無線局域網多域間端到端安全重路由協議研究

龐 峰,竇立君

(南京林業大學網絡安全和信息化辦公室,江蘇 南京 210037)

1 引言

隨著網絡結構愈加復雜,無線局域網正面臨著安全性問題。無線局域網一直沿用波束切換天線與路由技術的IEEE802.11系列協議,以多區域間用戶群的服務質量為目標,具有窄波束傳播的特點[1-3]。在用戶使用網絡密集的情況下,路由協議將直接影響到網絡的傳輸質量,如何在多域間保證用戶群的服務質量,提高無線局域網的安全性是亟待解決的問題[4]。

文獻[5]設計基于OpenFlow的用戶群服務質量系統,將網絡中的流量分為服務模式的普通流量和具有用戶群服務質量保障的流量,并采用不同路由算法對兩種流量的資源使用情況進行處理,當網絡擁堵時,采用重路由機制對其進行保護。文獻[6]提出基于機會路由的想法,該方法區別于傳統路由協議,根據數據包中潛在的下一跳節點,由路由度量進行判斷,動態地選擇出最優下一跳節點,該方法可提高無線局域網的吞吐量。文獻[7]設計了由區分服務組件和多路由組件構成的HiQoS系統,通過IP地址對服務的類型進行區分,基于改進Dijkstra算法對滿足QoS需求的源地址與目的地址間的路徑進行計算,當有報文時,選擇源地址與目的地址間寬帶使用率較低的路徑,避免網絡堵塞,該方法可以較好的計算路由。

基于以上研究,本文通過探測包的發送時間等信息對無線局域網的可用寬帶進行評估,對單邊寬帶進行修正,求出鏈路可用帶寬。將系統采取3個層次的結構設計,使系統能夠支持多種配置工具,具有靈活擴展性,并根據網絡節點判斷是否需要發起重路由機制。

2 無線局域網路由技術

無線局域網不需要額外的控制設備,網絡中的節點不僅可以作為用戶端,還可以作為服務端,實現設備間的相互通信。無線局域網中的路由協議主要完成選擇路由和執行數據分組兩方面工作,路由協議的目的是選擇一條穩定、高速的最佳路徑,使數據轉發過程中具有較高的吞吐量,達到更好的性能適應于不同場合。

路由度量是影響無線局域網性能的主要指標,在路由協議中具有重要的作用。路由度量作為路徑選擇的判斷依據,能有效反映路由算法的性能,以便在不同網絡規模和應用場所中獲得最佳性能,因此有很多路由度量的方法。

期望傳輸次數是針對鏈路的丟包率與最小跳數缺陷設計的方法,通過廣播探測幀對前、反向送達率的鏈路測量,計算出成功傳輸數據包的平均次數。設節點成功發送數據包的概率為Nsen,節點成功接收數據包的概率為Nrec,那么期望傳輸次數公式可表示為

(1)

雖然期望傳輸次數優于最小跳數度量,但其沒有考慮到不同帶寬的問題,導致檢測到的數據包遠少于實際的數據包,不能很好的反映出丟包率。

期望傳輸時間是針對丟包率、帶寬和數據包大小等因素進行設計。設探測包的大小為Spro,鏈路帶寬為Blin,那么期望傳輸時間公式可表示為

(2)

然而期望傳輸時間并沒有對剩余寬帶進行考慮,在總寬帶較高的情況下,會導致鏈路不同,且沒有對流內干擾和負載情況進行優化。

空時鏈路度量是針對數據幀在傳輸過程中信道的消耗總量進行設計的方法。設信道接入開銷為Prec,MAC協議開銷為Parg,測試幀大小為Fpro,傳輸速率為v,那么時空鏈路度量公式可表示為

(3)

其中,ε表示誤差。空時鏈路度量的主要缺點是沒有考慮到負載情況。綜合考慮,本文對期望傳輸次數采取優化,并作為路由的度量。為保證無線局域網的傳輸速率,鏈路的可用寬帶是衡量鏈路寬帶資源的重要指標,對其進行研究有十分重要的意義。在無線局域網中,可用寬帶表示端到端可獲得數據的最大傳輸速率,其可直接反映鏈路上可用的剩余寬帶數量,因此可作為路由選擇的度量。

(4)

若探測包傳輸速率比可用寬帶小,那么延遲時間較小,若探測包傳輸速率比可用寬帶大,那么會造成鏈路堵塞,延遲時間增長,因此捕捉到這個變化的臨界點,便可獲得可用帶寬。設同一傳輸介質中的傳播時延為Treg,傳輸時間為T,數據包的大小為Sdat,那么鏈路帶寬公式可表示為

(5)

在數據的傳輸過程中,數據的碰撞會導致消耗過多的寬帶資源,為此提出計算收發雙方同步概率的方法,結合拉格朗日算法,通過數據包的碰撞情況計算碰撞率,公式可表示為

Pass=Pcol*f(m)

(6)

其中,Pcol表示數據包統計的碰撞概率。進而可以得到整體估計公式

Tess=(1-C)(1-Pcol)×E

(7)

其中,C表示退避引起的消耗;E表示收發節點同步后修正的可用寬帶。當信道處于忙碌狀態,系統認為信道不能用于收發數據,于是可用寬帶公式可表示為

(8)

其中,Tidle表示周期內信道處于空閑狀態的時間;Tbusy表示周期內信道處于忙碌狀態的時間;Ccap表示信道容量;Tsen表示節點在一個周期內監聽信道為忙碌狀態的時間。通過獲得收發雙方的雙發最小值,便可求出鏈路可用帶寬。

3 端到端控制方案設計

端到端安全重路由的系統主要按三個分層進行設計:接口層、數據層和管理層。接口層包含各種配置工具,主要功能是對用戶輸入的配置請求進行解析,將解析后的結果交給管理層的組件進行處理。管理層根據設置好的信息模型對配置信息中的數據進行檢查,并與相關的組件關聯,將配置數據保存到數據庫中,各個組件通過數據庫中的配置數據對請求進行處理。

3.1 接口層設計

接口層起到用戶和路由器間交互的作用,用戶可用配置工具對輸入請求進行配置。CLI是用戶和路由器交互的一種可視化工具,系統包含多個命令視圖,用戶進入不同的命令視圖輸入配置請求后,接口層對命令進行接收、匹配和檢查等,獲得用戶相應的配置信息,與此同時CLI為用戶提供在線幫助。CLI對用戶命令解析需要5個階段,具體階段和功能如表1所示。

表1 CLI對用戶命令解析階段及功能

3.2 管理層設計

管理層主要通過協議對配置的信息模塊與設定的信息模塊采取數據檢測,與相應的功能組件關聯,生成數據保存到數據庫中。用戶端通過網絡配置管理協議對網絡設備進行管理,并向服務器發送查詢或修改具體參數的請求。服務器不僅需要維護網絡系統,還要對用戶端的請求作出響應,把相關數據回復給發出請求的用戶端。服務器對接收到的請求進行解析,并在管理框架的支持下處理請求。

不同網絡設備配置的模型不同,需要固定的數據模型將配置數據解析成一致的格式,以完成自動化配置。根據配置接口層,本文增加新的模型定義。在新模型中,使用“grouping”聲明把節點存入容器中,當被調用時,可根據不同的作用更新grouping的定義。在容器節點中定義三個葉節點:鏡像節點地址、目的地址和VPN接口地址,如果三個節點被標記為“config false”,則表示是狀態數據,不可對其進行配置;如果三個節點被標記為“config true”,則表示是配置數據,可對其進行配置。

3.3 數據層設計

數據層的主要作用是建立APP靜態命令行的模型,結合配置參數調用APP組件。組件的數據均封裝在本地數據區域中,組件之間可通過異步消息方式進行通信,根據不同需求可增加組件間的交互接口,根據需求分析,本文在組件上新增一些交互接口。

1) 鏡像節點模塊:當收到配置信息時,路由計算組件鏡像節點的配置信息,檢查位置標識所對應的網段路由是否存在、是否有鏡像保護。鏈路狀態數據庫組件收到預發布的鏡像信息后,將其保存在對應的位置標識處,并通知路由計算組件,對遠端的網斷路由進行添加或刪除。

2) 優先級路由源模塊:路由計算組件對信息解析,生成低優先級路由源,并對鏡像標記進行保存。如果低優先級被選中,給路由管理組件下發標記,標明該路由只用來轉發。

3) 鏡像生成模塊:鏈路狀態組件將解析的鏡像節點作為節點屬性發送給路由組件,路由計算組件根據拓撲結構對其區分,根據優選規則選擇鏡像節點地址,向分段路由組件下發索引更新。

4 重路由分析

在無線局域網中,常常因為用戶網絡節點等問題導致原有路由失效。為保持連續的通信且通信效果最佳,需要對原路由更新,進行重路由操作。

重路由需要滿足用戶路徑端到端的安全需求,安全重路由請求由五部分組成Rreq{Nsou,Nobj,Treq,Gsaf,Ncon}。其中Nsou表示源節點,Nobj表示目的節點,Treq表示用戶請求類型,Gsaf表示用戶請求安全等級,Ncon表示會話編號。為了保證重路由請求具有唯一性,網絡節點依據ID判斷是否需要發起重路由。

重路由設計的目標是:在滿足用戶網絡多域間端到端安全的前提下,最大化鏈路復用率,并將重路由路徑構建時間最小化處理,數學模型可表示為

(9)

且

(10)

其中,R表示原有鏈路復用率;Rrun表示重路由運行時間;i表示用戶請求類型;l表示鏈路;Rs＿d表示源節點到目的節點的路徑;bl表示鏈路帶寬;dl表示鏈路延遲;jl表示延遲抖動;ll表示鏈路出錯率。當重路由條件被觸發后,建立一條安全、可信的重路由路徑是無線局域網研究的重點,因此本節著重考慮鏈路的帶寬和信任值對重路由進行設計。對鏈路帶寬進行歸一化處理,公式可表示為

(11)

(12)

其中,t表示鏈路信任值;η和κ均表示調節因子。經過設計后的重路由,當鏈路可用寬帶和信任值較大的情況下,啟發費用會較小,表示鏈路有較大概率可以被選擇。這樣既能滿足用戶對無線局域網資源的需求,也有利于均衡網絡負載。

5 實驗結果與分析

為了驗證無線局域網多域間端到端安全重路由方法的有效性,本文針對重路由的成功率、運行時間兩個性能指標對重路由機制進行驗證。

隨機選擇源、目的節點和用戶應用類型構建用戶的路由請求,依據重路由機制,找到一條安全的路徑。為了更好模擬無線局域網絡流量,設置5種流量等級,產生100個路由請求,求解出安全且可信的路徑。設置不同節點,測試重路由成功率,并將本文重路由機制與傳統機制進行比較,比較結果如圖1所示。

圖1 重路由成功率對比

從圖中可以看出,隨著無線局域網絡流量等級的增加,兩種重路由機制的成功率均有下降趨勢。但本文機制的重路由成功率明顯好于傳統重路由機制,重路由成功率較高,這是由于本文設計的節點數較大,即使有故障出現,也不會受到較大的影響。

為了驗證重路由選路所需要的時間,設定流量等級為3時,測試重路由平均運行時間,并將本文重路由機制與傳統機制進行比較,結果如圖2所示。

圖2 重路由時間對比

從圖中可以看出,傳統重路由時間較長,這是因為傳統機制在路徑尋優時的整合運算較復雜,而本文采用的機制是將最短路徑進行了擴展,重路由尋路徑所需要的時間很短。

6 結束語

本文設計的無線局域網多域間端到端安全重路由機制主要以帶寬路由度量為基礎,采用主動估計算法對無線局域網的可用寬帶進行評估,結合拉格朗日算法計算收發雙方同步概率。從接口層、數據層和管理層對端到端安全重路系統進行設計,為了均衡網絡負載,對鏈路帶寬進行歸一化處理。依據本文設計的重路由機制,隨機選擇源、目的節點和路由請求,對重路由的成功率、運行時間兩個性能指標進行驗證。實驗結果表明本文方法重路由成功率較高,并且重路由在路徑尋優時具有較高的效率。