無線Mesh網絡主要存在哪些安全問題

無線Mesh網絡主要存在以下安全問題：

• 可用性：由于無線節點受到CPU、電源、帶寬等限制，攻擊者可通過信號阻塞或者DoS攻擊等多種方式使節點快速耗盡資源而停止工作。

• 信息的機密性：由于無線鏈路傳輸信息的開放性，攻擊者通過監聽就能獲得無線鏈路傳輸的數據。這種弱點無線Mesh網絡比WLAN更嚴重，因為不僅從STA到AP，同時MP之間的鏈路同樣可能被監聽。

• 信息的完整性：從源節點到目的節點，信息經由多個無線Mesh網絡節點的轉發，流經多條無線鏈路，在每條無線鏈路中信息都可能被截斷甚至篡改，導致發送的信息和接收的信息不一致。

• 對STA的認證：上述諸多因素的存在，導致STA被攻擊或假冒的可能性大大增加，如認證信息在傳輸的過程中，由于信息的機密性無法在多跳之間保證，大大增加了泄露的可能性。

• 如何保護合法節點：防止其被假冒或被其他惡意節點俘獲。無線Mesh網絡中的MP設備往往部署在室外路燈上、室內走廊等環境，攻擊者非常容易接近設備，獲得節點的內部信息，如對稱密鑰、認證信息等，從而假冒節點，或者更改信息（如鄰居節點信息、女巫攻擊、蟲洞攻擊等），導致路由信息變更。

• 隱私性：由于目前Internet通用協議不支持隱藏通信端地址的功能，攻擊者可以通過監控用戶流量，獲得IP地址，因此即使是加密數據也能夠被跟蹤，從而暴露通信雙方的身份、流量模式及其敏感信息。

• 路由安全：在無線Mesh網絡中節點發送的信息通常需要多跳才能到達目的網絡，因此如果有假冒節點廣播惡意路由，將導致網絡擁塞不可用。在Mesh無線網絡中，路由器均使用無線接入，因此路由節點本身可能是移動的，即路由是動態調整的，動態路由增加了對一些安全事件的檢測難度，如蠕蟲攻擊等，攻擊者偽裝成合法的節點，發布錯誤的路由信息，大量占用網絡資源，使網絡阻塞等，所以需要設計安全的路由協議以對抗針對路由協議的攻擊。

無線Mesh網絡主要有以下安全解決方法：

• 節點身份認證：由于MP是分布的、動態變化的，對新加入的設備進行認證可以大大加強網絡的安全性。建立安全可靠的Mesh網絡，就必須能阻止未授權的設備通過網絡直接發送和接收數據；能阻止或檢測出未授權設備參與到內部路由或外部路由中，防止惡意節點建立Mesh網絡之外的目的地轉發表；在組建Mesh網絡時要阻止設備之間建立未授權的Mesh服務。

• 信息的加密和完整性：為防止信息被篡改可以采用信息加密和數字簽名來確保源信息和目的信息的一致性和安全性。

• 密鑰管理：無論是節點認證還是路由信息的保護，都需要用到密鑰，因此無線Mesh網絡需要建立密鑰體系，避免每次都重新認證和協商，這不但降低了計算成本，而且為節點切換的高效性提供服務，如802.11s的密鑰體系可以分為鏈路安全和密鑰分發兩個部分。

• 路由加密和完整性：采用路由信息加密和數字簽名來確保安全可有效防止路由信息被竊聽和篡改。因此無線Mesh網絡中的節點在交換路由信息前，必須通過認證并協商通信密鑰。目前有較多的安全路由協議可供選擇，如SAODV、Ariadne、SEAD、CSER、SRP、SAAR、BSAR、SBRP等。

• 入侵檢測：無線Mesh網絡采用無線開放鏈路，節點的物理保護無法得到保證，信息容易被偷竊、捕獲，因此入侵無線Mesh網絡比較容易。在節點受到攻擊后，若不能及時發現，則整體網絡的聯通性和安全性都會受到影響。在使用認證、加密等技術防止外部攻擊的同時，也要防止內部入侵，及時發現內部入侵者是無線Mesh網絡安全的第二道防護墻。無線Mesh網絡入侵檢測技術有以下幾種模式：獨立的入侵檢測系統，即每個節點自己運行檢測程序，并獨立對事件進行反應分布合作式入侵檢測，即部分節點運行入侵檢測程序通過互相協作實現入侵檢測，并對事件進行反應；層次式入侵檢測，即有一個主控節點對子節點進行控制，由主控節點負責分析和反應。