隱私，是隱私需求中的一個(gè)特殊種類，非常類似于數(shù)據(jù)的機(jī)密性[11]。機(jī)密性通常要求消息內(nèi)容只對(duì)第三方保守秘密而不是對(duì)發(fā)送者和接收者保守秘密。數(shù)據(jù)隱私通過(guò)呈現(xiàn)對(duì)消息內(nèi)容的一個(gè)額外的需求將與機(jī)密性區(qū)別開(kāi)來(lái)，消息內(nèi)容的細(xì)節(jié)對(duì)于接收者也保持機(jī)密，而不僅是對(duì)第三方當(dāng)事人保持機(jī)密。傳統(tǒng)的簡(jiǎn)單加密方法，無(wú)論是對(duì)稱密鑰加密還是公鑰加密，對(duì)于實(shí)現(xiàn)數(shù)據(jù)隱私是不同的。當(dāng)前，數(shù)據(jù)隱私是一個(gè)關(guān)于隱私的重要的研究課題。

位置隱私可被定義為個(gè)人位置信息的機(jī)密性[12]。由于位置信息的特殊性，位置隱私是另一種特殊隱私需求。位置信息可以通過(guò)多種手段（直接定位、計(jì)算、偷聽(tīng)）獲得。因此，為數(shù)據(jù)機(jī)密性設(shè)計(jì)的傳統(tǒng)方法不能保護(hù)個(gè)人位置隱私。就當(dāng)事人而言，位置信息被分為兩種類型：源（發(fā)送者）位置隱私或者sink（接收者）位置隱私。

行為隱私，是關(guān)于個(gè)人行為信息的隱私保護(hù)，比如什么時(shí)候、什么地點(diǎn)、誰(shuí)做了什么動(dòng)作。行為隱私通常在前3種類型隱私的庇護(hù)之下，很少有人關(guān)注。然而，違反行為隱私導(dǎo)致違反其他類型隱私比如身份隱私或者位置隱私。行為隱私對(duì)于隱私的相關(guān)應(yīng)用或者現(xiàn)實(shí)世界中的商業(yè)非常重要。例如，如果兩個(gè)公司之間的通信行為突然增加，2個(gè)公司正在協(xié)商一個(gè)重要的協(xié)作或者合同。一般地，可能由于上述提到的原因，行為隱私也得到了學(xué)術(shù)界和工業(yè)界越來(lái)越多的關(guān)注。

上述4種類型的隱私不是彼此獨(dú)立的，而是他們通常彼此相互關(guān)聯(lián)。例如，違反行為隱私可能揭露了身份隱私，違反結(jié)合現(xiàn)場(chǎng)觀察的行為隱私也可能暴露身份隱私。在這個(gè)意義上，隱私保護(hù)是一個(gè)非常具有挑戰(zhàn)性的問(wèn)題，并需要從許多方面綜合考慮。

4 與MWNs信息安全相關(guān)的研究問(wèn)題

當(dāng)今，一個(gè)普通用戶有非常強(qiáng)大的訪問(wèn)Internet的能力。分布式計(jì)算服務(wù)比如網(wǎng)格計(jì)算規(guī)定一個(gè)用戶具有巨大的計(jì)算能力，搜索引擎，比如google和baidu，規(guī)定普通用戶具有訪問(wèn)龐大數(shù)據(jù)庫(kù)和文件的能力。單個(gè)攻擊者也能利用這些服務(wù)將他自己轉(zhuǎn)配成一個(gè)強(qiáng)大的、智能的對(duì)手，抵抗這些對(duì)手變得越來(lái)越困難。

文中給出幾種MWNs中信息安全的研究挑戰(zhàn)。這些挑戰(zhàn)比如流量分析和內(nèi)部敵手已經(jīng)在傳統(tǒng)有線網(wǎng)絡(luò)中被鑒定，但是它們可能對(duì)MWNs中的新行為展現(xiàn)新的威脅。最近發(fā)現(xiàn)在MWNs中，另一些挑戰(zhàn)比如DoS可能導(dǎo)致流量爆炸。

4.1 阻礙流量分析攻擊

流量分析攻擊已經(jīng)在傳統(tǒng)有線網(wǎng)絡(luò)中被鑒定，但是他們對(duì)新興MWNs呈現(xiàn)出更嚴(yán)重的威脅。傳統(tǒng)有線網(wǎng)絡(luò)中的竊聽(tīng)不如無(wú)線網(wǎng)絡(luò)中的竊聽(tīng)容易，為了攻擊需要裝備特殊硬件。竊聽(tīng)的容易性引起更多的流量分析攻擊，對(duì)無(wú)線網(wǎng)絡(luò)，特別是MWNs呈現(xiàn)更嚴(yán)重的威脅。

流量分析攻擊有許多形式，比如流跟蹤、速率監(jiān)聽(tīng)等，流跟蹤是與MWNs相關(guān)的關(guān)鍵攻擊之一。流跟蹤有2種類型：前向跟蹤和后向跟蹤，分別被用于泄露sink隱私和源隱私。根據(jù)先進(jìn)技術(shù)比如時(shí)間相關(guān)性、大小相關(guān)性，或者消息內(nèi)容相關(guān)性可以執(zhí)行流跟蹤。例如，在時(shí)間相關(guān)性中攻擊者觀察輸入和輸出分組的時(shí)間順序，試圖將他們聯(lián)系在一起以推斷出轉(zhuǎn)發(fā)路徑。這些先進(jìn)的流跟蹤技術(shù)對(duì)于防止MWNs中流量分析攻擊呈現(xiàn)巨大的挑戰(zhàn)。

4.2 阻撓內(nèi)部敵手

由于無(wú)線網(wǎng)絡(luò)的傳送范圍小、節(jié)點(diǎn)密度高、產(chǎn)品成本低等特征，MWNs的中間網(wǎng)絡(luò)容易受到節(jié)點(diǎn)妥協(xié)攻擊。如果泄露中間節(jié)點(diǎn)，攻擊者停留在節(jié)點(diǎn)內(nèi)部，變成內(nèi)部敵手。內(nèi)部敵手可以獲得存儲(chǔ)在節(jié)點(diǎn)中的秘密密鑰，并取得節(jié)點(diǎn)的全部控制權(quán)。由于秘密密鑰已經(jīng)泄露，鏈路-鏈路加密不能保護(hù)用戶的隱私；由于密文與推斷轉(zhuǎn)發(fā)路徑相互關(guān)聯(lián)，端-端加密不能防止敵手跟蹤源或sink節(jié)點(diǎn)。傳統(tǒng)機(jī)密方法不能保護(hù)用戶的隱私，保證MWNs的安全性必須要有新的方案。因此，MWNs中阻止內(nèi)部敵手而保護(hù)用戶隱私具有嚴(yán)峻的挑戰(zhàn)性。

4.3 預(yù)防流量爆炸

正如[10]中給出，通常使用偽消息以實(shí)現(xiàn)事件源的不可觀察性，這是非常具有吸引力和令人滿意的隱私目標(biāo)。然而，偽消息可能導(dǎo)致一個(gè)嚴(yán)重的問(wèn)題，流量爆炸，能大大降低網(wǎng)絡(luò)系統(tǒng)的性能。由于流量爆炸，DoS可能違背網(wǎng)絡(luò)系統(tǒng)的可用性，因此，流量爆炸不僅是性能問(wèn)題，同時(shí)也是信息安全問(wèn)題。預(yù)防流量爆炸并同時(shí)實(shí)現(xiàn)源的不可觀察性是一個(gè)非常具有挑戰(zhàn)性的問(wèn)題。

4.4 安全性和性能之間的權(quán)衡

MWNs將必定延伸radio覆蓋范圍，同時(shí)吸引更多的用戶。為了支持更多的用戶，各種網(wǎng)絡(luò)資源，比如計(jì)算能力和傳送帶寬，可能變成性能的瓶頸。為了性能需求的考慮使得研究者和設(shè)計(jì)者必然面對(duì)安全性和性能之間的權(quán)衡。在一些情況下，為了滿足安全需求，必須犧牲性能；在其它情況下，稍微放松嚴(yán)格的安全需求以換得性能方面的巨大改進(jìn)。這就要求設(shè)計(jì)原理是在滿足預(yù)定義的安全需求之后，最大化性能。即使使用這個(gè)設(shè)計(jì)原理，在復(fù)雜的實(shí)際環(huán)境中，進(jìn)行安全性和性能之間的權(quán)衡仍然具有挑戰(zhàn)性。

5 結(jié) 論

隨著無(wú)線網(wǎng)絡(luò)技術(shù)的逐步成熟與應(yīng)用，由于多跳無(wú)線網(wǎng)絡(luò)的固有特性，網(wǎng)絡(luò)安全仍然是一個(gè)復(fù)雜而長(zhǎng)期的研究領(lǐng)域。由于無(wú)線網(wǎng)絡(luò)信道的開(kāi)放特性，MWNs容易受到竊聽(tīng)、數(shù)據(jù)篡改、節(jié)點(diǎn)妥協(xié)、流量分析等攻擊。為了進(jìn)一步研究MWNs中的信息安全問(wèn)題，本文總結(jié)了MWNs的安全威脅以及信息安全需求，給出4個(gè)與MWNs信息安全相關(guān)的研究問(wèn)題：阻止流量分析攻擊、阻撓內(nèi)部敵手、預(yù)防流量爆炸、和安全性與性能之間的權(quán)衡?，F(xiàn)有的應(yīng)用與有線網(wǎng)絡(luò)上的安全機(jī)制不適合MWNs，需要重新設(shè)計(jì)并實(shí)現(xiàn)適合MWNs的安全機(jī)制。

[1]Curtmola R，Nita-Rotaru C.BSMR:byzantine-resilient secure multicast routing in multihop wireless networks[J].IEEE Transactions on Mobile Computing，2009，8（4）:445-459.

[2]Kao J C，Marculescu R.Minimizing eavesdropping risk by transmission power control in multihop wireless networks[J].IEEE Transactions on Computers，2007，56（8）:1009-1023.

[3]Bashar S，Ding Z.Optimum routing protection against cumulative eavesdropping in multihop wireless networks[C].Boston，USA:Proceedingof IEEEMilitary Communication Conference，2009:1-7.

[4]Fussell R S.Protecting information security Availability via Self-adapting Intelligent Agents[C].Atlantic，NJ，USA:Procee-dingof IEEEMilitary Communication Conference，2005:2977-2982.

[5]Islam S，Hamid A，Hong CS，et al.Preserving identity privacy in wireless mesh networks[C]//In Proc.of the International Conference on Information Networking 2008 （ICOIN'08）.2008:1-5.

[6]Singh M，Saxena A.Secure computation for data privacy[C].Nice， France:Proc.SECCOM'07，2007:58-62.

[7]Decker M.Location Privacy-An Overview[C].Proc.ICMB'08.Barcelona，Spain:IEEE CSpress，2008:221-230.

[8]Wang J，Zhao Y，Jiang S，et al.Providing privacy preserving in cloud computing[C].Changsha，China:Proc.ICTM'09，2009:213-216.

[9]Wei Y，He Y，Hao L.An Identity Privacy Enhanced Trust Model in Fully Distributed Virtual Computing Environments[C].Proc.NSWCTC'09.NY:IEEE CSpress，2009:704-708.

[10]Pfitzmann A，Hansen M.Anonymity，Unlinkability， Undetectability，Unobservability，Pseudonymity，and Identity Management-A Consolidated Proposal for Terminology[M].German:Press of Technische University Dresden，2008.

[11]Weaver A C.Achieving data privacy and security using Web services[C].Hongkong， China:Proc.ICIT'05，2005:2-5.

[12]Maglogiannis I，Kazatzopoulos L，Delakouridis K，et al.Enabling location privacy and medical data encryption in patient telemonitoring systems[J].IEEE Transactions on Information Technology in Biomedicine，2009，13（6）:946-954.