梁廣榮

(廣東培正學院 廣東 廣州 510830)

0 引言

在無線通信時代下,各種無線接入技術不斷涌現(xiàn),通過應用便捷多樣的接入技術,可以為用戶提供更加優(yōu)質的通信網絡服務。在這一過程中,誕生了一種移動無線寬帶接入技術,通過應用該技術,可以實現(xiàn)對無線局域網絡接入點的有效部署,保證網絡接入服務質量。但該技術在商用部署期間,存在一定的局限性,由于受發(fā)射功率等因素的不良影響,無線網絡覆蓋范圍被控制在10～100 m,并以視距傳輸為主。此時,如果想提高無線網絡覆蓋能力,必須要提高AP使用數量[1],這就產生了不必要的無線網絡建設維護成本,而無線網絡安全系統(tǒng)的設計和應用,可以有效地解決以上問題。該系統(tǒng)充分應用主服務協(xié)議(master service agreement,MSA),主要包含網狀鑰匙分配器(management of key distribution,MKD)和網狀身份認證(moving average,MA),保證網絡密鑰管理集中性和高效性,降低協(xié)議密鑰管理難度,同時還可以降低無線網絡構建和運營成本,提高網絡部署效率,保證了網絡認證和通信的安全性。因此,在MSA應用背景下,如何科學地設計無線網絡安全系統(tǒng)是技術人員必須思考和解決的問題。

1 系統(tǒng)總體設計

1.1 架構設計

系統(tǒng)架構設計流程如圖1所示,可以看出,系統(tǒng)整體設計主要包含以下4個步驟:

圖1 系統(tǒng)架構設計流程

步驟1

通信雙方相互認證,可以保證系統(tǒng)在認證階段和決策階段表現(xiàn)出較高的安全性;

步驟2

建立安全對等連接,可以保證系統(tǒng)通信安全性,滿足用戶安全化通信需求;

步驟3

選擇密鑰套件,做好對密鑰套件的選擇,可以實現(xiàn)對系統(tǒng)數據的加密保護[2],避免系統(tǒng)數據被網絡病毒非法攻擊和竊取;

步驟4

加密通信連接,可以提高系統(tǒng)通信穩(wěn)定性和可靠性。

1.2 運行環(huán)境搭建

1.2.1 硬件

為保證硬件環(huán)境搭建質量,技術人員要按照硬件環(huán)境(表1)做好對應用服務器、數據庫服務器、客戶端機器等相關性能指標的配置,為后期系統(tǒng)穩(wěn)定運行提供良好的硬件環(huán)境。

表1 硬件環(huán)境表

1.2.2 軟件

在進行軟件環(huán)境搭建時,技術人員應按照軟件環(huán)境(表2)依次做好對JDK、中間件、數據庫、開發(fā)工具、編程語言、系統(tǒng)架構等工具的配置,為后期系統(tǒng)功能設計提供良好的開發(fā)環(huán)境。

表2 軟件環(huán)境表

2 系統(tǒng)功能模塊設計

為了充分發(fā)揮和利用MSA的應用優(yōu)勢,提高無線網絡安全系統(tǒng)的穩(wěn)定性和實用性,技術人員必須應嚴格按照系統(tǒng)功能模塊設計示意圖如圖2所示,選用Eclipse開發(fā)工具、Java編程語言,依次完成對以下功能模塊的設計。

圖2 系統(tǒng)功能模塊設計示意圖

2.1 網狀節(jié)點發(fā)現(xiàn)模塊設計

在進行無線網狀網絡建立時,網狀節(jié)點發(fā)現(xiàn)模塊設計屬于重中之重,該模塊設計主要包含以下3個環(huán)節(jié):

(1)網狀網絡掃描。在進行無線網狀網絡掃描時,要主動發(fā)送網絡節(jié)點,以實現(xiàn)對鄰居信息的全面化收集和整理。

(2)網狀網絡鄰居發(fā)現(xiàn)。在進行網狀網絡連接節(jié)點發(fā)現(xiàn)過程中,重點優(yōu)化和完善幀掃描流程[3],以實現(xiàn)對節(jié)點被動偵聽、請求幀的主動化、實時化發(fā)送。

(3)網狀網絡鄰居關系維護。在維護無線網狀網絡鄰居關系時,要從發(fā)送端中解析出回復幀相關信息,并將該信息與本端回復幀信息進行有效地匹配。當掃描雙方信息匹配通過后,方可建立相應的鄰居關系[4]。

2.2 網狀連接管理模塊設計

該模塊在具體設計時,通常會涉及以下2個環(huán)節(jié):

(1)網狀連接建立。在該環(huán)節(jié)中,需要選出對等節(jié)點,并對該節(jié)點進行網狀網絡連接建立,確保不同節(jié)點之間形成良好的對等連接關系。應用所建立好的網狀網絡,可以將雙方節(jié)點連接為一定的對等連接關系,便于對等連接好的雙方可以借助幀信息交互方式,構建網狀節(jié)點之間的連接關系。在對等連接2個節(jié)點時,要確保所使用的網狀信息完全相同。另外,結合節(jié)點數量,構建出多條網狀網絡連接關系,網狀網絡連接主要是由4個信元組成。

(2)網狀連接拆除。在這一環(huán)節(jié)中,某網狀連接一方可以主動向另一方發(fā)送關閉網狀連接信息,確保網狀連接雙方之間的連接處于斷開狀態(tài)[5]。借助原因碼,可以快速確定出關閉連接原因。獲得MP節(jié)點后,需要將關閉連接信息發(fā)送給對方。在進行網狀連接拆除時,要確定出最大鏈路數,當網狀連接達到最大鏈路數時,需要借助同候選對等節(jié)點,完成對相應鏈路的構建。節(jié)點運用關聯(lián)請求幀,可以完成對鏈路的構建,并拆除關聯(lián)請求,以達到拆除鏈路的目的。

2.3 SAE認證模塊設計

SAE認證模塊主要用于對通信雙方密鑰的安全化認證處理,并自動生成相應的密碼元素。通過運用初始化狀態(tài)機,可以實現(xiàn)對SAE認證模塊的實現(xiàn)效果。另外,只有SAE認證通過的用戶,才能有權限登錄和訪問系統(tǒng)[6],并對系統(tǒng)數據進行增刪改查。SAE狀態(tài)機主要包含以下4種狀態(tài):

(1)Nothing狀態(tài)。

(2)Committed狀態(tài)。當初始狀態(tài)機實時發(fā)送commit信息和Confirm信息后,可以自動進入到Confirmed狀態(tài)中,在本端等待下,對端實時發(fā)送和處理Confirm信息。

(3)Confirmed狀態(tài)。該狀態(tài)主要用于對幀格式的接收和發(fā)送,初始狀態(tài)機通過實時地發(fā)送commit信息和Confirm信息,可以自動進入到Confirmed狀態(tài)中。并借助本端,完成對Confirm信息的實時化發(fā)送。

(4)Accepted狀態(tài)。協(xié)議事件主要用于對commit信息和Confirm信息的發(fā)送和接收,當這些信息發(fā)送和接收完成后,協(xié)議事件操作結束。在轉移SAE狀態(tài)機時,需要將commit狀態(tài)和Confirm狀態(tài)2種狀態(tài)始終貫徹到整個狀態(tài)轉移過程中。

2.4 MKD與密鑰管理模塊設計

MKD模塊功能主要是由密鑰體系生成者和分發(fā)者所設計和實現(xiàn)的,通過應用MSA,可以保證無線網狀網絡的安全性和可靠性。此外,還要將MA節(jié)點與MKD進行有效地交互,使其交互成相應的密鑰,當交互操作結束后,可以實現(xiàn)各個MA節(jié)點安全化通信,為保證不同節(jié)點之間通信穩(wěn)定性,需要利用密鑰套件,對系統(tǒng)數據進行加解密處理,確保各個MP之間形成安全的鏈路。

2.5 四次握手過程模塊設計

為保證四次握手過程模塊設計質量,技術人員要從以下2個方面入手:

(1)四次握手安全機制設計。在設計該安全機制時,要綠色偽隨機數,分析和判斷信息和真?zhèn)魏秃戏ㄐ?同時為保證信息的完整性和保密性,還要利用MSA對申請者與認證者之間所傳遞的信息進行保護,避免出現(xiàn)信息丟失、泄漏風險。由于攻擊者無法直接計算合法信息代碼,因此系統(tǒng)通過實時檢驗MIC信息,可以驗證和測試信息是否合法,信息完整性代碼在整個四次握手協(xié)議構建中具有重要作用。在設計四次握手模塊時,運用密鑰重撥計數器,可以計數處理整個認證過程,并刪除不滿足相關規(guī)則的攻擊信息。

(2)四次握手過程設計。四次握手過程主要包含信息發(fā)送、檢驗信息的真實性和完整度、篩選和刪除非法信息、驗證信息是否攜帶偽隨機數、配置操作密碼元素,這些環(huán)節(jié)的執(zhí)行,可以實現(xiàn)對四次握手過程的優(yōu)化和完善,保證信息傳遞的安全性和可靠性,從而實現(xiàn)對重要信息的有效保護。

3 系統(tǒng)驗證

為有效地驗證系統(tǒng)設計方案在認證階段和決策階段中的可靠性和安全性,需要將無線網狀網絡仿真系統(tǒng)搭建到實驗室軟件中,并對認證準確性、認證時延進行性能驗證。由于軟件所搭建的網絡環(huán)境完全匹配真實網絡環(huán)境模型[7],因此系統(tǒng)驗證所獲得的數據可以真實有效地反映出實際情況。

3.1 認證準確性驗證

在實驗室中,需要采用網絡模擬的方式,對標準WLAN網絡和系統(tǒng)網絡進行配置和認證,其認證結果見表3。用戶1、3、5屬于合法用戶;用戶2、4、6屬于非法用戶;將以上6個用戶接入到網絡中,并對單組數字序列進行傳送,結合6個用戶實際接收情況,分析和判斷系統(tǒng)網絡認證準確性[8],表3中的“N”“Y”分別代表未通過認證、通過認證?？梢?合法用戶均通過以上2種網絡的認證;非法用戶未通過以上2種網絡認證。這表明:所設計的基于MSA無線網絡安全系統(tǒng)設計方案與標準WLAN網絡相比,并無明顯差異,均可以順利有效地認證合法網絡接入申請節(jié)點,同時還能有效地攔截非法節(jié)點。因此,所提系統(tǒng)網絡設計方案有效地提高了認證準確度,該方法認證決策具有一定的可行性。

表3 認證結果

3.2 認證時延驗證

在整個仿真網絡中,將標準WLAN網絡和系統(tǒng)網絡認證節(jié)點跳數統(tǒng)一設置為0、1、2、3次的認證模型,其仿真認證模型如圖3所示,可以看出,整個系統(tǒng)網絡主要是由6個節(jié)點組成,各個節(jié)點之間通過0～3跳,可以獲得精確化認證。

圖3 仿真認證模型

在測試合法用戶時,利用系統(tǒng)軟件,有效地測試系統(tǒng)設計方案和標準WLAN網絡認證延時時間,所獲得的測試結果見表4,可見,在系統(tǒng)設計方案的應用背景下,隨著跳數的不斷增加,系統(tǒng)設計方案延時時間不斷延長,但其總體延時時間相對較短。另外,在標準WLAN網絡應用背景下,隨著跳數的不斷增加,標準WLAN網絡延時時間不斷延長,且總體延時時間相對較長。結合以上2種網絡方案所對應的延時數據,不難發(fā)現(xiàn)與標準WLAN網絡相比,系統(tǒng)設計方案認證延時相對較小,因此通過運用系統(tǒng)設計方案,可以有效地解決一般網絡節(jié)點切換所造成的延時時間過長問題,使得系統(tǒng)決策效率和效果得以大幅度提高。

表4 設計方案與標準WLAN網絡認證延時

4 結語

綜上所述,在MSA應用背景下,所設計的無線網絡安全系統(tǒng)具有部署快、健壯性高、帶寬高等優(yōu)勢,不僅可以有效地解決互聯(lián)網終端接入安全問題,保證無線網狀網絡的部署規(guī)模性,還能降低無線網絡構建和運營成本,使得網絡部署變得越來越高效化,同時還可以有效地提高網絡認證和通信的安全性,完全符合預期設計標準和要求。由此可見,所設計的基于MSA無線網絡安全系統(tǒng)具有較高的應用價值和應用前景,值得被進一步推廣和應用。