林凡等

1 引言

IEEE組織頒布的802.16標準[1]，其頻段主要針對2—66GHz，無線覆蓋范圍可達50公里以上，因此IEEE 802.16系統(tǒng)主要應(yīng)用于長距離無線網(wǎng)絡(luò)（LRWN），快速地提供一種在長距離無線網(wǎng)絡(luò)點對多點的環(huán)境下有效進行互操作的寬帶無線接入手段，比固定的DSL更靈活。與所有的無線網(wǎng)絡(luò)一樣，消費者與企業(yè)所關(guān)注的層面必然首先就是無線網(wǎng)絡(luò)安全性問題。IEEE 802.16對于安全性進行了充分的考慮，其中位于媒體訪問控制（MAC，Media Access Control）層的安全子層用來實現(xiàn)空中接口的安全功能。但是，由于IEEE 802.16的安全體系設(shè)計時主要參考的是有線電纜數(shù)據(jù)服務(wù)接口規(guī)范（DOCSIS，Data Over Cable Service Interface Specifications）和無線局域網(wǎng)IEEE 802.11i的安全機制，給IEEE 802.16帶來了一些安全隱患。

2 長距離無線網(wǎng)絡(luò)安全問題

目前IEEE 802.16的安全協(xié)議設(shè)計了兩個版本：一個是為固定無線場景設(shè)計的PKMv1[2]；另一個是為移動場景設(shè)計的PKMv2。而后者又是在PKMv1版本的基礎(chǔ)上經(jīng)過改進后規(guī)定的安全機制。

PKMv1的安全機制優(yōu)點是：攜帶的消息報文較少、效率較高、安全算法比較易于工程實現(xiàn)。

PKMv1的安全機制主要缺陷[3]如下：

（1）只提供了單向認證，沒有實現(xiàn)真正的雙向認證：協(xié)議提供了基站（BS，Base Station）對用戶站（SS，Subscriber Station）的單向認證，并沒有提供SS對BS的認證，導(dǎo)致的后果是SS無法確認其連接的BS是否為預(yù)定的BS，從而仿冒合法的BS欺瞞SS就變得相對容易。

（2）密鑰質(zhì)量相對較低：授權(quán)密鑰（AK，Authorization Key）和會話密鑰（TEK，Traffic Encryption Key）都是由BS一側(cè)產(chǎn)生，在單向認證的場景下，SS難以信任TEK的質(zhì)量。

PKMv2對在PKMv1存在的不足進行了部分完善，但仍存在以下安全方面的問題：

（1）引入了EAP認證：EAP認證要求由可信任的第三方提供支持；另外，授權(quán)密鑰由可信任的第三方和SS共同產(chǎn)生后傳遞給BS，這就需要可信任的第三方和BS之間預(yù)先建立一個安全通道；EAP認證其實只實現(xiàn)了SS和可信任第三方之間的直接雙向認證，而不是SS和BS之間的直接雙向認證，這樣導(dǎo)致的后果就是假冒BS可以發(fā)動攻擊。

（2）RSA認證密鑰質(zhì)量不高：預(yù)授權(quán)密鑰（PAK）是由BS一方產(chǎn)生的，且在PKMv2中也沒有對密鑰進行明確規(guī)定，沒有說明密鑰須由較高質(zhì)量的偽隨機數(shù)發(fā)生器產(chǎn)生，假如密鑰的生成不隨機，將面臨非常嚴重的安全問題。

3 長距離無線網(wǎng)絡(luò)安全接入技術(shù)

3.1 基于TePA（三元對等鑒別）的訪問控制方法

國內(nèi)目前解決網(wǎng)絡(luò)安全接入問題主要采用擁有自主知識產(chǎn)權(quán)的虎符TePA（三元對等鑒別）技術(shù)[4]。TePA機制提供了一種安全接入方法，用來阻止接入請求者對鑒別訪問控制器系統(tǒng)的資源進行未授權(quán)的訪問，也阻止請求者誤訪問未授權(quán)的鑒別訪問控制器系統(tǒng)。

基于三元對等結(jié)構(gòu)的接入示意圖如圖1所示：

例如，基于三元結(jié)構(gòu)和對等鑒別的訪問控制可以用來限制用戶只能訪問公共端口，或者在一個組織內(nèi)，限制組織內(nèi)資源只能被組織內(nèi)用戶訪問。它還提供了一種方法，接入請求者可以用來阻止來自未授權(quán)鑒別訪問控制器系統(tǒng)的連接。訪問控制是通過對連接在受控端口上的系統(tǒng)進行鑒別來實現(xiàn)的，根據(jù)鑒別的結(jié)果，接入請求者系統(tǒng)或鑒別訪問控制器系統(tǒng)決定是否給予對方授權(quán)，允許對方通過受控端口訪問自己的資源。如果對方?jīng)]有獲得授權(quán)，根據(jù)受控端口的狀態(tài)控制參數(shù)限制在請求者系統(tǒng)和鑒別訪問控制器系統(tǒng)間未授權(quán)的數(shù)據(jù)流動。基于三元對等鑒別的訪問控制可以被一個系統(tǒng)用來鑒別其他任何連接在它受控端口上的系統(tǒng)，系統(tǒng)可以是路由器、終端設(shè)備、交換機、無線接入節(jié)點、無線基站、網(wǎng)關(guān)、應(yīng)用程序等。

3.2 長距離無線網(wǎng)絡(luò)安全接入?yún)f(xié)議

借鑒TePA機制的解決思路，本文設(shè)計了適用于長距離無線網(wǎng)絡(luò)安全接入?yún)f(xié)議（以下簡稱LRWM-SA），由以下2部分協(xié)議組成：

（1）接入認證，提供了從BS到SS上密鑰數(shù)據(jù)的安全分發(fā)，BS還利用該協(xié)議加強了對網(wǎng)絡(luò)業(yè)務(wù)的有條件訪問。

（2）將網(wǎng)絡(luò)傳輸?shù)陌鼣?shù)據(jù)進行安全加密的封裝方法和協(xié)議，定義[5]：

◆密碼組件，即認證算法和數(shù)據(jù)加密方法；

◆密碼組件應(yīng)用于報文數(shù)據(jù)載荷的規(guī)則。

圖2顯示了引入TePA機制后LRWM-SA的協(xié)議棧：

圖2 引入TePA的安全子層示意圖

LRWM-SA協(xié)議出現(xiàn)的實體包括SS、BS和AS，其中AS（Authenticaion Server）為認證服務(wù)器。從設(shè)備的表現(xiàn)形式看，AS可以是一臺服務(wù)器，也可以是一臺專用的網(wǎng)絡(luò)設(shè)備，甚至可以是一個邏輯的單元駐留于BS的內(nèi)部，用于實現(xiàn)安全子層的認證、證書管理和密鑰管理等功能。

接入認證過程完成SS和BS之間的雙向身份鑒別，身份鑒別成功后，在BS和SS之間協(xié)商授權(quán)密鑰（AK）；同時，BS為SS授權(quán)一系列SA。隨后緊接著進行會話密鑰（TEK）協(xié)商過程。

在進行接入過程前，AS需要為BS和SS分別頒發(fā)AS使用自己證書私鑰簽名的證書，BS和SS端均需安裝AS證書，具體可以參考相關(guān)PKI（公鑰基礎(chǔ)設(shè)施）的文獻和技術(shù)規(guī)范。

LRWM-SA的接入認證過程示意圖如圖3所示：

圖3 LRWM-SA的接入認證過程示意圖

具體步驟如下：

（1）BS向SS發(fā)送接入鑒別激活消息，消息內(nèi)容包含：安全接入標志、BS支持的密碼算法組件、BS信任的AS身份和BS證書。endprint

（2）SS收到接入鑒別激活消息，檢查是否兼容BS支持的密碼算法組件，如相容則驗證BS證書簽名的有效性，根據(jù)接入鑒別激活消息中的BS信任的AS身份選擇證書，構(gòu)造接入鑒別請求消息并發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS和SS均支持的密碼算法組件、SS挑戰(zhàn)、SS第一證書、SS第二證書、SS信任的AS列表、BS身份和SS的消息簽名。

（3）BS收到接入鑒別請求消息，利用SS簽名證書的公鑰驗證SS的消息簽名，檢查BS身份字段是否與本地的身份一致，若一致則構(gòu)造證書鑒別請求消息，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、SS第一證書、SS第二證書、BS證書、SS信任的AS列表和BS的消息簽名。

（4）AS收到證書鑒別請求消息，利用BS證書的公鑰驗證BS的消息簽名，則驗證BS證書、SS第一證書和SS第二證書，然后構(gòu)造證書鑒別響應(yīng)消息發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結(jié)果、SS第一證書驗證結(jié)果、SS第二證書驗證結(jié)果、BS身份、SS身份和AS的消息簽名。

（5）BS收到證書鑒別響應(yīng)消息，根據(jù)BS的MAC地址、SS的MAC地址查找對應(yīng)的證書鑒別請求消息，確定證書鑒別響應(yīng)消息中的BS挑戰(zhàn)字段的值與本地證書鑒別請求消息中對應(yīng)的BS挑戰(zhàn)字段是否相同，如果相同則使用AS證書公鑰來驗證證書鑒別響應(yīng)消息簽名；驗證后，根據(jù)證書鑒別響應(yīng)消息判斷SS的合法性，若SS合法則生成授權(quán)密鑰材料，利用授權(quán)密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導(dǎo)出新的授權(quán)密鑰，使用SS第二證書的公鑰加密授權(quán)密鑰材料，然后構(gòu)造接入鑒別響應(yīng)消息發(fā)送至SS，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結(jié)果、SS第一證書驗證結(jié)果、SS第二證書驗證結(jié)果、BS身份、SS身份、AS對消息進行的簽名、更新后的授權(quán)密鑰安全關(guān)聯(lián)、加密后的授權(quán)密鑰材料和BS對消息進行的簽名。

（6）SS收到接入鑒別響應(yīng)消息后，比較SS挑戰(zhàn)與本地先前在接入鑒別請求消息中包含的SS挑戰(zhàn)是否相同，利用BS證書公鑰驗證BS的消息簽名，利用AS證書公鑰驗證接入鑒別響應(yīng)消息簽名；驗證后，根據(jù)接入鑒別響應(yīng)消息判斷BS的合法性，使用SS第二證書的私鑰解密授權(quán)密鑰材料，利用授權(quán)密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導(dǎo)出新的授權(quán)密鑰，啟用新的鑒別密鑰，將接收到的更新的授權(quán)密鑰安全關(guān)聯(lián)和此授權(quán)密鑰相關(guān)聯(lián)，并使用鑒別密鑰推導(dǎo)出密鑰加密密鑰和消息鑒別密鑰，然后構(gòu)造接入鑒別確認消息發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS挑戰(zhàn)、BS身份、更新的授權(quán)密鑰安全關(guān)聯(lián)和消息鑒別碼。

（7）BS收到接入鑒別確認消息，比較BS挑戰(zhàn)與本地在證書鑒別請求消息中發(fā)送的BS挑戰(zhàn)是否相同，檢查BS身份，比較更新的授權(quán)密鑰安全關(guān)聯(lián)與接入鑒別響應(yīng)消息中授權(quán)密鑰安全關(guān)聯(lián)的標識、密鑰索引、安全組件是否一致，密鑰有效期是否較短，使用本地推導(dǎo)出的授權(quán)密鑰進一步推導(dǎo)出密鑰加密密鑰和消息鑒別密鑰，根據(jù)消息鑒別碼校驗數(shù)據(jù)完整性后，使更新的授權(quán)密鑰材料生效，否則解除BS與SS的連接。

在會話密鑰協(xié)商過程完成后，可以進行會話業(yè)務(wù)的保密通信。這里需要注意的是，所有密碼（包括AK和TEK）都需要進行周期性的更新，以保證不被窮盡法破解。

LRWM-SA協(xié)議與PKMv1和PKMv2協(xié)議相比，具有以下優(yōu)點：

（1）對長距離無線網(wǎng)絡(luò)中的認證和會話密鑰協(xié)商過程做了替換性的更改，其他內(nèi)容保留了原長距離無線網(wǎng)絡(luò)的協(xié)議定義。因此，更改后的安全協(xié)議也可以符合原長距離無線網(wǎng)絡(luò)對于無線接入的功能和性能要求。

（2）在接入認證過程中，采用SS和BS的直接雙向認證替代原有的單向認證，使得BS和SS都能確認與預(yù)先確定的對方進行通信，入侵者無法冒充合法BS來騙取SS的信任，從而降低了中間人攻擊所帶來的安全威脅。

（3）密鑰協(xié)商過程中，授權(quán)密鑰由BS和SS共同產(chǎn)生，避免了由BS單方面產(chǎn)生和分配，提高了密鑰的質(zhì)量，進一步增強長距離無線網(wǎng)絡(luò)的安全性。

3.3 安全性分析

安全協(xié)議的形式化分析方法分為兩類：一類是基于數(shù)學(xué)分析的方法，建立數(shù)學(xué)模型，然后逐步通過定理證明來推論協(xié)議的有效性，通常用于學(xué)術(shù)界；另一類是基于符號變換的方法，把協(xié)議執(zhí)行看作符號重寫，分析協(xié)議的可達狀態(tài)，匹配協(xié)議的安全目標，一般有自動化工具支持，適用于工業(yè)界。

本文采用AVISPA工具中的OFMC方法對LRWM-SA協(xié)議的安全性進行分析。OFMC使用狀態(tài)、規(guī)則和攻擊規(guī)則來描述協(xié)議，AVISPA通過HLPSL來明確地描述協(xié)議和協(xié)議希望達到的安全目標，然后使用OFMC等分析工具給出分析結(jié)果。通過對眾多已存在的協(xié)議和IETF正在標準化的一些協(xié)議進行安全分析，AVISPA找出了以前沒有發(fā)現(xiàn)的缺陷，顯示了其優(yōu)越性。

對圖3的協(xié)議安全性分析結(jié)果如下：

% OFMC

% Version of 2010/02/13

SUMMARY

SAFE

15

DETAILS

BOUNDED_NUMBER_OF_SESSIONS

PROTOCOL

C：＼SPAN＼testsuite＼results＼WMANSA.if

GOAL

as_specified

BACKEND

OFMC

COMMENTS

STATISTICS

parseTime： 0.00s

searchTime： 3.20s

通過協(xié)議安全性分析，驗證了LRWM-SA協(xié)議可滿足認證性和秘密性的設(shè)計目標。

4 結(jié)束語

本文通過分析PKMv1和PKMv2安全機制的不足，提出LRWM-SA協(xié)議的新的安全機制和改進方案，并通過分析該方案的協(xié)議安全性，驗證了其優(yōu)越性。

參考文獻：

[1] IEEE Std 802.16-2009. IEEE Standard for Local and Metropolitan Area Networks Part 16： Air Interface for Broadband Wireless Access Systems[S]. 2009.

[2] 郎為民，孫月光，孫少蘭，等. PKMv1協(xié)議研究[J]. 信息網(wǎng)絡(luò)安全， 2008（10）： 31-33.

[3] 盧磊. WiMAX寬帶無線網(wǎng)絡(luò)安全體系及接入控制的研究[D]. 上海： 同濟大學(xué)， 2007.

[4] ISO/IEC 9798-3：1998/補篇1. 信息技術(shù) 安全技術(shù) 實體鑒別 第3部分：用非對稱簽名技術(shù)的機制 第1號修改單[S]. 2010.

[5] 吳昊，吳韶波，鐘章隊. 寬帶無線通信系統(tǒng)演進中的安全技術(shù)方案及發(fā)展趨勢[J]. 電信科學(xué)， 2009（2）： 48-54.endprint