基于虚拟接入点的无线网状网WAPI应用机制_图文

1、I S N 1000-0054清华大学学报(自然科学版2008年第48卷第7期CN 112223/N J Tsinghua Univ(Sci&Tech。2008,V01.48,No.7基于虚拟接入点的无线网状网WAPI应用机制张 鹏1, 李贺武2, 武文忠1(1.兰州大学信息科学与工程学院,兰州730000;2.清华大学信息网络工程研究中心,北京100084摘要:为了解决无线局域网鉴别和保密基础结构(WAPI应用于基于无线网状网技术的新型无线网络中产生的移动性问题,该文在原有WAPI鉴别结构的基础上,针对无线网状网的特点,利用虚拟接入点(AP的方法,将若干相邻无线网状网接入点虚拟为同一

2、接入点。理论分析结果表明:该方法精简了客户端漫游时重认证的步骤,从而有效地减少了重认证的延时。该方法的应用提高了无线网状网中WAPI机制的应用效率,增强了WAPI机制的可用性、可扩展性、可管理性。关键词:计算机网络安全,无线网状网I移动性中图分类号:TP 393.8文献标识码:A文章编号:10000054(200807114304Virtual access point implementation ofWAPI in wireless mesh networksZHANG Pen91.LI Hewu2.WU Wenzhon91(1.School of Information Science

3、and Engineering,Lanzhou University,Lanzhou 730000,Chinal2.Network Research Center,Tsinghua University,Beijing 100084,ChinaAbstract:This paper describes a method to implement the wirelesslocal area network authentication and privacy infrastructure(WAPIin a mobile platform based on mesh network.The me

4、thod uses avirtual access point(AP,which views several neighboring APs ofthe mesh network as one AP.for the primary WAPI authenticationmechanism based on the features of the mesh network.This methodreduces the reauthentications caused by station roaming andshortens the reauthentication delay.thus it

5、 reduces the client andsystem costs.A performance analysis show that this virtual APmethod enhances the efficiency of WAPI implementations in meshnetworks,and strengthens the usability,extensibility,andmanageability of theWAPI.Key words:computernetwork security;wireless mesh networkmobility20/41 114

6、31146全性等新的挑战。2003年提出的无线局域网鉴别和 保密基础结构(WAPI口1实现了网络的安全接入控 制与数据的保密传输。无线环境下各种新型实时流媒体应用对网络所 支持的移动性能提出了全新的要求3,通过相关研 究发现H50,重认证延时是影响移动性能的关键因 素。然而,WAPI在解决无线网络安全性的同时,增 加了漫游中的重认证延时,因此带来了移动性问题, 从而使WAPI机制不适合应用于大规模无线网络, 特别是难于有效应用于无线网状网(Mesh等新型 网络副。本文在分析WAPI鉴别过程的基础上,基于虚 拟接入点(AP,提出一种Mesh网络WAPI应用 机制,提高了WAPI机制的应用效率,增

7、强了 WAPI机制的可用性。1WAPI预鉴别WAPI包含2个部分:鉴别基础结构(WAI和 保密基础结构(WPI。WAI实现身份鉴别和密钥协 商,是实现WAPI的基础。WAI使用公钥证书,通过 鉴别服务器(AS对客户端(STA和接入点(AP进 行双向的身份认证,具体的WAI证书鉴别过程和 密钥协商过程如图1所示。根据现有WAPI机制2,当STA从一个AP移 动到另一个AP上时,要重新进行STA和新AP的 证书鉴别和密钥协商过程,导致STA的重认证延时 过长,影响漫游切换。WAPI通过预鉴别方法解决该 问题。漫游前,STA通过目前连接的AP进行证书 预鉴别过程,并生成基密钥(BK,分别存储在STA

8、 和将要漫游的AP中。STA漫游到新AP上时,根据.。随着无线设备和移动设备数的警增,吾线技 萎萎昱言i 2国00家7-重03大-0科7学工程项目(高技20。:。,。号术将会对下一代互联网络发展产生重大影响1。无作者简介:张鹏(1983一,男(汉,河南,硕士研究生。线网络的应用扩展了用户的自由,同时也带来了安 通讯联系人:李贺武,助理研究员,E-msil:lih。rn。t.。d。.。 清华大学学报(自然科学版 客户端l I接入点J I鉴别服务器单播 密钥 协商组播 密钥 通告鉴别澈活接入鉴别请求接入鉴别响应单播密钥协商请求单播密钥I办商响应单播密钥协商确认组播密钥通告组播密钥响应证书鉴别请求

9、证书鉴别响应图1WAI证书鉴别和密钥协商预鉴别的结果,和AP直接进行单播密钥的协商和 组播密钥的通告过程,不用进行WAI证书鉴别。 然而,通过分析发现WAPI预鉴别存在以下问 题。1STA和所连AP完成单播会话密钥协商并安 装密钥之后才可启动预鉴别过程,因此,影响AP和 STA之间正常的数据通信。2由STA所连AP来 发现周围的AP,然后,对其进行预鉴别。这种方法 受到发现机制的影响,可能造成预鉴别的AP不是 STA将要移动的目标AP。若采用其他发现机制,则 会增加STA和AP的开销。3预鉴别完成后,STA 会生成基密钥列表。如果网络规模扩大,STA生成 和维护的基密钥列表会很复杂,从而增加S

10、TA的开 销。4预鉴别机制是为传统无线局域网设计的。由 于Mesh网络中AP需同时承担用户接入和中继其 他AP的功能,如将这一机制不加修改地应用于无 线Mesh网络中,将会加重所连接AP的负担,不利 于网络进一步扩展。WAPI机制预鉴别的方法,虽然在一定程度上 实现了快速漫游,但是,增加了AP和STA的负担, 且不利于网络的扩展,因此需要提出一种新的应用 机制来解决WAPI中的移动性问题。2基于虚拟AP的WAPI机制定义1网络中相邻的多个物理AP共同使用 同一虚拟AP证书,虚拟为同一个AP,称为虚拟 AP。定义2可以证明虚拟AP身份的公钥证书, 称为虚拟AP证书,它是虚拟AP的数字身份凭证,

11、通过私钥验证可以惟一地确定虚拟AP身份。根据定义1,STA连接到网络中任一个物理 AP上,等同于连接到同一虚拟AP上。STA和虚拟 AP通过鉴别服务器AS进行双向认证。认证通过 后,STA在虚拟AP虚拟域(虚拟AP虚拟的所有 物理AP范围内移动时,不用进行证书鉴别过程, 而是利用之前已有的STA和虚拟AP鉴别的结果, 直接进行后续单播密钥和组播密钥的协商。虚拟AP的应用并没有改变WAPI原有的鉴别 结构,只是用虚拟AP代替了多个物理AP.认证过 程中发送到AS的是虚拟AP的证书以及STA的 证书,AS实现对虚拟AP和STA双向认证。图2为使用虚拟AP的认证过程示意图。客户媸 虚拟接入点 鉴别服

12、务器临时私钥临时公钥随机生成数生成基密钥鉴别标识鉴B0服务器身份,虚拟接入点证书客户端随机数,客户端密钥数据,虚拟接入点身份,客户端身份.客户端签名-_-虚拟接入点:临时私钥,临时公钥,生成基密钥。将基密钥发送到所有接入点客户端随机数、密钥数据、身份,虚拟接入点随机数、密钥数据、身份。验证结果,虚拟接入点签名客户端随机数和证书.虚拟接入点随机数和证书证书验证结果,客户端信任的签名.虚拟接入点信任的签名图2使用虚拟AP的认证不意图从图2可以看出,虚拟AP的应用对WAPI机 制进行了以下改进。首先,将STA和所连AP的鉴 别过程以及STA和漫游AP的预鉴别过程,统一为 一个过程,即STA和虚拟AP

13、鉴别过程。这与现有 WAPI机制中完成单播会话密钥的协商才可启动预 鉴别过程相比,应用效率有明显的提高。其次,STA 只需要生成及维护1个基密钥,而现有机制需要生 成维护1个包含基密钥的列表。另外,通过对虚拟域 的合理划分,可以实现STA在合理区域内的快速漫 游,与预鉴别中所连AP主动发现周围AP相比,这 种方法更加合理,更加符合用户的实际需求。3Mesh网络应用机制3.1首次连接过程将Mesh网络中若干相邻的Mesh AP虚拟为 同一个AP,STA连接到其中任一个物理AP上,等 同于连接到这个虚拟AP上,STA所连物理AP实 现虚拟AP的功能。STA首次连接到Mesh网络,基 于虚拟AP的W

14、API认证过程叙述如下。1虚拟AP向连接在虚拟域中的STA发送鉴 别激活分组,其格式同现有WAPI机制中定义的鉴 别激活分组格式一致,包括标识字段、鉴别标识字 段、AS身份字段、证书字段、参数字段。其中证书字 段使用虚拟AP证书(定义2。STA收到鉴别激活 分组后,进行如下处理:a根据虚拟AP信任的AS 身份,选择AS颁发的证书;b产生私钥z,以及公张鹏,等:基于虚拟接入点的无线网状网WAPI应用机制钥zP;C利用随机数生成器产生STA挑战 Asu。;d按照现有WAPI机制构造鉴别请求分组 发送给所连物理AP。2所连物理AP实现虚拟AP的功能,其收到 鉴别请求分组后进行如下处理:a对收到的分组

15、 进行检查;b验证STA的数字签名,若验证成功, 则执行下一步;C按照现有WAPI机制生成证书 鉴别请求分组并发送给鉴别服务器,其中鉴别器实 体(AE证书字段使用虚拟AP证书。3鉴别服务器AS收到虚拟AP发送的证书鉴 别请求分组后,进行如下处理:a验证STA证书 以及Mesh网络中虚拟AP证书,若验证失败,则将 相应的证书结论置为证书颁发者不明,再执行下一 步;b验证所有证书的状态,根据STA证书以及 Mesh网络中虚拟AP证书的验证结果,通过现有 WAPI机制构造证书鉴别响应分组,附加上鉴别服 务器签名,发送给虚拟AP。4虚拟AP(即STA所连物理AP接收到证书 鉴别响应分组后,进行如下处理

16、:f1进行参数检 查;b查找并验证AS的签名;c若STA的证书 鉴别结果为成功,则在本地生成私钥Y,以及公钥 yP,生成密钥种子yxP;d利用随机数生成器产 生虚拟AP挑战NAE;e利用函数SHA256(yxP, NAE,鸺UE扩展密钥种子,生成基密钥和下一次证 书鉴别过程的鉴别标识种子;f将生成的基密钥以 及证书鉴别结果,发送给虚拟AP域中所有物理 AP;其他物理AP收到虚拟AP发送的鉴别响应分 组后首先验证信任AS的签名,若STA的证书鉴别 结果为成功,则缓存虚拟AP发送过来的基密钥; g虚拟AP加上签名,按照现有WAPI机制构造接 入鉴别响应分组并发送给STA,其中AE密钥数据 和AE签

17、名字段,分别指虚拟AP的密钥数据和 签名。5STA收到接入鉴别响应分组后,进行如下 处理:a验证是否是自身发送的接入鉴别请求分 组对应的响应分组;b检查标识与发送的接入鉴 别请求分组中标识是否一致;c比较STA挑战、 STA密钥与发送的接入鉴别请求分组中的是否一 致;d在复合证书鉴别结果中,查找自己信任AS 的签名,并验证签名是否正确,若验证签名正确再检 查证书鉴别结果是否有效,若证书鉴别结果有效,则 执行下一步;eSTA使用自己的私钥z,以及虚拟 AP的公钥yP,生成密钥种子,并利用函数 SHA256(yxP,AE,AsuE,生成基密钥和下一次 证书鉴别过程的鉴别标识种子;f使用生成的基密

18、钥,按照现有WAPI机制完成后续单播会话密钥协 商和组播会话密钥通告过程。3.2移动过程STA完成首次鉴别后,在虚拟域中移动时,重 新认证过程如下:1STA向AP发送携带WAPI 信息的关联请求,此WAPI信息中包含STA和虚 拟AP协商出的基密钥BK;2STA所关联新AP 收到关联请求后,首先检查缓存的BK是否有效,若 有效,再将缓存的BK与STA提交的BK比较,若 相同,则跳过证书鉴别过程,直接使用缓存的BK进 行单播会话密钥协商和组播会话密钥通告,否则就 要进行完整的WAI证书鉴别和密钥协商过程。 虚拟AP和STA都可以发起密钥更新过程,密 钥更新过程同现有WAPI机制一致。虚拟AP需要

19、 将更新的基密钥发送给虚拟域中其他物理AP,其 他物理AP更新其缓存的基密钥。4性能分析基于虚拟AP的WAPI应用机制,由于不需要 再次进行证书鉴别和基密钥协商,所以缩短了STA 在不同AP间切换的延时。与预鉴别机制相比, STA只需要1个基密钥BK就可以实现在整个虚 拟域中的漫游,无需生成1个BK列表。由于这个原 因,该方法在应用于大规模网络时,减轻STA负担, 可以在更大范围内实现快速移动。基于虚拟AP的WAPI应用机制,实现过程简 单,并没有改动WAPI的认证体系结构。在AP处所 做的改动对于STA也是完全透明的,对于目前的 WAPI客户端没有做任何修改。同时,该应用机制具 有可扩展性。

20、在大规模网络中,可将网络分为不同的 小簇,然后,采用分级的AS鉴别结构,不仅可以实 现小范围的快速移动,而且也可以实现大规模网络 中的快速移动。从后续的数据通信来看,基于虚拟AP的 WAPI应用机制不会对它产生任何影响,因为在首 次鉴别过程中就实现STA和所连接网络的整体认 证。预鉴别过程是在STA和所连AP完成单播会话 密钥的协商并安装密钥之后才可启动,因此会影响 到后续的数据通信。基于虚拟AP的WAPI机制中,虚拟AP的应 用也会带来一些额外的开销。具体地说,虚拟AP收 到鉴别服务器的鉴别结果后,会将生成的基密钥 BK传送给虚拟域中所有的物理AP,其他物理AP1146清华大学学报(自然科学

21、版 2008,48(7要缓存这个BK,并且在接到STA的关联请求后, 要对缓存的BK和STA提交的BK进行比较。这些 新的功能都增加了AP的开销。虽然虚拟AP的应用增加了一部分额外的开 销,但是对客户端完全透明,有效地减少用户在移动 切换过程中的重认证延时,大大提高了WAPI机制 在Mesh网络中的应用效率,增强了其可用性、可扩 展性、可管理性。5结 论基于虚拟AP的方法,在不改变原有WAPI认 证结构情况下,大大减少wAPI重新认证过程的延 时,而且也没有增加STA的负担,整个过程对于 STA完全透明。该方法在减少鉴别服务器和客户端 负担的同时,以较短的时间完成了WAPI认证和重 新认证的过

22、程。在未来的研究中,可以在真实的 WAPI实验环境中,验证本应用机制的实际性能以 及虚拟AP的范围与划分方法。参考文献(ReferencesE13Raychaudhuri D,Gerla M.New architectures and disruptive technologies for the future internet:the wireless,mobile and sensor network perspective. GDD一0504R. New Brunswick:NSF WMPG Workshop,2005.(上接第1142页 23中华人民共和国国家标准GB 15629.11

23、2003.信息技术系统 间远程通信和信息交换局域网和城域网特定要求第11部分; 无线局域网媒体访问控制和物理层规范s.北京:国家标 准化管理委员会,2003.National Standard of the PeopleS Republic of China GB 15629.I 12003.Information technologytelecommunications and information exchange between systemslocal and metropolitan area networksspecific requirementspart 11z wirele

24、ss LAN medium access control(MACand physical layer(PHYspecificationsS.Beijing:Standardization Adminiatration of China,2003.(in Chinese3Kim H,Shin K G,Dabboua W.Improving crossdomain authentication over wireless local area networksC/Proc of Int Conf on Security and Privacy for Emerging Areas in Comm

25、Networks(SecureComm.Athena,Greece:IEEE, 2005l 310315.4Pack S。Choi Y.Preauthenticated fast handoff in a public wireless LAN based Off IEEE 802.1X modelc/ Proceeding of IFIP TCS/WG6.8Working Conf on Personal Wireless Communication.Singapore:IFIP,2002:175182. 5Mishra A,Shin M,Arbaugh W.Context caching

26、using neighbor graphs for fast handoffs in a wireless networkC /Proceedings of the IEEE Information Conference.Hong Kong,China:IEEE,2004l 687691.63Prasad A R,Wang H.Roaming key based fast handover in wLANa C/IEEE Wireleaa Communications and Networking Conference(WCNC.Piscataway:IEEE Press. 2005:1570

27、1576.表1给出BP译码算法和TSBP算法在误码平 底区域的最大迭代次数及平均迭代次数的比较。由 表1可以看出,BP译码算法由于TSS的影响,最大 的迭代次数会很大,其很多次的迭代处于振荡状态 或错误的收敛状态;而引入了TSS检测的TSBP 算法,可以动态地终止误码平底区域的第一级译码 中无用的迭代,从而降低了最大迭代次数和平均迭 代次数。表1BP和TSBP迭代次数统计4结论本文针对BP译码算法带来的LDPC码的误码 平底问题,提出一种TSBP算法。该算法在复杂度 增加较小的情况下,降低了误码平底达到近2个数 量级,为LDPC码在极低误码率条件下的应用提供 一种切实可行的方案。参考文献(Re

28、ferences13MacItay D J C,Neal R M.Near Shannon limit performance of low density parity check codesJ.1EE ElectronicLetters.1996,32:16451646.2Richardson T.Error floors of LDPC codesc/Proe 41st Annual Allerton Conference. UrbanaChampaign:IEEE Press,2003,14261435.3Vellambi B N,Fekri F.Results on the impr

29、oved decoding algorithm for lOW density parity check codes over the binary erasure channelJ.IEEE Tram Inform Theory,2007, 53(4:15101520.4Laendner S,Milenkovic O.LDPC codea based on Latin squares l cycle structure,stopping set,and trapping set analysisJ.1EEE Trans Commun,2007,55(2:303312. 5PiahroNik H,Fekri F.On decoding of lowdensity paritycheck codes over the binary erasure channelJ. IEEE Tram Inform Theory,2004,50(3:439454.63Varnica N,Fossorier M.Improvements in beliefpropagation decoding based on averaging information from decoder and correction of clusters of nodes U.