安全无线局域网增强媒体接入控制功能的关键技术及实现

1、安全无线局域网增强媒体接入控制功能的关键技术及实现无线局域网是高速进展的无线通信技术在计算机网络中的应用，为通信的移动化、个人化和多媒体应用提供了实现的手段。 随着无线局域网技术的高速进展，无线局域网的应用越来越广泛，对其平安性也提出了更高的要求。 为解决现有无线局域网标准中存在的平安问题， 在深化讨论ieee802.11 标准、ieee 802.1x 协议以及ieee802.11i 草案的基础上，提出了平安无线局域网(secure wlan ，swlan) 的概念，在现有的ieee802.11 协议中加入了新的接入控制办法， 采纳802.1x 认证和密钥管理协议以及tkip 和aes 加密套

2、件，增加了wlan 的媒体接入控制功能，并且提供了许多在基本的ieee 802.11 体系中没有的平安措施， 包括平安性能商议、为ap 和sta 提供增加的认证机制、合理的密钥管理计划、动态分配密钥、增加的数据加密和封装机制、管理和控制帧的庇护等，从而增加了当前802.11 的媒体接入控制功能以改进无线局域网的平安性 。平安无线局域网概述swlan 构建ieee 802.11 协议规律上将无线媒质( wireless medium ， wm ) 与分布系统媒质(dist ribution system medium ，dsm) 区别开来 。 规律媒质的多样性使得网络结构具有充分的灵便性。iee

3、e 802. 11 协议没有规定分布式系统(ds) 的媒介，在平安无线局域网中本文采纳了技术进展相对较成熟的有线网络作为ds 的媒介。 按照组网原理，swlan 主要由以下部分组成: sta ，ap ，ac和as ，分离为无线终端、接入点、认证接入控制器和认证服务器 。 其最容易的构成1 所示。 本文在ieee 802.11 的ess 网络结构中的ds 中增强了实现接入控制业务的设备ac ， 以及实现802.1x 认证模式的认证服务器设备as ;sta 是移动用户终端设备，实现用户侧的平安接入控制功能;ap 是无线局域网接入服务的提供者，实现平安接入控制的授权功能和密钥管理功能;as 是认证服

4、务器设备，提供了服务器侧平安接入控制的认证功能;ac 处于ap 与as 之间，用于记下认证中as 对sta 的认证结果以及sta 与ap 之间的平安关联信息 。swlan 的关键技术swlan 的关键技术主要包括平安认证技术、加密技术及密钥管理技术和wlan 技术。平安认证技术：通过ieee 802.1x、eap协议、rus 协议的验证，确认信息的发送者是否合法而不是冒充者，验证消息的完整性，防止非法用户的入侵以及恶意袭击者的主动袭击，对于开放环境中的无线局域网系统的平安性具有重要的意义。加密技术及密钥管理技术：应用对称密码、公钥密码和密钥管理来隐蔽和庇护需要保密的信息。 swlan 中支持基

5、于rc4 的tkip 和基于aes的aes-ocb 以及aes-ccm。 tkip 是现有wep(wired equivalent privacy) 的改进版，克服了wep中已知的平安漏洞，仍采纳流加密模式。 aes-ocb和aes2ccm 是采纳不同加密模式的基于aes 的加密套件。wlan 技术：计算机网络与无线通信技术相结合的产物，主要包括mac 层和物理层技术。 通过对无线局域网媒体拜访接入控制、流量控制、数据传输速率控制和服务质量控制等， 将swlan 在802.11 协议功能的基础上举行扩展和改进，从而使囫囵网络通信的性能达到更好的状态。基于系统的swlan 整体计划无线局域网中的

6、硬件设备主要有无线终端sta 和接入点ap ，ac 和as ，可以在普通pc 机上采纳软件实现，不涉及硬件部分。 sta ，ap ，ac 和as 各部分的实现计划2 所示。图2 中，阴影部分为需要自主设计的模块，其中较深部分为平安技术实现模块。 sta 和ap 中的802.11 phy 和802.3 phy/ mac 采纳现成的网络控制和收发芯片来实现，802.11 mac 和加/ 解密模块在基于嵌入式微处理器的开发板上实现。ac 在应用层采纳软件实现。 as 放在一台接入局域网的主机上，采纳开放源代码的free-radius ，通过对其举行配置，可以充当平安无线局域网的服务器。ap 的设计与

7、实现ap 的主要功能ap 是平安无线局域网中的一个重要设备，涉及到的软硬件模块最多，也是最难实现的一个设备。 ap 的实现是囫囵平安无线局域网实现的关键。 ap 提供了sta 与ds 以至于外部网络的通信的桥梁和接入点，既要保证通信的流畅和通信的服务质量，又要保证囫囵网络通信的平安性。 因此既要实现基本的sta 接入ds 的功能，又要为平安业务的实现提供须要的支持。swlan 中的ap 包括：ieee 802.11 无线网络接口：实现802.11的物理层和mac 层协议，用于和无线终端举行通信。ieee 802.3 有线网络端口：实现802.3的物理层和mac 层协议，完成和有线网络举行有效通

8、信以及相应的平安协议数据的传输。协议转换模块：实现ieee 局域网中的llc 功能，用于802.3 和802.11 之间的协议数据单元转换功能。 同时也必需完成以太网数据和无线网络数据帧格式的转换。认证和密钥管理模块：实现认证和密钥配置功能，用于和无线终端举行开放系统认证，接收as 的认证结果和举行密钥配置，从而实现接入控制的功能。数据加/ 解密模块：实现通信中传输数据的加/ 解密功能，从而对通信中传输的数据举行有效的庇护。ap 总体设计平安无线局域网的平安性必需在无线局域网的硬件平台上实现，因此，硬件平台的设计必定是囫囵无线局域网平安性讨论的首要工作。 因为目前市场上无线局域网mac 层控制

9、芯片受学问产权庇护，无法对平安功能举行重新改写，所以，必需自主开发无线局域网ieee 802.11 mac 层控制功能，同时加入新的认证机制和数据加密的平安功能，从而实现囫囵无线局域网系统的平安性。ap 的结构3 所示。 phy层的实现采纳了 公司的物理层套片，而mac 层协议的实现采纳基于嵌入式 系统以及嵌入式微处理器mpc860 的硬件开发板。 加/ 解密由 实现，内部规律用硬件描述语言来完成。 通过用户自主开发的mac 层来控制无线端口、有线端口的数据收发，控制加/ 解密模块对数据举行加/ 解密操作，并且控制认证模块与ac 共同完成平安认证接入功能。基于硬件平台的mac 层协议开发ap