吳月輝　尹俊勛　周紹午

【摘要】安全接入是無線網狀網(WMN)的關鍵技術之一,也是限制其進一步推廣的主要原因之一。文章將WAPI機制引入無線網狀網系統(tǒng),根據無線網絡的特性,以及各個節(jié)點在WMN中的不同作用,簡化了WMN中各節(jié)點的關系,并對WAPI協(xié)議進行適當改進,實現(xiàn)了無線網狀網系統(tǒng)中各節(jié)點的安全接入。理論分析表明,該方案不僅簡化了WMN中各網元節(jié)點的安全接入,而且降低了網絡傳輸延時,提升了WMN的通信效率和可管理性。

【關鍵詞】WAPI WMN 安全接入 MAP MPP

1 前言

近年來,隨著無線寬帶接入技術的發(fā)展,WLAN集中式的接入方案已越來越不能滿足人們的需求。無線網狀網(WMN,Wireless Mesh Networks)可以組建含有多跳無線鏈路的分布式的網狀無線網絡,方便地擴展了無線接入系統(tǒng)的覆蓋范圍,提高了網絡的健壯性,可以實現(xiàn)快速組網。它被譽為“無線寬帶的未來”、“經濟寬帶世界的推動者”,具有強大的生命力和廣闊的市場前景。

我國在2003年提出的泛適認證和保密基礎結構WAPI(Wide Authentication and Privacy Infrastructure)是實現(xiàn)通信節(jié)點和網絡承接節(jié)點之間的雙向認證和保密的、適用于主流網絡物理拓撲形態(tài)的安全體系架構。由于其首先在無線局域網中成功應用,所以也稱為無線局域網鑒別與保密基礎結構(WLAN Authentication and Privacy Infrastructure)。本文對WAPI協(xié)議作了改進,提出了一種適用于WMN的安全接入機制,實現(xiàn)各站點及終端設備的安全接入。

2 WAPI協(xié)議簡介

WAPI由無線局域網鑒別基礎結構(WAI,WLAN Authentication Infrastructure)和無線局域網保密基礎結構(WPI,WLAN Privacy Infrastructure)組成。WAI的主要功能有用戶身份鑒別、密鑰管理等,WPI的主要功能有數據的保密傳輸、數據的完整性保證等。站點(STA)和接入點(AP)在公信的第三方鑒別服務器(AS)的參與下通過數字證書來相互認證——不僅AP可以檢查STA的合法性,而且STA也可以檢查AP的合法性。站點與接入點的雙向鑒別實現(xiàn)合法的設備接入合法的網絡。WAI由證書鑒別和密鑰協(xié)商兩部分構成,其流程如圖1所示。

3 Mesh網絡的安全挑戰(zhàn)

根據各個節(jié)點在無線網狀網中發(fā)揮作用的不同,可大致將其分為以下三類:一類為僅支持Mmesh互聯(lián)的MP(Mesh Point),一類為支持Mesh互聯(lián)和接入的MAP(Mesh Access Point),還有一類為支持Mesh互聯(lián)和外網互通的網關節(jié)點MPP(Mesh Point with a Portal)。將WMN中各節(jié)點的功能進行分解后,一種典型的WMN架構如圖2所示:

WMN和WLAN都屬于寬帶無線接入網絡,開放的網絡環(huán)境使它們在安全方面有很大的共性,如針對數據的機密性和完整性、設備及用戶的認證性等的威脅。而WMN多跳的拓撲結構,使其面臨比WLAN更為復雜的安全挑戰(zhàn),如:無線的多跳鏈路延緩了對攻擊的檢測和應對;節(jié)點間通信需要多個無線節(jié)點的相互配合,因此需要構建節(jié)點間可靠的信任關系;節(jié)點的物理曝光使得設備更加難于保護和管理等。目前安全問題已成為阻礙WMN大規(guī)模商業(yè)化應用的一個重要原因。

4 適用于WMN的WAPI機制

由于WMN無線的拓撲結構使其內部節(jié)點間的關系異常復雜,如果不進行簡化而直接挪用無線局域網中的鑒別機制,網絡認證過程將會變得極其復雜。根據無線連接的特性以及各節(jié)點在WMN中的作用的不同,可以將WMN中的節(jié)點分成兩大類:一類是MAP、MPP和MP等Mesh骨干節(jié)點,其構成骨干Mesh網絡;另一類是STA,其為待接入Mesh網絡節(jié)點。若第一類節(jié)點構建的無線鏈路是安全的,那么對于STA來說,STA接入無線網狀網的單跳的無線連接的安全需求可以等同于WLAN中的無線接入安全需求,可以直接采用現(xiàn)有的WAPI機制。因此,我們的主要目標是構建安全的骨干Mesh網絡?；谝陨峡紤],設計如下方案:

預設條件:(1)MPP、STA、MAP、MP各設備已經安裝了同一AS頒發(fā)的數字證書,(2)AS處于有線網絡中可以路由到的安全位置。

WMN中改進的WAPI鑒別流程如下:

(1)MPP判斷是否有MAP與其直接關聯(lián);

(2)若有,則各Mesh骨干節(jié)點MPP、MAP、MP中分別與其直接關聯(lián)的節(jié)點采用WAPI協(xié)議進行證書鑒別。其中,MAP與MPP完成證書鑒別后,繼續(xù)完成密鑰協(xié)商,執(zhí)行完后跳至步驟(6);

(3)若無,則各骨干Mesh節(jié)點中分別與其相互關聯(lián)的節(jié)點采用WAPI協(xié)議進行證書鑒別,鑒別完成后執(zhí)行步驟(4);

(4)MAP發(fā)送鑒別登記幀到網關MPP,該登記幀可以包含該MAP所支持的安全策略、WAPI信息元素等信息;

(5)MPP收到該鑒別登記幀后,根據其所包含的安全策略信息,向MAP發(fā)出鑒別激活幀。MAP、MPP、AS之間用WAPI協(xié)議進行身份認證,并完成MAP和MPP之間的密鑰協(xié)商;

(6)待MAP、MPP、AS之間完成組播密鑰協(xié)商后,MAP根據與STA關聯(lián)過程中所獲取的信息,以及STA所支持的安全策略,向STA發(fā)出鑒別激活分組。STA、MAP、AS之間用WAPI協(xié)議進行身份認證,并協(xié)商出STA與MAP間通信的單播及組播密鑰。

流程如圖3所示:

5 方案性能分析

5.1 安全性

一套實際使用的安全接入方案的基本功能有兩個,其一是對網絡節(jié)點設備進行身份認證,其二是進行密鑰協(xié)商。接下來就討論本安全接入方案的這兩方面。

(1)身份認證

在WMN中,各骨干Mesh節(jié)點既是請求認證者,又是認證者?；?02.11i健壯性安全網絡關聯(lián)(RSNA,Robust Security Network Association)的WMN安全框架結構如圖4所示:

由上一節(jié)可知,當MAP與MPP沒有直接關聯(lián)時,采用改進的WAPI機制,WMN中各網元節(jié)點的接入如圖5所示:

當MAP與MPP直接關聯(lián)時,采用改進的WAPI機制,WMN中各網元節(jié)點的接入如圖6所示:

將圖4與圖5、圖6進行對比可知,在圖5中采用WAPI協(xié)議進行雙向認證,不僅可以保證WMN中直接關聯(lián)的節(jié)點相互進行身份鑒別,而且MAP還通過發(fā)送鑒別登記幀至MPP,進行MPP與MAP間的身份鑒別(若MAP與MPP直接關聯(lián),則無需發(fā)送鑒別登記幀)。WAPI協(xié)議使用數字證書作為身份憑證,進行雙向鑒別,不僅認證節(jié)點可以驗證請求認證者的身份,而且請求認證者也可以驗證認證者的身份。因此,圖5、圖6中的接入方法,可以保證各網元身份的合法性。

此外,圖4和圖6屬于同種關聯(lián)關系,但顯然圖6的接入過程要簡單得多。

(2)密鑰協(xié)商

在圖4中,各節(jié)點完成身份鑒別后總要進行密鑰協(xié)商,密鑰協(xié)商的次數與參與網元節(jié)點數目相關。密鑰的增多會加大網絡中密鑰管理難度。而在本方案中,僅在骨干Mesh節(jié)點MAP與MPP間進行密鑰協(xié)商,因此在骨干Mesh節(jié)點間密鑰協(xié)商的次數與參與骨干節(jié)點數目無關,一條MAP到MPP的無線鏈路僅需進行一次密鑰協(xié)商。較少的密鑰可有效降低密鑰管理難度。

(3)其他安全措施

本方案中,在WLAN中經常使用的一些安全措施,如MAC地址過濾、數據包過濾、采用HTTPs進行遠程登錄管理等仍然適用,可以在MAP或者MPP中實現(xiàn)。

5.2 傳輸時延

在無線網狀網中,在某些場合,尤其是實時通信時,對網絡的傳輸延時特別敏感,需要盡量減少延時。而在無線網絡中數據傳輸時的加解密操作是造成網絡傳輸延遲的主要原因之一。圖4方案采用一跳一密的方式進行數據傳輸,雖然可以保證較高的數據保密性,但是其所造成的傳輸延遲也是不可忽視的。本方案采用多跳一密的方式,可以省去MP對數據的加解密處理,有效地減少網絡傳輸延時,有很強的現(xiàn)實意義。

5.3 可運營、可管理性

本方案是一種基于WAPI的WMN安全接入方案。相對于其他機制來說,WAPI對于可運營可管理的支持有其固有的優(yōu)勢,如:用戶只需要安裝一張證書即可在無線網絡覆蓋的不同區(qū)域實現(xiàn)漫游;可以靈活實現(xiàn)按時、按流量、包月等多種計費方式;可以靈活處理認證與計費的關系等。因此,本方案可以有效地保證網絡的可運營、可管理性。

5.4 兼容性以及對節(jié)點性能的要求

對于站點而言,上述安全接入過程是完全透明的,因此支持WAPI機制的站點可以直接安全地接入Mesh網絡中。同時,由于MPP為與外網互通的網關,其性能決定著WMN與外部網絡通信的整體性能,因此對MPP的數據處理能力要求較高,需要有一定的容量設計。

本方案與基于802.11i方案的性能比較如表1所示:

6 結論

無線網狀網是下一代無線網絡中相當有生命力的技術,但是安全問題限制了其大規(guī)模商用。本文提出的一種基于WAPI的適用于WMN的安全接入方案,根據無線網絡的特性,以及各個節(jié)點在WMN中發(fā)揮的作用不同,通過合理的設計實現(xiàn)了無線網狀網的安全接入。該方案相比現(xiàn)有安全接入技術可獲取更高的整體性能。在下一步的研究中,將把該接入方式投入到WMN試驗環(huán)境中驗證其可行性。

參考文獻

[1]信息技術、系統(tǒng)間遠程通信和信息交換、局域網和城域網特定要求(第11部分):無線局域網媒體訪問控制和物理層規(guī)范(GB15629.11-2003)[M]. 北京: 中國標準出版社,2003.

[2]信息技術、系統(tǒng)間遠程通信和信息交換、局域網和城域網特定要求(第11部分):無線局域網媒體訪問控制和物理層規(guī)范第1號修改單(GB15629.11-2003/XG1-2006)[M]. 北京: 中國標準出版社,2006.

[3]Yan Zhang 等著. 郭達,張勇,彭曉川 等譯. 無線網狀網:架構、協(xié)議與標準[M]. 北京:電子工業(yè)出版社,2008.

[4]中國寬帶無線IP標準工作組. WAPI實施指南[M]. 2006.

[5]IEEE P802.11s/D2.0 Draft amendment to Standard for Information Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements[S]. 2007.

[6]IEEE 802.11i Std. IEEE Standard for Iinformation Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications amendment 6:Medium Access Control(MAC)Security Enhancements[S]. July 2004.

[7]Bruno R,Conti M,Gregori E. Mesh Networks:Commodity Multihop Ad Hoc Networks[J]. IEEE Communications Magazine. 2005(43):123-131.★

【作者簡介】

吳月輝:華南理工大學電子與信息學院碩士研究生,主要研究領域為無線寬帶接入技術。

尹俊勛:華南理工大學電子與信息學院博士生導師,主要研究領域:通信,音視頻信號處理,計算機應用等。

周紹午:碩士,廣州杰賽科技股份有限公司技術中心主任助理/項目經理,主要研究領域為信息安全與無線寬帶接入技術。