无线网格的安全性研究

摘要：无线网络(WMN)已成为一个有效的为大面积提供的的可供选择的通讯方式。WMN是一个由节点沟通,透过无线媒体传播的分布式架构。在WMN中，安全是一个非常重要的问题。该文的研究是为了更好的了解WMN安全。它将首先讨论和总结WMN的安全威胁和薄弱点。然后调查了WMN中的各种安全的协议和机制。最后做了总结。

关键词：无线网格；安全机制

中图分类号：TP311文献标识码：A文章编号：1009-3044(2012) 06-1241-03

Wireless Mesh Network of Security Research

PAN NING, YANG Huai-lei

(Zhengzhou Tourism Professional College, Zhengzhou 450009, China)

Abstract: Wireless mesh network (WMN) have emerged as a cost-effective alterative for large-area communications. A WMN consists of nodes that are able to communicate through wireless media over distributed architecture. Security is an important issue in WMN. This the? sis is directed toward a better understanding of WMN security. It will first discuss and summarize security threats and vulnerabilities on wire? less mesh networks. It will then investigate various security protocols and mechanisms for WMN.

Key words: Wireless Mesh Network; security mechanism

1无线网格网（Wireless Mesh Network，WMN）的介绍

当今时代，WMN由于它的低成本而替代了大部分的通讯。WMN也成为一项超出3G高速行动电话网络的构建无线网络重要技术。针对无线网格网的研究存在于无线个域网（IEEE 802.15.5）、无线局域网（IEEE 802.11s）、无线城域网（IEEE 802.16）和无线广域网（IEEE 802.10）中。

WMN不需要有线基础设施长途通讯,从而具有了低成本、灵活的部署和维护的优势。然而,WMN与传统的无线网络相同，安全性不强。因为数据是在空中以电波形式传输，没有物理边界,攻击者可以在相对便宜的设备的帮助下轻易的对其进行窃听和拦截。而且,无线的通道也可能被噪音和冲突影响了通讯的质量。WMN采用的是多跳（multi-hops）的通信方式,这尤其容易遭受冲突问题:在相同路径和附近的路径上的毗连的单跳会与彼此相冲突。因此,安全是WMN关注的主要问题。

2 WMN的安全机制

在对比了针对传统的有线网络和无线网络的攻击，我们注意到由于WMN这种特殊的网络体系结构，许多成功应用到传统的无线网络和有线网络的安全机制不能满足WMN环境中的安全需求。无线网格网需要修改或者设计适合它自己的安全机制去反攻和保护自己的服务。

2.1 WMN安全机制的要求

WMN安全机制的基本特征是必须成功的预防，检测和反击这些攻击，这是区分WMN安全机制与现有的有线网络和无线网络安全机制的特征。

1）WMN是数据传输依赖于中介节点的多跳网络。考虑到沿着路由选择通道可能会有恶意的节点，WMN需要保护数据机密性和端到端服务完整性的安全机制。然而当前应用于有线网络和传统的无线网络的安全服务通常只是提供保证每对链接基础的安全。

2）内节点的自私和恶意行为是WMN安全问题的关键，根据当前的认证机制，对这种安全问题难以提供足够防护。研究人员需要提出信任有效机制，以实施无线网格网的职能，即提供检测和判断已通过认证程序和加入无线网格网的一个合法节点是否有自私和恶意行为的服务。

3）分布式体系结构和动态改变的拓扑结构促使WMN具有自我组织和自我修复性能，所有在WMN实施的安全机制必须接受这些特征，这意味着传统的入侵检测系统，验证机制和权威机构需要重新设计以便在分布式的计算机系统中实施。2.2 WMN中的安全机制

ITU-T X.800标准――OSI安全体系结构――规定了网络服务的安全服务需求。安全服务被分为五部分：认证机制，访问控制， 机密性，完整性和不可否认性。从这分类上我们注意到，访问控制，数据机密性，数据完整性和不可否认性提供预防措施来预防闯入网络的攻击者和在网络上发起的攻击。一种安全机制提供至少一个分类服务，但是没有任何机制可以确保完整的保护网络免受攻击，因此我们需要其它的机制来鉴定非法活动，这可能是袭击的后果或可能会导致攻击。早期发现和及时响应可以限制网络上的攻击效果，这些检测和反应机制，目的是确保网络服务的职责和有效性。

下面列出一些保护WMN的重要安全机制。它们中的一些能成功的在有线网络或传统无线网络中实施，但需要修改才能适用WMN的特点。另外一些是针对多跳无线网络的特殊机制。

1）入侵检测和预防：入侵检测和预防是成熟的安全机制，它在有线网络中广泛实施。它能通过监测和分析过去和当前的网络行为来预见入侵和攻击，由于它具有开放性和分散性的特征，这导致它在WMN中要比在有线网络中容易被入侵。

2）鲁棒路由协议：作为一个多跳网络，WMN必须考虑路由功能的安全性，恶意的节点可能攻击路由协议，冒充其他节点和注入伪造的路由信息。需要进行研究出一个有效的路由协议来抵御这些可能的袭击。

3）认证机制：在某种意义上，认证机制是WMN中最重要的安全机制。大多数安全问题可以归结为自私和恶意网格节点，认证机制能有效的这个问题。但是如果没有中央基础设施，认证解决方案很难得到执行，WMN需要分布式的认证机制。

4）密钥管理：密钥管理是安全服务的核心之一，许多安全机制是建立在这个基础之上的。面对WMN认证机制这个同样的难题，WMN需要构建以没有基础设施的分布式网格拓朴结构为基础的整体密钥管理。

3 WMN中入侵检测面临的挑战

在有线网络中已经提出了许多入侵检测方案，然而，因为它们的体系结构不同，想把这些入侵检测方案移植到WMN是不容易的。其中主要的差异是无线媒介，分布式体系结构和动态拓扑结构[1]。3.1动态拓扑结构

入侵检测系统使用的是遍布整个网络的分布式算法，必须考虑到一个事实就是一个节点仅是网络运输的一个部分，而且，因为WMN是动态的，网格结点可以移动，这里会有一些节点可能会被被盗用，特别是在不安全的物理环境中。假如系统使用节点间的合作算法，那么它必须确保是一个可以信任的节点。

3.2无线媒介

在WMN中，无线媒介引发了入侵检测的临界部署问题。在无线网络中，所有的传输必须通过转换器，因此，入侵检测系统将这一理论运用到那些设备并且可以很容易采集审计数据。然而，对于WMN来说，很难清晰的发现边界和网关去部署传感器，特别是当前无线网格设备不支持SPAN端口镜像所有继电器包。这意味着在网格路由器上部署这些传统的入侵检测系统传感器是不可能。

此外，在无线媒介中通过监控流量控制胡乱窃取是不理想的。WMN中的节点无线射程范围相对较短的（(仅仅足够到达下节点），因此传感器可以看到的只有数量有限的流量。为了对网络流量有个全面的观察，在整个网络需要部署多个传感器。3.3分布式体系结构

这个问题是上述两个挑战的伸。当前成熟的无线网络的入侵检测系统采用一种特殊的体系结构叫做分布式部署和中央分析和管理。这种入侵检测系统体系结构在关键节点（例如网关，重要服务器和路由器）上部署传感器。这些传感器负责捕获网络数据包或主机日志，然后做简单的协议分析，然后所有的传感器报告分析结果给中心去做相关分析以便这些分析结果更加准确。但是在WMN，明确定位网络界限，通信链路和关键网格节点是很难的，因此这种特殊的体系结构不能在WMN中容易实现，而且考虑到检测合法节点的自私恶意行为的重要性，在WMN中入侵检测系统的分布式体系结构是必需的，所以检测和分析单位是分布式的贯穿整个无线网络。每个入侵检测单位基于收集了来自本身和邻近信息来做独立的分析，因为缺乏整体信息，发现更多的复杂的入侵行为是很困难的。

4 WMN安全机制的相关研究

在本节中，我们简略的说明了一些相关工作。他们中的大多数来源于相关的移动自组网（Mobile Ad-hoc NETworks，MANET）的研究，几乎所有的MANET中的入侵检测系统和WMN中的是相关的[2]。

4.1观察者（Watching for Anomalies in Transit Conservation；a Heuristic for Ensuring Router Security，WATCHERS）

WATCHERS是一个早期提出的针对Internet的入侵方案，由于是建立在网格体系结构上，在某种意义上，WATCHERS中的大多数观点适用于无线网格网。

WATCHERS是一种全新的分布式入侵检测方案，在所有的路由器上运行，同时还相互独立，每个路由器检查进入的数据包来检测所有的路由选择异常现象，并且每个路由器跟踪经过相邻路由器数据的数量，目标是在一个分布式通道上检测行为不当的路由器。假定一个链路状态路由选议，这个假设是必要的，这样每个路由器就能知道其他路由器和整体网络拓扑结构。基于它们邻近的路由表来自于链路状态路由协议，每个路由器统计所有被邻近路由器误转的数据包，每个路由器同样也知道接收到的数据的确切数目并且在所有接口上传输。路由器定期通过洪泛式协议分享他们的各自的数据，然后开始诊断阶段。洪泛算法对克服一些通过阻塞包去干涉信息共享的恶意节点是必要的。在诊断阶段，假如一些路由器有以下情况：1）误传了太多的数据包；2）在WATCH? ERS方案中没有正确的参与；3）广播与邻近路由器的统计差异；4）似乎掉落的数据包超出了给定阈值。就要收集所有路由器信息比较来做决定。如果一台路由器被发现出现这些做错误，这被视为是一种坏路由器，对所有的路由器都有响应被视为行为不当，好的路由器上的路由表便更改为避免转发通过这些行为不当的路由器的数据包。

适当的阈值的选择是困难的。假如阈值太高了，行为不当的路由器可能无法被发现。另一方面，如果阈值太低了，误报警率可 能就会变大。WATCHERS体质包含以下花费，每个路由器必须花费内存保持计数和每格邻近路由器的路由表。另外，在每个诊断阶段之前所有的路由器都使用洪泛式协议来分享信息。而且，这个方案需要在以下的条件下工作：1）每一个好的或坏的路由器必须直接连接到至少一个好的路由器；2）每个好的路由器相互之间必须能通过好的路由器路径来发送数据包；3）大多数的路由器必须是好的。

4.2分布式协作入侵检测

Zhang和Lee提出并在NS2上实现了一种分布式协作入侵检测体系模型，这种方案是针对ad-hoc网络提出的。最基本的理念是分布式监控和节点之间的合作。每个节点独立的观察其邻近节点（在它的无线射程内）寻找入侵的迹象。每个节点运行一个入侵检测系统来跟踪节点内部活动。这个采用异常检测，因为如果使用特征检测的方法，这个特征必须不断更新，这在无线网格网中是个很困难的过程。

在这个方案中的另一个理念是节点之间的合作以覆盖更广阔的地区。如果一个节点有明显的异常证据，它可以提高自身警报。可是，如果一个节点有不充分的或者不确定的异常证据，它就需要全面的调查，也就是有需求的节点与它的邻近节点分享有可疑的入侵数据。邻近的节点共享相关数据，并且参与节点遵守一个共识算法，以确定是否要提高警报。应对发出的警报可能要重新计算路由表来避免缺乏体抗力的节点，或者节点间的通信链路被迫重新初始化（相互之间重新验证），如果一个攻击入侵并占领了一个节点和认证证书，那么后者就无效了。4.3看门狗（Watcherdog）和选路人（Pathrater）

美国斯坦福大学的Martiet al.提出了一个方案，这个方案依赖于两个模块：Watcherdog和Pathrater。假定一个动源路由选择（Dy? namic source routing,DSR）,在DSR协议中，在源节点上定义路由数据，这个数据以消息的形式传送到中间节点直至到达预期目的地，因此在路径中的每一个节点必须识别下一站节点。Watcherdog模块通过在混合模式中操控它的无线信号监控邻近节点的行为来验证数据包的转发。当数据包没有被转发，Watcherdog就在邻近节点的故障计数器上增加一次，如果这个计数器超过了阈值，Watch? erdog就指控不正当行为。

Pathrater技术是通过遵守网络中每个节点的评定等级为每条通道计算路径度量，路径度量能通过将节点等级与从以前的经验中获取的连接可靠性结合起来被计算出来的。在计算所有通道的路径度量之后，Pathrater会选择度量值最高的路径。

4.4基于入侵抵抗技术的ad hoc路由选择算法（Techniques for Intrusion Resistant Ad hoc Routing Algorithms，TLARA）

TLARA是能在ad hoc路由协议中实现的设计技术，它能缓解恶意节点和在服务的拒绝下允许网络接受的操作攻击对网络的影响。TLARA规定的设计原则是能够更容易的被按需路由协议合并，就像DSR和AODV，在这里列举几个：基于流动路线访问权限控制（flow-based route access control，FRAC），多路路由，源始发的流动路由，流动监控，快速认证，序列号的使用和基于推荐的资源分配。

他最基本的理念是源节点定期的向目的节点发送特殊的“流动状态”信息。流动状态信息包含有先前的流动状态信息中从源节点向目的节点发送的数据包数量的信息。防止干扰流动状态信息，每个信息是按顺序编号的（检测损失）和数字签名加密的（认证），当收到一个流动状态消息，目的节点就会比较从最后接收的流动状态消息中数据包的确切数量。当出现以下情况，一个路径故障就会被通知源节点：1）一个流动状态信息已丢失或不按指定的时间间隔收到；2）收到的数据包的实际数量少于源节点显示的数据的阈值部分；3）收到的数据包的实际数量多于源节点显示的数据包数量。

入侵检测方案有两个明显的弊端，第一，因为特定的节点可能缺乏抵抗力，路径故障就不能被识别。第二，流动状态信息引发额外运输成本，他与网络中源节点和目的节点的数量成正比的。

5结论

虽然这些入侵检测方案在细节上有很多的不同，它们都为每个节点选择了完全分配入侵检测功能体系结构，由于WMN的分散性质，这种选择是必须的。而且它们中的大部分采用异常方法和多个节点之间的合作机制来形成对一个可疑节点的交叉判断。这是当前相关研究主要趋势。

同时，还有很多需要进一步的研究问题。有效的入侵检测的主要评估标准是低的误报和错误否定。迄今为止，一些方案提供的“证据”不足以令人信服。检测精度依然是MWN研究的主要问题。此外，由于缺乏无线事件的经验，如何评估研究的进展或成功是未知的。在目前情况下，攻击主要是理论上的推测。在WMN部署更广阔的领域里之前突破性的进展是不可预期的。

参考文献：

[1] Sanchez M,Manzoni P.Anejos:a java based simulator for ad-hoc networks[J].2001(5) doi:10.1016/S0167-739X(00)00040-6.

[2] Chen X Z,Thaeler A,Xue.G L.TPS:a time-based positioning scheme for outdoor wireless sensor networks,2004.

[3]陈晓范.新型无线Mesh网络安全性研究[J].电脑知识与技术,2011(8).