论文部分内容阅读
[摘要] 无线Mesh网(WMN)是近年被高度重视和快速发展的一种新型无线网络技术,支持宽带高速多媒体业务服务。本文就无线Mesh网络技术的关键技术进行了分析,并重点讨论了Mesh网的安全问题及解决策略。
[关键词] 无线网状网 Mesh路由器 无线宽带接入 安全性
0、引言
无线网络技术作为通信网络中非常重要的一类,各种802.11x标准不断被更新,新的无线网络架构和技术也不断被提出。随着人们对802.11a、802.11b和802.11g等无线局域网技术了解的深入,一种新的无线Mesh网络(无线网状网络)开始成为企业界瞩目的焦点,并沿着不同的分支演进。无线Mesh网络的核心指导思想是让网络中的每个节点都可以发送和接收信号,传统的WLAN一直存在的可伸缩性低和健壮性差等诸多问题由此迎刃而解[1]。无线Mesh技术的出现,代表着无线网络技术的又一大跨越,有极为广阔的应用前景。
1、802.11Mesh网络的概念
无线Mesh网络(无线网状网络WMN)也称为“多跳(multi-hop)”网络,它是一种与传统无线网络完全不同的新型无线网络技术。它是基于IP协议的无线宽带接入技术,它融合了WLAN和Ad Hoc网络的优势,支持多点对多点的网状结构,具有自组网、自修复、多跳级联、节点自我管理等智能优势以及移动宽带、无线定位等特点,是一种大容量、高速率、覆盖范围广的网络,成为宽带接入的一种有效手段。从某种意义上讲,Mesh网络更主要的是一种网络架构思想,主要功能体现在无中心、自组网、多级跳接和路由判断选择等。[2]
在传统的无线局域网(WLAN)中,每个客户端均通过一条与AP相连的无线链路来访问网络,用户如果要进行相互通信的话,必须首先访问一个固定的接入点(AP),这种网络结构被称为单跳网络。而在无线Mesh网络中(如图1所示)[3],任何无线设备节点都可以同时作为AP和路由器,网络中的每个节点都可以发送和接收信号,每个节点都可以与一个或者多个对等节点进行直接通信。
这种结构的最大好处在于:如果最近的AP由于流量过大而导致拥塞的话,那么数据可以自动重新路由到一个通信流量较小的邻近节点进行传输。依此类推,数据包还可以根据网络的情况,继续路由到与之最近的下一个节点进行传输,直到到达最终目的地为止,这样的访问方式就是多跳访问。
图1 无线Mesh网络
与传统的交换式网络相比,无线Mesh网络去掉了节点之间的布线需求,但仍具有分布式网络所提供的冗余机制和重新路由功能。
2、802.11 Mesh的网络结构
从图1可以看出,无线Mesh网络在通常的无线网关WGW(实现无线Internet接入)、无线用户终端的基础上,增添了无线路由器,由原有单一的无线接入网络结构演变成(如图2所示)的无线Mesh网络结构。无线Mesh网络增加了无线路由器层,各路由器间由无线连接,路由器与无线IP接入点(WGW)间由无线连接,并可交叉链接,形成密集网络。由此衍生出无线Mesh网络特有的基本技术和处理方法,它们都是与常规单纯的无线接入网络不同的新增无线路由器层直接相关联的。[4]
3、802.11Mesh网的关键技术
3.1无线Mesh路由器的无线传输技术
在研究无线Mesh网络技术过程中,常常把Mesh路由器(如WR)的无线传输技术,称为无线Mesh网络的物理层技术。这里传输主要是指WR与用户终端间的无线传输、WR之间的无线传输和WR与WGW间的无线传输。
图2无线Mesh网络结构
WR与用户终端间的无线传输是按用户终端支持的无线技术和标准化要求,实现类似于基站或无线接入点的功能,能够支持各种不同无线空中接口的接入要求。无线Mesh网络结构支持不同的标准化接入系统,有不同的无线传输技术,WR与用户终端间的无线传输都能适应。WR之间的无线传输和WR与WGW间的无线传输是需要定义和确认的。原则上,采用何种传输技术与用户终端支持的技术标准和系统方式没有直接关系,可以尽量采用现有的先进技术和方法。由于WR相当于基站,是位置固定的,是支持多用户综合高速数据的,是密集覆盖并要尽量避免彼此间干扰的,是有多种路由选择的。因此,智能定向天线技术、高效可控调制编码技术、低临界发射功率控制技术等是最重要的物理层传输技术[5]。
3.2多信道接入的MAC技术
提供媒体访问控制(MAC)接入的多信道技术,与通常的无线通信网络一样,有频分多址(FDMA)技术、时分多址(TDMA)技术、码分多址(CDMA)技术和使用定向天线的空分多址(SDMA)技术,实用中经常是这些多址技术的部分或全部综合应用,形成彼此独立互不串扰的多信道接入技术[6]。
由于WR的定点定向传输可以充分利用智能天线技术实现空分多址,实现尽可能多的互不干扰独立传输信道。相对常规无线通信,这是无线Mesh网络的又一特色。在多址接入技术支持下,无线Mesh网络的MAC层设计与通常的典型无线网络的MAC设计一样,同接入点相关。由于无线Mesh网络不是单跳而是多跳系统,需要支持多跳的MAC设计,所以首先是就近Mesh路由器的接入选择。而无线Mesh网络是自组织网络,网络路由连接和用户终端接入状况的拓扑结构随地理位置、通信环境、用户移动、WR布局等不同而不同,是变动的。因此,无线Mesh网络的就近Mesh路由器的接入选择,是动态的,与通常设计不同。
3.3接入WGW的路由技术
用户终端通过WR接到无线IP接入点的路由技术和相关协议是多跳的无线Mesh网络的最重要技术。研究和设计接入Internet的路由技术和协议,基本考虑准则有:尽量少的跳数、尽量小的时延、尽量大的数据速率、尽量低的差错率、尽量大的路由稳定等。这样,接入WGW的路由协议设计有如下几点要尤其注意:首先,无线Mesh网络中的路由协议不能仅仅根据“最小跳数”来进行路由选择,而要综合考虑多种性能度量指标,综合评估后进行路由选择;其次,路由协议要提供网络容错性和健壮性支持,能够在无线链路失效时,迅速选择替代链路避免业务提供中断;第三,路由协议要能够利用流量工程技术,在多条路径间进行负载均衡,尽量最大限度利用系统资源;第四,路由协议要求能同时支持路由器和用户终端[7]。
無线Mesh网络中Mesh路由器通常都是静止不动的,原则上没有功耗限制,也没有用户移动带来的路由器位置改变和路由拓扑改变,因此,可将现有Ad Hoc路由协议加以简化,进行跨层设计,建立简单得多的路由协议。但是,对于移动用户终端需要采用完全类似Ad Hoc的路由协议,寻求就近接入点和接入路由。
在可能的情况下,对各自Mesh路由器转接基本能力相同时,尽量选择并行接入方式,WR各自支持接入的用户终端,以可能的最大数据速率支持连接到Internet,各用户享受的支持是相同的公平的。这种接入公平性的考虑,也是实现网络各Mesh路由器最大能力的接入考虑,可使网络容量最大。
4、802.11Mesh网的安全性分析
4.1 安全面临的问题
Mesh网络与802.11无线局域网相比,多跳通信是其面临的主要问题。众所周知,无线通信很容易受到被动攻击(如:窃听),以及主动攻击(如:信息篡改,DOS攻击)。而这些安全隐患在多跳的802.11Mesh网中将被进一步放大[8]。主要体现在以下几个方面:
(1)在802.11无线局域网中每个用戶端都和AP相连。所以有利于管理员的管理。但是由于802.11Mesh网是一个多跳网络,所以将所有的安全管理都集中于一端的无线网关,将延缓网络对攻击的检测和应对,这将无疑会给攻击者带来便利。
(2)由于无线路由器距离Internet接入点有近有远,远离Internet接入点的节点有可能获得很小的带宽,所以设计合理的协议来保证节点间公平是很重要的,然而这对公平性的保护也带来了新的挑战。
(3)在有线网络中路由器一般会得到妥善的保护,所以对有线网络中的路由器的攻击不是那么方便,但无线路由器一般都在室外分布,比如安放在楼顶或安放在路灯上,所以无线路由器得不到很好的物理保护。这很容易造成攻击者对无线路由器的攻击,比如修改路由器中的信息,窃取路由器中用于认证的对称密钥或公私钥对或者用非法的无线路由器替换合法的路由器。
(4)由于无线路由器得不到很好的物理保护,攻击者可以潜入网络伪装成合法的节点,发布错误的路由信息。所以必须设计安全的路由协议以对抗针对路由协议的攻击。
4.2 安全问题解决策略
(1)加密
为了尽量降低网络的复杂性和开销,在Mesh网中使用逐跳加密;而在MAC层的源节点(源MP)使用802.11i密钥进行加密传输,该节点所对应的下一跳MR也具有该密钥,该MR使用此密钥进行解密,并使用802.11i组密钥再次进行加密,然后将数据传送给下一个MR。当传输数据到达目的节点所对应的最后一个MR,该MR进行解密之后,使用802.11i密钥再次进行加密,该密钥是此MR和目的MP所共有的。在这个过程中,中间的MP不需要使用802.11i密钥对传送的数据进行解密/再加密。如Tropos的TroposMetroMesh方案中对管理信息的加密,把作为网关的无线路由器从与它相关联的节点收集管理信息并发送到管理服务器,并使用AES加密这些流量。所有的无线路由器可以使用基于Web的配置来进行配置和监控,所有的配置信息使用HTTPS进行保护,这样网络管理者可以安全的配置和监控每一个无线路由器。
(2)认证
为了防止非法用户接入到802.11Mesh网,有效的认证机制是必不可少的。每一个接入到网络的节点必须能够通过802.11i的认证机制,这就要求对802.11Mesh网进行尽可能小的调整,使其能够适应Mesh网中节点的802.11i功能。这一点可以通过让进入网络的节点,以802.11i请求者的身份与节点相连接的MP以证明者的身份来实现。节点和MAP之间使用802.llx协议,使用可扩展的认证协议(EAP)对后端基础设施执行信令认证。总之,802.11Mesh网的认证体系是分布式安全问题,单纯依靠IEEE802.11的认证体系是远远不够的[9]。
5、结束语
无线Mesh网络是随同Ad Hoc网络发展起来的,由于Mesh采用的技术手段具有分层的网络结构,其传输骨干网具有多跳、拓扑稳定、无供电约束等特性。它增强了网络的覆盖能力及可靠性,此外它在移动漫游等方面与WLAN相比也有了明显的优势。但无线Mesh尚有一些关键技术问题有待进一步解决,特别是安全问题有待提高,如:WMN的QoS保障、分布式网络管理、控制机制等问题,可我们有理由相信,随着无线Mesh技术研究的不断深入,其应用的领域会越来越广,在无线宽带接入方面有着非常大的市场潜力。
参考文献:
[1]方旭明.下一代无线因特网技术:无线Mesh网络[M].北京:人民邮电出版社,2006.
[2]吴凡,毛玉明,张科.无线Mesh网络关键技术.中兴通讯技术.2008.4 25-26.
[3]文凯.走近无线Mesh网络.计算机世界.2005.6 1-2.
[4]朱近康.无线Mesh技术和网络.中兴通讯技术.2008.4 3-5.
[5]李荣秀,王心水.4G中的关键技术.甘肃科技学报.2006.3 34.
[6]邓力.无线Mesh网络多信道MAC协议的研究.武汉理工大学.2010 16-19.
[7]雷仕欢.无线Mesh网络MAC协议及路由协议跨层优化的研究.上海交通大学.2008 33-43.
[8]李娜. 802.11Mesh网的研究及其安全分析.数字通信世界.2008.02 48-50.
[9]孔少杰,吴越等.模块化无线Mesh网络加密方案设计.信息安全与通信保密.2009.07 40-42.
作者简介:
王 栋(1975—)男,河北省行唐县人,甘肃联合大学电子信息工程学院,讲师,主要从事计算机网络教学与研究。
[关键词] 无线网状网 Mesh路由器 无线宽带接入 安全性
0、引言
无线网络技术作为通信网络中非常重要的一类,各种802.11x标准不断被更新,新的无线网络架构和技术也不断被提出。随着人们对802.11a、802.11b和802.11g等无线局域网技术了解的深入,一种新的无线Mesh网络(无线网状网络)开始成为企业界瞩目的焦点,并沿着不同的分支演进。无线Mesh网络的核心指导思想是让网络中的每个节点都可以发送和接收信号,传统的WLAN一直存在的可伸缩性低和健壮性差等诸多问题由此迎刃而解[1]。无线Mesh技术的出现,代表着无线网络技术的又一大跨越,有极为广阔的应用前景。
1、802.11Mesh网络的概念
无线Mesh网络(无线网状网络WMN)也称为“多跳(multi-hop)”网络,它是一种与传统无线网络完全不同的新型无线网络技术。它是基于IP协议的无线宽带接入技术,它融合了WLAN和Ad Hoc网络的优势,支持多点对多点的网状结构,具有自组网、自修复、多跳级联、节点自我管理等智能优势以及移动宽带、无线定位等特点,是一种大容量、高速率、覆盖范围广的网络,成为宽带接入的一种有效手段。从某种意义上讲,Mesh网络更主要的是一种网络架构思想,主要功能体现在无中心、自组网、多级跳接和路由判断选择等。[2]
在传统的无线局域网(WLAN)中,每个客户端均通过一条与AP相连的无线链路来访问网络,用户如果要进行相互通信的话,必须首先访问一个固定的接入点(AP),这种网络结构被称为单跳网络。而在无线Mesh网络中(如图1所示)[3],任何无线设备节点都可以同时作为AP和路由器,网络中的每个节点都可以发送和接收信号,每个节点都可以与一个或者多个对等节点进行直接通信。
这种结构的最大好处在于:如果最近的AP由于流量过大而导致拥塞的话,那么数据可以自动重新路由到一个通信流量较小的邻近节点进行传输。依此类推,数据包还可以根据网络的情况,继续路由到与之最近的下一个节点进行传输,直到到达最终目的地为止,这样的访问方式就是多跳访问。
图1 无线Mesh网络
与传统的交换式网络相比,无线Mesh网络去掉了节点之间的布线需求,但仍具有分布式网络所提供的冗余机制和重新路由功能。
2、802.11 Mesh的网络结构
从图1可以看出,无线Mesh网络在通常的无线网关WGW(实现无线Internet接入)、无线用户终端的基础上,增添了无线路由器,由原有单一的无线接入网络结构演变成(如图2所示)的无线Mesh网络结构。无线Mesh网络增加了无线路由器层,各路由器间由无线连接,路由器与无线IP接入点(WGW)间由无线连接,并可交叉链接,形成密集网络。由此衍生出无线Mesh网络特有的基本技术和处理方法,它们都是与常规单纯的无线接入网络不同的新增无线路由器层直接相关联的。[4]
3、802.11Mesh网的关键技术
3.1无线Mesh路由器的无线传输技术
在研究无线Mesh网络技术过程中,常常把Mesh路由器(如WR)的无线传输技术,称为无线Mesh网络的物理层技术。这里传输主要是指WR与用户终端间的无线传输、WR之间的无线传输和WR与WGW间的无线传输。
图2无线Mesh网络结构
WR与用户终端间的无线传输是按用户终端支持的无线技术和标准化要求,实现类似于基站或无线接入点的功能,能够支持各种不同无线空中接口的接入要求。无线Mesh网络结构支持不同的标准化接入系统,有不同的无线传输技术,WR与用户终端间的无线传输都能适应。WR之间的无线传输和WR与WGW间的无线传输是需要定义和确认的。原则上,采用何种传输技术与用户终端支持的技术标准和系统方式没有直接关系,可以尽量采用现有的先进技术和方法。由于WR相当于基站,是位置固定的,是支持多用户综合高速数据的,是密集覆盖并要尽量避免彼此间干扰的,是有多种路由选择的。因此,智能定向天线技术、高效可控调制编码技术、低临界发射功率控制技术等是最重要的物理层传输技术[5]。
3.2多信道接入的MAC技术
提供媒体访问控制(MAC)接入的多信道技术,与通常的无线通信网络一样,有频分多址(FDMA)技术、时分多址(TDMA)技术、码分多址(CDMA)技术和使用定向天线的空分多址(SDMA)技术,实用中经常是这些多址技术的部分或全部综合应用,形成彼此独立互不串扰的多信道接入技术[6]。
由于WR的定点定向传输可以充分利用智能天线技术实现空分多址,实现尽可能多的互不干扰独立传输信道。相对常规无线通信,这是无线Mesh网络的又一特色。在多址接入技术支持下,无线Mesh网络的MAC层设计与通常的典型无线网络的MAC设计一样,同接入点相关。由于无线Mesh网络不是单跳而是多跳系统,需要支持多跳的MAC设计,所以首先是就近Mesh路由器的接入选择。而无线Mesh网络是自组织网络,网络路由连接和用户终端接入状况的拓扑结构随地理位置、通信环境、用户移动、WR布局等不同而不同,是变动的。因此,无线Mesh网络的就近Mesh路由器的接入选择,是动态的,与通常设计不同。
3.3接入WGW的路由技术
用户终端通过WR接到无线IP接入点的路由技术和相关协议是多跳的无线Mesh网络的最重要技术。研究和设计接入Internet的路由技术和协议,基本考虑准则有:尽量少的跳数、尽量小的时延、尽量大的数据速率、尽量低的差错率、尽量大的路由稳定等。这样,接入WGW的路由协议设计有如下几点要尤其注意:首先,无线Mesh网络中的路由协议不能仅仅根据“最小跳数”来进行路由选择,而要综合考虑多种性能度量指标,综合评估后进行路由选择;其次,路由协议要提供网络容错性和健壮性支持,能够在无线链路失效时,迅速选择替代链路避免业务提供中断;第三,路由协议要能够利用流量工程技术,在多条路径间进行负载均衡,尽量最大限度利用系统资源;第四,路由协议要求能同时支持路由器和用户终端[7]。
無线Mesh网络中Mesh路由器通常都是静止不动的,原则上没有功耗限制,也没有用户移动带来的路由器位置改变和路由拓扑改变,因此,可将现有Ad Hoc路由协议加以简化,进行跨层设计,建立简单得多的路由协议。但是,对于移动用户终端需要采用完全类似Ad Hoc的路由协议,寻求就近接入点和接入路由。
在可能的情况下,对各自Mesh路由器转接基本能力相同时,尽量选择并行接入方式,WR各自支持接入的用户终端,以可能的最大数据速率支持连接到Internet,各用户享受的支持是相同的公平的。这种接入公平性的考虑,也是实现网络各Mesh路由器最大能力的接入考虑,可使网络容量最大。
4、802.11Mesh网的安全性分析
4.1 安全面临的问题
Mesh网络与802.11无线局域网相比,多跳通信是其面临的主要问题。众所周知,无线通信很容易受到被动攻击(如:窃听),以及主动攻击(如:信息篡改,DOS攻击)。而这些安全隐患在多跳的802.11Mesh网中将被进一步放大[8]。主要体现在以下几个方面:
(1)在802.11无线局域网中每个用戶端都和AP相连。所以有利于管理员的管理。但是由于802.11Mesh网是一个多跳网络,所以将所有的安全管理都集中于一端的无线网关,将延缓网络对攻击的检测和应对,这将无疑会给攻击者带来便利。
(2)由于无线路由器距离Internet接入点有近有远,远离Internet接入点的节点有可能获得很小的带宽,所以设计合理的协议来保证节点间公平是很重要的,然而这对公平性的保护也带来了新的挑战。
(3)在有线网络中路由器一般会得到妥善的保护,所以对有线网络中的路由器的攻击不是那么方便,但无线路由器一般都在室外分布,比如安放在楼顶或安放在路灯上,所以无线路由器得不到很好的物理保护。这很容易造成攻击者对无线路由器的攻击,比如修改路由器中的信息,窃取路由器中用于认证的对称密钥或公私钥对或者用非法的无线路由器替换合法的路由器。
(4)由于无线路由器得不到很好的物理保护,攻击者可以潜入网络伪装成合法的节点,发布错误的路由信息。所以必须设计安全的路由协议以对抗针对路由协议的攻击。
4.2 安全问题解决策略
(1)加密
为了尽量降低网络的复杂性和开销,在Mesh网中使用逐跳加密;而在MAC层的源节点(源MP)使用802.11i密钥进行加密传输,该节点所对应的下一跳MR也具有该密钥,该MR使用此密钥进行解密,并使用802.11i组密钥再次进行加密,然后将数据传送给下一个MR。当传输数据到达目的节点所对应的最后一个MR,该MR进行解密之后,使用802.11i密钥再次进行加密,该密钥是此MR和目的MP所共有的。在这个过程中,中间的MP不需要使用802.11i密钥对传送的数据进行解密/再加密。如Tropos的TroposMetroMesh方案中对管理信息的加密,把作为网关的无线路由器从与它相关联的节点收集管理信息并发送到管理服务器,并使用AES加密这些流量。所有的无线路由器可以使用基于Web的配置来进行配置和监控,所有的配置信息使用HTTPS进行保护,这样网络管理者可以安全的配置和监控每一个无线路由器。
(2)认证
为了防止非法用户接入到802.11Mesh网,有效的认证机制是必不可少的。每一个接入到网络的节点必须能够通过802.11i的认证机制,这就要求对802.11Mesh网进行尽可能小的调整,使其能够适应Mesh网中节点的802.11i功能。这一点可以通过让进入网络的节点,以802.11i请求者的身份与节点相连接的MP以证明者的身份来实现。节点和MAP之间使用802.llx协议,使用可扩展的认证协议(EAP)对后端基础设施执行信令认证。总之,802.11Mesh网的认证体系是分布式安全问题,单纯依靠IEEE802.11的认证体系是远远不够的[9]。
5、结束语
无线Mesh网络是随同Ad Hoc网络发展起来的,由于Mesh采用的技术手段具有分层的网络结构,其传输骨干网具有多跳、拓扑稳定、无供电约束等特性。它增强了网络的覆盖能力及可靠性,此外它在移动漫游等方面与WLAN相比也有了明显的优势。但无线Mesh尚有一些关键技术问题有待进一步解决,特别是安全问题有待提高,如:WMN的QoS保障、分布式网络管理、控制机制等问题,可我们有理由相信,随着无线Mesh技术研究的不断深入,其应用的领域会越来越广,在无线宽带接入方面有着非常大的市场潜力。
参考文献:
[1]方旭明.下一代无线因特网技术:无线Mesh网络[M].北京:人民邮电出版社,2006.
[2]吴凡,毛玉明,张科.无线Mesh网络关键技术.中兴通讯技术.2008.4 25-26.
[3]文凯.走近无线Mesh网络.计算机世界.2005.6 1-2.
[4]朱近康.无线Mesh技术和网络.中兴通讯技术.2008.4 3-5.
[5]李荣秀,王心水.4G中的关键技术.甘肃科技学报.2006.3 34.
[6]邓力.无线Mesh网络多信道MAC协议的研究.武汉理工大学.2010 16-19.
[7]雷仕欢.无线Mesh网络MAC协议及路由协议跨层优化的研究.上海交通大学.2008 33-43.
[8]李娜. 802.11Mesh网的研究及其安全分析.数字通信世界.2008.02 48-50.
[9]孔少杰,吴越等.模块化无线Mesh网络加密方案设计.信息安全与通信保密.2009.07 40-42.
作者简介:
王 栋(1975—)男,河北省行唐县人,甘肃联合大学电子信息工程学院,讲师,主要从事计算机网络教学与研究。