安全無線局域網(wǎng)增強媒體接入控制功能的關(guān)鍵技術(shù)及實現(xiàn)

1、安全無線局域網(wǎng)增強媒體接入控制功能的關(guān)鍵技術(shù)及實現(xiàn)無線局域網(wǎng)是高速進展的無線通信技術(shù)在計算機網(wǎng)絡(luò)中的應用，為通信的移動化、個人化和多媒體應用提供了實現(xiàn)的手段。 隨著無線局域網(wǎng)技術(shù)的高速進展，無線局域網(wǎng)的應用越來越廣泛，對其平安性也提出了更高的要求。 為解決現(xiàn)有無線局域網(wǎng)標準中存在的平安問題， 在深化討論ieee802.11 標準、ieee 802.1x 協(xié)議以及ieee802.11i 草案的基礎(chǔ)上，提出了平安無線局域網(wǎng)(secure wlan ，swlan) 的概念，在現(xiàn)有的ieee802.11 協(xié)議中加入了新的接入控制辦法， 采納802.1x 認證和密鑰管理協(xié)議以及tkip 和aes 加密套

2、件，增加了wlan 的媒體接入控制功能，并且提供了許多在基本的ieee 802.11 體系中沒有的平安措施， 包括平安性能商議、為ap 和sta 提供增加的認證機制、合理的密鑰管理計劃、動態(tài)分配密鑰、增加的數(shù)據(jù)加密和封裝機制、管理和控制幀的庇護等，從而增加了當前802.11 的媒體接入控制功能以改進無線局域網(wǎng)的平安性 。平安無線局域網(wǎng)概述swlan 構(gòu)建ieee 802.11 協(xié)議規(guī)律上將無線媒質(zhì)( wireless medium ， wm ) 與分布系統(tǒng)媒質(zhì)(dist ribution system medium ，dsm) 區(qū)別開來 。 規(guī)律媒質(zhì)的多樣性使得網(wǎng)絡(luò)結(jié)構(gòu)具有充分的靈便性。iee

3、e 802. 11 協(xié)議沒有規(guī)定分布式系統(tǒng)(ds) 的媒介，在平安無線局域網(wǎng)中本文采納了技術(shù)進展相對較成熟的有線網(wǎng)絡(luò)作為ds 的媒介。 按照組網(wǎng)原理，swlan 主要由以下部分組成: sta ，ap ，ac和as ，分離為無線終端、接入點、認證接入控制器和認證服務器 。 其最容易的構(gòu)成1 所示。 本文在ieee 802.11 的ess 網(wǎng)絡(luò)結(jié)構(gòu)中的ds 中增強了實現(xiàn)接入控制業(yè)務的設(shè)備ac ， 以及實現(xiàn)802.1x 認證模式的認證服務器設(shè)備as ;sta 是移動用戶終端設(shè)備，實現(xiàn)用戶側(cè)的平安接入控制功能;ap 是無線局域網(wǎng)接入服務的提供者，實現(xiàn)平安接入控制的授權(quán)功能和密鑰管理功能;as 是認證服

4、務器設(shè)備，提供了服務器側(cè)平安接入控制的認證功能;ac 處于ap 與as 之間，用于記下認證中as 對sta 的認證結(jié)果以及sta 與ap 之間的平安關(guān)聯(lián)信息 。swlan 的關(guān)鍵技術(shù)swlan 的關(guān)鍵技術(shù)主要包括平安認證技術(shù)、加密技術(shù)及密鑰管理技術(shù)和wlan 技術(shù)。平安認證技術(shù)：通過ieee 802.1x、eap協(xié)議、rus 協(xié)議的驗證，確認信息的發(fā)送者是否合法而不是冒充者，驗證消息的完整性，防止非法用戶的入侵以及惡意襲擊者的主動襲擊，對于開放環(huán)境中的無線局域網(wǎng)系統(tǒng)的平安性具有重要的意義。加密技術(shù)及密鑰管理技術(shù)：應用對稱密碼、公鑰密碼和密鑰管理來隱蔽和庇護需要保密的信息。 swlan 中支持基

5、于rc4 的tkip 和基于aes的aes-ocb 以及aes-ccm。 tkip 是現(xiàn)有wep(wired equivalent privacy) 的改進版，克服了wep中已知的平安漏洞，仍采納流加密模式。 aes-ocb和aes2ccm 是采納不同加密模式的基于aes 的加密套件。wlan 技術(shù)：計算機網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，主要包括mac 層和物理層技術(shù)。 通過對無線局域網(wǎng)媒體拜訪接入控制、流量控制、數(shù)據(jù)傳輸速率控制和服務質(zhì)量控制等， 將swlan 在802.11 協(xié)議功能的基礎(chǔ)上舉行擴展和改進，從而使囫圇網(wǎng)絡(luò)通信的性能達到更好的狀態(tài)?；谙到y(tǒng)的swlan 整體計劃無線局域網(wǎng)中的

6、硬件設(shè)備主要有無線終端sta 和接入點ap ，ac 和as ，可以在普通pc 機上采納軟件實現(xiàn)，不涉及硬件部分。 sta ，ap ，ac 和as 各部分的實現(xiàn)計劃2 所示。圖2 中，陰影部分為需要自主設(shè)計的模塊，其中較深部分為平安技術(shù)實現(xiàn)模塊。 sta 和ap 中的802.11 phy 和802.3 phy/ mac 采納現(xiàn)成的網(wǎng)絡(luò)控制和收發(fā)芯片來實現(xiàn)，802.11 mac 和加/ 解密模塊在基于嵌入式微處理器的開發(fā)板上實現(xiàn)。ac 在應用層采納軟件實現(xiàn)。 as 放在一臺接入局域網(wǎng)的主機上，采納開放源代碼的free-radius ，通過對其舉行配置，可以充當平安無線局域網(wǎng)的服務器。ap 的設(shè)計與

7、實現(xiàn)ap 的主要功能ap 是平安無線局域網(wǎng)中的一個重要設(shè)備，涉及到的軟硬件模塊最多，也是最難實現(xiàn)的一個設(shè)備。 ap 的實現(xiàn)是囫圇平安無線局域網(wǎng)實現(xiàn)的關(guān)鍵。 ap 提供了sta 與ds 以至于外部網(wǎng)絡(luò)的通信的橋梁和接入點，既要保證通信的流暢和通信的服務質(zhì)量，又要保證囫圇網(wǎng)絡(luò)通信的平安性。 因此既要實現(xiàn)基本的sta 接入ds 的功能，又要為平安業(yè)務的實現(xiàn)提供須要的支持。swlan 中的ap 包括：ieee 802.11 無線網(wǎng)絡(luò)接口：實現(xiàn)802.11的物理層和mac 層協(xié)議，用于和無線終端舉行通信。ieee 802.3 有線網(wǎng)絡(luò)端口：實現(xiàn)802.3的物理層和mac 層協(xié)議，完成和有線網(wǎng)絡(luò)舉行有效通

8、信以及相應的平安協(xié)議數(shù)據(jù)的傳輸。協(xié)議轉(zhuǎn)換模塊：實現(xiàn)ieee 局域網(wǎng)中的llc 功能，用于802.3 和802.11 之間的協(xié)議數(shù)據(jù)單元轉(zhuǎn)換功能。 同時也必需完成以太網(wǎng)數(shù)據(jù)和無線網(wǎng)絡(luò)數(shù)據(jù)幀格式的轉(zhuǎn)換。認證和密鑰管理模塊：實現(xiàn)認證和密鑰配置功能，用于和無線終端舉行開放系統(tǒng)認證，接收as 的認證結(jié)果和舉行密鑰配置，從而實現(xiàn)接入控制的功能。數(shù)據(jù)加/ 解密模塊：實現(xiàn)通信中傳輸數(shù)據(jù)的加/ 解密功能，從而對通信中傳輸?shù)臄?shù)據(jù)舉行有效的庇護。ap 總體設(shè)計平安無線局域網(wǎng)的平安性必需在無線局域網(wǎng)的硬件平臺上實現(xiàn)，因此，硬件平臺的設(shè)計必定是囫圇無線局域網(wǎng)平安性討論的首要工作。 因為目前市場上無線局域網(wǎng)mac 層控制

9、芯片受學問產(chǎn)權(quán)庇護，無法對平安功能舉行重新改寫，所以，必需自主開發(fā)無線局域網(wǎng)ieee 802.11 mac 層控制功能，同時加入新的認證機制和數(shù)據(jù)加密的平安功能，從而實現(xiàn)囫圇無線局域網(wǎng)系統(tǒng)的平安性。ap 的結(jié)構(gòu)3 所示。 phy層的實現(xiàn)采納了 公司的物理層套片，而mac 層協(xié)議的實現(xiàn)采納基于嵌入式 系統(tǒng)以及嵌入式微處理器mpc860 的硬件開發(fā)板。 加/ 解密由 實現(xiàn)，內(nèi)部規(guī)律用硬件描述語言來完成。 通過用戶自主開發(fā)的mac 層來控制無線端口、有線端口的數(shù)據(jù)收發(fā)，控制加/ 解密模塊對數(shù)據(jù)舉行加/ 解密操作，并且控制認證模塊與ac 共同完成平安認證接入功能。基于硬件平臺的mac 層協(xié)議開發(fā)ap