無線Mesh網(wǎng)絡(luò)的密鑰管理及入侵檢測技術(shù)研究.pdf

1、無線Mesh網(wǎng)絡(luò)是一種與傳統(tǒng)無線網(wǎng)絡(luò)完全不同的新型無線網(wǎng)絡(luò)技術(shù)，它依靠無線鏈路多跳傳輸數(shù)據(jù)，減輕了對有線網(wǎng)絡(luò)的依賴，更以它頻譜效率高、覆蓋范圍大、可擴(kuò)展性和可靠性強(qiáng)等優(yōu)勢克服了Ad Hoc網(wǎng)、無線局域網(wǎng)、無線個人區(qū)域網(wǎng)、無線城域網(wǎng)的一些限制，因此無線Mesh網(wǎng)絡(luò)被越來越多的無論是學(xué)術(shù)界還是商業(yè)界的人士所關(guān)注，特別是無線Mesh網(wǎng)絡(luò)的安全問題。 無線Mesh網(wǎng)絡(luò)是一種民用的Ad Hoc網(wǎng)絡(luò)，因此它的安全與Ad Hoc網(wǎng)絡(luò)的安全有點(diǎn)

2、類似，但因Ad Hoc網(wǎng)絡(luò)的密鑰管理與入侵檢測方案到目前為止還有很多不足點(diǎn)，不適合無線Mesh網(wǎng)絡(luò)；無線Mesh網(wǎng)絡(luò)的擴(kuò)展性和兼容性等特點(diǎn)使得傳統(tǒng)有線網(wǎng)、無線網(wǎng)及Ad Hoc網(wǎng)絡(luò)的密鑰管理與入侵檢測方案也不適合無線Mesh網(wǎng)絡(luò)；另外，現(xiàn)有的無線Mesh網(wǎng)絡(luò)密鑰管理與入侵檢測問題的研究處于起步階段，因此研究一套有效的無線Mesh網(wǎng)絡(luò)密鑰管理和入侵檢測方案成為無線Mesh網(wǎng)絡(luò)廣泛應(yīng)用迫切要解決的問題。 本論文主要分析了國內(nèi)外無線Me

3、sh網(wǎng)絡(luò)的密鑰管理和入侵檢測的研究現(xiàn)狀；然后結(jié)合無線Mesh網(wǎng)絡(luò)中無線Mesh路由器移動性弱，移動終端可靜止也可移動的通信特點(diǎn)，設(shè)計出一個具有擴(kuò)展性的基于區(qū)域的無線Mesh網(wǎng)絡(luò)拓?fù)淠Ｐ?，并在此模型基礎(chǔ)上利用主動檢測、虛擬CA(Certificate Authority)、離線CA、投票機(jī)制、門限體制及基于身份加密等技術(shù)，設(shè)計出一套密鑰管理方案與入侵檢測管理方案相結(jié)合的無線Mesh網(wǎng)絡(luò)安全機(jī)制，并通過定性和模擬實(shí)驗(yàn)對密鑰管理方案和入侵檢測

4、方案的性能進(jìn)行了分析。 在密鑰管理方案中，離線CA對系統(tǒng)公私鑰對及用戶的公私鑰對和公鑰證書進(jìn)行初始化；虛擬CA對系統(tǒng)成員進(jìn)行授權(quán)證書和基于身份私鑰的頒發(fā)；每個區(qū)域的密鑰管理都是一個單獨(dú)的自治系統(tǒng)；在入侵檢測方案檢測到攻擊時，密鑰管理方案將撤銷攻擊節(jié)點(diǎn)的授權(quán)證書和授權(quán)密鑰，并對系統(tǒng)或其它用戶的密鑰進(jìn)行相應(yīng)的更新。密鑰管理方案主要包括主密鑰共享機(jī)制、授權(quán)證書頒發(fā)機(jī)制、基于身份私鑰獲取機(jī)制、授權(quán)密鑰協(xié)商機(jī)制及認(rèn)證機(jī)制。 在入侵

5、檢測方案中，利用基于異常行為檢測和模式匹配的入侵檢測算法來識別各種攻擊方式，當(dāng)檢測出有攻擊時，入侵檢測方案將對異常節(jié)點(diǎn)進(jìn)行隔離，并將檢測結(jié)果安全地傳遞給密鑰管理方案，密鑰管理方案負(fù)責(zé)密鑰的更新；提出了無線Mesh網(wǎng)絡(luò)的入侵檢測體系架構(gòu)及檢測流程，并以無線Mesh網(wǎng)絡(luò)常見的拒絕服務(wù)攻擊和蟲洞攻擊為例，來闡述如何發(fā)現(xiàn)攻擊節(jié)點(diǎn)、如何隔離攻擊節(jié)點(diǎn)以及如何進(jìn)行相應(yīng)的密鑰更新。對于拒絕服務(wù)攻擊，主要對無線Mesh網(wǎng)絡(luò)中沿用Ad Hoc網(wǎng)的AODV(

6、Ad Hoc On-demand Distance Vector Routing)路由協(xié)議進(jìn)行了安全分析，提出了拒絕服務(wù)攻擊模型及拒絕服務(wù)攻擊檢測算法；對于蟲洞攻擊，主要對微軟的支持多射頻鏈路的無線Mesh網(wǎng)絡(luò)路由協(xié)議進(jìn)行了安全分析，提出利用隱藏身份和利用高帶寬發(fā)起蟲洞攻擊的兩種蟲洞攻擊模型，并針對這兩種蟲洞攻擊模型提出了基于端到端和監(jiān)視節(jié)點(diǎn)的檢測算法。 本論文的主要創(chuàng)新成果如下： 1) 采用基于區(qū)域的拓?fù)浣Y(jié)構(gòu)，可以處

7、理任何規(guī)模的無線Mesh網(wǎng)絡(luò)和集成不同特性的子網(wǎng)，如Ad Hoc網(wǎng)絡(luò)和傳感器網(wǎng)絡(luò)； 2) 在密鑰管理方案中，使用離線CA的集中式管理和采用虛擬CA的分布式管理，可以增加系統(tǒng)的安全性、可信性和可靠性； 3) 每個區(qū)域網(wǎng)絡(luò)都是一個單獨(dú)的自治系統(tǒng)，當(dāng)某個終端用戶加入、離開某個區(qū)域網(wǎng)絡(luò)或被檢測為攻擊者時，入侵檢測方案和密鑰管理方案相結(jié)合來更新密鑰；用戶可使用同一張授權(quán)證書和相應(yīng)的授權(quán)密鑰就可自由地加入不同的區(qū)域網(wǎng)。這些特征保

8、證了系統(tǒng)信息的前向/后向安全，簡化了系統(tǒng)的密鑰管理； 4)基于可信的理念，即：在終端控制網(wǎng)絡(luò)的入侵，而不是在網(wǎng)絡(luò)層上控制網(wǎng)絡(luò)的入侵，在入侵檢測方案中采用基于端到端的檢測算法使得蟲洞攻擊還未發(fā)起，就被遏制了；在拒絕服務(wù)攻擊檢測中采用檢測終端的緩存占用率來檢測拒絕服務(wù)攻擊，提高了檢測率；采用基于端到端的認(rèn)證方法使得無線Mesh網(wǎng)絡(luò)的認(rèn)證成功率和認(rèn)證延遲都比無線Mesh網(wǎng)絡(luò)標(biāo)準(zhǔn)草案802．11s的認(rèn)證性能要好： 5)通過模擬實(shí)