无线异构网络的关键安全技术

• 关 键 词：
• 移动通信
• 无线通信
• ip地址
• vpn
• 有线网

  　Abstract:Convergenceandcollaborationof heterogeneous networks in the next generation public mobile networks will be a subject of universal significance. Convergence of heterogeneous networks, as an effective approach to improve the coverage and capacity of public mobile network, to enable communication services, to provide Internet access and to enable mobile computing from anywhere, has drawn widespread attention for its good perspective in application. Construction of security system for wireless heterogeneous networks and development of new security models, key security techniques and approaches are critical and mandatory in heterogeneous networks development. Key technology of wireless heterogeneous networks security covers security routing protocol, access authentication, intrusion detection system, cooperative communication between nodes, etc.

　　Keywords:wirelessheterogeneousnetwork; security system; critical security technology; cooperative communica

　　在过去的十几年里，全球移动通信发展迅速，蜂窝移动用户数量迅猛增长，除了单一的话音业务外，数据业务也获得了极大的增长。然而，无线网络(包括蜂窝网络)仍必须不断地提供无处不在的通信能力，以满足人们不断增长的通信以及接入Internet的需求。

　　异构网络融合是个崭新的概念——尽可能将各种类型的网络融合起来，在一个通用的网络平台上提供多种业务，一直是人们追求的目标。4G网络的一个主要特征就是能够提供多种不同无线接入技术之间的互操作，无线局域网(WLAN)和3G网络的融合、Ad hoc网络与蜂窝网络的融合都是无线异构网络融合的重要模式。网络融合技术可极大地提升蜂窝网络的性能，在支持传统业务的同时也为引入新的服务创造了条件，成为支持异构互连和协同应用的新一代无线移动网络的热点技术。无线异构网络融合近年来受到了业界的高度重视和研究[1-6]。

　　如同所有的通信网络和计算机网络，信息安全问题同样是无线异构网络发展过程中所必须关注的一个重要问题。异构网络融合了各自网络的优点，也必然会将相应缺点带进融合网络中。异构网络除存在原有各自网络所固有的安全需求外，还将面临一系列新的安全问题，如网间安全、安全协议的无缝衔接、以及提供多样化的新业务带来的新的安全需求等。构建高柔性免受攻击的无线异构网络安全防护的新型模型、关键安全技术和方法，是无线异构网络发展过程中所必须关注的一个重要问题。

　　虽然传统的GSM网络、无线局域网(WLAN)以及Adhoc网络的安全已获得了极大的关注，并在实践中得到应用，然而异构网络安全问题的研究目前则刚刚起步。本文将在下一代公众移动网络环境下，研究无线异构网络中的安全路由协议、接入认证技术、入侵检测技术、加解密技术、节点间协作通信等安全技术等，以提高无线异构网络的安全保障能力。

　　1 Adhoc网络的安全解决方案

　　众所周知，由于Ad hoc网络本身固有的特性，如开放性介质、动态拓扑、分布式合作以及有限的能量等，无论是合法的网络用户还是恶意的入侵节点都可以接入无线信道，因而使其很容易遭受到各种攻击，安全形势也较一般无线网络严峻的多。目前关于Ad hoc网络的安全问题已有很多相关阐述[7-11]。Ad hoc网络中的攻击主要可分为两种类型，即被动型攻击和主动型攻击。

　　目前Ad hoc网络的安全防护主要有二类技术：一是先验式防护方式：阻止网络受到攻击。涉及技术主要包括鉴权、加密算法和密钥分发。二是反应式防护方式：检测恶意节点或入侵者，从而排除或阻止入侵者进入网络。这方面的技术主要包括入侵检测技术(监测体系结构、信息采集、以及对于攻击采取的适当响应)。文献[12]和文献[13]描述了在没有认证中心的情况下Ad hoc群密钥分发技术，其中文献[12]还研究了密钥建立的有效性。然而这二种密钥分发方案仅仅只适用节点之间彼此可以直接通信的小规模的Ad hoc网络。还有由网络中多个节点共同协作完成认证中心(CA)功能的分布式认证的门限密码方案，该方案改善了网络的鲁棒性，因为它排除了一个或少量节点的捕获而摧毁整个网络的密钥管理的可能性。文献[14]研究了一种非集中式的密钥分配方案，假设每个移动节点在它的近邻有一个可信赖的节点群，二个节点通过合并它们各自的节点群的相关信息进行公钥交换，这就大大提高了获得的密钥的可信度。然而，该种方案仍然有可能发生密钥分配失败，特别是对于大规模的Ad hoc网络。

　　在Ad hoc网络中，路由安全问题是个重要的问题。在目前已提出的安全路由方案中，如果采用先验式防护方案，可使用数字签名来认证消息中信息不变的部分，使用Hash链加密跳数信息，以防止中间恶意节点增加虚假的路由信息[15]，或者把IP地址与媒体接入控制(MAC)地址捆绑起来，在链路层进行认证以增加安全性[16]。采用反应式方案，则可使用入侵检测法。每个节点都有自己的入侵检测系统以监视该节点的周围情况，与此同时，相邻节点间可相互交换入侵信息。当然，一个成功的入侵检测系统是非常复杂的，而且还取决于相邻节点的彼此信任程度。看门狗方案也可以保护分组数据在转发过程中不被丢弃、篡改、或插入错误的路由信息[17]。另外，如何增强AODV、DSR等路由协议的安全性也正被研究[18-19]。总之，Ad hoc网络安全性差完全由于其自身的无中心结构，分布式安全机制可以改善Ad hoc网络的安全性，然而，增加的网络开销和决策时间、不精确的安全判断仍然困扰着Ad hoc网络。

　　2.1安全体系结构

　　对于异构网络的安全性来说，现阶段对异构网络安全性的研究一方面是针对GSM/GPRS和WLAN融合网络，另一方面是针对3G(特别是UMTS)和WLAN的融合网络。如文献[20]在GSM/GPRS和WLAN融合支持移动用户的结构中，把WLAN作为3G的接入网络并直接与3G网络的组成部分(如蜂窝运营中心)相连。这两个网络都是集中控制式的，可以方便地共享相同的资源，如计费、信令和传输等，解决安全管理问题。然而，这个安全措施没有考虑双模(GSM/GPRS和WLAN)终端问题。文献[21]将3G和WLAN相融合为企业提供Internet漫游解决方案，在合适的地方安放许多服务器和网关，来提供安全方面的管理。还可以采用虚拟专用网(VPN)的结构，为企业提供与3G、公共WLAN和专用WLAN之间的安全连接。3GPP TS 23.234描述了3G和WLAN的互联结构，增加了如分组数据网关和WLAN接入网关的互联成分[22]。3GPP TS 33.234在此基础上对3G和WLAN融合网络的安全做出了规定，其安全结构基于现有的UMTS AKA方式[23]。

　　在Ad hoc和蜂窝融合网络安全性研究方面，文献[24]提出了利用蜂窝网的“带外信令”和蜂窝网的中央管理机制来提高Ad hoc的网络管理和控制，从而提高Ad hoc网络的路由和安全性能。但该安全方案只针对Ad hoc网络，没有考虑蜂窝网络和网间的安全问题。

　　因此，构建一个完善的无线异构网络的安全体系，一般应遵循下列3个基本原则：(1)无线异构网络协议结构符合开放系统互联(OSI)协议体系，因而其安全问题应从每个层次入手，完善的安全系统应该是层层安全的。(2)各个无线接入子网提供了MAC层的安全解决方案，整个安全体系应以此为基础，构建统一的安全框架，实现安全协议的无缝连接。(3)构建的安全体系应该符合无线异构网络的业务特点、技术特点和发展趋势，实现安全解决方案的无缝过渡。

　　可采用中心控制式和分布代理相结合的安全管理体系，设置安全代理，对分布式网络在接入认证、密钥分发与更新、保障路由安全、入侵检测等方面进行集中控制。

　　2.2安全路由协议

　　路由安全在整个异构网络的安全中占有首要地位。在异构网络中，路由协议既要发现移动节点，又要能够发现基站。现有的路由协议大多仅关注于选路及其策略，只有少部分考虑安全问题。

　　在联合蜂窝接入网系统中(UCAN)[25] ，涉及的安全主要局限在数据转发路径上合法中间节点的鉴定问题。当路由请求消息从信宿发向基站时，在其中就引入单一的含密码的消息鉴定代码(MAC)。MAC鉴定了转发路径，基站就会精确地跟踪每个代理和转发节点的数据流编号，而每个用户都有一个基站所给的密码。UCAN着重于阻止个人主机删除合法主机，或者使未认可的主机有转播功能。它有效地防止了自私节点，但是当有碰撞发生时，防御力就会减少了。另外，文献[26]提出一种用于对付任意恶意攻击的新路由算法。该方法主要在于保护路由机制和路由数据，开发融合网络信任模型，以及提出安全性能分析体制。该路由算法的核心机制是为每个主机选择一条到基站吞吐量最高的路径。每个主机周期性的探测邻居节点的当前吞吐量，选择探测周期内的吞吐量最高值。其目标是识别融合网络中恶意节点的攻击类型，提供有效检测，避免恶意节点。

　　一般而言，对安全路由协议的研究起码要包括两个部分：基站和移动终端间的路由安全和任意两个移动终端间的路由(Ad hoc网络路由)安全。而由于异构网络的路由协议主要来源于Ad hoc网络路由协议的扩展，从而对异构网络路由协议安全性的研究将主要延伸于Ad hoc网络路由协议的安全性研究。鉴于此，可以将现有的一些Ad hoc安全路由研究植入到异构网络的安全路由研究中。简单的防欺骗的基于信誉的系统SPRITE[27]就是一个很好的研究入口。SPRITE本身需要一个独立于Ad hoc网络之外的固定系统——信誉结算服务(CCS)系统，用于维持节点信誉的平衡，激励中间节点转发数据的积极性。不过，要实现SPRITE系统需要CCS获悉两个节点之间的完整路由信息。而这一点，在异构网络中，由于有基站等固定基础设施的存在，因而实现起来就相对简单了。

　　当然，异构网络路由协议的安全性要建立在节点得到服务提供商支持的认证，这就要完善基站等固定基础设施的安全体系和密码技术，以使得节点能接入到异构网络，获得异构网络的认证。

　　2.3接入认证技术

　　现有的大多数认证体系如Kerberos及X.509等普遍是针对一般的集中式网络环境提出的，因其要求有集中式认证机构如证书发放中心或CA。而对于无固定基础设施支持的分布式移动Ad hoc网络，网络拓扑结构不断地动态变化着，其认证问题只有采用分布式认证方式。对于异构网络，蜂窝基站的引入则可以在充分发挥Ad hoc自身优势的同时克服其固有缺陷。可以根据集中式网络和分布式网络各自的特点，建立异构网络的接入认证系统。文献[28]讨论了WLAN中的节点接入3G的安全认证问题。它构建3G-WLAN信任模型来严格维持3G-WLAN融合网络中所有组成成分之间的信任关系，以加强接入认证过程，保护3G网络免遭伪造的接入认证请求。

　　从Ad hoc和蜂窝融合网络3种系统模式来看，以蜂窝技术为主Ad hoc为辅的融合网络系统模式，其接入认证的重点就是如何让合法的Ad hoc网络用户安全地接入到蜂窝网络中;以Ad hoc为主蜂窝技术为辅的融合网络系统模式，其接入认证的重点则是如何在Ad hoc内部实现安全以及蜂窝网管理Ad hoc网络时如何安全的传输控制信息。而事实上，这种模式下甚至可以直接采用蜂窝网中一样的接入认证过程，如CAMA。Ad hoc和蜂窝融合的第三种模式——混合模式，则更需要对每个用户的身份信息等进行更加严格的认证。异构网络用户的身份信息认证又包括Ad hoc网络与有基站等固定基础设施的集中式网络之间的认证和任意两种集中式网络之间的认证。

　　对于复杂的异构网络安全性而言，传统意义上的接入认证只是第一道防线。对付那些已经混入网络的恶意节点，就要采取更严格的措施。建立基于基站的和节点声誉评价的鉴权认证机制或许是一个好的方法。因为蜂窝系统的末端接入网络是完全依赖于节点的广泛分布及协同工作而维护正常通信的，既要拒绝恶意节点的接入，又要确定合适的评价度，保证合法节点不因被恶意节点诬陷而被拒绝接入。这样可以最大限度的保证网络资源的可使用性。

　　在异构网络中，基站和各移动节点可以共同担当声誉机制中心这类权威机构的角色，形成以基站为主，移动节点分布式评价为辅的方式。同时，还可以借鉴文献[29]中的方式：在节点接入网络时进行预认证，之后网络中的基站和其他移动节点对它的行为跟踪，使它的恶意行为对应一定的声誉值，重新对它进行鉴权认证。

　　2.4入侵检测技术

　　异构网络与有线网络存在很大区别，针对有线网络开发的入侵检测系统(IDS)很难直接适用于无线移动网络。传统的IDS大都依赖于对整个网络实时业务的监控和分析，而异构网络中移动环境部分能为入侵检测提供的数据只限于与无线通信范围内的直接通信活动有关的局部数据信息，IDS必须利用这些不完整的信息来完成入侵检测。其次，移动网络链路速度较慢、带宽有限、且节点依靠电池供应能量，这些特性使得它对通信的要求非常严格，无法采用那些为有线IDS定义的通信协议。第三，移动网络中高速变化的拓扑使得其正常与异常操作间没有明确的界限。发出错误信息的节点，可能是被俘节点，也可能是由于正在快速移动而暂时失去同步的节点，一般IDS很难识别出真正的入侵和系统的暂时性故障。因此，一个好的思路就是研究与异构网络特征相适应的可扩展性好的联合分级检测系统。