無線Mesh網絡安全性研究

陳鈞　張展翔　鐘成琦

摘 要 WMN作為一種適合在開放區域部署的具有大面積信號覆蓋特點的新型無線網絡，目前還沒有專門用于保護它的IDS。傳統無線網絡雖然已有一些高效的無線網絡IDS，但這些系統的工作原理一般都是通過連續不斷地監視終端用戶、系統和網絡的行為來收集檢測數據，并由一個中心實體專門分析檢測數據，本文對無線Mesh網絡的安全性進行了研究。

關鍵詞 無線Mesh網絡 異常檢測 協作 RBF神經網絡 危險理論

中圖分類號：TP3O9 文獻標識碼：A

1無線Mesh網絡安全面臨的主要威脅

從美國人NikolaTesla于1893年首次公開展示無線電通信至今，針對不同的用途和使用環境，無線電通信已經發展出多種類型。特別是從20世紀80年代以來，伴隨著全球移動通信系統的發展，不同類型的無線網絡如WLAN、CDMA、Bluetooth和Wi-Fi（本文將些網絡統稱為傳統無線網絡）等也相應迅猛發展起來。雖然WMN優勢明顯，應用廣泛，但其在安全方面仍然受到多種威脅，主要有以下五個方面。

（1）無線鏈路方面。WMN中各節點通過無線鏈路以廣播方式相互傳輸數據，通信范圍內的所有節點都可以接收這條數據，因此易被監聽。并且由于缺乏像有線網絡中的物理通道及防火墻等明確的防御線，WMN不能通過網絡邊界防護設備來控制客戶端和其它設備的接入，對主動攻擊的防御能力不足。

（2）動態拓撲方面。節點進入或退出網絡都會引起WMN拓撲結構的動態變化。若WMN接入認證方案存在漏洞，惡意節點就能輕易合法化接入網絡，并發動攻擊。此外，成功接入WMN的節點如果缺乏充分的物理保護易被破壞、捕獲和劫持，并用于網絡攻擊，而追捕它卻很困難。

（3）協作運算方面。WMN的分布式結構導致其一般采用分散的數據處理策略，即絕大多數WMN算法都依賴于與其他節點的合作。攻擊者利用沒有中心節點這一弱點對WMN協作運算方面實施各種破壞。

（4）路由方面。WMN中所有節點共同參與完成路由發現過程。因此惡意節點很可能會抓住網絡拓撲結構變化的時機發動攻擊。它冒充為AP并廣播虛假路由信息，從而吸引大量網絡流量經過它，并隨意竊聽、篡改甚至中斷WMN的通信。

（5）設備資源方面。WMN中的客戶端移動性強，設備體積小，處理能力低，多數為電池供電。而增強型客戶端由于具備路由和數據轉發功能，對電池電量、資源占用、通信帶寬等因素非常敏感。因此，客戶端不能使用復雜的路由或加密算法。

2無線Mesh網絡主要安全防護技術

（1）安全認證。它能阻止未授權的節點接入并利用WMN發送和接收數據，避免網絡規模被異常擴大。另外，WMN中各節點間互相通信和漫游時都需要身份認證。認證方式分為集中式和分布式兩種。集中式利用AAA服務器實現，節點認證成功后才能參與后面的密鑰協商、密鑰交換和路由更新等活動。分布式認證主要采用數字證書或預分配共享密鑰模式（即PSK）。

（2）安全路由。它的目標是確保路由信息的完整性、真實性、可用性和不可抵賴性，而利用加密和數字簽名技術就可以實現這些目標。雖然各節點相互通信前都會進行認證并協商密鑰，但被俘獲節點通過產生錯誤或虛假路由可以繞過這層安全防護。利用安全路由協議定期更新路由表或利用選舉方式確定安全路由，可以避開被俘獲節點引入的危險。典型的安全路由協議有Ad hoc網絡的SAODV、ARAN、SAR、SEAD和SRP等。

（3）入侵檢測。認證、加密等技術作為WMN的第一道安全防護墻可以抵御外部攻擊，但主動防御內部入侵的能力不足。入侵檢測對內部入侵非常敏感，因此可以作為WMN的第二道安全防線?，F有的WMN入侵檢測方式有四種：

①獨立入侵檢測。每個節點都運行檢測實例，并獨立對事件進行響應。

②分布式合作入侵檢測。入侵檢測被部署在部分節點上，各節點互相協作完成入侵檢測，并產生相應的響應。

③層次式入侵檢測。由一個主控節點管理多個子節點，子節點負責收集和上傳檢測信息給主控節點，主控節點對其分析并做出決策。

④基于移動代理的入侵檢測。每個Agent被指定檢測任務，之后每個節點會被分配到一個或多個Agent，由Agent具體分布處理入侵檢測任務。

3神經網絡和危險理論在入侵檢測中的應用

3.1神經網絡在入侵檢測中的應用

神經網絡（Neural Networks，簡寫為NN）也稱為人工神經網絡（Artificial Neural Networks，ANN）連接模型，是一種利用機器模仿人腦進行思維活動，進行分布式并行信息處理的數學算法模型。作為研究復雜問題的有力工具，神經網絡技術近年來在模式識別與分類、自動控制、非線性濾波、預測等方面已顯示出其非凡的優勢。

3.2危險理論在入侵檢測技術中的應用

計算機安全問題與生物免疫系統（Biological Immune System ，BIS）遇到的問題非常相似，即如何在不斷變化的環境中保持自身穩定。近年來由BIS啟發設計的人工免疫系統（Artificial Immune System，AIS）在工作原理上與IDS非常相似，因此得到了網絡安全界的廣泛關注。AIS的基本特征包括自適應、分布式、高頑健性、輕量級、多層次和多樣性等，與IDS相結合，被認為是一條非常重要且有意義的研究方向，現已取得了一定研究成果 。

盡管該理論在生物免疫學領域尚未成熟，但用作模擬仿真，它比SNS模型更加適用于入侵檢測領域?；谖ｋU理論的入侵檢測模型不再對“自體/非自體”進行區分，而只識別“危險”信號，以此解決SNS檢測模型因“自體”空間巨大而使檢測效率低下的問題。

參考文獻

[1] YI P，WU Y，CHEN J L.Towards an artificial immune system for detecting anomalies in wireless meshnetworks[J].China Communications，2011，8（3）： 107-117.

[2] 周彥偉，楊波，張文政.安全高效的異構無線網絡可控匿名漫游認證協議[J].軟件學報，2016，27（2）：451-465.

[3] 黃毅杰，林暉，許力，黃川，周趙斌.認知無線網絡中一種基于VCG的分布式安全頻譜感知策略[J].小型微型計算機系統，2016，37（6）：1228-1233