无线Mesh网络是近年来一种新兴的无线局域网技术。无线Mesh网络在提供网络服务的Mesh节点之间建立路由联系,不需要每个Mesh节点都与有线网络直接连接,极大地方便了无线网络的部署。但Mesh网络这种新的特点,也对基于802.11AP模式制定的无线局域网安全标准在Mesh网络的适用性提出了挑战。本论文着重研究802.11i无线局域网络安全标准提出的认证机制在Mesh网络中的适用性。无线Mesh网络是移动自组织网络与802.11无线局域网的一种融合,论文首先对802.11局域网、移动自组织网络以及Mesh网络进行了介绍。802.11局域网络作为一种IEEE国际标准,提出了两种网络拓扑形式。一种是基于集中式访问点的AP方式,另一种是无线客户端之间直接通信的对等网络方式。移动自组织网络是一种一般用于军事等特殊用途的无线局域网络,其拓扑形式是节点之间建立路由关系,组网非常灵活。在无线Mesh网络中,提供网络服务的Mesh节点物理位置比较固定,Mesh节点之间建立路由关系,可以转发数据包。传统的802.11局域网络具有无线单跳的特点,而Mesh网络则具有无线多跳的特点。论文接着对已有的无线局域网络安全标准提出的认证机制进行了研究,包括WEP认证机制、WPA、80211i认证机制。WEP采用基于共享密钥的认证方式,不仅密钥长度较小,认证协议也存在漏洞。WPA和802.11i都采用802.1x认证机制。在802.1x认证机制中,访问点仅是无线客户端和认证服务器之间的一座桥梁,无线客户端和认证服务器之间的认证协议只要遵从可扩展认证协议框架(EAP),可以采用任何一种具体的认证协议。WPA和802.11i的不同主要是在于认证完成后,无线访问点与客户端之间的消息鉴别和加密算法不同。总的来说,无线局域网络安全标准所提出的认证方案依赖于专门的认证服务器。论文接着对这些认证机制在无线Mesh网络的适用性进行了分析。采用共享密钥的认证机制在Mesh网络中存在着难以扩充和单点失败的弱点。而802.1x认证机制由于需要集中的认证服务器,限制了Mesh网络的分布式特性。已有的无线局域网认证机制在Mesh网络中存在不适应之处。论文随后提出了一种新的Mesh网络认证协议。即在数字证书认证机制的基础上,混合了Mesh节点的位置信息。数字证书的认证机制一般需要访问一个集中的存放吊销证书列表的目录服务器。而新的认证协议根据Mesh节点比较固定的特点,在每一个Mesh节点上配置一个邻居列表(如管理员手工配置),每一个节点的认证除了证书是权威CA颁发外,还需要该节点存在于邻居节点上的邻居列表内,才能与邻居节点通信。当某个节点证书失效时,我们只需要在其邻居节点上的邻居列表内删除该节点信息,就可以达到吊销证书的目的,从而不需要集中的目录服务器。论文最后对实现该Mesh认证协议的软件系统的结构进行了分析,对所用到的关键技术和算法进行了介绍。包括:采用Socket通信技术完成认证的初始化,采用Linux内核的数据包过滤技术截获数据包完成后续消息的签名和鉴别,采用OpenSSL提供的加解密库完成各种加解密操作。本论文所提出的无线Mesh认证方案还很不完善,但论文研究所发现的问题以及提出的改进思想将对加强无线Mesh网络的安全防护提供有价值的借鉴。