基于MSA無線網絡安全系統設計和實現

梁廣榮

(廣東培正學院 廣東 廣州 510830)

0 引言

在無線通信時代下,各種無線接入技術不斷涌現,通過應用便捷多樣的接入技術,可以為用戶提供更加優質的通信網絡服務。在這一過程中,誕生了一種移動無線寬帶接入技術,通過應用該技術,可以實現對無線局域網絡接入點的有效部署,保證網絡接入服務質量。但該技術在商用部署期間,存在一定的局限性,由于受發射功率等因素的不良影響,無線網絡覆蓋范圍被控制在10～100 m,并以視距傳輸為主。此時,如果想提高無線網絡覆蓋能力,必須要提高AP使用數量[1],這就產生了不必要的無線網絡建設維護成本,而無線網絡安全系統的設計和應用,可以有效地解決以上問題。該系統充分應用主服務協議(master service agreement,MSA),主要包含網狀鑰匙分配器(management of key distribution,MKD)和網狀身份認證(moving average,MA),保證網絡密鑰管理集中性和高效性,降低協議密鑰管理難度,同時還可以降低無線網絡構建和運營成本,提高網絡部署效率,保證了網絡認證和通信的安全性。因此,在MSA應用背景下,如何科學地設計無線網絡安全系統是技術人員必須思考和解決的問題。

1 系統總體設計

1.1 架構設計

系統架構設計流程如圖1所示,可以看出,系統整體設計主要包含以下4個步驟:

圖1 系統架構設計流程

步驟1

通信雙方相互認證,可以保證系統在認證階段和決策階段表現出較高的安全性;

步驟2

建立安全對等連接,可以保證系統通信安全性,滿足用戶安全化通信需求;

步驟3

選擇密鑰套件,做好對密鑰套件的選擇,可以實現對系統數據的加密保護[2],避免系統數據被網絡病毒非法攻擊和竊取;

步驟4

加密通信連接,可以提高系統通信穩定性和可靠性。

1.2 運行環境搭建

1.2.1 硬件

為保證硬件環境搭建質量,技術人員要按照硬件環境(表1)做好對應用服務器、數據庫服務器、客戶端機器等相關性能指標的配置,為后期系統穩定運行提供良好的硬件環境。

表1 硬件環境表

1.2.2 軟件

在進行軟件環境搭建時,技術人員應按照軟件環境(表2)依次做好對JDK、中間件、數據庫、開發工具、編程語言、系統架構等工具的配置,為后期系統功能設計提供良好的開發環境。

表2 軟件環境表

2 系統功能模塊設計

為了充分發揮和利用MSA的應用優勢,提高無線網絡安全系統的穩定性和實用性,技術人員必須應嚴格按照系統功能模塊設計示意圖如圖2所示,選用Eclipse開發工具、Java編程語言,依次完成對以下功能模塊的設計。

圖2 系統功能模塊設計示意圖

2.1 網狀節點發現模塊設計

在進行無線網狀網絡建立時,網狀節點發現模塊設計屬于重中之重,該模塊設計主要包含以下3個環節:

(1)網狀網絡掃描。在進行無線網狀網絡掃描時,要主動發送網絡節點,以實現對鄰居信息的全面化收集和整理。

(2)網狀網絡鄰居發現。在進行網狀網絡連接節點發現過程中,重點優化和完善幀掃描流程[3],以實現對節點被動偵聽、請求幀的主動化、實時化發送。

(3)網狀網絡鄰居關系維護。在維護無線網狀網絡鄰居關系時,要從發送端中解析出回復幀相關信息,并將該信息與本端回復幀信息進行有效地匹配。當掃描雙方信息匹配通過后,方可建立相應的鄰居關系[4]。

2.2 網狀連接管理模塊設計

該模塊在具體設計時,通常會涉及以下2個環節:

(1)網狀連接建立。在該環節中,需要選出對等節點,并對該節點進行網狀網絡連接建立,確保不同節點之間形成良好的對等連接關系。應用所建立好的網狀網絡,可以將雙方節點連接為一定的對等連接關系,便于對等連接好的雙方可以借助幀信息交互方式,構建網狀節點之間的連接關系。在對等連接2個節點時,要確保所使用的網狀信息完全相同。另外,結合節點數量,構建出多條網狀網絡連接關系,網狀網絡連接主要是由4個信元組成。

(2)網狀連接拆除。在這一環節中,某網狀連接一方可以主動向另一方發送關閉網狀連接信息,確保網狀連接雙方之間的連接處于斷開狀態[5]。借助原因碼,可以快速確定出關閉連接原因。獲得MP節點后,需要將關閉連接信息發送給對方。在進行網狀連接拆除時,要確定出最大鏈路數,當網狀連接達到最大鏈路數時,需要借助同候選對等節點,完成對相應鏈路的構建。節點運用關聯請求幀,可以完成對鏈路的構建,并拆除關聯請求,以達到拆除鏈路的目的。

2.3 SAE認證模塊設計

SAE認證模塊主要用于對通信雙方密鑰的安全化認證處理,并自動生成相應的密碼元素。通過運用初始化狀態機,可以實現對SAE認證模塊的實現效果。另外,只有SAE認證通過的用戶,才能有權限登錄和訪問系統[6],并對系統數據進行增刪改查。SAE狀態機主要包含以下4種狀態:

(1)Nothing狀態。

(2)Committed狀態。當初始狀態機實時發送commit信息和Confirm信息后,可以自動進入到Confirmed狀態中,在本端等待下,對端實時發送和處理Confirm信息。

(3)Confirmed狀態。該狀態主要用于對幀格式的接收和發送,初始狀態機通過實時地發送commit信息和Confirm信息,可以自動進入到Confirmed狀態中。并借助本端,完成對Confirm信息的實時化發送。

(4)Accepted狀態。協議事件主要用于對commit信息和Confirm信息的發送和接收,當這些信息發送和接收完成后,協議事件操作結束。在轉移SAE狀態機時,需要將commit狀態和Confirm狀態2種狀態始終貫徹到整個狀態轉移過程中。

2.4 MKD與密鑰管理模塊設計

MKD模塊功能主要是由密鑰體系生成者和分發者所設計和實現的,通過應用MSA,可以保證無線網狀網絡的安全性和可靠性。此外,還要將MA節點與MKD進行有效地交互,使其交互成相應的密鑰,當交互操作結束后,可以實現各個MA節點安全化通信,為保證不同節點之間通信穩定性,需要利用密鑰套件,對系統數據進行加解密處理,確保各個MP之間形成安全的鏈路。

2.5 四次握手過程模塊設計

為保證四次握手過程模塊設計質量,技術人員要從以下2個方面入手:

(1)四次握手安全機制設計。在設計該安全機制時,要綠色偽隨機數,分析和判斷信息和真偽和合法性,同時為保證信息的完整性和保密性,還要利用MSA對申請者與認證者之間所傳遞的信息進行保護,避免出現信息丟失、泄漏風險。由于攻擊者無法直接計算合法信息代碼,因此系統通過實時檢驗MIC信息,可以驗證和測試信息是否合法,信息完整性代碼在整個四次握手協議構建中具有重要作用。在設計四次握手模塊時,運用密鑰重撥計數器,可以計數處理整個認證過程,并刪除不滿足相關規則的攻擊信息。

(2)四次握手過程設計。四次握手過程主要包含信息發送、檢驗信息的真實性和完整度、篩選和刪除非法信息、驗證信息是否攜帶偽隨機數、配置操作密碼元素,這些環節的執行,可以實現對四次握手過程的優化和完善,保證信息傳遞的安全性和可靠性,從而實現對重要信息的有效保護。

3 系統驗證

為有效地驗證系統設計方案在認證階段和決策階段中的可靠性和安全性,需要將無線網狀網絡仿真系統搭建到實驗室軟件中,并對認證準確性、認證時延進行性能驗證。由于軟件所搭建的網絡環境完全匹配真實網絡環境模型[7],因此系統驗證所獲得的數據可以真實有效地反映出實際情況。

3.1 認證準確性驗證

在實驗室中,需要采用網絡模擬的方式,對標準WLAN網絡和系統網絡進行配置和認證,其認證結果見表3。用戶1、3、5屬于合法用戶;用戶2、4、6屬于非法用戶;將以上6個用戶接入到網絡中,并對單組數字序列進行傳送,結合6個用戶實際接收情況,分析和判斷系統網絡認證準確性[8],表3中的“N”“Y”分別代表未通過認證、通過認證。可見,合法用戶均通過以上2種網絡的認證;非法用戶未通過以上2種網絡認證。這表明:所設計的基于MSA無線網絡安全系統設計方案與標準WLAN網絡相比,并無明顯差異,均可以順利有效地認證合法網絡接入申請節點,同時還能有效地攔截非法節點。因此,所提系統網絡設計方案有效地提高了認證準確度,該方法認證決策具有一定的可行性。

表3 認證結果

3.2 認證時延驗證

在整個仿真網絡中,將標準WLAN網絡和系統網絡認證節點跳數統一設置為0、1、2、3次的認證模型,其仿真認證模型如圖3所示,可以看出,整個系統網絡主要是由6個節點組成,各個節點之間通過0～3跳,可以獲得精確化認證。

圖3 仿真認證模型

在測試合法用戶時,利用系統軟件,有效地測試系統設計方案和標準WLAN網絡認證延時時間,所獲得的測試結果見表4,可見,在系統設計方案的應用背景下,隨著跳數的不斷增加,系統設計方案延時時間不斷延長,但其總體延時時間相對較短。另外,在標準WLAN網絡應用背景下,隨著跳數的不斷增加,標準WLAN網絡延時時間不斷延長,且總體延時時間相對較長。結合以上2種網絡方案所對應的延時數據,不難發現與標準WLAN網絡相比,系統設計方案認證延時相對較小,因此通過運用系統設計方案,可以有效地解決一般網絡節點切換所造成的延時時間過長問題,使得系統決策效率和效果得以大幅度提高。

表4 設計方案與標準WLAN網絡認證延時

4 結語

綜上所述,在MSA應用背景下,所設計的無線網絡安全系統具有部署快、健壯性高、帶寬高等優勢,不僅可以有效地解決互聯網終端接入安全問題,保證無線網狀網絡的部署規模性,還能降低無線網絡構建和運營成本,使得網絡部署變得越來越高效化,同時還可以有效地提高網絡認證和通信的安全性,完全符合預期設計標準和要求。由此可見,所設計的基于MSA無線網絡安全系統具有較高的應用價值和應用前景,值得被進一步推廣和應用。