[硕士论文精品]针对多种认证方式的wlan智能接入方案设计及软件实现

北京邮电人学硕一研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现针对多种认证方式的WLAN智能接入方案设计及软件实现摘要近年来，无线局域网正在被运营商大规模推广、布设，具有广泛的市场前景。然而，鉴别、鉴权、计费和网络的安全性问题对于电信运营商的网络运营是十分重要的，这就给无线局域网的认证和加密提出了更高的要求。本文提出的方案和软件旨在适应目前常见的WLAN接入认证方式，使用户能够便捷、安全的使用无线网络。本论文首先对常用的几种认证方式进行了深入的研究，并对WEP、EAPSIM、WAPI三种接入认证方式作了多方面的比较。经过详细的调查，发现目前市场上的无线局域网接入软件大都只能支持某一种接入认证方式，或某一个厂家的网卡。这样多种认证方式及接入软件之间的选择，就给用户的使用造成了不便。论文针对这种状况，提出了一种根据用户的安全等级设定，智能选择认证方式，并实现自动接入、认证的全新方案。该方案的设计主要分为两个方面第一，自动选择认证方式。该方案可根据用户设定的安全级别，自动排定各种认证方案的优先级，并在当前设备不满足所选用的认证方式需要或认证失败时，切换使用低优先级的认证方式，以此类推直到认证成功或所有认证方式均不能认证成功。第二，自动完成基于WEP、EAPSIM、WAPI认证方式的无线局域网接入和针对不同运营商的WEB二次认证。论文根据上述研究的智能接入方案，编写了WLAN动态连接库软件。该软件采用分层化和模块化设计思想，整体分为接口层、连接管理层、设备管理层三层。软件不仅实现了WEP、EAPSIM、WAPI三种接入认证方式的自适应选择和全自动接入，降低了用户接入的难度，还为其他客户端软件的调用提供了简单便捷的软件接口。最后，对WLAN动态连接库软件进行了测试，表明该软件达到了设计要求。关键词无线局域网WAPIEAPSIMWEBPORTAL认证接入软件北京邮电大学硕J研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现ANADAPTIVESCHEMEANDITSSOFT、AREIMPLEMENTATIONFORMULTIPLEAUTHENTICATIONMODESINWLANABSTRACTWIRELESSLOCALAREANETWORKWLANISWIDELYUSEDBYTELECOMMUNICATIONSOPERATORSASONEOFTHEMOSTPERSPECTIVETECHNOLOGIESHOWEVER,THEREARESTILLLOTSOFPROBLEMSTOBESOLVEDSUCHASAUTHENTICATION，AUTHORIZATION，ACCOUNTINGANDNETWORKSECURITYTHISTHESISPROPOSESANADAPTIVESCHEMEANDDEVELOPSITSSOFTWARETOENHANCETHEAUTHENTICATIONOFWLAN，WHICHISMORECONVENIENTANDSAFERFORUSERSTHISTHESISDEEPLYANALYZESTHREECOMMONLYUSEDAUTHENTICATIONMETHODSWEP,EAPSIMANDWAPI，ANDTHENCOMPARESTHEMINSEVERALASPECTSACCORDINGTOOURINVESTIGATION，MOSTOFWLANCLIENTSOFFWARESSUPPORTONLYONEAUTHENTICATIONMODEORONEOFMULTIPLENETWORKCARDSITISINCONVENIENTFORUSERSTOACCESSWLAN，BECAUSETHEYHAVETOSELECTONEFROMMULTIPLEAUTHENTICATIONMODESANDONEFROMMANYKINDSOFCLIENTSOFTWARESTOFITTHEMODETOSOLVETHESEPROBLEMS，THISTHESISPROPOSESASCHEME，WHICHCANINTELLIGENTLYSELECTONEOFTHEMULTIPLEAUTHENTICATIONMODESACCORDINGTOTHEDIFFERENTUSERSSAFERANKS，ANDADAPTIVLYACCESSWLANBASEDONTHESELECTEDAUTHENTICATIONMODETHESCHEMECONSISTSOFTWOSTEPSTHEFIRSTSTEPISTOSELECTAUTHENTICATIONMETHODBASEDONSAFECLASSSELECTEDBYUSERS，ITCANAUTOMATICALLYARRANGETHEPRIORITYBASISOFSEVERALAUTHENTICATIONMODESBESIDES，ITCANADJUSTTOLOWERPRIORITYAUTHENTICATIONMODEWHENTHEUSERSEQUIPMENTSDONOTMEETTHEREQUIREMENTOFSELECTEDAUTHENTICATIONMETHODORTHEAUTHENTICATIONHAS北京邮电人学硕I研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现FAILEDREGARDINGTHESECONDPART，THESCHEMECANAUTOMATICALLYACCESS、礼ANBASEDONWEP,EAPSIMANDAPI，ASWELLASSECONDAUTHENTICATIONBASED但BPORTALMODEFORDIFFERENTTELECOMMUNICATIONOPERATORSINTHISTHESIS，THEWLANDYNAMICLINKLIBRARYSOFTWAREISALSODEVELOPED，ACCORDINGTOTHEABOVEMENTIONEDSCHEMEOURSOFTWAREPROGRAMUSESTHEDESIGNCONCEPTOFLAYERANDMODULE，ANDITINCLUDESINTERFACELAYER,CONNECTIONMANAGEMENTLAYERANDEQUIPMENTMANAGEMENTLAYERTHESOFTWARENOTONLYACCOMPLISHESTHEADAPTIVESELECTIONANDACCESSOFWEP,EAPSINAND0PI，WHICHMAKESUSERSACCESS几ANMOREEASILY,BUTALSOOPENSTHECONVENIENTSOFTWAREINTERFACEFOROTHERCLIENTSOFTWAREPROGRAMSUSINGFINALLY,THE、礼ANDYNAMICLINKLIBRARYISTESTED，THERESULTSSHOWSITSATISFIESTHEDESIGNDEMANDSKEYWORDSWIRELESSLOCALAREANETWORK、MPIEAPSIMWEBPORTALAUTHENTIONACCESSSOFTWARE北京邮电人学硕一研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现声明户明独创性或创新性声明本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。申请学位论文与资料若有不实之处，本人签名黠名望喜垫本人承担一切相关责任。日期Z幽聋2闺丛目关于论文使用授权的说明学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇编学位论文。保密的学位论文在解密后遵守此规定保密论文注释本学位论文属于保密在一年解密后适用本授权书。非保密论喜；篓耄二一导师签名生逖运L适用本授权书。日期兰翌监捆F笠目日期北京邮电人学硕士研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现11研究背景第一章绪言目前无线局域网WIRELESSLOCALAREANETWORK，缩写为WLAN已被广泛应用于无线数据通信领域。尽管WLAN其覆盖范围较小，但由于具有带宽大、效率高、费用低等优点，经过几年的推进和发展，其标准和产品已经日见成熟，应用也日渐广泛。在国外，由计算机设备供给商、通信运营商和专业服务提供商在内的庞大阵营正在这一领域不断加大投入，无线局域网的热潮正在冲击全球的市场。在国内市场上，无线局域网的应用也已经进入一个重要的阶段，中国移动、中国电信、中国联通等电信运营商纷纷结合各自网络开通了无线局域网业务，比如机场、酒店等公共场所，实现基于WLAN的宽带互联网接入业务运营。111国内无线局域网发展现状电信运营商在中国大规模铺设无线局域网是在2002年，中国电信的“天翼通“服务、中国联通的“无线伴旅“服务都已开始运营，中国移动则从2002年第四季度开始在全国大规模地建设WLAN；中国联通也在2003年的CDMA2000LX网络中引入WLAN技术来配合使用。然而，与一般单位和实验室自己架设的WLAN不同，电信运营商的WLAN运营，还需要考虑到复杂的网络管理问题主要包括配置管理、性能管理、计费管理、安全管理等，尤其是需要建立起一套完善、可靠的鉴别、鉴权、计费机制。这就需要使用一套安全性好、准确度高的接入认证方式，对用户的身份、接入时间、离线时间作准确的识别和记录，并为运营商进行准确、灵活的计费提供方便。因此，当电信运营商大规模布设、运营WLAN无线局域网络的时候，主要需要考虑选择的认证技术满足以下需求1可管理性实现全网IP地址的可规划，达到有限地址资源的充分利用，同时有利于全网路由策略的优化；夺支持用户多种接入方式的灵活认证，并易于实现全国漫游；冷在不改变现有网络结构的基础上，实现全网的统一管理和监控；夺投资节省，结构简洁，最好能尽可能多的使用现有资源。2可运营性北京邮电人学硕1二研究生学位论文针对多种认I|E方式的WLAN智能接入方案设计及软件实现夺支持用户接入的动态识别，可以按时长计费；不增加额外瓶颈，支持无阻塞传递宽带应用业务，不影响网络组播性能，实现网内各种业务的透明传输；令支持针对ISPINTEMETSERVICEPROVIDER的计费服务；提供对网络运营和用户使用信息的统计分析功能。另外，随着无线技术运用的日益广泛，无线网络的安全问题越来越受到人们的关注。通常网络的安全性主要体现在访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发射的数据只能被所期望的用户所接收和理解。对于有线网络来说，访问控制往往以物理端口接入方式进行监控，它的数据输出通过电缆传输到特定的目的地。一般情况下只有在物理链路遭到破坏的情况下数据才有可能被泄漏。而无线网络的数据传输则是利用微波在空气中进行辐射传播，因此只要在无线信号覆盖的范围内，所有的无线终端都可以接收到无线信号，无线接入点无法将无线信号定向到一个特定的接收设备。因此，无线的安全保密问题就显得尤为突出。如何在充分利用现有网络设备、降低网络建设成本的情况下，尽可能高的保证用户无线通信的安全性，也成了电信运营商在选择接入技术时需要考虑的问题。为了应对这个问题，各运营商基于自身特点，已经开始布设使用WAPI、EAP等认证方式的无线局域网，例如中国移动已经在奥运会的场馆内，布设了基于WEP、WAPI接入认证方式的双重网络，其业务网络系统结构如图L一1。该网络已经在奥运会举办期间，为世界各国的游客提供了安全的网络服务。HL刚AUCWLANSIM认证服务器AS中国移动BOSS系统中国移动RADIUS认证服务器图11业务网络系统结构2北京邮电大学硕上研究生学位论文针对多种认白E方式的WLAN智能接入方案设计及软件实现目前，由于传统的基于开放式或共享密钥式认证的产品已经在全国各地的现有无线局域网中被广泛应用，受成本价格、不同场合的安全性的各种因素的制约，基于WIFI、WAPI的无线网络，以及基于WEP、WAPI、EAPSIM和WEBPORTAL的认证方式也将在今后相当长的一段时问内共同存在。但是，目前市场上常见的WLAN客户端往往只针对某一种接入认证方式，或某一个厂家的无线网卡。这就在接入无线局域网的时候，给用户带来了网络选择困难、接入操作复杂等一系列问题。所以，需要提出一种全新的自适应WLAN接入方案，使该方案能够根据用户需要智能的选择网络和接入认证方式，并且全自动完成接入和认证。这种方案的提出在给用户带来方便的同时，也会对无线局域网业务的推广和普及产生积极的影响。而与该方案相配套的接入软件，也有着非常广阔的发展前景。112目前存在的主要认证方式目前广泛使用的安全方案有以下几种IEEE80211B协议安全技术为了提高无线网络的安全性，在IEEE80211B协议【L】中包含了一些基本的安全措施，包括无线网络设备的服务区域认证IDESSID，MAC地址访问控制以及WEP加密等技术。IEEE80211B利用设置无线终端访问的ESSID来限制非法接入，在每一个AP内都会设置一个服务区域认证ID，每当无线终端设备要连上AP时，AP会检查其ESSID是否与自己的ID一致，只有当AP和无线终端的ESSID相匹配时AP才接受无线终端的访问，并提供网络服务，如果不符就拒绝给予服务。利用ESSID可以很好地进行用户群体分组，避免任意漫游带来的安全和访问性能的问题。每个AP可以设置特定的ESSID可以相同，同时每块无线网卡也可以设置ESSID，只有当AP和网卡ESSID匹配时，AP2J接受无线网卡的访问。IEEE8021LB协议另一种限制访问的方法就是限制接入终端的MAC地址以确保只有经过注册的设备才可以接入无线网络。由于每一块无线网卡拥有唯一的MAC地址，在AP内部可以建立一张“MAC地址控制表“ACCESSCONTR01，只有在表中列出的MAC才是合法可以连接的无线网卡，否则将会被拒绝连接。MAC地址控制可以有效地防止未经过授权的用户侵入无线网络，每一块无线网卡拥有唯一的MAC地址，由厂方出厂前设定，无法更改。IEEE80211B中网络安全的另一重要方面数据加密通过WEPWIREDEQUIVALENTPRIVACY协议来进行。WEP是IEEE80211B协议中最基本的无线安全加密措施，WEP是所有经过WIFITM认证的无线局域网络产品所支持的一项标准功能，由IEEE伟J0定。但是由于WEP认证安全性较差，不支持鉴别、鉴权、计费的要求，因此不适3北京邮I乜人学硕上研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现合作为运营商的接入认证方式三EE8021X端口访问控制技术IEEE8021X2】和可扩展认证协议EAPIEEE8021X是一种基于端口的网络接入控制技术，在网络设备的物理接入级对接入设备进行认证和控制。IEEE8021X可以提供一个可靠的用户认证和密钥分发的框架，可以控制用户只有在认证通过以后才能连接网络。IEEE8021X本身并不提供实际的认证机制，需要和上层认证协议EAP配合来实现用户认证和密钥分发。EAP允许无线终端可以支持不同的认证类型，能与后台不同的认证服务器进行通讯。EAP家族目前存在多种WLAN访问点使用的高层认证协议【3】。令EAPTLSEAPTLSTRANSPORTLATERSECURITY是传输层安全协议的简称。EAPTLS使用在基于证书的安全环境中，是一个安全信道的认证和加密协议。它采用公钥证书加密体系在两个端点之间提供双向认证、加密协议和密钥交换等服务。令EAPTTLSEAPTTLSTUNNELEDTRANSPORTLAYERSEC嘶TY，是EAPTLS的扩展协议，它提供了基于证书的客户和网络间的双向认证。其中TLS记录中的客户认证信息采用安全的隧道传输。EAPCISEOWIRELESS也称为LEAPLIGHTWEIGHTEXTENSIBLEAUTHENTICATIONPROTOC01，主要用于CISCOWLAN访问点。LEAP基于口令控制，易于管理和配置，但由于易受到字典攻击，因此不能在WLAN中提供强安全信任机制。LEAP使用动态WEP密钥加密传输数据，并支持双向认证。夺PEAPPEAP受保护的可扩展认证协议，它是一个两阶段的身份认证方法第一阶段建立与服务器的TLS会话，并使客户端可以通过使用服务器的数字证书对服务器进行身份认证；第二阶段需要在PEAP会话中为第二个EAP方法建立隧道，以对访问RADIUS服务器的客户端进行身份认证。PEAP的部署只需安装服务器端证书，不需要客户端证书。4EAPMD5CHALLENGEEAPMD5消息摘要5沿用了基于PPP的CHAP协议，但挑战和应答均以EAP消息形式发送，是一种提供基本级别EAP支持的EAP认证类型。MD5通常不建议用于无线局域网，因为它仅提供单向认证，无法进行无线客户端和网络之间的互相认证。更为重要的是，它不支持自动分配和转动WEP密钥，无法减轻手动WEP密钥维护的管理负担。夺EAPSIMEAPSIM是使用SIM卡的一种认证方式，它通过使用SIM卡上存有的A3、A5、A8加密算法，密钥。优点通过这种基于L2交换机的用户管理方法，将承载数据通道与认证通道分开，可以使网络结构变得非常简单，通过L2交换机和路由器两种设备即可基本4北京邮电大学硕J研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现实现组网，对组播支持能力较强，网络投资较少。缺点需要定期发送认证信息来判断用户的状态，加大了认证系统的负担；仅仅提供基于端口的认证而不是全程认证，不能提供对安全机制、动态地址分配、QOS、多业务的支持等，较难满足运营商多方面的要求。WAPI中国在2003年5月份提出了无线局域网国家标准GBL56291L【4，5】。这是目前中国在这一领域惟一获得批准的协议。标准中包含了全新的WAPI安全机制，这种安全机制由WAI和WPI两部分组成。WAI和WPL分别实现对用户身份的认证和对传输的数据加密。WAPI能为用户的WLAN系统提供全面的安全保护。WAI采用公开密钥密码体制，利用证书来对STA和AP进行认证，WAI定义了一种名为ASU的实体用于管理参与信息交换各方所需要的证书包括证书的产生，颁发，吊销和更新，证书里面包含有证书颁发者ASU的公钥和签名以及证书持有者的公钥和签名这里的签名采用的是WAPI特有的椭圆曲线数字签名算法，是网络设备的数字身份凭证。WAI中对STA和AP进行了双向认证。因此，对于采用假AP的攻击方式具有很强的抵御能力。在STA和AP的证书都认证成功之后双方将会进行密钥协商。STA和AP双方各自会产生一个随机数，用自己的私钥加密之后传输给对方，最后，通信的两端会采用对方的公钥将对方所产生的随机数还原，再将这两个随机数模2运算的结果作为会话密钥，并依据之前协商的算法采用这个密钥对通信的数据加密。由于会话密钥并没有在信道上进行传输，因此就增强了其安全性。为了进一步提高通信的保密性，WAPI还规定在通信一段时间或者交换一定数量的数据之后，STA和AP之间可以重新协商会话密钥。WAPI采用对称密码算法实现对MAC层MSDU进行的加，解密操作。WAPI安全认证技术解决了无线局域网安全认证的问题，提供了“证书一密钥”双向认证系统，安全性高。但是需要用户和运营商大量更新现有设备，成本较高。12本文的主要内容和结构安排本文研究的方案及其应用，重点在于完成用户与AC、AP之间的信息交互，便于用户选择和接入网络，完成鉴权和鉴别。80211、EAPSIM、WAPI协议是整个研究及开发的理论基础，所以，首先对协议进行了深入研究，结合移动运营商无线局域网运营的现实状况，着重研究基于WEP、EAPSIM、WAPI的接入鉴别流程，以及基于WEBPORTAL方式的二次认证。5北京邮电人学硕1研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现完成一种根据用户的安全需求和当前网络及用户的设备条件，智能选择接入网络和认证方式的用户WLAN接入方案的设计，以及基于WEB认证、EAPSIM认证、WAPI认证的无线局域网接入软件的设计及实现，平台实现无线网卡管理，AP管理，WEP接入认证、EAPSIM接入认证、WAPI接入认证，WEBPORTAL二次认证等功能。本论文各部分内容安排如下第一章绪论，介绍了选题背景，当前国内外在WLAN中存在的主要认证方式，并提出本论文的研究内容以及论文的结构安排。第二章首先对WLAN各种认证技术做了深入的研究，并且从帧格式、认证流程、加解密方法、安全性能等方面对他们进行了详细的介绍。最后对WEP、EAPSIM、WAPI种接入认证方式做了较深层次的对比，认为各种认证方式在技术上各有各的优势。第三章也是本文的主要部分，提出了一种能够根据用户的安全需求和当前网络及用户的设备条件，智能选择接入网络和认证方式的用户WLAN接入方案。并且分别从认证方式的智能选择、基于EAPSIM、WAPI认证的自动接入、以及WEB认证的自动实现这四个方面，对该方案进行了详细的介绍第四章基于第三章设计的智能接入方案，设计并编写了一款接入软件。并且对该接入软件的三个层次动态链接库接口层、连接管理层、设备管理层和主要功能模块做了详细的介绍。最后基于运营商WLAN网络的现有条件，对该方案及接入软件的主要功能进行了测试。结果证明了该方案和接入软件的性能和效果。最后对整个论文进行了总结和建议，为今后的工作提供技术参考。13论文主要工作作者对现有接入认证方式进行了深入的研究，并且从多个方面对比了WEP、EAPSIM、WAPI三种接入认证方式，认为多种认证方式将长期共存。通过详细的调查发现，现有的无线局域网接入软件大多只能适应一种接入认证方式，或某一个厂家的网卡。根据这种状况，首先，作者提出、并设计了一种基于多种认证方式的无线局域网用户自适应接入方案。该方案可以根据用户的安全需要和设备状况，智能选择接入网络和认证方式，并自动完成针对WEP接入认证、EAPSIM接入认证、WAPI接入认证，WEBPORTAL二次认证的无线局域网接入，为用户的无线接入提供基于安全性、便捷性的双重保证。然后，作者实际开发出兼容WEP接入认证、EAPSIM接入认证、WAPI接6北京邮电人学硕T研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现入认证，WEBPORTAL二次认证的无线局域网接入软件。使该软件可以自动识别当前无线局域网、并根据用户的安全级别设定、以及当前用户和网络的无线接入设备情况，智能选择认证方式，并自动完成认证流程，连接上网。最后，对接入软件进行了测试，结果表明该接入软件实现了设计需求。7北京邮电人学硕研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现第二章WLAN认证技术分析2180211中的认证技术IEEE80211中定义了两种认证类型开放系统和共享密钥【6】。开放式认证允许任何无线站访问无线局域网络，所有通信包均以明文方式传输，没有采用任何加密技术来保护它们。共享密钥加密采用静态的保密密钥，各WLAN终端使用相同的密钥访问无线网络F|71。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个CHALLENGEPACKET给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，如果正确无误才能获准存取网络的资源。211开放系统认证开放系统认证是一种最简单的认证算法，基本上是一种空认证算法。任何STA用这种算法发出请求，都会被通过认证，前提是接受STA的认证类型设置为开放系统认证。开放系统认证分为两步。第一步是身份声明和认证请求；第二步是认证结果。如果是成功认证，STA将是相互认证。每个MAC帧通用的帧结构【8】如图2一L帧控持续时地地地序列地帧体FCS制间ID址1址2址3控制址4字节数22666260B23124图21MAC帧通用的帧结构结构MAC帧控制字段结构如图22协议类型子类去来自多分重功率多数WEP排版本型DSDS段传管理据序比特数224LLLLLL11认证流程如图23图22MAC帧通用的帧结构结构8北京邮电大学硕J研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现第一帧身份声明和认证请求惺IL接第二帧认证结果L入L凼图23开放系统认证流程1第一步帧内容消息类型管理类型消息子类型认证信息列表令认证算法一开放系统夺SAT身份声明放于SA字段的头部夺认证传送顺序号L令认证算法信息空消息传递方向从用户STA到网络接入点2第二步，即结果帧结构消息类型管理消息子类型认证信息列表夺认证算法一开放系统令认证传送顺序号2令认证算法信息空夺被请求认证的结果消息传递方向从网络接入点到用户STA如果认证类型不是开放式，结果将不会有“SUCCESSFUL“。212共享密钥认证共享密钥认证并不需要传递密钥，但要用到WEP加密机制。因此，只有当WEP执行的情况下才提供这种认证。而且，只要STA上的WEP执行，共享密钥认证就能执行。认证过程中所用到的共享密钥被假定己经通过一种独立于IEEE80211的安全的通道传递。共享密钥通过MAC的管理途径由网管MIB以只写的方式分发，因此密钥值对MAC仍然是内部的。9北京邮电人学硕I研究生学位论义针对多种认证方式的WLAN智能接入方案设计及软件实现其帧结构与开放式相同，认证流程如图24第一帧身份声明和认证请求第二帧认证挑战第三帧认证相应第四帧认证结果图24共享密钥式认证流程1第一步帧消息类型管理帧消息子类型认证信息列表夺STA身份声明放于SA字段的头部认证算法一共享密钥夺认证传送顺序号1夺认证算法信息空消息传递方向从请求STA到网络接入点2第二步帧在发出第二步帧之前，应答STA利用WEP产生一串八进制数用来作为认证的挑战文本。消息类型管理帧消息子类型认证信息列表令认证算法一共享密钥令认证传送顺序号2令认证算法信息认证结果令被请求认证的结果消息发送方向从网络接入点到请求STA3第三步帧请求STA把第二步得到的挑战文本拷贝到第三步帧中，用WEP加密后传送。消息类型管理帧消息子类型认证LO北京邮电人学硕研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现信息列表认证算法一共享密钥认证传送顺序号3认证算法信息第二步中的挑战文本消息发送方向从请求STA到网络接入点4第四步帧响应STA解密第三步中请求STA发来了内容。首先检查WEPICV是否正确，如果正确，则解密挑战文本，并把解密后的文本与第二步中发送的文本对照，如果相同，发送“SUCCESSFUL“，否则“UNSUCCESSFUL。如果检查WEPICV不正确，则发送“UNSUCCESSFUL”消息类型管理帧消息子类型认证信息列表认证算法一共享密钥令认证传送顺序号4令认证算法信息认证结果消息发送方向从网络接入点到请求STA213WEB认证对于传统电信运营商，WLAN作为宽带网络的延伸和补充，必须是可运营、可管理的。可运营、可管理的前提条件是接入WLAN时，必须对用户进行鉴别、鉴权，只有合法的用户才能接入网络，使用运营商提供的业务。WEB认证方式本身不具有加解密功能，是一种基于其它接入认证安全体系之上的二次认证方式，属于应用层的认证。它目前得到比较广泛的应用，是国内外公众上网用户最通用的认证方式。它具备投资成本低、用户使用方便、安全性好、与现有计费系统兼容等优点，但目前阻碍它进一步推广使用的重要因素在于其标准化程度不够，不同厂商的设备之间缺乏互操作性【9】。WEB认证方案首先需要AP给用户分配一个地址，用于访问门户网站，并要求用户在登录窗口上键入用户名与密码，然后去RADIUS服务器认证，如果认证通过，则发送信息告9IJAC，允许用户接入无线网络。用户下线时通过客户端发起离线请求。由此引发的关键问题是是否需要客户端软件。早期的WEB认证方式不采用客户端程序，这被认为是其优点之一，但是随着WEB认证功能不断完善，如地址二次分配、异常断线检测等，需要客户端软件的配合才能I,很Z好地完成。WEB认证方式的关键技术之一在于建立VLANMACIP的绑定来唯标识一个北京邮I乜人学硕I研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现用户，因此无论采用哪种方式获得地址，最终仍然需要落实到VLANMACIP的绑定，并根据此绑定关系控制用户的接人【101。WEB认证的网络构成如图25所示图25WEB认证的网络构成1WLAN终端设备。WLAN终端设备可以是任何支持IEEE802。1LX协议的设备，同时要求和接入网络设备兼容。目前WLAN终端设备主要支持IEEE8021IB协议。2接入点设备ACCESSPOINT，简称AP。AP是WLAN业务网络的小型无线基站设备，完成80211B标准的无线接入。AP也是一种网络桥接器，是连接有线网络与无线网络的桥梁，任何WLAN终端设备均可通过相应的AP设备接入到有线网络资源。在数据通讯方面，AP负责完成它WLA终端设备之间数据包的加密和解密。当用户在AP无缝覆盖区域移动时，WLAN终端设备可以在不同的AP之间切换，保证数据通讯不中断。在安全控制方面，AP可以通过网络标志和MAC地址来控制用户接入同时AP支持基于WEP的空中加密，保护用户信息安全3接入控制点设备ACCESSCONTROLLER,简称AC。在目前的用户认证结构中，AC作为接入控制点和后台的认证服务器RADIUS用户认证服务器相连，完成对WLAN用户的认证。在计费中，AC作为计费数据采集前端，采集用户数据通讯12北京邮电大学硕上研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现的时长，流量等计费数据信息，并将其发送到相应的认证服务器产生话单。在业务控制中，通过AC设置门户网站参数，提供业务控制功能，同时用户业务数据通过AC接入到CMNET。4PORLRAL服务器。PORLRAL服务器主要提供WEB认证页面，网络设置，业务控制等功能如提供门户网站，用户业务状态查询等。5RADIUS用户认证服务器。在WEB认证方式中，RADIUS认证服务器接受来IIAC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。黜如MS服务器需要建立WLAN用户认证信息数据库。认证信息数据库存储WLAN用户信息，包括认证信息，业务属性信息，计费信息等等。当RADIUS认证服务器对WLAN用户认证时，通过数据库存取协议存取数据库中的用户授权信息，检查该用户是否合法。22EAPSIM认证技术2218021X协议8021X协议，全称是基于端口的访问控制协议。802IX协议起源于80211协议，它能够提供一种对连接到局域网的用户进行认证和授权的手段，达到接受合法用户接入，保护网络安全的目的。8021X就是IEEE为了解决基于端口的接入控制而定义的一个标准。802IX认证的最终目的就是确定一个端口是否可用。对于一个端口，如果认证成功，那么就“打开“这个端口，允许所有报文通过；如果认证不成功就使这个端口“关闭“，此时只允许8021X的认证报文EAPOL通过【L。IEEE8021X协议的体系结构包括三个重要的部分认证请求者系统、认证器系统和认证服务系统【12】。图26描述了认证请求者系统、认证器系统和认证服务系统之间的关系及信息交换过程。认证服务系统L认证服务实体LASEWLAN图26认证系统结构北京邮I乜人学硕I研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现鉴别器实体AE“驻留在AP中，在接入服务前，提供鉴别操作。鉴别请求者实体ASUE驻留在STA中，需通过鉴别服务单元ASU进行鉴别。鉴别服务实体ASE驻留在ASU中，为鉴别器和鉴别请求者提供相互鉴别。认证请求者系统，即客户端系统，一般为一个用户终端系统，该终端系统通常要安装一个客户端软件，当用户有上网需求时，通过启动这个客户端软件发起IEEE802IX协议的认证过程，为了支持基于端口的接入控制，客户端系统需支持EAPOL协议。认证器系统，即通常为支持IEEE8021X协议的网络设备。该设备对应于不同用户的端口可以是物理端口，也可以是用户设备的MAC地址、VLAN、IP等有两个逻辑端口受控CONTROLKXIPORT端口和非受控端口UNCONTROLLEDPORT。非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，可保证客户端始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开，用于传递网络资源和服务。受控端口可配置为双向受控、仅输入受控两种方式，以适应不同的应用环境。如果用户未通过认证，则受控端口处于未认证状态，则用户无法访问认证系统提供的服务。认证服务系统，是提供认证服务的实体，通常采用远程接入用户认证服务RADIUS的服务器，存储有关用户的信息。它集计费、鉴权、认证于一体，作WLAN设备认证的终点。在基于SIM的认证方式下，认证服务器在无线局域网络和蜂窝网络的鉴权中心之间起着桥梁的作用，一方面通过IP网络接收来自WLAN设备的由EAP报文映射成的RADIUS报文的认证请求包；另一方面通过SS7网络传输的移动应用协议MAP信令，从认证中心取得用户的鉴权信息，通过挑战认证方式判定用户的合法性。222EAIPSIMEAPSIM认证技术基于端口访问控制技术IEEE8021X，是可扩展认证协议EAP家族中的一员【13】。EAPSIM认证基于SIM卡，不仅为WLAN提供了一种相对比较安全有效的认证方式，也为WLAN和蜂窝系统的融合提供了统一的认证和计费。它的提出有助于为移动运营商加快WLAN的运营步骤，节省成本，统一用户管理提供技术上的保证。EAPSIM拥有许多优点其一，所有的用户信息和部分原始鉴权数据、算法都集成在SIM卡上，同时这些数据和算法在HLRAUC上同样存在，这就避免了在空中传输，所以它比其它典型的用户一密码认证方式更能抵御黑客的攻击；其二，提供客户端和认证服务器端的相互认证；其三，此认证方式可以充分利用已有的GSM网络和数据库资源14北京邮电大学硕上研究生学位论文针对多种认讧E方式的WLAN智能接入方案设计及软件实现其认证流程如图27EAP请求身份EAP应答身份。EAP应答身份EAP请求开始EAP请求开始EAP应答开始EAP应答开始FAP谙求后询EAP请求质询EAP应答质询FAP府答后询。EAP认证结果FAP认证结翼I_图27EAPSIM认证流程EAPSIM认证属于“挑战响应”模式，认证步骤如下1AC向用户终端发出“EAP请求身份“消息。2用户终端接收到“EAP请求身份”消息后，发送“EAP应答身份”消息，发送的身份认证使用网络访问标识符格式NETWORKACCESSIDENTIFIERNAI，其中包含国际移动用户识别码IMSI或者包含临时移动用户标识符TMSI。3AC根据用户的NAI选择适当的ASE务器，发送“EAP应答身份”消息。4AS服务器发送“EAP请求开始“消息给AC。5AC发送“EAP请求开始”消息给用户终端。6用户终端收到“EAP请求开始”消息后，发送“EAP应答开始”消息，其中包含客户端产生的一个16字节随机数的属性ATNONCEMT和客户端支持版本属性ATSELECTEDVERSION。15北京邮电人学硕LJ研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现7AC发送“EAP应答开始消息给AS服务器。8ASJ艮务器检查他是否有该用户的信息，即2或3个可用的认证三元组RAND，SRES，KC。如果没有，AS服务器就会与HLR服务器通信，获取信息。9AS服务器依据响应的算法生成KMKEYINGMATERIAL，从中导出所需的加密密钥KCNCR用于加密消息、认证密钥KAUT用于生成消息认证码和会话密钥MSK、EMSK用于保证链路层安全。并利用KAUT根据指定的算法生成消息的ATMAC，ASJ艮务器向AC发送“EAP请求质询“消息。10AC发送“EAP请求质询“消息给用户终端。11用户终端根据接收到的“EAP请求质询”消息，从中获取的RAND和认证码ATMAC。根据得到的RAND计算生成认证码ATMAC和SRES，并利用生成的ATMAC与收到的ATMAC对比。如果正确则再计算SRES。12用户终端发送“EAP应答质询“消息，其中包含SRES。13AC发送“EAP应答质询“消息给ASJ艮务器。14AS服务器利用自己计算得出的SRES，与收到的消息中的SRESBB较。如果比较一样，AS服务器发送消息给AC，其中包含“EAP成功“消息。15AC发送“EAP成功“消息给用户终端。16用户终端接收到“EAP成功”消息后，与AP进行共享密钥会话。223基于EAPSIM的WLAN运营网络结构基于加快移动运营商WLAN的运营步骤，节省成本，统一用户管理的考虑，CISCO公司提出了用于公众无线局域网的基于SIM卡认证和授权的ITPMAPGATEWAY方案14】。该方案考虑到了WLAN系统与GSM网络的融合如图28。在GSM网络部分，移动用户信息经由BTS、BSC、MSC、VLR，最终通过SS7网络到达核心网络的HL刚AUC；在带SIM卡的无线局域网中，WLAN用户的认证信息经由接入点、认证服务器、MAP网关，最终通过SS7网络到核心网络的HI，RAI7C。16北京邮电人学硕士研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现图28WLAN与GSM的融合网络1CLIENT的WLAN终端设备。CLIENT的WLAN终端设备可以是任何支持IEEE8021X协议的设备，同时要求和接入网络设备兼容。同时WLAN终端设备需要安装相应的认证客户端软件，支持EAPSIM认证方式。2WLANACCESSPOINT，简称AP。AP是WLAN业务网络的小型无线基站设备，完成8021X标准的无线接入。AP也是一种网络桥接器，是连接有线网络与无线网络的桥梁，任何WLAN终端设备均可通过相应的AP设备接入到有线网络资源。在数据通讯方面，AP负责完成它WLA终端设备之间数据包的加密和解密。当用户在AP无缝覆盖区域移动时，WLAN终端设备可以在不同的AP之间切换，保证数据通讯不中断。3接入控制点设备ACCESSCONTROLLER,简称AC。在目前的EAPSIM认证结构中，AC往往与AP放在一起，作为接入控制点和后台的认证服务器RADIUS用户认证服务器或者SIM卡认证服务器相连，完成对WLAN用户的认证。在计费中，AC作为计费数据采集前端，采集用户数据通讯的时长，流量等计费数据信息，并将其发送到相应的认证服务器产生话单。在业务控制中，通过AC设置门户网站参数，提供业务控制功能，同时用户业务数据通过AC接入到CMNET。4SIM认证服务器AS。当对WLAN用户采用采用基于SIM卡的认证方式时，AS接受来自AC的用户认证服务请求，对WLAN用户进行认证，并将认证结果通知AC。对于SIM卡用户，AS还接收计费信息采集点发送的计费数据采集信息，经过预处理后产生话单计费数据记录，OOCDR，并将话单通过计费数据接口发送给BOSS计费子系统。5HLRAUC。当对WLAN用户采用基于EAPSIM的认证方式时，ASCII用HLRAUC中现有的用户认证信息，实现对SIM用户的认证。17北京邮山学顿I研究生学位论文针对多种认证方式的WLAN智瞻陵方案墩计驶软件实现23WAPI认证技术无线局域网鉴别与保密基础结构WAPIWLANAUTHENTICATIONANDPRIVACYINFRASTRUCTURE由无线局域网鉴别基础结构WAIWLANAUTHENTICATIONINFIASUUCTUFE和无线局域罔保密基础结构WPIWLANPRIVACYINFRASTRUCTURE组成，分别实现WLAN实体认证也称鉴别和数据保密通信【1月。其中，WA睬用基于椭圆曲线的公钥证书体制，无线客户端STA和接入点AP通过鉴别服务器AS进行双向身份鉴别。而在对传输数据的保密方面。WP睬用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。231WAPI认证在BSS中，当STA关联或重新关联至AP时，必须进行相互身份鉴别。若鉴别成功，则AP允许STA接入，否则解除其链路验证。整个鉴别过程包括证书鉴别、单播密钥协商与组播密钥通告。WAPI鉴别基础结构如图29月R示证书鉴别密钥协商STAAS棒入鉴别诸求。证书磐别谙求棒入磐别晌府证书鉴别响应证书鉴别步骤图29WAPI鉴别基础结构北京邮电人学硕十研究生学位论文针对多种认证方式的WLAN智能接入方案设计及软件实现1鉴别激活。当STA关联或重新关联至AP时，由AP向STA发送认证激活以启动整个认证过程，由于认证信息可能在传输过程中丢失，在AP发送认证激活后未收到该STA的接入认证请求，每次收到来自STA的协议数据后均应重发认证激活。2接入鉴别请求。STA向AP发出接入认证请求，即将STA证书与STA的当前系统时间发往AP，其中系统时间称为接入认证请求时间，STA发送接入认证请求时，应合理设置超时时间，当超时时间已到，仍未接收到与最新发送的认证请求时间一致的接入认证响应时，STA应重新构造接入认证请求，并发送重新进行认证过程。AP每次收到STA发送的接入认证请求时，设置该STA的状态为“已链路验证、已关联、未认证“，即认证过程重新开始。3证书鉴别请求。AP收到STA接入认证请求后，首先记录认证请求时间，然后向ASU发送证书认证请求，即将STA证书接入认证请求时间、AP证书及AP的私钥对它们的签名构成证书认证请求发往ASU。4证书鉴别响应。ASU收到AP的证书认证请求后，验证AP的签名和AP证书的有效性，若不正确，则认证过程失败；否则，进一步验证STA证书验证完毕后，ASU将STA证书认证结果信息包括STA证书和认证结果、AP证书认证结果信息包括AP证书和认证结果及接入认证请求时间和ASU对它们的签名构成证书认证响应发回AP。AP收到ASU的证书响应后，应首先根据认证请求时间判断是否为最新请求的证书认证响应，若不是则丢弃否则做进一步处理。5接入鉴别响应。AP对ASU返回的证书认证响应，进行签名验证得到STA证书的认证结果，根据此结果对STA进行接入控制。AP将收到的证书认证响应回送到STA，STA验证ASU的签名后得到AP证书的认证结果，根据该认证结果决定是否接入该AP。若STA欲接入指定的无线接入点AP，则认证之前STA应预存AP的证书以便STA对接收到的接入认证响应进行判断。至此STA与AP之间完成了证书认证过程，若认证成功则AP允许STA接入否则解除其关联。2密钥协商过程S