◆焦哲 李雷 高建

基于安全標(biāo)簽的無線局域網(wǎng)身份節(jié)點(diǎn)發(fā)現(xiàn)方法

◆焦哲 李雷 高建

（中國(guó)電子科技集團(tuán)公司第三十研究所 四川 610041）

針對(duì)無線環(huán)境低帶寬、高延遲的特點(diǎn)，本文提出一種基于安全標(biāo)簽的無線局域網(wǎng)身份節(jié)點(diǎn)發(fā)現(xiàn)方法，介紹安全標(biāo)簽的實(shí)現(xiàn)方法和身份節(jié)點(diǎn)信息策略學(xué)習(xí)更新過程，實(shí)現(xiàn)身份節(jié)點(diǎn)自學(xué)習(xí)，研表明，該方法在安全可靠的前提下，盡量降低無線信道的開銷，能夠安全可靠的學(xué)習(xí)到無線通信節(jié)點(diǎn)的網(wǎng)絡(luò)信息。

安全標(biāo)簽；無線環(huán)境；身份節(jié)點(diǎn)發(fā)現(xiàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，移動(dòng)通信設(shè)備被大眾普遍使用，如何解決無線通信網(wǎng)絡(luò)通信雙方可信和數(shù)據(jù)信息安全可靠傳輸成了敏感性問題，由于無線網(wǎng)絡(luò)沒有物理的邊界，任何用戶可以在任何地方接入網(wǎng)絡(luò)，對(duì)于無線通信邊界設(shè)備帶來用戶的隱私及通信網(wǎng)絡(luò)地址等安全性問題，網(wǎng)絡(luò)安全問題日益突出。通過無線手段進(jìn)行通信的節(jié)點(diǎn)信息在傳輸過程中容易被偽造、篡改，存在安全隱患。

針對(duì)低帶寬的無線環(huán)境自組網(wǎng)場(chǎng)景，通過安全標(biāo)簽的身份認(rèn)證技術(shù)實(shí)現(xiàn)數(shù)據(jù)的安全防護(hù)，防止假冒節(jié)點(diǎn)非法接入，防止數(shù)據(jù)在無線通信環(huán)境中傳輸時(shí)被篡改、偽造，在提供必要的安全機(jī)制同時(shí)，盡量小的減小無線帶寬占用，保證無線環(huán)境網(wǎng)絡(luò)數(shù)據(jù)包的正常收發(fā)。

1 安全標(biāo)簽實(shí)現(xiàn)方法

無線環(huán)境通信的安全可信節(jié)點(diǎn)設(shè)備，每一個(gè)設(shè)備分配唯一的一個(gè)身份ID作為身份標(biāo)識(shí)，每一臺(tái)設(shè)備分別預(yù)置了相同的若干組密鑰序列，密鑰序列為一段連續(xù)的隨機(jī)序列信息，存放于設(shè)備存儲(chǔ)介質(zhì)中，需要時(shí)進(jìn)行調(diào)用，發(fā)送方進(jìn)行安全標(biāo)簽生成，接收方進(jìn)行安全標(biāo)簽驗(yàn)證。

1.1 生成安全標(biāo)簽

在通信過程中，業(yè)務(wù)發(fā)起方采用隨機(jī)數(shù)生成一組密鑰序號(hào)，根據(jù)密鑰號(hào)信息選擇一組系統(tǒng)內(nèi)置的密鑰key，與數(shù)據(jù)內(nèi)容一起計(jì)算出安全摘要Hash（key，data），再加上經(jīng)過安全處理的密鑰號(hào)和身份ID信息，一同組成安全標(biāo)簽，添加在待發(fā)送數(shù)據(jù)報(bào)文末尾位置，該內(nèi)容為固定長(zhǎng)度內(nèi)容。生成安全標(biāo)簽流程如圖1所示：

圖1 生成安全標(biāo)簽流程

1.2 驗(yàn)證安全標(biāo)簽

無線通信網(wǎng)絡(luò)節(jié)點(diǎn)從網(wǎng)口驅(qū)動(dòng)接收到攜帶有安全標(biāo)簽的身份節(jié)點(diǎn)信息報(bào)文，首先是校驗(yàn)是否攜帶有安全標(biāo)簽，如果攜帶安全標(biāo)簽，解析身份ID、獲取密鑰序號(hào)，根據(jù)密鑰序號(hào)獲取設(shè)備內(nèi)部預(yù)置的密鑰信息key，與接收的數(shù)據(jù)重新計(jì)算出安全摘要Hash1（key，data）。將身份ID信息與本地存儲(chǔ)的發(fā)送方身份ID信息進(jìn)行比較，成功后將重新計(jì)算的Hash1與數(shù)據(jù)包中攜帶的Hash值進(jìn)行比較，計(jì)算的哈希值一致，表示數(shù)據(jù)包內(nèi)容未進(jìn)行篡改和偽造，驗(yàn)證通過。驗(yàn)證結(jié)束后，將IP數(shù)據(jù)包去掉安全標(biāo)簽信息，重新計(jì)算校驗(yàn)和等內(nèi)容后注入?yún)f(xié)議棧，繼續(xù)后續(xù)流程。驗(yàn)證安全標(biāo)簽的流程如圖2所示。

圖2 安全標(biāo)簽驗(yàn)證流程

2 節(jié)點(diǎn)身份發(fā)現(xiàn)技術(shù)

無線整個(gè)策略學(xué)習(xí)流程包括“開機(jī)學(xué)習(xí)”、“策略更新和定時(shí)同步”和“策略/證書銷毀”三個(gè)階段。

2.1 開機(jī)學(xué)習(xí)

開機(jī)學(xué)習(xí)階段。當(dāng)設(shè)備開機(jī)自檢完畢后，采用組播方式向全網(wǎng)發(fā)送一個(gè)“策略學(xué)習(xí)報(bào)文”，該報(bào)文攜帶本機(jī)的策略信息和安全標(biāo)簽。在網(wǎng)的其他節(jié)點(diǎn)收到該請(qǐng)求報(bào)文后，采用點(diǎn)播的方式將自己的策略信息發(fā)送給該節(jié)點(diǎn)，從而完成全網(wǎng)在網(wǎng)節(jié)點(diǎn)的策略的自動(dòng)收集任務(wù)。

圖3 開機(jī)學(xué)習(xí)

2.2 策略更新和定時(shí)同步

該階段的任務(wù)是：當(dāng)本節(jié)點(diǎn)的策略發(fā)生改變后主動(dòng)通知其他在網(wǎng)節(jié)點(diǎn)及時(shí)更新策略數(shù)據(jù)，或定時(shí)廣播本節(jié)點(diǎn)的策略信息，以便由于某種原因沒有收到或丟失了本節(jié)點(diǎn)策略信息的節(jié)點(diǎn)更新自己的策略數(shù)據(jù)。

（1）策略更新同步

當(dāng)管理人員通過配置客戶端界面對(duì)本節(jié)點(diǎn)的策略數(shù)據(jù)進(jìn)行了更新后，本節(jié)點(diǎn)立即采用組播方式向全網(wǎng)發(fā)送策略同步報(bào)文，以通知全網(wǎng)在網(wǎng)節(jié)點(diǎn)及時(shí)更新自己的策略信息。

圖4 策略更新

從圖中可以看出，在該模式下，其他在網(wǎng)節(jié)點(diǎn)只是單向的接收該報(bào)文。

（2）策略定時(shí)同步

無線網(wǎng)絡(luò)比較容易受各種環(huán)境因素的影響，從而導(dǎo)致丟包、網(wǎng)絡(luò)暫時(shí)性不暢通等。

為了避免由于網(wǎng)絡(luò)原因?qū)е缕渌诰W(wǎng)節(jié)點(diǎn)沒有收到本節(jié)點(diǎn)的開機(jī)策略學(xué)習(xí)報(bào)文和策略更新同步報(bào)文，每個(gè)節(jié)點(diǎn)在正常完成開機(jī)階段的任務(wù)后，定時(shí)以組播方式向網(wǎng)絡(luò)內(nèi)在網(wǎng)節(jié)點(diǎn)發(fā)送策略同步信息，以便其他節(jié)點(diǎn)能及時(shí)更新策略信息。

為了減少對(duì)無線信道資源的占用，策略定時(shí)同步報(bào)文中只攜帶本節(jié)點(diǎn)的節(jié)點(diǎn)網(wǎng)關(guān)、節(jié)點(diǎn)類型和策略版本號(hào)，當(dāng)在網(wǎng)的某個(gè)節(jié)點(diǎn)收到該報(bào)文后，首先檢查本地保存的對(duì)應(yīng)節(jié)點(diǎn)的策略版本號(hào)與該報(bào)文中的策略版本號(hào)是否一致，如果一致則丟棄該報(bào)文并更新該節(jié)點(diǎn)狀態(tài)，如果不一致，則向該節(jié)點(diǎn)發(fā)送一個(gè)策略請(qǐng)求報(bào)文，請(qǐng)求該節(jié)點(diǎn)提供最新的策略數(shù)據(jù)。

從圖5可以看出，在整個(gè)定時(shí)同步過程中，只有在網(wǎng)節(jié)點(diǎn)需要時(shí)，才進(jìn)行策略交互，否則不需要進(jìn)行交互。

2.3 策略和證書老化

設(shè)備上的策略和證書分為兩種：第一種為本設(shè)備自身所擁有的策略和證書；第二部分為工作工程中學(xué)習(xí)到的其他在網(wǎng)設(shè)備的策略和證書。

第一種策略和證書信息是永久保存在設(shè)備中的（簡(jiǎn)稱永久規(guī)則），不管設(shè)備是處在工作狀態(tài)還是關(guān)機(jī)狀態(tài)，該部分信息都保存在設(shè)備的硬盤等永久存儲(chǔ)介質(zhì)中，開機(jī)即可讀取使用。

第二種策略和證書信息是設(shè)備在工作中自動(dòng)學(xué)習(xí)到的（簡(jiǎn)稱臨時(shí)規(guī)則），該部分信息與整個(gè)網(wǎng)絡(luò)中其他設(shè)備的在線狀態(tài)相關(guān)的，其原則是：當(dāng)一個(gè)設(shè)備開機(jī)入網(wǎng)后，在網(wǎng)的其他設(shè)備需要獲取它的策略和證書信息，當(dāng)該設(shè)備離線后，其他在網(wǎng)設(shè)備則會(huì)廢棄該離線設(shè)備的策略和證書信息，以使在線設(shè)備盡可能處于簡(jiǎn)單高效的運(yùn)行狀態(tài)中，所以該部分信息不會(huì)在本地進(jìn)行永久保存，僅在內(nèi)存中暫時(shí)保存。每臺(tái)設(shè)備都會(huì)依據(jù)策略老化規(guī)則，定時(shí)去掉老化超期的臨時(shí)規(guī)則，或者在關(guān)機(jī)時(shí)丟棄所有學(xué)習(xí)到的臨時(shí)規(guī)則。

圖5 策略定時(shí)同步

3 實(shí)驗(yàn)驗(yàn)證

為驗(yàn)證本文安全標(biāo)簽和節(jié)點(diǎn)身份發(fā)現(xiàn)的有效性，搭建網(wǎng)絡(luò)測(cè)試環(huán)境，如圖6所示。對(duì)通信節(jié)點(diǎn)1和通信節(jié)點(diǎn)2的節(jié)點(diǎn)學(xué)習(xí)進(jìn)行驗(yàn)證，通信節(jié)點(diǎn)1學(xué)習(xí)到通信節(jié)點(diǎn)2的節(jié)點(diǎn)信息如圖7所示，通信節(jié)點(diǎn)2學(xué)習(xí)到通信節(jié)點(diǎn)1的節(jié)點(diǎn)信息如圖9所示。

圖6 網(wǎng)絡(luò)測(cè)試環(huán)境拓?fù)?/p>

圖7 通信節(jié)點(diǎn)1學(xué)習(xí)信息

實(shí)驗(yàn)環(huán)境搭建的節(jié)點(diǎn)身份學(xué)習(xí)信息，維護(hù)人員對(duì)于學(xué)習(xí)到的動(dòng)態(tài)節(jié)點(diǎn)不能進(jìn)行修改，如圖8和圖10所示，僅當(dāng)策略進(jìn)行變更或者老化后重新發(fā)起學(xué)習(xí)，節(jié)點(diǎn)信息自動(dòng)更新。

圖8 通信節(jié)點(diǎn)1學(xué)習(xí)的詳細(xì)信息

圖9 通信節(jié)點(diǎn)2學(xué)習(xí)的信息

圖10 通信節(jié)點(diǎn)2學(xué)習(xí)的詳細(xì)信息

3 結(jié)語(yǔ)

通過對(duì)真實(shí)環(huán)境身份節(jié)點(diǎn)信息的學(xué)習(xí)，安全標(biāo)簽可有效地防護(hù)網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)身份信息安全性，為網(wǎng)絡(luò)傳輸?shù)纳矸莨?jié)點(diǎn)信息提供完整性和真實(shí)性保護(hù)。

本文提出的基于安全標(biāo)簽的身份節(jié)點(diǎn)發(fā)現(xiàn)方法采用了組播報(bào)文進(jìn)行轉(zhuǎn)發(fā)，僅實(shí)現(xiàn)了二層網(wǎng)絡(luò)進(jìn)行安全可靠傳遞，對(duì)于三層網(wǎng)絡(luò)轉(zhuǎn)發(fā)作為下一步工作進(jìn)行研究及模型搭建，以達(dá)到更便捷、更安全的身份自學(xué)習(xí)方法。

[1]呂格莉，王東等.基于數(shù)字證書技術(shù)的增強(qiáng)型身份認(rèn)證系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2006（8）：114-116，119.

[2]賈悠，葉常華，盧宇浩，等.一種基于安全標(biāo)簽的單向身份認(rèn)證技術(shù)[J].通信技術(shù)，2020，53（05）：1231-1234.

[3]趙彥.基于海上無線網(wǎng)絡(luò)的安全身份認(rèn)證技術(shù)研究[J].艦船電子工程，2016，267（9）：80-85，151.

[4]徐會(huì)艷，吳克力，孫慶英.無線自組網(wǎng)中基于身份的口令認(rèn)證方案[J].計(jì)算機(jī)工程與應(yīng)用，2013，49（1）：120-123.