Ad hoc網絡的安全對策初探

顧煒江

(南京林業大學 網絡中心，江蘇 南京 210037)

Ad hoc網絡的安全對策初探

顧煒江

(南京林業大學 網絡中心，江蘇 南京 210037)

無線網絡的安全問題變得越來越重要，Ad hoc網絡是一種特殊的多跳移動無線網絡,具有廣泛的應用場合。文中介紹了Ad hoc網絡的基本概念、結構特點和路由協議,然后在探討Ad hoc網絡安全需求的基礎上,分析了Ad hoc網絡易于遭受的攻擊,并集中討論了Ad hoc網絡的安全缺陷和安全威脅，提出了網絡的安全策略。

Ad hoc網絡；安全問題；安全對策

一、引言

無線局域網出現于1990年，它是在有線局域網的基礎上發展而來的，是以無線電信道來代替傳統有線介質所構成的局域網絡。無線網絡使各個終端設備擺脫有線介質的束縛，使其更具有靈活性，并能夠實現有線與無線網絡之間的互連和互通。因此，無線網絡取得了巨大的發展和廣泛的應用。但由于其技術的不成熟，無線網絡還存在巨大的安全隱患。無線網絡結構復雜、種類繁多，下面僅以Ad hoc網絡為例，簡單分析一下其網絡安全問題。

二、Ad hoc網絡簡介

1.Ad hoc網絡的定義

Ad hoc網絡是指臨時應變的特定網絡，如圖1所示，由若干個移動的無線通信終端構成一個臨時應變的網絡。這種網絡是臨時性的、無中心的、無需依靠任何基礎設施的非標準網絡，因此可稱作是“自組織網絡”。也有人稱它是“特定網絡”，是因為它是很短距離的特定連接，并且只能用于近距離的用戶，又因為它是便于加入和離開、既能主控又能被控的網絡，所以又有人稱之為“對等網絡”。

2.Ad hoc網絡路由協議

按照路由查找方式，Ad hoc路由協議可分為表驅動路由和按需驅動路由。[1]如圖2所示。

3.Ad hoc網絡的特點

（1）無中心和自組織性。Ad hoc網絡中沒有絕對的控制中心，網絡中的節點通過分布式算法來協調彼此的行為，無需人工干預和任何其他預先設置的網絡設施，可以在任何時刻、任何地點快速展開并自動組網。

（2）動態變化的網絡拓撲。移動終端能夠以任意可能的速度和模式移動，并可隨時關閉電臺。加上無線發送裝置的天線類型多種多樣、發送功率的變化、無線信道間的互相干擾、地形和天氣等綜合因素的影響，移動終端間通過無線信道形成的網絡拓撲隨時可能發生變化，而且變化的方式和速度都難以預測。

（3）無線傳輸帶寬窄。Ad hoc網絡采用無線信道傳輸，由于無線信道的物理特性，它所能提供的網絡帶寬相對于有線信道要小得多,并且無線信道的通信質量較差，容易引起網絡擁塞。

（4）多跳路由。當節點要與其覆蓋范圍之外的節點進行通信時，需要中間節點的多跳轉發。與固定網絡的多跳不同，Ad hoc網絡中的多跳路由是由普通的網絡節點完成的，而不是由專用的路由設備（如路由器）完成。

（5）能源限制。網絡中的移動節點要依靠存儲電池等可耗盡能源來提供電源，這使得移動終端的使用受到節點能源的限制。

三、Ad hoc網絡安全分析

1.目標分析[2]

（1）可用性。可用性是指即使受到攻擊,節點仍然能夠在必要的時候提供有效的服務。移動Ad hoc網絡中拒絕服務攻擊可以在任何層次發起。如在物理層、數據鏈路層,入侵者能夠通過填滿有限的通信信道導致網絡或服務不可用；在網絡層,攻擊者可以通過破壞路由協議,從而導致整個網絡不可用。并且移動Ad hoc網絡拓撲的頻繁變化，節點間信道的不可靠等，也對網絡的可靠性提出了嚴峻的挑戰。

（2）機密性。機密性是保證特定的信息不會泄露給未經授權的用戶。軍事情報或用戶賬號等安全敏感的信息在網絡上傳輸時必須機密可靠,否則這些信息被敵方或惡意用戶捕獲,后果將不堪設想。路由信息在一些情況下也必須保密,因為這些信息可能被敵方用來識別和確定目標在戰場上的位置。該問題的解決需要借助于認證和密鑰管理機制。

（3）完整性。完整性保證信息在傳輸過程中不被竄改。鑒別使接收者能夠確定發送方的真實身份,防止偽裝節點獲取機密信息和資源,或者發送虛假信息破壞網絡和服務的可用性。

（4）安全認證。每個節點需要能夠確認與其通信的節點身份,同時要能夠在沒有全局認證機構的情況下實施對用戶的鑒別。如果沒有認證，攻擊者很容易俘獲某一節點,從而得以獲取重要的資源和信息,并干擾其他節點的通信。只采用認證通常是不夠的,認證只負責證明某人的身份,因此還需要通過授權來決定某種身份是否被允許做某些事情。由于Ad hoc網絡沒有固定的管理域,所以難以實施防火墻技術。

（5）抗抵賴性。抗抵賴指發送方不能否定它所發送的信息,便于事后審計。檢測入侵能夠檢測發送信息和惡意的攻擊,并且能夠預防內部攻擊。

2.Ad hoc網絡的安全威脅

（1）開放介質。Ad hoc采用無線信道傳輸信息，無線信道和有線信道不同，它是一個開放的電磁環境,無線電傳輸大多采用微波和紅外線。微波易受其他無線電波的有意或無意的干擾，比如需電干擾，常用機器設備的輻射干擾以及人為的電磁干擾。這些干擾會不同程度地影響通信質量。紅外線方式基于紅外線技術的無線網絡較易實現數據的高速傳輸。作為無線網絡的傳輸方式之一，紅外線最大的優點是不受無線電波的干擾。然而，紅外線傳輸方式的方向性要求很高，且對非透明的物體穿透性差，導致它有較大局限性。

（2）動態拓撲的缺陷。從理論上講，Ad hoc網絡的節點可以任意速度向任意方向移動，因此這些網絡的拓撲變化是高度動態的。這種變化很快但難以預測，從而給入侵者帶來可趁之機，靜態網絡的許多安全措施也不再適用。

（3）分布式協作。Ad hoc網絡中常采用分布式決策，沒有中心結構來管理所有節點參與的協作，這使襲擊者可利用這一弱點，采用破壞協作算法的方式發動攻擊，使很多傳統網絡的入侵檢測功能無法實現。

（4）自身數據發送延遲。無線通信的可利用帶寬相對較小，作為中間節點轉發其他節點的數據，需要消耗一定的帶寬，導致節點自身發送數據遭受更大的延遲。同時，數據轉發也可能導致局部介質訪問沖突，導致更大的沖突避讓延遲，因此，在完全開放的Ad hoc網絡環境中，并不是每個節點都愿意無償、主動地參與中間數據轉發，Ad hoc移動節點會表現出“自私”特性。這種“自私”特性，主要體現在路由協議的數據轉發階段。這種拒絕轉發數據的“自私”行為，實際上是一種針對路由協議的“拒絕服務（DoS）”攻擊。

（5）信道接入問題。各個通信節點能否及時有效地獲得無線信道的使用權和控制權，將直接影響整個網絡的性能。傳統的共享信道接入策略只應用于單跳網絡，報文一旦發生沖突，網絡內的所有節點都能偵測到。而Ad hoc網絡是共享信道的多跳網絡，發生報文沖突只是局部事件，一部分能正確接收，而另一部分則顯示沖突。正是多跳的原因導致了隱藏終端和暴露終端的問題。

如圖3所示，節點B在A節點的通信范圍內，而C在A的通信范圍之外，當A向B發送數據時，C不能發現A、B之間的通信。若此刻C也向B發送數據，則A和C的數據將在B處發生沖突，這就是隱藏終端。如圖4所示，如果要A和D聯系，而同時要B和C聯系，因為B在A的偵聽范圍內，所以當A向D發送數據時會認為信道忙，從而推遲向D發送數據，造成不必要的時延，這就是暴露終端的問題。

（6）存在單向無線信道問題。Ad hoc網絡采用無線信道通信，地形環境或發射功率等因素都可能會產生單向無線信道。例如,車載終端的發送功率大于手持終端，手持終端可以收到來自車載終端的信號，而車載終端無法收到來自手持終端的信號。即存在從車載終端到手持終端的單向信道。

（7）移動終端自身設備限制。由于無線網絡終端的移動設備大多采用電池來提供電源，所以節點能量嚴重受限，有限的能源很容易被垃圾數據耗盡。并且移動設備要保證其機動方便的特性，要求移動終端設備的體積不能做得太大，這就大大提高了對技術的要求。一般情況下，移動終端的結構比有限網絡終端結構簡單得多，CPU的計算能力較低，無法實現復雜的加密算法，這增加了被竊密的可能性。

（8）路由安全所涉及的問題。無線路由所面臨的挑戰傳統網絡中的所有路由問題都會在網絡中出現,但傳統網絡的安全方法卻并不總是適用于Ad hoc網絡。例如,傳統網絡中可以通過路由器上的防火墻來隔離惡意攻擊從而保護子網,而網絡中每個節點都要擔當路由的功能。同時由于網絡的特性又會產生一些新的問題,這使得網絡的路由安全問題尤為復雜。

首先是路由信息的機密性。由于網絡中通信是通過無線介質，因此很容易被入侵者竊聽。Ad hoc網絡路由協議以明文的方式傳遞路由探測包，這些包中含有本包所遵循的路由。通過分析這些包，入侵者可以了解網絡的結構。它可能會暴露出網絡中節點的漏洞和它們的位置。入侵者可以利用這些信息進行攻擊，控制節點。尤其在算法中，只要竊聽到一條路由回應信息就可以知道整條路由。

其次是身份驗證問題。由于網絡中依靠臨近的節點來轉發數據包，因此大多數路由協議都是絕對信任參與者的。對參與者的身份需要通過數字簽名來驗證，簡易的移動設備生成一個簽名需要消耗2～6毫秒的時間，驗證簽名需要花費更多的時間，這對電源有限的移動設備來說是難以承受的。同時，過分的信任使得惡意節點可以插入錯誤的路由更新信息，重發過期的信息，改變路由更新信息或是廣播錯誤的路由更新信息從而使整個網絡崩潰。當然這種攻擊在傳統的網絡中也存在，但是環境使這些問題更難檢測。

再次是吞吐量問題。當每個有效節點都進行路由時,網絡將達到最大吞吐量。但是某個節點可能收到數據,由于超載或該節點本身是一個惡意節點，而最終沒有發送該數據，這種節點會嚴重地影響吞吐量。但是現有的協議不提供任何機制來檢測這些節點，無法區別這些影響吞吐量的節點究竟是由于超載或節點本身效率低，還是由于節點本身是惡意節點。進行路由探測時,好的路由協議應該能夠識別惡意節點并把它們隔離。

最后是自我穩定性。好的路由協議應該在有限的時間內從攻擊中恢復過來，不應該讓一個入侵者通過插入少量的錯誤路由包就永遠地控制網絡。但是現有的路由協議沒有很好地解決該問題。協議中是采用序列號來解決自我穩定性問題的。采用序列號來驗證路由的有效時間,會使錯誤的狀態在路由表中存在很長時間。

四、Ad hoc網絡安全對策

1.訪問控制

在Ad hoc網絡中同樣存在控制對網絡的訪問。在網絡層，路由協議必須保證不允許非法節點加入網絡，保證沒有敵對節點加入和離開網絡而不被檢測到。在應用層，訪問控制必須保證非授權用戶不能訪問服務。訪問控制常與身份識別和安全認證相關聯，確保合法用戶有權訪問服務。在一些系統中可能不需要身份識別和認證，節點通過證書來訪問服務。根據不同的網絡結構和安全級別，訪問控制的方式也不同，集中式的低安全級別網絡，可以采用服務器控制的方式，以用戶ID加密。

2.功率控制

針對Ad hoc網絡終端的移動特征，大多采用電池作為能源，因而采取合適的功率控制對Ad hoc網絡有非常重要的意義。一方面，Ad hoc網絡是無線的多跳網，可用的頻率資源非常有限，對功率進行控制就可以限制無線電波的傳輸范圍，提高信道的空間復用度。另一方面，用盡量小的功率傳輸信號，可以節省節點消耗的能量，延長節點的工作壽命。一個好的功率控制機制應該滿足以下幾個要求:分步性、簡單性、靈活性、健壯性、可擴展性。

目前功率控制主要從網絡層和數據鏈路層進行操作。從網絡層的角度來看，發射功率越大，數據包需要轉發的次數就越少，路由問題就會變得相對簡單，但大功率會干擾周圍節點的信息傳輸，降低信道的空間復用度。而如果發射功率過小，雖然提高了節點的平均可用帶寬，但也增加了路由選擇和維護的困難。因此，進行功率控制需要同時考慮路由復雜度和空間復用度。數據鏈路層的功率控制是在網絡層給定最大發射功率的條件下，盡量提高信道的空間復用度。實現方法通常有兩種：一種是利用RTS和CTS報文，通過附帶信噪比等參數，告訴對方節點相關的信道條件，調整發射功率；另一種是利用忙音信道發送忙音信號為功率控制提供參考信息。網絡中各節點根據忙音信號的強度推算出信道情況，并決定發送功率的大小。綜合網絡層和數據鏈路層的考慮，研究人員提出了一種混合式的功率控制協議PARO（Power-aware Routing Optimization）。該協議將一條路由上每一跳的發送功率作為參考標準，在一對節點之間選擇一條總能耗最低的路由。在鏈路層，控制報文用最大功率發送，數據報文和ACK則用最小功率發送。PARO這種動態的功率控制路由策略適用于移動Ad hoc以及傳感器網絡等多種環境，有效地改善了網絡性能。

3.自適應技術

自適應是指通信系統具有適應通信條件變化的能力。[3]通信條件包括傳播條件、大氣噪聲、人為干擾（有意的或無意的）、被傳輸信息的形式等。廣義的自適應系統可以分為：頻率自適應、速率自適應、分集自適應、自適應均衡和自適應調零天線等。

Ad Hoc網絡要求協議棧的各層都應根據動態變化的網絡環境和需求做出自適應調節。在頻帶操作、調制技術、MAC協議和功率設置上提供靈活的選擇，優化網絡連接和改善LPI/LPD指標。自適應機制提供了在網絡中動態部署協議和調整流量的能力，不僅允許動態選擇MAC和網絡層參數，還能夠動態指派和協商算法以及更換協議。

Ad hoc網絡應實現健壯的自適應路由機制,以便快速響應由于電磁干擾、敵方破壞、節點移動造成的網絡拓撲變化。路由協議應利用現有的網絡資源,盡量減少傳遞消息的數量和傳輸每個消息的能耗來降低整個網絡的資源耗費。節點可同時支持多種路由協議,例如可在表驅動路由和按需路由之間切換,或在簇內和簇間采用多徑路由來提高數據傳遞的可靠性。自適應技術可以用于協議棧各層,一種設計選擇是按照垂直集成的方式高效地組合這些獨立的機制來優化系統性能。為此可以利用跨層設計方法，以便在系統約束下優化包括可生存性在內的各種系統目標。維護相距較遠的骨干網絡之間的通信,并充當地面骨干網絡的備份通信設施來提高整個網絡的可靠性和生存性。

4.建立入侵檢測系統

入侵檢測系統有入侵檢測和隔離兩項職能。入侵檢測按檢測數據源分為基于主機的檢測和基于網絡的檢測；按分析和檢測方法分為誤用檢測和異常檢測。[4]Ad Hoc對入侵檢測技術提出了重大挑戰：

（1）開放的環境。使用知識庫的更新是困難的，因為節點可能工作在不相連狀態。異常檢測模型是建立在對用戶行為的長期學習基礎上的，而Ad hoc中的節點生命周期短并不斷移動。

（2）審計數據是局部的，缺少集中控制。Ad hoc中沒有流量集中點，沒有集中式服務器。

（3）正常、異常行為沒有清晰的區別，如網絡拓撲的改變使得很難判別是存在一個提供了錯誤消息的節點還是僅僅失去同步。

（4）有限的資源。這個特性使得入侵檢測系統必須是輕負載、低計算量的。

目前，對Ad hoc中入侵檢測系統的研究尚處于起步階段，已有學者設計了入侵檢測的檢測模型，如一個基于Agent的分布式協作入侵檢測方案，設計了一個對路由表的異常更新進行檢測的檢測模型。該IDS A gent方案運用于網絡的每一個節點上，擁有六大功能模塊，分為數據收集、本地檢測、合作檢測、本地入侵響應、全局入侵響應、安全通信等，如圖5所示。

本地入侵響應全局入侵響應本地監測 合作監測本地數據收集 安全通信鄰居IDSAgent本地系統和通信信息圖5 IDS Agent組成

5.加強密鑰管理

由于無線通信的無向性，Ad hoc網絡很容易造成信息泄漏。因此，需要采用有效的保密措施來保證路由信息和數據的私密性。［5］與其他任何分布式系統一樣，正確使用密鑰管理系統對于Ad hoc網絡的安全性十分重要。在Ad hoc網絡中，數據的完整性和抗抵賴性一般需要基于加密算法來實現。無論采用何種加密體制都需要保護私密密鑰的安全。但是，在Ad hoc網絡如果完全依賴對稱加密體制，則易遭受中間人攻擊，并且難于排除惡意的內部節點的危害。如采用非對稱加密體制，網絡的安全將依賴于私密密鑰的安全以及節點公開密鑰的鑒別。在Ad hoc網絡中，如采用單個CA建立密鑰管理服務，負責整個網絡安全的CA將成為整個網絡的安全弱點。如果CA提供的服務不可用，節點將不能獲得其他節點的公開密鑰，不能與其他節點建立安全連接。備份CA能夠緩解單點失效的問題，但是如果CA被入侵，將導致密鑰管理系統的私密密鑰泄漏。敵對方就能夠使用該密鑰簽發錯誤的證書，并廢除所有合法的證書，將給網絡帶來致命的威脅，而且簡單備份CA提高了此種入侵的可能性。將信任分散是解決Ad hoc密鑰管理的方法之一。

密鑰管理服務的配置如圖6所示，公開密鑰K為網絡中所有節點所共知，私有密鑰k分成n份S1，S2,…Sn,每個服務器一份。每個服務器自己也有一個公開/私有密鑰對Ki/ki。該服務由n個服務器共同構成，服務作為一個整體擁有一個公開/私有密鑰對Ki/ki節點的公開密鑰。

假設在一個Ad Hoc網絡中，密鑰管理服務由n個特定節點（稱作服務器）共同完成。每個服務器都擁有自己的密鑰對的同時還存儲網絡中所有節點的公開密鑰，都知道其他服務器的公開密鑰。這樣，服務器之間就可以建立安全連接。假定在某一段時間，有t個服務器被攻擊者截獲，t≤n。如果某個服務器被截獲，那么攻擊者就得到它所存儲的所有秘密信息。被截獲的服務器可能失效，也可能行為異常。假設攻擊者不具備破解所采用的密碼方案的能力，那么只要保證以下兩條就能保持服務正確。

（1）服務總能處理客戶端的查詢和更新請求。每次查詢總是返回與請求客戶端相關的最近更新的公開密鑰，并假定在登錄時不存在同時更新的情況。

（2）私有密鑰從沒泄露給攻擊者。即攻擊者永遠不能頒發由服務器私有密鑰簽署的證書。

五、結束語

無線網絡是個錯綜復雜的系統，其安全問題也越來越重要。本文僅以Ad hoc網絡為例簡單介紹了其路由協議、網絡特點等。重點分析了其網絡安全目標和存在的網絡威脅，并針對其安全缺陷提出了Ad hoc網絡的安全對策。由于水平有限，不足之處，謹請指導。

[1]聶敏,裴昌幸,李建東.移動Ad hoc網絡三種路由協議的規模性比較研究[J].蘭州大學學院(自然科學版),2005(6).

[2]劉志遠,楊植超.Ad hoc網絡及其安全性分析[J].計算機技術與發展,2006(1).

[3]王海濤,宋麗華.Ad Hoc網絡的可生存性研究[J].數據通信,2005(6).

[4]阮立志等.Ad Hoc網絡安全策略研究[M].鄭州輕工業學院學報(自然科學版):2005(4).

[5]董坤,單洪.Ad hoc網絡的安全威脅及安全策略[J].安徽電子信息職業技術學院學報,2004（5-6).

TP309

B

1673-8454（2010）03-0022-05

(編輯：楊馥紅)