WLAN快速接入认证机制研究与实现

在无线网络环境中，当STA进入到接入点AP的覆盖范围时，会进行初始接入认证以建立网络连接。现有的安全标准IEEE802.11i及802.11r在大部分情况下都能够较好的满足需求，但是在某些特殊的场景下，如：大量用户同时进入ESS、用户在ESS内逗留很短时间但仍然需要同WLAN建立连接等的情况，由于现有的接入认证方案需要较多的消息交互轮数，使得认证过程消耗过多的时间，STA不能充分发挥WLAN系统的能力。针对上述问题，我们从以下两方面着手开展工作： （1）提出一种全新的接入认证方法，可以省略现有技术中的EAP认证过程和四步握手过程，仅需要三个认证消息即可完成认证和密钥分发过程，消息数量大大减少，但同样可以通过计数器的当前值来防止消息重放攻击。并且本方案适用于802.11i和802.11r两种标准过程，可以实现WLAN快速安全的初始接入认证，缩短初始接入认证所需要的时间，降低实现的复杂度。笔者对该方案进行了实现，并部署到实际的无线环境中运行、测试，结果表明：同已有标准相比，本方案能大大提高初始接入的性能。 （2）提出一种快速初始连接建立系统框架，可以将EAP认证过程和密钥分发过程适当同步进行，在五步内完成AS和STA、AP和STA之间的相互认证、密钥分发、关联标识AID的分配、以及IP地址分配等过程。该框架可兼容现有的各种认证方式，灵活性、扩展性好，对原有认证方式可以不作任何改动即可使用。并且该框架在考虑与原入网过程兼容的基础上，去掉开放系统认证、关联、四步握手等过程，将它们与EAP认证融合成一个统一的过程，大大减少了空口消息交互数，加快了终端入网过程。