1、安全無線局域網增強媒體接入控制功能的關鍵技術及實現無線局域網是高速進展的無線通信技術在計算機網絡中的應用，為通信的移動化、個人化和多媒體應用提供了實現的手段。 隨著無線局域網技術的高速進展，無線局域網的應用越來越廣泛，對其平安性也提出了更高的要求。 為解決現有無線局域網標準中存在的平安問題， 在深化討論ieee802.11 標準、ieee 802.1x 協議以及ieee802.11i 草案的基礎上，提出了平安無線局域網(secure wlan ，swlan) 的概念，在現有的ieee802.11 協議中加入了新的接入控制辦法， 采納802.1x 認證和密鑰管理協議以及tkip 和aes 加密套

2、件，增加了wlan 的媒體接入控制功能，并且提供了許多在基本的ieee 802.11 體系中沒有的平安措施， 包括平安性能商議、為ap 和sta 提供增加的認證機制、合理的密鑰管理計劃、動態分配密鑰、增加的數據加密和封裝機制、管理和控制幀的庇護等，從而增加了當前802.11 的媒體接入控制功能以改進無線局域網的平安性 。平安無線局域網概述swlan 構建ieee 802.11 協議規律上將無線媒質( wireless medium ， wm ) 與分布系統媒質(dist ribution system medium ，dsm) 區別開來 。 規律媒質的多樣性使得網絡結構具有充分的靈便性。iee

3、e 802. 11 協議沒有規定分布式系統(ds) 的媒介，在平安無線局域網中本文采納了技術進展相對較成熟的有線網絡作為ds 的媒介。 按照組網原理，swlan 主要由以下部分組成: sta ，ap ，ac和as ，分離為無線終端、接入點、認證接入控制器和認證服務器 。 其最容易的構成1 所示。 本文在ieee 802.11 的ess 網絡結構中的ds 中增強了實現接入控制業務的設備ac ， 以及實現802.1x 認證模式的認證服務器設備as ;sta 是移動用戶終端設備，實現用戶側的平安接入控制功能;ap 是無線局域網接入服務的提供者，實現平安接入控制的授權功能和密鑰管理功能;as 是認證服

4、務器設備，提供了服務器側平安接入控制的認證功能;ac 處于ap 與as 之間，用于記下認證中as 對sta 的認證結果以及sta 與ap 之間的平安關聯信息 。swlan 的關鍵技術swlan 的關鍵技術主要包括平安認證技術、加密技術及密鑰管理技術和wlan 技術。平安認證技術：通過ieee 802.1x、eap協議、rus 協議的驗證，確認信息的發送者是否合法而不是冒充者，驗證消息的完整性，防止非法用戶的入侵以及惡意襲擊者的主動襲擊，對于開放環境中的無線局域網系統的平安性具有重要的意義。加密技術及密鑰管理技術：應用對稱密碼、公鑰密碼和密鑰管理來隱蔽和庇護需要保密的信息。 swlan 中支持基

5、于rc4 的tkip 和基于aes的aes-ocb 以及aes-ccm。 tkip 是現有wep(wired equivalent privacy) 的改進版，克服了wep中已知的平安漏洞，仍采納流加密模式。 aes-ocb和aes2ccm 是采納不同加密模式的基于aes 的加密套件。wlan 技術：計算機網絡與無線通信技術相結合的產物，主要包括mac 層和物理層技術。 通過對無線局域網媒體拜訪接入控制、流量控制、數據傳輸速率控制和服務質量控制等， 將swlan 在802.11 協議功能的基礎上舉行擴展和改進，從而使囫圇網絡通信的性能達到更好的狀態。基于系統的swlan 整體計劃無線局域網中的

6、硬件設備主要有無線終端sta 和接入點ap ，ac 和as ，可以在普通pc 機上采納軟件實現，不涉及硬件部分。 sta ，ap ，ac 和as 各部分的實現計劃2 所示。圖2 中，陰影部分為需要自主設計的模塊，其中較深部分為平安技術實現模塊。 sta 和ap 中的802.11 phy 和802.3 phy/ mac 采納現成的網絡控制和收發芯片來實現，802.11 mac 和加/ 解密模塊在基于嵌入式微處理器的開發板上實現。ac 在應用層采納軟件實現。 as 放在一臺接入局域網的主機上，采納開放源代碼的free-radius ，通過對其舉行配置，可以充當平安無線局域網的服務器。ap 的設計與

7、實現ap 的主要功能ap 是平安無線局域網中的一個重要設備，涉及到的軟硬件模塊最多，也是最難實現的一個設備。 ap 的實現是囫圇平安無線局域網實現的關鍵。 ap 提供了sta 與ds 以至于外部網絡的通信的橋梁和接入點，既要保證通信的流暢和通信的服務質量，又要保證囫圇網絡通信的平安性。 因此既要實現基本的sta 接入ds 的功能，又要為平安業務的實現提供須要的支持。swlan 中的ap 包括：ieee 802.11 無線網絡接口：實現802.11的物理層和mac 層協議，用于和無線終端舉行通信。ieee 802.3 有線網絡端口：實現802.3的物理層和mac 層協議，完成和有線網絡舉行有效通

8、信以及相應的平安協議數據的傳輸。協議轉換模塊：實現ieee 局域網中的llc 功能，用于802.3 和802.11 之間的協議數據單元轉換功能。 同時也必需完成以太網數據和無線網絡數據幀格式的轉換。認證和密鑰管理模塊：實現認證和密鑰配置功能，用于和無線終端舉行開放系統認證，接收as 的認證結果和舉行密鑰配置，從而實現接入控制的功能。數據加/ 解密模塊：實現通信中傳輸數據的加/ 解密功能，從而對通信中傳輸的數據舉行有效的庇護。ap 總體設計平安無線局域網的平安性必需在無線局域網的硬件平臺上實現，因此，硬件平臺的設計必定是囫圇無線局域網平安性討論的首要工作。 因為目前市場上無線局域網mac 層控制

9、芯片受學問產權庇護，無法對平安功能舉行重新改寫，所以，必需自主開發無線局域網ieee 802.11 mac 層控制功能，同時加入新的認證機制和數據加密的平安功能，從而實現囫圇無線局域網系統的平安性。ap 的結構3 所示。 phy層的實現采納了 公司的物理層套片，而mac 層協議的實現采納基于嵌入式 系統以及嵌入式微處理器mpc860 的硬件開發板。 加/ 解密由 實現，內部規律用硬件描述語言來完成。 通過用戶自主開發的mac 層來控制無線端口、有線端口的數據收發，控制加/ 解密模塊對數據舉行加/ 解密操作，并且控制認證模塊與ac 共同完成平安認證接入功能。基于硬件平臺的mac 層協議開發ap