基于可信證書驗證代理的無線接入認證方案*

陳澤茂，黃碧翼，李 錚

（海軍工程大學信息安全系 武漢430033）

1 引言

利用無線接入設(shè)備可以方便地擴展現(xiàn)存的有線網(wǎng)絡(luò)。但由于無線信道的開放性，這種擴展也給有線網(wǎng)絡(luò)帶來了黑客入侵、病毒傳播等安全風險。對設(shè)備和人員的無線接入請求進行認證，是防范此類風險的有效方法。目前，無線接入認證方案主要有兩類：一是采用對稱密碼體制，二是采用非對稱密碼體制。前者是目前應(yīng)用的主流。例如，第三代移動通信、Wi-Fi無線局域網(wǎng)技術(shù)均采用了基于對稱密碼體制的無線接入認證方案[1]。對稱密碼運算速度快，但存在密鑰管理工作量大、難以提供數(shù)字簽名服務(wù)等不足。公鑰密碼計算開銷大，但其密鑰管理方便、能夠提供數(shù)字簽名服務(wù)。在無線網(wǎng)絡(luò)中，影響公鑰認證效率的主要因素有3個：

·因傳遞證書而帶來的通信開銷；

·因在線驗證證書有效性而帶來的通信和計算開銷；

·因握手協(xié)議消息數(shù)量太多而帶來的通信開銷。

為了解決這些問題，出現(xiàn)了面向無線網(wǎng)絡(luò)環(huán)境的公鑰基礎(chǔ)設(shè)施[2]，即無線 PKI（wireless PKI，WPKI）。為簡化證書格式，參考文獻[3]設(shè)計了一種大小僅為280 byte的微型WPKI證書，降低了證書的存儲和傳輸開銷。參考文獻[4]去掉了證書某些擴展域，認證時客戶端僅發(fā)送證書地址而非證書實體，從而降低了證書的傳輸開銷。參考文獻[5]通過增加擴展項內(nèi)容以區(qū)分新證書和PKI證書，新證書用于無線網(wǎng)絡(luò)身份認證。但由于新證書大小沒有減小，該方案僅適用于無線局域網(wǎng)。參考文獻[6]基于Kerberos認證思想改進了WTLS協(xié)議，在WTLS中以票據(jù)代替證書，減小了認證消息的大小。參考文獻[7]提出了一種基于代理服務(wù)器的互認證方案，由代理服務(wù)器完成證書有效性檢查和身份認證，降低了無線終端的身份認證開銷。該方案中，服務(wù)器沒有認證消息接收者，存在安全隱患。參考文獻[8]基于橢圓曲線Diffie-Hellman（EC-DH）交換對WTLS握手協(xié)議進行了改進，使其具備前向安全性和客戶匿名性。上述的WPKI改進研究存在的主要不足是：

·在效率方面，多數(shù)改進方案中仍要求無線通信雙方互傳證書，通信開銷較大；

·在安全性方面，為了提高認證效率，無線終端不在線檢查服務(wù)器證書的有效性，因而存在安全隱患。

本文在確保安全性的前提下，以降低帶寬消耗、減少消息條數(shù)、降低無線節(jié)點的計算開銷為目標，引入可信證書驗證代理（trusted certificate verification proxy，TCVP）的概念，設(shè)計了一種基于公鑰密碼的無線接入認證方案（public key based wireless access scheme，PKBWAS）。該方案無需在無線信道中傳遞公鑰證書，也不要求無線移動節(jié)點在線檢查證書有效性，提高了認證效率。

2 PKBWAS方案

如圖1所示，無線移動節(jié)點A通過無線接入網(wǎng)關(guān)G訪問內(nèi)部有線網(wǎng)絡(luò)。在內(nèi)部有線網(wǎng)絡(luò)中配置有PKI認證設(shè)施，負責管理和認證內(nèi)部網(wǎng)絡(luò)訪問者（包括移動用戶）的身份。PKBWAS方案的要點，就是如何在傳統(tǒng)PKI技術(shù)框架下，高效地認證A的身份。為此，引入TCVP，它調(diào)用PKI認證服務(wù)來驗證證書的有效性，并用自己的私鑰對驗證結(jié)果進行簽名，生成一個有效期較短的憑據(jù)，即證書有效性憑據(jù)（certificate validity ticket，CVT）。通過出示 CVT，有線節(jié)點、無線節(jié)點和G可以證明自己證書的有效性。效率方面，由于TCVP和G之間、TCVP同PKI之間均處于有線高速網(wǎng)絡(luò)中，因此可確保PKI認證過程的高效性。PKBWAS方案主要包括CVT申請協(xié)議和無線移動節(jié)點的接入認證協(xié)議。

為了便于后文討論，先給出如表1所示的符號約定和前提假設(shè)。

2.1 CVT申請協(xié)議

如圖2所示，G向TCVP申請其證書有效性憑據(jù)的過程如下。

表1 符號約定和前提假設(shè)

（1）G向TCVP發(fā)出證書有效憑據(jù)申請請求消息，消息中包括其證書的標識CIDG、隨機值NG（用于防范重放攻擊）及消息的簽名 SignSKG（m）。

（2）TCVP收到請求消息。首先檢查NG確保消息的新鮮性，根據(jù)CIDG檢索G的證書，并用其公鑰驗證消息簽名。若簽名驗證通過，則TCVP依托PKI的證書查詢機制驗證G證書的有效性。若G證書有效，則為其生成證書有效性憑據(jù) CVTG=SignSKT（CIDG||TG），否則退出會話，其中 TG為 CVTG的有效期。最后將CVTG及其有效期TG一起返回給G。

（3）G收到證書有效性憑據(jù)，用 TCVP的公鑰驗證CVTG的正確性，最后保存CVTG和TG。

如圖3所示，無線移動節(jié)點A申請證書有效性憑據(jù)流程如下。

（1）向G發(fā)出證書有效性憑據(jù)申請請求，消息中包含A的證書標識。

（2）G根據(jù) A的證書標識，檢索到 A的證書，并利用證書中的公鑰驗證上述消息的完整性。若驗證失敗，則終止與A的通信連接；若驗證成功，則代理其向TCVP申請證書有效性憑據(jù)。

（3）TCVP驗證依托PKI驗證A證書的有效性，若有效則為其生成證書有效性憑據(jù)CVTA，并將CVTA發(fā)送給G。

（4）G收到CVTA后，按照消息10的格式將CVA和TA返回給移動節(jié)點A。

（5）A驗證CVA的完整性，保存CVA和TA以備后用。

A僅在需要時申請該有效性憑據(jù)，在有效期TA內(nèi)可使用CVA證明自己證書的有效性。這樣，既驗證了移動節(jié)點的證書有效性，又避免了因反復(fù)申請CVT而帶來的通信開銷。若A失控，則可在PKI中將其證書立即作廢。這樣，當它向TCVP申請其CVT時，就會因PKI認證識別而無法成功獲得CVT。這樣，它便無法接入內(nèi)部有線網(wǎng)絡(luò)。

2.2 無線接入認證協(xié)議

假定各通信節(jié)點都擁有自己的PKI證書，其中無線移動節(jié)點A的證書標識為CIDA，無線接入網(wǎng)關(guān)G的證書標識為 CIDG。

如圖4所示，無線接入認證協(xié)議流程如下。

（1）A向G發(fā)起連接，消息中包含 A的證書標識CIDA、隨機數(shù) NA、Diffie-Hellman 密鑰協(xié)商參數(shù) DHA、協(xié)議版本號V、會話標識SID及密碼規(guī)格SecNegA。NA用于防重放攻擊。DHA為Diffie-Hellman密鑰交換時互換的參數(shù)。V為A支持的協(xié)議版本號，SID為會話標識，SecNegA表明A支持的加密、散列等密碼算法組。

（2）G收到消息，根據(jù)CIDA檢索到A的證書，然后通過PKI驗證A證書的當前狀態(tài)。如果證書未過期且當前未被撤銷，則繼續(xù)執(zhí)行下面的操作，否則認證失敗。

（3）G向TCVP申請自己的CVT及其有效期，此過程詳見圖2所示的協(xié)議。

（4）G申請得到CVTG和TG后，向A發(fā)送響應(yīng)消息，消息中包括 CIDG、TG、CVTG、相應(yīng)的 V、DHG、SID、SecNegG等信息。DHG為G選擇的Diffie-Hellman參數(shù)。SecNegG為G從SceNegA中選擇的密碼算法，數(shù)據(jù)交換時雙方按協(xié)商的密碼規(guī)格SecNegG進行壓縮、加密等操作。

（5）A使用預(yù)存的TCVP的公鑰PKT驗證G證書的有效性。若驗證通過，則依據(jù)TG判斷CVTG是否過期。若G的證書有效，則驗證G對消息的簽名s2。若簽名有效，則完成對G的認證。

至此，無線公鑰認證協(xié)議執(zhí)行結(jié)束。雙方完成了身份認證，并通過交換Diffie-Hellman參數(shù)共享了的會話密鑰。如果采用預(yù)先申請機制，則G收到連接請求時已經(jīng)有了一個可用的CVT，此時圖4中所示的第3步就無需執(zhí)行，這可提高無線接入認證的效率。

3 方案的安全性

（1）體系結(jié)構(gòu)的安全性

由于無線信道環(huán)境的開放性，為保護內(nèi)部有線網(wǎng)絡(luò)的安全，把TCVP置于內(nèi)部網(wǎng)絡(luò)，部署于無線接入網(wǎng)關(guān)之后，可以采取安全隔離、防火墻、入侵檢測等常規(guī)的信息安全機制對其進行保護。這樣，無線移動節(jié)點便不能直接訪問TCVP，而必須通過無線接入網(wǎng)關(guān)才能申請CVT。無線接入網(wǎng)關(guān)在初步驗證了無線移動節(jié)點的身份后，代理其向TCVP申請CVT。這樣就確保了無線接入網(wǎng)關(guān)是內(nèi)部網(wǎng)絡(luò)的唯一無線接入口，從而有利于保護TCVP及內(nèi)部網(wǎng)絡(luò)整體的安全性。

（2）基于CVT的認證安全性

TCVP通過PKI在線驗證指定證書的有效性，并用自己的私鑰簽名生成證書有效性憑據(jù)。由于TCVP位于有線網(wǎng)絡(luò)的內(nèi)網(wǎng)，因此，可以比較容易地確保憑據(jù)生成操作的安全性。根據(jù)應(yīng)用安全策略的需要，CVT可有兩種申請機制：一是臨時申請機制，此時通信實體不預(yù)存其證書有效性憑據(jù)，僅當需要時才去實時申請。在該機制下，證書有效性憑據(jù)能夠更實際地反映證書的當前狀態(tài)；另一種是預(yù)先申請機制，即在前一個證書有效性憑據(jù)失效之前及時申請新的證書有效性憑據(jù)，這就是說G必須以小于TG的周期進行憑據(jù)申請操作。顯然，如果TG太大，則憑據(jù)不能如實反映證書當前的有效性狀態(tài)；如果TG太小，則需要頻繁地進行CVT申請操作，進而增加了G的認證操作開銷。因此，需要根據(jù)應(yīng)用環(huán)境的要求，選擇合適的TG，以實現(xiàn)在確保CVT的可信性同時，又不增加G的認證負擔。

（3）無線接入認證協(xié)議的安全性

在無線認證過程中，無線移動節(jié)點A通過驗證證書有效性憑據(jù)確定無線接入網(wǎng)關(guān)G證書的有效性，G則通過TCVP，而TCVP依托PKI驗證A證書的有效性。雙方都對握手消息進行了簽名，通過出示各自簽名完成彼此的身份認證，同時該簽名還能保證雙方對握手過程的非否認性和消息的完整性。雙方僅傳遞證書標識，不會泄露身份信息，滿足了身份的機密性。通過互換Diffie-Hellman參數(shù)完成了密鑰協(xié)商，該密鑰具有前向安全性。

4 方案的效率

PKBWAS方案涉及的實體主要有 TCVP、G、PKI和無線移動節(jié)點。其中，TCVP、G和PKI一般均為運算速度和存儲能力較高的計算機，且TCVP與G、TCVP與PKI以及G與PKI之間均為高速有線網(wǎng)絡(luò)連接，因此可確保PKI認證過程的高效性。由于無線移動節(jié)點CVT申請協(xié)議無需頻繁執(zhí)行，所以PKBWAS方案的效率瓶頸，是無線移動節(jié)點在接入認證過程中的通信開銷。下面比較PKBWAS無線接入認證協(xié)議、SSL 3.0[9]、WTLS[10]的通信開銷。

在實際應(yīng)用中，SSL協(xié)議和WTLS協(xié)議各參數(shù)的典型長度（單位：byte）分別為：|RP|=20，|H（）|=|KH（）|=20，|V|=1，|SID|=4，|SecNeg|=3，|DH|=|N|=|Sign（）|=|CVT|=20，|T|=|CID|=8，|md5_hash|=16，|change_cipher_spec|=1，|CertificateType|=1，|CertificateAuthorites|=2，|sha_hash|=20。假定通信雙方僅交換各自證書，X.509 V3證書和WTLS證書長度分別按1.5 KB和1 KB估算，則各協(xié)議消息長度如表2所示。

表2 PKBWAS無線接入認證協(xié)議的通信開銷

從表2中可以看出，PKBWAS無線接入認證協(xié)議總的通信開銷約為SSL協(xié)議的5%、WTLS協(xié)議的8%。通信開銷的減少降低了無線信道開銷，既有利于節(jié)省帶寬資源，也提高了PKBWAS在無線通信受干擾情況下的適用性。

5 結(jié)束語

近年來，隨著無線網(wǎng)絡(luò)技術(shù)的發(fā)展，無線通信帶寬大幅提高，無線移動終端的計算和存儲性能極大提升，在無線網(wǎng)絡(luò)領(lǐng)域應(yīng)用公鑰密碼所面臨的傳統(tǒng)障礙將逐漸消除。本文按照安全和高效的原則，以降低安全協(xié)議握手過程的通信數(shù)據(jù)量和消息數(shù)量為目標，通過優(yōu)化PKI認證機制，提出了一種高效的無線接入認證方案，引入了可信證書驗證代理、無線接入網(wǎng)關(guān)、證書有效性憑據(jù)等新概念，并設(shè)計了證書有效性憑據(jù)申請和無線接入認證等安全協(xié)議。本方案摒棄了傳統(tǒng)PKI認證中的證書傳遞和基于CRL的證書有效性驗證，改用基于證書標識和證書有效性憑據(jù)的安全認證機制，在確保安全的前提下，大大提高了無線通信中的公鑰認證效率。

1 3GPP TS 33.102 V7.1.0.The3rd Generation Partnership Project,Technical Specification Group Services and Systems Aspects,3G security,security architecture,2006

2 Trask N T,Jaweed S A.Adapting public key infrastructures to the mobile environment.BT Technology Journal,2001,19 （3）:76～80

3 王治國,肖德貴.基于無線PKI的微型證書的分析與實現(xiàn).科學技術(shù)與工程,2006,6（3）:278～282

4 Yong Lee,Jeail Lee,JooSeok Song.Design and implementation ofwirelessPKItechnology suitable formobile phone in mobile-commerce. ScienceDirect: Computer Communications,2006,30(4):893～903

5 Cayer D,Spagnolo J.Securing Wireless Local Area Networks with GoC PKI:addendum to report DRDC Ottawa.Ottawa:Defence R&D Canada,2008

6 范新普.WTLS安全性研究.北京化工大學碩士學位論文，2008

7 Sang-Wook Choi,Cheol-Joo Chae,Jae-Kwang Lee.A study on the efficient mutual authentication mechanism using the agent server.Proceedings of Second International Conference on Future Generation Communication and Networking,Sanya,China,2008:485～488

8 鄒學強，馮登國.WTLS握手協(xié)議的安全性分析及改進.中國科學院研究生院學報,2004（4）:495～500

9 Transport Layer Security Working Group．The SSL Protocol Version 3.0,http://www.mozilla.org/projects/security/pki/nss/ssl/draft302.txt,2012

10 Wireless Application Protocol Forum.Wireless Transport Layer Security Specification WAP-261-WTLS-20010406-a,http://www.openmobilealliance.org/tech/affiliates/wap/wap-261-wtls-20010406-a.pdf,2012