基于安全標簽的無線局域網身份節點發現方法

◆焦哲 李雷 高建

基于安全標簽的無線局域網身份節點發現方法

◆焦哲 李雷 高建

（中國電子科技集團公司第三十研究所 四川 610041）

針對無線環境低帶寬、高延遲的特點，本文提出一種基于安全標簽的無線局域網身份節點發現方法，介紹安全標簽的實現方法和身份節點信息策略學習更新過程，實現身份節點自學習，研表明，該方法在安全可靠的前提下，盡量降低無線信道的開銷，能夠安全可靠的學習到無線通信節點的網絡信息。

安全標簽；無線環境；身份節點發現

隨著互聯網的飛速發展，移動通信設備被大眾普遍使用，如何解決無線通信網絡通信雙方可信和數據信息安全可靠傳輸成了敏感性問題，由于無線網絡沒有物理的邊界，任何用戶可以在任何地方接入網絡，對于無線通信邊界設備帶來用戶的隱私及通信網絡地址等安全性問題，網絡安全問題日益突出。通過無線手段進行通信的節點信息在傳輸過程中容易被偽造、篡改，存在安全隱患。

針對低帶寬的無線環境自組網場景，通過安全標簽的身份認證技術實現數據的安全防護，防止假冒節點非法接入，防止數據在無線通信環境中傳輸時被篡改、偽造，在提供必要的安全機制同時，盡量小的減小無線帶寬占用，保證無線環境網絡數據包的正常收發。

1 安全標簽實現方法

無線環境通信的安全可信節點設備，每一個設備分配唯一的一個身份ID作為身份標識，每一臺設備分別預置了相同的若干組密鑰序列，密鑰序列為一段連續的隨機序列信息，存放于設備存儲介質中，需要時進行調用，發送方進行安全標簽生成，接收方進行安全標簽驗證。

1.1 生成安全標簽

在通信過程中，業務發起方采用隨機數生成一組密鑰序號，根據密鑰號信息選擇一組系統內置的密鑰key，與數據內容一起計算出安全摘要Hash（key，data），再加上經過安全處理的密鑰號和身份ID信息，一同組成安全標簽，添加在待發送數據報文末尾位置，該內容為固定長度內容。生成安全標簽流程如圖1所示：

圖1 生成安全標簽流程

1.2 驗證安全標簽

無線通信網絡節點從網口驅動接收到攜帶有安全標簽的身份節點信息報文，首先是校驗是否攜帶有安全標簽，如果攜帶安全標簽，解析身份ID、獲取密鑰序號，根據密鑰序號獲取設備內部預置的密鑰信息key，與接收的數據重新計算出安全摘要Hash1（key，data）。將身份ID信息與本地存儲的發送方身份ID信息進行比較，成功后將重新計算的Hash1與數據包中攜帶的Hash值進行比較，計算的哈希值一致，表示數據包內容未進行篡改和偽造，驗證通過。驗證結束后，將IP數據包去掉安全標簽信息，重新計算校驗和等內容后注入協議棧，繼續后續流程。驗證安全標簽的流程如圖2所示。

圖2 安全標簽驗證流程

2 節點身份發現技術

無線整個策略學習流程包括“開機學習”、“策略更新和定時同步”和“策略/證書銷毀”三個階段。

2.1 開機學習

開機學習階段。當設備開機自檢完畢后，采用組播方式向全網發送一個“策略學習報文”，該報文攜帶本機的策略信息和安全標簽。在網的其他節點收到該請求報文后，采用點播的方式將自己的策略信息發送給該節點，從而完成全網在網節點的策略的自動收集任務。

圖3 開機學習

2.2 策略更新和定時同步

該階段的任務是：當本節點的策略發生改變后主動通知其他在網節點及時更新策略數據，或定時廣播本節點的策略信息，以便由于某種原因沒有收到或丟失了本節點策略信息的節點更新自己的策略數據。

（1）策略更新同步

當管理人員通過配置客戶端界面對本節點的策略數據進行了更新后，本節點立即采用組播方式向全網發送策略同步報文，以通知全網在網節點及時更新自己的策略信息。

圖4 策略更新

從圖中可以看出，在該模式下，其他在網節點只是單向的接收該報文。

（2）策略定時同步

無線網絡比較容易受各種環境因素的影響，從而導致丟包、網絡暫時性不暢通等。

為了避免由于網絡原因導致其他在網節點沒有收到本節點的開機策略學習報文和策略更新同步報文，每個節點在正常完成開機階段的任務后，定時以組播方式向網絡內在網節點發送策略同步信息，以便其他節點能及時更新策略信息。

為了減少對無線信道資源的占用，策略定時同步報文中只攜帶本節點的節點網關、節點類型和策略版本號，當在網的某個節點收到該報文后，首先檢查本地保存的對應節點的策略版本號與該報文中的策略版本號是否一致，如果一致則丟棄該報文并更新該節點狀態，如果不一致，則向該節點發送一個策略請求報文，請求該節點提供最新的策略數據。

從圖5可以看出，在整個定時同步過程中，只有在網節點需要時，才進行策略交互，否則不需要進行交互。

2.3 策略和證書老化

設備上的策略和證書分為兩種：第一種為本設備自身所擁有的策略和證書；第二部分為工作工程中學習到的其他在網設備的策略和證書。

第一種策略和證書信息是永久保存在設備中的（簡稱永久規則），不管設備是處在工作狀態還是關機狀態，該部分信息都保存在設備的硬盤等永久存儲介質中，開機即可讀取使用。

第二種策略和證書信息是設備在工作中自動學習到的（簡稱臨時規則），該部分信息與整個網絡中其他設備的在線狀態相關的，其原則是：當一個設備開機入網后，在網的其他設備需要獲取它的策略和證書信息，當該設備離線后，其他在網設備則會廢棄該離線設備的策略和證書信息，以使在線設備盡可能處于簡單高效的運行狀態中，所以該部分信息不會在本地進行永久保存，僅在內存中暫時保存。每臺設備都會依據策略老化規則，定時去掉老化超期的臨時規則，或者在關機時丟棄所有學習到的臨時規則。

圖5 策略定時同步

3 實驗驗證

為驗證本文安全標簽和節點身份發現的有效性，搭建網絡測試環境，如圖6所示。對通信節點1和通信節點2的節點學習進行驗證，通信節點1學習到通信節點2的節點信息如圖7所示，通信節點2學習到通信節點1的節點信息如圖9所示。

圖6 網絡測試環境拓撲

圖7 通信節點1學習信息

實驗環境搭建的節點身份學習信息，維護人員對于學習到的動態節點不能進行修改，如圖8和圖10所示，僅當策略進行變更或者老化后重新發起學習，節點信息自動更新。

圖8 通信節點1學習的詳細信息

圖9 通信節點2學習的信息

圖10 通信節點2學習的詳細信息

3 結語

通過對真實環境身份節點信息的學習，安全標簽可有效地防護網絡環境用戶網絡身份信息安全性，為網絡傳輸的身份節點信息提供完整性和真實性保護。

本文提出的基于安全標簽的身份節點發現方法采用了組播報文進行轉發，僅實現了二層網絡進行安全可靠傳遞，對于三層網絡轉發作為下一步工作進行研究及模型搭建，以達到更便捷、更安全的身份自學習方法。

[1]呂格莉，王東等.基于數字證書技術的增強型身份認證系統[J].計算機應用研究，2006（8）：114-116，119.

[2]賈悠，葉常華，盧宇浩，等.一種基于安全標簽的單向身份認證技術[J].通信技術，2020，53（05）：1231-1234.

[3]趙彥.基于海上無線網絡的安全身份認證技術研究[J].艦船電子工程，2016，267（9）：80-85，151.

[4]徐會艷，吳克力，孫慶英.無線自組網中基于身份的口令認證方案[J].計算機工程與應用，2013，49（1）：120-123.