<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>

新聞中心

EEPW首頁(yè) > 手機與無(wú)線(xiàn)通信 > 設計應用 > 無(wú)線(xiàn)異構網(wǎng)絡(luò )關(guān)鍵安全技術(shù)

無(wú)線(xiàn)異構網(wǎng)絡(luò )關(guān)鍵安全技術(shù)

作者: 時(shí)間:2017-06-13 來(lái)源:網(wǎng)絡(luò ) 收藏

在過(guò)去的十幾年里,全球移動(dòng)通信發(fā)展迅速,蜂窩移動(dòng)用戶(hù)數量迅猛增長(cháng),除了單一的話(huà)音業(yè)務(wù)外,數據業(yè)務(wù)也獲得了極大的增長(cháng)。然而,無(wú)線(xiàn)網(wǎng)絡(luò )(包括蜂窩網(wǎng)絡(luò ))仍必須不斷地提供無(wú)處不在的通信能力,以滿(mǎn)足人們不斷增長(cháng)的通信以及接入Internet的需求。

  異構網(wǎng)絡(luò )融合是個(gè)嶄新的概念——盡可能將各種類(lèi)型的網(wǎng)絡(luò )融合起來(lái),在一個(gè)通用的網(wǎng)絡(luò )平臺上提供多種業(yè)務(wù),一直是人們追求的目標。4G網(wǎng)絡(luò )的一個(gè)主要特征就是能夠提供多種不同無(wú)線(xiàn)接入技術(shù)之間的互操作,無(wú)線(xiàn)局域網(wǎng)(WLAN)和3G網(wǎng)絡(luò )的融合、Ad hoc網(wǎng)絡(luò )與蜂窩網(wǎng)絡(luò )的融合都是無(wú)線(xiàn)異構網(wǎng)絡(luò )融合的重要模式。網(wǎng)絡(luò )融合技術(shù)可極大地提升蜂窩網(wǎng)絡(luò )的性能,在支持傳統業(yè)務(wù)的同時(shí)也為引入新的服務(wù)創(chuàng )造了條件,成為支持異構互連和協(xié)同應用的新一代無(wú)線(xiàn)移動(dòng)網(wǎng)絡(luò )的熱點(diǎn)技術(shù)。無(wú)線(xiàn)異構網(wǎng)絡(luò )融合近年來(lái)受到了業(yè)界的高度重視和研究[1-6]。

  如同所有的通信網(wǎng)絡(luò )和計算機網(wǎng)絡(luò ),信息安全問(wèn)題同樣是無(wú)線(xiàn)異構網(wǎng)絡(luò )發(fā)展過(guò)程中所必須關(guān)注的一個(gè)重要問(wèn)題。異構網(wǎng)絡(luò )融合了各自網(wǎng)絡(luò )的優(yōu)點(diǎn),也必然會(huì )將相應缺點(diǎn)帶進(jìn)融合網(wǎng)絡(luò )中。異構網(wǎng)絡(luò )除存在原有各自網(wǎng)絡(luò )所固有的安全需求外,還將面臨一系列新的安全問(wèn)題,如網(wǎng)間安全、安全協(xié)議的無(wú)縫銜接、以及提供多樣化的新業(yè)務(wù)帶來(lái)的新的安全需求等。構建高柔性免受攻擊的無(wú)線(xiàn)異構網(wǎng)絡(luò )安全防護的新型模型、關(guān)鍵安全技術(shù)和方法,是無(wú)線(xiàn)異構網(wǎng)絡(luò )發(fā)展過(guò)程中所必須關(guān)注的一個(gè)重要問(wèn)題。

  雖然傳統的GSM網(wǎng)絡(luò )、無(wú)線(xiàn)局域網(wǎng)(WLAN)以及Adhoc網(wǎng)絡(luò )的安全已獲得了極大的關(guān)注,并在實(shí)踐中得到應用,然而異構網(wǎng)絡(luò )安全問(wèn)題的研究目前則剛剛起步。本文將在下一代公眾移動(dòng)網(wǎng)絡(luò )環(huán)境下,研究無(wú)線(xiàn)異構網(wǎng)絡(luò )中的安全路由協(xié)議、接入認證技術(shù)、入侵檢測技術(shù)、加解密技術(shù)、節點(diǎn)間協(xié)作通信等安全技術(shù)等,以提高無(wú)線(xiàn)異構網(wǎng)絡(luò )的安全保障能力。

本文引用地址:http://dyxdggzs.com/article/201706/354803.htm



  1 Adhoc網(wǎng)絡(luò )的安全解決方案

  眾所周知,由于A(yíng)d hoc網(wǎng)絡(luò )本身固有的特性,如開(kāi)放性介質(zhì)、動(dòng)態(tài)拓撲、分布式合作以及有限的能量等,無(wú)論是合法的網(wǎng)絡(luò )用戶(hù)還是惡意的入侵節點(diǎn)都可以接入無(wú)線(xiàn)信道,因而使其很容易遭受到各種攻擊,安全形勢也較一般無(wú)線(xiàn)網(wǎng)絡(luò )嚴峻的多。目前關(guān)于A(yíng)d hoc網(wǎng)絡(luò )的安全問(wèn)題已有很多相關(guān)闡述[7-11]。Ad hoc網(wǎng)絡(luò )中的攻擊主要可分為兩種類(lèi)型,即被動(dòng)型攻擊和主動(dòng)型攻擊。

  目前Ad hoc網(wǎng)絡(luò )的安全防護主要有二類(lèi)技術(shù):一是先驗式防護方式:阻止網(wǎng)絡(luò )受到攻擊。涉及技術(shù)主要包括鑒權、加密算法和密鑰分發(fā)。二是反應式防護方式:檢測惡意節點(diǎn)或入侵者,從而排除或阻止入侵者進(jìn)入網(wǎng)絡(luò )。這方面的技術(shù)主要包括入侵檢測技術(shù)(監測體系結構、信息采集、以及對于攻擊采取的適當響應)。文獻[12]和文獻[13]描述了在沒(méi)有認證中心的情況下Ad hoc群密鑰分發(fā)技術(shù),其中文獻[12]還研究了密鑰建立的有效性。然而這二種密鑰分發(fā)方案僅僅只適用節點(diǎn)之間彼此可以直接通信的小規模的Ad hoc網(wǎng)絡(luò )。還有由網(wǎng)絡(luò )中多個(gè)節點(diǎn)共同協(xié)作完成認證中心(CA)功能的分布式認證的門(mén)限密碼方案,該方案改善了網(wǎng)絡(luò )的魯棒性,因為它排除了一個(gè)或少量節點(diǎn)的捕獲而摧毀整個(gè)網(wǎng)絡(luò )的密鑰管理的可能性。文獻[14]研究了一種非集中式的密鑰分配方案,假設每個(gè)移動(dòng)節點(diǎn)在它的近鄰有一個(gè)可信賴(lài)的節點(diǎn)群,二個(gè)節點(diǎn)通過(guò)合并它們各自的節點(diǎn)群的相關(guān)信息進(jìn)行公鑰交換,這就大大提高了獲得的密鑰的可信度。然而,該種方案仍然有可能發(fā)生密鑰分配失敗,特別是對于大規模的Ad hoc網(wǎng)絡(luò )。

  在A(yíng)d hoc網(wǎng)絡(luò )中,路由安全問(wèn)題是個(gè)重要的問(wèn)題。在目前已提出的安全路由方案中,如果采用先驗式防護方案,可使用數字簽名來(lái)認證消息中信息不變的部分,使用Hash鏈加密跳數信息,以防止中間惡意節點(diǎn)增加虛假的路由信息[15],或者把IP地址與媒體接入控制(MAC)地址捆綁起來(lái),在鏈路層進(jìn)行認證以增加安全性[16]。采用反應式方案,則可使用入侵檢測法。每個(gè)節點(diǎn)都有自己的入侵檢測系統以監視該節點(diǎn)的周?chē)闆r,與此同時(shí),相鄰節點(diǎn)間可相互交換入侵信息。當然,一個(gè)成功的入侵檢測系統是非常復雜的,而且還取決于相鄰節點(diǎn)的彼此信任程度??撮T(mén)狗方案也可以保護分組數據在轉發(fā)過(guò)程中不被丟棄、篡改、或插入錯誤的路由信息[17]。另外,如何增強AODV、DSR等路由協(xié)議的安全性也正被研究[18-19]??傊?,Ad hoc網(wǎng)絡(luò )安全性差完全由于其自身的無(wú)中心結構,分布式安全機制可以改善Ad hoc網(wǎng)絡(luò )的安全性,然而,增加的網(wǎng)絡(luò )開(kāi)銷(xiāo)和決策時(shí)間、不精確的安全判斷仍然困擾著(zhù)Ad hoc網(wǎng)絡(luò )。

2 異構網(wǎng)絡(luò )的安全解決方案

  2.1安全體系結構

  對于異構網(wǎng)絡(luò )的安全性來(lái)說(shuō),現階段對異構網(wǎng)絡(luò )安全性的研究一方面是針對GSM/GPRS和WLAN融合網(wǎng)絡(luò ),另一方面是針對3G(特別是UMTS)和WLAN的融合網(wǎng)絡(luò )。如文獻[20]在GSM/GPRS和WLAN融合支持移動(dòng)用戶(hù)的結構中,把WLAN作為3G的接入網(wǎng)絡(luò )并直接與3G網(wǎng)絡(luò )的組成部分(如蜂窩運營(yíng)中心)相連。這兩個(gè)網(wǎng)絡(luò )都是集中控制式的,可以方便地共享相同的資源,如計費、信令和傳輸等,解決安全管理問(wèn)題。然而,這個(gè)安全措施沒(méi)有考慮雙模(GSM/GPRS和WLAN)終端問(wèn)題。文獻[21]將3G和WLAN相融合為企業(yè)提供Internet漫游解決方案,在合適的地方安放許多服務(wù)器和網(wǎng)關(guān),來(lái)提供安全方面的管理。還可以采用虛擬專(zhuān)用網(wǎng)(VPN)的結構,為企業(yè)提供與3G、公共WLAN和專(zhuān)用WLAN之間的安全連接。3GPP TS 23.234描述了3G和WLAN的互聯(lián)結構,增加了如分組數據網(wǎng)關(guān)和WLAN接入網(wǎng)關(guān)的互聯(lián)成分[22]。3GPP TS 33.234在此基礎上對3G和WLAN融合網(wǎng)絡(luò )的安全做出了規定,其安全結構基于現有的UMTS AKA方式[23]。

  在A(yíng)d hoc和蜂窩融合網(wǎng)絡(luò )安全性研究方面,文獻[24]提出了利用蜂窩網(wǎng)的“帶外信令”和蜂窩網(wǎng)的中央管理機制來(lái)提高Ad hoc的網(wǎng)絡(luò )管理和控制,從而提高Ad hoc網(wǎng)絡(luò )的路由和安全性能。但該安全方案只針對Ad hoc網(wǎng)絡(luò ),沒(méi)有考慮蜂窩網(wǎng)絡(luò )和網(wǎng)間的安全問(wèn)題。

  因此,構建一個(gè)完善的無(wú)線(xiàn)異構網(wǎng)絡(luò )的安全體系,一般應遵循下列3個(gè)基本原則:(1)無(wú)線(xiàn)異構網(wǎng)絡(luò )協(xié)議結構符合開(kāi)放系統互聯(lián)(OSI)協(xié)議體系,因而其安全問(wèn)題應從每個(gè)層次入手,完善的安全系統應該是層層安全的。(2)各個(gè)無(wú)線(xiàn)接入子網(wǎng)提供了MAC層的安全解決方案,整個(gè)安全體系應以此為基礎,構建統一的安全框架,實(shí)現安全協(xié)議的無(wú)縫連接。(3)構建的安全體系應該符合無(wú)線(xiàn)異構網(wǎng)絡(luò )的業(yè)務(wù)特點(diǎn)、技術(shù)特點(diǎn)和發(fā)展趨勢,實(shí)現安全解決方案的無(wú)縫過(guò)渡。

  可采用中心控制式和分布代理相結合的安全管理體系,設置安全代理,對分布式網(wǎng)絡(luò )在接入認證、密鑰分發(fā)與更新、保障路由安全、入侵檢測等方面進(jìn)行集中控制。

  2.2安全路由協(xié)議

  路由安全在整個(gè)異構網(wǎng)絡(luò )的安全中占有首要地位。在異構網(wǎng)絡(luò )中,路由協(xié)議既要發(fā)現移動(dòng)節點(diǎn),又要能夠發(fā)現基站?,F有的路由協(xié)議大多僅關(guān)注于選路及其策略,只有少部分考慮安全問(wèn)題。

  在聯(lián)合蜂窩接入網(wǎng)系統中(UCAN)[25] ,涉及的安全主要局限在數據轉發(fā)路徑上合法中間節點(diǎn)的鑒定問(wèn)題。當路由請求消息從信宿發(fā)向基站時(shí),在其中就引入單一的含密碼的消息鑒定代碼(MAC)。MAC鑒定了轉發(fā)路徑,基站就會(huì )精確地跟蹤每個(gè)代理和轉發(fā)節點(diǎn)的數據流編號,而每個(gè)用戶(hù)都有一個(gè)基站所給的密碼。UCAN著(zhù)重于阻止個(gè)人主機刪除合法主機,或者使未認可的主機有轉播功能。它有效地防止了自私節點(diǎn),但是當有碰撞發(fā)生時(shí),防御力就會(huì )減少了。另外,文獻[26]提出一種用于對付任意惡意攻擊的新路由算法。該方法主要在于保護路由機制和路由數據,開(kāi)發(fā)融合網(wǎng)絡(luò )信任模型,以及提出安全性能分析體制。該路由算法的核心機制是為每個(gè)主機選擇一條到基站吞吐量最高的路徑。每個(gè)主機周期性的探測鄰居節點(diǎn)的當前吞吐量,選擇探測周期內的吞吐量最高值。其目標是識別融合網(wǎng)絡(luò )中惡意節點(diǎn)的攻擊類(lèi)型,提供有效檢測,避免惡意節點(diǎn)。

  一般而言,對安全路由協(xié)議的研究起碼要包括兩個(gè)部分:基站和移動(dòng)終端間的路由安全和任意兩個(gè)移動(dòng)終端間的路由(Ad hoc網(wǎng)絡(luò )路由)安全。而由于異構網(wǎng)絡(luò )的路由協(xié)議主要來(lái)源于A(yíng)d hoc網(wǎng)絡(luò )路由協(xié)議的擴展,從而對異構網(wǎng)絡(luò )路由協(xié)議安全性的研究將主要延伸于A(yíng)d hoc網(wǎng)絡(luò )路由協(xié)議的安全性研究。鑒于此,可以將現有的一些Ad hoc安全路由研究植入到異構網(wǎng)絡(luò )的安全路由研究中。簡(jiǎn)單的防欺騙的基于信譽(yù)的系統SPRITE[27]就是一個(gè)很好的研究入口。SPRITE本身需要一個(gè)獨立于A(yíng)d hoc網(wǎng)絡(luò )之外的固定系統——信譽(yù)結算服務(wù)(CCS)系統,用于維持節點(diǎn)信譽(yù)的平衡,激勵中間節點(diǎn)轉發(fā)數據的積極性。不過(guò),要實(shí)現SPRITE系統需要CCS獲悉兩個(gè)節點(diǎn)之間的完整路由信息。而這一點(diǎn),在異構網(wǎng)絡(luò )中,由于有基站等固定基礎設施的存在,因而實(shí)現起來(lái)就相對簡(jiǎn)單了。

  當然,異構網(wǎng)絡(luò )路由協(xié)議的安全性要建立在節點(diǎn)得到服務(wù)提供商支持的認證,這就要完善基站等固定基礎設施的安全體系和密碼技術(shù),以使得節點(diǎn)能接入到異構網(wǎng)絡(luò ),獲得異構網(wǎng)絡(luò )的認證。

2.3接入認證技術(shù)

  現有的大多數認證體系如Kerberos及X.509等普遍是針對一般的集中式網(wǎng)絡(luò )環(huán)境提出的,因其要求有集中式認證機構如證書(shū)發(fā)放中心或CA。而對于無(wú)固定基礎設施支持的分布式移動(dòng)Ad hoc網(wǎng)絡(luò ),網(wǎng)絡(luò )拓撲結構不斷地動(dòng)態(tài)變化著(zhù),其認證問(wèn)題只有采用分布式認證方式。對于異構網(wǎng)絡(luò ),蜂窩基站的引入則可以在充分發(fā)揮Ad hoc自身優(yōu)勢的同時(shí)克服其固有缺陷??梢愿鶕惺骄W(wǎng)絡(luò )和分布式網(wǎng)絡(luò )各自的特點(diǎn),建立異構網(wǎng)絡(luò )的接入認證系統。文獻[28]討論了WLAN中的節點(diǎn)接入3G的安全認證問(wèn)題。它構建3G-WLAN信任模型來(lái)嚴格維持3G-WLAN融合網(wǎng)絡(luò )中所有組成成分之間的信任關(guān)系,以加強接入認證過(guò)程,保護3G網(wǎng)絡(luò )免遭偽造的接入認證請求。

  從Ad hoc和蜂窩融合網(wǎng)絡(luò )3種系統模式來(lái)看,以蜂窩技術(shù)為主Ad hoc為輔的融合網(wǎng)絡(luò )系統模式,其接入認證的重點(diǎn)就是如何讓合法的Ad hoc網(wǎng)絡(luò )用戶(hù)安全地接入到蜂窩網(wǎng)絡(luò )中;以Ad hoc為主蜂窩技術(shù)為輔的融合網(wǎng)絡(luò )系統模式,其接入認證的重點(diǎn)則是如何在A(yíng)d hoc內部實(shí)現安全以及蜂窩網(wǎng)管理Ad hoc網(wǎng)絡(luò )時(shí)如何安全的傳輸控制信息。而事實(shí)上,這種模式下甚至可以直接采用蜂窩網(wǎng)中一樣的接入認證過(guò)程,如CAMA。Ad hoc和蜂窩融合的第三種模式——混合模式,則更需要對每個(gè)用戶(hù)的身份信息等進(jìn)行更加嚴格的認證。異構網(wǎng)絡(luò )用戶(hù)的身份信息認證又包括Ad hoc網(wǎng)絡(luò )與有基站等固定基礎設施的集中式網(wǎng)絡(luò )之間的認證和任意兩種集中式網(wǎng)絡(luò )之間的認證。

  對于復雜的異構網(wǎng)絡(luò )安全性而言,傳統意義上的接入認證只是第一道防線(xiàn)。對付那些已經(jīng)混入網(wǎng)絡(luò )的惡意節點(diǎn),就要采取更嚴格的措施。建立基于基站的和節點(diǎn)聲譽(yù)評價(jià)的鑒權認證機制或許是一個(gè)好的方法。因為蜂窩系統的末端接入網(wǎng)絡(luò )是完全依賴(lài)于節點(diǎn)的廣泛分布及協(xié)同工作而維護正常通信的,既要拒絕惡意節點(diǎn)的接入,又要確定合適的評價(jià)度,保證合法節點(diǎn)不因被惡意節點(diǎn)誣陷而被拒絕接入。這樣可以最大限度的保證網(wǎng)絡(luò )資源的可使用性。

  在異構網(wǎng)絡(luò )中,基站和各移動(dòng)節點(diǎn)可以共同擔當聲譽(yù)機制中心這類(lèi)權威機構的角色,形成以基站為主,移動(dòng)節點(diǎn)分布式評價(jià)為輔的方式。同時(shí),還可以借鑒文獻[29]中的方式:在節點(diǎn)接入網(wǎng)絡(luò )時(shí)進(jìn)行預認證,之后網(wǎng)絡(luò )中的基站和其他移動(dòng)節點(diǎn)對它的行為跟蹤,使它的惡意行為對應一定的聲譽(yù)值,重新對它進(jìn)行鑒權認證。

  2.4入侵檢測技術(shù)

  異構網(wǎng)絡(luò )與有線(xiàn)網(wǎng)絡(luò )存在很大區別,針對有線(xiàn)網(wǎng)絡(luò )開(kāi)發(fā)的入侵檢測系統(IDS)很難直接適用于無(wú)線(xiàn)移動(dòng)網(wǎng)絡(luò )。傳統的IDS大都依賴(lài)于對整個(gè)網(wǎng)絡(luò )實(shí)時(shí)業(yè)務(wù)的監控和分析,而異構網(wǎng)絡(luò )中移動(dòng)環(huán)境部分能為入侵檢測提供的數據只限于與無(wú)線(xiàn)通信范圍內的直接通信活動(dòng)有關(guān)的局部數據信息,IDS必須利用這些不完整的信息來(lái)完成入侵檢測。其次,移動(dòng)網(wǎng)絡(luò )鏈路速度較慢、帶寬有限、且節點(diǎn)依靠電池供應能量,這些特性使得它對通信的要求非常嚴格,無(wú)法采用那些為有線(xiàn)IDS定義的通信協(xié)議。第三,移動(dòng)網(wǎng)絡(luò )中高速變化的拓撲使得其正常與異常操作間沒(méi)有明確的界限。發(fā)出錯誤信息的節點(diǎn),可能是被俘節點(diǎn),也可能是由于正在快速移動(dòng)而暫時(shí)失去同步的節點(diǎn),一般IDS很難識別出真正的入侵和系統的暫時(shí)性故障。因此,一個(gè)好的思路就是研究與異構網(wǎng)絡(luò )特征相適應的可擴展性好的聯(lián)合分級檢測系統。

  目前備受好評的主流入侵檢測系統有兩種:基于移動(dòng)代理技術(shù)的分布式入侵檢測系統[30]和Ad hoc網(wǎng)絡(luò )分布式入侵檢測系統[31]。前者的核心是移動(dòng)代理模塊。根據有限的移動(dòng)代理在A(yíng)d hoc中的不同作用,按某種有效的方式將移動(dòng)代理分配到不同的節點(diǎn),執行不同的入侵檢測任務(wù)。檢測的最后結果由一個(gè)行動(dòng)執行模塊來(lái)付諸實(shí)施。由于移動(dòng)代理數量的大大減少,該模型相對其他IDS具有較低的網(wǎng)絡(luò )開(kāi)銷(xiāo)。

  Ad hoc網(wǎng)絡(luò )分布式入侵檢測系統要求網(wǎng)絡(luò )中所有節點(diǎn)共同參與入侵檢測與響應。每個(gè)節點(diǎn)配備有一個(gè)IDS代理,這些IDS代理運用了基于統計性異常的檢測技術(shù)。當某一節點(diǎn)報告一個(gè)異常時(shí),不同區域IDS代理互相合作,發(fā)起全局入侵檢測和響應。在這個(gè)分布式入侵檢測系統的基礎上,文獻[32]提出了一種基于簇的多層合作入侵檢測系統。簇中任一節點(diǎn)(包括簇頭、副簇頭和網(wǎng)關(guān)節點(diǎn))都獨立運行各自的IDS模塊,監控本地的活動(dòng),參與本地入侵檢測。如果節點(diǎn)(包括副簇頭和網(wǎng)關(guān)節點(diǎn))檢測到異?;蚩梢?,但不能判定是否被攻擊,則向簇頭發(fā)出執行全局協(xié)作檢測的請求。簇頭接到請求后,通過(guò)查詢(xún)所有節點(diǎn)的IDS狀態(tài)來(lái)判定是否遭受攻擊。這一基于簇的多層合作IDS可以被引用到異構網(wǎng)絡(luò )中來(lái)。因為基站等有中央控制管理功能的節點(diǎn)可以有效得替代簇頭,實(shí)現簇頭能全局協(xié)作的功能。

  在A(yíng)d hoc和蜂窩融合網(wǎng)絡(luò )安全性研究方面,CAMA結構對入侵檢測進(jìn)行了探討。當檢測到有入侵節點(diǎn)時(shí),CAMA代理就通過(guò)基站向整個(gè)網(wǎng)絡(luò )廣播安全信息。入侵檢測主要用于解決CAMA中節點(diǎn)故意向基站提供錯誤定位信息而引發(fā)的路由安全問(wèn)題。當節點(diǎn)發(fā)現基站發(fā)來(lái)的路由表中的下一跳節點(diǎn)根本不存在時(shí),就向基站發(fā)送路由錯誤報告。CAMA代理找出惡意節點(diǎn)并將它逐出網(wǎng)絡(luò )。

  另外,從入侵檢測系統的檢測方法角度考慮,人體免疫系統對異體的檢測方法是異常檢測和誤用檢測兩種檢測方法的結合。根據Forrest設計人體免疫系統(AIS)來(lái)進(jìn)行數據檢測,以及Kephart利用AIS進(jìn)行病毒檢測,可以嘗試利用基于A(yíng)IS的理論,借鑒基因選擇來(lái)設計入侵檢測模型。

2.5異構無(wú)線(xiàn)網(wǎng)絡(luò )的節點(diǎn)協(xié)作通信

  如何確保節點(diǎn)通信的內容在A(yíng)d hoc網(wǎng)絡(luò )中繼節點(diǎn)的傳輸過(guò)程中的保密性,如何確保異構網(wǎng)絡(luò )中安全性最差的Ad hoc網(wǎng)絡(luò )的安全,不受到惡意節點(diǎn)和自私節點(diǎn)的攻擊,都是迫切需要解決的問(wèn)題。因此需要設計一種激勵策略既能防止惡意節點(diǎn)的攻擊和激勵自私節點(diǎn)參與協(xié)作,又能保證通信內容在傳輸過(guò)程中的保密性。

  目前所提方案可粗略地分為兩類(lèi),一類(lèi)是基于信譽(yù)的(或基于檢測的)策略,另一類(lèi)是基于市場(chǎng)的(或基于計費的)策略。

  在基于信譽(yù)的系統中,節點(diǎn)觀(guān)察其他節點(diǎn)的行為并據此采取措施,或者獎勵協(xié)作行為,或者懲罰不協(xié)作行為。節點(diǎn)可以使用“看門(mén)狗”來(lái)檢測其他節點(diǎn)是否轉發(fā)數據包,避免路由選擇中的惡意行為;同時(shí)在源節點(diǎn)處使用“探路人”[33]選擇最可靠的路由發(fā)送數據包。另一種叫做動(dòng)態(tài)AdHoc網(wǎng)絡(luò )的節點(diǎn)協(xié)作(CONFIDANT)[34]的信譽(yù)系統可以阻止拒絕服務(wù)的攻擊。如果一個(gè)鄰居節點(diǎn)不轉發(fā)數據包,它就會(huì )被認為是不協(xié)作,其信譽(yù)就會(huì )在網(wǎng)絡(luò )中廣播。協(xié)作信譽(yù)系統(CORE)系統[35]提供3種不同的信譽(yù)量:主觀(guān)信譽(yù)量,間接信譽(yù)量和功能信譽(yù)量。利用這3種信譽(yù)量的加權值來(lái)決定是否協(xié)作,同時(shí)避免了惡意節點(diǎn)的攻擊。安全客觀(guān)信譽(yù)激勵(SORI)[36]策略的目標是拒絕轉發(fā)的行為,使用類(lèi)似看門(mén)狗的機制來(lái)監控,而信譽(yù)系統維持的信息是節點(diǎn)轉發(fā)的數據包和發(fā)送的數據包數量的比率。

  另一種激勵協(xié)作的方法是基于市場(chǎng)的。在這種策略中,節點(diǎn)從它們轉發(fā)的數據包那里獲得報酬,反過(guò)來(lái)節點(diǎn)可以用這些報酬發(fā)送它們自己的數據。一種叫做Nuglets的虛擬貨幣作為單跳的單位費用來(lái)激勵每次傳輸中的協(xié)作[37],在文獻[38]的策略中,節點(diǎn)轉發(fā)數據后就會(huì )從發(fā)送者那里得到報酬,它們的策略需要在每個(gè)節點(diǎn)上安裝一種防偽設備,如同在安全激勵協(xié)議(SIP)[39]中,來(lái)確保費用準確地增加與扣除。SPRITE不需要防偽硬件,它利用一個(gè)安全協(xié)議來(lái)管理費用的交換。上面兩種策略的共同特點(diǎn)就是網(wǎng)絡(luò )中每個(gè)節點(diǎn)轉發(fā)數據包的定價(jià)相同。兼容激勵拍賣(mài)策略(iPASS)[40]在路由器中運行“Vickery拍賣(mài)”來(lái)決定流量的帶寬分配和價(jià)格。

  安全問(wèn)題是激勵策略中最關(guān)鍵的問(wèn)題。節點(diǎn)協(xié)作的安全性就是不僅要處理自私節點(diǎn)和惡意節點(diǎn),還要阻止其他方面的攻擊。拒絕轉發(fā)只是不良行為中的一種類(lèi)型,許多其他關(guān)于路由的攻擊更值得關(guān)注,比如黑洞攻擊、灰洞攻擊、蟲(chóng)洞攻擊等。因此激勵策略需要額外的設備或機制來(lái)抵御攻擊,這就增加了系統的復雜性和集中式服務(wù)。在SIP中,需要密鑰建立設備,每個(gè)節點(diǎn)還需要安全模塊;SORI要對傳播的信譽(yù)評價(jià)進(jìn)行基于Hash鏈的認證;SPRITE需要對每個(gè)數據包的RSA簽名進(jìn)行驗證和儲存;殘余Ad Hoc網(wǎng)絡(luò )(STUB Ad hoc)采用公鑰加密技術(shù);在協(xié)作計費策略網(wǎng)絡(luò )(CASHnet)中,由于開(kāi)放的環(huán)境,需要基于公鑰的設施,這不需要直接密鑰轉換。數字簽名的使用阻止了數據包的秘密篡改,并唯一地確認原始數據包和轉發(fā)節點(diǎn),因此無(wú)效的數據包(比如未付款的)就不會(huì )被轉發(fā),獎勵也就能安全地分配。

  如果沒(méi)有外加的設備,激勵策略往往易受攻擊。在CONFIDANT中,由于沒(méi)有機制驗證收到的信息中不良行為的可靠性,惡意節點(diǎn)可以發(fā)送錯誤的信息來(lái)影響無(wú)惡意節點(diǎn),易收到Sybil攻擊。另外,對不良節點(diǎn)也沒(méi)有救贖機制;iPASS的計費系統沒(méi)有結合安全交易。最近的研究大多利用博弈論,考慮市場(chǎng)的概念,因為所有的網(wǎng)絡(luò )功能都依靠參與者的貢獻。節點(diǎn)不得不相互轉發(fā)數據包來(lái)確保多跳通信,這樣就沒(méi)有必要設計協(xié)作機制,更重要的是考慮數據轉發(fā)的均衡情況。

  還有一些激勵策略在沒(méi)有外加設備的情況下考慮了安全問(wèn)題。CORE使用本身的安全機制來(lái)抵御攻擊:節點(diǎn)之間不會(huì )傳播負面評價(jià),這樣節點(diǎn)不會(huì )惡意地降低另一個(gè)節點(diǎn)的信譽(yù)。CORE的信譽(yù)系統允許MANET中的節點(diǎn)逐漸孤立自私節點(diǎn)。當鄰居節點(diǎn)的信譽(yù)值降低到一個(gè)預先設定的門(mén)限值時(shí),提供的服務(wù)就會(huì )中斷。


3 結束語(yǔ)

  事實(shí)上,異構多網(wǎng)融合在未來(lái)網(wǎng)絡(luò )發(fā)展中是個(gè)很普遍的問(wèn)題,其理論基礎在不斷奠定,應用在不斷擴大。而且,無(wú)線(xiàn)與無(wú)線(xiàn)網(wǎng)絡(luò )、無(wú)線(xiàn)與有線(xiàn)網(wǎng)絡(luò ),都可以統一在下一代網(wǎng)絡(luò )(NGN)的平臺上。無(wú)線(xiàn)異構多網(wǎng)融合技術(shù)作為一種重要的未來(lái)無(wú)線(xiàn)移動(dòng)網(wǎng)絡(luò )的演化方式,有著(zhù)廣闊的應用前景和市場(chǎng)前景,有著(zhù)巨大的經(jīng)濟效益和社會(huì )效益。

  與此同時(shí),信息安全問(wèn)題同樣是無(wú)線(xiàn)異構網(wǎng)絡(luò )發(fā)展過(guò)程中所必須關(guān)注的一個(gè)重要問(wèn)題。隨著(zhù)網(wǎng)絡(luò )應用范圍的不斷擴大和接入方式的多樣化,各種攻擊手段與日俱增,安全性在異構網(wǎng)絡(luò )的各個(gè)關(guān)鍵技術(shù)問(wèn)題上起著(zhù)至關(guān)重要的作用,如異構網(wǎng)絡(luò )的路由、認證、計費、節點(diǎn)協(xié)作、入侵檢測等各個(gè)方面都存在安全的脆弱性。目前國內外對無(wú)線(xiàn)異構網(wǎng)絡(luò )的安全性研究尚為起步階段,針對安全性某一個(gè)方面或問(wèn)題開(kāi)展了相關(guān)的研究工作,取得了一些初步的研究成果。但由于異構網(wǎng)絡(luò )的極其復雜性,需要解決的安全問(wèn)題還相當多。

  因此開(kāi)展無(wú)線(xiàn)異構網(wǎng)絡(luò )信息安全技術(shù)的研究,從整體上、系統地研究異構無(wú)線(xiàn)網(wǎng)絡(luò )的互連融合所涉及的安全關(guān)鍵技術(shù)和管理問(wèn)題,研究保證融合網(wǎng)絡(luò )安全的個(gè)性和共性問(wèn)題,顯得尤為重要。要通過(guò)對安全機制和協(xié)議的廣泛研制與應用,積極建立新型主動(dòng)安全防護系統,以真正達到可信、可控、可用這一信息安全的最終目標。

  作者簡(jiǎn)介:

  吳蒙,南京郵電大學(xué)通信與信息工程學(xué)院教授、博導。主要研究方向為無(wú)線(xiàn)通信、信息安全,已發(fā)表論文70余篇,獲國家發(fā)明專(zhuān)利2項。季麗娜,南京郵電大學(xué)通信與信息工程學(xué)院在讀碩士研究生,主要研究方向為無(wú)線(xiàn)通信和信息安全。王坤,南京郵電大學(xué)通信與信息工程學(xué)院在讀博士研究生,主要研究方向為無(wú)線(xiàn)通信和信息安全。

評論


相關(guān)推薦

技術(shù)專(zhuān)區

關(guān)閉
国产精品自在自线亚洲|国产精品无圣光一区二区|国产日产欧洲无码视频|久久久一本精品99久久K精品66|欧美人与动牲交片免费播放
<dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><small id="yhprb"></small><dfn id="yhprb"></dfn><small id="yhprb"><delect id="yhprb"></delect></small><small id="yhprb"></small><small id="yhprb"></small> <delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"></dfn><dfn id="yhprb"></dfn><s id="yhprb"><noframes id="yhprb"><small id="yhprb"><dfn id="yhprb"></dfn></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><small id="yhprb"></small><dfn id="yhprb"><delect id="yhprb"></delect></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn> <small id="yhprb"></small><delect id="yhprb"><strike id="yhprb"></strike></delect><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn><dfn id="yhprb"><s id="yhprb"><strike id="yhprb"></strike></s></dfn><dfn id="yhprb"><s id="yhprb"></s></dfn>