移動自組網網絡安全技術簡述

丁懿歡

摘 要 當今移動自組網在各個領域應用廣泛，但其在網絡安全方面上卻顯得非常脆弱。本文簡述了當今移動自組網主流的安全技術，分別為物理層安全技術、入侵檢測、安全路由、密鑰管理、信譽管理體制五個方面。

關鍵詞 物理層安全;入侵檢測;安全路由;密鑰管理

前言

移動自組網是一種不依賴于固定基礎設施且無中心的網絡，該網絡能夠自行組網，其中的每個節點可以同時具有終端和路由器的作用。移動自組網主要應用于抗險救災、應急反恐、軍事通信等特殊環境下，有著無可取代的地位。同時，網絡安全是移動自組網特別關注的領域。移動自組網的機密性、完整性、可用性、安全認證以及抗抵賴性相對于有固定基礎設施的無線網絡有著特殊的意義：

機密性是指特定密級的信息必須傳達給特定的接受者，而不會泄露給非法的用戶。同時路由信息也一定要保密。完整性指的是信息在發生過程中不能被篡改，也不能被中斷。可用性指的是節點可以一直提供有效服務，即便受到攻擊時也能提供服務。安全認證指的是每個節點能與子網內的其他節點進行有效的身份認證和鑒別。抗抵賴性指的是每個節點無法否認已經發生的信息內容。

1網絡安全的挑戰

移動自組網因其開發性的平臺，在網絡安全上要面對欺騙、偽裝、竊聽、攻擊等不同程度的傷害。其中攻擊主要包括黑洞攻擊、蟲洞攻擊、拒絕服務攻擊以及資源耗盡攻擊等。移動自組網具有以下的特殊性：

第一無中心。因為移動自組網內沒有一個全局的認證機構，認證完全依賴于節點之間操作，沒有一個完全可信任的第三方，惡意節點很可能冒充正常節點進行攻擊。第二資源有限，尤其是硬件資源，因此無法實現高復雜度的加密算法。第三拓撲變化快速，節點隨意加入或者離開。這些動態的變化使得節點成員之間的信任關系并不是一成不變的。而一些靜態配置的安全方案無法適用于此。

而這些的特殊性使得它在網絡防護方面需要比具有固定基礎設施的無線網絡付出更高的代價。

2網絡安全技術

傳統的網絡安全技術，比如安全認證、數字簽名、防火墻、加密等，并不能完全照搬于移動自組網，必須加以整改優化再利用。本文主要介紹的網絡安全技術有物理層安全技術、入侵檢測、安全路由、密鑰管理以及安全信譽機制。以下分別介紹：

傳統的加密方式主要針對加密的消息（內容）而無法涉及消息的承載體——無線信道。這樣使得加密和傳輸獨立進行，外掛式、補丁式的安全措施并不能保證沒有非法攻擊。惡意節點可以利用無線信號的廣播性進行假冒、篡改等行為以及中間人轉發和重發。因此物理層安全技術受到當今網絡安全技術人員的特別關注。技術人員利用無線信道特殊的自然特性，諸如唯一性、隨機性、互易性，可以對各類無線終端進行身份認證，生成密鑰和對信息的加密。物理層安全技術利用無線信道無法復制的內在屬性，實現了效率與安全的折中。主要有的射頻指紋與信道密鑰，可以將安全信息耦合進無線信號傳輸里，認證參數和無線信號特征、傳輸路徑綁定，對身份的認證轉換為對信道的認證。這樣使得認證、加密與傳輸三者有機地融為一體。

入侵檢測是通過對網絡中的節點行為進行監控、分析、分類，檢測是否有潛在被攻擊的跡象和違反安全的行為，使得自身不被惡意節點攻擊。傳統的分布式入侵檢測以及看門狗Watchdog方案很難平衡好效率、公平性以及資源三者之間的關系，而當今基于人工智能算法的入侵檢測技術，利用無監督模糊聚類、克隆選擇聚類等算法在兼顧公平、資源因素的同時，可以提高檢測率以及降低漏檢率。

安全路由協議，需要支持網絡安全管理，可以通過現有的路由協議上進行改進，也可以提出全新的安全路由協議。前者有AODV協議的安全化、0LSR協議的安全化，DSR協議的安全化等等;后者安全路由協議有SRI，ARAN、SEA、Ariadnec、SGF等協議。安全路由面對不僅來自子網外部攻擊，而且還需面對來自子網內部的攻擊。外部攻擊通過更改路由信息來分隔網絡，或者插入路由數據包、重傳過時路由信息、產生大量的重傳信息和無效路由以此加大網絡負載。而更嚴重的攻擊來自子網內部，主要為惡意節點廣播的錯誤路由消息[1]。為了防止內外部的攻擊，通過在安全路由協議中添加數字簽名，節點能像保護數據通信那樣保護路由信息。

傳統的加密方式，比如有線等效加密方式，仍有可能被竊聽以及遭受到大量攻擊。為了提升加密算法的有效性，須結合硬件、存儲等資源，兼顧到計算復雜度，并優化已有加密算法結構，從序列、分組、哈希表等角度設計[2]，同時也必須考慮到移動自組網拓撲的動態變化。

此外移動自組網這種特殊的網絡結構使得其無法擁有一個單獨的認證中心。然而移動自組網必須進行有效的身份認證，通過節點之間相互認證，可以建立一個能夠被分享的安全密鑰。當今的主流技術是利用橢圓曲線密碼體制和門限秘密共享技術等加密方式形成可認證的組密鑰。針對組密鑰更新優化及一致性的管理問題，在沒有影響網絡安全性的前提下，利用組密鑰服務中心化可以提高了組密鑰更新效率，也可以有效地避免了因組密鑰不一致而造成節點孤立，以上組密鑰的管理方式可以兼顧了移動自組網節點移動性以及對等性。組密鑰管理方式不僅實現了可認證的密鑰管理，同時也滿足移動自組網分布式的密鑰生成方式。

除了以上幾種網絡安全措施外，還有安全信譽機制。安全信譽機制從一定程度上解決了移動自組網網絡因沒有服務器管理而帶來的安全管理問題，緩解了自組網節點之間不信任的關系。該機制主要包括兩個階段：首先端對端進行安全路由識別，其次在鄰居節點之間建立本地信任關系[1]。

3結束語

移動自組網的無中心對等的網絡結構，以及節點資源有限和動態變化使其在網絡安全方面面臨了種種挑戰。以安全目標為導向，解決移動自組網網絡安全的脆弱性。主要介紹了物理層安全技術、入侵檢測、安全路由協議、密鑰管理、安全信譽機制五方面安全技術。

參考文獻

[1] 張鵬，孫磊，崔勇，等.移動自組網安全技術研究[J].計算機科學，2009，36（7）：1-7，14.

[2] 季新生，黃開枝，金梁，等.5G安全技術研究綜述[J].移動通信，2019，43（1）：34-39，45.