專利名稱:基于eap的ieee802.1x安全協(xié)議的仿真平臺(tái)及方法
技術(shù)領(lǐng)域:
本發(fā)明屬于無(wú)線局域網(wǎng)WLAN安全協(xié)議的仿真測(cè)試領(lǐng)域�����,涉及如今WLAN使
用的安全認(rèn)證協(xié)議之--基于EAP的IEEE802.1X標(biāo)準(zhǔn)�,具體就是一種基于EAP
的IEEE802.1X安全協(xié)議的仿真平臺(tái)及方法�。
背景技術(shù):
最近幾年,WLAN開(kāi)始在局域網(wǎng)市場(chǎng)中獨(dú)霸一方�。越來(lái)越多的機(jī)構(gòu)發(fā)現(xiàn)WLAN 是傳統(tǒng)有線局域網(wǎng)不可缺少的好助手,它可以滿足人們對(duì)移動(dòng)����、布局變動(dòng)和自組網(wǎng) 絡(luò)的需求,并能覆蓋難以鋪設(shè)有線網(wǎng)絡(luò)的地域�。隨著WLAN的高速發(fā)展,各種 IEEE802.11x標(biāo)準(zhǔn)不斷被更新�����,新的無(wú)線網(wǎng)絡(luò)架構(gòu)和技術(shù)也不斷被提出�,這其中就 包括WLAN的安全技術(shù)。
WLAN通過(guò)射頻在空間傳播而非電纜傳輸����,信息很容易擴(kuò)散到希望被接收的范 圍之外,這使得安全保護(hù)裝置���,甚至防火墻都無(wú)能為力�。因此��,在設(shè)計(jì)與部署WLAN 時(shí)需要采用一種不同于有線網(wǎng)絡(luò)的安全保護(hù)機(jī)制�。WLAN的安全性包括兩個(gè)方面 訪問(wèn)控制和保密性。訪問(wèn)控制確保敏感的數(shù)據(jù)僅由獲得授權(quán)的用戶訪問(wèn)�,保密性則 確保傳送的數(shù)據(jù)只被目標(biāo)接收人接收和處理。
IEEE802.11b標(biāo)準(zhǔn)定義了兩種機(jī)理來(lái)提供WLAN的訪問(wèn)控制和保密服務(wù)配置 標(biāo)識(shí)符(SSID)和有線等效保密(WEP)���。在SSID機(jī)理中�����,提供口令認(rèn)證機(jī)制���, SSID是一個(gè)簡(jiǎn)單的口令�����;但其安全性并不好��,因?yàn)榻尤朦c(diǎn)AP常在自己的信標(biāo)中廣 播SSID��。
有線等效保密(WEP)被IEEE802.11b標(biāo)準(zhǔn)規(guī)定為可選加密方案�����,提供了確保 WLAN數(shù)據(jù)流的機(jī)制�����。WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動(dòng)態(tài)密鑰��。這 意味著�����,為了更新密鑰�����,IT人員必須親自訪問(wèn)每臺(tái)機(jī)器���,而這在學(xué)術(shù)環(huán)境和公共場(chǎng) 所是不可能的�。另一種辦法是讓密鑰保持不變��,而這會(huì)使用戶容易受到攻擊�?��?偟?來(lái)說(shuō)�,為了確保WLAN的安全性����,其安全方案應(yīng)做到
* WLAN身份驗(yàn)證基于與設(shè)備獨(dú)立的項(xiàng)目,如用戶名和口令等���,不論在哪一部客
戶機(jī)上運(yùn)行����,這些項(xiàng)目都由用戶擁有和使用���。
*支持客戶機(jī)和驗(yàn)證(RADIUS)服務(wù)器之間的雙向身份驗(yàn)證�����。 *使用由用戶身份驗(yàn)證動(dòng)態(tài)產(chǎn)生的WEP密鑰�,并不是和客戶機(jī)物理相關(guān)的靜態(tài)密 鑰。
*支持基于會(huì)話的WEP密鑰�。
第一代WLAN安全性能依賴于訪問(wèn)控制和保密的靜態(tài)WEP密鑰,它并不能解 決以上這些需求��。我們所需要的WLAN安全解決方案���,應(yīng)該利用基于標(biāo)準(zhǔn)的和開(kāi)放 的結(jié)構(gòu)��,充分利用802.11b安全部件���,提供最高級(jí)別的可用安全性,實(shí)現(xiàn)從一個(gè)中 央控制點(diǎn)進(jìn)行有效的安全管理����。一個(gè)對(duì)安全做出承諾的安全解決方案應(yīng)該遵循IEEE 提案中的關(guān)鍵內(nèi)容,這個(gè)提案由Cisco���、 Microsoft和其它公司聯(lián)合提出�����。它的中心 問(wèn)題集中在以下幾個(gè)方面
*可擴(kuò)展認(rèn)證協(xié)議(EAP)����,是使無(wú)線客戶機(jī)適配器與RADIUS服務(wù)器進(jìn)行通信
的遠(yuǎn)程訪問(wèn)撥號(hào)用戶服務(wù)(RADIUS)的擴(kuò)展。
* IEEE 802.1X�����,端口訪問(wèn)控制技術(shù)���,用于控制端口通信。
當(dāng)無(wú)線客戶機(jī)與接入點(diǎn)AP關(guān)聯(lián)后�,是否可以使用接入點(diǎn)AP的服務(wù)要取決于 IEEE802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過(guò)����,則接入點(diǎn)AP為無(wú)線客戶機(jī)打開(kāi)這個(gè)邏輯 端口,否則不允許用戶上網(wǎng)��。
EAP和正EE802.1X在遵循WEP的基礎(chǔ)上�,提供了一個(gè)集中管理、基于標(biāo)準(zhǔn)���、 開(kāi)放的方法來(lái)解決802.11標(biāo)準(zhǔn)在安全方面的局限���。同時(shí)���,EAP框架是對(duì)有線網(wǎng)絡(luò)的 擴(kuò)展,使企業(yè)為每個(gè)訪問(wèn)方法提供一個(gè)單獨(dú)的安全結(jié)構(gòu)�����。
而對(duì)于新協(xié)議的測(cè)試��,需要對(duì)網(wǎng)絡(luò)的可靠性和有效性進(jìn)行客觀地評(píng)估�,從而降 低投資風(fēng)險(xiǎn),使得測(cè)試結(jié)果能夠真實(shí)反映新協(xié)議的表現(xiàn)����。在這種情況下,網(wǎng)絡(luò)仿真 作為一種新的網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)技術(shù)應(yīng)運(yùn)而生��,它以其獨(dú)有的方法為網(wǎng)絡(luò)的規(guī)劃設(shè)計(jì) 提供客觀�����、可靠的定量依據(jù)�����,提高網(wǎng)絡(luò)建設(shè)中決策的科學(xué)性。具體來(lái)說(shuō)���,網(wǎng)絡(luò)仿真 技術(shù)是一種通過(guò)建立網(wǎng)絡(luò)設(shè)備��、鏈路和協(xié)議模型�����,并模擬網(wǎng)絡(luò)流量的傳輸��,從而獲 取網(wǎng)絡(luò)設(shè)計(jì)或優(yōu)化所需要的網(wǎng)絡(luò)性能數(shù)據(jù)的仿真技術(shù)����。
OPNET最早是在1986年由麻省理工大學(xué)的兩個(gè)博士創(chuàng)建的����,并發(fā)現(xiàn)網(wǎng)絡(luò)模擬 非常有價(jià)值����,因此于1987年建立了商業(yè)化的OPNET。 OPNET仿真軟件��,具有以下 幾個(gè)突出特點(diǎn)
*采用階層性的模擬方式��,從協(xié)議間關(guān)系看,節(jié)點(diǎn)模塊建模完全符合OSI標(biāo)準(zhǔn)��。 從網(wǎng)絡(luò)物件層次方面����,提供三層建模機(jī)制,底層為進(jìn)程(Process)模型��,以有限狀
態(tài)機(jī)(FSM)來(lái)描述協(xié)議���;其次為節(jié)點(diǎn)(Node)模型�,由相應(yīng)的協(xié)議模型構(gòu)成�����,反映 設(shè)備特性��;最上層為網(wǎng)絡(luò)模型�����,與實(shí)際網(wǎng)絡(luò)對(duì)應(yīng)�。三層模型與實(shí)際的協(xié)議、設(shè)備��、 網(wǎng)絡(luò)完全對(duì)應(yīng),全面反映了網(wǎng)絡(luò)的相關(guān)特性��。
*采用離散事件驅(qū)動(dòng)(Discrete Event Driven)的模擬機(jī)理�����,與時(shí)間驅(qū)動(dòng)相比�����,計(jì) 算效率得到了很大提高�����。
*系統(tǒng)的完全開(kāi)放性�����,Modeler中的源碼全部開(kāi)放�,用戶可以根據(jù)自己的需要添加�、 修改己有的源碼。因此�,很多用戶都是在標(biāo)準(zhǔn)的協(xié)議上進(jìn)行一些修改來(lái)作自己的研 究。
OPNET原有的無(wú)線節(jié)點(diǎn)只具有單一的數(shù)據(jù)接收和轉(zhuǎn)發(fā)功能���,沒(méi)有安全認(rèn)證的功 能���,從根本上不能完整地��、無(wú)縫地解決漫游接入的認(rèn)證問(wèn)題��。
本發(fā)明項(xiàng)目組對(duì)國(guó)內(nèi)外專利文獻(xiàn)和公開(kāi)發(fā)表的期刊論文檢索�����,尚未發(fā)現(xiàn)與本發(fā)明 密切相關(guān)和一樣的報(bào)道或文獻(xiàn)�。
發(fā)明內(nèi)容
本發(fā)明的目的是克服上述技術(shù)或方法存在的缺點(diǎn)���,提供一種能保證WLAN數(shù)據(jù) 的完整性�����、不可否認(rèn)性和機(jī)密性��,并可以在此基礎(chǔ)上測(cè)試其他實(shí)現(xiàn)的各種無(wú)線安全 協(xié)議及各種協(xié)議間的多模接入的�����,實(shí)現(xiàn)漫游接入安全認(rèn)證的基于EAP的IEEE802.1X 安全協(xié)議的仿真平臺(tái)及方法�。
下面對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。
為了保證接入網(wǎng)絡(luò)的安全性��,本發(fā)明在OPNET原有無(wú)線節(jié)點(diǎn)的基礎(chǔ)上實(shí)現(xiàn)了基 于EAP的IEEE802.1X安全協(xié)議��,使得未通過(guò)認(rèn)證的無(wú)線節(jié)點(diǎn)無(wú)權(quán)訪問(wèn)網(wǎng)絡(luò)中的各 種資源�����。
網(wǎng)絡(luò)仿真軟件OPNET的無(wú)線節(jié)點(diǎn)模型如圖1所示��。其中source與sink模塊仿 真應(yīng)用層����,物理層由接收器wlaiu)ort—rx0和發(fā)送器wlan_port—tx0組成,負(fù)責(zé)接收 其他節(jié)點(diǎn)發(fā)來(lái)的數(shù)據(jù)包����,和向其他節(jié)點(diǎn)發(fā)送數(shù)據(jù)包,wlan一mac—intf和 wireless—lan—mac兩個(gè)模塊仿真MAC媒體訪問(wèn)控制層����;wlan—mac—intf模塊負(fù)責(zé)目 標(biāo)地址的確定;wireless—laiunac模塊負(fù)責(zé)應(yīng)用層數(shù)據(jù)包的分片��、封裝����、排隊(duì)、發(fā)送�����, 并將物理層收到并轉(zhuǎn)發(fā)來(lái)的分片進(jìn)行解封�、組裝、傳送到應(yīng)用層�����,同時(shí)檢測(cè)沖突和 轉(zhuǎn)發(fā)數(shù)據(jù)包�����;IEEE802.1X標(biāo)準(zhǔn)給出6個(gè)有限狀態(tài)機(jī)�。
本發(fā)明在原有無(wú)線節(jié)點(diǎn)中添加擴(kuò)展認(rèn)證模塊,所添加部分與wireless—lan—mac
模塊融合��,擴(kuò)展認(rèn)證模塊包括EAP認(rèn)證模塊和端口控制模塊����,即根據(jù)RFC3748 EAP 協(xié)議和正EE802.1X標(biāo)準(zhǔn)設(shè)計(jì)得到的EAP認(rèn)證模塊和端口控制模塊直接連接到 wireless—lan_mac這一進(jìn)程模塊上;EAP認(rèn)證模塊和端口控制模塊包括有EAP認(rèn) 證模塊�����、Backend后臺(tái)狀態(tài)機(jī)、Port Timer端口計(jì)時(shí)器和PAE端口接入實(shí)體���,Backend 后臺(tái)狀態(tài)機(jī)直接與EAP認(rèn)證模塊數(shù)據(jù)連接�,Backend后臺(tái)狀態(tài)機(jī)同時(shí)與 wireless—lan—mac模塊數(shù)據(jù)連接�����。端口控制模塊中的端口計(jì)時(shí)器����、端口接入實(shí)體和后 臺(tái)狀態(tài)機(jī)三者中兩兩之間均通過(guò)遠(yuǎn)程中斷控制信號(hào)連接,不用包流線連接����。實(shí)現(xiàn)完 整的、無(wú)縫隙的基于EAP的802.1X安全協(xié)議的仿真平臺(tái)���。
本發(fā)明的設(shè)計(jì)和添加不僅保證WLAN數(shù)據(jù)的完整性�����、不可否認(rèn)性和機(jī)密性�,并 可以在此基礎(chǔ)上測(cè)試其他實(shí)現(xiàn)的各種無(wú)線安全協(xié)議及各種協(xié)議間的多模接入��,在現(xiàn) 有的技術(shù)平臺(tái)上解決了網(wǎng)絡(luò)傳輸漫游接入的安全認(rèn)證問(wèn)題�。
本發(fā)明的實(shí)現(xiàn)還在于EAP認(rèn)證模塊,分為申請(qǐng)者和認(rèn)證者在申請(qǐng)者中����,實(shí) 現(xiàn)eap—supp模塊;認(rèn)證者中��,實(shí)現(xiàn)eap—auth模塊��;兩者分別通過(guò)各自的Backend 后臺(tái)狀態(tài)機(jī)和wireless Jan—mac模塊接入到網(wǎng)絡(luò)中�����,實(shí)現(xiàn)相互通信�。認(rèn)證過(guò)程中, 設(shè)有認(rèn)證者和申請(qǐng)者�����,兩者之間相互通信��,完成安全認(rèn)證。根據(jù)RFC3748協(xié)議設(shè)計(jì) 得到EAP進(jìn)程模型����,保證了 WLAN數(shù)據(jù)的完整性、不可否認(rèn)性和機(jī)密性����,完整體 現(xiàn)了EAP認(rèn)證過(guò)程,同時(shí)其復(fù)雜度并不高�,仿真效率較好。
仿真過(guò)程中���,將認(rèn)證者和認(rèn)證服務(wù)器合二為一���,即一個(gè)基本服務(wù)集BSS內(nèi)部的 接入點(diǎn)AP完成認(rèn)證服務(wù)器的功能,不需要再向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP幀�����。這樣接入 點(diǎn)AP可對(duì)無(wú)線節(jié)點(diǎn)進(jìn)行認(rèn)證����,以決定該節(jié)點(diǎn)是否有權(quán)享用本網(wǎng)絡(luò)的各種資源。
本發(fā)明也實(shí)現(xiàn)了無(wú)線節(jié)點(diǎn)在不同基本服務(wù)集中漫游時(shí)����,重新認(rèn)證的仿真場(chǎng)景���。 無(wú)線節(jié)點(diǎn)移動(dòng)時(shí),會(huì)根據(jù)接入點(diǎn)AP信號(hào)的強(qiáng)弱重新調(diào)整�����。當(dāng)檢測(cè)到原接入點(diǎn)AP 信號(hào)微弱時(shí)��,便自動(dòng)檢測(cè)新的接入點(diǎn)AP��,重新啟動(dòng)認(rèn)證過(guò)程����。
本發(fā)明的實(shí)現(xiàn)還在于端口控制模塊���,根據(jù)EAP認(rèn)證模塊發(fā)送的認(rèn)證結(jié)果���,設(shè) 置端口的認(rèn)證狀態(tài),完成對(duì)數(shù)據(jù)包流的控制�,由正EE802.1X標(biāo)準(zhǔn)中的3個(gè)有限狀 態(tài)機(jī)經(jīng)過(guò)等效轉(zhuǎn)換得到,包括后臺(tái)狀態(tài)機(jī)����、端口計(jì)時(shí)器與端口接入實(shí)體���;其中后臺(tái) 狀態(tài)機(jī)主要用于后臺(tái)認(rèn)證;端口計(jì)時(shí)器狀態(tài)機(jī)用于超時(shí)控制��;端口接入實(shí)體模塊用 于端口控制��;三者相互協(xié)作完成認(rèn)證過(guò)程的端口控制功能��。等效變換過(guò)程���,自然地 保證了 OPNET中建立的協(xié)議模型的狀態(tài)機(jī)在設(shè)計(jì)上的正確性�����,不需要再對(duì)其進(jìn)行
證明����,也不會(huì)造成模型版本間的混亂���,同時(shí)也大大簡(jiǎn)化了對(duì)復(fù)雜協(xié)議的建模過(guò)程����, 也為進(jìn)一步研究仿真其他類似協(xié)議打下了基礎(chǔ)。
本發(fā)明的實(shí)現(xiàn)還在于wirelessjan—mac模塊中接入擴(kuò)展認(rèn)證模塊后�,函數(shù) wlan—interruptsj3rocess()增加對(duì)來(lái)自擴(kuò)展認(rèn)證模塊的流中斷的處理過(guò)程,改進(jìn)后 wireless—lan—mac模塊的輸入流增加為三個(gè)���,分別對(duì)應(yīng)于來(lái)自物理層����、應(yīng)用層和擴(kuò)展 認(rèn)證模塊的數(shù)據(jù)包�。具體處理流程中,增加了函數(shù)wlan一eap一data一arriva1()����,處理來(lái) 自擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包����,對(duì)函數(shù)wlan—higher—layer_data—arrivalO和 wlan_physical—layer—data—arrival()進(jìn)行了適應(yīng)性修改。wlan—interrupts_process()函數(shù)
的具體處理流程步驟如下
一���、 開(kāi)始����;
二��、 判斷流中斷是否來(lái)自應(yīng)用層,若否���,轉(zhuǎn)步驟四�;
三�����、 調(diào)用函數(shù)wlan—higher—layer—data—arrival()�����,處理來(lái)自應(yīng)用層的數(shù)據(jù)包��,轉(zhuǎn) 步驟七�;
四、 判斷流中斷是否來(lái)自物理層����,若否,轉(zhuǎn)步驟六����;
五、 調(diào)用函數(shù)wlan_physical_layer_data_arrival()�,處理來(lái)自應(yīng)用層的數(shù)據(jù)包����,轉(zhuǎn) 步驟七��;
六����、 調(diào)用函數(shù)wlan一eap—data_arrival(),處理來(lái)自擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包�����;
七��、 結(jié)束�����。
本發(fā)明的實(shí)現(xiàn)還在于新增wlai^eap—data—arrival ()函數(shù)處理認(rèn)證包的數(shù)據(jù)��,認(rèn) 證包分為認(rèn)證結(jié)果包和普通認(rèn)證包兩類��,類型分別為1和2;函數(shù) wlan_eap—data—arrival ()首先判斷認(rèn)證包的類型���,再作處理�;然后根據(jù)認(rèn)證狀態(tài)變量 的值�,決定該無(wú)線節(jié)點(diǎn)是否可接入本網(wǎng)絡(luò),具體的步驟如下
一) �、開(kāi)始; —
二) ��、獲取來(lái)自eap的認(rèn)證包�����;
三) �����、判斷認(rèn)證包的類型是否為2���,若不為2�����,轉(zhuǎn)步驟五)���;
四) 、將認(rèn)證包插入到發(fā)送隊(duì)列中,執(zhí)行函數(shù)wlan—hlpk一enqueue()��,轉(zhuǎn)步驟八)�����;
五) �、判斷認(rèn)證包的類型是否為1,若不為l�����,轉(zhuǎn)步驟七)����;
六) 、根據(jù)認(rèn)證包信息域的值修改認(rèn)證狀態(tài)變量的值��,轉(zhuǎn)步驟八)����;
七) �、認(rèn)證包類型不符,丟棄并報(bào)錯(cuò)�����;
八) 、結(jié)束�����。
對(duì)wireless—lan—mac模塊的這些改進(jìn)����,包括重要函數(shù)的改進(jìn)、新函數(shù)的添加及 包流的控制�����,完成了和擴(kuò)展認(rèn)證模塊的無(wú)縫融合����,為其他安全協(xié)議提供了統(tǒng)一性接 口,實(shí)現(xiàn)了完整的���、無(wú)縫隙的基于EAP的正EE802.1X安全協(xié)議的仿真平臺(tái)�。
本發(fā)明的實(shí)現(xiàn)還在于所述認(rèn)證者eap—auth模型設(shè)置有相關(guān)變量參數(shù)��,申請(qǐng)者 eap一supp模型也設(shè)置有相關(guān)變量參數(shù)�,二者的相關(guān)變量參數(shù)相互關(guān)聯(lián);認(rèn)證者通過(guò) 向申請(qǐng)者發(fā)送挑戰(zhàn),以獲取申請(qǐng)者的身份和其他相關(guān)信息����,決定該申請(qǐng)者能否接入 網(wǎng)絡(luò)享受網(wǎng)絡(luò)服務(wù);認(rèn)證過(guò)程的相互通信����,設(shè)有超時(shí)中斷,若在規(guī)定時(shí)間內(nèi)未收到 相應(yīng)信息����,認(rèn)證者eap—auth模型或申請(qǐng)者eap—supp模型重新進(jìn)入初始狀態(tài)。
在IEEE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中�,進(jìn)程間通信采用遠(yuǎn)程中斷 remote—intrpt加ICI的機(jī)制,ICI中設(shè)有兩個(gè)域Variable—ID和Value,分別表示 變量的編號(hào)和其修改后的值����。
在Backend后臺(tái)狀態(tài)機(jī)、Port Timer端口計(jì)時(shí)器和PAE端口接入實(shí)體各個(gè)進(jìn)程 內(nèi)單獨(dú)聲明使用到的變量����,為保證多個(gè)狀態(tài)機(jī)之間同名變量的一致性,要求任何進(jìn) 程修改了影響其他進(jìn)程的變量時(shí)��,必須通知其他進(jìn)程���,以便不使其他狀態(tài)機(jī)受阻滯���。 采用這種機(jī)制,后臺(tái)狀態(tài)機(jī)�����、端口計(jì)時(shí)器和端口接入實(shí)體三者之間不用包流線相連 接����,比發(fā)送數(shù)據(jù)包通知更符合現(xiàn)實(shí)的要求。
本發(fā)明的實(shí)現(xiàn)還在于在正EE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中����,default 轉(zhuǎn)移的設(shè)置。給每個(gè)非強(qiáng)制狀態(tài)設(shè)置一個(gè)轉(zhuǎn)向自身的轉(zhuǎn)移�����,條件為default,狀態(tài)機(jī) 接收到另一狀態(tài)機(jī)發(fā)送的遠(yuǎn)程中斷后���,修改相應(yīng)的變量值�����,判斷是否符合轉(zhuǎn)移條件�����; 若不符合�,則執(zhí)行default轉(zhuǎn)移,設(shè)置變量IsDefault為TRUE,以便不再執(zhí)行該狀態(tài) 的入口代碼����。
本發(fā)明的實(shí)現(xiàn)還在于在正EE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中,全局轉(zhuǎn) 移的消去方法有兩種
用S表示所有狀態(tài)的集合����,x為狀態(tài)機(jī)中的某個(gè)狀態(tài);用T來(lái)表示轉(zhuǎn)移的集 合���,則<formula>formula see original document page 11</formula>���,其中i, j ES且狀態(tài)機(jī)中存在從i至j的轉(zhuǎn)移���,y為轉(zhuǎn)移所 需的條件}�����,那么狀態(tài)機(jī)SM可以表示為二元組SM-《����,T>�。 全局轉(zhuǎn)移消去方法l:通過(guò)增加轉(zhuǎn)移來(lái)消去全局轉(zhuǎn)移
若有一個(gè)全局轉(zhuǎn)移,末狀態(tài)為Y���,設(shè)X為狀態(tài)集中除去Y的任何其他狀態(tài)�����,為 消去該全局轉(zhuǎn)移�����,可以增加X(jué)到Y(jié)的轉(zhuǎn)移�,轉(zhuǎn)移條件為全局轉(zhuǎn)移的條件��。 全局轉(zhuǎn)移消去方法2:通過(guò)增加一個(gè)中間狀態(tài)M來(lái)消去全局轉(zhuǎn)移
對(duì)方法l的一種改進(jìn)是在一個(gè)有n個(gè)節(jié)點(diǎn)���,m個(gè)全局轉(zhuǎn)移的狀態(tài)機(jī)SM^S����, T}, S={Sl, s2��, s3���, ...���, sn}, T-(ti��, t2��, ...���, tk���, <X, Si�����, di>}�,其中k為普通轉(zhuǎn)移 數(shù),i=l����, 2����, ...��, m, m為全局轉(zhuǎn)移數(shù)��。首先在狀態(tài)集S中增加一個(gè)中間狀態(tài)M����, 即S-S+M�����,然后為消去所有的全局轉(zhuǎn)移t產(chǎn)〈X�����, Si���, di>GT�, (i-l����, 2�����,…�����,m)�,需 要按以下步驟執(zhí)行
(1) . T=T-ti��, (i=l����, 2,…����,m);
(2) . T=T+<Xj, M����,山ld2l…ldn〉 , (x盧S且x」不為M);
(3) . T=T+<M, yi�����, di> ���, (i=l��, 2����,…�����,m)
同時(shí)在OPNET中設(shè)置狀態(tài)M為強(qiáng)制狀態(tài)���,保證兩次轉(zhuǎn)移和一次轉(zhuǎn)移在事件排 序上等效。方法2較方法1���,消去全局轉(zhuǎn)移所增加的轉(zhuǎn)移的數(shù)量要少的多��,所以采 用方法2來(lái)消去全局轉(zhuǎn)移�����。
由于本發(fā)明通過(guò)修改wirelessjan—mac模塊和在原有OPNET的無(wú)線節(jié)點(diǎn)中添加 擴(kuò)展認(rèn)證模塊并與wireless—lan一mac模塊融合��,根據(jù)RFC3748 EAP協(xié)議和正EE 802. IX標(biāo)準(zhǔn)設(shè)計(jì)得到EAP認(rèn)證模塊和端口控制模塊直接連接到wirelessJan_mac進(jìn) 程模塊上�,端口計(jì)時(shí)器、端口接入實(shí)體和后臺(tái)狀態(tài)機(jī)三者中兩兩之間均通過(guò)遠(yuǎn)程中 斷控制信號(hào)連接���,實(shí)現(xiàn)了完整的�����、無(wú)縫隙的基于EAP的正EE802.1X安全協(xié)議的仿 真平臺(tái)�����,實(shí)現(xiàn)了基于EAP的正EE802.1X標(biāo)準(zhǔn)的仿真測(cè)試����,成功地在原無(wú)線節(jié)點(diǎn)中 增加了安全認(rèn)證的功能�����,解決了漫游接入的認(rèn)證問(wèn)題���,提供了一種能保證WLAN 數(shù)據(jù)的完整性��、不可否認(rèn)性和機(jī)密性的基于EAP的正EE802.1X安全協(xié)議的仿真平
臺(tái)o
還由于本發(fā)明在wlan—interrupts_process()函數(shù)的具體處理流程步驟中增加 wlan—eap—data—arrival ()函數(shù)處理認(rèn)證包的數(shù)據(jù)�,即對(duì)wireless—lan—mac模塊進(jìn)^f亍改 進(jìn),使之與所添加的擴(kuò)展認(rèn)證模塊融和��。仿真過(guò)程中���,將認(rèn)證者和認(rèn)證服務(wù)器合二 為一�����,即一個(gè)基本服務(wù)集BSS內(nèi)部的接入點(diǎn)AP完成認(rèn)證服務(wù)器的功能�,不需要再 向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP幀���,接入點(diǎn)AP對(duì)無(wú)線節(jié)點(diǎn)進(jìn)行認(rèn)證,以決定該節(jié)點(diǎn)是否有 權(quán)享用本網(wǎng)絡(luò)的各種資源�。認(rèn)證包分為普通認(rèn)證包和認(rèn)證結(jié)果包兩類,簡(jiǎn)化了步驟 和程序��。同時(shí)對(duì)認(rèn)證者eap—auth模型的設(shè)計(jì)����、對(duì)申請(qǐng)者eap—supp模型的設(shè)計(jì)、以及 進(jìn)程間通信問(wèn)題的解決均采用了既符合標(biāo)準(zhǔn),又滿足安全認(rèn)證要求的條件的方案�。 提供了在此基礎(chǔ)上測(cè)試其他實(shí)現(xiàn)的各種無(wú)線安全協(xié)議及各種協(xié)議間的多模接入的基
于EAP的IEEE802.1X安全協(xié)議的仿真平臺(tái)及方法。
圖l是OPNET原有無(wú)線節(jié)點(diǎn)模型圖2是OPNET原有無(wú)線節(jié)點(diǎn)工作流程圖3是本發(fā)明的構(gòu)成示意圖4是本發(fā)明wireless」an—mac模塊的數(shù)據(jù)處理流程圖5是本發(fā)明wlan—eap—data—arrival ()的流程圖6是本發(fā)明wlan_higher—layei^data-arrival()的流程圖7是本發(fā)明認(rèn)證者EAP狀態(tài)圖8是本發(fā)明申請(qǐng)者EAP狀態(tài)圖9是本發(fā)明通知變量所用ICI的結(jié)構(gòu)�;
圖10是本發(fā)明方法一消去全局轉(zhuǎn)移的例子;
圖11是本發(fā)明方法二消去全局轉(zhuǎn)移的例子���;
圖12是本發(fā)明申請(qǐng)者后臺(tái)狀態(tài)機(jī)的狀態(tài)轉(zhuǎn)移示意圖B是本發(fā)明端口計(jì)時(shí)器的狀態(tài)轉(zhuǎn)移示意圖14是本發(fā)明測(cè)試場(chǎng)景一申請(qǐng)者和認(rèn)證者��;
圖15是本發(fā)明兩個(gè)場(chǎng)景下申請(qǐng)者ST1的Data Traffic Rcvd(bits/sec)對(duì)比圖�����; 圖16是本發(fā)明兩個(gè)場(chǎng)景下申請(qǐng)者ST1的DataTra伍cSend(bits/sec)對(duì)比圖��; 圖17是本發(fā)明兩個(gè)場(chǎng)景下認(rèn)證者ST2的Data Traffic Send(bits/sec)對(duì)比圖����; 圖18是本發(fā)明測(cè)試二——漫游場(chǎng)景����; 圖19是本發(fā)明漫游場(chǎng)景數(shù)據(jù)收集。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明 實(shí)施例1:
參見(jiàn)圖l��,無(wú)線節(jié)點(diǎn)模型由6個(gè)進(jìn)程模型���,6條數(shù)據(jù)包流����,兩條統(tǒng)計(jì)線組成。其 中source與sink模塊仿真應(yīng)用層����,物理層由接收器wlan_port—rxO和發(fā)送器 wlanjx)rt一txO組成,負(fù)責(zé)接收其他節(jié)點(diǎn)發(fā)來(lái)的數(shù)據(jù)包��,和發(fā)送至其他節(jié)點(diǎn)的數(shù)據(jù)包�����, wlan_mac—intf和wireless—lan_mac兩個(gè)模塊仿真MAC媒體訪問(wèn)控制層���; wlan_mac—intf模塊負(fù)責(zé)目標(biāo)地址的確定����;wirelessJan一mac模塊負(fù)責(zé)應(yīng)用層數(shù)據(jù)包
的分片��、封裝��、排隊(duì)���、發(fā)送����,并對(duì)物理層收到并轉(zhuǎn)發(fā)來(lái)的分片進(jìn)行解封���、組裝��、傳 送到應(yīng)用層����,同時(shí)檢測(cè)沖突和轉(zhuǎn)發(fā)數(shù)據(jù)包���。
本發(fā)明通過(guò)對(duì)無(wú)線節(jié)點(diǎn)中的wirelessjan一mac模塊進(jìn)行改進(jìn)��,添加擴(kuò)展認(rèn)證模 塊��,所添加部分與wirelessjan一mac模塊融合�����,擴(kuò)展認(rèn)證模塊包括EAP認(rèn)證模塊和 端口控制模塊�,即根據(jù)RFC3748 EAP協(xié)議和正EE802.1X標(biāo)準(zhǔn)設(shè)計(jì)得到的EAP認(rèn) 證模塊和端口控制模塊直接連接到wirelessjan一mac這一進(jìn)程模塊上����,實(shí)現(xiàn)無(wú)縫隙 地連接���。參見(jiàn)圖3,所述EAP認(rèn)證模塊和端口控制模塊包括有EAP認(rèn)證模塊�����、 Backend后臺(tái)狀態(tài)機(jī)�、Port Timer端口計(jì)時(shí)器與PAE端口接入實(shí)體,Backend后臺(tái)狀 態(tài)機(jī)直接與EAP認(rèn)證模塊數(shù)據(jù)連接��,同時(shí)與wireless—Ian—mac模塊數(shù)據(jù)連接����,端口 計(jì)時(shí)器、端口接入實(shí)體和后臺(tái)狀態(tài)機(jī)三者中兩兩之間均通過(guò)遠(yuǎn)程中斷控制信號(hào)連接�, 不用包流線連接。 實(shí)施例2:
總體構(gòu)成同實(shí)施例l�����,參見(jiàn)圖3����。
EAP認(rèn)證模塊,分為申請(qǐng)者和認(rèn)證者兩個(gè)不同角色�����。申請(qǐng)者中��,實(shí)現(xiàn)eap—supp 模塊��;認(rèn)證者中���,實(shí)現(xiàn)eap一auth模塊����;兩者分別通過(guò)各自的Backend后臺(tái)狀態(tài)機(jī)和 wireless一lan一mac模塊接入到網(wǎng)絡(luò)中��,實(shí)現(xiàn)相互通信����。OPNET原有的無(wú)線節(jié)點(diǎn)不區(qū) 分認(rèn)證者和申請(qǐng)者,見(jiàn)圖1的構(gòu)成�����。無(wú)線節(jié)點(diǎn)既可以認(rèn)為是認(rèn)證者���,又可以認(rèn)為是 申請(qǐng)者���,節(jié)點(diǎn)之間只有數(shù)據(jù)通信���,沒(méi)有認(rèn)證過(guò)程,見(jiàn)圖2��。
仿真過(guò)程中����,本發(fā)明將認(rèn)證者和認(rèn)證服務(wù)器合二為一,即一個(gè)基本服務(wù)集BSS 內(nèi)部的接入點(diǎn)AP完成認(rèn)證服務(wù)器的功能�����,不需要再向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP幀��,接 入點(diǎn)AP可對(duì)無(wú)線節(jié)點(diǎn)進(jìn)行認(rèn)證�����,以決定該節(jié)點(diǎn)是否有權(quán)享用本網(wǎng)絡(luò)的各種資源�����。 實(shí)施例3:
總體構(gòu)成同實(shí)施例2,參見(jiàn)圖3�。
IEEE802.1X協(xié)議是為了解決以太網(wǎng)接入認(rèn)證問(wèn)題,不是專門為WLAN設(shè)計(jì)使 用的��,但它允許在共用介質(zhì)中使用�,因此該協(xié)議可以被應(yīng)用到支持基于端口網(wǎng)絡(luò)接 入控制的正EE802.11 WLAN結(jié)構(gòu)當(dāng)中�����。本發(fā)明經(jīng)過(guò)等效變換���,可得出IEEE802.1X 有限狀態(tài)機(jī)在OPNET中的等效模型���,從而保證建立的協(xié)議模型狀態(tài)機(jī)在設(shè)計(jì)上的 正確性。避免了模型版本間的混亂�。我們選擇三個(gè)狀態(tài)機(jī)進(jìn)行等效變換,完成認(rèn)證 過(guò)程中的端口控制功能����,其中Backend后臺(tái)狀態(tài)機(jī)主要用于后臺(tái)認(rèn)證;Port Timer 端口計(jì)時(shí)器狀態(tài)機(jī)用于超時(shí)控制���;PAE端口接入實(shí)體模塊用于端口控制�。 實(shí)施例4:
總體構(gòu)成同實(shí)施例l、 2�、 3,參見(jiàn)圖3��。
wireless—lan—mac模塊中力口入認(rèn)證功倉(cāng)b后�����,函數(shù)wlan—interruptsj)rocess()需相應(yīng)
地增加對(duì)來(lái)自擴(kuò)展認(rèn)證模塊的流中斷的處理過(guò)程���。改進(jìn)的wirelessjan—mac模塊輸 入流增加為三個(gè)�,分別對(duì)應(yīng)于來(lái)自物理層��、應(yīng)用層和擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包���,流索 引號(hào)分別為O�, l和2�。
總體構(gòu)成同實(shí)施例4,參見(jiàn)圖4和圖5�。
加入擴(kuò)展認(rèn)證模塊后,wireless—lan—mac模塊中原有函數(shù)需要作相應(yīng)改動(dòng)�。 函數(shù)wlan—interruptsjrocess()的具體處理流程如圖所示��,步驟如下
一��、 開(kāi)始�����;
二�、 判斷流中斷是否來(lái)自應(yīng)用層���。若否,轉(zhuǎn)步驟四���;
三�、 調(diào)用函數(shù)wlan—higher—layer—data—arrival()����,處理來(lái)自應(yīng)用層的數(shù)據(jù)包,轉(zhuǎn)步 驟七��;
四��、 判斷流中斷是否來(lái)自物理層��。若否,轉(zhuǎn)步驟六����;
五、 調(diào)用函數(shù)wlaiu)hysica1—layer—data_arrival()�����,處理來(lái)自應(yīng)用層的數(shù)據(jù)包����,轉(zhuǎn) 步驟七;
六�����、 調(diào)用函數(shù)wlan—eap_data_arrival ()���,處理來(lái)自擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包��;
七�、 結(jié)束��。
加入擴(kuò)展認(rèn)證模塊之后��,需要增加根據(jù)認(rèn)證狀態(tài)處理普通數(shù)據(jù)包的功能。認(rèn)證 未通過(guò)時(shí)�,只允許認(rèn)證包的交換,不允許普通數(shù)據(jù)包的交換�����。這需要在應(yīng)用層數(shù)據(jù) 包到達(dá)的處理函數(shù)wlan_higher—layer—data—arrival()和物理層數(shù)據(jù)包到達(dá)的處理函數(shù) wlan一data』rocess()中都添加代碼進(jìn)行修改��。
函數(shù)wlan—higherjayer一data—arrival()中��,處理從應(yīng)用層發(fā)送的數(shù)據(jù)包���,并用函數(shù) wlan—hlpk一enqueue()將該數(shù)據(jù)包插入到發(fā)送隊(duì)列中等待發(fā)送��。如圖7所示,加入擴(kuò) 展認(rèn)證模塊后��,如果未通過(guò)認(rèn)證�,則銷毀一切從應(yīng)用層發(fā)送來(lái)的數(shù)據(jù)包,不允許無(wú) 線節(jié)點(diǎn)有數(shù)據(jù)的發(fā)送��;如果己通過(guò)認(rèn)證���,則允許一切數(shù)據(jù)包通過(guò)�,節(jié)點(diǎn)之間可以有 數(shù)據(jù)的發(fā)送。圖5中����,左邊分支是已有技術(shù)中存在的,右邊分支是本發(fā)明加入的處 理流程����。函數(shù)wlan—datajirocess()的修改,和函數(shù)wlan—higher—layer—data—arrival() 的修改基本相同�����。 實(shí)施例6:
總體構(gòu)成同實(shí)施例4�,仿真方法同實(shí)施例5,參見(jiàn)圖6�。
新增wlan—eap_data—arrival ()函數(shù)處理認(rèn)證包的數(shù)據(jù)。認(rèn)證包分為認(rèn)證結(jié)果包和 普通認(rèn)證包兩類����,類型分別為1和2。函數(shù)wlan—eap—data—arrival ()首先判斷認(rèn)證包 的類型����,再作處理若認(rèn)證包的類型為2,則將該普通認(rèn)證包發(fā)送到物理層的發(fā)送 器����,然后通過(guò)無(wú)線電波發(fā)送至對(duì)方節(jié)點(diǎn)���;若類型為1,則根據(jù)該認(rèn)證結(jié)果包中相應(yīng)
域的值���,修改認(rèn)證狀態(tài)變量的值��,決定該無(wú)線節(jié)點(diǎn)是否可接入本網(wǎng)絡(luò)享受服務(wù)���,具 體的步驟如下
一) 、開(kāi)始����;
二) 、獲取來(lái)自eap的認(rèn)證包�����;
三) ���、判斷認(rèn)證包的類型是否為2。若不為2�����,轉(zhuǎn)步驟五);
四) �、將認(rèn)證包插入到發(fā)送隊(duì)列中,執(zhí)行函數(shù)wlan—hlpk—enqueue(),轉(zhuǎn)步驟八)�����;
五) �����、判斷認(rèn)證包的類型是否為1����。若不為l,轉(zhuǎn)步驟七)���;
六) ����、根據(jù)認(rèn)證包信息域的值修改認(rèn)證狀態(tài)變量的值�����,轉(zhuǎn)步驟八);
七) ��、認(rèn)證包類型不符����,丟棄并報(bào)錯(cuò);
八) ���、結(jié)束�����。 實(shí)施例7:
總體構(gòu)成同實(shí)施例4�����,仿真方法同實(shí)施例6�,參見(jiàn)圖7和圖8���。 申請(qǐng)者和認(rèn)證者的整個(gè)認(rèn)證交互過(guò)程可描述如下申請(qǐng)者和認(rèn)證者建立連接���, 申請(qǐng)者開(kāi)始發(fā)送數(shù)據(jù)時(shí)���,發(fā)現(xiàn)還沒(méi)有通過(guò)認(rèn)證���,便啟動(dòng)認(rèn)證過(guò)程��。申請(qǐng)者首先發(fā)送 EAPOL-Start幀給認(rèn)證者�����,以初始化認(rèn)證過(guò)程�����。當(dāng)認(rèn)證者收到EAPOL-Start幀之后�, 向申請(qǐng)者發(fā)送一個(gè)挑戰(zhàn)�,來(lái)獲取申請(qǐng)者的身份。申請(qǐng)者收到這個(gè)挑戰(zhàn)后���,發(fā)送一個(gè) 回復(fù)���,里面包含了申請(qǐng)者的身份ID。收到這一回復(fù)后�,依照具體的認(rèn)證過(guò)程,認(rèn)證 者根據(jù)是否有其他信息交換過(guò)程,決定是否發(fā)送后繼挑戰(zhàn)����。最后,認(rèn)證者根據(jù)申請(qǐng) 者回復(fù)的信息�����,決定接收該申請(qǐng)者或者拒絕該申請(qǐng)者訪問(wèn)網(wǎng)絡(luò)服務(wù)����,并給出認(rèn)證結(jié) 果。如果認(rèn)證成功���,認(rèn)證者發(fā)送一個(gè)EAP-Success消息給申請(qǐng)者�,說(shuō)明認(rèn)證已經(jīng)成 功���。申請(qǐng)者收到這個(gè)消息后��,整個(gè)認(rèn)證過(guò)程完成�����,以后申請(qǐng)者可以使用認(rèn)證過(guò)的受 控端口和接入點(diǎn)AP進(jìn)行通信�,訪問(wèn)網(wǎng)絡(luò)服務(wù)。如果認(rèn)證失敗�,認(rèn)證者發(fā)送EAP— Failure消息給申請(qǐng)者����,整個(gè)認(rèn)證過(guò)程失敗,受控端口還是未認(rèn)證的��,不能使用�。 在該協(xié)議實(shí)現(xiàn)過(guò)程中,對(duì)認(rèn)證者eap—auth模型進(jìn)行如下設(shè)計(jì)�����,見(jiàn)圖7: 仿真開(kāi)始時(shí)����,認(rèn)證者eap—auth模型進(jìn)入"初始"狀態(tài),設(shè)置相關(guān)變量的參數(shù)��, 之后無(wú)條件進(jìn)入"等待認(rèn)證請(qǐng)求"狀態(tài)����,這一狀態(tài)中,等待申請(qǐng)者發(fā)送的認(rèn)證請(qǐng)求�, 若收到則轉(zhuǎn)向下一狀態(tài)����,在"發(fā)送初始挑戰(zhàn)��,等待回復(fù)"狀態(tài)����,入口部分判斷該狀 態(tài)是從哪一狀態(tài)轉(zhuǎn)移而來(lái),若由"等待認(rèn)證請(qǐng)求"轉(zhuǎn)移而來(lái)�����,則要發(fā)送初始挑戰(zhàn)���, 并設(shè)置超時(shí)中斷�;若由"發(fā)送后繼挑戰(zhàn)���,決定結(jié)果"轉(zhuǎn)移而來(lái)��,則只需設(shè)置超時(shí)中 斷���,該狀態(tài)出口部分,判斷中斷類型�����;若為自中斷,說(shuō)明超時(shí)而未收到挑戰(zhàn)回復(fù)�; 若為流中斷,說(shuō)明收到挑戰(zhàn)回復(fù)���,轉(zhuǎn)移至"發(fā)送后繼挑戰(zhàn),決定結(jié)果"狀態(tài)����,在"發(fā) 送后繼挑戰(zhàn),決定結(jié)果"狀態(tài)��,首先決定是否需要進(jìn)一步的發(fā)送挑戰(zhàn)��,若需要?jiǎng)t發(fā) 送后繼挑戰(zhàn)���;若不需要��,則給出認(rèn)證結(jié)果��,并向正EE802.1X中的Backend后臺(tái)狀
態(tài)機(jī)和申請(qǐng)者同時(shí)發(fā)送認(rèn)證結(jié)果���,轉(zhuǎn)向"等待認(rèn)證請(qǐng)求"狀態(tài)�,繼續(xù)等待其他申請(qǐng) 者認(rèn)證請(qǐng)求的到來(lái)�。
對(duì)申請(qǐng)者eap一supp模型進(jìn)行如下設(shè)計(jì),見(jiàn)圖8:
仿真開(kāi)始時(shí)��,申請(qǐng)者eap—supp模型由"初始"狀態(tài)無(wú)條件轉(zhuǎn)移到"等待認(rèn)證通 知"狀態(tài)�,等待wireless—Ian_mac模塊的認(rèn)證通知,申請(qǐng)者的wirelessjan—mac模塊 發(fā)現(xiàn)有數(shù)據(jù)包傳遞且此時(shí)未啟動(dòng)認(rèn)證序列時(shí)���,就發(fā)送一個(gè)認(rèn)證通知給EAP認(rèn)證模 塊���,通知EAP認(rèn)證模塊啟動(dòng)一個(gè)認(rèn)證序列,此時(shí)���,申請(qǐng)者eap—auth模型接收到通知��, 便轉(zhuǎn)移至"向認(rèn)證者發(fā)送認(rèn)證請(qǐng)求"狀態(tài)�,在該狀態(tài)發(fā)送認(rèn)證請(qǐng)求包之后無(wú)條件轉(zhuǎn) 移至"等待挑戰(zhàn)"狀態(tài)�����,等待第一個(gè)挑戰(zhàn)的到來(lái)���;收到挑戰(zhàn)后����,轉(zhuǎn)移至"發(fā)送挑戰(zhàn) 回復(fù)"狀態(tài),向認(rèn)證者發(fā)送挑戰(zhàn)回復(fù)��,并無(wú)條件轉(zhuǎn)移至下一狀態(tài)——"等待挑戰(zhàn)或 結(jié)果"�;在"等待挑戰(zhàn)或結(jié)果"狀態(tài),判斷收到的認(rèn)證包是挑戰(zhàn)還是認(rèn)證結(jié)果���,若為 挑戰(zhàn)�,則回到"發(fā)送挑戰(zhàn)回復(fù)"狀態(tài)�����;若為認(rèn)證結(jié)果�����,則轉(zhuǎn)移至"識(shí)別結(jié)果"狀態(tài)�; "識(shí)別結(jié)果"狀態(tài)根據(jù)收到的認(rèn)證結(jié)果包�����,向IEEE802.1X模塊的Backend后臺(tái)狀 態(tài)機(jī)發(fā)送認(rèn)證結(jié)果���,在"等待挑戰(zhàn)"和"等待挑戰(zhàn)或結(jié)果"兩個(gè)狀態(tài)����,都設(shè)置有超 時(shí)機(jī)制,若超時(shí)后仍未收到挑戰(zhàn)或結(jié)果�����,則轉(zhuǎn)移至"向認(rèn)證者發(fā)送認(rèn)證請(qǐng)求"狀態(tài) 重新請(qǐng)求認(rèn)證�。 實(shí)施例8:
總體構(gòu)成同實(shí)施例4,仿真方法同實(shí)施例6���,參見(jiàn)圖9��。
在IEEE802.1X中��,各狀態(tài)機(jī)之間共享一組全局變量�。任何一個(gè)狀態(tài)機(jī)對(duì)任何一 個(gè)全局變量的修改,都可以被其他狀態(tài)機(jī)實(shí)時(shí)檢測(cè)到,從而可能滿足其他狀態(tài)機(jī)的 轉(zhuǎn)移�����。這就保證了多個(gè)狀態(tài)機(jī)間的協(xié)同工作。
OPNET中,每一個(gè)狀態(tài)機(jī)構(gòu)成一個(gè)單獨(dú)的進(jìn)程�,多個(gè)進(jìn)程之間不能共享全局變 量。解決辦法是在每個(gè)進(jìn)程內(nèi)單獨(dú)聲明使用到的變量����。為了保證多個(gè)狀態(tài)機(jī)之間 同名變量的一致性,要求任何進(jìn)程修改了影響其他進(jìn)程的變量時(shí)���,必須通知其他進(jìn) 程����,以便不使其他狀態(tài)機(jī)受阻滯�����。通知采用遠(yuǎn)程中斷remote—intrpt加ICI的機(jī)制��。 ICI中有兩個(gè)域Variable_ID和Value,分別表示變量的ID號(hào)和修改后的值�。采用 這種機(jī)制�����,Backend后臺(tái)狀態(tài)機(jī)����,Port Timer端口計(jì)時(shí)器��,PAE端口接入實(shí)體三者 之間不用包流線相連接����,比發(fā)送數(shù)據(jù)包通知更符合現(xiàn)實(shí)的要求�。 實(shí)施例9:
總體構(gòu)成同實(shí)施例4,仿真方法同實(shí)施例6����。
狀態(tài)機(jī)接收到另一狀態(tài)機(jī)發(fā)送的遠(yuǎn)程中斷后,修改相應(yīng)的變量值���,判斷是否符 合轉(zhuǎn)移條件���。若此時(shí)轉(zhuǎn)移條件不滿足,應(yīng)該轉(zhuǎn)移到哪個(gè)狀態(tài)呢��?本發(fā)明給每個(gè)非強(qiáng) 制狀態(tài)設(shè)置一個(gè)轉(zhuǎn)向自身的轉(zhuǎn)移���,條件為default;同時(shí)���,本發(fā)明增加了一個(gè)變量
IsDefault,表示上次轉(zhuǎn)移是否為default轉(zhuǎn)移,IsDefault為真(TRUE),表示上次轉(zhuǎn) 移為default轉(zhuǎn)移����。當(dāng)該狀態(tài)的其他所有轉(zhuǎn)移條件都不滿足時(shí),執(zhí)行default轉(zhuǎn)移���, 將變量IsDefault置為真(TRUE)��。
按default轉(zhuǎn)移到狀態(tài)自身時(shí)��,狀態(tài)的入口代碼不應(yīng)該再執(zhí)行�。故在非強(qiáng)制狀態(tài) 的入口部分����,根據(jù)狀態(tài)變量IsDefault的值,判斷上次轉(zhuǎn)移是否為default轉(zhuǎn)移���,從而 決定入口代碼是否要執(zhí)行�����。
在非強(qiáng)制狀態(tài)的出口部分,判斷中斷為遠(yuǎn)程中斷或流中斷�����。若為遠(yuǎn)程中斷,讀 取相應(yīng)ICI中的信息數(shù)據(jù)���,并調(diào)用函數(shù)SetVar ()修改相應(yīng)變量的值����,然后判斷轉(zhuǎn) 移條件����。若為流中斷,則根據(jù)流索引號(hào)判斷包的來(lái)向�。若數(shù)據(jù)包來(lái)自wireless—lan—mac 模塊,則將該數(shù)據(jù)包轉(zhuǎn)發(fā)為EAP認(rèn)證模塊��。若數(shù)據(jù)包來(lái)自EAP認(rèn)證模塊��,則讀取 該數(shù)據(jù)包的信息�,根據(jù)數(shù)據(jù)包類型域的值做出處理。若pktype等于l���,表示是通知 認(rèn)證結(jié)果的數(shù)據(jù)包�����,Backend后臺(tái)狀態(tài)機(jī)要根據(jù)數(shù)據(jù)包中的信息��,修改相應(yīng)的變量 值��,并通知PAE端口接入實(shí)體�;若pktype等于2,表示是普通的認(rèn)證包�����,則將數(shù)據(jù) 包轉(zhuǎn)發(fā)為wireless—lan—mac模塊�����。 實(shí)施例10:
總體構(gòu)成同實(shí)施例4�����,仿真方法同實(shí)施例6����,參見(jiàn)圖10和圖11。
IEEE802.1X協(xié)議所給出的狀態(tài)機(jī)中�����,存在一種不同于一般狀態(tài)機(jī)的轉(zhuǎn)移�,稱作 全局轉(zhuǎn)移。這種轉(zhuǎn)移只有單一末狀態(tài)和轉(zhuǎn)移條件�,而沒(méi)有單一的初狀態(tài)。當(dāng)轉(zhuǎn)移條 件滿足時(shí)�����,無(wú)論當(dāng)前狀態(tài)機(jī)處于哪一個(gè)狀態(tài)��,都必須轉(zhuǎn)移到末狀態(tài)�。而在OPNET 進(jìn)程建模,并不支持全局轉(zhuǎn)移�,所以必須通過(guò)某種方式達(dá)到相同的功能。
用S表示所有狀態(tài)的集合�,x為狀態(tài)機(jī)中的某個(gè)狀態(tài)。用T來(lái)表示轉(zhuǎn)移的集合�, 則丁={<" j, y>�,其中i, j GS且狀態(tài)機(jī)中存在從i至lJj的轉(zhuǎn)移,y為轉(zhuǎn)移所需的 條件}��。那么狀態(tài)機(jī)SM可以表示為二元組SN^〈S�����, T>。 方法l:通過(guò)增加轉(zhuǎn)移來(lái)消去全局轉(zhuǎn)移
若有一個(gè)全局轉(zhuǎn)移����,末狀態(tài)為Y。設(shè)X為狀態(tài)集中除去Y的任何其他狀態(tài)�����,為 消去該全局轉(zhuǎn)移�,可以增加X(jué)到Y(jié)的轉(zhuǎn)移,轉(zhuǎn)移條件為全局轉(zhuǎn)移的條件��。采用方法 1消去全局轉(zhuǎn)移的例子如圖IO所示�。
使用該方法消去全局轉(zhuǎn)移的過(guò)程比較直觀,但缺點(diǎn)也很明顯�����。在一個(gè)狀態(tài)數(shù)為n 的狀態(tài)機(jī)中���,為了消去任何一條全局轉(zhuǎn)移����,都需要新增加n-l條轉(zhuǎn)移�。這樣�,當(dāng)狀 態(tài)機(jī)中存在m條全局轉(zhuǎn)移時(shí)��,為了消去所有的全局轉(zhuǎn)移就需要增加(n-l) xm條轉(zhuǎn) 移��。這大大增加了狀態(tài)機(jī)的復(fù)雜度��,也會(huì)影響狀態(tài)機(jī)的執(zhí)行效率���。 方法2:通過(guò)增加一個(gè)中間狀態(tài)M來(lái)消去全局轉(zhuǎn)移
對(duì)方法l的一種改進(jìn)方法是,在一個(gè)有n個(gè)節(jié)點(diǎn)�����,m個(gè)全局轉(zhuǎn)移的狀態(tài)機(jī)SM^S�����,
T}��, S={Sl��, s2�, s3, ...��, sn}, T={t!����, t2, ...����, tk, <X��, Si����, di>},其中k為普通轉(zhuǎn)移 數(shù)�,i=l, 2, ...���, m�, m為全局轉(zhuǎn)移數(shù)�。首先在狀態(tài)集S中增加一個(gè)中間狀態(tài)M, 即S-S+M�����,然后為消去所有的全局轉(zhuǎn)移t產(chǎn)〈X, Si���, di>GT�, (i=l�����, 2, ...�, m)�,需 要按以下步驟執(zhí)行
(1) T=T-ti, (i=l�, 2,…,m);
(2) T=T+<xj�, M,山ld2l…ldn〉 ���, (Xje S且Xj不為M);
(3) T=T+<M��, yi�, dj> , (i=l�����, 2,…��,m)��。
同時(shí)在OPNET中設(shè)置狀態(tài)M為強(qiáng)制狀態(tài)(Forced State),這樣保證了兩次轉(zhuǎn)移 和一次轉(zhuǎn)移在事件排序上等效���。采用方法2消去全局轉(zhuǎn)移的例子如圖15所示���。
在一個(gè)有n個(gè)狀態(tài)的狀態(tài)機(jī)中,如果存在m個(gè)全局轉(zhuǎn)移����,采用方法2消去全局 轉(zhuǎn)移需增加一個(gè)狀態(tài)和n個(gè)轉(zhuǎn)移。與方法l相比較���,方法2在除了m-l以外的情 況中消去全局轉(zhuǎn)移所增加的轉(zhuǎn)移的數(shù)量要少的多�。所以我們采用方法2來(lái)消去全局 轉(zhuǎn)移�����。
經(jīng)過(guò)實(shí)施例8���、 9��、 10����,得到了 OPNET中可用的狀態(tài)機(jī),圖12和13給出了其 中兩個(gè)實(shí)例���,圖12為申請(qǐng)者的Backend后臺(tái)狀態(tài)機(jī)��,圖13為Port Timer端口計(jì)時(shí) 器����,另外還有申請(qǐng)者的PAE端口控制實(shí)體����,認(rèn)證者的Backend后臺(tái)狀態(tài)機(jī)�����,認(rèn)證者 的PAE端口控制實(shí)體����。圖12中有一中間狀態(tài)Mid,這由全局轉(zhuǎn)移經(jīng)方法2得到。 因此�����,采用這種方法進(jìn)行建模的優(yōu)點(diǎn)是正確性有天然的保證�,不需要進(jìn)行證明,而 不足就是實(shí)現(xiàn)起來(lái)較復(fù)雜��,即使在精簡(jiǎn)以后���,也需要5個(gè)進(jìn)程模型才能完成兩種角 色�。同時(shí)在每一個(gè)進(jìn)程模型中�����,所使用的變量和狀態(tài)數(shù)也較多����。
實(shí)施例ll:測(cè)試用例--申請(qǐng)者ST1和認(rèn)證者ST2
總體構(gòu)成同實(shí)施例4,仿真方法同實(shí)施例6�����,參見(jiàn)圖15���、圖16�、圖17和圖18。 本測(cè)試采用兩個(gè)場(chǎng)景��,以便進(jìn)行測(cè)試結(jié)果的對(duì)比����,其中一個(gè)場(chǎng)景沒(méi)有加入擴(kuò)展 認(rèn)證模塊,另一個(gè)場(chǎng)景加入擴(kuò)展認(rèn)證模塊�。測(cè)試如圖15所示,未加入認(rèn)證的場(chǎng)景中����, 不區(qū)分認(rèn)證者和申請(qǐng)者,無(wú)線節(jié)點(diǎn)ST1和ST2都為普通節(jié)點(diǎn)�,兩者之間有發(fā)包收包 的動(dòng)作;加入認(rèn)證的場(chǎng)景中���,無(wú)線節(jié)點(diǎn)ST1擔(dān)當(dāng)申請(qǐng)者的角色,節(jié)點(diǎn)ST2擔(dān)當(dāng)認(rèn)證 者的角色��。
兩個(gè)場(chǎng)景中節(jié)點(diǎn)ST1在仿真開(kāi)始發(fā)送數(shù)據(jù)包��,工作時(shí)間為10秒���,非工作時(shí)間為 90秒��;節(jié)點(diǎn)ST2不發(fā)送數(shù)據(jù)包(開(kāi)始發(fā)包時(shí)間為never)�。
仿真測(cè)試時(shí)間設(shè)定為5分鐘,收集申請(qǐng)者ST1和認(rèn)證者ST2的統(tǒng)計(jì)量�,并將兩 個(gè)場(chǎng)景中的對(duì)應(yīng)統(tǒng)計(jì)量進(jìn)行對(duì)比分析,得出結(jié)論���。圖16��、圖17和圖18中第一個(gè)折 線表示加入擴(kuò)展認(rèn)證模塊收集到的統(tǒng)計(jì)量�����,第二條折線表示未加入擴(kuò)展認(rèn)證模塊收 集到的統(tǒng)計(jì)量��。橫軸表示時(shí)間(以分鐘為單位)����,縱軸表示收集到的相應(yīng)統(tǒng)計(jì)量���。
(1) 申請(qǐng)者
如圖16所示����,無(wú)線節(jié)點(diǎn)ST1在非工作時(shí)間90秒后,開(kāi)始發(fā)送數(shù)據(jù)包����。但由于 此時(shí)未通過(guò)認(rèn)證,故啟動(dòng)認(rèn)證過(guò)程�����。統(tǒng)計(jì)量Data Traffic Rcvd(bits/sec)表示申請(qǐng)者的 收到數(shù)據(jù)速率���。圖16中第二條折線一直為0���,表示了未加入擴(kuò)展認(rèn)證模塊時(shí)節(jié)點(diǎn) ST1沒(méi)有收到數(shù)據(jù)包,因?yàn)楣?jié)點(diǎn)ST2沒(méi)有發(fā)送普通數(shù)據(jù)包����,也沒(méi)有發(fā)送認(rèn)證包;第 一條折線表示加入擴(kuò)展認(rèn)證模塊后�,申請(qǐng)者ST1收到了數(shù)據(jù)包,這是在認(rèn)證過(guò)程中��, 認(rèn)證者ST2向申請(qǐng)者ST1發(fā)送的認(rèn)證包��。
統(tǒng)計(jì)量Data Traffic Send(bits/sec)表示申請(qǐng)者的發(fā)送數(shù)據(jù)速率�。由圖17可以看出 90秒非工作時(shí)間后,認(rèn)證過(guò)程啟動(dòng)�。在第一個(gè)IO秒鐘的工作時(shí)間中,第二條折線 高于第一條折線�����。這是因?yàn)樵诘谝粋€(gè)IO秒鐘的工作時(shí)間中��,申請(qǐng)者ST1正處于認(rèn) 證時(shí)期����,而且認(rèn)證未通過(guò),高層發(fā)送的數(shù)據(jù)包都被丟棄���。但認(rèn)證通過(guò)后�,以后的每 一個(gè)10秒鐘工作時(shí)間中��,兩個(gè)折線重合��。增加認(rèn)證功能����,確實(shí)在仿真初期對(duì)申請(qǐng)者 ST1發(fā)送數(shù)據(jù)造成了較大影響;但是在認(rèn)證功能完成以后����,對(duì)申請(qǐng)者ST1發(fā)送數(shù)據(jù) 的影響就沒(méi)有了�����。說(shuō)明增加擴(kuò)展認(rèn)證模塊幾乎不影響申請(qǐng)者ST1發(fā)送數(shù)據(jù)的情況�����, 這就說(shuō)明了擴(kuò)展認(rèn)證模塊具有完備性��。
(2) 認(rèn)證者
統(tǒng)計(jì)量Data Traffic Send(bits/sec)表示認(rèn)證者的發(fā)送數(shù)據(jù)速率�����。如圖18所示�,第 二條折線一直為O�����,這表示未加入擴(kuò)展認(rèn)證模塊時(shí)�,認(rèn)證者ST2不發(fā)送數(shù)據(jù),這和 我們?cè)O(shè)置的認(rèn)證者ST2開(kāi)始發(fā)包時(shí)間為never這一屬性相符�����。第一條折線表示加入 了擴(kuò)展認(rèn)證模塊后�����,認(rèn)證者ST2也發(fā)送了數(shù)據(jù)���,這是認(rèn)證者向申請(qǐng)者發(fā)送的認(rèn)證包���, 和我們的設(shè)想也是一樣的。 實(shí)施例12:測(cè)試用例二——漫游場(chǎng)景
總體構(gòu)成同實(shí)施例4,仿真方法同實(shí)施例6����,參見(jiàn)圖19和圖20。
本測(cè)試采用如圖19的場(chǎng)景���,涉及到認(rèn)證者AP1���、認(rèn)證者AP2和申請(qǐng)者ST。圖 中的直線為申請(qǐng)者ST仿真過(guò)程中的運(yùn)行軌跡��。認(rèn)證者AP1和AP2作為兩個(gè)接入點(diǎn)���。
認(rèn)證者API的基本服務(wù)集標(biāo)識(shí)號(hào)BSS Identifier為0��,認(rèn)證者AP2的基本服務(wù) 集標(biāo)識(shí)號(hào)BSS Identifier為l�����,兩者屬于兩個(gè)不同的基本服務(wù)集����。仿真開(kāi)始時(shí),申 請(qǐng)者ST發(fā)送數(shù)據(jù)包��,工作時(shí)間為1000秒���,非工作時(shí)間為1秒��;申請(qǐng)者ST的BSS Identifier開(kāi)始設(shè)為0����,和認(rèn)證者API在同一基本服務(wù)集中���;Roaming Capability設(shè)為 使能(Enabled),表示當(dāng)現(xiàn)在連接的接入點(diǎn)AP信號(hào)變?nèi)?信號(hào)的有效范圍通常為 300米)時(shí)����,ST可以搜尋新的接入點(diǎn)AP接入網(wǎng)絡(luò)。test—roaming為申請(qǐng)者ST的軌 跡�,ST沿此軌跡運(yùn)動(dòng)時(shí),認(rèn)證者AP1的信號(hào)會(huì)逐漸減弱���,申請(qǐng)者ST與其失去聯(lián)系, 搜尋新接入點(diǎn)AP����,就會(huì)發(fā)現(xiàn)認(rèn)證者AP2,并重新啟動(dòng)認(rèn)證過(guò)程���,和AP2建立連接����。
圖20為該場(chǎng)景收集到的統(tǒng)計(jì)量��,從上至下依次為申請(qǐng)者ST的數(shù)據(jù)接收速率Data Tra伍c Rcvd(bits/sec)��、認(rèn)證者API的數(shù)據(jù)發(fā)送速率Data Traffic Send(bits/sec)和認(rèn)證 者AP2的數(shù)據(jù)發(fā)送速率Data Traffic Send(bits/sec)����。因?yàn)檎J(rèn)證者API和AP2本身并 不發(fā)送包。圖中顯示的發(fā)包即可推斷出為認(rèn)證過(guò)程中的認(rèn)證包��。由圖中可以看出, 共有兩次認(rèn)證過(guò)程�����,第一次在申請(qǐng)者ST和認(rèn)證者AP1間進(jìn)行�����,第二次在申請(qǐng)者ST 和認(rèn)證者AP2間進(jìn)行�����,因?yàn)榇藭r(shí)申請(qǐng)者ST己經(jīng)和AP1失去聯(lián)系����,搜索到新的接入 點(diǎn),并將BSS Identifier設(shè)為1 ���,和認(rèn)證者AP2位于同一基本服務(wù)集中�����。圖中���,申請(qǐng) 者ST的數(shù)據(jù)接收速率等于認(rèn)證者API和AP2數(shù)據(jù)發(fā)送速率的疊加�,和我們的預(yù)想 是相符合的�。 五、結(jié)論
由以上對(duì)收集到的統(tǒng)計(jì)量分析可以看出����,在仿真的初期,由于需要發(fā)送用于完 成認(rèn)證過(guò)程的認(rèn)證數(shù)據(jù)包���,使用增加了認(rèn)證功能的節(jié)點(diǎn)模型的場(chǎng)景在性能上有了一 定的下降,說(shuō)明認(rèn)證功能對(duì)網(wǎng)絡(luò)性能造成了一定的影響����,但這也僅限于仿真初期。 到認(rèn)證過(guò)程完成以后����,由于不需要再發(fā)送認(rèn)證數(shù)據(jù)包,認(rèn)證功能對(duì)網(wǎng)絡(luò)性能不再有 影響���?��?梢哉f(shuō),加入了擴(kuò)展認(rèn)證模塊的無(wú)線節(jié)點(diǎn)具有功能性��,完備性,高效率的特 點(diǎn)�。
從漫游場(chǎng)景的測(cè)試結(jié)果可以看出,擴(kuò)展認(rèn)證模塊的加入���,同樣是影響到和接入 點(diǎn)AP剛剛建立聯(lián)系的短暫時(shí)間內(nèi)�����。節(jié)點(diǎn)移動(dòng)至另一個(gè)基本服務(wù)集中��,通過(guò)接入點(diǎn) AP的認(rèn)證后����,即可接入該基本服務(wù)集的網(wǎng)絡(luò)服務(wù)中�����。認(rèn)證功能對(duì)網(wǎng)絡(luò)的安全有相 當(dāng)程度上的控制��。
本發(fā)明設(shè)計(jì)實(shí)現(xiàn)了基于EAP的IEEE802.1X安全認(rèn)證標(biāo)準(zhǔn)的無(wú)線網(wǎng)絡(luò)仿真平臺(tái) 和方法��,在無(wú)線節(jié)點(diǎn)和接入點(diǎn)AP中完好地實(shí)現(xiàn)了數(shù)據(jù)包和認(rèn)證包的分類處理過(guò)程�����, 增加了安全認(rèn)證的功能,并解決了無(wú)線節(jié)點(diǎn)漫游接入的認(rèn)證問(wèn)題����。
符號(hào)說(shuō)明
WLAN: Wireless Local Area Network,無(wú)線局域網(wǎng) AP: Access Point,接入點(diǎn)
EAP: Extensible Authentication Protocol, 可擴(kuò)展認(rèn)證協(xié)議 BSS: Basic Service Set,基本服務(wù)集 MAC: Media Access Control,媒體訪問(wèn)控制 WEP: Wired Equivalent Privacy,有線等效私密性 PAE: Port Access Entity,端口接入實(shí)體
權(quán)利要求
1.一種基于EAP的IEEE802.1X安全協(xié)議的仿真平臺(tái)�����,其中網(wǎng)絡(luò)仿真軟件OPNET的無(wú)線節(jié)點(diǎn)模型中source與sink模塊仿真應(yīng)用層�,物理層由接收器wlan_port_rx0和發(fā)送器wlan_port_tx0組成,負(fù)責(zé)接收和發(fā)送對(duì)其他節(jié)點(diǎn)的數(shù)據(jù)包�,wlan_mac_intf和wireless_lan_mac兩個(gè)模塊仿真MAC媒體訪問(wèn)控制層;wlan_mac_intf模塊負(fù)責(zé)目標(biāo)地址的確定�;wireless_lan_mac模塊負(fù)責(zé)應(yīng)用層數(shù)據(jù)包的分片��、封裝�、排隊(duì)、發(fā)送�����,并將物理層收到并轉(zhuǎn)發(fā)來(lái)的分片進(jìn)行解封��、組裝�����、傳送到應(yīng)用層,同時(shí)檢測(cè)沖突和轉(zhuǎn)發(fā)數(shù)據(jù)包�����;IEEE802.1X標(biāo)準(zhǔn)給出6個(gè)有限狀態(tài)機(jī)�����,其特征在于在原有無(wú)線節(jié)點(diǎn)中添加擴(kuò)展認(rèn)證膜塊���,所添加部分與wireless_lan_mac模塊融合�����,擴(kuò)展認(rèn)證模塊包括EAP認(rèn)證模塊和端口控制模塊���,即根據(jù)RFC3748 EAP協(xié)議和IEEE802.1X標(biāo)準(zhǔn)設(shè)計(jì)得到的EAP認(rèn)證模塊和端口控制模塊直接連接到wireless_lan_mac這一進(jìn)程模塊上;所述EAP認(rèn)證模塊和端口控制模塊包括有EAP認(rèn)證模塊��、Backend后臺(tái)狀態(tài)機(jī)�����、Port Timer端口計(jì)時(shí)器與PAE端口接入實(shí)體,Backend后臺(tái)狀態(tài)機(jī)直接與EAP認(rèn)證模塊數(shù)據(jù)連接�����,同時(shí)與wireless_lan_mac模塊數(shù)據(jù)連接�,端口控制模塊中的端口計(jì)時(shí)器、端口接入實(shí)體和后臺(tái)狀態(tài)機(jī)三者中兩兩之間均通過(guò)遠(yuǎn)程中斷控制信號(hào)連接����,不用包流線連接。
2. 根據(jù)權(quán)利要求1所述的基于EAP的IEEE802.1X安全協(xié)議的仿真平臺(tái)�����,其 特征在于所述EAP認(rèn)證模塊��,分為申請(qǐng)者和認(rèn)證者在申請(qǐng)者中��,實(shí)現(xiàn)eap一supp 模塊����;認(rèn)證者中���,實(shí)現(xiàn)eap一auth模塊����;兩者分別通過(guò)各自的Backend后臺(tái)狀態(tài)機(jī) 和wireless—lan—mac模塊接入到網(wǎng)絡(luò)中,實(shí)現(xiàn)相互通信����;仿真過(guò)程中,將認(rèn)證者 和認(rèn)證服務(wù)器合二為一�,即一個(gè)基本服務(wù)集BSS內(nèi)部的接入點(diǎn)AP完成認(rèn)證服務(wù) 器的功能,不需要再向認(rèn)證服務(wù)器轉(zhuǎn)發(fā)EAP幀��。
3. 根據(jù)權(quán)利要求1所述的基于EAP的IEEE802.1X安全協(xié)議的仿真平臺(tái)�,其 特征在于所述端口控制模塊是由正EE802.1X標(biāo)準(zhǔn)中的3個(gè)有限狀態(tài)機(jī)經(jīng)過(guò)等 效轉(zhuǎn)換得到,包括后臺(tái)狀態(tài)機(jī)�����、端口計(jì)時(shí)器與端口接入實(shí)體����;其中后臺(tái)狀態(tài)機(jī)主 要用于后臺(tái)認(rèn)證;端口計(jì)時(shí)器狀態(tài)機(jī)用于超時(shí)控制��;端口接入實(shí)體模塊用于端口 控制�����;三者相互協(xié)作完成認(rèn)證過(guò)程中的端口控制功能。
4. 根據(jù)權(quán)利要求1所述的基于EAP的正EE802.1X安全協(xié)議的仿真平臺(tái)�����,其特征在于wireless—lan一mac模塊中接入擴(kuò)展認(rèn)證模塊后�����,函數(shù) wlan—interruptsjrocess()增加對(duì)來(lái)自擴(kuò)展認(rèn)證模塊的流中斷的處理過(guò)程��,改進(jìn)后 wireless—lan—mac模塊的輸入流增加為三個(gè)��,分別對(duì)應(yīng)于來(lái)自物理層�、應(yīng)用層和 擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包。
5. 根據(jù)權(quán)利要求1�����、 2���、 3����、 4的基于EAP的IEEE802.1X安全協(xié)議的仿真平 臺(tái)的仿真方法��,其特征在于具體處理流程中�,增加了函數(shù)wlan一eap—data—arrival (),處理來(lái)自擴(kuò)展認(rèn)證模塊的認(rèn)證包����,對(duì)函數(shù)wlan—higher—layer—data—arrival()和 wlan_physical—layer—data—arrival()進(jìn)行了適應(yīng)性修改;wlan—interrupts_process()函 數(shù)的具體處理流程步驟如下一�、 開(kāi)始;二���、 判斷流中斷是否來(lái)自應(yīng)用層����,若否�����,轉(zhuǎn)步驟四����;三、 調(diào)用函數(shù)wlan—higher—layer—data—arrival()�����,處理來(lái)自應(yīng)用層的數(shù)據(jù)包, 轉(zhuǎn)步驟七����;四、 判斷流中斷是否來(lái)自物理層�,若否,轉(zhuǎn)步驟六����;五、 調(diào)用函數(shù)wlan_physical_layer—data—arrival()�����,處理來(lái)自應(yīng)用層的數(shù)據(jù)包��, 轉(zhuǎn)步驟七���;六���、 調(diào)用函數(shù)wlan_eap—data—arrival (),處理來(lái)自擴(kuò)展認(rèn)證模塊的數(shù)據(jù)包�;七����、 結(jié)束�。
6. 根據(jù)權(quán)利要求5所述的基于EAP的正EE802.1X安全協(xié)議的仿真方法�����,其 特征在于新增wlan—eap—data—arrival ()函數(shù)處理認(rèn)證包的數(shù)據(jù)�����,認(rèn)證包分為認(rèn) 證結(jié)果包和普通認(rèn)證包兩類��,類型分別為1和2;函數(shù)wlan—eap_data_arrival () 首先判斷認(rèn)證包的類型����,再作處理;然后根據(jù)認(rèn)證狀態(tài)變量的值����,決定該無(wú)線節(jié) 點(diǎn)是否可接入本網(wǎng)絡(luò),具體的步驟如下一) ��、開(kāi)始�����;二) 、獲取來(lái)自eap的認(rèn)證包���;三) ��、判斷認(rèn)證包的類型是否為2�,若不為2�,轉(zhuǎn)步驟五);四) ��、將認(rèn)證包插入到發(fā)送隊(duì)列中��,執(zhí)行函數(shù)wlan_hlpk—enqueue()�����,轉(zhuǎn)步驟八)�;五) 、判斷認(rèn)證包的類型是否為1�,若不為l,轉(zhuǎn)步驟七);六) ����、根據(jù)認(rèn)證包信息域的值修改認(rèn)證狀態(tài)變量的值����,轉(zhuǎn)步驟八)��;七) ��、認(rèn)證包類型不符�����,丟棄并報(bào)錯(cuò)���;八) 、結(jié)束����。
7. 根據(jù)權(quán)利要求5所述的基于EAP的IEEE802.1X安全協(xié)議的仿真方法,其 特征在于所述認(rèn)證者eap—auth模型設(shè)置有相關(guān)變量參數(shù)����,申請(qǐng)者eap—supp模 型也設(shè)置有相關(guān)變量參數(shù),二者的相關(guān)變量參數(shù)相互關(guān)聯(lián)�;認(rèn)證者通過(guò)向申請(qǐng)者 發(fā)送挑戰(zhàn),以獲取申請(qǐng)者的身份和其他相關(guān)信息����,決定該申請(qǐng)者能否接入網(wǎng)絡(luò)享 受網(wǎng)絡(luò)服務(wù)���;認(rèn)證過(guò)程的相互通信,設(shè)有超時(shí)中斷�����,若在規(guī)定時(shí)間內(nèi)未收到相應(yīng) 信息���,認(rèn)證者eap_auth模型或申請(qǐng)者eap一supp模型重新進(jìn)入初始狀態(tài)����。
8. 根據(jù)權(quán)利要求5所述的基于EAP的IEEE802.1X安全協(xié)議的仿真方法�, 其特征在于在IEEE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中,進(jìn)程間通信采用遠(yuǎn) 程中斷remote—intrpt加ICI的機(jī)制����,ICI中設(shè)有兩個(gè)域Variable—ID和Value, 分別表示變量的編號(hào)和其修改后的值���。
9. 根據(jù)權(quán)利要求5所述的基于EAP的正EE802.1X安全協(xié)議的仿真方法��, 其特征在于在IEEE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中����,default轉(zhuǎn)移的設(shè)置給每個(gè)非強(qiáng)制狀態(tài)設(shè)置一個(gè)轉(zhuǎn)向自身的轉(zhuǎn)移,條件為default,狀態(tài)機(jī)接收 到另一狀態(tài)機(jī)發(fā)送的遠(yuǎn)程中斷后�����,修改相應(yīng)的變量值�����,判斷是否符合轉(zhuǎn)移條件��; 若不符合��,則執(zhí)行default轉(zhuǎn)移��,設(shè)置變量IsDefault為TRUE,以便不再執(zhí)行該 狀態(tài)的入口代碼��。
10. 根據(jù)權(quán)利要求3所述的基于EAP的IEEE802.1X安全協(xié)議的仿真方法���, 其特征在于在正EE802.1X重要狀態(tài)機(jī)的等效轉(zhuǎn)換過(guò)程中,全局轉(zhuǎn)移的消去方 法有兩種用S表示所有狀態(tài)的集合�,x為狀態(tài)機(jī)中的某個(gè)狀態(tài);用T來(lái)表示轉(zhuǎn)移的 集合,則T-H�����, j��, y>��,其中i����, j es且狀態(tài)機(jī)中存在從i到j(luò)的轉(zhuǎn)移,y為轉(zhuǎn) 移所需的條件}�����,那么狀態(tài)機(jī)SM可以表示為二元組SM-〈S���, T>;全局轉(zhuǎn)移消去方法l:通過(guò)增加轉(zhuǎn)移來(lái)消去全局轉(zhuǎn)移若有一個(gè)全局轉(zhuǎn)移�,末狀態(tài)為Y����,設(shè)X為狀態(tài)集中除去Y的任何其他狀態(tài), 為消去該全局轉(zhuǎn)移�����,可以增加X(jué)到Y(jié)的轉(zhuǎn)移,轉(zhuǎn)移條件為全局轉(zhuǎn)移的條件��;全局轉(zhuǎn)移消去方法2:通過(guò)增加一個(gè)中間狀態(tài)M來(lái)消去全局轉(zhuǎn)移對(duì)方法1的一種改進(jìn)是:在一個(gè)有n個(gè)節(jié)點(diǎn)����,m個(gè)全局轉(zhuǎn)移的狀態(tài)機(jī)SM={S,T}���, S={Sl�����, s2���, s3����, ..., sn}���, T-仏���,t2�,…����,tk, <X�, Si, di>}���,其中k為普通 轉(zhuǎn)移數(shù)���,i=l, 2�,…,m�, m為全局轉(zhuǎn)移數(shù),首先在狀態(tài)集S中增加一個(gè)中間狀 態(tài)M����,即S-S+M,然后為消去所有的全局轉(zhuǎn)移t^〈X�����, Si, di>ET�����, (i=l���, 2���,..., m)����,需要按以下步驟執(zhí)行(1) . T=T-ti, (i=l�����, 2�,…,m);(2) . T=T+<xj�, M�,山ld2l…ldn〉 , (XjE S且Xj不為M);(3) . T=T+<M��, yi, dj> �, (i=l, 2��,…��,m)同時(shí)在OPNET中設(shè)置狀態(tài)M為強(qiáng)制狀態(tài)��,保證兩次轉(zhuǎn)移和一次轉(zhuǎn)移在事 件排序上等效�����。
全文摘要
本發(fā)明是基于EAP的IEEE802.1X安全協(xié)議的仿真平臺(tái)及方法�,對(duì)OPNET原有無(wú)線節(jié)點(diǎn)中的wireless_lan_mac模塊進(jìn)行改進(jìn),并添加擴(kuò)展認(rèn)證模塊�����,包括EAP認(rèn)證模塊和端口控制模塊���,所添加部分與wireless_lan_mac模塊融合���,成功地增加了安全認(rèn)證的功能。EAP認(rèn)證模塊設(shè)有認(rèn)證者和申請(qǐng)者�����,兩者之間相互通信完成安全認(rèn)證,完整體現(xiàn)了認(rèn)證過(guò)程�,同時(shí)其復(fù)雜度并不高,仿真效率較好�。端口控制模塊由IEEE802.1X的有限狀態(tài)機(jī)經(jīng)等效變換而得,保證了協(xié)議模型狀態(tài)機(jī)在設(shè)計(jì)上的正確性�����,避免了模型版本間的混亂�。實(shí)現(xiàn)了無(wú)線節(jié)點(diǎn)在不同BSS中漫游重新認(rèn)證的仿真場(chǎng)景,解決了漫游接入的認(rèn)證問(wèn)題�。能保證WLAN數(shù)據(jù)的完整性、不可否認(rèn)性和機(jī)密性��,并在此基礎(chǔ)上測(cè)試其他實(shí)現(xiàn)的各種無(wú)線安全協(xié)議及各種協(xié)議間的多模接入�。
文檔編號(hào)H04L29/08GK101360020SQ20081015119
公開(kāi)日2009年2月4日 申請(qǐng)日期2008年9月28日 優(yōu)先權(quán)日2008年9月28日
發(fā)明者勇 曾, 朱振芳, 李興華, 力 楊, 超 楊, 楊衛(wèi)東, 沈玉龍, 超 王, 偉 郭, 卓 馬, 馬建峰, 高俊濤 申請(qǐng)人:西安電子科技大學(xué)