MSA 機制在解決安全問題上的缺點體現在哪些方面

MSA機制在解決安全問題上的缺點體現在以下方面：

• 密鑰傳遞：MSA機制中定義了密鑰傳輸協議，在MKD和MA間進行密鑰的傳輸。雖然在密鑰傳輸之前，MSA已通過密鑰持有者安全握手協議構建了“安全”鏈路，但是密鑰在無線環境中傳播，容易被其他惡意節點截獲，如該惡意節點有能力分析出傳輸信息，那么將給該網絡帶來極大的威脅。因此密鑰的傳輸，引入了新的攻擊點，使得該安全方案存在較嚴重安全隱患。

• 未規定具體的認證方式與加密算法：MSA協議中未規定具體采用何種算法，這使得該協議具有普遍的適用性，可以根據具體網絡特性需求，結合不同的認證方式和加密算法有針對性地設計出合適的安全方案，具有極大的靈活性。但同時也會引入另一個問題，即不同的廠商可以根據各自需求，設計出不同的安全接入方案，很容易導致出現不同廠家產品不能兼容的問題。該缺陷是上文“支持多種認證方式”的優點所引入的缺點，在帶來靈活性優點的同時也會導致產生兼容性方面的缺陷。

• 密鑰管理復雜：MSA機制中定義了一套完整的密鑰管理方案，其構建的Mesh密鑰層次結構形成了鏈路安全分支和密鑰傳輸分支，這兩個分支分別給數據的安全傳輸和密鑰持有者間的安全通信提供了保障。MSA定義的密鑰體系雖然相當完備，但是操作起來略顯復雜。該密鑰體系的構建都依賴于頂層的MSK或PSK。因此，當MSK或PSK過期、刪除或者更新時會使得鏈路安全分支和密鑰傳輸分支都需要重新構建，會對整個密鑰體系產生影響，使得密鑰管理操作集中出現，導致了很大的管理難度。

MSA機制在解決安全問題上的優越性體現在以下方面：

• 便于網絡管理：無線網狀網是一種松散的網絡結構，管理難度較大。MSA通過在網狀網中定義MKD，將所有設備從邏輯上劃分到不同的MKD域，整個Mesh網絡由若干個MKD域組成。可以根據不同需求，把具有某些相同屬性的設備劃分至同一MKD域內，方便了網絡的管理。此外，將Mesh網絡從邏輯上劃分為多個MKD域，當網絡擴展時，可以通過新增MKD域來容納新增設備，這樣可以保持原有MKD域結構和規模不變，方便了網絡的擴展。

• 決策分配：在無線網狀網中，若采用完全的集中的決策，則會使得決策者成為網絡瓶頸，而采用完全分散的決策，則容易導致管理困難。MSA機制將無線網狀網劃分為若干個MKD域，將決策權分配至各個MKD域。在每個MKD域內，可以獨立選擇認證方式、加密算法等，與其他MKD域無關。MKD域內的MP可以透明地與本MKD域內和其他MKD域的MP通信。這種不完全集中的決策方案，既可以避免完全集中決策所帶來的網絡瓶頸問題，也可以在一定程度上緩解完全分散決策所帶來的管理問題。

• 角色協商問題：MSA機制中定義了比較完備的角色協商方案。MA通過廣播MSC IE元素來聲明其為Mesh認證者及其所屬的MKD域。在MSC IE元素中的Mesh安全配置字段中進行角色的確定，當MA配置發生變化或者網絡結果發生變化及出現其他使得MA角色發生變化時，可以通過MSC IE元素的廣播，實現角色的重新定義。

• 認證和密鑰管理問題：將Mesh劃分為若干個MKD域后，在每個MKD域內進行集中的認證可以很好地解決分散認證所帶來的管理問題和流量集中問題。MSA中定義的后續認證使得已進行過初始MSA認證的申請者MP在斷開與MA的連接后，可以使用保留的密鑰體系實現快速認證。此外，MSA定義了完善的密鑰導出體系和密鑰分發協議，可以實現密鑰的安全傳輸和管理。

• 支持多種認證方式：MSA是一種框架性方案，并沒有限定只可使用何種認證方式和加密算法，因此，使得該方案具有極大的靈活性。結合不同認證協議，通過適當設計，可以設計出多種適用于無線網狀網的安全解決方案。同時，由于沒有確定具體的認證方式，這也容易導致不同廠家產品的兼容性問題。

回答所涉及的環境：聯想天逸510S、Windows 10。