无线局域网身份认证的研究与仿真.doc

无线局域网身份认证的研究与仿真摘要：无线局域网的安全是目前广大用户和研究者非常关注的问题。IEEE80211i标准采用了基于可扩展认证协议(EAP,Extensible Authentication Protoc01)的IEEE8021X标准作为增强无线局域网安全的重要方法。而仿真方法是研究认证协议对网络性能影响的重要手段。本文在研究IEEE8021X协议的基础上，通过在OPNET仿真软件中构造带有认证功能的节点模型，根据其仿真结果来测试无线网络中认证过程对网络性能的影响。文中首先简要介绍了无线网络的发展状况，随后着重介绍了被广泛用于认证的IEEE8021X标准，对标准中给出的状态机作了详细介绍。在介绍了OPNET建模原理后，作者提出了建立OPNET仿真模型需要考虑的因素，特别是针对目前很多建模方式没有考虑正确性的问题，提出了对协议提供的自动机进行等效转换以建立仿真需要的模型的方法，保证了所建立模型的正确性。采用多种不同方式建立了认证功能的模型，通过理论分析，得到了各个模型所适合的使用场景。通过仿真场景测试，得出以下结论：认证功能对网络性能的影响集中于初期阶段，而在网络达到稳定以后，认证功能并不会对网络性能造成额外的影响。文中最后介绍了集成认证功能、加密功能和路由功能的无线MESH仿真系统，该系统是以后利用仿真方法研究其他网络安全协议的基础。WIRLESS LAN IDENTITY AUTHENTICATION RESEARCH AND SIMULATIONAbstract：The security of wireless local area network(WLAN)is one of the issues of great concern from both users and researchersThe IEEE8021 l i standard adopts IEEE8021 X，a standard based on the Extensible Authentication Protocol，as an important method to enhance the securitySimulation is an important approach to study the influence of authentication protocols on the performance of the networkBased on the study of the IEEE8021X standard，its influence on network performance is simulated throuth the construction of authentication enabled node models in OPNETAfter a brief review on the development of WLAN， IEEE 8021X standard iS emphasized，which iS widely used for authentication，and the Finite States Machines(FSMs)given in the standard are described in detailNext to the introduction of modeling principles in OPNET simulation，some considerable factors are highlighted，typically the correctness，which is always ignored during the modeling procedureThis thesis presents a new method to achieve the correctness，which iS to deduce the models in OPNET from the FSMs given in the standardThe EAP authentication models are established in different ways，and their suitable scenarios are obtained through theoretic analysis，respectivelyFrom the simulation results，we draw the following conclusions：the added authentication function does influence the network performance at the initialization phase，but when the network reaches its steady status，it will no longer influence the network performanceFinally，a wireless MESH network simulation system is presented，which is composed of authentication model，encryption model and routing modelThis system is the basis for further simulation study on other network security protocolsKeywords：IEEE8021X ;Authentication;OPNET Simulating;FSM Modefing1绪论11 无线局域网发展情况及相关标准介绍无线网络(Wireless Network)近几年在人们的生活中有了越来越广泛的应用。IEEE80211系列标准是目前应用最广泛的无线局域网标准。下面对无线局域网的发展情况及IEEE80211协议族的相关各标准做简单介绍：111 无线局域网发展情况在当今信息时代，人们对移动办公的要求越来越高，传统的有线局域网受客观因素的限制，布线、改线以及调试的工程量非常大，而且线路容易损坏，给维护和扩容等带来不便，网络中各节点的搬迁和移动也非常麻烦，特别是当要把相离较远的节点连接起来时，铺设专用通信线路的布线施工难度大、费用高、耗时长，对正在迅速扩大的联网需求形成了严重的瓶颈阻塞。因此以高效快捷、组网灵活为优势的的无线局域网应运而生。无线局域网(Wireless Local Area Network，WLAN)是计算机网络与无线通信技术相结合的产物。它是在不采用传统缆线的同时，以无线多址信道作为传输媒介，利用电磁波完成数据交互，为移动化、个性化和多媒体应用提供了可能，实现了传统有线局域网的功能，解决了一些有线网络无法解决的难题。由于具有多方面的优点，无线局域网已经在医院、商店、工厂和学校等不适合网络布线的场合得到了广泛应用。（1）无线局域网的历史与特点 无线网络的初步应用，可以追溯到六十多年前的第二次世界大战期间，美国陆军采用无线电信号做资料的传输。当时美国研发出了一套无线电传输技术，并且采用相当高强度的加密技术，美军和盟军都广泛使用这项技术。这项技术让许多学者得到了灵感，在1971年时，夏威夷大学(University of Hawaii)的研究员创造了第一个基于封包式技术的无线电通信网络，这被称作ALOHNET的网络，可以算是相当早期的无线局域网。这最早的WLAN包括了7台计算机，它们采用双向星型拓扑(bidirectional star topology)，横跨夏威夷的四座岛屿，中心计算机放置在瓦胡岛(Oahu Island)上。从这时开始，无线网络可说是正式诞生了。近年来无线网络的应用日渐增加，而且相关的技术也一直在进步，对企业而言要转换到无线网络也更加容易、成本更低了。无线局域网具有以下特点：(1)安装便捷。一般在网络建设中，施工周期最长、对周边环境影响最大的，就是网络布线施工工程。在施工中，要破墙掘地、穿线架管。而无线局域网由于无需再实施打孔布线作业，因而不会对建筑设施造成任何损害。也免去工作量较大的布线过程，只要安装一个或多个无线访问点(access pointAP)设备，就可建立覆盖整个建筑或地区的局域网络。而且便于管理维护，大大节约了建网时间。(2)组网灵活。在有线网络中，网络设备的安放位置受网络信息点位置的限制。而一旦无线局域网建成后，即插即用，网络管理人员可以迅速将其加入到现有网络中，并在某种环境下运行。(3)易于扩展。无线局域网有多种配置方式，每个AP可支持100多个用户的接入，只需在现有无线局域网基础上增加AP，就可以将几个用户的小型网络扩展为几千用户的大型网络。并且能够提供像漫游(Roaming)等有线网络无法提供的特性。(4)高移动性。在无线局域网中，各节点可随意移动，不受地理位置的限制。目前，AP(室内应用)可覆盖10m-300m。在无线信号覆盖的范围内，均可以接入网络。企业单位可以使其员工方便、迅速地对共享信息进行访问而无需电缆的插接，无论是在参加会议的时候、与同事在进行协作的时候还是在办公地点之间进行移动的时候。这样提高了员工的办公效率，也使员工能够利用手头丰富的实时信息及时作出决定。而且WLAN能够在不同运营商、不同国家的网络间漫游。(5)经济节约。由于有线网络缺少灵活性，这就要求网络规划者尽可能地考虑未来发展的需要，这就往往导致预设大量利用率较低的信息点。而一旦网络的发展超出了设计规划，又要花费较多费用进行网络改造，而无线局域网可以避免或减少以上情况的发生。（2）无线局域网的几种丰要设备及技术：AP接入点(无线局域网收发器)：在一个典型的无线局域网环境中，有一些进行数据发送和接收的设备，称为接入点(AP)。它是无线网络的核心，是移动计算机用户进入有线以太网骨干的接入点，AP可以简便地安装在天花板或墙壁上，它在开放空间最大覆盖范围可达300m，传输速率可以高达1 1Mbits。通常，一个AP能够在几十至上百米的范围内连接多个无线用户。在同时具有有线和无线网络的情况下，AP可以通过标准的Ethernet电缆与传统的有线网络相联，作为无线网络和有线网络的连接点。无线局域网的终端用户可通过无线网卡等访问网络。天线：无线局域网天线可以扩展无线网络的覆盖范围，把不同的办公大楼连接起来。这样，用户可以随身携带笔记本电脑在大楼之间或在房间之间移动。无线网卡：可以不需要电缆而使你的电脑和别的电脑在网络上通信。无线网卡与其他的网卡相似，不同的是，它通过无线电波而不是物理电缆收发数据。动态速率转换：当射频情况变差或者需要与其它较低传输速率的设备进行通信时，数据传输速率可以从较高的速率(如54Mbits)降低为较低的速率(如1 1 Mbits、55Mbits、2Mbits和1Mbits)。漫游支持： 当用户在楼房或公司部门之间移动时，允许用户在不同的接入点接入网络。当用户离开了初始加入的WLAN，进入到另一个WLAN中时，通过漫游服务可以保证用户仍然能够获得需要的网络接入服务。负载均衡：当AP变得负载过大或信号减弱时，NIC能更改与之连接的访问点AP，自动转换到最佳可用的AP，以提高性能。 自动速率选择功能：IEEE80211无线网络标准允许移动用户设置在自动速率选择(ARS)模式下，ARS功能会根据信号的质量及与网桥接入点的距离自动为每个传输路径选择最佳的传输速率，该功能还可以根据用户的不同应用环境设置成不同的固定应用速率。 电源消耗管理功能： IEEE80211还定义了MAC层的信令方式，通过电源管理软件的控制，使得移动用户能具有最长的电池寿命。电源管理会在无数据传输时使网络处于休眠状态，这样就可能会丢失数据包。为解决这一问题，IEEE 80211规定了AP应具有缓冲区储存信息，处于休眠的移动用户会定期醒来恢复该信息。保密功能： 为了防止无线网络所传输的数据被窃听，需要对这些数据进行加密。通过不断改进，采用多种更强大的加密方法，无线网络提供了较好的保密性。（3）无线局域网的结构非依赖的基本服务集(IBSS，Independent Basic Service set)这种情况网络中没有AP节点，各个终端节点(station)之间通过adhoe方式组网通信。这种方式组网灵活，成本较低，效率比较高，但缺点是各用户之间的通信距离较近，且当用户数量较多时性能较差。这种方式适用于少量节点之间为了通信而临时组建的无线网络。基本服务集(BSS，Basic Service set) 在这种配置下的局域网中存在有终端节点和接入点AP，终端节点通过无线方式接入AP，而AP则通过有线方式接入到现有的有线网络中，以使无线用户能够得到完整的网络访问服务。 基于无线局域网的无线网状网(WLAN MESH Network)在无线局域网的基础上，在各个AP之间组成adhoc网络进行通信。这样可以实现完全无线方式连接的无线Internet网络。（4）无线局域网的互联结构根据不同局域网的应用环境与需求的不同，无线局域网可采取不同的网络结构来实现互联。常用的具体有如下几种：(1)网桥连接型： 不同的局域网之间互联时，由于物理上的原因，若采取有线方式不方便，则可利用无线网桥的方式实现二者的点对点连接，无线网桥不仅提供二者之间的物理与数据链路层的连接，还为两个网的用户提供较高层的路由与协议转换。(2)基站接入型： 当采用移动蜂窝通信网接入方式组建无线局域网时，各站点之间的通信是通过基站接入、数据交换方式来实现互联的。各移动站不仅可以通过交换中心自行组网，还可以通过广域网与远程站点组建自己的工作网络。(3)HUB接入型：利用无线Hub可以组建星型结构的无线局域网，具有与有线Hub组网方式相类似的优点。在该结构基础上的WLAN，可采用类似于交换型以太网的工作方式，要求Hub具有简单的网内交换功能。(4)无中心结构： 要求网中任意两个站点均可直接通信。此结构的无线局域网一般使用公用广播信道，MAC层采用CSMA类型的多址接入协议。无线局域网可以在普通局域网基础上通过无线Hub、无线接入(AP)、无线网桥、无线Modem及无线网卡等来实现，其中以无线网卡最为普遍，使用最多。无线局域网的关键技术，除了红外传输技术、扩频技术、网同步技术外还有一些其他技术，jtl：l- 调制解调技术、加解密技术、无线分集接收技术、功率控制技术和节能技术。（5）无线局域网的应用基于诸多优点，它可广泛应用的领域有：接入网络信息系统：电子邮件、文件传输和终端仿真；难以布线的环境：老建筑、布线困难或露天区域、城市建筑群、校园和工厂；频繁变化的环境：频繁更换工作地点和改变位置的零售商、生产商，以及野外勘测、试验、军事、公安和银行等；使用便携式计算机等可移动设备进行快速网络连接；用于远距离信息的传输：如在林区进行火灾、病虫害等信息的传输；公安交通管理部门进行交通管理等；专门工程或高峰时间所需的暂时局域网：学校、商业展览、建设地点等人员流动较强的地方；利用无线局域网进行信息的交流；零售商、空运和航运公司高峰时间所需的额外工作站等；流动工作者可得到信息的区域：需要在医院、零售商店或办公室区域流动时得到信息的医生、护士、零售商、白领工作者；办公室和家庭办公室(SOHO)用户，以及需要方便快捷地安装小型网络的用户。无线网络的出现就是为了解决有线网络无法克服的困难。虽然无线网络有诸多优势，但与有线网络相比，无线局域网也有很多不足。无线网络速率较慢、价格较高。目前无线局域网还不能完全脱离有线网络，无线网络与有线网络是互补的关系，而不是竞争；目前还只是有线网络的补充，而不是替换。但也应该看到，无线局域网行业的发展现在已经达到了一个关键的阶段。可以预见，随着开放办公的流行和手持设备的普及和企业对高速、稳定且不间断的信息访问方式的需求日益急切，WLAN将会在办公、生产和家庭等领域不断获得更广泛应用。112 IEEE80211协议族简介IEEE80211标准是1 990年由IEEE802标准化委员会成立的IEEE80211无线局域网标准工作组制定的。该标准工作组的任务为研究1Mbits和2Mbits数据传输速率，工作在24GHz开放频段的无线设备和网络发展的全球标准，并于1997年6月正式发布。同其他所有的IEEE802标准类似，IEEE8021l标准定义了无线局域网的物理层和媒体访问控StJ(MediaAccess Contr01MAC)层规范。允许无线设备制造商按照这个标准生产可以互相通信和操作的网络设备。经过了长期的研究和改进，IEEE80211工作组分别于1999年和2007年6月推出了两个更新的版本【l】。其中，在2007年的版本中，包括了当时已经发布的一些IEEE80211标准的改进标准(amendment)，如表11所示：表1-1 IEEE80211-2007版本中包含的各个修订版本增补标准版本IEEE8021la标准1999年版IEEE8021lb标准1999年版IEEE8021lb标准2001年勘误版IEEE8021ld标准2001年版IEEE8021lg标准2003年版IEEE8021lh标准2003年版IEEE8021li标准2004年版IEEE8021lj标准2004年版IEEE8021le标准2005年版 IEEE80211b标准Wi-FiIEEE80211b标准又称作WiFi(wireless fidelity)。该标准工作于24GHz的工业科学医疗频段，采用直接系列扩频和补码键控支持更高的传输速率。IEEE于1999年9月批准了IEEE80211b标准。该标准对IEEE80211标准进行了修改和补充，其中最重要的改进是在IEEE8021l的基础上增加了两种更高的通信速率，分别为55Mbits和llMbits。当射频情况变差时，可将数据传输速率降低为55Mbits，2mits和1 Mbits。IEEE80211b的基本结构、特性和服务仍然由最初的IEEE80211标准定义。IEEE80211b标准只影响IEEE0211标准的物理层，增加了数据传输速率并增强了连接性。IEEE80211a标准IEEE80211a标准是已经得到广泛应用的IEEE80211b标准的后续标准。IEEE80211a标准的物理层传输速率可以达到54Mbits，传输层可以达到32Mbits，采用正交频分复用OFDM(Orthogonal Frequency Division Multiplexing)的扩频技术，可提供25Mbits的无线ATM接口和10Mbits的以太网无线帧结构接口，以及时分双工时分多路复用TDDTDMA(Time Division DuplexTime DivisionMultiple Access)的接口；支持语音、数据、图像等业务。IEEE802。l lg标准由于IEEE 8021la与目前的80211b规格之间频段与调变方式不同使得使用了不同标准的设备之间不能够直接通信。已经拥有80211b产品的消费者可能不会在8021la设备问世之后就立即购买。而8021lg就是为这段过渡时间所开发的技术。它建构在既有的IEEE 80211b物理层与媒体访问子层标准基础上选择24 GHz频段，传输速率较11Mbits更高，让已拥有80211b产品的使用者能够以802119的产品达到一个速度升级的目标。80219与已经得到广泛使用的80211b是兼容的，这是802119相比于80211a的优势所在。802119是对80211b的一种高速物理层扩展。同80211b一样，802119工作于24GHz频带，但采用了OFDM技术，可以实现最高54Mbits的数据速率，与80211a相当，并且较好地解决了WLAN与蓝牙的干扰问题。12 无线局域网安全现状和相关标准121 WLAN安全现状由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外，无线就意味着会让人接触到数据。与此同时，要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用，任何人在视距范围之内都可以截获和插入数据。因此，虽然无线网络和无线局域网的应用扩展了网络用户的自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能漫游服务。然而，这种自由也同时带来了新的挑战，这些挑战其中就包括安全性。而安全性又包括两个方面，一是访问控制，另一个是数据保密性。访问控制确保敏感的数据仅由获得授权的用户访问。保密性则确保传送的数据只被目标接收人接收和理解。由上述可见，真正重要的是数据保密性，但访问控制同样也是不可忽视，如果没有在安全性方面进行精心的设计，布署无线局域网将会给黑客和网络犯罪开肩方便之门。无线局域网必须考虑的安全威胁有以下几种：所有常规有线网络存在的安全威胁和隐患；外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权存取；无线网络传输的信息没有加密或者加密很弱，易被窃取、篡改和插入；无线网络易被拒绝服务攻击(DOS)和干扰；无线网络的安全产品相对较少，技术相对比较新。下面将针对上面内容进行分析：（1）常规安全威胁分析。由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，这就要求继续加强常规方式上的安全措施。（2）非授权访问威胁分析。无线网络中每个AP覆盖的范围都形成了通向网络的一个新的入口。由于无线传输的特点，对这个入口的管理不像传统网络那么容易。正因为如此，未授权实体可以在公司外部或者内部进入网络：首先，未授权实体进入网络浏览存放在网络上的信息，或者是让网络感染上病毒。其次，未授权实体进入网络，利用该网络作为攻击第三方网络的跳板。第三，入侵者对移动终端发动攻击，或为了浏览移动终端上的信息，或为了通过受危害的移动设备访问网络，第四，入侵者和公司员工勾结，通过无线交换数据。122 WLAN主要安全技术为了防止非授权用户非法访问无线局域网络，从无线局域网应用的第一天开始便引入了相应的安全措施。通常数据网络的安全性主要体现在用户访问控制和数据加密两个方面。访问控制保证敏感数据只能由授权用户进行访问，而数据加密则保证发送的数据只能被所期望的用户接收和理解。具体来说，针对WLAN主要有以下安全技术：（1） 无线网卡物理地址(MAC)过滤。无线网络与有线网络的区别集中于链路层和物理层。因此链路层的安全，特别是MAC的安全，一直是研究的重点【4】【5】。一种简单的方法是，网络管理员可在AP中手工维护一组允许访问或不允许访问的MAC地址列表，以实现物理地址的访问过滤。（2）服务区标识符(SSlD)匹配。无线工作站(STA)必须出示正确的SSID，才能访问AP；如果出示的SSID与AP的SSID不同，那么AP将拒绝其通过本服务区上网。因此可以认为SSID是一个简单的口令，提供一定程度的安全保护。在AP上对此项技术的支持就是可不让AP广播其SSID号，这样无线工作站端就必须主动提供正确的SSID号才能与AP进行关联。（2） 有线等效保密(WEP)。有线等效保密(WEP)协议是由8021 1标准定义的，用于在无线局域网中保护链路层数据。WEP使用40位密钥，采用RC4对称加密算法，在链路层加密数据。WEP加密采用静态密钥，各WLAN终端使用相同的密钥访问无线网络。WEP也提供认证功能，当加密机制功能启用，客户端要尝试连接上AP时，AP会发出一个Challenge Packet给客户端，客户端再利用共享密钥将此值加密后送回存取点以进行认证比对，只有正确无误，才能获准存取网络的资源。40位WEP具有很好的互操作性，所有通过WiFi组织认证的产品都可以实现WEP互操作。现在的WEP一般也支持128位的密钥，提供更高等级的安全加密。（4）端口访问控制技术(IEEE 8021X6)和可扩展认证协议(EAP)。该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站与无线访问点AP关联后，是否可以使用AP的服务要取决于8021X的认证结果。如果认证通过，则AP为无线工作站打开这个逻辑端口，否则不允许用户访问。8021X要求无线工作站安装8021X客户端软件，无线访问点要内嵌8021X认证代理，同时它还作为Radius客户端，将用户的认证信息转发给Radius服务器。现主流的PC机操作系统Win XP以及Win2000都已集成了802IX的客户端功能。现在，安全功能比较全的AP在支持IEEE 8021X和Radius的集中认证时支持的可扩展认证协议类型有：EAPMD5、TLS、TTLS和PEAP。（5）无线客户端二层隔离技术。在电信运营商的公众热点场合，为确保不同无线工作站之间的数据流隔离，AP也可支持其所关联的无线客户端工作站二层数据隔离，确保用户的安全。（6）VPN-Over-Wireless技术。目前已广泛应用于广域网络及远程接入等领域的VPN(Virtual Pdvate Networking)安全技术也可用于无线局域网。与IEEE 80211b标准所采用的安全技术不同，VPN主要采用DES、3DES等技术来保障数据传输的安全。对于安全性要求更高的用户，将现有的VPN安全技术与IEEE 80211b安全技术结合起来，是目前较为理想的无线局域网络的安全解决方案之一。（7）WPA(Wi.Fi保护访问)技术。在IEEE 8021li标准最终确定前，WPA(WiFi Protected Access)技术将成为代替WEP的无线安全标准协议，为IEEE 80211 WLAN提供更强大的安全性能。WPA是IEEE 80211i的一个子集，其核心就是IEEE 8021X和TKIP(Temporal KeyIntegrity Protoc01)。新一代的加密技术TKIP与WEP一样基于RC4加密算法，且对现有的WEP进行了改进。在现有的WEP加密引擎中增加了“动态密钥”“消息完整性检查(MIC)、“具有序列功能的初始向量”和“密钥更新等4种算法，极大地提高了安全强度。TKIP与当前WiFi产品向后兼容，而且可以通过软件进行升级。从2003年的下半年开始，WiFi组织已经开始对支持WPA的无线局域网设备进行认证。（8）高级的无线局域网安全标准-IEEE 80211i。为了进一步加强无线局域网的安全性和保证不同厂家之间无线安全技术的兼容， IEEE 80211工作组i工作小组(TGi)已制定了新的安全标准IEEE 8021li，并且致力于从长远角度考虑解决IEEE 80211无线局域网的安全问题。 IEEE80211i标准中主要包含认证协议IEEE 802IX，密钥管理技术以及数据加密技术：TKIP和使用了高级加密标准(AES，Advanced Eneryption Standard)的CCMP(counter mode(CTR)with CBC-MAC(cipher-block chaining(CBC)with message authentication code(MACl Protoc01)JJH密协议，IEEE 80211i将为无线局域网的安全提供可信的标准支持。13 网络研究中的仿真研究方法简介随着通信网络规模日趋庞大，新技术不断出现，网上应用日益复杂，网络的性能也变得越来越不可预测，有效评估和研究网络技术、协议、性能成了迫切的需求。所有这些，都对网络规划和设计人员提出了许多新的挑战。以IP为代表的包交换技术是现在数据网的基础，口的统计复用特性给网络的设计带来了很大的网难，以数学计算为基础的传统网络设计理论已经无法满足数据网络的实际需要。目前流行的以经验为主的网络设计方法，对于中小型网络还是可行的，但是，随着网络规模的急剧扩大和网络复杂性迅速增加，需要考虑的设计因素也随之急剧增加，往往超出了人的经验所能企及的范围。网络技术的多样性导致投资风险加大。目前网络通信领域往往对于一个问题的解决有多种的技术方法和众多互相竞争的网络产品；如果我们只能依靠厂家提供的报告和国外第三方的测试结果，投资的风险较大。电信资费的不断下调，对外开放的压力，迫使电信网络运营商在网络建设的同时，开始注重优化现有网络、挖掘网络内部潜力，降低网络运营成本。如果能把网络流量、性能的实际监测分析结果和网络设计结合起来，则可为网络优化提供可靠的依据。因此，随着网络的不断扩充，越来越需要一种新的网络规划和设计手段来提高网络设计的客观性和设计结果的可靠性，降低网络建设的投资风险。网络分析研究的一般方法有三种：使用现场实验、数学分析、仿真模拟，相比较而言，仿真模拟在网络研究中可以节省资金，容易操作，结果可靠，接近实际。网络仿真技术正是在这种需求拉动下应运而牛的。因此，仿真模拟在网络研究中用得越来越多。网络仿真通过建立网络设备、链路、和协议模型，并模拟网络流量的传输，从而获得网络设计或优化所需要的网络性能数据。网络仿真技术以其独有的方法能够为网络的规划设计提供客观、可靠的定量依据，缩短网络建设周期，提高网络建设中决策的科学性，降低网络建设的投资风险。网络仿真技术是一种通过建立网络设备和网络链路的统计模型，并模拟网络流量的传输，从而获取网络设计或优化所需要的网络性能数据的仿真技术。由于仿真不是基于数学计算，而是基于统计模型，因此，统计复用的随机性被精确地再现。网络仿真技术具备以下特点：全新的模拟实验机理，使其具有在高度复杂的网络环境下得到高可信度结果的特点。网络仿真的预测功能是其他任何方法都无法比拟的；使用范围广，既可以用于现有网络的优化和扩容，也可以用于新网络的设计，而且特别适用于中大型网络的设计和优化；初期应用成本不高，而且建好的网络模型可以延续使用，后期投资还会不断下降。目前在计算机网络仿真软件中，较为突出的是OPNET系列仿真平台。作为网络规划、仿真及分析工具的高端产品，OPNET在通信、国防及数据网络领域已经被广泛认可和采用，具有很大的研究、应用价值。14 论文组织及章节安排本文从无线局域网的安全需要出发，为了达到通过OPNET仿真的方式来研究无线局域网中的认证功能的效率的目的，进行了建模方法方面的探讨，并用各种方法建立了多种模型，进行了比较。这些模型为今后需要使用到认证功能的仿真打好了基础，而关于方法的探讨为以后通过OPNET对其他网络协议进行进一步的研究提出新的思路。本文后面的章节中，第二章给出了关于无线局域网中普遍使用的认证协议基于可扩展认证协议EAP(Extensible Authentication Protoc01)的IEEE802IX标准的工作过程的介绍，并对协议中给出的认证所需状态机进行了简介。第三章中介绍了OPNET仿真软件，以及利用该软件来对网络协议和设备进行建模仿真研究的方法，并简要分析了OPNET中自带的无线节点的内部结构模型。在此基础上，在第四章提出了在OPNET中进行建模所需要注意到的一些因素，以及如何在修改原有节点的基础上，构造出具有认证功能的无线节点，并对不同的方案的适用性通过分析和实验两方面进行了比较。最后在第五章对全文进行了总结，并对后面进一步的工作进行了展望。2. IEEE8021X标准介绍 在IEEE8021li标准推出之前，IEEE80211标准及其修订IEEE80211b标准已经基本解决了构建一个无限局域网的问题。网络中的终端STA以adhoe方式或者BSS方式进行组织，然后再通过ESS方式组织成为更大的网络。 IEEE 80211标准给出了两个方面的安全保证：IEEE8021l实体认证和对通信数据进行加密。在实体认证时，采用开放系统认证方式和共享密钥认证方式两种认证方式。但是，在认证方面存在缺陷。开放系统认证方式进行认证过程的唯一依据就是终端STA的ID，而这个ID可以被攻击者很容易地假冒。而共享密钥认证方式需要通过双方，即认证的申请方和认证的执行方，所预先共享的密钥来进行认证，这个过程中必须依靠WEP加密机制的支持来实现。可是WEP加密机制已经暴露了相当多的弱点，很容易被攻击者攻破。由此导致了这种共享密钥认证的不可靠。在IEEE80211标准和IEEE80211b标准之后的IEEE80211i标准，对无线局域网的安全提供了强大的保护，包括认证，密钥交换和加密三个部分。其中的认证方面，采用了基于EAP的IEEE8021X认证协议。此外，在其后的IEEE80211s标准草案【7】中，也采用了IEEE8021X的认证方式【9】【10】【ll】。因此IEEE8021X标准已经作为一个可靠的认证方式被无线安全领域广泛使用。 21 IEEE8021X认证协议 211 8021X体系结构8021X协议中定义了端口的概念。端口为其它系统提供了访问服务的接入点，又可以分为物理上的和逻辑上的，IEEE 8021X所定义的无线接入方式就属于逻辑上的。基于端口的网络访问控制允许对端口进行控制，以达到那些只有被授权的系统才能使用其所提供的服务的目的。IEEE 8021X定义了三个实体【12】：申请者(Supplicant)-WLAN移动用户，申请者希望访问端口所提供的服务；认证者(Authenticator)-AP，是需要访问控制的端口，它对申请者在访问它所提供的服务前提出认证要求，只有通过验证才能访问；认证服务器(Authentication Server)-RADIUS，是用来实现具体的认证功能，即检查申请者的身份或证书，并通知认证者是否允许访问端口提供的服务；如下图所示：图21 IEEE 8021X体系结构端口访问实体(Port Aeeess Entity)运行与认证机制相关的算法和协议。参与基于端口访问控制的系统的每个端口都存在一个PAE。申请者PAE负责响应来自认证者的请求，为认证服务器的认证提供相应的用户信息和证书。认证者PAE负责向认证服务器提交从申请者收到的消息，并根据认证服务器的认证结果控制受控端口的授权状态。认证者PAE一般不参与申请者PAE和认证服务器间的认证交互，而只是根据认证服务器传递过来的结果控制受控端口的状态。认证服务器和认证功能的这种分离允许使用后台的认证服务来实现各种认证机制。但这种分离并没有排除认证者PAE和认证服务器在同一个物理设备上实现的可能性。 8021X的端口有两种：非受控端口和受控端口。非受控端口无论是否处于授权状态都允许申请者访问系统；受控端口只允许已授权的访问。受控和非受控端口可以是同一个物理连接的不同的逻辑实体，申请者的报文是通过认证者的控制、还是非控制端口路由出去是由该申请者的状态所决定的。在申请者获得认证之前，认证者只允许它和认证服务器进行通信；而在认证完成之后，它才有资格访问网络所提供的其他服务。受控端口还可以配置为“强制授权”或者“强制非授权”，在这种情况下就不再需要认证过程。 212 8021X认证过程下面来详细探讨一下IEEE8021X的认证过程，以及在此过程中申请者PAE和认证者PAE的状态机的状态转换过程。其中移动节点MN(Mobile Node)通过AP向认证服务器AS发出申请。当MN和AP完成了IEEE8021l连接以后，MN和AP的PAE状态机都转换到CoNNECTIING状态。但是这个时候port还没有进行认证，于是开始8021X的认证过程。MN(申请者)首先发送EAPOLStart帧给AP(认证者)，以初始化认证过程。当AP收到EAPOLStart帧之后，回复一个EAPRequestIdentity帧，来获取MN的身份。MN收到这个EAPRequestIdentity帧之后，就转入ACQUIRED状态，然后发送一个EAPResponseIdentity帧作为回复，这个帧里面包含了MN的身份ID。如果AP收到了EAPResponseIdentity，认证者的PAE状态就转换到AUTHENTICATING状态。在AUTHENTICATING状态中，认证者的PAE把申请者发来的EAPResponseIdentity帧封装到RADIUS Access -Request中作为一个属性(EAP-Message属性，EAP消息属性，是认证者和RADIUS通信的帧中用来描述EAP消息的属性)，然后发送给RADIUS认证服务器。作为回复，RADIUS服务器会挑战MN，它发送一个RADIUSAccessChallenge给AP，然后由AP进行解封后成为EAPRequestAuth发送给MN。当MN收到EAPRequestAuth以后，申请者的PAE状态转换到AUTHENTICATING状态，并且回复一个EAPResponseAuth给AP，然后AP再把这个帧进行RADIUSAccessRequest格式的封装，然后发送给RADIUS服务器。依照具体的认证过程，可能还会有一些其他信息交换过程。然后RADIUS服务器决定接收该MN或者拒绝该MN访问网络服务。在后面的交互序列图中给出了在此以后的三种情况。1如果认证成功，RADIUS服务器发送RADIUSAccessAccept给AP，AP收到以后，它的PAE状态机转换到AUTHENTICATED状态并且发送一个EAPSuccess消息给MN来说明认证已经成功。至此，AP的受控制端口就经过认证了。而MN收到EAPSuccess消息以后，其PAE状态机的状态转换到AUTHENTICATED状态，然后整个认证过程完成，以后申请者可以使用认证过的受控端口和AP进行通信，访问网络服务。2如果认证失败，RADIUS服务器发送RADIUSAccessReject给AP，然后由AP解封，转变为EAP-Failure消息发送给MN。在这种情况下，AP和MN的状态机都转换到HELD状态，整个认证过程失败。因此，受控端口还是未认证的，不能使用。3如果MN已经被认证了，而它希望从当前AP登出，MN会发送一个EAPOLLogoff包给AP，然后当前AP的受控端口立刻转为未认证状态，相应的，申请者和认证者的状态机会转换到LOGOFF状态和DISC饼州ECTED状态。这个过程中的交互序列图如图22所示：图22 IEEE8021X认证过程中的交互序列图213 EAP(可扩展认证协议) IEEE 8021X标准的核心是由IETF组织提出的可扩展认证协议EAP(PPP Extensible Authentication Protocol)，它是一个为PPP认证的通用协议，它支持多种认证机制。EAP在链路建立阶段并不明确指定具体认证方式。这种方式允许认证设备在决定特定的认证机制前请求更多的信息。这种方式允许使用后端服务器实现不同的认证机制并可提供良好的扩展性。EAP协议构如图23所示：图23 EAP协议体系结构严格的说，EAP协议并不是一个具体的认证协议，而仪仅是一种认证协议的封装格式，通过EAP封装，客户端和认证服务器之间能够实现对具体认证协议的动态协商。EAP协议的帧格式如下：图24 EAP帧格式Code：用于识别EAP协议包的类型，它定义了四种类型，包括：Request(请求)、Response(响应)、Success(成功)、Failure(失败)；Identifier：用于匹配Request和Response包；Length：指出整个EAP包的长度；Data：包括与认证机制相关的信息，其格式为“Type(类型)-TypeData(类型数据)，已定义的Type如下：1) Identity；用于传用户名；2) Notification；用于认证系统向用户端传递一些可以显示的消息；3) Nak(Response Only)；只在Response类型的消息中有效，当协商认证机制的双方有一方不同意另一方提出的认证机制时就用Nal(进行否决，而另一方收到Nal【消息后则重新选择认证机制直到双方都同意为止，从而完成协商过程；4) MD5-Challenge；5) One-time Password(OPT)；6) Genetic Token Card；7) EAPTLS。其中1、2、3、4必须实现，5、6、7为具体的认证机制。主要的EAP方法主要有：EAPMD5通过MD5算法对传向RADIUS服务器的用户名和密码加密。EAPMD5不需要密钥管理和动态密钥生成，而需要使用静态WEP密钥。EAPTLS13】【14】【151是由微软开发出来的，没有采用用户名加密码的认证方式，而是使用X509认证方式。和LEAP类似，EAPTLS动态生成的WEP密钥只会使用一次，并且会对中心设备和接入客户两方都进行认证。EAPTLS的开放性较好。EAPTTLS16】又称为隧道传输层安全协议，EAPTTLS是一种基于用户名和密码的认证机制方式，像CHAP(Challenge Handshake AuthenticationProtocol)，PAP，一次性密码(One Time Password)等。客户端使用TTLS服务器提供的数字证书进行认证，这个过程是对安全W曲服务器方式的模拟。一旦建立了认证隧道，就开始进行对终端用户进行认证。EAPTTLS可以保证无线接入媒体中终端用户的一致性。防止匿名用户的非法使用网络，和EAPTLS一样，只有在双向认证通过以后，服务器才向接入认证点发送EAPSuccess消息，指示用户终端可以收发数据流。这个消息同时触发了对数据流的加密，在加密密钥建立之前，终端不发送数据。22 IEEE8021