一种无线网状网安全接入方案

吴月辉　尹俊勋　周绍午

【摘要】安全接入是无线网状网(WMN)的关键技术之一,也是限制其进一步推广的主要原因之一。文章将WAPI机制引入无线网状网系统,根据无线网络的特性,以及各个节点在WMN中的不同作用,简化了WMN中各节点的关系,并对WAPI协议进行适当改进,实现了无线网状网系统中各节点的安全接入。理论分析表明,该方案不仅简化了WMN中各网元节点的安全接入,而且降低了网络传输延时,提升了WMN的通信效率和可管理性。

【关键词】WAPI WMN 安全接入 MAP MPP

1 前言

近年来,随着无线宽带接入技术的发展,WLAN集中式的接入方案已越来越不能满足人们的需求。无线网状网(WMN,Wireless Mesh Networks)可以组建含有多跳无线链路的分布式的网状无线网络,方便地扩展了无线接入系统的覆盖范围,提高了网络的健壮性,可以实现快速组网。它被誉为“无线宽带的未来”、“经济宽带世界的推动者”,具有强大的生命力和广阔的市场前景。

我国在2003年提出的泛适认证和保密基础结构WAPI(Wide Authentication and Privacy Infrastructure)是实现通信节点和网络承接节点之间的双向认证和保密的、适用于主流网络物理拓扑形态的安全体系架构。由于其首先在无线局域网中成功应用,所以也称为无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure)。本文对WAPI协议作了改进,提出了一种适用于WMN的安全接入机制,实现各站点及终端设备的安全接入。

2 WAPI协议简介

WAPI由无线局域网鉴别基础结构(WAI,WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI,WLAN Privacy Infrastructure)组成。WAI的主要功能有用户身份鉴别、密钥管理等,WPI的主要功能有数据的保密传输、数据的完整性保证等。站点(STA)和接入点(AP)在公信的第三方鉴别服务器(AS)的参与下通过数字证书来相互认证——不仅AP可以检查STA的合法性,而且STA也可以检查AP的合法性。站点与接入点的双向鉴别实现合法的设备接入合法的网络。WAI由证书鉴别和密钥协商两部分构成,其流程如图1所示。

3 Mesh网络的安全挑战

根据各个节点在无线网状网中发挥作用的不同,可大致将其分为以下三类:一类为仅支持Mmesh互联的MP(Mesh Point),一类为支持Mesh互联和接入的MAP(Mesh Access Point),还有一类为支持Mesh互联和外网互通的网关节点MPP(Mesh Point with a Portal)。将WMN中各节点的功能进行分解后,一种典型的WMN架构如图2所示:

WMN和WLAN都属于宽带无线接入网络,开放的网络环境使它们在安全方面有很大的共性,如针对数据的机密性和完整性、设备及用户的认证性等的威胁。而WMN多跳的拓扑结构,使其面临比WLAN更为复杂的安全挑战,如:无线的多跳链路延缓了对攻击的检测和应对;节点间通信需要多个无线节点的相互配合,因此需要构建节点间可靠的信任关系;节点的物理曝光使得设备更加难于保护和管理等。目前安全问题已成为阻碍WMN大规模商业化应用的一个重要原因。

4 适用于WMN的WAPI机制

由于WMN无线的拓扑结构使其内部节点间的关系异常复杂,如果不进行简化而直接挪用无线局域网中的鉴别机制,网络认证过程将会变得极其复杂。根据无线连接的特性以及各节点在WMN中的作用的不同,可以将WMN中的节点分成两大类:一类是MAP、MPP和MP等Mesh骨干节点,其构成骨干Mesh网络;另一类是STA,其为待接入Mesh网络节点。若第一类节点构建的无线链路是安全的,那么对于STA来说,STA接入无线网状网的单跳的无线连接的安全需求可以等同于WLAN中的无线接入安全需求,可以直接采用现有的WAPI机制。因此,我们的主要目标是构建安全的骨干Mesh网络。基于以上考虑,设计如下方案:

预设条件:(1)MPP、STA、MAP、MP各设备已经安装了同一AS颁发的数字证书,(2)AS处于有线网络中可以路由到的安全位置。

WMN中改进的WAPI鉴别流程如下:

(1)MPP判断是否有MAP与其直接关联;

(2)若有,则各Mesh骨干节点MPP、MAP、MP中分别与其直接关联的节点采用WAPI协议进行证书鉴别。其中,MAP与MPP完成证书鉴别后,继续完成密钥协商,执行完后跳至步骤(6);

(3)若无,则各骨干Mesh节点中分别与其相互关联的节点采用WAPI协议进行证书鉴别,鉴别完成后执行步骤(4);

(4)MAP发送鉴别登记帧到网关MPP,该登记帧可以包含该MAP所支持的安全策略、WAPI信息元素等信息;

(5)MPP收到该鉴别登记帧后,根据其所包含的安全策略信息,向MAP发出鉴别激活帧。MAP、MPP、AS之间用WAPI协议进行身份认证,并完成MAP和MPP之间的密钥协商;

(6)待MAP、MPP、AS之间完成组播密钥协商后,MAP根据与STA关联过程中所获取的信息,以及STA所支持的安全策略,向STA发出鉴别激活分组。STA、MAP、AS之间用WAPI协议进行身份认证,并协商出STA与MAP间通信的单播及组播密钥。

流程如图3所示:

5 方案性能分析

5.1 安全性

一套实际使用的安全接入方案的基本功能有两个,其一是对网络节点设备进行身份认证,其二是进行密钥协商。接下来就讨论本安全接入方案的这两方面。

(1)身份认证

在WMN中,各骨干Mesh节点既是请求认证者,又是认证者。基于802.11i健壮性安全网络关联(RSNA,Robust Security Network Association)的WMN安全框架结构如图4所示:

由上一节可知,当MAP与MPP没有直接关联时,采用改进的WAPI机制,WMN中各网元节点的接入如图5所示:

当MAP与MPP直接关联时,采用改进的WAPI机制,WMN中各网元节点的接入如图6所示:

将图4与图5、图6进行对比可知,在图5中采用WAPI协议进行双向认证,不仅可以保证WMN中直接关联的节点相互进行身份鉴别,而且MAP还通过发送鉴别登记帧至MPP,进行MPP与MAP间的身份鉴别(若MAP与MPP直接关联,则无需发送鉴别登记帧)。WAPI协议使用数字证书作为身份凭证,进行双向鉴别,不仅认证节点可以验证请求认证者的身份,而且请求认证者也可以验证认证者的身份。因此,图5、图6中的接入方法,可以保证各网元身份的合法性。

此外,图4和图6属于同种关联关系,但显然图6的接入过程要简单得多。

(2)密钥协商

在图4中,各节点完成身份鉴别后总要进行密钥协商,密钥协商的次数与参与网元节点数目相关。密钥的增多会加大网络中密钥管理难度。而在本方案中,仅在骨干Mesh节点MAP与MPP间进行密钥协商,因此在骨干Mesh节点间密钥协商的次数与参与骨干节点数目无关,一条MAP到MPP的无线链路仅需进行一次密钥协商。较少的密钥可有效降低密钥管理难度。

(3)其他安全措施

本方案中,在WLAN中经常使用的一些安全措施,如MAC地址过滤、数据包过滤、采用HTTPs进行远程登录管理等仍然适用,可以在MAP或者MPP中实现。

5.2 传输时延

在无线网状网中,在某些场合,尤其是实时通信时,对网络的传输延时特别敏感,需要尽量减少延时。而在无线网络中数据传输时的加解密操作是造成网络传输延迟的主要原因之一。图4方案采用一跳一密的方式进行数据传输,虽然可以保证较高的数据保密性,但是其所造成的传输延迟也是不可忽视的。本方案采用多跳一密的方式,可以省去MP对数据的加解密处理,有效地减少网络传输延时,有很强的现实意义。

5.3 可运营、可管理性

本方案是一种基于WAPI的WMN安全接入方案。相对于其他机制来说,WAPI对于可运营可管理的支持有其固有的优势,如:用户只需要安装一张证书即可在无线网络覆盖的不同区域实现漫游;可以灵活实现按时、按流量、包月等多种计费方式;可以灵活处理认证与计费的关系等。因此,本方案可以有效地保证网络的可运营、可管理性。

5.4 兼容性以及对节点性能的要求

对于站点而言,上述安全接入过程是完全透明的,因此支持WAPI机制的站点可以直接安全地接入Mesh网络中。同时,由于MPP为与外网互通的网关,其性能决定着WMN与外部网络通信的整体性能,因此对MPP的数据处理能力要求较高,需要有一定的容量设计。

本方案与基于802.11i方案的性能比较如表1所示:

6 结论

无线网状网是下一代无线网络中相当有生命力的技术,但是安全问题限制了其大规模商用。本文提出的一种基于WAPI的适用于WMN的安全接入方案,根据无线网络的特性,以及各个节点在WMN中发挥的作用不同,通过合理的设计实现了无线网状网的安全接入。该方案相比现有安全接入技术可获取更高的整体性能。在下一步的研究中,将把该接入方式投入到WMN试验环境中验证其可行性。

参考文献

[1]信息技术、系统间远程通信和信息交换、局域网和城域网特定要求(第11部分):无线局域网媒体访问控制和物理层规范(GB15629.11-2003)[M]. 北京: 中国标准出版社,2003.

[2]信息技术、系统间远程通信和信息交换、局域网和城域网特定要求(第11部分):无线局域网媒体访问控制和物理层规范第1号修改单(GB15629.11-2003/XG1-2006)[M]. 北京: 中国标准出版社,2006.

[3]Yan Zhang 等著. 郭达,张勇,彭晓川 等译. 无线网状网:架构、协议与标准[M]. 北京:电子工业出版社,2008.

[4]中国宽带无线IP标准工作组. WAPI实施指南[M]. 2006.

[5]IEEE P802.11s/D2.0 Draft amendment to Standard for Information Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements[S]. 2007.

[6]IEEE 802.11i Std. IEEE Standard for Iinformation Technology Telecommunications and Information Exchange between Systems-Local and Metropolitan Area Networks-Specific Requirements part 11:Wireless LAN Medium Access Control(MAC)and Physical Layer(PHY)Specifications amendment 6:Medium Access Control(MAC)Security Enhancements[S]. July 2004.

[7]Bruno R,Conti M,Gregori E. Mesh Networks:Commodity Multihop Ad Hoc Networks[J]. IEEE Communications Magazine. 2005(43):123-131.★

【作者简介】

吴月辉:华南理工大学电子与信息学院硕士研究生,主要研究领域为无线宽带接入技术。

尹俊勋:华南理工大学电子与信息学院博士生导师,主要研究领域:通信,音视频信号处理,计算机应用等。

周绍午:硕士,广州杰赛科技股份有限公司技术中心主任助理/项目经理,主要研究领域为信息安全与无线宽带接入技术。