專利名稱:基于eap的ieee802.1x安全協議的仿真平臺及方法
技術領域:
本發(fā)明屬于無線局域網WLAN安全協議的仿真測試領域,涉及如今WLAN使
用的安全認證協議之--基于EAP的IEEE802.1X標準,具體就是一種基于EAP
的IEEE802.1X安全協議的仿真平臺及方法。
背景技術:
最近幾年,WLAN開始在局域網市場中獨霸一方。越來越多的機構發(fā)現WLAN 是傳統(tǒng)有線局域網不可缺少的好助手,它可以滿足人們對移動、布局變動和自組網 絡的需求,并能覆蓋難以鋪設有線網絡的地域。隨著WLAN的高速發(fā)展,各種 IEEE802.11x標準不斷被更新,新的無線網絡架構和技術也不斷被提出,這其中就 包括WLAN的安全技術。
WLAN通過射頻在空間傳播而非電纜傳輸,信息很容易擴散到希望被接收的范 圍之外,這使得安全保護裝置,甚至防火墻都無能為力。因此,在設計與部署WLAN 時需要采用一種不同于有線網絡的安全保護機制。WLAN的安全性包括兩個方面 訪問控制和保密性。訪問控制確保敏感的數據僅由獲得授權的用戶訪問,保密性則 確保傳送的數據只被目標接收人接收和處理。
IEEE802.11b標準定義了兩種機理來提供WLAN的訪問控制和保密服務配置 標識符(SSID)和有線等效保密(WEP)。在SSID機理中,提供口令認證機制, SSID是一個簡單的口令;但其安全性并不好,因為接入點AP常在自己的信標中廣 播SSID。
有線等效保密(WEP)被IEEE802.11b標準規(guī)定為可選加密方案,提供了確保 WLAN數據流的機制。WEP的缺陷在于其加密密鑰為靜態(tài)密鑰而非動態(tài)密鑰。這 意味著,為了更新密鑰,IT人員必須親自訪問每臺機器,而這在學術環(huán)境和公共場 所是不可能的。另一種辦法是讓密鑰保持不變,而這會使用戶容易受到攻擊??偟?來說,為了確保WLAN的安全性,其安全方案應做到
* WLAN身份驗證基于與設備獨立的項目,如用戶名和口令等,不論在哪一部客
戶機上運行,這些項目都由用戶擁有和使用。
*支持客戶機和驗證(RADIUS)服務器之間的雙向身份驗證。 *使用由用戶身份驗證動態(tài)產生的WEP密鑰,并不是和客戶機物理相關的靜態(tài)密 鑰。
*支持基于會話的WEP密鑰。
第一代WLAN安全性能依賴于訪問控制和保密的靜態(tài)WEP密鑰,它并不能解 決以上這些需求。我們所需要的WLAN安全解決方案,應該利用基于標準的和開放 的結構,充分利用802.11b安全部件,提供最高級別的可用安全性,實現從一個中 央控制點進行有效的安全管理。一個對安全做出承諾的安全解決方案應該遵循IEEE 提案中的關鍵內容,這個提案由Cisco、 Microsoft和其它公司聯合提出。它的中心 問題集中在以下幾個方面
*可擴展認證協議(EAP),是使無線客戶機適配器與RADIUS服務器進行通信
的遠程訪問撥號用戶服務(RADIUS)的擴展。
* IEEE 802.1X,端口訪問控制技術,用于控制端口通信。
當無線客戶機與接入點AP關聯后,是否可以使用接入點AP的服務要取決于 IEEE802.1x的認證結果。如果認證通過,則接入點AP為無線客戶機打開這個邏輯 端口,否則不允許用戶上網。
EAP和正EE802.1X在遵循WEP的基礎上,提供了一個集中管理、基于標準、 開放的方法來解決802.11標準在安全方面的局限。同時,EAP框架是對有線網絡的 擴展,使企業(yè)為每個訪問方法提供一個單獨的安全結構。
而對于新協議的測試,需要對網絡的可靠性和有效性進行客觀地評估,從而降 低投資風險,使得測試結果能夠真實反映新協議的表現。在這種情況下,網絡仿真 作為一種新的網絡規(guī)劃和設計技術應運而生,它以其獨有的方法為網絡的規(guī)劃設計 提供客觀、可靠的定量依據,提高網絡建設中決策的科學性。具體來說,網絡仿真 技術是一種通過建立網絡設備、鏈路和協議模型,并模擬網絡流量的傳輸,從而獲 取網絡設計或優(yōu)化所需要的網絡性能數據的仿真技術。
OPNET最早是在1986年由麻省理工大學的兩個博士創(chuàng)建的,并發(fā)現網絡模擬 非常有價值,因此于1987年建立了商業(yè)化的OPNET。 OPNET仿真軟件,具有以下 幾個突出特點
*采用階層性的模擬方式,從協議間關系看,節(jié)點模塊建模完全符合OSI標準。 從網絡物件層次方面,提供三層建模機制,底層為進程(Process)模型,以有限狀
態(tài)機(FSM)來描述協議;其次為節(jié)點(Node)模型,由相應的協議模型構成,反映 設備特性;最上層為網絡模型,與實際網絡對應。三層模型與實際的協議、設備、 網絡完全對應,全面反映了網絡的相關特性。
*采用離散事件驅動(Discrete Event Driven)的模擬機理,與時間驅動相比,計 算效率得到了很大提高。
*系統(tǒng)的完全開放性,Modeler中的源碼全部開放,用戶可以根據自己的需要添加、 修改己有的源碼。因此,很多用戶都是在標準的協議上進行一些修改來作自己的研 究。
OPNET原有的無線節(jié)點只具有單一的數據接收和轉發(fā)功能,沒有安全認證的功 能,從根本上不能完整地、無縫地解決漫游接入的認證問題。
本發(fā)明項目組對國內外專利文獻和公開發(fā)表的期刊論文檢索,尚未發(fā)現與本發(fā)明 密切相關和一樣的報道或文獻。
發(fā)明內容
本發(fā)明的目的是克服上述技術或方法存在的缺點,提供一種能保證WLAN數據 的完整性、不可否認性和機密性,并可以在此基礎上測試其他實現的各種無線安全 協議及各種協議間的多模接入的,實現漫游接入安全認證的基于EAP的IEEE802.1X 安全協議的仿真平臺及方法。
下面對本發(fā)明進行詳細說明。
為了保證接入網絡的安全性,本發(fā)明在OPNET原有無線節(jié)點的基礎上實現了基 于EAP的IEEE802.1X安全協議,使得未通過認證的無線節(jié)點無權訪問網絡中的各 種資源。
網絡仿真軟件OPNET的無線節(jié)點模型如圖1所示。其中source與sink模塊仿 真應用層,物理層由接收器wlaiu)ort—rx0和發(fā)送器wlan_port—tx0組成,負責接收 其他節(jié)點發(fā)來的數據包,和向其他節(jié)點發(fā)送數據包,wlan一mac—intf和 wireless—lan—mac兩個模塊仿真MAC媒體訪問控制層;wlan—mac—intf模塊負責目 標地址的確定;wireless—laiunac模塊負責應用層數據包的分片、封裝、排隊、發(fā)送, 并將物理層收到并轉發(fā)來的分片進行解封、組裝、傳送到應用層,同時檢測沖突和 轉發(fā)數據包;IEEE802.1X標準給出6個有限狀態(tài)機。
本發(fā)明在原有無線節(jié)點中添加擴展認證模塊,所添加部分與wireless—lan—mac
模塊融合,擴展認證模塊包括EAP認證模塊和端口控制模塊,即根據RFC3748 EAP 協議和正EE802.1X標準設計得到的EAP認證模塊和端口控制模塊直接連接到 wireless—lan_mac這一進程模塊上;EAP認證模塊和端口控制模塊包括有EAP認 證模塊、Backend后臺狀態(tài)機、Port Timer端口計時器和PAE端口接入實體,Backend 后臺狀態(tài)機直接與EAP認證模塊數據連接,Backend后臺狀態(tài)機同時與 wireless—lan—mac模塊數據連接。端口控制模塊中的端口計時器、端口接入實體和后 臺狀態(tài)機三者中兩兩之間均通過遠程中斷控制信號連接,不用包流線連接。實現完 整的、無縫隙的基于EAP的802.1X安全協議的仿真平臺。
本發(fā)明的設計和添加不僅保證WLAN數據的完整性、不可否認性和機密性,并 可以在此基礎上測試其他實現的各種無線安全協議及各種協議間的多模接入,在現 有的技術平臺上解決了網絡傳輸漫游接入的安全認證問題。
本發(fā)明的實現還在于EAP認證模塊,分為申請者和認證者在申請者中,實 現eap—supp模塊;認證者中,實現eap—auth模塊;兩者分別通過各自的Backend 后臺狀態(tài)機和wireless Jan—mac模塊接入到網絡中,實現相互通信。認證過程中, 設有認證者和申請者,兩者之間相互通信,完成安全認證。根據RFC3748協議設計 得到EAP進程模型,保證了 WLAN數據的完整性、不可否認性和機密性,完整體 現了EAP認證過程,同時其復雜度并不高,仿真效率較好。
仿真過程中,將認證者和認證服務器合二為一,即一個基本服務集BSS內部的 接入點AP完成認證服務器的功能,不需要再向認證服務器轉發(fā)EAP幀。這樣接入 點AP可對無線節(jié)點進行認證,以決定該節(jié)點是否有權享用本網絡的各種資源。
本發(fā)明也實現了無線節(jié)點在不同基本服務集中漫游時,重新認證的仿真場景。 無線節(jié)點移動時,會根據接入點AP信號的強弱重新調整。當檢測到原接入點AP 信號微弱時,便自動檢測新的接入點AP,重新啟動認證過程。
本發(fā)明的實現還在于端口控制模塊,根據EAP認證模塊發(fā)送的認證結果,設 置端口的認證狀態(tài),完成對數據包流的控制,由正EE802.1X標準中的3個有限狀 態(tài)機經過等效轉換得到,包括后臺狀態(tài)機、端口計時器與端口接入實體;其中后臺 狀態(tài)機主要用于后臺認證;端口計時器狀態(tài)機用于超時控制;端口接入實體模塊用 于端口控制;三者相互協作完成認證過程的端口控制功能。等效變換過程,自然地 保證了 OPNET中建立的協議模型的狀態(tài)機在設計上的正確性,不需要再對其進行
證明,也不會造成模型版本間的混亂,同時也大大簡化了對復雜協議的建模過程, 也為進一步研究仿真其他類似協議打下了基礎。
本發(fā)明的實現還在于wirelessjan—mac模塊中接入擴展認證模塊后,函數 wlan—interruptsj3rocess()增加對來自擴展認證模塊的流中斷的處理過程,改進后 wireless—lan—mac模塊的輸入流增加為三個,分別對應于來自物理層、應用層和擴展 認證模塊的數據包。具體處理流程中,增加了函數wlan一eap一data一arriva1(),處理來 自擴展認證模塊的數據包,對函數wlan—higher—layer_data—arrivalO和 wlan_physical—layer—data—arrival()進行了適應性修改。wlan—interrupts_process()函數
的具體處理流程步驟如下
一、 開始;
二、 判斷流中斷是否來自應用層,若否,轉步驟四;
三、 調用函數wlan—higher—layer—data—arrival(),處理來自應用層的數據包,轉 步驟七;
四、 判斷流中斷是否來自物理層,若否,轉步驟六;
五、 調用函數wlan_physical_layer_data_arrival(),處理來自應用層的數據包,轉 步驟七;
六、 調用函數wlan一eap—data_arrival(),處理來自擴展認證模塊的數據包;
七、 結束。
本發(fā)明的實現還在于新增wlai^eap—data—arrival ()函數處理認證包的數據,認 證包分為認證結果包和普通認證包兩類,類型分別為1和2;函數 wlan_eap—data—arrival ()首先判斷認證包的類型,再作處理;然后根據認證狀態(tài)變量 的值,決定該無線節(jié)點是否可接入本網絡,具體的步驟如下
一) 、開始; —
二) 、獲取來自eap的認證包;
三) 、判斷認證包的類型是否為2,若不為2,轉步驟五);
四) 、將認證包插入到發(fā)送隊列中,執(zhí)行函數wlan—hlpk一enqueue(),轉步驟八);
五) 、判斷認證包的類型是否為1,若不為l,轉步驟七);
六) 、根據認證包信息域的值修改認證狀態(tài)變量的值,轉步驟八);
七) 、認證包類型不符,丟棄并報錯;
八) 、結束。
對wireless—lan—mac模塊的這些改進,包括重要函數的改進、新函數的添加及 包流的控制,完成了和擴展認證模塊的無縫融合,為其他安全協議提供了統(tǒng)一性接 口,實現了完整的、無縫隙的基于EAP的正EE802.1X安全協議的仿真平臺。
本發(fā)明的實現還在于所述認證者eap—auth模型設置有相關變量參數,申請者 eap一supp模型也設置有相關變量參數,二者的相關變量參數相互關聯;認證者通過 向申請者發(fā)送挑戰(zhàn),以獲取申請者的身份和其他相關信息,決定該申請者能否接入 網絡享受網絡服務;認證過程的相互通信,設有超時中斷,若在規(guī)定時間內未收到 相應信息,認證者eap—auth模型或申請者eap—supp模型重新進入初始狀態(tài)。
在IEEE802.1X重要狀態(tài)機的等效轉換過程中,進程間通信采用遠程中斷 remote—intrpt加ICI的機制,ICI中設有兩個域Variable—ID和Value,分別表示 變量的編號和其修改后的值。
在Backend后臺狀態(tài)機、Port Timer端口計時器和PAE端口接入實體各個進程 內單獨聲明使用到的變量,為保證多個狀態(tài)機之間同名變量的一致性,要求任何進 程修改了影響其他進程的變量時,必須通知其他進程,以便不使其他狀態(tài)機受阻滯。 采用這種機制,后臺狀態(tài)機、端口計時器和端口接入實體三者之間不用包流線相連 接,比發(fā)送數據包通知更符合現實的要求。
本發(fā)明的實現還在于在正EE802.1X重要狀態(tài)機的等效轉換過程中,default 轉移的設置。給每個非強制狀態(tài)設置一個轉向自身的轉移,條件為default,狀態(tài)機 接收到另一狀態(tài)機發(fā)送的遠程中斷后,修改相應的變量值,判斷是否符合轉移條件; 若不符合,則執(zhí)行default轉移,設置變量IsDefault為TRUE,以便不再執(zhí)行該狀態(tài) 的入口代碼。
本發(fā)明的實現還在于在正EE802.1X重要狀態(tài)機的等效轉換過程中,全局轉 移的消去方法有兩種
用S表示所有狀態(tài)的集合,x為狀態(tài)機中的某個狀態(tài);用T來表示轉移的集 合,則<formula>formula see original document page 11</formula>,其中i, j ES且狀態(tài)機中存在從i至j的轉移,y為轉移所 需的條件},那么狀態(tài)機SM可以表示為二元組SM-《,T>。 全局轉移消去方法l:通過增加轉移來消去全局轉移
若有一個全局轉移,末狀態(tài)為Y,設X為狀態(tài)集中除去Y的任何其他狀態(tài),為 消去該全局轉移,可以增加X到Y的轉移,轉移條件為全局轉移的條件。 全局轉移消去方法2:通過增加一個中間狀態(tài)M來消去全局轉移
對方法l的一種改進是在一個有n個節(jié)點,m個全局轉移的狀態(tài)機SM^S, T}, S={Sl, s2, s3, ..., sn}, T-(ti, t2, ..., tk, <X, Si, di>},其中k為普通轉移 數,i=l, 2, ..., m, m為全局轉移數。首先在狀態(tài)集S中增加一個中間狀態(tài)M, 即S-S+M,然后為消去所有的全局轉移t產〈X, Si, di>GT, (i-l, 2,…,m),需 要按以下步驟執(zhí)行
(1) . T=T-ti, (i=l, 2,…,m);
(2) . T=T+<Xj, M,山ld2l…ldn〉 , (x盧S且x」不為M);
(3) . T=T+<M, yi, di> , (i=l, 2,…,m)
同時在OPNET中設置狀態(tài)M為強制狀態(tài),保證兩次轉移和一次轉移在事件排 序上等效。方法2較方法1,消去全局轉移所增加的轉移的數量要少的多,所以采 用方法2來消去全局轉移。
由于本發(fā)明通過修改wirelessjan—mac模塊和在原有OPNET的無線節(jié)點中添加 擴展認證模塊并與wireless—lan一mac模塊融合,根據RFC3748 EAP協議和正EE 802. IX標準設計得到EAP認證模塊和端口控制模塊直接連接到wirelessJan_mac進 程模塊上,端口計時器、端口接入實體和后臺狀態(tài)機三者中兩兩之間均通過遠程中 斷控制信號連接,實現了完整的、無縫隙的基于EAP的正EE802.1X安全協議的仿 真平臺,實現了基于EAP的正EE802.1X標準的仿真測試,成功地在原無線節(jié)點中 增加了安全認證的功能,解決了漫游接入的認證問題,提供了一種能保證WLAN 數據的完整性、不可否認性和機密性的基于EAP的正EE802.1X安全協議的仿真平
臺o
還由于本發(fā)明在wlan—interrupts_process()函數的具體處理流程步驟中增加 wlan—eap—data—arrival ()函數處理認證包的數據,即對wireless—lan—mac模塊進^f亍改 進,使之與所添加的擴展認證模塊融和。仿真過程中,將認證者和認證服務器合二 為一,即一個基本服務集BSS內部的接入點AP完成認證服務器的功能,不需要再 向認證服務器轉發(fā)EAP幀,接入點AP對無線節(jié)點進行認證,以決定該節(jié)點是否有 權享用本網絡的各種資源。認證包分為普通認證包和認證結果包兩類,簡化了步驟 和程序。同時對認證者eap—auth模型的設計、對申請者eap—supp模型的設計、以及 進程間通信問題的解決均采用了既符合標準,又滿足安全認證要求的條件的方案。 提供了在此基礎上測試其他實現的各種無線安全協議及各種協議間的多模接入的基
于EAP的IEEE802.1X安全協議的仿真平臺及方法。
圖l是OPNET原有無線節(jié)點模型圖2是OPNET原有無線節(jié)點工作流程圖3是本發(fā)明的構成示意圖4是本發(fā)明wireless」an—mac模塊的數據處理流程圖5是本發(fā)明wlan—eap—data—arrival ()的流程圖6是本發(fā)明wlan_higher—layei^data-arrival()的流程圖7是本發(fā)明認證者EAP狀態(tài)圖8是本發(fā)明申請者EAP狀態(tài)圖9是本發(fā)明通知變量所用ICI的結構;
圖10是本發(fā)明方法一消去全局轉移的例子;
圖11是本發(fā)明方法二消去全局轉移的例子;
圖12是本發(fā)明申請者后臺狀態(tài)機的狀態(tài)轉移示意圖B是本發(fā)明端口計時器的狀態(tài)轉移示意圖14是本發(fā)明測試場景一申請者和認證者;
圖15是本發(fā)明兩個場景下申請者ST1的Data Traffic Rcvd(bits/sec)對比圖; 圖16是本發(fā)明兩個場景下申請者ST1的DataTra伍cSend(bits/sec)對比圖; 圖17是本發(fā)明兩個場景下認證者ST2的Data Traffic Send(bits/sec)對比圖; 圖18是本發(fā)明測試二——漫游場景; 圖19是本發(fā)明漫游場景數據收集。
具體實施例方式
下面結合附圖對本發(fā)明進行詳細說明 實施例1:
參見圖l,無線節(jié)點模型由6個進程模型,6條數據包流,兩條統(tǒng)計線組成。其 中source與sink模塊仿真應用層,物理層由接收器wlan_port—rxO和發(fā)送器 wlanjx)rt一txO組成,負責接收其他節(jié)點發(fā)來的數據包,和發(fā)送至其他節(jié)點的數據包, wlan_mac—intf和wireless—lan_mac兩個模塊仿真MAC媒體訪問控制層; wlan_mac—intf模塊負責目標地址的確定;wirelessJan一mac模塊負責應用層數據包
的分片、封裝、排隊、發(fā)送,并對物理層收到并轉發(fā)來的分片進行解封、組裝、傳 送到應用層,同時檢測沖突和轉發(fā)數據包。
本發(fā)明通過對無線節(jié)點中的wirelessjan一mac模塊進行改進,添加擴展認證模 塊,所添加部分與wirelessjan一mac模塊融合,擴展認證模塊包括EAP認證模塊和 端口控制模塊,即根據RFC3748 EAP協議和正EE802.1X標準設計得到的EAP認 證模塊和端口控制模塊直接連接到wirelessjan一mac這一進程模塊上,實現無縫隙 地連接。參見圖3,所述EAP認證模塊和端口控制模塊包括有EAP認證模塊、 Backend后臺狀態(tài)機、Port Timer端口計時器與PAE端口接入實體,Backend后臺狀 態(tài)機直接與EAP認證模塊數據連接,同時與wireless—Ian—mac模塊數據連接,端口 計時器、端口接入實體和后臺狀態(tài)機三者中兩兩之間均通過遠程中斷控制信號連接, 不用包流線連接。 實施例2:
總體構成同實施例l,參見圖3。
EAP認證模塊,分為申請者和認證者兩個不同角色。申請者中,實現eap—supp 模塊;認證者中,實現eap一auth模塊;兩者分別通過各自的Backend后臺狀態(tài)機和 wireless一lan一mac模塊接入到網絡中,實現相互通信。OPNET原有的無線節(jié)點不區(qū) 分認證者和申請者,見圖1的構成。無線節(jié)點既可以認為是認證者,又可以認為是 申請者,節(jié)點之間只有數據通信,沒有認證過程,見圖2。
仿真過程中,本發(fā)明將認證者和認證服務器合二為一,即一個基本服務集BSS 內部的接入點AP完成認證服務器的功能,不需要再向認證服務器轉發(fā)EAP幀,接 入點AP可對無線節(jié)點進行認證,以決定該節(jié)點是否有權享用本網絡的各種資源。 實施例3:
總體構成同實施例2,參見圖3。
IEEE802.1X協議是為了解決以太網接入認證問題,不是專門為WLAN設計使 用的,但它允許在共用介質中使用,因此該協議可以被應用到支持基于端口網絡接 入控制的正EE802.11 WLAN結構當中。本發(fā)明經過等效變換,可得出IEEE802.1X 有限狀態(tài)機在OPNET中的等效模型,從而保證建立的協議模型狀態(tài)機在設計上的 正確性。避免了模型版本間的混亂。我們選擇三個狀態(tài)機進行等效變換,完成認證 過程中的端口控制功能,其中Backend后臺狀態(tài)機主要用于后臺認證;Port Timer 端口計時器狀態(tài)機用于超時控制;PAE端口接入實體模塊用于端口控制。 實施例4:
總體構成同實施例l、 2、 3,參見圖3。
wireless—lan—mac模塊中力口入認證功倉b后,函數wlan—interruptsj)rocess()需相應
地增加對來自擴展認證模塊的流中斷的處理過程。改進的wirelessjan—mac模塊輸 入流增加為三個,分別對應于來自物理層、應用層和擴展認證模塊的數據包,流索 引號分別為O, l和2。
總體構成同實施例4,參見圖4和圖5。
加入擴展認證模塊后,wireless—lan—mac模塊中原有函數需要作相應改動。 函數wlan—interruptsjrocess()的具體處理流程如圖所示,步驟如下
一、 開始;
二、 判斷流中斷是否來自應用層。若否,轉步驟四;
三、 調用函數wlan—higher—layer—data—arrival(),處理來自應用層的數據包,轉步 驟七;
四、 判斷流中斷是否來自物理層。若否,轉步驟六;
五、 調用函數wlaiu)hysica1—layer—data_arrival(),處理來自應用層的數據包,轉 步驟七;
六、 調用函數wlan—eap_data_arrival (),處理來自擴展認證模塊的數據包;
七、 結束。
加入擴展認證模塊之后,需要增加根據認證狀態(tài)處理普通數據包的功能。認證 未通過時,只允許認證包的交換,不允許普通數據包的交換。這需要在應用層數據 包到達的處理函數wlan_higher—layer—data—arrival()和物理層數據包到達的處理函數 wlan一data』rocess()中都添加代碼進行修改。
函數wlan—higherjayer一data—arrival()中,處理從應用層發(fā)送的數據包,并用函數 wlan—hlpk一enqueue()將該數據包插入到發(fā)送隊列中等待發(fā)送。如圖7所示,加入擴 展認證模塊后,如果未通過認證,則銷毀一切從應用層發(fā)送來的數據包,不允許無 線節(jié)點有數據的發(fā)送;如果己通過認證,則允許一切數據包通過,節(jié)點之間可以有 數據的發(fā)送。圖5中,左邊分支是已有技術中存在的,右邊分支是本發(fā)明加入的處 理流程。函數wlan—datajirocess()的修改,和函數wlan—higher—layer—data—arrival() 的修改基本相同。 實施例6:
總體構成同實施例4,仿真方法同實施例5,參見圖6。
新增wlan—eap_data—arrival ()函數處理認證包的數據。認證包分為認證結果包和 普通認證包兩類,類型分別為1和2。函數wlan—eap—data—arrival ()首先判斷認證包 的類型,再作處理若認證包的類型為2,則將該普通認證包發(fā)送到物理層的發(fā)送 器,然后通過無線電波發(fā)送至對方節(jié)點;若類型為1,則根據該認證結果包中相應
域的值,修改認證狀態(tài)變量的值,決定該無線節(jié)點是否可接入本網絡享受服務,具 體的步驟如下
一) 、開始;
二) 、獲取來自eap的認證包;
三) 、判斷認證包的類型是否為2。若不為2,轉步驟五);
四) 、將認證包插入到發(fā)送隊列中,執(zhí)行函數wlan—hlpk—enqueue(),轉步驟八);
五) 、判斷認證包的類型是否為1。若不為l,轉步驟七);
六) 、根據認證包信息域的值修改認證狀態(tài)變量的值,轉步驟八);
七) 、認證包類型不符,丟棄并報錯;
八) 、結束。 實施例7:
總體構成同實施例4,仿真方法同實施例6,參見圖7和圖8。 申請者和認證者的整個認證交互過程可描述如下申請者和認證者建立連接, 申請者開始發(fā)送數據時,發(fā)現還沒有通過認證,便啟動認證過程。申請者首先發(fā)送 EAPOL-Start幀給認證者,以初始化認證過程。當認證者收到EAPOL-Start幀之后, 向申請者發(fā)送一個挑戰(zhàn),來獲取申請者的身份。申請者收到這個挑戰(zhàn)后,發(fā)送一個 回復,里面包含了申請者的身份ID。收到這一回復后,依照具體的認證過程,認證 者根據是否有其他信息交換過程,決定是否發(fā)送后繼挑戰(zhàn)。最后,認證者根據申請 者回復的信息,決定接收該申請者或者拒絕該申請者訪問網絡服務,并給出認證結 果。如果認證成功,認證者發(fā)送一個EAP-Success消息給申請者,說明認證已經成 功。申請者收到這個消息后,整個認證過程完成,以后申請者可以使用認證過的受 控端口和接入點AP進行通信,訪問網絡服務。如果認證失敗,認證者發(fā)送EAP— Failure消息給申請者,整個認證過程失敗,受控端口還是未認證的,不能使用。 在該協議實現過程中,對認證者eap—auth模型進行如下設計,見圖7: 仿真開始時,認證者eap—auth模型進入"初始"狀態(tài),設置相關變量的參數, 之后無條件進入"等待認證請求"狀態(tài),這一狀態(tài)中,等待申請者發(fā)送的認證請求, 若收到則轉向下一狀態(tài),在"發(fā)送初始挑戰(zhàn),等待回復"狀態(tài),入口部分判斷該狀 態(tài)是從哪一狀態(tài)轉移而來,若由"等待認證請求"轉移而來,則要發(fā)送初始挑戰(zhàn), 并設置超時中斷;若由"發(fā)送后繼挑戰(zhàn),決定結果"轉移而來,則只需設置超時中 斷,該狀態(tài)出口部分,判斷中斷類型;若為自中斷,說明超時而未收到挑戰(zhàn)回復; 若為流中斷,說明收到挑戰(zhàn)回復,轉移至"發(fā)送后繼挑戰(zhàn),決定結果"狀態(tài),在"發(fā) 送后繼挑戰(zhàn),決定結果"狀態(tài),首先決定是否需要進一步的發(fā)送挑戰(zhàn),若需要則發(fā) 送后繼挑戰(zhàn);若不需要,則給出認證結果,并向正EE802.1X中的Backend后臺狀
態(tài)機和申請者同時發(fā)送認證結果,轉向"等待認證請求"狀態(tài),繼續(xù)等待其他申請 者認證請求的到來。
對申請者eap一supp模型進行如下設計,見圖8:
仿真開始時,申請者eap—supp模型由"初始"狀態(tài)無條件轉移到"等待認證通 知"狀態(tài),等待wireless—Ian_mac模塊的認證通知,申請者的wirelessjan—mac模塊 發(fā)現有數據包傳遞且此時未啟動認證序列時,就發(fā)送一個認證通知給EAP認證模 塊,通知EAP認證模塊啟動一個認證序列,此時,申請者eap—auth模型接收到通知, 便轉移至"向認證者發(fā)送認證請求"狀態(tài),在該狀態(tài)發(fā)送認證請求包之后無條件轉 移至"等待挑戰(zhàn)"狀態(tài),等待第一個挑戰(zhàn)的到來;收到挑戰(zhàn)后,轉移至"發(fā)送挑戰(zhàn) 回復"狀態(tài),向認證者發(fā)送挑戰(zhàn)回復,并無條件轉移至下一狀態(tài)——"等待挑戰(zhàn)或 結果";在"等待挑戰(zhàn)或結果"狀態(tài),判斷收到的認證包是挑戰(zhàn)還是認證結果,若為 挑戰(zhàn),則回到"發(fā)送挑戰(zhàn)回復"狀態(tài);若為認證結果,則轉移至"識別結果"狀態(tài); "識別結果"狀態(tài)根據收到的認證結果包,向IEEE802.1X模塊的Backend后臺狀 態(tài)機發(fā)送認證結果,在"等待挑戰(zhàn)"和"等待挑戰(zhàn)或結果"兩個狀態(tài),都設置有超 時機制,若超時后仍未收到挑戰(zhàn)或結果,則轉移至"向認證者發(fā)送認證請求"狀態(tài) 重新請求認證。 實施例8:
總體構成同實施例4,仿真方法同實施例6,參見圖9。
在IEEE802.1X中,各狀態(tài)機之間共享一組全局變量。任何一個狀態(tài)機對任何一 個全局變量的修改,都可以被其他狀態(tài)機實時檢測到,從而可能滿足其他狀態(tài)機的 轉移。這就保證了多個狀態(tài)機間的協同工作。
OPNET中,每一個狀態(tài)機構成一個單獨的進程,多個進程之間不能共享全局變 量。解決辦法是在每個進程內單獨聲明使用到的變量。為了保證多個狀態(tài)機之間 同名變量的一致性,要求任何進程修改了影響其他進程的變量時,必須通知其他進 程,以便不使其他狀態(tài)機受阻滯。通知采用遠程中斷remote—intrpt加ICI的機制。 ICI中有兩個域Variable_ID和Value,分別表示變量的ID號和修改后的值。采用 這種機制,Backend后臺狀態(tài)機,Port Timer端口計時器,PAE端口接入實體三者 之間不用包流線相連接,比發(fā)送數據包通知更符合現實的要求。 實施例9:
總體構成同實施例4,仿真方法同實施例6。
狀態(tài)機接收到另一狀態(tài)機發(fā)送的遠程中斷后,修改相應的變量值,判斷是否符 合轉移條件。若此時轉移條件不滿足,應該轉移到哪個狀態(tài)呢?本發(fā)明給每個非強 制狀態(tài)設置一個轉向自身的轉移,條件為default;同時,本發(fā)明增加了一個變量
IsDefault,表示上次轉移是否為default轉移,IsDefault為真(TRUE),表示上次轉 移為default轉移。當該狀態(tài)的其他所有轉移條件都不滿足時,執(zhí)行default轉移, 將變量IsDefault置為真(TRUE)。
按default轉移到狀態(tài)自身時,狀態(tài)的入口代碼不應該再執(zhí)行。故在非強制狀態(tài) 的入口部分,根據狀態(tài)變量IsDefault的值,判斷上次轉移是否為default轉移,從而 決定入口代碼是否要執(zhí)行。
在非強制狀態(tài)的出口部分,判斷中斷為遠程中斷或流中斷。若為遠程中斷,讀 取相應ICI中的信息數據,并調用函數SetVar ()修改相應變量的值,然后判斷轉 移條件。若為流中斷,則根據流索引號判斷包的來向。若數據包來自wireless—lan—mac 模塊,則將該數據包轉發(fā)為EAP認證模塊。若數據包來自EAP認證模塊,則讀取 該數據包的信息,根據數據包類型域的值做出處理。若pktype等于l,表示是通知 認證結果的數據包,Backend后臺狀態(tài)機要根據數據包中的信息,修改相應的變量 值,并通知PAE端口接入實體;若pktype等于2,表示是普通的認證包,則將數據 包轉發(fā)為wireless—lan—mac模塊。 實施例10:
總體構成同實施例4,仿真方法同實施例6,參見圖10和圖11。
IEEE802.1X協議所給出的狀態(tài)機中,存在一種不同于一般狀態(tài)機的轉移,稱作 全局轉移。這種轉移只有單一末狀態(tài)和轉移條件,而沒有單一的初狀態(tài)。當轉移條 件滿足時,無論當前狀態(tài)機處于哪一個狀態(tài),都必須轉移到末狀態(tài)。而在OPNET 進程建模,并不支持全局轉移,所以必須通過某種方式達到相同的功能。
用S表示所有狀態(tài)的集合,x為狀態(tài)機中的某個狀態(tài)。用T來表示轉移的集合, 則丁={<" j, y>,其中i, j GS且狀態(tài)機中存在從i至lJj的轉移,y為轉移所需的 條件}。那么狀態(tài)機SM可以表示為二元組SN^〈S, T>。 方法l:通過增加轉移來消去全局轉移
若有一個全局轉移,末狀態(tài)為Y。設X為狀態(tài)集中除去Y的任何其他狀態(tài),為 消去該全局轉移,可以增加X到Y的轉移,轉移條件為全局轉移的條件。采用方法 1消去全局轉移的例子如圖IO所示。
使用該方法消去全局轉移的過程比較直觀,但缺點也很明顯。在一個狀態(tài)數為n 的狀態(tài)機中,為了消去任何一條全局轉移,都需要新增加n-l條轉移。這樣,當狀 態(tài)機中存在m條全局轉移時,為了消去所有的全局轉移就需要增加(n-l) xm條轉 移。這大大增加了狀態(tài)機的復雜度,也會影響狀態(tài)機的執(zhí)行效率。 方法2:通過增加一個中間狀態(tài)M來消去全局轉移
對方法l的一種改進方法是,在一個有n個節(jié)點,m個全局轉移的狀態(tài)機SM^S,
T}, S={Sl, s2, s3, ..., sn}, T={t!, t2, ..., tk, <X, Si, di>},其中k為普通轉移 數,i=l, 2, ..., m, m為全局轉移數。首先在狀態(tài)集S中增加一個中間狀態(tài)M, 即S-S+M,然后為消去所有的全局轉移t產〈X, Si, di>GT, (i=l, 2, ..., m),需 要按以下步驟執(zhí)行
(1) T=T-ti, (i=l, 2,…,m);
(2) T=T+<xj, M,山ld2l…ldn〉 , (Xje S且Xj不為M);
(3) T=T+<M, yi, dj> , (i=l, 2,…,m)。
同時在OPNET中設置狀態(tài)M為強制狀態(tài)(Forced State),這樣保證了兩次轉移 和一次轉移在事件排序上等效。采用方法2消去全局轉移的例子如圖15所示。
在一個有n個狀態(tài)的狀態(tài)機中,如果存在m個全局轉移,采用方法2消去全局 轉移需增加一個狀態(tài)和n個轉移。與方法l相比較,方法2在除了m-l以外的情 況中消去全局轉移所增加的轉移的數量要少的多。所以我們采用方法2來消去全局 轉移。
經過實施例8、 9、 10,得到了 OPNET中可用的狀態(tài)機,圖12和13給出了其 中兩個實例,圖12為申請者的Backend后臺狀態(tài)機,圖13為Port Timer端口計時 器,另外還有申請者的PAE端口控制實體,認證者的Backend后臺狀態(tài)機,認證者 的PAE端口控制實體。圖12中有一中間狀態(tài)Mid,這由全局轉移經方法2得到。 因此,采用這種方法進行建模的優(yōu)點是正確性有天然的保證,不需要進行證明,而 不足就是實現起來較復雜,即使在精簡以后,也需要5個進程模型才能完成兩種角 色。同時在每一個進程模型中,所使用的變量和狀態(tài)數也較多。
實施例ll:測試用例--申請者ST1和認證者ST2
總體構成同實施例4,仿真方法同實施例6,參見圖15、圖16、圖17和圖18。 本測試采用兩個場景,以便進行測試結果的對比,其中一個場景沒有加入擴展 認證模塊,另一個場景加入擴展認證模塊。測試如圖15所示,未加入認證的場景中, 不區(qū)分認證者和申請者,無線節(jié)點ST1和ST2都為普通節(jié)點,兩者之間有發(fā)包收包 的動作;加入認證的場景中,無線節(jié)點ST1擔當申請者的角色,節(jié)點ST2擔當認證 者的角色。
兩個場景中節(jié)點ST1在仿真開始發(fā)送數據包,工作時間為10秒,非工作時間為 90秒;節(jié)點ST2不發(fā)送數據包(開始發(fā)包時間為never)。
仿真測試時間設定為5分鐘,收集申請者ST1和認證者ST2的統(tǒng)計量,并將兩 個場景中的對應統(tǒng)計量進行對比分析,得出結論。圖16、圖17和圖18中第一個折 線表示加入擴展認證模塊收集到的統(tǒng)計量,第二條折線表示未加入擴展認證模塊收 集到的統(tǒng)計量。橫軸表示時間(以分鐘為單位),縱軸表示收集到的相應統(tǒng)計量。
(1) 申請者
如圖16所示,無線節(jié)點ST1在非工作時間90秒后,開始發(fā)送數據包。但由于 此時未通過認證,故啟動認證過程。統(tǒng)計量Data Traffic Rcvd(bits/sec)表示申請者的 收到數據速率。圖16中第二條折線一直為0,表示了未加入擴展認證模塊時節(jié)點 ST1沒有收到數據包,因為節(jié)點ST2沒有發(fā)送普通數據包,也沒有發(fā)送認證包;第 一條折線表示加入擴展認證模塊后,申請者ST1收到了數據包,這是在認證過程中, 認證者ST2向申請者ST1發(fā)送的認證包。
統(tǒng)計量Data Traffic Send(bits/sec)表示申請者的發(fā)送數據速率。由圖17可以看出 90秒非工作時間后,認證過程啟動。在第一個IO秒鐘的工作時間中,第二條折線 高于第一條折線。這是因為在第一個IO秒鐘的工作時間中,申請者ST1正處于認 證時期,而且認證未通過,高層發(fā)送的數據包都被丟棄。但認證通過后,以后的每 一個10秒鐘工作時間中,兩個折線重合。增加認證功能,確實在仿真初期對申請者 ST1發(fā)送數據造成了較大影響;但是在認證功能完成以后,對申請者ST1發(fā)送數據 的影響就沒有了。說明增加擴展認證模塊幾乎不影響申請者ST1發(fā)送數據的情況, 這就說明了擴展認證模塊具有完備性。
(2) 認證者
統(tǒng)計量Data Traffic Send(bits/sec)表示認證者的發(fā)送數據速率。如圖18所示,第 二條折線一直為O,這表示未加入擴展認證模塊時,認證者ST2不發(fā)送數據,這和 我們設置的認證者ST2開始發(fā)包時間為never這一屬性相符。第一條折線表示加入 了擴展認證模塊后,認證者ST2也發(fā)送了數據,這是認證者向申請者發(fā)送的認證包, 和我們的設想也是一樣的。 實施例12:測試用例二——漫游場景
總體構成同實施例4,仿真方法同實施例6,參見圖19和圖20。
本測試采用如圖19的場景,涉及到認證者AP1、認證者AP2和申請者ST。圖 中的直線為申請者ST仿真過程中的運行軌跡。認證者AP1和AP2作為兩個接入點。
認證者API的基本服務集標識號BSS Identifier為0,認證者AP2的基本服務 集標識號BSS Identifier為l,兩者屬于兩個不同的基本服務集。仿真開始時,申 請者ST發(fā)送數據包,工作時間為1000秒,非工作時間為1秒;申請者ST的BSS Identifier開始設為0,和認證者API在同一基本服務集中;Roaming Capability設為 使能(Enabled),表示當現在連接的接入點AP信號變弱(信號的有效范圍通常為 300米)時,ST可以搜尋新的接入點AP接入網絡。test—roaming為申請者ST的軌 跡,ST沿此軌跡運動時,認證者AP1的信號會逐漸減弱,申請者ST與其失去聯系, 搜尋新接入點AP,就會發(fā)現認證者AP2,并重新啟動認證過程,和AP2建立連接。
圖20為該場景收集到的統(tǒng)計量,從上至下依次為申請者ST的數據接收速率Data Tra伍c Rcvd(bits/sec)、認證者API的數據發(fā)送速率Data Traffic Send(bits/sec)和認證 者AP2的數據發(fā)送速率Data Traffic Send(bits/sec)。因為認證者API和AP2本身并 不發(fā)送包。圖中顯示的發(fā)包即可推斷出為認證過程中的認證包。由圖中可以看出, 共有兩次認證過程,第一次在申請者ST和認證者AP1間進行,第二次在申請者ST 和認證者AP2間進行,因為此時申請者ST己經和AP1失去聯系,搜索到新的接入 點,并將BSS Identifier設為1 ,和認證者AP2位于同一基本服務集中。圖中,申請 者ST的數據接收速率等于認證者API和AP2數據發(fā)送速率的疊加,和我們的預想 是相符合的。 五、結論
由以上對收集到的統(tǒng)計量分析可以看出,在仿真的初期,由于需要發(fā)送用于完 成認證過程的認證數據包,使用增加了認證功能的節(jié)點模型的場景在性能上有了一 定的下降,說明認證功能對網絡性能造成了一定的影響,但這也僅限于仿真初期。 到認證過程完成以后,由于不需要再發(fā)送認證數據包,認證功能對網絡性能不再有 影響??梢哉f,加入了擴展認證模塊的無線節(jié)點具有功能性,完備性,高效率的特 點。
從漫游場景的測試結果可以看出,擴展認證模塊的加入,同樣是影響到和接入 點AP剛剛建立聯系的短暫時間內。節(jié)點移動至另一個基本服務集中,通過接入點 AP的認證后,即可接入該基本服務集的網絡服務中。認證功能對網絡的安全有相 當程度上的控制。
本發(fā)明設計實現了基于EAP的IEEE802.1X安全認證標準的無線網絡仿真平臺 和方法,在無線節(jié)點和接入點AP中完好地實現了數據包和認證包的分類處理過程, 增加了安全認證的功能,并解決了無線節(jié)點漫游接入的認證問題。
符號說明
WLAN: Wireless Local Area Network,無線局域網 AP: Access Point,接入點
EAP: Extensible Authentication Protocol, 可擴展認證協議 BSS: Basic Service Set,基本服務集 MAC: Media Access Control,媒體訪問控制 WEP: Wired Equivalent Privacy,有線等效私密性 PAE: Port Access Entity,端口接入實體
權利要求
1.一種基于EAP的IEEE802.1X安全協議的仿真平臺,其中網絡仿真軟件OPNET的無線節(jié)點模型中source與sink模塊仿真應用層,物理層由接收器wlan_port_rx0和發(fā)送器wlan_port_tx0組成,負責接收和發(fā)送對其他節(jié)點的數據包,wlan_mac_intf和wireless_lan_mac兩個模塊仿真MAC媒體訪問控制層;wlan_mac_intf模塊負責目標地址的確定;wireless_lan_mac模塊負責應用層數據包的分片、封裝、排隊、發(fā)送,并將物理層收到并轉發(fā)來的分片進行解封、組裝、傳送到應用層,同時檢測沖突和轉發(fā)數據包;IEEE802.1X標準給出6個有限狀態(tài)機,其特征在于在原有無線節(jié)點中添加擴展認證膜塊,所添加部分與wireless_lan_mac模塊融合,擴展認證模塊包括EAP認證模塊和端口控制模塊,即根據RFC3748 EAP協議和IEEE802.1X標準設計得到的EAP認證模塊和端口控制模塊直接連接到wireless_lan_mac這一進程模塊上;所述EAP認證模塊和端口控制模塊包括有EAP認證模塊、Backend后臺狀態(tài)機、Port Timer端口計時器與PAE端口接入實體,Backend后臺狀態(tài)機直接與EAP認證模塊數據連接,同時與wireless_lan_mac模塊數據連接,端口控制模塊中的端口計時器、端口接入實體和后臺狀態(tài)機三者中兩兩之間均通過遠程中斷控制信號連接,不用包流線連接。
2. 根據權利要求1所述的基于EAP的IEEE802.1X安全協議的仿真平臺,其 特征在于所述EAP認證模塊,分為申請者和認證者在申請者中,實現eap一supp 模塊;認證者中,實現eap一auth模塊;兩者分別通過各自的Backend后臺狀態(tài)機 和wireless—lan—mac模塊接入到網絡中,實現相互通信;仿真過程中,將認證者 和認證服務器合二為一,即一個基本服務集BSS內部的接入點AP完成認證服務 器的功能,不需要再向認證服務器轉發(fā)EAP幀。
3. 根據權利要求1所述的基于EAP的IEEE802.1X安全協議的仿真平臺,其 特征在于所述端口控制模塊是由正EE802.1X標準中的3個有限狀態(tài)機經過等 效轉換得到,包括后臺狀態(tài)機、端口計時器與端口接入實體;其中后臺狀態(tài)機主 要用于后臺認證;端口計時器狀態(tài)機用于超時控制;端口接入實體模塊用于端口 控制;三者相互協作完成認證過程中的端口控制功能。
4. 根據權利要求1所述的基于EAP的正EE802.1X安全協議的仿真平臺,其特征在于wireless—lan一mac模塊中接入擴展認證模塊后,函數 wlan—interruptsjrocess()增加對來自擴展認證模塊的流中斷的處理過程,改進后 wireless—lan—mac模塊的輸入流增加為三個,分別對應于來自物理層、應用層和 擴展認證模塊的數據包。
5. 根據權利要求1、 2、 3、 4的基于EAP的IEEE802.1X安全協議的仿真平 臺的仿真方法,其特征在于具體處理流程中,增加了函數wlan一eap—data—arrival (),處理來自擴展認證模塊的認證包,對函數wlan—higher—layer—data—arrival()和 wlan_physical—layer—data—arrival()進行了適應性修改;wlan—interrupts_process()函 數的具體處理流程步驟如下一、 開始;二、 判斷流中斷是否來自應用層,若否,轉步驟四;三、 調用函數wlan—higher—layer—data—arrival(),處理來自應用層的數據包, 轉步驟七;四、 判斷流中斷是否來自物理層,若否,轉步驟六;五、 調用函數wlan_physical_layer—data—arrival(),處理來自應用層的數據包, 轉步驟七;六、 調用函數wlan_eap—data—arrival (),處理來自擴展認證模塊的數據包;七、 結束。
6. 根據權利要求5所述的基于EAP的正EE802.1X安全協議的仿真方法,其 特征在于新增wlan—eap—data—arrival ()函數處理認證包的數據,認證包分為認 證結果包和普通認證包兩類,類型分別為1和2;函數wlan—eap_data_arrival () 首先判斷認證包的類型,再作處理;然后根據認證狀態(tài)變量的值,決定該無線節(jié) 點是否可接入本網絡,具體的步驟如下一) 、開始;二) 、獲取來自eap的認證包;三) 、判斷認證包的類型是否為2,若不為2,轉步驟五);四) 、將認證包插入到發(fā)送隊列中,執(zhí)行函數wlan_hlpk—enqueue(),轉步驟八);五) 、判斷認證包的類型是否為1,若不為l,轉步驟七);六) 、根據認證包信息域的值修改認證狀態(tài)變量的值,轉步驟八);七) 、認證包類型不符,丟棄并報錯;八) 、結束。
7. 根據權利要求5所述的基于EAP的IEEE802.1X安全協議的仿真方法,其 特征在于所述認證者eap—auth模型設置有相關變量參數,申請者eap—supp模 型也設置有相關變量參數,二者的相關變量參數相互關聯;認證者通過向申請者 發(fā)送挑戰(zhàn),以獲取申請者的身份和其他相關信息,決定該申請者能否接入網絡享 受網絡服務;認證過程的相互通信,設有超時中斷,若在規(guī)定時間內未收到相應 信息,認證者eap_auth模型或申請者eap一supp模型重新進入初始狀態(tài)。
8. 根據權利要求5所述的基于EAP的IEEE802.1X安全協議的仿真方法, 其特征在于在IEEE802.1X重要狀態(tài)機的等效轉換過程中,進程間通信采用遠 程中斷remote—intrpt加ICI的機制,ICI中設有兩個域Variable—ID和Value, 分別表示變量的編號和其修改后的值。
9. 根據權利要求5所述的基于EAP的正EE802.1X安全協議的仿真方法, 其特征在于在IEEE802.1X重要狀態(tài)機的等效轉換過程中,default轉移的設置給每個非強制狀態(tài)設置一個轉向自身的轉移,條件為default,狀態(tài)機接收 到另一狀態(tài)機發(fā)送的遠程中斷后,修改相應的變量值,判斷是否符合轉移條件; 若不符合,則執(zhí)行default轉移,設置變量IsDefault為TRUE,以便不再執(zhí)行該 狀態(tài)的入口代碼。
10. 根據權利要求3所述的基于EAP的IEEE802.1X安全協議的仿真方法, 其特征在于在正EE802.1X重要狀態(tài)機的等效轉換過程中,全局轉移的消去方 法有兩種用S表示所有狀態(tài)的集合,x為狀態(tài)機中的某個狀態(tài);用T來表示轉移的 集合,則T-H, j, y>,其中i, j es且狀態(tài)機中存在從i到j的轉移,y為轉 移所需的條件},那么狀態(tài)機SM可以表示為二元組SM-〈S, T>;全局轉移消去方法l:通過增加轉移來消去全局轉移若有一個全局轉移,末狀態(tài)為Y,設X為狀態(tài)集中除去Y的任何其他狀態(tài), 為消去該全局轉移,可以增加X到Y的轉移,轉移條件為全局轉移的條件;全局轉移消去方法2:通過增加一個中間狀態(tài)M來消去全局轉移對方法1的一種改進是:在一個有n個節(jié)點,m個全局轉移的狀態(tài)機SM={S,T}, S={Sl, s2, s3, ..., sn}, T-仏,t2,…,tk, <X, Si, di>},其中k為普通 轉移數,i=l, 2,…,m, m為全局轉移數,首先在狀態(tài)集S中增加一個中間狀 態(tài)M,即S-S+M,然后為消去所有的全局轉移t^〈X, Si, di>ET, (i=l, 2,..., m),需要按以下步驟執(zhí)行(1) . T=T-ti, (i=l, 2,…,m);(2) . T=T+<xj, M,山ld2l…ldn〉 , (XjE S且Xj不為M);(3) . T=T+<M, yi, dj> , (i=l, 2,…,m)同時在OPNET中設置狀態(tài)M為強制狀態(tài),保證兩次轉移和一次轉移在事 件排序上等效。
全文摘要
本發(fā)明是基于EAP的IEEE802.1X安全協議的仿真平臺及方法,對OPNET原有無線節(jié)點中的wireless_lan_mac模塊進行改進,并添加擴展認證模塊,包括EAP認證模塊和端口控制模塊,所添加部分與wireless_lan_mac模塊融合,成功地增加了安全認證的功能。EAP認證模塊設有認證者和申請者,兩者之間相互通信完成安全認證,完整體現了認證過程,同時其復雜度并不高,仿真效率較好。端口控制模塊由IEEE802.1X的有限狀態(tài)機經等效變換而得,保證了協議模型狀態(tài)機在設計上的正確性,避免了模型版本間的混亂。實現了無線節(jié)點在不同BSS中漫游重新認證的仿真場景,解決了漫游接入的認證問題。能保證WLAN數據的完整性、不可否認性和機密性,并在此基礎上測試其他實現的各種無線安全協議及各種協議間的多模接入。
文檔編號H04L29/08GK101360020SQ20081015119
公開日2009年2月4日 申請日期2008年9月28日 優(yōu)先權日2008年9月28日
發(fā)明者勇 曾, 朱振芳, 李興華, 力 楊, 超 楊, 楊衛(wèi)東, 沈玉龍, 超 王, 偉 郭, 卓 馬, 馬建峰, 高俊濤 申請人:西安電子科技大學