基于3GPP-WLAN互通性安全的AP设计应用
基于3GPP-WLAN互通性安全的AP设计应用
何广法,刘乃安
(西安电子科技大学 ISN国家重点实验室 陕西 西安 710071) 1 引 言
近几年移动用户数量快速增长,用户在使用语音业务的同时,对移动数据业务也提出了更高的需求,高速无线接入势在必行。今后的无线通信系统是多种接入标准的异构系统。无线接入系统有着各自的特点,蜂窝结构的宏小区覆盖的系统像GPRS和UMTS能够为用户提供高速度移动性,只具有有限的传输带宽。而中小距离覆盖的系统像WLAN提供高速率的数据带宽只具有低速率的移动性。关于多种网络提供覆盖公共热点区域像建筑物、车站、机场等,专门有必要对拥有双模设备的用户提供这些网络之间的互通。WLAN与蜂窝网的互通差不多成为后3G的研究热点,第三代移动通信合作打算组(3GPP)对WLAN技术也进行了主动的跟踪研究,在协议版本R6时期逐步提出了在3G系统中如何与WLAN集成的解决方案。对3G系统与WLAN互连进行了可行性研究,提出了从简单互连到完全无缝互连的系统间操作的6种情形[1]。在安全方面要紧研究了安全结构,信任模型以及3GPP系统与WLAN接入互通的安全需求,关于用户和网络的安全认证、密钥治理、业务授权,保密性举荐了适当的机制,同时也提出来用户和信令的完整性爱护的机制[2]。其中安全认证机制举荐的有2种:
(1)基于SIM/USIM的EAPAKA认证机制 他能够支持现有3GPP/2的认证和密钥认同(AKA)过程,通常 的认证机制例如EAP就能支持这种方法,EAPAKA认证机制的详细描述能够参考文献[3];
(2)基于GSM SIM的EAPSIM认证 他基于现有的GSM SIM过程,在3GPP-WLAN 系统互通中,通常的认证机制例如EAP能支持这种方法。EAPSIM认证机制的详细描述能够参考文献
[4]。
2 802.1X EAP-SIM安全认证
IEEE802.1X协议以其简洁高效、容易实现、安全可靠、易于运营等特点,得到越来越多的设备制造商和运营商的支持。在WLAN与3G集成方案中也采纳基于IEEE802.1X的认证流程。
802.1X是基于端口的访咨询操纵协议,可向IEEE802系列标准的局域网提供一个开放的验证框架,使得无线局域网易于扩展用户和网络并提供一种分布处理集中治理的验证功能。体系结构包括3部分:
(1)客户端申请者Supplicant 一样是一个客户端软件,支持EAPOL协议,用户UE通过启动改软件发起802.1X协议的认证过程。
(2)认证者Authentication 通常是支持802.1X协议的网络设备例如AP,该设备使用受控端口和非受控端口保证用户认证授权前后的接入。
(3)认证服务器AS 通常使用RADIUS服务器是UE认证的终点,他储备有关用户的信息例如用户的业务参数,所属的VLAN,优先级,用户的访咨询操纵列表等。802.1X的核心是可扩展认证协议(EAP),GSM SIM要紧用来储备用户的信息,通过相应的技术(例如读卡器读取,USB,红外技术)与WLAN的无线网卡进行通信,使UE获得用户的信息。
802.1X EAPSIM安全认证框图如图1所示。第一WLAN用户使用无线网卡与WLAN/AP建立连接,启动802.1X认证,需要猎取有关的信息例如用户的网络接入标识NAI、用户ID(1)~(3)等。
WLAN/AP按照NAI来选择所要使用的3GPPAAA服务器。将EAP-Response/Identity转发送给3GPPAAA服务器。AAA服务器收到后向WLAN/AP发送RADIUS-Access-Challenge报文,其中包含有EAP-Request/SIM/Start报文内容,表示开始EAPSIM的认证(4)~(6)。在(7)~(9)步中3GPPAAA服务器能够获得用户EAP-Response/SIM/Start报文,得到相应的128 b随机数NONCE_MT。
3GPPAAA服务器检查该用户是否有N(2或3)个可用的认证三元组。如果没有足够的三元组,则通过七号信令向HLR发送MAP_Send_Auth_Info报文猎取N组鉴权集(SRES,RAND,Kc)。使用N个三元组的目的是为了生成更长的Session key。3GPPAAA服务器还检查数据库是否具有WLAN接入用户签约信息,如没有,则从HSS/HLR中猎取,同时3GPPAAA服务器是检查该用户是否 已签约了WLAN业务(10),(11)。若满足要求则从NONCE_MT和NKc密钥中依据配置取N为2或者3,将N组RAND串起来后生成一个N*RAND,依据规定的算法生成4个密钥K_sres,K_int,K_ency和Session_Key,同时利用K_int按照规定的算法生成AT_MAC,同时按照K_sres生成MAC_SRES。之后AAA服务器向WLAN/AP发送RADIUS-Access-Challenge报文,WLAN/AP拆封装后的EAP-Response/SIM/Challenge报文发送给认证客户端UE(12),(13)。
(14)~(19)完成双向认证。认证客户端按照每个RAND为128 b的特点,将N解析出来后,依据和AAA同样的算法得出K_sres,K_int,K_ency和Master_Key,用自己产生的K_int。利用和AAA设备同样的算法得出AT_MAC,同时与AT_MAC进行比较,如果一致,表示AAA设备是认证通过。再利用K_sres作为Key,用规定的算法生成MAC_SRES,通过EAP-Response/SIM/Challenge发 送给3GPPAAA服务器。AAA服务器利用本端产生的K_sres作为密钥,用和客户端同样的算法生成MAC_SRES,同时与接收到的MAC_SRES进行比较,如果一致,表示客户端认证通过。然后把EAPSUCCESS的消息传给用户端UE,同时使用扩展RADIUS协议通过MS_MPPE_SEND_KEY将生成的SESSION-KEY发送给WLAN/AP通知认证已通过。
至此客户端能够与WLAN/AP之间开始进行安全可靠的会话。同时AP通过RADIUS-Accountong-Request(Start)报文通知AAA或者专用的计费服务器开始进行计费,含有有关的计费信息,AAA使用RADIUS-Accountong-Request(Start)向WLAN/AP响应进行确认,表示计费开始。在用户使用过程中,为了爱护用户记帐信息,WLAN/AP每隔一段时刻就向AAA上传用户的记帐信息。当WLAN/AP接收到UE的拆链要求时,向AAA发送记帐终止
基于3GPP-WLAN互通性安全的AP设计应用
