无线Mesh网络主要存在哪些安全问题
无线Mesh网络主要存在以下安全问题:
可用性:由于无线节点受到CPU、电源、带宽等限制,攻击者可通过信号阻塞或者DoS攻击等多种方式使节点快速耗尽资源而停止工作。
信息的机密性:由于无线链路传输信息的开放性,攻击者通过监听就能获得无线链路传输的数据。这种弱点无线Mesh网络比WLAN更严重,因为不仅从STA到AP,同时MP之间的链路同样可能被监听。
信息的完整性:从源节点到目的节点,信息经由多个无线Mesh网络节点的转发,流经多条无线链路,在每条无线链路中信息都可能被截断甚至篡改,导致发送的信息和接收的信息不一致。
对STA的认证:上述诸多因素的存在,导致STA被攻击或假冒的可能性大大增加,如认证信息在传输的过程中,由于信息的机密性无法在多跳之间保证,大大增加了泄露的可能性。
如何保护合法节点:防止其被假冒或被其他恶意节点俘获。无线Mesh网络中的MP设备往往部署在室外路灯上、室内走廊等环境,攻击者非常容易接近设备,获得节点的内部信息,如对称密钥、认证信息等,从而假冒节点,或者更改信息(如邻居节点信息、女巫攻击、虫洞攻击等),导致路由信息变更。
隐私性:由于目前Internet通用协议不支持隐藏通信端地址的功能,攻击者可以通过监控用户流量,获得IP地址,因此即使是加密数据也能够被跟踪,从而暴露通信双方的身份、流量模式及其敏感信息。
路由安全:在无线Mesh网络中节点发送的信息通常需要多跳才能到达目的网络,因此如果有假冒节点广播恶意路由,将导致网络拥塞不可用。在Mesh无线网络中,路由器均使用无线接入,因此路由节点本身可能是移动的,即路由是动态调整的,动态路由增加了对一些安全事件的检测难度,如蠕虫攻击等,攻击者伪装成合法的节点,发布错误的路由信息,大量占用网络资源,使网络阻塞等,所以需要设计安全的路由协议以对抗针对路由协议的攻击。
无线Mesh网络主要有以下安全解决方法:
节点身份认证:由于MP是分布的、动态变化的,对新加入的设备进行认证可以大大加强网络的安全性。建立安全可靠的Mesh网络,就必须能阻止未授权的设备通过网络直接发送和接收数据;能阻止或检测出未授权设备参与到内部路由或外部路由中,防止恶意节点建立Mesh网络之外的目的地转发表;在组建Mesh网络时要阻止设备之间建立未授权的Mesh服务。
信息的加密和完整性:为防止信息被篡改可以采用信息加密和数字签名来确保源信息和目的信息的一致性和安全性。
密钥管理:无论是节点认证还是路由信息的保护,都需要用到密钥,因此无线Mesh网络需要建立密钥体系,避免每次都重新认证和协商,这不但降低了计算成本,而且为节点切换的高效性提供服务,如802.11s的密钥体系可以分为链路安全和密钥分发两个部分。
路由加密和完整性:采用路由信息加密和数字签名来确保安全可有效防止路由信息被窃听和篡改。因此无线Mesh网络中的节点在交换路由信息前,必须通过认证并协商通信密钥。目前有较多的安全路由协议可供选择,如SAODV、Ariadne、SEAD、CSER、SRP、SAAR、BSAR、SBRP等。
入侵检测:无线Mesh网络采用无线开放链路,节点的物理保护无法得到保证,信息容易被偷窃、捕获,因此入侵无线Mesh网络比较容易。在节点受到攻击后,若不能及时发现,则整体网络的联通性和安全性都会受到影响。在使用认证、加密等技术防止外部攻击的同时,也要防止内部入侵,及时发现内部入侵者是无线Mesh网络安全的第二道防护墙。无线Mesh网络入侵检测技术有以下几种模式:独立的入侵检测系统,即每个节点自己运行检测程序,并独立对事件进行反应分布合作式入侵检测,即部分节点运行入侵检测程序通过互相协作实现入侵检测,并对事件进行反应;层次式入侵检测,即有一个主控节点对子节点进行控制,由主控节点负责分析和反应。