熱門關(guān)鍵詞：Android Allegro 視頻監(jiān)控電源模塊硬件工程師

安全無線局域網(wǎng)增強(qiáng)媒體接入控制功能的關(guān)鍵技術(shù)及實(shí)現(xiàn)

發(fā)布時間：2010-7-31 19:59 發(fā)布者：lavida

無線局域網(wǎng)是高速發(fā)展的無線通信技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)中的應(yīng)用，為通信的移動化、個人化和多媒體應(yīng)用提供了實(shí)現(xiàn)的手段。隨著無線局域網(wǎng)技術(shù)的高速發(fā)展，無線局域網(wǎng)的應(yīng)用越來越廣泛，對其安全性也提出了更高的要求。為解決現(xiàn)有無線局域網(wǎng)標(biāo)準(zhǔn)中存在的安全問題，在深入研究IEEE802.11 標(biāo)準(zhǔn)、IEEE 802.1x 協(xié)議以及IEEE802.11i 草案的基礎(chǔ)上，提出了安全無線局域網(wǎng)(secure WLAN ，SWLAN) 的概念，在現(xiàn)有的IEEE802.11 協(xié)議中加入了新的接入控制方法，采用802.1x 認(rèn)證和密鑰管理協(xié)議以及TKIP 和AES 加密套件，增強(qiáng)了WLAN 的媒體接入控制功能，并且提供了許多在基本的IEEE 802.11 體系中沒有的安全措施，包括安全性能協(xié)商、為AP 和STA 提供增強(qiáng)的認(rèn)證機(jī)制、合理的密鑰管理方案、動態(tài)分配密鑰、增強(qiáng)的數(shù)據(jù)加密和封裝機(jī)制、管理和控制幀的保護(hù)等，從而增強(qiáng)了當(dāng)前802.11 的媒體接入控制功能以改進(jìn)無線局域網(wǎng)的安全性。

安全無線局域網(wǎng)概述

SWLAN 構(gòu)建

IEEE 802.11 協(xié)議邏輯上將無線媒質(zhì)( wireless medium ， WM ) 與分布系統(tǒng)媒質(zhì)(dist ribution system medium ，DSM) 區(qū)分開來。邏輯媒質(zhì)的多樣性使得網(wǎng)絡(luò)結(jié)構(gòu)具有充分的靈活性。IEEE 802. 11 協(xié)議沒有規(guī)定分布式系統(tǒng)(DS) 的媒介，在安全無線局域網(wǎng)中本文采用了技術(shù)發(fā)展相對較成熟的有線網(wǎng)絡(luò)作為DS 的媒介。根據(jù)組網(wǎng)原理，SWLAN 主要由以下部分組成: STA ，AP ，AC和AS ，分別為無線終端、接入點(diǎn)、認(rèn)證接入控制器和認(rèn)證服務(wù)器。其最簡單的構(gòu)成如圖1 所示。本文在IEEE 802.11 的ESS 網(wǎng)絡(luò)結(jié)構(gòu)中的DS 中增加了實(shí)現(xiàn)接入控制業(yè)務(wù)的設(shè)備AC ，以及實(shí)現(xiàn)802.1x 認(rèn)證模式的認(rèn)證服務(wù)器設(shè)備AS ;STA 是移動用戶終端設(shè)備，實(shí)現(xiàn)用戶側(cè)的安全接入控制功能;AP 是無線局域網(wǎng)接入服務(wù)的提供者，實(shí)現(xiàn)安全接入控制的授權(quán)功能和密鑰管理功能;AS 是認(rèn)證服務(wù)器設(shè)備，提供了服務(wù)器側(cè)安全接入控制的認(rèn)證功能;AC 處于AP 與AS 之間，用于登記認(rèn)證中AS 對STA 的認(rèn)證結(jié)果以及STA 與AP 之間的安全關(guān)聯(lián)信息。


SWLAN 的關(guān)鍵技術(shù)

SWLAN 的關(guān)鍵技術(shù)主要包括安全認(rèn)證技術(shù)、加密技術(shù)及密鑰管理技術(shù)和WLAN 技術(shù)。

安全認(rèn)證技術(shù)：通過IEEE 802.1x、EAP協(xié)議、RADIUS 協(xié)議的驗(yàn)證，確認(rèn)信息的發(fā)送者是否合法而不是冒充者，驗(yàn)證消息的完整性，防止非法用戶的入侵以及惡意攻擊者的主動攻擊，對于開放環(huán)境中的無線局域網(wǎng)系統(tǒng)的安全性具有重要的意義。

加密技術(shù)及密鑰管理技術(shù)：應(yīng)用對稱密碼、公鑰密碼和密鑰管理來隱蔽和保護(hù)需要保密的信息。 SWLAN 中支持基于RC4 的TKIP 和基于AES的AES-OCB 以及AES-CCM。 TKIP 是現(xiàn)有WEP(wired equivalent privacy) 的改進(jìn)版，克服了WEP中已知的安全漏洞，仍采用流加密模式。 AES-OCB和AES2CCM 是采用不同加密模式的基于AES 的加密套件。

WLAN 技術(shù)：計(jì)算機(jī)網(wǎng)絡(luò)與無線通信技術(shù)相結(jié)合的產(chǎn)物，主要包括MAC 層和物理層技術(shù)。通過對無線局域網(wǎng)媒體訪問接入控制、流量控制、數(shù)據(jù)傳輸速率控制和服務(wù)質(zhì)量控制等，將SWLAN 在802.11 協(xié)議功能的基礎(chǔ)上進(jìn)行擴(kuò)展和改進(jìn)，從而使整個網(wǎng)絡(luò)通信的性能達(dá)到更好的狀態(tài)。

基于嵌入式系統(tǒng)的SWLAN 整體方案

無線局域網(wǎng)中的硬件設(shè)備主要有無線終端STA 和接入點(diǎn)AP ，AC 和AS ，可以在一般PC 機(jī)上采用軟件實(shí)現(xiàn)，不涉及硬件部分。 STA ，AP ，AC 和AS 各部分的實(shí)現(xiàn)方案如圖2 所示。



圖2 中，陰影部分為需要自主設(shè)計(jì)的模塊，其中較深部分為安全技術(shù)實(shí)現(xiàn)模塊。 STA 和AP 中的802.11 PHY 和802.3 PHY/ MAC 采用現(xiàn)成的網(wǎng)絡(luò)控制和收發(fā)芯片來實(shí)現(xiàn)，802.11 MAC 和加/ 解密模塊在基于嵌入式微處理器的開發(fā)板上實(shí)現(xiàn)。AC 在應(yīng)用層采用軟件實(shí)現(xiàn)。 AS 放在一臺接入局域網(wǎng)的主機(jī)上，采用開放源代碼的Free-Radius ，通過對其進(jìn)行配置，可以充當(dāng)安全無線局域網(wǎng)的服務(wù)器。

AP 的設(shè)計(jì)與實(shí)現(xiàn)

AP 的主要功能

AP 是安全無線局域網(wǎng)中的一個重要設(shè)備，涉及到的軟硬件模塊最多，也是最難實(shí)現(xiàn)的一個設(shè)備。 AP 的實(shí)現(xiàn)是整個安全無線局域網(wǎng)實(shí)現(xiàn)的關(guān)鍵。 AP 提供了STA 與DS 以至于外部網(wǎng)絡(luò)的通信的橋梁和接入點(diǎn)，既要保證通信的流暢和通信的服務(wù)質(zhì)量，又要保證整個網(wǎng)絡(luò)通信的安全性。因此既要實(shí)現(xiàn)基本的STA 接入DS 的功能，又要為安全業(yè)務(wù)的實(shí)現(xiàn)提供必要的支持。

SWLAN 中的AP 包括：

IEEE 802.11 無線網(wǎng)絡(luò)接口：實(shí)現(xiàn)802.11的物理層和MAC 層協(xié)議，用于和無線終端進(jìn)行通信。
IEEE 802.3 有線網(wǎng)絡(luò)端口：實(shí)現(xiàn)802.3的物理層和MAC 層協(xié)議，完成和有線網(wǎng)絡(luò)進(jìn)行有效通信以及相應(yīng)的安全協(xié)議數(shù)據(jù)的傳輸。
協(xié)議轉(zhuǎn)換模塊：實(shí)現(xiàn)IEEE 局域網(wǎng)中的LLC 功能，用于802.3 和802.11 之間的協(xié)議數(shù)據(jù)單元轉(zhuǎn)換功能。同時也必須完成以太網(wǎng)數(shù)據(jù)和無線網(wǎng)絡(luò)數(shù)據(jù)幀格式的轉(zhuǎn)換。

認(rèn)證和密鑰管理模塊：實(shí)現(xiàn)認(rèn)證和密鑰配置功能，用于和無線終端進(jìn)行開放系統(tǒng)認(rèn)證，接收AS 的認(rèn)證結(jié)果和進(jìn)行密鑰配置，從而實(shí)現(xiàn)接入控制的功能。

數(shù)據(jù)加/ 解密模塊：實(shí)現(xiàn)通信中傳輸數(shù)據(jù)的加/ 解密功能，從而對通信中傳輸?shù)臄?shù)據(jù)進(jìn)行有效的保護(hù)。

AP 總體設(shè)計(jì)

安全無線局域網(wǎng)的安全性必須在無線局域網(wǎng)的硬件平臺上實(shí)現(xiàn)，因此，硬件平臺的設(shè)計(jì)必然是整個無線局域網(wǎng)安全性研究的首要工作。由于目前市場上無線局域網(wǎng)MAC 層控制芯片受知識產(chǎn)權(quán)保護(hù)，無法對安全功能進(jìn)行重新改寫，所以，必須自主開發(fā)無線局域網(wǎng)IEEE 802.11 MAC 層控制功能，同時加入新的認(rèn)證機(jī)制和數(shù)據(jù)加密的安全功能，從而實(shí)現(xiàn)整個無線局域網(wǎng)系統(tǒng)的安全性。AP 的結(jié)構(gòu)如圖3 所示。 PHY層的實(shí)現(xiàn)采用了Intersil 公司的物理層套片，而MAC 層協(xié)議的實(shí)現(xiàn)采用基于嵌入式Linux 系統(tǒng)以及嵌入式微處理器MPC860 的硬件開發(fā)板。加/ 解密由FPGA 實(shí)現(xiàn)，內(nèi)部邏輯用硬件描述語言來完成。通過用戶自主開發(fā)的MAC 層來控制無線端口、有線端口的數(shù)據(jù)收發(fā)，控制加/ 解密模塊對數(shù)據(jù)進(jìn)行加/ 解密操作，并且控制認(rèn)證模塊與AC 共同完成安全認(rèn)證接入功能。



基于硬件平臺的MAC 層協(xié)議開發(fā)

AP 要有和AC 通過上層協(xié)議進(jìn)行通信的能力，具有TCP/ IP 的高層協(xié)議棧，并且具有較好的可移植性，因此開發(fā)板的操作系統(tǒng)平臺選擇了嵌入式Linux 操作系統(tǒng)。另外嵌入式微處理器采用了目前廣泛運(yùn)用的通信處理器摩托羅拉公司的MPC860 ，基于這樣的嵌入式系統(tǒng)的開發(fā)作者采用了目前較為流行的交叉編譯方式。交叉編譯調(diào)試環(huán)境建立在宿主機(jī)(即PC 機(jī)) 上，對應(yīng)的硬件開發(fā)板稱作目標(biāo)板，也被稱為宿主機(jī)目標(biāo)板開發(fā)模式。開發(fā)的軟件使用宿主機(jī)上的交叉編譯、匯編及連接工具形成可執(zhí)行的二進(jìn)制代碼(這種可執(zhí)行代碼不能在宿主機(jī)上執(zhí)行，只能在目標(biāo)板上執(zhí)行) 。然后把可執(zhí)行文件下載到硬件開發(fā)板上，應(yīng)用程序作為可執(zhí)行程序加載后運(yùn)行，這樣IEEE 802.11 MAC 控制就可以在MPC860 開發(fā)板上實(shí)現(xiàn)。

MAC 層數(shù)據(jù)包收發(fā)的實(shí)現(xiàn)

整個系統(tǒng)由發(fā)送和接收2 條主線構(gòu)成。上層(LLC) 的數(shù)據(jù)通過數(shù)據(jù)通路進(jìn)入MAC 層功能實(shí)體，到達(dá)包隊(duì)列模塊，并在這個緩存中暫時存儲。當(dāng)實(shí)載波和虛載波的發(fā)送條件都滿足時，發(fā)送協(xié)調(diào)模塊就會從中取走一個包來發(fā)送，當(dāng)都不滿足發(fā)送條件時，需要通過退避模塊來完成必要的退避，從發(fā)送協(xié)調(diào)模塊出來的數(shù)據(jù)在數(shù)據(jù)緩沖區(qū)中被送到物理層的無線收發(fā)器發(fā)送出去。

數(shù)據(jù)的接收過程正好與之相反，由無線的物理層的收發(fā)控制芯片接收數(shù)據(jù)，由信道檢測模塊來檢測信道狀態(tài)，它直接從接收機(jī)那里得到實(shí)載波的信息，并且從接收到的數(shù)據(jù)包中得到虛載波信息，發(fā)送與否取決于它的判斷，數(shù)據(jù)單元過濾模塊對收到的數(shù)據(jù)進(jìn)行過濾，對不同的序列號和碎片號的數(shù)據(jù)幀過濾，接收協(xié)調(diào)模塊和發(fā)送協(xié)調(diào)模塊共同組成了802.11 MAC 層協(xié)議的核心部分。

數(shù)據(jù)包加/ 解密的實(shí)現(xiàn)

IEEE 802.11 協(xié)議的基于RC4 加密算法的WEP 加密體制已經(jīng)被證明存在安全漏洞。因此SWLAN 針對加密算法進(jìn)行了改進(jìn)，提供了WEP改進(jìn)的TKIP 以及基于AES 算法的加密套件的可選模式。由于算法的復(fù)雜性，軟件實(shí)現(xiàn)在速度上不能滿足需求，為了解決這一瓶頸問題，本文把加/ 解密模塊集成在MAC 層內(nèi)部，自己開發(fā)專用芯片來實(shí)現(xiàn)。 FPGA 是一類適合于開發(fā)AES 芯片的硬件設(shè)備，因?yàn)锳ES 中含有大量可并行處理的運(yùn)算步驟，而并行處理正是FPGA 相對微處理器最大的優(yōu)勢。

在硬件系統(tǒng)中增加了加/ 解密算法的硬件設(shè)備，還要在操作系統(tǒng)內(nèi)核中加入為設(shè)備編寫的設(shè)備驅(qū)動程序，提供操作系統(tǒng)內(nèi)核和硬件設(shè)備之間的接口。設(shè)備驅(qū)動程序?yàn)閼?yīng)用程序屏蔽了硬件的細(xì)節(jié)，這樣在應(yīng)用程序看來，硬件設(shè)備只是一個設(shè)備文件，應(yīng)用程序可以像操作普通文件一樣對硬件設(shè)備進(jìn)行操作。因此數(shù)據(jù)收發(fā)模塊可以通過調(diào)用硬件驅(qū)動程序的方式，在數(shù)據(jù)發(fā)送之前將媒體控制層的數(shù)據(jù)幀進(jìn)行加密;相應(yīng)地在收到來自無線信道的數(shù)據(jù)后，在解析數(shù)據(jù)之前對數(shù)據(jù)包進(jìn)行解密，其中密鑰的分配則按照802.1x 協(xié)議中規(guī)定的密鑰管理機(jī)制。

SWLAN 中改進(jìn)的認(rèn)證過程的實(shí)現(xiàn)

由STA 廣播連接請求，所在區(qū)域的AP 向STA 發(fā)送連接應(yīng)答消息，并在應(yīng)答消息中聲明所支持的802.1x 認(rèn)證和所有數(shù)據(jù)保護(hù)方法; STA 向建立連接的AP 發(fā)送IEEE 802。11 的開放系統(tǒng)認(rèn)證請求消息;AP 向建立連接的STA 發(fā)送IEEE802.11 的開放系統(tǒng)認(rèn)證應(yīng)答消息; 通過IEEE802.11 開放系統(tǒng)認(rèn)證后， STA 向AP 發(fā)送建立安全關(guān)聯(lián)的請求，并在安全關(guān)聯(lián)請求消息中聲明支持802.1x 認(rèn)證和選定的數(shù)據(jù)保護(hù)方法。

AP 收到STA 的安全關(guān)聯(lián)請求后，向AC 發(fā)送802.1x 認(rèn)證請求消息，請求AC 采用802.1x 認(rèn)證協(xié)議，利用AS 對STA 進(jìn)行認(rèn)證，如果認(rèn)證成功，將在AS 和STA 之間建立相互的信任關(guān)系，并建立對等主密鑰PMK，再根據(jù)由有線協(xié)議保證的AS ，AC 和AP 之間的相互信任關(guān)系，實(shí)現(xiàn)了AP 與STA 之間的相互認(rèn)證;AS 將STA 的PMK發(fā)送給AC ，AC 登記STA 的關(guān)聯(lián)信息和PMK 信息后，將PMK發(fā)送給AP ;AP 收到PMK后采用802.1x 密鑰管理協(xié)議的4 步握手協(xié)議，在STA 與AP 之間協(xié)商對等臨時密鑰PTK;AP 再通過組密鑰分配協(xié)議分配組臨時密鑰GTK;如果以上802.1x 認(rèn)證和密鑰管理協(xié)議成功，AP 向STA 發(fā)送安全關(guān)聯(lián)成功應(yīng)答消息，這樣AP 與STA 就可以建立安全的關(guān)聯(lián)，并且通過GTK 進(jìn)行通信。否則AP 向STA 發(fā)送安全關(guān)聯(lián)失敗應(yīng)答消息。

這里引入的AC 與AP 共同構(gòu)成了接入控制系統(tǒng)，并在AC 上軟件實(shí)現(xiàn)802.1x 認(rèn)證協(xié)議中認(rèn)證者的角色，不僅降低了AP 的硬件復(fù)雜度，而且為AP 與AC 建立安全隧道提供了基于IEEE 802.1x協(xié)議的解決方案。此外，充分利用IEEE 802.11 協(xié)議中原有的關(guān)聯(lián)服務(wù)，將802.1x 認(rèn)證協(xié)議、4 步握手協(xié)議和組密鑰分配協(xié)議歸入建立安全關(guān)聯(lián)的過程中，也是對原有協(xié)議的改進(jìn)。

SWLAN 的安全認(rèn)證及接入過程中，采用802.1x 認(rèn)證協(xié)議和802.1x 密鑰管理的4 步握手協(xié)議，增強(qiáng)了認(rèn)證和密鑰管理的安全強(qiáng)度，實(shí)現(xiàn)了動態(tài)的密鑰分配，并且允許不修改現(xiàn)有標(biāo)準(zhǔn)MAC層的前提下引入更強(qiáng)的認(rèn)證方案，這樣不僅避免了對已有MAC 層硬件技術(shù)做太大的改動，而且增強(qiáng)了認(rèn)證和密鑰管理方案的靈活性和可擴(kuò)展性，便于選擇更安全可靠的認(rèn)證協(xié)議。

利用多線程和消息隊(duì)列的軟件設(shè)計(jì)方法

本系統(tǒng)的MAC 層協(xié)議的開發(fā)是基于嵌入式Linux 操作系統(tǒng)進(jìn)行軟件開發(fā)的。 Linux 系統(tǒng)本身開放源代碼，正在被廣泛運(yùn)用于嵌入式系統(tǒng)中。另外，Linux 提供了豐富的線程庫，并且規(guī)定了嚴(yán)格的線程同步通信機(jī)制，而線程的優(yōu)點(diǎn)就是能用盡量小的系統(tǒng)開銷實(shí)現(xiàn)多任務(wù)，因此在嵌入式Linux 系統(tǒng)開發(fā)也是從線程的角度來考慮任務(wù)處理。

在軟件開發(fā)的過程中，整個軟件體系按各個功能模塊劃分，它們是并行運(yùn)行的任務(wù)，需要并發(fā)地執(zhí)行，這就需要操作系統(tǒng)上執(zhí)行多任務(wù)操作。而且各個功能模塊并不是獨(dú)立運(yùn)行的，它們之間需要進(jìn)行實(shí)時的消息通信，即信號交互，此外消息還要攜帶信息(例如需要被處理的數(shù)據(jù)包、STA 目前的狀態(tài)、AP 是否處于競爭期等) ，另一個正在運(yùn)行的模塊一旦讀到了此消息，就要根據(jù)信號的不同類型而做相應(yīng)的處理，或者進(jìn)行狀態(tài)的切換。模塊與模塊之間(線程間) 信號交互需要運(yùn)用Linux 系統(tǒng)進(jìn)程間通信的方法，這也是軟件設(shè)計(jì)的重點(diǎn)與難點(diǎn)所在。Linux 系統(tǒng)中的IPC (interprocess communication) 函數(shù)提供了系統(tǒng)中多個進(jìn)程之間相互通信的方法，包括管道、命名管道、消息隊(duì)列、信號量、共享存儲區(qū)等。

基于對軟件需求的分析以及Linux 系統(tǒng)IPC 機(jī)制的分析，軟件設(shè)計(jì)采用了多線程編程，用線程與各功能模塊相對應(yīng)，各線程并發(fā)地執(zhí)行，它們之間利用消息隊(duì)列來進(jìn)行消息通信。多線程之間還牽涉到一個同步的問題，本文使用了互斥鎖和信號量。互斥鎖mutex 是一種簡單的加鎖方法來控制共享資源的存取。但它只有2 個狀態(tài):鎖定和非鎖定。而信號量通過允許線程阻塞和等待另一個線程的信號方法，彌補(bǔ)了mutex 的不足，當(dāng)接收到一個信號時，阻塞線程將會被喚醒，并試圖獲得相關(guān)的mutex 鎖。通過信號量的使用實(shí)現(xiàn)了線程同步機(jī)制。

結(jié)語

本文在IEEE 802.11 標(biāo)準(zhǔn)以及IEEE 802.1x協(xié)議的基礎(chǔ)上提出了安全無線局域網(wǎng)系統(tǒng)，改進(jìn)了現(xiàn)有IEEE 802.11 標(biāo)準(zhǔn)的接入控制方法和加密方法。同時本文還闡述了其關(guān)鍵技術(shù)和實(shí)現(xiàn)方法。SWLAN 通過增強(qiáng)了IEEE 802.11 的媒體接入控制功能，提高了無線局域網(wǎng)的安全性。同時，考慮到新的安全接入控制方案對原有無線局域網(wǎng)的影響，本系統(tǒng)結(jié)合了IEEE 802.11 的已有功能，使得對現(xiàn)有設(shè)備的改進(jìn)更為方便，降低了新的接入控制方法對原有無線局域網(wǎng)性能的影響。

本文地址：http://m.qingdxww.cn/thread-18201-1-1.html 【打印本頁】

本站部分文章為轉(zhuǎn)載或網(wǎng)友發(fā)布，目的在于傳遞和分享信息，并不代表本網(wǎng)贊同其觀點(diǎn)和對其真實(shí)性負(fù)責(zé)；文章版權(quán)歸原作者及原出處所有，如涉及作品內(nèi)容、版權(quán)和其它問題，我們將根據(jù)著作權(quán)人的要求，第一時間更正或刪除。

網(wǎng)友評論

貿(mào)澤電子有獎問答視頻，答對領(lǐng)10元微信紅包

廠商推薦

快速回復(fù) 返回頂部 返回列表

国产毛片a精品毛-国产毛片黄片-国产毛片久久国产-国产毛片久久精品-青娱乐极品在线-青娱乐精品

安全無線局域網(wǎng)增強(qiáng)媒體接入控制功能的關(guān)鍵技術(shù)及實(shí)現(xiàn)

相關(guān)文章

網(wǎng)友評論

廠商推薦