移动Ad Hoc网络中的安全问题

h68810115

移动Ad Hoc网络中的安全问题



    较之传统的有线及无线网络，Ad Hoc网络存在着更多的安全隐患，安全成为该网络一个至关重要并且亟需解决的问题[1]。


1 移动Ad Hoc网络的特点及其面临的安全威胁
    移动Ad Hoc网络作为一种特殊的无线局域网，较之传统的有线局域网和无线局域网有很大的区别。正是由于移动Ad Hoc网络所固有的特点，使这种网络特别容易遭受攻击。下面列出Ad Hoc网络的几个特点及由其引起的一些安全威胁。


(1)缺乏物理保护且无线链路带宽受限。在Ad Hoc网络中，所有的通信信号必须经过带宽受限的无线链路，这一点使得该网络特别容易受到物理安全威胁。攻击者可以窃听并且修改无线通信链路上的所有信息，也可以伪装成一个合法的参与者。


(2)拓扑结构不断变化。移动节点互相独立地漫游，能够向任何方向移动，使得一些静态的安全解决方案难以适应这种动态变化的拓扑结构。在移动Ad Hoc网络的大多数路由协议中，通过节点相互交换网络拓扑结构的信息，从而在源节点和目的节点之间建立路由。由于所有的消息通过无线电波传播，任何入侵者都可以伪造一个路由的合法变化信息，恶意地给出不正确的更新信息。


(3)移动Ad Hoc网络中的非集中化控制依赖于所有节点的合作参与。恶意节点可以通过拒绝合作，中止合作算法。这一点使一些集中化的入侵检测机制不能使用。


(4)移动Ad Hoc网络中的一些节点或全部节点需要电池或其他易耗的方式供能。攻击者可以强迫一个节点重放报文，耗尽其能量，从而产生一种新的类型的拒绝服务攻击。
    总之，由于Ad Hoc网络具有开放的媒质、分布式的合作、动态的拓扑结构和受限的网络能力等基本特点，并且缺乏中心授权，所以特别容易受到攻击。已有的一些针对有线网络的安全解决方案不能直接应用于无线Ad Hoc网络。因此需要对移动Ad Hoc网络的安全路由、安全报文传送等问题进行具体讨论[2]。


2 移动Ad Hoc网络的安全路由
    在Ad Hoc网络中，一个节点不仅是一个主机，而且是一个路由器，它可以在网络中寻找和保持到其他节点的路由。Ad Hoc网络路由协议的首要任务是在一对节点中建立正确和有效的路由，实时地发送消息。如果路由被误导，整个网络可能陷于瘫痪。所以，路由安全在整个Ad Hoc网络的安全中扮演了一个重要的角色。   
    移动Ad Hoc网络的安全路由协议采用了先应式的方法，对已有的路由协议(例如DSR、AODV)进行了安全扩展，增强了它们的安全性。在协议中，每个移动节点使用密码学认证方法对路由消息进行签字。这样，合作节点就能够有效地认证合法的流量并且区分出外部攻击者发送的未经认证的报文。但是，一个已经被认证了的节点也可能被攻击者破坏并且控制，因此，即使是对一个已认证的节点，也要确保路由协议的正常执行。下面本文讨论如何确保不同类型的路由协议的安全。

2.1 源路由协议安全
    对于如动态源路由协议(DSR)这样的源路由协议，最主要的问题是要确保每个中间节点不会从路由表上去掉一个已有的节点或者增加一个额外的节点。通常的做法是对路由表的每一跳都加以认证，使得路由表有任何变化，就会被立即检测出来。
    Ariadne是DSR协议的一个安全扩展，它利用一个单向杂凑密钥链(即TESLA)来进行消息认证。通过密钥管理和分发，接收者就会拥有发送者的TESLA密钥链最后发布的密钥。举例说明如下：假设源节点S使用源路由协议，通过3个中间节点A、B、C与目的节点D相连，那么在目的节点处就会有一个杂凑链H(C,H(B,H(A,HMAC(S,D))))，其中HMAC(S,D)代表由S和D间的共享密钥生成消息M的HMAC码，单向杂凑函数H用来认证密钥链中的内容，HMAC(S,D)用来认证源节点S和目的节点D之间的关系。图1描述了路由请求消息RREQ和路由回复消息RREP的传播过程，其中*代表本地广播，HMAC(.)代表节点X上生成的HMAC码。




    由于p S的信息包含在p C中，所以目的节点D可以计算出m S。D根据p C中的节点表，动态计算h C的值，然后将该值与p C中的h C比较，以检测路由消息的真实性。在路由消息回复阶段，不需要为每个RREP报文生成单独的认证码。在路由请求阶段，每个中间节点X都输出一个单向杂凑函数值mX=HMAC(.)；在路由回复阶段，通过KX来执行mX至KX的步骤。

2.2 距离矢量路由协议安全
    对诸如目的序列距离矢量路由协议(DSDV)和Ad Hoc按需距离矢量路由协议(AODV)这样的距离矢量路由协议，最主要的问题是确保每个中间节点能够正确地广播自己的路由状态。例如，用跳数作为路由状态时，每个中间节点每次必须而且只能增加一跳。可以设计一个跳数杂凑链，这样可以使中间节点在一次路由更新过程中不能减少跳数。在这里，杂凑链不需要时间同步，这与认证中的单向HMAC密钥链不同。
    该方法适用于跳数跳跃较低的情况，但不能防止一个发送者发送与其他发送者相同的跳数信息。文献[3]提出了一个称为杂凑树的更加复杂的机制，能够确保跳数值单调递增。上述方法的局限在于它们只适用于离散的情况[4]。


3 安全报文传送
    对路由消息的保护仅仅是移动Ad Hoc网络层安全解决方案的一部分。恶意节点有可能正常参与路由寻找过程，但却不会正确传送数据报文。安全解决方案应该确保每个节点确实按照路由表中的信息传送了数据报文。但即使已经对报文进行了仔细地签字，攻击者也可能简单丢弃经过自己的所有报文对网络发起攻击。由于这种攻击不可能被预先防止，所以通常要采用反应式的方法。

3.1 检测
    由于无线信道的开放式特性，每个节点可以通过监听途径的信息并估计其邻居节点的行为执行本地局部检测。但是，其准确性局限于许多因素，这些因素包括信道错误、干扰以及移动性等。一个恶意节点可能滥用安全解决方案并故意指控合法节点。为了解决这些问题，可以以分布式的方式综合并提炼单个节点的检测结果，进而在全网的节点中形成一个检测意见。另一个检测方法就是依赖从目的节点或中间节点到源节点的回复信息，使源节点可以指出报文是在哪里被丢弃的。


3.1.1  本地检测
    文献[5]提出了使用看门狗来监视在DSR这样的源路由协议上的报文传送。该方法假设网络具有对称的双向连通性，即若节点A可以听到节点B的内容，同时B也可以听到A的内容。由于整个路径是指定的，当节点A向下一跳节点B发送报文时，它知道B的下一跳节点是C，所以A可以监听B发送给C的内容。假如A在一个时限内听不到B传输的消息，那么网络中就会增加一个B的错误标记。当错误标记数目超过门限时，A将向源节点发送一个报告指出B的异常行为。文献[6]采用了相同的原理，但是他们的方法适用于像AODV这样的距离矢量路由协议。该方法在AODV协议中增加了一个下一跳域，这样节点可以知道自己的下一跳是谁。同时，该方法还考虑了更多的攻击类型，比如说报文修改、报文复制、报文拥塞等问题。这样不同节点的多个独立检测结果共同来撤销一个恶意节点的证书，进而将恶意节点从网络中排除。


3.1.2  基于确认的检测
    文献[7]提出的错误检测机制基于直接的回复信息。目的节点每次成功接收报文后，都会将一个确认(ACK)报文发回源节点。若一个可疑路径丢弃报文的数目超过一个门限时，源节点就会初始化一个错误检测进程。检测进程在源节点自身和目的节点之间进行双向搜索，向中间节点链上的每一个节点发送数据报文，这些报文也称作探针，它们将发回回复消息。源节点和每个探针之间共享一个密钥，并且探针表也经过“洋葱”加密。一旦收到报文，每个探针就会发回一个ACK信息，这个ACK信息是用源节点与探针之间的共享密钥加密过的。随后，源节点验证加密过的ACK信息，并认为离目的节点最近的那个发回ACK信息的节点是错误的。

3.2 响应
    网络一旦检测出一个恶意节点，就会采取相应的步骤来防止这个节点发起的进一步的攻击。在整个安全体系中，响应部分与保护部分密切相关。例如，恶意节点可以将其证书吊销，或者在以后的传送路径中很少被选择。因而响应体制应该分为全局响应和终端主机响应。在全局响应中，网络中所有节点作为一个主体来对恶意节点采取行动，也就是把恶意节点从网络中排除。而在终端主机响应体制中，每个节点自己决定对恶意节点采取什么样的行动，例如将这个恶意节点添加到自己的黑名单中或者调整这个恶意节点的信用度等级。


4  结束语
    对移动Ad Hoc网络的研究具有很高的实际应用价值。然而，由于移动Ad Hoc网络具有开放的媒质、分布式的合作、动态的拓扑结构和受限的网络能力等特点，较传统的有线网络和无线网络存在更多的安全问题，现有的一些方案不能直接应用在Ad Hoc网络中。而且，由于每一种攻击都有自己的特点，要找到一种能有效对付所有攻击的方法几乎是不可能的。如何使用有限的资源和代价保证最大程度的网络安全是需要重点研究的问题。