無線網(wǎng)絡安全技術中國人民大學論文主要內(nèi)容第三章移動通信安全目錄第一章無線網(wǎng)絡導論無線局域網(wǎng)安全第二章第四章移動用戶的安全和隱私目錄第五章第六章第七章第九章無線傳感器網(wǎng)絡安全移動AdHoc網(wǎng)絡安全車載網(wǎng)絡安全社交網(wǎng)絡安全第八章容遲網(wǎng)絡安全第7章車載網(wǎng)絡安全第7章學習目標1、了解車載網(wǎng)絡的特點。2、了解車載網(wǎng)絡面臨的威脅。3、掌握污染攻擊的原理。4、掌握污染攻擊的解決方案及各自優(yōu)缺點。5、掌握車載網(wǎng)絡的隱私攻擊方式。本章導讀車載網(wǎng)絡是智能交通系統(tǒng)（intelligenttransportationsystems，ITS）的重要部分，使用數(shù)據(jù)流量或無線網(wǎng)絡進行公路中的數(shù)據(jù)傳輸，提供車輛與車輛間、車輛與路側(cè)單元間的通信，為駕駛員和乘客提供車輛安全、精確導航、定位服務以及互聯(lián)網(wǎng)接入等一系列安全應用。車載網(wǎng)絡作為一種特殊的移動AdHoc網(wǎng)絡，是開放移動自組織網(wǎng)絡，網(wǎng)絡拓撲頻繁變化，節(jié)點移動速度很快，在確保網(wǎng)絡路由安全的同時還要面對網(wǎng)絡污染攻擊和網(wǎng)絡隱私攻擊。車載自組織網(wǎng)絡（vehicularAdHocnetwork，VANET）是指在車輛與車輛之間、車輛與路側(cè)單元（roadsideunit，RSU）之間以及車輛與行人之間形成的通信網(wǎng)絡，是將自組網(wǎng)技術應用于智能交通系統(tǒng)之中而形成的自組織的、方便搭建、成本低廉的開放移動自組網(wǎng)絡，具有無中心、支持多跳轉(zhuǎn)發(fā)的數(shù)據(jù)傳輸能力。其通信主要分為車輛間通信（vehicletovehicle，V2V）和車輛與路邊基礎設施通信（vehicletoinfrastructure，V2I）兩部分，衛(wèi)星通信系統(tǒng)分別為VANET提供全球定位系統(tǒng)（globalpositioningsystem，GPS）和數(shù)字多媒體廣播（digitalmultimediabroadcasting，DMB）。作為無線移動AdHoc網(wǎng)絡（mobileAdHocnetwork，MANET）在交通運輸領域的具體應用，VANET是一種新型的多跳移動無線通信網(wǎng)絡，近年來成為無線網(wǎng)絡研究領域的熱點。車載網(wǎng)絡概述VANET的應用主要分為以下幾類（1）車輛行駛安全。通過車輛間的信息傳遞，完成車輛的碰撞避免、信息警示、協(xié)同駕駛、轉(zhuǎn)向提醒等應用，及時有效地提醒車輛注意周圍其他的車輛行駛狀態(tài)和道路交通狀況。這可以避免車輛碰撞等安全事故的發(fā)生，減少人身傷害以及財產(chǎn)的損失。VANET的應用主要分為以下幾類（2）交通管理與控制。為了提高交通效率，對于道路交通狀態(tài)信息的及時掌握與傳遞，可以實現(xiàn)對交通流量的動態(tài)控制。車輛對于行程進行提前優(yōu)化，有效避免交通擁塞，緩解道路交通壓力。VANET的應用主要分為以下幾類（3）網(wǎng)絡應用。利用VANET可以實現(xiàn)許多網(wǎng)絡信息服務類應用，如電子地圖更新、基于位置的信息服務、支付服務和網(wǎng)絡訪問等。在VANET環(huán)境下，很多網(wǎng)絡應用需要考慮在完成正常功能的前提下，不會因為受到攻擊而產(chǎn)生交通事故。車載網(wǎng)絡的優(yōu)缺點1.車載自組網(wǎng)的主要缺點1）地形的限制影響2）網(wǎng)絡拓撲結(jié)構(gòu)變化快3）無線信道質(zhì)量不穩(wěn)定4）洪泛廣播將導致網(wǎng)絡嚴重堵塞5）鏈路和路徑的不對稱性6）信道帶寬嚴重低于理論值車載網(wǎng)絡的優(yōu)缺點2.車載自組網(wǎng)的主要優(yōu)點1）無能量約束2）節(jié)點移動的一維性3）節(jié)點軌跡的可預測性4）GPS和電子地圖的應用車載網(wǎng)絡的安全綜述1.車載網(wǎng)絡安全需求1）車輛節(jié)點身份認證（entityauthentication）2）隱私性（privacy）3）信息認證與完整性（messageauthenticationandintegrity）4）消息不可否認性（messagenon-repudiation）與審計性（accountability）5）可用性（availability）車載網(wǎng)絡的安全綜述2.存在的困難與挑戰(zhàn)（1）車輛通信模塊和身份認證模塊存在被竊取的可能。（2）無線通信方式容易受到攻擊。無線通信由于其開放性，更容易受到攻擊者的干擾、竊聽等攻擊。（3）車輛節(jié)點的高移動性。這使得網(wǎng)絡拓撲結(jié)構(gòu)變化很快，難以獲得持續(xù)穩(wěn)定的通信環(huán)境。（4）鄰居節(jié)點陌生，節(jié)點間難以建立信任。這影響基于投票（voting）、聲譽（reputation）等機制的網(wǎng)絡安全協(xié)議在VANET中的應用。（5）隱私管理困難。由于車輛屬于個人長時間使用的交通工具，系統(tǒng)設計不當會嚴重暴露個人隱私信息，如位置信息和身份信息等。（6）網(wǎng)絡規(guī)模龐大并且結(jié)構(gòu)復雜，多個信任域之間交叉認證困難。車載網(wǎng)絡的安全綜述3.潛在的攻擊者（1）內(nèi)部或外部攻擊者。（2）惡意或理性的攻擊者。（3）主動或被動的攻擊者。（4）局部或擴展的攻擊者。系統(tǒng)中常見的幾種攻擊者都可以用上述的四種類型進行劃分（1）貪婪的駕駛者。為了得到更多的資源，對系統(tǒng)進行破壞比。（2）窺探者。收集VANET系統(tǒng)中其他用戶信息，通過數(shù)據(jù)挖掘等手段窺探他人隱私的攻擊者。（3）惡意的攻擊者。這類攻擊者的目的是影響系統(tǒng)的正常工作，造成系統(tǒng)失效或崩潰，雖然這類攻擊者比例較少，但是由于其危害非常嚴重，他們通常會擁有更強大的系統(tǒng)資源和專業(yè)的技能，如大功率的通信設備和高性能的計算平臺，使得他們能夠?qū)ο到y(tǒng)造成影響和破壞。車載網(wǎng)絡的安全綜述4.攻擊模型（1）散布虛假信息攻擊者會發(fā)送偽造的虛假信息，或者通過篡改、丟棄、延遲轉(zhuǎn)發(fā)信息的方式，從而破壞消息的有效性，達到自己的目的。（2）身份攻擊攻擊者通過隱藏、偽造或者篡改自己的有效身份信息，從而達到擾亂系統(tǒng)功能的目的。車載網(wǎng)絡的安全綜述（3）追蹤攻擊。車輛的位置信息對于用戶是至關重要的隱私數(shù)據(jù)。攻擊者如果擁有全局數(shù)據(jù)信息，通過觀察發(fā)現(xiàn)并分析用戶的行為，會極大地威脅用戶的個人隱私和系統(tǒng)安全。（4）拒絕服務攻擊。拒絕服務攻擊的目的是任何減弱或者消除VANET系統(tǒng)所期望執(zhí)行功能的行為。車載網(wǎng)絡路由安全由于VANET拓撲的頻繁變化，節(jié)點移動速度很快，路由安全技術成為VANET中的重大挑戰(zhàn)之一。車載網(wǎng)絡路由安全安全路由攻擊概述目前，在VANET中使用的路由協(xié)議大致可以分為基于拓撲的路由（topology-based

routing，TBR）協(xié)議、基于位置的路由（position-basedrouting，PBR）協(xié)議和基于地圖的路由（map-basedrouting，MBR）協(xié)議三類。車載網(wǎng)絡路由安全VANET中路由攻擊有以下五種類型1）仿冒身份攻擊者盜用其他車輛節(jié)點的標識，與其他節(jié)點進行非法通信，從而非法獲得數(shù)據(jù)或者傳遞偽造信息。2）路由修改攻擊網(wǎng)絡中的惡意節(jié)點修改路由信息，如源節(jié)點和目的節(jié)點標識，從而破壞路由查找過程，妨礙數(shù)據(jù)正確地轉(zhuǎn)發(fā)，破壞節(jié)點之間的通信。3）隱私攻擊由于VANET的自組織性，車輛的位置信息自由地在網(wǎng)絡之中傳遞，難以監(jiān)管。攻擊者可以利用收集到的位置信息對目標車輛節(jié)點進行追蹤，從而造成對駕駛者的隱私傷害。車載網(wǎng)絡路由安全VANET中路由攻擊有以下五種類型4）拒絕服務攻擊者可能對網(wǎng)絡帶寬進行消耗性攻擊，從而使得合法的用戶無法訪問服務器。5）黑洞攻擊網(wǎng)絡中的惡意節(jié)點不斷向源節(jié)點回復路由應答，聲明經(jīng)過自己到達目的節(jié)點是最短路由，使源節(jié)點建立到達自己的路由，因此大量數(shù)據(jù)包將會涌向該惡意節(jié)點。但該惡意節(jié)點直接將涌來的數(shù)據(jù)包丟棄而不轉(zhuǎn)發(fā)，從而網(wǎng)絡在該惡意節(jié)點處丟包率急劇上升，就像產(chǎn)生了一個吞噬數(shù)據(jù)的“黑洞”。安全路由解決方案DSDV（destination-sequenceddistance-vector）協(xié)議是一種距離矢量路由協(xié)議，是由傳統(tǒng)的Bellman-Ford路由協(xié)議改進得到的，它利用目的節(jié)點序列號來解決DBF算法的路由環(huán)路和無窮技術問題。安全路由解決方案GPSR（geographicalperimeterstatelessrouting）是比較有名的利用地理位置來優(yōu)化路由的協(xié)議。節(jié)點在發(fā)送數(shù)據(jù)前不尋找路由，不保存路由表。移動節(jié)點直接根據(jù)位置信息（包括自己的、鄰節(jié)點的以及目的節(jié)點的位置信息）制定數(shù)據(jù)轉(zhuǎn)發(fā)決策。數(shù)據(jù)分組中通常攜帶目的節(jié)點的地理位置信息。網(wǎng)絡中相鄰節(jié)點間通過周期性廣播分組獲得其他節(jié)點的位置信息。源節(jié)點或中間節(jié)點根據(jù)這些位置信息，將數(shù)據(jù)分組傳送給一個或多個相對自己而言距離目的節(jié)點更近的鄰節(jié)點。安全路由解決方案GSR（geographicsourcerouting）是基于地理位置和拓撲結(jié)構(gòu)的路由協(xié)議，其在位置服務和轉(zhuǎn)發(fā)策略上對GPSR做了改進。GSR通過位置服務獲取目的節(jié)點的位置信息之后，需要額外利用電子地圖的信息計算從本節(jié)點到目的節(jié)點的最佳路由，路由計算的算法選擇Dijkstra最短路徑算法。協(xié)議非常簡單，并且容易實現(xiàn)，但在應付快速變化的拓撲結(jié)構(gòu)方面效率非常的差，并且很容易因為車輛移動的方向不同而產(chǎn)生很頻繁的網(wǎng)絡分割問題。安全路由解決方案A-STAR（anchor-basedstreetandtrafficawarerouting）是專門為城市環(huán)境下的車輛間通信設計的一種基于位置的路由機制，其在轉(zhuǎn)發(fā)策略和恢復策略上對GPSR做了改進。GPSR+AGF（advancedgreedyforwarding），AGF算法在GPSR的基礎上增加了對節(jié)點移動性的考慮。安全路由解決方案CAR（connectivity-awarerouting）是專門為車輛間通信設計的一個基于位置的路由協(xié)議，其可以不使用位置服務來發(fā)現(xiàn)目標節(jié)點的位置。GPCR（greedyperimetercoordinatorrouting）提出了專門解決城市環(huán)境中的路由問題的方法，它采用了受限的基于預選路徑的貪婪轉(zhuǎn)發(fā)策略，為了提高路由的可靠性，協(xié)議在所有的邊緣節(jié)點中選擇最接近于目標地址的節(jié)點進行數(shù)據(jù)路由，協(xié)議引入了協(xié)調(diào)節(jié)點的概念。協(xié)調(diào)節(jié)點是指處在路口的節(jié)點，當選擇下一跳時，協(xié)議會優(yōu)先選擇處在交叉路口的結(jié)點來進行路由。車載網(wǎng)絡污染攻擊網(wǎng)絡編碼允許中間節(jié)點對輸入的數(shù)據(jù)包按照某種運算方式進行重新編碼組合成為一個新的編碼包，傳輸給下一個節(jié)點，稱為“存儲—編碼—轉(zhuǎn)發(fā)”方式。在接收節(jié)點通過對編碼包進行解碼來恢復原始數(shù)據(jù)?！按鎯Α幋a—轉(zhuǎn)發(fā)”這種傳輸方式能夠極大改善網(wǎng)絡的吞吐量，是網(wǎng)絡編碼特色，此外在改善鏈路負載均衡、減少網(wǎng)絡節(jié)點的能量消耗、提高帶寬利用率、增強安全性等方面網(wǎng)絡編碼均有突出表現(xiàn)。車載網(wǎng)絡污染攻擊雖然網(wǎng)絡編碼與傳統(tǒng)路由方式相比有諸多優(yōu)點，但由于允許中間節(jié)點對數(shù)據(jù)進行編碼，很大程度上為惡意節(jié)點提供了破壞網(wǎng)絡通信的機會，一個節(jié)點消息被污染就會導致此污染包所到之處均被污染，最后導致接收節(jié)點無法正確解碼出原始數(shù)據(jù)。因此，網(wǎng)絡編碼環(huán)境下污染攻擊具有更大的傳染性，會造成比普通傳輸網(wǎng)絡更嚴重的后果。污染攻擊概述1.網(wǎng)絡編碼根據(jù)編碼對象的不同，網(wǎng)絡編碼可以分為流內(nèi)（intru-session）網(wǎng)絡編碼和流間（intersession）網(wǎng)絡編碼兩種，如圖7-1所示。污染攻擊概述2.污染攻擊污染攻擊就是向網(wǎng)絡中注入惡意的報文。由上述實例可明顯看出，在網(wǎng)絡編碼環(huán)境下污染攻擊具有更大的傳染性，攻擊者只需注入少量的惡意數(shù)據(jù)就可達到污染整個網(wǎng)絡的目的。VANET是基于網(wǎng)絡編碼的網(wǎng)絡，在面對污染攻擊時是非常脆弱的。污染攻擊解決方案針對流內(nèi)網(wǎng)絡編碼的抗污染攻擊方案可分為基于信息論方法、基于網(wǎng)絡糾錯碼和基于密碼學方法三大類方案。其中基于信息論和基于密碼學是最常用的兩種方法。1.針對流內(nèi)網(wǎng)絡編碼的抗污染攻擊方案污染攻擊解決方案這類方法的基本思想與信息論的原理保持一致，基本思路是在信息傳輸過程中可容忍污染存在而不是將其過濾掉。即在目的節(jié)點接收到信源節(jié)點發(fā)送的信息之前，對信源發(fā)送的信息一無所知，只有當目的節(jié)點不斷接收到信源發(fā)送的消息才能逐漸減少信宿對于信源的不確定性，而在目的節(jié)點解碼出所接收到的信息之前不能確定信息是否被污染。1）基于信息論的驗證方案污染攻擊解決方案網(wǎng)絡糾錯碼理論用于檢測和糾正被污染包，網(wǎng)絡糾錯碼理論和傳統(tǒng)通信中的經(jīng)典編碼理論很相似，并且在編碼速率和糾錯能力上呈現(xiàn)出一種基本的平衡關系。網(wǎng)絡編碼系統(tǒng)中的網(wǎng)絡糾錯碼與傳統(tǒng)通信網(wǎng)絡中的經(jīng)典編碼理論在原理上類似，同樣存在糾錯能力與編碼的帶寬消耗互換問題，因此，這樣的機制不適合無線網(wǎng)絡。因為在無線網(wǎng)絡中攻擊者很容易通過注入大量的惡意報文來提高誤碼率，從而消耗帶寬進而降低糾錯能力。2）基于網(wǎng)絡糾錯碼污染攻擊解決方案該類方案大多基于一些計算性的假設，即假設以攻擊者的計算能力無法在有限的時間內(nèi)完成某數(shù)學問題的計算。該方法依賴網(wǎng)絡編碼包中增加額外的認證消息，允許任意節(jié)點對所接收到的消息進行驗證，一旦發(fā)現(xiàn)錯誤（即消息無法通過驗證）則立即丟棄該消息。此類方法可以徹底地清除網(wǎng)絡中的污染消息，具有很強的安全性。3）基于密碼學方法污染攻擊解決方案目前，基于密碼學的方案大多都使用同態(tài)哈希函數(shù)或者同型數(shù)字簽名?？梢钥闯龌诿艽a學的方法的網(wǎng)絡編碼安全方案需要消耗大量的系統(tǒng)資源，限制了它們在能量有限環(huán)境下的使用機會。針對網(wǎng)絡編碼系統(tǒng)中的抗污染攻擊，主要方法可以總結(jié)為在匯點進行糾錯和在傳輸過程中進行驗證對比兩種方式，如表7-1所示。污染攻擊解決方案相較于流內(nèi)編碼，針對流間網(wǎng)絡編碼的抗污染方案較少。由于是將來自多個不同源節(jié)點的數(shù)據(jù)包進行編碼，且除了中間節(jié)點，源節(jié)點也是不可信的，大大增加了污染攻擊的機會，并增加了抗污染解決方案的難度。所以不能直接移植流內(nèi)網(wǎng)絡編碼抗污染方案。目前已有的幾種在流間網(wǎng)絡中抗擊污染攻擊的方案大都基于數(shù)字簽名的方法。2.針對流間網(wǎng)絡編碼的抗污染攻擊方案污染攻擊解決方案楊銘熙等首次針對多源網(wǎng)絡編碼的模型提出一種基于雙線性對的同態(tài)簽名機制來抵御污染攻擊。此方案中每個源節(jié)點都有各自不同的私鑰和公鑰，中間節(jié)點可以根據(jù)相對應的公鑰來驗證接收到信息的完整性，然后對編碼包進行簽名。Agrawal等首次提出將向量和向量空間合并的算法，后來在此基礎上對其分別進行了不同的改進。針對方案中帶來的計算開銷及簽名尺寸都較大的問題，Le等近期提出了三種新的基于哈希函數(shù)和基于消息認證碼的檢測機制。污染攻擊解決方案上面提出的針對網(wǎng)絡編碼環(huán)境下的抗污染方案都只限于檢測出污染的存在或者發(fā)現(xiàn)污染包就立即丟棄。確認攻擊者身份是個難點，目前只有少數(shù)方案能夠確定攻擊者身份。但它的研究是有切實意義的。Le和Markopoulou首次針對如何確定攻擊者身份提出了解決方法。在單源網(wǎng)絡編碼環(huán)境下提岀了Spacemac的思想來確定污染攻擊者的身份，但是需假設有一個可信的中心機構(gòu)且它預先知道網(wǎng)絡的拓撲結(jié)構(gòu)。后來Dong等在Le方案的啟發(fā)下提出了一種可以確認多源網(wǎng)絡編碼系統(tǒng)中惡意節(jié)點的方法。3.針對確定攻擊者身份的抗污染攻擊方案污染攻擊解決方案當污染被檢測到時，一個比特級別的追溯程序就會執(zhí)行來確認攻擊者。一種MIS（maliciousnodeidentificationscheme）機制被提出，即惡意節(jié)點認證機制來確認和遠離惡意節(jié)點，這樣可以使污染攻擊僅能在短時間內(nèi)引起對網(wǎng)絡的破壞，隨后的數(shù)據(jù)流不會受到影響。MIS是基于block的，只要惡意節(jié)點注入一個破壞的block，即可迅速確認惡意節(jié)點的身份。此方案的前提是需遵循一個不可抵賴的傳輸協(xié)議（non-repudiationtransmissionprotocol）來保證任何一個節(jié)點注入破壞block后不能否認它的行為。車載網(wǎng)絡隱私攻擊VANET內(nèi)的隱私通常包含身份隱私、服務隱私和車輛位置隱私三個方面。身份隱私，即網(wǎng)絡內(nèi)車輛及車輛用戶的真實身份，包括駕駛證號、姓名、身份證及賬戶號等關鍵信息，需要車輛頻繁變換身份標識，防止攻擊者關聯(lián)前后的標識，又稱句法隱私。服務隱私即某車輛在享受一個LBS的過程中達到的身份、服務信息和位置隱私。服務信息隱私包括內(nèi)容隱私（車輛在要求服務時的服務內(nèi)容）、前向隱私（指某輛車在得到一個LBS的認證授權前，不能從RSU或別的車輛那獲取由此LBS發(fā)布的任何服務內(nèi)容）和后向隱私（某車輛在離開一個LBS后，不再具有繼續(xù)享受該服務未來內(nèi)容的權利）三個部分。車載網(wǎng)絡隱私攻擊原理車載網(wǎng)絡隱私攻擊位置隱私是車輛自組網(wǎng)隱私保護中的關鍵難點，一方面，位置服務中所有的服務都是基于位置信息提供的，在某輛車進入某位置前或離開后，就不能獲得服務的內(nèi)容；另一方面，位置信息本身是用戶隱私的重要部分，不能泄露。位置隱私不僅需要保護車輛的物理方位和路徑軌跡不泄露，還需要防止攻擊者利用中心消息中的位置、速度等信息重構(gòu)車輛的軌跡，有時候也稱語文隱私。車載網(wǎng)絡隱私攻擊原理車載網(wǎng)絡隱私攻擊隱私攻擊方案一類攻擊者能獲取某一時刻用戶的單次服務請求，稱為單點攻擊另一類攻擊者可獲得用戶在一段時間內(nèi)的服務請求，甚至是整個運動過程中所有服務請求，稱為多點攻擊。從時間維度上，隱私攻擊者可分為兩類一類不考慮或假設攻擊者不掌握任何背景知識，只依靠單次或幾次服務請求中的信息推斷用戶的隱私信息，稱為無背景知識攻擊另一類假設攻擊者長期收集和利用各類相關的背景知識，稱為背景知識攻擊。從背景知識維度上，攻擊者也分為兩類無背景知識攻擊，攻擊者的攻擊方式主要包括位置同質(zhì)攻擊、區(qū)域中心攻擊和位置分布攻擊。位置同質(zhì)攻擊是指攻擊者分析用戶提交的區(qū)域內(nèi)的多個位置，若距離非常接近，如位于同一個建筑內(nèi)，雖然達到k-匿名的要求，但由于隱匿空間太小，用戶的位置隱私仍然無法得到很好的保護。區(qū)域中心攻擊是指部分空間隱匿算法可能造成用戶的真實位置以相對較高的概率出現(xiàn)在隱匿區(qū)域中心。位置分布式攻擊主要利用用戶發(fā)送位置分布不均勻的信息推測用戶真實位置。例如，若攻擊者觀察到隱匿區(qū)域中只有一個用戶位于人口稀少區(qū)域，而其他k-1個用戶位于人口密集區(qū)域，那么位于人口稀少區(qū)域的用戶很可能是該服務請求的發(fā)送者。背景知識攻擊，攻擊者的攻擊方式主要包括同源攻擊、概率分布攻擊和位置相似性攻擊。同源攻擊是指攻擊者了解用戶會在同一位置多次發(fā)送服務請求并收集該信息，結(jié)合隱私保護機制（locationprivacyprotectionmechanism，LPPM），