無線網(wǎng)絡(luò)安全技術(shù)中國人民大學論文主要內(nèi)容第三章移動通信安全目錄第一章無線網(wǎng)絡(luò)導論無線局域網(wǎng)安全第二章第四章移動用戶的安全和隱私目錄第五章第六章第七章第九章無線傳感器網(wǎng)絡(luò)安全移動AdHoc網(wǎng)絡(luò)安全車載網(wǎng)絡(luò)安全社交網(wǎng)絡(luò)安全第八章容遲網(wǎng)絡(luò)安全第6章移動AdHoc網(wǎng)絡(luò)安全第6章學習目標1、了解移動AdHoc網(wǎng)絡(luò)的特點及其受到的威脅。2、掌握移動AdHoc網(wǎng)絡(luò)的路由攻擊分類及解決方案。3、了解移動AdHoc網(wǎng)絡(luò)各密鑰管理方案及其區(qū)別。4、掌握移動AdHoc網(wǎng)絡(luò)的體系結(jié)構(gòu)。5、了解Mesh網(wǎng)絡(luò)的應用。本章導讀移動AdHoc網(wǎng)絡(luò)是一個臨時的無中心基礎(chǔ)設(shè)施的網(wǎng)絡(luò)，它由一系列移動節(jié)點在無線環(huán)境中動態(tài)地建立起來，不依賴任何中央管理設(shè)備，組網(wǎng)靈活、快捷，不受有線網(wǎng)絡(luò)影響，可應用于軍事操作、緊急搜救、數(shù)據(jù)搜集或傳感器網(wǎng)絡(luò)、即時課堂或會議等場合，具有廣泛應用。隨著無線AdHoc網(wǎng)絡(luò)的應用越來越廣泛，針對無線AdHoc網(wǎng)絡(luò)的安全問題也日益突出，對無線AdHoc網(wǎng)絡(luò)的安全研究主要集中在網(wǎng)絡(luò)路由安全和網(wǎng)絡(luò)密鑰管理兩個方面。成立于1991年5月的IEEE802.11標準委員會采用了“AdHoc網(wǎng)絡(luò)”一詞來描述這種特殊的自組織對等式多跳移動通信網(wǎng)絡(luò)，AdHoc網(wǎng)絡(luò)就此誕生。國際互聯(lián)網(wǎng)工程任務(wù)組（InternetEngineeringTaskForce，IETF）也將AdHoc網(wǎng)絡(luò)稱為MANET（移動AdHoc網(wǎng)絡(luò)），并于1997年成立MANET工作組，開展利用多跳無線網(wǎng)構(gòu)造基于IP的移動互聯(lián)網(wǎng)。MAENT是由一組自主的無線節(jié)點或終端相互合作而形成的、獨立于固定的基礎(chǔ)設(shè)施、并且采用分布式管理的網(wǎng)絡(luò)，是一種自創(chuàng)造、自組織和自管理網(wǎng)絡(luò)。在軍事通信、地震水災、緊急救援、家庭網(wǎng)絡(luò)、個域網(wǎng)絡(luò)、偏遠地區(qū)的緊急通信等方面有著廣泛的應用。移動AdHoc網(wǎng)絡(luò)概述無線移動AdHoc網(wǎng)絡(luò)（mobileAdHocNETwork，MANET）的研究可以追溯到20世紀70年代美國國防部高級技術(shù)研究局（DefenseAdvancedResearchProjectAgency，DARPA）的分組無線網(wǎng)絡(luò)（packetradionetwork，PRNET）和可生存的自適應網(wǎng)絡(luò)（survivableadaptivenetworks，SURAN）研究計劃，1972年啟動的PRNET研究在戰(zhàn)場環(huán)境下利用分組無線網(wǎng)進行數(shù)據(jù)通信；1983年啟動了SURAN，研究如何將PRNET的研究成果加以擴展，以支持更大規(guī)模的網(wǎng)絡(luò)；1994年DARPA又啟動了全球移動信息系統(tǒng)（globlemobileinformationsystems，GloMo）項目，在對能夠滿足軍事應用需要的、可快速展開、高抗毀性的移動信息系統(tǒng)進行全面深入的研究。移動AdHoc網(wǎng)絡(luò)概述AdHoc網(wǎng)絡(luò)由一組帶有無線通信收發(fā)裝置的移動終端節(jié)點組成，網(wǎng)絡(luò)中每個移動終端自由移動，網(wǎng)絡(luò)中所有移動終端地位相等，可以在任何時候、任何地點快速構(gòu)建，不需要現(xiàn)有信息基礎(chǔ)網(wǎng)絡(luò)設(shè)施的支持，是一種多跳的、無中心的、自組織無線網(wǎng)絡(luò)，又稱為多跳網(wǎng)（multi-hopnetwork）、無基礎(chǔ)設(shè)施網(wǎng)（infrastructurelessnetwork）或自組織網(wǎng)（selforganizingnetwork），可以看作移動通信和計算機網(wǎng)絡(luò)的交叉。移動AdHoc網(wǎng)絡(luò)的特點作為一種新興的無線移動網(wǎng)絡(luò)，AdHoc網(wǎng)絡(luò)具有以下特點1.網(wǎng)絡(luò)無中心和自組織性、獨立性AdHoc網(wǎng)絡(luò)相對于常規(guī)通信網(wǎng)絡(luò)，最大的區(qū)別就是可以在任何時刻、任何地點不需要硬件基礎(chǔ)網(wǎng)絡(luò)設(shè)施的支持，快速構(gòu)建起一個自由移動通信網(wǎng)絡(luò)。它的建立不依賴現(xiàn)有的網(wǎng)絡(luò)通信設(shè)施，具有一定的獨立性。AdHoc網(wǎng)絡(luò)的這種特點很適合災難救助、偏遠地區(qū)通信等應用。2.動態(tài)變化的網(wǎng)絡(luò)拓撲結(jié)構(gòu)在AdHoc網(wǎng)絡(luò)中，移動主機可以在網(wǎng)中隨意移動，主機的移動會導致主機之間的鏈路增加或消失，主機之間的關(guān)系不斷發(fā)生變化；在自組網(wǎng)中主機可能同時還是路由器；無線電發(fā)送功率變化；無線信道間互相干擾等因素會使網(wǎng)絡(luò)拓撲結(jié)構(gòu)不斷發(fā)生變化，而且變化的方式和速度都是不可預測的。對于常規(guī)網(wǎng)絡(luò)而言，網(wǎng)絡(luò)拓撲結(jié)構(gòu)較為穩(wěn)定。3.有限的無線通信帶寬在AdHoc網(wǎng)絡(luò)中沒有有線基礎(chǔ)設(shè)施的支持，因此，主機之間的通信均通過無線傳輸來完成。由于無線信道本身的物理特性，因此它提供的網(wǎng)絡(luò)帶寬相對有線信道要低得多。除此以外，還考慮到競爭共享無線信道產(chǎn)生的碰撞、信號衰減、阻塞、噪聲干擾等多種因素，移動終端可得到的實際帶寬遠遠小于理論中的最大帶寬值。4.有限的主機能源在AdHoc網(wǎng)絡(luò)中，主機均是一些移動便攜設(shè)備，如PDA、便攜計算機或掌上電腦。由于主機可能處在不停移動的狀態(tài)下，主機的能源主要由電池提供，因此AdHoc網(wǎng)絡(luò)具有能源有限的特點。5.網(wǎng)絡(luò)的分布式特性在AdHoc網(wǎng)絡(luò)中的移動節(jié)點都兼有獨立路由和主機功能，不存在類似于基站的網(wǎng)絡(luò)中心控制點，節(jié)點地位平等，主機通過分布式協(xié)議互聯(lián)。一旦網(wǎng)絡(luò)的某個或某些節(jié)點發(fā)生故障，其余的節(jié)點仍然能夠正常工作，增強了網(wǎng)絡(luò)可靠性。6.生存周期短AdHoc網(wǎng)絡(luò)主要用于臨時的通信需求，相對于有線網(wǎng)絡(luò)，它的生存時間一般比較短。7.有限的物理安全移動網(wǎng)絡(luò)通常比固定網(wǎng)絡(luò)更容易受到物理安全攻擊，易遭受竊聽、欺騙和拒絕服務(wù)等攻擊?，F(xiàn)有的鏈路安全技術(shù)有些已應用于無線網(wǎng)絡(luò)中來減小安全攻擊。不過AdHoc網(wǎng)絡(luò)的分布式特性相對于集中式的網(wǎng)絡(luò)具有一定的抗毀性。無線鏈路使AdHoc容易受到鏈路層的攻擊，包括被竊聽和主動假冒、信息重放和信息破壞；節(jié)點在敵方環(huán)境漫游時缺乏物理保護，使網(wǎng)絡(luò)容易受到已經(jīng)泄密的內(nèi)部節(jié)點的攻擊，采用分布式的網(wǎng)絡(luò)體系結(jié)構(gòu)可以提高AdHoc的生存能力；AdHoc的拓撲和成員經(jīng)常改變，節(jié)點間的信任關(guān)系經(jīng)常變化，與移動IP相比，AdHoc沒有值得信任的第三方證書的幫助，在節(jié)點間建立信任關(guān)系成為AdHoc網(wǎng)絡(luò)安全的中心問題；AdHoc包括成百上千個節(jié)點，需要采用具有擴展性的安全機制。移動AdHoc網(wǎng)絡(luò)的安全綜述在所有安全問題中，以下兩個比較有特色的問題需要重點解決1.路由問題2.組密鑰管理問題AdHoc路由協(xié)議的安全問題是一個很重要的問題，由于網(wǎng)絡(luò)拓撲結(jié)構(gòu)的動態(tài)變化，使得AdHoc的路由協(xié)議設(shè)計非常復雜，也帶來新的安全問題。在AdHoc中節(jié)點不僅是主機還是路由器，它可以在網(wǎng)絡(luò)中尋找和保持到其他節(jié)點的路由。AdHoc路由協(xié)議的作用是在一對節(jié)點中建立正確、有效的路徑，并及時傳遞各種信息。若在網(wǎng)絡(luò)中插入不正確的路由信息或惡意更改路由信息，則會導致路由誤定向，將可能使整個網(wǎng)絡(luò)陷于癱瘓。保證組內(nèi)通信的安全性、數(shù)據(jù)完整性、認證性，需要解決組密鑰的管理問題，包括生成、更新、回收，且密鑰管理方案具有可擴展性（不同節(jié)點數(shù)量、不同節(jié)點密度等）、獨立性（如獨立于路由協(xié)議）、可靠性（如抵抗節(jié)點的被捕獲）及安全性。移動AdHoc網(wǎng)絡(luò)的安全目標1.可用性2.私密性3.完整性4.認證5.不可否認性可用性是指確保網(wǎng)絡(luò)在拒絕服務(wù)攻擊等情況下仍能隨時得到可靠的服務(wù)。私密性是指保證特定的信息不會被未授權(quán)的實體獲得。完整性是指保證信息在傳輸過程中不被篡改，是真實完整的。認證是指使接受者能夠確定發(fā)送方的真實身份不可否認性是指發(fā)送方不能否定他所發(fā)送信息，便于事后審計、檢測入侵，并且能夠預防內(nèi)部攻擊。移動AdHoc網(wǎng)絡(luò)路由安全AdHoc中隨著節(jié)點移動，網(wǎng)絡(luò)拓撲結(jié)構(gòu)在不斷變化。如何準確有效地選擇到達目的節(jié)點的路由，是AdHoc面臨的一個重要和核心的問題。因此，路由技術(shù)是AdHoc的核心技術(shù)。AdHoc路由協(xié)議AdHoc路由協(xié)議可根據(jù)不同的角度進行分類，最常用的分類方法是根據(jù)路由表維護特點的不同進行劃分，可以分為路由表驅(qū)動（Table-Driven）路由協(xié)議、按需（On-Demand）路由協(xié)議，以及兩種模式的混合形式。AdHoc路由協(xié)議路由表驅(qū)動路由協(xié)議又稱主動路由協(xié)議、先驗式（proactive）路由協(xié)議，每個節(jié)點要維護一張包含到達其他節(jié)點的路由表，通過不斷更新路由表來保持路由信息的完整性，所以路由表可以準確地反映網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，不同協(xié)議之間的區(qū)別主要是相關(guān)路由信息的數(shù)量和路由信息更新的方式。1.路由表驅(qū)動路由協(xié)議AdHoc路由協(xié)議按需路由協(xié)議又稱反應式（reactive）路由協(xié)議，只有在源節(jié)點需要發(fā)送數(shù)據(jù)時才建立路由。一旦路由建立，啟動路由維護過程使路由一直有效，直到目的節(jié)點不可達或者源節(jié)點不再需要該路由。2.按需路由協(xié)議AdHoc路由協(xié)議AdHoc中表驅(qū)動型路由協(xié)議和按需路由協(xié)議都有各自的優(yōu)缺點和適用環(huán)境，單純采用主動式或按需式路由協(xié)議均有片面性。因此，提出了結(jié)合表驅(qū)動式路由協(xié)議和按需式路由協(xié)議優(yōu)點的混合式路由協(xié)議。3.混合路由協(xié)議路由攻擊分類惡意節(jié)點可以通過改變控制消息標識或者利用轉(zhuǎn)發(fā)錯誤的前向路由消息，引起AdHoc網(wǎng)絡(luò)業(yè)務(wù)重定向和拒絕服務(wù)（DoS）攻擊。1.利用更改進行攻擊1）更改路由序號的重定向攻擊譬如AODV與DSR協(xié)議為到達指定目的節(jié)點的路由分配一個單調(diào)遞增序號進行路由查找和路由維護，該序號值的大小意味著當前路由信息的新舊，值越大表示路由信息越新，因此任何節(jié)點只要廣播一條目的序號大于真實值的路由就能使經(jīng)過它的節(jié)點發(fā)生重定向。2）更改跳數(shù)的重定向攻擊重定向攻擊也可以通過修改路由查找消息中的跳數(shù)字段實現(xiàn)，AODV采用跳數(shù)字段確定最短路徑，因此惡意節(jié)點可以將RREQ中的跳數(shù)字段設(shè)置為0或無窮大，使得新產(chǎn)生的路由中或者總包括或者總不包括此惡意節(jié)點。這種攻擊與其他攻擊（如欺騙攻擊Spoofing）聯(lián)合使用時，具有更大的威脅性。下面是兩種通過更改傳統(tǒng)路由協(xié)議中的路由信息標識而導致這種現(xiàn)象發(fā)生的攻擊方法。路由攻擊分類假冒攻擊又稱欺騙攻擊，因為惡意節(jié)點隱藏其真實IP地址或MAC地址，用假的地址信息參與通信。當前的AdHoc路由協(xié)議不驗證源IP地址，惡意節(jié)點可以通過假冒手段發(fā)起多種攻擊2.假冒攻擊路由攻擊分類惡意節(jié)點通過在網(wǎng)絡(luò)中洪泛發(fā)送大量路由控制報文或數(shù)據(jù)報文，使得節(jié)點沒有能力處理其他的路由請求，這樣就會大量占用網(wǎng)絡(luò)帶寬及節(jié)點資源，達到阻塞節(jié)點正常通信的目的。3.拒絕服務(wù)攻擊1）目的節(jié)點拒絕服務(wù)攻擊惡意節(jié)點通過頻繁更改自己的IP地址，進行IP欺騙并發(fā)送帶有虛假ID的路由請求到同一目的節(jié)點，消耗大量的網(wǎng)絡(luò)和節(jié)點資源，導致目的節(jié)點沒有能力處理其他節(jié)點的路由請求。2）篡改源路由進行拒絕服務(wù)攻擊DSR源路由協(xié)議在數(shù)據(jù)包中攜帶路由信息，這些路由信息缺乏任何完整性校驗，更改包頭的路由信息很容易造成DSR拒絕服務(wù)攻擊。路由攻擊分類路由攻擊分類有三種主要類型的偽造報文攻擊，包括偽造路由錯誤信息、破壞路由狀態(tài)以及路由表溢出。4.偽造報文攻擊1）偽造路由錯誤信息這類攻擊在AODV和DSR中很常見，因為這兩個協(xié)議在節(jié)點移動后都使用路由維護策略來恢復被打亂的路由。當一個節(jié)點移動后，離它最近的節(jié)點會向其他節(jié)點廣播一個“錯誤”信息，提示該路由不可用，所有節(jié)點都會更新它們的路由表刪除該路由，這使得惡意節(jié)點可以發(fā)送假的路由錯誤信息進行路由攻擊。3）路由表溢出在路由表溢出攻擊中，攻擊者的目標是創(chuàng)建足夠多的無效路由以阻止新路由的創(chuàng)建，沖掉路由表中的合法路由，導致路由表溢出。路由表驅(qū)動型路由算法在需要用到路由之前就會嘗試進行路由發(fā)現(xiàn)操作，而按需路由算法只有在需要時才創(chuàng)建路由，因此路由表驅(qū)動型路由算法更容易遭受路由表溢出攻擊。2）破壞路由狀態(tài)破壞路由狀態(tài)攻擊又稱路由緩沖區(qū)中毒，是一種在DSR協(xié)議中比較常見的被動攻擊，因為DSR采用混雜模式（promiscuousmode）更新路由表。在混雜模式下，節(jié)點不僅偵聽通過它路由的報文，還偵聽所有報文，然后將包頭包含的路由信息加入自己的路由緩沖區(qū)中。這樣節(jié)點就可以利用空閑資源更新路由，而不僅在需要的時候才更新，可以比較快速地保持路由更新，但同時攻擊者可輕易通過這種方法獲知路由并破壞路由緩沖區(qū)。路由攻擊分類除上述三種主要類型的偽造報文攻擊，還有重放攻擊（攻擊者向一個節(jié)點發(fā)送舊的廣播報文，導致該節(jié)點用舊的路由更新路由表）和黑洞攻擊（攻擊者聲稱它到所有目標節(jié)點的距離都是零，導致它周圍的節(jié)點都把報文轉(zhuǎn)發(fā)給它，結(jié)果該惡意節(jié)點可以輕易攔截下所有的數(shù)據(jù)）等其他偽造報文攻擊。路由攻擊分類在AdHoc中，網(wǎng)絡(luò)的正常運行在很大程度上依賴節(jié)點之間的互相合作，如果存在不合作的自私節(jié)點，即只享受網(wǎng)絡(luò)所提供的服務(wù)但不提供服務(wù)，會嚴重影響網(wǎng)絡(luò)的正常運行。5.自私節(jié)點的不合作攻擊1）能量消耗移動節(jié)點的能量供應一般都是有限的，而數(shù)據(jù)轉(zhuǎn)發(fā)卻需要消耗較多的能量，可能導致節(jié)點能量過早耗盡，減少節(jié)點生存時間，或者節(jié)點用于自身通信的能量得不到滿足。2）自身數(shù)據(jù)發(fā)送延遲無線通信的可利用帶寬相對較小，作為中間節(jié)點轉(zhuǎn)發(fā)其他節(jié)點的數(shù)據(jù)，需要消耗一定的帶寬，導致節(jié)點自身發(fā)送數(shù)據(jù)遭受更大的延遲。同時，數(shù)據(jù)轉(zhuǎn)發(fā)也可能導致局部介質(zhì)訪問沖突，導致更大的沖突避讓延遲。路由攻擊分類安全路由解決方案1.基于密碼體制的安全路由方案基于密碼體制的安全路由方案通過加密、認證、數(shù)字簽名等技術(shù)來提供機密性、完整性、不可否認性等安全服務(wù)，因此安全性較高，能較好地抵制偽造、篡改等各種外部惡意節(jié)點攻擊，但卻不能有效解決內(nèi)部自私節(jié)點的不合作行為問題，且計算量比較大，需消耗較多的節(jié)點與網(wǎng)絡(luò)資源；同時在網(wǎng)絡(luò)建立和運行階段需要一些前提條件，如需要用于密鑰分發(fā)的中心服務(wù)器或?qū)?jié)點進行密鑰預配置等?；诿艽a體制的安全路由方案主要適用于對安全性要求較高、外部環(huán)境比較復雜、網(wǎng)絡(luò)組成員比較確定而且節(jié)點自身能量相對充足的環(huán)境。安全路由解決方案2.基于信任評估的安全路由方案基于信任評估的安全可信路由方案主要通過節(jié)點監(jiān)測其鄰居節(jié)點執(zhí)行路由協(xié)議和數(shù)據(jù)包轉(zhuǎn)發(fā)等功能的情況，根據(jù)信任模型來對節(jié)點的可信度進行評估，在路由選擇過程中，選擇可信度高的節(jié)點來建立路由，從而避免惡意節(jié)點出現(xiàn)在路由路徑上。安全性相對較低但相比而言計算量較小、效率高，對節(jié)點要求較低，在網(wǎng)絡(luò)建立和運行階段不需要其他額外條件，支持網(wǎng)絡(luò)的快速展開與部署。主要針對為了自身利益、節(jié)省自身能量和計算能力而不執(zhí)行路由協(xié)議和數(shù)據(jù)包轉(zhuǎn)發(fā)的自私性不合作行為等內(nèi)部攻擊適用于安全性要求不是很高、節(jié)點自身能量受限、不需要任何額外條件就能夠迅速展開的應用環(huán)境。移動AdHoc網(wǎng)絡(luò)密鑰管理安全是AdHoc網(wǎng)絡(luò)部署的一個焦點問題，而密碼技術(shù)是保障網(wǎng)絡(luò)安全的基礎(chǔ)，密鑰管理是密碼系統(tǒng)發(fā)揮有效作用的關(guān)鍵，也為安全路由身份認證提供必要的支持。AdHoc網(wǎng)絡(luò)節(jié)點資源的有限性、控制的分布性和網(wǎng)絡(luò)的動態(tài)性增加了密鑰管理的困難程度，使密鑰管理成為AdHoc網(wǎng)絡(luò)安全系統(tǒng)中的薄弱環(huán)節(jié)之一，因此，設(shè)計安全、完善、高效的AdHoc網(wǎng)絡(luò)密鑰管理機制意義重大并具有挑戰(zhàn)性。完善的密鑰管理的特征密鑰管理是建立和維護授權(quán)實體間密鑰關(guān)系的一套技術(shù)和程序。Menezes等將密鑰管理定義為具有以下功能的組服務(wù)：（1）初始化某個系統(tǒng)范圍域內(nèi)的用戶。（2）生成、分配和建立密鑰。（3）控制密鑰的使用。（4）更新、撤銷和銷毀密鑰。（5）存儲、備份、恢復和歸檔密鑰。完善的密鑰管理的特征由于AdHoc網(wǎng)絡(luò)的特殊性，需要AdHoc網(wǎng)絡(luò)密鑰管理具有以下特征：（1）CA分布式部署。由于沒有固定的基礎(chǔ)設(shè)施，傳統(tǒng)網(wǎng)絡(luò)的中央CA機制已不適用AdHoc網(wǎng)絡(luò)，需要新的分布式CA機制，以確保AdHoc網(wǎng)絡(luò)密鑰管理的安全性。（2）容錯性。AdHoc網(wǎng)絡(luò)密鑰管理須關(guān)注在故障節(jié)點存在的情況下，AdHoc網(wǎng)絡(luò)依然保持正確操作的能力，使AdHoc網(wǎng)絡(luò)具有可用性。完善的密鑰管理的特征（3）有效性。在AdHoc網(wǎng)絡(luò)中，即使沒有故障節(jié)點及遭到攻擊破壞的節(jié)點，也可能由于不一致的鏈接而連接不到所需服務(wù)，所以，AdHoc網(wǎng)絡(luò)密鑰管理要考慮如何確保網(wǎng)絡(luò)的連通性以達到網(wǎng)絡(luò)的有效性。（4）安全性。AdHoc網(wǎng)絡(luò)拓撲結(jié)構(gòu)不斷變化，但對安全的訴求仍是AdHoc網(wǎng)絡(luò)的重要目標，應該在相應的網(wǎng)絡(luò)攻擊下，網(wǎng)絡(luò)仍是安全可用的。密鑰管理方案部分分布式CA方案是由Zhou和Haas提出的解決AdHoc網(wǎng)絡(luò)中密鑰管理問題的最早的方法之一，隨后這個方案被Yi和Kravets擴展，同時還提出了一些極的改進。方案基于在AdHoc網(wǎng)絡(luò)中單獨的節(jié)點是不可信的，但一個節(jié)點的集合是可信任的這樣一個假設(shè)，將信任分布到一組（n個）服務(wù)節(jié)點，這n個服務(wù)節(jié)點共享CA的私鑰。在網(wǎng)絡(luò)初始階段，系統(tǒng)需要一個離線的可信第三方產(chǎn)生CA私鑰的n個共享，并分發(fā)到每個服務(wù)器節(jié)點，同時TTP也必須給網(wǎng)絡(luò)中所有節(jié)點發(fā)送CA的可信公鑰，節(jié)點的公/私鑰對由其自己產(chǎn)生。方案提出組合器節(jié)點利用門限（n，t）體制合并至少t個部分證書才能得到一個有效的CA證書。證書只在一定時間內(nèi)有效，在過期之前需要更新，方案提出用Proactive秘密共享機制定時更新自己的部分證書。1.部分分布式CA方案密鑰管理方案完全分布式CA方案是由HLuo提出，與部分分布式CA不同的是它假定節(jié)點相同并且完全對等，所有節(jié)點都是服務(wù)節(jié)點，共同承擔CA的責任。TTP僅初始化最初的k個CA節(jié)點，以后加入網(wǎng)絡(luò)的節(jié)點必須由已初始化的單跳鄰居CA節(jié)點協(xié)作完成該節(jié)點的初始化，提供其CA的私鑰共享。CA利用（N，T）門限機制和RSA數(shù)字簽名方案完成節(jié)點的證書更新簽發(fā)。CA不需要存儲所有節(jié)點的證書，每個節(jié)點利用證書目錄和證書撤銷列表（certificaterevocationlist，CRL）來分別存儲其所有單跳鄰居節(jié)點的有效證書和已撤銷證書。完全分布式CA方案每個節(jié)點都持有系統(tǒng)密鑰分量，安全性相比部分分布式CA方案有所降低，同時由于所有節(jié)點都要執(zhí)行虛擬CA功能，通信量會加大，但它的計算量會分布在網(wǎng)絡(luò)中的所有節(jié)點上。2.完全分布式CA方案密鑰管理方案Khalili首先提出了一個基于身份的密鑰管理方案。初始化階段由一組選定的節(jié)點共同承擔私鑰產(chǎn)生中心（privatekeygeneration，PKG）的職責，PKG以分布式產(chǎn)生系統(tǒng)的公鑰和私鑰。每個用戶以唯一的身份標記（如名字、MAC地址等）作為公鑰，不需要公鑰證書。系統(tǒng)的公鑰廣播給網(wǎng)絡(luò)中所有節(jié)點，系統(tǒng)私鑰被分布到n個節(jié)點，每個節(jié)點擁有私鑰的一個分量，結(jié)合門限密碼體制，至少需要t個分量才能形成系統(tǒng)私鑰。初始化以后PKG為用戶發(fā)送與其身份相應的私鑰。3.基于身份的密鑰管理方案密鑰管理方案由Hubaux提出的基于證書鏈的密鑰管理是一種完全自組織形式的方案，不再需要任何TTP，它類似于優(yōu)良保密協(xié)議（prettygoodprivacy，PGP），節(jié)點自己完成公/私鑰對的產(chǎn)生、證書的簽發(fā)等。與PGP不同的是它沒有集中的證書目錄服務(wù)，每個用戶都有自己的證書庫，存有用戶發(fā)出的證書、發(fā)給用戶的證書和由算法生成的證書。節(jié)點之間通過證書鏈來建立信任關(guān)系，用證書圖G（V，E）來表示，圖的頂點集表示節(jié)點的公鑰，邊集表示證書。在證書圖中，用從一個頂點到另一個頂點的有向路徑表示從一個公鑰到另一個公鑰的證書鏈。當兩個沒有預先關(guān)系的節(jié)點希望進行安全通信時，需要獲取對方公鑰并進行驗證。基于信任關(guān)系的傳遞性，兩個節(jié)點組合自己的本地證書庫，然后利用最短路徑捕獲算法，從證書庫中找出一條連接兩個節(jié)點的較短證書鏈，完成雙方公鑰的獲取和驗證，從而建立起雙方之間的信任關(guān)系。4.基于證書鏈的密鑰管理方案密鑰管理方案將網(wǎng)上的節(jié)點劃分成多個簇，每個簇都有一個控制節(jié)點即簇頭。簇頭的性能優(yōu)于其他節(jié)點，包括計算和存儲能力功率和傳輸范圍等，還具有相對好的物理安全性。網(wǎng)絡(luò)中普通節(jié)點分屬于這些簇，類似多個自治域，由簇頭節(jié)點負責本簇節(jié)點的密鑰管理。簇頭和簇成員的從屬關(guān)系可以是動態(tài)的，一個簇成員也可以加入其他的簇。簇頭節(jié)點構(gòu)成高一級的網(wǎng)絡(luò)，簇頭節(jié)點之間是對等的。5.基于簇的密鑰管理方案密鑰管理方案Yi等提出一種復合式密鑰管理方案，將分布式CA與證書鏈方法結(jié)合起來。方案給出了一套認證度量機制，用戶可以用它來計算認證的可信度。同時用戶根據(jù)自己的安全需求對分布式CA設(shè)置不同的信任值，分布式CA是信任的基點，任何包含CA的證書鏈都可以用于認證。6.復合密鑰管理方案入侵檢測目前，對于入侵檢測系統(tǒng)的研究可歸結(jié)兩個方面：入侵檢測體系結(jié)構(gòu)的研究和入侵檢測方法的研究。入侵檢測體系結(jié)構(gòu)的研究：構(gòu)建與AdHoc網(wǎng)絡(luò)特征相適應的IDS體系結(jié)構(gòu)。一個合理的IDS體系結(jié)構(gòu)影響著入侵檢測系統(tǒng)的性能，對于入侵檢測系統(tǒng)具有重要意義。一個可行的無線AdHoc網(wǎng)絡(luò)入侵檢測系統(tǒng)，必須具有如下特點：構(gòu)建與無線AdHoc網(wǎng)絡(luò)特征相適應的可擴展性好的系統(tǒng)體系結(jié)構(gòu)；確定合適的跟蹤數(shù)據(jù)源，利用基于局部的不完整跟蹤信息完成入侵檢測；確立合理的檢測模型以區(qū)分正常行為和因襲擊而導致的異常行為；采用有效的告警信息關(guān)聯(lián)和聚合機制，實現(xiàn)聯(lián)合檢測，減少系統(tǒng)開銷和錯誤告警率。入侵檢測概述傳統(tǒng)IDS問題單節(jié)點IDS是指在AdHoc網(wǎng)絡(luò)中每個節(jié)點都安裝有IDS，能夠獨立完成入侵檢測的系統(tǒng)結(jié)構(gòu)，相互之間沒有協(xié)作，檢測結(jié)果也沒有得到共享。1.單節(jié)點IDS傳統(tǒng)IDS問題協(xié)作式IDS又稱分布協(xié)作式IDS，是指在AdHoc網(wǎng)絡(luò)中節(jié)點本身具有分布式及相互協(xié)作特性，研究者提出了分布協(xié)作式的入侵檢測系統(tǒng)結(jié)構(gòu)。分布協(xié)作式IDS體系結(jié)構(gòu)如圖6-1所示。2.協(xié)作式IDS傳統(tǒng)IDS問題分級式IDS是指簇內(nèi)節(jié)點上的IDS只負責本地入侵的監(jiān)控及檢測，而簇首節(jié)點上的IDS除本地檢測外，還需要協(xié)助其簇內(nèi)節(jié)點檢測，在必要時發(fā)起全局的入侵檢測。3.分級式IDS傳統(tǒng)IDS問題單節(jié)點IDS、分布協(xié)作式IDS、分級式IDS間的比較如表6-1所示。新的體系結(jié)構(gòu)新的體系結(jié)構(gòu)參照混合體系結(jié)構(gòu)原型，研究并融入分布協(xié)作式IDS和Agent技術(shù)，是一種基于Agent的分布協(xié)作式層次入侵檢測系統(tǒng)結(jié)構(gòu)（agentbaseondistributedandlayeredIDs，ADLIDS）?；旌象w系結(jié)構(gòu)（見圖6-2）是一種綜合分級和網(wǎng)狀體系結(jié)構(gòu)最佳特征的方法，沒有明顯的根，但保留整體的分級結(jié)構(gòu)，并允許組件不按嚴格的分級結(jié)構(gòu)靈活通信。新的體系結(jié)構(gòu)1.ADLIDS的設(shè)計思路將入侵檢測系統(tǒng)的網(wǎng)絡(luò)拓撲建立在分簇拓撲基礎(chǔ)之上，使用分簇算法分簇后，AdHoc網(wǎng)絡(luò)就劃分成為一個個由簇首連接的小型網(wǎng)絡(luò)，所有的節(jié)點都被分為簇首節(jié)點IDS代理和簇成員節(jié)點IDS代理兩種，簇首成為各個簇的中心，各個簇包含簇首外的若干成員節(jié)點。通過分簇，在各個局部簇中，簇首負責統(tǒng)一調(diào)度和決策簇內(nèi)的入侵檢測事件。當一個移動節(jié)點檢測到異?；驔_突，但是憑本地入侵檢測Agent不能做出判斷，此時需要尋求簇首節(jié)點的幫助，該節(jié)點可以將檢測結(jié)果報告給其簇首。簇首根據(jù)自身IDS代理和本簇內(nèi)其他節(jié)點的檢測結(jié)果甚至連同其他簇的檢測結(jié)果，聯(lián)合完成檢測，得到最終的檢測結(jié)果并做出適當?shù)捻憫?。新的體系結(jié)構(gòu)2.ADLIDS網(wǎng)絡(luò)拓撲設(shè)計的優(yōu)點這種基于簇的ADLIDS系統(tǒng)結(jié)構(gòu)的網(wǎng)絡(luò)拓撲設(shè)計的優(yōu)點是解決了現(xiàn)有IDS系統(tǒng)結(jié)構(gòu)中普遍存在的相鄰節(jié)點檢測沖突問題，并且實現(xiàn)比較簡單，只需要有一種有效的分簇算法，不必增加其他基礎(chǔ)設(shè)施或者輔助設(shè)備，在簇首的IDS代理上實現(xiàn)簇內(nèi)乃至全局的協(xié)作檢測，也解決了單節(jié)點IDS系統(tǒng)結(jié)構(gòu)的入侵檢測計算量大的問題，也減少了節(jié)點IDS代理間傳遞消息的開銷，從而提高了整個網(wǎng)絡(luò)的入侵檢測效率和準確性。新的體系結(jié)構(gòu)3.ADLIDS體系結(jié)構(gòu)ADLIDS體系結(jié)構(gòu)如圖6-3所示。新的體系結(jié)構(gòu)3.ADLIDS體系結(jié)構(gòu)ADLIDS體系結(jié)構(gòu)如圖6-3所示。在ADLIDS體系結(jié)構(gòu)中，五大模塊在每個節(jié)點都需要安裝，但是各個模塊是否被激活是由簇首選擇程序控制，具體來說是使用節(jié)點的狀態(tài)位Flag來標識的。虛線框內(nèi)的兩個模塊在每個節(jié)點都要安裝，而在非簇首節(jié)點中IDS全局入侵檢測響應模塊、全局消息整合模塊和簇間消息控制模塊處于休眠狀態(tài)，此時Flag=00或Flag=01；只有AdHoc網(wǎng)絡(luò)在分簇后，成為簇首的節(jié)點，這三個模塊才被喚醒激活，此時Flag=11，參與全局檢測事務(wù)。新的體系結(jié)構(gòu)首先本地數(shù)據(jù)收集模塊收集來自各種信息源的跟蹤數(shù)據(jù)，由于本地入侵檢測模塊核心采用基于分類技術(shù)的異常檢測算法，要對原始數(shù)據(jù)進行預處理，然后處理的數(shù)據(jù)將作為本地入侵檢測模塊的輸入。一個IDS代理可能包含多個數(shù)據(jù)收集模塊，不同的數(shù)據(jù)收集模塊監(jiān)視不同類型的信息源。數(shù)據(jù)收集模塊收集的數(shù)據(jù)信息主要有兩類：第一類是網(wǎng)絡(luò)數(shù)據(jù)，比如數(shù)據(jù)分組；第二類是日志文件數(shù)據(jù)，比如路由表變化信息、節(jié)點移動性信息等。ADLIDS主要收集網(wǎng)絡(luò)數(shù)據(jù)，數(shù)據(jù)收集模塊主要由兩部分組成：數(shù)據(jù)過濾子層和數(shù)據(jù)預處理子層。數(shù)據(jù)過濾子層的主要功能是選擇與入侵檢測相關(guān)的用戶和系統(tǒng)行為信息，比如從日志記錄中選擇與路由變化相關(guān)的信息。數(shù)據(jù)預處理子層的功能是通過格式轉(zhuǎn)換或統(tǒng)計計算將過濾后的數(shù)據(jù)轉(zhuǎn)變?yōu)楸镜厝肭謾z測引擎可用的信息，主要手段包括數(shù)據(jù)清理、數(shù)據(jù)集成和變換、數(shù)據(jù)歸約等。1）本地數(shù)據(jù)收集模塊新的體系結(jié)構(gòu)本地入侵檢測模塊的核心部件是入侵檢測引擎，入侵檢測引擎采用基于分類技術(shù)的異常檢測算法。本地入侵檢測模塊接收本地數(shù)據(jù)收集模塊預處理后的數(shù)據(jù)，送往入侵檢測引擎。處理完畢后，如果本地入侵檢測模塊能夠檢測出是否為入侵行為，則將檢測結(jié)果消息發(fā)送給決策層——全局入侵響應模塊；如果本地入侵檢測模塊未能做出判斷，也將檢測結(jié)果消息發(fā)送給全局消息整合模塊。2）本地入侵檢測模塊新的體系結(jié)構(gòu)在AdHoc網(wǎng)絡(luò)中，在一般情況下，通過節(jié)點自身的IDS代理和所在簇的簇首IDS代理可以檢測出入侵行為。但是有一些入侵行為本地IDS檢測不出來，節(jié)點自身的IDS代理和所在簇的簇首節(jié)點的IDS代理是很難甚至根本無法檢測出來的，此時需要相鄰簇首節(jié)點的IDS代理協(xié)作才能完成檢測，該模塊整合簇內(nèi)和簇外檢測報告信息來完成協(xié)作檢測。ADLIDS全局關(guān)聯(lián)聚合模塊工作原理是：如果節(jié)點為簇首，將本節(jié)點、簇內(nèi)其他節(jié)點、相鄰簇首節(jié)點的入侵檢測報告信息建立起關(guān)聯(lián)關(guān)系，將最終的檢測結(jié)果報告給全局入侵響應模塊，并發(fā)送給該簇簇內(nèi)節(jié)點和相鄰的簇首節(jié)點。最壞的情況是在做完這些工作后依然無法判斷，但還是將結(jié)果上報全局響應模塊。3）全局消息整合模塊新的體系結(jié)構(gòu)簇間消息控制模塊受全局消息整合模塊的控制，主要作用是當本地入侵檢測模塊無法判斷，則向該簇外的其他簇首節(jié)點廣播入侵檢測消息請求；接收簇外節(jié)點檢測完成后回送的反饋信息。4）簇間消息控制模塊新的體系結(jié)構(gòu)本地入侵檢測模塊或者全局消息整合模塊向其提供檢測結(jié)果，全局入侵響應模塊迅速做出實時響應。5）全局入侵響應模塊新的體系結(jié)構(gòu)4.采用ADLIDS技術(shù)的AdHoc網(wǎng)絡(luò)的優(yōu)點（1）聯(lián)合檢測協(xié)作機制領(lǐng)導權(quán)和決策權(quán)的屬于各個簇首，有效地避免了檢測沖突，簇首是簇內(nèi)中心節(jié)點，檢測任務(wù)由簇首負責統(tǒng)一決策和調(diào)度。（2）簇間采用聯(lián)合警報機制，根據(jù)本簇內(nèi)各節(jié)點聯(lián)合其他簇的檢測結(jié)果建立共同的警報機制。各個節(jié)點IDS代理間無須相互傳送大量的檢測數(shù)據(jù)，僅需要通過簇首節(jié)點向外傳送檢測申請或接收檢測結(jié)果消息，有效地節(jié)省了有限的網(wǎng)絡(luò)帶寬等資源。新的體系結(jié)構(gòu)圖6-4是ADLIDS工作流程，本地Agent和全局Agent聯(lián)合檢測，在最壞的情況下依然無法判斷是否為入侵行為，所以當全局檢測模塊檢測不出來同樣也是由全局入侵響應模塊（IDSAgentglobalresponse）對事件進行響應，將納入未知行為模式庫。無線Mesh網(wǎng)絡(luò)安全Mesh網(wǎng)絡(luò)是“多跳”（multi-hop）網(wǎng)絡(luò)，由AdHoc網(wǎng)絡(luò)發(fā)展而來，又稱無線網(wǎng)格網(wǎng)絡(luò)（wirelessmeshnetwork，WMN）。WMN的架構(gòu)一般由網(wǎng)關(guān)路由器（具有網(wǎng)關(guān)/網(wǎng)橋功能的路由器）、Meshrouters（接入點）和Meshclients（客戶端）三類不同的