3G與WLAN融合中認(rèn)證協(xié)議的分析與改進(jìn)【精選文檔】

1、3G與WLAN融合中認(rèn)證協(xié)議的分析與改進(jìn)湯鵬杰1,李 力2，任 賢1(1。河池學(xué)院計(jì)算機(jī)科學(xué)與信息技術(shù)系,宜州，546300；2。南昌大學(xué)信息工程學(xué)院計(jì)算中心，南昌，343000)摘要:本文分析了3G和WLAN融合的方案中在安全認(rèn)證方面的不足，指出認(rèn)證過(guò)程中WLAN的AP不能得到驗(yàn)證的問(wèn)題。提出了“認(rèn)證平衡接入方案。分析證明了該方案能使通信的各方都能夠得到有效的認(rèn)證，有效地消除了融合過(guò)程中AP不能得到認(rèn)證的弊端。關(guān)鍵字:3G，WLAN，WAPI，“認(rèn)證平衡” 中圖分類號(hào):TP393。08 文獻(xiàn)標(biāo)志碼：A作者簡(jiǎn)介：湯鵬杰(1983),男,河南鄲城人，碩士，主要研究方向是計(jì)算機(jī)網(wǎng)絡(luò);李力(1959

2、），男，江西南昌人，南昌大學(xué)副教授，碩士生導(dǎo)師，主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)；任賢(1983）,女，湖南岳陽(yáng)人，碩士,主要研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò).0 引言在移動(dòng)通信技術(shù)中，3G屬于廣域無(wú)線網(wǎng),但它所能提供的帶寬在靜止?fàn)顟B(tài)下也僅為2Mbps，對(duì)于移動(dòng)性很強(qiáng)的用戶來(lái)說(shuō),則僅為幾百Kbps1，這是不能滿足用戶的需求的?；诨ヂ?lián)網(wǎng)技術(shù)的WLAN則屬于無(wú)線局域網(wǎng)，它可以彌補(bǔ)3G的這一缺陷.802.11b協(xié)議所能提供的帶寬可達(dá)11Mbps,802。11a協(xié)議可提供54Mbps的速率。但WLAN也有自己的局限,就是不能很好地提供漫游服務(wù).因此，將3G與WLAN進(jìn)行融合是必然的的選擇，使其互補(bǔ)，更好地為用戶提供移動(dòng)

3、服務(wù)。WLAN與3G的互通，使得用戶在熱點(diǎn)地區(qū)可以通過(guò)WLAN實(shí)現(xiàn)高速接入。用戶可以直接訪問(wèn)互聯(lián)網(wǎng)，也可以與3G用戶進(jìn)行通信。而在沒(méi)有WLAN覆蓋的區(qū)域,則轉(zhuǎn)到3G網(wǎng)絡(luò)系統(tǒng).不過(guò),WLAN與3G分屬于兩個(gè)不同的系統(tǒng),在設(shè)計(jì)兩個(gè)系統(tǒng)的時(shí)候沒(méi)有考慮后來(lái)的兼容性，因此，在WLAN與3G融合過(guò)程中還存在很多亟待解決的問(wèn)題，其中一個(gè)重要的方面就是融合過(guò)程中相互身份的認(rèn)證。1 基于3G AAA的WLAN接入方案MNWLAN3G訪問(wèn)網(wǎng)3G proxy AAA服務(wù)器HLC/HSSInternet圖1 基于3G AAA的WLAN安全接入體系結(jié)構(gòu)圖1中,MN是移動(dòng)節(jié)點(diǎn)，WLAN服務(wù)網(wǎng)包括無(wú)線服務(wù)器、接入點(diǎn)AP等，

4、3G訪問(wèn)網(wǎng)里有代理服務(wù)器,提供進(jìn)入3G核心網(wǎng)的網(wǎng)關(guān)功能，同時(shí)進(jìn)行計(jì)費(fèi)23。在非漫游情況下，移動(dòng)節(jié)點(diǎn)MN要接入WLAN服務(wù)網(wǎng)或3G網(wǎng)絡(luò)，首先需要進(jìn)行認(rèn)證，在認(rèn)證時(shí)，MN通過(guò)與3G的相互認(rèn)證，若是合法MN和3G網(wǎng)絡(luò)，則認(rèn)證通過(guò),MN可通過(guò)WLAN進(jìn)行接入，與預(yù)定的其他用戶進(jìn)行通信。在漫游情況下，用戶要借助WLAN服務(wù)網(wǎng)尋找合適的受訪網(wǎng)絡(luò),通過(guò)受訪網(wǎng)絡(luò)中的3GPP AAA代理服務(wù)器與歸屬網(wǎng)絡(luò)中的3G AAA核心服務(wù)器進(jìn)行相互認(rèn)證；當(dāng)認(rèn)證成功后,則其他過(guò)程與非漫游情況相類似。在漫游和非漫游兩種情形下,3GPP都要通過(guò)EAPAKA協(xié)議進(jìn)行認(rèn)證和密鑰協(xié)商56。通過(guò)分析其認(rèn)證過(guò)程，發(fā)現(xiàn)WLAN服務(wù)網(wǎng)在整個(gè)過(guò)

5、程中只是充當(dāng)了中繼器的角色67。這是該協(xié)議的方便之處，但同時(shí)也是其安全問(wèn)題中的最為薄弱的一環(huán)?？梢钥吹剑琈N的通信最終都要通過(guò)WLAN，WLAN擁有3G AAA發(fā)來(lái)的共享密鑰，那么此時(shí)假冒WLAN中的接入點(diǎn)AP進(jìn)行攻擊是完全可行的。這一缺陷是由其當(dāng)前的安全體系結(jié)構(gòu)所造成的，要擺脫這一困境，需要重新考慮其安全體系結(jié)構(gòu).在WLAN和3G進(jìn)行大規(guī)模融合時(shí),該方案將很難實(shí)施。此時(shí)可以考慮“緊耦合的方案.但“緊耦合”需要借助3G的整個(gè)安全體系，并要求在WLAN區(qū)域中實(shí)現(xiàn)3G核心網(wǎng)絡(luò)的接口和協(xié)議棧。這種方案在實(shí)現(xiàn)安全的同時(shí)，也付出了犧牲效率和增加成本的代價(jià)7.2 “認(rèn)證平衡”接入方案 考慮到當(dāng)前融合方案中

6、的認(rèn)證弊端，我們提出使用認(rèn)證平衡方案。該方案以WLAN服務(wù)網(wǎng)為核心，在計(jì)費(fèi)管理上仍然以3G proxy AAA為基礎(chǔ)，實(shí)行統(tǒng)一計(jì)費(fèi)。其體系結(jié)構(gòu)如下:MN接入點(diǎn)AP3G訪問(wèn)網(wǎng)3G proxy AAA服務(wù)器HLC/HSSInternetAS圖2 “認(rèn)證平衡”方案體系結(jié)構(gòu)在非漫游情況下，移動(dòng)用戶若要接入Internet，只需執(zhí)行WLAN的認(rèn)證協(xié)議;考慮到802。11i和WAPI各自的特點(diǎn)，我們應(yīng)用中國(guó)的WLAN安全標(biāo)準(zhǔn)WAPI標(biāo)準(zhǔn)89。計(jì)費(fèi)時(shí),接入點(diǎn)負(fù)責(zé)；若用戶要接入3G核心網(wǎng)和異地用戶進(jìn)行通信，則先執(zhí)行WAPI協(xié)議,待雙方認(rèn)證通過(guò),WLAN中的接入點(diǎn)AP打開(kāi)受控端口,充當(dāng)中繼站，MN和3G核心網(wǎng)執(zhí)

7、行改進(jìn)的EAPAKA協(xié)議。MN和AP已經(jīng)相互認(rèn)證，則MN是可信的,但3G核心網(wǎng)還未得到認(rèn)證。所以，MN認(rèn)證3G核心網(wǎng)即可。若雙方認(rèn)證通過(guò)，3G將共享密鑰發(fā)給WLAN中的接入點(diǎn)AP，此時(shí)，雙方就可以進(jìn)行通信了.在漫游情況下，MN需要先尋找可用且合適的接入點(diǎn)AP,然后和進(jìn)行交涉,接入點(diǎn)AP先通過(guò)Internet或3G核心網(wǎng)尋找其歸屬網(wǎng)絡(luò)，確定其身份。若用戶確實(shí)屬于已入網(wǎng)的用戶,則進(jìn)行認(rèn)證和密鑰協(xié)商，其過(guò)程和非漫游情況相類似.整個(gè)過(guò)程可以分為兩個(gè)階段。第一階段為MN和WLAN中的接入點(diǎn)AP的相互認(rèn)證；第二階段為MN認(rèn)證3G核心網(wǎng)；這兩個(gè)階段不能分開(kāi),否則就有假冒MN攻擊和重放攻擊的風(fēng)險(xiǎn).連接這兩個(gè)階

8、段的解決方案之一就是MN需帶有新鮮的可識(shí)別的WLAN中的接入點(diǎn)AP標(biāo)志，且該接入點(diǎn)AP標(biāo)志是3G核心網(wǎng)可以認(rèn)證的。對(duì)于第一階段的認(rèn)證流程,圖3所示為改進(jìn)的WAPI的認(rèn)證流程10:MN AP AS 鑒別激活MN證書，當(dāng)前時(shí)間 MN證書，時(shí)間，AP證書,AP私鑰簽名 鑒別結(jié)果鑒別結(jié)果，EK（AP證書,時(shí)間）圖3 改進(jìn)的W API認(rèn)證及密鑰協(xié)商流程最后一條消息中的EK（AP證書，時(shí)間)在WAPI中是沒(méi)有的，為了第二階段的工作，必須加上這一消息。K是AP和3G核心網(wǎng)的共享密鑰。MN不能解開(kāi)加密的AP證書和時(shí)間,它只能將其發(fā)送給3G核心網(wǎng)。在第二階段中，WLAN服務(wù)網(wǎng)先要為MN確定可用且合適的3G AA

9、A服務(wù)器,然后引導(dǎo)MN和其進(jìn)行相互認(rèn)證.我們采用改進(jìn)的EAPAKA協(xié)議來(lái)實(shí)現(xiàn)這一目標(biāo)，流程如圖4所示:MN AP 3G AAA服務(wù)器 HLR/HSS NAI， EK（AP證書，時(shí)間)確定服務(wù)器NAI， EK(AP證書,時(shí)間) 驗(yàn)證AP證書和時(shí)間請(qǐng)求AV回應(yīng)AVRAND， AUTH， IMSI， MACAKA算法RES, MAC 驗(yàn)證RES共享密鑰，認(rèn)證結(jié)果認(rèn)證結(jié)果圖4 改進(jìn)的EAP-AKA協(xié)議除了最后一步， WLAN服務(wù)網(wǎng)需接收共享密鑰外，其他過(guò)程只起轉(zhuǎn)發(fā)的作用。其中NAI是網(wǎng)絡(luò)認(rèn)證標(biāo)識(shí)，用于唯一標(biāo)識(shí)某臺(tái)設(shè)備;AV是3G AAA服務(wù)器用于和MN進(jìn)行相互認(rèn)證的認(rèn)證向量;RAND是3G AAA服務(wù)

10、器認(rèn)為AP是合法的之后發(fā)給MN的認(rèn)證隨機(jī)數(shù),每個(gè)認(rèn)證向量都有一個(gè)唯一的RAND；AUTH是認(rèn)證向量里的認(rèn)證數(shù)據(jù)，3G AAA服務(wù)器與MN之間需要用永久密鑰來(lái)驗(yàn)證該數(shù)據(jù)的正確性；IMSI是臨時(shí)密鑰，用于MN和3G AAA服務(wù)器之間的臨時(shí)會(huì)話；MAC是消息驗(yàn)證碼,用于保證數(shù)據(jù)的完整性;RES是MN利用永久密鑰計(jì)算所產(chǎn)生的認(rèn)證碼。在整個(gè)融合過(guò)程中，使原有的體系結(jié)構(gòu)發(fā)生了很大的改變，但這種改變平衡了3G和WLAN之間的關(guān)系，使其安全結(jié)構(gòu)不偏向于任何一方.至于3G和WLAN在非融合情況下原有的安全體系結(jié)構(gòu),其固有的其它安全隱患依然存在。3 安全及性能分析通過(guò)分析該過(guò)程可以發(fā)現(xiàn),移動(dòng)用戶MN、WLAN服務(wù)

11、網(wǎng)、3G核心網(wǎng)三者之間都實(shí)現(xiàn)了認(rèn)證。至于密鑰協(xié)商，本文將其放于第二階段，實(shí)現(xiàn)三者之間的平衡,也有助于接下來(lái)的通信。當(dāng)然，有了兩個(gè)階段的認(rèn)證,也使復(fù)雜性有所增加，比原來(lái)增加了3條信息。在安全性方面，WAPI是中國(guó)WLAN安全認(rèn)證標(biāo)準(zhǔn)。本文采用其改進(jìn)的第一階段WLAN鑒別基礎(chǔ)結(jié)構(gòu)WAI部分。WAI主要是讓MN和AP相互認(rèn)證，防止其中任何一方的欺騙行為.本文將WAI中的密鑰協(xié)商部分放在了第二階段EAP-AKA的流程中.在MN和AP第一次交互期間，MN向AP發(fā)送自己的證書CertM和當(dāng)前時(shí)間TM；然后AP與AS進(jìn)行交互，AP使用自己的私鑰將CertM、TM以及自己的證書CertA進(jìn)行加密，然后發(fā)給AS

12、；AS通過(guò)AP的簽名確定其身份的真實(shí)性之后,然后通過(guò)驗(yàn)證CertM來(lái)確定MN的合法性,最后將鑒別結(jié)果發(fā)回給AP，這其中包括了CertM、TM及CertA等信息，使用其私鑰進(jìn)行加密,這樣保證了AP可以通過(guò)AS的私鑰簽名驗(yàn)證了AS的合法性。AP得到MN的身份信息驗(yàn)證結(jié)果之后,將認(rèn)證信息通過(guò)公鑰加密將其發(fā)送給MN,告知MN可以進(jìn)行下一階段的認(rèn)證和密鑰協(xié)商，同時(shí),MN也可以通過(guò)解密AS中的內(nèi)容，確定AP的真正身份。在該過(guò)程中，MN的認(rèn)證主要是由AS來(lái)進(jìn)行的，AP只是充當(dāng)中介的角色，避免了AP欺騙攻擊及中間人攻擊。在第二階段中，由于在第一階段中已經(jīng)讓MN和AP有了相互認(rèn)證，所以此時(shí)就不必再進(jìn)行原來(lái)EAP

13、AKA認(rèn)證流程中的MN和AP的認(rèn)證了。在該階段中,3G AAA服務(wù)器向HLR/HSS請(qǐng)求的AV向量是所有認(rèn)證及密鑰協(xié)商的基礎(chǔ).3G AAA服務(wù)器和HLR/HSS之間使用專用有線網(wǎng)絡(luò)進(jìn)行連接，在物理上保證了其安全性。MN，AP和3G AAA服務(wù)器之間的相互認(rèn)證與改進(jìn)的WAI認(rèn)證流程有相似之處。在密鑰協(xié)商階段,雙方將加密的密鑰材料通過(guò)AKA算法進(jìn)行生成。在性能上,由于增加了對(duì)AP的認(rèn)證,使整個(gè)認(rèn)證和密鑰協(xié)商過(guò)程增加了3條信息。即MN和AP的相互認(rèn)證以及AP和AS的相互認(rèn)證,其計(jì)算主要是集中在AP和AS之間進(jìn)行，MN只是負(fù)責(zé)產(chǎn)生請(qǐng)求認(rèn)證的數(shù)據(jù)及驗(yàn)證AP的合法性,因此該過(guò)程對(duì)MN的性能要求不是很高,只

14、是在接入延遲方面會(huì)有所增加.4 小結(jié)本文著重討論了3G和WLAN融合中的安全認(rèn)證問(wèn)題。3G和WLAN的融合是移動(dòng)技術(shù)和互聯(lián)網(wǎng)技術(shù)發(fā)展必然的趨勢(shì)，討論其安全問(wèn)題具有極其重要的意義。當(dāng)前的融合標(biāo)準(zhǔn)中，由于其安全體系結(jié)構(gòu)不甚合理，因此導(dǎo)致了其各種各樣的安全問(wèn)題，這其中暴露出來(lái)的最重要的問(wèn)題就是WLAN不能夠被確認(rèn).而導(dǎo)致這一問(wèn)題發(fā)生的重要原因就是WLAN、3G核心網(wǎng)和用戶三者之間不能依據(jù)各自的能力達(dá)到安全平衡?；谶@一點(diǎn)，并借鑒各種已經(jīng)成熟的技術(shù)和理論，本文提出了認(rèn)證平衡方案。并詳細(xì)分析了其安全性和性能.參考文獻(xiàn)1 Andrew S。 Taneubaum 著，潘愛(ài)民 譯。 計(jì)算機(jī)網(wǎng)絡(luò)M。 北京：清華

15、大學(xué)出版社，2004，139.2王鵬,李謝華等. 基于認(rèn)證測(cè)試方法的EAPAKA協(xié)議分析J。計(jì)算機(jī)工程與應(yīng)用，2007。4315，157159.3 張艷，王賾. 增強(qiáng)EAPAKA協(xié)議安全性的改進(jìn)方案J。 計(jì)算機(jī)工程與應(yīng)用，2009。45（28），9698。4 楊義先， 鈕心忻。 無(wú)線通信安全技術(shù)M。 北京：北京郵電大學(xué)出版社， 2005。5 趙耀，尹浩等. 3G與WLAN互連的安全協(xié)議和分析J。 計(jì)算機(jī)工程與應(yīng)用，2006。02,103107.6 魏松，肖征榮。 3G與WLAN互連的安全問(wèn)題J。 電信快報(bào), 2004.08,3134。7 林秀春，全春來(lái)等。 基于效率提高和安全性完善的WAPI標(biāo)

16、準(zhǔn)的改進(jìn)實(shí)現(xiàn)J。 計(jì)算機(jī)工程與設(shè)計(jì)，2006.327，449450。8 Jon Edney,William A.Arbaugh， Real 802.11 Security:WiFi Protected Access and 802.11iM, Pearson Education Press，2004。9 馬建峰等。 無(wú)線局域網(wǎng)安全方法與技術(shù)M. 北京：機(jī)械工業(yè)出版社，2005。Analysis and improvement of Authentication protocol in 3G and WLAN Integration Tang peng jie1，Li li2，Ren xian1Abstract： This paper analysis the authentication deficiency of the program in 3G and WLAN integration, and indicate the problem that the AP in WLAN cant be authenticated in the authenti