趙海強，龐 超，李 倩

(1.通信網(wǎng)信息傳輸與分發(fā)技術重點實驗室，河北 石家莊 050081； 2.石家莊信息工程職業(yè)學院，河北 石家莊 050001 3.空軍指揮學院，北京 100097)

0 引言

隨著網(wǎng)電一體化[1]電子戰(zhàn)技術的發(fā)展，針對無線通信系統(tǒng)的攻擊方式、攻擊手段和相應裝備不斷出現(xiàn)，其攻擊技術不斷向“隱蔽式”、“注入式”和“接管式”攻擊發(fā)展[2]。衛(wèi)星、地面移動等各類無線通信系統(tǒng)均面臨以下安全威脅：

① 從無線網(wǎng)絡外部攻擊的角度看，由于無線信道的開放性，無線接入相比有線接入更易遭到“中間人”、“釣魚”和Sybil等基于假冒身份的攻擊[3]。攻擊者可能假冒合法無線用戶，基于信任關系接入無線網(wǎng)絡甚至核心網(wǎng)，進而插入虛假數(shù)據(jù)、修改關鍵數(shù)據(jù)、獲取敏感數(shù)據(jù)，達到信息篡改、竊取等目的；也可能假冒無線接入點，誘騙合法用戶接入，進而發(fā)布虛假指令，達到擾亂通信的目的；

② 無線用戶和接入點失控后，攻擊者可能利用合法設備、合法用戶身份接入網(wǎng)絡或誘騙用戶接入，進而發(fā)起攻擊[4]；

③ 從無線網(wǎng)絡內(nèi)部防護的角度看，無線通信系統(tǒng)中大量無線用戶和終端[5]也存在巨大的安全隱患，例如：一臺無線終端上不慎引入的蠕蟲病毒在網(wǎng)絡內(nèi)大規(guī)模蔓延、終端用戶的誤操作導致重要數(shù)據(jù)被破壞、低密級用戶訪問了高密級的網(wǎng)絡資源等，這些都可能給系統(tǒng)帶來巨大的損失。

為了應對以上安全威脅，有必要對無線用戶、終端進行無線接入鑒權和準入控制，結合終端安全基線核查、密鑰協(xié)商和傳輸加密等安全手段構筑無線通信系統(tǒng)的第一道防線。目前，常見的無線系統(tǒng)，如地面蜂窩移動通信系統(tǒng)(2G /3G /4G)[6]、無線局域網(wǎng)(WLAN)和移動自組織網(wǎng)絡(MANET)[7]等都設計并實現(xiàn)了各自的認證協(xié)議和鑒權系統(tǒng)，但是目前的認證協(xié)議大多適用于帶寬條件較好的無線網(wǎng)絡，協(xié)議數(shù)據(jù)量較大，交互次數(shù)多，協(xié)議處理較復雜；而鑒權系統(tǒng)也難以支持多種認證協(xié)議和多種形式的用戶憑證，應用場景單一。因此，需要對已有的3GPP-AKA，EAP，TEPA等認證協(xié)議進行優(yōu)化[8]，設計能夠支持帶寬和計算資源受限的無線網(wǎng)絡的雙向認證和密鑰協(xié)商協(xié)議；需要設計對下支持不同承載協(xié)議，對上支持不同用戶憑證的無線接入鑒權系統(tǒng)，實現(xiàn)注冊管理、集中鑒權、準入判決和鑒權審計等鑒權服務和管理功能。

1 無線接入鑒權系統(tǒng)總體設計

無線接入鑒權系統(tǒng)面向帶寬受限的無線網(wǎng)絡接入鑒權需求，為無線用戶、終端設備入網(wǎng)提供無線鑒權協(xié)議族和無線接入鑒權服務。

1.1 AAA框架

AAA(Authentication，Authorization，Accounting)框架是用戶接入管理的一種架構，提供了認證、授權和審計3種安全功能，如圖1所示。

圖1 AAA框架示意

當用戶想要通過某網(wǎng)絡與網(wǎng)絡接入服務器(NAS)建立連接，從而獲得訪問其他網(wǎng)絡的權利或取得某些網(wǎng)絡資源的權利時，NAS起到了驗證用戶或?qū)B接的作用。NAS負責把用戶的認證、授權及計費信息轉(zhuǎn)發(fā)給AAA服務器。這種管理框架提供了授權部分實體去訪問特定資源，同時可以記錄這些實體操作行為的一種安全機制，因其具有良好的可擴展性，并且容易實現(xiàn)用戶信息的集中管理而被廣泛使用。

用戶主機與網(wǎng)絡接入服務器之間常用的認證協(xié)議有：

① 有線局域網(wǎng)802.1x體系使用的EAPoL，支持EAP-TLS，EAP-MD5等認證協(xié)議；

② 無線局域網(wǎng)802.11i標準定義的WPA，WPA2等協(xié)議以及WAPI標準使用的TEPA等協(xié)議[9]；

③ 地面蜂窩移動通信系統(tǒng)使用的3GPP-AKA等認證協(xié)議[10]；

④ 其他有線網(wǎng)絡中使用的Kerberos，TLS，IKE等認證協(xié)議[11]。

以上認證協(xié)議大多用于帶寬條件很高的有線或無線網(wǎng)絡，協(xié)議數(shù)據(jù)量較大，交互次數(shù)多，協(xié)議處理較復雜，而適用于天地一體化網(wǎng)絡[12]等帶寬和計算資源受限的無線網(wǎng)絡的認證協(xié)議幾乎沒有，并且隨著互聯(lián)網(wǎng)的發(fā)展，有線或無線信道帶寬將越來越高，節(jié)點處理能力也將越來越強，信道帶寬/MTU、節(jié)點計算能力等受限的網(wǎng)絡接入認證協(xié)議不是主流的發(fā)展方向。

1.2 系統(tǒng)組成

無線接入鑒權系統(tǒng)采用AAA管理框架，由無線鑒權協(xié)議軟件和鑒權管理服務器組成，如圖2所示。

圖2 無線接入鑒權系統(tǒng)組成

無線鑒權協(xié)議軟件分為客戶端[13]、代理端和服務端，分別運行在無線終端、無線接入控制點和鑒權管理服務器中，能夠適應不同帶寬的無線信道，實現(xiàn)無線終端與鑒權管理服務器之間的雙向安全認證和接入控制。鑒權管理服務器提供注冊管理、集中鑒權、準入判決和鑒權審計等功能，支持級聯(lián)，能夠適用于不同規(guī)模的無線網(wǎng)絡。

無線接入控制點與鑒權管理服務器之間采用標準Diameter或者TLS協(xié)議，能夠在防止無線接入控制點假冒的同時保證協(xié)議的兼容性。

2 軟件設計

2.1 無線鑒權協(xié)議軟件設計

無線鑒權協(xié)議軟件分為協(xié)議適配層、協(xié)議處理層、憑證適配層、擴展適配層和呈現(xiàn)層，如圖3所示。

圖3 無線鑒權協(xié)議軟件組成

2.1.1 協(xié)議適配層

協(xié)議適配層提供TCP/IP、Diameter、TLS、無線鏈路層協(xié)議[14]或無線組網(wǎng)協(xié)議[15]等底層協(xié)議承載接口，使無線鑒權協(xié)議族能夠適配不同的無線網(wǎng)絡協(xié)議。通過抽象接口，協(xié)議處理層能夠不依賴于下層具體的承載協(xié)議，使無線鑒權協(xié)議軟件具備良好的可移植性。

2.1.2 協(xié)議處理層

協(xié)議處理層提供無線信道適配與鑒權管理協(xié)議框架，在此框架上實現(xiàn)了在線注冊協(xié)議、無線信道認證協(xié)議#1～#N構成的無線鑒權協(xié)議族。

無線鑒權協(xié)議族實現(xiàn)不同無線信道環(huán)境下的鑒權協(xié)議處理。

① 在線注冊協(xié)議處理：實現(xiàn)認證實體向鑒權管理服務器在線注冊的功能。

② 無線信道認證協(xié)議#1處理：實現(xiàn)適應低速、64 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協(xié)商功能。

③ 無線信道認證協(xié)議#2處理：實現(xiàn)適應中低速、256 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協(xié)商功能。

④ 無線信道認證協(xié)議#3處理：實現(xiàn)適應中高速、512 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協(xié)商功能。

⑤ 無線信道認證協(xié)議#3處理：實現(xiàn)適應高速、1 500 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協(xié)商功能。

2.1.3 憑證適配層

憑證適配層提供對用戶名口令、USB-KEY和安全卡等形式的身份憑證設備的支持。通過抽象接口，協(xié)議處理層能夠不依賴于具體的身份憑證設備及其驅(qū)動，使無線鑒權協(xié)議軟件具備良好的可用性。

2.1.4 擴展適配層

擴展適配層提供對安全基線核查模塊、傳輸加密模塊等外部擴展功能模塊的支持。通過抽象接口，協(xié)議處理層能夠?qū)踩€核查結果通過認證協(xié)議通知鑒權服務器，擴展支持基于安全基線核查結果的準入判決功能；也能夠?qū)㈦p向認證過程中協(xié)商的會話密鑰通知傳輸加密模塊，擴展支持傳輸加密一次一密功能，使無線鑒權協(xié)議軟件具備良好的可擴展性。

2.1.5 呈現(xiàn)層

呈現(xiàn)層提供無線鑒權協(xié)議軟件對外的呈現(xiàn)形式，包括提供認證客戶端/服務器端功能的認證代理軟件，提供在線注冊管理客戶端功能的鑒權管理工具，以及動態(tài)庫和靜態(tài)庫形式的二次開發(fā)接口。

① 軟件初始化：無線鑒權應用通過該接口實現(xiàn)對無線鑒權協(xié)議軟件的加載，完成軟件啟動初始化、身份憑證設備的加載等功能。

② 配置管理：實現(xiàn)對無線鑒權協(xié)議軟件運行參數(shù)，如超時時長等參數(shù)的配置功能。

③ 調(diào)試輸出：實現(xiàn)無線鑒權協(xié)議軟件的調(diào)試信息輸出功能。

④ 運行狀態(tài)管理：實現(xiàn)對無線鑒權協(xié)議軟件運行狀態(tài)統(tǒng)計信息的查看。

2.2 鑒權管理服務器軟件設計

鑒權管理服務器軟件由底層協(xié)議處理、高并發(fā)處理、Web Service、認證與管理代理、運行管理、鑒權服務和安全外設管理等部分組成，如圖4所示。

圖4 鑒權管理服務器軟件組成

2.2.1 底層協(xié)議處理

HTTP協(xié)議負責實現(xiàn)B/S方式操作管理的底層協(xié)議承載；SSL協(xié)議實現(xiàn)遠程管理傳輸數(shù)據(jù)的保護功能，能夠防范數(shù)據(jù)重放、篡改和竊聽等攻擊；IPv4/v6提供IP雙棧支持；DIAMTER協(xié)議負責底層承載無線信道適配鑒權與管理協(xié)議。

2.2.2 高并發(fā)處理

鑒權管理服務器通過100/1 000 Mbps自適應以太網(wǎng)電口與無線接入控制點、操作管理主機等連接，該模塊負責1 000條/s以上鑒權服務或管理配置請求的并發(fā)處理。

2.2.3 Web Service

Web Service模塊采用Tomcat Web服務器軟件。Tomcat是帶有JSP環(huán)境的支持Servlet的引擎。Servlet是用Java編寫的Web Server端程序，它與協(xié)議和平臺無關。Java Servlet可以動態(tài)地擴展Server的能力，并采用請求—響應模式提供Web服務。該模塊的主要功能在于交互式地瀏覽和修改數(shù)據(jù)，生成動態(tài)Web內(nèi)容。

2.2.4 認證與管理代理

認證與管理代理通過與無線鑒權協(xié)議軟件服務端進行接口交互，完成鑒權管理服務器與無線鑒權協(xié)議軟件客戶端之間的認證實體注冊和無線雙向認證功能。

2.2.5 運行管理

運行管理模塊完成以下功能：

① 認證參數(shù)管理：完成認證標識、初始序號和密鑰等認證參數(shù)的查詢、銷毀等管理功能。

② 準入策略管理：完成基于認證實體標識、時間等要素的準入策略的增加、刪除、查詢和更新等管理功能。

③ 策略導入導出：實現(xiàn)以文件形式對準入策略的導入、導出功能。

④ 黑白名單控制：向無線接入控制點下發(fā)黑白名單控制命令，實現(xiàn)對入網(wǎng)無線用戶和終端設備的黑白名單控制。

⑤ 認證日志管理：完成基于時間段、認證實體標識等多種組合條件進行認證日志查詢的功能，查詢結果能夠以表格的形式顯示；具有原始認證日志數(shù)據(jù)導出功能。

⑥ 本機狀態(tài)管理：完成本機運行狀態(tài)、運行日志和告警信息的管理功能。

⑦ 配置參數(shù)管理：完成本機地址、時間基準和無線鑒權協(xié)議軟件運行參數(shù)等信息的配置、查詢、導入和導出等管理和備份恢復功能。

⑧ 操作員權限配置：實現(xiàn)操作員賬戶增加、刪除、查詢和修改功能，完成操作員對功能和數(shù)據(jù)的訪問權限的配置。

⑨ 操作員訪問控制：完成對操作員的身份驗證，并根據(jù)操作員的權限控制對功能和數(shù)據(jù)的訪問范圍。

⑩ 操作員行為審計：完成對操作員所有操作行為的日志功能。

2.2.6 鑒權服務

鑒權服務模塊完成以下功能：

① 認證審計：完成對接入認證行為、認證過程中的安全事件等進行記錄與存儲的功能。

② 準入判決：基于準入策略對無線用戶、終端設備進行是否允許入網(wǎng)的判決。

③ 無線鑒權協(xié)議軟件：完成無線用戶、設備身份的注冊和注銷功能；完成不同無線信道環(huán)境下的集中身份認證；實現(xiàn)與安全卡的接口。

2.2.7 安全外設管理

安全外設管理模塊功能包括：

① 本機安全存儲：實現(xiàn)本機配置參數(shù)、準入策略、認證日志、操作員行為日志和本機運行日志等信息的本地安全存儲功能，能夠提供數(shù)據(jù)訪問范圍控制、數(shù)據(jù)鎖定等功能。

② 安全卡管理：安全卡通過PIC-E接口插入鑒權管理服務器，該管理接口實現(xiàn)認證參數(shù)等機密信息的安全存儲，同時提供簽名/驗證和證書驗證等功能。

3 應用測試

無線接入鑒權系統(tǒng)在天地一體化網(wǎng)絡安全技術驗證平臺得到了應用和驗證。試驗網(wǎng)絡拓撲如圖5所示。

圖5 試驗網(wǎng)絡拓撲示意

驗證前先對試驗環(huán)境進行配置。通過離線方式將無線鑒權協(xié)議軟件客戶端安裝到用戶手持終端和車載終端中，將代理端安裝到接入網(wǎng)關中并加入啟動腳本，接入網(wǎng)關開機即后臺運行。通過管理員界面PC配置鑒權管理服務器的IP地址與接入網(wǎng)關(連接以太網(wǎng)交換機的接口)在同一網(wǎng)段。

驗證步驟如下：

① 通過管理員界面PC在鑒權管理服務器上注冊無線用戶“用戶1”和“用戶2”，注冊成功后，生成鑒權參數(shù)文件，分別拷貝至用戶手持終端和車載終端中；

② 在無線信道模擬器[16]中配置帶寬(1 kbps～2 Mbps)、MTU(16～1 500 Byte)、誤碼率和丟失率等信道參數(shù)，模擬異構無線網(wǎng)絡信道條件；

③ 在用戶手持終端和車載終端中運行超級終端軟件，使用ping命令測試與應用服務器的連通性，由于用戶未進行接入鑒權，應該無法ping通；

④ 在用戶手持終端上運行無線鑒權協(xié)議軟件客戶端，使用“用戶1”的用戶名和口令進行接入認證，認證通過后，使用ping命令測試與應用服務器的連通性，應該能ping通；

⑤ 在用戶車載終端上運行無線鑒權協(xié)議軟件客戶端，使用錯誤的用戶名和口令進行接入認證，認證結果為失敗，使用ping命令測試與應用服務器的連通性，應該無法ping通；

⑥ 在用戶車載終端上使用“用戶2”的用戶名和口令進行接入認證，認證成功后，使用ping命令測試與應用服務器的連通性，應該能ping通；

⑦ 在用戶手持終端上退出登錄后，使用ping命令測試與應用服務器的連通性，應該無法ping通；

⑧ 通過管理員界面PC在鑒權管理服務器上將無線用戶“用戶1”設置為黑名單用戶，在用戶手持終端上使用“用戶1”的用戶名和口令進行接入認證，認證結果為失敗，使用ping命令測試與應用服務器的連通性，應無法ping通；

⑨ 上述測試步驟執(zhí)行時，通過管理員界面PC查看用戶在線狀態(tài)、日志記錄等信息，應與測試結果一致。

4 結束語

本文所述的無線接入鑒權系統(tǒng)面向異構無線信道環(huán)境下接入鑒權需求，為無線用戶、終端設備入網(wǎng)提供無線鑒權協(xié)議族和無線接入鑒權服務。在天地一體化網(wǎng)絡安全技術驗證平臺中基于用戶名/口令方式進行接入認證，在模擬的不同無線信道條件下均運行穩(wěn)定，注冊管理、集中鑒權、準入判決和鑒權審計等功能正常。下一步工作是使用USB-KEY等更多種類的用戶憑證、基于天地一體化網(wǎng)絡中更多類型的承載協(xié)議進行應用測試。今后還將與安全基線核查模塊、傳輸加密模塊等外部功能模塊進行集成聯(lián)調(diào)，使無線安全防護功能更加完善。