弋改珍

（咸阳师范学院 信息工程学院，陕西 咸阳 712000）

随着Internet的扩展和各种Internet应用的繁荣，多跳无线网络（MWNs：Multi-hop Wireless Networks）将被广泛采用。然而，无线网络的固有特性：有限的覆盖范围、低可靠性、缺乏安全性和隐私保护，严重地阻碍了无线网络技术在实际中的应用。如果在现有网络基础设施的周围部署新的访问点，以延伸射频覆盖范围，使用多跳无线网络技术能更大领域地提供Internet访问；同时多跳无线技术的多重转发路径也增强了网络的健壮性和可靠性。因此多跳无线技术吸引了学术界和工业界的广泛关注。

在无线网络应用于实际环境之前，必须解决由无线特性带来的特殊安全威胁受到来自各方面的安全性威胁：窃听、篡改、节点妥协、流量分析等。机密性和私密性是无线网络安全需求中的主要考虑的问题，也是无线网络安全研究的主要领域之一。本文在总结MWNs的可能安全威胁的基础上，分析了信息安全的基本需求。通过鉴别和总结MWNs的特点，讨论了MWNs的信息安全和现有网络系统的信息安全之间的区别。确定了MWNs中实现信息安全的挑战，并建议了与MWNs信息安全相关的4个研究问题。

1 MWNs的固有特征

1）无线信道的开放性

MWNs的一个主要特征是无线信道的开放特性。无线信号本质上是广播信号，允许并吸引了众多的恶意攻击。开放无线信道允许并引发更多被动和主动攻击，比如偷听，数据注入/修改、拥塞。这些攻击使得无线信道更易遭受恶意滥用和破坏。此外，这些攻击潜在的好处是可能引发更先进的攻击技术，比如流跟踪和流分析，呈现出对用户隐私更要重的威胁。

2）中间节点的脆弱性

由于无线信号的受限的有效传送范围，MWNs中的节点比其他网络中节点被部署的更密集。密集的网络节点，每个节点比较便宜。由于实际的经济原因，每个节点没有强大的装备以抵抗所有类型的攻击。另外，无线网络节点通常被部署在建筑物外或者公众区域，而不是像有线网络节点一样被部署的建筑物之内。对手能够很容易地进入这些区域，然后发起没有管理员和真实用户意识的恶意攻击。所有这些因素使得MWNs中的节点更易受节点妥协攻击。

3）多径转发特性

在MWNs中，网络通过无线信号连通，通过多路由路径转发分组以提高网络系统的健壮性和可靠性；多径分组转发也被用于均衡网络流量负载，最大化网络吞吐量。

4）资源受限

由于MWNs中的节点密集且便宜，特别是无线传感器网络中的监控节点，每个节点的计算能力、存储空间、电源供应等都有限，没有足够的能力对每个消息执行复杂的公钥加密，没有足够存储空间保存所有感知的数据，没有足够电能有效传送数据。因此，在这种资源受限的环境下，容易引发更多的DoS攻击，这使得许多安全机制不适合资源受限的MWNs，需要从新的观点来解决这些信息安全问题。

2 MWNs的安全威胁

Reza Curtmola等人在文献[1]分析了MWNs中多播环境存在的安全缺陷：1）在多播环境中，多播协议的建立和维护需要更复杂的结构和操作，比如树形结构的构造，数的修剪、合并等。这些情况在单播环境中没有相应的策略，可能暴露出多播协议存在的新的缺陷。2）多播路由协议由路由发现、路由活动和树管理3部分组成。外部攻击者通过注入、替换和修改控制分组破坏路由发现，使自己成为受信节点加入树结构，发布恶意报告。

Jung-Chun Kao等人在文献[2]中分析了ad hoc无线网络中存在的窃听攻击安全威胁。Ad hoc无线网络由自治节点组成，每个节点都能发送和接收分组。这给敌手节点一个可乘之机，敌手节点通过自治方式连接到网络，拦截数据信息，对截获的数据信息进行分析，从而对网络实施攻击。Shafi Bashar等人在文献[3]中分析了多条无线网络中存在的窃听威胁。

根据文献[1-3]，MWNs信息安全的可能安全威胁有以下4个方面：

1）窃听 由于无线信道的开放特性，敌手在不使用任何物理线路连接的情况下就可进行窃听；又由于MWN的规模不是足够大或者许多攻击者相互勾结发起窃听，敌手有可能进行全局窃听。

2）数据注入/修改 开放的无线信道对于防止敌手注入数据分组没有任何阻碍。敌手首先截获数据包，然后将他们的包注入无线网络，就能够很容易的完成数据修改。

3）节点妥协 无线网络节点或者移动站比有线网络中的网络路由器更容易被泄露。网络节点一旦被泄露，敌手会获得比如密钥的各种秘密信息，可以对收到的密文进行解密。因此，敌手停留在网络中，成为内部攻击者，这比外部攻击者更麻烦。

4）流量分析/流跟踪 比泄露用户隐私更先进的攻击是流量分析，通过分析通信节点对之间的流量模式或者通信流就可以发起流量分析攻击。通过先进的技术比如时间相关性、大小相关性、或者消息内容相关性，发起流跟踪攻击。一个基于内容相关性的回溯攻击，可以泄露源节点的位置隐私。

3 信息安全需求

根据MWNs的安全性威胁，确定MWNs信息安全的4个基本需求：机密性、完整性、可用性、私密性。

3.1 机密性

机密性描述保护专有资料访问和公开的已授权的限制条件的性质。开放无线信道特别容易受到窃听的攻击，敏感信息的机密性面临着更恶意的威胁。为了确保无线信道上传送的敏感信息的机密性，可以使用链路-链路加密解决这个问题；如果需要远程相互认证和秘密密钥交换，可以使用端-端加密保证信息的机密性。

要保证用户的隐私，必须首先保证信息的机密性。

3.2 完整性

在信息安全中，如果没有授权不能修改数据的属性，被称为“integrity”。无线信道容易受到干扰，数据完整性应该受到适当保护。完整性需求应该确保通过无线信道传播之后，消息没有被改变。通过轻量hash函数或者数字签名，能够实现数据完整性。

3.3 可用性

可用性描述当需要信息时信息必须是可用的信息系统的属性[4]。换句话说，可用性意思是存储和处理信息所用的计算系统，保护它所用的安全控制，传送它所用的通信信道必须是运行正确的。高可用性系统以始终保持可用为目标，防止服务破坏，由于断电、硬件失败、系统更新、或信道中断。保证可用性可防止拒绝服务攻击。

3.4 私密性

私密性描述防止非授权访问和公开个人相关信息的状态。换句话说，私密性可以认为是个人信息的机密性。在传统的信息安全系统中，私密性被看做是机密性的一部分。随着Internet和各种个人相关信息的应用，隐私问题已经得到了学术界和工业界越来越多的关注。因此，强调将私密性从机密性中分离的隐私保护。

按照信息内容，隐私被分为以下4种类别：身份隐私[5]、数据隐私[6]、位置隐私[7]、行为隐私[8]。身份隐私是一种个人信息的保护，或者来自第三方和可能来自通信活动中的其他当事人的个人可辨认信息（PII:personally identifiable information）[9]。换句话说，身份隐私可以被看做个人信息或者个人可识别信息的机密性，这直接关系到或者间接可推断出一个个体的身份。根据文献[10]，身份隐私可被分为5种级别：使用假名（pseudo-nymity）、 不可连接性 （unlinkability） 、 匿名性（anonymity）、不可观察性 （unobservability）和不可探测性（undetectability）。

数据隐私，即内容隐私，是隐私需求中的一个特殊种类，非常类似于数据的机密性[11]。机密性通常要求消息内容只对第三方保守秘密而不是对发送者和接收者保守秘密。数据隐私通过呈现对消息内容的一个额外的需求将与机密性区别开来，消息内容的细节对于接收者也保持机密，而不仅是对第三方当事人保持机密。传统的简单加密方法，无论是对称密钥加密还是公钥加密，对于实现数据隐私是不同的。当前，数据隐私是一个关于隐私的重要的研究课题。

位置隐私可被定义为个人位置信息的机密性[12]。由于位置信息的特殊性，位置隐私是另一种特殊隐私需求。位置信息可以通过多种手段（直接定位、计算、偷听）获得。因此，为数据机密性设计的传统方法不能保护个人位置隐私。就当事人而言，位置信息被分为两种类型：源（发送者）位置隐私或者sink（接收者）位置隐私。

行为隐私，是关于个人行为信息的隐私保护，比如什么时候、什么地点、谁做了什么动作。行为隐私通常在前3种类型隐私的庇护之下，很少有人关注。然而，违反行为隐私导致违反其他类型隐私比如身份隐私或者位置隐私。行为隐私对于隐私的相关应用或者现实世界中的商业非常重要。例如，如果两个公司之间的通信行为突然增加，2个公司正在协商一个重要的协作或者合同。一般地，可能由于上述提到的原因，行为隐私也得到了学术界和工业界越来越多的关注。

上述4种类型的隐私不是彼此独立的，而是他们通常彼此相互关联。例如，违反行为隐私可能揭露了身份隐私，违反结合现场观察的行为隐私也可能暴露身份隐私。在这个意义上，隐私保护是一个非常具有挑战性的问题，并需要从许多方面综合考虑。

4 与MWNs信息安全相关的研究问题

当今，一个普通用户有非常强大的访问Internet的能力。分布式计算服务比如网格计算规定一个用户具有巨大的计算能力，搜索引擎，比如google和baidu，规定普通用户具有访问庞大数据库和文件的能力。单个攻击者也能利用这些服务将他自己转配成一个强大的、智能的对手，抵抗这些对手变得越来越困难。

文中给出几种MWNs中信息安全的研究挑战。这些挑战比如流量分析和内部敌手已经在传统有线网络中被鉴定，但是它们可能对MWNs中的新行为展现新的威胁。最近发现在MWNs中，另一些挑战比如DoS可能导致流量爆炸。

4.1 阻碍流量分析攻击

流量分析攻击已经在传统有线网络中被鉴定，但是他们对新兴MWNs呈现出更严重的威胁。传统有线网络中的窃听不如无线网络中的窃听容易，为了攻击需要装备特殊硬件。窃听的容易性引起更多的流量分析攻击，对无线网络，特别是MWNs呈现更严重的威胁。

流量分析攻击有许多形式，比如流跟踪、速率监听等，流跟踪是与MWNs相关的关键攻击之一。流跟踪有2种类型：前向跟踪和后向跟踪，分别被用于泄露sink隐私和源隐私。根据先进技术比如时间相关性、大小相关性，或者消息内容相关性可以执行流跟踪。例如，在时间相关性中攻击者观察输入和输出分组的时间顺序，试图将他们联系在一起以推断出转发路径。这些先进的流跟踪技术对于防止MWNs中流量分析攻击呈现巨大的挑战。

4.2 阻挠内部敌手

由于无线网络的传送范围小、节点密度高、产品成本低等特征，MWNs的中间网络容易受到节点妥协攻击。如果泄露中间节点，攻击者停留在节点内部，变成内部敌手。内部敌手可以获得存储在节点中的秘密密钥，并取得节点的全部控制权。由于秘密密钥已经泄露，链路-链路加密不能保护用户的隐私；由于密文与推断转发路径相互关联，端-端加密不能防止敌手跟踪源或sink节点。传统机密方法不能保护用户的隐私，保证MWNs的安全性必须要有新的方案。因此，MWNs中阻止内部敌手而保护用户隐私具有严峻的挑战性。

4.3 预防流量爆炸

正如[10]中给出，通常使用伪消息以实现事件源的不可观察性，这是非常具有吸引力和令人满意的隐私目标。然而，伪消息可能导致一个严重的问题，流量爆炸，能大大降低网络系统的性能。由于流量爆炸，DoS可能违背网络系统的可用性，因此，流量爆炸不仅是性能问题，同时也是信息安全问题。预防流量爆炸并同时实现源的不可观察性是一个非常具有挑战性的问题。

4.4 安全性和性能之间的权衡

MWNs将必定延伸radio覆盖范围，同时吸引更多的用户。为了支持更多的用户，各种网络资源，比如计算能力和传送带宽，可能变成性能的瓶颈。为了性能需求的考虑使得研究者和设计者必然面对安全性和性能之间的权衡。在一些情况下，为了满足安全需求，必须牺牲性能；在其它情况下，稍微放松严格的安全需求以换得性能方面的巨大改进。这就要求设计原理是在满足预定义的安全需求之后，最大化性能。即使使用这个设计原理，在复杂的实际环境中，进行安全性和性能之间的权衡仍然具有挑战性。

5 结 论

随着无线网络技术的逐步成熟与应用，由于多跳无线网络的固有特性，网络安全仍然是一个复杂而长期的研究领域。由于无线网络信道的开放特性，MWNs容易受到窃听、数据篡改、节点妥协、流量分析等攻击。为了进一步研究MWNs中的信息安全问题，本文总结了MWNs的安全威胁以及信息安全需求，给出4个与MWNs信息安全相关的研究问题：阻止流量分析攻击、阻挠内部敌手、预防流量爆炸、和安全性与性能之间的权衡。现有的应用与有线网络上的安全机制不适合MWNs，需要重新设计并实现适合MWNs的安全机制。

[1]Curtmola R，Nita-Rotaru C.BSMR:byzantine-resilient secure multicast routing in multihop wireless networks[J].IEEE Transactions on Mobile Computing，2009，8（4）:445-459.

[2]Kao J C，Marculescu R.Minimizing eavesdropping risk by transmission power control in multihop wireless networks[J].IEEE Transactions on Computers，2007，56（8）:1009-1023.

[3]Bashar S，Ding Z.Optimum routing protection against cumulative eavesdropping in multihop wireless networks[C].Boston，USA:Proceedingof IEEEMilitary Communication Conference，2009:1-7.

[4]Fussell R S.Protecting information security Availability via Self-adapting Intelligent Agents[C].Atlantic，NJ，USA:Procee-dingof IEEEMilitary Communication Conference，2005:2977-2982.

[5]Islam S，Hamid A，Hong CS，et al.Preserving identity privacy in wireless mesh networks[C]//In Proc.of the International Conference on Information Networking 2008 （ICOIN'08）.2008:1-5.

[6]Singh M，Saxena A.Secure computation for data privacy[C].Nice， France:Proc.SECCOM'07，2007:58-62.

[7]Decker M.Location Privacy-An Overview[C].Proc.ICMB'08.Barcelona，Spain:IEEE CSpress，2008:221-230.

[8]Wang J，Zhao Y，Jiang S，et al.Providing privacy preserving in cloud computing[C].Changsha，China:Proc.ICTM'09，2009:213-216.

[9]Wei Y，He Y，Hao L.An Identity Privacy Enhanced Trust Model in Fully Distributed Virtual Computing Environments[C].Proc.NSWCTC'09.NY:IEEE CSpress，2009:704-708.

[10]Pfitzmann A，Hansen M.Anonymity，Unlinkability， Undetectability，Unobservability，Pseudonymity，and Identity Management-A Consolidated Proposal for Terminology[M].German:Press of Technische University Dresden，2008.

[11]Weaver A C.Achieving data privacy and security using Web services[C].Hongkong， China:Proc.ICIT'05，2005:2-5.

[12]Maglogiannis I，Kazatzopoulos L，Delakouridis K，et al.Enabling location privacy and medical data encryption in patient telemonitoring systems[J].IEEE Transactions on Information Technology in Biomedicine，2009，13（6）:946-954.