基于MSA无线网络安全系统设计和实现

梁广荣

(广东培正学院 广东 广州 510830)

0 引言

在无线通信时代下,各种无线接入技术不断涌现,通过应用便捷多样的接入技术,可以为用户提供更加优质的通信网络服务。在这一过程中,诞生了一种移动无线宽带接入技术,通过应用该技术,可以实现对无线局域网络接入点的有效部署,保证网络接入服务质量。但该技术在商用部署期间,存在一定的局限性,由于受发射功率等因素的不良影响,无线网络覆盖范围被控制在10～100 m,并以视距传输为主。此时,如果想提高无线网络覆盖能力,必须要提高AP使用数量[1],这就产生了不必要的无线网络建设维护成本,而无线网络安全系统的设计和应用,可以有效地解决以上问题。该系统充分应用主服务协议(master service agreement,MSA),主要包含网状钥匙分配器(management of key distribution,MKD)和网状身份认证(moving average,MA),保证网络密钥管理集中性和高效性,降低协议密钥管理难度,同时还可以降低无线网络构建和运营成本,提高网络部署效率,保证了网络认证和通信的安全性。因此,在MSA应用背景下,如何科学地设计无线网络安全系统是技术人员必须思考和解决的问题。

1 系统总体设计

1.1 架构设计

系统架构设计流程如图1所示,可以看出,系统整体设计主要包含以下4个步骤:

图1 系统架构设计流程

步骤1

通信双方相互认证,可以保证系统在认证阶段和决策阶段表现出较高的安全性;

步骤2

建立安全对等连接,可以保证系统通信安全性,满足用户安全化通信需求;

步骤3

选择密钥套件,做好对密钥套件的选择,可以实现对系统数据的加密保护[2],避免系统数据被网络病毒非法攻击和窃取;

步骤4

加密通信连接,可以提高系统通信稳定性和可靠性。

1.2 运行环境搭建

1.2.1 硬件

为保证硬件环境搭建质量,技术人员要按照硬件环境(表1)做好对应用服务器、数据库服务器、客户端机器等相关性能指标的配置,为后期系统稳定运行提供良好的硬件环境。

表1 硬件环境表

1.2.2 软件

在进行软件环境搭建时,技术人员应按照软件环境(表2)依次做好对JDK、中间件、数据库、开发工具、编程语言、系统架构等工具的配置,为后期系统功能设计提供良好的开发环境。

表2 软件环境表

2 系统功能模块设计

为了充分发挥和利用MSA的应用优势,提高无线网络安全系统的稳定性和实用性,技术人员必须应严格按照系统功能模块设计示意图如图2所示,选用Eclipse开发工具、Java编程语言,依次完成对以下功能模块的设计。

图2 系统功能模块设计示意图

2.1 网状节点发现模块设计

在进行无线网状网络建立时,网状节点发现模块设计属于重中之重,该模块设计主要包含以下3个环节:

(1)网状网络扫描。在进行无线网状网络扫描时,要主动发送网络节点,以实现对邻居信息的全面化收集和整理。

(2)网状网络邻居发现。在进行网状网络连接节点发现过程中,重点优化和完善帧扫描流程[3],以实现对节点被动侦听、请求帧的主动化、实时化发送。

(3)网状网络邻居关系维护。在维护无线网状网络邻居关系时,要从发送端中解析出回复帧相关信息,并将该信息与本端回复帧信息进行有效地匹配。当扫描双方信息匹配通过后,方可建立相应的邻居关系[4]。

2.2 网状连接管理模块设计

该模块在具体设计时,通常会涉及以下2个环节:

(1)网状连接建立。在该环节中,需要选出对等节点,并对该节点进行网状网络连接建立,确保不同节点之间形成良好的对等连接关系。应用所建立好的网状网络,可以将双方节点连接为一定的对等连接关系,便于对等连接好的双方可以借助帧信息交互方式,构建网状节点之间的连接关系。在对等连接2个节点时,要确保所使用的网状信息完全相同。另外,结合节点数量,构建出多条网状网络连接关系,网状网络连接主要是由4个信元组成。

(2)网状连接拆除。在这一环节中,某网状连接一方可以主动向另一方发送关闭网状连接信息,确保网状连接双方之间的连接处于断开状态[5]。借助原因码,可以快速确定出关闭连接原因。获得MP节点后,需要将关闭连接信息发送给对方。在进行网状连接拆除时,要确定出最大链路数,当网状连接达到最大链路数时,需要借助同候选对等节点,完成对相应链路的构建。节点运用关联请求帧,可以完成对链路的构建,并拆除关联请求,以达到拆除链路的目的。

2.3 SAE认证模块设计

SAE认证模块主要用于对通信双方密钥的安全化认证处理,并自动生成相应的密码元素。通过运用初始化状态机,可以实现对SAE认证模块的实现效果。另外,只有SAE认证通过的用户,才能有权限登录和访问系统[6],并对系统数据进行增删改查。SAE状态机主要包含以下4种状态:

(1)Nothing状态。

(2)Committed状态。当初始状态机实时发送commit信息和Confirm信息后,可以自动进入到Confirmed状态中,在本端等待下,对端实时发送和处理Confirm信息。

(3)Confirmed状态。该状态主要用于对帧格式的接收和发送,初始状态机通过实时地发送commit信息和Confirm信息,可以自动进入到Confirmed状态中。并借助本端,完成对Confirm信息的实时化发送。

(4)Accepted状态。协议事件主要用于对commit信息和Confirm信息的发送和接收,当这些信息发送和接收完成后,协议事件操作结束。在转移SAE状态机时,需要将commit状态和Confirm状态2种状态始终贯彻到整个状态转移过程中。

2.4 MKD与密钥管理模块设计

MKD模块功能主要是由密钥体系生成者和分发者所设计和实现的,通过应用MSA,可以保证无线网状网络的安全性和可靠性。此外,还要将MA节点与MKD进行有效地交互,使其交互成相应的密钥,当交互操作结束后,可以实现各个MA节点安全化通信,为保证不同节点之间通信稳定性,需要利用密钥套件,对系统数据进行加解密处理,确保各个MP之间形成安全的链路。

2.5 四次握手过程模块设计

为保证四次握手过程模块设计质量,技术人员要从以下2个方面入手:

(1)四次握手安全机制设计。在设计该安全机制时,要绿色伪随机数,分析和判断信息和真伪和合法性,同时为保证信息的完整性和保密性,还要利用MSA对申请者与认证者之间所传递的信息进行保护,避免出现信息丢失、泄漏风险。由于攻击者无法直接计算合法信息代码,因此系统通过实时检验MIC信息,可以验证和测试信息是否合法,信息完整性代码在整个四次握手协议构建中具有重要作用。在设计四次握手模块时,运用密钥重拨计数器,可以计数处理整个认证过程,并删除不满足相关规则的攻击信息。

(2)四次握手过程设计。四次握手过程主要包含信息发送、检验信息的真实性和完整度、筛选和删除非法信息、验证信息是否携带伪随机数、配置操作密码元素,这些环节的执行,可以实现对四次握手过程的优化和完善,保证信息传递的安全性和可靠性,从而实现对重要信息的有效保护。

3 系统验证

为有效地验证系统设计方案在认证阶段和决策阶段中的可靠性和安全性,需要将无线网状网络仿真系统搭建到实验室软件中,并对认证准确性、认证时延进行性能验证。由于软件所搭建的网络环境完全匹配真实网络环境模型[7],因此系统验证所获得的数据可以真实有效地反映出实际情况。

3.1 认证准确性验证

在实验室中,需要采用网络模拟的方式,对标准WLAN网络和系统网络进行配置和认证,其认证结果见表3。用户1、3、5属于合法用户;用户2、4、6属于非法用户;将以上6个用户接入到网络中,并对单组数字序列进行传送,结合6个用户实际接收情况,分析和判断系统网络认证准确性[8],表3中的“N”“Y”分别代表未通过认证、通过认证。可见,合法用户均通过以上2种网络的认证;非法用户未通过以上2种网络认证。这表明:所设计的基于MSA无线网络安全系统设计方案与标准WLAN网络相比,并无明显差异,均可以顺利有效地认证合法网络接入申请节点,同时还能有效地拦截非法节点。因此,所提系统网络设计方案有效地提高了认证准确度,该方法认证决策具有一定的可行性。

表3 认证结果

3.2 认证时延验证

在整个仿真网络中,将标准WLAN网络和系统网络认证节点跳数统一设置为0、1、2、3次的认证模型,其仿真认证模型如图3所示,可以看出,整个系统网络主要是由6个节点组成,各个节点之间通过0～3跳,可以获得精确化认证。

图3 仿真认证模型

在测试合法用户时,利用系统软件,有效地测试系统设计方案和标准WLAN网络认证延时时间,所获得的测试结果见表4,可见,在系统设计方案的应用背景下,随着跳数的不断增加,系统设计方案延时时间不断延长,但其总体延时时间相对较短。另外,在标准WLAN网络应用背景下,随着跳数的不断增加,标准WLAN网络延时时间不断延长,且总体延时时间相对较长。结合以上2种网络方案所对应的延时数据,不难发现与标准WLAN网络相比,系统设计方案认证延时相对较小,因此通过运用系统设计方案,可以有效地解决一般网络节点切换所造成的延时时间过长问题,使得系统决策效率和效果得以大幅度提高。

表4 设计方案与标准WLAN网络认证延时

4 结语

综上所述,在MSA应用背景下,所设计的无线网络安全系统具有部署快、健壮性高、带宽高等优势,不仅可以有效地解决互联网终端接入安全问题,保证无线网状网络的部署规模性,还能降低无线网络构建和运营成本,使得网络部署变得越来越高效化,同时还可以有效地提高网络认证和通信的安全性,完全符合预期设计标准和要求。由此可见,所设计的基于MSA无线网络安全系统具有较高的应用价值和应用前景,值得被进一步推广和应用。