4G移动通信技术于近几年快速成熟和普及,其链路质量和网络带宽能够媲美于专线,从而促使各行业的无线业务迅猛发展。此处的无线业务指利用移动通信技术完成无线终端的接入,使无线终端上开展的业务不再依赖有线网络。而随着无线业务的快速发展,无线接入的安全问题也越来越突出。无线终端使用无线链路、脱离地理限制等特点,相对有线设备更容易受到攻击。无线接入的安全问题主要分为两个方面：一是信道的安全性,应对无线终端与内网之间的通信进行保护,防止信息的机密性、完整性遭受破坏；二是身份的安全性,应对用户或终端的身份进行验证,防止非法用户或终端接入内网后造成破坏。另外,考虑到无线终端部署数量大、组网灵活等特点,在确保安全的前提下,应设计合适的技术方案,提高管理的便利度。网络密钥交换协议(Internet Key Exchange, IKE)可以满足无线接入的基本安全需求。该协议一方面能够对无线终端的身份进行验证,另一方面可建立互联网协议安全性虚拟专用网络(Internet Protocol Security Virtual Private Network, IPSec VPN)保护无线终端与内网之间的通信。但IKE并非专为无线接入设计,将其应用于4G无线接入时,暴露出以下缺陷：一是无法对无线终端进行统一的授权和计费,无法满足对无线终端的管理需求；二是只能通过证书、预共享密钥等对设备进行认证,无法同时保障认证的安全性和便利性；三是内网网关直接对无线终端进行接入管理,两者耦合紧密,在大规模的组网中难以灵活的进行部署和管理。为改进以上缺陷,本课题设计了IKE支持认证、授权、计费(Authentication Authorization Accounting, AAA)、IKE支持4G增强的扩展认证两个方案。IKE支持AAA指将IKE与AAA进行结合,IKE协商的中心端作为网络接入服务器(Network Access Server, NAS)对无线终端进行认证、授权、计费,使4G无线接入更加安全和便利。IKE支持4G增强的扩展认证指在扩展认证过程中,除了对用户名和密码进行认证,还对4G无线路由器上客户识别模块(Subscriber Identity Module, SIM)卡的国际移动用户识别码(International Mobile Subscriber Identification Number, IMSI)、媒体接入控制层(Media Access Control, MAC)地址进行认证,增强4G无线接入的安全性。IKE支持AAA的计费、IKE支持4G增强的扩展认证是本课题的主要创新点。将上述创新点和业内主流的IKE支持AAA的认证和授权进行融合和实现,是本课题的主要工作。本文给出了以上两个方案的详细设计。并于一款基于VxWorks OS(VxWorks Operating System)的路由器软件系统上,对IKE模块和AAA模块进行改进,实现了设计方案。最后设计实验进行验证,实验结果表明上述方案是可行和正确的。