丁懿歡

摘 要 當(dāng)今移動(dòng)自組網(wǎng)在各個(gè)領(lǐng)域應(yīng)用廣泛，但其在網(wǎng)絡(luò)安全方面上卻顯得非常脆弱。本文簡(jiǎn)述了當(dāng)今移動(dòng)自組網(wǎng)主流的安全技術(shù)，分別為物理層安全技術(shù)、入侵檢測(cè)、安全路由、密鑰管理、信譽(yù)管理體制五個(gè)方面。

關(guān)鍵詞 物理層安全;入侵檢測(cè);安全路由;密鑰管理

前言

移動(dòng)自組網(wǎng)是一種不依賴于固定基礎(chǔ)設(shè)施且無中心的網(wǎng)絡(luò)，該網(wǎng)絡(luò)能夠自行組網(wǎng)，其中的每個(gè)節(jié)點(diǎn)可以同時(shí)具有終端和路由器的作用。移動(dòng)自組網(wǎng)主要應(yīng)用于抗險(xiǎn)救災(zāi)、應(yīng)急反恐、軍事通信等特殊環(huán)境下，有著無可取代的地位。同時(shí)，網(wǎng)絡(luò)安全是移動(dòng)自組網(wǎng)特別關(guān)注的領(lǐng)域。移動(dòng)自組網(wǎng)的機(jī)密性、完整性、可用性、安全認(rèn)證以及抗抵賴性相對(duì)于有固定基礎(chǔ)設(shè)施的無線網(wǎng)絡(luò)有著特殊的意義：

機(jī)密性是指特定密級(jí)的信息必須傳達(dá)給特定的接受者，而不會(huì)泄露給非法的用戶。同時(shí)路由信息也一定要保密。完整性指的是信息在發(fā)生過程中不能被篡改，也不能被中斷?？捎眯灾傅氖枪?jié)點(diǎn)可以一直提供有效服務(wù)，即便受到攻擊時(shí)也能提供服務(wù)。安全認(rèn)證指的是每個(gè)節(jié)點(diǎn)能與子網(wǎng)內(nèi)的其他節(jié)點(diǎn)進(jìn)行有效的身份認(rèn)證和鑒別。抗抵賴性指的是每個(gè)節(jié)點(diǎn)無法否認(rèn)已經(jīng)發(fā)生的信息內(nèi)容。

1網(wǎng)絡(luò)安全的挑戰(zhàn)

移動(dòng)自組網(wǎng)因其開發(fā)性的平臺(tái)，在網(wǎng)絡(luò)安全上要面對(duì)欺騙、偽裝、竊聽、攻擊等不同程度的傷害。其中攻擊主要包括黑洞攻擊、蟲洞攻擊、拒絕服務(wù)攻擊以及資源耗盡攻擊等。移動(dòng)自組網(wǎng)具有以下的特殊性：

第一無中心。因?yàn)橐苿?dòng)自組網(wǎng)內(nèi)沒有一個(gè)全局的認(rèn)證機(jī)構(gòu)，認(rèn)證完全依賴于節(jié)點(diǎn)之間操作，沒有一個(gè)完全可信任的第三方，惡意節(jié)點(diǎn)很可能冒充正常節(jié)點(diǎn)進(jìn)行攻擊。第二資源有限，尤其是硬件資源，因此無法實(shí)現(xiàn)高復(fù)雜度的加密算法。第三拓?fù)渥兓焖伲?jié)點(diǎn)隨意加入或者離開。這些動(dòng)態(tài)的變化使得節(jié)點(diǎn)成員之間的信任關(guān)系并不是一成不變的。而一些靜態(tài)配置的安全方案無法適用于此。

而這些的特殊性使得它在網(wǎng)絡(luò)防護(hù)方面需要比具有固定基礎(chǔ)設(shè)施的無線網(wǎng)絡(luò)付出更高的代價(jià)。

2網(wǎng)絡(luò)安全技術(shù)

傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)，比如安全認(rèn)證、數(shù)字簽名、防火墻、加密等，并不能完全照搬于移動(dòng)自組網(wǎng)，必須加以整改優(yōu)化再利用。本文主要介紹的網(wǎng)絡(luò)安全技術(shù)有物理層安全技術(shù)、入侵檢測(cè)、安全路由、密鑰管理以及安全信譽(yù)機(jī)制。以下分別介紹：

傳統(tǒng)的加密方式主要針對(duì)加密的消息（內(nèi)容）而無法涉及消息的承載體——無線信道。這樣使得加密和傳輸獨(dú)立進(jìn)行，外掛式、補(bǔ)丁式的安全措施并不能保證沒有非法攻擊。惡意節(jié)點(diǎn)可以利用無線信號(hào)的廣播性進(jìn)行假冒、篡改等行為以及中間人轉(zhuǎn)發(fā)和重發(fā)。因此物理層安全技術(shù)受到當(dāng)今網(wǎng)絡(luò)安全技術(shù)人員的特別關(guān)注。技術(shù)人員利用無線信道特殊的自然特性，諸如唯一性、隨機(jī)性、互易性，可以對(duì)各類無線終端進(jìn)行身份認(rèn)證，生成密鑰和對(duì)信息的加密。物理層安全技術(shù)利用無線信道無法復(fù)制的內(nèi)在屬性，實(shí)現(xiàn)了效率與安全的折中。主要有的射頻指紋與信道密鑰，可以將安全信息耦合進(jìn)無線信號(hào)傳輸里，認(rèn)證參數(shù)和無線信號(hào)特征、傳輸路徑綁定，對(duì)身份的認(rèn)證轉(zhuǎn)換為對(duì)信道的認(rèn)證。這樣使得認(rèn)證、加密與傳輸三者有機(jī)地融為一體。

入侵檢測(cè)是通過對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)行為進(jìn)行監(jiān)控、分析、分類，檢測(cè)是否有潛在被攻擊的跡象和違反安全的行為，使得自身不被惡意節(jié)點(diǎn)攻擊。傳統(tǒng)的分布式入侵檢測(cè)以及看門狗Watchdog方案很難平衡好效率、公平性以及資源三者之間的關(guān)系，而當(dāng)今基于人工智能算法的入侵檢測(cè)技術(shù)，利用無監(jiān)督模糊聚類、克隆選擇聚類等算法在兼顧公平、資源因素的同時(shí)，可以提高檢測(cè)率以及降低漏檢率。

安全路由協(xié)議，需要支持網(wǎng)絡(luò)安全管理，可以通過現(xiàn)有的路由協(xié)議上進(jìn)行改進(jìn)，也可以提出全新的安全路由協(xié)議。前者有AODV協(xié)議的安全化、0LSR協(xié)議的安全化，DSR協(xié)議的安全化等等;后者安全路由協(xié)議有SRI，ARAN、SEA、Ariadnec、SGF等協(xié)議。安全路由面對(duì)不僅來自子網(wǎng)外部攻擊，而且還需面對(duì)來自子網(wǎng)內(nèi)部的攻擊。外部攻擊通過更改路由信息來分隔網(wǎng)絡(luò)，或者插入路由數(shù)據(jù)包、重傳過時(shí)路由信息、產(chǎn)生大量的重傳信息和無效路由以此加大網(wǎng)絡(luò)負(fù)載。而更嚴(yán)重的攻擊來自子網(wǎng)內(nèi)部，主要為惡意節(jié)點(diǎn)廣播的錯(cuò)誤路由消息[1]。為了防止內(nèi)外部的攻擊，通過在安全路由協(xié)議中添加數(shù)字簽名，節(jié)點(diǎn)能像保護(hù)數(shù)據(jù)通信那樣保護(hù)路由信息。

傳統(tǒng)的加密方式，比如有線等效加密方式，仍有可能被竊聽以及遭受到大量攻擊。為了提升加密算法的有效性，須結(jié)合硬件、存儲(chǔ)等資源，兼顧到計(jì)算復(fù)雜度，并優(yōu)化已有加密算法結(jié)構(gòu)，從序列、分組、哈希表等角度設(shè)計(jì)[2]，同時(shí)也必須考慮到移動(dòng)自組網(wǎng)拓?fù)涞膭?dòng)態(tài)變化。

此外移動(dòng)自組網(wǎng)這種特殊的網(wǎng)絡(luò)結(jié)構(gòu)使得其無法擁有一個(gè)單獨(dú)的認(rèn)證中心。然而移動(dòng)自組網(wǎng)必須進(jìn)行有效的身份認(rèn)證，通過節(jié)點(diǎn)之間相互認(rèn)證，可以建立一個(gè)能夠被分享的安全密鑰。當(dāng)今的主流技術(shù)是利用橢圓曲線密碼體制和門限秘密共享技術(shù)等加密方式形成可認(rèn)證的組密鑰。針對(duì)組密鑰更新優(yōu)化及一致性的管理問題，在沒有影響網(wǎng)絡(luò)安全性的前提下，利用組密鑰服務(wù)中心化可以提高了組密鑰更新效率，也可以有效地避免了因組密鑰不一致而造成節(jié)點(diǎn)孤立，以上組密鑰的管理方式可以兼顧了移動(dòng)自組網(wǎng)節(jié)點(diǎn)移動(dòng)性以及對(duì)等性。組密鑰管理方式不僅實(shí)現(xiàn)了可認(rèn)證的密鑰管理，同時(shí)也滿足移動(dòng)自組網(wǎng)分布式的密鑰生成方式。

除了以上幾種網(wǎng)絡(luò)安全措施外，還有安全信譽(yù)機(jī)制。安全信譽(yù)機(jī)制從一定程度上解決了移動(dòng)自組網(wǎng)網(wǎng)絡(luò)因沒有服務(wù)器管理而帶來的安全管理問題，緩解了自組網(wǎng)節(jié)點(diǎn)之間不信任的關(guān)系。該機(jī)制主要包括兩個(gè)階段：首先端對(duì)端進(jìn)行安全路由識(shí)別，其次在鄰居節(jié)點(diǎn)之間建立本地信任關(guān)系[1]。

3結(jié)束語

移動(dòng)自組網(wǎng)的無中心對(duì)等的網(wǎng)絡(luò)結(jié)構(gòu)，以及節(jié)點(diǎn)資源有限和動(dòng)態(tài)變化使其在網(wǎng)絡(luò)安全方面面臨了種種挑戰(zhàn)。以安全目標(biāo)為導(dǎo)向，解決移動(dòng)自組網(wǎng)網(wǎng)絡(luò)安全的脆弱性。主要介紹了物理層安全技術(shù)、入侵檢測(cè)、安全路由協(xié)議、密鑰管理、安全信譽(yù)機(jī)制五方面安全技術(shù)。

參考文獻(xiàn)

[1] 張鵬，孫磊，崔勇，等.移動(dòng)自組網(wǎng)安全技術(shù)研究[J].計(jì)算機(jī)科學(xué)，2009，36（7）：1-7，14.

[2] 季新生，黃開枝，金梁，等.5G安全技術(shù)研究綜述[J].移動(dòng)通信，2019，43（1）：34-39，45.