基于ＷＰＫＩ的無線移動ＶＰＮ系統的分析與設計

摘要：無線網絡系統由于其終端、網絡介質以及通信模式的不同，相對于有線網絡有更高的安全需求。WPKI （Wireless PKI）和VPN(Virtual Private Network)是近年來使用廣泛的安全技術，該文在分析研究無線網絡和無線終端的基礎上，綜合了這兩種技術，構建一種基于WPKI的無線移動VPN系統，提出了一種簡單的安全模型。

關鍵詞：WPKI；VPN；安全；數字證書

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2009)04-0816-03

The Analysis and Design of Wireless Mobile VPN System based on WPKI

CAO Ji-meng， HU Jia-bao，XIONG Zi-yao

(School of Computer Science and Technology，Wuhan University of Technology，Wuhan 430063，China)

Abstract: Wireless network systems because of its terminal， network media， as well as the different modes of communication， as opposed to cable networks have higher security needs. The use of WPKI (Wireless PKI) and VPN (Virtual Private Network) in recent years have a wide range of security technologies， this paper analysis of wireless networks and wireless terminals based on a combination of these two technologies， to build a WPKI-based wireless mobile VPN system， an effective solution for wireless mobile applications system security issues.

Key words: WPKI; VPN; security; digital certificate

無線網絡天然的開放性，使人們對于無線通信系統安全性的關注遠遠超過有線環境。在安全方面，無線應用系統存在三方面的問題：

1) 終端資源的有限性。相對于普通PC，PDA等無線移動終端在CPU運算能力、內存(ROM和RAM)、電源供給和顯示屏大小等方面都比較小。

2) 帶寬的有限和不穩定性。由于電源、可利用范圍和移動性等的根本限制，無線網絡呈現以下一些特點:較低帶寬、更大延時、連接穩定性差、可利用性預測難。

3) 通信模式不同。在無線應用系統中，沒有一定的拓撲結構，因此信息更容易受到監聽與入侵。

基于以上變化，對無線應用系統的安全設計十分重要。

原理介紹

1 VPN技術

VPN是指在公共網絡上通過隧道和/或加密技術建立的邏輯上的專用網絡。

1.1 其主要功能

加密數據：保證通過公網傳輸的信息即使被他人截取也不會泄露；

信息與身份認證：保證信息的完整性、合法性，并鑒別用戶的身份；

訪問控制：不同的用戶有不同的訪問權限。

1.2 VPN系統實現的一般步驟

首先建立隧道，然后數據包經過加密后，按隧道協議進行封裝、傳送以保護安全性。

VPN基于以下協議來實現其安全功能：PPTP（Point-to-Point Tunneling Protocol），L2TP（Layer 2 Tunneling Protocol），IPSEC（IP Security）以及SSL。目前常用的是基于IPSEC的VPN系統。

1.3 IPsec

IPsec是Internet Protocol Security （Internet 協議安全性）的簡稱。其工作原理是這樣的：在進行數據交換之前，先相互驗證對方的計算機的身份。驗證身份通過之后，在這兩臺計算機之間建立一種安全協作關系SA(Security Association 安全關聯)，并且在進行數據傳輸之前將數據進行加密。

IPSec 協議（RFC2401）不是一個單獨的協議，它給出了應用于IP 層上網絡數據安全的一整套體系結構，它包括：ESP 協議（Encapsulating Security Payload），AH 協議（Authentication Header），密鑰管理協議IKE 協議（The Internet Key Exchange），以及用于網絡驗證及加密的一些算法。

1.4 IPSec 協議模式

IPSec 協議分為兩種模式一種是通道模式，其協議棧模型為：IP-ESP- AHIP-DATA；另一種是傳送模式，其協議棧模型為：IP-ESP-AH-DATA。兩臺路由器連接局域網時，一般使用IPSec 的通道模式。

2 WPKI技術

1)WPKI即“ 無線公開密鑰基礎設施”， 是將有線PKI(Public Key Infrastructure)安全機制引入到無線網絡環境中的一套遵循既定標準的密鑰及證書管理平臺體系， 它能為移動運營商的不同無線網絡上的各種應用提供加密、數字簽名以及身份和信息認證等安全服務。

WPKI的基本結構如圖2所示。

從圖中可以看出，一個典型的WPKI系統主要包括一下幾個組成部分①認證機構(CA)，CA系統是PKI的信任基礎，同樣也是WPKI系統的基礎，負責產生、分發和驗證數字證書，規定證書的有效期，并發布證書和證書撤銷列表。②注冊機構(RA)Portal，Portal提供用戶和之間的一個接口，作為認證機構的校驗者，它確定用戶的身份，向CA提出證書請求并且處理用戶的其他請求。③智能卡（WIM或SIM），智能卡將具有存儲，加密及數據處理能力的集成電路芯片鑲嵌于塑料基片中，具有體積小，難于破解等特點，在訪問控制方面有很強的安全保障。很多種需要用戶認證的應用都可以使用智能卡來實現。卡片載有持卡人的數字證書， 私鑰以及加密簽名模塊，從而實現移動電子商務中的身份識別和信息加密傳輸。④加密算法，加密算法越復雜，密鑰越長則安全性越高，但同時執行運算所需的時間也越長，也更需要計算能力更強的芯片。當今公鑰密碼體制中，橢圓曲線密碼體制(ECC)具有每比特最高的安全強度。由于無線終端在CPU處理能力和RAM大小上的限制，因而采用ECC算法在無線移動應用系統具有廣闊的應用前景。

2) WPKI應用模式：WPKI標準提供了WTLS Class2，Sign Text ， WTLS Class3三種功能模式。

3 系統安全分析與總體設計

在無線移動系統中，無線終端（PDA或筆記本等）和地面系統之間的訪問需要實現加密、認證、訪問控制以及抗否認等安全功能這就需要實現基于無線移動網絡的VPN 系統。實現VPN系統的基礎是數字證書的使用與加密算法的選擇。因此，需要以WPKI系統為基礎。

在筆者本系統所應用的項目中，由于規模并不大，以及無線終端的數量有限，因此筆者采用構建自己的WPKI系統來實現系統目標。為此筆者就建立了自己的WPKI服務器。此WPKI服務器作為CA，RA，目錄服務器以及CRL服務器幾種功能于一身，雖然性能有所下降，但足以滿足本系統功能。如圖3。

系統操作具體過程解釋如下：

1) 執行客戶端程序，提交證書URL給VPN網關認證。

2) 可以通過有線或無線、遠程或本地方式申請證書。

3) VPN網關根據客戶端URL信息驗證證書有效性。

4) 客戶端通過認證后進行信息訪問。

■

圖4 系統邏輯結構圖

4 VPN系統設計

在現階段，VPN系統有兩種實現方式，一種是基于IPSEC協議的，一種是基于SSL的，本系統是在移動GPRS網絡上的安全系統，出于安全考慮，使用了IPSec協議，這樣的好處是便于擴展。包括客戶端（運行在無線移動終端）和VPN安全網關兩部分。

1) 客戶端設計

VPN 在無線網的應用是通過采用防火墻與VPN 聯動的方式來實現。客戶端的設計比較簡單， 只需在所有無線機器上安裝VPN 客戶端程序， 同時登陸VPN安全網關。

2) IPSec安全網關設計

IPSec安全網關對IP報文的接收、轉發和發送處理的整個過程如圖5所示。

當安全網關的網卡接收數據包時，通過中斷觸發內核的中斷處理程序，將網卡接收的數據報傳送到內核空間，然后再通過IP層預處理程序將數據包轉換為IP包。此時，將IP包傳送到IPSec進入策略處理模塊。

5 WPKI服務器設計

1) 由于WPKI是有線PKI在無線領域的應用，所以實質也是對原來的PKI系統進行的擴展。本系統中由于無線終端數量的有限以及現階段無線移動網絡的現狀，筆者采用了一種簡單的實現方式，這種方式是設置單獨的WPKI服務器實現PKI中的所有功能。

本系統將CA、RA、LDAP目錄服務器以及OCSP服務器都安裝在WPKI服務器。證書格式選取X.509證書，并對證書的屬性根據本系統的實際情況進行了取舍。考慮到移動終端較弱的輸入能力和計算能力，本系統的證書和密鑰均在有線終端產生。密鑰對由用戶在申請階段自己生成，公鑰和私鑰隨申請證書發送給RA，也就是說證書和密鑰都存放在服務器中，用戶需要簽名時才從證書庫中下載自己的證書和私鑰。

2) 系統核心部分介紹

系統的核心部分包括認證權威機構CA、注冊權威機構RA、證書目錄庫CLR。現將系統中的各個組件功能進行介紹。

(1) CA中心

其配置包括密碼算法庫、SQL Server2000數據庫、證書管理程序，歷史證書庫。該服務器執行CA的功能，承擔產生證書、發放證書、撤消證書的職責。CA中心的操作必須離線完成，并且只能由CA管理員訪問。

(2) RA中心

其配置包括：密碼算法庫，SQL Server2000數據庫，執行RA功能的軟件實體，該服務器只能由RA操作員訪問。

RA首先要對各個申請證書的用戶進行身份確認，然后RA接受來自有線終端實體的數字證書注冊申請，來自有線端的證書撤消申請等。

(3) LDAP服務器

本系統的證書目錄庫CR運行在目錄服務器上，即采用LDAP服務器，后端使用SQL Server來存放證書。該服務器安裝了OpenLDAP軟件包，啟動LDAP服務器，作為目錄服務器來運行。

(4) 證書撤消方式

由于本系統WPKI服務器是針對專用應用系統設計的，終端用戶具有穩定性，因此證書撤銷模塊相對比較簡單。在本系統中，筆者采用手工撤銷方式，由WPKI管理員專職管理撤銷。

實現工具和標準的選擇

1) WPKI服務器采用Linux RedHat7.0作為操作平臺。

2) VPN系統采用Linux RedHat7.0，開發語言C++。

3) 數據庫均采用SQL Server 2000。

4) LDAP服務器采用自由軟件OpenLDAP。

5) PDA端操作系統為Windows CE.NET，基于.NET Compact Framework，采用VS2005開發，數據庫為SQL SERVER CE。

6 結束語

該文提出一種基于WPKI技術的無線VPN系統，解決了當前基于移動GPRS網絡的安全問題。為簡單起見，筆者將WPKI系統做個一個比較簡單的實現。雖然是一種簡單實現方式，但從實際運行過程中可以看出是十分可行的。

參考文獻：

[1] 魏利明，陳相寧.PKI技術分析[J].網絡安全技術與應用，2005(3).

[2] 田峰，譚寒生，周明天.一種基于WTLS的無線安全網關的設計[J].計算機應用，2003，23(3):70-72.

[3] 謝冬青，冷健.PKI原理與技術[M].北京:清華大學出版社，2004:335-343.

[4] SMART NP.The discrete logarithm problem on elliptic curves of trace one[J]. Journal of Cryptology，1999，12(3):193-196.

[5] S.M.Bellovin.IPSec VPN，November 1999:11-13.