WiFi安全解決方案是否對(duì)WiMAX有借鑒意義
——
中國網(wǎng)通研究院劉紅旗:同樣作為無線接入標(biāo)準(zhǔn),WLAN的安全機(jī)制的演進(jìn)過程方面,對(duì)WiMAX具有天然的借鑒性意義。
IEEE802.11i規(guī)定使用802.1x認(rèn)證和密鑰管理方式,在數(shù)據(jù)加密方面,不僅繼承了端口訪問控制技術(shù)和可擴(kuò)展認(rèn)證協(xié)議(EAP),還定義了TKIP、CCMP和WRAP三種加密機(jī)制。使用802.1x完成初步認(rèn)證并且獲得成對(duì)主密鑰(PMK)之后,再通過四次握手協(xié)議來互動(dòng)地從PMK中獲得加密密鑰和認(rèn)證密鑰。四次握手協(xié)議使得可以用臨時(shí)密鑰來對(duì)單播數(shù)據(jù)進(jìn)行加密后再傳播。同時(shí)在802.11i中引進(jìn)了組密鑰握手協(xié)議,通過組密鑰握手協(xié)議來獲得多播數(shù)據(jù)的加密密鑰從而實(shí)現(xiàn)多播數(shù)據(jù)的加密傳輸。另外在IEEE802.11i中當(dāng)客戶端(請(qǐng)求者)在接入點(diǎn)(認(rèn)證者)之間漫游時(shí),為了從根本上降低恢復(fù)通信所需要的時(shí)間,采用了預(yù)認(rèn)證方法。
802.16e的安全機(jī)制在很大程度上與802.11i有著一致性。比如都采納基于EAP協(xié)議的認(rèn)證機(jī)制,都采用了AES-CCM數(shù)據(jù)加密協(xié)議,都引進(jìn)了預(yù)認(rèn)證方法等等??梢?02.11i中的四次握手協(xié)議以及組密鑰握手協(xié)議對(duì)于802.16安全機(jī)制也有著很大的借鑒作用。由于目前802.16安全機(jī)制只是引進(jìn)了基于EAP認(rèn)證的協(xié)議和引進(jìn)了類似于四次握手的流程,而對(duì)于組密鑰握手則尚未涉及。因此可以推測(cè)802.16安全機(jī)制的發(fā)展趨勢(shì)很可能將會(huì)參照802.11i的安全設(shè)計(jì)思想,在802.16中引進(jìn)明確的四次握手協(xié)議和組密鑰握手協(xié)議。此外,在當(dāng)前的802.16安全機(jī)制中增加了多播的建議,多播傳輸連接可以映射到任何靜態(tài)的或動(dòng)態(tài)的安全關(guān)聯(lián),用于更新TEK的密鑰請(qǐng)求和密鑰回應(yīng)消息通過Primary管理連接來裝載。但是這也帶來了基站負(fù)擔(dān)加重和更新及回應(yīng)密鑰請(qǐng)求效率低下等問題。
因此,802.16的安全機(jī)制也必將對(duì)多播方面的內(nèi)容做出規(guī)定,比如針對(duì)基站負(fù)擔(dān)過重,問題可以采取將一個(gè)具體的多播服務(wù)只映射到一個(gè)安全關(guān)聯(lián)的方式來解決。針對(duì)密鑰更新效率問題,可以采取在工作站第一次向基站請(qǐng)求TEK時(shí),密鑰請(qǐng)求和密鑰回應(yīng)消息通過Primary管理連接來裝載。而以后在更新TEK時(shí),由基站在TEK過渡時(shí)間內(nèi)周期性地進(jìn)行?;緦⑼ㄟ^廣播連接來向所有用戶發(fā)送密鑰回應(yīng)消息,用戶不再需要向基站發(fā)送密鑰請(qǐng)求消息。
評(píng)論