基于MSA無線網(wǎng)絡(luò)安全系統(tǒng)設(shè)計和實現(xiàn)

梁廣榮

(廣東培正學(xué)院 廣東 廣州 510830)

0 引言

在無線通信時代下,各種無線接入技術(shù)不斷涌現(xiàn),通過應(yīng)用便捷多樣的接入技術(shù),可以為用戶提供更加優(yōu)質(zhì)的通信網(wǎng)絡(luò)服務(wù)。在這一過程中,誕生了一種移動無線寬帶接入技術(shù),通過應(yīng)用該技術(shù),可以實現(xiàn)對無線局域網(wǎng)絡(luò)接入點的有效部署,保證網(wǎng)絡(luò)接入服務(wù)質(zhì)量。但該技術(shù)在商用部署期間,存在一定的局限性,由于受發(fā)射功率等因素的不良影響,無線網(wǎng)絡(luò)覆蓋范圍被控制在10～100 m,并以視距傳輸為主。此時,如果想提高無線網(wǎng)絡(luò)覆蓋能力,必須要提高AP使用數(shù)量[1],這就產(chǎn)生了不必要的無線網(wǎng)絡(luò)建設(shè)維護成本,而無線網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計和應(yīng)用,可以有效地解決以上問題。該系統(tǒng)充分應(yīng)用主服務(wù)協(xié)議(master service agreement,MSA),主要包含網(wǎng)狀鑰匙分配器(management of key distribution,MKD)和網(wǎng)狀身份認證(moving average,MA),保證網(wǎng)絡(luò)密鑰管理集中性和高效性,降低協(xié)議密鑰管理難度,同時還可以降低無線網(wǎng)絡(luò)構(gòu)建和運營成本,提高網(wǎng)絡(luò)部署效率,保證了網(wǎng)絡(luò)認證和通信的安全性。因此,在MSA應(yīng)用背景下,如何科學(xué)地設(shè)計無線網(wǎng)絡(luò)安全系統(tǒng)是技術(shù)人員必須思考和解決的問題。

1 系統(tǒng)總體設(shè)計

1.1 架構(gòu)設(shè)計

系統(tǒng)架構(gòu)設(shè)計流程如圖1所示,可以看出,系統(tǒng)整體設(shè)計主要包含以下4個步驟:

圖1 系統(tǒng)架構(gòu)設(shè)計流程

步驟1

通信雙方相互認證,可以保證系統(tǒng)在認證階段和決策階段表現(xiàn)出較高的安全性;

步驟2

建立安全對等連接,可以保證系統(tǒng)通信安全性,滿足用戶安全化通信需求;

步驟3

選擇密鑰套件,做好對密鑰套件的選擇,可以實現(xiàn)對系統(tǒng)數(shù)據(jù)的加密保護[2],避免系統(tǒng)數(shù)據(jù)被網(wǎng)絡(luò)病毒非法攻擊和竊取;

步驟4

加密通信連接,可以提高系統(tǒng)通信穩(wěn)定性和可靠性。

1.2 運行環(huán)境搭建

1.2.1 硬件

為保證硬件環(huán)境搭建質(zhì)量,技術(shù)人員要按照硬件環(huán)境(表1)做好對應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、客戶端機器等相關(guān)性能指標的配置,為后期系統(tǒng)穩(wěn)定運行提供良好的硬件環(huán)境。

表1 硬件環(huán)境表

1.2.2 軟件

在進行軟件環(huán)境搭建時,技術(shù)人員應(yīng)按照軟件環(huán)境(表2)依次做好對JDK、中間件、數(shù)據(jù)庫、開發(fā)工具、編程語言、系統(tǒng)架構(gòu)等工具的配置,為后期系統(tǒng)功能設(shè)計提供良好的開發(fā)環(huán)境。

表2 軟件環(huán)境表

2 系統(tǒng)功能模塊設(shè)計

為了充分發(fā)揮和利用MSA的應(yīng)用優(yōu)勢,提高無線網(wǎng)絡(luò)安全系統(tǒng)的穩(wěn)定性和實用性,技術(shù)人員必須應(yīng)嚴格按照系統(tǒng)功能模塊設(shè)計示意圖如圖2所示,選用Eclipse開發(fā)工具、Java編程語言,依次完成對以下功能模塊的設(shè)計。

圖2 系統(tǒng)功能模塊設(shè)計示意圖

2.1 網(wǎng)狀節(jié)點發(fā)現(xiàn)模塊設(shè)計

在進行無線網(wǎng)狀網(wǎng)絡(luò)建立時,網(wǎng)狀節(jié)點發(fā)現(xiàn)模塊設(shè)計屬于重中之重,該模塊設(shè)計主要包含以下3個環(huán)節(jié):

(1)網(wǎng)狀網(wǎng)絡(luò)掃描。在進行無線網(wǎng)狀網(wǎng)絡(luò)掃描時,要主動發(fā)送網(wǎng)絡(luò)節(jié)點,以實現(xiàn)對鄰居信息的全面化收集和整理。

(2)網(wǎng)狀網(wǎng)絡(luò)鄰居發(fā)現(xiàn)。在進行網(wǎng)狀網(wǎng)絡(luò)連接節(jié)點發(fā)現(xiàn)過程中,重點優(yōu)化和完善幀掃描流程[3],以實現(xiàn)對節(jié)點被動偵聽、請求幀的主動化、實時化發(fā)送。

(3)網(wǎng)狀網(wǎng)絡(luò)鄰居關(guān)系維護。在維護無線網(wǎng)狀網(wǎng)絡(luò)鄰居關(guān)系時,要從發(fā)送端中解析出回復(fù)幀相關(guān)信息,并將該信息與本端回復(fù)幀信息進行有效地匹配。當掃描雙方信息匹配通過后,方可建立相應(yīng)的鄰居關(guān)系[4]。

2.2 網(wǎng)狀連接管理模塊設(shè)計

該模塊在具體設(shè)計時,通常會涉及以下2個環(huán)節(jié):

(1)網(wǎng)狀連接建立。在該環(huán)節(jié)中,需要選出對等節(jié)點,并對該節(jié)點進行網(wǎng)狀網(wǎng)絡(luò)連接建立,確保不同節(jié)點之間形成良好的對等連接關(guān)系。應(yīng)用所建立好的網(wǎng)狀網(wǎng)絡(luò),可以將雙方節(jié)點連接為一定的對等連接關(guān)系,便于對等連接好的雙方可以借助幀信息交互方式,構(gòu)建網(wǎng)狀節(jié)點之間的連接關(guān)系。在對等連接2個節(jié)點時,要確保所使用的網(wǎng)狀信息完全相同。另外,結(jié)合節(jié)點數(shù)量,構(gòu)建出多條網(wǎng)狀網(wǎng)絡(luò)連接關(guān)系,網(wǎng)狀網(wǎng)絡(luò)連接主要是由4個信元組成。

(2)網(wǎng)狀連接拆除。在這一環(huán)節(jié)中,某網(wǎng)狀連接一方可以主動向另一方發(fā)送關(guān)閉網(wǎng)狀連接信息,確保網(wǎng)狀連接雙方之間的連接處于斷開狀態(tài)[5]。借助原因碼,可以快速確定出關(guān)閉連接原因。獲得MP節(jié)點后,需要將關(guān)閉連接信息發(fā)送給對方。在進行網(wǎng)狀連接拆除時,要確定出最大鏈路數(shù),當網(wǎng)狀連接達到最大鏈路數(shù)時,需要借助同候選對等節(jié)點,完成對相應(yīng)鏈路的構(gòu)建。節(jié)點運用關(guān)聯(lián)請求幀,可以完成對鏈路的構(gòu)建,并拆除關(guān)聯(lián)請求,以達到拆除鏈路的目的。

2.3 SAE認證模塊設(shè)計

SAE認證模塊主要用于對通信雙方密鑰的安全化認證處理,并自動生成相應(yīng)的密碼元素。通過運用初始化狀態(tài)機,可以實現(xiàn)對SAE認證模塊的實現(xiàn)效果。另外,只有SAE認證通過的用戶,才能有權(quán)限登錄和訪問系統(tǒng)[6],并對系統(tǒng)數(shù)據(jù)進行增刪改查。SAE狀態(tài)機主要包含以下4種狀態(tài):

(1)Nothing狀態(tài)。

(2)Committed狀態(tài)。當初始狀態(tài)機實時發(fā)送commit信息和Confirm信息后,可以自動進入到Confirmed狀態(tài)中,在本端等待下,對端實時發(fā)送和處理Confirm信息。

(3)Confirmed狀態(tài)。該狀態(tài)主要用于對幀格式的接收和發(fā)送,初始狀態(tài)機通過實時地發(fā)送commit信息和Confirm信息,可以自動進入到Confirmed狀態(tài)中。并借助本端,完成對Confirm信息的實時化發(fā)送。

(4)Accepted狀態(tài)。協(xié)議事件主要用于對commit信息和Confirm信息的發(fā)送和接收,當這些信息發(fā)送和接收完成后,協(xié)議事件操作結(jié)束。在轉(zhuǎn)移SAE狀態(tài)機時,需要將commit狀態(tài)和Confirm狀態(tài)2種狀態(tài)始終貫徹到整個狀態(tài)轉(zhuǎn)移過程中。

2.4 MKD與密鑰管理模塊設(shè)計

MKD模塊功能主要是由密鑰體系生成者和分發(fā)者所設(shè)計和實現(xiàn)的,通過應(yīng)用MSA,可以保證無線網(wǎng)狀網(wǎng)絡(luò)的安全性和可靠性。此外,還要將MA節(jié)點與MKD進行有效地交互,使其交互成相應(yīng)的密鑰,當交互操作結(jié)束后,可以實現(xiàn)各個MA節(jié)點安全化通信,為保證不同節(jié)點之間通信穩(wěn)定性,需要利用密鑰套件,對系統(tǒng)數(shù)據(jù)進行加解密處理,確保各個MP之間形成安全的鏈路。

2.5 四次握手過程模塊設(shè)計

為保證四次握手過程模塊設(shè)計質(zhì)量,技術(shù)人員要從以下2個方面入手:

(1)四次握手安全機制設(shè)計。在設(shè)計該安全機制時,要綠色偽隨機數(shù),分析和判斷信息和真?zhèn)魏秃戏ㄐ?同時為保證信息的完整性和保密性,還要利用MSA對申請者與認證者之間所傳遞的信息進行保護,避免出現(xiàn)信息丟失、泄漏風(fēng)險。由于攻擊者無法直接計算合法信息代碼,因此系統(tǒng)通過實時檢驗MIC信息,可以驗證和測試信息是否合法,信息完整性代碼在整個四次握手協(xié)議構(gòu)建中具有重要作用。在設(shè)計四次握手模塊時,運用密鑰重撥計數(shù)器,可以計數(shù)處理整個認證過程,并刪除不滿足相關(guān)規(guī)則的攻擊信息。

(2)四次握手過程設(shè)計。四次握手過程主要包含信息發(fā)送、檢驗信息的真實性和完整度、篩選和刪除非法信息、驗證信息是否攜帶偽隨機數(shù)、配置操作密碼元素,這些環(huán)節(jié)的執(zhí)行,可以實現(xiàn)對四次握手過程的優(yōu)化和完善,保證信息傳遞的安全性和可靠性,從而實現(xiàn)對重要信息的有效保護。

3 系統(tǒng)驗證

為有效地驗證系統(tǒng)設(shè)計方案在認證階段和決策階段中的可靠性和安全性,需要將無線網(wǎng)狀網(wǎng)絡(luò)仿真系統(tǒng)搭建到實驗室軟件中,并對認證準確性、認證時延進行性能驗證。由于軟件所搭建的網(wǎng)絡(luò)環(huán)境完全匹配真實網(wǎng)絡(luò)環(huán)境模型[7],因此系統(tǒng)驗證所獲得的數(shù)據(jù)可以真實有效地反映出實際情況。

3.1 認證準確性驗證

在實驗室中,需要采用網(wǎng)絡(luò)模擬的方式,對標準WLAN網(wǎng)絡(luò)和系統(tǒng)網(wǎng)絡(luò)進行配置和認證,其認證結(jié)果見表3。用戶1、3、5屬于合法用戶;用戶2、4、6屬于非法用戶;將以上6個用戶接入到網(wǎng)絡(luò)中,并對單組數(shù)字序列進行傳送,結(jié)合6個用戶實際接收情況,分析和判斷系統(tǒng)網(wǎng)絡(luò)認證準確性[8],表3中的“N”“Y”分別代表未通過認證、通過認證?？梢?合法用戶均通過以上2種網(wǎng)絡(luò)的認證;非法用戶未通過以上2種網(wǎng)絡(luò)認證。這表明:所設(shè)計的基于MSA無線網(wǎng)絡(luò)安全系統(tǒng)設(shè)計方案與標準WLAN網(wǎng)絡(luò)相比,并無明顯差異,均可以順利有效地認證合法網(wǎng)絡(luò)接入申請節(jié)點,同時還能有效地攔截非法節(jié)點。因此,所提系統(tǒng)網(wǎng)絡(luò)設(shè)計方案有效地提高了認證準確度,該方法認證決策具有一定的可行性。

表3 認證結(jié)果

3.2 認證時延驗證

在整個仿真網(wǎng)絡(luò)中,將標準WLAN網(wǎng)絡(luò)和系統(tǒng)網(wǎng)絡(luò)認證節(jié)點跳數(shù)統(tǒng)一設(shè)置為0、1、2、3次的認證模型,其仿真認證模型如圖3所示,可以看出,整個系統(tǒng)網(wǎng)絡(luò)主要是由6個節(jié)點組成,各個節(jié)點之間通過0～3跳,可以獲得精確化認證。

圖3 仿真認證模型

在測試合法用戶時,利用系統(tǒng)軟件,有效地測試系統(tǒng)設(shè)計方案和標準WLAN網(wǎng)絡(luò)認證延時時間,所獲得的測試結(jié)果見表4,可見,在系統(tǒng)設(shè)計方案的應(yīng)用背景下,隨著跳數(shù)的不斷增加,系統(tǒng)設(shè)計方案延時時間不斷延長,但其總體延時時間相對較短。另外,在標準WLAN網(wǎng)絡(luò)應(yīng)用背景下,隨著跳數(shù)的不斷增加,標準WLAN網(wǎng)絡(luò)延時時間不斷延長,且總體延時時間相對較長。結(jié)合以上2種網(wǎng)絡(luò)方案所對應(yīng)的延時數(shù)據(jù),不難發(fā)現(xiàn)與標準WLAN網(wǎng)絡(luò)相比,系統(tǒng)設(shè)計方案認證延時相對較小,因此通過運用系統(tǒng)設(shè)計方案,可以有效地解決一般網(wǎng)絡(luò)節(jié)點切換所造成的延時時間過長問題,使得系統(tǒng)決策效率和效果得以大幅度提高。

表4 設(shè)計方案與標準WLAN網(wǎng)絡(luò)認證延時

4 結(jié)語

綜上所述,在MSA應(yīng)用背景下,所設(shè)計的無線網(wǎng)絡(luò)安全系統(tǒng)具有部署快、健壯性高、帶寬高等優(yōu)勢,不僅可以有效地解決互聯(lián)網(wǎng)終端接入安全問題,保證無線網(wǎng)狀網(wǎng)絡(luò)的部署規(guī)模性,還能降低無線網(wǎng)絡(luò)構(gòu)建和運營成本,使得網(wǎng)絡(luò)部署變得越來越高效化,同時還可以有效地提高網(wǎng)絡(luò)認證和通信的安全性,完全符合預(yù)期設(shè)計標準和要求。由此可見,所設(shè)計的基于MSA無線網(wǎng)絡(luò)安全系統(tǒng)具有較高的應(yīng)用價值和應(yīng)用前景,值得被進一步推廣和應(yīng)用。