无线网络安全协议仿真系统及仿真方法转让专利
申请号 : CN201010144097.5
文献号 : CN101848479B
文献日 : 2012-08-08
发明人 : 杨超 , 高俊涛 , 马建峰 , 李兴华 , 沈玉龙 , 曾勇 , 王超
申请人 : 西安电子科技大学
摘要 :
本发明公开一种无线网络安全协议的仿真系统,主要解决现有仿真技术不能支持无线网络安全协议性能的测试与评估问题。本系统包括应用层、网络层、数据链路层和物理层,其中在数据链路层和网路层之间增设有安全管理仿真层,该安全管理仿真层包括:安全协议模块,用于实现无线网络安全协议的认证逻辑功能;安全协议接口模块,用于提供标准的数据封装和通信原语,设置接口的数据单元信息,完成与任意一个安全协议模块的适配和加载;数据管理模块,用于对协议数据流进行辨别和分流操作,并传输协议数据流给数据链路层或安全协议接口模块。本发明具有统一性、独立性和扩展性的优点,可以实现对无线网络安全协议性能的测试与评估。
权利要求 :
1.一种无线网络安全协议的仿真系统,包括应用层、网络层、数据链路层和物理层,其特征在于:在数据链路层和网路层之间增设有安全管理仿真层,该安全管理仿真层包括:安全协议模块,用于实现无线网络安全协议的认证逻辑功能,产生安全协议数据流,传输给安全协议接口模块;
安全协议接口模块,用于提供标准的数据封装和通信原语,设置接口的数据单元信息,完成与任意一个安全协议模块的适配和加载;
数据管理模块,用于根据安全协议接口模块设置的接口数据单元信息对协议数据流进行辨别和分流操作,并传输协议数据流给数据链路层或安全协议接口模块;
所述的安全协议模块使用通信原语与安全协议接口模块进行协议数据的交互,安全协议接口模块将协议数据流按照标准数据封装格式进行封装和解封。
2.根据权利要求1所述的无线网络安全协议的仿真系统,其特征在于安全协议接口模块定义的标准数据封装格式,包括表示协议类型域和数据包域。
3.根据权利要求1所述的无线网络安全协议的仿真系统,其特征在于安全协议接口模块设置接口的数据单元信息,包括目的地址、源地址、协议类型、服务类型、数据流类型和结果信息。
4.根据权利要求1所述的无线网络安全协议的仿真系统,其特征在于安全协议接口模块的通信原语,包括发送原语和接收原语。
5.一种无线网络安全协议的仿真方法,包括如下步骤:
(1)在申请者安全管理仿真层的数据管理模块中增设“真假”状态变量A,作为控制数据流的开关,其中“真”表示通过认证,“假”表示未通过认证,A的初始值为假;
(2)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示发送数据类型的标识状态变量S,该类型包括发送普通数据包和发送认证数据包;
(3)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示接收数据类型的标识状态变量R,该类型包括接收普通数据包和接收认证数据包;
(4)在认证者安全管理仿真层的数据管理模块中增设认证通过站点表T,存放认证通过站点的MAC地址;
(5)申请者的应用层产生数据包,交给网络层进行信息封装,并转发给安全管理仿真层;
(6)应用层数据包触发安全管理仿真层中数据管理模块的流中断,并根据真假状态变量A检测申请者是否通过认证,若已经通过认证,则将应用层数据包插入发送队列,若没有通过认证,则将该数据包丢弃,并通知申请者的安全协议模块启动认证机制;
(7)申请者的安全协议模块启动后,按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
(8)安全协议接口模块设置相应的接口数据单元信息,并与认证数据包进行绑定,再交给数据管理模块判断认证数据包的类型,若认证数据包是普通认证包,则被插入到发送队列中等待发送,并设置S的值为认证数据包类型,若是认证成功数据包,则设置A为“真”,授权申请者接入网络,若是认证失败数据包,则设置A为“假”,拒绝申请者接入网络的请求;
(9)数据管理模块首先根据S判断发送数据包的类型,若是认证数据包则发送认证数据,若是普通数据包则发送普通数据;再创建MAC包格式,将认证数据包或普通数据包封装在MAC中进行发送;
(10)认证者物理层收到来自申请者的认证数据包,并将状态变量R的值设置为认证数据包类型,交给认证者安全协议模块进行处理,并绑定相应的接口数据单元;
(11)认证者的安全协议模块按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
(12)安全协议接口模块设置相应的接口数据单元信息,并与认证数据包进行绑定,再交给数据管理模块判断协议数据包的类型,若协议数据包的类型是普通认证包,则被插入到发送队列中等待发送,并将发送数据类型的标识状态变量S的值设置为认证数据包,若协议数据包的类型是认证成功包,将申请者的MAC地址加入到认证通过站点表T中,并通知申请者认证成功,若是认证失败包,则丢弃认证包,通知申请者认证失败;
(13)申请者和认证者的交互过程循环往复直至认证结束,得到收集普通数据流的仿真结果。
6.根据权利要求5所述的仿真方法,其中步骤(8)和步骤(12)所述的安全协议接口模块设置相应的接口数据单元信息,包括设置数据包类型域和结果信息域的值,设置数据包的目的地址和源地址的值。
7.根据权利要求6所述的仿真方法,其中所述的设置数据包类型域和结果信息域的值,是将数据包类型域的值设置为0,将结果信息域的值设置为0,表示普通认证数据包;将数据包类型域的值设置为1,将结果信息域的值设置为2,表示认证成功数据包;将数据包类型域的值设置为1,将结果信息域的值设置为3,表示认证失败数据包。
说明书 :
无线网络安全协议仿真系统及仿真方法
技术领域
[0001] 本发明属于无线网络安全技术领域,涉及无线网络协议的仿真,用以解决各种无线网络安全协议的设计、评估与测试问题。
背景技术
[0002] 随着计算机网络技术的快速发展,无线网络在网络化的过程中扮演着越来越重要的角色,其特有的高移动性、高灵活性、低成本等技术特性,正在引发信息化技术的重大变革。无线网络技术的广泛应用,进一步扩展了数据通信的能力。为了保护无线网络的通信安全,开发安全协议成为目前关注的热点问题。开发安全协议需要进行有效性验证,所以迫切需要对其性能和效率进行测试与评估。
[0003] 计算机仿真方法则可以根据需要,设计所需的网络模型,用相对较少的时间和费用了解网络在不同条件下的各种特性,获取网络研究与开发的丰富有效数据。它无疑为新的网络方案提供了一个方便、高效的验证和分析方法,因此网络仿真技术在现代通信网络设计和研究中的作用正变得越来越大,已成为各种复杂系统研制工作的一种必不可少的手段。根据OPNET官方论坛的陈述和OPNET现有的仿真模型可以得出结论,无线网络领域已有的仿真技术只提供常规模型的仿真方法,例如仿真建模无线终端、网络接入点的协议栈的功能和性能,但并不支持对无线网络安全协议性能的测试与评估。
发明内容
[0004] 本发明的目的在于克服现有技术的不足,提供一种无线网络安全协议仿真系统及实现方法,以解决对无线网络安全协议性能进行仿真和评估的问题。
[0005] 为实现上述目的,本发明提出的无线网络安全协议仿真系统包括:应用层、网络层、数据链路层和物理层,其中:在数据链路层和网路层之间增设有单一安全协议模式的安全管理仿真层,该单一安全协议模式安全管理仿真层包括:
[0006] 安全协议模块,用于实现无线网络安全协议的认证逻辑功能,产生安全协议数据流,传输给安全协议接口模块;
[0007] 安全协议接口模块,用于提供标准的仿真接口,设置接口的数据单元信息,完成与任意一个安全协议模块的适配和加载;
[0008] 数据管理模块,用于根据安全协议接口模块设置的接口数据单元信息对协议数据流进行辨别和分流操作,并传输协议数据流给数据链路层或安全协议接口模块;
[0009] 所述的安全协议模块使用通信原语与安全协议接口模块进行协议数据的交互,并将协议数据流按照安全协议接口模块定义的数据封装格式进行封装和解封。
[0010] 为实现上述目的,本发明提出的无线网络安全协议仿真方法,包括如下步骤:
[0011] (1)在申请者安全管理仿真层的数据管理模块中增设“真假”状态变量A,作为控制数据流的开关,其中“真”表示通过认证,“假”表示未通过认证,A的初始值为假;
[0012] (2)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示发送数据类型的标识状态变量S,该类型包括发送普通数据包和发送认证数据包;
[0013] (3)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示接收数据类型的标识状态变量R,该类型包括接收普通数据包和接收认证数据包;
[0014] (4)在认证者安全管理仿真层的数据管理模块中增设认证通过站点表T,存放认证通过站点的MAC地址;
[0015] (5)申请者的应用层产生数据包,交给网络层进行信息封装,并转发给安全管理仿真层;
[0016] (6)应用层数据包触发安全管理仿真层中数据管理模块的流中断,并根据真假状态变量A检测申请者是否通过认证,若已经通过认证,则将应用层数据包插入发送队列,若没有通过认证,则将该数据包丢弃,并通知申请者的安全协议模块启动认证机制;
[0017] (7)申请者的安全协议模块启动后,按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
[0018] (8)安全协议接口模块设置相应的接口数据单元信息,并与认证数据包进行绑定,再交给数据管理模块判断认证数据包的类型,若认证数据包是普通认证包,则被插入到发送队列中等待发送,并设置S的值为认证数据包类型,若是认证成功数据包,则设置A为“真”,授权申请者接入网络,若是认证失败数据包,则设置A为“假”,拒绝申请者接入网络的请求;
[0019] (9)数据管理模块首先根据S判断发送数据包的类型,若是认证数据包则发送认证数据,若是普通数据包则发送普通数据;再创建MAC包格式,将认证数据包或普通数据包封装在MAC中进行发送;
[0020] (10)认证者物理层收到来自申请者的认证数据包,并将状态变量R的值设置为认证数据包类型,交给认证者安全协议模块进行处理,并绑定相应的接口数据单元;
[0021] (11)认证者的安全协议模块按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
[0022] (12)安全协议接口模块设置相应的接口数据单元信息,并与认证数据包进行绑定,再交给数据管理模块判断协议数据包的类型,若协议数据包的类型是普通认证包,则被插入到发送队列中等待发送,并将发送数据类型的标识状态变量S的值设置为认证数据包,若协议数据包的类型是认证成功包,将申请者的MAC地址加入到认证通过站点表T中,并通知申请者认证成功,若是认证失败包,则丢弃认证包,通知申请者认证失败;
[0023] (13)申请者和认证者的交互过程循环往复直至认证结束,得到收集普通数据流的仿真结果。
[0024] 本发明具有如下优点:
[0025] 1)统一性:本发明所设计的无线网络安全协议仿真系统,具有统一的模块规划,创建了通用的仿真平台,降低了程序复杂度,易于修改,加快了安全协议的开发速度,便于网络的协议升级和安全保证。
[0026] 2)独立性:本发明所设计的安全协议仿真层具有统一的接口,确保跨接口所需要的信息流最小,与上下两层协议实体的耦合度低,对该层的改动并不影响其他层的功能,具有独立性的特点。
[0027] 3)扩展性:本发明所设计的仿真接口扩展方法具有规范完整的协议适配加载过程,定义了标准开放的数据封装格式及功能完善的模块通信原语,可以同时支持多种安全协议模块的运行,具有良好的扩展性。
[0028] 4)透明性:本发明屏蔽协议扩展的实现细节,提供了标准的仿真接口,简单的通信机制,新协议模块只需利用接口提供的便捷的交互原语,就可以方便的完成加载、保持顺畅的通讯,简便易行具有透明性的特点。
附图说明
[0029] 图1是本发明无线网络安全协议仿真系统的结构框图;
[0030] 图2是本发明无线网络安全协议仿真方法流程图;
[0031] 图3是本发明仿真系统中的标准数据封装格式;
[0032] 图4是本发明无线网络安全协议仿真方法的仿真场景;
[0033] 图5是加入安全协议模块的申请者的节点模型;
[0034] 图6是未加入安全协议模块的申请者的节点模型;
[0035] 图7是两个场景中申请者S的发送数据对比图;
[0036] 图8是两个场景中STA的接收数据对比图;
[0037] 图9是两个场景中S的数据链路层接收数据对比图。
具体实施方式
[0038] 参照图1,本发明的无线网络安全协议仿真系统,主要由应用层、网络层、安全管理仿真层、数据链路层和物理层组成。该应用层和网络层用于产生数据流;该数据链路层和物理层用于收发数据流;该安全管理仿真层用于仿真认证数据流;该安全管理仿真层包括安全协议模块、安全协议接口模块和数据管理模块。其中:
[0039] A.安全协议模块,由无线网络安全协议仿真系统的使用者按照安全协议的逻辑设计实现,实现无线网络安全协议的认证逻辑功能,产生安全协议数据流,并使用安全协议接口模块定义的通信原语与接口模块进行信息交互。安全协议模块发送认证数据包或发送认证结果信息时,使用安全协议接口模块设计的发送原语Send(),将认证数据包或发送认证结果信息发送给安全协议接口模块进行下一步封装和处理;安全协议模块接收认证数据包时,使用安全协议接口模块设计的接收原语Receive()接收认证数据包进行解析,并进行认证的相关处理。
[0040] B.安全协议接口模块,为安全协议模块提供标准通用的仿真接口,设置接口的数据单元信息,完成与任意一个安全协议模块的适配和加载,按照安全协议接口模块定义的数据封装格式对认证数据包进行封装和解封。该模块的功能包括:使用设计的发送原语Send()和接收原语Receive()与安全协议模块进行信息交互,将安全协议模块的认证数据包按照接口模块定义的标准数据封装格式进行封装和解封,设置接口数据单元信息并与认证数据包进行绑定。
[0041] B1.标准数据封装的设计
[0042] 参照图3,接口模块为了提供通用性和扩展性,设计了标准数据封装格式。该数据封装由两个数据域组成:协议类型域和数据包域。协议类型域用于表示安全协议模块实现的安全协议类型,数据包域用于承载安全协议模块产生的认证数据包,协议类型和数据包分离的设计支持安全协议的扩展。
[0043] B2.接口数据单元IDU的设计
[0044] 为了区分数据流的类型,该仿真接口设计了接口数据单元IDU,格式如表1所示,其中数据包类型、结果信息域表示数据流的类型,两个域初值均为0表示普通认证数据包,非零值表示认证结果数据包,两个域值不同组合的意义如表2所示。数据链路层、安全协议接口模块产生数据时均生成IDU信息,并与数据流绑定,作为数据管理模块管理数据流的依据。
[0045] 表1 接口数据单元
[0046]域名 类型 初值
数据包类型 整型 0
结果信息 整型 0
目的地址 整型 -1
源地址 整型 -1
协议类型 整型 -1
服务类型 整型 0
数据包类型 整型 0
结果信息 整型 0
目的地址 整型 -1
源地址 整型 -1
协议类型 整型 -1
服务类型 整型 0
[0047] 表2 数据包类型和结果信息的组合
[0048]数据包类型域 结果信息域 作用
0 0 普通认证数据包
1 1 认证通知数据包
1 2 认证成功数据包
1 3 认证失败数据包
0 0 普通认证数据包
1 1 认证通知数据包
1 2 认证成功数据包
1 3 认证失败数据包
[0049] B3.通信原语的设计
[0050] 通信原语由发送原语Send()和接收原语Receive()组成,并配对使用。安全协议模块使用发送原语Send()发送认证数据包或认证结果信息给安全协议接口模块,安全协议接口模块使用接收原语Receive()接收认证数据包或认证结果信息;同样,安全协议接口模块从标准数据封装中解封认证数据包后,使用发送原语Send()发送认证数据包给安全协议模块,安全协议模块使用接收原语Receive()接收认证数据包,并进行下一步认证处理。
[0051] 该发送原语Send()的参数类型有三种:认证通知,认证成功,认证失败和认证数据包。发送原语根据参数的类型设置接口数据信息IDU的值,如表1所示。其中数据包类型和结果信息的值如表2所示。当发送认证通知信息时,发送原语设置接口数据信息IDU中的数据包类型域的值为1,结果信息域的值为1;当发送认证成功信息时,发送原语设置接口数据信息IDU中的数据包类型域的值为1,结果信息域的值为2;当发送认证失败消息时,发送原语设置接口数据信息IDU中的数据包类型域的值为1,结果信息域的值为3;当发送认证数据包时,发送原语设置接口数据信息IDU中的数据包类型域的值为0,结果信息域的值为0,并将该IDU与认证数据包进行绑定。
[0052] 该接收原语Receive()用于接收认证数据包,并析取与该数据包绑定的IDU信息,返回认证数据包的句柄。
[0053] 所述安全协议接口模块与安全协议模块的交互过程如下:
[0054] 当新的安全协议模块应用时,安全协议接口模块进行加载初始化。接口模块的初始化包括:设置IDU信息中的数据包类型域的值为0,设置结果信息域的值为0,创建标准数据封装包,并初始化其协议类型域的值为0;
[0055] 当安全认证机制启动时,安全协议接口模块使用发送原语Send()给安全协议模块发送认证通知信息;安全协议模块使用接收原语Receive()接收认证通知消息,并创建认证数据包,使用发送原语Send()设置IDU信息,发送认证数据包给安全协议接口模块;安全协议接口模块使用接收原语Receive()接收认证数据包,将其封装在标准数据封装包中,并发送给数据管理模块进行处理。
[0056] C.数据管理模块,负责对普通应用数据流和认证数据流进行监管,并根据安全协议接口模块设置的接口数据单元信息对认证数据流进行辨别和分流操作,传输认证数据包给数据链路层或安全协议接口模块。该数据管理模块包括申请者数据管理模块和认证者数据管理模块,它们与其他模块的交互如下:
[0057] C1.申请者数据管理模块与其他模块的交互:
[0058] 当数据流来自网络层时,该模块根据数据流开关A的状态判断申请者是否已经通过认证。若已经通过认证,则将应用数据流交给数据链路层进行封装并发送,若申请者没有通过认证,则丢弃应用层数据包,并给安全协议接口模块发送认证启动消息,启动安全协议模块进行安全关联;
[0059] 当数据流来自安全协议接口模块时,该模块根据接口数据单元中的认证数据类型进行相应处理。若是认证过程数据包,则该模块将认证过程数据包交给数据链路层进行封装并发送,若是认证失败数据包,则该模块将数据流开关A的值设置为“假”,若是认证成功数据包,则该模块将数据流开关A的值设置为“真”,表示申请者已经通过认证,可以获取无线网络访问权发送应用数据包了;
[0060] 当数据流来自数据链路层时,数据管理模块根据接收数据类型的标识状态变量R判断接收到的数据包的类型。若是普通数据包DATA,则将数据包交给网络层进行处理,若是认证数据包AUTH,则将认证数据包交给安全协议接口模块进行处理。
[0061] C2.认证者数据管理模块与其他模块的交互:
[0062] 当数据流来自网络层时,该模块将应用数据流交给数据链路层进行封装并发送;
[0063] 当数据流来自安全协议接口模块时,该模块根据接口数据单元中的认证数据类型进行相应处理。若是认证过程数据包,则该模块将认证过程数据包交给数据链路层进行封装并发送,若是认证失败数据包,则该模块将认证失败数据包发送给申请者通知认证失败,若是认证成功数据包,则该模块将申请者的MAC地址加入到认证通过站点表T中,并发送认证成功数据包给申请者通知认证成功;
[0064] 当数据流来自数据链路层时,数据管理模块根据接收数据类型的标识状态变量R判断接收到的数据包的类型。若是普通数据包DATA,则从认证通过站点表T中查找是否存在该数据包所属申请者的MAC地址,若存在则将该数据包送往网络层进行处理,若不存在则丢弃该数据包。若是认证数据包AUTH,则将认证数据包交给安全协议接口模块进行处理。
[0065] 参照图2,本发明的无线网络安全协议仿真方法,包括如下步骤:
[0066] 步骤1,设置相关参数
[0067] (1.1)在申请者和认证者的安全管理仿真层的数据管理模块中增加标明认证数据包的类型AUTH;
[0068] (1.2)在申请者安全管理仿真层的数据管理模块中增设“真假”状态变量A,作为控制数据流的开关,其中“真”表示通过认证,“假”表示未通过认证,A的初始值为假;
[0069] (1.3)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示发送数据类型的标识状态变量S,该类型包括发送普通数据包和发送认证数据包。
[0070] (1.4)在申请者和认证者的安全管理仿真层的数据管理模块中增设表示接收数据类型的标识状态变量R,该类型包括接收普通数据包和接收认证数据包。
[0071] (1.5)在认证者安全管理仿真层的数据管理模块中增设认证通过站点表T,存放认证通过站点的MAC地址。
[0072] 步骤2,仿真运行
[0073] (2.1)申请者的应用层产生数据包,交给网络层进行信息封装,并转发给安全管理仿真层;
[0074] (2.2)应用层数据包触发安全管理仿真层中数据管理模块的流中断,数据管理模块根据模块端口判断流中断的来源,若流中断来自应用层,则根据真假状态变量A检测申请者是否通过认证,若已经通过认证,则将应用层数据包插入发送队列中,并设置发送数据类型的标识状态变量S为普通数据包类型,若没有通过认证,则将该数据包丢弃,并通知申请者的安全协议模块启动认证机制;
[0075] (2.3)申请者的安全协议模块启动后,按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
[0076] (2.4)安全协议接口模块设置数据包类型域和结果信息域的值,设置数据包的目的地址和源地址的值,并与认证数据包进行绑定,再交给数据管理模块进行处理;
[0077] (2.5)数据管理模块根据模块端口判断流中断的来源,若流中断来自安全协议接口模块,则根据与数据包绑定的接口数据单元中数据流类型和消息信息的值判断协议数据包的类型,若认证数据包是普通认证包,则被插入到发送队列中等待发送,并设置S的值为认证数据包类型,若是认证成功数据包,则设置A为“真”,表明申请者已经获得认证者的授权可以接入网络,若是认证失败数据包,则设置A为“假”,表明申请者接入网络的请求被拒绝;
[0078] (2.6)根据发送数据类型的标识状态变量S的值,判断发送的是认证数据包还是普通数据包,若是认证数据包则发送认证数据,若是普通数据包则发送普通数据;
[0079] (2.7)创建媒体接入控制MAC包格式,设置下一跳目的地址和最终目的地址为本基本服务集BSS内认证者AP的MAC地址,并将数据包封装在MAC中进行发送;
[0080] (2.8)认证者物理层收到来自申请者的认证数据包,根据模块端口判断流中断的来源,若该中断来自物理层,则将状态变量R的值设置为认证数据包类型,从数据包头中析取相应信息,判断该数据包目的地是否为本节点,若目的地是本节点,则从组装队列中取出完整的数据包,并根据接收数据类型的标识状态变量R判断数据包类型,若是普通数据包,则交给应用层进行处理,若是认证数据包,则交给安全协议模块进行处理,并绑定相应的接口数据单元,若目的地不是本节点,则进行转发;
[0081] (2.9)认证者的安全协议模块按照安全协议的逻辑产生认证数据包,并将认证数据包交给安全协议接口模块;
[0082] (2.10)安全协议接口模块设置相应的接口数据单元信息,并与认证数据包进行绑定,再交给数据管理模块进行处理;
[0083] (2.11)认证者的数据管理模块根据模块端口判断流中断的来源,若流中断来自安全协议接口模块,则根据接口数据单元中数据流类型和结果信息的值判断协议数据包的类型,若是普通认证包,则被插入到发送队列中等待发送,并将发送数据类型的标识状态变量S的值设置为认证数据包,若是认证成功包,则将申请者的MAC地址加入到认证通过站点表T中,并通知申请者认证成功,若是认证失败包,则丢弃认证包,通知申请者认证失败,当认证者接收到数据包时,它会在T表中查找是否存在发送该数据包的申请者的记录,若存在表明认证者收到的数据是合法的,则进行下一步处理,否则认证者不予回应并销毁收到的数据包;
[0084] (2.12)申请者和认证者的交互过程循环往复直至认证结束,之后便可以收集普通数据流的仿真结果。
[0085] 实施例:
[0086] 为了测试仿真平台的有效性,本发明以用户实现的WEP安全协议模块的测试为例说明本发明的仿真。
[0087] 1.仿真场景
[0088] 图4所示为本测试使用的场景,S为申请者,AP为认证者,STA为S发送数据包的目的节点。图5所示为加入WEP安全协议模块的申请者S的节点模型,图6所示为未加入WEP安全协议模块的申请者S的节点模型。
[0089] 本测试采用两个仿真场景,两个仿真场景的参数设置相同,S从第0秒开始发送数据包,工作时间30秒,非工作时间为15秒,在工作时间内每隔1秒向场景中的STA发送一个数据包,仿真运行时间设定为30分钟。本测试采用单因子替换法,一个场景中的无线节点加入WEP安全协议模块,如图5所示,另一个场景中的无线节点为未加入WEP安全协议模块,如图6所示,以便对测试结果进行对比。
[0090] 申请者只有在认证通过后才能写入统计量,认证者不把认证数据写入统计量。OPNET中收集的节点统计量默认的收集模式是bucket mode。为了说明加入WEP认证模块,认证模块对申请者站点发送数据包的影响,把两个场景中S的发送数据统计量的收集模式设定为all values。all values收集模式表示对统计量的更新不做任何修改,这样便于直观的定量分析数据。而其它的统计量收集模式仍是bucket mode,只做定性分析。
[0091] 2.仿真结果
[0092] 收集申请者S和目的站点STA的统计量,并将两个场景中的对应统计量进行对比分析。
[0093] (1)对加入WEP认证模块的功能分析
[0094] 参照图7,该图是两个场景中节点S发送数据包的结果统计量图。Authentication表示加入了WEP安全协议模块后,节点S发送数据包的结果统计量;No_Authentication表示未加入了WEP安全协议模块时,节点S发送数据包的结果统计量。由图可以看出No_Authentication数据点比Authentication数据点多一个,原因是加入WEP安全协议模块的S在发送数据包时,首先检测申请者是否通过认证,若没有通过认证,则会丢弃数据包,未加入WEP安全协议模块的S比加入WEP安全协议模块的S多发送一个数据包,符合本发明的设计。
[0095] 参照图8,该图是两个场景中节点STA接收数据包的结果统计量图。由图8可以看出两个场景中STA接收数据包的统计量没有收到认证过程的影响。
[0096] (2)安全协议模块对普通数据流的影响分析
[0097] 参照图9,该图是两个场景中节点S的数据链路层接收高层数据包的结果统计量图。Authentication曲线表示加入WEP安全协议模块后,节点S的数据链路层接收高层数据包的结果统计量图;No_Authentication曲线表示未加入WEP安全协议模块时,节点S的数据链路层接收高层数据包的结果统计量图。由图可以看出安全协议模块的认证过程对数据流的初期统计量有影响,使得加入WEP安全协议模块的节点S的数据链路层接收高层数据包多于未加入WEP安全协议模块的节点S,原因是加入WEP安全协议模块的节点S的数据链路层多接收了用于认证过程的认证数据包。
[0098] 结论
[0099] 由以上对两个场景中统计量的分析可以看出,加入WEP安全协议模块的无线节点具有功能性,完备性的特点。本发明的仿真系统提供了标准的协议仿真接口,便捷的通信原语,开放的数据封装格式,安全协议模块进行简单的设计便可在该仿真系统上进行性能测试。本发明设计的仿真系统解决了无线网络安全协议的仿真评估问题。
[0100] 符号说明:
[0101] IDU:Interface Data Unit,接口数据单元
[0102] MAC:Media Access Control,媒体访问控制
[0103] WEP:Wired Equivalent Privacy,有线等效私密性
[0104] STA:Station,站点
[0105] AP:Access Point,访问点
[0106] BSS:Basic Service Set,基本服务集。