◆焦哲 李雷 高建

基于安全标签的无线局域网身份节点发现方法

◆焦哲 李雷 高建

（中国电子科技集团公司第三十研究所 四川 610041）

针对无线环境低带宽、高延迟的特点，本文提出一种基于安全标签的无线局域网身份节点发现方法，介绍安全标签的实现方法和身份节点信息策略学习更新过程，实现身份节点自学习，研表明，该方法在安全可靠的前提下，尽量降低无线信道的开销，能够安全可靠的学习到无线通信节点的网络信息。

安全标签；无线环境；身份节点发现

随着互联网的飞速发展，移动通信设备被大众普遍使用，如何解决无线通信网络通信双方可信和数据信息安全可靠传输成了敏感性问题，由于无线网络没有物理的边界，任何用户可以在任何地方接入网络，对于无线通信边界设备带来用户的隐私及通信网络地址等安全性问题，网络安全问题日益突出。通过无线手段进行通信的节点信息在传输过程中容易被伪造、篡改，存在安全隐患。

针对低带宽的无线环境自组网场景，通过安全标签的身份认证技术实现数据的安全防护，防止假冒节点非法接入，防止数据在无线通信环境中传输时被篡改、伪造，在提供必要的安全机制同时，尽量小的减小无线带宽占用，保证无线环境网络数据包的正常收发。

1 安全标签实现方法

无线环境通信的安全可信节点设备，每一个设备分配唯一的一个身份ID作为身份标识，每一台设备分别预置了相同的若干组密钥序列，密钥序列为一段连续的随机序列信息，存放于设备存储介质中，需要时进行调用，发送方进行安全标签生成，接收方进行安全标签验证。

1.1 生成安全标签

在通信过程中，业务发起方采用随机数生成一组密钥序号，根据密钥号信息选择一组系统内置的密钥key，与数据内容一起计算出安全摘要Hash（key，data），再加上经过安全处理的密钥号和身份ID信息，一同组成安全标签，添加在待发送数据报文末尾位置，该内容为固定长度内容。生成安全标签流程如图1所示：

图1 生成安全标签流程

1.2 验证安全标签

无线通信网络节点从网口驱动接收到携带有安全标签的身份节点信息报文，首先是校验是否携带有安全标签，如果携带安全标签，解析身份ID、获取密钥序号，根据密钥序号获取设备内部预置的密钥信息key，与接收的数据重新计算出安全摘要Hash1（key，data）。将身份ID信息与本地存储的发送方身份ID信息进行比较，成功后将重新计算的Hash1与数据包中携带的Hash值进行比较，计算的哈希值一致，表示数据包内容未进行篡改和伪造，验证通过。验证结束后，将IP数据包去掉安全标签信息，重新计算校验和等内容后注入协议栈，继续后续流程。验证安全标签的流程如图2所示。

图2 安全标签验证流程

2 节点身份发现技术

无线整个策略学习流程包括“开机学习”、“策略更新和定时同步”和“策略/证书销毁”三个阶段。

2.1 开机学习

开机学习阶段。当设备开机自检完毕后，采用组播方式向全网发送一个“策略学习报文”，该报文携带本机的策略信息和安全标签。在网的其他节点收到该请求报文后，采用点播的方式将自己的策略信息发送给该节点，从而完成全网在网节点的策略的自动收集任务。

图3 开机学习

2.2 策略更新和定时同步

该阶段的任务是：当本节点的策略发生改变后主动通知其他在网节点及时更新策略数据，或定时广播本节点的策略信息，以便由于某种原因没有收到或丢失了本节点策略信息的节点更新自己的策略数据。

（1）策略更新同步

当管理人员通过配置客户端界面对本节点的策略数据进行了更新后，本节点立即采用组播方式向全网发送策略同步报文，以通知全网在网节点及时更新自己的策略信息。

图4 策略更新

从图中可以看出，在该模式下，其他在网节点只是单向的接收该报文。

（2）策略定时同步

无线网络比较容易受各种环境因素的影响，从而导致丢包、网络暂时性不畅通等。

为了避免由于网络原因导致其他在网节点没有收到本节点的开机策略学习报文和策略更新同步报文，每个节点在正常完成开机阶段的任务后，定时以组播方式向网络内在网节点发送策略同步信息，以便其他节点能及时更新策略信息。

为了减少对无线信道资源的占用，策略定时同步报文中只携带本节点的节点网关、节点类型和策略版本号，当在网的某个节点收到该报文后，首先检查本地保存的对应节点的策略版本号与该报文中的策略版本号是否一致，如果一致则丢弃该报文并更新该节点状态，如果不一致，则向该节点发送一个策略请求报文，请求该节点提供最新的策略数据。

从图5可以看出，在整个定时同步过程中，只有在网节点需要时，才进行策略交互，否则不需要进行交互。

2.3 策略和证书老化

设备上的策略和证书分为两种：第一种为本设备自身所拥有的策略和证书；第二部分为工作工程中学习到的其他在网设备的策略和证书。

第一种策略和证书信息是永久保存在设备中的（简称永久规则），不管设备是处在工作状态还是关机状态，该部分信息都保存在设备的硬盘等永久存储介质中，开机即可读取使用。

第二种策略和证书信息是设备在工作中自动学习到的（简称临时规则），该部分信息与整个网络中其他设备的在线状态相关的，其原则是：当一个设备开机入网后，在网的其他设备需要获取它的策略和证书信息，当该设备离线后，其他在网设备则会废弃该离线设备的策略和证书信息，以使在线设备尽可能处于简单高效的运行状态中，所以该部分信息不会在本地进行永久保存，仅在内存中暂时保存。每台设备都会依据策略老化规则，定时去掉老化超期的临时规则，或者在关机时丢弃所有学习到的临时规则。

图5 策略定时同步

3 实验验证

为验证本文安全标签和节点身份发现的有效性，搭建网络测试环境，如图6所示。对通信节点1和通信节点2的节点学习进行验证，通信节点1学习到通信节点2的节点信息如图7所示，通信节点2学习到通信节点1的节点信息如图9所示。

图6 网络测试环境拓扑

图7 通信节点1学习信息

实验环境搭建的节点身份学习信息，维护人员对于学习到的动态节点不能进行修改，如图8和图10所示，仅当策略进行变更或者老化后重新发起学习，节点信息自动更新。

图8 通信节点1学习的详细信息

图9 通信节点2学习的信息

图10 通信节点2学习的详细信息

3 结语

通过对真实环境身份节点信息的学习，安全标签可有效地防护网络环境用户网络身份信息安全性，为网络传输的身份节点信息提供完整性和真实性保护。

本文提出的基于安全标签的身份节点发现方法采用了组播报文进行转发，仅实现了二层网络进行安全可靠传递，对于三层网络转发作为下一步工作进行研究及模型搭建，以达到更便捷、更安全的身份自学习方法。

[1]吕格莉，王东等.基于数字证书技术的增强型身份认证系统[J].计算机应用研究，2006（8）：114-116，119.

[2]贾悠，叶常华，卢宇浩，等.一种基于安全标签的单向身份认证技术[J].通信技术，2020，53（05）：1231-1234.

[3]赵彦.基于海上无线网络的安全身份认证技术研究[J].舰船电子工程，2016，267（9）：80-85，151.

[4]徐会艳，吴克力，孙庆英.无线自组网中基于身份的口令认证方案[J].计算机工程与应用，2013，49（1）：120-123.