基于ＷＰＫＩ的無線移動(dòng)ＶＰＮ系統(tǒng)的分析與設(shè)計(jì)

摘要：無線網(wǎng)絡(luò)系統(tǒng)由于其終端、網(wǎng)絡(luò)介質(zhì)以及通信模式的不同，相對(duì)于有線網(wǎng)絡(luò)有更高的安全需求。WPKI （Wireless PKI）和VPN(Virtual Private Network)是近年來使用廣泛的安全技術(shù)，該文在分析研究無線網(wǎng)絡(luò)和無線終端的基礎(chǔ)上，綜合了這兩種技術(shù)，構(gòu)建一種基于WPKI的無線移動(dòng)VPN系統(tǒng)，提出了一種簡(jiǎn)單的安全模型。

關(guān)鍵詞：WPKI；VPN；安全；數(shù)字證書

中圖分類號(hào)：TP311文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2009)04-0816-03

The Analysis and Design of Wireless Mobile VPN System based on WPKI

CAO Ji-meng， HU Jia-bao，XIONG Zi-yao

(School of Computer Science and Technology，Wuhan University of Technology，Wuhan 430063，China)

Abstract: Wireless network systems because of its terminal， network media， as well as the different modes of communication， as opposed to cable networks have higher security needs. The use of WPKI (Wireless PKI) and VPN (Virtual Private Network) in recent years have a wide range of security technologies， this paper analysis of wireless networks and wireless terminals based on a combination of these two technologies， to build a WPKI-based wireless mobile VPN system， an effective solution for wireless mobile applications system security issues.

Key words: WPKI; VPN; security; digital certificate

無線網(wǎng)絡(luò)天然的開放性，使人們對(duì)于無線通信系統(tǒng)安全性的關(guān)注遠(yuǎn)遠(yuǎn)超過有線環(huán)境。在安全方面，無線應(yīng)用系統(tǒng)存在三方面的問題：

1) 終端資源的有限性。相對(duì)于普通PC，PDA等無線移動(dòng)終端在CPU運(yùn)算能力、內(nèi)存(ROM和RAM)、電源供給和顯示屏大小等方面都比較小。

2) 帶寬的有限和不穩(wěn)定性。由于電源、可利用范圍和移動(dòng)性等的根本限制，無線網(wǎng)絡(luò)呈現(xiàn)以下一些特點(diǎn):較低帶寬、更大延時(shí)、連接穩(wěn)定性差、可利用性預(yù)測(cè)難。

3) 通信模式不同。在無線應(yīng)用系統(tǒng)中，沒有一定的拓?fù)浣Y(jié)構(gòu)，因此信息更容易受到監(jiān)聽與入侵。

基于以上變化，對(duì)無線應(yīng)用系統(tǒng)的安全設(shè)計(jì)十分重要。

原理介紹

1 VPN技術(shù)

VPN是指在公共網(wǎng)絡(luò)上通過隧道和/或加密技術(shù)建立的邏輯上的專用網(wǎng)絡(luò)。

1.1 其主要功能

加密數(shù)據(jù)：保證通過公網(wǎng)傳輸?shù)男畔⒓词贡凰私厝∫膊粫?huì)泄露；

信息與身份認(rèn)證：保證信息的完整性、合法性，并鑒別用戶的身份；

訪問控制：不同的用戶有不同的訪問權(quán)限。

1.2 VPN系統(tǒng)實(shí)現(xiàn)的一般步驟

首先建立隧道，然后數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保護(hù)安全性。

VPN基于以下協(xié)議來實(shí)現(xiàn)其安全功能：PPTP（Point-to-Point Tunneling Protocol），L2TP（Layer 2 Tunneling Protocol），IPSEC（IP Security）以及SSL。目前常用的是基于IPSEC的VPN系統(tǒng)。

1.3 IPsec

IPsec是Internet Protocol Security （Internet 協(xié)議安全性）的簡(jiǎn)稱。其工作原理是這樣的：在進(jìn)行數(shù)據(jù)交換之前，先相互驗(yàn)證對(duì)方的計(jì)算機(jī)的身份。驗(yàn)證身份通過之后，在這兩臺(tái)計(jì)算機(jī)之間建立一種安全協(xié)作關(guān)系SA(Security Association 安全關(guān)聯(lián))，并且在進(jìn)行數(shù)據(jù)傳輸之前將數(shù)據(jù)進(jìn)行加密。

IPSec 協(xié)議（RFC2401）不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP 層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括：ESP 協(xié)議（Encapsulating Security Payload），AH 協(xié)議（Authentication Header），密鑰管理協(xié)議IKE 協(xié)議（The Internet Key Exchange），以及用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法。

1.4 IPSec 協(xié)議模式

IPSec 協(xié)議分為兩種模式一種是通道模式，其協(xié)議棧模型為：IP-ESP- AHIP-DATA；另一種是傳送模式，其協(xié)議棧模型為：IP-ESP-AH-DATA。兩臺(tái)路由器連接局域網(wǎng)時(shí)，一般使用IPSec 的通道模式。

2 WPKI技術(shù)

1)WPKI即“ 無線公開密鑰基礎(chǔ)設(shè)施”， 是將有線PKI(Public Key Infrastructure)安全機(jī)制引入到無線網(wǎng)絡(luò)環(huán)境中的一套遵循既定標(biāo)準(zhǔn)的密鑰及證書管理平臺(tái)體系， 它能為移動(dòng)運(yùn)營(yíng)商的不同無線網(wǎng)絡(luò)上的各種應(yīng)用提供加密、數(shù)字簽名以及身份和信息認(rèn)證等安全服務(wù)。

WPKI的基本結(jié)構(gòu)如圖2所示。

從圖中可以看出，一個(gè)典型的WPKI系統(tǒng)主要包括一下幾個(gè)組成部分①認(rèn)證機(jī)構(gòu)(CA)，CA系統(tǒng)是PKI的信任基礎(chǔ)，同樣也是WPKI系統(tǒng)的基礎(chǔ)，負(fù)責(zé)產(chǎn)生、分發(fā)和驗(yàn)證數(shù)字證書，規(guī)定證書的有效期，并發(fā)布證書和證書撤銷列表。②注冊(cè)機(jī)構(gòu)(RA)Portal，Portal提供用戶和之間的一個(gè)接口，作為認(rèn)證機(jī)構(gòu)的校驗(yàn)者，它確定用戶的身份，向CA提出證書請(qǐng)求并且處理用戶的其他請(qǐng)求。③智能卡（WIM或SIM），智能卡將具有存儲(chǔ)，加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中，具有體積小，難于破解等特點(diǎn)，在訪問控制方面有很強(qiáng)的安全保障。很多種需要用戶認(rèn)證的應(yīng)用都可以使用智能卡來實(shí)現(xiàn)?？ㄆd有持卡人的數(shù)字證書， 私鑰以及加密簽名模塊，從而實(shí)現(xiàn)移動(dòng)電子商務(wù)中的身份識(shí)別和信息加密傳輸。④加密算法，加密算法越復(fù)雜，密鑰越長(zhǎng)則安全性越高，但同時(shí)執(zhí)行運(yùn)算所需的時(shí)間也越長(zhǎng)，也更需要計(jì)算能力更強(qiáng)的芯片。當(dāng)今公鑰密碼體制中，橢圓曲線密碼體制(ECC)具有每比特最高的安全強(qiáng)度。由于無線終端在CPU處理能力和RAM大小上的限制，因而采用ECC算法在無線移動(dòng)應(yīng)用系統(tǒng)具有廣闊的應(yīng)用前景。

2) WPKI應(yīng)用模式：WPKI標(biāo)準(zhǔn)提供了WTLS Class2，Sign Text ， WTLS Class3三種功能模式。

3 系統(tǒng)安全分析與總體設(shè)計(jì)

在無線移動(dòng)系統(tǒng)中，無線終端（PDA或筆記本等）和地面系統(tǒng)之間的訪問需要實(shí)現(xiàn)加密、認(rèn)證、訪問控制以及抗否認(rèn)等安全功能這就需要實(shí)現(xiàn)基于無線移動(dòng)網(wǎng)絡(luò)的VPN 系統(tǒng)。實(shí)現(xiàn)VPN系統(tǒng)的基礎(chǔ)是數(shù)字證書的使用與加密算法的選擇。因此，需要以WPKI系統(tǒng)為基礎(chǔ)。

在筆者本系統(tǒng)所應(yīng)用的項(xiàng)目中，由于規(guī)模并不大，以及無線終端的數(shù)量有限，因此筆者采用構(gòu)建自己的WPKI系統(tǒng)來實(shí)現(xiàn)系統(tǒng)目標(biāo)。為此筆者就建立了自己的WPKI服務(wù)器。此WPKI服務(wù)器作為CA，RA，目錄服務(wù)器以及CRL服務(wù)器幾種功能于一身，雖然性能有所下降，但足以滿足本系統(tǒng)功能。如圖3。

系統(tǒng)操作具體過程解釋如下：

1) 執(zhí)行客戶端程序，提交證書URL給VPN網(wǎng)關(guān)認(rèn)證。

2) 可以通過有線或無線、遠(yuǎn)程或本地方式申請(qǐng)證書。

3) VPN網(wǎng)關(guān)根據(jù)客戶端URL信息驗(yàn)證證書有效性。

4) 客戶端通過認(rèn)證后進(jìn)行信息訪問。

■

圖4 系統(tǒng)邏輯結(jié)構(gòu)圖

4 VPN系統(tǒng)設(shè)計(jì)

在現(xiàn)階段，VPN系統(tǒng)有兩種實(shí)現(xiàn)方式，一種是基于IPSEC協(xié)議的，一種是基于SSL的，本系統(tǒng)是在移動(dòng)GPRS網(wǎng)絡(luò)上的安全系統(tǒng)，出于安全考慮，使用了IPSec協(xié)議，這樣的好處是便于擴(kuò)展。包括客戶端（運(yùn)行在無線移動(dòng)終端）和VPN安全網(wǎng)關(guān)兩部分。

1) 客戶端設(shè)計(jì)

VPN 在無線網(wǎng)的應(yīng)用是通過采用防火墻與VPN 聯(lián)動(dòng)的方式來實(shí)現(xiàn)?？蛻舳说脑O(shè)計(jì)比較簡(jiǎn)單， 只需在所有無線機(jī)器上安裝VPN 客戶端程序， 同時(shí)登陸VPN安全網(wǎng)關(guān)。

2) IPSec安全網(wǎng)關(guān)設(shè)計(jì)

IPSec安全網(wǎng)關(guān)對(duì)IP報(bào)文的接收、轉(zhuǎn)發(fā)和發(fā)送處理的整個(gè)過程如圖5所示。

當(dāng)安全網(wǎng)關(guān)的網(wǎng)卡接收數(shù)據(jù)包時(shí)，通過中斷觸發(fā)內(nèi)核的中斷處理程序，將網(wǎng)卡接收的數(shù)據(jù)報(bào)傳送到內(nèi)核空間，然后再通過IP層預(yù)處理程序?qū)?shù)據(jù)包轉(zhuǎn)換為IP包。此時(shí)，將IP包傳送到IPSec進(jìn)入策略處理模塊。

5 WPKI服務(wù)器設(shè)計(jì)

1) 由于WPKI是有線PKI在無線領(lǐng)域的應(yīng)用，所以實(shí)質(zhì)也是對(duì)原來的PKI系統(tǒng)進(jìn)行的擴(kuò)展。本系統(tǒng)中由于無線終端數(shù)量的有限以及現(xiàn)階段無線移動(dòng)網(wǎng)絡(luò)的現(xiàn)狀，筆者采用了一種簡(jiǎn)單的實(shí)現(xiàn)方式，這種方式是設(shè)置單獨(dú)的WPKI服務(wù)器實(shí)現(xiàn)PKI中的所有功能。

本系統(tǒng)將CA、RA、LDAP目錄服務(wù)器以及OCSP服務(wù)器都安裝在WPKI服務(wù)器。證書格式選取X.509證書，并對(duì)證書的屬性根據(jù)本系統(tǒng)的實(shí)際情況進(jìn)行了取舍?？紤]到移動(dòng)終端較弱的輸入能力和計(jì)算能力，本系統(tǒng)的證書和密鑰均在有線終端產(chǎn)生。密鑰對(duì)由用戶在申請(qǐng)階段自己生成，公鑰和私鑰隨申請(qǐng)證書發(fā)送給RA，也就是說證書和密鑰都存放在服務(wù)器中，用戶需要簽名時(shí)才從證書庫(kù)中下載自己的證書和私鑰。

2) 系統(tǒng)核心部分介紹

系統(tǒng)的核心部分包括認(rèn)證權(quán)威機(jī)構(gòu)CA、注冊(cè)權(quán)威機(jī)構(gòu)RA、證書目錄庫(kù)CLR?，F(xiàn)將系統(tǒng)中的各個(gè)組件功能進(jìn)行介紹。

(1) CA中心

其配置包括密碼算法庫(kù)、SQL Server2000數(shù)據(jù)庫(kù)、證書管理程序，歷史證書庫(kù)。該服務(wù)器執(zhí)行CA的功能，承擔(dān)產(chǎn)生證書、發(fā)放證書、撤消證書的職責(zé)。CA中心的操作必須離線完成，并且只能由CA管理員訪問。

(2) RA中心

其配置包括：密碼算法庫(kù)，SQL Server2000數(shù)據(jù)庫(kù)，執(zhí)行RA功能的軟件實(shí)體，該服務(wù)器只能由RA操作員訪問。

RA首先要對(duì)各個(gè)申請(qǐng)證書的用戶進(jìn)行身份確認(rèn)，然后RA接受來自有線終端實(shí)體的數(shù)字證書注冊(cè)申請(qǐng)，來自有線端的證書撤消申請(qǐng)等。

(3) LDAP服務(wù)器

本系統(tǒng)的證書目錄庫(kù)CR運(yùn)行在目錄服務(wù)器上，即采用LDAP服務(wù)器，后端使用SQL Server來存放證書。該服務(wù)器安裝了OpenLDAP軟件包，啟動(dòng)LDAP服務(wù)器，作為目錄服務(wù)器來運(yùn)行。

(4) 證書撤消方式

由于本系統(tǒng)WPKI服務(wù)器是針對(duì)專用應(yīng)用系統(tǒng)設(shè)計(jì)的，終端用戶具有穩(wěn)定性，因此證書撤銷模塊相對(duì)比較簡(jiǎn)單。在本系統(tǒng)中，筆者采用手工撤銷方式，由WPKI管理員專職管理撤銷。

實(shí)現(xiàn)工具和標(biāo)準(zhǔn)的選擇

1) WPKI服務(wù)器采用Linux RedHat7.0作為操作平臺(tái)。

2) VPN系統(tǒng)采用Linux RedHat7.0，開發(fā)語言C++。

3) 數(shù)據(jù)庫(kù)均采用SQL Server 2000。

4) LDAP服務(wù)器采用自由軟件OpenLDAP。

5) PDA端操作系統(tǒng)為Windows CE.NET，基于.NET Compact Framework，采用VS2005開發(fā)，數(shù)據(jù)庫(kù)為SQL SERVER CE。

6 結(jié)束語

該文提出一種基于WPKI技術(shù)的無線VPN系統(tǒng)，解決了當(dāng)前基于移動(dòng)GPRS網(wǎng)絡(luò)的安全問題。為簡(jiǎn)單起見，筆者將WPKI系統(tǒng)做個(gè)一個(gè)比較簡(jiǎn)單的實(shí)現(xiàn)。雖然是一種簡(jiǎn)單實(shí)現(xiàn)方式，但從實(shí)際運(yùn)行過程中可以看出是十分可行的。

參考文獻(xiàn)：

[1] 魏利明，陳相寧.PKI技術(shù)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005(3).

[2] 田峰，譚寒生，周明天.一種基于WTLS的無線安全網(wǎng)關(guān)的設(shè)計(jì)[J].計(jì)算機(jī)應(yīng)用，2003，23(3):70-72.

[3] 謝冬青，冷健.PKI原理與技術(shù)[M].北京:清華大學(xué)出版社，2004:335-343.

[4] SMART NP.The discrete logarithm problem on elliptic curves of trace one[J]. Journal of Cryptology，1999，12(3):193-196.

[5] S.M.Bellovin.IPSec VPN，November 1999:11-13.