MWNs中信息安全問題研究

弋改珍

（咸陽師范學院 信息工程學院，陜西 咸陽 712000）

隨著Internet的擴展和各種Internet應用的繁榮，多跳無線網絡（MWNs：Multi-hop Wireless Networks）將被廣泛采用。然而，無線網絡的固有特性：有限的覆蓋范圍、低可靠性、缺乏安全性和隱私保護，嚴重地阻礙了無線網絡技術在實際中的應用。如果在現有網絡基礎設施的周圍部署新的訪問點，以延伸射頻覆蓋范圍，使用多跳無線網絡技術能更大領域地提供Internet訪問；同時多跳無線技術的多重轉發路徑也增強了網絡的健壯性和可靠性。因此多跳無線技術吸引了學術界和工業界的廣泛關注。

在無線網絡應用于實際環境之前，必須解決由無線特性帶來的特殊安全威脅受到來自各方面的安全性威脅：竊聽、篡改、節點妥協、流量分析等。機密性和私密性是無線網絡安全需求中的主要考慮的問題，也是無線網絡安全研究的主要領域之一。本文在總結MWNs的可能安全威脅的基礎上，分析了信息安全的基本需求。通過鑒別和總結MWNs的特點，討論了MWNs的信息安全和現有網絡系統的信息安全之間的區別。確定了MWNs中實現信息安全的挑戰，并建議了與MWNs信息安全相關的4個研究問題。

1 MWNs的固有特征

1）無線信道的開放性

MWNs的一個主要特征是無線信道的開放特性。無線信號本質上是廣播信號，允許并吸引了眾多的惡意攻擊。開放無線信道允許并引發更多被動和主動攻擊，比如偷聽，數據注入/修改、擁塞。這些攻擊使得無線信道更易遭受惡意濫用和破壞。此外，這些攻擊潛在的好處是可能引發更先進的攻擊技術，比如流跟蹤和流分析，呈現出對用戶隱私更要重的威脅。

2）中間節點的脆弱性

由于無線信號的受限的有效傳送范圍，MWNs中的節點比其他網絡中節點被部署的更密集。密集的網絡節點，每個節點比較便宜。由于實際的經濟原因，每個節點沒有強大的裝備以抵抗所有類型的攻擊。另外，無線網絡節點通常被部署在建筑物外或者公眾區域，而不是像有線網絡節點一樣被部署的建筑物之內。對手能夠很容易地進入這些區域，然后發起沒有管理員和真實用戶意識的惡意攻擊。所有這些因素使得MWNs中的節點更易受節點妥協攻擊。

3）多徑轉發特性

在MWNs中，網絡通過無線信號連通，通過多路由路徑轉發分組以提高網絡系統的健壯性和可靠性；多徑分組轉發也被用于均衡網絡流量負載，最大化網絡吞吐量。

4）資源受限

由于MWNs中的節點密集且便宜，特別是無線傳感器網絡中的監控節點，每個節點的計算能力、存儲空間、電源供應等都有限，沒有足夠的能力對每個消息執行復雜的公鑰加密，沒有足夠存儲空間保存所有感知的數據，沒有足夠電能有效傳送數據。因此，在這種資源受限的環境下，容易引發更多的DoS攻擊，這使得許多安全機制不適合資源受限的MWNs，需要從新的觀點來解決這些信息安全問題。

2 MWNs的安全威脅

Reza Curtmola等人在文獻[1]分析了MWNs中多播環境存在的安全缺陷：1）在多播環境中，多播協議的建立和維護需要更復雜的結構和操作，比如樹形結構的構造，數的修剪、合并等。這些情況在單播環境中沒有相應的策略，可能暴露出多播協議存在的新的缺陷。2）多播路由協議由路由發現、路由活動和樹管理3部分組成。外部攻擊者通過注入、替換和修改控制分組破壞路由發現，使自己成為受信節點加入樹結構，發布惡意報告。

Jung-Chun Kao等人在文獻[2]中分析了ad hoc無線網絡中存在的竊聽攻擊安全威脅。Ad hoc無線網絡由自治節點組成，每個節點都能發送和接收分組。這給敵手節點一個可乘之機，敵手節點通過自治方式連接到網絡，攔截數據信息，對截獲的數據信息進行分析，從而對網絡實施攻擊。Shafi Bashar等人在文獻[3]中分析了多條無線網絡中存在的竊聽威脅。

根據文獻[1-3]，MWNs信息安全的可能安全威脅有以下4個方面：

1）竊聽 由于無線信道的開放特性，敵手在不使用任何物理線路連接的情況下就可進行竊聽；又由于MWN的規模不是足夠大或者許多攻擊者相互勾結發起竊聽，敵手有可能進行全局竊聽。

2）數據注入/修改 開放的無線信道對于防止敵手注入數據分組沒有任何阻礙。敵手首先截獲數據包，然后將他們的包注入無線網絡，就能夠很容易的完成數據修改。

3）節點妥協 無線網絡節點或者移動站比有線網絡中的網絡路由器更容易被泄露。網絡節點一旦被泄露，敵手會獲得比如密鑰的各種秘密信息，可以對收到的密文進行解密。因此，敵手停留在網絡中，成為內部攻擊者，這比外部攻擊者更麻煩。

4）流量分析/流跟蹤 比泄露用戶隱私更先進的攻擊是流量分析，通過分析通信節點對之間的流量模式或者通信流就可以發起流量分析攻擊。通過先進的技術比如時間相關性、大小相關性、或者消息內容相關性，發起流跟蹤攻擊。一個基于內容相關性的回溯攻擊，可以泄露源節點的位置隱私。

3 信息安全需求

根據MWNs的安全性威脅，確定MWNs信息安全的4個基本需求：機密性、完整性、可用性、私密性。

3.1 機密性

機密性描述保護專有資料訪問和公開的已授權的限制條件的性質。開放無線信道特別容易受到竊聽的攻擊，敏感信息的機密性面臨著更惡意的威脅。為了確保無線信道上傳送的敏感信息的機密性，可以使用鏈路-鏈路加密解決這個問題；如果需要遠程相互認證和秘密密鑰交換，可以使用端-端加密保證信息的機密性。

要保證用戶的隱私，必須首先保證信息的機密性。

3.2 完整性

在信息安全中，如果沒有授權不能修改數據的屬性，被稱為“integrity”。無線信道容易受到干擾，數據完整性應該受到適當保護。完整性需求應該確保通過無線信道傳播之后，消息沒有被改變。通過輕量hash函數或者數字簽名，能夠實現數據完整性。

3.3 可用性

可用性描述當需要信息時信息必須是可用的信息系統的屬性[4]。換句話說，可用性意思是存儲和處理信息所用的計算系統，保護它所用的安全控制，傳送它所用的通信信道必須是運行正確的。高可用性系統以始終保持可用為目標，防止服務破壞，由于斷電、硬件失敗、系統更新、或信道中斷。保證可用性可防止拒絕服務攻擊。

3.4 私密性

私密性描述防止非授權訪問和公開個人相關信息的狀態。換句話說，私密性可以認為是個人信息的機密性。在傳統的信息安全系統中，私密性被看做是機密性的一部分。隨著Internet和各種個人相關信息的應用，隱私問題已經得到了學術界和工業界越來越多的關注。因此，強調將私密性從機密性中分離的隱私保護。

按照信息內容，隱私被分為以下4種類別：身份隱私[5]、數據隱私[6]、位置隱私[7]、行為隱私[8]。身份隱私是一種個人信息的保護，或者來自第三方和可能來自通信活動中的其他當事人的個人可辨認信息（PII:personally identifiable information）[9]。換句話說，身份隱私可以被看做個人信息或者個人可識別信息的機密性，這直接關系到或者間接可推斷出一個個體的身份。根據文獻[10]，身份隱私可被分為5種級別：使用假名（pseudo-nymity）、 不可連接性 （unlinkability） 、 匿名性（anonymity）、不可觀察性 （unobservability）和不可探測性（undetectability）。

數據隱私，即內容隱私，是隱私需求中的一個特殊種類，非常類似于數據的機密性[11]。機密性通常要求消息內容只對第三方保守秘密而不是對發送者和接收者保守秘密。數據隱私通過呈現對消息內容的一個額外的需求將與機密性區別開來，消息內容的細節對于接收者也保持機密，而不僅是對第三方當事人保持機密。傳統的簡單加密方法，無論是對稱密鑰加密還是公鑰加密，對于實現數據隱私是不同的。當前，數據隱私是一個關于隱私的重要的研究課題。

位置隱私可被定義為個人位置信息的機密性[12]。由于位置信息的特殊性，位置隱私是另一種特殊隱私需求。位置信息可以通過多種手段（直接定位、計算、偷聽）獲得。因此，為數據機密性設計的傳統方法不能保護個人位置隱私。就當事人而言，位置信息被分為兩種類型：源（發送者）位置隱私或者sink（接收者）位置隱私。

行為隱私，是關于個人行為信息的隱私保護，比如什么時候、什么地點、誰做了什么動作。行為隱私通常在前3種類型隱私的庇護之下，很少有人關注。然而，違反行為隱私導致違反其他類型隱私比如身份隱私或者位置隱私。行為隱私對于隱私的相關應用或者現實世界中的商業非常重要。例如，如果兩個公司之間的通信行為突然增加，2個公司正在協商一個重要的協作或者合同。一般地，可能由于上述提到的原因，行為隱私也得到了學術界和工業界越來越多的關注。

上述4種類型的隱私不是彼此獨立的，而是他們通常彼此相互關聯。例如，違反行為隱私可能揭露了身份隱私，違反結合現場觀察的行為隱私也可能暴露身份隱私。在這個意義上，隱私保護是一個非常具有挑戰性的問題，并需要從許多方面綜合考慮。

4 與MWNs信息安全相關的研究問題

當今，一個普通用戶有非常強大的訪問Internet的能力。分布式計算服務比如網格計算規定一個用戶具有巨大的計算能力，搜索引擎，比如google和baidu，規定普通用戶具有訪問龐大數據庫和文件的能力。單個攻擊者也能利用這些服務將他自己轉配成一個強大的、智能的對手，抵抗這些對手變得越來越困難。

文中給出幾種MWNs中信息安全的研究挑戰。這些挑戰比如流量分析和內部敵手已經在傳統有線網絡中被鑒定，但是它們可能對MWNs中的新行為展現新的威脅。最近發現在MWNs中，另一些挑戰比如DoS可能導致流量爆炸。

4.1 阻礙流量分析攻擊

流量分析攻擊已經在傳統有線網絡中被鑒定，但是他們對新興MWNs呈現出更嚴重的威脅。傳統有線網絡中的竊聽不如無線網絡中的竊聽容易，為了攻擊需要裝備特殊硬件。竊聽的容易性引起更多的流量分析攻擊，對無線網絡，特別是MWNs呈現更嚴重的威脅。

流量分析攻擊有許多形式，比如流跟蹤、速率監聽等，流跟蹤是與MWNs相關的關鍵攻擊之一。流跟蹤有2種類型：前向跟蹤和后向跟蹤，分別被用于泄露sink隱私和源隱私。根據先進技術比如時間相關性、大小相關性，或者消息內容相關性可以執行流跟蹤。例如，在時間相關性中攻擊者觀察輸入和輸出分組的時間順序，試圖將他們聯系在一起以推斷出轉發路徑。這些先進的流跟蹤技術對于防止MWNs中流量分析攻擊呈現巨大的挑戰。

4.2 阻撓內部敵手

由于無線網絡的傳送范圍小、節點密度高、產品成本低等特征，MWNs的中間網絡容易受到節點妥協攻擊。如果泄露中間節點，攻擊者停留在節點內部，變成內部敵手。內部敵手可以獲得存儲在節點中的秘密密鑰，并取得節點的全部控制權。由于秘密密鑰已經泄露，鏈路-鏈路加密不能保護用戶的隱私；由于密文與推斷轉發路徑相互關聯，端-端加密不能防止敵手跟蹤源或sink節點。傳統機密方法不能保護用戶的隱私，保證MWNs的安全性必須要有新的方案。因此，MWNs中阻止內部敵手而保護用戶隱私具有嚴峻的挑戰性。

4.3 預防流量爆炸

正如[10]中給出，通常使用偽消息以實現事件源的不可觀察性，這是非常具有吸引力和令人滿意的隱私目標。然而，偽消息可能導致一個嚴重的問題，流量爆炸，能大大降低網絡系統的性能。由于流量爆炸，DoS可能違背網絡系統的可用性，因此，流量爆炸不僅是性能問題，同時也是信息安全問題。預防流量爆炸并同時實現源的不可觀察性是一個非常具有挑戰性的問題。

4.4 安全性和性能之間的權衡

MWNs將必定延伸radio覆蓋范圍，同時吸引更多的用戶。為了支持更多的用戶，各種網絡資源，比如計算能力和傳送帶寬，可能變成性能的瓶頸。為了性能需求的考慮使得研究者和設計者必然面對安全性和性能之間的權衡。在一些情況下，為了滿足安全需求，必須犧牲性能；在其它情況下，稍微放松嚴格的安全需求以換得性能方面的巨大改進。這就要求設計原理是在滿足預定義的安全需求之后，最大化性能。即使使用這個設計原理，在復雜的實際環境中，進行安全性和性能之間的權衡仍然具有挑戰性。

5 結 論

隨著無線網絡技術的逐步成熟與應用，由于多跳無線網絡的固有特性，網絡安全仍然是一個復雜而長期的研究領域。由于無線網絡信道的開放特性，MWNs容易受到竊聽、數據篡改、節點妥協、流量分析等攻擊。為了進一步研究MWNs中的信息安全問題，本文總結了MWNs的安全威脅以及信息安全需求，給出4個與MWNs信息安全相關的研究問題：阻止流量分析攻擊、阻撓內部敵手、預防流量爆炸、和安全性與性能之間的權衡。現有的應用與有線網絡上的安全機制不適合MWNs，需要重新設計并實現適合MWNs的安全機制。

[1]Curtmola R，Nita-Rotaru C.BSMR:byzantine-resilient secure multicast routing in multihop wireless networks[J].IEEE Transactions on Mobile Computing，2009，8（4）:445-459.

[2]Kao J C，Marculescu R.Minimizing eavesdropping risk by transmission power control in multihop wireless networks[J].IEEE Transactions on Computers，2007，56（8）:1009-1023.

[3]Bashar S，Ding Z.Optimum routing protection against cumulative eavesdropping in multihop wireless networks[C].Boston，USA:Proceedingof IEEEMilitary Communication Conference，2009:1-7.

[4]Fussell R S.Protecting information security Availability via Self-adapting Intelligent Agents[C].Atlantic，NJ，USA:Procee-dingof IEEEMilitary Communication Conference，2005:2977-2982.

[5]Islam S，Hamid A，Hong CS，et al.Preserving identity privacy in wireless mesh networks[C]//In Proc.of the International Conference on Information Networking 2008 （ICOIN'08）.2008:1-5.

[6]Singh M，Saxena A.Secure computation for data privacy[C].Nice， France:Proc.SECCOM'07，2007:58-62.

[7]Decker M.Location Privacy-An Overview[C].Proc.ICMB'08.Barcelona，Spain:IEEE CSpress，2008:221-230.

[8]Wang J，Zhao Y，Jiang S，et al.Providing privacy preserving in cloud computing[C].Changsha，China:Proc.ICTM'09，2009:213-216.

[9]Wei Y，He Y，Hao L.An Identity Privacy Enhanced Trust Model in Fully Distributed Virtual Computing Environments[C].Proc.NSWCTC'09.NY:IEEE CSpress，2009:704-708.

[10]Pfitzmann A，Hansen M.Anonymity，Unlinkability， Undetectability，Unobservability，Pseudonymity，and Identity Management-A Consolidated Proposal for Terminology[M].German:Press of Technische University Dresden，2008.

[11]Weaver A C.Achieving data privacy and security using Web services[C].Hongkong， China:Proc.ICIT'05，2005:2-5.

[12]Maglogiannis I，Kazatzopoulos L，Delakouridis K，et al.Enabling location privacy and medical data encryption in patient telemonitoring systems[J].IEEE Transactions on Information Technology in Biomedicine，2009，13（6）:946-954.