部署统一通信：无线网络融合的安全技术研究

    首先确定这些网络的安全重点。以蜂窝网为主干AdHoc为辅助的网络融合方案的安全重点是如何让合法的蜂窝网用户安全地接入到AdHoc网络，以及在接入AdHoc网络后如何在Ad Hoc网络内保证其通信安全。而以蜂窝网管理Ad Hoc网络的融合方案的安全重点是如何在Ad Hoc内部实现安全，以及蜂窝网管理Ad Hoc网络时如何安全地传输控制信息。另外，在蜂窝网中引入Ad Hoc工作方式则更需要对每个用户的身份信息进行更加严格的认证。安全重点可以归结为两大类：信令及信息的安全传输和对用户身份进行可靠的认证。我们认为只要解决了这两类关键问题，系统进行合适的配置就可以基本上保证用户信息的安全性。在这两类安全重点中，信令及信息的安全问题主要来源于Ad Hoc网络的开放性结构，因此工作重点将放在保证Ad Hoc网络的安全性上。

    Tseng等提出的使用非对称加密技术的基于公钥的协议是防御性安全方案中安全性能较好的一种方案。本文利用这种算法结合文献[10]中提到的加强正确执行方式和多重防护的方法，以及结合文献[11-13]中应用IPSec提供安全保证的方法来总结一套适用于融合网络的保证信令和信息安全的结构。

    2.3安全策略

    (1)安全策略综述

    本文提出的安全策略为：首先，要保证整个网络的安全就是要保证网络协议栈内各层的安全，通过对协议栈每一层的安全弱点的分析并加强相应的安全措施，来保证安全。同时也可以通过层与层之间的联系来实现对整个协议栈的保护。其次，对于未知攻击者的攻击方法是无法预先知道的，因此建立在这种不确定基础上的解决方案同样也是不可靠的。所以，本文认为对协议本身弱点的研究以及加强节点对协议规范的可靠执行是另一种更好的解决攻击的方法。第三，数据在传输中需要被加密以保证用户数据的安全，因此需要可靠的加密算法来对数据进行加密。目前公钥鉴权、私钥加密的方法广泛地应用于各个网络的安全方案中。因此，通过使用公钥算法的密钥进行鉴权并传输私钥加密算法的密钥不但可以提供较为可靠的安全性能，还能在数据量较大、实时性要求较高的通信过程中提供高效的数据加密，以达到用户对通信安全的要求，同时也不会给移动终端带来过高负荷的计算量。但是，对于长时间的数据连接来说，如何更新加密用的私钥以及如何确定更新周期则是另一个值得探讨的问题。

    (2)多重防护体系

    已实际应用的网络安全技术已经比较成熟。对于多种网络融合后的安全，网间鉴权的实现以及能够保证AdHoc这种安全性极差的网络安全运行十分重要。对于各种集中式管理的网络来说任意两个网络间的网间鉴权方式是极为相似的，要推广到多个网络间的交互鉴权也是较为容易的。况且在集中式管理的网络中有专门的路由设施，由于要由唯一的核心网络向用户提供网络服务，在设置鉴权中心及部署鉴权等安全措施时都十分方便。如在接入时进行鉴权或是在需要服务时进行鉴权，安全方案可以部署在处理路由交换设备上，即由专门的设备负责系统的安全。而由于AdHoc网络分布式的网络特性，其安全方案则不能用这样的思路进行。

    多重防护的概念是为了通过强制网络中的用户严格遵守协议规范来加强AdHoc网络的安全性能，同时本文认为这种模型也可以用于保证其他网络的安全。在每一层的每个功能块中包含了保证该功能块的功能正常实现的多个子模块，即将原有的各层功能细化以提高多重防护的可实现性。如网络层安全就是要保证节点转发时完全按照路由表的指示向前传送信息，不做出篡改数据包的下一条地址或在本地复制数据包等恶意行为；链路层安全就是保证正在通信的两个节点间的一跳连接。通过加密等方法来保证每个模块的安全性能需要较长的鉴权认证时间，而对于用户来说，这种时间当然越短越好。因此，本文觉得强化每个模块区分正确和错误操作的能力(或者明确哪些是符合协议规范的操作)可以防止AdHoc网络中的恶意节点入侵，或者说是可以降低恶意节点对网络性能的破坏。

    这就是说，当某一节点的行为与规范不符时，其他节点可以对其身份进行怀疑，并强制其进行身份认证，同时报告可信赖中心。可信赖中心将其可信度参数值降低1，当这个参数降到某个特定值时，该节点将不作为转发候选节点，降到0时则被驱逐出网络。临近节点可以通过对网络上数据包的监听获得关于其邻居节点是否正确执行了协议规范。同时需要注意的是降低某一个节点的信赖度时需要多个节点对该节点的怀疑报告，以避免恶意节点对合法节点的陷害。另外，要充分利用AdHoc的自组织特性来构建网络，要求任意节点能够随时便利地接入网络，而这要求网络对节点的充分信任。本文提出的另一种方式则是假设每个移动节点第一次接入网络时都被当作为网络的可信赖节点，但信任等级较低，在选路的时候拥有较低的优先级。除一些特定情况外，均只将这些节点作为末端节点。每次有效地执行协议将为节点增加相应的信赖值，而一次或有限次误操作将会大幅降低信赖值。用这种方法来实现对恶意节点的容忍，并尽量降低恶意节点对网络的破坏。

    对于不同网络间的鉴权可以由网络运营商事先签订漫游协议，以保证不同运营商的合法用户可以在各种网络间漫游并获得服务。在进入网络和需要取得服务前，用户用归属网络鉴权中心发放的证书向访问网络的鉴权中心发出请求，并通过归属网络的鉴权中心向访问网络的鉴权中心交互认证，确定该用户的合法性。当用户需要服务时用其私钥对请求进行签名以保证服务的不可抵赖性。具体的过程可以参见文献[14]中的基于公钥的协议。

    (3)数据加密技术

    数据加密仅是安全协议中使用的工具，目前公钥算法能够提供较好的安全性，所以本文使用公钥加密算法来提高鉴权的可靠性以及服务不可抵赖性。但若是在通信过程中仍使用公钥加密算法，无疑加大了移动终端的计算量，这对于移动终端有限的计算能力来说是个严峻的考验。所以考虑到目前移动终端的计算能力，本文建议在鉴权时或通信开始时利用公钥算法内的参数来携带私钥或产生私钥的种子，这样在保证信息安全性的基础上也提高了加密的效率。

    3关键安全技术

    3.1安全方案

    现阶段也有人对网络融合提出相应的安全方案。如Ala-Laurila等[15]提出了通过GSM/GPRS和WLAN融合来支持移动用户的结构。然而，这个结构并没有考虑使用双接口(GSM/GPRS和WLAN)终端。WLAN作为3G的接入网络并直接连接3G网络的主要组成部分(如蜂窝运营中心)。两个网络共享相同的资源，如计费、信令和传输系统等。Luo等[16]将3G和WLAN相融合为企业提供了Internet漫游解决方案。这个解决方案需要在合适的地方安放许多服务器和网关。虚拟专用网(VPN)的结构为企业提供了与3G、公共WLAN和专用WLAN之间的安全连接。

    这些方案都只解决了一部分融合网络的部分安全缺陷，要完全解决整个网络的全部安全缺陷还需要进一步地深入研究。

    3.2加密技术

    加密技术主要分为两大类：私钥加密技术和公钥加密技术。私钥加密的特点是加密和解密使用同样的或本质上相同的密钥对信息进行处理。这样就牵涉到密钥的传输和储存的问题，从而很难应用于开放式的网络结构中。而公钥加密技术牵涉到比较复杂的计算，但因为不涉及密钥的传输，相对地能够提供较好的安全性能。同时公钥加密算法还能够提供数字签名。因而，公钥算法可以给现代通信中的鉴权计费提供安全保证。

    目前蜂窝网络中使用的加密方法都属于传统加密方法，即私钥加密技术。在信息交互过程中无论发送者还是接收者都使用相同密钥来进行数据加密、用户鉴权、验证数据完整性和数字签名。

    3.3密钥分配机制

    本文希望利用公钥加密技术及IPSec、IKE的工作原理对用户的信息进行加密并对这些过程中使用的密钥进行分配。在接入、认证过程中使用公钥加密技术无疑可以提供更高等级的安全性能，至于密钥的安全分发还是需要进一步探讨。对于有中央控制的网络来说，网络都有一个鉴权中心(AC)，用户在接入网络之前需要向AC提出申请。由AC发放一个只有AC和用户知道的私钥，其对应的公钥则由AC向网络内的其他用户公布。而对于分布式的AdHoc网络来说，如果增加一个被所有节点信任的AC，则无法充分利用AdHoc的自组织特性，而自组织特性是提出AdHoc网络的主要目的。因此，如何在Ad Hoc网络中引入公钥加密算法是未来的重要研究课题。

    至于在数据传输过程中的加密则应该尽可能地缩短数据加/解密时间，以支持实时业务并减轻移动终端的负担。在这方面，目前的加密技术中私钥加密技术能够提供比较好的性能。至于用于数据加密的私钥的传输则是另外一个需要考虑的问题。对于有中央控制的网络，私钥可以在鉴权时或是用公钥加密后传输，以确保私钥的安全性。目前主要的困难在于AdHoc网络中的私钥分发或传输。

    至于路由的安全性，本文希望能够使用公钥加密技术(即基于证书的鉴权)来实现。在无需事先分配共享密钥接入网络时，基于证书的鉴权为通信团体验证实体提供了一种有力的手段。它需要使用证书产生数字签名，可以支持更复杂的业务模型。应用基于公钥的鉴权协议时，除了要进行与协议直接相关的计算外，校验者必须确认与之通信的实体的公钥证书[17]。若在AdHoc网络中使用基于证书的认证，则认证者不但要认证单个证书的正确(如证书签名和合法时间的确认)和是否撤回，而且还要认证一条证书链路上所有的证书[18]。对于路径的鉴权可以参见文献[19]中的方案。

    应用IPSec是用通道模式保证多跳时的信息安全。由于传送模式较为方便，可以在AdHoc节点内存储其一跳的邻居，这样在一跳邻居间传输信息时可以用开销较小的传送模式进行工作。

    4结束语

    本文针对多种网络融合的下一代网络提出了一个安全框架，即使用公钥加密算法鉴权，私钥对通信数据进行加密来提供基于恢复的多重防护解决方案。这个体系可以为系统提供可靠的安全性以及用户对服务的不可抵赖性。不过目前基于恢复的安全体系还处于研究的起步阶段，还需要明确各层的正确行为，以及出现多个恶意节点对某个合法节点的诬陷时所应采取的行动。