摘要：在深入研究ieee 802.11 标准和无线局域网有关安全协议的基础上提出了改进的安全无线局域网(swlan) 模型，及其基于嵌入式硬件系统的实现方案。 swlan 采用新的接入控制方法，通过在mac(medium access cont rol) 层增加了改进的基于ieee 802.1x 的认证机制以及基于tkip(temporal key integrity protocol) 和aes(advanced encryption standard) 的加密机制，增强了mac 层的安全控制功能，从而提高了无线局域网的安全性。 本文着重分析了swlan 的核心设备接入点(ap) 的功能结构与关键技术，以及mac 层的设计方法和实现方案，对整个无线局域网安全系统的实现具有重要的意义。

　　关键词：安全无线局域网；接入点；ieee 802.11；mac；嵌入式系统

　　无线局域网是高速发展的无线通信技术在计算机网络中的应用，为通信的移动化、个人化和多媒体应用提供了实现的手段。 随着无线局域网技术的高速发展，无线局域网的应用越来越广泛，对其安全性也提出了更高的要求。 为解决现有无线局域网标准中存在的安全问题， 在深入研究ieee802.11 标准、ieee 802.1x 协议以及ieee802.11i 草案的基础上，提出了安全无线局域网(secure wlan ，swlan) 的概念，在现有的ieee802.11 协议中加入了新的接入控制方法， 采用802.1x 认证和密钥管理协议以及tkip 和aes 加密套件，增强了wlan 的媒体接入控制功能，并且提供了许多在基本的ieee 802.11 体系中没有的安全措施， 包括安全性能协商、为ap 和sta 提供增强的认证机制、合理的密钥管理方案、动态分配密钥、增强的数据加密和封装机制、管理和控制帧的保护等，从而增强了当前802.11 的媒体接入控制功能以改进无线局域网的安全性 。

安全无线局域网概述

swlan 构建

　　ieee 802.11 协议逻辑上将无线媒质( wireless medium ， wm ) 与分布系统媒质(dist ribution system medium ，dsm) 区分开来 。 逻辑媒质的多样性使得网络结构具有充分的灵活性。ieee 802. 11 协议没有规定分布式系统(ds) 的媒介，在安全无线局域网中本文采用了技术发展相对较成熟的有线网络作为ds 的媒介。 根据组网原理，swlan 主要由以下部分组成: sta ，ap ，ac和as ，分别为无线终端、接入点、认证接入控制器和认证服务器 。 其最简单的构成如图1 所示。 本文在ieee 802.11 的ess 网络结构中的ds 中增加了实现接入控制业务的设备ac ， 以及实现802.1x 认证模式的认证服务器设备as ;sta 是移动用户终端设备，实现用户侧的安全接入控制功能;ap 是无线局域网接入服务的提供者，实现安全接入控制的授权功能和密钥管理功能;as 是认证服务器设备，提供了服务器侧安全接入控制的认证功能;ac 处于ap 与as 之间，用于登记认证中as 对sta 的认证结果以及sta 与ap 之间的安全关联信息 。

swlan 的关键技术

　　swlan 的关键技术主要包括安全认证技术、加密技术及密钥管理技术和wlan 技术。

安全认证技术：通过ieee 802.1x、eap协议、radius 协议的验证，确认信息的发送者是否合法而不是冒充者，验证消息的完整性，防止非法用户的入侵以及恶意攻击者的主动攻击，对于开放环境中的无线局域网系统的安全性具有重要的意义。

　　加密技术及密钥管理技术：应用对称密码、公钥密码和密钥管理来隐蔽和保护需要保密的信息。 swlan 中支持基于rc4 的tkip 和基于aes的aes-ocb 以及aes-ccm。 tkip 是现有wep(wired equivalent privacy) 的改进版，克服了wep中已知的安全漏洞，仍采用流加密模式。 aes-ocb和aes2ccm 是采用不同加密模式的基于aes 的加密套件。

　　wlan 技术：计算机网络与无线通信技术相结合的产物，主要包括mac 层和物理层技术。 通过对无线局域网媒体访问接入控制、流量控制、数据传输速率控制和服务质量控制等， 将swlan 在802.11 协议功能的基础上进行扩展和改进，从而使整个网络通信的性能达到更好的状态。

　基于嵌入式系统的swlan 整体方案

　　无线局域网中的硬件设备主要有无线终端sta 和接入点ap ，ac 和as ，可以在一般pc 机上采用软件实现，不涉及硬件部分。 sta ，ap ，ac 和as 各部分的实现方案如图2 所示。

　　图2 中，阴影部分为需要自主设计的模块，其中较深部分为安全技术实