顧煒江

(南京林業(yè)大學(xué) 網(wǎng)絡(luò)中心，江蘇 南京 210037)

Ad hoc網(wǎng)絡(luò)的安全對策初探

顧煒江

(南京林業(yè)大學(xué) 網(wǎng)絡(luò)中心，江蘇 南京 210037)

無線網(wǎng)絡(luò)的安全問題變得越來越重要，Ad hoc網(wǎng)絡(luò)是一種特殊的多跳移動無線網(wǎng)絡(luò),具有廣泛的應(yīng)用場合。文中介紹了Ad hoc網(wǎng)絡(luò)的基本概念、結(jié)構(gòu)特點和路由協(xié)議,然后在探討Ad hoc網(wǎng)絡(luò)安全需求的基礎(chǔ)上,分析了Ad hoc網(wǎng)絡(luò)易于遭受的攻擊,并集中討論了Ad hoc網(wǎng)絡(luò)的安全缺陷和安全威脅，提出了網(wǎng)絡(luò)的安全策略。

Ad hoc網(wǎng)絡(luò)；安全問題；安全對策

一、引言

無線局域網(wǎng)出現(xiàn)于1990年，它是在有線局域網(wǎng)的基礎(chǔ)上發(fā)展而來的，是以無線電信道來代替?zhèn)鹘y(tǒng)有線介質(zhì)所構(gòu)成的局域網(wǎng)絡(luò)。無線網(wǎng)絡(luò)使各個終端設(shè)備擺脫有線介質(zhì)的束縛，使其更具有靈活性，并能夠?qū)崿F(xiàn)有線與無線網(wǎng)絡(luò)之間的互連和互通。因此，無線網(wǎng)絡(luò)取得了巨大的發(fā)展和廣泛的應(yīng)用。但由于其技術(shù)的不成熟，無線網(wǎng)絡(luò)還存在巨大的安全隱患。無線網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、種類繁多，下面僅以Ad hoc網(wǎng)絡(luò)為例，簡單分析一下其網(wǎng)絡(luò)安全問題。

二、Ad hoc網(wǎng)絡(luò)簡介

1.Ad hoc網(wǎng)絡(luò)的定義

Ad hoc網(wǎng)絡(luò)是指臨時應(yīng)變的特定網(wǎng)絡(luò)，如圖1所示，由若干個移動的無線通信終端構(gòu)成一個臨時應(yīng)變的網(wǎng)絡(luò)。這種網(wǎng)絡(luò)是臨時性的、無中心的、無需依靠任何基礎(chǔ)設(shè)施的非標準網(wǎng)絡(luò)，因此可稱作是“自組織網(wǎng)絡(luò)”。也有人稱它是“特定網(wǎng)絡(luò)”，是因為它是很短距離的特定連接，并且只能用于近距離的用戶，又因為它是便于加入和離開、既能主控又能被控的網(wǎng)絡(luò)，所以又有人稱之為“對等網(wǎng)絡(luò)”。

2.Ad hoc網(wǎng)絡(luò)路由協(xié)議

按照路由查找方式，Ad hoc路由協(xié)議可分為表驅(qū)動路由和按需驅(qū)動路由。[1]如圖2所示。

3.Ad hoc網(wǎng)絡(luò)的特點

（1）無中心和自組織性。Ad hoc網(wǎng)絡(luò)中沒有絕對的控制中心，網(wǎng)絡(luò)中的節(jié)點通過分布式算法來協(xié)調(diào)彼此的行為，無需人工干預(yù)和任何其他預(yù)先設(shè)置的網(wǎng)絡(luò)設(shè)施，可以在任何時刻、任何地點快速展開并自動組網(wǎng)。

（2）動態(tài)變化的網(wǎng)絡(luò)拓撲。移動終端能夠以任意可能的速度和模式移動，并可隨時關(guān)閉電臺。加上無線發(fā)送裝置的天線類型多種多樣、發(fā)送功率的變化、無線信道間的互相干擾、地形和天氣等綜合因素的影響，移動終端間通過無線信道形成的網(wǎng)絡(luò)拓撲隨時可能發(fā)生變化，而且變化的方式和速度都難以預(yù)測。

（3）無線傳輸帶寬窄。Ad hoc網(wǎng)絡(luò)采用無線信道傳輸，由于無線信道的物理特性，它所能提供的網(wǎng)絡(luò)帶寬相對于有線信道要小得多,并且無線信道的通信質(zhì)量較差，容易引起網(wǎng)絡(luò)擁塞。

（4）多跳路由。當節(jié)點要與其覆蓋范圍之外的節(jié)點進行通信時，需要中間節(jié)點的多跳轉(zhuǎn)發(fā)。與固定網(wǎng)絡(luò)的多跳不同，Ad hoc網(wǎng)絡(luò)中的多跳路由是由普通的網(wǎng)絡(luò)節(jié)點完成的，而不是由專用的路由設(shè)備（如路由器）完成。

（5）能源限制。網(wǎng)絡(luò)中的移動節(jié)點要依靠存儲電池等可耗盡能源來提供電源，這使得移動終端的使用受到節(jié)點能源的限制。

三、Ad hoc網(wǎng)絡(luò)安全分析

1.目標分析[2]

（1）可用性?？捎眯允侵讣词故艿焦?節(jié)點仍然能夠在必要的時候提供有效的服務(wù)。移動Ad hoc網(wǎng)絡(luò)中拒絕服務(wù)攻擊可以在任何層次發(fā)起。如在物理層、數(shù)據(jù)鏈路層,入侵者能夠通過填滿有限的通信信道導(dǎo)致網(wǎng)絡(luò)或服務(wù)不可用；在網(wǎng)絡(luò)層,攻擊者可以通過破壞路由協(xié)議,從而導(dǎo)致整個網(wǎng)絡(luò)不可用。并且移動Ad hoc網(wǎng)絡(luò)拓撲的頻繁變化，節(jié)點間信道的不可靠等，也對網(wǎng)絡(luò)的可靠性提出了嚴峻的挑戰(zhàn)。

（2）機密性。機密性是保證特定的信息不會泄露給未經(jīng)授權(quán)的用戶。軍事情報或用戶賬號等安全敏感的信息在網(wǎng)絡(luò)上傳輸時必須機密可靠,否則這些信息被敵方或惡意用戶捕獲,后果將不堪設(shè)想。路由信息在一些情況下也必須保密,因為這些信息可能被敵方用來識別和確定目標在戰(zhàn)場上的位置。該問題的解決需要借助于認證和密鑰管理機制。

（3）完整性。完整性保證信息在傳輸過程中不被竄改。鑒別使接收者能夠確定發(fā)送方的真實身份,防止偽裝節(jié)點獲取機密信息和資源,或者發(fā)送虛假信息破壞網(wǎng)絡(luò)和服務(wù)的可用性。

（4）安全認證。每個節(jié)點需要能夠確認與其通信的節(jié)點身份,同時要能夠在沒有全局認證機構(gòu)的情況下實施對用戶的鑒別。如果沒有認證，攻擊者很容易俘獲某一節(jié)點,從而得以獲取重要的資源和信息,并干擾其他節(jié)點的通信。只采用認證通常是不夠的,認證只負責證明某人的身份,因此還需要通過授權(quán)來決定某種身份是否被允許做某些事情。由于Ad hoc網(wǎng)絡(luò)沒有固定的管理域,所以難以實施防火墻技術(shù)。

（5）抗抵賴性?？沟仲囍赴l(fā)送方不能否定它所發(fā)送的信息,便于事后審計。檢測入侵能夠檢測發(fā)送信息和惡意的攻擊,并且能夠預(yù)防內(nèi)部攻擊。

2.Ad hoc網(wǎng)絡(luò)的安全威脅

（1）開放介質(zhì)。Ad hoc采用無線信道傳輸信息，無線信道和有線信道不同，它是一個開放的電磁環(huán)境,無線電傳輸大多采用微波和紅外線。微波易受其他無線電波的有意或無意的干擾，比如需電干擾，常用機器設(shè)備的輻射干擾以及人為的電磁干擾。這些干擾會不同程度地影響通信質(zhì)量。紅外線方式基于紅外線技術(shù)的無線網(wǎng)絡(luò)較易實現(xiàn)數(shù)據(jù)的高速傳輸。作為無線網(wǎng)絡(luò)的傳輸方式之一，紅外線最大的優(yōu)點是不受無線電波的干擾。然而，紅外線傳輸方式的方向性要求很高，且對非透明的物體穿透性差，導(dǎo)致它有較大局限性。

（2）動態(tài)拓撲的缺陷。從理論上講，Ad hoc網(wǎng)絡(luò)的節(jié)點可以任意速度向任意方向移動，因此這些網(wǎng)絡(luò)的拓撲變化是高度動態(tài)的。這種變化很快但難以預(yù)測，從而給入侵者帶來可趁之機，靜態(tài)網(wǎng)絡(luò)的許多安全措施也不再適用。

（3）分布式協(xié)作。Ad hoc網(wǎng)絡(luò)中常采用分布式?jīng)Q策，沒有中心結(jié)構(gòu)來管理所有節(jié)點參與的協(xié)作，這使襲擊者可利用這一弱點，采用破壞協(xié)作算法的方式發(fā)動攻擊，使很多傳統(tǒng)網(wǎng)絡(luò)的入侵檢測功能無法實現(xiàn)。

（4）自身數(shù)據(jù)發(fā)送延遲。無線通信的可利用帶寬相對較小，作為中間節(jié)點轉(zhuǎn)發(fā)其他節(jié)點的數(shù)據(jù)，需要消耗一定的帶寬，導(dǎo)致節(jié)點自身發(fā)送數(shù)據(jù)遭受更大的延遲。同時，數(shù)據(jù)轉(zhuǎn)發(fā)也可能導(dǎo)致局部介質(zhì)訪問沖突，導(dǎo)致更大的沖突避讓延遲，因此，在完全開放的Ad hoc網(wǎng)絡(luò)環(huán)境中，并不是每個節(jié)點都愿意無償、主動地參與中間數(shù)據(jù)轉(zhuǎn)發(fā)，Ad hoc移動節(jié)點會表現(xiàn)出“自私”特性。這種“自私”特性，主要體現(xiàn)在路由協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)階段。這種拒絕轉(zhuǎn)發(fā)數(shù)據(jù)的“自私”行為，實際上是一種針對路由協(xié)議的“拒絕服務(wù)（DoS）”攻擊。

（5）信道接入問題。各個通信節(jié)點能否及時有效地獲得無線信道的使用權(quán)和控制權(quán)，將直接影響整個網(wǎng)絡(luò)的性能。傳統(tǒng)的共享信道接入策略只應(yīng)用于單跳網(wǎng)絡(luò)，報文一旦發(fā)生沖突，網(wǎng)絡(luò)內(nèi)的所有節(jié)點都能偵測到。而Ad hoc網(wǎng)絡(luò)是共享信道的多跳網(wǎng)絡(luò)，發(fā)生報文沖突只是局部事件，一部分能正確接收，而另一部分則顯示沖突。正是多跳的原因?qū)е铝穗[藏終端和暴露終端的問題。

如圖3所示，節(jié)點B在A節(jié)點的通信范圍內(nèi)，而C在A的通信范圍之外，當A向B發(fā)送數(shù)據(jù)時，C不能發(fā)現(xiàn)A、B之間的通信。若此刻C也向B發(fā)送數(shù)據(jù)，則A和C的數(shù)據(jù)將在B處發(fā)生沖突，這就是隱藏終端。如圖4所示，如果要A和D聯(lián)系，而同時要B和C聯(lián)系，因為B在A的偵聽范圍內(nèi)，所以當A向D發(fā)送數(shù)據(jù)時會認為信道忙，從而推遲向D發(fā)送數(shù)據(jù)，造成不必要的時延，這就是暴露終端的問題。

（6）存在單向無線信道問題。Ad hoc網(wǎng)絡(luò)采用無線信道通信，地形環(huán)境或發(fā)射功率等因素都可能會產(chǎn)生單向無線信道。例如,車載終端的發(fā)送功率大于手持終端，手持終端可以收到來自車載終端的信號，而車載終端無法收到來自手持終端的信號。即存在從車載終端到手持終端的單向信道。

（7）移動終端自身設(shè)備限制。由于無線網(wǎng)絡(luò)終端的移動設(shè)備大多采用電池來提供電源，所以節(jié)點能量嚴重受限，有限的能源很容易被垃圾數(shù)據(jù)耗盡。并且移動設(shè)備要保證其機動方便的特性，要求移動終端設(shè)備的體積不能做得太大，這就大大提高了對技術(shù)的要求。一般情況下，移動終端的結(jié)構(gòu)比有限網(wǎng)絡(luò)終端結(jié)構(gòu)簡單得多，CPU的計算能力較低，無法實現(xiàn)復(fù)雜的加密算法，這增加了被竊密的可能性。

（8）路由安全所涉及的問題。無線路由所面臨的挑戰(zhàn)傳統(tǒng)網(wǎng)絡(luò)中的所有路由問題都會在網(wǎng)絡(luò)中出現(xiàn),但傳統(tǒng)網(wǎng)絡(luò)的安全方法卻并不總是適用于Ad hoc網(wǎng)絡(luò)。例如,傳統(tǒng)網(wǎng)絡(luò)中可以通過路由器上的防火墻來隔離惡意攻擊從而保護子網(wǎng),而網(wǎng)絡(luò)中每個節(jié)點都要擔當路由的功能。同時由于網(wǎng)絡(luò)的特性又會產(chǎn)生一些新的問題,這使得網(wǎng)絡(luò)的路由安全問題尤為復(fù)雜。

首先是路由信息的機密性。由于網(wǎng)絡(luò)中通信是通過無線介質(zhì)，因此很容易被入侵者竊聽。Ad hoc網(wǎng)絡(luò)路由協(xié)議以明文的方式傳遞路由探測包，這些包中含有本包所遵循的路由。通過分析這些包，入侵者可以了解網(wǎng)絡(luò)的結(jié)構(gòu)。它可能會暴露出網(wǎng)絡(luò)中節(jié)點的漏洞和它們的位置。入侵者可以利用這些信息進行攻擊，控制節(jié)點。尤其在算法中，只要竊聽到一條路由回應(yīng)信息就可以知道整條路由。

其次是身份驗證問題。由于網(wǎng)絡(luò)中依靠臨近的節(jié)點來轉(zhuǎn)發(fā)數(shù)據(jù)包，因此大多數(shù)路由協(xié)議都是絕對信任參與者的。對參與者的身份需要通過數(shù)字簽名來驗證，簡易的移動設(shè)備生成一個簽名需要消耗2～6毫秒的時間，驗證簽名需要花費更多的時間，這對電源有限的移動設(shè)備來說是難以承受的。同時，過分的信任使得惡意節(jié)點可以插入錯誤的路由更新信息，重發(fā)過期的信息，改變路由更新信息或是廣播錯誤的路由更新信息從而使整個網(wǎng)絡(luò)崩潰。當然這種攻擊在傳統(tǒng)的網(wǎng)絡(luò)中也存在，但是環(huán)境使這些問題更難檢測。

再次是吞吐量問題。當每個有效節(jié)點都進行路由時,網(wǎng)絡(luò)將達到最大吞吐量。但是某個節(jié)點可能收到數(shù)據(jù),由于超載或該節(jié)點本身是一個惡意節(jié)點，而最終沒有發(fā)送該數(shù)據(jù)，這種節(jié)點會嚴重地影響吞吐量。但是現(xiàn)有的協(xié)議不提供任何機制來檢測這些節(jié)點，無法區(qū)別這些影響吞吐量的節(jié)點究竟是由于超載或節(jié)點本身效率低，還是由于節(jié)點本身是惡意節(jié)點。進行路由探測時,好的路由協(xié)議應(yīng)該能夠識別惡意節(jié)點并把它們隔離。

最后是自我穩(wěn)定性。好的路由協(xié)議應(yīng)該在有限的時間內(nèi)從攻擊中恢復(fù)過來，不應(yīng)該讓一個入侵者通過插入少量的錯誤路由包就永遠地控制網(wǎng)絡(luò)。但是現(xiàn)有的路由協(xié)議沒有很好地解決該問題。協(xié)議中是采用序列號來解決自我穩(wěn)定性問題的。采用序列號來驗證路由的有效時間,會使錯誤的狀態(tài)在路由表中存在很長時間。

四、Ad hoc網(wǎng)絡(luò)安全對策

1.訪問控制

在Ad hoc網(wǎng)絡(luò)中同樣存在控制對網(wǎng)絡(luò)的訪問。在網(wǎng)絡(luò)層，路由協(xié)議必須保證不允許非法節(jié)點加入網(wǎng)絡(luò)，保證沒有敵對節(jié)點加入和離開網(wǎng)絡(luò)而不被檢測到。在應(yīng)用層，訪問控制必須保證非授權(quán)用戶不能訪問服務(wù)。訪問控制常與身份識別和安全認證相關(guān)聯(lián)，確保合法用戶有權(quán)訪問服務(wù)。在一些系統(tǒng)中可能不需要身份識別和認證，節(jié)點通過證書來訪問服務(wù)。根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)和安全級別，訪問控制的方式也不同，集中式的低安全級別網(wǎng)絡(luò)，可以采用服務(wù)器控制的方式，以用戶ID加密。

2.功率控制

針對Ad hoc網(wǎng)絡(luò)終端的移動特征，大多采用電池作為能源，因而采取合適的功率控制對Ad hoc網(wǎng)絡(luò)有非常重要的意義。一方面，Ad hoc網(wǎng)絡(luò)是無線的多跳網(wǎng)，可用的頻率資源非常有限，對功率進行控制就可以限制無線電波的傳輸范圍，提高信道的空間復(fù)用度。另一方面，用盡量小的功率傳輸信號，可以節(jié)省節(jié)點消耗的能量，延長節(jié)點的工作壽命。一個好的功率控制機制應(yīng)該滿足以下幾個要求:分步性、簡單性、靈活性、健壯性、可擴展性。

目前功率控制主要從網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層進行操作。從網(wǎng)絡(luò)層的角度來看，發(fā)射功率越大，數(shù)據(jù)包需要轉(zhuǎn)發(fā)的次數(shù)就越少，路由問題就會變得相對簡單，但大功率會干擾周圍節(jié)點的信息傳輸，降低信道的空間復(fù)用度。而如果發(fā)射功率過小，雖然提高了節(jié)點的平均可用帶寬，但也增加了路由選擇和維護的困難。因此，進行功率控制需要同時考慮路由復(fù)雜度和空間復(fù)用度。數(shù)據(jù)鏈路層的功率控制是在網(wǎng)絡(luò)層給定最大發(fā)射功率的條件下，盡量提高信道的空間復(fù)用度。實現(xiàn)方法通常有兩種：一種是利用RTS和CTS報文，通過附帶信噪比等參數(shù)，告訴對方節(jié)點相關(guān)的信道條件，調(diào)整發(fā)射功率；另一種是利用忙音信道發(fā)送忙音信號為功率控制提供參考信息。網(wǎng)絡(luò)中各節(jié)點根據(jù)忙音信號的強度推算出信道情況，并決定發(fā)送功率的大小。綜合網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層的考慮，研究人員提出了一種混合式的功率控制協(xié)議PARO（Power-aware Routing Optimization）。該協(xié)議將一條路由上每一跳的發(fā)送功率作為參考標準，在一對節(jié)點之間選擇一條總能耗最低的路由。在鏈路層，控制報文用最大功率發(fā)送，數(shù)據(jù)報文和ACK則用最小功率發(fā)送。PARO這種動態(tài)的功率控制路由策略適用于移動Ad hoc以及傳感器網(wǎng)絡(luò)等多種環(huán)境，有效地改善了網(wǎng)絡(luò)性能。

3.自適應(yīng)技術(shù)

自適應(yīng)是指通信系統(tǒng)具有適應(yīng)通信條件變化的能力。[3]通信條件包括傳播條件、大氣噪聲、人為干擾（有意的或無意的）、被傳輸信息的形式等。廣義的自適應(yīng)系統(tǒng)可以分為：頻率自適應(yīng)、速率自適應(yīng)、分集自適應(yīng)、自適應(yīng)均衡和自適應(yīng)調(diào)零天線等。

Ad Hoc網(wǎng)絡(luò)要求協(xié)議棧的各層都應(yīng)根據(jù)動態(tài)變化的網(wǎng)絡(luò)環(huán)境和需求做出自適應(yīng)調(diào)節(jié)。在頻帶操作、調(diào)制技術(shù)、MAC協(xié)議和功率設(shè)置上提供靈活的選擇，優(yōu)化網(wǎng)絡(luò)連接和改善LPI/LPD指標。自適應(yīng)機制提供了在網(wǎng)絡(luò)中動態(tài)部署協(xié)議和調(diào)整流量的能力，不僅允許動態(tài)選擇MAC和網(wǎng)絡(luò)層參數(shù)，還能夠動態(tài)指派和協(xié)商算法以及更換協(xié)議。

Ad hoc網(wǎng)絡(luò)應(yīng)實現(xiàn)健壯的自適應(yīng)路由機制,以便快速響應(yīng)由于電磁干擾、敵方破壞、節(jié)點移動造成的網(wǎng)絡(luò)拓撲變化。路由協(xié)議應(yīng)利用現(xiàn)有的網(wǎng)絡(luò)資源,盡量減少傳遞消息的數(shù)量和傳輸每個消息的能耗來降低整個網(wǎng)絡(luò)的資源耗費。節(jié)點可同時支持多種路由協(xié)議,例如可在表驅(qū)動路由和按需路由之間切換,或在簇內(nèi)和簇間采用多徑路由來提高數(shù)據(jù)傳遞的可靠性。自適應(yīng)技術(shù)可以用于協(xié)議棧各層,一種設(shè)計選擇是按照垂直集成的方式高效地組合這些獨立的機制來優(yōu)化系統(tǒng)性能。為此可以利用跨層設(shè)計方法，以便在系統(tǒng)約束下優(yōu)化包括可生存性在內(nèi)的各種系統(tǒng)目標。維護相距較遠的骨干網(wǎng)絡(luò)之間的通信,并充當?shù)孛婀歉删W(wǎng)絡(luò)的備份通信設(shè)施來提高整個網(wǎng)絡(luò)的可靠性和生存性。

4.建立入侵檢測系統(tǒng)

入侵檢測系統(tǒng)有入侵檢測和隔離兩項職能。入侵檢測按檢測數(shù)據(jù)源分為基于主機的檢測和基于網(wǎng)絡(luò)的檢測；按分析和檢測方法分為誤用檢測和異常檢測。[4]Ad Hoc對入侵檢測技術(shù)提出了重大挑戰(zhàn)：

（1）開放的環(huán)境。使用知識庫的更新是困難的，因為節(jié)點可能工作在不相連狀態(tài)。異常檢測模型是建立在對用戶行為的長期學(xué)習(xí)基礎(chǔ)上的，而Ad hoc中的節(jié)點生命周期短并不斷移動。

（2）審計數(shù)據(jù)是局部的，缺少集中控制。Ad hoc中沒有流量集中點，沒有集中式服務(wù)器。

（3）正常、異常行為沒有清晰的區(qū)別，如網(wǎng)絡(luò)拓撲的改變使得很難判別是存在一個提供了錯誤消息的節(jié)點還是僅僅失去同步。

（4）有限的資源。這個特性使得入侵檢測系統(tǒng)必須是輕負載、低計算量的。

目前，對Ad hoc中入侵檢測系統(tǒng)的研究尚處于起步階段，已有學(xué)者設(shè)計了入侵檢測的檢測模型，如一個基于Agent的分布式協(xié)作入侵檢測方案，設(shè)計了一個對路由表的異常更新進行檢測的檢測模型。該IDS A gent方案運用于網(wǎng)絡(luò)的每一個節(jié)點上，擁有六大功能模塊，分為數(shù)據(jù)收集、本地檢測、合作檢測、本地入侵響應(yīng)、全局入侵響應(yīng)、安全通信等，如圖5所示。

本地入侵響應(yīng)全局入侵響應(yīng)本地監(jiān)測 合作監(jiān)測本地數(shù)據(jù)收集 安全通信鄰居IDSAgent本地系統(tǒng)和通信信息圖5 IDS Agent組成

5.加強密鑰管理

由于無線通信的無向性，Ad hoc網(wǎng)絡(luò)很容易造成信息泄漏。因此，需要采用有效的保密措施來保證路由信息和數(shù)據(jù)的私密性。［5］與其他任何分布式系統(tǒng)一樣，正確使用密鑰管理系統(tǒng)對于Ad hoc網(wǎng)絡(luò)的安全性十分重要。在Ad hoc網(wǎng)絡(luò)中，數(shù)據(jù)的完整性和抗抵賴性一般需要基于加密算法來實現(xiàn)。無論采用何種加密體制都需要保護私密密鑰的安全。但是，在Ad hoc網(wǎng)絡(luò)如果完全依賴對稱加密體制，則易遭受中間人攻擊，并且難于排除惡意的內(nèi)部節(jié)點的危害。如采用非對稱加密體制，網(wǎng)絡(luò)的安全將依賴于私密密鑰的安全以及節(jié)點公開密鑰的鑒別。在Ad hoc網(wǎng)絡(luò)中，如采用單個CA建立密鑰管理服務(wù)，負責整個網(wǎng)絡(luò)安全的CA將成為整個網(wǎng)絡(luò)的安全弱點。如果CA提供的服務(wù)不可用，節(jié)點將不能獲得其他節(jié)點的公開密鑰，不能與其他節(jié)點建立安全連接。備份CA能夠緩解單點失效的問題，但是如果CA被入侵，將導(dǎo)致密鑰管理系統(tǒng)的私密密鑰泄漏。敵對方就能夠使用該密鑰簽發(fā)錯誤的證書，并廢除所有合法的證書，將給網(wǎng)絡(luò)帶來致命的威脅，而且簡單備份CA提高了此種入侵的可能性。將信任分散是解決Ad hoc密鑰管理的方法之一。

密鑰管理服務(wù)的配置如圖6所示，公開密鑰K為網(wǎng)絡(luò)中所有節(jié)點所共知，私有密鑰k分成n份S1，S2,…Sn,每個服務(wù)器一份。每個服務(wù)器自己也有一個公開/私有密鑰對Ki/ki。該服務(wù)由n個服務(wù)器共同構(gòu)成，服務(wù)作為一個整體擁有一個公開/私有密鑰對Ki/ki節(jié)點的公開密鑰。

假設(shè)在一個Ad Hoc網(wǎng)絡(luò)中，密鑰管理服務(wù)由n個特定節(jié)點（稱作服務(wù)器）共同完成。每個服務(wù)器都擁有自己的密鑰對的同時還存儲網(wǎng)絡(luò)中所有節(jié)點的公開密鑰，都知道其他服務(wù)器的公開密鑰。這樣，服務(wù)器之間就可以建立安全連接。假定在某一段時間，有t個服務(wù)器被攻擊者截獲，t≤n。如果某個服務(wù)器被截獲，那么攻擊者就得到它所存儲的所有秘密信息。被截獲的服務(wù)器可能失效，也可能行為異常。假設(shè)攻擊者不具備破解所采用的密碼方案的能力，那么只要保證以下兩條就能保持服務(wù)正確。

（1）服務(wù)總能處理客戶端的查詢和更新請求。每次查詢總是返回與請求客戶端相關(guān)的最近更新的公開密鑰，并假定在登錄時不存在同時更新的情況。

（2）私有密鑰從沒泄露給攻擊者。即攻擊者永遠不能頒發(fā)由服務(wù)器私有密鑰簽署的證書。

五、結(jié)束語

無線網(wǎng)絡(luò)是個錯綜復(fù)雜的系統(tǒng)，其安全問題也越來越重要。本文僅以Ad hoc網(wǎng)絡(luò)為例簡單介紹了其路由協(xié)議、網(wǎng)絡(luò)特點等。重點分析了其網(wǎng)絡(luò)安全目標和存在的網(wǎng)絡(luò)威脅，并針對其安全缺陷提出了Ad hoc網(wǎng)絡(luò)的安全對策。由于水平有限，不足之處，謹請指導(dǎo)。

[1]聶敏,裴昌幸,李建東.移動Ad hoc網(wǎng)絡(luò)三種路由協(xié)議的規(guī)模性比較研究[J].蘭州大學(xué)學(xué)院(自然科學(xué)版),2005(6).

[2]劉志遠,楊植超.Ad hoc網(wǎng)絡(luò)及其安全性分析[J].計算機技術(shù)與發(fā)展,2006(1).

[3]王海濤,宋麗華.Ad Hoc網(wǎng)絡(luò)的可生存性研究[J].數(shù)據(jù)通信,2005(6).

[4]阮立志等.Ad Hoc網(wǎng)絡(luò)安全策略研究[M].鄭州輕工業(yè)學(xué)院學(xué)報(自然科學(xué)版):2005(4).

[5]董坤,單洪.Ad hoc網(wǎng)絡(luò)的安全威脅及安全策略[J].安徽電子信息職業(yè)技術(shù)學(xué)院學(xué)報,2004（5-6).

TP309

B

1673-8454（2010）03-0022-05

(編輯：楊馥紅)