由于无线局域网(WLAN:Wireless Local Area Network)与有线网络相比具备移动性好、组网方便、运营成本低和投资回报率高等优势，加上近年来在覆盖范围、功率、带宽上取得了技术上的一些突破，目前其发展速度很快，是计算机网络领域的一个新的研究热点，广泛应用于各行各业，但由于无线信道的开放性使得无线局域网的安全性倍受关注，现有安全机制存在许多问题有待解决，安全问题成为无线局域网目前发展的主要障碍之一，因此为之进行理论与技术上的探索是非常必要的。　　目前国内外无线局域网现有的安全机制存在以下技术难题:一是对于IEEE802.11无线局域网中存在重大安全缺陷的现存标准WEP(Wired Equivalent Privacy)，目前还没有一个公认的可替代的安全标准;二是兼容性，目前的安全标准和草案所带来的互不兼容实际上已严重阻碍了无线局域网的发展。　　无线局域网安全的框架模型SWIP(Secure WLAN in IP Layer)吸取了有线网中IPSec(Internet Protocol Security)协议的部分框架结构，以提供良好的机密性、完整性、数据源鉴别和抗重播性，针对IPSec在WLAN中应用的不足，SWIP在身份认证、密钥交换、安全策略控制以及由WLAN移动性所带来的跨安全域密钥共识方面进行了改进和功能扩展。　　身份认证和密钥协商的安全性是网络系统安全的重要基础和前提，无线密钥交换协议WKE(Wireless Key Exchange)采用基于第三方认证体制来解决WLAN中无线用户和SWIP安全网关之间的身份认证和密钥协商，WKE还可以应用在到无线局域网的ad hoc模式中，可以为ad hoc模式提供一种集中控制管理的身份认证解决方案。理论分析和实验数据表明，WKE计算量小，可以提高无线用户和安全网关之间身份认证和密钥协商的执行效率，符合无线局域网移动设备的特点;在安全性方面通过采用BAN逻辑对WKE进行了形式化逻辑，证明了所设计的协议可以达到预期的安全目标，BAN逻辑证明了WKE的安全性。　　在多个无线局域网互连的情况下，不同管理机构下移动台和认证服务器构成的安全域不同，如果一个安全域的用户需要访问其他安全域时，用户与异地安全域的密钥共识是一个有待解决的安全问题，多安全域间的密钥共识协议MKAP(Multi-Domain Key Agreement Protocol)解决了跨安全域访问时本地安全域的认证服务器与异地安全域认证服务器间的密钥共识以及移动用户与异地安全域的密钥共识，MKAP将跨安全域访问按基于本地的跨域访问和基于移动IP跨域访问两种情形分别提出了解决方案。考虑到移动用户使用的移动设备与本地认证服务器和异地认证服务器之间硬件条件的不对称性，MKAP采用对称密码体制和公钥密码体制相结合的方法，其中用户和异地认证服务器之间以本地认证服务器为密钥分发中心采用对称密码体制来实现密钥共识;而本地认证服务器和异地认证服务器之间采用带数字签名的Diffie-Hellman交换实现密钥共识，其安全性建立在计算离散对数的基础上，并通过数字签名避免了传统Diffie-Hellman交换存在的中间人攻击;MKAP与WKE一起完善了SWIP模型的密钥交换系统。　　通过协议、算法、工作模式的组合，SWIP可以提供灵活多边的安全服务，采用形式化语言描述的三类安全策略需求子集可以用来描述这些安全服务。SWIP的CPN模型利用了有色Petri网对资源的丰富表达描述了SWIP的动态变化。对系统的状态和动作提供了明确的细节描述，为安全策略的配置和控制管理提供了有力的分析工具，该模型也可用于有线网。