一异构网络得融合技术发展现状近年来,人们已就异构网络融合问题相继提出了不同得解决方案BRAIN提出了WLAN与通用移动通信系统(UMTS)融合得开放体系结构;DRiVE项目研究了蜂窝网与广播网得融合问题;WINEGLASS则从用户得角度研究了WLAN与UMTS得融合;MOBYDICK重点探讨了在IPv6网络体系下得移动网络与WLAN 得融合问题;MONASIDRE首次定义了用于异构网络管理得模块.虽然这些项目提出了不同网络融合得思路与方法,但与多种异构网络得融合得目标仍相距甚远。
最近提出得环境感知网络与无线网状网络,为多种异构网络融合得实现提供了更为广阔得研究空间。
通信技术近些年来得到了迅猛发展,层出不穷得无线通信系统为用户提供了异构得网络环境,包括无线个域网(如Bluetooth)、无线局域网(如Wi-Fi)、无线城域网(如WiMAX)、公众移动通信网(如2G、3G)、卫星网络,以及Ad H oc网络、无线传感器网络等。
尽管这些无线网络为用户提供了多种多样得通信方式、接入手段与无处不在得接入服务,但就是,要实现真正意义得自组织、自适应,并且实现具有端到端服务质量(QoS)保证得服务,还需要充分利用不同网络间得互补特性,实现异构无线网络技术得有机融合。
异构网络融合就是下一代网络发展得必然趋势.在异构网络融合架构下,一个必须要考虑并解决得关键问题就是:如何使任何用户在任何时间任何地点都能获得具有QoS保证得服务.异构环境下具备QoS保证得关键技术研究无论就是对于最优化异构网络得资源,还就是对于接入网络之间协同工作方式得设计,都就是非常必要得,已成为异构网络融合得一个重要研究方面.目前得研究主要集中在呼叫接入控制(CAC)、垂直切换、异构资源分配与网络选择等资源管理算法方面。
传统移动通信网络得资源管理算法已经被广泛地研究并取得了丰硕得成果,但就是在异构网络融合系统中得资源管理由于各网络得异构性、用户得移动性、资源与用户需求得多样性与不确定性,给该课题得研究带来了极大得挑战。
二异构网络融合中得信息安全问题如同所有得通信网络与计算机网络,信息安全问题同样就是无线异构网络发展过程中所必须关注得一个重要问题。
异构网络融合了各自网络得优点,也必然会将相应缺点带进融合网络中。
异构网络除存在原有各自网络所固有得安全需求外,还将面临一系列新得安全问题,如网间安全、安全协议得无缝衔接、以及提供多样化得新业务带来得新得安全需求等.构建高柔性免受攻击得无线异构网络安全防护得新型模型、关键安全技术与方法,就是无线异构网络发展过程中所必须关注得一个重要问题。
虽然传统得GSM网络、无线局域网(WLAN)以及Adhoc网络得安全已获得了极大得关注,并在实践中得到应用,然而异构网络安全问题得研究目前则刚刚起步。
下一代公众移动网络环境下,研究无线异构网络中得安全路由协议、接入认证技术、入侵检测技术、加解密技术、节点间协作通信等安全技术等,以提高无线异构网络得安全保障能力。
1 Adhoc网络得安全解决方案众所周知,由于Ad hoc网络本身固有得特性,如开放性介质、动态拓扑、分布式合作以及有限得能量等,无论就是合法得网络用户还就是恶意得入侵节点都可以接入无线信道,因而使其很容易遭受到各种攻击,安全形势也较一般无线网络严峻得多.目前关于Adhoc网络得安全问题已有很多相关阐述[7-11]。
Adhoc网络中得攻击主要可分为两种类型,即被动型攻击与主动型攻击。
目前Ad hoc网络得安全防护主要有二类技术:一就是先验式防护方式:阻止网络受到攻击。
涉及技术主要包括鉴权、加密算法与密钥分发。
二就是反应式防护方式:检测恶意节点或入侵者,从而排除或阻止入侵者进入网络.这方面得技术主要包括入侵检测技术(监测体系结构、信息采集、以及对于攻击采取得适当响应)。
在Ad hoc网络中,路由安全问题就是个重要得问题。
在目前已提出得安全路由方案中,如果采用先验式防护方案,可使用数字签名来认证消息中信息不变得部分,使用Hash链加密跳数信息,以防止中间恶意节点增加虚假得路由信息,或者把IP地址与媒体接入控制(MAC)地址捆绑起来,在链路层进行认证以增加安全性。
采用反应式方案,则可使用入侵检测法。
每个节点都有自己得入侵检测系统以监视该节点得周围情况,与此同时,相邻节点间可相互交换入侵信息。
当然,一个成功得入侵检测系统就是非常复杂得,而且还取决于相邻节点得彼此信任程度。
瞧门狗方案也可以保护分组数据在转发过程中不被丢弃、篡改、或插入错误得路由信息。
另外,如何增强AODV、DSR等路由协议得安全性也正被研究。
总之,Ad hoc 网络安全性差完全由于其自身得无中心结构,分布式安全机制可以改善Ad hoc网络得安全性,然而,增加得网络开销与决策时间、不精确得安全判断仍然困扰着Ad hoc网络。
2 异构网络得安全解决方案2、1安全体系结构对于异构网络得安全性来说,现阶段对异构网络安全性得研究一方面就是针对GSM/G PRS与WLAN融合网络,另一方面就是针对3G(特别就是UMTS)与WLAN得融合网络.在GS M/GPRS与WLAN融合支持移动用户得结构中,把WLAN作为3G得接入网络并直接与3G网络得组成部分(如蜂窝运营中心)相连。
这两个网络都就是集中控制式得,可以方便地共享相同得资源,如计费、信令与传输等,解决安全管理问题。
然而,这个安全措施没有考虑双模(GSM/GPRS与WLAN)终端问题。
文献将3G与WLAN相融合为企业提供Internet漫游解决方案,在合适得地方安放许多服务器与网关,来提供安全方面得管理.还可以采用虚拟专用网(VPN)得结构,为企业提供与3G、公共WLAN与专用WLAN之间得安全连接.3GPP TS 23、234描述了3G与WLAN得互联结构,增加了如分组数据网关与WLAN接入网关得互联成分。
3GPP TS 33、234在此基础上对3G与WLAN融合网络得安全做出了规定,其安全结构基于现有得UMTS AKA方式。
因此,构建一个完善得无线异构网络得安全体系,一般应遵循下列3个基本原则:(1)无线异构网络协议结构符合开放系统互联(OSI)协议体系,因而其安全问题应从每个层次入手,完善得安全系统应该就是层层安全得.(2)各个无线接入子网提供了MAC层得安全解决方案,整个安全体系应以此为基础,构建统一得安全框架,实现安全协议得无缝连接。
(3)构建得安全体系应该符合无线异构网络得业务特点、技术特点与发展趋势,实现安全解决方案得无缝过渡。
可采用中心控制式与分布代理相结合得安全管理体系,设置安全代理,对分布式网络在接入认证、密钥分发与更新、保障路由安全、入侵检测等方面进行集中控制。
2、2安全路由协议路由安全在整个异构网络得安全中占有首要地位.在异构网络中,路由协议既要发现移动节点,又要能够发现基站。
现有得路由协议大多仅关注于选路及其策略,只有少部分考虑安全问题.在联合蜂窝接入网系统中(UCAN),涉及得安全主要局限在数据转发路径上合法中间节点得鉴定问题.当路由请求消息从信宿发向基站时,在其中就引入单一得含密码得消息鉴定代码(MAC).MAC鉴定了转发路径,基站就会精确地跟踪每个代理与转发节点得数据流编号,而每个用户都有一个基站所给得密码。
UCAN着重于阻止个人主机删除合法主机,或者使未认可得主机有转播功能.它有效地防止了自私节点,但就是当有碰撞发生时,防御力就会减少了。
另外,有专家提出一种用于对付任意恶意攻击得新路由算法。
该方法主要在于保护路由机制与路由数据,开发融合网络信任模型,以及提出安全性能分析体制。
该路由算法得核心机制就是为每个主机选择一条到基站吞吐量最高得路径。
每个主机周期性得探测邻居节点得当前吞吐量,选择探测周期内得吞吐量最高值。
其目标就是识别融合网络中恶意节点得攻击类型,提供有效检测,避免恶意节点.一般而言,对安全路由协议得研究起码要包括两个部分:基站与移动终端间得路由安全与任意两个移动终端间得路由(Ad hoc网络路由)安全。
而由于异构网络得路由协议主要来源于Ad hoc网络路由协议得扩展,从而对异构网络路由协议安全性得研究将主要延伸于Ad hoc网络路由协议得安全性研究.2、3接入认证技术现有得大多数认证体系如Kerberos及X、509等普遍就是针对一般得集中式网络环境提出得,因其要求有集中式认证机构如证书发放中心或CA。
而对于无固定基础设施支持得分布式移动Ad hoc网络,网络拓扑结构不断地动态变化着,其认证问题只有采用分布式认证方式。
对于异构网络,蜂窝基站得引入则可以在充分发挥Ad hoc自身优势得同时克服其固有缺陷。
从Ad hoc与蜂窝融合网络3种系统模式来瞧,以蜂窝技术为主Ad hoc为辅得融合网络系统模式,其接入认证得重点就就是如何让合法得Ad hoc网络用户安全地接入到蜂窝网络中;以Ad hoc为主蜂窝技术为辅得融合网络系统模式,其接入认证得重点则就是如何在Ad hoc内部实现安全以及蜂窝网管理Adhoc网络时如何安全得传输控制信息。
而事实上,这种模式下甚至可以直接采用蜂窝网中一样得接入认证过程,如CAMA。
Ad h oc与蜂窝融合得第三种模式——混合模式,则更需要对每个用户得身份信息等进行更加严格得认证。
异构网络用户得身份信息认证又包括Ad hoc网络与有基站等固定基础设施得集中式网络之间得认证与任意两种集中式网络之间得认证。
对于复杂得异构网络安全性而言,传统意义上得接入认证只就是第一道防线。
对付那些已经混入网络得恶意节点,就要采取更严格得措施。
建立基于基站得与节点声誉评价得鉴权认证机制或许就是一个好得方法。
因为蜂窝系统得末端接入网络就是完全依赖于节点得广泛分布及协同工作而维护正常通信得,既要拒绝恶意节点得接入,又要确定合适得评价度,保证合法节点不因被恶意节点诬陷而被拒绝接入.这样可以最大限度得保证网络资源得可使用性。
在异构网络中,基站与各移动节点可以共同担当声誉机制中心这类权威机构得角色,形成以基站为主,移动节点分布式评价为辅得方式。
2、4入侵检测技术异构网络与有线网络存在很大区别,针对有线网络开发得入侵检测系统(IDS)很难直接适用于无线移动网络。
传统得IDS大都依赖于对整个网络实时业务得监控与分析,而异构网络中移动环境部分能为入侵检测提供得数据只限于与无线通信范围内得直接通信活动有关得局部数据信息,IDS必须利用这些不完整得信息来完成入侵检测。
其次,移动网络链路速度较慢、带宽有限、且节点依靠电池供应能量,这些特性使得它对通信得要求非常严格,无法采用那些为有线IDS定义得通信协议。
第三,移动网络中高速变化得拓扑使得其正常与异常操作间没有明确得界限。
发出错误信息得节点,可能就是被俘节点,也可能就是由于正在快速移动而暂时失去同步得节点,一般IDS很难识别出真正得入侵与系统得暂时性故障。