趙海強(qiáng)，龐 超，李 倩

(1.通信網(wǎng)信息傳輸與分發(fā)技術(shù)重點(diǎn)實(shí)驗(yàn)室，河北 石家莊 050081； 2.石家莊信息工程職業(yè)學(xué)院，河北 石家莊 050001 3.空軍指揮學(xué)院，北京 100097)

0 引言

隨著網(wǎng)電一體化[1]電子戰(zhàn)技術(shù)的發(fā)展，針對(duì)無線通信系統(tǒng)的攻擊方式、攻擊手段和相應(yīng)裝備不斷出現(xiàn)，其攻擊技術(shù)不斷向“隱蔽式”、“注入式”和“接管式”攻擊發(fā)展[2]。衛(wèi)星、地面移動(dòng)等各類無線通信系統(tǒng)均面臨以下安全威脅：

① 從無線網(wǎng)絡(luò)外部攻擊的角度看，由于無線信道的開放性，無線接入相比有線接入更易遭到“中間人”、“釣魚”和Sybil等基于假冒身份的攻擊[3]。攻擊者可能假冒合法無線用戶，基于信任關(guān)系接入無線網(wǎng)絡(luò)甚至核心網(wǎng)，進(jìn)而插入虛假數(shù)據(jù)、修改關(guān)鍵數(shù)據(jù)、獲取敏感數(shù)據(jù)，達(dá)到信息篡改、竊取等目的；也可能假冒無線接入點(diǎn)，誘騙合法用戶接入，進(jìn)而發(fā)布虛假指令，達(dá)到擾亂通信的目的；

② 無線用戶和接入點(diǎn)失控后，攻擊者可能利用合法設(shè)備、合法用戶身份接入網(wǎng)絡(luò)或誘騙用戶接入，進(jìn)而發(fā)起攻擊[4]；

③ 從無線網(wǎng)絡(luò)內(nèi)部防護(hù)的角度看，無線通信系統(tǒng)中大量無線用戶和終端[5]也存在巨大的安全隱患，例如：一臺(tái)無線終端上不慎引入的蠕蟲病毒在網(wǎng)絡(luò)內(nèi)大規(guī)模蔓延、終端用戶的誤操作導(dǎo)致重要數(shù)據(jù)被破壞、低密級(jí)用戶訪問了高密級(jí)的網(wǎng)絡(luò)資源等，這些都可能給系統(tǒng)帶來巨大的損失。

為了應(yīng)對(duì)以上安全威脅，有必要對(duì)無線用戶、終端進(jìn)行無線接入鑒權(quán)和準(zhǔn)入控制，結(jié)合終端安全基線核查、密鑰協(xié)商和傳輸加密等安全手段構(gòu)筑無線通信系統(tǒng)的第一道防線。目前，常見的無線系統(tǒng)，如地面蜂窩移動(dòng)通信系統(tǒng)(2G /3G /4G)[6]、無線局域網(wǎng)(WLAN)和移動(dòng)自組織網(wǎng)絡(luò)(MANET)[7]等都設(shè)計(jì)并實(shí)現(xiàn)了各自的認(rèn)證協(xié)議和鑒權(quán)系統(tǒng)，但是目前的認(rèn)證協(xié)議大多適用于帶寬條件較好的無線網(wǎng)絡(luò)，協(xié)議數(shù)據(jù)量較大，交互次數(shù)多，協(xié)議處理較復(fù)雜；而鑒權(quán)系統(tǒng)也難以支持多種認(rèn)證協(xié)議和多種形式的用戶憑證，應(yīng)用場(chǎng)景單一。因此，需要對(duì)已有的3GPP-AKA，EAP，TEPA等認(rèn)證協(xié)議進(jìn)行優(yōu)化[8]，設(shè)計(jì)能夠支持帶寬和計(jì)算資源受限的無線網(wǎng)絡(luò)的雙向認(rèn)證和密鑰協(xié)商協(xié)議；需要設(shè)計(jì)對(duì)下支持不同承載協(xié)議，對(duì)上支持不同用戶憑證的無線接入鑒權(quán)系統(tǒng)，實(shí)現(xiàn)注冊(cè)管理、集中鑒權(quán)、準(zhǔn)入判決和鑒權(quán)審計(jì)等鑒權(quán)服務(wù)和管理功能。

1 無線接入鑒權(quán)系統(tǒng)總體設(shè)計(jì)

無線接入鑒權(quán)系統(tǒng)面向帶寬受限的無線網(wǎng)絡(luò)接入鑒權(quán)需求，為無線用戶、終端設(shè)備入網(wǎng)提供無線鑒權(quán)協(xié)議族和無線接入鑒權(quán)服務(wù)。

1.1 AAA框架

AAA(Authentication，Authorization，Accounting)框架是用戶接入管理的一種架構(gòu)，提供了認(rèn)證、授權(quán)和審計(jì)3種安全功能，如圖1所示。

圖1 AAA框架示意

當(dāng)用戶想要通過某網(wǎng)絡(luò)與網(wǎng)絡(luò)接入服務(wù)器(NAS)建立連接，從而獲得訪問其他網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS負(fù)責(zé)把用戶的認(rèn)證、授權(quán)及計(jì)費(fèi)信息轉(zhuǎn)發(fā)給AAA服務(wù)器。這種管理框架提供了授權(quán)部分實(shí)體去訪問特定資源，同時(shí)可以記錄這些實(shí)體操作行為的一種安全機(jī)制，因其具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理而被廣泛使用。

用戶主機(jī)與網(wǎng)絡(luò)接入服務(wù)器之間常用的認(rèn)證協(xié)議有：

① 有線局域網(wǎng)802.1x體系使用的EAPoL，支持EAP-TLS，EAP-MD5等認(rèn)證協(xié)議；

② 無線局域網(wǎng)802.11i標(biāo)準(zhǔn)定義的WPA，WPA2等協(xié)議以及WAPI標(biāo)準(zhǔn)使用的TEPA等協(xié)議[9]；

③ 地面蜂窩移動(dòng)通信系統(tǒng)使用的3GPP-AKA等認(rèn)證協(xié)議[10]；

④ 其他有線網(wǎng)絡(luò)中使用的Kerberos，TLS，IKE等認(rèn)證協(xié)議[11]。

以上認(rèn)證協(xié)議大多用于帶寬條件很高的有線或無線網(wǎng)絡(luò)，協(xié)議數(shù)據(jù)量較大，交互次數(shù)多，協(xié)議處理較復(fù)雜，而適用于天地一體化網(wǎng)絡(luò)[12]等帶寬和計(jì)算資源受限的無線網(wǎng)絡(luò)的認(rèn)證協(xié)議幾乎沒有，并且隨著互聯(lián)網(wǎng)的發(fā)展，有線或無線信道帶寬將越來越高，節(jié)點(diǎn)處理能力也將越來越強(qiáng)，信道帶寬/MTU、節(jié)點(diǎn)計(jì)算能力等受限的網(wǎng)絡(luò)接入認(rèn)證協(xié)議不是主流的發(fā)展方向。

1.2 系統(tǒng)組成

無線接入鑒權(quán)系統(tǒng)采用AAA管理框架，由無線鑒權(quán)協(xié)議軟件和鑒權(quán)管理服務(wù)器組成，如圖2所示。

圖2 無線接入鑒權(quán)系統(tǒng)組成

無線鑒權(quán)協(xié)議軟件分為客戶端[13]、代理端和服務(wù)端，分別運(yùn)行在無線終端、無線接入控制點(diǎn)和鑒權(quán)管理服務(wù)器中，能夠適應(yīng)不同帶寬的無線信道，實(shí)現(xiàn)無線終端與鑒權(quán)管理服務(wù)器之間的雙向安全認(rèn)證和接入控制。鑒權(quán)管理服務(wù)器提供注冊(cè)管理、集中鑒權(quán)、準(zhǔn)入判決和鑒權(quán)審計(jì)等功能，支持級(jí)聯(lián)，能夠適用于不同規(guī)模的無線網(wǎng)絡(luò)。

無線接入控制點(diǎn)與鑒權(quán)管理服務(wù)器之間采用標(biāo)準(zhǔn)Diameter或者TLS協(xié)議，能夠在防止無線接入控制點(diǎn)假冒的同時(shí)保證協(xié)議的兼容性。

2 軟件設(shè)計(jì)

2.1 無線鑒權(quán)協(xié)議軟件設(shè)計(jì)

無線鑒權(quán)協(xié)議軟件分為協(xié)議適配層、協(xié)議處理層、憑證適配層、擴(kuò)展適配層和呈現(xiàn)層，如圖3所示。

圖3 無線鑒權(quán)協(xié)議軟件組成

2.1.1 協(xié)議適配層

協(xié)議適配層提供TCP/IP、Diameter、TLS、無線鏈路層協(xié)議[14]或無線組網(wǎng)協(xié)議[15]等底層協(xié)議承載接口，使無線鑒權(quán)協(xié)議族能夠適配不同的無線網(wǎng)絡(luò)協(xié)議。通過抽象接口，協(xié)議處理層能夠不依賴于下層具體的承載協(xié)議，使無線鑒權(quán)協(xié)議軟件具備良好的可移植性。

2.1.2 協(xié)議處理層

協(xié)議處理層提供無線信道適配與鑒權(quán)管理協(xié)議框架，在此框架上實(shí)現(xiàn)了在線注冊(cè)協(xié)議、無線信道認(rèn)證協(xié)議#1～#N構(gòu)成的無線鑒權(quán)協(xié)議族。

無線鑒權(quán)協(xié)議族實(shí)現(xiàn)不同無線信道環(huán)境下的鑒權(quán)協(xié)議處理。

① 在線注冊(cè)協(xié)議處理：實(shí)現(xiàn)認(rèn)證實(shí)體向鑒權(quán)管理服務(wù)器在線注冊(cè)的功能。

② 無線信道認(rèn)證協(xié)議#1處理：實(shí)現(xiàn)適應(yīng)低速、64 Byte以下MTU無線信道下認(rèn)證實(shí)體雙向身份認(rèn)證和密鑰協(xié)商功能。

③ 無線信道認(rèn)證協(xié)議#2處理：實(shí)現(xiàn)適應(yīng)中低速、256 Byte以下MTU無線信道下認(rèn)證實(shí)體雙向身份認(rèn)證和密鑰協(xié)商功能。

④ 無線信道認(rèn)證協(xié)議#3處理：實(shí)現(xiàn)適應(yīng)中高速、512 Byte以下MTU無線信道下認(rèn)證實(shí)體雙向身份認(rèn)證和密鑰協(xié)商功能。

⑤ 無線信道認(rèn)證協(xié)議#3處理：實(shí)現(xiàn)適應(yīng)高速、1 500 Byte以下MTU無線信道下認(rèn)證實(shí)體雙向身份認(rèn)證和密鑰協(xié)商功能。

2.1.3 憑證適配層

憑證適配層提供對(duì)用戶名口令、USB-KEY和安全卡等形式的身份憑證設(shè)備的支持。通過抽象接口，協(xié)議處理層能夠不依賴于具體的身份憑證設(shè)備及其驅(qū)動(dòng)，使無線鑒權(quán)協(xié)議軟件具備良好的可用性。

2.1.4 擴(kuò)展適配層

擴(kuò)展適配層提供對(duì)安全基線核查模塊、傳輸加密模塊等外部擴(kuò)展功能模塊的支持。通過抽象接口，協(xié)議處理層能夠?qū)踩€核查結(jié)果通過認(rèn)證協(xié)議通知鑒權(quán)服務(wù)器，擴(kuò)展支持基于安全基線核查結(jié)果的準(zhǔn)入判決功能；也能夠?qū)㈦p向認(rèn)證過程中協(xié)商的會(huì)話密鑰通知傳輸加密模塊，擴(kuò)展支持傳輸加密一次一密功能，使無線鑒權(quán)協(xié)議軟件具備良好的可擴(kuò)展性。

2.1.5 呈現(xiàn)層

呈現(xiàn)層提供無線鑒權(quán)協(xié)議軟件對(duì)外的呈現(xiàn)形式，包括提供認(rèn)證客戶端/服務(wù)器端功能的認(rèn)證代理軟件，提供在線注冊(cè)管理客戶端功能的鑒權(quán)管理工具，以及動(dòng)態(tài)庫和靜態(tài)庫形式的二次開發(fā)接口。

① 軟件初始化：無線鑒權(quán)應(yīng)用通過該接口實(shí)現(xiàn)對(duì)無線鑒權(quán)協(xié)議軟件的加載，完成軟件啟動(dòng)初始化、身份憑證設(shè)備的加載等功能。

② 配置管理：實(shí)現(xiàn)對(duì)無線鑒權(quán)協(xié)議軟件運(yùn)行參數(shù)，如超時(shí)時(shí)長等參數(shù)的配置功能。

③ 調(diào)試輸出：實(shí)現(xiàn)無線鑒權(quán)協(xié)議軟件的調(diào)試信息輸出功能。

④ 運(yùn)行狀態(tài)管理：實(shí)現(xiàn)對(duì)無線鑒權(quán)協(xié)議軟件運(yùn)行狀態(tài)統(tǒng)計(jì)信息的查看。

2.2 鑒權(quán)管理服務(wù)器軟件設(shè)計(jì)

鑒權(quán)管理服務(wù)器軟件由底層協(xié)議處理、高并發(fā)處理、Web Service、認(rèn)證與管理代理、運(yùn)行管理、鑒權(quán)服務(wù)和安全外設(shè)管理等部分組成，如圖4所示。

圖4 鑒權(quán)管理服務(wù)器軟件組成

2.2.1 底層協(xié)議處理

HTTP協(xié)議負(fù)責(zé)實(shí)現(xiàn)B/S方式操作管理的底層協(xié)議承載；SSL協(xié)議實(shí)現(xiàn)遠(yuǎn)程管理傳輸數(shù)據(jù)的保護(hù)功能，能夠防范數(shù)據(jù)重放、篡改和竊聽等攻擊；IPv4/v6提供IP雙棧支持；DIAMTER協(xié)議負(fù)責(zé)底層承載無線信道適配鑒權(quán)與管理協(xié)議。

2.2.2 高并發(fā)處理

鑒權(quán)管理服務(wù)器通過100/1 000 Mbps自適應(yīng)以太網(wǎng)電口與無線接入控制點(diǎn)、操作管理主機(jī)等連接，該模塊負(fù)責(zé)1 000條/s以上鑒權(quán)服務(wù)或管理配置請(qǐng)求的并發(fā)處理。

2.2.3 Web Service

Web Service模塊采用Tomcat Web服務(wù)器軟件。Tomcat是帶有JSP環(huán)境的支持Servlet的引擎。Servlet是用Java編寫的Web Server端程序，它與協(xié)議和平臺(tái)無關(guān)。Java Servlet可以動(dòng)態(tài)地?cái)U(kuò)展Server的能力，并采用請(qǐng)求—響應(yīng)模式提供Web服務(wù)。該模塊的主要功能在于交互式地瀏覽和修改數(shù)據(jù)，生成動(dòng)態(tài)Web內(nèi)容。

2.2.4 認(rèn)證與管理代理

認(rèn)證與管理代理通過與無線鑒權(quán)協(xié)議軟件服務(wù)端進(jìn)行接口交互，完成鑒權(quán)管理服務(wù)器與無線鑒權(quán)協(xié)議軟件客戶端之間的認(rèn)證實(shí)體注冊(cè)和無線雙向認(rèn)證功能。

2.2.5 運(yùn)行管理

運(yùn)行管理模塊完成以下功能：

① 認(rèn)證參數(shù)管理：完成認(rèn)證標(biāo)識(shí)、初始序號(hào)和密鑰等認(rèn)證參數(shù)的查詢、銷毀等管理功能。

② 準(zhǔn)入策略管理：完成基于認(rèn)證實(shí)體標(biāo)識(shí)、時(shí)間等要素的準(zhǔn)入策略的增加、刪除、查詢和更新等管理功能。

③ 策略導(dǎo)入導(dǎo)出：實(shí)現(xiàn)以文件形式對(duì)準(zhǔn)入策略的導(dǎo)入、導(dǎo)出功能。

④ 黑白名單控制：向無線接入控制點(diǎn)下發(fā)黑白名單控制命令，實(shí)現(xiàn)對(duì)入網(wǎng)無線用戶和終端設(shè)備的黑白名單控制。

⑤ 認(rèn)證日志管理：完成基于時(shí)間段、認(rèn)證實(shí)體標(biāo)識(shí)等多種組合條件進(jìn)行認(rèn)證日志查詢的功能，查詢結(jié)果能夠以表格的形式顯示；具有原始認(rèn)證日志數(shù)據(jù)導(dǎo)出功能。

⑥ 本機(jī)狀態(tài)管理：完成本機(jī)運(yùn)行狀態(tài)、運(yùn)行日志和告警信息的管理功能。

⑦ 配置參數(shù)管理：完成本機(jī)地址、時(shí)間基準(zhǔn)和無線鑒權(quán)協(xié)議軟件運(yùn)行參數(shù)等信息的配置、查詢、導(dǎo)入和導(dǎo)出等管理和備份恢復(fù)功能。

⑧ 操作員權(quán)限配置：實(shí)現(xiàn)操作員賬戶增加、刪除、查詢和修改功能，完成操作員對(duì)功能和數(shù)據(jù)的訪問權(quán)限的配置。

⑨ 操作員訪問控制：完成對(duì)操作員的身份驗(yàn)證，并根據(jù)操作員的權(quán)限控制對(duì)功能和數(shù)據(jù)的訪問范圍。

⑩ 操作員行為審計(jì)：完成對(duì)操作員所有操作行為的日志功能。

2.2.6 鑒權(quán)服務(wù)

鑒權(quán)服務(wù)模塊完成以下功能：

① 認(rèn)證審計(jì)：完成對(duì)接入認(rèn)證行為、認(rèn)證過程中的安全事件等進(jìn)行記錄與存儲(chǔ)的功能。

② 準(zhǔn)入判決：基于準(zhǔn)入策略對(duì)無線用戶、終端設(shè)備進(jìn)行是否允許入網(wǎng)的判決。

③ 無線鑒權(quán)協(xié)議軟件：完成無線用戶、設(shè)備身份的注冊(cè)和注銷功能；完成不同無線信道環(huán)境下的集中身份認(rèn)證；實(shí)現(xiàn)與安全卡的接口。

2.2.7 安全外設(shè)管理

安全外設(shè)管理模塊功能包括：

① 本機(jī)安全存儲(chǔ)：實(shí)現(xiàn)本機(jī)配置參數(shù)、準(zhǔn)入策略、認(rèn)證日志、操作員行為日志和本機(jī)運(yùn)行日志等信息的本地安全存儲(chǔ)功能，能夠提供數(shù)據(jù)訪問范圍控制、數(shù)據(jù)鎖定等功能。

② 安全卡管理：安全卡通過PIC-E接口插入鑒權(quán)管理服務(wù)器，該管理接口實(shí)現(xiàn)認(rèn)證參數(shù)等機(jī)密信息的安全存儲(chǔ)，同時(shí)提供簽名/驗(yàn)證和證書驗(yàn)證等功能。

3 應(yīng)用測(cè)試

無線接入鑒權(quán)系統(tǒng)在天地一體化網(wǎng)絡(luò)安全技術(shù)驗(yàn)證平臺(tái)得到了應(yīng)用和驗(yàn)證。試驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D5所示。

圖5 試驗(yàn)網(wǎng)絡(luò)拓?fù)涫疽?/p>

驗(yàn)證前先對(duì)試驗(yàn)環(huán)境進(jìn)行配置。通過離線方式將無線鑒權(quán)協(xié)議軟件客戶端安裝到用戶手持終端和車載終端中，將代理端安裝到接入網(wǎng)關(guān)中并加入啟動(dòng)腳本，接入網(wǎng)關(guān)開機(jī)即后臺(tái)運(yùn)行。通過管理員界面PC配置鑒權(quán)管理服務(wù)器的IP地址與接入網(wǎng)關(guān)(連接以太網(wǎng)交換機(jī)的接口)在同一網(wǎng)段。

驗(yàn)證步驟如下：

① 通過管理員界面PC在鑒權(quán)管理服務(wù)器上注冊(cè)無線用戶“用戶1”和“用戶2”，注冊(cè)成功后，生成鑒權(quán)參數(shù)文件，分別拷貝至用戶手持終端和車載終端中；

② 在無線信道模擬器[16]中配置帶寬(1 kbps～2 Mbps)、MTU(16～1 500 Byte)、誤碼率和丟失率等信道參數(shù)，模擬異構(gòu)無線網(wǎng)絡(luò)信道條件；

③ 在用戶手持終端和車載終端中運(yùn)行超級(jí)終端軟件，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，由于用戶未進(jìn)行接入鑒權(quán)，應(yīng)該無法ping通；

④ 在用戶手持終端上運(yùn)行無線鑒權(quán)協(xié)議軟件客戶端，使用“用戶1”的用戶名和口令進(jìn)行接入認(rèn)證，認(rèn)證通過后，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，應(yīng)該能ping通；

⑤ 在用戶車載終端上運(yùn)行無線鑒權(quán)協(xié)議軟件客戶端，使用錯(cuò)誤的用戶名和口令進(jìn)行接入認(rèn)證，認(rèn)證結(jié)果為失敗，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，應(yīng)該無法ping通；

⑥ 在用戶車載終端上使用“用戶2”的用戶名和口令進(jìn)行接入認(rèn)證，認(rèn)證成功后，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，應(yīng)該能ping通；

⑦ 在用戶手持終端上退出登錄后，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，應(yīng)該無法ping通；

⑧ 通過管理員界面PC在鑒權(quán)管理服務(wù)器上將無線用戶“用戶1”設(shè)置為黑名單用戶，在用戶手持終端上使用“用戶1”的用戶名和口令進(jìn)行接入認(rèn)證，認(rèn)證結(jié)果為失敗，使用ping命令測(cè)試與應(yīng)用服務(wù)器的連通性，應(yīng)無法ping通；

⑨ 上述測(cè)試步驟執(zhí)行時(shí)，通過管理員界面PC查看用戶在線狀態(tài)、日志記錄等信息，應(yīng)與測(cè)試結(jié)果一致。

4 結(jié)束語

本文所述的無線接入鑒權(quán)系統(tǒng)面向異構(gòu)無線信道環(huán)境下接入鑒權(quán)需求，為無線用戶、終端設(shè)備入網(wǎng)提供無線鑒權(quán)協(xié)議族和無線接入鑒權(quán)服務(wù)。在天地一體化網(wǎng)絡(luò)安全技術(shù)驗(yàn)證平臺(tái)中基于用戶名/口令方式進(jìn)行接入認(rèn)證，在模擬的不同無線信道條件下均運(yùn)行穩(wěn)定，注冊(cè)管理、集中鑒權(quán)、準(zhǔn)入判決和鑒權(quán)審計(jì)等功能正常。下一步工作是使用USB-KEY等更多種類的用戶憑證、基于天地一體化網(wǎng)絡(luò)中更多類型的承載協(xié)議進(jìn)行應(yīng)用測(cè)試。今后還將與安全基線核查模塊、傳輸加密模塊等外部功能模塊進(jìn)行集成聯(lián)調(diào)，使無線安全防護(hù)功能更加完善。