無線網(wǎng)絡(luò)安全第3章課件

1、無線網(wǎng)絡(luò)安全（第三章）高等院校密碼信息安全專業(yè)系列教材1中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材第三章 無線城域網(wǎng)安全 2中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編目錄WiMAX（IEEE 802.16）安全WiMAX安全架構(gòu)IEEE 802.16d PKM協(xié)議無線Mesh網(wǎng)絡(luò)安全WMN體系結(jié)構(gòu)WMN安全問題與解決方案IEEE 802.11s MSA協(xié)議 3中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 WiMAX安全架構(gòu) 協(xié)議分層參考模型 IEEE 802.16標(biāo)準(zhǔn)定義的空中接口由物理層和MAC層組成，如圖3.1所示。 802.16協(xié)議分層參考模型4中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMA

2、X安全 WiMAX安全架構(gòu) 協(xié)議分層參考模型 MAC層獨(dú)立于物理層，能支持多種不同的物理層規(guī)范，以適應(yīng)各種應(yīng)用環(huán)境，其中MAC層由以下3個(gè)子層組成：特定業(yè)務(wù)匯聚子層。一個(gè)提供以下兩者之間的轉(zhuǎn)換和映射服務(wù)的中間層：從CS SAP收到的外網(wǎng)數(shù)據(jù)；從MAC SAP收到的MAC SDU。公共部分子層。該子層提供MAC核心功能，包括系統(tǒng)接入、帶寬分配、連接建立與維護(hù)等。該通過MAC SAP從多個(gè)匯聚子層接收數(shù)據(jù)，并分類到特定的MAC連接。安全子層。該子層提供認(rèn)證授權(quán)、密鑰交換、加/解密處理等安全服務(wù)。該子層支持128位、192位及256位加密系統(tǒng)，采用數(shù)字證書的認(rèn)證方式。對(duì)這一層的分析正是本節(jié)關(guān)注的主要

3、內(nèi)容。5中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 WiMAX安全架構(gòu) 分組數(shù)據(jù)的加密 加密協(xié)議用于保護(hù)寬帶無線網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)分組。802.16d協(xié)議規(guī)定了兩種數(shù)據(jù)加密方式：CBC模式的DES加密、CCM模式的AES加密。802.16e協(xié)議在上述兩種方式的基礎(chǔ)上又補(bǔ)充了CTR模式和CBC模式的AES加密兩種方式。WiMAX安全子層僅對(duì)MPDU的載荷中的數(shù)據(jù)加密，對(duì)MPDU的頭部、子頭及攜帶的管理消息均不加密。這種處理方式雖然方便了各種MAC層操作，但也帶來了安全隱患，即MAC層的各種管理消息都可以被輕松獲取。6中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 IEEE 802.

4、16d PKM協(xié)議 安全關(guān)聯(lián) PKMv1協(xié)議中定義了安全關(guān)聯(lián)（SA）的概念：安全關(guān)聯(lián)是BS和一個(gè)或多個(gè)MSS共享的一組安全信息集合。SA分為主要、靜態(tài)、動(dòng)態(tài)3種類型。每個(gè)MSS在初始化階段都要建立一個(gè)主要SA；BS中預(yù)置了一些靜態(tài)SA；MSS和BS根據(jù)特定業(yè)務(wù)流的激活和終止，動(dòng)態(tài)建立和刪除一些動(dòng)態(tài)SA。靜態(tài)SA和動(dòng)態(tài)SA可能會(huì)與多個(gè)MSS共享。每個(gè)SA均由SAID標(biāo)識(shí)。SA的共享信息包括該SA內(nèi)使用的密碼套件，也可能包括一些密鑰材料，如業(yè)務(wù)加密密鑰TEK及其相關(guān)參數(shù)等。SA的密鑰材料都有一定的生命期。BS給MSS分發(fā)SA密鑰材料時(shí)，會(huì)告訴MSS這些密鑰材料的剩余生命期。MSS負(fù)責(zé)在密鑰材料生命

5、期結(jié)束之前，向BS請(qǐng)求新的密鑰材料。如果MSS當(dāng)前持有的密鑰材料在接收到新的密鑰材料之前過期了，那么MSS要重新執(zhí)行初始入網(wǎng)認(rèn)證過程。密鑰生命期可能不僅僅取決于它可使用的時(shí)間，在特定密碼算法中，還會(huì)受使用次數(shù)的限制。7中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 IEEE 802.16d PKM協(xié)議 鑒權(quán)協(xié)議過程MSS向BS發(fā)送一個(gè)認(rèn)證信息消息，包含MSS制造商的X.509證書。通知BS有關(guān)MSS生產(chǎn)商及其公鑰信息，以便在后續(xù)過程中驗(yàn)證MSS數(shù)字證書的有效性。該消息僅為通知，不作為MSS的鑒權(quán)請(qǐng)求，BS可忽略該消息。MSS向BS發(fā)送鑒權(quán)請(qǐng)求消息，包括生產(chǎn)商發(fā)布的X.509證書、BS所支

6、持的加密算法及BS的基本連接ID，用來獲取BS的授權(quán)及授權(quán)密鑰，該消息包含將身份和公鑰捆綁在一起的MSS的數(shù)字證書、支持的密碼算法、主安全關(guān)聯(lián)標(biāo)識(shí)符。收到鑒權(quán)請(qǐng)求消息后，BS驗(yàn)證MSS的身份，若無效則通知用戶站驗(yàn)證失敗，協(xié)議終止；否則確定加密算法，并為MSS激活一個(gè)授權(quán)密鑰。BS將AK用MSS的公鑰加密后返回給MSS。該消息包含使用MSS公鑰加密的授權(quán)密鑰、授權(quán)密鑰的生命期、密鑰序號(hào)、一個(gè)或多個(gè)安全關(guān)聯(lián)標(biāo)識(shí)符。MSS定時(shí)發(fā)送鑒權(quán)請(qǐng)求消息給BS來更新AK。 8中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編IEEE 802.16d版本安全機(jī)制的主要工作流程9中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編用消息描述

7、上述過程如下：消息（1）MSSBS: Cert(MSS.Manufacture)。消息（2）MSSBS: Cert(MSS)|Capabilities|SAID。（消息內(nèi)容的含義如下表所示）屬 性描 述Cert(MSS) MSS的X.509數(shù)字證書Capabilities描述該MSS的安全能力，如支持的密碼算法等SAIDMSS的安全關(guān)聯(lián)標(biāo)識(shí)消息（4） BSMSS: RSAEnc (PubKMSS, AK)|Lifetime|SeqNo|SAIDList。（消息內(nèi)容的含義如下表所示。）屬 性描 述RSAEnc (PubKMSS, AK)用目標(biāo)MSS的公鑰PubKMSS使用RSA算法加密AK后的密

8、文LifetimeAK的活動(dòng)生命期SeqNoAK的序列號(hào)SAIDListSAID和相應(yīng)SA的附加特性10中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 IEEE 802.16d PKM協(xié)議 業(yè)務(wù)加密密鑰TEK分發(fā)過程 AK分發(fā)后，BS和MSS之間建立了某種安全關(guān)聯(lián)。在鑒權(quán)結(jié)束后，MSS向BS請(qǐng)求業(yè)務(wù)加密密鑰TEK，過程如下：（1）MSS向BS發(fā)送加密密鑰請(qǐng)求消息（消息內(nèi)容的含義如下表所示） ： MSSBS: SeqNo|SAID|HMAC2屬 性描 述SeqNoAK的序列號(hào)，指出使用哪個(gè)AKSAID安全關(guān)聯(lián)標(biāo)識(shí)，指出為哪個(gè)SA申請(qǐng)密鑰材料HMAC2SHA消息摘要11中國(guó)密碼學(xué)會(huì)教育工作委

9、員會(huì)推薦教材組編WiMAX安全 IEEE 802.16d PKM協(xié)議 業(yè)務(wù)加密密鑰TEK分發(fā)過程 BS在收到該消息后生成TEK，并通過密鑰響應(yīng)消息發(fā)送給工作站（如下表所示）。 BSMSS: SeqNo|SAID|OldTEK|NewTEK|HMAC3如果由于某些原因BS認(rèn)為該MSS失去該安全關(guān)聯(lián)，則BS會(huì)向MSS回復(fù)密鑰拒絕消息，并在消息中指明原因。如果BS認(rèn)為該MSS失去AK同步或該MSS沒有被授權(quán)，會(huì)向MSS回復(fù)授權(quán)無效消息，并在消息中指明原因。屬 性描 述SeqNoAK的序列號(hào)，指出使用哪個(gè)AKSAID安全關(guān)聯(lián)標(biāo)識(shí)，與密鑰請(qǐng)求消息中相同OldTEK舊TEK密鑰參數(shù)NewTEK新TEK密鑰

10、參數(shù)HMAC3SHA消息摘要12中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編WiMAX安全 IEEE 802.16d PKM協(xié)議 鑒權(quán)協(xié)議過程MSS向BS發(fā)送一個(gè)認(rèn)證信息消息，包含MSS制造商的X.509證書。通知BS有關(guān)MSS生產(chǎn)商及其公鑰信息，以便在后續(xù)過程中驗(yàn)證MSS數(shù)字證書的有效性。該消息僅為通知，不作為MSS的鑒權(quán)請(qǐng)求，BS可忽略該消息。MSS向BS發(fā)送鑒權(quán)請(qǐng)求消息，包括生產(chǎn)商發(fā)布的X.509證書、BS所支持的加密算法及BS的基本連接ID，用來獲取BS的授權(quán)及授權(quán)密鑰，該消息包含將身份和公鑰捆綁在一起的MSS的數(shù)字證書、支持的密碼算法、主安全關(guān)聯(lián)標(biāo)識(shí)符。收到鑒權(quán)請(qǐng)求消息后，BS驗(yàn)證MSS的

11、身份，若無效則通知用戶站驗(yàn)證失敗，協(xié)議終止；否則確定加密算法，并為MSS激活一個(gè)授權(quán)密鑰。BS將AK用MSS的公鑰加密后返回給MSS。該消息包含使用MSS公鑰加密的授權(quán)密鑰、授權(quán)密鑰的生命期、密鑰序號(hào)、一個(gè)或多個(gè)安全關(guān)聯(lián)標(biāo)識(shí)符。MSS定時(shí)發(fā)送鑒權(quán)請(qǐng)求消息給BS來更新AK。 13中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN體系結(jié)構(gòu)WMN中的實(shí)體 STA（Station）：即客戶工作站，可通過連接AP訪問網(wǎng)絡(luò)，符合802.11標(biāo)準(zhǔn)。MP（Mesh Point，Mesh節(jié)點(diǎn)）：可在Mesh網(wǎng)絡(luò)中與多個(gè)MP建立連接，可視為WMN的固定骨干節(jié)點(diǎn)。MAP（Mesh Access Po

12、int）：具有AP功能的MP，符合802.11標(biāo)準(zhǔn)，提供STA的接入功能。MPP（Mesh Portal Point）：可提供與外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)和路由功能的MP，通常是WMN和有線網(wǎng)絡(luò)（Internet）之間的網(wǎng)關(guān)。14中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN體系結(jié)構(gòu)WMN拓?fù)浣Y(jié)構(gòu) WMN拓?fù)浣Y(jié)構(gòu)可分為基于客戶工作站的無線Mesh網(wǎng)絡(luò)、基于基礎(chǔ)設(shè)施的無線Mesh網(wǎng)絡(luò)和混合型無線Mesh網(wǎng)絡(luò)3種，如下圖所示。WMN的拓?fù)浣Y(jié)構(gòu)15中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN體系結(jié)構(gòu)WMN的特點(diǎn) WMN有如下特點(diǎn)：結(jié)構(gòu)靈活、擴(kuò)展性好、高帶寬、很強(qiáng)的兼容性、

13、投資少、健壯性好、支持非視距傳輸。一般每個(gè)無線節(jié)點(diǎn)都與附近的幾個(gè)節(jié)點(diǎn)存在無線鏈路，當(dāng)某個(gè)節(jié)點(diǎn)失效時(shí)，可以利用附近其他節(jié)點(diǎn)進(jìn)行路由迂回。同樣，當(dāng)某些節(jié)點(diǎn)流量激增突發(fā)數(shù)據(jù)擁塞時(shí)，這些節(jié)點(diǎn)可以自動(dòng)根據(jù)擁塞情況選擇其他路由，均衡流量，從而保證系統(tǒng)的高效性和可用性。16中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN體系結(jié)構(gòu)WMN的特點(diǎn) WMN與Ad Hoc網(wǎng)絡(luò) 移動(dòng)性。無線Mesh網(wǎng)主要由MP和STA組成，MP一般具有很小的移動(dòng)性，STA和Ad Hoc網(wǎng)絡(luò)節(jié)點(diǎn)的性質(zhì)類似，具有較高的移動(dòng)性。能量約束。在Ad Hoc網(wǎng)絡(luò)中，節(jié)點(diǎn)一般由電池供電，所以其受能量的約束比較大；而在無線Mesh網(wǎng)

14、絡(luò)中，MP一般采用交流直接供電或風(fēng)能、太陽能等新興能源，所以不用考慮能量約束。節(jié)點(diǎn)計(jì)算和存儲(chǔ)能力。和能量約束問題類似，Ad Hoc節(jié)點(diǎn)的計(jì)算和存儲(chǔ)能力有限；而無線Mesh網(wǎng)絡(luò)中MP的計(jì)算和存儲(chǔ)能力較強(qiáng)。業(yè)務(wù)模式。無線Mesh網(wǎng)絡(luò)是一種接入網(wǎng)，網(wǎng)絡(luò)中MP的主要業(yè)務(wù)是Internet網(wǎng)關(guān)業(yè)務(wù)；而Ad Hoc網(wǎng)絡(luò)是一種獨(dú)立兩兩相連的互聯(lián)網(wǎng)絡(luò)，主要通過網(wǎng)絡(luò)中節(jié)點(diǎn)的互聯(lián)為網(wǎng)絡(luò)中的其他節(jié)點(diǎn)提供通信支持，部署在沒有骨干網(wǎng)絡(luò)支撐的情況下，例如戰(zhàn)場(chǎng)、醫(yī)療、救災(zāi)等環(huán)境。17中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN安全問題與解決方案 安全問題 WMN主要存在以下安全問題 防止合法節(jié)點(diǎn)被假冒

15、或被其他惡意節(jié)點(diǎn)俘獲。信息的機(jī)密性。由于無線鏈路傳輸信息的開放性，攻擊者通過監(jiān)聽就能獲得無線鏈路傳輸?shù)臄?shù)據(jù)。 信息的完整性。從源節(jié)點(diǎn)到目的節(jié)點(diǎn)，信息經(jīng)由多個(gè)MP的轉(zhuǎn)發(fā)，流經(jīng)多條無線鏈路，在每條無線鏈路中信息都可能被截?cái)嗌踔链鄹?，?dǎo)致發(fā)送的信息和接收的信息不一致。 對(duì)STA和MP的認(rèn)證。STA、MAP、MP都有被攻擊或假冒的可能，都需要加以認(rèn)證。 隱私性。路由安全。在無線Mesh網(wǎng)絡(luò)中節(jié)點(diǎn)發(fā)送的信息通常需要多跳才能到達(dá)目的網(wǎng)絡(luò)，因此如果有假冒節(jié)點(diǎn)廣播惡意路由，將導(dǎo)致網(wǎng)絡(luò)擁塞不可用。 18中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 WMN安全問題與解決方案 WMN安全解決方案 針對(duì)

16、WMN的安全問題主要有以下解決方法：對(duì)STA和MP的認(rèn)證。 信息的加密和完整性。為防止信息被篡改可以采用信息加密和數(shù)字簽名來確保信息的一致性和安全性。 密鑰管理。無論是節(jié)點(diǎn)認(rèn)證還是路由信息的保護(hù)，都需要用到密鑰，因此無線Mesh網(wǎng)絡(luò)需要建立密鑰體系，避免每次接入都重新認(rèn)證和協(xié)商密鑰，這不但降低了計(jì)算成本，而且提高了節(jié)點(diǎn)切換的高效性。 路由安全。采用路由信息加密和數(shù)字簽名可有效防止路由信息被竊聽和篡改。 入侵檢測(cè)：無線Mesh網(wǎng)絡(luò)中MP的物理保護(hù)無法得到保證，信息容易被偷竊、捕獲，因此入侵無線Mesh網(wǎng)絡(luò)比較容易。 19中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802

17、.11s MSA協(xié)議 密鑰體系 MSA架構(gòu)將參與安全交互的MP節(jié)點(diǎn)分成3種角色：Mesh密鑰分發(fā)者、Mesh 認(rèn)證者和申請(qǐng)者M(jìn)P。其中MKD 和MA合稱為密鑰持有者。申請(qǐng)者M(jìn)P是指希望通過身份認(rèn)證加入到Mesh 網(wǎng)絡(luò)的候選MP。Mesh密鑰層次結(jié)構(gòu)包含兩個(gè)分支：左邊是保證申請(qǐng)者M(jìn)P和MA間數(shù)據(jù)鏈路安全的鏈路安全分支；右邊是保證密鑰持有者間密鑰安全傳輸和管理的密鑰傳輸分支。Mesh密鑰層次結(jié)構(gòu)不僅可以保證MP間的鏈路安全，而且還可以實(shí)現(xiàn)快速認(rèn)證，不必每次接入網(wǎng)絡(luò)時(shí)都使用IEEE 802.1X認(rèn)證 。20中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802.11s MSA協(xié)

18、議 密鑰體系 下圖中，左邊的分支是鏈路安全分支，主要用于申請(qǐng)者M(jìn)P和認(rèn)證者M(jìn)A之間的通信安全；右邊的分支是密鑰分發(fā)分支，主要用于Mesh密鑰持有者之間密鑰的安全傳輸和管理。頂層的MSK來自于外部的認(rèn)證服務(wù)器AS和申請(qǐng)者M(jìn)P之間的一次成功的IEEE802.1X認(rèn)證，PSK則是MP和AS之間預(yù)共享的密鑰。PMK-MKD和KDK都是由MKD生成的。MSA密鑰體系結(jié)構(gòu)21中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802.11s MSA協(xié)議 密鑰體系 鏈路安全分支包含三層，第一層密鑰PMK-MKD由MKD通過MSK導(dǎo)出，然后MKD從PMK-MKD計(jì)算出PMK-MA后，通過密鑰

19、傳輸協(xié)議將PMK-MA安全地傳輸至MA，MA利用PMK-MA通過四步握手協(xié)議協(xié)商出與申請(qǐng)者M(jìn)P間用于保護(hù)數(shù)據(jù)鏈路的PTK，PTK用于申請(qǐng)者和認(rèn)證者之間的數(shù)據(jù)源認(rèn)證和數(shù)據(jù)加密。密鑰傳輸分支的第一層密鑰KDK由MKD利用MSK（或PSK）計(jì)算導(dǎo)出，MA和MKD分別利用KDK導(dǎo)出PTK-KD。PTK-KD由密鑰確認(rèn)密鑰KCK-KD和密鑰加密密鑰KEK-KD兩部分組成。KCK-KD用于MKD和MA間的數(shù)據(jù)源認(rèn)證，KEK-KD用于MKD和MA之間的數(shù)據(jù)機(jī)密性。22中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802.11s MSA協(xié)議 基于MSA的WLAN Mesh安全架構(gòu) 一個(gè)

20、WLAN Mesh網(wǎng)絡(luò)可以被劃分為幾個(gè)MKD域。一個(gè)MKD如下圖中的橢圓區(qū)域所示，包括一個(gè)MKD和一些MA與MP。AS處于MKD或者在MKD域之外，它和MKD之間有一條已經(jīng)存在的安全鏈路。移動(dòng)工作站STA通過IEEE 802.1X認(rèn)證接入MKD域，直接和MA進(jìn)行交互認(rèn)證。在MKD域剛建立時(shí)，只有一個(gè)MKD存在，MP通過和MKD進(jìn)行Mesh密鑰持有者安全握手成為第一個(gè)MA。MA和MKD之間通過Mesh密鑰傳輸協(xié)議進(jìn)行安全的密鑰傳輸。當(dāng)一個(gè)MP想加入到這個(gè)Mesh網(wǎng)絡(luò)中時(shí)，它首先要和一個(gè)MA進(jìn)行初始MSA認(rèn)證，通過這次認(rèn)證，MKD和申請(qǐng)者M(jìn)P之間建立一套完整的Mesh密鑰體系結(jié)構(gòu)，之后這個(gè)MP就可

21、以利用這套密鑰進(jìn)行快速的后續(xù)MSA認(rèn)證。23中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編基于MSA的WLAN Mesh認(rèn)證與鏈路安全架構(gòu)示意圖24中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802.11s MSA協(xié)議 認(rèn)證過程 MSA主要包括兩種安全認(rèn)證：初始認(rèn)證和后續(xù)認(rèn)證。初始認(rèn)證建立Mesh密鑰體系，后續(xù)認(rèn)證使用該密鑰體系與同一個(gè)MKD域中的其他MA建立安全關(guān)聯(lián)。MSA認(rèn)證過程如下圖所示。簡(jiǎn)單地說，MSA定義了如下Mesh網(wǎng)絡(luò)中的一些過程：初始MSA認(rèn)證。用于MP認(rèn)證和建立Mesh密鑰體系。后續(xù)MSA認(rèn)證。用于MP之間建立安全鏈路。MSA密鑰持有者之間的安全通信機(jī)制，主

22、要有：MA和MKD之間建立安全鏈路的Mesh密鑰持有者安全握手；Mesh密鑰體系中用來分發(fā)和管理密鑰的Mesh密鑰傳輸協(xié)議；MA和MKD之間傳輸EAP消息的Mesh EAP消息傳輸協(xié)議。25中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編 MSA認(rèn)證過程26中國(guó)密碼學(xué)會(huì)教育工作委員會(huì)推薦教材組編無線Mesh網(wǎng)絡(luò)安全 IEEE 802.11s MSA協(xié)議 MSA機(jī)制的安全性分析 優(yōu)點(diǎn)：MSA機(jī)制提供了在無線網(wǎng)狀網(wǎng)結(jié)構(gòu)下的安全框架，可以有效解決無線網(wǎng)狀網(wǎng)中面臨的分散多點(diǎn)認(rèn)證和密鑰管理困難等諸多安全問題。將該框架與傳統(tǒng)的認(rèn)證方式，如IEEE 802.1X等結(jié)合，可以構(gòu)建一套比較完備的安全解決方案。 便于網(wǎng)絡(luò)管理：無線網(wǎng)狀網(wǎng)是一種松散的網(wǎng)絡(luò)結(jié)構(gòu)，管理難度較大。MSA通過在網(wǎng)狀網(wǎng)中定義MKD，將所有設(shè)備從邏輯上劃分到不同的MKD域，整個(gè)Mesh網(wǎng)絡(luò)由若干個(gè)MKD域組成?？梢愿鶕?jù)不同需求，把具有某些相同屬性的設(shè)備劃分至同一MKD域內(nèi)，方便了網(wǎng)絡(luò)的管理。此外，將Mesh網(wǎng)絡(luò)從邏輯上劃分為多個(gè)MKD域，當(dāng)網(wǎng)絡(luò)擴(kuò)展時(shí)，可以通過新增MKD域來容納新增設(shè)備，這樣可以保持原有MKD域結(jié)構(gòu)和規(guī)模不變，方便了網(wǎng)絡(luò)