基于3GPP-WLAN互通性安全的AP设计应用

基于3GPP-WLAN互通性安全的AP设计应用基于3GPP-WLAN：通性安全的AP设计应用1引言近几年移动用户数量快速增长，用户在使用语音业务的同时，对移动数据业务也提出了更高的需求，高速无线接入势在必行。今后的无线通信系统是多种接入标准的异构系统。无线接入系统有着各自的特点，蜂窝Z构的宏小区覆盖的系统像GPR序口UMTStB够为用户提供高速度移动性，只具有有限的传输带宽。而中小距离覆盖的系统像WLANa供高速率的数据带宽只具有低速率的移动性。关于多种网络提供覆盖公共热点区域像建筑物、车站、机场等，专门有必要对拥有双模设备的用户提供这些网络之间的互通。WLA由蜂窝网的互通差不多成为后3G的研究热点，第三代移动通信合作打算组(3GPP又WLANfe术也进行了主动的跟踪研究，在协议版本R6时期逐步提出了在3G系统中如何与WLAN1成的解决方案。对3G系统与WLA近连进行了可行性研究，提出了从简单互连到完全无缝互连的系统间操作的6种情形［1］。在安全方面要紧研究了安全结构，信任模型以及3GPP系统与WLA卷入互通的安全需求，关于用户和网络的安全认证、密钥治理、业务授权，保密性举荐了适当的机制，同时也提出来用户和信令的完整性爱护的机制［2］。其中安全认证机制举荐的有2种：(1)基于SIM/USIM的EAPAKA认证机制他能够支持现有3GP/2的认证和密钥认同(AKA过程，通常的认证机制例如EAP1能支持这种方法，EAPAK认证机制的详细描述能够参考文献［3］;(2)基于GSMSIM的EAPSIMA证他基于现有的GSMSIM±程，在3GPP-WLANK统互通中，通常的认证机制例如EAP能支持这种方法。EAPSIM认证机制的详细描述能够参考文献[4]。2802.1XEAP-SIM安全认证IEEE802.1X协议以其简洁高效、容易实现、安全可靠、易于运营等特点，得到越来越多的设备制造商和运营商的支持。在WLANW3G集成方案中也采纳基于IEEE802.1X的认证流程。802.1X是基于端口的访咨询操纵协议，可向IEEE802系列标准的局域网提供一个开放的验证框架，使得无线局域网易于扩展用户和网络并提供一种分布处理集中治理的验证功能。体系结^^包括3部分：(1)客户端申请者Supplicant一样是一个客户端软件，支持EAPO的议，用户UE通过启动改软件发起802.1X协议的认证过程。(2)认证者Authentication通常是支持802.1X协议的网络设备例如AP,该设备使用受控端口和非受控端口保证用户认证授权前后的接入。(3)认证服务器AS通常使用RADIUS服务器是UE认证的终点，他储备有关用户的信息例如用户的业务参数，所属的VLAN优先级，用户的访咨询操纵列表等。802.1X的核心是可扩展认证协议(EAP),GSMSIM要紧用来储备用户的信息，通过相应的技术(例如读卡器读取，USB红外技术)与WLAN勺无线网卡进彳T通信，使UE获得用户的信息。802.1XEAPSIM安全认证框图如图1所示。第一WLANI户使用无线网卡与WLANTAP建立连接，启动802.1X认证，需要猎取有关的信息例如用户的网络接入标识NAI、用户ID(1)〜(3)等。WLANTAP按照NAI来选择所要使用的3GPPAAA艮务器。将EAP-Response/Identity转发送给3GPPAAA艮务器。AAA服务器收到后向WLAN7AP发送RADIUS-Access-Challenge报文，其中包含有EAP-Request/SIM/Start报文内容，表示开始EAPSIM勺认证(4)〜(6)。在(7)〜(9)步中3GPPAAA艮务器能够获得用户EAP-Response/SIM/Start报文，得到相应的128b随机数NONCEMT3GPPAA用艮务器检查该用户是否有N(2或3)个可用的认证三元组。如果没有足够的三元组，则通过七号信令向HLR发送MA匕Send_Auth_Info报文猎取N组鉴权集(SRESRANDKc)。使用N个三元组的目的是为了生成更长的Sessionkey。3GPPAAAI艮务器还检查数据库是否具有WLANg入用户签约信息，如没有，则从HSS/HLR中猎取，同时3GPPAAAI艮务器是检查该用户是否已签约了WLANk务(10),(11)。若满足要求则从NONCEMT和NKc密钥中依据配置取N为2或者3,将N组RANDI起来后生成一个N*RAND依据规定的算法生成4个密钥K_sres,K_int,K_ency和Session_Key,同时利用K_int按照规定的算法生成AT―MAQ同时按照K—sres生成MAC_SRES之后AAA服务器向WLANkAP发送RADIUS-Access-Challenge报文，WLAN7AP拆封装后的EAP-Response/SIM/Challenge报文发送给认证客户端UE(12),(13)。(14)〜(19)完成双向认证。认证客户端按照每个RAND^128b的特点，将N解析出来后，依据和AAA同样的算法得出K_sres,K_int,K_ency和Master_Key,用自己产生的K_into利用和AAA设备同样的算法得出AT_MAC同日^与AT_MACf行比较，如果一致，表示AAA设备是认证通过。再利用K_sres作为Key,用规定的算法生成MAC_SRES通过EAP-Response/SIM/Challenge发送给3GPPAAN艮务器。AAA服务器利用本端产生的K_sres作为密钥，用和客户端同样的算法生成MAC_SRES同时与接收到的MAC_SRES进行比较，如果一致，表示客户端认证通过。然后把EAPSUCCESS消息传给用户端UE,同时使用扩展RADIUSB议通过MS_MPPE_SEND_KEY将生成的SESSION-KEY^送给WLAN7AP通知认证已通过。至此客户端能够与WLA#AP之间开始进行安全可靠的会话。同时AP通过RADIUS-Accountong-Request(Start)报文通知AAA或者专用的计费服务器开始进行计费，含有有关的计费信息，AAA使用RADIUS-Accountong-Request(Start)向WLAN/AP：向应进行确认，表示计费开始。在用户使用过程中，为了爱护用户记帐信息，WLAN7AP每隔一段时刻就向AAA上传用户的记帐信息。当WLAN7AP接收到UE的拆链要求时，向AAA发送记帐终止报文。AAA确认WLANAP的记帐终止报文。3WLAN6线接入点APX^802.1X的支持从802.1XEAPSIM安全认证的过程中能够看出：接入点AP不然而接入操纵度最终实现单元，同时是用户与AAA服务器之间认证信息的桥梁，大部分认证消息的交互都需要AP参与。因此，实现AP^^802.1X标准的支才I是部署802.IXEAPSIM^全认证的重要部分。为此，需要附加一些程序以及对AP的驱动程序进行相应的改进。(1)要能够实现接入的操纵。这能够归结为有关受控端口和非受控端口的数据帧的划分以及按照记录来判定用户对应受控端口的授权状态。除了802.3以太网类型(0x88E)的EAPOL帧能够通过非授权端口之外，其他类型的帧都需要通过受控端口进行信息的交互。关于用户的授权状态能够使用用户接入状态列表来进行操纵，操纵信69息能够是接入设备的MAC*址、VLAN标签、IP地址以及他们的组合，具体的实现能够按照安全策略的等级灵活设置。这些能够在AP的驱动程序中实现。(2)在接收到认证开始要求时，应发送EAPOLRequest/Identity报文帧。这需要修改AP驱动程序，设定在接收到要求帧或者收到用户发送的数据时，检查其用户信息例如源地址是否在承诺的操纵列表中，若存在就发送EAPOLRequest/Identity,否则直截了当丢弃。(3)能够接收发送EAPOL帧和RADIUS帧，并能进行两种帧结构的转换。这需要一个附加程序来完成，功能包括建立原始套接字和无连接UDPt接字来接U和发送EAPOI#和RADIUS帧以及两者的转换，并将通过认证或者主动拆链的UE的操纵信息例如(MACM址)提交给AP的驱动程序。(4)能够在UE认证成功后，使用针对该用户的会话密钥加密数据流。在操纵列表中加入密钥信息，如此用户的接入信息就与自己的密钥关联起来，保证了每个客户端的会话密钥的独立性。4实现802.1X接入点AP附加程序的功能和注意事项附加程序要紧完成3大功能：RADIUS客户端功能，接收和发送EAPOL帧的功能以及操纵数据报文的解析和封装的功能。(1)在802.1XEAPSI侬全认证过程中，AP为了与AAA通信，他应具备RADIU盼户端功能，要正确地建立UDPg接字来接U和发送RADIUS^文，其中RADIUS^证端口号为1812,计费协议端口号是1813。(2)关于接收和发送EAPO咂的功能，要紧是针对来自底层的帧(要紧是802.1帧类型0x888E)建立原始的套接字进行收发。(3)解析和封装的功能有3项：①把接收到的EAPOK文中的EAP解析出来封装到RADIUS艮文中的EAP-Message字段中发往AAA服务器；②把接收到的EAP-Response/Identity中的用户标识解析出来封装到RADIUS报文的User-Name字段中发往AAA服务器；③把接收到的RADIUS报文的EAP-Message解析出来封装到EAPO咂白PacketBody域中发往客户端。然而在实现时需要注意一些咨询题：(1)EAPO里消息的分段由于RADIUS的长度域为1个字节，讲明了一个RADIUS报文最多可携带的数据为不超过255个字节(实际为253个)，而EAPOL的长度是其MTU例如802.3LAN中MTUK/1514,因此关于EAPOL中EAP大于253个字节的报文，应把EAP分成多个EAP-Message字段封装到RADIUS^文中；当接收到RADIUS报文带有多个EAP-Message字段时，应把各个字段中的数据取出组成一个完整的EAP消息，才能封装到EAPO咂中。数据过大由于IP报文分片重组机制，当收到的RADIUS报文的EAP消息较大，多个EAP数据组成的消息超过了EAPOL#的MTUK度时，将会导致不能正常发送。这就需要在发往AAA服务器的RADIUS^文中设定EAP-Message字段，通知AAA不要发送过长的EAPW息。(3)RADIUS报文State字段的响应在RADIUS-Access-