林凡等

1 引言

IEEE組織頒布的802.16標準[1]，其頻段主要針對2—66GHz，無線覆蓋范圍可達50公里以上，因此IEEE 802.16系統(tǒng)主要應用于長距離無線網(wǎng)絡（LRWN），快速地提供一種在長距離無線網(wǎng)絡點對多點的環(huán)境下有效進行互操作的寬帶無線接入手段，比固定的DSL更靈活。與所有的無線網(wǎng)絡一樣，消費者與企業(yè)所關注的層面必然首先就是無線網(wǎng)絡安全性問題。IEEE 802.16對于安全性進行了充分的考慮，其中位于媒體訪問控制（MAC，Media Access Control）層的安全子層用來實現(xiàn)空中接口的安全功能。但是，由于IEEE 802.16的安全體系設計時主要參考的是有線電纜數(shù)據(jù)服務接口規(guī)范（DOCSIS，Data Over Cable Service Interface Specifications）和無線局域網(wǎng)IEEE 802.11i的安全機制，給IEEE 802.16帶來了一些安全隱患。

2 長距離無線網(wǎng)絡安全問題

目前IEEE 802.16的安全協(xié)議設計了兩個版本：一個是為固定無線場景設計的PKMv1[2]；另一個是為移動場景設計的PKMv2。而后者又是在PKMv1版本的基礎上經(jīng)過改進后規(guī)定的安全機制。

PKMv1的安全機制優(yōu)點是：攜帶的消息報文較少、效率較高、安全算法比較易于工程實現(xiàn)。

PKMv1的安全機制主要缺陷[3]如下：

（1）只提供了單向認證，沒有實現(xiàn)真正的雙向認證：協(xié)議提供了基站（BS，Base Station）對用戶站（SS，Subscriber Station）的單向認證，并沒有提供SS對BS的認證，導致的后果是SS無法確認其連接的BS是否為預定的BS，從而仿冒合法的BS欺瞞SS就變得相對容易。

（2）密鑰質(zhì)量相對較低：授權密鑰（AK，Authorization Key）和會話密鑰（TEK，Traffic Encryption Key）都是由BS一側(cè)產(chǎn)生，在單向認證的場景下，SS難以信任TEK的質(zhì)量。

PKMv2對在PKMv1存在的不足進行了部分完善，但仍存在以下安全方面的問題：

（1）引入了EAP認證：EAP認證要求由可信任的第三方提供支持；另外，授權密鑰由可信任的第三方和SS共同產(chǎn)生后傳遞給BS，這就需要可信任的第三方和BS之間預先建立一個安全通道；EAP認證其實只實現(xiàn)了SS和可信任第三方之間的直接雙向認證，而不是SS和BS之間的直接雙向認證，這樣導致的后果就是假冒BS可以發(fā)動攻擊。

（2）RSA認證密鑰質(zhì)量不高：預授權密鑰（PAK）是由BS一方產(chǎn)生的，且在PKMv2中也沒有對密鑰進行明確規(guī)定，沒有說明密鑰須由較高質(zhì)量的偽隨機數(shù)發(fā)生器產(chǎn)生，假如密鑰的生成不隨機，將面臨非常嚴重的安全問題。

3 長距離無線網(wǎng)絡安全接入技術

3.1 基于TePA（三元對等鑒別）的訪問控制方法

國內(nèi)目前解決網(wǎng)絡安全接入問題主要采用擁有自主知識產(chǎn)權的虎符TePA（三元對等鑒別）技術[4]。TePA機制提供了一種安全接入方法，用來阻止接入請求者對鑒別訪問控制器系統(tǒng)的資源進行未授權的訪問，也阻止請求者誤訪問未授權的鑒別訪問控制器系統(tǒng)。

基于三元對等結構的接入示意圖如圖1所示：

例如，基于三元結構和對等鑒別的訪問控制可以用來限制用戶只能訪問公共端口，或者在一個組織內(nèi)，限制組織內(nèi)資源只能被組織內(nèi)用戶訪問。它還提供了一種方法，接入請求者可以用來阻止來自未授權鑒別訪問控制器系統(tǒng)的連接。訪問控制是通過對連接在受控端口上的系統(tǒng)進行鑒別來實現(xiàn)的，根據(jù)鑒別的結果，接入請求者系統(tǒng)或鑒別訪問控制器系統(tǒng)決定是否給予對方授權，允許對方通過受控端口訪問自己的資源。如果對方?jīng)]有獲得授權，根據(jù)受控端口的狀態(tài)控制參數(shù)限制在請求者系統(tǒng)和鑒別訪問控制器系統(tǒng)間未授權的數(shù)據(jù)流動?；谌獙Φ辱b別的訪問控制可以被一個系統(tǒng)用來鑒別其他任何連接在它受控端口上的系統(tǒng)，系統(tǒng)可以是路由器、終端設備、交換機、無線接入節(jié)點、無線基站、網(wǎng)關、應用程序等。

3.2 長距離無線網(wǎng)絡安全接入?yún)f(xié)議

借鑒TePA機制的解決思路，本文設計了適用于長距離無線網(wǎng)絡安全接入?yún)f(xié)議（以下簡稱LRWM-SA），由以下2部分協(xié)議組成：

（1）接入認證，提供了從BS到SS上密鑰數(shù)據(jù)的安全分發(fā)，BS還利用該協(xié)議加強了對網(wǎng)絡業(yè)務的有條件訪問。

（2）將網(wǎng)絡傳輸?shù)陌鼣?shù)據(jù)進行安全加密的封裝方法和協(xié)議，定義[5]：

◆密碼組件，即認證算法和數(shù)據(jù)加密方法；

◆密碼組件應用于報文數(shù)據(jù)載荷的規(guī)則。

圖2顯示了引入TePA機制后LRWM-SA的協(xié)議棧：

圖2 引入TePA的安全子層示意圖

LRWM-SA協(xié)議出現(xiàn)的實體包括SS、BS和AS，其中AS（Authenticaion Server）為認證服務器。從設備的表現(xiàn)形式看，AS可以是一臺服務器，也可以是一臺專用的網(wǎng)絡設備，甚至可以是一個邏輯的單元駐留于BS的內(nèi)部，用于實現(xiàn)安全子層的認證、證書管理和密鑰管理等功能。

接入認證過程完成SS和BS之間的雙向身份鑒別，身份鑒別成功后，在BS和SS之間協(xié)商授權密鑰（AK）；同時，BS為SS授權一系列SA。隨后緊接著進行會話密鑰（TEK）協(xié)商過程。

在進行接入過程前，AS需要為BS和SS分別頒發(fā)AS使用自己證書私鑰簽名的證書，BS和SS端均需安裝AS證書，具體可以參考相關PKI（公鑰基礎設施）的文獻和技術規(guī)范。

LRWM-SA的接入認證過程示意圖如圖3所示：

圖3 LRWM-SA的接入認證過程示意圖

具體步驟如下：

（1）BS向SS發(fā)送接入鑒別激活消息，消息內(nèi)容包含：安全接入標志、BS支持的密碼算法組件、BS信任的AS身份和BS證書。endprint

（2）SS收到接入鑒別激活消息，檢查是否兼容BS支持的密碼算法組件，如相容則驗證BS證書簽名的有效性，根據(jù)接入鑒別激活消息中的BS信任的AS身份選擇證書，構造接入鑒別請求消息并發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS和SS均支持的密碼算法組件、SS挑戰(zhàn)、SS第一證書、SS第二證書、SS信任的AS列表、BS身份和SS的消息簽名。

（3）BS收到接入鑒別請求消息，利用SS簽名證書的公鑰驗證SS的消息簽名，檢查BS身份字段是否與本地的身份一致，若一致則構造證書鑒別請求消息，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、SS第一證書、SS第二證書、BS證書、SS信任的AS列表和BS的消息簽名。

（4）AS收到證書鑒別請求消息，利用BS證書的公鑰驗證BS的消息簽名，則驗證BS證書、SS第一證書和SS第二證書，然后構造證書鑒別響應消息發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結果、SS第一證書驗證結果、SS第二證書驗證結果、BS身份、SS身份和AS的消息簽名。

（5）BS收到證書鑒別響應消息，根據(jù)BS的MAC地址、SS的MAC地址查找對應的證書鑒別請求消息，確定證書鑒別響應消息中的BS挑戰(zhàn)字段的值與本地證書鑒別請求消息中對應的BS挑戰(zhàn)字段是否相同，如果相同則使用AS證書公鑰來驗證證書鑒別響應消息簽名；驗證后，根據(jù)證書鑒別響應消息判斷SS的合法性，若SS合法則生成授權密鑰材料，利用授權密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導出新的授權密鑰，使用SS第二證書的公鑰加密授權密鑰材料，然后構造接入鑒別響應消息發(fā)送至SS，消息內(nèi)容包含：安全接入標志、BS的MAC地址、SS的MAC地址、BS挑戰(zhàn)、SS挑戰(zhàn)、BS證書驗證結果、SS第一證書驗證結果、SS第二證書驗證結果、BS身份、SS身份、AS對消息進行的簽名、更新后的授權密鑰安全關聯(lián)、加密后的授權密鑰材料和BS對消息進行的簽名。

（6）SS收到接入鑒別響應消息后，比較SS挑戰(zhàn)與本地先前在接入鑒別請求消息中包含的SS挑戰(zhàn)是否相同，利用BS證書公鑰驗證BS的消息簽名，利用AS證書公鑰驗證接入鑒別響應消息簽名；驗證后，根據(jù)接入鑒別響應消息判斷BS的合法性，使用SS第二證書的私鑰解密授權密鑰材料，利用授權密鑰材料、BS挑戰(zhàn)和SS挑戰(zhàn)推導出新的授權密鑰，啟用新的鑒別密鑰，將接收到的更新的授權密鑰安全關聯(lián)和此授權密鑰相關聯(lián)，并使用鑒別密鑰推導出密鑰加密密鑰和消息鑒別密鑰，然后構造接入鑒別確認消息發(fā)送至BS，消息內(nèi)容包含：安全接入標志、BS挑戰(zhàn)、BS身份、更新的授權密鑰安全關聯(lián)和消息鑒別碼。

（7）BS收到接入鑒別確認消息，比較BS挑戰(zhàn)與本地在證書鑒別請求消息中發(fā)送的BS挑戰(zhàn)是否相同，檢查BS身份，比較更新的授權密鑰安全關聯(lián)與接入鑒別響應消息中授權密鑰安全關聯(lián)的標識、密鑰索引、安全組件是否一致，密鑰有效期是否較短，使用本地推導出的授權密鑰進一步推導出密鑰加密密鑰和消息鑒別密鑰，根據(jù)消息鑒別碼校驗數(shù)據(jù)完整性后，使更新的授權密鑰材料生效，否則解除BS與SS的連接。

在會話密鑰協(xié)商過程完成后，可以進行會話業(yè)務的保密通信。這里需要注意的是，所有密碼（包括AK和TEK）都需要進行周期性的更新，以保證不被窮盡法破解。

LRWM-SA協(xié)議與PKMv1和PKMv2協(xié)議相比，具有以下優(yōu)點：

（1）對長距離無線網(wǎng)絡中的認證和會話密鑰協(xié)商過程做了替換性的更改，其他內(nèi)容保留了原長距離無線網(wǎng)絡的協(xié)議定義。因此，更改后的安全協(xié)議也可以符合原長距離無線網(wǎng)絡對于無線接入的功能和性能要求。

（2）在接入認證過程中，采用SS和BS的直接雙向認證替代原有的單向認證，使得BS和SS都能確認與預先確定的對方進行通信，入侵者無法冒充合法BS來騙取SS的信任，從而降低了中間人攻擊所帶來的安全威脅。

（3）密鑰協(xié)商過程中，授權密鑰由BS和SS共同產(chǎn)生，避免了由BS單方面產(chǎn)生和分配，提高了密鑰的質(zhì)量，進一步增強長距離無線網(wǎng)絡的安全性。

3.3 安全性分析

安全協(xié)議的形式化分析方法分為兩類：一類是基于數(shù)學分析的方法，建立數(shù)學模型，然后逐步通過定理證明來推論協(xié)議的有效性，通常用于學術界；另一類是基于符號變換的方法，把協(xié)議執(zhí)行看作符號重寫，分析協(xié)議的可達狀態(tài)，匹配協(xié)議的安全目標，一般有自動化工具支持，適用于工業(yè)界。

本文采用AVISPA工具中的OFMC方法對LRWM-SA協(xié)議的安全性進行分析。OFMC使用狀態(tài)、規(guī)則和攻擊規(guī)則來描述協(xié)議，AVISPA通過HLPSL來明確地描述協(xié)議和協(xié)議希望達到的安全目標，然后使用OFMC等分析工具給出分析結果。通過對眾多已存在的協(xié)議和IETF正在標準化的一些協(xié)議進行安全分析，AVISPA找出了以前沒有發(fā)現(xiàn)的缺陷，顯示了其優(yōu)越性。

對圖3的協(xié)議安全性分析結果如下：

% OFMC

% Version of 2010/02/13

SUMMARY

SAFE

15

DETAILS

BOUNDED_NUMBER_OF_SESSIONS

PROTOCOL

C：＼SPAN＼testsuite＼results＼WMANSA.if

GOAL

as_specified

BACKEND

OFMC

COMMENTS

STATISTICS

parseTime： 0.00s

searchTime： 3.20s

通過協(xié)議安全性分析，驗證了LRWM-SA協(xié)議可滿足認證性和秘密性的設計目標。

4 結束語

本文通過分析PKMv1和PKMv2安全機制的不足，提出LRWM-SA協(xié)議的新的安全機制和改進方案，并通過分析該方案的協(xié)議安全性，驗證了其優(yōu)越性。

參考文獻：

[1] IEEE Std 802.16-2009. IEEE Standard for Local and Metropolitan Area Networks Part 16： Air Interface for Broadband Wireless Access Systems[S]. 2009.

[2] 郎為民，孫月光，孫少蘭，等. PKMv1協(xié)議研究[J]. 信息網(wǎng)絡安全， 2008（10）： 31-33.

[3] 盧磊. WiMAX寬帶無線網(wǎng)絡安全體系及接入控制的研究[D]. 上海： 同濟大學， 2007.

[4] ISO/IEC 9798-3：1998/補篇1. 信息技術 安全技術 實體鑒別 第3部分：用非對稱簽名技術的機制 第1號修改單[S]. 2010.

[5] 吳昊，吳韶波，鐘章隊. 寬帶無線通信系統(tǒng)演進中的安全技術方案及發(fā)展趨勢[J]. 電信科學， 2009（2）： 48-54.endprint