802.11 mesh網(wǎng)的安全研究及解決方案

摘要　WMN（WirelessMeshNetwork）是一種動態(tài)的自組織、自配置的網(wǎng)絡(luò)。網(wǎng)絡(luò)中的各節(jié)點自動建立成一個Adhoc網(wǎng)絡(luò)并保持一種網(wǎng)狀連接。WMN具有前期投入低、系統(tǒng)容量大、維護(hù)簡單、可靠性高等許多優(yōu)點。802.11 mesh網(wǎng)是一種802.11和mesh相結(jié)合的組網(wǎng)結(jié)構(gòu)，它使用一組網(wǎng)狀的無線路由器相連來提供一定區(qū)域的無線覆蓋。由于802.11 mesh網(wǎng)的一些特點，這種網(wǎng)絡(luò)也帶來了一些不同于傳統(tǒng)802.11網(wǎng)絡(luò)的一些新的安全挑戰(zhàn)。

1、802.11mesh網(wǎng)概述

1.1 802.11mesh網(wǎng)的組網(wǎng)結(jié)構(gòu)

部署傳統(tǒng)無線網(wǎng)絡(luò)時，人們總是苦于難以尋找到合適的有線接入點，尤其在空曠、缺乏銅線/光纖等有線資源的室外環(huán)境中，問題更加明顯。WMN的出現(xiàn)在很大程度上解決了這一問題：傳統(tǒng)WLAN中，每一個AP都需要通過有線接入點連接到有線局域網(wǎng)；而802.11mesh網(wǎng)絡(luò)由一組呈網(wǎng)狀分布的無線路由器組成，無線路由器必須實現(xiàn)兩個功能：用戶接入（即傳統(tǒng)802.11無線局域網(wǎng)AP的功能）和無線中繼（即轉(zhuǎn)發(fā)數(shù)據(jù)給另一無線路由器）。如圖1所示，只需要設(shè)置部分無線路由器通過有線接入點連接到寬帶骨干網(wǎng)就足夠了，至于無線路由器之間則采用點對點方式通過無線中繼鏈路互聯(lián)，而在無線路由器對用戶終端提供802.11連接。這大大減少了對有線資源的需求，極大地便利了無線網(wǎng)絡(luò)的部署。

圖1 802.11mesh網(wǎng)

1.2 802.11mesh網(wǎng)的關(guān)鍵技術(shù)

當(dāng)前，業(yè)界的802.11mesh網(wǎng)體系結(jié)構(gòu)不盡相同，主要區(qū)別在于無線中繼的方式和無線中繼鏈路路由選擇的方法。無線中繼手段，業(yè)界主要的分歧在于采用Multi-Band、Multi-Radio方式還是采用Single-Band、Single-Radio方式。如果用戶接入和無線中繼工作于同一頻段，如使用工作于2.4GHz的802.11b作為用戶接入，同時使用同樣工作于2.4GHz的802.11g作無線中繼，就是一種Single-Band、Single-Radio方式。反之，用戶接入和無線中繼工作于不同頻段，如使用工作于2.4GHz的802.11b/g作為用戶接入，同時使用工作于5.8GHz的802.11a作無線中繼，則是一種典型的Multi-Band、Multi-Radio方式，采用Multi-Radio方式至少可以將接入部分和無線中繼部分從頻率上分開，使得兩者互不干擾，能在一定程度上提升性能。

而在路由算法上，沿用有線網(wǎng)絡(luò)路由協(xié)議還是開發(fā)專用的無線mesh路由協(xié)議也是兩種截然不同的技術(shù)路線。Mesh路由的目的是為了尋找最優(yōu)或相對最優(yōu)的回傳路徑。在無線網(wǎng)絡(luò)中，網(wǎng)絡(luò)性能同發(fā)送成功概率息息相關(guān)。在WMN中，一個好的路由算法必須兼顧減少路由跳數(shù)以及降低某條鏈路上包錯誤概率。在這個意義上，傳統(tǒng)的有線路由協(xié)議并不適合于無線mesh路由，因為它通常無法考慮一條無線鏈路上包錯誤概率。因此，單從性能角度來考察，必須開發(fā)適用于無線環(huán)境的mesh路由協(xié)議。

2、802.11mesh網(wǎng)的安全

2.1 802.11mesh網(wǎng)的安全挑戰(zhàn)

Mesh網(wǎng)和802.11無線局域網(wǎng)相比多跳通信是一個主要的安全挑戰(zhàn)。眾所周知無線通信很容易受到被動攻擊（如竊聽），以及主動攻擊（如信息篡改，DOS攻擊）。而這些安全隱患在多跳的mesh網(wǎng)中將被進(jìn)一步放大。（1）在802.11無線局域網(wǎng)中每個用戶端都和AP相連，所以有利于管理員的管理。但是由于802.11mesh網(wǎng)是一個多跳網(wǎng)絡(luò)，所以將所有的安全管理都集中一端的無線網(wǎng)關(guān)將延緩網(wǎng)絡(luò)對攻擊的檢測和應(yīng)對，這將無疑會給攻擊者帶來好處。（2）由于無線路由器距離Internet接入點有近有遠(yuǎn)，遠(yuǎn)離Internet接入點的節(jié)點有可能獲得很小的帶寬，所以設(shè)計合理的協(xié)議來保證節(jié)點間公平是很重要的。然而對公平性的保護(hù)也帶來了新的挑戰(zhàn)。（3）在有線網(wǎng)絡(luò)中路由器一般會得到妥善的保護(hù)，所以對有線網(wǎng)絡(luò)中的路由器的攻擊不是那么方便，然而不同于有線網(wǎng)的路由器無線路由器一般都在室外分布，比如安放在樓頂或安放在路燈上。所以無線路由器得不到很好的物理保護(hù)。這很容易造成攻擊者對無線路由器的攻擊，比如修改路由器中的信息，竊取路由器中用于認(rèn)證的對稱密鑰或公私鑰對，或者用非法的無線路由器替換合法的。（4）由于無線路由器得不到很好的物理保護(hù)，攻擊者可以潛入網(wǎng)絡(luò)偽裝成合法的節(jié)點，發(fā)布錯誤的路由信息。所以必須設(shè)計安全的路由協(xié)議以對抗針對路由協(xié)議的攻擊。

2.2 802.11mesh網(wǎng)的安全解決方案

目前802.11mesh網(wǎng)的安全方案主要是Tropos的TroposMetroMesh方案和Nortel的方案。Tropos Metro Mesh方案，采用了多層安全架構(gòu)，對客戶機(jī)提供WEP、WPA保護(hù)；對無線路由器間的數(shù)據(jù)采用64/128 bit WEP或128bit AES加密；同時使用VPN來增強(qiáng)整體的安全性。

鏈路層的保護(hù)是無線網(wǎng)絡(luò)安全機(jī)制的第一步，但是單獨的鏈路層保護(hù)不能提供對敏感數(shù)據(jù)的保護(hù)。TroposMetroMesh使用了一系列方法來保護(hù)鏈路層的安全：（1）使用WEP通過用加密所有的幀來提供網(wǎng)絡(luò)接入控制和安全數(shù)據(jù)傳輸。但是WEP被證明易受被動攻擊，如果單獨使用不能提供充分的安全性。（2）WPA是Wi-Fi聯(lián)盟最新的安全標(biāo)準(zhǔn)，它使用更強(qiáng)的密碼體制。WPA利用EAP和RADIUS提供更強(qiáng)的認(rèn)證，它還提供了基于802.1x的端口接入控制。（3）使用128bitAES加密所有終端用戶在mesh網(wǎng)中多跳傳輸?shù)臄?shù)據(jù)直到它們到達(dá)一個有線網(wǎng)關(guān)。（4）使用MAC地址接入控制列表：接入點通過設(shè)置可接入名單和黑名單來進(jìn)接入控制。但是因為物理地址可以被修改所以基于MAC地址的接入控制只能當(dāng)作多層安全體制中的一部分。（5）抑制網(wǎng)絡(luò)名（ESSID）：接入點允許管理員有選擇的抑制網(wǎng)絡(luò)可用性的廣播，這樣可以使非法的節(jié)點不能發(fā)現(xiàn)接入點，除非他使用探測工具。（6）多網(wǎng)絡(luò)名（ESSID）：使用多接入點標(biāo)示可以靈活適應(yīng)有不同無限設(shè)備和安全性的用戶組。在三、四層Tropos使用VPN來實現(xiàn)網(wǎng)絡(luò)接入控制和保護(hù)數(shù)據(jù)傳輸。在無線路由器上使用流量過濾來加強(qiáng)VPN提供的安全。使用128bit AES加密PWRP路由協(xié)議傳輸?shù)墓?jié)點身份和路由選擇路徑信息。

管理信息的加密：作為網(wǎng)關(guān)的無線路由器從與它相關(guān)聯(lián)的節(jié)點收集管理信息并發(fā)送到管理服務(wù)器，并使用AES加密這些流量。所有的無線路由器可以使用基于Web的配置來進(jìn)行配置和監(jiān)控，所有的配置信息使用HTTPS進(jìn)行保護(hù)，這樣網(wǎng)絡(luò)管理者可以安全的配置和監(jiān)控每一個無線路由器。

Nortel在安全方面也別具特色。每個無線路由器間均建立經(jīng)過加密的IPSec隧道，以便安全地傳送所有用戶的數(shù)據(jù)業(yè)務(wù)、內(nèi)部信令處理和管理信息，也就是說數(shù)據(jù)在無線路由器之間的傳送都處于IPSec保護(hù)之下。不過網(wǎng)關(guān)并不涉及用戶的認(rèn)證工作。對于具有WPA（802.11i）功能的用戶而言，無線路由器會將用戶的認(rèn)證信息經(jīng)過IPSec加密隧道“透明地”傳送到網(wǎng)絡(luò)中心的RADIUS認(rèn)證服務(wù)器進(jìn)行合法性認(rèn)證。通過認(rèn)證后，無線路由器與用戶間的傳輸資料就會以WPA/802.11i加密算法加密，用戶的傳輸資料將經(jīng)由IPSec加密隧道，在無線路由器之間傳送直到網(wǎng)關(guān)。另外，無線路由器不僅支持多種用戶WPA：EAP-TLS、EAP-TTLS、EAP-PEAP；還在無線路由器間采用以WPA為基礎(chǔ)的認(rèn)證功能，對新加入網(wǎng)絡(luò)的無線路由器進(jìn)行認(rèn)證，防止非法無線路由器接入。并使用基于WPA的加密功能，保證鄰近無線路由器間傳送的路由和通信控制協(xié)議的安全。

3、結(jié)束語

802.11mesh網(wǎng)將傳統(tǒng)WLAN與mesh網(wǎng)結(jié)合起來增強(qiáng)了網(wǎng)絡(luò)的覆蓋能力以及可靠性。此外它在移動漫游等方面與傳統(tǒng)WLAN相比較同樣也有著明顯的優(yōu)勢。2004年1月，IEEE802.11Working Group正式專門成立了網(wǎng)格研究組（Mesh Study Group），同年3月又成立了網(wǎng)格任務(wù)組（Mesh Task Group）。目的就是將mesh網(wǎng)的優(yōu)點寫進(jìn)802.11協(xié)議中去。但是目前對802.11 mesh網(wǎng)的研究還處于起步階段，還有很多需要解決的問題，尤其是對其安全研究的工作還很少。Tropos和Nortel安全方案都頗具特色，將無線側(cè)的數(shù)據(jù)完全處于加密防護(hù)下，代表了無線802.11 mesh網(wǎng)絡(luò)安全方案的發(fā)展趨勢。