无线接入鉴权系统的软件设计与实现

赵海强，庞 超，李 倩

(1.通信网信息传输与分发技术重点实验室，河北 石家庄 050081； 2.石家庄信息工程职业学院，河北 石家庄 050001 3.空军指挥学院，北京 100097)

0 引言

随着网电一体化[1]电子战技术的发展，针对无线通信系统的攻击方式、攻击手段和相应装备不断出现，其攻击技术不断向“隐蔽式”、“注入式”和“接管式”攻击发展[2]。卫星、地面移动等各类无线通信系统均面临以下安全威胁：

① 从无线网络外部攻击的角度看，由于无线信道的开放性，无线接入相比有线接入更易遭到“中间人”、“钓鱼”和Sybil等基于假冒身份的攻击[3]。攻击者可能假冒合法无线用户，基于信任关系接入无线网络甚至核心网，进而插入虚假数据、修改关键数据、获取敏感数据，达到信息篡改、窃取等目的；也可能假冒无线接入点，诱骗合法用户接入，进而发布虚假指令，达到扰乱通信的目的；

② 无线用户和接入点失控后，攻击者可能利用合法设备、合法用户身份接入网络或诱骗用户接入，进而发起攻击[4]；

③ 从无线网络内部防护的角度看，无线通信系统中大量无线用户和终端[5]也存在巨大的安全隐患，例如：一台无线终端上不慎引入的蠕虫病毒在网络内大规模蔓延、终端用户的误操作导致重要数据被破坏、低密级用户访问了高密级的网络资源等，这些都可能给系统带来巨大的损失。

为了应对以上安全威胁，有必要对无线用户、终端进行无线接入鉴权和准入控制，结合终端安全基线核查、密钥协商和传输加密等安全手段构筑无线通信系统的第一道防线。目前，常见的无线系统，如地面蜂窝移动通信系统(2G /3G /4G)[6]、无线局域网(WLAN)和移动自组织网络(MANET)[7]等都设计并实现了各自的认证协议和鉴权系统，但是目前的认证协议大多适用于带宽条件较好的无线网络，协议数据量较大，交互次数多，协议处理较复杂；而鉴权系统也难以支持多种认证协议和多种形式的用户凭证，应用场景单一。因此，需要对已有的3GPP-AKA，EAP，TEPA等认证协议进行优化[8]，设计能够支持带宽和计算资源受限的无线网络的双向认证和密钥协商协议；需要设计对下支持不同承载协议，对上支持不同用户凭证的无线接入鉴权系统，实现注册管理、集中鉴权、准入判决和鉴权审计等鉴权服务和管理功能。

1 无线接入鉴权系统总体设计

无线接入鉴权系统面向带宽受限的无线网络接入鉴权需求，为无线用户、终端设备入网提供无线鉴权协议族和无线接入鉴权服务。

1.1 AAA框架

AAA(Authentication，Authorization，Accounting)框架是用户接入管理的一种架构，提供了认证、授权和审计3种安全功能，如图1所示。

图1 AAA框架示意

当用户想要通过某网络与网络接入服务器(NAS)建立连接，从而获得访问其他网络的权利或取得某些网络资源的权利时，NAS起到了验证用户或对应连接的作用。NAS负责把用户的认证、授权及计费信息转发给AAA服务器。这种管理框架提供了授权部分实体去访问特定资源，同时可以记录这些实体操作行为的一种安全机制，因其具有良好的可扩展性，并且容易实现用户信息的集中管理而被广泛使用。

用户主机与网络接入服务器之间常用的认证协议有：

① 有线局域网802.1x体系使用的EAPoL，支持EAP-TLS，EAP-MD5等认证协议；

② 无线局域网802.11i标准定义的WPA，WPA2等协议以及WAPI标准使用的TEPA等协议[9]；

③ 地面蜂窝移动通信系统使用的3GPP-AKA等认证协议[10]；

④ 其他有线网络中使用的Kerberos，TLS，IKE等认证协议[11]。

以上认证协议大多用于带宽条件很高的有线或无线网络，协议数据量较大，交互次数多，协议处理较复杂，而适用于天地一体化网络[12]等带宽和计算资源受限的无线网络的认证协议几乎没有，并且随着互联网的发展，有线或无线信道带宽将越来越高，节点处理能力也将越来越强，信道带宽/MTU、节点计算能力等受限的网络接入认证协议不是主流的发展方向。

1.2 系统组成

无线接入鉴权系统采用AAA管理框架，由无线鉴权协议软件和鉴权管理服务器组成，如图2所示。

图2 无线接入鉴权系统组成

无线鉴权协议软件分为客户端[13]、代理端和服务端，分别运行在无线终端、无线接入控制点和鉴权管理服务器中，能够适应不同带宽的无线信道，实现无线终端与鉴权管理服务器之间的双向安全认证和接入控制。鉴权管理服务器提供注册管理、集中鉴权、准入判决和鉴权审计等功能，支持级联，能够适用于不同规模的无线网络。

无线接入控制点与鉴权管理服务器之间采用标准Diameter或者TLS协议，能够在防止无线接入控制点假冒的同时保证协议的兼容性。

2 软件设计

2.1 无线鉴权协议软件设计

无线鉴权协议软件分为协议适配层、协议处理层、凭证适配层、扩展适配层和呈现层，如图3所示。

图3 无线鉴权协议软件组成

2.1.1 协议适配层

协议适配层提供TCP/IP、Diameter、TLS、无线链路层协议[14]或无线组网协议[15]等底层协议承载接口，使无线鉴权协议族能够适配不同的无线网络协议。通过抽象接口，协议处理层能够不依赖于下层具体的承载协议，使无线鉴权协议软件具备良好的可移植性。

2.1.2 协议处理层

协议处理层提供无线信道适配与鉴权管理协议框架，在此框架上实现了在线注册协议、无线信道认证协议#1～#N构成的无线鉴权协议族。

无线鉴权协议族实现不同无线信道环境下的鉴权协议处理。

① 在线注册协议处理：实现认证实体向鉴权管理服务器在线注册的功能。

② 无线信道认证协议#1处理：实现适应低速、64 Byte以下MTU无线信道下认证实体双向身份认证和密钥协商功能。

③ 无线信道认证协议#2处理：实现适应中低速、256 Byte以下MTU无线信道下认证实体双向身份认证和密钥协商功能。

④ 无线信道认证协议#3处理：实现适应中高速、512 Byte以下MTU无线信道下认证实体双向身份认证和密钥协商功能。

⑤ 无线信道认证协议#3处理：实现适应高速、1 500 Byte以下MTU无线信道下认证实体双向身份认证和密钥协商功能。

2.1.3 凭证适配层

凭证适配层提供对用户名口令、USB-KEY和安全卡等形式的身份凭证设备的支持。通过抽象接口，协议处理层能够不依赖于具体的身份凭证设备及其驱动，使无线鉴权协议软件具备良好的可用性。

2.1.4 扩展适配层

扩展适配层提供对安全基线核查模块、传输加密模块等外部扩展功能模块的支持。通过抽象接口，协议处理层能够将安全基线核查结果通过认证协议通知鉴权服务器，扩展支持基于安全基线核查结果的准入判决功能；也能够将双向认证过程中协商的会话密钥通知传输加密模块，扩展支持传输加密一次一密功能，使无线鉴权协议软件具备良好的可扩展性。

2.1.5 呈现层

呈现层提供无线鉴权协议软件对外的呈现形式，包括提供认证客户端/服务器端功能的认证代理软件，提供在线注册管理客户端功能的鉴权管理工具，以及动态库和静态库形式的二次开发接口。

① 软件初始化：无线鉴权应用通过该接口实现对无线鉴权协议软件的加载，完成软件启动初始化、身份凭证设备的加载等功能。

② 配置管理：实现对无线鉴权协议软件运行参数，如超时时长等参数的配置功能。

③ 调试输出：实现无线鉴权协议软件的调试信息输出功能。

④ 运行状态管理：实现对无线鉴权协议软件运行状态统计信息的查看。

2.2 鉴权管理服务器软件设计

鉴权管理服务器软件由底层协议处理、高并发处理、Web Service、认证与管理代理、运行管理、鉴权服务和安全外设管理等部分组成，如图4所示。

图4 鉴权管理服务器软件组成

2.2.1 底层协议处理

HTTP协议负责实现B/S方式操作管理的底层协议承载；SSL协议实现远程管理传输数据的保护功能，能够防范数据重放、篡改和窃听等攻击；IPv4/v6提供IP双栈支持；DIAMTER协议负责底层承载无线信道适配鉴权与管理协议。

2.2.2 高并发处理

鉴权管理服务器通过100/1 000 Mbps自适应以太网电口与无线接入控制点、操作管理主机等连接，该模块负责1 000条/s以上鉴权服务或管理配置请求的并发处理。

2.2.3 Web Service

Web Service模块采用Tomcat Web服务器软件。Tomcat是带有JSP环境的支持Servlet的引擎。Servlet是用Java编写的Web Server端程序，它与协议和平台无关。Java Servlet可以动态地扩展Server的能力，并采用请求—响应模式提供Web服务。该模块的主要功能在于交互式地浏览和修改数据，生成动态Web内容。

2.2.4 认证与管理代理

认证与管理代理通过与无线鉴权协议软件服务端进行接口交互，完成鉴权管理服务器与无线鉴权协议软件客户端之间的认证实体注册和无线双向认证功能。

2.2.5 运行管理

运行管理模块完成以下功能：

① 认证参数管理：完成认证标识、初始序号和密钥等认证参数的查询、销毁等管理功能。

② 准入策略管理：完成基于认证实体标识、时间等要素的准入策略的增加、删除、查询和更新等管理功能。

③ 策略导入导出：实现以文件形式对准入策略的导入、导出功能。

④ 黑白名单控制：向无线接入控制点下发黑白名单控制命令，实现对入网无线用户和终端设备的黑白名单控制。

⑤ 认证日志管理：完成基于时间段、认证实体标识等多种组合条件进行认证日志查询的功能，查询结果能够以表格的形式显示；具有原始认证日志数据导出功能。

⑥ 本机状态管理：完成本机运行状态、运行日志和告警信息的管理功能。

⑦ 配置参数管理：完成本机地址、时间基准和无线鉴权协议软件运行参数等信息的配置、查询、导入和导出等管理和备份恢复功能。

⑧ 操作员权限配置：实现操作员账户增加、删除、查询和修改功能，完成操作员对功能和数据的访问权限的配置。

⑨ 操作员访问控制：完成对操作员的身份验证，并根据操作员的权限控制对功能和数据的访问范围。

⑩ 操作员行为审计：完成对操作员所有操作行为的日志功能。

2.2.6 鉴权服务

鉴权服务模块完成以下功能：

① 认证审计：完成对接入认证行为、认证过程中的安全事件等进行记录与存储的功能。

② 准入判决：基于准入策略对无线用户、终端设备进行是否允许入网的判决。

③ 无线鉴权协议软件：完成无线用户、设备身份的注册和注销功能；完成不同无线信道环境下的集中身份认证；实现与安全卡的接口。

2.2.7 安全外设管理

安全外设管理模块功能包括：

① 本机安全存储：实现本机配置参数、准入策略、认证日志、操作员行为日志和本机运行日志等信息的本地安全存储功能，能够提供数据访问范围控制、数据锁定等功能。

② 安全卡管理：安全卡通过PIC-E接口插入鉴权管理服务器，该管理接口实现认证参数等机密信息的安全存储，同时提供签名/验证和证书验证等功能。

3 应用测试

无线接入鉴权系统在天地一体化网络安全技术验证平台得到了应用和验证。试验网络拓扑如图5所示。

图5 试验网络拓扑示意

验证前先对试验环境进行配置。通过离线方式将无线鉴权协议软件客户端安装到用户手持终端和车载终端中，将代理端安装到接入网关中并加入启动脚本，接入网关开机即后台运行。通过管理员界面PC配置鉴权管理服务器的IP地址与接入网关(连接以太网交换机的接口)在同一网段。

验证步骤如下：

① 通过管理员界面PC在鉴权管理服务器上注册无线用户“用户1”和“用户2”，注册成功后，生成鉴权参数文件，分别拷贝至用户手持终端和车载终端中；

② 在无线信道模拟器[16]中配置带宽(1 kbps～2 Mbps)、MTU(16～1 500 Byte)、误码率和丢失率等信道参数，模拟异构无线网络信道条件；

③ 在用户手持终端和车载终端中运行超级终端软件，使用ping命令测试与应用服务器的连通性，由于用户未进行接入鉴权，应该无法ping通；

④ 在用户手持终端上运行无线鉴权协议软件客户端，使用“用户1”的用户名和口令进行接入认证，认证通过后，使用ping命令测试与应用服务器的连通性，应该能ping通；

⑤ 在用户车载终端上运行无线鉴权协议软件客户端，使用错误的用户名和口令进行接入认证，认证结果为失败，使用ping命令测试与应用服务器的连通性，应该无法ping通；

⑥ 在用户车载终端上使用“用户2”的用户名和口令进行接入认证，认证成功后，使用ping命令测试与应用服务器的连通性，应该能ping通；

⑦ 在用户手持终端上退出登录后，使用ping命令测试与应用服务器的连通性，应该无法ping通；

⑧ 通过管理员界面PC在鉴权管理服务器上将无线用户“用户1”设置为黑名单用户，在用户手持终端上使用“用户1”的用户名和口令进行接入认证，认证结果为失败，使用ping命令测试与应用服务器的连通性，应无法ping通；

⑨ 上述测试步骤执行时，通过管理员界面PC查看用户在线状态、日志记录等信息，应与测试结果一致。

4 结束语

本文所述的无线接入鉴权系统面向异构无线信道环境下接入鉴权需求，为无线用户、终端设备入网提供无线鉴权协议族和无线接入鉴权服务。在天地一体化网络安全技术验证平台中基于用户名/口令方式进行接入认证，在模拟的不同无线信道条件下均运行稳定，注册管理、集中鉴权、准入判决和鉴权审计等功能正常。下一步工作是使用USB-KEY等更多种类的用户凭证、基于天地一体化网络中更多类型的承载协议进行应用测试。今后还将与安全基线核查模块、传输加密模块等外部功能模块进行集成联调，使无线安全防护功能更加完善。