1、802.11mesh網概述

1.1 802.11mesh網的組網結構

部署傳統無線網絡時，人們總是苦于難以尋找到合適的有線接入點，尤其在空曠、缺乏銅線/光纖等有線資源的室外環(huán)境中，問題更加明顯。WMN的出現在很大程度上解決了這一問題：傳統WLAN中，每一個AP都需要通過有線接入點連接到有線局域網；而802.11mesh網絡由一組呈網狀分布的無線路由器組成，無線路由器必須實現兩個功能：用戶接入（即傳統802.11無線局域網AP的功能）和無線中繼（即轉發(fā)數據給另一無線路由器）。如圖1所示，只需要設置部分無線路由器通過有線接入點連接到寬帶骨干網就足夠了，至于無線路由器之間則采用點對點方式通過無線中繼鏈路互聯，而在無線路由器對用戶終端提供802.11連接。這大大減少了對有線資源的需求，極大地便利了無線網絡的部署。

1.2 802.11mesh網的關鍵技術

當前，業(yè)界的802.11mesh網體系結構不盡相同，主要區(qū)別在于無線中繼的方式和無線中繼鏈路路由選擇的方法。無線中繼手段，業(yè)界主要的分歧在于采用Multi-Band、Multi-Radio方式還是采用Single-Band、Single-Radio方式。如果用戶接入和無線中繼工作于同一頻段，如使用工作于2.4GHz的802.11b作為用戶接入，同時使用同樣工作于2.4GHz的802.11g作無線中繼，就是一種Single-Band、Single-Radio方式。反之，用戶接入和無線中繼工作于不同頻段，如使用工作于2.4GHz的802.11b/g作為用戶接入，同時使用工作于5.8GHz的802.11a作無線中繼，則是一種典型的Multi-Band、Multi-Radio方式，采用Multi-Radio方式至少可以將接入部分和無線中繼部分從頻率上分開，使得兩者互不干擾，能在一定程度上提升性能。

而在路由算法上，沿用有線網絡路由協議還是開發(fā)專用的無線mesh路由協議也是兩種截然不同的技術路線。Mesh路由的目的是為了尋找最優(yōu)或相對最優(yōu)的回傳路徑。在無線網絡中，網絡性能同發(fā)送成功概率息息相關。在WMN中，一個好的路由算法必須兼顧減少路由跳數以及降低某條鏈路上包錯誤概率。在這個意義上，傳統的有線路由協議并不適合于無線mesh路由，因為它通常無法考慮一條無線鏈路上包錯誤概率。因此，單從性能角度來考察，必須開發(fā)適用于無線環(huán)境的mesh路由協議。

2、802.11mesh網的安全

2.1 802.11mesh網的安全挑戰(zhàn)

Mesh網和802.11無線局域網相比多跳通信是一個主要的安全挑戰(zhàn)。眾所周知無線通信很容易受到被動攻擊（如竊聽），以及主動攻擊（如信息篡改，DOS攻擊）。而這些安全隱患在多跳的mesh網中將被進一步放大。（1）在802.11無線局域網中每個用戶端都和AP相連，所以有利于管理員的管理。但是由于802.11mesh網是一個多跳網絡，所以將所有的安全管理都集中一端的無線網關將延緩網絡對攻擊的檢測和應對，這將無疑會給攻擊者帶來好處。（2）由于無線路由器距離Internet接入點有近有遠，遠離Internet接入點的節(jié)點有可能獲得很小的帶寬，所以設計合理的協議來保證節(jié)點間公平是很重要的。然而對公平性的保護也帶來了新的挑戰(zhàn)。（3）在有線網絡中路由器一般會得到妥善的保護，所以對有線網絡中的路由器的攻擊不是那么方便，然而不同于有線網的路由器無線路由器一般都在室外分布，比如安放在樓頂或安放在路燈上。所以無線路由器得不到很好的物理保護。這很容易造成攻擊者對無線路由器的攻擊，比如修改路由器中的信息，竊取路由器中用于認證的對稱密鑰或公私鑰對，或者用非法的無線路由器替換合法的。（4）由于無線路由器得不到很好的物理保護，攻擊者可以潛入網絡偽裝成合法的節(jié)點，發(fā)布錯誤的路由信息。所以必須設計安全的路由協議以對抗針對路由協議的攻擊。

2.2 802.11mesh網的安全解決方案

目前802.11mesh網的安全方案主要是Tropos的TroposMetroMesh方案和Nortel的方案。Tropos Metro Mesh方案，采用了多層安全架構，對客戶機提供WEP、WPA保護；對無線路由器間的數據采用64/128 bit WEP或128bit AES加密；同時使用VPN來增強整體的安全性。

鏈路層的保護是無線網絡安全機制的第一步，但是單獨的鏈路層保護不能提供對敏感數據的保護。TroposMetroMesh使用了一系列方法來保護鏈路層的安全：（1）使用WEP通過用加密所有的幀來提供網絡接入控制和安全數據傳輸。但是WEP被證明易受被動攻擊，如果單獨使用不能提供充分的安全性。（2）WPA是Wi-Fi聯盟最新的安全標準，它使用更強的密碼體制。WPA利用EAP和RADIUS提供更強的認證，它還提供了基于802.1x的端口接入控制。（3）使用128bitAES加密所有終端用戶在mesh網中多跳傳輸的數據直到它們到達一個有線網關。（4）使用MAC地址接入控制列表：接入點通過設置可接入名單和黑名單來進接入控制。但是因為物理地址可以被修改所以基于MAC地址的接入控制只能當作多層安全體制中的一部分。（5）抑制網絡名（ESSID）：接入點允許管理員有選擇的抑制網絡可用性的廣播，這樣可以使非法的節(jié)點不能發(fā)現接入點，除非他使用探測工具。（6）多網絡名（ESSID）：使用多接入點標示可以靈活適應有不同無限設備和安全性的用戶組。在三、四層Tropos使用VPN來實現網絡接入控制和保護數據傳輸。在無線路由器上使用流量過濾來加強VPN提供的安全。使用128bit AES加密PWRP路由協議傳輸的節(jié)點身份和路由選擇路徑信息。

管理信息的加密：作為網關的無線路由器從與它相關聯的節(jié)點收集管理信息并發(fā)送到管理服務器，并使用AES加密這些流量。所有的無線路由器可以使用基于Web的配置來進行配置和監(jiān)控，所有的配置信息使用HTTPS進行保護，這樣網絡管理者可以安全的配置和監(jiān)控每一個無線路由器。

Nortel在安全方面也別具特色。每個無線路由器間均建立經過加密的IPSec隧道，以便安全地傳送所有用戶的數據業(yè)務、內部信令處理和管理信息，也就是說數據在無線路由器之間的傳送都處于IPSec保護之下。不過網關并不涉及用戶的認證工作。對于具有WPA（802.11i）功能的用戶而言，無線路由器會將用戶的認證信息經過IPSec加密隧道“透明地”傳送到網絡中心的RADIUS認證服務器進行合法性認證。通過認證后，無線路由器與用戶間的傳輸資料就會以WPA/802.11i加密算法加密，用戶的傳輸資料將經由IPSec加密隧道，在無線路由器之間傳送直到網關。另外，無線路由器不僅支持多種用戶WPA：EAP-TLS、EAP-TTLS、EAP-PEAP；還在無線路由器間采用以WPA為基礎的認證功能，對新加入網絡的無線路由器進行認證，防止非法無線路由器接入。并使用基于WPA的加密功能，保證鄰近無線路由器間傳送的路由和通信控制協議的安全。

3、結束語

802.11mesh網將傳統WLAN與mesh網結合起來增強了網絡的覆蓋能力以及可靠性。此外它在移動漫游等方面與傳統WLAN相比較同樣也有著明顯的優(yōu)勢。2004年1月，IEEE802.11Working Group正式專門成立了網格研究組（Mesh Study Group），同年3月又成立了網格任務組（Mesh Task Group）。目的就是將mesh網的優(yōu)點寫進802.11協議中去。但是目前對802.11 mesh網的研究還處于起步階段，還有很多需要解決的問題，尤其是對其安全研究的工作還很少。Tropos和Nortel安全方案都頗具特色，將無線側的數據完全處于加密防護下，代表了無線802.11 mesh網絡安全方案的發(fā)展趨勢。

【相關文章】

• Wi-Fi及無線網狀網（Mesh）的安全

• 無線Mesh網技術或將激發(fā)Wi-Fi的新機會

• 使用無線Mesh網絡 靈活組網