无线异构网络的关键安全技术

供商支持的认证，这就要完善基站等固定基础设施的安全体系和密码技术，以使得节点能接入到异构网络，获得异构网络的认证。

　　2.3 接入认证技术

　　现有的大多数认证体系如Kerberos及X.509等普遍是针对一般的集中式网络环境提出的，因其要求有集中式认证机构如证书发放中心或CA。而对于无固定基础设施支持的分布式移动Ad hoc网络，网络拓扑结构不断地动态变化着，其认证问题只有采用分布式认证方式。对于异构网络，蜂窝基站的引入则可以在充分发挥Ad hoc自身优势的同时克服其固有缺陷。可以根据集中式网络和分布式网络各自的特点，建立异构网络的接入认证系统。文献[28]讨论了WLAN中的节点接入3G的安全认证问题。它构建3G-WLAN信任模型来严格维持3G-WLAN融合网络中所有组成成分之间的信任关系，以加强接入认证过程，保护3G网络免遭伪造的接入认证请求。

　　从Ad hoc和蜂窝融合网络3种系统模式来看，以蜂窝技术为主Ad hoc为辅的融合网络系统模式，其接入认证的重点就是如何让合法的Ad hoc网络用户安全地接入到蜂窝网络中；以Ad hoc为主蜂窝技术为辅的融合网络系统模式，其接入认证的重点则是如何在Ad hoc内部实现安全以及蜂窝网管理Ad hoc网络时如何安全的传输控制信息。而事实上，这种模式下甚至可以直接采用蜂窝网中一样的接入认证过程，如CAMA。Ad hoc和蜂窝融合的第三种模式--混合模式，则更需要对每个用户的身份信息等进行更加严格的认证。异构网络用户的身份信息认证又包括Ad hoc网络与有基站等固定基础设施的集中式网络之间的认证和任意两种集中式网络之间的认证。

　　对于复杂的异构网络安全性而言，传统意义上的接入认证只是第一道防线。对付那些已经混入网络的恶意节点，就要采取更严格的措施。建立基于基站的和节点声誉评价的鉴权认证机制或许是一个好的方法。因为蜂窝系统的末端接入网络是完全依赖于节点的广泛分布及协同工作而维护正常通信的，既要拒绝恶意节点的接入，又要确定合适的评价度，保证合法节点不因被恶意节点诬陷而被拒绝接入。这样可以最大限度的保证网络资源的可使用性。

　　在异构网络中，基站和各移动节点可以共同担当声誉机制中心这类权威机构的角色，形成以基站为主，移动节点分布式评价为辅的方式。同时，还可以借鉴文献[29]中的方式：在节点接入网络时进行预认证，之后网络中的基站和其他移动节点对它的行为跟踪，使它的恶意行为对应一定的声誉值，重新对它进行鉴权认证。

　　2.4 入侵检测技术

　　异构网络与有线网络存在很大区别，针对有线网络开发的入侵检测系统(IDS)很难直接适用于无线移动网络。传统的IDS大都依赖于对整个网络实时业务的监控和分析，而异构网络中移动环境部分能为入侵检测提供的数据只限于与无线通信范围内的直接通信活动有关的局部数据信息，IDS必须利用这些不完整的信息来完成入侵检测。其次，移动网络链路速度较慢、带宽有限、且节点依靠电池供应能量，这些特性使得它对通信的要求非常严格，无法采用那些为有线IDS定义的通信协议。第三，移动网络中高速变化的拓扑使得其正常与异常操作间没有明确的界限。发出错误信息的节点，可能是被俘节点，也可能是由于正在快速移动而暂时失去同步的节点，一般IDS很难识别出真正的入侵和系统的暂时性故障。因此，一个好的思路就是研究与异构网络特征相适应的可扩展性好的联合分级检测系统。

　　目前备受好评的主流入侵检测系统有两种：基于移动代理技术的分布式入侵检测系统[30]和Ad hoc网络分布式入侵检测系统[31]。前者的核心是移动代理模块。根据有限的移动代理在Ad hoc中的不同作用，按某种有效的方式将移动代理分配到不同的节点，执行不同的入侵检测任务。检测的最后结果由一个行动执行模块来付诸实施。由于移动代理数量的大大减少，该模型相对其他IDS具有较低的网络开销。

Ad hoc网络分布式入侵检测系统要求网络中所有节点共同参与入侵检测与响应。每个节点配备有一个IDS代理，这些IDS代理运用了基于统计性异常的检测技术。当某一节点报告一个异常时，不同区域IDS代理互相合作，发起全局入侵检测和响应。在这个分布式入侵检测系统的基础上，文献[32]提出了一种基于簇的多层合作入侵检测系统。簇中任一节点(包括簇头、副簇头和网关节点)都独立运行各自的IDS模块，监控本地的活动，参与本地入侵检测。如果节点(包括副簇头和网关节点)检测到异常或可疑，但不能判定是否被攻击，则向簇头发出执行全局协作检测的请求。簇头接到请求后，通过查询所有节点的IDS状态来判定是否遭受攻击。这一基于簇的多层合作IDS