802.11 Mesh网的安全性研究及其解决方案

Mesh网

的安全性研究及其解决方案

李少春

(承德石油高等专科学校学生处，河北承德067000)

摘

要：本文首先介绍了无线Mesh网络出现背景、结构及应用前景。重点通过对Mesh网的潜在威胁与漏洞分析．提出了一

种新的基于密钥协商的安全协议，为进一步研究提供了安全支持。

关键词：无线Mesh网络：密钥协商安全协议：消息认证码：

1

802．11Mesh网概述1．1

802．1lMesh网的组网结构

无线Mesh网络(WirelessMeshNetwork，简称WMN、无线

网状网或无线网格网)是一种新型的宽带无线网络结构，即一种

高容量、高速率的分布式网络。

802．1lMesh网络由一组呈网状分布的无线路由器组成，无线路由器必须实现两个功能：用户接入(即传统802．1l无线局域网AP的功能)和无线中继(即转发数据给另一无线路由器)。如图1所示，只需要设置部分无线路由器通过有线接入点连接到宽带骨干网就足够了，至于无线路由器之间则采用点对点方式通过无线中继链路互联，而在无线路由器对用户终端提供802．11连接。这大大减少了对有线资源的需求，极大地便利了无令_客户■

一I无线舳■

线网络的部署。

图1

802．1lMesh网

1．2

802．1

1Mesh网的关键技术中继工作于同一频段，如使用工作于2．4GHz的802．1lb作为用当前，业界的802．11Mesh网体系结构不尽相同，主要区别

户接入，同时使用同样工作于2．4GHz的802．1lg作无线中继，

在于无线中继的方式和无线中继链路路由选择的方法。无线中就是一种Single—Band、Single—Radio方式。反之，用户接入和无继手段，业界主要的分歧在于采用Multi—Band、Multi—Radio方式线中继工作于不同频段，如使用工作于2．4GHz的802．1lb／g作还是采用Si,gle—Band、siIlgle’Radio方式。如果用户接入和无线

为用户接入，同时使用工作于5．8GI-Iz的802．1la作无线中继，

度自变量0。≤0≤3600，

时刀具中心点x坐标)对0角度范围(00≤0≤360。)进行M等分(M根据加N50#4=【SQRⅢ100．#1

#1卜5rsIN【#2】；(截面椭圆轨迹加工时刀

工精度要求选取)，由上述参数方程可求得相邻等分角所对应的具中心点Y坐标)

椭圆轨迹上两个相邻点，利用C01直线插补指令完成各相邻点N55COl

x【#3】Y【槲】F2000；(椭圆轨迹上相邻两点间进行直

间轨迹的加工，即可实现对椭圆轨迹的拟合加工。

线插补)

4加工程序

N60#2---#2+0．5；(椭圆参数方程角度变量增加步长为0．50)

4．1加工刀具：直径为10mm的键槽铣刀；N65END2；

(椭圆轨迹循环加工结束)

4．2工件坐标系：

N70#1--#1+0．05；(平行截面Z坐标变量增加步长为0．05ram)用G指令建立如图2一图4所示工件坐标系；N75#5=2*SQRrlll00-#1$#l】+5；(求相邻平行截面下一Z坐标)

4．3宏变量分配：

N80G01

x【#5】z【#l】F1000；(直线插补到达下一平行截面椭静l—Z坐标(0—10ram)；#2—0角(oo一3600)圆轨迹刀具起点)钙一x坐标；非4-Y坐标

N85ENDl(椭球面循环加工结束)

#5—z坐标中间变量N90COOz]oo；(刀具退出)

4．4加工程序：

N95M05；(主轴停转)00001

N100M30；

(程序结束)N5

G90G$3000M03T01；(建立工件坐标系，主轴正转)

5结论

N10COOX25y-207_50：

使用专业软件自动生成的椭球面加工程序占用字节数多，N15

Z0；<快速到达起刀点)

而且加工参数不好修改，精度控制不方便。宏程序编写的椭球面N20G

01YO

F2000；

(进给到达循环起点位置)加工程序结构简单，指令数少，对内存空间占用小，参数修改方N25#l=o；(置z坐标初值为0)

便，只需修改N60、N70中的变量增加步长值即可提高加工精度N30

WHILE【#l

LE

101DOI；(平行截面划分循环终止条件)

和表面粗糙度，具有很大的优越性。

N35#'2---0；(置椭圆参数方程角度变量初值为0)参考文献：

NdO

WHILEH12LE

360]D02；(椭圆加工角度变量循环终止

【1J徐建高．FANUC系统数控铣床(加工中心)壕程与探作实用教程．化学工业出版

条件)

社．2007．7．

12191．之-．实用教控加工技术．兵器工业出版社．1995．

N45#3=[2*SQRT[100-#1*#1]+5]*COS[#2]；(截面椭圆轨迹加工

plZ志-'T'-．数控缡程与操作．高等教育出版社，2004．【41眉京．敷控加工蝙程及操作．高等裁育出版社2003．

2008年第10期

则是一种典型的Multi—Band、Multi—Radio方式，采用Multi—Radio方式至少可以将接入部分和无线中继部分从频率上分开，使得两者互不干扰，能在一定程度上提升性能。

而在路由算法上，沿用有线网络路由协议还是开发专用的无线Mesh路由协议也是两种截然不同的技术路线。Mesh路由的目的是为了寻找最优或相对最优的回传路径。在无线网络中。网络性能同发送成功概率息息相关。在WMN中，一个好的路由算法必须兼顾减少路由跳数以及降低某条链路上包错误概率。在这个意义上，传统的有线路由协议并不适合于无线Mesh路由，因为它通常无法考虑一条无线链路上包错误概率。因此，单从性能角度来考察，必须开发适用于无线环境的Mesh路由协议。

2802．”Mesh网的安全2．I802．11Mesh网的安全挑战Mesh网和802．11无线局域网相比多跳通信是一个主要的安全挑战。众所周知无线通信很容易受到被动攻击(如窃听)，以及主动攻击(如信息篡改，DOS攻击)。而这些安全隐患在多跳的Mesh网中将被进一步放大。

2．1．1在802．1l无线局域网中每个用户端都和AP相连，所以有利于管理员的管理。但是由于802．1lMesh网是一个多跳网络，所以将所有的安全管理都集中一端的无线网关将延缓网络对攻击的检测和应对，这将无疑会给攻击者带来好处。

2．1．2在有线网络中路由器一般会得到妥善的保护，所以对有线网络中的路由器的攻击不是那么方便，然而不同于有线网的路由器无线路由器一般都在室外分布，比如安放在楼顶或安放在路灯上。所以无线路由器得不到很好的物理保护。这很容易造成攻击者对无线路由器的攻击，比如修改路由器中的信息，窃取路由器中用于认证的对称密钥或公私钥对；或者用非法的无线路由器替换合法的。

2．1．3在Mesh中，AP与客户端之间的安全仍是安全的重要部分，但同时Mesh也引入了Mesh内部路由器之间的安全问题。

由于一个Mesh通常由一个供应商提供设备，所以Mesh路由器之间的安全目前并没有标准。802．11S是未来的Mesh标准，但并没有出台。所以通常路由器之间的安全用的是各个供应商之间的私有解决方案。

一个通常的做法是利用以上提到的传统Wi—Fi安全方案，包括802．1li在内。有的Mesh路由器之间会选用基于安全证书的认证方式，具体实现既可能是通行的802．1X方式。或其它方式(包括私有方式)。Mesh供应商还可能选择其它的私有协议来实现Mesh路由器之间的安全。

2．2802．1lMesh网的安全解决方案

Metro

了基于802．1x的端口接入控制。WPA具有每发一个包重新生成一个新的密钥、消息完整性检查(MIC)、具有“序列功能的初

始向量”和“密钥生成和定期更新功能”等4种算法，极大地提高了加密安全强度。并且TKIP与当前wi—Fi产品向后兼容，而且可以通过软件进行升级。

2．2．3使用128bitAES加密所有终端用户在Mesh网中多跳传输的数据直到它们到达一个有线网关。2．2．4使用MAC地址接入控制列表：接人点通过设置可接人名单和黑名单来进接入控制。但是因为物理地址可以被修改所以基于MAC地址的接入控制只能当作多层安全中的一部分。

2．2．5抑制网络名(ESSID)：接入点允许管理员有选择的抑制网络可用性的广播，这样可以使非法的节点不能发现接入点，除非他使用探测工具。

2．2．6多网络名(ESSID)：使用多接入点标示可以灵活适应有不同无限设备和安全性的用户组。在三、四层Tropes使用VPN来实现网络接入控制和保护数据传输。在无线路由器上使

ES加密用流量过滤来加强VPN提供的安全。使用128bitAPWRP路由协议传输的节点身份和路由选择路径信息。

管理信息的加密：作为网关的无线路由器从与它相关联的节点收集管理信息并发送到管理服务器，并使用AES加密这些流量。所有的无线路南器可以使用基于Web的配置来进行配置和监控，所有的配置信息使用HITPS进行保护，这样网络管理者可以安全的配置和监控每一个无线路由器。

2．2．7PSK是Pre—SharedKey的缩写，即预共享的密钥。

WPA和802．11i／WPA2都支持一个PSK的模式。简单的说，PSK模式是一个简化的WPA／802．11i，是一个没有802．IX部分的WPA或802．11i。

Nortel在安全方面也别具特色。每个无线路由器间均建立经过加密的1PSee隧道，以便安全地传送所有用户的数据业务、内部信令处理和管理信息，也就是说数据在无线路由器之间的传送都处于IPSee保护之下。不过网关并不涉及用户的认证工作。对于具有WPA(802．11i)功能的用户而言，无线路由器会将用户的认证信息经过IPSec加密隧道“透明地”传送到网络中心的RADIUS认证服务器进行合法性认证。通过认证后，无线路由器与用户间的传输资料就会以WPM802．11i加密算法加密，用户的传输资料将经由IPSec加密隧道，在无线路由器之间传送直到网关。另外，无线路由器不仅支持多种用户WPA：EAP-TLS、EAP一711rLs、EAP-PEAP；还在无线路由器间采用以WPA为基础的认证功能，对新加入网络的无线路由器进行认证，防止非法无线路由器接入。并使用基于WPA的加密功能，保证邻近无线路由器间传送的路由和通信控制协议的安全。

3结束语

802．1

目前802．11Mesh网的安全方案主要是Tropes的Tropes

etroMMesh方案和Nortel的方案。TropesMesh方案，采

1Mesh网将传统WLAN与Mesh网结合起来增强了网

用了多层安全架构，对客户机提供WEP、WPA保护；对无线路

由器间的数据采用／128bitWEP或128bitAES加密；l司时使用VPN来增强整体的安全性。

链路层的保护是无线网络安全机制的第一步，但是单独的

etroMesh使链路层保护不能提供对敏感数据的保护。TropesM

用了一系列方法来保护链路层的安全：

2．2．1使用WEP通过用加密所有的帧来提供网络接入控制和安全数据传输。但是WEP被证明易受被动攻击，如果单独使用不能提供充分的安全性。

2．2．2WPA是wi—Fi联盟最新的安全标准，它使用更强的密码。WPA利用EAP和RADIUS提供更强的认证，它还提供

络的覆盖能力以及可靠性。此外它在移动漫游等方面与传统

WLAN相比较同样也有着明显的优势。2004年1月．IEEE802．

11WorkingGroup正式专门成立了网格研究组(MeshStudyGroup)，同年3月又成立了网格任务组(MeshTaskGroup)。目

802．11

的就是将Mesh网的优点写进802．1l协议中去。但是目前对

Mesh网的研究还处于起步阶段，还有很多需要解决的问

题，尤其是对其安全研究的工作还很少。Tropes和Nortel安全方

案都颇具特色，将无线侧的数据完全处于加密防护下。代表了无线802．1lMesh网络安全方案的发展趋势。

参考文献：

[UNg\"802_11mesh网的安全研究中国新通信．2007(03)．【2l沈强等．无线Mesh网络路由协议研究．数据通信．2005(4)．

作者简介：李少春(1981-)男．河北廊坊人．助教，研究向：it算机技术与应用。

2008年第10期