无线局域网是高速发展的无线通信技术在计算机网络中的应用,为通信的移动化、个人化和多媒体应用提供了实现的手段。 随着无线局域网技术的高速发展,无线局域网的应用越来越广泛,对其安全性也提出了更高的要求。为解决现有无线局域网标准中存在的安全问题, 在深入研究IEEE802.11 标准、IEEE 802.1x 协议以及IEEE802.11i 草案的基础上,提出了安全无线局域网(secure WLAN ,SWLAN) 的概念,在现有的IEEE802.11 协议中加入了新的接入控制方法, 采用802.1x 认证和密钥管理协议以及TKIP 和AES 加密套件,增强了WLAN 的媒体接入控制功能,并且提供了许多在基本的IEEE 802.11 体系中没有的安全措施, 包括安全性能协商、为AP 和STA 提供增强的认证机制、合理的密钥管理方案、动态分配密钥、增强的数据加密和封装机制、管理和控制帧的保护等,从而增强了当前802.11 的媒体接入控制功能以改进无线局域网的安全性 。
安全无线局域网概述
SWLAN 构建
IEEE 802.11 协议逻辑上将无线媒质( wireless medium , WM ) 与分布系统媒质(dist ribution system medium ,DSM) 区分开来 。 逻辑媒质的多样性使得网络结构具有充分的灵活性。IEEE 802. 11 协议没有规定分布式系统(DS) 的媒介,在安全无线局域网中本文采用了技术发展相对较成熟的有线网络作为DS 的媒介。 根据组网原理,SWLAN 主要由以下部分组成: STA ,AP ,AC和AS ,分别为无线终端、接入点、认证接入控制器和认证服务器 。 其最简单的构成如图1 所示。本文在IEEE 802.11 的ESS 网络结构中的DS 中增加了实现接入控制业务的设备AC , 以及实现802.1x 认证模式的认证服务器设备AS ;STA 是移动用户终端设备,实现用户侧的安全接入控制功能;AP 是无线局域网接入服务的提供者,实现安全接入控制的授权功能和密钥管理功能;AS 是认证服务器设备,提供了服务器侧安全接入控制的认证功能;AC 处于AP 与AS 之间,用于登记认证中AS 对STA 的认证结果以及STA 与AP 之间的安全关联信息 。
SWLAN 的关键技术
SWLAN 的关键技术主要包括安全认证技术、加密技术及密钥管理技术和WLAN 技术。
安全认证技术:通过IEEE 802.1x、EAP协议、RADIUS 协议的验证,确认信息的发送者是否合法而不是冒充者,验证消息的完整性,防止非法用户的入侵以及恶意攻击者的主动攻击,对于开放环境中的无线局域网系统的安全性具有重要的意义。
加密技术及密钥管理技术:应用对称密码、公钥密码和密钥管理来隐蔽和保护需要保密的信息。 SWLAN 中支持基于RC4 的TKIP 和基于AES的AES-OCB 以及AES-CCM。 TKIP 是现有WEP(wired equivalent privacy) 的改进版,克服了WEP中已知的安全漏洞,仍采用流加密模式。 AES-OCB和AES2CCM 是采用不同加密模式的基于AES 的加密套件。
WLAN 技术:计算机网络与无线通信技术相结合的产物,主要包括MAC 层和物理层技术。 通过对无线局域网媒体访问接入控制、流量控制、数据传输速率控制和服务质量控制等, 将SWLAN 在802.11 协议功能的基础上进行扩展和改进,从而使整个网络通信的性能达到更好的状态。
基于嵌入式系统的SWLAN 整体方案
无线局域网中的硬件设备主要有无线终端STA 和接入点AP ,AC 和AS ,可以在一般PC 机上采用软件实现,不涉及硬件部分。 STA ,AP ,AC 和AS 各部分的实现方案如图2 所示。
图2 中,阴影部分为需要自主设计的模块,其中较深部分为安全技术实现模块。 STA 和AP 中的802.11 PHY 和802.3 PHY/ MAC 采用现成的网络控制和收发芯片来实现,802.11 MAC 和加/ 解密模块在基于嵌入式微处理器的开发板上实现。AC 在应用层采用软件实现。 AS 放在一台接入局域网的主机上,采用开放源代码的Free-Radius ,通过对其进行配置,可以充当安全无线局域网的服务器。
AP 的设计与实现
AP 的主要功能
AP 是安全无线局域网中的一个重要设备,涉及到的软硬件模块最多,也是最难实现的一个设备。 AP 的实现是整个安全无线局域网实现的关键。 AP 提供了STA 与DS 以至于外部网络的通信的桥梁和接入点,既要保证通信的流畅和通信的服务质量,又要保证整个网络通信的安全性。因此既要实现基本的STA 接入DS 的功能,又要为安全业务的实现提供必要的支持。
SWLAN 中的AP 包括:
IEEE 802.11 无线网络接口:实现802.11的物理层和MAC 层协议,用于和无线终端进行通信。
IEEE 802.3 有线网络端口:实现802.3的物理层和MAC 层协议,完成和有线网络进行有效通信以及相应的安全协议数据的传输。
协议转换模块:实现IEEE 局域网中的LLC 功能,用于802.3 和802.11 之间的协议数据单元转换功能。 同时也必须完成以太网数据和无线网络数据帧格式的转换。
认证和密钥管理模块:实现认证和密钥配置功能,用于和无线终端进行开放系统认证,接收AS 的认证结果和进行密钥配置,从而实现接入控制的功能。
数据加/ 解密模块:实现通信中传输数据的加/ 解密功能,从而对通信中传输的数据进行有效的保护。
AP 总体设计
安全无线局域网的安全性必须在无线局域网的硬件平台上实现,因此,硬件平台的设计必然是整个无线局域网安全性研究的首要 工作。 由于目前市场上无线局域网MAC 层控制芯片受知识产权保护,无法对安全功能进行重新改写,所以,必须自主开发无线局域网IEEE 802.11 MAC 层控制功能,同时加入新的认证机制和数据加密的安全功能,从而实现整个无线局域网系统的安全性。AP 的结构如图3 所示。 PHY层的实现采用了Intersil 公司的物理层套片,而MAC 层协议的实现采用基于嵌入式Linux 系统以及嵌入式微处理器MPC860 的硬件开发板。 加/ 解密由FPGA 实现,内部逻辑用硬件描述语言来完成。 通过用户自主开发的MAC 层来控制无线端口、有线端口的数据收发,控制加/ 解密模块对数据进行加/ 解密操作,并且控制认证模块与AC 共同完成安全认证接入功能。
基于硬件平台的MAC 层协议开发
AP 要有和AC 通过上层协议进行通信的能力,具有TCP/ IP 的高层协议栈,并且具有较好的可移植性,因此开发板的操作系统平台选择了嵌入式Linux 操作系统。 另外嵌入式微处理器采用了目前广泛运用的通信处理器摩托罗拉公司的MPC860 ,基于这样的嵌入式系统的开发作者采用了目前较为流行的交叉编译方式。 交叉编译调试环境建立在宿主机(即PC 机) 上,对应的硬件开发板称作目标板,也被称为宿主机目标板开发模式。开发的软件使用宿主机上的交叉编译、汇编及连接工具形成可执行的二进制代码(这种可执行代码不能在宿主机上执行,只能在目标板上执行) 。 然后把可执行文件下载到硬件开发板上,应用程序作为可执行程序加载后运行,这样IEEE 802.11 MAC 控制就可以在MPC860 开发板上实现。
MAC 层数据包收发的实现
整个系统由发送和接收2 条主线构成。 上层(LLC) 的数据通过数据通路进入MAC 层功能实体,到达包队列模块,并在这个缓存中暂时存储。 当实载波和虚载波的发送条件都满足时,发送协调模块就会从中取走一个包来发送,当都不满足发送条件时,需要通过退避模块来完成必要的退避,从发送协调模块出来的数据在数据缓冲区中被送到物理层的无线收发器发送出去。
数据的接收过程正好与之相反,由无线的物理层的收发控制芯片接收数据,由信道检测模块来检测信道状态,它直接从接收机那 里得到实载波的信息,并且从接收到的数据包中得到虚载波信息,发送与否取决于它的判断,数据单元过滤模块对收到的数据进行过滤,对不同的序列号和碎片号的数据帧过滤,接收协调模块和发送协调模块共同组成了802.11 MAC 层协议的核心部分。
数据包加/ 解密的实现
IEEE 802.11 协议的基于RC4 加密算法的WEP 加密体制已经被证明存在安全漏洞。 因此SWLAN 针对加密算法进行了改进,提供了WEP改进的TKIP 以及基于AES 算法的加密套件的可选模式。由于算法的复杂性,软件实现在速度上不能满足需求,为了解决这一瓶颈问题,本文把加/ 解密模块集成在MAC 层内部,自己开发专用芯片来实现。 FPGA 是一类适合于开发AES 芯片的硬件设备,因为AES 中含有大量可并行处理的运算步骤,而并行处理正是FPGA 相对
