林凡等
1 引言
IEEE组织颁布的802.16标准[1],其频段主要针对2—66GHz,无线覆盖范围可达50公里以上,因此IEEE 802.16系统主要应用于长距离无线网络(LRWN),快速地提供一种在长距离无线网络点对多点的环境下有效进行互操作的宽带无线接入手段,比固定的DSL更灵活。与所有的无线网络一样,消费者与企业所关注的层面必然首先就是无线网络安全性问题。IEEE 802.16对于安全性进行了充分的考虑,其中位于媒体访问控制(MAC,Media Access Control)层的安全子层用来实现空中接口的安全功能。但是,由于IEEE 802.16的安全体系设计时主要参考的是有线电缆数据服务接口规范(DOCSIS,Data Over Cable Service Interface Specifications)和无线局域网IEEE 802.11i的安全机制,给IEEE 802.16带来了一些安全隐患。
2 长距离无线网络安全问题
目前IEEE 802.16的安全协议设计了两个版本:一个是为固定无线场景设计的PKMv1[2];另一个是为移动场景设计的PKMv2。而后者又是在PKMv1版本的基础上经过改进后规定的安全机制。
PKMv1的安全机制优点是:携带的消息报文较少、效率较高、安全算法比较易于工程实现。
PKMv1的安全机制主要缺陷[3]如下:
(1)只提供了单向认证,没有实现真正的双向认证:协议提供了基站(BS,Base Station)对用户站(SS,Subscriber Station)的单向认证,并没有提供SS对BS的认证,导致的后果是SS无法确认其连接的BS是否为预定的BS,从而仿冒合法的BS欺瞒SS就变得相对容易。
(2)密钥质量相对较低:授权密钥(AK,Authorization Key)和会话密钥(TEK,Traffic Encryption Key)都是由BS一侧产生,在单向认证的场景下,SS难以信任TEK的质量。
PKMv2对在PKMv1存在的不足进行了部分完善,但仍存在以下安全方面的问题:
(1)引入了EAP认证:EAP认证要求由可信任的第三方提供支持;另外,授权密钥由可信任的第三方和SS共同产生后传递给BS,这就需要可信任的第三方和BS之间预先建立一个安全通道;EAP认证其实只实现了SS和可信任第三方之间的直接双向认证,而不是SS和BS之间的直接双向认证,这样导致的后果就是假冒BS可以发动攻击。
(2)RSA认证密钥质量不高:预授权密钥(PAK)是由BS一方产生的,且在PKMv2中也没有对密钥进行明确规定,没有说明密钥须由较高质量的伪随机数发生器产生,假如密钥的生成不随机,将面临非常严重的安全问题。
3 长距离无线网络安全接入技术
3.1 基于TePA(三元对等鉴别)的访问控制方法
国内目前解决网络安全接入问题主要采用拥有自主知识产权的虎符TePA(三元对等鉴别)技术[4]。TePA机制提供了一种安全接入方法,用来阻止接入请求者对鉴别访问控制器系统的资源进行未授权的访问,也阻止请求者误访问未授权的鉴别访问控制器系统。
基于三元对等结构的接入示意图如图1所示:
例如,基于三元结构和对等鉴别的访问控制可以用来限制用户只能访问公共端口,或者在一个组织内,限制组织内资源只能被组织内用户访问。它还提供了一种方法,接入请求者可以用来阻止来自未授权鉴别访问控制器系统的连接。访问控制是通过对连接在受控端口上的系统进行鉴别来实现的,根据鉴别的结果,接入请求者系统或鉴别访问控制器系统决定是否给予对方授权,允许对方通过受控端口访问自己的资源。如果对方没有获得授权,根据受控端口的状态控制参数限制在请求者系统和鉴别访问控制器系统间未授权的数据流动。基于三元对等鉴别的访问控制可以被一个系统用来鉴别其他任何连接在它受控端口上的系统,系统可以是路由器、终端设备、交换机、无线接入节点、无线基站、网关、应用程序等。
3.2 长距离无线网络安全接入协议
借鉴TePA机制的解决思路,本文设计了适用于长距离无线网络安全接入协议(以下简称LRWM-SA),由以下2部分协议组成:
(1)接入认证,提供了从BS到SS上密钥数据的安全分发,BS还利用该协议加强了对网络业务的有条件访问。
(2)将网络传输的包数据进行安全加密的封装方法和协议,定义[5]:
◆密码组件,即认证算法和数据加密方法;
◆密码组件应用于报文数据载荷的规则。
图2显示了引入TePA机制后LRWM-SA的协议栈:
图2 引入TePA的安全子层示意图
LRWM-SA协议出现的实体包括SS、BS和AS,其中AS(Authenticaion Server)为认证服务器。从设备的表现形式看,AS可以是一台服务器,也可以是一台专用的网络设备,甚至可以是一个逻辑的单元驻留于BS的内部,用于实现安全子层的认证、证书管理和密钥管理等功能。
接入认证过程完成SS和BS之间的双向身份鉴别,身份鉴别成功后,在BS和SS之间协商授权密钥(AK);同时,BS为SS授权一系列SA。随后紧接着进行会话密钥(TEK)协商过程。
在进行接入过程前,AS需要为BS和SS分别颁发AS使用自己证书私钥签名的证书,BS和SS端均需安装AS证书,具体可以参考相关PKI(公钥基础设施)的文献和技术规范。
LRWM-SA的接入认证过程示意图如图3所示:
图3 LRWM-SA的接入认证过程示意图
具体步骤如下:
(1)BS向SS发送接入鉴别激活消息,消息内容包含:安全接入标志、BS支持的密码算法组件、BS信任的AS身份和BS证书。endprint
(2)SS收到接入鉴别激活消息,检查是否兼容BS支持的密码算法组件,如相容则验证BS证书签名的有效性,根据接入鉴别激活消息中的BS信任的AS身份选择证书,构造接入鉴别请求消息并发送至BS,消息内容包含:安全接入标志、BS和SS均支持的密码算法组件、SS挑战、SS第一证书、SS第二证书、SS信任的AS列表、BS身份和SS的消息签名。
(3)BS收到接入鉴别请求消息,利用SS签名证书的公钥验证SS的消息签名,检查BS身份字段是否与本地的身份一致,若一致则构造证书鉴别请求消息,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、SS第一证书、SS第二证书、BS证书、SS信任的AS列表和BS的消息签名。
(4)AS收到证书鉴别请求消息,利用BS证书的公钥验证BS的消息签名,则验证BS证书、SS第一证书和SS第二证书,然后构造证书鉴别响应消息发送至BS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份和AS的消息签名。
(5)BS收到证书鉴别响应消息,根据BS的MAC地址、SS的MAC地址查找对应的证书鉴别请求消息,确定证书鉴别响应消息中的BS挑战字段的值与本地证书鉴别请求消息中对应的BS挑战字段是否相同,如果相同则使用AS证书公钥来验证证书鉴别响应消息签名;验证后,根据证书鉴别响应消息判断SS的合法性,若SS合法则生成授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,使用SS第二证书的公钥加密授权密钥材料,然后构造接入鉴别响应消息发送至SS,消息内容包含:安全接入标志、BS的MAC地址、SS的MAC地址、BS挑战、SS挑战、BS证书验证结果、SS第一证书验证结果、SS第二证书验证结果、BS身份、SS身份、AS对消息进行的签名、更新后的授权密钥安全关联、加密后的授权密钥材料和BS对消息进行的签名。
(6)SS收到接入鉴别响应消息后,比较SS挑战与本地先前在接入鉴别请求消息中包含的SS挑战是否相同,利用BS证书公钥验证BS的消息签名,利用AS证书公钥验证接入鉴别响应消息签名;验证后,根据接入鉴别响应消息判断BS的合法性,使用SS第二证书的私钥解密授权密钥材料,利用授权密钥材料、BS挑战和SS挑战推导出新的授权密钥,启用新的鉴别密钥,将接收到的更新的授权密钥安全关联和此授权密钥相关联,并使用鉴别密钥推导出密钥加密密钥和消息鉴别密钥,然后构造接入鉴别确认消息发送至BS,消息内容包含:安全接入标志、BS挑战、BS身份、更新的授权密钥安全关联和消息鉴别码。
(7)BS收到接入鉴别确认消息,比较BS挑战与本地在证书鉴别请求消息中发送的BS挑战是否相同,检查BS身份,比较更新的授权密钥安全关联与接入鉴别响应消息中授权密钥安全关联的标识、密钥索引、安全组件是否一致,密钥有效期是否较短,使用本地推导出的授权密钥进一步推导出密钥加密密钥和消息鉴别密钥,根据消息鉴别码校验数据完整性后,使更新的授权密钥材料生效,否则解除BS与SS的连接。
在会话密钥协商过程完成后,可以进行会话业务的保密通信。这里需要注意的是,所有密码(包括AK和TEK)都需要进行周期性的更新,以保证不被穷尽法破解。
LRWM-SA协议与PKMv1和PKMv2协议相比,具有以下优点:
(1)对长距离无线网络中的认证和会话密钥协商过程做了替换性的更改,其他内容保留了原长距离无线网络的协议定义。因此,更改后的安全协议也可以符合原长距离无线网络对于无线接入的功能和性能要求。
(2)在接入认证过程中,采用SS和BS的直接双向认证替代原有的单向认证,使得BS和SS都能确认与预先确定的对方进行通信,入侵者无法冒充合法BS来骗取SS的信任,从而降低了中间人攻击所带来的安全威胁。
(3)密钥协商过程中,授权密钥由BS和SS共同产生,避免了由BS单方面产生和分配,提高了密钥的质量,进一步增强长距离无线网络的安全性。
3.3 安全性分析
安全协议的形式化分析方法分为两类:一类是基于数学分析的方法,建立数学模型,然后逐步通过定理证明来推论协议的有效性,通常用于学术界;另一类是基于符号变换的方法,把协议执行看作符号重写,分析协议的可达状态,匹配协议的安全目标,一般有自动化工具支持,适用于工业界。
本文采用AVISPA工具中的OFMC方法对LRWM-SA协议的安全性进行分析。OFMC使用状态、规则和攻击规则来描述协议,AVISPA通过HLPSL来明确地描述协议和协议希望达到的安全目标,然后使用OFMC等分析工具给出分析结果。通过对众多已存在的协议和IETF正在标准化的一些协议进行安全分析,AVISPA找出了以前没有发现的缺陷,显示了其优越性。
对图3的协议安全性分析结果如下:
% OFMC
% Version of 2010/02/13
SUMMARY
SAFE
15
DETAILS
BOUNDED_NUMBER_OF_SESSIONS
PROTOCOL
C:\SPAN\testsuite\results\WMANSA.if
GOAL
as_specified
BACKEND
OFMC
COMMENTS
STATISTICS
parseTime: 0.00s
searchTime: 3.20s
通过协议安全性分析,验证了LRWM-SA协议可满足认证性和秘密性的设计目标。
4 结束语
本文通过分析PKMv1和PKMv2安全机制的不足,提出LRWM-SA协议的新的安全机制和改进方案,并通过分析该方案的协议安全性,验证了其优越性。
参考文献:
[1] IEEE Std 802.16-2009. IEEE Standard for Local and Metropolitan Area Networks Part 16: Air Interface for Broadband Wireless Access Systems[S]. 2009.
[2] 郎为民,孙月光,孙少兰,等. PKMv1协议研究[J]. 信息网络安全, 2008(10): 31-33.
[3] 卢磊. WiMAX宽带无线网络安全体系及接入控制的研究[D]. 上海: 同济大学, 2007.
[4] ISO/IEC 9798-3:1998/补篇1. 信息技术 安全技术 实体鉴别 第3部分:用非对称签名技术的机制 第1号修改单[S]. 2010.
[5] 吴昊,吴韶波,钟章队. 宽带无线通信系统演进中的安全技术方案及发展趋势[J]. 电信科学, 2009(2): 48-54.endprint