WAPI下WLAN與3G網(wǎng)絡安全融合探究

1、WAPI下WLAN與3G網(wǎng)絡安全融合探究摘要：隨著現(xiàn)代網(wǎng)絡技術的快速發(fā)展，以及人們對于網(wǎng)絡技術實際應用需求的不斷增強，對于不同網(wǎng)絡的融合問題進行深入的研究是十分重要的。在我國現(xiàn)階段的網(wǎng)絡技術研究中，WAPI是解決WLAN安全問題的主要技術方案，也是實現(xiàn)WLAN與3G網(wǎng)絡安全融合的基礎條件。本文僅從專業(yè)網(wǎng)絡技術的角度出發(fā)，簡要探究了WAPI下WLAN與3G網(wǎng)絡安全融合的相關問題。關鍵詞：WAPI；WLAN；3G網(wǎng)絡；安全融合 WLAN與3G網(wǎng)絡的融合主要是指現(xiàn)有的WLAN終端用戶借助3G網(wǎng)絡接入服務，有效利用3G系統(tǒng)中的相關資源。實現(xiàn)兩者融合的目的是在WLAN提供的接入環(huán)境中，進一步拓展3G網(wǎng)絡

2、的系統(tǒng)服務功能，從而有效解決3G系統(tǒng)的無線接入問題【1】。在WAPI技術不斷創(chuàng)新的背景下，加強WLAN與3G網(wǎng)絡安全融合的研究，科學解決了兩者存在的覆蓋能力與接入速率等問題，而且創(chuàng)建了一個相對安全的網(wǎng)絡環(huán)境。本文僅就WAPI下WLAN與3G網(wǎng)絡融合過程中的異構安全問題進行探究，并且提出了具體的安全融合方案。1. WAPI的技術性分析WAPI是無線局域網(wǎng)鑒別與保密基礎結構的英文縮寫，WAPI是我國無線局域網(wǎng)絡中唯一獲得批準的G15629.11協(xié)議的核心部分，其中提出了WLAN相關安全問題的具體解決方案，并且具有其自主知識產(chǎn)權。1.1認證體系結構WAPI協(xié)議的認證體系結構主要包括：鑒別請求者實體、

3、鑒別器系統(tǒng)與鑒別服務單元等組成部分，其具體情況如下：1）鑒別請求者實體，通常是指一個特定的用戶終端，而且必須安裝相應的客戶端軟件。當終端用戶需要進行WAPI的連接時，必須啟動相應的客戶端軟件，并且發(fā)送WAPI協(xié)議，以實現(xiàn)鑒別請求【2】；2）鑒別器系統(tǒng)，是指在鑒別請求的發(fā)送過程中，網(wǎng)絡中特定的接入點或接入服務器，主要功能為促進透傳，并且保證相應的認證工作在鑒別服務單元上進行；3）鑒別服務單元，利用公鑰密碼技術組成具有特定功能的WAI鑒別基礎結構，以實現(xiàn)對于移動終端用戶身份的鑒別及相關證書的有效管理。1.2認證機制在WAPI鑒別過程中，其認證機制主要包括：證書鑒別、單播密鑰協(xié)商、組播密鑰通告等基礎

4、部分。WAPI系統(tǒng)是由接入點（AP）、移動終端（STA）、鑒別服務單元（ASU）等組成，其中鑒別服務單元主要是指網(wǎng)絡中可信的第三方，主要是進行各種參與交換證書的鑒別與管理【3】。接入點、移動終端上需要安裝由鑒別服務單元提供的公鑰證書，以此作為證明自己身份的憑證。當需要由移動終端登錄到相應的無線接入點時，接入點的非受控端口將自動連接到鑒別服務單元上發(fā)送的指定認證信息，并且由鑒別服務單元進行雙向身份的驗證。只有通過網(wǎng)絡鑒別的鑒別服務單元才能提供相應的接入點進行網(wǎng)絡訪問，即移動終端用戶只有持有合法的證書，才能獲取合法的無線網(wǎng)絡接入點，進而有效防止非法移動終端用戶進入接入點，并占有合法移動終端用戶的網(wǎng)

5、絡資源。2. WLAN與3G網(wǎng)絡融合的意義隨著我國無線數(shù)據(jù)業(yè)務的全面推廣，各種新型技術問題不斷出現(xiàn)，只有加強WLAN與3G網(wǎng)絡的融合才能形成綜合的解決方案，這也是國內網(wǎng)絡行業(yè)發(fā)展的主流趨勢。從技術特性、支持功能等角度進行分析，WLAN與3G網(wǎng)絡的融合實現(xiàn)了兩者之間的互補。WLAN的接入速率較為理想，但是覆蓋能力有限，而3G網(wǎng)絡是我國電信領域應用的主要技術之一，其覆蓋范圍明顯優(yōu)于WLAN，但是數(shù)據(jù)傳輸速率卻相對較差。在兩者的融合過程中，針對不同的網(wǎng)絡用戶，必須實現(xiàn)其不間斷連接、全面覆蓋，并且在高速移動的狀況下，向用戶提供高質量的數(shù)據(jù)傳輸業(yè)務。與WLAN相比，3G網(wǎng)絡的實際容量較小，在兩者的融合中

6、，如何有效解決高寬帶、高速率、精確覆蓋的問題是熱點技術研究課題之一。在WAPI技術背景下，WLAN與3G網(wǎng)絡的融合過程中，相關技術難題已經(jīng)得到了有效解決，但是網(wǎng)絡工程的難度仍然較大，這是今后必須重點解決的。因此，在現(xiàn)代移動通信技術高速發(fā)展的時代，必須進一步促進WALN、3G網(wǎng)絡兩種技術更好的互補融合。3. WAPI下WLAN與3G網(wǎng)絡安全融合WAPI下WLAN與3G網(wǎng)絡的安全融合問題研究中，本提出了以USIM證書為基礎的分發(fā)方案，將3G網(wǎng)絡的簽約用戶設定為UE，UE是3G網(wǎng)絡的移動終端客戶，其在圖書館、機場等特定環(huán)境中，通過WLAN接口卡使用PDA、雙模手機或筆記本電腦等移動設備，享受高速率的

7、數(shù)據(jù)業(yè)務服務【4】。UE通過相應的方案申請臨時證書，結合其具體的分發(fā)方案，筆者提出了兩種可行的安全融合技術方案。兩種技術方案的主要區(qū)別在于WAPI與證書分發(fā)之間的耦合度。兩種安全融合技術方案的具體情況如下：1）緊耦合：在WAPI機制中加入證書分發(fā)，其主要適用于WLAN單模的UE；2）松耦合：WAPI與證書分發(fā)相對獨立，UE借助3G網(wǎng)絡的接口卡進行相應申請證書的分發(fā)，并且在WAPI機制下進行WLAN接口卡的連接，其主要適用于3G-WLAN雙模的UE。在WAPI下WLAN與3G網(wǎng)絡的融合中，加強兩種技術方案的互補，才能保證其融合過程的安全性要求。根據(jù)WAPI系列的相關標準，在WLAN與3G網(wǎng)絡融合

8、中并未明確提出漫游安全問題的相關解決方案，即漫游UE、鑒別服務單元之間沒有建立必須的信任關系，鑒別服務單元證書的管理方法也存在一定的局限性【5】。因此，鑒別服務單元的相關證書可以通過多種合法途徑獲取，而不是局限于某一特定的權威機構頒發(fā)。例如：在兩者融合中，可以使用交叉證書、證書鏈、在線CA等合法的證書形式。本文假設HASU、VASU分別擁有合法的證書，并且將其儲存于UICC卡中。為了簡化研究項目，本文假定移動網(wǎng)絡運行商在進行漫游協(xié)議的簽訂時，ASU證書經(jīng)過獲取與驗證過程。3.1緊耦合方案WAPI下WLAN與3G網(wǎng)絡的緊耦合方案主要是指在證書的分發(fā)過程中，將其疊加于WAPI的認證過程，即將證書中

9、的請求信息CertReq疊加于接入認證、證書認證等請求信息，以實現(xiàn)UE證書的字段替換，當VASU接受請求信息CertReq后，將其自動轉發(fā)至HSS，ASU迅速作出相關響應。3.2松耦合方案WAPI下WLAN與3G網(wǎng)絡的松耦合方案主要包括：證書分發(fā)、WAPI與XG1安全接入等階段，即在進行證書分發(fā)的階段，UE通過HSS/HASU申請臨時證書，在接收到相關證書（HSS/HASU臨時證書、VASU證書）后，UE可以與VASU建立信任的關系。當完成證書的分發(fā)過程后，在WAPI與XG1的聯(lián)合機制下，UE使用的移動設備自動接入WLAN。在WLAN與3G網(wǎng)絡的松耦合方案研究中，技術人員對于WAPI與XG1的

10、接入安全性進行了分析，在CK模型下確認其安全性能滿足國家相關標準。在WAPI下WLAN與3G網(wǎng)絡安全融合問題的研究中，針對兩種融合方案中存在的某些技術問題，本文對于USIM證書的分發(fā)協(xié)議進行了必要的更改，并且結合新的證書分發(fā)協(xié)議，以及WAPI與XG1的安全接入，分別制訂了兩種互為補充的融合方案。緊耦合方案必須借助于WAPI的接入與認證機制，從而實現(xiàn)證書分發(fā)過程的疊加要求。松耦合方案的實施中，WAPI與證書分發(fā)環(huán)節(jié)相對獨立，移動終端用戶必須使用運行商提供的3G接口卡，以實現(xiàn)在獲取申請證書后，在WAPI機制下利用WLAN接口卡進行WLAN的接入【6】。在WAPI下WLAN與3G網(wǎng)絡的安全融合中，本

11、文提出的兩種方案具有一定的互補性，滿足了WALN與3G用戶的統(tǒng)一管理，特別是對于3G網(wǎng)絡的簽約用戶，基于WAPI的基本安全機制進行WLAN的接入，不但保護了用戶的隱私需求，而且有效提高了兩者融合的覆蓋范圍和接入速率【7】。同時，在現(xiàn)代網(wǎng)絡工程實踐中，本文提出的兩種安全融合方案在具體實施中仍然存在較多的技術阻礙，特別是在進行時間與能量分析時，其容易容易遭受邊信道的惡意攻擊，所以，對于融合方案中存在的技術難題仍需進一步加強研究。4. 結束語在現(xiàn)代信息社會高速發(fā)展的時代背景下，本文重點探究了WAPI下WLAN與3G網(wǎng)絡的安全融合問題，其關鍵環(huán)節(jié)是解決融合過程中的安全認證。WLAN與3G網(wǎng)絡的融合是現(xiàn)

12、代互聯(lián)網(wǎng)和移動技術創(chuàng)新發(fā)展的必然趨勢，如何利用現(xiàn)代技術手段解決兩者融合的安全問題是至關重要的。目前，國內在WAPI下WLAN與3G網(wǎng)絡安全融合的研究中，普遍存在安全體系與結構不合理的技術難題，這也是各種網(wǎng)絡安全問題出現(xiàn)的根本因素，并且導致WLAN與3G網(wǎng)絡難以確認。因此，在WAPI下WLAN與3G網(wǎng)絡安全融合的研究中，網(wǎng)絡技術人員應重點關注WLAN、3G網(wǎng)絡、用戶之間的安全平衡，保障各種技術方案中的認證平衡，在對其安全性能進行綜合分析與認證的基礎上，才能在國內數(shù)據(jù)業(yè)務中推廣和應用。 參考文獻：【1】張帆，馬建峰.WAPI實施方案的安全性分析.西安電子科技大學學報(自然科學版)，2005，(32)：545-548.【2】李興華，馬建峰.WAPI實施方案中的密鑰協(xié)商協(xié)議的安全性分析.計算機學報，2006，(29)，576-580.【3】李謝華，李建華，楊樹堂，諸鴻文.WAPI接入鑒別過程的形式化分析與驗證.計算機工程，2006，(32)：10-l3.【4】張艷，王賾.增強EAP-AKA協(xié)議安全性的改進方