基于可信證書驗證代理的無線接入認證方案*

陳澤茂，黃碧翼，李 錚

（海軍工程大學信息安全系 武漢430033）

1 引言

利用無線接入設備可以方便地擴展現存的有線網絡。但由于無線信道的開放性，這種擴展也給有線網絡帶來了黑客入侵、病毒傳播等安全風險。對設備和人員的無線接入請求進行認證，是防范此類風險的有效方法。目前，無線接入認證方案主要有兩類：一是采用對稱密碼體制，二是采用非對稱密碼體制。前者是目前應用的主流。例如，第三代移動通信、Wi-Fi無線局域網技術均采用了基于對稱密碼體制的無線接入認證方案[1]。對稱密碼運算速度快，但存在密鑰管理工作量大、難以提供數字簽名服務等不足。公鑰密碼計算開銷大，但其密鑰管理方便、能夠提供數字簽名服務。在無線網絡中，影響公鑰認證效率的主要因素有3個：

·因傳遞證書而帶來的通信開銷；

·因在線驗證證書有效性而帶來的通信和計算開銷；

·因握手協議消息數量太多而帶來的通信開銷。

為了解決這些問題，出現了面向無線網絡環境的公鑰基礎設施[2]，即無線 PKI（wireless PKI，WPKI）。為簡化證書格式，參考文獻[3]設計了一種大小僅為280 byte的微型WPKI證書，降低了證書的存儲和傳輸開銷。參考文獻[4]去掉了證書某些擴展域，認證時客戶端僅發送證書地址而非證書實體，從而降低了證書的傳輸開銷。參考文獻[5]通過增加擴展項內容以區分新證書和PKI證書，新證書用于無線網絡身份認證。但由于新證書大小沒有減小，該方案僅適用于無線局域網。參考文獻[6]基于Kerberos認證思想改進了WTLS協議，在WTLS中以票據代替證書，減小了認證消息的大小。參考文獻[7]提出了一種基于代理服務器的互認證方案，由代理服務器完成證書有效性檢查和身份認證，降低了無線終端的身份認證開銷。該方案中，服務器沒有認證消息接收者，存在安全隱患。參考文獻[8]基于橢圓曲線Diffie-Hellman（EC-DH）交換對WTLS握手協議進行了改進，使其具備前向安全性和客戶匿名性。上述的WPKI改進研究存在的主要不足是：

·在效率方面，多數改進方案中仍要求無線通信雙方互傳證書，通信開銷較大；

·在安全性方面，為了提高認證效率，無線終端不在線檢查服務器證書的有效性，因而存在安全隱患。

本文在確保安全性的前提下，以降低帶寬消耗、減少消息條數、降低無線節點的計算開銷為目標，引入可信證書驗證代理（trusted certificate verification proxy，TCVP）的概念，設計了一種基于公鑰密碼的無線接入認證方案（public key based wireless access scheme，PKBWAS）。該方案無需在無線信道中傳遞公鑰證書，也不要求無線移動節點在線檢查證書有效性，提高了認證效率。

2 PKBWAS方案

如圖1所示，無線移動節點A通過無線接入網關G訪問內部有線網絡。在內部有線網絡中配置有PKI認證設施，負責管理和認證內部網絡訪問者（包括移動用戶）的身份。PKBWAS方案的要點，就是如何在傳統PKI技術框架下，高效地認證A的身份。為此，引入TCVP，它調用PKI認證服務來驗證證書的有效性，并用自己的私鑰對驗證結果進行簽名，生成一個有效期較短的憑據，即證書有效性憑據（certificate validity ticket，CVT）。通過出示 CVT，有線節點、無線節點和G可以證明自己證書的有效性。效率方面，由于TCVP和G之間、TCVP同PKI之間均處于有線高速網絡中，因此可確保PKI認證過程的高效性。PKBWAS方案主要包括CVT申請協議和無線移動節點的接入認證協議。

為了便于后文討論，先給出如表1所示的符號約定和前提假設。

2.1 CVT申請協議

如圖2所示，G向TCVP申請其證書有效性憑據的過程如下。

表1 符號約定和前提假設

（1）G向TCVP發出證書有效憑據申請請求消息，消息中包括其證書的標識CIDG、隨機值NG（用于防范重放攻擊）及消息的簽名 SignSKG（m）。

（2）TCVP收到請求消息。首先檢查NG確保消息的新鮮性，根據CIDG檢索G的證書，并用其公鑰驗證消息簽名。若簽名驗證通過，則TCVP依托PKI的證書查詢機制驗證G證書的有效性。若G證書有效，則為其生成證書有效性憑據 CVTG=SignSKT（CIDG||TG），否則退出會話，其中 TG為 CVTG的有效期。最后將CVTG及其有效期TG一起返回給G。

（3）G收到證書有效性憑據，用 TCVP的公鑰驗證CVTG的正確性，最后保存CVTG和TG。

如圖3所示，無線移動節點A申請證書有效性憑據流程如下。

（1）向G發出證書有效性憑據申請請求，消息中包含A的證書標識。

（2）G根據 A的證書標識，檢索到 A的證書，并利用證書中的公鑰驗證上述消息的完整性。若驗證失敗，則終止與A的通信連接；若驗證成功，則代理其向TCVP申請證書有效性憑據。

（3）TCVP驗證依托PKI驗證A證書的有效性，若有效則為其生成證書有效性憑據CVTA，并將CVTA發送給G。

（4）G收到CVTA后，按照消息10的格式將CVA和TA返回給移動節點A。

（5）A驗證CVA的完整性，保存CVA和TA以備后用。

A僅在需要時申請該有效性憑據，在有效期TA內可使用CVA證明自己證書的有效性。這樣，既驗證了移動節點的證書有效性，又避免了因反復申請CVT而帶來的通信開銷。若A失控，則可在PKI中將其證書立即作廢。這樣，當它向TCVP申請其CVT時，就會因PKI認證識別而無法成功獲得CVT。這樣，它便無法接入內部有線網絡。

2.2 無線接入認證協議

假定各通信節點都擁有自己的PKI證書，其中無線移動節點A的證書標識為CIDA，無線接入網關G的證書標識為 CIDG。

如圖4所示，無線接入認證協議流程如下。

（1）A向G發起連接，消息中包含 A的證書標識CIDA、隨機數 NA、Diffie-Hellman 密鑰協商參數 DHA、協議版本號V、會話標識SID及密碼規格SecNegA。NA用于防重放攻擊。DHA為Diffie-Hellman密鑰交換時互換的參數。V為A支持的協議版本號，SID為會話標識，SecNegA表明A支持的加密、散列等密碼算法組。

（2）G收到消息，根據CIDA檢索到A的證書，然后通過PKI驗證A證書的當前狀態。如果證書未過期且當前未被撤銷，則繼續執行下面的操作，否則認證失敗。

（3）G向TCVP申請自己的CVT及其有效期，此過程詳見圖2所示的協議。

（4）G申請得到CVTG和TG后，向A發送響應消息，消息中包括 CIDG、TG、CVTG、相應的 V、DHG、SID、SecNegG等信息。DHG為G選擇的Diffie-Hellman參數。SecNegG為G從SceNegA中選擇的密碼算法，數據交換時雙方按協商的密碼規格SecNegG進行壓縮、加密等操作。

（5）A使用預存的TCVP的公鑰PKT驗證G證書的有效性。若驗證通過，則依據TG判斷CVTG是否過期。若G的證書有效，則驗證G對消息的簽名s2。若簽名有效，則完成對G的認證。

至此，無線公鑰認證協議執行結束。雙方完成了身份認證，并通過交換Diffie-Hellman參數共享了的會話密鑰。如果采用預先申請機制，則G收到連接請求時已經有了一個可用的CVT，此時圖4中所示的第3步就無需執行，這可提高無線接入認證的效率。

3 方案的安全性

（1）體系結構的安全性

由于無線信道環境的開放性，為保護內部有線網絡的安全，把TCVP置于內部網絡，部署于無線接入網關之后，可以采取安全隔離、防火墻、入侵檢測等常規的信息安全機制對其進行保護。這樣，無線移動節點便不能直接訪問TCVP，而必須通過無線接入網關才能申請CVT。無線接入網關在初步驗證了無線移動節點的身份后，代理其向TCVP申請CVT。這樣就確保了無線接入網關是內部網絡的唯一無線接入口，從而有利于保護TCVP及內部網絡整體的安全性。

（2）基于CVT的認證安全性

TCVP通過PKI在線驗證指定證書的有效性，并用自己的私鑰簽名生成證書有效性憑據。由于TCVP位于有線網絡的內網，因此，可以比較容易地確保憑據生成操作的安全性。根據應用安全策略的需要，CVT可有兩種申請機制：一是臨時申請機制，此時通信實體不預存其證書有效性憑據，僅當需要時才去實時申請。在該機制下，證書有效性憑據能夠更實際地反映證書的當前狀態；另一種是預先申請機制，即在前一個證書有效性憑據失效之前及時申請新的證書有效性憑據，這就是說G必須以小于TG的周期進行憑據申請操作。顯然，如果TG太大，則憑據不能如實反映證書當前的有效性狀態；如果TG太小，則需要頻繁地進行CVT申請操作，進而增加了G的認證操作開銷。因此，需要根據應用環境的要求，選擇合適的TG，以實現在確保CVT的可信性同時，又不增加G的認證負擔。

（3）無線接入認證協議的安全性

在無線認證過程中，無線移動節點A通過驗證證書有效性憑據確定無線接入網關G證書的有效性，G則通過TCVP，而TCVP依托PKI驗證A證書的有效性。雙方都對握手消息進行了簽名，通過出示各自簽名完成彼此的身份認證，同時該簽名還能保證雙方對握手過程的非否認性和消息的完整性。雙方僅傳遞證書標識，不會泄露身份信息，滿足了身份的機密性。通過互換Diffie-Hellman參數完成了密鑰協商，該密鑰具有前向安全性。

4 方案的效率

PKBWAS方案涉及的實體主要有 TCVP、G、PKI和無線移動節點。其中，TCVP、G和PKI一般均為運算速度和存儲能力較高的計算機，且TCVP與G、TCVP與PKI以及G與PKI之間均為高速有線網絡連接，因此可確保PKI認證過程的高效性。由于無線移動節點CVT申請協議無需頻繁執行，所以PKBWAS方案的效率瓶頸，是無線移動節點在接入認證過程中的通信開銷。下面比較PKBWAS無線接入認證協議、SSL 3.0[9]、WTLS[10]的通信開銷。

在實際應用中，SSL協議和WTLS協議各參數的典型長度（單位：byte）分別為：|RP|=20，|H（）|=|KH（）|=20，|V|=1，|SID|=4，|SecNeg|=3，|DH|=|N|=|Sign（）|=|CVT|=20，|T|=|CID|=8，|md5_hash|=16，|change_cipher_spec|=1，|CertificateType|=1，|CertificateAuthorites|=2，|sha_hash|=20。假定通信雙方僅交換各自證書，X.509 V3證書和WTLS證書長度分別按1.5 KB和1 KB估算，則各協議消息長度如表2所示。

表2 PKBWAS無線接入認證協議的通信開銷

從表2中可以看出，PKBWAS無線接入認證協議總的通信開銷約為SSL協議的5%、WTLS協議的8%。通信開銷的減少降低了無線信道開銷，既有利于節省帶寬資源，也提高了PKBWAS在無線通信受干擾情況下的適用性。

5 結束語

近年來，隨著無線網絡技術的發展，無線通信帶寬大幅提高，無線移動終端的計算和存儲性能極大提升，在無線網絡領域應用公鑰密碼所面臨的傳統障礙將逐漸消除。本文按照安全和高效的原則，以降低安全協議握手過程的通信數據量和消息數量為目標，通過優化PKI認證機制，提出了一種高效的無線接入認證方案，引入了可信證書驗證代理、無線接入網關、證書有效性憑據等新概念，并設計了證書有效性憑據申請和無線接入認證等安全協議。本方案摒棄了傳統PKI認證中的證書傳遞和基于CRL的證書有效性驗證，改用基于證書標識和證書有效性憑據的安全認證機制，在確保安全的前提下，大大提高了無線通信中的公鑰認證效率。

1 3GPP TS 33.102 V7.1.0.The3rd Generation Partnership Project,Technical Specification Group Services and Systems Aspects,3G security,security architecture,2006

2 Trask N T,Jaweed S A.Adapting public key infrastructures to the mobile environment.BT Technology Journal,2001,19 （3）:76～80

3 王治國,肖德貴.基于無線PKI的微型證書的分析與實現.科學技術與工程,2006,6（3）:278～282

4 Yong Lee,Jeail Lee,JooSeok Song.Design and implementation ofwirelessPKItechnology suitable formobile phone in mobile-commerce. ScienceDirect: Computer Communications,2006,30(4):893～903

5 Cayer D,Spagnolo J.Securing Wireless Local Area Networks with GoC PKI:addendum to report DRDC Ottawa.Ottawa:Defence R&D Canada,2008

6 范新普.WTLS安全性研究.北京化工大學碩士學位論文，2008

7 Sang-Wook Choi,Cheol-Joo Chae,Jae-Kwang Lee.A study on the efficient mutual authentication mechanism using the agent server.Proceedings of Second International Conference on Future Generation Communication and Networking,Sanya,China,2008:485～488

8 鄒學強，馮登國.WTLS握手協議的安全性分析及改進.中國科學院研究生院學報,2004（4）:495～500

9 Transport Layer Security Working Group．The SSL Protocol Version 3.0,http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt,2012

10 Wireless Application Protocol Forum.Wireless Transport Layer Security Specification WAP-261-WTLS-20010406-a,http://www.openmobilealliance.org/tech/affiliates/wap/wap-261-wtls-20010406-a.pdf,2012