解决方案-应对基本难题的最佳选择

2023-06-22 理论教育版权反馈

【摘要】：无线自组织网络和无线传感器网络相关的安全挑战有很多，我们已在第7章中介绍过。由于自组织网络没有一个固定的基础设施和集中化的管理，用于一般受限网络的保护机制不能够直接用于无线自组织网络和无线传感器网络。在这几部分中，认证是最为重要的，同时是网络安全中最基本的一项服务。其他的基本安全服务例如机密性、数据完整性和不可抵赖性取决于认证。

无线自组织网络和无线传感器网络相关的安全挑战有很多，我们已在第7章中介绍过。相比于有向媒介（Guided Media），无线媒介可以公开接入、相对可靠性较低，且没有明显的物理边界。攻击者不需要打破任何物理边界来接入无线媒介，并且可以从各个地点和方向接入网络。另外，安全建立更多的复杂因素来自拓扑结构的动态变化、取决于为网络连通性的节点之间的协作、基础设施的低信任度和清晰的防卫边界的缺乏。由于自组织网络没有一个固定的基础设施和集中化的管理，用于一般受限网络（Tethered Networks）的保护机制不能够直接用于无线自组织网络和无线传感器网络。

在一个安全的无线自组织传感器网络中，节点由网络进行授权，并且只有被授权的节点才被允许访问使用网络资源。建立这样一个网络的一般步骤包括自举（Bootstrapping）、预认证、网络安全关联建立、认证、行为监控和安全关联撤销。

在这几部分中，认证是最为重要的，同时是网络安全中最基本的一项服务。其他的基本安全服务例如机密性、数据完整性和不可抵赖性取决于认证。秘密信息只有在节点进行互相验证和确认后才能进行交换。

自举（通常简称为Booting）是网络中的节点对网络中的所有或者其他某些节点的存在情况进行认知的阶段。在自举阶段，所有想要加入网络的节点必须获取相应的识别证书（Identifying Credential），来证明它们有资格接入这个受保护的网络。识别证书的形式可以是某种节点所拥有或者节点所知道的东西。举例来说，这种证书也许是某种全球化网络的密钥或者信任节点的更新列表。在自举完成之后，网络就应该做好准备接受任何一个拥有有效证书的节点的接入。接入的节点必须向网络出示自己的证书，来证明自己有资格接入受保护的资源或者使用所提供的服务。

所有的节点都必须共享识别证书来向其他节点证明自己的身份。这种最初的证书交换叫做预认证（Pre-authentication）。一旦证书得到了验证，这些节点就一起建立了网络安全关联。而这些网络安全关联就变成了网络中进一步的授权证明。网络中的节点可以通过对称密钥、公钥对、哈希密钥链承诺或者一些上下文相关的信息安全地关联起来。安全关联会在一段经过预先商议的时间之后失效，同时也可以在过期后重新商定持续时间。节点间的通信现在就可以通过使用安全关联来进行认证。

通过使用安全关联，节点可以被认证，之后节点的行为可以被网络监控，这样就可以发现威胁节点和行为不端节点。如果网络发现某个节点已经被敌手胁迫，节点就会通过被撤销网络关联或者拒绝其重建关联请求的方式将网络隔离。在大多数情况下，网络安全关联的建立和撤销是在网络密钥分配及交换和管理下实现的。

解决方案-应对基本难题的最佳选择

相关推荐