一種無(wú)線網(wǎng)狀網(wǎng)安全接入方案

吳月輝　尹俊勛　周紹午

【摘要】安全接入是無(wú)線網(wǎng)狀網(wǎng)(WMN)的關(guān)鍵技術(shù)之一,也是限制其進(jìn)一步推廣的主要原因之一。文章將WAPI機(jī)制引入無(wú)線網(wǎng)狀網(wǎng)系統(tǒng),根據(jù)無(wú)線網(wǎng)絡(luò)的特性,以及各個(gè)節(jié)點(diǎn)在WMN中的不同作用,簡(jiǎn)化了WMN中各節(jié)點(diǎn)的關(guān)系,并對(duì)WAPI協(xié)議進(jìn)行適當(dāng)改進(jìn),實(shí)現(xiàn)了無(wú)線網(wǎng)狀網(wǎng)系統(tǒng)中各節(jié)點(diǎn)的安全接入。理論分析表明,該方案不僅簡(jiǎn)化了WMN中各網(wǎng)元節(jié)點(diǎn)的安全接入,而且降低了網(wǎng)絡(luò)傳輸延時(shí),提升了WMN的通信效率和可管理性。

【關(guān)鍵詞】WAPI WMN 安全接入 MAP MPP

1 前言

近年來(lái),隨著無(wú)線寬帶接入技術(shù)的發(fā)展,WLAN集中式的接入方案已越來(lái)越不能滿足人們的需求。無(wú)線網(wǎng)狀網(wǎng)(WMN,Wireless Mesh Networks)可以組建含有多跳無(wú)線鏈路的分布式的網(wǎng)狀無(wú)線網(wǎng)絡(luò),方便地?cái)U(kuò)展了無(wú)線接入系統(tǒng)的覆蓋范圍,提高了網(wǎng)絡(luò)的健壯性,可以實(shí)現(xiàn)快速組網(wǎng)。它被譽(yù)為“無(wú)線寬帶的未來(lái)”、“經(jīng)濟(jì)寬帶世界的推動(dòng)者”,具有強(qiáng)大的生命力和廣闊的市場(chǎng)前景。

我國(guó)在2003年提出的泛適認(rèn)證和保密基礎(chǔ)結(jié)構(gòu)WAPI(Wide Authentication and Privacy Infrastructure)是實(shí)現(xiàn)通信節(jié)點(diǎn)和網(wǎng)絡(luò)承接節(jié)點(diǎn)之間的雙向認(rèn)證和保密的、適用于主流網(wǎng)絡(luò)物理拓?fù)湫螒B(tài)的安全體系架構(gòu)。由于其首先在無(wú)線局域網(wǎng)中成功應(yīng)用,所以也稱為無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)(WLAN Authentication and Privacy Infrastructure)。本文對(duì)WAPI協(xié)議作了改進(jìn),提出了一種適用于WMN的安全接入機(jī)制,實(shí)現(xiàn)各站點(diǎn)及終端設(shè)備的安全接入。

2 WAPI協(xié)議簡(jiǎn)介

WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAI,WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI,WLAN Privacy Infrastructure)組成。WAI的主要功能有用戶身份鑒別、密鑰管理等,WPI的主要功能有數(shù)據(jù)的保密傳輸、數(shù)據(jù)的完整性保證等。站點(diǎn)(STA)和接入點(diǎn)(AP)在公信的第三方鑒別服務(wù)器(AS)的參與下通過(guò)數(shù)字證書(shū)來(lái)相互認(rèn)證——不僅AP可以檢查STA的合法性,而且STA也可以檢查AP的合法性。站點(diǎn)與接入點(diǎn)的雙向鑒別實(shí)現(xiàn)合法的設(shè)備接入合法的網(wǎng)絡(luò)。WAI由證書(shū)鑒別和密鑰協(xié)商兩部分構(gòu)成,其流程如圖1所示。

3 Mesh網(wǎng)絡(luò)的安全挑戰(zhàn)

根據(jù)各個(gè)節(jié)點(diǎn)在無(wú)線網(wǎng)狀網(wǎng)中發(fā)揮作用的不同,可大致將其分為以下三類:一類為僅支持Mmesh互聯(lián)的MP(Mesh Point),一類為支持Mesh互聯(lián)和接入的MAP(Mesh Access Point),還有一類為支持Mesh互聯(lián)和外網(wǎng)互通的網(wǎng)關(guān)節(jié)點(diǎn)MPP(Mesh Point with a Portal)。將WMN中各節(jié)點(diǎn)的功能進(jìn)行分解后,一種典型的WMN架構(gòu)如圖2所示:

WMN和WLAN都屬于寬帶無(wú)線接入網(wǎng)絡(luò),開(kāi)放的網(wǎng)絡(luò)環(huán)境使它們?cè)诎踩矫嬗泻艽蟮墓残?如針對(duì)數(shù)據(jù)的機(jī)密性和完整性、設(shè)備及用戶的認(rèn)證性等的威脅。而WMN多跳的拓?fù)浣Y(jié)構(gòu),使其面臨比WLAN更為復(fù)雜的安全挑戰(zhàn),如:無(wú)線的多跳鏈路延緩了對(duì)攻擊的檢測(cè)和應(yīng)對(duì);節(jié)點(diǎn)間通信需要多個(gè)無(wú)線節(jié)點(diǎn)的相互配合,因此需要構(gòu)建節(jié)點(diǎn)間可靠的信任關(guān)系;節(jié)點(diǎn)的物理曝光使得設(shè)備更加難于保護(hù)和管理等。目前安全問(wèn)題已成為阻礙WMN大規(guī)模商業(yè)化應(yīng)用的一個(gè)重要原因。

4 適用于WMN的WAPI機(jī)制

由于WMN無(wú)線的拓?fù)浣Y(jié)構(gòu)使其內(nèi)部節(jié)點(diǎn)間的關(guān)系異常復(fù)雜,如果不進(jìn)行簡(jiǎn)化而直接挪用無(wú)線局域網(wǎng)中的鑒別機(jī)制,網(wǎng)絡(luò)認(rèn)證過(guò)程將會(huì)變得極其復(fù)雜。根據(jù)無(wú)線連接的特性以及各節(jié)點(diǎn)在WMN中的作用的不同,可以將WMN中的節(jié)點(diǎn)分成兩大類:一類是MAP、MPP和MP等Mesh骨干節(jié)點(diǎn),其構(gòu)成骨干Mesh網(wǎng)絡(luò);另一類是STA,其為待接入Mesh網(wǎng)絡(luò)節(jié)點(diǎn)。若第一類節(jié)點(diǎn)構(gòu)建的無(wú)線鏈路是安全的,那么對(duì)于STA來(lái)說(shuō),STA接入無(wú)線網(wǎng)狀網(wǎng)的單跳的無(wú)線連接的安全需求可以等同于WLAN中的無(wú)線接入安全需求,可以直接采用現(xiàn)有的WAPI機(jī)制。因此,我們的主要目標(biāo)是構(gòu)建安全的骨干Mesh網(wǎng)絡(luò)。基于以上考慮,設(shè)計(jì)如下方案:

預(yù)設(shè)條件:(1)MPP、STA、MAP、MP各設(shè)備已經(jīng)安裝了同一AS頒發(fā)的數(shù)字證書(shū),(2)AS處于有線網(wǎng)絡(luò)中可以路由到的安全位置。

WMN中改進(jìn)的WAPI鑒別流程如下:

(1)MPP判斷是否有MAP與其直接關(guān)聯(lián);

(2)若有,則各Mesh骨干節(jié)點(diǎn)MPP、MAP、MP中分別與其直接關(guān)聯(lián)的節(jié)點(diǎn)采用WAPI協(xié)議進(jìn)行證書(shū)鑒別。其中,MAP與MPP完成證書(shū)鑒別后,繼續(xù)完成密鑰協(xié)商,執(zhí)行完后跳至步驟(6);

(3)若無(wú),則各骨干Mesh節(jié)點(diǎn)中分別與其相互關(guān)聯(lián)的節(jié)點(diǎn)采用WAPI協(xié)議進(jìn)行證書(shū)鑒別,鑒別完成后執(zhí)行步驟(4);

(4)MAP發(fā)送鑒別登記幀到網(wǎng)關(guān)MPP,該登記幀可以包含該MAP所支持的安全策略、WAPI信息元素等信息;

(5)MPP收到該鑒別登記幀后,根據(jù)其所包含的安全策略信息,向MAP發(fā)出鑒別激活幀。MAP、MPP、AS之間用WAPI協(xié)議進(jìn)行身份認(rèn)證,并完成MAP和MPP之間的密鑰協(xié)商;

(6)待MAP、MPP、AS之間完成組播密鑰協(xié)商后,MAP根據(jù)與STA關(guān)聯(lián)過(guò)程中所獲取的信息,以及STA所支持的安全策略,向STA發(fā)出鑒別激活分組。STA、MAP、AS之間用WAPI協(xié)議進(jìn)行身份認(rèn)證,并協(xié)商出STA與MAP間通信的單播及組播密鑰。

流程如圖3所示:

5 方案性能分析

5.1 安全性

一套實(shí)際使用的安全接入方案的基本功能有兩個(gè),其一是對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備進(jìn)行身份認(rèn)證,其二是進(jìn)行密鑰協(xié)商。接下來(lái)就討論本安全接入方案的這兩方面。

(1)身份認(rèn)證

在WMN中,各骨干Mesh節(jié)點(diǎn)既是請(qǐng)求認(rèn)證者,又是認(rèn)證者。基于802.11i健壯性安全網(wǎng)絡(luò)關(guān)聯(lián)(RSNA,Robust Security Network Association)的WMN安全框架結(jié)構(gòu)如圖4所示:

由上一節(jié)可知,當(dāng)MAP與MPP沒(méi)有直接關(guān)聯(lián)時(shí),采用改進(jìn)的WAPI機(jī)制,WMN中各網(wǎng)元節(jié)點(diǎn)的接入如圖5所示:

當(dāng)MAP與MPP直接關(guān)聯(lián)時(shí),采用改進(jìn)的WAPI機(jī)制,WMN中各網(wǎng)元節(jié)點(diǎn)的接入如圖6所示:

將圖4與圖5、圖6進(jìn)行對(duì)比可知,在圖5中采用WAPI協(xié)議進(jìn)行雙向認(rèn)證,不僅可以保證WMN中直接關(guān)聯(lián)的節(jié)點(diǎn)相互進(jìn)行身份鑒別,而且MAP還通過(guò)發(fā)送鑒別登記幀至MPP,進(jìn)行MPP與MAP間的身份鑒別(若MAP與MPP直接關(guān)聯(lián),則無(wú)需發(fā)送鑒別登記幀)。WAPI協(xié)議使用數(shù)字證書(shū)作為身份憑證,進(jìn)行雙向鑒別,不僅認(rèn)證節(jié)點(diǎn)可以驗(yàn)證請(qǐng)求認(rèn)證者的身份,而且請(qǐng)求認(rèn)證者也可以驗(yàn)證認(rèn)證者的身份。因此,圖5、圖6中的接入方法,可以保證各網(wǎng)元身份的合法性。

此外,圖4和圖6屬于同種關(guān)聯(lián)關(guān)系,但顯然圖6的接入過(guò)程要簡(jiǎn)單得多。

(2)密鑰協(xié)商

在圖4中,各節(jié)點(diǎn)完成身份鑒別后總要進(jìn)行密鑰協(xié)商,密鑰協(xié)商的次數(shù)與參與網(wǎng)元節(jié)點(diǎn)數(shù)目相關(guān)。密鑰的增多會(huì)加大網(wǎng)絡(luò)中密鑰管理難度。而在本方案中,僅在骨干Mesh節(jié)點(diǎn)MAP與MPP間進(jìn)行密鑰協(xié)商,因此在骨干Mesh節(jié)點(diǎn)間密鑰協(xié)商的次數(shù)與參與骨干節(jié)點(diǎn)數(shù)目無(wú)關(guān),一條MAP到MPP的無(wú)線鏈路僅需進(jìn)行一次密鑰協(xié)商。較少的密鑰可有效降低密鑰管理難度。

(3)其他安全措施

本方案中,在WLAN中經(jīng)常使用的一些安全措施,如MAC地址過(guò)濾、數(shù)據(jù)包過(guò)濾、采用HTTPs進(jìn)行遠(yuǎn)程登錄管理等仍然適用,可以在MAP或者M(jìn)PP中實(shí)現(xiàn)。

5.2 傳輸時(shí)延

在無(wú)線網(wǎng)狀網(wǎng)中,在某些場(chǎng)合,尤其是實(shí)時(shí)通信時(shí),對(duì)網(wǎng)絡(luò)的傳輸延時(shí)特別敏感,需要盡量減少延時(shí)。而在無(wú)線網(wǎng)絡(luò)中數(shù)據(jù)傳輸時(shí)的加解密操作是造成網(wǎng)絡(luò)傳輸延遲的主要原因之一。圖4方案采用一跳一密的方式進(jìn)行數(shù)據(jù)傳輸,雖然可以保證較高的數(shù)據(jù)保密性,但是其所造成的傳輸延遲也是不可忽視的。本方案采用多跳一密的方式,可以省去MP對(duì)數(shù)據(jù)的加解密處理,有效地減少網(wǎng)絡(luò)傳輸延時(shí),有很強(qiáng)的現(xiàn)實(shí)意義。

5.3 可運(yùn)營(yíng)、可管理性

本方案是一種基于WAPI的WMN安全接入方案。相對(duì)于其他機(jī)制來(lái)說(shuō),WAPI對(duì)于可運(yùn)營(yíng)可管理的支持有其固有的優(yōu)勢(shì),如:用戶只需要安裝一張證書(shū)即可在無(wú)線網(wǎng)絡(luò)覆蓋的不同區(qū)域?qū)崿F(xiàn)漫游;可以靈活實(shí)現(xiàn)按時(shí)、按流量、包月等多種計(jì)費(fèi)方式;可以靈活處理認(rèn)證與計(jì)費(fèi)的關(guān)系等。因此,本方案可以有效地保證網(wǎng)絡(luò)的可運(yùn)營(yíng)、可管理性。

5.4 兼容性以及對(duì)節(jié)點(diǎn)性能的要求

對(duì)于站點(diǎn)而言,上述安全接入過(guò)程是完全透明的,因此支持WAPI機(jī)制的站點(diǎn)可以直接安全地接入Mesh網(wǎng)絡(luò)中。同時(shí),由于MPP為與外網(wǎng)互通的網(wǎng)關(guān),其性能決定著WMN與外部網(wǎng)絡(luò)通信的整體性能,因此對(duì)MPP的數(shù)據(jù)處理能力要求較高,需要有一定的容量設(shè)計(jì)。

本方案與基于802.11i方案的性能比較如表1所示:

6 結(jié)論

無(wú)線網(wǎng)狀網(wǎng)是下一代無(wú)線網(wǎng)絡(luò)中相當(dāng)有生命力的技術(shù),但是安全問(wèn)題限制了其大規(guī)模商用。本文提出的一種基于WAPI的適用于WMN的安全接入方案,根據(jù)無(wú)線網(wǎng)絡(luò)的特性,以及各個(gè)節(jié)點(diǎn)在WMN中發(fā)揮的作用不同,通過(guò)合理的設(shè)計(jì)實(shí)現(xiàn)了無(wú)線網(wǎng)狀網(wǎng)的安全接入。該方案相比現(xiàn)有安全接入技術(shù)可獲取更高的整體性能。在下一步的研究中,將把該接入方式投入到WMN試驗(yàn)環(huán)境中驗(yàn)證其可行性。

參考文獻(xiàn)

[1]信息技術(shù)、系統(tǒng)間遠(yuǎn)程通信和信息交換、局域網(wǎng)和城域網(wǎng)特定要求(第11部分):無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范(GB15629.11-2003)[M]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社,2003.

[2]信息技術(shù)、系統(tǒng)間遠(yuǎn)程通信和信息交換、局域網(wǎng)和城域網(wǎng)特定要求(第11部分):無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范第1號(hào)修改單(GB15629.11-2003/XG1-2006)[M]. 北京: 中國(guó)標(biāo)準(zhǔn)出版社,2006.

[3]Yan Zhang 等著. 郭達(dá),張勇,彭曉川 等譯. 無(wú)線網(wǎng)狀網(wǎng):架構(gòu)、協(xié)議與標(biāo)準(zhǔn)[M]. 北京:電子工業(yè)出版社,2008.

[4]中國(guó)寬帶無(wú)線IP標(biāo)準(zhǔn)工作組. WAPI實(shí)施指南[M]. 2006.

[5]IEEE P802.11s/D2.0 Draft amendment to Standard for Information Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements[S]. 2007.

[6]IEEE 802.11i Std. IEEE Standard for Iinformation Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications amendment 6:Medium Access Control(MAC)Security Enhancements[S]. July 2004.

[7]Bruno R,Conti M,Gregori E. Mesh Networks:Commodity Multihop Ad Hoc Networks[J]. IEEE Communications Magazine. 2005(43):123-131.★

【作者簡(jiǎn)介】

吳月輝:華南理工大學(xué)電子與信息學(xué)院碩士研究生,主要研究領(lǐng)域?yàn)闊o(wú)線寬帶接入技術(shù)。

尹俊勛:華南理工大學(xué)電子與信息學(xué)院博士生導(dǎo)師,主要研究領(lǐng)域:通信,音視頻信號(hào)處理,計(jì)算機(jī)應(yīng)用等。

周紹午:碩士,廣州杰賽科技股份有限公司技術(shù)中心主任助理/項(xiàng)目經(jīng)理,主要研究領(lǐng)域?yàn)樾畔踩c無(wú)線寬帶接入技術(shù)。