（计算机应用技术专业论文）wlan中的切换及其安全性研究.pdf

高校教师硕士学位论文 摘要 目前网络连接的一个重要方式是无线局域网( w l a n ) 连接，它具有灵活的移 动能力，适合一些人员流动性大的场所，如机场、车站、学校、酒店等。在这些 场所无线用户( w l c ) 在w l a n 中的切换非常频繁，如果无线接入点间负载分布不 均衡，将会浪费大量的无线带宽资源，平衡无线接入点间的负载，提高无线频带 利用率及系统性能成为了无线局域网的重要研究内容之一。在切换过程中也引发 了一些安全问题，比如：非法移动终端s t a 接入a p 而访问网络并占用网络资源、 移动终端s t a 接入至非法a p 而造成信息泄漏等等，因此，如何寻找一个安全高 效的切换机制也是无线局域网的重要研究内容之一。 本文首先对i e e e 8 0 2 1i w l a n 的切换机制作了分析，详细分析了i e e e 8 0 2 1 1 w l a n 的切换过程中各个阶段的切换延迟的形成，然后对其在切换过程中产生的其 它相关问题作了分析。 其次详细介绍了无线局域网的一些安全机制，并对8 0 2 1 1w l a n 中的安全机 制的优缺点作了分析。 然后针对目前无线局域网的切换技术及其安全认证机制，在对无线局域网的 安全机制及切换技术进行全面分析的基础上，提出了一个安全快速的切换方案： 当用户到达多个a p 覆盖的边缘重叠区域时，对所有的邻接a p 提前进行a p 与用户 之间的相互身份认证，认证过程无需认证服务器的参与，以尽可能减小切换时延： 当存在多个可选目标a p 时，为保证a p 的负载平衡，结合信号强度和负荷以及a p 的空闲带宽的大小，采用的原则是：在所有可能的邻接a p 中，若a p 的剩余带宽 小于移动终端所需带宽，则对这些a p 不予考虑，否则，则选择信号足够强且负载 最轻的邻接a p 建立连接；若同时存在2 个以上相同负荷等级且信号强度也在中等 以上的a p 则随机选择一个作为目标a p ，这样就可以尽量保证各a p 的负荷基本平 衡。 最后对该方案进行仿真实验，分析和仿真结果表明，该方案具有很低的切换 延时，而且安全性较高，然后又针对本文提出的负载平衡分配方案进行了实验， 实验结果表明，本文提出的分配方法在整体性能上好于其它分配方法。 关键词：无线局域网；切换；相互身份认证；安全：负载平衡 w l a n 中的切换及其安全性研究 1 i_iin_ a b s tr a c t w l a ni sav e r yi m p o r t a n tl i n kw a yi nt h en e t w o r kc o n n e c t i o n s ，t h eg o o dm o b i l e a b i l i t yi sv e r ys u i t a b l ef o rt h el o c a t i o n sw i t hl a r g ef l o a t i n gp o p u l a t i o ns u c ha sa i r p o r t s ， s t a t i o n s ，s c h o o l sa n dh o t e l s i nt h e s el o c a t i o n s ，t h eu s e r so fw l cm a k et h eh a n d o f f i nw l a n f r e q u e n t l y ，i ft h el o a d so ft h ew l cp o i n t sa r en o tb a l a n c e d ，i tw a s t e sl o t so f w l c s o u r c e s ，s ob a l a n c i n gt h el o a do fw i r e l e s sa c c e s sp o i n ta n di m p r o v i n gt h eu s i n g r a t eo ft h ew i r e l e s sa n ds y s t e mp e r f o r m a n c eh a sb e c o m eo n ev e r yi m p o r t a n tp r o je c ti n t h er e s e a r c ho fw l a n d u r i n gh a n d o f f , i tw i l lc a u s es o m es e c u r i t yp r o b l e m s ，f o r e x a m p l e ，i l l e g a lm o b i l et e r m i n a ls t at oa pt ov i s i tn e t w o r ka n dh o l ds o m en e t w o r k r e s o u r c e s ，i nt h i sw a y ，m o b i l et e r m i n a ls t av i s i ti l l e g a la pt h a ti tw i l lc a u s e i n f o r m a t i o nl e a k a g e ，s oh o wt of i n dah a n d o f fs y s t e mw i t hh i g h s e c u r i t ya n d e f f i c i e n c yi so n ei m p o r t a n tp r o je c ti nt h er e s e a r c ho fw l a n i nt h i st e x t ，f i r s t l yt h ea u t h o rm a k eaa n a l y s i so nt h eh a n d o f f s y s t e mo fi e e e 8 0 2 11 w l a n ，a n dt h e nm a k ead e t a i l e da n a l y s i sa l lk i n d so fc a u s e sf o rt h eh a n d o f fd e l a y s o ne a c hs t a g e ，a n dm a k et h ea n a l y s i sf o rs o m eo t h e rp r o b l e m sc a u s e dd u r i n gt h e h a n d o f f p r o c e s s t h e n ，t h ea u t h o rm a k ead e t a i l e di n t r o d u c t i o no nt h es e c u r i t ys y s t e m sf o rw l a n a n dm a k et h ea n a l y s i so nt h ea d v a n t a g ea n dd i s a d v a n t a g eo ft h es e c u r i t ys y s t e m si n 8 0 2 1 1w l a n a n dt h e n ，b a s e do nt h ep r e s e n th a n d o f ft e c h n o l o g ya n ds e c u r i t ys y s t e mo ft h e w l a na n do nt h ef u l la n a l y s i st os e c u r i t ys y s t e ma n dh a n d o f ft e c h n o l o g yo ft h e w l a n ，t h ea u t h o rp u tf o r w a r das e c u r ea n df a s th a n d o f fm e c h a n i s m ：w h e nt h eu s e r a r r i v e si nt h e s u p e r p o s i t i o ne d g e o f m u l t i - a p s ，m a k et h em u t u a li d e n t i t y a u t h e n t i c a t i o n st oa l la b u ta p sb e t w e e na pa n du s e r si na d v a n c e ，n on e e dt h es e r v e r d u r i n gt h ea u t h e n t i c a t i o n ss o a st or e d u c et h ed e l a yo ft h eh a n d o f f ：w h e nt h e r ea r e m u l t i - a p st ob ec h o o s e d ，i no r d e rt ok e e pt h el o a db a l a n c eo fa p s ，c o m b i n ew i t h s t r e n g t hs i n g l ea n dl o a da l s ot h ea ps i z eo fs p a r eb a n d w i d t h ，r u l ei s ：i np r o b a b l yn e a r t oa l i fm o b i l et e r m i n a ln e e db a n d w i d t hl e s st h a na pf r e eb a n d w i d t h ，t h e nd o n ，t c o n s i d e ra b o u ta p o rc h o o s et h ea pw i t hs t r o n g e s ts i g n a lb u tw i t ht h el i g h t e s tl o a d ： i fb e i n ga b o v et w ot h es a m el o a dv a l u e a n da pw i t hm e d i u ms i n g l e ，s oc h o o s ea t a r g e ta sa pi nr a n d o m a sf a ra sp o s s i b l ec a nm a k ea s s u r ee a c ho fa pi nb a s i c b a l a n c e 高校教师硕士学位论文 a tl a s t ，t h ea u t h o rm a k eas i m u l a t i o ne x p e r i m e n tf o rt h es c h e m e ，t h ea n a l y s i sa n d r e s u l to ft h es i m u l a t i o ne x p e r i m e n tp r o v et h a tt h i ss c h e m eh a sl o ws w i t c hd e l a ya n d h i g h e rs e c u r i t y ，i nt h i sp a p e r , a n dt h e na g a i n s tt h el o a db a l a n c i n gd i s t r i b u t i o no ft h e e x p e r i m e n t a lp r o g r a m m e ，t h ee x p e r i m e n t a lr e s u l t ss h o wt h a tt h ep r o p o s e da l l o c a t i o n m e t h o di nt h eo v e r a l lp e r f o r m a n c ei sg o o d e rt h a no t h e rd i s t r i b u t i o nm e t h o d s k e yw o r d s ：w l a n ；h a n d o f f ；m u t u a li d e n t i t ya u t h e n t i c a t i o n s ；s e c u r i t y ：l o a db a l a n c i n g m w l a n 中的切换及其安全性研究 插图索引 图1 1 无线局域网的网络结构1 图2 1s t a 进入重叠区1 0 图2 2 切换过程1 1 图3 18 0 2 1x 体系结构16 图3 2 基于e a p m d 5 的8 0 2 1 x 认证系统功能实体协议栈1 7 图3 3 基于e a p m d 5 的8 0 2 1 x 认证流程1 8 图4 1a p i 的相邻接入点示意图2 8 图4 2s t a 改变运动方向3 0 图4 3 多个s t a 连接a p 。31 图4 4a p 带宽和其负载大小。3 2 图4 5 相同负荷p 的a p 带宽和其负载大小3 2 图5 1 用户穿越所有a p 3 5 图5 2 理想的切换方案3 8 图5 3 传统切换产生的切换延迟3 9 图5 4 本文切换方案产生的切换延迟3 9 图5 5 文献【4 6 】和本文提出的方案的对比实验一4 1 图5 6 文献【4 6 】和本文提出的方案的对比实验二4 1 图5 7 文献【4 6 】和本文提出的方案的对比实验六4 1 图5 8 文献【4 6 】和本文提出的方案的对比实验八4 2 图5 9 文献【4 6 】和本文提出的方案的对比实验十二4 2 i v 高校教师硕士学位论文 附表索引 表2 1 没有提前认证过程和有提前认证的比较1 0 表2 2w l a n 传统切换与快速切换比较表1 2 表3 1 几种认证技术的比较2 0 表5 1 实验参数。3 7 表5 2 实验结果对比统计4 2 v 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：袁娜日期：砌g 年7 月器日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被 查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入 有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编 本学位论文。 本学位论文属于 1 、保密口，在_ 年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打 ) 作者签名：瓣日期：彤y 、 刷磁名塘1 醐： 细8 年( 7 月占e l 别年7 眦日 t 高校教师硕士学位论文 第1 章绪论 1 1i e e e 8 0 2 1 1 w l a n 概述 无线局域网( w i r e l e s sl o c a la r e an e t w o r k ，y i l a n ) 是计算机网络和无线通 信技术相结合的产物，它最大的优点是实现了网络互连的可移动性，能大幅度提 高用户访问信息的及时性和有效性，提高决策效率。无线局域网由无线网卡、无 线接入点a p 、计算机和其他相关设备组成，采用单元结构，每个单元称为一个基 本服务组( b a s i cs e r v ic es e t ，b s s ) 。w l a n 两种工作组织方式，独立基本服务集 ( i b s s ) 和基本服务集( b s s ) 。i b s s 表示的就是a dh o c 方式的终端独立组织成一个 网络单元，在这种方式下没有固定的基础设施，所有的终端直接与其他终端互连 网络组织非常独立。b s s 表示的就是基础模式，至少有一个 p 作为网络的管理设 备来管理所有的s t a ，向s t a 提供接入和传输服务。为了扩展无线局域网的覆盖范 围，增加终端的移动性，多个b s s 可以联合组成扩展服务集( e s s ) ，扩展服务集通过 扩展服务集识别号( e s s i d ) 来区分，a p 通过基本服务集识别号( b s s i d ) 来区分，多 个a p 工作在不同的无线信道，通过有线分布式系统互连，终端可以在e s s 所覆盖 的范围内自由移动，并随着移动从e s s 内的一个a p 切换到另一个a p 。 无线局域网的网络结构如图11 所示： 图1l 无线局域网的网络结构 w l a n 中的切换及其安全性研究 无线局域网协议标准目前主要有i e e e 8 0 2 1 1 标准、蓝牙标准、h o m e r f 标准 和h i p e r l a n 2 标准，在众多的无线局域网标准中，影响最广的是i e e e ( 美国电子 电气工程师协会) 8 0 2 1 1 系列，i e e e 8 0 2 1 1 标准系列在业界一直得到最广泛的支 持，尤其在数据业务上。1 9 9 7 年6 月2 6 日，i e e e 8 0 2 1 1 标准制定完成，1 9 9 7 年 1 1 月2 6 日正式发布。i e e e 8 0 2 1 1 无线局域网标准承袭i e e e 8 0 2 系列，规范了无 线局域网的媒体访问控制层( m e d i m ua e e e s sc o n r t o l ，m a c ) 及物理层 p h y ( p h y s i e a l ) 技术。目前，i e e e 8 0 2 1 1 标准系列主要有以下一系列协议： ( 1 ) i e e e 8 0 2 1 l i e e e 8 0 2 1 1 是i e e e ( 电气和电子工程师协会) 最初制定的一个无线局域网 标准，该标准定义物理层和媒体访问控制( m a c ) 规范。物理层定义了数据传输的信 号特征和调制，定义了两个r f ( r a d i of r e q u e n c y ) 传输方法和一个红外线传输方 法，r f 传输标准是跳频扩频( f h s s ) 和直接序列扩频( d s s s ) ，工作在 2 4 0 0 0 2 4 8 3 5 g h z 频段。该标准主要用于解决办公室局域网和校园网中用户与用 户终端的无线接入，业务主要限于数据访问，速率最高只能达到2 m b p s 。由于它 在速率和传输距离上都不能满足人们的需要，所以i e e e 8 0 2 1 l 标准被 i e e e 8 0 2 u b 所取代了。 ( 2 ) i e e e 8 0 2 1 l b i e e e 8 0 2 1 l b ( w i f i ) 乜1 使用开放的2 4 g h z 直接序列扩频，最大数据传输速 率为l1 m b p s ，无需直线传播。1 9 9 9 年9 月i e e e 8 0 2 1 l b ( 也称为w i f i ) 被正式批 准，该标准规定w l a n 工作频段在2 4 2 4 8 3 5 g h z ，数据传输速率达到1 i m b p s ( 在 8 0 2 1 l b + 中可以达到2 2 m b p s ) ，传输距离控制在5 0 一1 5 0 英尺。该标准是对 i e e e 8 0 2 11 的一个补充，采用补偿编码键控调制方式，可以选用点对点模式和基 本模式两种运作模式，点对点模式是指无线网卡和无线网卡之间的通信方式。基 本模式是指无线网络规模扩充或无线和有线网络并存时的通信方式，这是 i e e e 8 0 2 1 1 b 最常用的方式。在数据传输速率方面使用动态速率转换，当射频情 况变差时，可将数据传输速率降低为5 5 m b p s 、2 m b p s 和1 m b p s ，且当工作在 2 m b p s 和1 m b p s 速率时可向下兼容i e e e 8 0 2 1 l 。i e e e 9 0 2 1 l b 的使用范围在室外 为3 0 0 米，在办公环境中则最长为1 0 0 米，它已成为当前主流的w l a n 标准，被多 数厂商所采用，所推出的产品广泛应用于办公室、家庭、宾馆、车站、机场等众 多场合。 ( 3 ) i e e e 8 0 2 1 1 a 1 9 9 9 年，i e e e s 0 2 1 l a 标准制定完成，该标准规定w l a n 工作频段在5 1 5 8 8 2 5 g h z ，数据传输速率达到5 4 m b p s 7 2 m b p s ( t u r b o ) ，实际使用速率约为 2 2 2 6 m b p s ，传输距离控制在1 0 1 0 0 米，与8 0 2 1 l b 不兼容是其最大的缺点， 致使一些早己购买8 0 2 1 l b 标准的无线网络设备在新的8 0 2 1 l a 网络中不能用。该 2 高校教师硕士学位论文 标准是美国电机电子工程师协会( i e e e ) 为了改进其最初推出的无线标准 i e e e s 0 2 1 1 而推出的无线局域网络协议标准，是i e e e s 0 2 1 1 的有益补充，扩充 了标准的物理层，采用正交频分复用( o f d m ) 的独特技术和四相移位键控( q f s k ) 调 制方式，可提供2 5 m b p s 的无线a t m 接口和i o m b p s 的以太网无线帧结构接口，支 持多种业务如话音、数据和图像等，一个扇区可以接入多个用户，每个用户可带 多个用户终端。 i e e e 8 0 2 1 l a 标准是i e e e 8 0 2 1 1 b 的后续标准，其设计初衷是取代8 0 2 1 1 b 标准，然而，工作于2 4 g h z 频带是不需要执照的，该频段属于工业、教育、医疗 等专用频段，是公开的，工作于5 1 5 8 8 2 5 g h z 长频带需要执照。出于生产成 本上的考虑，一些公司仍没有表示对8 0 2 1 l a 标准的支持，而是更加看好最新混 合标准一8 0 2 1 1 9 。 ( 4 ) i e e e 8 0 2 1 1 9 i e e e s 0 2 1 l g 同8 0 2 1 1 b 一样，也工作在2 4 g h z 频段，该标准提出拥有 i e e e 8 0 2 1 1 a 的传输速率，安全性较i e e e 8 0 2 1 1 b 好，采用2 种调制方式，含 8 0 2 1 1 a 中采用的o f d m 与i e e e 8 0 2 1 1 b 中采用的c c k ，做到与8 0 2 1 l a 和8 0 2 1 1 b 兼容。 虽然8 0 2 1 l a 较适用于企业，但w l a n 运营商为了兼顾现有8 0 2 1 i b 设备投资， 选用8 0 2 1 1 9 的可能性极大 ( 5 ) i e e e 8 0 2 1 1 i i e e e 8 0 2 1 1 i 标准结合i e e e 8 0 2 1 x 中的用户端口身份验证和设备验证技术， 对w l a n 中的m a c 层进行修改与整合，定义了严格的加密格式和认证机制，以改 善w l a n 的安全性。i e e e 8 0 2 1 1 i 新修订标准主要包括两项内容：“w i - f i 保护访问一 ( w i - f ip r o t e c t e da c c e s s ：w p a ) 技术和。强健安全网络一( r s n ) 3 。 该标准于2 0 0 4 年初开始实行。它为i e e e 8 0 2 1 1 网络增加了两个主要的组件， 一套新的数据保密协议，另外一个是和协议同时使用的一组管理协议。在新的保 密协议中包括两个协议，一个完全基于a e s 的协议，另一个协议t k i p ，可以在现 有的硬件上实施，提供在短期内可以接受的安全性。 ( 6 ) i e e e 8 0 2 1l e f h i e e e 8 0 2 1 1 e 标准n 1 对w l a n 中的m a c 层协议提出改进，以支持多媒体传输和 所有w l a n 无线广播接口的服务质量保证o o s 机制。 i e e e 8 0 2 1 1 f ，定义访问节点之间的通讯，支持i e e e 8 0 2 1 1 的接入点相互操 作协议( i a p p ) h 。 i e e e 8 0 2 1 1 h 用于8 0 2 1 l a 的频谱管理技术。 8 0 2 1 1 标准着重定义物理层和介质访问控制( m a c ) 子层。近年来8 0 2 1 l 标准 扩展出的8 0 2 1 l b 、8 0 2 1 l a 、8 0 2 1 l g 等系列，采用不同的物理层技术，使通信速率 w l a n 中的切换及其安全性研究 提高到1 1 m b p s 、2 2 m b p s 至5 4 m b p s ，但它们对于m a c 层协议没有重大改变。因 此不论使用哪种物理层规范，符合i e e e s 0 2 1 1 标准的无线局域网在组网结构、站 点工作过程等方面都是相同的。 1 21e e e 8 0 2 1 1 定义的三类移动 i e e e 8 0 2 1 l 协议定义了三种无线终端的移动h 1 ： ( 1 ) 不迁移 这种类型的移动又可以细分为两种子类型：无线站点保持静止状态和无线站 点在基础服务区域内局部移动。 ( 2 ) b s s 迁移 这种类型移动是指无线终端在同一个扩展服务集( e x t e n d e ds e r v i c es e t ，e s s ) 内不同基础服务集( b s s ) 内移动。 ( 3 ) e s s 迁移 这种类型移动是指无线终端从一个e s s 内的某一个b s s 移动到另一个e s s 中的b s s 。 i e e e s 0 2 1 1 协议只支持“不迁移一和“b s s 迁移 两种类型的移动，而并 不支持“e s s 迁移 类型。并且i e e e 8 0 2 1 l 协议对移动性支持的总体思想是：由 d s 来为站点的移动提供服务，而i e e e s 0 2 1 l 协议本身只是通过定义的服务，在 m a c 层来搜集“足够多 的站点位置信息，并通过a p 提交给d s ，协助d s 来完 成移动服务。i e e e 8 0 2 1 l 对移动性的支持主要通过a s s o c i a t i o n 和r e a s s o c i a t i o n 两个服务来实现的。 a s s o c i a t i o n 服务的功能是将无线站点的位置映射到d s 中，通过这种映射， 使得d s 能够确定无线站点所属的a p ，从而实现数据帧的寻址、转发。a s s o c i a t i o n 服务为“不迁移一类型移动提供了足够的支持，但对于“b s s 迁移一还并不足够， 而引入r e a s s o c i a t i o n 服务正是来弥补这一不足。当站点从一个b s s 移动到同一 e s s 内的另一个b s s 时，d s 通过r e a s s o c i a t i o n 服务能够获得该移动站点目前所 接入的a p 和站点移动前所接入a p 的信息，从而更新该站点在d s 中的映射，进 而实现站点的。b s s 迁移一类型的移动。 1 3 课题研究的背景及意义 目前网络连接的一个重要方式是无线局域网( w l a n ) 连接，它最显著的特 点就是用户移动性、终端便携性和无线通信。人们喜爱无线网络的主要理由是其 方便的可移动性，在任何时候、任何地点都希望能快速、方便、灵活地实现互联， 4 高校教师硕士学位论文 进行数据传输和设备共享，适合一些人员流动性大的场所，如机场、车站、学校、 酒店等。在这些场所无线用户( w l c ) 在w l a n 中的切换非常频繁，那么在切 换过程中也引发了许多问题，比如：非法移动终端s t a 接入a p 而访问网络并占 用网络资源、移动终端s t a 登录至非法a p 而造成信息泄漏、终端在移动时所造 成高频率的信号衰落，移动切换时造成的丢包率、切换延时和传输抖动等等，都 是无线局域网急待解决的问题。 对于安全问题，目前最有效的方法是利用认证接入技术，如8 0 2 1 x 认证机制 邛】，中国国家标准w a p i 阳1 ，w a p h 】，但是8 0 2 1 x 提供的只有单向认证措施：只有 无线a p 对客户端的认证，而缺乏客户端对无线a p 的认证，这种单向认证机制就 存在遭受中间人攻击的危险。w p a 引入了静态预共享密钥( p s k ) ，容易带来字典 攻击。w a p i 通过证书来对无线局域网中的客户端( s t a ) 和接入点( 无线a p ) 进 行双重、双向的身份认证，但它增加了额外的认证服务器。p a c k n l 等提出的基于 提前认证的切换方案，可以降低切换时延，但是未考虑切换的安全。在l a p p 协 议阻1 中，提出了基于远程拨号用户认i 正( r a d i u s ) 的安全切换过程，但是效率低下 的切换过程仍存在着被拒绝服务攻击( d o s ) 的潜在威胁。 移动终端s t a 的切换主要有三个阶段n 们，即发现a p 阶段、认证阶段和重连 阶段。在第一阶段，s t a 通过主动搜索和被动搜索去发现a p ，在第二阶段，a p 对要发起切换的s t a 执行认证，只有通过认证以后才能进行网络的交互。在重连 阶段，那么既要防止非法用户伪装合法用户接入a p 占用资源，又要防止非法a p 伪装合法a p 骗取数据，所以在第二阶段认证阶段非常重要，那么，研究一个好 的认证方法对切换的安全性有着非常重要的意义。切换过程中最主要的部分是选 择一个新的最合适的a p ，那么在选择a p 时会产生延迟，在发现新a p 阶段的延 迟也称为探测延迟，认证阶段产生的延迟称为认证延迟，重连阶段产生的延迟称 为重连延迟，那么在每一个阶段都产生了延迟，肯定会影响服务质量，目前8 0 2 1 1 标准l a y e r 一2 的切换延迟的范围是从6 0 m s 到4 0 0 m s ，其中探测阶段占了9 0 n 耵， 所以加快切换速度就成了无线局网亟待解决的问题。本课题提出了一种安全快速 的切换方案，这里假设a p 发出的信号总有重叠区域，当移动终端s t a 到达接入点 a p 的重叠区域时，提前对所有的邻接a p 进行相互身份认证，同时结合信号强度 和a p 的负荷及空闲带宽来选择一个合适的a p 进行切换，当a p 剩余带宽满足s t a 所需带宽时，选择一个信号足够强且负荷最小的a p 发起切换，若同时存在2 个以 上相同负荷等级且信号强度也在中等以上的a p 则随机选择一个作为目标a p ，这 样在切换时既有利于切换的安全性，又有利a p 的负载平衡。 w l a n 中的切换及其安全性研究 1 4 本文的主要工作及结构安排 本课题研究分析目前无线局域网的切换技术及其安全认证机制，在对无线局 域网的安全机制及切换技术的基础之上，提出一个安全快速的切换方案，当a p 到达重叠区域时，对所有的邻接a p 进行提前相互身份认证，实现一种切换时延 小，安全性较高的安全快速切换方案，在这种方法中，主要针对探测延迟和认证 延迟作了重点研究。目标a p 的选择对系统的性能也有很大的影响，同时针对a p 的负载问题，结合信号强度和负荷及剩余带宽来选择目标a p ，有利于a p 的负载 平衡。 论文的主要内容是这样安排的： 第一章绪论介绍了i e e e s 0 2 1 1 标准、课题研究的背景及意义、主要研究工作 及论文结构安排。 第二章对i e e e 8 0 2 1 1 w l a n 的切换机制作了分析，其中介绍了漫游和切换的 概念，详细分析了i e e e 8 0 2 1 1 w l a n 的切换过程中各个阶段的切换延迟的形成， 然后对其在切换过程中产生的其它相关问题作了分析。 第三章详细介绍了无线局域网的一些安全机制。首先介绍了无线局域网的基 本安全机制，然后详细分析了有线等价保密协议的优缺点，对8 0 2 i x 协议产生的 背景及8 0 2 i x 的体系结构，认证流程和一些技术特点作了研究，其次详细的分析 比较了目前各种流行基于e a p 认证协议的优缺点，最后对w a p i 标准作了比较详 细的分析。 第四章提出了一种应用于8 0 2 1 l 无线局域网的安全快速切换方案。对所有邻 接点提前进行相互身份认证，当存在多个可选的邻接a p 时，结合信号强度和负 荷及剩余带宽来选择目标a p 。切换时既可以保证切换安全，又可以减少无线终 端的重新认证时间并有利于a p 的负荷平衡。 第五章对安全快速的切换机制进行了仿真实验，实验结果表明，该方案的切 换延迟低于其它方法，具有较高的安全性，采用本文提出的负载平衡方法来选择 a p ，使系统的性能得到了改善。 最后对全文进行了总结并指出不足之处和今后的研究方向。 6 高校教师硕士学位论文 第2 章w l a n 的切换机制 2 1 无线局域网中的漫游和切换 在w l a n 中，无线站点s t a 的移动分为两类：漫游和切换。 漫游是指便携计算机用户从一个接入点的覆盖区到另一个接入点的覆盖区之 间移动时保持连续的通信。 切换是漫游的实现过程，它是指允许与一个小区的接入点通信的移动节点转 换到与另一个小区的接入点通信，从而使移动节点通过不同小区覆盖范围时能够 保持连续的或无缝的服务。 当s t a 发生漫游或切换时，它不仅改变了与接入点a p 的连接关系，而且还 可能改变了它与有线网络中的网桥和路由器之间的位置关系，这将造成网桥和路 由器不能正确转发目的地址给s t a 的报文，导致s t a 与网络通信的中断。 2 2 切换的分类 无线移动终端的切换有两种：i p 切换和无线接入点的切换。l p 切换j 2 1 即是 i p 层切换，它指的是当移动终端不断地从一个原外部代理域( 又称原f af o r e i g n a g e n t ，或者称为一个子网) 移动到一个新外部代理域( 记为新f a ) 时，为了能持续 通信所要执行的一系列动作。移动i p 的引入解决了w l a n 跨l p 子网漫游的问题， 使移动终端在使用基于t c p i p 协议的网络时，可以不用修改网络i p 地址就可以 跨网络随意移动和漫游，同时还可继续享受原有网络中一切权限。无线接入点的 切换口瓦3 们又称小区间的漫游( r o a m i n g ) ，是同一网段内的漫游。i e e e 8 0 2 1 1 无 线局域网的每个移动终端都与一个特定的无线接入点相连接，无线电波在传播过 程中会不断衰减，导致a p 的通讯范围被限定在一定的范围之内，这个范围被称 为微单元。当网络环境存在多个a p ，且它们的微单元互相有一定范围的重合时， 无线终端就可以在整个w l a n 覆盖区内移动。无线网卡能够自动发现附近信号强 度最大的a p ，并通过这个a p 收发数据，保持不问断的网络连接，称为无线漫游。 从目前已有的技术和文献上看，主要有以下几种类型n 3 q 们： ( 1 ) 硬切换( h a r d h a n d o f f ) 或叫数据包的非转发方式( n o - f o r w a r d ) 这 种方式是移动主机在切换到新的a p 时，停止从旧的a p 接收数据，立即从新的 a p 进行数据的收发。这样，在切换期间发往旧a p 的数据包就有可能丢失。这种 方式切换速度快，但由于没有采取任何措施，切换延迟小，丢包率大。 7 w - l , a n 中的切换及其安全性研究 ( 2 ) 平滑切换( s m o o t h h a n d o f f ) 或称为数据包的转发方式( f o r w a r d ) n 盯， 其过程是移动主机切换到新的a p 时，新a p 立即通告给旧a p 。然后旧a p 把自己 缓存的发给移动主机的数据包转发给新a p ，由新a p 转发给移动主机，同时新 a p 向通信对端主机发出通告，之后数据按新的路径传送数据。这种方式的特点 是丢包率低，但是其他的包要等到旧a p 转发完毕以后，才能继续传送，间接地 增加了切换延迟，对实时不利。 ( 3 ) 半软切换方式( s e m s o f t h a n d o f f ) 。该方式是主机移动到两个a p 小区 重叠区域发生切换时，可同时与两个a p 通信，直到完全进入新的a p 时才停止 从旧的a p 接收数据，特点是相对于前两种方式，丢包率和切换延迟低。这种方 式对目前的w l a n 技术来说理论上是可以的，但要实现起来比较困难。 2 3ie e e 8 0 2 11 w l a n 的切换过程 根据i e e e 8 0 2 11 协议规范n ，移动终端s t a 的切换主要分3 个阶段，即发 现新a p 阶段、认证阶段和重连阶段，每个阶段都占用一定的时间。而且在这个 过程当中，移动主机是不能收发数据的。因此在切换期间，发往移动主机的旧a p 链路上的数据包就有可能丢失，传输的服务质量( q o s ) 就会受到影响。 2 3 1 切换的原因 移动终端启动切换的原因主要有： ( 1 ) s t a 离开了原a p 的覆盖区。 ( 2 ) 选择更高质量的无线信道。 ( 3 ) 实现a p 的负载平衡。 2 3 2 发现新a p 阶段 发现新a p 阶段过程就是为了寻找新的合适a p 。发现新a p 阶段造成的延迟是 切换延迟的主要组成部分，大概占9 0 以上n 引。，由于用户的移动性，当站点移动 到a p 覆盖的边缘位置，站点连接的当前a p 的信号强度会减小，信噪比增大，导 致和当前a p 通信中断，这样就引发了切换的开始。s t a 需要在当前的范围内发现 新的a p 与之关联，发现a p 的阶段也就是探测在当前范围可能存在的a p 的阶段。 s t a 通过主动搜索或被动搜索周围的a p 发出的信标帧信号。如果s t a 是被动扫描 方式，那么s t a 依次在每个信道上监听来自a p 的信标帧，并记录有关该a p 的有 关信息。如果s t a 的扫描方式是主动扫描，那么s t a 依次在每个信道发送探测请 求帧，然后等待该信道上a p 的探测应答帧，并记录该a p 的有关信息。当所有的 高校教师硕士学位论文 信道和a p 都被扫描完后，s t a 将收集到的探测相应信息进行处理，根据接收信号 强度或者a p 的负荷来选择新的a p 。在发现新a p 阶段的延迟也称为探测延迟，我 们把它记为t t c 。 采用被动扫描在每个信道上等待的时间不好控制，而采用动态扫描时，可以 通过限定探测时限：m i n c h a n n e l t i m e 和m a x c h a n l l e l t i m e 来控制每个信道上的等 待时间。在文献n 们中它们的值分别是：1 0 2 4l is 、l o m s ，所以经常采用动态扫描 来完成探测过程。 2 3 3 认证阶段 在重连阶段之前，移动终端s t a 必须和接入点a p 进行认证，s t a 和a p 之间 需要交换认证信息，只有通过成功认证以后，才能进行网络交互。无论采用哪种 认证方式，首先，移动终端s t a 得先向a p 发送认证请求信息，a p 经过认证后向 移动终端s t a 发送认证成功或失败的响应。这个过程中产生的延迟称作认证延迟， 我们把它记为t 陀。认证包含的帧的个数取决于a p 的认证方式。 i e e e 8 0 2 1 1 定义了两类认证机制：开放系统认证o s a ( o p e ns y s t e m a u t h e n t i c a t i o n ) 和共享密钥认证s k a ( s h a r ek e ya u t h e n t i c a t i o n ) 开放系统认证是i e e e 8 0 2 1 1 缺省的认证协议，只要知道a p 服务集标识符 s s i d ，就可以接入w l a n ，实际上是无需认证的接入方式，采用这种认证机制认证 延迟会稍微的超过l m s 。 共享密钥认证使用标准的带有共享密钥的询问信息、响应信息来提供认证， 分四个步骤： 首先由认证发起者发送一个认证请求管理帧表明它想使用共享密钥认证。 认证响应者发送一个包含1 2 8 字节的询问串的认证管理帧来响应认证发起 者。 认证发起者收到响应者发来的管理帧，就把询问串的内容拷贝到一个新的 帧体中。这个新的管理帧体采用w e p 来加密，即由认证发起者选择一个i v 并和 共享密钥一起经伪随机数发生器产生密钥流对询问串进行加密，然后该经过加密 的帧被发往认证响应者。 认证响应者解密该帧并验证6 2 位的c r c 集成校验值是否合法，询问串是 否和第一次发送的信息中的询问串相匹配。如果校验值合法并且询问串匹配则认 证通过；如果该认证通过，则认证发起者和认证响应者交换角色并重复上述认证 过程以确保认证过程的交互。 i e e e 8 0 2 1 1 并没有规定s t a 与新a p 认证成功之后必然紧跟建立关联，所以 为了减少认证延迟