無線異構網絡關鍵安全技術
在過去的十幾年里,全球移動通信發(fā)展迅速,蜂窩移動用戶數量迅猛增長,除了單一的話音業(yè)務外,數據業(yè)務也獲得了極大的增長。然而,無線網絡(包括蜂窩網絡)仍必須不斷地提供無處不在的通信能力,以滿足人們不斷增長的通信以及接入Internet的需求。
異構網絡融合是個嶄新的概念——盡可能將各種類型的網絡融合起來,在一個通用的網絡平臺上提供多種業(yè)務,一直是人們追求的目標。4G網絡的一個主要特征就是能夠提供多種不同無線接入技術之間的互操作,無線局域網(WLAN)和3G網絡的融合、Ad hoc網絡與蜂窩網絡的融合都是無線異構網絡融合的重要模式。網絡融合技術可極大地提升蜂窩網絡的性能,在支持傳統業(yè)務的同時也為引入新的服務創(chuàng)造了條件,成為支持異構互連和協同應用的新一代無線移動網絡的熱點技術。無線異構網絡融合近年來受到了業(yè)界的高度重視和研究[1-6]。
如同所有的通信網絡和計算機網絡,信息安全問題同樣是無線異構網絡發(fā)展過程中所必須關注的一個重要問題。異構網絡融合了各自網絡的優(yōu)點,也必然會將相應缺點帶進融合網絡中。異構網絡除存在原有各自網絡所固有的安全需求外,還將面臨一系列新的安全問題,如網間安全、安全協議的無縫銜接、以及提供多樣化的新業(yè)務帶來的新的安全需求等。構建高柔性免受攻擊的無線異構網絡安全防護的新型模型、關鍵安全技術和方法,是無線異構網絡發(fā)展過程中所必須關注的一個重要問題。
雖然傳統的GSM網絡、無線局域網(WLAN)以及Adhoc網絡的安全已獲得了極大的關注,并在實踐中得到應用,然而異構網絡安全問題的研究目前則剛剛起步。本文將在下一代公眾移動網絡環(huán)境下,研究無線異構網絡中的安全路由協議、接入認證技術、入侵檢測技術、加解密技術、節(jié)點間協作通信等安全技術等,以提高無線異構網絡的安全保障能力。
1 Adhoc網絡的安全解決方案
眾所周知,由于Ad hoc網絡本身固有的特性,如開放性介質、動態(tài)拓撲、分布式合作以及有限的能量等,無論是合法的網絡用戶還是惡意的入侵節(jié)點都可以接入無線信道,因而使其很容易遭受到各種攻擊,安全形勢也較一般無線網絡嚴峻的多。目前關于Ad hoc網絡的安全問題已有很多相關闡述[7-11]。Ad hoc網絡中的攻擊主要可分為兩種類型,即被動型攻擊和主動型攻擊。
目前Ad hoc網絡的安全防護主要有二類技術:一是先驗式防護方式:阻止網絡受到攻擊。涉及技術主要包括鑒權、加密算法和密鑰分發(fā)。二是反應式防護方式:檢測惡意節(jié)點或入侵者,從而排除或阻止入侵者進入網絡。這方面的技術主要包括入侵檢測技術(監(jiān)測體系結構、信息采集、以及對于攻擊采取的適當響應)。文獻[12]和文獻[13]描述了在沒有認證中心的情況下Ad hoc群密鑰分發(fā)技術,其中文獻[12]還研究了密鑰建立的有效性。然而這二種密鑰分發(fā)方案僅僅只適用節(jié)點之間彼此可以直接通信的小規(guī)模的Ad hoc網絡。還有由網絡中多個節(jié)點共同協作完成認證中心(CA)功能的分布式認證的門限密碼方案,該方案改善了網絡的魯棒性,因為它排除了一個或少量節(jié)點的捕獲而摧毀整個網絡的密鑰管理的可能性。文獻[14]研究了一種非集中式的密鑰分配方案,假設每個移動節(jié)點在它的近鄰有一個可信賴的節(jié)點群,二個節(jié)點通過合并它們各自的節(jié)點群的相關信息進行公鑰交換,這就大大提高了獲得的密鑰的可信度。然而,該種方案仍然有可能發(fā)生密鑰分配失敗,特別是對于大規(guī)模的Ad hoc網絡。
在Ad hoc網絡中,路由安全問題是個重要的問題。在目前已提出的安全路由方案中,如果采用先驗式防護方案,可使用數字簽名來認證消息中信息不變的部分,使用Hash鏈加密跳數信息,以防止中間惡意節(jié)點增加虛假的路由信息[15],或者把IP地址與媒體接入控制(MAC)地址捆綁起來,在鏈路層進行認證以增加安全性[16]。采用反應式方案,則可使用入侵檢測法。每個節(jié)點都有自己的入侵檢測系統以監(jiān)視該節(jié)點的周圍情況,與此同時,相鄰節(jié)點間可相互交換入侵信息。當然,一個成功的入侵檢測系統是非常復雜的,而且還取決于相鄰節(jié)點的彼此信任程度。看門狗方案也可以保護分組數據在轉發(fā)過程中不被丟棄、篡改、或插入錯誤的路由信息[17]。另外,如何增強AODV、DSR等路由協議的安全性也正被研究[18-19]??傊?,Ad hoc網絡安全性差完全由于其自身的無中心結構,分布式安全機制可以改善Ad hoc網絡的安全性,然而,增加的網絡開銷和決策時間、不精確的安全判斷仍然困擾著Ad hoc網絡。
2 異構網絡的安全解決方案
2.1安全體系結構
對于異構網絡的安全性來說,現階段對異構網絡安全性的研究一方面是針對GSM/GPRS和WLAN融合網絡,另一方面是針對3G(特別是UMTS)和WLAN的融合網絡。如文獻[20]在GSM/GPRS和WLAN融合支持移動用戶的結構中,把WLAN作為3G的接入網絡并直接與3G網絡的組成部分(如蜂窩運營中心)相連。這兩個網絡都是集中控制式的,可以方便地共享相同的資源,如計費、信令和傳輸等,解決安全管理問題。然而,這個安全措施沒有考慮雙模(GSM/GPRS和WLAN)終端問題。文獻[21]將3G和WLAN相融合為企業(yè)提供Internet漫游解決方案,在合適的地方安放許多服務器和網關,來提供安全方面的管理。還可以采用虛擬專用網(VPN)的結構,為企業(yè)提供與3G、公共WLAN和專用WLAN之間的安全連接。3GPP TS 23.234描述了3G和WLAN的互聯結構,增加了如分組數據網關和WLAN接入網關的互聯成分[22]。3GPP TS 33.234在此基礎上對3G和WLAN融合網絡的安全做出了規(guī)定,其安全結構基于現有的UMTS AKA方式[23]。
在Ad hoc和蜂窩融合網絡安全性研究方面,文獻[24]提出了利用蜂窩網的“帶外信令”和蜂窩網的中央管理機制來提高Ad hoc的網絡管理和控制,從而提高Ad hoc網絡的路由和安全性能。但該安全方案只針對Ad hoc網絡,沒有考慮蜂窩網絡和網間的安全問題。
因此,構建一個完善的無線異構網絡的安全體系,一般應遵循下列3個基本原則:(1)無線異構網絡協議結構符合開放系統互聯(OSI)協議體系,因而其安全問題應從每個層次入手,完善的安全系統應該是層層安全的。(2)各個無線接入子網提供了MAC層的安全解決方案,整個安全體系應以此為基礎,構建統一的安全框架,實現安全協議的無縫連接。(3)構建的安全體系應該符合無線異構網絡的業(yè)務特點、技術特點和發(fā)展趨勢,實現安全解決方案的無縫過渡。
可采用中心控制式和分布代理相結合的安全管理體系,設置安全代理,對分布式網絡在接入認證、密鑰分發(fā)與更新、保障路由安全、入侵檢測等方面進行集中控制。
2.2安全路由協議
路由安全在整個異構網絡的安全中占有首要地位。在異構網絡中,路由協議既要發(fā)現移動節(jié)點,又要能夠發(fā)現基站。現有的路由協議大多僅關注于選路及其策略,只有少部分考慮安全問題。
在聯合蜂窩接入網系統中(UCAN)[25] ,涉及的安全主要局限在數據轉發(fā)路徑上合法中間節(jié)點的鑒定問題。當路由請求消息從信宿發(fā)向基站時,在其中就引入單一的含密碼的消息鑒定代碼(MAC)。MAC鑒定了轉發(fā)路徑,基站就會精確地跟蹤每個代理和轉發(fā)節(jié)點的數據流編號,而每個用戶都有一個基站所給的密碼。UCAN著重于阻止個人主機刪除合法主機,或者使未認可的主機有轉播功能。它有效地防止了自私節(jié)點,但是當有碰撞發(fā)生時,防御力就會減少了。另外,文獻[26]提出一種用于對付任意惡意攻擊的新路由算法。該方法主要在于保護路由機制和路由數據,開發(fā)融合網絡信任模型,以及提出安全性能分析體制。該路由算法的核心機制是為每個主機選擇一條到基站吞吐量最高的路徑。每個主機周期性的探測鄰居節(jié)點的當前吞吐量,選擇探測周期內的吞吐量最高值。其目標是識別融合網絡中惡意節(jié)點的攻擊類型,提供有效檢測,避免惡意節(jié)點。
一般而言,對安全路由協議的研究起碼要包括兩個部分:基站和移動終端間的路由安全和任意兩個移動終端間的路由(Ad hoc網絡路由)安全。而由于異構網絡的路由協議主要來源于Ad hoc網絡路由協議的擴展,從而對異構網絡路由協議安全性的研究將主要延伸于Ad hoc網絡路由協議的安全性研究。鑒于此,可以將現有的一些Ad hoc安全路由研究植入到異構網絡的安全路由研究中。簡單的防欺騙的基于信譽的系統SPRITE[27]就是一個很好的研究入口。SPRITE本身需要一個獨立于Ad hoc網絡之外的固定系統——信譽結算服務(CCS)系統,用于維持節(jié)點信譽的平衡,激勵中間節(jié)點轉發(fā)數據的積極性。不過,要實現SPRITE系統需要CCS獲悉兩個節(jié)點之間的完整路由信息。而這一點,在異構網絡中,由于有基站等固定基礎設施的存在,因而實現起來就相對簡單了。
當然,異構網絡路由協議的安全性要建立在節(jié)點得到服務提供商支持的認證,這就要完善基站等固定基礎設施的安全體系和密碼技術,以使得節(jié)點能接入到異構網絡,獲得異構網絡的認證。
2.3接入認證技術
現有的大多數認證體系如Kerberos及X.509等普遍是針對一般的集中式網絡環(huán)境提出的,因其要求有集中式認證機構如證書發(fā)放中心或CA。而對于無固定基礎設施支持的分布式移動Ad hoc網絡,網絡拓撲結構不斷地動態(tài)變化著,其認證問題只有采用分布式認證方式。對于異構網絡,蜂窩基站的引入則可以在充分發(fā)揮Ad hoc自身優(yōu)勢的同時克服其固有缺陷。可以根據集中式網絡和分布式網絡各自的特點,建立異構網絡的接入認證系統。文獻[28]討論了WLAN中的節(jié)點接入3G的安全認證問題。它構建3G-WLAN信任模型來嚴格維持3G-WLAN融合網絡中所有組成成分之間的信任關系,以加強接入認證過程,保護3G網絡免遭偽造的接入認證請求。
從Ad hoc和蜂窩融合網絡3種系統模式來看,以蜂窩技術為主Ad hoc為輔的融合網絡系統模式,其接入認證的重點就是如何讓合法的Ad hoc網絡用戶安全地接入到蜂窩網絡中;以Ad hoc為主蜂窩技術為輔的融合網絡系統模式,其接入認證的重點則是如何在Ad hoc內部實現安全以及蜂窩網管理Ad hoc網絡時如何安全的傳輸控制信息。而事實上,這種模式下甚至可以直接采用蜂窩網中一樣的接入認證過程,如CAMA。Ad hoc和蜂窩融合的第三種模式——混合模式,則更需要對每個用戶的身份信息等進行更加嚴格的認證。異構網絡用戶的身份信息認證又包括Ad hoc網絡與有基站等固定基礎設施的集中式網絡之間的認證和任意兩種集中式網絡之間的認證。
對于復雜的異構網絡安全性而言,傳統意義上的接入認證只是第一道防線。對付那些已經混入網絡的惡意節(jié)點,就要采取更嚴格的措施。建立基于基站的和節(jié)點聲譽評價的鑒權認證機制或許是一個好的方法。因為蜂窩系統的末端接入網絡是完全依賴于節(jié)點的廣泛分布及協同工作而維護正常通信的,既要拒絕惡意節(jié)點的接入,又要確定合適的評價度,保證合法節(jié)點不因被惡意節(jié)點誣陷而被拒絕接入。這樣可以最大限度的保證網絡資源的可使用性。
在異構網絡中,基站和各移動節(jié)點可以共同擔當聲譽機制中心這類權威機構的角色,形成以基站為主,移動節(jié)點分布式評價為輔的方式。同時,還可以借鑒文獻[29]中的方式:在節(jié)點接入網絡時進行預認證,之后網絡中的基站和其他移動節(jié)點對它的行為跟蹤,使它的惡意行為對應一定的聲譽值,重新對它進行鑒權認證。
2.4入侵檢測技術
異構網絡與有線網絡存在很大區(qū)別,針對有線網絡開發(fā)的入侵檢測系統(IDS)很難直接適用于無線移動網絡。傳統的IDS大都依賴于對整個網絡實時業(yè)務的監(jiān)控和分析,而異構網絡中移動環(huán)境部分能為入侵檢測提供的數據只限于與無線通信范圍內的直接通信活動有關的局部數據信息,IDS必須利用這些不完整的信息來完成入侵檢測。其次,移動網絡鏈路速度較慢、帶寬有限、且節(jié)點依靠電池供應能量,這些特性使得它對通信的要求非常嚴格,無法采用那些為有線IDS定義的通信協議。第三,移動網絡中高速變化的拓撲使得其正常與異常操作間沒有明確的界限。發(fā)出錯誤信息的節(jié)點,可能是被俘節(jié)點,也可能是由于正在快速移動而暫時失去同步的節(jié)點,一般IDS很難識別出真正的入侵和系統的暫時性故障。因此,一個好的思路就是研究與異構網絡特征相適應的可擴展性好的聯合分級檢測系統。
目前備受好評的主流入侵檢測系統有兩種:基于移動代理技術的分布式入侵檢測系統[30]和Ad hoc網絡分布式入侵檢測系統[31]。前者的核心是移動代理模塊。根據有限的移動代理在Ad hoc中的不同作用,按某種有效的方式將移動代理分配到不同的節(jié)點,執(zhí)行不同的入侵檢測任務。檢測的最后結果由一個行動執(zhí)行模塊來付諸實施。由于移動代理數量的大大減少,該模型相對其他IDS具有較低的網絡開銷。
Ad hoc網絡分布式入侵檢測系統要求網絡中所有節(jié)點共同參與入侵檢測與響應。每個節(jié)點配備有一個IDS代理,這些IDS代理運用了基于統計性異常的檢測技術。當某一節(jié)點報告一個異常時,不同區(qū)域IDS代理互相合作,發(fā)起全局入侵檢測和響應。在這個分布式入侵檢測系統的基礎上,文獻[32]提出了一種基于簇的多層合作入侵檢測系統。簇中任一節(jié)點(包括簇頭、副簇頭和網關節(jié)點)都獨立運行各自的IDS模塊,監(jiān)控本地的活動,參與本地入侵檢測。如果節(jié)點(包括副簇頭和網關節(jié)點)檢測到異常或可疑,但不能判定是否被攻擊,則向簇頭發(fā)出執(zhí)行全局協作檢測的請求。簇頭接到請求后,通過查詢所有節(jié)點的IDS狀態(tài)來判定是否遭受攻擊。這一基于簇的多層合作IDS可以被引用到異構網絡中來。因為基站等有中央控制管理功能的節(jié)點可以有效得替代簇頭,實現簇頭能全局協作的功能。
在Ad hoc和蜂窩融合網絡安全性研究方面,CAMA結構對入侵檢測進行了探討。當檢測到有入侵節(jié)點時,CAMA代理就通過基站向整個網絡廣播安全信息。入侵檢測主要用于解決CAMA中節(jié)點故意向基站提供錯誤定位信息而引發(fā)的路由安全問題。當節(jié)點發(fā)現基站發(fā)來的路由表中的下一跳節(jié)點根本不存在時,就向基站發(fā)送路由錯誤報告。CAMA代理找出惡意節(jié)點并將它逐出網絡。
另外,從入侵檢測系統的檢測方法角度考慮,人體免疫系統對異體的檢測方法是異常檢測和誤用檢測兩種檢測方法的結合。根據Forrest設計人體免疫系統(AIS)來進行數據檢測,以及Kephart利用AIS進行病毒檢測,可以嘗試利用基于AIS的理論,借鑒基因選擇來設計入侵檢測模型。2.5異構無線網絡的節(jié)點協作通信
如何確保節(jié)點通信的內容在Ad hoc網絡中繼節(jié)點的傳輸過程中的保密性,如何確保異構網絡中安全性最差的Ad hoc網絡的安全,不受到惡意節(jié)點和自私節(jié)點的攻擊,都是迫切需要解決的問題。因此需要設計一種激勵策略既能防止惡意節(jié)點的攻擊和激勵自私節(jié)點參與協作,又能保證通信內容在傳輸過程中的保密性。
目前所提方案可粗略地分為兩類,一類是基于信譽的(或基于檢測的)策略,另一類是基于市場的(或基于計費的)策略。
在基于信譽的系統中,節(jié)點觀察其他節(jié)點的行為并據此采取措施,或者獎勵協作行為,或者懲罰不協作行為。節(jié)點可以使用“看門狗”來檢測其他節(jié)點是否轉發(fā)數據包,避免路由選擇中的惡意行為;同時在源節(jié)點處使用“探路人”[33]選擇最可靠的路由發(fā)送數據包。另一種叫做動態(tài)AdHoc網絡的節(jié)點協作(CONFIDANT)[34]的信譽系統可以阻止拒絕服務的攻擊。如果一個鄰居節(jié)點不轉發(fā)數據包,它就會被認為是不協作,其信譽就會在網絡中廣播。協作信譽系統(CORE)系統[35]提供3種不同的信譽量:主觀信譽量,間接信譽量和功能信譽量。利用這3種信譽量的加權值來決定是否協作,同時避免了惡意節(jié)點的攻擊。安全客觀信譽激勵(SORI)[36]策略的目標是拒絕轉發(fā)的行為,使用類似看門狗的機制來監(jiān)控,而信譽系統維持的信息是節(jié)點轉發(fā)的數據包和發(fā)送的數據包數量的比率。
另一種激勵協作的方法是基于市場的。在這種策略中,節(jié)點從它們轉發(fā)的數據包那里獲得報酬,反過來節(jié)點可以用這些報酬發(fā)送它們自己的數據。一種叫做Nuglets的虛擬貨幣作為單跳的單位費用來激勵每次傳輸中的協作[37],在文獻[38]的策略中,節(jié)點轉發(fā)數據后就會從發(fā)送者那里得到報酬,它們的策略需要在每個節(jié)點上安裝一種防偽設備,如同在安全激勵協議(SIP)[39]中,來確保費用準確地增加與扣除。SPRITE不需要防偽硬件,它利用一個安全協議來管理費用的交換。上面兩種策略的共同特點就是網絡中每個節(jié)點轉發(fā)數據包的定價相同。兼容激勵拍賣策略(iPASS)[40]在路由器中運行“Vickery拍賣”來決定流量的帶寬分配和價格。
安全問題是激勵策略中最關鍵的問題。節(jié)點協作的安全性就是不僅要處理自私節(jié)點和惡意節(jié)點,還要阻止其他方面的攻擊。拒絕轉發(fā)只是不良行為中的一種類型,許多其他關于路由的攻擊更值得關注,比如黑洞攻擊、灰洞攻擊、蟲洞攻擊等。因此激勵策略需要額外的設備或機制來抵御攻擊,這就增加了系統的復雜性和集中式服務。在SIP中,需要密鑰建立設備,每個節(jié)點還需要安全模塊;SORI要對傳播的信譽評價進行基于Hash鏈的認證;SPRITE需要對每個數據包的RSA簽名進行驗證和儲存;殘余Ad Hoc網絡(STUB Ad hoc)采用公鑰加密技術;在協作計費策略網絡(CASHnet)中,由于開放的環(huán)境,需要基于公鑰的設施,這不需要直接密鑰轉換。數字簽名的使用阻止了數據包的秘密篡改,并唯一地確認原始數據包和轉發(fā)節(jié)點,因此無效的數據包(比如未付款的)就不會被轉發(fā),獎勵也就能安全地分配。
如果沒有外加的設備,激勵策略往往易受攻擊。在CONFIDANT中,由于沒有機制驗證收到的信息中不良行為的可靠性,惡意節(jié)點可以發(fā)送錯誤的信息來影響無惡意節(jié)點,易收到Sybil攻擊。另外,對不良節(jié)點也沒有救贖機制;iPASS的計費系統沒有結合安全交易。最近的研究大多利用博弈論,考慮市場的概念,因為所有的網絡功能都依靠參與者的貢獻。節(jié)點不得不相互轉發(fā)數據包來確保多跳通信,這樣就沒有必要設計協作機制,更重要的是考慮數據轉發(fā)的均衡情況。
還有一些激勵策略在沒有外加設備的情況下考慮了安全問題。CORE使用本身的安全機制來抵御攻擊:節(jié)點之間不會傳播負面評價,這樣節(jié)點不會惡意地降低另一個節(jié)點的信譽。CORE的信譽系統允許MANET中的節(jié)點逐漸孤立自私節(jié)點。當鄰居節(jié)點的信譽值降低到一個預先設定的門限值時,提供的服務就會中斷。
3 結束語
事實上,異構多網融合在未來網絡發(fā)展中是個很普遍的問題,其理論基礎在不斷奠定,應用在不斷擴大。而且,無線與無線網絡、無線與有線網絡,都可以統一在下一代網絡(NGN)的平臺上。無線異構多網融合技術作為一種重要的未來無線移動網絡的演化方式,有著廣闊的應用前景和市場前景,有著巨大的經濟效益和社會效益。
與此同時,信息安全問題同樣是無線異構網絡發(fā)展過程中所必須關注的一個重要問題。隨著網絡應用范圍的不斷擴大和接入方式的多樣化,各種攻擊手段與日俱增,安全性在異構網絡的各個關鍵技術問題上起著至關重要的作用,如異構網絡的路由、認證、計費、節(jié)點協作、入侵檢測等各個方面都存在安全的脆弱性。目前國內外對無線異構網絡的安全性研究尚為起步階段,針對安全性某一個方面或問題開展了相關的研究工作,取得了一些初步的研究成果。但由于異構網絡的極其復雜性,需要解決的安全問題還相當多。
因此開展無線異構網絡信息安全技術的研究,從整體上、系統地研究異構無線網絡的互連融合所涉及的安全關鍵技術和管理問題,研究保證融合網絡安全的個性和共性問題,顯得尤為重要。要通過對安全機制和協議的廣泛研制與應用,積極建立新型主動安全防護系統,以真正達到可信、可控、可用這一信息安全的最終目標。
作者簡介:
吳蒙,南京郵電大學通信與信息工程學院教授、博導。主要研究方向為無線通信、信息安全,已發(fā)表論文70余篇,獲國家發(fā)明專利2項。季麗娜,南京郵電大學通信與信息工程學院在讀碩士研究生,主要研究方向為無線通信和信息安全。王坤,南京郵電大學通信與信息工程學院在讀博士研究生,主要研究方向為無線通信和信息安全。
評論