方向性天線減少了分組傳輸覆蓋范圍，從而使得竊聽更加困難并減少分組傳輸干擾和沖突。

　　3. 3  密鑰管理

　　信息的機密性和身份離不開有效的密鑰管理機制。密鑰管理包括密鑰的創(chuàng)建、存儲、分發(fā)和使用。在無線自組網(wǎng)中沒有集中存放密鑰的場所，必須由節(jié)點分布存儲相關(guān)的密鑰。密鑰分發(fā)必須確保產(chǎn)生的密鑰被安全分發(fā)到合法通信用戶。對于對稱密鑰，所有參與方必須安全接收到密鑰，在公鑰體系中，必須保證私鑰被安全交付給授權(quán)方。

　　在無線自組網(wǎng)中，需要一種與情景相關(guān)的高效的密鑰管理機制。節(jié)點可以通過協(xié)商使用共享密鑰或交換公鑰來加密數(shù)據(jù)，并可采用一密的加密方法來增強安全性。對拓?fù)渥兓^慢的小型無線自組網(wǎng)，密鑰可以手工配置； 而對于快速變化的無線自組網(wǎng)，密鑰的交換通常按需自動進行。實際上，資源受限的無線自組網(wǎng)難以實現(xiàn)密鑰管理任務(wù)。私有密鑰機制的計算量較小，但在網(wǎng)絡(luò)規(guī)模較大時所需管理的密鑰數(shù)目過多并且功能不夠強大。公開密鑰方案管理較簡單，但對能量和計算能力受限的節(jié)點而言開銷較大，并需要證書機構(gòu)的支持。

　　考慮到很多場合下無線自組網(wǎng)中的節(jié)點是協(xié)同工作的，一種解決密鑰管理的方法是用團體用戶來代替證書權(quán)威機構(gòu)，密鑰管理服務(wù)由一組節(jié)點協(xié)作來完成。這種方法認(rèn)為： 無線自組網(wǎng)中不存在可信任的中心節(jié)點，但是，一定數(shù)量的節(jié)點構(gòu)成的節(jié)點組是可信任的，并且一定時間內(nèi)不可信的節(jié)點數(shù)量遠小于可信任的節(jié)點數(shù)量。與此類似，基于PGP（ Pret ty GoodPrivacy） 的密鑰管理方案中，每個節(jié)點基于PGP 來創(chuàng)建它自己的公鑰和私鑰，并且節(jié)點自組織地存儲、分發(fā)和管理證書。公鑰證書的發(fā)布基于節(jié)點之間現(xiàn)有的信任關(guān)系，并且定期在可信的節(jié)點之間發(fā)放和更新證書以防止多個攻擊者發(fā)起的合謀攻擊。此外，可以將無線自組網(wǎng)中的共享密鑰進行分割，然后將分割后的密鑰片斷分發(fā)給網(wǎng)絡(luò)的節(jié)點。為了通信，節(jié)點必須協(xié)作收集一定數(shù)量的密鑰片斷才可以重建密鑰。

　　這種共享密鑰管理方法使得單個節(jié)點喪失安全性不會危及整個網(wǎng)絡(luò)的安全。

　　3. 4  和訪問控制

　　基于CA 進行的方法在傳統(tǒng)有基礎(chǔ)設(shè)施支持的網(wǎng)絡(luò)中能夠很好的工作，但不適用于無中心的無線自組網(wǎng)，需要采用新型的數(shù)據(jù)機制。對于無線自組網(wǎng)而言，選用的機制在很大程度上依賴于具體的應(yīng)用場合。舉例來說，在基于無線自組網(wǎng)構(gòu)建的臨時網(wǎng)絡(luò)會議應(yīng)用環(huán)境中，場地有限并且網(wǎng)絡(luò)成員通常是彼此信任的，會議期間他們可以通過便攜式移動終端進行信息交流和溝通。但是，在這種網(wǎng)絡(luò)環(huán)境中，合法用戶的信息傳輸會遭到竊聽、信息偽造和身份冒充等安全威脅。一種安全解決方案是采用基于口令的協(xié)議（ PBA ） , 要求所有的合法用戶都參與通信密鑰的生成，以此保證密鑰是由大多數(shù)合法用戶產(chǎn)生的，并且攻擊者難以阻止密鑰的生成。對于無線傳感網(wǎng)絡(luò)而言，傳感設(shè)備由于缺乏足夠保護而容易被攻擊者俘獲，進而偽造控制信息并破壞網(wǎng)絡(luò)正常的通信。針對這一問題，受生物界鴨子孵化現(xiàn)象的啟發(fā)，提出了一種稱為！ 復(fù)活鴨子？的安全模式： 傳感器僅把個給它發(fā)送密鑰的實體作為它可信任的實體，并且只接受該實體的控制，但仍允許和與其他節(jié)點通信，從而在一定程度上實現(xiàn)傳感器之間的安全。

　　訪問控制是指控制主體（ 網(wǎng)絡(luò)用戶或系統(tǒng)進程）訪問客體（ 如網(wǎng)絡(luò)和數(shù)據(jù)） 的方式。訪問控制一般分為2 種方式： 任意訪問控制（ DAC） 允許基于主體的身份來限制對客體的訪問； 強制訪問控制（ MAC）使用正式的策略來控制對客體的訪問。另外，基于角色的訪問控制（ RBAC） 在主體和客體中應(yīng)用角色的概念。主體對客體的訪問依賴于當(dāng)前的角色，主體可以有多個角色，但只有一個角色被激活。

　　RBAC 不僅涉及對系統(tǒng)的訪問控制，還限制對系統(tǒng)功能的訪問，角色規(guī)定了特定用戶對特定對象的操作行為。

　　在無線自組網(wǎng)中同樣存在控制對網(wǎng)絡(luò)信息資源和應(yīng)用服務(wù)進行訪問的需求。在網(wǎng)絡(luò)層，只有授權(quán)的節(jié)點可以登錄、加入和離開網(wǎng)絡(luò)； 在應(yīng)用層，必須保證非授權(quán)用戶不能訪問服務(wù)。訪問控制常與身份識別和相關(guān)聯(lián)，確保合法用戶有權(quán)訪問服務(wù)。在無線自組網(wǎng)中實現(xiàn)一個高效的、可擴展的、靈活的訪問控制機制是非常困難的，應(yīng)根據(jù)不同的網(wǎng)絡(luò)結(jié)構(gòu)和安全級別，采取相應(yīng)的訪問控制策略，例如，在普通安全級別的小型網(wǎng)絡(luò)中，可以采用用戶ID+ 密碼的方式，但對于安全級別較高的網(wǎng)絡(luò)，必須對網(wǎng)絡(luò)資源、用戶成員和應(yīng)用服務(wù)實施強制的訪問控制。

　　3. 5  信任機制

　　在許多無線自組網(wǎng)環(huán)境中，節(jié)點容易受到惡意攻擊甚至被俘獲，因此，有必要通過某種機制在節(jié)點之間建立適當(dāng)?shù)男湃侮P(guān)系。無線自組網(wǎng)的拓?fù)浣Y(jié)構(gòu)和成員處于動態(tài)變化之中，節(jié)點之間的信任關(guān)系也在不斷變化，因此，基于靜態(tài)配置的安全方案在無線自組網(wǎng)中是不可行的。無線自組網(wǎng)中不能保證各個節(jié)點持有被其他節(jié)點信任的公鑰，并且也無法出示可信任的證書。一種在網(wǎng)絡(luò)節(jié)點之間建立信任的機制是允許節(jié)點之間委托信任關(guān)系，已建立信任關(guān)系的節(jié)點組通過向網(wǎng)絡(luò)中其他成員傳遞信任關(guān)系來擴展可信任的群體規(guī)模。

　　此外，還可以采用一種本地組信任模型，如果一個節(jié)點對于一定數(shù)量的可信賴節(jié)點是可信的，那么認(rèn)為該節(jié)點可信任。但是信任關(guān)系具有時間限制（ 不超過證書的過期時間） ?；诖四Ｐ停湃喂?jié)點可以為網(wǎng)絡(luò)中的其他節(jié)點簽署證書并監(jiān)測其他節(jié)點的行為，如果發(fā)現(xiàn)行為不端的節(jié)點則撤銷其證書。再有，Boudriga 等提出了一種構(gòu)建入侵容忍無線自組網(wǎng)的新方案，包含多層信任模型和一種用于資源分配和恢復(fù)的網(wǎng)絡(luò)層機制。多層信任模型假定將網(wǎng)絡(luò)劃分成2 個虛擬集合： 資源域和用戶域。為每種活動類型分配一個的信任級別，基于此信任級別和活動，用戶或應(yīng)用程序按照一種分布式機制分配資源，目的是化資源使用率和化成本。

　　3. 6  其他考慮

　　除了上述策略和機制以外，無線自組網(wǎng)的獨特特性使得在設(shè)計安全策略和實現(xiàn)安全機制時，還需要考慮以下問題：

　?。?1） 加強網(wǎng)絡(luò)安全性的同時需要兼顧網(wǎng)絡(luò)服務(wù)性能。由于無線網(wǎng)絡(luò)帶寬是一種稀缺資源，應(yīng)盡量減少網(wǎng)絡(luò)控制開銷。為此，必須限制耗費較大計算和存儲資源的強加密和機制。

　　（ 2） 安全策略應(yīng)該具有可擴展性，以適應(yīng)大規(guī)模無線自組網(wǎng)。網(wǎng)絡(luò)的可擴展性要求也影響著安全服務(wù)的可擴展性，如密鑰管理。當(dāng)網(wǎng)絡(luò)規(guī)模較小或網(wǎng)絡(luò)資源比較充足時，可以采用較強的安全機制； 反之，則應(yīng)適當(dāng)降低安全性以保障網(wǎng)絡(luò)的可用性。

　　（ 3） 針對不同的網(wǎng)絡(luò)環(huán)境應(yīng)采取不同的安全策略和機制。不存在一種通用的安全機制，而應(yīng)根據(jù)應(yīng)用環(huán)境和業(yè)務(wù)需求選取適當(dāng)?shù)陌踩墑e和安全策略。

　　（ 4） 重視拒絕服務(wù)攻擊的影響，這種攻擊威脅各種網(wǎng)絡(luò)操作，并且難以完全阻止。采用冗余機制以及分散職責(zé)的方式可以減少這種攻擊的威脅。

　　（ 5） 要確保網(wǎng)絡(luò)管理和控制信息的安全性，因為這些信息決定著網(wǎng)絡(luò)設(shè)備的配置和正常操作，這個問題在無線自組網(wǎng)中尤其突出。無線自組網(wǎng)中節(jié)點數(shù)量眾多并且動態(tài)變化，節(jié)點之間需要定期或按需交換配置數(shù)據(jù)，使得管理和控制信息容易受到各種攻擊，從而造成災(zāi)難性的后果。

　　4  多重安全防御方案

　　Ad Hoc 網(wǎng)絡(luò)的致命安全缺陷在于它開放的對等網(wǎng)絡(luò)體系結(jié)構(gòu)，沒有清晰的防御邊界。便攜式設(shè)備及它們存儲的信息也容易受到破壞和捕獲，進而通過這些妥協(xié)的設(shè)備滲透到網(wǎng)絡(luò)中。嚴(yán)格的資源約束也給網(wǎng)絡(luò)安全帶來了設(shè)計難點： 無線媒體帶寬受限并且由多個節(jié)點共享，移動節(jié)點計算、存儲能力和能量都非常有限，難以執(zhí)行計算密集型任務(wù)。針對上述特點和挑戰(zhàn)要求，可以采取一種全方位的多重防御安全解決方案。該方案跨越所有協(xié)議層提供全方位的防護，依賴各個安全部件的協(xié)作來保護整個網(wǎng)絡(luò)，并且各部件的安全機制必須符合自身的資源約束。多重防御安全方案必須能夠阻止外部和內(nèi)部攻擊，前者對無線信道和網(wǎng)絡(luò)拓?fù)浒l(fā)起攻擊，后者通過妥協(xié)的設(shè)備來滲入系統(tǒng)。

　　多重防御安全解決方案包含的安全部件如圖1所示，包括跨越網(wǎng)絡(luò)層和鏈路層的各種安全機制。

圖1  多重防御安全解決方案示意圖

　　該方案將綜合采用先驗式和反應(yīng)式方法并涵蓋安全機制的3 個方面： 預(yù)防、檢測和反應(yīng)。預(yù)防通過增加入侵系統(tǒng)的難度來防范攻擊，但是不能完全防止入侵； 檢測和反應(yīng)機制需要發(fā)現(xiàn)可能的入侵并采取行動來避免嚴(yán)重的后果。預(yù)防機制可以采用安全路由協(xié)議來驗證路由消息，檢測機制通過端到端方式或者監(jiān)聽信道來識別攻擊造成的異常行為，而反應(yīng)機制可以調(diào)整路由和轉(zhuǎn)發(fā)操作，如拒絕某些節(jié)點參與路由或隔離某些異常節(jié)點。

　　網(wǎng)絡(luò)層安全機制需要保證移動節(jié)點之間通過多跳轉(zhuǎn)發(fā)來投遞分組，因此需要確保節(jié)點之間交換的路由消息與路由協(xié)議規(guī)范相一致，并且每個節(jié)點的分組轉(zhuǎn)發(fā)行為符合它的路由狀態(tài)。與此對應(yīng)，現(xiàn)有的機制主要包括安全路由協(xié)議和安全分組轉(zhuǎn)發(fā)機制。除此之外，還可以考慮利用新近的網(wǎng)絡(luò)編碼技術(shù)來設(shè)計安全、高效的數(shù)據(jù)傳輸方式。網(wǎng)絡(luò)編碼是允許中繼節(jié)點對已接收到的多個數(shù)據(jù)包進行編碼后再發(fā)送出去、接收節(jié)點通過相應(yīng)的譯碼過程得到完整信息的信息處理技術(shù)。雖然網(wǎng)絡(luò)編碼的初衷在于提高網(wǎng)絡(luò)的吞吐量，但進一步研究發(fā)現(xiàn)它也可以很好地應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域。具體來說，網(wǎng)絡(luò)編碼使傳輸?shù)男畔⒏臃稚?，在一定程度上將信息進行了隱藏，可以很好地防范網(wǎng)絡(luò)竊聽和對抗拜占庭攻擊。例如，Kro hn 等人利用橢圓曲線算法給出了一種適用于網(wǎng)絡(luò)編碼的簽名方案，除了可檢測被修改的分組外，還加入了對數(shù)據(jù)的身份功能。

　　鏈路層安全機制通過安全MA C 協(xié)議保護位于通信范圍內(nèi)的節(jié)點之間的一跳連接。當(dāng)前普遍采用的IEEE 802. 11 易遭受Do S 攻擊，攻擊者可以利用指數(shù)退避機制來發(fā)起DoS 攻擊。公平MAC 協(xié)議不足以解決此問題，還必須考慮保護鏈路層操作。一些針對IEEE 802. 11 的安全擴展機制采用反應(yīng)式方法來檢測和處理MA C 層的異常行為，將原始的退避定時器修改為由接收者確定而不是由發(fā)送者任意設(shè)定。當(dāng)惡意的節(jié)點選擇小的退避值時，接收者可以通過比較實際的傳輸調(diào)度和期望的傳輸調(diào)度來檢測這種不端行為，然后可以為惡意節(jié)點分配更大的退避值來懲罰它。另外，傳統(tǒng)的IEEE 802. 11 WEP 易遭受兩類攻擊： 消息保密性/ 完整性攻擊和概率性密鑰恢復(fù)攻擊。但是，增強型的IEEE 802. 11i 減少WEP 存在的許多安全缺陷。需要指出的是，攻擊者可以通過監(jiān)聽RTS/ CT S 來了解傳輸調(diào)度，并通過干擾傳輸幀而破壞正常的數(shù)據(jù)傳輸。針對此類問題，目前仍沒有好的解決辦法，需要進一步研究。

　　5  結(jié)束語

　　無線自組網(wǎng)的應(yīng)用和安全緊密相關(guān)，安全問題的研究日益受到重視。由于無線自組網(wǎng)本身的安全缺陷和應(yīng)用環(huán)境的多樣性，使得安全機制的設(shè)計和實現(xiàn)非常困難。本文闡述了無線自組網(wǎng)面臨的安全問題的特殊性，歸納和分析了針對無線自組網(wǎng)提出的各種安全策略和機制，包括安全性路由、安全數(shù)據(jù)傳輸、密鑰管理、和訪問控制以及信任建立機制等。

　　當(dāng)前，無線自組網(wǎng)安全問題的研究不斷深入，但現(xiàn)有的機制一般都是面向攻擊的，它們首先識別安全威脅，然后通過增強現(xiàn)有協(xié)議或提出新的機制來消除這些威脅。這類方法基于預(yù)先確定的攻擊模型，能夠很好地防護已知的攻擊，但不能有效應(yīng)對不可預(yù)料的攻擊或各種攻擊的變種。因此，應(yīng)在網(wǎng)絡(luò)中部署多重安全防護機制，通過跨越協(xié)議棧不同協(xié)議層的縱深防護來阻止各種已知和未知的攻擊，確保整個系統(tǒng)的安全。但是，設(shè)備的資源約束和部署成本是構(gòu)造多重防御機制必須要解決的一個問題。另外，基于防御性的安全措施不能確保在網(wǎng)絡(luò)受到攻擊的情況下維持基本的通信服務(wù)。為此，今后的安全機制還要用具備一定的彈性和入侵容忍特性，不僅要阻止惡意的攻擊，還要處理由于節(jié)點的錯誤配置、網(wǎng)絡(luò)超載和誤操作引起的網(wǎng)絡(luò)異常故障，使系統(tǒng)具備預(yù)防、反應(yīng)和容忍性保護能力，切實增強系統(tǒng)的可生存性。，還要考慮如何評價已有的安全機制和解決方案，包括單個防御機制和獲得系統(tǒng)整體安全性所需的防御體系。可供采用的方法包括協(xié)議分析、實驗?zāi)M、系統(tǒng)測試以及上述方法的組合，還必須考慮安全強度、通信開銷、計算復(fù)雜度、能量耗費和系統(tǒng)可擴展性等方面的合理權(quán)衡，這些都需要無線網(wǎng)絡(luò)、移動系統(tǒng)和加密技術(shù)領(lǐng)域的通力合作。