◆焦哲 李雷 高建

基于安全標(biāo)簽的無線局域網(wǎng)身份節(jié)點發(fā)現(xiàn)方法

◆焦哲 李雷 高建

（中國電子科技集團公司第三十研究所 四川 610041）

針對無線環(huán)境低帶寬、高延遲的特點，本文提出一種基于安全標(biāo)簽的無線局域網(wǎng)身份節(jié)點發(fā)現(xiàn)方法，介紹安全標(biāo)簽的實現(xiàn)方法和身份節(jié)點信息策略學(xué)習(xí)更新過程，實現(xiàn)身份節(jié)點自學(xué)習(xí)，研表明，該方法在安全可靠的前提下，盡量降低無線信道的開銷，能夠安全可靠的學(xué)習(xí)到無線通信節(jié)點的網(wǎng)絡(luò)信息。

安全標(biāo)簽；無線環(huán)境；身份節(jié)點發(fā)現(xiàn)

隨著互聯(lián)網(wǎng)的飛速發(fā)展，移動通信設(shè)備被大眾普遍使用，如何解決無線通信網(wǎng)絡(luò)通信雙方可信和數(shù)據(jù)信息安全可靠傳輸成了敏感性問題，由于無線網(wǎng)絡(luò)沒有物理的邊界，任何用戶可以在任何地方接入網(wǎng)絡(luò)，對于無線通信邊界設(shè)備帶來用戶的隱私及通信網(wǎng)絡(luò)地址等安全性問題，網(wǎng)絡(luò)安全問題日益突出。通過無線手段進行通信的節(jié)點信息在傳輸過程中容易被偽造、篡改，存在安全隱患。

針對低帶寬的無線環(huán)境自組網(wǎng)場景，通過安全標(biāo)簽的身份認(rèn)證技術(shù)實現(xiàn)數(shù)據(jù)的安全防護，防止假冒節(jié)點非法接入，防止數(shù)據(jù)在無線通信環(huán)境中傳輸時被篡改、偽造，在提供必要的安全機制同時，盡量小的減小無線帶寬占用，保證無線環(huán)境網(wǎng)絡(luò)數(shù)據(jù)包的正常收發(fā)。

1 安全標(biāo)簽實現(xiàn)方法

無線環(huán)境通信的安全可信節(jié)點設(shè)備，每一個設(shè)備分配唯一的一個身份ID作為身份標(biāo)識，每一臺設(shè)備分別預(yù)置了相同的若干組密鑰序列，密鑰序列為一段連續(xù)的隨機序列信息，存放于設(shè)備存儲介質(zhì)中，需要時進行調(diào)用，發(fā)送方進行安全標(biāo)簽生成，接收方進行安全標(biāo)簽驗證。

1.1 生成安全標(biāo)簽

在通信過程中，業(yè)務(wù)發(fā)起方采用隨機數(shù)生成一組密鑰序號，根據(jù)密鑰號信息選擇一組系統(tǒng)內(nèi)置的密鑰key，與數(shù)據(jù)內(nèi)容一起計算出安全摘要Hash（key，data），再加上經(jīng)過安全處理的密鑰號和身份ID信息，一同組成安全標(biāo)簽，添加在待發(fā)送數(shù)據(jù)報文末尾位置，該內(nèi)容為固定長度內(nèi)容。生成安全標(biāo)簽流程如圖1所示：

圖1 生成安全標(biāo)簽流程

1.2 驗證安全標(biāo)簽

無線通信網(wǎng)絡(luò)節(jié)點從網(wǎng)口驅(qū)動接收到攜帶有安全標(biāo)簽的身份節(jié)點信息報文，首先是校驗是否攜帶有安全標(biāo)簽，如果攜帶安全標(biāo)簽，解析身份ID、獲取密鑰序號，根據(jù)密鑰序號獲取設(shè)備內(nèi)部預(yù)置的密鑰信息key，與接收的數(shù)據(jù)重新計算出安全摘要Hash1（key，data）。將身份ID信息與本地存儲的發(fā)送方身份ID信息進行比較，成功后將重新計算的Hash1與數(shù)據(jù)包中攜帶的Hash值進行比較，計算的哈希值一致，表示數(shù)據(jù)包內(nèi)容未進行篡改和偽造，驗證通過。驗證結(jié)束后，將IP數(shù)據(jù)包去掉安全標(biāo)簽信息，重新計算校驗和等內(nèi)容后注入?yún)f(xié)議棧，繼續(xù)后續(xù)流程。驗證安全標(biāo)簽的流程如圖2所示。

圖2 安全標(biāo)簽驗證流程

2 節(jié)點身份發(fā)現(xiàn)技術(shù)

無線整個策略學(xué)習(xí)流程包括“開機學(xué)習(xí)”、“策略更新和定時同步”和“策略/證書銷毀”三個階段。

2.1 開機學(xué)習(xí)

開機學(xué)習(xí)階段。當(dāng)設(shè)備開機自檢完畢后，采用組播方式向全網(wǎng)發(fā)送一個“策略學(xué)習(xí)報文”，該報文攜帶本機的策略信息和安全標(biāo)簽。在網(wǎng)的其他節(jié)點收到該請求報文后，采用點播的方式將自己的策略信息發(fā)送給該節(jié)點，從而完成全網(wǎng)在網(wǎng)節(jié)點的策略的自動收集任務(wù)。

圖3 開機學(xué)習(xí)

2.2 策略更新和定時同步

該階段的任務(wù)是：當(dāng)本節(jié)點的策略發(fā)生改變后主動通知其他在網(wǎng)節(jié)點及時更新策略數(shù)據(jù)，或定時廣播本節(jié)點的策略信息，以便由于某種原因沒有收到或丟失了本節(jié)點策略信息的節(jié)點更新自己的策略數(shù)據(jù)。

（1）策略更新同步

當(dāng)管理人員通過配置客戶端界面對本節(jié)點的策略數(shù)據(jù)進行了更新后，本節(jié)點立即采用組播方式向全網(wǎng)發(fā)送策略同步報文，以通知全網(wǎng)在網(wǎng)節(jié)點及時更新自己的策略信息。

圖4 策略更新

從圖中可以看出，在該模式下，其他在網(wǎng)節(jié)點只是單向的接收該報文。

（2）策略定時同步

無線網(wǎng)絡(luò)比較容易受各種環(huán)境因素的影響，從而導(dǎo)致丟包、網(wǎng)絡(luò)暫時性不暢通等。

為了避免由于網(wǎng)絡(luò)原因?qū)е缕渌诰W(wǎng)節(jié)點沒有收到本節(jié)點的開機策略學(xué)習(xí)報文和策略更新同步報文，每個節(jié)點在正常完成開機階段的任務(wù)后，定時以組播方式向網(wǎng)絡(luò)內(nèi)在網(wǎng)節(jié)點發(fā)送策略同步信息，以便其他節(jié)點能及時更新策略信息。

為了減少對無線信道資源的占用，策略定時同步報文中只攜帶本節(jié)點的節(jié)點網(wǎng)關(guān)、節(jié)點類型和策略版本號，當(dāng)在網(wǎng)的某個節(jié)點收到該報文后，首先檢查本地保存的對應(yīng)節(jié)點的策略版本號與該報文中的策略版本號是否一致，如果一致則丟棄該報文并更新該節(jié)點狀態(tài)，如果不一致，則向該節(jié)點發(fā)送一個策略請求報文，請求該節(jié)點提供最新的策略數(shù)據(jù)。

從圖5可以看出，在整個定時同步過程中，只有在網(wǎng)節(jié)點需要時，才進行策略交互，否則不需要進行交互。

2.3 策略和證書老化

設(shè)備上的策略和證書分為兩種：第一種為本設(shè)備自身所擁有的策略和證書；第二部分為工作工程中學(xué)習(xí)到的其他在網(wǎng)設(shè)備的策略和證書。

第一種策略和證書信息是永久保存在設(shè)備中的（簡稱永久規(guī)則），不管設(shè)備是處在工作狀態(tài)還是關(guān)機狀態(tài)，該部分信息都保存在設(shè)備的硬盤等永久存儲介質(zhì)中，開機即可讀取使用。

第二種策略和證書信息是設(shè)備在工作中自動學(xué)習(xí)到的（簡稱臨時規(guī)則），該部分信息與整個網(wǎng)絡(luò)中其他設(shè)備的在線狀態(tài)相關(guān)的，其原則是：當(dāng)一個設(shè)備開機入網(wǎng)后，在網(wǎng)的其他設(shè)備需要獲取它的策略和證書信息，當(dāng)該設(shè)備離線后，其他在網(wǎng)設(shè)備則會廢棄該離線設(shè)備的策略和證書信息，以使在線設(shè)備盡可能處于簡單高效的運行狀態(tài)中，所以該部分信息不會在本地進行永久保存，僅在內(nèi)存中暫時保存。每臺設(shè)備都會依據(jù)策略老化規(guī)則，定時去掉老化超期的臨時規(guī)則，或者在關(guān)機時丟棄所有學(xué)習(xí)到的臨時規(guī)則。

圖5 策略定時同步

3 實驗驗證

為驗證本文安全標(biāo)簽和節(jié)點身份發(fā)現(xiàn)的有效性，搭建網(wǎng)絡(luò)測試環(huán)境，如圖6所示。對通信節(jié)點1和通信節(jié)點2的節(jié)點學(xué)習(xí)進行驗證，通信節(jié)點1學(xué)習(xí)到通信節(jié)點2的節(jié)點信息如圖7所示，通信節(jié)點2學(xué)習(xí)到通信節(jié)點1的節(jié)點信息如圖9所示。

圖6 網(wǎng)絡(luò)測試環(huán)境拓?fù)?/p>

圖7 通信節(jié)點1學(xué)習(xí)信息

實驗環(huán)境搭建的節(jié)點身份學(xué)習(xí)信息，維護人員對于學(xué)習(xí)到的動態(tài)節(jié)點不能進行修改，如圖8和圖10所示，僅當(dāng)策略進行變更或者老化后重新發(fā)起學(xué)習(xí)，節(jié)點信息自動更新。

圖8 通信節(jié)點1學(xué)習(xí)的詳細信息

圖9 通信節(jié)點2學(xué)習(xí)的信息

圖10 通信節(jié)點2學(xué)習(xí)的詳細信息

3 結(jié)語

通過對真實環(huán)境身份節(jié)點信息的學(xué)習(xí)，安全標(biāo)簽可有效地防護網(wǎng)絡(luò)環(huán)境用戶網(wǎng)絡(luò)身份信息安全性，為網(wǎng)絡(luò)傳輸?shù)纳矸莨?jié)點信息提供完整性和真實性保護。

本文提出的基于安全標(biāo)簽的身份節(jié)點發(fā)現(xiàn)方法采用了組播報文進行轉(zhuǎn)發(fā)，僅實現(xiàn)了二層網(wǎng)絡(luò)進行安全可靠傳遞，對于三層網(wǎng)絡(luò)轉(zhuǎn)發(fā)作為下一步工作進行研究及模型搭建，以達到更便捷、更安全的身份自學(xué)習(xí)方法。

[1]呂格莉，王東等.基于數(shù)字證書技術(shù)的增強型身份認(rèn)證系統(tǒng)[J].計算機應(yīng)用研究，2006（8）：114-116，119.

[2]賈悠，葉常華，盧宇浩，等.一種基于安全標(biāo)簽的單向身份認(rèn)證技術(shù)[J].通信技術(shù)，2020，53（05）：1231-1234.

[3]趙彥.基于海上無線網(wǎng)絡(luò)的安全身份認(rèn)證技術(shù)研究[J].艦船電子工程，2016，267（9）：80-85，151.

[4]徐會艷，吳克力，孫慶英.無線自組網(wǎng)中基于身份的口令認(rèn)證方案[J].計算機工程與應(yīng)用，2013，49（1）：120-123.