◆王 強(qiáng)

?

無(wú)線(xiàn)網(wǎng)絡(luò)中安全密鑰分配協(xié)議的探討

◆王 強(qiáng)

（山西工程職業(yè)技術(shù)學(xué)院 山西 030009）

無(wú)線(xiàn)網(wǎng)絡(luò)因其方便快捷的特點(diǎn)，在社會(huì)中開(kāi)始廣泛使用。無(wú)線(xiàn)網(wǎng)絡(luò)安全傳輸?shù)幕A(chǔ)是密匙分配協(xié)議，密匙分配協(xié)議是以一種安全有效的方式將密匙分發(fā)給消息傳遞者，對(duì)系統(tǒng)安全也是強(qiáng)有力的保障。本文簡(jiǎn)述了無(wú)線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)體系構(gòu)架，針對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)中存在的問(wèn)題及安全目標(biāo)進(jìn)行了討論分析，對(duì)安全密匙的加密方式及安全密匙的管理方式進(jìn)行了介紹。

無(wú)線(xiàn)網(wǎng)絡(luò)；安全密匙分配協(xié)議

0 前言

隨著智能手機(jī)的普及，無(wú)線(xiàn)通信技術(shù)開(kāi)始被廣泛應(yīng)用。無(wú)線(xiàn)通信技術(shù)是不通過(guò)有線(xiàn)電纜，而是通過(guò)電磁波傳導(dǎo)的一種通信方式；人類(lèi)關(guān)于無(wú)線(xiàn)網(wǎng)絡(luò)的研究從上世紀(jì)90年代就開(kāi)始了，1997年IEEE通過(guò)的802.11標(biāo)準(zhǔn)對(duì)無(wú)線(xiàn)局域網(wǎng)的相關(guān)協(xié)議及技術(shù)進(jìn)行了規(guī)定[1]。在802.11標(biāo)準(zhǔn)的基礎(chǔ)上，無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)向移動(dòng)通信、寬帶無(wú)線(xiàn)接入等領(lǐng)域拓展，如今已經(jīng)與人們的工作生活息息相關(guān)，比如生活中的手機(jī)4G、藍(lán)牙、WLAN等都屬于無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)范疇。無(wú)線(xiàn)局域網(wǎng)是無(wú)線(xiàn)通信的主要應(yīng)用領(lǐng)域，具有簡(jiǎn)單、靈活、方便的特點(diǎn)。但也存在分布稠密、計(jì)算能力有限、存儲(chǔ)空間較小、易遭受物理破壞等不足，這使無(wú)線(xiàn)網(wǎng)絡(luò)的安全性不高。安全密匙分配協(xié)議起到了保障無(wú)線(xiàn)網(wǎng)絡(luò)安全的作用。

1 無(wú)線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)體系構(gòu)架

無(wú)線(xiàn)網(wǎng)絡(luò)傳感系統(tǒng)由傳感器節(jié)點(diǎn)、管理節(jié)點(diǎn)及匯聚節(jié)點(diǎn)構(gòu)成，監(jiān)測(cè)區(qū)域內(nèi)有大量傳感器節(jié)點(diǎn)隨機(jī)分布，并以自組織的方式構(gòu)成了網(wǎng)絡(luò)，將監(jiān)測(cè)數(shù)據(jù)傳送給匯聚節(jié)點(diǎn)，數(shù)據(jù)再通過(guò)互聯(lián)網(wǎng)達(dá)到管理節(jié)點(diǎn)，最后完成數(shù)據(jù)的監(jiān)測(cè)收集傳輸過(guò)程。傳感器節(jié)點(diǎn)由數(shù)據(jù)采集模塊、無(wú)線(xiàn)通信模塊、能量供應(yīng)模塊及處理器模塊四個(gè)部分組成，是一個(gè)計(jì)算能力、通信能力及存儲(chǔ)能力均非常有限的微型嵌入式系統(tǒng)，見(jiàn)圖1。傳感器節(jié)點(diǎn)不僅要收集本地信息，還要完成對(duì)其他節(jié)點(diǎn)發(fā)來(lái)的數(shù)據(jù)的融合[2]。匯聚節(jié)點(diǎn)比起傳感器節(jié)點(diǎn)各方面更具優(yōu)勢(shì)，且能量供給充足，通常直接與外部網(wǎng)絡(luò)相連，對(duì)管理節(jié)點(diǎn)的檢測(cè)任務(wù)進(jìn)行發(fā)布，最后將收集的數(shù)據(jù)發(fā)送給外部網(wǎng)絡(luò)。

圖1 無(wú)線(xiàn)網(wǎng)絡(luò)傳感系統(tǒng)

2 無(wú)線(xiàn)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全問(wèn)題

（1）無(wú)線(xiàn)網(wǎng)絡(luò)的安全主要受到傳感器節(jié)點(diǎn)資源受限及篡改保護(hù)系統(tǒng)缺乏兩大因素的限制。具體問(wèn)題在于信道與節(jié)點(diǎn)比較脆弱，無(wú)法防止攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)聽(tīng)及發(fā)送偽造的數(shù)據(jù)報(bào)文，節(jié)點(diǎn)很容易被攻擊者捕獲并利用，導(dǎo)致節(jié)點(diǎn)上的密匙信息可能會(huì)泄露，這是造成無(wú)線(xiàn)網(wǎng)絡(luò)安全性較弱的原因。無(wú)線(xiàn)網(wǎng)絡(luò)的性能對(duì)網(wǎng)絡(luò)安全也是一個(gè)重要的限制因素。

（2）無(wú)線(xiàn)網(wǎng)絡(luò)的安全目標(biāo)。普通網(wǎng)絡(luò)的安全目標(biāo)包括保密性、完整性、認(rèn)證性三大目標(biāo)。無(wú)線(xiàn)網(wǎng)絡(luò)因其傳感器節(jié)點(diǎn)與應(yīng)用環(huán)境的特殊性，安全目標(biāo)與普通網(wǎng)絡(luò)的安全目標(biāo)有所不同。保密性是無(wú)線(xiàn)傳感器網(wǎng)絡(luò)應(yīng)用時(shí)的重要目標(biāo)，要保證所有敏感的數(shù)據(jù)在傳輸及存儲(chǔ)過(guò)程中受到保護(hù)，不被第三方截取。完整性是無(wú)線(xiàn)網(wǎng)絡(luò)安全的需求和目標(biāo)，節(jié)點(diǎn)收到數(shù)據(jù)后，需要對(duì)數(shù)據(jù)包進(jìn)行確認(rèn)其一致性，排除被中間節(jié)點(diǎn)篡改的可能。無(wú)線(xiàn)網(wǎng)絡(luò)安全的鑒別和認(rèn)證性要求節(jié)點(diǎn)接收數(shù)據(jù)時(shí)要對(duì)數(shù)據(jù)包的發(fā)出節(jié)點(diǎn)進(jìn)行確認(rèn)，排除其他節(jié)點(diǎn)冒充的可能性。因?yàn)閿?shù)據(jù)有時(shí)效性，網(wǎng)絡(luò)安全的新鮮性要求節(jié)點(diǎn)對(duì)接受到的數(shù)據(jù)包的發(fā)送時(shí)間進(jìn)行判斷，以確認(rèn)數(shù)據(jù)包的是由最新產(chǎn)生的發(fā)送者發(fā)送的。無(wú)線(xiàn)網(wǎng)絡(luò)安全的可用性、容錯(cuò)性需要高效可靠不給節(jié)點(diǎn)帶來(lái)過(guò)多消耗的安全協(xié)議，保證出現(xiàn)錯(cuò)誤時(shí)網(wǎng)絡(luò)仍能安全運(yùn)行[3]。

3 安全密匙分配協(xié)議

預(yù)分配密匙管理是指離線(xiàn)的服務(wù)器在節(jié)點(diǎn)部署之前將密匙預(yù)先配置在節(jié)點(diǎn)中，現(xiàn)今主要的密匙分配協(xié)議大都屬于預(yù)分配密匙管理協(xié)議，各個(gè)節(jié)點(diǎn)間利用信息自組織、分配式的建立密匙。由于節(jié)點(diǎn)儲(chǔ)存能力的限制，減少通信開(kāi)銷(xiāo)及節(jié)省存儲(chǔ)空間是預(yù)分配密匙管理協(xié)議必須考慮的問(wèn)題，所有節(jié)點(diǎn)共享一個(gè)密匙是最簡(jiǎn)單的密匙分配協(xié)議。每?jī)蓚€(gè)節(jié)點(diǎn)預(yù)先生成對(duì)偶密碼是最安全的密匙分配協(xié)議，但因節(jié)點(diǎn)存儲(chǔ)器受限，只能應(yīng)用在小規(guī)模的網(wǎng)絡(luò)上。隨機(jī)密匙預(yù)分配協(xié)議是指節(jié)點(diǎn)從密匙池中選取少量密匙保存，并且兩個(gè)相鄰節(jié)點(diǎn)間至少共享一個(gè)密匙作為對(duì)偶密匙，這個(gè)密匙在實(shí)際應(yīng)用中很容易被破獲，存在很大的漏洞。Q復(fù)合模式在隨機(jī)密匙預(yù)分配協(xié)議的基礎(chǔ)上進(jìn)行了改進(jìn)，安全性更高，但只在少數(shù)節(jié)點(diǎn)被捕獲的時(shí)候適用。

4 無(wú)線(xiàn)網(wǎng)絡(luò)安全密匙的加密方式

通過(guò)設(shè)置網(wǎng)絡(luò)安全密匙，來(lái)達(dá)到保護(hù)無(wú)線(xiàn)網(wǎng)絡(luò)的目的，拒絕未經(jīng)授權(quán)的訪(fǎng)問(wèn)。目前常用的無(wú)線(xiàn)網(wǎng)絡(luò)加密方式包括Wi-Fi保護(hù)訪(fǎng)問(wèn)及有線(xiàn)對(duì)等保密等。

（1）Wi-Fi保護(hù)訪(fǎng)問(wèn)。這種加密方式連接時(shí)要求用戶(hù)提供安全密匙，密匙驗(yàn)證后訪(fǎng)問(wèn)點(diǎn)與設(shè)備之間發(fā)送的數(shù)據(jù)都會(huì)被加密。身份驗(yàn)證方式分為WPA與WPA2，建議使用WPA2，因?yàn)閃PA2的身份驗(yàn)證更加安全。這種加密模式適用與家庭網(wǎng)絡(luò)[4]。

（2）有線(xiàn)等效加密（WEP）。無(wú)線(xiàn)加密中最早使用的技術(shù)就是WEP加密，WEP啟用時(shí)需要設(shè)置網(wǎng)絡(luò)安全密匙，可以對(duì)一臺(tái)設(shè)備通過(guò)網(wǎng)絡(luò)向另一臺(tái)設(shè)備發(fā)送的信息加密，這種加密方式屬于比較舊的網(wǎng)絡(luò)安全方法，安全機(jī)制較易被破解，建議不再使用。

5 無(wú)線(xiàn)網(wǎng)絡(luò)安全密匙的管理方式

密匙是無(wú)線(xiàn)網(wǎng)絡(luò)安全的核心問(wèn)題之一，基于預(yù)先分配的密匙管理方案是現(xiàn)有常用的密匙管理方案，以下對(duì)四種經(jīng)典的密匙預(yù)分配方案進(jìn)行討論。

（1）基于密匙池的隨機(jī)密匙預(yù)分配。方案的基本思想在于每個(gè)節(jié)點(diǎn)在密匙池中隨機(jī)選取一定數(shù)量的密匙，若兩個(gè)節(jié)點(diǎn)選取的密匙相同，則節(jié)點(diǎn)間可以建立密匙。這種方案具有簡(jiǎn)單、擴(kuò)展能力較強(qiáng)的特點(diǎn)，但安全性較差[5]。

（2）基于多項(xiàng)式的隨機(jī)密匙預(yù)分配。這類(lèi)方案的安全性有閾值特性，當(dāng)被俘獲的節(jié)點(diǎn)數(shù)量在閾值以下時(shí)，分配方案可以保障網(wǎng)絡(luò)通信的安全；但當(dāng)俘獲的節(jié)點(diǎn)數(shù)量超過(guò)了閾值上限，就會(huì)影響到網(wǎng)絡(luò)通信的安全。

（3）基于投放知識(shí)的隨機(jī)密匙預(yù)分配。利用預(yù)先確定的兩相鄰節(jié)點(diǎn)之間的關(guān)系來(lái)優(yōu)化隨機(jī)密匙預(yù)分配方案是這類(lèi)方案的基本思想，這種方案減輕了節(jié)點(diǎn)的存儲(chǔ)負(fù)載，而且網(wǎng)絡(luò)的安全連通度也得到了提高。

（4）基于密匙對(duì)的隨機(jī)密匙預(yù)分配方案。在每個(gè)節(jié)點(diǎn)部署前，選擇一定數(shù)量的相鄰節(jié)點(diǎn)，對(duì)唯一的共享密匙進(jìn)行協(xié)商是這類(lèi)方案的基本思想，這種方案的抗攻擊能力得到了提高，但是安全連通性不高。

6 總結(jié)

無(wú)線(xiàn)網(wǎng)絡(luò)作為一種新型無(wú)線(xiàn)自組織網(wǎng)絡(luò)，應(yīng)用于諸多領(lǐng)域，但其安全問(wèn)題也越來(lái)越嚴(yán)重。無(wú)線(xiàn)網(wǎng)絡(luò)通過(guò)無(wú)線(xiàn)電傳輸，由于網(wǎng)絡(luò)的開(kāi)放性、結(jié)構(gòu)的動(dòng)態(tài)性及無(wú)線(xiàn)終端的移動(dòng)性、存儲(chǔ)能力的局限性，使得無(wú)線(xiàn)網(wǎng)絡(luò)要達(dá)到較高的安全性變得非常困難。密匙的產(chǎn)生、分配與更新在密碼系統(tǒng)中十分關(guān)鍵，對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)安全性能的增強(qiáng)起到了非常重要的作用。

[1]嚴(yán)子心. 淺析無(wú)線(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防范技術(shù)[J]. 中國(guó)新通信, 2016.

[2]柯鋼. 一種高效的無(wú)線(xiàn)網(wǎng)絡(luò)組密鑰管理方案[J]. 西南師范大學(xué)學(xué)報(bào)(自然科學(xué)版), 2017.

[3]張紅, 李佩. 無(wú)線(xiàn)傳感網(wǎng)密鑰管理方案分析比較[J]. 湖南郵電職業(yè)技術(shù)學(xué)院學(xué)報(bào), 2016.

[4]陳泗盛, 藍(lán)紅秀, 孫樹(shù)亮. 無(wú)線(xiàn)網(wǎng)絡(luò)認(rèn)證密鑰交換協(xié)議L-MAKEP的改進(jìn)[J]. 四川理工學(xué)院學(xué)報(bào)(自科版), 2016.

[5]楊鵬. 無(wú)線(xiàn)網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)[J]. 南方農(nóng)機(jī), 2017.