91550部隊 倪澎濤

1.前言

當(dāng)今無線局域網(wǎng)能夠廣泛的被人們應(yīng)用，主要依賴于其本身的迅猛發(fā)展。由于移動服務(wù)的連續(xù)性，因而必須要保證切入點之間頻繁的而又快速的切換。此外，無線網(wǎng)絡(luò)在安全認(rèn)證過程中也會讓切換時延加長，所以很多協(xié)議都被提了出來，主要就是能夠更好的解決安全切換延時這一迫切問題。實現(xiàn)安全快速切換協(xié)議是對延時進(jìn)行驗證、測試的重要方法。筆者在研究現(xiàn)有的無線局域網(wǎng)安全快速切換協(xié)議的基礎(chǔ)之上，通過分析WSFHP這一種新的安全快速切換協(xié)議，設(shè)計并實現(xiàn)了WLAN（無線局域網(wǎng)）的安全快速切換系統(tǒng)。

2.WLAN安全快速切換系統(tǒng)描述與體系結(jié)構(gòu)

對于WLAN的快速切換系統(tǒng)，是由申請者、認(rèn)證者、認(rèn)證服務(wù)器這三種網(wǎng)絡(luò)實體構(gòu)成的。申請者是支持快速切換功能的終端；認(rèn)證者則是支持快速切換的AP；而認(rèn)證服務(wù)器又是采用RADIUS服務(wù)器實行認(rèn)證、授權(quán)和計費的。想要進(jìn)行軟件升級，無需使用其他新的硬件設(shè)備，因為系統(tǒng)本身會利用現(xiàn)有的WLAN網(wǎng)絡(luò)，并在硬件上采用與WLAN相同的設(shè)備即可達(dá)成。認(rèn)證者（即支持快速切換功能的AP）和認(rèn)接并同時為支持快速切換功能的網(wǎng)絡(luò)終端提供網(wǎng)絡(luò)接入服務(wù)的?？蛻舳耸峭ㄟ^802.11無線邏輯鏈路連接AP端，AP端則又是通過以太網(wǎng)邏輯鏈路來連接認(rèn)證服務(wù)器，這就是WLAN安全快速切換系統(tǒng)的體系。安全協(xié)議向EAP協(xié)議進(jìn)行傳輸，是在進(jìn)行終端接入和快速切換之時，客戶端與AP之間的EAP流連接，是通過EAPOL協(xié)議完成的；而AP與認(rèn)證服務(wù)器的連接，則是通過RADIUS協(xié)議來實現(xiàn)。

客戶端一個軟件模塊，其作用在于實現(xiàn)安全協(xié)議申請者角色，可使移動終端在無線局域網(wǎng)環(huán)境中安全接入相應(yīng)的網(wǎng)絡(luò)，也可以能夠使并民在小同的BSS間進(jìn)行安全快速的切換，但不會影響到正常的服務(wù)使用?？蛻舳酥阅軌蚪鉀Q終端安全接入和快速切換問題，是因為它可以通過軟件模塊形式精細(xì)的部署到windows平臺與linux平臺的。AP可以讓使WLAN中AP支持快速切換功能，并支持移動終端在各個不同的BSS間安全切換，是因為安全協(xié)議認(rèn)證者角色是由它來實現(xiàn)的。認(rèn)證服務(wù)器端實現(xiàn)了安全協(xié)議認(rèn)證服務(wù)器的角色，為安全認(rèn)證及快速切換提供了有力的支持，則是使用了RADIUS服務(wù)器。通過代理形式，各個服務(wù)器間可以解決不同移動域間的漫游問題。

3.新的安全切換協(xié)議

考慮到用戶在高速移動中服務(wù)質(zhì)量的問題和網(wǎng)絡(luò)接入的安全性，勢必為無線局域網(wǎng)重新設(shè)計另一種新的更具特點的協(xié)議。

這樣的新型協(xié)議要滿足下面五點：

(l)要滿足最基本的安全接入和通信加密要求。

(2)為防止中間人攻擊和會話劫持攻擊，必須采用雙向認(rèn)證。

(3)能夠減少移動終端在無線訪問節(jié)點(AP)間切換的時延。

(4)認(rèn)證交互過程要簡單、高效。

(5)容易實現(xiàn)，具有很好的可擴(kuò)展性和兼容性。

為了滿足能夠滿足上面幾點要求，筆者在這提出了一種新的安全快速切換協(xié)議，就是WSP一H，協(xié)議有下面幾個特點：

(l)基于802.lx一EAP認(rèn)證框架，安全性高，協(xié)議容易實現(xiàn)。

(2)基于RADIUS服務(wù)器，保證安全性，滿足大規(guī)模的網(wǎng)絡(luò)環(huán)境需求。

(3)客戶端、AP、服務(wù)器三者間的認(rèn)證交互過程采取證書進(jìn)行雙向認(rèn)證，其目的在于防止中間人攻擊或是會話劫持攻擊，提高安全級別。

(4)具有簡單高效的認(rèn)證交互過程。

雖然STA和AP之間信任關(guān)系是通過AS來傳遞的，但STA和AP之間的共享密鑰AS是得不到，這是因為在協(xié)議中進(jìn)行了兩次不相同的DH密鑰交換(STA和AS，STA和AP)。但是在802.11i中，AP所得到的密鑰是AS通過安全信道發(fā)送的，所以也就知道了STA和AP之間的共享密鑰，同時，協(xié)議也實現(xiàn)了STA和AP之間的顯式密鑰認(rèn)證，STA和AS間的也一樣。由此可知，協(xié)議執(zhí)行的效率得以提高，設(shè)備接入的響應(yīng)時間得以縮短，在于新的STA在通過新的認(rèn)證協(xié)議接入到無線網(wǎng)絡(luò)之后，已經(jīng)不需要以前的四步握手進(jìn)行STA和AP之間的基于共享密鑰的顯式密鑰認(rèn)證了。

4.總結(jié)

本文就WLAN安全快速切換系統(tǒng)描述與體系結(jié)構(gòu)發(fā)表自己的觀點，主要對申請者、認(rèn)證者、認(rèn)證服務(wù)器這三種網(wǎng)絡(luò)實體進(jìn)行分析。接著提出了一種新型的網(wǎng)絡(luò)協(xié)議，并提出了新型協(xié)議的滿足條件和幾個特點。

因為無線網(wǎng)絡(luò)快速切換是一項極其復(fù)雜、很具挑戰(zhàn)的系統(tǒng)工程，所以學(xué)習(xí)不是一朝一夕的事情。由于時間和其他原因的限制，筆者沒能更好地、更詳細(xì)地分析是否還有其他因素的影響。但愿自己在以后的工作中能夠想更多優(yōu)秀的同行學(xué)習(xí)，集大成智慧，設(shè)計出更加高效的WLAN快速切換系統(tǒng)。

[1]羅超.基于AP的wLAN快速切換機(jī)制研究[D].2010,1.

[2]汪麗萍.基于WIM[AX技術(shù)寬帶無線網(wǎng)絡(luò)下切換策略的研究[D].2007,3.

[3]時振宇,李昭.徐恪.基于虛擬接口的802.11網(wǎng)絡(luò)切換技術(shù)[J].計算機(jī)工程,2008(1):111-113.

[4]沈嬌,陳俊,李海城.異構(gòu)無線網(wǎng)絡(luò)垂直切換技術(shù)研究[J].計算機(jī)技術(shù)與發(fā)展,2010(11):209-213.

[5]李慧奇,鄒正英,張琴等.基于MPLS無線接入網(wǎng)中的快速切換[J].郵電設(shè)計技術(shù),2011(2):66-69.