2、无线网络融合的安全解决方案
对于由不同子网络融合而成的各种无线网络,它们的安全方案在一定程度上也是有差异的。蜂窝网、WLAN等有中央控制的网络的安全方案较为简单。由于它们各自的安全性能在实际应用中已经得到一定的改善,仅需要考虑网络间的鉴权、认证。
同时这些网络有专门的接入、路由设备,对于安全方案的部署有一定的硬件支持,仅需要在接入时由认证中心进行鉴权,路由安全方案则部署在路由设备上。这类网络的安全方案不但易于总结而且由于网络结构的原因易于实现。
本文的重点放在没有特定路由设备的AdHoc网络和蜂窝网络的安全方案上。由于AdHoc公开的对等网络结构、共享的无线资源、严格的资源约束和高度动态的网络拓扑等特点决定了可以应用于该网络的安全方案只需稍做简化即可应用于其他有中央控制的网络内。
2.1网络融合方案的分类
近几年来,移动AdHoc网络(MANET)由于其自组织和自维护性能受到了广泛的关注。将AdHoc网络与蜂窝网络进行融合,AdHoc网络可以作为对蜂窝网络的有效补充。通过不同的融合方法,可以利用AdHoc的特点实现不同的功能。如iCAR、UCAN、MCN、CAMA等系统,都是基于不同的功能而设计出来的。
将各种不同类型且特性差异较大的网络进行融合,其路由、切换、鉴权和计费过程必须在提供各网络自身的路由、切换、鉴权和计费过程基础上实现。相对于路由和切换来说,鉴权是保证通信能够正常进行的前提,是所有功能实现的基础。
而鉴权仅仅是安全问题的一部分,安全方案还必须保证通信过程中数据交互的安全。
融合方案在不考虑造价的前提下,可以分为3类:
一是以蜂窝网为主干网,AdHoc网作为边沿子网辅助蜂窝网提供服务,这类方法主要是利用AdHoc来充分利用蜂窝网的频率资源;
还有是用蜂窝网的带外信号对作为本地主干网的AdHoc网络进行管理,充分发挥AdHoc的优点,通过蜂窝网的集中控制使AdHoc工作得更加稳定;
另外是在蜂窝网中引入多跳路由协议来减少基站数、增加覆盖范围,这类方法与第一种相似,但是对终端的性能要求比较高,能否投入实际应用还需要进一步探讨。
2.2各种融合方案的安全弱点
首先确定这些网络的安全重点。以蜂窝网为主干AdHoc为辅助的网络融合方案的安全重点是如何让合法的蜂窝网用户安全地接入到AdHoc网络,以及在接入AdHoc网络后如何在AdHoc网络内保证其通信安全。
而以蜂窝网管理AdHoc网络的融合方案的安全重点是如何在AdHoc内部实现安全,以及蜂窝网管理Ad Hoc网络时如何安全地传输控制信息。另外,在蜂窝网中引入Ad Hoc工作方式则更需要对每个用户的身份信息进行更加严格的认证。
安全重点可以归结为两大类:信令及信息的安全传输和对用户身份进行可靠的认证。我们认为只要解决了这两类关键问题,系统进行合适的配置就可以基本上保证用户信息的安全性。
在这两类安全重点中,信令及信息的安全问题主要来源于Ad Hoc网络的开放性结构,因此工作重点将放在保证Ad Hoc网络的安全性上。
Tseng等提出的使用非对称加密技术的基于公钥的协议是防御性安全方案中安全性能较好的一种方案。本文利用这种算法结合文献[10]中提到的加强正确执行方式和多重防护的方法,以及结合文献[11-13]中应用IPSec提供安全保证的方法来总结一套适用于融合网络的保证信令和信息安全的结构。
2.3安全策略
(1)安全策略综述
本文提出的安全策略为:
首先,要保证整个网络的安全就是要保证网络协议栈内各层的安全,通过对协议栈每一层的安全弱点的分析并加强相应的安全措施,来保证安全。同时也可以通过层与层之间的联系来实现对整个协议栈的保护。
其次,对于未知攻击者的攻击方法是无法预先知道的,因此建立在这种不确定基础上的解决方案同样也是不可靠的。所以,本文认为对协议本身弱点的研究以及加强节点对协议规范的可靠执行是另一种更好的解决攻击的方法。
第三,数据在传输中需要被加密以保证用户数据的安全,因此需要可靠的加密算法来对数据进行加密。目前公钥鉴权、私钥加密的方法广泛地应用于各个网络的安全方案中。因此,通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能,还能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密,以达到用户对通信安全的要求,同时也不会给移动终端带来过高负荷的计算量。但是,对于长时间的数据连接来说,如何更新加密用的私钥以及如何确定更新周期则是另一个值得探讨的问题。
(2)多重防护体系
已实际应用的网络安全技术已经比较成熟。对于多种网络融合后的安全,网间鉴权的实现以及能够保证AdHoc这种安全性极差的网络安全运行十分重要。
对于各种集中式管理的网络来说任意两个网络间的网间鉴权方式是极为相似的,要推广到多个网络间的交互鉴权也是较为容易的。
况且在集中式管理的网络中有专门的路由设施,由于要由唯一的核心网络向用户提供网络服务,在设置鉴权中心及部署鉴权等安全措施时都十分方便。如在接入时进行鉴权或是在需要服务时进行鉴权,安全方案可以部署在处理路由交换设备上,即由专门的设备负责系统的安全。而由于AdHoc网络分布式的网络特性,其安全方案则不能用这样的思路进行。
多重防护的概念是为了通过强制网络中的用户严格遵守协议规范来加强AdHoc网络的安全性能,同时本文认为这种模型也可以用于保证其他网络的安全。在每一层的每个功能块中包含了保证该功能块的功能正常实现的多个子模块,即将原有的各层功能细化以提高多重防护的可实现性。
如网络层安全就是要保证节点转发时完全按照路由表的指示向前传送信息,不做出篡改数据包的下一条地址或在本地复制数据包等恶意行为;链路层安全就是保证正在通信的两个节点间的一跳连接。
通过加密等方法来保证每个模块的安全性能需要较长的鉴权认证时间,而对于用户来说,这种时间当然越短越好。因此,本文觉得强化每个模块区分正确和错误操作的能力(或者明确哪些是符合协议规范的操作)可以防止AdHoc网络中的恶意节点入侵,或者说是可以降低恶意节点对网络性能的破坏。
这就是说,当某一节点的行为与规范不符时,其他节点可以对其身份进行怀疑,并强制其进行身份认证,同时报告可信赖中心。可信赖中心将其可信度参数值降低1,当这个参数降到某个特定值时,该节点将不作为转发候选节点,降到0时则被驱逐出网络。临近节点可以通过对网络上数据包的监听获得关于其邻居节点是否正确执行了协议规范。
同时需要注意的是降低某一个节点的信赖度时需要多个节点对该节点的怀疑报告,以避免恶意节点对合法节点的陷害。
另外,要充分利用AdHoc的自组织特性来构建网络,要求任意节点能够随时便利地接入网络,而这要求网络对节点的充分信任。
本文提出的另一种方式则是假设每个移动节点第一次接入网络时都被当作为网络的可信赖节点,但信任等级较低,在选路的时候拥有较低的优先级。除一些特定情况外,均只将这些节点作为末端节点。每次有效地执行协议将为节点增加相应的信赖值,而一次或有限次误操作将会大幅降低信赖值。用这种方法来实现对恶意节点的容忍,并尽量降低恶意节点对网络的破坏。
对于不同网络间的鉴权可以由网络运营商事先签订漫游协议,以保证不同运营商的合法用户可以在各种网络间漫游并获得服务。在进入网络和需要取得服务前,用户用归属网络鉴权中心发放的证书向访问网络的鉴权中心发出请求,并通过归属网络的鉴权中心向访问网络的鉴权中心交互认证,确定该用户的合法性。当用户需要服务时用其私钥对请求进行签名以保证服务的不可抵赖性。具体的过程可以参见文献[14]中的基于公钥的协议。
(3)数据加密技术
数据加密仅是安全协议中使用的工具,目前公钥算法能够提供较好的安全性,所以本文使用公钥加密算法来提高鉴权的可靠性以及服务不可抵赖性。但若是在通信过程中仍使用公钥加密算法,无疑加大了移动终端的计算量,这对于移动终端有限的计算能力来说是个严峻的考验。所以考虑到目前移动终端的计算能力,本文建议在鉴权时或通信开始时利用公钥算法内的参数来携带私钥或产生私钥的种子,这样在保证信息安全性的基础上也提高了加密的效率。