第25卷第11期 2008年11月 计算机应用与软件 Computer Applications and Software V01.25 No.11 Nov.2008 移动Ad Hoc网络主要安全漏洞分析与对策研究 李 网0 曾 琼 (索贝数码科技股份有限公司技术研发部四川成都610041) (成都信息512程学院计算机基础教学部 四川成都610103) 摘要 移动Ad Hoc网络是一种移动、多跳、自律式无线网络系统,具有广泛的应用场合,安全问题一直是影响其达到完全实用 阶段的重要因素。探讨了移动Ad Hoc网络特有的主要安全漏洞,并与现有网络中的安全防范方法进行了较深入比较,提出了相应 的对策以提高移动Ad Hoc网络的安全性。 关键词 Ad Hoc安全漏洞 安全对策 STUDY ON MAIN VULNERABILITIES ANALYSIS AND COUNTERMEASURES FoR MoBILE AD HoC NETWoRKS Li Gang Zeng Qiong (Department of Technology Development,Sobey Digital Technology Co.,Ltd.,Chengdu 610041,Sichuan,China) 。(Departentm ofComputer Foundation Studies,Chengdu University ofInformation Technology,Chengdu 610103,Swhuan,Chia) nAbstract AbstractMobile Ad Hoc network is a wireless mobile network system of motion.multi—hoping and autonomisation and witIl wide application situation,but security problem is always the vital factor that blocks it to approach the complete applied phase.In this paper it dis- Cusses the main vulnerabilities particularly in mobile Ad Hoc network and compares them with the safety protective measures in existing net・ works in depth.Corresponding countermeasures are proposed to enhance the security of mobile Ad Hoc network. Keywords Ad hoc Vulnerability Security countermeasures 0引 言 网络安全性主要包括四个方面的内容:机密性、认证性、完 整性校验和不可否认性。蜂窝网络、集群网络、无线局域网络、 卫星通信网络等作为移动网络的主要形式其安全性也离不开这 1 Ad Hoc网络概念及其特点 Ad Hoc网络又称为多跳网络、无固定网络设施的网络(in- frastructure less network)、自组网、自愈网或是对等网,它是一种 逻辑意义上的组网方式,即强调在不依赖基础网络设施的前提 下,由一定范围内的移动终端动态地建立可以互联的网络。同 些基本要素。上述移动通信系统都需要有线网络通信基础设施 的支持,如基站、交换机、卫星等。这些设施的建立和运转需要 大量的人力和物力,成本比较高,建设周期较长。在某些特殊环 境或紧急情况下,如战场上行军的机动性、抗毁性,发生洪 时它还将现有的主要网络中广泛应用的控制管理的功能进 行分布式处理,由网络各个节点同步完成,从而提高了网络抗干 扰、抗故障的能力,也使其成为在许多特殊场合进行网络互联应 用的主要方案。移动信息节点通过无线信道的连接可以形成任 意的网络拓扑结构,而且节点的任意移动也会导致网络拓扑结 构的变化。移动Ad Hoe网络既可以单独运行,又可以通过网关 水、地震、泥石流等自然灾害后的搜索和营救、野外科考等,迫切 需要一种不依赖基础设施能够快速和灵活配置的移动通信网络 技术,移动Ad Hoe网络就是为满足这些需求应运而生的。移动 Ad Hoc网络不需要基站的支持,由主机自己组网,网络建立成 本低、时间短,一般只要几秒钟或几分钟。也正是由于移动Ad 接入到现有的网络,如有线网络、蜂窝网络以及无线局域网等。 与其它传统通信网络相比,移动Ad Hoc网络具有以下显著 特点 : (1)多跳路由由于节点发射功率的,节点的覆盖范 Hoc网络基础设施的缺乏,高效的安全保障手段有限,流通于其 上的信息更容易被拦截与监听,保障移动Ad Hoc网络的安全面 临着比现有网络更大的挑战。本文详细分析了移动Ad Hoc网 围有限。当它要与其覆盖范围之外的节点进行通信时,需要中 间节点的转发。此外,Ad Hoc网络中的多跳路由由普通节点协 作完成,而不是由专用路由器完成。 收稿日期:2007—11—21。国家973计划项目(2004CB318003)。李 刚,工程师,主研领域:网络安全,多媒体技术。 络所面临的主要安全问题,并结合实际应用给出了相应的解决 方案和对策。 第11期 (2)无中心和自组织性李刚等:移动Ad Hoc网络主要安全漏洞分析与对策研究 Ad Hoc网络中没有绝对的控制 35 为重要。由于网络拓扑的变化,使得Ad Hoc网络的路由协议设 计较为复杂,同时也带来了许多新的安全威胁。移动Ad Hoc网 络路由协议的作用包括监控网络拓扑结构变化,交换路由信息, 定位目的节点位置,产生、维护和选择路由,根据选择的路由转 发数据等。从路由发现策略的角度,移动Ad Hoc网络路由协议 可以分为主动路由和按需路由两种类型。已在Intemet草案中 见到的Ad Hoc网络的路由协议有TORA、AODV、DSR、OLSR和 ZRP等,但这些路由协议极少考虑其安全问题。而Ad Hoc网络 的路由协议却是网络攻击的主要目标 。 中心,所有节点的地位平等,网络中的节点通过分布式算法来协 调彼此的行为,无需人工干预和任何其它预置的网络设施,可以 在任何时刻任何地方快速展开并自动组网。由于网络的分布式 特征、节点的冗余性和不存在单点故障点,使得网络的健壮性和 抗毁性很好。 (3)动态更新的网络拓扑Ad Hoc网络中没有固定的通 信设施和管理设备,网络节点可以随机地以任意速度往任 何方向移动,加上无线发射装置发送功率的变化、环境的影响以 及信号之间的互相干扰等因素,都会造成网络拓扑结构的动态 变化。 (4)链路带宽受限、容量时变 由于拓扑动态变化导致每 个节点转发的非自身作为目的地的业务量随时间而变化,因此 与有线网络不同,它的链路容量表现出时变特征。 (5)脆弱的安全性 Ad Hoc网络是一种特殊的无线移动 网络,由于采用无线信道、有限电源、分布式控制等技术,它更加 容易受到被动窃听、主动人侵、拒绝服务、“剥夺睡眠”等网络攻 击。因此,信道加密、抗干扰、用户认证和其它安全措施都需要 特别考虑。 2 Ad Hoc网络面对的安全威胁 从衡量一个网络的安全性的普遍指标来分析,在Ad Hoc网 络中主要存在以下安全问题: (1)可用性它确保网络节点在受到各种网络攻击(如拒 绝服务攻击)时仍然能够提供相应的服务。在Ad Hoc网络中 拒绝服务可以发生在任何一层上:在物理层和媒体接入层,攻击 者可以通过无线干扰来扰乱物理通信信道;在网络层,攻击者可 以攻击路由协议;在高层,攻击者可以攻击各种高层服务。针对 Ad Hoc网络还有一种叫作“剥夺睡眠”的特殊攻击,这种攻击使 得移动节点的电池很快耗尽,从而达到拒绝服务的目的。 (2)机密性它保证相关信息不被泄漏给未授权的用户或 实体。战场上路由信息的泄漏会使敌方能够判断出移动节点的 标识和位置,给整个战局造成毁灭性打击,所以在网络中传输的 敏感信息必须要保证其机密性。 (3)完整性它保证信息在传输的过程中没有破坏或中 断。这种破坏或中断包括网络上的恶意攻击和无线信号在传播 的过程中的衰弱以及各种人为于扰。 (4)认证一个移动节点需要通过认证来确保和它通信的 通信对端就是真正的通信对端。认证环节的缺乏将导致网络攻 击者假冒网络中的某个节点来和其它的节点进行通信,以获得 那些未被授权的资源和敏感信息,对整个网络的安全构成威胁。 (5)不可否认性它保证一个节点不能否认其发送出去的 信息,不能抵赖它以前的行为。例如:在战场上如果被占领的节 点发送了错误的信息,那么收到该信息的移动节点就可以利用 不可否认性来通知其它节点该节点已被占领。 3 Ad Hoc网络主要安全漏洞及相应对策 3.1路由协议的安全 在Ad Hoc网络面临的诸多安全问题中,路由协议的安全尤 我们以AODV路由协议中的黑洞问题为例来分析现代路 由协议的安全性。AODV路由协议是一个非常重要的按需创建 路由的协议,当一个源节点想与目的节点建立路由时,它首先发 起路由发现过程,它向相邻的节点广播路由请求分组,随后相邻 的节点把请求信息传递给与它相邻的节点,直到到达目的节点 或者某个中间节点(该中间节点包含目的节点的最新位置信 息)。此时目的节点或者中间节点可以对请求分组作出响应, 并向发给它该请求的相邻节点回送路由应答分组,直到源节点。 随后进入路由维持过程,当目的节点变为不可到达或者该路由 不再需要时,路由维持过程将终止。 根据最初的AODV路由协议,中间节点都要检查请求分组 中的目的节点顺序号,如果它发现自己具有目的节点最新位置 信息,那么它便可以对请求分组作出响应。本来该机制用于克 服路由的时延,但是却成为恶意节点攻击的目标。恶意节点可 以轻易破坏路由协议的正常功能,造成部分网络的崩溃。例如 图1中,源节点N1想发送数据给目的节点N4,并开始路由发现 过程,假设节点N3为恶意节点且拥有目的节点N4的最新位置 信息。节点N3便会发送请求信息并通知节点N1经过节点N3 存在到达节点N4的路由。如果该请求消息比其它请求消息先 到达源节点N1,那么源节点N1便认为路由发现过程结束并忽 略其它的路由应答信息。随后源节点N1便会向节点N3发送 目的地为节点N4的数据分组。这样源节点N1送往目的节点 N4的数据便会被截获或者丢弃。因此节点N3便成了网络上的 一个黑洞,并用它所截获的数据来对网络进行攻击。 图1黑洞问题 移动Ad Hoc网络的路由协议通过交换拓扑信息从而建立 到达所有目的节点的路由。攻击者对这些没有受到保护的路由 信息可以进行各种形式的攻击。这些攻击可以分为被动攻击和 主动攻击。被动攻击指攻击者仅监听路由信息而不破坏路由协 议的执行过程;主动攻击指攻击者阻止路由的建立、更改数据的 传送方向、中断路由以及利用虚假数据骗取网络的认证和授权 等 ]。移动Ad Hoc网络面临的比较常见的破坏性较大的路由 安全威胁有以下几种: (1)任意相邻节点间盲目信任,使得有敌意未经认证的节 点能轻松获得路由; (2)路由协议可以被任意更改,无线路由将变得非常不稳 定,通信质量也将大大降低; (3)假冒IP或者MAC; 36 (4)伪造虚假路由信息; (5)无法探测和孤立错误动作节点; (6)无法避免信息泄露。 计算机应用与软件 2008盘 认证来确保机密性。但也带来了新的不稳定因素,即认证证书 的伪造篡改问题又怎样防范呢?一旦攻击方伪造了CA的认证 证书,加密又将失去意义。现有网络采用了层次性认证证书机 如果路由协议受到上述攻击,整个移动Ad Hoc网络将无法 正常工作,因此采用安全机制保护其路由协议是非常必要的。 采用的安全机制应该能够提供以下的安全服务: ・保密性修改。 制来解决这个问题。传统的做法是在网络中加入一些特殊的机 构专门进行证书认证的工作,这些特殊的机构很容易遭到攻击 者的破坏,这种集中式的密钥管理方法也不适合分布式的移动 Ad Hoc网络,因为网络采用层次化体系结构,则主机之间的连 数据经过加密,以防未经授权的节点访问或 接是准静态的,具有较为稳定的拓扑,这与Ad Hoc网络强调不 依赖固定主机、建立临时的无线信道链接、网络拓扑结构动态变 ・身份认证确保接收节点可以信任数据包的发送者;防 止了攻击者伪装身份发送信息。 ・完整性完整性服务是指接收方所得数据正是发送方 所发的原文,没有经过篡改。 ・不可否认性 节点一旦发出数据后,无法否认其发送 行为。 3.2 防止信息窃取攻击的安全 使用多跳的无线链路使Ad Hoc网络很容易受到诸如被动 窃听、主动入侵、信息假冒等各种信息窃取攻击。被动窃听攻击 可能使敌方获取保密信息;主动窃取攻击中敌方可以删除有用 信息、插入错误信息或者修改信息,从而破坏了数据的可用性、 完整性、安全认证和抗抵赖性。防止被动窃听攻击,可以根据实 际情况采用IPSec中的安全套接字协议(SSL)或封装安全净荷 (ESP)机制。封装安全净荷可以为不能支持加密的应用程序提 供端到端的加密功能,它不仅可以对应用层数据和协议报头加 密,还能对传输层报头加密,从而防止攻击者推测出运行的是哪 种应用,具有较好的安全特性。为防止主动窃取攻击,可以采用 带有认证的端到端加密的方法。 为了解决上述主要的Ad Hoc网络安全漏洞,必须加强密钥 管理和访问控制的安全认证等方面的工作。 3.3建立安全的密钥管理体系 通过路由协议表,通信节点可以建立到达目的节点的通路。 数据传送中由于机密性、身份认证的需要,必须建立安全高效的 密钥管理体系。密钥管理是安全管理中最困难、最薄弱的环节, 因此,必须高度重视密钥管理,引入密钥管理机制进行有效 控制。 网络中常用的密钥管理方法有以下三种: (1)Difife—Hellman密钥管理方法它要求通信双方在建立 连接前必须共享双方的公钥,这就要求通信双方必须在密文数 据信息传送前互相发送公开信息,攻击者有可能在这个过程中 获得密钥。在无线Ad Hoe网络中,公钥的泄露尤其简单,因此 采用Difie—Hellman密钥管理方法不能完全保证通信数据的机 密性。 (2)基于密钥分发中心(KDC)的密钥管理方法在通信 过程中,通信双方都要和密钥分发中心(KDC)建立单线联系, 然后由KDC对数据进行先解密再加密,确保了数据的安全性。 但这一过程加大了通信流量,也造成较大的时延。更为严重的 是,一旦攻击者获悉KDC,可对其发送海量数据,造成KDC瘫 痪。因此在Ad Hoc网络中,引用基于KDC的密钥管理方法也 不能确保安全。 (3)基于非对称加密体系的密钥管理方法使用非对称加 密方式的密钥体系,最大的隐患是伪造篡改问题,必须引进证书 CA(certiifcation authority)机制。发送者通过CA取得接收者公 开密钥时,发送者发出的信息也要签名,通过第三方权威机构的 化的要求显然不同。 3.4建立Ad Hoc网络入侵检测体系 为了建立一个更加安全的Ad Hoc网络,可以采用加密和鉴 别等人侵预防技术来保护网络并将入侵检测作为第二道防御屏 障 。因为网络中的用户和程序是可见的,通过入侵检测 (IDS)技术,可定期地监控网络,捕获监控数据,验证网络是否 遭到入侵。在证实入侵的情况下,修改网络,保证网络的安 全性。 无线Ad Hoc网络和固定有线网有显著不同,很难将固定有 线网的入侵检测技术用于无线Ad Hoc网络。首先,目前的IDS 大都依赖于交换机、路由器或网关的实时业务的监控和分析,而 移动Ad Hoc网络环境中没有这种收集整个网络跟踪数据的业 务集中点,可供入侵检测使用的数据只能局限于与无线通信范 围内的直接通信活动相关的局部数据信息,入侵检测算法必须 利用这些局部的不完整信息完成入侵检测。其次,移动Ad Hoc 网络链路速度较慢、带宽有限并且节点依靠电池提供能量,这些 特性使得它对通信的要求非常严格,无法采用那些为有线IDS 设计定义的通信协议 。无线Ad Hoc网络没有中心节点,不 能像有线网络一样集中检测统计数据。因此,无线Ad Hoc网络 的入侵检测算法可以使用分布式和协作的方式。Ad Hoc网络 中的每个节点都将参与入侵检测和响应,不但要检测网络数据, 还要检测本身的用户数据。这样对Ad Hoc网络的入侵检测系 统的要求就比普通网络更高。 考虑针对Ad Hoe网络,一个入侵检测模型主要包括两个单 元: (1)特征属性描述典型活动的特性,例如“错误录入的 重试次数”,“命令访问的平均跳转频率”。 (2)模型算法使用特征值搜索和更新进行入侵检测和抑 制入侵的算法。 特征属性用来检测Ad Hoc网络访问者的身份真伪及其访 问动作的合法性,具体的模型算法用的是特征值搜索,将数据库 中存放的特征值与访问特征值相比较,两者一致才允许正常操 作,否则予以拒绝。模型算法的设计是Ad Hoc网络入侵检测模 型的主要难点,需要进一步详尽研究。 4结束语 Ad Hoc网络可以通过临时组网的方式在恶劣环境中支持 移动节点之间的数据、语音、图像和图形等业务的无线传输,应 用范围可以覆盖工业、商业、医疗、家庭、办公环境、军事等各种 场合,尤其在未来战场上,Ad Hoc对于高技术武器装备、集中指 挥、协同作战和提高作战机动性等具有非常重要的意义。Ad Hoc网络面临的一个较大的问题是容易受到各种安全攻击,国 (下转第65页) 第11期 吴健等:基于轮廓形状的CT断层图像插值 65 (a]实际图像 ■ (b)线性插值图像 (c)本算法插值图像 ■■■ (a)直接三维重建 (b)线性插值三维重建 銮兰鎏 墨后 图4重建结果示意图 图3 两幅插值图像区域放大比较 图2中,a、b、c为连续的三幅CT图像,算法对a、c进行插值 处理,d、e为得到的插值图像。图3为对插值图像局部区域进 行比较,所选区域参见图2中b图正方形部分。 观察图2中的d、e两幅插值图像以及图3,线性插值图像在 不同密度或灰度值的组织交界处有一定的模糊区域,并且有轮 廓重影。这是由于线性插值算法是基于灰度的插值,当插值的 对应点位于上下两个断层图像不同的组织或器官时,该算法会 有明显的误差。而基于本算法插值出的图像,轮廓清晰、不存在 模糊区域。 为了更好地比较d、e两幅插值图像,采用均方差 (S ,),灰 度值不等的像素总数卢(S ,),所有像素灰度值差的绝对值之和 A(S ,),算法时间t(S ,)四个函数作为判别依据,以衡量算法的 优劣。其计算公式如下: (1)均方差o(S ) (s r)=— ∑l ,( )一 ( )1 M为Sk,中点的总数 (2)灰度值不等点的总数 (S ) (5 )=∑ ( 一(V)一f'ma ̄o( ))r( )={ 冀 。 (3)所有灰度差的绝对值之和A(S ) A(.s ,)=∑ ( )一 ( )l 由表1可以看出新的插值算法在处理时间允许的情况下, 前3项判定依据都明显优于线性插值,同时在保证图像细节方 面也比线性插值更有效。综上所述:本文提出的插值算法,图像 轮廓较为清晰、噪声小、不再有双重轮廓,提高了插值效果,因此 可以验证本算法的优越性。 表1两插值算法结果比较 评价标准 线性插值 本算法插值 均方差 (Sk ) 370.70 307.24 像素不等点8(Sk ) 18O 472 140 975 (S k ) 2 140 348 l 729 97l 算法时间t(Sk ) O.11 S 2.57s 3.2插值后三维重建效果 三维重建实验的原始数据是38幅大小为512 512的连续 CT图像。其图像像素深度范围是0—4096,系列体数据的三维 空间间隔比为:1:1:7.168。用线性插值和本文插值算法分别进 行层间插值,每相邻两幅图像中生成两幅新的插值图像,即插值 后数据的三维空间间隔比为:1:1:2.389。最后使用Marching Cubes(MC)法进行三维面绘制,效果如图4所示。由图4可见, 直接对CT断层图像序列进行三维重建会出现很明显的梯田效 应,使用线性插值会使梯田效应有所降低,而采用本文插值算法 重建的效果比较完善,这主要是因为新算法注重轮廓的变化,使 边缘更加清晰。 4结束语 本文针对传统断层图像插值方法的不足,提出了一种新的 基于轮廓形状的插值算法。该算法首先利用数学形态学的方法 得到插值图像的区域形状的轮廓,然后寻找该插值图像的对应 点来进行灰度插值。新的插值算法不仅考虑了灰度变化,也兼 顾了轮廓的变化,从而更好地解决了传统插值方法所引起的梯 田效应问题,使新的图像更接近于原始生理切片。对线性插值 和本文新算法的实验表明,新算法的视觉效果和图像质量均有 较大改进,其插值结果可有效地用于医学cT图像的三维重建。 参考文献 [1],高新波.三维重建中形状插值的快速算法研究[J].计算机 辅助设计与图形学学报,2003,15(8):1012—1020. [2]Higgins W E,Morice C,Ritman E L.Shape—based interpolation of tree・ like structures in three—dimensional images[J].IEEE Trans Med Ima・ ging,1993,12(3):439—450. [3]Bors A G,Kechagias L,Pitas I.Binary morphological shape-based in— teprolation applied to 3-D tooth reconstruction[J].IEEE Trans Med Imaging,2002,21(2):100—108. [4]黄海赞,戚飞虎,陈剑,等.基于小波的医学图像插值[J].自动化 学报,2002,28(5):722—728. (上接第36页) 外有不少科研机构正在进行研究,如加州大学洛杉矶分校的 “无线自适应移动性实验室”,康奈尔大学的“无线网络实验室” 等,国内对这方面的研究还处于起步阶段。本文全面分析了移 动Ad Hoc网络中存在的主要安全漏洞,并探讨研究了与之相应 的安全对策,为Ad hoe网络的应用推广打下了基础。 参考文献 [1]Corson S,Macker J.Mobile Ad hoc Networking(MANET):Routing protocol performance issues and evlauation considerations[S].IETF RFC 2501,1999. [2]Xiaoyan H,Kaixin X,Mario Gerla.Scalable routing protocols for mo— bile Ad hoc networks[J].IEEE Network,2002,16(4):11—21. [3]Papadimitratos P,Haas Z J.Secure Routing for Mobile Ad Hoc Net— works[C].In:SCS Communication Networks and Distirbuted Systems Modeling and Simulation Conference,San Antonio,TX,2002,1. [4]Ghosh A K,Schwrtzbard A.A study in using neural networks for a. nomaly and misuse detection『A].In Proceedings of the 8 USENIX Security Symposium,1999. [5]Yih—Chun H,Adrian Perrig,David B,Johnson.Ariadne:A Secure On—demand Routing Protocol for Ad hoc Networks[C].ACM/IEEE MOBICOM02.2002:23—28.
