８０２．１１Ｍｅｓｈ网安全性研究及其解决方案.docVIP

８０２．１１Ｍｅｓｈ网安全性研究及其解决方案 　　摘 要:本文首先介绍了无线Mesh网络出现背景、结构及应用前景,重点通过对Mesh网的潜在威胁与漏洞分析, 提出了一种新的基于密钥协商的安全协议,为进一步研究提供了安全支持。 　　关键词:无线Mesh网络;密钥协商安全协议;消息认证码; 　　 　　1802.11Mesh网概述 　　 　　1.1 802.11Mesh网的组网结构 　　无线Mesh网络（Wireless Mesh Network，简称WMN、无线网状网或无线网格网）是一种新型的宽带无线网络结构，即一种高容量、高速率的分布式网络。 　　802.11Mesh网络由一组呈网状分布的无线路由器组成，无线路由器必须实现两个功能：用户接入（即传统802.11无线局域网AP的功能）和无线中继（即转发数据给另一无线路由器）。如图1所示，只需要设置部分无线路由器通过有线接入点连接到宽带骨干网就足够了，至于无线路由器之间则采用点对点方式通过无线中继链路互联，而在无线路由器对用户终端提供802.11连接。这大大减少了对有线资源的需求，极大地便利了无线网络的部署。 　　1.2 802.11Mesh网的关键技术 　　当前，业界的802.11Mesh网体系结构不尽相同，主要区别在于无线中继的方式和无线中继链路路由选择的方法。无线中继手段，业界主要的分歧在于采用Multi-Band、Multi-Radio方式还是采用Single-Band、Single-Radio方式。如果用户接入和无线 　　 　　图1 802.11Mesh网 　　中继工作于同一频段，如使用工作于2.4GHz的802.11b作为用户接入，同时使用同样工作于2.4GHz的802.11g作无线中继，就是一种Single-Band、Single-Radio方式。反之，用户接入和无线中继工作于不同频段，如使用工作于2.4GHz的802.11b/g作为用户接入，同时使用工作于5.8GHz的802.11a作无线中继，则是一种典型的Multi-Band、Multi-Radio方式，采用Multi-Radio方式至少可以将接入部分和无线中继部分从频率上分开，使得两者互不干扰，能在一定程度上提升性能。 　　而在路由算法上，沿用有线网络路由协议还是开发专用的无线Mesh路由协议也是两种截然不同的技术路线。Mesh路由的目的是为了寻找最优或相对最优的回传路径。在无线网络中，网络性能同发送成功概率息息相关。在WMN中，一个好的路由算法必须兼顾减少路由跳数以及降低某条链路上包错误概率。在这个意义上，传统的有线路由协议并不适合于无线Mesh路由，因为它通常无法考虑一条无线链路上包错误概率。因此，单从性能角度来考察，必须开发适用于无线环境的Mesh路由协议。 　　 　　2802.11Mesh网的安全 　　 　　2.1 802.11Mesh网的安全挑战 　　Mesh网和802.11无线局域网相比多跳通信是一个主要的安全挑战。众所周知无线通信很容易受到被动攻击（如窃听），以及主动攻击（如信息篡改，DOS攻击）。而这些安全隐患在多跳的Mesh网中将被进一步放大。 　　2.1.1在802.11无线局域网中每个用户端都和AP相连，所以有利于管理员的管理。但是由于802.11Mesh网是一个多跳网络，所以将所有的安全管理都集中一端的无线网关将延缓网络对攻击的检测和应对，这将无疑会给攻击者带来好处。 　　2.1.2在有线网络中路由器一般会得到妥善的保护，所以对有线网络中的路由器的攻击不是那么方便，然而不同于有线网的路由器无线路由器一般都在室外分布，比如安放在楼顶或安放在路灯上。所以无线路由器得不到很好的物理保护。这很容易造成攻击者对无线路由器的攻击，比如修改路由器中的信息，窃取路由器中用于认证的对称密钥或公私钥对，或者用非法的无线路由器替换合法的。 　　2.1.3在Mesh中，AP与客户端之间的安全仍是安全的重要部分，但同时Mesh也引入了Mesh内部路由器之间的安全问题。 　　由于一个Mesh通常由一个供应商提供设备，所以Mesh路由器之间的安全目前并没有标准。802.11s是未来的Mesh标准，但并没有出台。所以通常路由器之间的安全用的是各个供应商之间的私有解决方案。 　　一个通常的做法是利用以上提到的传统Wi-Fi安全方案，包括802.11i在内。有的Mesh路由器之间会选用基于安全证书的认证方式，具体实现既可能是通行的802.1X方式，或其它方式（包括私有方式）。Mesh供应商还可能选择其它的私有协议来实现Mesh路由器之间的安全。 　　2.2 802.11Mesh网的安全解决方案 　　目前802.11Mesh网的安全方案主要是Tropos的Tropos Me