無線Mesh 網絡安全體系設計*

胡伏湘

（長沙民政學院，湖南 長沙 410004）

無線Mesh 網絡（Wireless Mesh Network-WMN）是一種多跳、具有自組織和自愈合等特點的新型寬帶無線網絡，是一種高容量、高速率的分布式網絡，不同于傳統(tǒng)的無線網絡，它既吸收了無線局域網的特點，又融合了移動Ad Hoc 網絡多跳的優(yōu)勢，是解決最后一公里無線寬帶接入瓶頸問題的理解方案。無線Mesh 網絡基于IP 協(xié)議，任何無線設備節(jié)點接入網絡后，既能發(fā)送和接收信號，又具備路由轉發(fā)功能，充當路由器，能與一個或多個對等節(jié)點進行直接通信，其最大好處在于：如果鄰近的AP 由于流量過大而導致?lián)砣脑挘瑪祿梢宰詣又匦侣酚傻揭粋€通信流量較小的相鄰節(jié)點進行傳輸，直到到達最終目的地為止，即多跳（multi-hop）訪問。

一、無線Mesh 網絡的體系結構

WMN 的體系結構由無線骨干網和無線移動接入部分組成，前者的位置相對固定，由無線Mesh 路由器組成，提供無線回程功能，具有較少的移動性，無線移動接入部分由用戶節(jié)點連接接入點AP 和無線用戶終端節(jié)點組成。近端用戶節(jié)點可以直接關聯(lián)接入點，而距離骨干網節(jié)點較遠的用戶，可以通過其它用戶中繼后進入WMN，用戶節(jié)點之間的互聯(lián)具有自組織、自配置的特性。如圖1 所示：

無線Mesh 網絡通常包括三類節(jié)點：客戶端（移動終端）節(jié)點、路由節(jié)點和網關節(jié)點，它是一個可靠、冗余的無線網絡。當一個節(jié)點發(fā)生故障，其它節(jié)點還是可以通過一個或者多個中間節(jié)點互相連接后通訊，節(jié)點的接入和撤出都容易實現。

二、無線Mesh 網絡的安全威脅

無線Mesh 網絡是WLAN（無線局域網）和Ad Hoc（自組織）網絡技術的結合，其體系結構決定了它固有的脆弱性和漏洞。

（一）通信鏈路的開放性

圖1 無線Mesh 網絡體系結構

WMN 節(jié)點之間的通信是建立在互相信任和協(xié)作的基礎上，相鄰節(jié)點的路由轉發(fā)都是真實信息，事實上這種機制給竊聽者提供了方便之門，在無線鏈路上增加節(jié)點無須認證和身份識別，因此易于受到主動攻擊和被動攻擊，也會導致信息失真，主動攻擊會泄露機密，被動攻擊使通信內容的可用性、完整性、不可否認性失效，一個偽造的節(jié)點可能導致網絡通信過程的混亂。

（二）網絡攻擊

缺少物理層的保護導致網絡不但容易遭受外部攻擊，而且容易受到來自內部的攻擊，WMN 沒有控制中心，所有骨干節(jié)點和終端節(jié)點的地位平等，所以無法使用有線網絡和無線網絡中的CA 認證等控制中心進行安全管理，相應的保障措施與安全協(xié)議不能直接應用于無線Mesh 網絡，而網絡拓撲結構的動態(tài)性導致節(jié)點間的信任度不穩(wěn)定，安全認證難度增加。外部攻擊利用共享無線介質偽裝成合法節(jié)點、攔截路由信息、插入偽造的路由信息造成節(jié)點無法通信，內部攻擊則通過控制合法節(jié)點生成錯誤的路由信息進行攻擊。

（三）路由攻擊

WMN 的拓撲結構和節(jié)點位置的動態(tài)變化，攻擊者主要針對路由信息和路由發(fā)現過程，對合法節(jié)點的路由表進行攻擊，主要表現為五種形式：1.篡改路由表：惡意節(jié)點發(fā)送偽造的路由信息，或者篡改其他節(jié)點的有效信息，導致節(jié)點在選擇路由時采用非優(yōu)化路徑甚至出現路由環(huán)，影響節(jié)點的正常通信或者信息泄露。2.黑洞攻擊（blackhole）：惡意節(jié)點向接收到的路由請求包中加入虛假可用路由信息，欺騙其他節(jié)點同自己建立路由連接，竊取數據包并丟棄待轉發(fā)的部分數據包。3.蟲洞攻擊（wormhole）：通常是由兩個及以上處于較遠位置的惡意節(jié)點合作完成，一個惡意節(jié)點運用用隧道方式將報文傳給另一個惡意節(jié)點，造成兩個節(jié)點間不超過兩跳的假象，誘使其它節(jié)點通過此路由傳送數據包，擾亂正常通信秩序。4.泛洪攻擊（flooding）。惡意節(jié)點不斷向合法節(jié)點發(fā)送通向無效節(jié)點的路由請求，通過網絡泛洪消耗占用節(jié)點有限的路由表存儲空間和處理時間，消耗系統(tǒng)資源，使合法節(jié)點無法及時接收和處理其它節(jié)點的連接請求，從而降低節(jié)點的處理能力乃至拒絕服務（DoS）。5.女巫攻擊（Sybil）：一個節(jié)點通過將一個物理設備偽裝成多個節(jié)點身份，獲取多個節(jié)點的網絡資源，影響路由協(xié)議的運行，導致資源分配的混亂。

三、無線Mesh 網絡安全體系設計

在設計無線Mesh 網絡的安全機制時，首先需要提供合法用戶與非法用戶的檢測方法，將外部攻擊阻止在骨干網以外；同時不能給網絡增加過多的負擔，盡量減少對帶寬資源和處理速度的占用；還要有較好的容錯性和擴充性，當自身遭受攻擊時，能夠自我修復，快速響應拓撲結構的變化。

（一）基本安全框架設計

根據無線Mesh 網絡存在的主要安全隱患，設計出由身份認證服務器、防火墻（FW）、入侵檢測系統(tǒng)、故障診斷與自修復四個部分組成的安全防制體系，如圖2 所示。

圖2 無線Mesh 網絡安全框架

防火墻通過包過濾等手段隔離外部網絡與內部網絡，阻止來自Internet 的攻擊，身份認證服務用于識別合法用戶并分配權限，阻止非法用戶進入，入侵檢測系統(tǒng)IDS 通過分析通信流，檢測出已經成功穿過網絡邊界的攻擊者的惡意行為，防止破壞性信息的擴散。

（二）通過身份認證阻止外部攻擊

身份認證以建立在內部網絡與外部網絡（主要是Internet）之間的一道關卡，所有由外部網絡進入WMN 的用戶必須經過身份認證服務器的識別，采用網絡身份證和動態(tài)口令相結合的方法。訪問網絡資源的用戶，向認證服務器發(fā)出請求，認證服務器記錄其IP 地址和機器名等相關信息，然后創(chuàng)建一個唯一的網絡身份證分發(fā)給用戶，并設置類型和操作權限，在用戶登錄時，隨機產生一個動態(tài)口令，要求在較短的時間范圍內輸入口令，超時作廢，反復發(fā)送請求或者多次輸入無效者將被視為非法用戶，處理方式是凍結此賬戶。

（三）運用加密技術防御竊聽攻擊

無線介質的開放性，更加容易受到入侵者的監(jiān)聽，入侵者通過安置木馬等方式向網絡發(fā)送大量的虛假數據包，回收其它節(jié)點的響應包，從而對這些包進行分析以獲取合法用戶的通信內容和敏感信息。針對這一類型的攻擊，可以在骨干網的節(jié)點上采用加密技術來防御。通過對無線信道傳輸的數據進行加密處理，保證節(jié)點的認證過程和傳送的路由信息都得到加密算法的支持，即使通信雙方的數據被截獲，也難以破解其真實內容，保證了通信過程的安全性。

（四）運用入侵檢測系統(tǒng)防御路由攻擊

入侵檢測系統(tǒng)（IDS）是依照一定的安全策略，通過軟硬件和網絡系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡資源的機密性、完整性和可用性，基于主機的IDS 以操作系統(tǒng)記錄、應用程序日志以及加載的內核模塊作為審計日志進行入侵檢測，基于網絡的IDS以捕獲的數據包作為審計日志進行入侵檢測。

入侵檢測過程的設計方法是：首先，將合法用戶的正常行為特征保存在IDS 服務器數據庫中，利用IDS 的信息收集模塊捕獲泛洪等方式發(fā)出的異常數據，運用入侵檢測分析算法將異常信息和行為特征文件進行比較，任何超過基線的行為將被視為入侵，激活響應機制，屏蔽信息源節(jié)點。其次，建立并逐步完善入侵模型庫，將收集到的異常代碼與入侵模型逐一對比，當相似度達到一定的閾值時即可認定為入侵。第三，在網絡中安裝適當數量的匯聚點，實時監(jiān)控網絡流量，如果某一節(jié)點頻繁發(fā)出無效數據包，則啟動預警程序，進入警戒狀態(tài)，對可疑節(jié)點全方面監(jiān)聽與處理。其入侵檢測算法如下：

四、結語

針對無線Mesh 網絡體系結構的特點，分析了它存在的安全威脅，以此為基礎設計了這種網絡的安全框架并探討了相關算法。但由于無線網絡鏈路的開放性和拓撲結構的不穩(wěn)定性，決定了其安全技術涉及到硬件、軟件和接入管理的各個方面，在安全路由算法、入侵檢測模型的設計和鏈路加密等領域并未做過多的研究，這也是下一步要研究的內容。

[1]李宏建,徐明,李洋.無線Mesh 網絡入侵檢測關鍵技術研究[J].計算機工程與科學.2009，(31).

[2]劉振華.無線Mesh 網絡安全機制研究[D].中國科學技術大學,2011.

[3]李宏建.無線Mesh 網絡安全關鍵技術研究[D].國防科學技術大學,2011.

[4]郭淵博,楊奎武,張暢.無線局域網安全設計與實現[M].北京:國防工業(yè)出版社,2010.

[5]Debdutta Barman Roy, Rituparna Chaki, Nabendu Chaki: A New Cluster-based Wormhole Intrusion detection algorithm for Mobile Ad -Hoc Networks [M].CoRR abs/1004:0587,2010.

[6]隋雷,姜文博,楊奎武等.無線Mesh 網絡安全攻擊及防御[J].互聯(lián)網天地.2013，(2).

[7]王翔宇,易平,杜尚鑫.無線Mesh 網絡路由攻擊及防范[J].計算 機應用.2011,(6).

[8]劉 源,阮 清 強,何 遠.無 線Mesh 網 絡 安 全 研 究[J].學 術 研究,2010,(3).

[9]于文乾.無線網絡安全關鍵技術研究與分析[D].山東大學,2006.

[10]余海,曹蕾.基于WiFi 的無線網狀（Mesh）組網技術[J].現 代 電 子 技 術.2011，(5).