匿名網(wǎng)友
08-19 11:39
1、802.11mesh網(wǎng)概述
1.1 802.11mesh網(wǎng)的組網(wǎng)結(jié)構(gòu)
部署傳統(tǒng)無線網(wǎng)絡(luò)時���,人們總是苦于難以尋找到合適的有線接入點��,尤其在空曠�、缺乏銅線/光纖等有線資源的室外環(huán)境中����,問題更加明顯�。WMN的出現(xiàn)在很大程度上解決了這一問題:傳統(tǒng)WLAN中�����,每一個AP都需要通過有線接入點連接到有線局域網(wǎng)��;而802.11mesh網(wǎng)絡(luò)由一組呈網(wǎng)狀分布的無線路由器組成�����,無線路由器必須實現(xiàn)兩個功能:用戶接入(即傳統(tǒng)802.11無線局域網(wǎng)AP的功能)和無線中繼(即轉(zhuǎn)發(fā)數(shù)據(jù)給另一無線路由器)�。如圖1所示,只需要設(shè)置部分無線路由器通過有線接入點連接到寬帶骨干網(wǎng)就足夠了�,至于無線路由器之間則采用點對點方式通過無線中繼鏈路互聯(lián),而在無線路由器對用戶終端提供802.11連接�。這大大減少了對有線資源的需求,極大地便利了無線網(wǎng)絡(luò)的部署���。
圖1 802.11mesh網(wǎng)
1.2 802.11mesh網(wǎng)的關(guān)鍵技術(shù)
當(dāng)前��,業(yè)界的802.11mesh網(wǎng)體系結(jié)構(gòu)不盡相同�����,主要區(qū)別在于無線中繼的方式和無線中繼鏈路路由選擇的方法��。無線中繼手段��,業(yè)界主要的分歧在于采用Multi-Band����、Multi-Radio方式還是采用Single-Band��、Single-Radio方式�����。如果用戶接入和無線中繼工作于同一頻段�����,如使用工作于2.4GHz的802.11b作為用戶接入�����,同時使用同樣工作于2.4GHz的802.11g作無線中繼���,就是一種Single-Band���、Single-Radio方式���。反之,用戶接入和無線中繼工作于不同頻段�,如使用工作于2.4GHz的802.11b/g作為用戶接入,同時使用工作于5.8GHz的802.11a作無線中繼�����,則是一種典型的Multi-Band����、Multi-Radio方式,采用Multi-Radio方式至少可以將接入部分和無線中繼部分從頻率上分開��,使得兩者互不干擾����,能在一定程度上提升性能�。
而在路由算法上,沿用有線網(wǎng)絡(luò)路由協(xié)議還是開發(fā)專用的無線mesh路由協(xié)議也是兩種截然不同的技術(shù)路線����。Mesh路由的目的是為了尋找最優(yōu)或相對最優(yōu)的回傳路徑����。在無線網(wǎng)絡(luò)中����,網(wǎng)絡(luò)性能同發(fā)送成功概率息息相關(guān)。在WMN中�����,一個好的路由算法必須兼顧減少路由跳數(shù)以及降低某條鏈路上包錯誤概率����。在這個意義上����,傳統(tǒng)的有線路由協(xié)議并不適合于無線mesh路由,因為它通常無法考慮一條無線鏈路上包錯誤概率���。因此�,單從性能角度來考察��,必須開發(fā)適用于無線環(huán)境的mesh路由協(xié)議����。
2�、802.11mesh網(wǎng)的安全
2.1 802.11mesh網(wǎng)的安全挑戰(zhàn)
Mesh網(wǎng)和802.11無線局域網(wǎng)相比多跳通信是一個主要的安全挑戰(zhàn)�����。眾所周知無線通信很容易受到被動攻擊(如竊聽)�,以及主動攻擊(如信息篡改,DOS攻擊)��。而這些安全隱患在多跳的mesh網(wǎng)中將被進一步放大�。
(1)在802.11無線局域網(wǎng)中每個用戶端都和AP相連,所以有利于管理員的管理����。但是由于802.11mesh網(wǎng)是一個多跳網(wǎng)絡(luò),所以將所有的安全管理都集中一端的無線網(wǎng)關(guān)將延緩網(wǎng)絡(luò)對攻擊的檢測和應(yīng)對���,這將無疑會給攻擊者帶來好處�。
(2)由于無線路由器距離Internet接入點有近有遠���,遠離Internet接入點的節(jié)點有可能獲得很小的帶寬��,所以設(shè)計合理的協(xié)議來保證節(jié)點間公平是很重要的����。然而對公平性的保護也帶來了新的挑戰(zhàn)。
(3)在有線網(wǎng)絡(luò)中路由器一般會得到妥善的保護���,所以對有線網(wǎng)絡(luò)中的路由器的攻擊不是那么方便����,然而不同于有線網(wǎng)的路由器無線路由器一般都在室外分布����,比如安放在樓頂或安放在路燈上��。所以無線路由器得不到很好的物理保護�。這很容易造成攻擊者對無線路由器的攻擊,比如修改路由器中的信息�����,竊取路由器中用于認證的對稱密鑰或公私鑰對����,或者用非法的無線路由器替換合法的。
(4)由于無線路由器得不到很好的物理保護�����,攻擊者可以潛入網(wǎng)絡(luò)偽裝成合法的節(jié)點,發(fā)布錯誤的路由信息�。所以必須設(shè)計安全的路由協(xié)議以對抗針對路由協(xié)議的攻擊。
2.2 802.11mesh網(wǎng)的安全解決方案
目前802.11mesh網(wǎng)的安全方案主要是Tropos的TroposMetroMesh方案和Nortel的方案�。Tropos Metro Mesh方案,采用了多層安全架構(gòu)�,對客戶機提供WEP、WPA保護����;對無線路由器間的數(shù)據(jù)采用64/128 bit WEP或128bit AES加密;同時使用VPN來增強整體的安全性�。
鏈路層的保護是無線網(wǎng)絡(luò)安全機制的第一步,但是單獨的鏈路層保護不能提供對敏感數(shù)據(jù)的保護�����。TroposMetroMesh使用了一系列方法來保護鏈路層的安全:
(1)使用WEP通過用加密所有的幀來提供網(wǎng)絡(luò)接入控制和安全數(shù)據(jù)傳輸����。但是WEP被證明易受被動攻擊,如果單獨使用不能提供充分的安全性����。
(2)WPA是Wi-Fi聯(lián)盟最新的安全標準�,它使用更強的密碼體制�。WPA利用EAP和RADIUS提供更強的認證,它還提供了基于802.1x的端口接入控制��。
(3)使用128bitAES加密所有終端用戶在mesh網(wǎng)中多跳傳輸?shù)臄?shù)據(jù)直到它們到達一個有線網(wǎng)關(guān)��。
(4)使用MAC地址接入控制列表:接入點通過設(shè)置可接入名單和黑名單來進接入控制�。但是因為物理地址可以被修改所以基于MAC地址的接入控制只能當(dāng)作多層安全體制中的一部分。
(5)抑制網(wǎng)絡(luò)名(ESSID):接入點允許管理員有選擇的抑制網(wǎng)絡(luò)可用性的廣播����,這樣可以使非法的節(jié)點不能發(fā)現(xiàn)接入點,除非他使用探測工具�。
(6)多網(wǎng)絡(luò)名(ESSID):使用多接入點標示可以靈活適應(yīng)有不同無限設(shè)備和安全性的用戶組。在三�����、四層Tropos使用VPN來實現(xiàn)網(wǎng)絡(luò)接入控制和保護數(shù)據(jù)傳輸��。在無線路由器上使用流量過濾來加強VPN提供的安全��。使用128bit AES加密PWRP路由協(xié)議傳輸?shù)墓?jié)點身份和路由選擇路徑信息����。
管理信息的加密:作為網(wǎng)關(guān)的無線路由器從與它相關(guān)聯(lián)的節(jié)點收集管理信息并發(fā)送到管理服務(wù)器,并使用AES加密這些流量���。所有的無線路由器可以使用基于Web的配置來進行配置和監(jiān)控����,所有的配置信息使用HTTPS進行保護���,這樣網(wǎng)絡(luò)管理者可以安全的配置和監(jiān)控每一個無線路由器��。
Nortel在安全方面也別具特色����。每個無線路由器間均建立經(jīng)過加密的IPSec隧道�,以便安全地傳送所有用戶的數(shù)據(jù)業(yè)務(wù)、內(nèi)部信令處理和管理信息��,也就是說數(shù)據(jù)在無線路由器之間的傳送都處于IPSec保護之下���。不過網(wǎng)關(guān)并不涉及用戶的認證工作�。對于具有WPA(802.11i)功能的用戶而言����,無線路由器會將用戶的認證信息經(jīng)過IPSec加密隧道“透明地”傳送到網(wǎng)絡(luò)中心的RADIUS認證服務(wù)器進行合法性認證��。通過認證后���,無線路由器與用戶間的傳輸資料就會以WPA/802.11i加密算法加密,用戶的傳輸資料將經(jīng)由IPSec加密隧道��,在無線路由器之間傳送直到網(wǎng)關(guān)����。另外,無線路由器不僅支持多種用戶WPA:EAP-TLS����、EAP-TTLS、EAP-PEAP�;還在無線路由器間采用以WPA為基礎(chǔ)的認證功能,對新加入網(wǎng)絡(luò)的無線路由器進行認證����,防止非法無線路由器接入���。并使用基于WPA的加密功能����,保證鄰近無線路由器間傳送的路由和通信控制協(xié)議的安全。