摘要：無線網(wǎng)絡(luò)系統(tǒng)由于其終端、網(wǎng)絡(luò)介質(zhì)以及通信模式的不同，相對于有線網(wǎng)絡(luò)有更高的安全需求。WPKI （Wireless PKI）和VPN(Virtual Private Network)是近年來使用廣泛的安全技術(shù)，該文在分析研究無線網(wǎng)絡(luò)和無線終端的基礎(chǔ)上，綜合了這兩種技術(shù)，構(gòu)建一種基于WPKI的無線移動VPN系統(tǒng)，提出了一種簡單的安全模型。

關(guān)鍵詞：WPKI；VPN；安全；數(shù)字證書

中圖分類號：TP311文獻標(biāo)識碼：A文章編號：1009-3044(2009)04-0816-03

The Analysis and Design of Wireless Mobile VPN System based on WPKI

CAO Ji-meng， HU Jia-bao，XIONG Zi-yao

(School of Computer Science and Technology，Wuhan University of Technology，Wuhan 430063，China)

Abstract: Wireless network systems because of its terminal， network media， as well as the different modes of communication， as opposed to cable networks have higher security needs. The use of WPKI (Wireless PKI) and VPN (Virtual Private Network) in recent years have a wide range of security technologies， this paper analysis of wireless networks and wireless terminals based on a combination of these two technologies， to build a WPKI-based wireless mobile VPN system， an effective solution for wireless mobile applications system security issues.

Key words: WPKI; VPN; security; digital certificate

無線網(wǎng)絡(luò)天然的開放性，使人們對于無線通信系統(tǒng)安全性的關(guān)注遠遠超過有線環(huán)境。在安全方面，無線應(yīng)用系統(tǒng)存在三方面的問題：

1) 終端資源的有限性。相對于普通PC，PDA等無線移動終端在CPU運算能力、內(nèi)存(ROM和RAM)、電源供給和顯示屏大小等方面都比較小。

2) 帶寬的有限和不穩(wěn)定性。由于電源、可利用范圍和移動性等的根本限制，無線網(wǎng)絡(luò)呈現(xiàn)以下一些特點:較低帶寬、更大延時、連接穩(wěn)定性差、可利用性預(yù)測難。

3) 通信模式不同。在無線應(yīng)用系統(tǒng)中，沒有一定的拓撲結(jié)構(gòu)，因此信息更容易受到監(jiān)聽與入侵。

基于以上變化，對無線應(yīng)用系統(tǒng)的安全設(shè)計十分重要。

原理介紹

1 VPN技術(shù)

VPN是指在公共網(wǎng)絡(luò)上通過隧道和/或加密技術(shù)建立的邏輯上的專用網(wǎng)絡(luò)。

1.1 其主要功能

加密數(shù)據(jù)：保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私厝∫膊粫孤叮?/p>

信息與身份認證：保證信息的完整性、合法性，并鑒別用戶的身份；

訪問控制：不同的用戶有不同的訪問權(quán)限。

1.2 VPN系統(tǒng)實現(xiàn)的一般步驟

首先建立隧道，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進行封裝、傳送以保護安全性。

VPN基于以下協(xié)議來實現(xiàn)其安全功能：PPTP（Point-to-Point Tunneling Protocol），L2TP（Layer 2 Tunneling Protocol），IPSEC（IP Security）以及SSL。目前常用的是基于IPSEC的VPN系統(tǒng)。

1.3 IPsec

IPsec是Internet Protocol Security （Internet 協(xié)議安全性）的簡稱。其工作原理是這樣的：在進行數(shù)據(jù)交換之前，先相互驗證對方的計算機的身份。驗證身份通過之后，在這兩臺計算機之間建立一種安全協(xié)作關(guān)系SA(Security Association 安全關(guān)聯(lián))，并且在進行數(shù)據(jù)傳輸之前將數(shù)據(jù)進行加密。

IPSec 協(xié)議（RFC2401）不是一個單獨的協(xié)議，它給出了應(yīng)用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括：ESP 協(xié)議（Encapsulating Security Payload），AH 協(xié)議（Authentication Header），密鑰管理協(xié)議IKE 協(xié)議（The Internet Key Exchange），以及用于網(wǎng)絡(luò)驗證及加密的一些算法。

1.4 IPSec 協(xié)議模式

IPSec 協(xié)議分為兩種模式一種是通道模式，其協(xié)議棧模型為：IP-ESP- AHIP-DATA；另一種是傳送模式，其協(xié)議棧模型為：IP-ESP-AH-DATA。兩臺路由器連接局域網(wǎng)時，一般使用IPSec 的通道模式。

2 WPKI技術(shù)

1)WPKI即“ 無線公開密鑰基礎(chǔ)設(shè)施”， 是將有線PKI(Public Key Infrastructure)安全機制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺體系， 它能為移動運營商的不同無線網(wǎng)絡(luò)上的各種應(yīng)用提供加密、數(shù)字簽名以及身份和信息認證等安全服務(wù)。

WPKI的基本結(jié)構(gòu)如圖2所示。

從圖中可以看出，一個典型的WPKI系統(tǒng)主要包括一下幾個組成部分①認證機構(gòu)(CA)，CA系統(tǒng)是PKI的信任基礎(chǔ)，同樣也是WPKI系統(tǒng)的基礎(chǔ)，負責(zé)產(chǎn)生、分發(fā)和驗證數(shù)字證書，規(guī)定證書的有效期，并發(fā)布證書和證書撤銷列表。②注冊機構(gòu)(RA)Portal，Portal提供用戶和之間的一個接口，作為認證機構(gòu)的校驗者，它確定用戶的身份，向CA提出證書請求并且處理用戶的其他請求。③智能卡（WIM或SIM），智能卡將具有存儲，加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中，具有體積小，難于破解等特點，在訪問控制方面有很強的安全保障。很多種需要用戶認證的應(yīng)用都可以使用智能卡來實現(xiàn)。卡片載有持卡人的數(shù)字證書， 私鑰以及加密簽名模塊，從而實現(xiàn)移動電子商務(wù)中的身份識別和信息加密傳輸。④加密算法，加密算法越復(fù)雜，密鑰越長則安全性越高，但同時執(zhí)行運算所需的時間也越長，也更需要計算能力更強的芯片。當(dāng)今公鑰密碼體制中，橢圓曲線密碼體制(ECC)具有每比特最高的安全強度。由于無線終端在CPU處理能力和RAM大小上的限制，因而采用ECC算法在無線移動應(yīng)用系統(tǒng)具有廣闊的應(yīng)用前景。

2) WPKI應(yīng)用模式：WPKI標(biāo)準(zhǔn)提供了WTLS Class2，Sign Text ， WTLS Class3三種功能模式。

3 系統(tǒng)安全分析與總體設(shè)計

在無線移動系統(tǒng)中，無線終端（PDA或筆記本等）和地面系統(tǒng)之間的訪問需要實現(xiàn)加密、認證、訪問控制以及抗否認等安全功能這就需要實現(xiàn)基于無線移動網(wǎng)絡(luò)的VPN 系統(tǒng)。實現(xiàn)VPN系統(tǒng)的基礎(chǔ)是數(shù)字證書的使用與加密算法的選擇。因此，需要以WPKI系統(tǒng)為基礎(chǔ)。

在筆者本系統(tǒng)所應(yīng)用的項目中，由于規(guī)模并不大，以及無線終端的數(shù)量有限，因此筆者采用構(gòu)建自己的WPKI系統(tǒng)來實現(xiàn)系統(tǒng)目標(biāo)。為此筆者就建立了自己的WPKI服務(wù)器。此WPKI服務(wù)器作為CA，RA，目錄服務(wù)器以及CRL服務(wù)器幾種功能于一身，雖然性能有所下降，但足以滿足本系統(tǒng)功能。如圖3。

系統(tǒng)操作具體過程解釋如下：

1) 執(zhí)行客戶端程序，提交證書URL給VPN網(wǎng)關(guān)認證。

2) 可以通過有線或無線、遠程或本地方式申請證書。

3) VPN網(wǎng)關(guān)根據(jù)客戶端URL信息驗證證書有效性。

4) 客戶端通過認證后進行信息訪問。

■

圖4 系統(tǒng)邏輯結(jié)構(gòu)圖

4 VPN系統(tǒng)設(shè)計

在現(xiàn)階段，VPN系統(tǒng)有兩種實現(xiàn)方式，一種是基于IPSEC協(xié)議的，一種是基于SSL的，本系統(tǒng)是在移動GPRS網(wǎng)絡(luò)上的安全系統(tǒng)，出于安全考慮，使用了IPSec協(xié)議，這樣的好處是便于擴展。包括客戶端（運行在無線移動終端）和VPN安全網(wǎng)關(guān)兩部分。

1) 客戶端設(shè)計

VPN 在無線網(wǎng)的應(yīng)用是通過采用防火墻與VPN 聯(lián)動的方式來實現(xiàn)?？蛻舳说脑O(shè)計比較簡單， 只需在所有無線機器上安裝VPN 客戶端程序， 同時登陸VPN安全網(wǎng)關(guān)。

2) IPSec安全網(wǎng)關(guān)設(shè)計

IPSec安全網(wǎng)關(guān)對IP報文的接收、轉(zhuǎn)發(fā)和發(fā)送處理的整個過程如圖5所示。

當(dāng)安全網(wǎng)關(guān)的網(wǎng)卡接收數(shù)據(jù)包時，通過中斷觸發(fā)內(nèi)核的中斷處理程序，將網(wǎng)卡接收的數(shù)據(jù)報傳送到內(nèi)核空間，然后再通過IP層預(yù)處理程序?qū)?shù)據(jù)包轉(zhuǎn)換為IP包。此時，將IP包傳送到IPSec進入策略處理模塊。

5 WPKI服務(wù)器設(shè)計

1) 由于WPKI是有線PKI在無線領(lǐng)域的應(yīng)用，所以實質(zhì)也是對原來的PKI系統(tǒng)進行的擴展。本系統(tǒng)中由于無線終端數(shù)量的有限以及現(xiàn)階段無線移動網(wǎng)絡(luò)的現(xiàn)狀，筆者采用了一種簡單的實現(xiàn)方式，這種方式是設(shè)置單獨的WPKI服務(wù)器實現(xiàn)PKI中的所有功能。

本系統(tǒng)將CA、RA、LDAP目錄服務(wù)器以及OCSP服務(wù)器都安裝在WPKI服務(wù)器。證書格式選取X.509證書，并對證書的屬性根據(jù)本系統(tǒng)的實際情況進行了取舍。考慮到移動終端較弱的輸入能力和計算能力，本系統(tǒng)的證書和密鑰均在有線終端產(chǎn)生。密鑰對由用戶在申請階段自己生成，公鑰和私鑰隨申請證書發(fā)送給RA，也就是說證書和密鑰都存放在服務(wù)器中，用戶需要簽名時才從證書庫中下載自己的證書和私鑰。

2) 系統(tǒng)核心部分介紹

系統(tǒng)的核心部分包括認證權(quán)威機構(gòu)CA、注冊權(quán)威機構(gòu)RA、證書目錄庫CLR?，F(xiàn)將系統(tǒng)中的各個組件功能進行介紹。

(1) CA中心

其配置包括密碼算法庫、SQL Server2000數(shù)據(jù)庫、證書管理程序，歷史證書庫。該服務(wù)器執(zhí)行CA的功能，承擔(dān)產(chǎn)生證書、發(fā)放證書、撤消證書的職責(zé)。CA中心的操作必須離線完成，并且只能由CA管理員訪問。

(2) RA中心

其配置包括：密碼算法庫，SQL Server2000數(shù)據(jù)庫，執(zhí)行RA功能的軟件實體，該服務(wù)器只能由RA操作員訪問。

RA首先要對各個申請證書的用戶進行身份確認，然后RA接受來自有線終端實體的數(shù)字證書注冊申請，來自有線端的證書撤消申請等。

(3) LDAP服務(wù)器

本系統(tǒng)的證書目錄庫CR運行在目錄服務(wù)器上，即采用LDAP服務(wù)器，后端使用SQL Server來存放證書。該服務(wù)器安裝了OpenLDAP軟件包，啟動LDAP服務(wù)器，作為目錄服務(wù)器來運行。

(4) 證書撤消方式

由于本系統(tǒng)WPKI服務(wù)器是針對專用應(yīng)用系統(tǒng)設(shè)計的，終端用戶具有穩(wěn)定性，因此證書撤銷模塊相對比較簡單。在本系統(tǒng)中，筆者采用手工撤銷方式，由WPKI管理員專職管理撤銷。

實現(xiàn)工具和標(biāo)準(zhǔn)的選擇

1) WPKI服務(wù)器采用Linux RedHat7.0作為操作平臺。

2) VPN系統(tǒng)采用Linux RedHat7.0，開發(fā)語言C++。

3) 數(shù)據(jù)庫均采用SQL Server 2000。

4) LDAP服務(wù)器采用自由軟件OpenLDAP。

5) PDA端操作系統(tǒng)為Windows CE.NET，基于.NET Compact Framework，采用VS2005開發(fā)，數(shù)據(jù)庫為SQL SERVER CE。

6 結(jié)束語

該文提出一種基于WPKI技術(shù)的無線VPN系統(tǒng)，解決了當(dāng)前基于移動GPRS網(wǎng)絡(luò)的安全問題。為簡單起見，筆者將WPKI系統(tǒng)做個一個比較簡單的實現(xiàn)。雖然是一種簡單實現(xiàn)方式，但從實際運行過程中可以看出是十分可行的。

參考文獻：

[1] 魏利明，陳相寧.PKI技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(3).

[2] 田峰，譚寒生，周明天.一種基于WTLS的無線安全網(wǎng)關(guān)的設(shè)計[J].計算機應(yīng)用，2003，23(3):70-72.

[3] 謝冬青，冷健.PKI原理與技術(shù)[M].北京:清華大學(xué)出版社，2004:335-343.

[4] SMART NP.The discrete logarithm problem on elliptic curves of trace one[J]. Journal of Cryptology，1999，12(3):193-196.

[5] S.M.Bellovin.IPSec VPN，November 1999:11-13.