Мобильная сеть Adhoc (MANETS) :

Предлагаемое решение, связанное с

безопасностью
Проблемы
Рачика Гупта
Джайнский колледж высших учебных заведений имени Чандерпрабху , Университет GGSIP
Участок №.OCF Sector A-8,Нарела, Нью-Дели-110040, Индия
guptarachika@yahoo.co.in
Абстрактный
Большая часть исследований в MANETS была сосредоточена на вопросах маршрутизации. С другой стороны
, безопасности придавалось невысокое значение. В этом документе представлено введение в мобильные сети
Adhoc, проблемы, связанные с маршрутизацией, и
обзор проблем безопасности для сетей MANET, путем выделения угроз для базовых механизмов и
механизмов безопасности. Затем в нем рассматривается возможное решение для защиты механизма
безопасности, которое включает
доступность, целостность, аутентификацию и неотказуемость. Эти проблемы , связанные с ценными бумагами,
хорошо решаются, если
можно предоставить методы, подходящие для аутентификации, распределения ключей, обнаружения вторжений
и
перенаправления в случае сбоя Byzantine в сетях MANETS.
Ключевыеслова: Инфраструктура, маршрутизация, неотрицание, византийский провал.
1. Введение
Беспроводные системы сотовой связи используются с 1980-х годов. Мы видели их эволюцию до беспроводных
систем первого, второго и третьего
поколений. Беспроводные системы работают с помощью централизованной поддерживающей структуры , такой
как точка доступа. Эти точки доступа помогают пользователям беспроводной сети поддерживать связь с
беспроводной системой,
когда они перемещаются из одного места в другое. Наличие стационарной несущей конструкции ограничивает
адаптивность
беспроводных систем. Другими словами, технология не может эффективно работать в местах, где нет
стационарной
инфраструктуры. Беспроводные системы будущего поколения потребуют простого и быстрого развертывания
беспроводных сетей.
Такое быстрое развертывание сети невозможно при существующей структуре современных беспроводных
систем.
В следующем поколении систем беспроводной связи возникнет необходимость в быстром развертывании
независимых мобильных пользователей. Важные примеры включают создание жизнеспособной, эффективной ,
динамичной
связи для аварийно-спасательных операций, усилий по оказанию помощи в случае стихийных бедствий и
военных сетей. Такие сетевые
сценарии не могут полагаться на централизованное и организованное подключение и могут быть задуманы как
приложения мобильных
одноранговых сетей. Мобильные одноранговые сети или сети "с коротким сроком службы" работают в
отсутствие стационарной
инфраструктуры. Они обеспечивают быстрое и простое развертывание сети в ситуациях , когда иначе это
невозможно.
Ad-hoc - это латинское слово, которое означает "для этого или только для этого". Мобильная одноранговая сеть -
это автономная
система мобильных узлов, соединенных беспроводными линиями связи; каждый узел работает как конечная
система и маршрутизатор для всех
других узлов в сети.
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
738
Рис. 1. Структура Мане
MANET - это автономная совокупность мобильных пользователей, которые обмениваются данными по
беспроводным каналам связи с относительно
ограниченной пропускной способностью. Поскольку узлы являются мобильными, топология сети может быстро
и
непредсказуемо меняться с течением времени. Сеть децентрализована, где вся сетевая активность , включая
обнаружение самих
узлов, должна выполнять топологию и доставку сообщений, т.Е. Функциональность маршрутизации будет
включена в мобильные узлы.
Набор приложений для MANETS разнообразен: от небольших статических сетей, ограниченных
источниками питания, до крупномасштабных мобильных высокодинамичных сетей. Разработка сетевых
протоколов для этих
сетей является сложной проблемой. Независимо от приложения, сетевым сетям требуются эффективные
распределенные алгоритмы для
определения сетевой организации, планирования каналов и маршрутизации. Однако определение
жизнеспособных путей маршрутизации и
доставки сообщений в децентрализованной среде, где топология сети меняется, не является четко определенной
проблемой. В то время как кратчайший путь (основанный на заданной функции затрат) от источника до пункта
назначения в статической
сети обычно является оптимальным маршрутом, эту идею нелегко распространить на сети MANETS. Такие
факторы, как переменное
качество беспроводной линии связи, потери на пути распространения, замирания, многопользовательские
помехи, расходуемая мощность и топологические
изменения, становятся актуальными проблемами. Сеть должна быть способна адаптивно изменять пути
маршрутизации, чтобы смягчить
любое из этих последствий. Более того, в военных условиях сохранение безопасности, задержка , надежность ,
преднамеренное подавление помех и восстановление после сбоя вызывают серьезные опасения. Военные сети
предназначены для
поддержания низкой вероятности перехвата и/или низкой вероятности обнаружения. Следовательно , узлы
предпочитают излучать как
можно меньше энергии и передавать как можно реже, тем самым уменьшая вероятность обнаружения или
перехвата. Несоблюдение любого из этих требований может привести к снижению производительности и
надежности
сети.
Рис. 2. Мобильные одноранговые сетевые приложения
Мобильная одноранговая сеть (MANET) идеально подходит для использования в чрезвычайных ситуациях ,
таких как стихийные бедствия, военные
конфликты, неотложные медицинские ситуации и т.д., как показано на рис.2
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
739
2. Маршрутизация в одноранговых сетях
Мобильные одноранговые сети (MANET) по определению являются одноранговыми сетями с несколькими
переходами, без какой-либо существующей
инфраструктуры. Если сетевой узел желает установить связь с другим сетевым узлом, который находится за
пределами его радиус действия,
он должен использовать промежуточные узлы для маршрутизации сообщений. Поэтому функциональность
маршрутизации должна быть
встроена в мобильные хосты.
Примечание: - Из-за общего различия между хостами и маршрутизаторами в сетевой документации,
с этого момента следует использовать термин мобильный узел.
В проводных сетях алгоритмы маршрутизации классифицируются как протоколы, основанные на состоянии
канала (например, OSPF Сначала открывает короткий путь
) или основанные на векторе расстояния (например, протокол RIP Routing Information Protocol). Протоколы
состояния канала используют алгоритм
Дейкстры. Объявления о состоянии канала отправляются на все сетевые маршрутизаторы . Маршрутизаторы
накапливают
информацию о состоянии канала, и алгоритм Дейкстры используется для вычисления кратчайшего пути к
каждому узлу. Протоколы
, основанные на векторе расстояния, используют алгоритм Беллмана-Форда. Они требуют, чтобы
маршрутизаторы распространяли свою таблицу маршрутизации, но только
среди своих соседей. Алгоритм Беллмана-Форда может использоваться для поддержания и обновления
информации о маршрутизации в
беспроводной сети, где нет высокой степени мобильности. Однако, когда внедряется высокая степень
мобильности
, протоколы Bellman-Ford не в состоянии справиться с частыми изменениями каналов связи, что приводит к
плохой
конвергенции сети и низкой пропускной способности связи. При разработке протоколов маршрутизации для
мобильных одноранговых
сетей желательными факторами являются следующие: -
(1) Распределенная работа: - При отсутствии центральной иерархии маршрутизаторов маршрутизация должна
быть распределена между
узлами-участниками.
(2) Свобода от циклов: - Стремитесь избежать бесконечного вращения процессов обнаружения маршрута или
обслуживания от узла к узлу
.
(3) Операция на основе спроса в сравнении с упреждающей операцией: - Должны ли маршруты определяться
по мере того, как этого требует источник
, или предварительно определенная текущая таблица маршрутов должна быть распределена между узлами? Оба
подхода используются в одноранговых
сетях, и протоколы подпадают под любую из этих двух категорий.
(4) Операция периода "сна": - Для экономии энергии желательно, чтобы, когда узел не принимает активного
участия в сети, он мог входить в состояние ‘сна’. Протокол маршрутизации должен быть способен
выдерживать такие периоды без существенного влияния на работу.
Рис. 3. Классификация протоколов маршрутизации adhoc
(5) Поддержка однонаправленной связи: - Из-за различий в диапазоне беспроводной радиосвязи между
устройствами маршруты могут быть не
двунаправленными. Это должно быть учтено при разработке протокола, чтобы для обратного пути можно было
использовать альтернативный маршрут
.Как уже упоминалось, протоколы одноранговой сетевой маршрутизации делятся на две категории: - Протоколы,
управляемые спросом (реактивные)
, или протоколы, управляемые таблицами (упреждающие). Упреждающие протоколы направлены на уменьшение
задержки обнаружения узлов.
Эти протоколы требуют, чтобы каждый узел поддерживал обновленные таблицы маршрутизации, содержащие
информацию о маршрутизации от
каждого узла к каждому другому узлу в сети. Они реагируют на изменения в топологии сети, распространяя
обновления маршрутов по всей сети для поддержания согласованного представления сети. Области, в которых
различные
протоколы различаются, - это количество необходимых таблиц, связанных с маршрутизацией, и методы, с
помощью которых передаются изменения в структуре
сети. В разделе 2.1 описана работа проактивного протокола DSDV (
маршрутизация вектора последовательного расстояния назначения). Протоколы, основанные на требованиях
(реактивные), направлены на снижение накладных расходов на управление и
Рачика Гупта и др. / Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
740
использование связи путем построения информации о маршруте только тогда, когда исходному узлу требуется
маршрут. Эта экономия
достигается за счет увеличения затрат на ретрансляцию обнаружения маршрута. Исходный узел, ищущий
маршрут к месту назначения, инициирует
обнаружение маршрута в сети. Этот процесс завершается после того, как маршрут найден или изучены все
возможные
перестановки маршрутов. Как только маршрут обнаружен и установлен, некоторая форма
процедуры обслуживания маршрута поддерживает его до тех пор, пока либо пункт назначения не станет
недоступным по всем путям от
источника, либо маршрут больше не будет желательным. В разделе 2.2 описана работа реактивного протокола
AODV (специальная
маршрутизация вектора расстояния по требованию).
2.1 Изложенный протокол DSDV
Векторная маршрутизация с последовательным расстоянием назначения - это протокол маршрутизации,
управляемый таблицами, основанный на алгоритме Беллмана-Форда
. Модификация для одноранговых сетей заключается в том, что избегаются циклы маршрутизации. Каждый
сетевой узел ведет
свою собственную таблицу маршрутизации, в которой записываются все конечные узлы в сети и номера
переходов маршрутизации
. Информация о маршруте всегда доступна, независимо от того, требуется ли маршрут исходному узлу или нет.
Маршрутам
присваивается порядковый номер, чтобы отличать устаревшие маршруты от новых. Обновления таблицы
маршрутизации
периодически рассылаются по всей сети для поддержания согласованности. Чтобы уменьшить объем сетевого
трафика, который это
создает, обновления таблиц отправляются в виде небольших дополнительных обновлений в периоды низкой
мобильности. В периоды
высокой мобильности распространяются полные обновления таблиц. По мере добавления в таблицы новых
маршрутов они включают
адрес конечного узла и количество переходов. Всегда используется маршрут с самым последним порядковым
номером (указывающим
на свежесть). Если два маршрута имеют одинаковый порядковый номер, то используется маршрут с меньшим
количеством переходов
.
2.2 Изложенный протокол AODV
Специальный вектор расстояния по требованию (AODV) основан на протоколе DSDV, минимизируя требуемое
количество широковещательных передач путем создания маршрутов по запросу, инициируемых источником. Нет
необходимости
вести полный список маршрутов. Когда узел-источник хочет установить связь с узлом-получателем, он
передает (многоадресная рассылка, если используется IPv6) пакет запроса маршрута (RREQ) своим соседям.
Они перешлют
его своим соседям и так далее, пока он не достигнет узла с новым маршрутом до пункта назначения или
самого пункта назначения. (Рис. 4)
Рис. 4. Обнаружение маршрута AODV / DSR, сообщение запроса маршрута передается широковещательно,
сообщение ответа маршрута является одноадресным
AODV использует порядковые номера, чтобы указать свежесть маршрута и избежать петель маршрута. Во время
пересылки
пакетов RREQ промежуточные узлы записывают в свои кэшированные таблицы маршрутов адрес соседа , от
которого
они получили RREQ, тем самым устанавливая обратный путь. Узел назначения или промежуточный узел с
новым маршрутом к месту назначения отвечает одноадресной передачей пакета RREP (route reply) источнику по
обратному пути. (Примечание: из-за этого AODV имеет ограничение только на поддержку маршрутов по
двунаправленным ссылкам,
маршруты по однонаправленным ссылкам завершатся неудачей). Мобильность узлов может нарушить ранее
установленный маршрут.
Вышестоящий узел обнаруживает это, и уведомление об ошибке соединения отправляется каждому из его
активных вышестоящих соседей до тех
пор, пока не будет достигнут источник, который при необходимости может инициировать новый запрос
маршрута.
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
741
3. Ценные бумаги в мобильных одноранговых сетях
При обсуждении сетевой безопасности в целом необходимо учитывать два аспекта: требуемые услуги и
потенциальные атаки. Аспект служб безопасности включает в себя функциональность , которая требуется для
обеспечения безопасной
сетевой среды, в то время как атаки безопасности охватывают методы, которые могут быть использованы для
взлома этих
служб безопасности.
3.1 Цели сетевой безопасности
Для обеспечения безопасной сетевой среды могут потребоваться некоторые или все из следующих услуг:

Конфиденциальность: Гарантирует, что предполагаемые получатели могут получить доступ только к
переданным данным. Обычно это
обеспечивается с помощью шифрования. Обычно используются два типа шифрования (подробное описание
которых
выходит за рамки данного отчета).Симметричное шифрование, где 2 узла совместно используют ключ
(например, - DES, AES).
Любые данные, передаваемые между узлами, шифруются с помощью этого ключа. Этот ключ должен быть
предоставлен
узлам по защищенному каналу. Симметричное шифрование обычно требует меньше вычислительных ресурсов
, чем шифрование с открытым ключом. Шифрование с открытым ключом, при котором все участвующие узлы
генерируют пару
открытых \ закрытых ключей pubKn / privKn. Узел делает свой открытый ключ pubKn доступным для всех узлов.
Если
другие узлы хотят отправить данные на узел n, они шифруют свои данные с помощью pubKn, зная
, что они могут быть расшифрованы только с помощью закрытого ключа n privKn, который знает только узел n.

Целостность: гарантирует, что данные не были изменены во время передачи. Служба целостности может быть
предоставлена с использованием криптографических хэш-функций наряду с некоторой формой шифрования.
Когда речь
идет о сетевой безопасности, служба целостности часто неявно предоставляется службой аутентификации .

Аутентификация: как отправитель, так и получатель данных должны быть уверены в подлинности друг друга.
Аутентификация может быть обеспечена с использованием шифрования наряду с криптографическими хэш -
функциями, цифровыми
подписями и сертификатами. Подробную информацию о создании и функционировании цифровых подписей
можно найти
в RFC2560.

Неотрицание: гарантирует, что стороны могут доказать передачу или получение информации
другой стороной, т.Е. Сторона не может ложно отрицать получение или отправку определенных данных.
Неотказуемость
требует использования криптографии с открытым ключом для предоставления цифровых подписей. Цифровая
подпись должна быть предоставлена доверенной третьей стороной.

Доступность: Гарантирует, что перечисленные выше предполагаемые службы сетевой безопасности будут
доступны
предполагаемым сторонам, когда это потребуется. Доступность обычно обеспечивается резервированием,
физической защитой
и другими некриптографическими средствами, например, использованием надежных протоколов.
Это расплывчатый показатель, который в той или иной степени обеспечивается всеми протоколами
безопасности. Существуют различные типы
угроз или атак, к которым сети могут быть уязвимы, некоторые из которых перечислены ниже:
3.1.1 Атаки

Подслушивание: эта атака используется для получения информации о передаваемых данных. Это пассивная
атака,
которая легко выполняется во многих сетевых средах. Однако использование схемы шифрования для
защиты передаваемых данных может предотвратить эту атаку.

Олицетворение: здесь злоумышленник использует идентификатор другого узла для получения
несанкционированного доступа к
ресурсу или данным. Эта атака часто используется в качестве предпосылки для подслушивания. Выдавая себя
за законный узел, злоумышленник может попытаться получить доступ к ключу шифрования, используемому для
защиты передаваемых
данных. Как только злоумышленник узнает этот ключ, он может успешно выполнить атаку подслушивания.

Модификация: эта атака изменяет данные во время передачи между взаимодействующими узлами,
подразумевая, что взаимодействующие узлы не имеют одинакового представления передаваемых данных. Ан
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
742
примером может служить ситуация, когда переданные данные представляют собой финансовую транзакцию, в
которой злоумышленник
изменил значение транзакции.

Повтор: злоумышленник повторно передает данные, ранее переданные законным узлом.

Отказ в обслуживании (DoS): Эта активная атака направлена на блокирование или ограничение доступа к
определенному ресурсу.
Этим ресурсом может быть конкретный узел, служба или вся сеть. Это повлияет
на упомянутую выше службу безопасности доступности. Природа одноранговых сетей, в которых существует
несколько маршрутов между
узлами и маршруты очень динамичны, придает одноранговой сети встроенную устойчивость к DoS-атакам по
сравнению со стационарными
сетями. Механизмы безопасности для беспроводных одноранговых сетей должны быть направлены на
предоставление всех
перечисленных выше служб безопасности и предотвращение любой из упомянутых атак. Однако из-за
отсутствия
инфраструктуры в одноранговой беспроводной сети типичные проводные сетевые реализации методов
, упомянутых выше, могут быть невозможны. Наряду с общими проблемами, перечисленными выше,
существуют и другие
конкретные ключевые проблемы и проблемы для обеспечения безопасности в ad-hoc.

Безопасность на уровне канала: В беспроводной среде каналы подвержены атакам, при которых
подслушивающий
может перехватывать пакеты данных. Физические барьеры, такие как стены, комнаты и т. Д., Не создают
препятствий для беспроводных
радиопакетов.

Маршрутизация \ Безопасность сетевого уровня: маршрутизация в одноранговых сетях более уязвима для
атак, поскольку
каждое устройство само действует как маршрутизатор. Злоумышленник может выдавать себя за узел-участник и
неправильно маршрутизировать пакеты
для достижения атаки. При этом особенно легко удается опровергнуть сервисные атаки. Таким образом,
внедрение
протокола безопасной маршрутизации является одной из проблем в сети ad hoc. Использование IPSec для
обеспечения
аутентификации, конфиденциальности и целостности обсуждается в этом отчете. Защищая весь IP-трафик (или
любой другой используемый протокол сетевого уровня), вы также обеспечиваете безопасность выхода.

Управление ключами: Общая сетевая безопасность реализация ключей включает в себя доверенный орган.
Учитывая отсутствие инфраструктуры в ad-hoc, как правило, невозможно иметь фиксированный доверенный
орган.
Требуется альтернатива этому. Теперь будут описаны механизмы безопасности для протоколов 802.11
и протокола Bluetooth.
3.2 Безопасность на основе стандарта 802.11
3.2.1 WEP
В комплект поставки версии 802.11b (WiFi) входит протокол шифрования Wireless Encryption Protocol (WEP).
WEP защищает пакеты на канальном уровне передачи данных с использованием шифрования с симметричным
ключом. Это подробно описано в
стандарте 802.11 .WEP стремится предоставлять следующие услуги безопасности:

Конфиденциальность: Основной целью WEP является предотвращение атак подслушивания.

Целостность: связанная с этим цель состоит в том, чтобы предотвратить подделку передаваемых сообщений;
контрольная сумма обеспечивает
это.
WEP не ставит своей целью обеспечение аутентификации или неотказуемости. (Это невозможно , поскольку он
использует симметричный ключ, общий
для всех сторон). WEP полагается на секретный симметричный ключ k, совместно используемый между
взаимодействующими узлами для
защиты данных. Для этого также требуется вектор инициализации-IV (иногда называемый номером сети или
SSID),
который должен быть настроен одинаково на каждом узле. Для повышения безопасности IV следует регулярно
обновлять
. Это может быть сделано вручную или программно и остается на усмотрение разработчика. Также на
усмотрение
разработчика остается метод распределения симметричного общего ключа k между узлами. Это может не быть
проблемой для одноранговых сетей, сформированных там, где все узлы были предварительно настроены с
помощью этого ключа. Но это сделало бы WEP
непригодным для одноранговых сетей, где узлы были полностью независимы друг от друга до присоединения к
сети, поскольку
ключ должен был бы распространяться в виде обычного текста по радиоканалу , оставляя его широко открытым
для
перехвата злоумышленником. Предлагаемый метод распространения этого ключа среди узлов,
присоединяющихся к одноранговой сети, может быть взят
из статьи, где ключ передается по защищенному побочному каналу, независимому от основного
канала передачи данных. ИК-порт, аудио или физические средства являются возможными кандидатами для этого
побочного канала. Основа
безопасности конфиденциальности и целостности WEP заключается в “неспособности атаковать алгоритм
хеширования RC4 методом грубой силы
". Размер бита ключа, используемого в WEP, варьируется от базового 40-битного шифрования (которое все
еще распространено на многих устройствах) до 128-битного шифрования. Возможность вычислительного взлома
40-битного шифрования
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
743
ключи были возможны в течение нескольких лет (как подробно описано в публикации Netscape 40-bit SSL crack).
Поэтому любые
40-битные реализации WEP очень небезопасны. Дополнением к этой незащищенности является использование
IV
вектора инициализации шифрования). Во многих устройствах он настроен на сброс при сбросе питания
устройства и на
неслучайное увеличение с периодическими интервалами. Такой дизайн увеличивает шансы атакующего на
успех. Также
было показано, что 128-битная версия WEP также открыта для атаки. Этот отчет раскрывает слабые места для
атаки
, независимо от используемого размера ключа. Если этот ключ не обновляется регулярно (как в случае с
некоторыми базовыми
реализациями WEP), то узлы, покидающие сеть, могут быть скомпрометированы и общий ключ может быть
обнаружен. Было
показано, что WEP имеет серьезные недостатки и даже без этих недостатков может не подходить для
одноранговых сетей
из-за требования, согласно которому узлы должны быть предварительно сконфигурированы с использованием
симметричного ключа шифрования. Однако, если
возможно предоставить этот симметричный ключ WEP узлам, участвующим в одноранговой сети, WEP будет
бесконечно лучше, чем отсутствие безопасности вообще.
3.2.2 Безопасность WPA и 802.11i
В результате проблем, обнаруженных с WEP для шифрования беспроводных данных, группа IEEE предложила и
работает над протоколом 802.11i. До выпуска 802.11i защищенный доступ Wi-Fi (WPA) был разработан для
усиления незащищенности WEP. WPA был создан и продвигался WiFi Alliance, в который входят
Microsoft, Intel, Cisco и Apple. Они эффективно использовали проект предложений стандарта 802.11i для
создания WPA, который
обеспечивает некоторые из предлагаемых функциональных возможностей стандарта 802.11i.WPA обратно
совместим с 802.11a и b.

WPA
WPA обеспечивает аутентификацию, требуя реализации стандарта 802.1X. Стандарт 802.1X был
разработан для защиты проводных сетей и обычно называется RADIUS. Платформа 802.1X предоставляет
канальному уровню расширяемую аутентификацию, обычно используемую на более высоких уровнях. 802.1X
требует трех объектов:

Запрашивающий - находится на клиенте беспроводной локальной сети

Аутентификатор - находится на точке доступа

Сервер аутентификации - находится на сервере RADIUS.
Аутентификация заявителя с помощью аутентификатора \ сервера аутентификации выполняется с
использованием
аутентификации с открытым ключом EAP \ TLS. Аутентификатор разрешает доступ к себе только через один
порт; заявитель не имеет
доступа к остальной части сети. Аутентификатор запрашивает у заявителя учетные данные , которые могут быть
цифровым сертификатом или именем пользователя и паролем, и передает эту информацию на сервер
аутентификации. Если доступ
одобрен, аутентификатор передает уникальный главный ключ для каждого запрашивающего, из которого
сетевой адаптер запрашивающего получает ключ TKIP (протокол целостности временного ключа ), ключ
целостности пакетов и другие
криптографические требования. После того, как пользователь прошел аутентификацию, EAP используется для
частого обновления главного ключа,
уменьшая окно возможностей для перехвата пакетов для взлома. Обратите внимание, что, хотя сам EAP не
зашифрован, а EAP-TLS сложно реализовать в беспроводных сетях, были проведены работы по туннелированию
EAP
внутри туннеля. (Решение Microsoft см. в разделе "PEAP" в Microsoft TechNet). WPA был разработан для
связи между беспроводными устройствами и центральной точкой доступа. Ограничения этой системы для
одноранговых
сетей сразу очевидны. Было бы возможно реализовать эту аутентификацию на основе 802.1X для одноранговых
сетей, где существует постоянное, всегда доступное устройство с достаточным количеством ресурсов для работы
в качестве
сервера аутентификации. Это не относится к стереотипной одноранговой сети без какой-либо ранее
существовавшей
инфраструктуры. В статье перечислена альтернатива для сетей без RADIUS-сервера, где WPA
поддерживает использование предварительно общего ключа. Эта альтернатива, аналогичная симметричному
ключу WEP, подвержена тем же
ограничениям, что и при распространении этого ключа среди узлов в одноранговой сети до их присоединения к
сети.
WPA обеспечивает конфиденциальность, отбрасывая шифрование WEP и используя AES. Он также использует
TKIP для обновления ключа
безопасности для каждого отправленного кадра. TKIP работает как для реализаций WPA на основе RADIUS, так
и для реализаций WPA на основе предварительно разделяемых ключей
.WPA обеспечивает целостность данных с помощью 8-битного MIC (код целостности сообщения), который
добавляется к 32-битному ICV (значение проверки целостности) из WEP, который, как было установлено,
подвержен атаке.

802.11i
WPA адресует подмножество того, что будет представлять собой 802.11i. Ожидается, что 802.11i будет
ратифицирован в середине 2004 года. 802.11i
повысит конфиденциальность, обеспечиваемую WPA, за счет использования RSN (надежная сеть безопасности),
которая использует
алгоритм шифрования AES. Это также удалит возможность использования предварительно общего ключа ,
который предлагает WPA, чтобы разрешить только
Рачика Гупта и др. / Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
744
более безопасное распределение ключей на основе RADIUS \ TKIP. По тем же причинам, которые описаны для
WPA, это сделает
802.11i непригодным для типичных одноранговых сетевых реализаций, где не существует фиксированного
сервера аутентификации.
3.3 Безопасность Bluetooth
В предыдущих разделах мы рассмотрели, как был внедрен WEP для обеспечения безопасности стандарта 802.11,
как WPA и
, в конечном счете, 802.11i были разработаны для решения проблем с 802.11i. Теперь мы рассмотрим, как
безопасность канального уровня реализована в Bluetooth. (Уровни LMP и L2CAP в терминологии Bluetooth). Эта
защита предназначена для
связи внутри пикосети. Для обмена данными по сети, как и для маршрутизации, безопасность остается на
усмотрение разработчика.
В каждом устройстве Bluetooth есть четыре объекта, используемые для поддержания безопасности на уровне
канала.

Адрес устройства Bluetooth (BD_ADDR), который представляет собой 48-битный адрес, уникальный для
каждого
устройства Bluetooth.

Закрытый ключ аутентификации, представляющий собой 128-битное случайное число, используемое для
целей аутентификации.

Закрытый ключ шифрованиядлиной 8-128 бит, который используется для шифрования.

Случайное число (RAND), представляющее собой часто меняющееся 128-битное случайное или
псевдослучайное
число, создаваемое самим устройством Bluetooth.
Безопасность Bluetooth разделена на три режима:
-Режим безопасности 1: небезопасный
-Режим безопасности 2: принудительная безопасность на уровне обслуживания
-Режим безопасности 3: принудительная безопасность на уровне канала
Разница между режимом безопасности 2 и режимом безопасности 3 заключается в том, что в режиме
безопасности 3 устройство Bluetooth
инициирует процедуры безопасности до установления канала. В режиме 2 канал настраивается, и безопасность
выполняется выше по стеку протоколов. Ключи безопасности создаются в Bluetooth с использованием
комбинации
адреса устройства, RAND и PIN-кода, введенных пользователем.
4. Проблема безопасности Manets и предлагаемое решение
Как мы знаем, в сетях MANET отсутствует централизованное администрирование и предварительная
организация, поэтому проблемы безопасности
отличаются от тех, которые существуют в обычных сетях. Беспроводные каналы связи делают сети MANET
более восприимчивыми к
атакам. Хакерам легче подслушивать и получать доступ к конфиденциальной информации. Кроме того, им легче
входить в беспроводную сеть или выходить из нее, поскольку физическое подключение не требуется. Они также
могут напрямую атаковать
сеть, чтобы удалять сообщения, вводить ложные пакеты или выдавать себя за узел. Это противоречит цели сети
по обеспечению доступности, целостности, аутентификации и неотрицательности . Скомпрометированные узлы
также могут запускать атаки
изнутри сети. Большинство предлагаемых сегодня алгоритмов маршрутизации не определяют схемы защиты от
таких
атак. Ниже мы приводим методы, которые применимы для аутентификации, распределения ключей, обнаружения
вторжений и
перенаправления в случае сбоев Byzantine в сетях MANETs.
4.1Криптография
Часто отправителем/получателем является организация. Цель криптографии состоит в том, чтобы разделить
криптографическую операцию
между несколькими пользователями так, чтобы некоторое заранее определенное число пользователей так , чтобы
некоторое заранее определенное число пользователей
могло выполнить желаемую операцию. В организациях многие действия, связанные с безопасностью,
выполняются группой людей
, а не отдельным человеком, поэтому существует необходимость гарантировать подлинность сообщений,
отправляемых группой
людей другой группе, без расширения ключей и / или сообщений. Чтобы избежать проблем с управлением
ключами
и обеспечить распределение полномочий, организация должна иметь один открытый ключ. Затем право подписи
должно
быть разделено, чтобы избежать злоупотреблений и гарантировать надежность.
4.2 Децентрализованная аутентификация новых режимов
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
745
Два узла аутентифицируют друг друга с помощью подписанных сертификатов, выданных виртуальным
доверенным центром сертификации. Несколько
узлов будут функционировать коллективно как центр сертификации. Полномочия и функциональность сервера
аутентификации распределены
между k узлами, которые совместно обслуживают и предоставляют службы аутентификации.
4.3 Аутентификация для каждого пакета и для каждого перехода
Новый узел должен быть первоначально аутентифицирован каждым из его соседей, чтобы присоединиться к
сети. Как только это было
выполнено, каждый пакет, отправленный узлом своему соседу с одним переходом, аутентифицируется соседом с
использованием
тега аутентификации пакета. Затем сосед с одним переходом заменяет тег своим собственным тегом
аутентификации и
пересылает пакет своему соседу. Этот следующий сосед проверяет новый тег аутентификации как поступающий
от его
непосредственного соседа, и процесс повторяется итеративно до тех пор, пока пакет не достигнет места
назначения. Следовательно,
каждый пакет аутентифицируется при каждом переходе. преимущество этой схемы заключается в том, что она
устойчива к атакам типа "отказ в обслуживании
" (DoS) и атакам с перехватом сеансов, таким как атака "человек посередине".
4.4 Обнаружение вторжений в сетях
Эффективная IDS является ключевым компонентом в обеспечении безопасности MANETs. Обычно
используются две различные методологии обнаружения вторжений: обнаружение
аномальных вторжений и обнаружение вторжений со злоупотреблением. Системы обнаружения аномалий
обычно медленны и неэффективны и склонны пропускать инсайдерские атаки. Неправильно используемые
системы обнаружения не могут обнаружить новые
типы атак. Гибридные системы, использующие оба метода, часто развертываются для того, чтобы свести к
минимуму эти
недостатки.
5. Заключение
MANETs состоит из мобильных узлов, соединенных между собой каналами связи с несколькими переходами или
радиолиниями. Сеть
состоит из мобильных платформ, известных как узлы, которые могут свободно перемещаться с любой скоростью
в любом направлении
и организовываться случайным образом. Узлы в сети функционируют как маршрутизаторы , клиенты и серверы .
Эти
узлы ограничены в энергопотреблении, пропускной способности и вычислительной мощности. Из-за этих
уникальных
характеристик и ограничений традиционные подходы к обеспечению безопасности неадекватны в MANETs.
Традиционные
методы аутентификации, распределения ключей и обнаружения вторжений часто слишком неэффективны для
использования на
устройствах с ограниченными ресурсами в сетях MANET. В этой статье мы предлагаем объединить
эффективные криптографические методы и
распределенную систему обнаружения вторжений. Мы также предлагаем использовать распределенный центр
сертификации (CA) наряду с
проверкой подлинности для каждого пакета и для каждого перехода для решения связанных с этим проблем
безопасности.
Ссылки
[1]
Г.В.С. Раджу и Рехан Акбани “Некоторые проблемы безопасности в мобильных одноранговых сетях” в материалах конференции cutting Edge Wireless and
IT Technologies, ноябрь 2004.
[2]
Д. Ремондо “Учебное пособие по беспроводным одноранговым сетям” HET-NETs ’04: Вторая международная рабочая конференция по
моделированию производительности и оценке гетерогенных сетей.
[3]
Дэвид Блаунт, “Исследование мобильных одноранговых сетевых архитектур и технологий” Национальный университет Ирландии, Корк, апрель 2004 г.
[4]
Х Ян, Х.Ю.Ло и F.Ye , “Безопасность в мобильных одноранговых сетях: проблемы и решения” Калифорнийский университет, 2004.
Беспроводная связь IEEE.11 (1), стр. 38-47.
Рачика Гупта и др./ Индийский журнал компьютерных наук и инженерии (IJCSE)
ISSN : 0976-5166
Том 2 № 5 Октябрь-ноябрь 2011 г.
746