無(wú)線Mesh網(wǎng)絡(luò)認(rèn)證研究.pdf

1、無(wú)線Mesh網(wǎng)絡(luò)是近年來(lái)一種新興的無(wú)線局域網(wǎng)技術(shù)。無(wú)線Mesh網(wǎng)絡(luò)在提供網(wǎng)絡(luò)服務(wù)的Mesh節(jié)點(diǎn)之間建立路由聯(lián)系，不需要每個(gè)Mesh節(jié)點(diǎn)都與有線網(wǎng)絡(luò)直接連接，極大地方便了無(wú)線網(wǎng)絡(luò)的部署。但Mesh網(wǎng)絡(luò)這種新的特點(diǎn)，也對(duì)基于802.11AP模式制定的無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)在Mesh網(wǎng)絡(luò)的適用性提出了挑戰(zhàn)。本論文著重研究802.11i無(wú)線局域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)提出的認(rèn)證機(jī)制在Mesh網(wǎng)絡(luò)中的適用性。 無(wú)線Mesh網(wǎng)絡(luò)是移動(dòng)自組織網(wǎng)絡(luò)與802.1

2、1無(wú)線局域網(wǎng)的一種融合，本文首先對(duì)802.11局域網(wǎng)、移動(dòng)自組織網(wǎng)絡(luò)以及Mesh網(wǎng)絡(luò)進(jìn)行了介紹。802.11局域網(wǎng)絡(luò)作為一種IEEE國(guó)際標(biāo)準(zhǔn)，提出了兩種網(wǎng)絡(luò)拓?fù)湫问?。一種是基于集中式訪問(wèn)點(diǎn)的AP方式，另一種是無(wú)線客戶端之間直接通信的對(duì)等網(wǎng)絡(luò)方式。移動(dòng)自組織網(wǎng)絡(luò)是一種一般用于軍事等特殊用途的無(wú)線局域網(wǎng)絡(luò)，其拓?fù)湫问绞枪?jié)點(diǎn)之間建立路由關(guān)系，組網(wǎng)非常靈活。在無(wú)線Mesh網(wǎng)絡(luò)中，提供網(wǎng)絡(luò)服務(wù)的Mesh節(jié)點(diǎn)物理位置比較固定，Mesh節(jié)點(diǎn)之間建立路

3、由關(guān)系，可以轉(zhuǎn)發(fā)數(shù)據(jù)包。傳統(tǒng)的802.11局域網(wǎng)絡(luò)具有無(wú)線單跳的特點(diǎn)，而Mesh網(wǎng)絡(luò)則具有無(wú)線多跳的特點(diǎn)。 本文接著對(duì)已有的無(wú)線局域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)提出的認(rèn)證機(jī)制進(jìn)行了研究，包括WEP認(rèn)證機(jī)制、WPA、80211i認(rèn)證機(jī)制。WEP采用基于共享密鑰的認(rèn)證方式，不僅密鑰長(zhǎng)度較小，認(rèn)證協(xié)議也存在漏洞。WPA和802.11i都采用802.1x認(rèn)證機(jī)制。在802.1x認(rèn)證機(jī)制中，訪問(wèn)點(diǎn)僅是無(wú)線客戶端和認(rèn)證服務(wù)器之間的一座橋梁，無(wú)線客戶端和認(rèn)證

4、服務(wù)器之間的認(rèn)證協(xié)議只要遵從可擴(kuò)展認(rèn)證協(xié)議框架(EAP)，可以采用任何一種具體的認(rèn)證協(xié)議。WPA和802.11i的不同主要是在于認(rèn)證完成后，無(wú)線訪問(wèn)點(diǎn)與客戶端之間的消息鑒別和加密算法不同?？偟膩?lái)說(shuō)，無(wú)線局域網(wǎng)絡(luò)安全標(biāo)準(zhǔn)所提出的認(rèn)證方案依賴于專門的認(rèn)證服務(wù)器。 本文接著對(duì)這些認(rèn)證機(jī)制在無(wú)線Mesh網(wǎng)絡(luò)的適用性進(jìn)行了分析。采用共享密鑰的認(rèn)證機(jī)制在Mesh網(wǎng)絡(luò)中存在著難以擴(kuò)充和單點(diǎn)失敗的弱點(diǎn)。而802.1x認(rèn)證機(jī)制由于需要集中的認(rèn)證服

5、務(wù)器，限制了Mesh網(wǎng)絡(luò)的分布式特性。已有的無(wú)線局域網(wǎng)認(rèn)證機(jī)制在Mesh網(wǎng)絡(luò)中存在不適應(yīng)之處。 本文隨后提出了一種新的Mesh網(wǎng)絡(luò)認(rèn)證協(xié)議。即在數(shù)字證書認(rèn)證機(jī)制的基礎(chǔ)上，混合了Mesh節(jié)點(diǎn)的位置信息。數(shù)字證書的認(rèn)證機(jī)制一般需要訪問(wèn)一個(gè)集中的存放吊銷證書列表的目錄服務(wù)器。而新的認(rèn)證協(xié)議根據(jù)Mesh節(jié)點(diǎn)比較固定的特點(diǎn)，在每一個(gè)Mesh節(jié)點(diǎn)上配置一個(gè)鄰居列表(如管理員手工配置)，每一個(gè)節(jié)點(diǎn)的認(rèn)證除了證書是權(quán)威CA頒發(fā)外，還需要該節(jié)點(diǎn)存

6、在于鄰居節(jié)點(diǎn)上的鄰居列表內(nèi)，才能與鄰居節(jié)點(diǎn)通信。當(dāng)某個(gè)節(jié)點(diǎn)證書失效時(shí)，我們只需要在其鄰居節(jié)點(diǎn)上的鄰居列表內(nèi)刪除該節(jié)點(diǎn)信息，就可以達(dá)到吊銷證書的目的，從而不需要集中的目錄服務(wù)器。 本文最后對(duì)實(shí)現(xiàn)該Mesh認(rèn)證協(xié)議的軟件系統(tǒng)的結(jié)構(gòu)進(jìn)行了分析，對(duì)所用到的關(guān)鍵技術(shù)和算法進(jìn)行了介紹。包括：采用Socket通信技術(shù)完成認(rèn)證的初始化，采用Linux內(nèi)核的數(shù)據(jù)包過(guò)濾技術(shù)截獲數(shù)據(jù)包完成后續(xù)消息的簽名和鑒別，采用OpenSSL提供的加解密庫(kù)完成各種