CN101360020A - 基于eap的ieee802.1x安全协议的仿真平台及方法 - Google Patents

Abstract

本发明是基于EAP的IEEE802.1X安全协议的仿真平台及方法，对OPNET原有无线节点中的wireless_lan_mac模块进行改进，并添加扩展认证模块，包括EAP认证模块和端口控制模块，所添加部分与wireless_lan_mac模块融合，成功地增加了安全认证的功能。EAP认证模块设有认证者和申请者，两者之间相互通信完成安全认证，完整体现了认证过程，同时其复杂度并不高，仿真效率较好。端口控制模块由IEEE802.1X的有限状态机经等效变换而得，保证了协议模型状态机在设计上的正确性，避免了模型版本间的混乱。实现了无线节点在不同BSS中漫游重新认证的仿真场景，解决了漫游接入的认证问题。能保证WLAN数据的完整性、不可否认性和机密性，并在此基础上测试其他实现的各种无线安全协议及各种协议间的多模接入。

Description

基于EAP的IEEE802.1X安全协议的仿真平台及方法

技术领域

本发明属于无线局域网WLAN安全协议的仿真测试领域，涉及如今WLAN使用的安全认证协议之一——基于EAP的IEEE802.1X标准，具体就是一种基于EAP的IEEE802.1X安全协议的仿真平台及方法。

背景技术

最近几年，WLAN开始在局域网市场中独霸一方。越来越多的机构发现WLAN是传统有线局域网不可缺少的好助手，它可以满足人们对移动、布局变动和自组网络的需求，并能覆盖难以铺设有线网络的地域。随着WLAN的高速发展，各种IEEE802.11x标准不断被更新，新的无线网络架构和技术也不断被提出，这其中就包括WLAN的安全技术。

WLAN通过射频在空间传播而非电缆传输，信息很容易扩散到希望被接收的范围之外，这使得安全保护装置，甚至防火墙都无能为力。因此，在设计与部署WLAN时需要采用一种不同于有线网络的安全保护机制。WLAN的安全性包括两个方面：访问控制和保密性。访问控制确保敏感的数据仅由获得授权的用户访问，保密性则确保传送的数据只被目标接收人接收和处理。

IEEE802.11b标准定义了两种机理来提供WLAN的访问控制和保密：服务配置标识符(SSID)和有线等效保密(WEP)。在SSID机理中，提供口令认证机制，SSID是一个简单的口令；但其安全性并不好，因为接入点AP常在自己的信标中广播SSID。

有线等效保密(WEP)被IEEE802.11b标准规定为可选加密方案，提供了确保WLAN数据流的机制。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，IT人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户容易受到攻击。总的来说，为了确保WLAN的安全性，其安全方案应做到：

●WLAN身份验证基于与设备独立的项目，如用户名和口令等，不论在哪一部客户机上运行，这些项目都由用户拥有和使用。

●支持客户机和验证(RADIUS)服务器之间的双向身份验证。

●使用由用户身份验证动态产生的WEP密钥，并不是和客户机物理相关的静态密钥。

●支持基于会话的WEP密钥。

第一代WLAN安全性能依赖于访问控制和保密的静态WEP密钥，它并不能解决以上这些需求。我们所需要的WLAN安全解决方案，应该利用基于标准的和开放的结构，充分利用802.11b安全部件，提供最高级别的可用安全性，实现从一个中央控制点进行有效的安全管理。一个对安全做出承诺的安全解决方案应该遵循IEEE提案中的关键内容，这个提案由Cisco、Microsoft和其它公司联合提出。它的中心问题集中在以下几个方面：

●可扩展认证协议(EAP)，是使无线客户机适配器与RADIUS服务器进行通信的远程访问拨号用户服务(RADIUS)的扩展。

●IEEE 802.1X，端口访问控制技术，用于控制端口通信。

当无线客户机与接入点AP关联后，是否可以使用接入点AP的服务要取决于IEEE802.1x的认证结果。如果认证通过，则接入点AP为无线客户机打开这个逻辑端口，否则不允许用户上网。

EAP和IEEE802.1X在遵循WEP的基础上，提供了一个集中管理、基于标准、开放的方法来解决802.11标准在安全方面的局限。同时，EAP框架是对有线网络的扩展，使企业为每个访问方法提供一个单独的安全结构。

而对于新协议的测试，需要对网络的可靠性和有效性进行客观地评估，从而降低投资风险，使得测试结果能够真实反映新协议的表现。在这种情况下，网络仿真作为一种新的网络规划和设计技术应运而生，它以其独有的方法为网络的规划设计提供客观、可靠的定量依据，提高网络建设中决策的科学性。具体来说，网络仿真技术是一种通过建立网络设备、链路和协议模型，并模拟网络流量的传输，从而获取网络设计或优化所需要的网络性能数据的仿真技术。

OPNET最早是在1986年由麻省理工大学的两个博士创建的，并发现网络模拟非常有价值，因此于1987年建立了商业化的OPNET。OPNET仿真软件，具有以下几个突出特点：

●采用阶层性的模拟方式，从协议间关系看，节点模块建模完全符合OSI标准。从网络物件层次方面，提供三层建模机制，底层为进程(Process)模型，以有限状态机(FSM)来描述协议；其次为节点(Node)模型，由相应的协议模型构成，反映设备特性；最上层为网络模型，与实际网络对应。三层模型与实际的协议、设备、网络完全对应，全面反映了网络的相关特性。

●采用离散事件驱动(Discrete Event Driven)的模拟机理，与时间驱动相比，计算效率得到了很大提高。

●系统的完全开放性，Modeler中的源码全部开放，用户可以根据自己的需要添加、修改已有的源码。因此，很多用户都是在标准的协议上进行一些修改来作自己的研究。

OPNET原有的无线节点只具有单一的数据接收和转发功能，没有安全认证的功能，从根本上不能完整地、无缝地解决漫游接入的认证问题。

本发明项目组对国内外专利文献和公开发表的期刊论文检索，尚未发现与本发明密切相关和一样的报道或文献。

发明内容

本发明的目的是克服上述技术或方法存在的缺点，提供一种能保证WLAN数据的完整性、不可否认性和机密性，并可以在此基础上测试其他实现的各种无线安全协议及各种协议间的多模接入的，实现漫游接入安全认证的基于EAP的IEEE802.1X安全协议的仿真平台及方法。

下面对本发明进行详细说明。

为了保证接入网络的安全性，本发明在OPNET原有无线节点的基础上实现了基于EAP的IEEE802.1X安全协议，使得未通过认证的无线节点无权访问网络中的各种资源。

网络仿真软件OPNET的无线节点模型如图1所示。其中source与sink模块仿真应用层，物理层由接收器wlan_port_rx0和发送器wlan_port_tx0组成，负责接收其他节点发来的数据包，和向其他节点发送数据包，wlan_mac_intf和wireless_lan_mac两个模块仿真MAC媒体访问控制层；wlan_mac_intf模块负责目标地址的确定；wireless_lan_mac模块负责应用层数据包的分片、封装、排队、发送，并将物理层收到并转发来的分片进行解封、组装、传送到应用层，同时检测冲突和转发数据包；IEEE802.1X标准给出6个有限状态机。

本发明在原有无线节点中添加扩展认证模块，所添加部分与wireless_lan_mac模块融合，扩展认证模块包括EAP认证模块和端口控制模块，即根据RFC3748 EAP协议和IEEE802.1X标准设计得到的EAP认证模块和端口控制模块直接连接到wireless_lan_mac这一进程模块上；EAP认证模块和端口控制模块包括有：EAP认证模块、Backend后台状态机、Port Timer端口计时器和PAE端口接入实体，Backend后台状态机直接与EAP认证模块数据连接，Backend后台状态机同时与wireless_lan_mac模块数据连接。端口控制模块中的端口计时器、端口接入实体和后台状态机三者中两两之间均通过远程中断控制信号连接，不用包流线连接。实现完整的、无缝隙的基于EAP的802.1X安全协议的仿真平台。

本发明的设计和添加不仅保证WLAN数据的完整性、不可否认性和机密性，并可以在此基础上测试其他实现的各种无线安全协议及各种协议间的多模接入，在现有的技术平台上解决了网络传输漫游接入的安全认证问题。

本发明的实现还在于：EAP认证模块，分为申请者和认证者：在申请者中，实现eap_supp模块；认证者中，实现eap_auth模块；两者分别通过各自的Backend后台状态机和wireless_lan_mac模块接入到网络中，实现相互通信。认证过程中，设有认证者和申请者，两者之间相互通信，完成安全认证。根据RFC3748协议设计得到EAP进程模型，保证了WLAN数据的完整性、不可否认性和机密性，完整体现了EAP认证过程，同时其复杂度并不高，仿真效率较好。

仿真过程中，将认证者和认证服务器合二为一，即一个基本服务集BSS内部的接入点AP完成认证服务器的功能，不需要再向认证服务器转发EAP帧。这样接入点AP可对无线节点进行认证，以决定该节点是否有权享用本网络的各种资源。

本发明也实现了无线节点在不同基本服务集中漫游时，重新认证的仿真场景。无线节点移动时，会根据接入点AP信号的强弱重新调整。当检测到原接入点AP信号微弱时，便自动检测新的接入点AP，重新启动认证过程。

本发明的实现还在于：端口控制模块，根据EAP认证模块发送的认证结果，设置端口的认证状态，完成对数据包流的控制，由IEEE802.1X标准中的3个有限状态机经过等效转换得到，包括后台状态机、端口计时器与端口接入实体；其中后台状态机主要用于后台认证；端口计时器状态机用于超时控制；端口接入实体模块用于端口控制；三者相互协作完成认证过程的端口控制功能。等效变换过程，自然地保证了OPNET中建立的协议模型的状态机在设计上的正确性，不需要再对其进行证明，也不会造成模型版本间的混乱，同时也大大简化了对复杂协议的建模过程，也为进一步研究仿真其他类似协议打下了基础。

本发明的实现还在于：wireless_lan_mac模块中接入扩展认证模块后，函数wlan_interrupts_process()增加对来自扩展认证模块的流中断的处理过程，改进后wireless_lan_mac模块的输入流增加为三个，分别对应于来自物理层、应用层和扩展认证模块的数据包。具体处理流程中，增加了函数wlan_eap_data_arrival()，处理来自扩展认证模块的数据包，对函数wlan_higher_layer_data_arrival()和wlan_physical_layer_data_arrival()进行了适应性修改。wlan_interrupts_process()函数的具体处理流程步骤如下：

一、开始；

二、判断流中断是否来自应用层，若否，转步骤四；

三、调用函数wlan_higher_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

四、判断流中断是否来自物理层，若否，转步骤六；

五、调用函数wlan_physical_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

六、调用函数wlan_eap_data_arrival()，处理来自扩展认证模块的数据包；

七、结束。

本发明的实现还在于：新增wlan_eap_data_arrival()函数处理认证包的数据，认证包分为认证结果包和普通认证包两类，类型分别为1和2；函数wlan_eap_data_arrival()首先判断认证包的类型，再作处理；然后根据认证状态变量的值，决定该无线节点是否可接入本网络，具体的步骤如下：

一)、开始；

二)、获取来自eap的认证包；

三)、判断认证包的类型是否为2，若不为2，转步骤五)；

四)、将认证包插入到发送队列中，执行函数wlan_hlpk_enqueue()，转步骤八)；

五)、判断认证包的类型是否为1，若不为1，转步骤七)；

六)、根据认证包信息域的值修改认证状态变量的值，转步骤八)；

七)、认证包类型不符，丢弃并报错；

八)、结束。

对wireless_lan_mac模块的这些改进，包括重要函数的改进、新函数的添加及包流的控制，完成了和扩展认证模块的无缝融合，为其他安全协议提供了统一性接口，实现了完整的、无缝隙的基于EAP的IEEE802.1X安全协议的仿真平台。

本发明的实现还在于：所述认证者eap_auth模型设置有相关变量参数，申请者eap_supp模型也设置有相关变量参数，二者的相关变量参数相互关联；认证者通过向申请者发送挑战，以获取申请者的身份和其他相关信息，决定该申请者能否接入网络享受网络服务；认证过程的相互通信，设有超时中断，若在规定时间内未收到相应信息，认证者eap_auth模型或申请者eap_supp模型重新进入初始状态。

在IEEE802.1X重要状态机的等效转换过程中，进程间通信采用远程中断remote_intrpt加ICI的机制，ICI中设有两个域：Variable_ID和Value，分别表示变量的编号和其修改后的值。

在Backend后台状态机、Port Timer端口计时器和PAE端口接入实体各个进程内单独声明使用到的变量，为保证多个状态机之间同名变量的一致性，要求任何进程修改了影响其他进程的变量时，必须通知其他进程，以便不使其他状态机受阻滞。采用这种机制，后台状态机、端口计时器和端口接入实体三者之间不用包流线相连接，比发送数据包通知更符合现实的要求。

本发明的实现还在于：在IEEE802.1X重要状态机的等效转换过程中，default转移的设置。给每个非强制状态设置一个转向自身的转移，条件为default，状态机接收到另一状态机发送的远程中断后，修改相应的变量值，判断是否符合转移条件；若不符合，则执行default转移，设置变量IsDefault为TRUE，以便不再执行该状态的入口代码。

本发明的实现还在于：在IEEE802.1X重要状态机的等效转换过程中，全局转移的消去方法有两种：

用S表示所有状态的集合，x为状态机中的某个状态；用T来表示转移的集合，则T＝{<i，j，y>，其中i，j∈S且状态机中存在从i到j的转移，y为转移所需的条件}，那么状态机SM可以表示为二元组SM＝<S，T>。

全局转移消去方法1：通过增加转移来消去全局转移

若有一个全局转移，末状态为Y，设X为状态集中除去Y的任何其他状态，为消去该全局转移，可以增加X到Y的转移，转移条件为全局转移的条件。

全局转移消去方法2：通过增加一个中间状态M来消去全局转移

对方法1的一种改进是：在一个有n个节点，m个全局转移的状态机SM＝{S，T}，S＝{s₁，s₂，s₃，…，s_n}，T＝{t₁，t₂，…，t_k，<X，s_i，d_i>}，其中k为普通转移数，i＝1，2，…，m，m为全局转移数。首先在状态集S中增加一个中间状态M，即S＝S+M，然后为消去所有的全局转移t_i＝<X，s_i，d_i>∈T，(i＝1，2，…，m)，需要按以下步骤执行：

(1).T＝T-t_i，(i＝1，2，…，m)；

(2).T＝T+<x_j，M，d₁|d₂|…|d_n>，(x_j∈S且x_j不为M)；

(3).T＝T+<M，y_i，d_i>，(i＝1，2，…，m)

同时在OPNET中设置状态M为强制状态，保证两次转移和一次转移在事件排序上等效。方法2较方法1，消去全局转移所增加的转移的数量要少的多，所以采用方法2来消去全局转移。

由于本发明通过修改wireless_lan_mac模块和在原有OPNET的无线节点中添加扩展认证模块并与wireless_lan_mac模块融合，根据RFC3748EAP协议和IEEE802.1X标准设计得到EAP认证模块和端口控制模块直接连接到wireless_lan_mac进程模块上，端口计时器、端口接入实体和后台状态机三者中两两之间均通过远程中断控制信号连接，实现了完整的、无缝隙的基于EAP的IEEE802.1X安全协议的仿真平台，实现了基于EAP的IEEE802.1X标准的仿真测试，成功地在原无线节点中增加了安全认证的功能，解决了漫游接入的认证问题，提供了一种能保证WLAN数据的完整性、不可否认性和机密性的基于EAP的IEEE802.1X安全协议的仿真平台。

还由于本发明在wlan_interrupts_process()函数的具体处理流程步骤中增加wlan_eap_data_arrival()函数处理认证包的数据，即对wireless_lan_mac模块进行改进，使之与所添加的扩展认证模块融和。仿真过程中，将认证者和认证服务器合二为一，即一个基本服务集BSS内部的接入点AP完成认证服务器的功能，不需要再向认证服务器转发EAP帧，接入点AP对无线节点进行认证，以决定该节点是否有权享用本网络的各种资源。认证包分为普通认证包和认证结果包两类，简化了步骤和程序。同时对认证者eap_auth模型的设计、对申请者eap_supp模型的设计、以及进程间通信问题的解决均采用了既符合标准，又满足安全认证要求的条件的方案。提供了在此基础上测试其他实现的各种无线安全协议及各种协议间的多模接入的基于EAP的IEEE802.1X安全协议的仿真平台及方法。

附图说明：

图1是OPNET原有无线节点模型图；

图2是OPNET原有无线节点工作流程图；

图3是本发明的构成示意图；

图4是本发明wireless_lan_mac模块的数据处理流程图；

图5是本发明wlan_eap_data_arrival()的流程图；

图6是本发明wlan_higher_layer_data_arrival()的流程图；

图7是本发明认证者EAP状态图；

图8是本发明申请者EAP状态图；

图9是本发明通知变量所用ICI的结构；

图10是本发明方法一消去全局转移的例子；

图11是本发明方法二消去全局转移的例子；

图12是本发明申请者后台状态机的状态转移示意图；

图13是本发明端口计时器的状态转移示意图；

图14是本发明测试场景一：申请者和认证者；

图15是本发明两个场景下申请者ST1的Data Traffic Rcvd(bits/sec)对比图；

图16是本发明两个场景下申请者ST1的Data Traffic Send(bits/sec)对比图；

图17是本发明两个场景下认证者ST2的Data Traffic Send(bits/sec)对比图；

图18是本发明测试二——漫游场景；

图19是本发明漫游场景数据收集。

具体实施方式：

下面结合附图对本发明进行详细说明：

实施例1：

参见图1，无线节点模型由6个进程模型，6条数据包流，两条统计线组成。其中source与sink模块仿真应用层，物理层由接收器wlan_port_rx0和发送器wlan_port_tx0组成，负责接收其他节点发来的数据包，和发送至其他节点的数据包，wlan_mac_intf和wireless_lan_mac两个模块仿真MAC媒体访问控制层；wlan_mac_intf模块负责目标地址的确定；wireless_lan_mac模块负责应用层数据包的分片、封装、排队、发送，并对物理层收到并转发来的分片进行解封、组装、传送到应用层，同时检测冲突和转发数据包。

本发明通过对无线节点中的wireless_lan_mac模块进行改进，添加扩展认证模块，所添加部分与wireless_lan_mac模块融合，扩展认证模块包括EAP认证模块和端口控制模块，即根据RFC3748 EAP协议和IEEE802.1X标准设计得到的EAP认证模块和端口控制模块直接连接到wireless_lan_mac这一进程模块上，实现无缝隙地连接。参见图3，所述EAP认证模块和端口控制模块包括有：EAP认证模块、Backend后台状态机、Port Timer端口计时器与PAE端口接入实体，Backend后台状态机直接与EAP认证模块数据连接，同时与wireless_lan_mac模块数据连接，端口计时器、端口接入实体和后台状态机三者中两两之间均通过远程中断控制信号连接，不用包流线连接。

实施例2：

总体构成同实施例1，参见图3。

EAP认证模块，分为申请者和认证者两个不同角色。申请者中，实现eap_supp模块；认证者中，实现eap_auth模块；两者分别通过各自的Backend后台状态机和wireless_lan_mac模块接入到网络中，实现相互通信。OPNET原有的无线节点不区分认证者和申请者，见图1的构成。无线节点既可以认为是认证者，又可以认为是申请者，节点之间只有数据通信，没有认证过程，见图2。

仿真过程中，本发明将认证者和认证服务器合二为一，即一个基本服务集BSS内部的接入点AP完成认证服务器的功能，不需要再向认证服务器转发EAP帧，接入点AP可对无线节点进行认证，以决定该节点是否有权享用本网络的各种资源。

实施例3：

总体构成同实施例2，参见图3。

IEEE802.1X协议是为了解决以太网接入认证问题，不是专门为WLAN设计使用的，但它允许在共用介质中使用，因此该协议可以被应用到支持基于端口网络接入控制的IEEE802.11 WLAN结构当中。本发明经过等效变换，可得出IEEE802.1X有限状态机在OPNET中的等效模型，从而保证建立的协议模型状态机在设计上的正确性。避免了模型版本间的混乱。我们选择三个状态机进行等效变换，完成认证过程中的端口控制功能，其中Backend后台状态机主要用于后台认证；Port Timer端口计时器状态机用于超时控制；PAE端口接入实体模块用于端口控制。

实施例4：

总体构成同实施例1、2、3，参见图3。

wireless_lan_mac模块中加入认证功能后，函数wlan_interrupts_process()需相应地增加对来自扩展认证模块的流中断的处理过程。改进的wireless_lan_mac模块输入流增加为三个，分别对应于来自物理层、应用层和扩展认证模块的数据包，流索引号分别为0，1和2。

实施例5：

总体构成同实施例4，参见图4和图5。

加入扩展认证模块后，wireless_lan_mac模块中原有函数需要作相应改动。

函数wlan_interrupts_process()的具体处理流程如图所示，步骤如下：

一、开始；

二、判断流中断是否来自应用层。若否，转步骤四；

三、调用函数wlan_higher_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

四、判断流中断是否来自物理层。若否，转步骤六；

五、调用函数wlan_physical_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

六、调用函数wlan_eap_data_arrival()，处理来自扩展认证模块的数据包；

七、结束。

加入扩展认证模块之后，需要增加根据认证状态处理普通数据包的功能。认证未通过时，只允许认证包的交换，不允许普通数据包的交换。这需要在应用层数据包到达的处理函数wlan_higher_layer_data_arrival()和物理层数据包到达的处理函数wlan_data_process()中都添加代码进行修改。

函数wlan_higher_layer_data_arrival()中，处理从应用层发送的数据包，并用函数wlan_hlpk_enqueue()将该数据包插入到发送队列中等待发送。如图7所示，加入扩展认证模块后，如果未通过认证，则销毁一切从应用层发送来的数据包，不允许无线节点有数据的发送；如果已通过认证，则允许一切数据包通过，节点之间可以有数据的发送。图5中，左边分支是已有技术中存在的，右边分支是本发明加入的处理流程。函数wlan_data_process()的修改，和函数wlan_higher_layer_data_arrival()的修改基本相同。

实施例6：

总体构成同实施例4，仿真方法同实施例5，参见图6。

新增wlan_eap_data_arrival()函数处理认证包的数据。认证包分为认证结果包和普通认证包两类，类型分别为1和2。函数wlan_eap_data_arrival()首先判断认证包的类型，再作处理：若认证包的类型为2，则将该普通认证包发送到物理层的发送器，然后通过无线电波发送至对方节点；若类型为1，则根据该认证结果包中相应域的值，修改认证状态变量的值，决定该无线节点是否可接入本网络享受服务，具体的步骤如下：

一)、开始；

二)、获取来自eap的认证包；

三)、判断认证包的类型是否为2。若不为2，转步骤五)；

四)、将认证包插入到发送队列中，执行函数wlan_hlpk_enqueue()，转步骤八)；

五)、判断认证包的类型是否为1。若不为1，转步骤七)；

六)、根据认证包信息域的值修改认证状态变量的值，转步骤八)；

七)、认证包类型不符，丢弃并报错；

八)、结束。

实施例7：

总体构成同实施例4，仿真方法同实施例6，参见图7和图8。

申请者和认证者的整个认证交互过程可描述如下：申请者和认证者建立连接，申请者开始发送数据时，发现还没有通过认证，便启动认证过程。申请者首先发送EAPOL-Start帧给认证者，以初始化认证过程。当认证者收到EAPOL-Start帧之后，向申请者发送一个挑战，来获取申请者的身份。申请者收到这个挑战后，发送一个回复，里面包含了申请者的身份ID。收到这一回复后，依照具体的认证过程，认证者根据是否有其他信息交换过程，决定是否发送后继挑战。最后，认证者根据申请者回复的信息，决定接收该申请者或者拒绝该申请者访问网络服务，并给出认证结果。如果认证成功，认证者发送一个EAP-Success消息给申请者，说明认证已经成功。申请者收到这个消息后，整个认证过程完成，以后申请者可以使用认证过的受控端口和接入点AP进行通信，访问网络服务。如果认证失败，认证者发送EAP-Failure消息给申请者，整个认证过程失败，受控端口还是未认证的，不能使用。

在该协议实现过程中，对认证者eap_auth模型进行如下设计，见图7：

仿真开始时，认证者eap_auth模型进入“初始”状态，设置相关变量的参数，之后无条件进入“等待认证请求”状态，这一状态中，等待申请者发送的认证请求，若收到则转向下一状态，在“发送初始挑战，等待回复”状态，入口部分判断该状态是从哪一状态转移而来，若由“等待认证请求”转移而来，则要发送初始挑战，并设置超时中断；若由“发送后继挑战，决定结果”转移而来，则只需设置超时中断，该状态出口部分，判断中断类型；若为自中断，说明超时而未收到挑战回复；若为流中断，说明收到挑战回复，转移至“发送后继挑战，决定结果”状态，在“发送后继挑战，决定结果”状态，首先决定是否需要进一步的发送挑战，若需要则发送后继挑战；若不需要，则给出认证结果，并向IEEE802.1X中的Backend后台状态机和申请者同时发送认证结果，转向“等待认证请求”状态，继续等待其他申请者认证请求的到来。

对申请者eap_supp模型进行如下设计，见图8：

仿真开始时，申请者eap_supp模型由“初始”状态无条件转移到“等待认证通知”状态，等待wireless_lan_mac模块的认证通知，申请者的wireless_lan_mac模块发现有数据包传递且此时未启动认证序列时，就发送一个认证通知给EAP认证模块，通知EAP认证模块启动一个认证序列，此时，申请者eap_auth模型接收到通知，便转移至“向认证者发送认证请求”状态，在该状态发送认证请求包之后无条件转移至“等待挑战”状态，等待第一个挑战的到来；收到挑战后，转移至“发送挑战回复”状态，向认证者发送挑战回复，并无条件转移至下一状态——“等待挑战或结果”；在“等待挑战或结果”状态，判断收到的认证包是挑战还是认证结果，若为挑战，则回到“发送挑战回复”状态；若为认证结果，则转移至“识别结果”状态；“识别结果”状态根据收到的认证结果包，向IEEE802.1X模块的Backend后台状态机发送认证结果，在“等待挑战”和“等待挑战或结果”两个状态，都设置有超时机制，若超时后仍未收到挑战或结果，则转移至“向认证者发送认证请求”状态重新请求认证。

实施例8：

总体构成同实施例4，仿真方法同实施例6，参见图9。

在IEEE802.1X中，各状态机之间共享一组全局变量。任何一个状态机对任何一个全局变量的修改，都可以被其他状态机实时检测到，从而可能满足其他状态机的转移。这就保证了多个状态机间的协同工作。

OPNET中，每一个状态机构成一个单独的进程，多个进程之间不能共享全局变量。解决办法是：在每个进程内单独声明使用到的变量。为了保证多个状态机之间同名变量的一致性，要求任何进程修改了影响其他进程的变量时，必须通知其他进程，以便不使其他状态机受阻滞。通知采用远程中断remote_intrpt加ICI的机制。ICI中有两个域：Variable_ID和Value，分别表示变量的ID号和修改后的值。采用这种机制，Backend后台状态机，Port Timer端口计时器，PAE端口接入实体三者之间不用包流线相连接，比发送数据包通知更符合现实的要求。

实施例9：

总体构成同实施例4，仿真方法同实施例6。

状态机接收到另一状态机发送的远程中断后，修改相应的变量值，判断是否符合转移条件。若此时转移条件不满足，应该转移到哪个状态呢？本发明给每个非强制状态设置一个转向自身的转移，条件为default；同时，本发明增加了一个变量IsDefault，表示上次转移是否为default转移，IsDefault为真(TRUE)，表示上次转移为default转移。当该状态的其他所有转移条件都不满足时，执行default转移，将变量IsDefault置为真(TRUE)。

按default转移到状态自身时，状态的入口代码不应该再执行。故在非强制状态的入口部分，根据状态变量IsDefault的值，判断上次转移是否为default转移，从而决定入口代码是否要执行。

在非强制状态的出口部分，判断中断为远程中断或流中断。若为远程中断，读取相应ICI中的信息数据，并调用函数SetVar()修改相应变量的值，然后判断转移条件。若为流中断，则根据流索引号判断包的来向。若数据包来自wireless_lan_mac模块，则将该数据包转发为EAP认证模块。若数据包来自EAP认证模块，则读取该数据包的信息，根据数据包类型域的值做出处理。若pktype等于1，表示是通知认证结果的数据包，Backend后台状态机要根据数据包中的信息，修改相应的变量值，并通知PAE端口接入实体；若pktype等于2，表示是普通的认证包，则将数据包转发为wireless_lan_mac模块。

实施例10：

总体构成同实施例4，仿真方法同实施例6，参见图10和图11。

IEEE802.1X协议所给出的状态机中，存在一种不同于一般状态机的转移，称作全局转移。这种转移只有单一末状态和转移条件，而没有单一的初状态。当转移条件满足时，无论当前状态机处于哪一个状态，都必须转移到末状态。而在OPNET进程建模，并不支持全局转移，所以必须通过某种方式达到相同的功能。

用S表示所有状态的集合，x为状态机中的某个状态。用T来表示转移的集合，则T＝{<i，j，y>，其中i，j∈S且状态机中存在从i到j的转移，y为转移所需的条件}。那么状态机SM可以表示为二元组SM＝<S，T>。

方法1：通过增加转移来消去全局转移

若有一个全局转移，末状态为Y。设X为状态集中除去Y的任何其他状态，为消去该全局转移，可以增加X到Y的转移，转移条件为全局转移的条件。采用方法1消去全局转移的例子如图10所示。

使用该方法消去全局转移的过程比较直观，但缺点也很明显。在一个状态数为n的状态机中，为了消去任何一条全局转移，都需要新增加n-1条转移。这样，当状态机中存在m条全局转移时，为了消去所有的全局转移就需要增加(n-1)×m条转移。这大大增加了状态机的复杂度，也会影响状态机的执行效率。

方法2：通过增加一个中间状态M来消去全局转移

对方法1的一种改进方法是，在一个有n个节点，m个全局转移的状态机SM＝{S，T}，S＝{s₁，s₂，s₃，…，s_n}，T＝{t₁，t₂，…，t_k，<X，s_i，d_i>}，其中k为普通转移数，i＝1，2，…，m，m为全局转移数。首先在状态集S中增加一个中间状态M，即S＝S+M，然后为消去所有的全局转移t_i＝<X，s_i，d_i>∈T，(i＝1，2，…，m)，需要按以下步骤执行：

(1)T＝T-t_i，(i＝1，2，…，m)；

(2)T＝T+<x_j，M，d₁|d₂|…|d_n>，(x_j∈S且x_j不为M)；

(3)T＝T+<M，y_i，d_i>，(i＝1，2，…，m)。

同时在OPNET中设置状态M为强制状态(Forced State)，这样保证了两次转移和一次转移在事件排序上等效。采用方法2消去全局转移的例子如图15所示。

在一个有n个状态的状态机中，如果存在m个全局转移，采用方法2消去全局转移需增加一个状态和n个转移。与方法1相比较，方法2在除了m＝1以外的情况中消去全局转移所增加的转移的数量要少的多。所以我们采用方法2来消去全局转移。

经过实施例8、9、10，得到了OPNET中可用的状态机，图12和13给出了其中两个实例，图12为申请者的Backend后台状态机，图13为Port Timer端口计时器，另外还有申请者的PAE端口控制实体，认证者的Backend后台状态机，认证者的PAE端口控制实体。图12中有一中间状态Mid，这由全局转移经方法2得到。因此，采用这种方法进行建模的优点是正确性有天然的保证，不需要进行证明，而不足就是实现起来较复杂，即使在精简以后，也需要5个进程模型才能完成两种角色。同时在每一个进程模型中，所使用的变量和状态数也较多。

实施例11：测试用例一——申请者ST1和认证者ST2

总体构成同实施例4，仿真方法同实施例6，参见图15、图16、图17和图18。

本测试采用两个场景，以便进行测试结果的对比，其中一个场景没有加入扩展认证模块，另一个场景加入扩展认证模块。测试如图15所示，未加入认证的场景中，不区分认证者和申请者，无线节点ST1和ST2都为普通节点，两者之间有发包收包的动作；加入认证的场景中，无线节点ST1担当申请者的角色，节点ST2担当认证者的角色。

两个场景中节点ST1在仿真开始发送数据包，工作时间为10秒，非工作时间为90秒；节点ST2不发送数据包(开始发包时间为never)。

仿真测试时间设定为5分钟，收集申请者ST1和认证者ST2的统计量，并将两个场景中的对应统计量进行对比分析，得出结论。图16、图17和图18中第一个折线表示加入扩展认证模块收集到的统计量，第二条折线表示未加入扩展认证模块收集到的统计量。横轴表示时间(以分钟为单位)，纵轴表示收集到的相应统计量。

(1)申请者

如图16所示，无线节点ST1在非工作时间90秒后，开始发送数据包。但由于此时未通过认证，故启动认证过程。统计量Data Traffic Rcvd(bits/sec)表示申请者的收到数据速率。图16中第二条折线一直为0，表示了未加入扩展认证模块时节点ST1没有收到数据包，因为节点ST2没有发送普通数据包，也没有发送认证包；第一条折线表示加入扩展认证模块后，申请者ST1收到了数据包，这是在认证过程中，认证者ST2向申请者ST1发送的认证包。

统计量Data Traffic Send(bits/sec)表示申请者的发送数据速率。由图17可以看出90秒非工作时间后，认证过程启动。在第一个10秒钟的工作时间中，第二条折线高于第一条折线。这是因为在第一个10秒钟的工作时间中，申请者ST1正处于认证时期，而且认证未通过，高层发送的数据包都被丢弃。但认证通过后，以后的每一个10秒钟工作时间中，两个折线重合。增加认证功能，确实在仿真初期对申请者ST1发送数据造成了较大影响；但是在认证功能完成以后，对申请者ST1发送数据的影响就没有了。说明增加扩展认证模块几乎不影响申请者ST1发送数据的情况，这就说明了扩展认证模块具有完备性。

(2)认证者

统计量Data Traffic Send(bits/sec)表示认证者的发送数据速率。如图18所示，第二条折线一直为0，这表示未加入扩展认证模块时，认证者ST2不发送数据，这和我们设置的认证者ST2开始发包时间为never这一属性相符。第一条折线表示加入了扩展认证模块后，认证者ST2也发送了数据，这是认证者向申请者发送的认证包，和我们的设想也是一样的。

实施例12：测试用例二——漫游场景

总体构成同实施例4，仿真方法同实施例6，参见图19和图20。

本测试采用如图19的场景，涉及到认证者AP1、认证者AP2和申请者ST。图中的直线为申请者ST仿真过程中的运行轨迹。认证者AP1和AP2作为两个接入点。

认证者AP1的基本服务集标识号BSS Identifier为0，认证者AP2的基本服务集标识号BSS Identifier为1，两者属于两个不同的基本服务集。仿真开始时，申请者ST发送数据包，工作时间为1000秒，非工作时间为1秒；申请者ST的BSSIdentifier开始设为0，和认证者AP1在同一基本服务集中；Roaming Capability设为使能(Enabled)，表示当现在连接的接入点AP信号变弱(信号的有效范围通常为300米)时，ST可以搜寻新的接入点AP接入网络。test_roaming为申请者ST的轨迹，ST沿此轨迹运动时，认证者AP1的信号会逐渐减弱，申请者ST与其失去联系，搜寻新接入点AP，就会发现认证者AP2，并重新启动认证过程，和AP2建立连接。

图20为该场景收集到的统计量，从上至下依次为申请者ST的数据接收速率DataTraffic Rcvd(bits/sec)、认证者AP1的数据发送速率Data Traffic Send(bits/sec)和认证者AP2的数据发送速率Data Traffic Send(bits/sec)。因为认证者AP1和AP2本身并不发送包。图中显示的发包即可推断出为认证过程中的认证包。由图中可以看出，共有两次认证过程，第一次在申请者ST和认证者AP1间进行，第二次在申请者ST和认证者AP2间进行，因为此时申请者ST已经和AP1失去联系，搜索到新的接入点，并将BSS Identifier设为1，和认证者AP2位于同一基本服务集中。图中，申请者ST的数据接收速率等于认证者AP1和AP2数据发送速率的叠加，和我们的预想是相符合的。

五、结论

由以上对收集到的统计量分析可以看出，在仿真的初期，由于需要发送用于完成认证过程的认证数据包，使用增加了认证功能的节点模型的场景在性能上有了一定的下降，说明认证功能对网络性能造成了一定的影响，但这也仅限于仿真初期。到认证过程完成以后，由于不需要再发送认证数据包，认证功能对网络性能不再有影响。可以说，加入了扩展认证模块的无线节点具有功能性，完备性，高效率的特点。

从漫游场景的测试结果可以看出，扩展认证模块的加入，同样是影响到和接入点AP刚刚建立联系的短暂时间内。节点移动至另一个基本服务集中，通过接入点AP的认证后，即可接入该基本服务集的网络服务中。认证功能对网络的安全有相当程度上的控制。

本发明设计实现了基于EAP的IEEE802.1X安全认证标准的无线网络仿真平台和方法，在无线节点和接入点AP中完好地实现了数据包和认证包的分类处理过程，增加了安全认证的功能，并解决了无线节点漫游接入的认证问题。

符号说明：

WLAN：Wireless Local Area Network，无线局域网

AP：Access Point，接入点

EAP：Extensible Authentication Protocol，可扩展认证协议

BSS：Basic Service Set，基本服务集

MAC：MediaAccess Control，媒体访问控制

WEP：Wired Equivalent Privacy，有线等效私密性

PAE：Port Access Entity，端口接入实体

Claims (10)

1.一种基于EAP的IEEE802.1X安全协议的仿真平台，其中网络仿真软件OPNET的无线节点模型中source与sink模块仿真应用层，物理层由接收器wlan_port_rx0和发送器wlan_port_tx0组成，负责接收和发送对其他节点的数据包，wlan_mac_intf和wireless_lan_mac两个模块仿真MAC媒体访问控制层；wlan_mac_intf模块负责目标地址的确定；wireless_lan_mac模块负责应用层数据包的分片、封装、排队、发送，并将物理层收到并转发来的分片进行解封、组装、传送到应用层，同时检测冲突和转发数据包；IEEE802.1X标准给出6个有限状态机，其特征在于：在原有无线节点中添加扩展认证膜块，所添加部分与wireless_lan_mac模块融合，扩展认证模块包括EAP认证模块和端口控制模块，即根据RFC3748 EAP协议和IEEE802.1X标准设计得到的EAP认证模块和端口控制模块直接连接到wireless_lan_mac这一进程模块上；所述EAP认证模块和端口控制模块包括有：EAP认证模块、Backend后台状态机、Port Timer端口计时器与PAE端口接入实体，Backend后台状态机直接与EAP认证模块数据连接，同时与wireless_lan_mac模块数据连接，端口控制模块中的端口计时器、端口接入实体和后台状态机三者中两两之间均通过远程中断控制信号连接，不用包流线连接。

2.根据权利要求1所述的基于EAP的IEEE802.1X安全协议的仿真平台，其特征在于：所述EAP认证模块，分为申请者和认证者：在申请者中，实现eap_supp模块；认证者中，实现eap_auth模块；两者分别通过各自的Backend后台状态机和wireless_lan_mac模块接入到网络中，实现相互通信；仿真过程中，将认证者和认证服务器合二为一，即一个基本服务集BSS内部的接入点AP完成认证服务器的功能，不需要再向认证服务器转发EAP帧。

3.根据权利要求1所述的基于EAP的IEEE802.1X安全协议的仿真平台，其特征在于：所述端口控制模块是由IEEE802.1X标准中的3个有限状态机经过等效转换得到，包括后台状态机、端口计时器与端口接入实体；其中后台状态机主要用于后台认证；端口计时器状态机用于超时控制；端口接入实体模块用于端口控制；三者相互协作完成认证过程中的端口控制功能。

4.根据权利要求1所述的基于EAP的IEEE802.1X安全协议的仿真平台，其特征在于：wireless_lan_mac模块中接入扩展认证模块后，函数wlan_interrupts_process()增加对来自扩展认证模块的流中断的处理过程，改进后wireless_lan_mac模块的输入流增加为三个，分别对应于来自物理层、应用层和扩展认证模块的数据包。

5.根据权利要求1、2、3、4的基于EAP的IEEE802.1X安全协议的仿真平台的仿真方法，其特征在于：具体处理流程中，增加了函数wlan_eap_data_arrival()，处理来自扩展认证模块的认证包，对函数wlan_higher_layer_data_arrival()和wlan_physical_layer_data_arrival()进行了适应性修改；wlan_interrupts_process()函数的具体处理流程步骤如下：

一、开始；

二、判断流中断是否来自应用层，若否，转步骤四；

三、调用函数wlan_higher_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

四、判断流中断是否来自物理层，若否，转步骤六；

五、调用函数wlan_physical_layer_data_arrival()，处理来自应用层的数据包，转步骤七；

六、调用函数wlan_eap_data_arrival()，处理来自扩展认证模块的数据包；

七、结束。

6.根据权利要求5所述的基于EAP的IEEE802.1X安全协议的仿真方法，其特征在于：新增wlan_eap_data_arrival()函数处理认证包的数据，认证包分为认证结果包和普通认证包两类，类型分别为1和2；函数wlan_eap_data_arrival()首先判断认证包的类型，再作处理；然后根据认证状态变量的值，决定该无线节点是否可接入本网络，具体的步骤如下：

一)、开始；

二)、获取来自eap的认证包；

三)、判断认证包的类型是否为2，若不为2，转步骤五)；

四)、将认证包插入到发送队列中，执行函数wlan_hlpk_enqueue()，转步骤八)；

五)、判断认证包的类型是否为1，若不为1，转步骤七)；

六)、根据认证包信息域的值修改认证状态变量的值，转步骤八)；

七)、认证包类型不符，丢弃并报错；

八)、结束。

7.根据权利要求5所述的基于EAP的IEEE802.1X安全协议的仿真方法，其特征在于：所述认证者eap_auth模型设置有相关变量参数，申请者eap_supp模型也设置有相关变量参数，二者的相关变量参数相互关联；认证者通过向申请者发送挑战，以获取申请者的身份和其他相关信息，决定该申请者能否接入网络享受网络服务；认证过程的相互通信，设有超时中断，若在规定时间内未收到相应信息，认证者eap_auth模型或申请者eap_supp模型重新进入初始状态。

8.根据权利要求5所述的基于EAP的IEEE802.1X安全协议的仿真方法，其特征在于：在IEEE802.1X重要状态机的等效转换过程中，进程间通信采用远程中断remote_intrpt加ICI的机制，ICI中设有两个域：Variable_ID和Value，分别表示变量的编号和其修改后的值。

9.根据权利要求5所述的基于EAP的IEEE802.1X安全协议的仿真方法，其特征在于：在IEEE802.1X重要状态机的等效转换过程中，default转移的设置：

给每个非强制状态设置一个转向自身的转移，条件为default，状态机接收到另一状态机发送的远程中断后，修改相应的变量值，判断是否符合转移条件；若不符合，则执行default转移，设置变量IsDefault为TRUE，以便不再执行该状态的入口代码。

10.根据权利要求3所述的基于EAP的IEEE802.1X安全协议的仿真方法，其特征在于：在IEEE802.1X重要状态机的等效转换过程中，全局转移的消去方法有两种：

用S表示所有状态的集合，x为状态机中的某个状态；用T来表示转移的集合，则T＝{<i，j，y>，其中i，j∈S且状态机中存在从i到j的转移，y为转移所需的条件}，那么状态机SM可以表示为二元组SM＝<S，T>；

全局转移消去方法1：通过增加转移来消去全局转移

若有一个全局转移，末状态为Y，设X为状态集中除去Y的任何其他状态，为消去该全局转移，可以增加X到Y的转移，转移条件为全局转移的条件；

全局转移消去方法2：通过增加一个中间状态M来消去全局转移

对方法1的一种改进是：在一个有n个节点，m个全局转移的状态机SM＝{S，T}，S＝{s₁，s₂，s₃，...，s_n}，T＝{t₁，t₂，...，t_k，<X，s_i，d_i>}，其中k为普通转移数，i＝1，2，...，m，m为全局转移数，首先在状态集S中增加一个中间状态M，即S＝S+M，然后为消去所有的全局转移t_i＝<X，s_i，d_i>∈T，(i＝1，2，...，m)，需要按以下步骤执行：

(1).T＝T-t_i，(i＝1，2，...，m)；

(2).T＝T+<x_j，M，d₁|d₂|...|d_n>，(x_j∈S且x_j不为M)；

(3).T＝T+<M，y_i，d_i>，(i＝1，2，...，m)

同时在OPNET中设置状态M为强制状态，保证两次转移和一次转移在事件排序上等效。

Images