AP工作原理介绍.pdf

AP核心功能 刘继军 网桥和基本认证原理 网桥用于将收到的数据重新组帧并计算 校验值加上新的MAC和物理层报文头，从另 外的端口发出去。网桥可分为透明网桥和源 路由选择网桥两种, 其中透明网桥易于安装, 但这种网桥并没有最佳地利用带宽, 因为它们 仅仅用到了拓扑结构的一个子集( 生成树) ; 源 路由选择网桥可使用最佳路由, 而透明网桥则 只限于生成树, 另外, 源路由选择网桥还可以很 好地利用网间的并行网桥来分散载荷。透明网 桥一般用于连接以太网段, 而源路由选择网桥 则一般用于连接令牌环网段。 认证的基本原理 在系统中使用802. 11 协议族中WPA ( IEEE802. 11i) 来实现对移动用户接入的控制, WPA 由证、Key 交换以及加密过程组成, 在实际应用中, 通常情况下, 整个框架包括802. 1X、EAP、TKIP、 MIC 四个部分, 其中802. 1X 定义一种认证过程, 它 通过端口认证实现用户级的接入控制, 其主要目的是 为了解决无线局域网用户的接入认证问题, 能够在利 用IEEE802 局域网优势的基础上, 提供一种对连接到 局域网的无线用户进行认证和授权的手段, 达到接受 合法用户接入, 保护网络安全的目的, 图1 描述了这 种认证协议的体系结构。 认证的基本原理 认证的基本原理 EAP 是一种可扩展认证协议, EAP 在链路控 制协议阶段没有选定一种认证机制, 而把这一步推迟 到认证阶段。EAP 协议具有良好的可扩展性, 这使得 在添加新的认证机制时丝毫不会影响现有协议的继续 使用。EAP 的认证过程可描述如下: ( 1) 在链路建立阶段完成后, 认证者发送一个或 多个请求数据报文来对对方进行认证, 该数据报文中 有一个类型域表明请求的类型。 ( 2) 对方发送一个响应数据报文对每一个请求做出应 答。响应报文中的类型域与请求报文中的类型 域对应。 ( 3) 认证者发送一个成功或失败数据报文结束认 证阶段。 认证的基本原理 TKIP 密码协议基于RC4 算法, 对WEP 硬件保持兼容, 通过软件的方法修改输入WEP 硬件模块的数据以达到安全的目的。MIC 消息 完整性认证是用来保证数据完整性的一种手段, 和TPIK 结合既保证了移动设备的合法性,又保 证了互相交换的数据的正确性和完整性。 AP系统架构 认证过程描述（1） 认证模块涉及网络协议栈的链路层和应用层: 在 链路层, 提供了对于EAP( 可扩展认证协议) 、Key 交 换以及消息完整性的支持, EAP 使得AP 无线端可以 支持多种加密认证协议, EAP 模块有两个主要作用, 一个是为从驱动接收到的数据报文去除EAP 报头并 传送给AP 实体, 另一个是为从AP 实体接收到的报 文增加EAP 报头并传送给驱动, TKIP 是一个通用加 密机制, Key 交换保证在通讯过程中密钥不固定, 从 而使得密钥的必威体育官网网址性进一步增强, 消息完整性认证通 过对数据内容加入校验信息以达到保证数据完整、 正确的目的; 认证过程描述（2 ） 在应用层, 提供了Radius 客户端, Radius 客 户端模块需要和Radius 服务器以及AP 实体交 互认证信息。Radius 客户端用于从AP 实体接 收报文, 再依据Radius 协议封装成Radius 数 据报, 然后和Radius服务器交互, 达到认证的 目的。认证结束后, 如果成功, Radius 客户端 会向AP 实体发送通过信息, AP 实体再经过 EAP 模块将信息发送给被认证端, 同时Radius 服务器还会为AP 产生用于和无线站点交互的 密钥, 如果不成功, 则发送不成功的信息。 认证过程描述（3 ） (1) 当用户需要使用STA 上网时, 用户打开STA,输入用户名和口令 发起连接。此时, 申请者将发出请求认证报文给AP, 开始启动一次 认证过程。 ( 2)AP 收到请求认证数据帧后, 发出请求帧,要求用户的STA 将输 入的用户名送上来。 ( 3)STA 响应请求, 将用户名信息通过数据帧送给AP