無線接入鑒權系統的軟件設計與實現

趙海強，龐 超，李 倩

(1.通信網信息傳輸與分發技術重點實驗室，河北 石家莊 050081； 2.石家莊信息工程職業學院，河北 石家莊 050001 3.空軍指揮學院，北京 100097)

0 引言

隨著網電一體化[1]電子戰技術的發展，針對無線通信系統的攻擊方式、攻擊手段和相應裝備不斷出現，其攻擊技術不斷向“隱蔽式”、“注入式”和“接管式”攻擊發展[2]。衛星、地面移動等各類無線通信系統均面臨以下安全威脅：

① 從無線網絡外部攻擊的角度看，由于無線信道的開放性，無線接入相比有線接入更易遭到“中間人”、“釣魚”和Sybil等基于假冒身份的攻擊[3]。攻擊者可能假冒合法無線用戶，基于信任關系接入無線網絡甚至核心網，進而插入虛假數據、修改關鍵數據、獲取敏感數據，達到信息篡改、竊取等目的；也可能假冒無線接入點，誘騙合法用戶接入，進而發布虛假指令，達到擾亂通信的目的；

② 無線用戶和接入點失控后，攻擊者可能利用合法設備、合法用戶身份接入網絡或誘騙用戶接入，進而發起攻擊[4]；

③ 從無線網絡內部防護的角度看，無線通信系統中大量無線用戶和終端[5]也存在巨大的安全隱患，例如：一臺無線終端上不慎引入的蠕蟲病毒在網絡內大規模蔓延、終端用戶的誤操作導致重要數據被破壞、低密級用戶訪問了高密級的網絡資源等，這些都可能給系統帶來巨大的損失。

為了應對以上安全威脅，有必要對無線用戶、終端進行無線接入鑒權和準入控制，結合終端安全基線核查、密鑰協商和傳輸加密等安全手段構筑無線通信系統的第一道防線。目前，常見的無線系統，如地面蜂窩移動通信系統(2G /3G /4G)[6]、無線局域網(WLAN)和移動自組織網絡(MANET)[7]等都設計并實現了各自的認證協議和鑒權系統，但是目前的認證協議大多適用于帶寬條件較好的無線網絡，協議數據量較大，交互次數多，協議處理較復雜；而鑒權系統也難以支持多種認證協議和多種形式的用戶憑證，應用場景單一。因此，需要對已有的3GPP-AKA，EAP，TEPA等認證協議進行優化[8]，設計能夠支持帶寬和計算資源受限的無線網絡的雙向認證和密鑰協商協議；需要設計對下支持不同承載協議，對上支持不同用戶憑證的無線接入鑒權系統，實現注冊管理、集中鑒權、準入判決和鑒權審計等鑒權服務和管理功能。

1 無線接入鑒權系統總體設計

無線接入鑒權系統面向帶寬受限的無線網絡接入鑒權需求，為無線用戶、終端設備入網提供無線鑒權協議族和無線接入鑒權服務。

1.1 AAA框架

AAA(Authentication，Authorization，Accounting)框架是用戶接入管理的一種架構，提供了認證、授權和審計3種安全功能，如圖1所示。

圖1 AAA框架示意

當用戶想要通過某網絡與網絡接入服務器(NAS)建立連接，從而獲得訪問其他網絡的權利或取得某些網絡資源的權利時，NAS起到了驗證用戶或對應連接的作用。NAS負責把用戶的認證、授權及計費信息轉發給AAA服務器。這種管理框架提供了授權部分實體去訪問特定資源，同時可以記錄這些實體操作行為的一種安全機制，因其具有良好的可擴展性，并且容易實現用戶信息的集中管理而被廣泛使用。

用戶主機與網絡接入服務器之間常用的認證協議有：

① 有線局域網802.1x體系使用的EAPoL，支持EAP-TLS，EAP-MD5等認證協議；

② 無線局域網802.11i標準定義的WPA，WPA2等協議以及WAPI標準使用的TEPA等協議[9]；

③ 地面蜂窩移動通信系統使用的3GPP-AKA等認證協議[10]；

④ 其他有線網絡中使用的Kerberos，TLS，IKE等認證協議[11]。

以上認證協議大多用于帶寬條件很高的有線或無線網絡，協議數據量較大，交互次數多，協議處理較復雜，而適用于天地一體化網絡[12]等帶寬和計算資源受限的無線網絡的認證協議幾乎沒有，并且隨著互聯網的發展，有線或無線信道帶寬將越來越高，節點處理能力也將越來越強，信道帶寬/MTU、節點計算能力等受限的網絡接入認證協議不是主流的發展方向。

1.2 系統組成

無線接入鑒權系統采用AAA管理框架，由無線鑒權協議軟件和鑒權管理服務器組成，如圖2所示。

圖2 無線接入鑒權系統組成

無線鑒權協議軟件分為客戶端[13]、代理端和服務端，分別運行在無線終端、無線接入控制點和鑒權管理服務器中，能夠適應不同帶寬的無線信道，實現無線終端與鑒權管理服務器之間的雙向安全認證和接入控制。鑒權管理服務器提供注冊管理、集中鑒權、準入判決和鑒權審計等功能，支持級聯，能夠適用于不同規模的無線網絡。

無線接入控制點與鑒權管理服務器之間采用標準Diameter或者TLS協議，能夠在防止無線接入控制點假冒的同時保證協議的兼容性。

2 軟件設計

2.1 無線鑒權協議軟件設計

無線鑒權協議軟件分為協議適配層、協議處理層、憑證適配層、擴展適配層和呈現層，如圖3所示。

圖3 無線鑒權協議軟件組成

2.1.1 協議適配層

協議適配層提供TCP/IP、Diameter、TLS、無線鏈路層協議[14]或無線組網協議[15]等底層協議承載接口，使無線鑒權協議族能夠適配不同的無線網絡協議。通過抽象接口，協議處理層能夠不依賴于下層具體的承載協議，使無線鑒權協議軟件具備良好的可移植性。

2.1.2 協議處理層

協議處理層提供無線信道適配與鑒權管理協議框架，在此框架上實現了在線注冊協議、無線信道認證協議#1～#N構成的無線鑒權協議族。

無線鑒權協議族實現不同無線信道環境下的鑒權協議處理。

① 在線注冊協議處理：實現認證實體向鑒權管理服務器在線注冊的功能。

② 無線信道認證協議#1處理：實現適應低速、64 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協商功能。

③ 無線信道認證協議#2處理：實現適應中低速、256 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協商功能。

④ 無線信道認證協議#3處理：實現適應中高速、512 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協商功能。

⑤ 無線信道認證協議#3處理：實現適應高速、1 500 Byte以下MTU無線信道下認證實體雙向身份認證和密鑰協商功能。

2.1.3 憑證適配層

憑證適配層提供對用戶名口令、USB-KEY和安全卡等形式的身份憑證設備的支持。通過抽象接口，協議處理層能夠不依賴于具體的身份憑證設備及其驅動，使無線鑒權協議軟件具備良好的可用性。

2.1.4 擴展適配層

擴展適配層提供對安全基線核查模塊、傳輸加密模塊等外部擴展功能模塊的支持。通過抽象接口，協議處理層能夠將安全基線核查結果通過認證協議通知鑒權服務器，擴展支持基于安全基線核查結果的準入判決功能；也能夠將雙向認證過程中協商的會話密鑰通知傳輸加密模塊，擴展支持傳輸加密一次一密功能，使無線鑒權協議軟件具備良好的可擴展性。

2.1.5 呈現層

呈現層提供無線鑒權協議軟件對外的呈現形式，包括提供認證客戶端/服務器端功能的認證代理軟件，提供在線注冊管理客戶端功能的鑒權管理工具，以及動態庫和靜態庫形式的二次開發接口。

① 軟件初始化：無線鑒權應用通過該接口實現對無線鑒權協議軟件的加載，完成軟件啟動初始化、身份憑證設備的加載等功能。

② 配置管理：實現對無線鑒權協議軟件運行參數，如超時時長等參數的配置功能。

③ 調試輸出：實現無線鑒權協議軟件的調試信息輸出功能。

④ 運行狀態管理：實現對無線鑒權協議軟件運行狀態統計信息的查看。

2.2 鑒權管理服務器軟件設計

鑒權管理服務器軟件由底層協議處理、高并發處理、Web Service、認證與管理代理、運行管理、鑒權服務和安全外設管理等部分組成，如圖4所示。

圖4 鑒權管理服務器軟件組成

2.2.1 底層協議處理

HTTP協議負責實現B/S方式操作管理的底層協議承載；SSL協議實現遠程管理傳輸數據的保護功能，能夠防范數據重放、篡改和竊聽等攻擊；IPv4/v6提供IP雙棧支持；DIAMTER協議負責底層承載無線信道適配鑒權與管理協議。

2.2.2 高并發處理

鑒權管理服務器通過100/1 000 Mbps自適應以太網電口與無線接入控制點、操作管理主機等連接，該模塊負責1 000條/s以上鑒權服務或管理配置請求的并發處理。

2.2.3 Web Service

Web Service模塊采用Tomcat Web服務器軟件。Tomcat是帶有JSP環境的支持Servlet的引擎。Servlet是用Java編寫的Web Server端程序，它與協議和平臺無關。Java Servlet可以動態地擴展Server的能力，并采用請求—響應模式提供Web服務。該模塊的主要功能在于交互式地瀏覽和修改數據，生成動態Web內容。

2.2.4 認證與管理代理

認證與管理代理通過與無線鑒權協議軟件服務端進行接口交互，完成鑒權管理服務器與無線鑒權協議軟件客戶端之間的認證實體注冊和無線雙向認證功能。

2.2.5 運行管理

運行管理模塊完成以下功能：

① 認證參數管理：完成認證標識、初始序號和密鑰等認證參數的查詢、銷毀等管理功能。

② 準入策略管理：完成基于認證實體標識、時間等要素的準入策略的增加、刪除、查詢和更新等管理功能。

③ 策略導入導出：實現以文件形式對準入策略的導入、導出功能。

④ 黑白名單控制：向無線接入控制點下發黑白名單控制命令，實現對入網無線用戶和終端設備的黑白名單控制。

⑤ 認證日志管理：完成基于時間段、認證實體標識等多種組合條件進行認證日志查詢的功能，查詢結果能夠以表格的形式顯示；具有原始認證日志數據導出功能。

⑥ 本機狀態管理：完成本機運行狀態、運行日志和告警信息的管理功能。

⑦ 配置參數管理：完成本機地址、時間基準和無線鑒權協議軟件運行參數等信息的配置、查詢、導入和導出等管理和備份恢復功能。

⑧ 操作員權限配置：實現操作員賬戶增加、刪除、查詢和修改功能，完成操作員對功能和數據的訪問權限的配置。

⑨ 操作員訪問控制：完成對操作員的身份驗證，并根據操作員的權限控制對功能和數據的訪問范圍。

⑩ 操作員行為審計：完成對操作員所有操作行為的日志功能。

2.2.6 鑒權服務

鑒權服務模塊完成以下功能：

① 認證審計：完成對接入認證行為、認證過程中的安全事件等進行記錄與存儲的功能。

② 準入判決：基于準入策略對無線用戶、終端設備進行是否允許入網的判決。

③ 無線鑒權協議軟件：完成無線用戶、設備身份的注冊和注銷功能；完成不同無線信道環境下的集中身份認證；實現與安全卡的接口。

2.2.7 安全外設管理

安全外設管理模塊功能包括：

① 本機安全存儲：實現本機配置參數、準入策略、認證日志、操作員行為日志和本機運行日志等信息的本地安全存儲功能，能夠提供數據訪問范圍控制、數據鎖定等功能。

② 安全卡管理：安全卡通過PIC-E接口插入鑒權管理服務器，該管理接口實現認證參數等機密信息的安全存儲，同時提供簽名/驗證和證書驗證等功能。

3 應用測試

無線接入鑒權系統在天地一體化網絡安全技術驗證平臺得到了應用和驗證。試驗網絡拓撲如圖5所示。

圖5 試驗網絡拓撲示意

驗證前先對試驗環境進行配置。通過離線方式將無線鑒權協議軟件客戶端安裝到用戶手持終端和車載終端中，將代理端安裝到接入網關中并加入啟動腳本，接入網關開機即后臺運行。通過管理員界面PC配置鑒權管理服務器的IP地址與接入網關(連接以太網交換機的接口)在同一網段。

驗證步驟如下：

① 通過管理員界面PC在鑒權管理服務器上注冊無線用戶“用戶1”和“用戶2”，注冊成功后，生成鑒權參數文件，分別拷貝至用戶手持終端和車載終端中；

② 在無線信道模擬器[16]中配置帶寬(1 kbps～2 Mbps)、MTU(16～1 500 Byte)、誤碼率和丟失率等信道參數，模擬異構無線網絡信道條件；

③ 在用戶手持終端和車載終端中運行超級終端軟件，使用ping命令測試與應用服務器的連通性，由于用戶未進行接入鑒權，應該無法ping通；

④ 在用戶手持終端上運行無線鑒權協議軟件客戶端，使用“用戶1”的用戶名和口令進行接入認證，認證通過后，使用ping命令測試與應用服務器的連通性，應該能ping通；

⑤ 在用戶車載終端上運行無線鑒權協議軟件客戶端，使用錯誤的用戶名和口令進行接入認證，認證結果為失敗，使用ping命令測試與應用服務器的連通性，應該無法ping通；

⑥ 在用戶車載終端上使用“用戶2”的用戶名和口令進行接入認證，認證成功后，使用ping命令測試與應用服務器的連通性，應該能ping通；

⑦ 在用戶手持終端上退出登錄后，使用ping命令測試與應用服務器的連通性，應該無法ping通；

⑧ 通過管理員界面PC在鑒權管理服務器上將無線用戶“用戶1”設置為黑名單用戶，在用戶手持終端上使用“用戶1”的用戶名和口令進行接入認證，認證結果為失敗，使用ping命令測試與應用服務器的連通性，應無法ping通；

⑨ 上述測試步驟執行時，通過管理員界面PC查看用戶在線狀態、日志記錄等信息，應與測試結果一致。

4 結束語

本文所述的無線接入鑒權系統面向異構無線信道環境下接入鑒權需求，為無線用戶、終端設備入網提供無線鑒權協議族和無線接入鑒權服務。在天地一體化網絡安全技術驗證平臺中基于用戶名/口令方式進行接入認證，在模擬的不同無線信道條件下均運行穩定，注冊管理、集中鑒權、準入判決和鑒權審計等功能正常。下一步工作是使用USB-KEY等更多種類的用戶憑證、基于天地一體化網絡中更多類型的承載協議進行應用測試。今后還將與安全基線核查模塊、傳輸加密模塊等外部功能模塊進行集成聯調，使無線安全防護功能更加完善。