(湖南水利水电职业技术学院 湖南省长沙市 410131)
一、移动自组网面临的安全威胁
总体上说,针对移动自组网络的攻击可以分为来自内部节点的攻击和外部节点的攻击两类。由于移动Ad-hoc网络节点的物理安全性差,节点易于丢失。并且,难于从物理上将恶意内部节点排除在移动自组网络之外。而恶意的内部节点属于网络的授权主体,受到网络安全机制的保护,能够使用网络中的授权服此,内部攻击难于检测和避免,而此类节点发起的攻击对Ad-hoc网络的危害更大。来自内部节点的攻击行为主要包含主动性和自私性攻击两类。
由于移动自组网络中节点已经被侵占或内部节点本身就是叛徒,就产生主动性攻击;部分节点不愿意承担其他节点的数据报转发任务而产生自私性攻击。
外部节点的攻击可以分为被动攻击和主动攻击。被动攻击指入侵者通过监听节点间的通信获取有价值的信息。由于网络节点间通信的无向性使得移动Ad-hoc网络很难检测被动攻击。此外,攻击者能够在窃听基础上通过对信息的流量分析,发现网络中的关键节点,从而有针对的发起主动攻击,造成整个网络的更大的损失。
主动攻击者能够向网络发送任意有效的报文,其目标是将发送到其他节点的报文重定向到其他节点用于分析或者直接破坏网络的可用性。从攻击对移动自组网的影响来看,攻击者可能发起以下主动攻击:黑洞攻击、路由表溢出攻击、假冒攻击、位置暴露攻击、睡眠剥夺攻击。
二、移动自组网中常用的几种安全机制
MANET路由协议的安全性是阻碍其商业应用的主要原因之一,但由于移动自组网采用无线连接,没有固定的基础结构,因此现有的基于有线网络的安全机制,如防火墙等对其并不适用。现有的路由协议中大都采用以下一些安全机制,实事证明,它们都存在或多或少的问题,并不完全适合移动自组网。
1、节点在转发分组时,监测路由该节点的下一节点的转发行为,如发现下一节点不转发或分组完整性被破坏等行为,则认为该节点为恶意节点,降低其等级参数,并报告其行为。每个节点产生并维持一套反映其他节点过去丢失数据传输分组行为记录,从而使节点可以选择由行为好的节点组成“最佳”路由。这个方案需要一个简短的错误监测表。
2、引入了虚拟流通的概念[8],给节点提供激励,使节点能够遵守协议规则,自觉完成流通前向传输分组的转发操作。需要有一个在线的认证管理,且每一个传输分组,每一跳都需要验算公共密钥,产生的计算开销很大,使得该方案在移动自组网中的实用性受到限制。
3、将移动自组网中的节点按不同的可信度和优先级别分类。节点开始路径搜索时,预先设定路由的安全级别,即参与质询/应答传播的节点的最低可信度要求。不同可信度的节点使用相应的加密和解密密钥。中间节点无法破解传输中的路由分组,只能简单地向后传输这些分组。但它不能排除由恶意节点提供的错误路由信息。另外,在移动自组网中设置监督管理组织和固定分配的可信度等级也存在一定难度。
4、在Secure Message Transmission(SMT)协议中用到。该协议给出了网络的拓扑图,确定了一套连结源节点和目的节点的不同路径。然后,它在路径上引入了有限的发射冗余,将一个消息分散为N个片断传播。因此,目的节点只要成功接收N个片断中任何M个片断,就能重构原始消息。每一使用密码信头的片断,都提供了完整性和沿源认证的返回保护,可以通过不止一条路径传输。只要接收M(M<N)个“片”后,目的节点就产生一个确认来获悉该“片”的源节点。多重路由的使用尽管能够部分弥补使用不正确路由所带来的问题,但选择一个危险的路由等同于一个无效的路由,因而在路径搜索过程中进行破坏仍是攻击者持续威胁一部分节点间通信的最有效的途径。
三、移动自组网中的安全路由协议
目前已经提出多种安全路由协议,但这些协议仍然存在很多问题,以下针对三种比较典型的协议SAR,CONFIDENT和SRP进行分析。
1、SAR(Secure-Aware Ad-hoc Routing)路由协议。安全意识的Ad-hoc路由协议(SAR)允许用户划分路由协议的安全等级。节点可以被指定为某个信任值,只有信任节点可以路由数据。源节点发出一个包含安全属性和信任等级的RREQ,只有满足安全等级的节点可以参加路由,不满足安全等级的节点则丢弃RREQ,如果满足所需安全等级的路由不存在,发起RREQ的源节点将重新选择其他安全等级,重新发出RREQ来寻找路由。为了阻止用户自行获得其他等级的优先权,协议中对用户的身份和信任等级进行绑定,并且采用加密、公钥证书和共享密钥等技术来保证用户遵守信任等级。例如,所有属于同一信任等级的用户可以共享一个密钥,利用该密钥对数据包进行加密,这样其他等级的用户不能解读路由请求包和路由答复包。SAR可以用于不同的Ad-hoc环境中,灵活性很强。SAR可以有效地阻止外部恶意节点的攻击,但是对内部攻击则不能很好的防卫。SAR没有讨论如何给一个节点设置信任等级,从当前研究结果分析,其实用性不强。同时,SAR对于不可视节点的攻击是脆弱的。总之,SAR在高风险环境中是不能满足安全要求的。
2、CONFIDENT路由协议。CONFIDANT路由协议是针对自私攻击而提出来的,它是一种基于DSR[5]的反应式路由协议。该协议主要包含以下组件:Monitor用于检测节点行为;Reputation Records用于记录声誉信息;Trust Records用于控制发送、接收警告信息的情况;Path Manager使节点根据声誉记录情况对行为做出调整。该方法可以保证即使网络中存在一半的自私攻击节点也能取得较好的性能。
3、SRP(Secure Routing Protocol)路由协议 。该协议的设计思路是:源节点S初始化一个路由发现,先创建一个路由请求包,其中含有一对标识符:查询序列号Seq(源节点S会对每一个与其进行安全通信的目的节点保存一个查询序列号,目标节点可以通过该序列号来检测路由请求是否期)和随机查询标识Qid(对于每一个进行的查询,源节点会生成一个随机查询标识符,它的作用是让中间节点来识别查询请求,它是利用一个安全伪随机数发生器产生的,是不可预测的);还包括一个消息认证码MAC(MAC的计算方法是以源节点的IP地址、目标节点的IP地址、Qid和源节点与目标节点之间的共享密钥Kst作为单向散列函数的输入,单向散列函数的输出即为MAC)。路由查询包经过的中间节点的IP地址将被收集在包头中。当路由请求包到达目标节点T时,T节点生成一个路由答复包,计算和验证MAC,并沿着路由请求包中收集到的IP地址序列的相反顺序返回路由答复包,查询节点通过验证答复包的有效性来升级拓扑表。SRP使用密钥来保护路由搜索过程,并且只要求在终端节点间必须有安全连接,而中间节点在传输控制信息时,则不需要密钥确认。这两方面因素使得该方案有效并可升级。 SRP将开销放在终端节点上,避免了中间节点计算量的大量增加,不需要中间节点存储信息,从而减少了攻击节点对中间路由信息的攻击可能,从而提高了方案的强壮性和灵活性。SRP不依赖于中间节点的状态,因此对那些直接针对通信节点的恶意行为免疫。SRP提供了一个或多个路由返回,其正确性通过路由自己验证。在考虑跳数和其它规则的条件下,质询节点获得了正确的网络连通信息及选择最佳路由的能力。SRP协议可以保证伪造的、被占领的或重发转发的路由回复信息被拒绝掉,或者根本不能到达请求节点。与此同时,不利条件下的路由和控制传输的减少,保护了终端节点免受资源耗尽攻击。
然而,SRP也存在的缺陷,SRP存在两个安全漏洞:路由不能避免包含恶意节点的路径;拓扑信息将通过路由信息暴露给敌人和未授权的节点,因为SRP的含有路由记录的包以明文形式沿着整个路径传输,这在高风险的环境中是不能接受的。
四、结论:移动自组网与传统的有固定设施的网络相比,其自身有许多优点,在军事上得到了很高的重视,但移动自组网还有许多缺陷没有被克服,这也是其在商业上难以得到广泛应用的一个重要原因。其中,设计更为有效和更为安全的路由协议是一个很重要的方面。目前,已经提出了十多种路由协议,但他们都没能够很好地解决路由中的安全问题,或多或少地存在着一些缺陷。
References:
[1] David B. Johnson, Davis A. Maltz. The Dynamic Source Routing Protocol for Mobile Ad Hoc Networks. October 1999 IETF Draft, 33 pages
[2] Sonja Buchegger, Jean-Y ves Le Boudec. Performance analysis of the CONFIDANT protocol: Cooperation of nodes-fairness in dynamic ad-hoc networks[C]. In: Proceeding of IEEE/ACM Symposium on Mobile AdHoc Networking and Computing(MobiHOC), Lausanne, CH, June 2002.
[3] Panagiotis Papadimitratos, Zygmunt J Haas. Secure routing for mobile ad hoc networks[C]. In: SCS Communication Networks and Distributed Systems Modeling and Simulation Conference(CNDS2002), Portoroz, Slovenia, 2002.
|
人次