论文部分内容阅读
由于无线介质天然的开放性,各种无线系统比有线系统面临更多的安全威胁。而这些威胁大多直接从空中侵入,因此更加难以防范和控制。802.16是一项新兴的无线城域网(WMAN)技术,作为一种极具竞争力的无线接入技术,众多的运营商和设备厂商已在积极酝酿将其推向市场。由于无线系统的无边界性,WMAN面临着许多安全威胁。为了消除这些威胁,提高其市场生存能力,WMAN标准802.16在MAC层中增加了负责认证、密钥管理和数据保护的安全子层。本文主要介绍802.16协议的安全子层,深入分析了它的PKM密钥管理协议,详细解释了一次完整的鉴权和密钥协商过程,并在此基础上讨论PKM协议的优劣性,给出多项改进方向和意见。在考虑到802.16无线城域网实际运营要求的情况下,本文提出了一套基于RADIUS服务器实现802.16安全子层功能的方案。根据这个方案,建立一个专用的RADIUS服务器作为统一的认证服务器,SS作为申请者向BS(认证者)发送身份认证请求,BS把收到的来自SS的身份认证请求发给RADIUS服务器,由后者完成相应的身份认证任务。引入RADIUS服务器的后能大幅减轻BS的处理负担,使得网络在大量SS存在的情况下仍然能稳定的运行,系统健壮性提高。本文在分析802.16安全子层各密钥产生传输机制、BS和SS双方密钥同步机制、SS端AK和TEK状态机实现机理等重要问题的基础上,给出上述方案设计中几个最重要的组成部分:BS和Radius服务器之间通信协议的具体格式和具体内容、BS端具体实现细节、SS端具体实现细节。根据该设计,在Linux系统中成功实现了基于RADIUS服务器的802.16安全子层系统,并通过测试正常运行。为考虑到安全子层系统在认证方面的可扩展性,本文提出一种使BS和RADIUS服务器之间采用EAP协议进行通信的改进设计;为考虑到安全子层防护重放攻击的情况,提出利用随机数的消息改进设计。结合在设计、实现、测试802.16安全子层中的实践经验和802.11协议簇及其他无线协议,本文指出了802.16协议安全子层目前存在的优势和不足,对标准的完善有一定的借鉴价值。此论文就是关于IEEE 802.16协议MAC层中Privacy sublayer的总体框架设计,它的主要作用在于明确privacy sublayer的总体功能,提出此标准的技术实现难点和需要改进的方向。