WAPI下WLAN與3G網(wǎng)絡(luò)安全融合探究

1、WAPI下WLAN與3G網(wǎng)絡(luò)安全融合探究摘要：隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的快速發(fā)展，以及人們對于網(wǎng)絡(luò)技術(shù)實際應(yīng)用需求的不斷增強(qiáng)，對于不同網(wǎng)絡(luò)的融合問題進(jìn)行深入的研究是十分重要的。在我國現(xiàn)階段的網(wǎng)絡(luò)技術(shù)研究中，WAPI是解決WLAN安全問題的主要技術(shù)方案，也是實現(xiàn)WLAN與3G網(wǎng)絡(luò)安全融合的基礎(chǔ)條件。本文僅從專業(yè)網(wǎng)絡(luò)技術(shù)的角度出發(fā)，簡要探究了WAPI下WLAN與3G網(wǎng)絡(luò)安全融合的相關(guān)問題。關(guān)鍵詞：WAPI；WLAN；3G網(wǎng)絡(luò)；安全融合 WLAN與3G網(wǎng)絡(luò)的融合主要是指現(xiàn)有的WLAN終端用戶借助3G網(wǎng)絡(luò)接入服務(wù)，有效利用3G系統(tǒng)中的相關(guān)資源。實現(xiàn)兩者融合的目的是在WLAN提供的接入環(huán)境中，進(jìn)一步拓展3G網(wǎng)絡(luò)

2、的系統(tǒng)服務(wù)功能，從而有效解決3G系統(tǒng)的無線接入問題【1】。在WAPI技術(shù)不斷創(chuàng)新的背景下，加強(qiáng)WLAN與3G網(wǎng)絡(luò)安全融合的研究，科學(xué)解決了兩者存在的覆蓋能力與接入速率等問題，而且創(chuàng)建了一個相對安全的網(wǎng)絡(luò)環(huán)境。本文僅就WAPI下WLAN與3G網(wǎng)絡(luò)融合過程中的異構(gòu)安全問題進(jìn)行探究，并且提出了具體的安全融合方案。1. WAPI的技術(shù)性分析WAPI是無線局域網(wǎng)鑒別與保密基礎(chǔ)結(jié)構(gòu)的英文縮寫，WAPI是我國無線局域網(wǎng)絡(luò)中唯一獲得批準(zhǔn)的G15629.11協(xié)議的核心部分，其中提出了WLAN相關(guān)安全問題的具體解決方案，并且具有其自主知識產(chǎn)權(quán)。1.1認(rèn)證體系結(jié)構(gòu)WAPI協(xié)議的認(rèn)證體系結(jié)構(gòu)主要包括：鑒別請求者實體、

3、鑒別器系統(tǒng)與鑒別服務(wù)單元等組成部分，其具體情況如下：1）鑒別請求者實體，通常是指一個特定的用戶終端，而且必須安裝相應(yīng)的客戶端軟件。當(dāng)終端用戶需要進(jìn)行WAPI的連接時，必須啟動相應(yīng)的客戶端軟件，并且發(fā)送WAPI協(xié)議，以實現(xiàn)鑒別請求【2】；2）鑒別器系統(tǒng)，是指在鑒別請求的發(fā)送過程中，網(wǎng)絡(luò)中特定的接入點或接入服務(wù)器，主要功能為促進(jìn)透傳，并且保證相應(yīng)的認(rèn)證工作在鑒別服務(wù)單元上進(jìn)行；3）鑒別服務(wù)單元，利用公鑰密碼技術(shù)組成具有特定功能的WAI鑒別基礎(chǔ)結(jié)構(gòu)，以實現(xiàn)對于移動終端用戶身份的鑒別及相關(guān)證書的有效管理。1.2認(rèn)證機(jī)制在WAPI鑒別過程中，其認(rèn)證機(jī)制主要包括：證書鑒別、單播密鑰協(xié)商、組播密鑰通告等基礎(chǔ)

4、部分。WAPI系統(tǒng)是由接入點（AP）、移動終端（STA）、鑒別服務(wù)單元（ASU）等組成，其中鑒別服務(wù)單元主要是指網(wǎng)絡(luò)中可信的第三方，主要是進(jìn)行各種參與交換證書的鑒別與管理【3】。接入點、移動終端上需要安裝由鑒別服務(wù)單元提供的公鑰證書，以此作為證明自己身份的憑證。當(dāng)需要由移動終端登錄到相應(yīng)的無線接入點時，接入點的非受控端口將自動連接到鑒別服務(wù)單元上發(fā)送的指定認(rèn)證信息，并且由鑒別服務(wù)單元進(jìn)行雙向身份的驗證。只有通過網(wǎng)絡(luò)鑒別的鑒別服務(wù)單元才能提供相應(yīng)的接入點進(jìn)行網(wǎng)絡(luò)訪問，即移動終端用戶只有持有合法的證書，才能獲取合法的無線網(wǎng)絡(luò)接入點，進(jìn)而有效防止非法移動終端用戶進(jìn)入接入點，并占有合法移動終端用戶的網(wǎng)

5、絡(luò)資源。2. WLAN與3G網(wǎng)絡(luò)融合的意義隨著我國無線數(shù)據(jù)業(yè)務(wù)的全面推廣，各種新型技術(shù)問題不斷出現(xiàn)，只有加強(qiáng)WLAN與3G網(wǎng)絡(luò)的融合才能形成綜合的解決方案，這也是國內(nèi)網(wǎng)絡(luò)行業(yè)發(fā)展的主流趨勢。從技術(shù)特性、支持功能等角度進(jìn)行分析，WLAN與3G網(wǎng)絡(luò)的融合實現(xiàn)了兩者之間的互補。WLAN的接入速率較為理想，但是覆蓋能力有限，而3G網(wǎng)絡(luò)是我國電信領(lǐng)域應(yīng)用的主要技術(shù)之一，其覆蓋范圍明顯優(yōu)于WLAN，但是數(shù)據(jù)傳輸速率卻相對較差。在兩者的融合過程中，針對不同的網(wǎng)絡(luò)用戶，必須實現(xiàn)其不間斷連接、全面覆蓋，并且在高速移動的狀況下，向用戶提供高質(zhì)量的數(shù)據(jù)傳輸業(yè)務(wù)。與WLAN相比，3G網(wǎng)絡(luò)的實際容量較小，在兩者的融合中

6、，如何有效解決高寬帶、高速率、精確覆蓋的問題是熱點技術(shù)研究課題之一。在WAPI技術(shù)背景下，WLAN與3G網(wǎng)絡(luò)的融合過程中，相關(guān)技術(shù)難題已經(jīng)得到了有效解決，但是網(wǎng)絡(luò)工程的難度仍然較大，這是今后必須重點解決的。因此，在現(xiàn)代移動通信技術(shù)高速發(fā)展的時代，必須進(jìn)一步促進(jìn)WALN、3G網(wǎng)絡(luò)兩種技術(shù)更好的互補融合。3. WAPI下WLAN與3G網(wǎng)絡(luò)安全融合WAPI下WLAN與3G網(wǎng)絡(luò)的安全融合問題研究中，本提出了以USIM證書為基礎(chǔ)的分發(fā)方案，將3G網(wǎng)絡(luò)的簽約用戶設(shè)定為UE，UE是3G網(wǎng)絡(luò)的移動終端客戶，其在圖書館、機(jī)場等特定環(huán)境中，通過WLAN接口卡使用PDA、雙模手機(jī)或筆記本電腦等移動設(shè)備，享受高速率的

7、數(shù)據(jù)業(yè)務(wù)服務(wù)【4】。UE通過相應(yīng)的方案申請臨時證書，結(jié)合其具體的分發(fā)方案，筆者提出了兩種可行的安全融合技術(shù)方案。兩種技術(shù)方案的主要區(qū)別在于WAPI與證書分發(fā)之間的耦合度。兩種安全融合技術(shù)方案的具體情況如下：1）緊耦合：在WAPI機(jī)制中加入證書分發(fā)，其主要適用于WLAN單模的UE；2）松耦合：WAPI與證書分發(fā)相對獨立，UE借助3G網(wǎng)絡(luò)的接口卡進(jìn)行相應(yīng)申請證書的分發(fā)，并且在WAPI機(jī)制下進(jìn)行WLAN接口卡的連接，其主要適用于3G-WLAN雙模的UE。在WAPI下WLAN與3G網(wǎng)絡(luò)的融合中，加強(qiáng)兩種技術(shù)方案的互補，才能保證其融合過程的安全性要求。根據(jù)WAPI系列的相關(guān)標(biāo)準(zhǔn)，在WLAN與3G網(wǎng)絡(luò)融合

8、中并未明確提出漫游安全問題的相關(guān)解決方案，即漫游UE、鑒別服務(wù)單元之間沒有建立必須的信任關(guān)系，鑒別服務(wù)單元證書的管理方法也存在一定的局限性【5】。因此，鑒別服務(wù)單元的相關(guān)證書可以通過多種合法途徑獲取，而不是局限于某一特定的權(quán)威機(jī)構(gòu)頒發(fā)。例如：在兩者融合中，可以使用交叉證書、證書鏈、在線CA等合法的證書形式。本文假設(shè)HASU、VASU分別擁有合法的證書，并且將其儲存于UICC卡中。為了簡化研究項目，本文假定移動網(wǎng)絡(luò)運行商在進(jìn)行漫游協(xié)議的簽訂時，ASU證書經(jīng)過獲取與驗證過程。3.1緊耦合方案WAPI下WLAN與3G網(wǎng)絡(luò)的緊耦合方案主要是指在證書的分發(fā)過程中，將其疊加于WAPI的認(rèn)證過程，即將證書中

9、的請求信息CertReq疊加于接入認(rèn)證、證書認(rèn)證等請求信息，以實現(xiàn)UE證書的字段替換，當(dāng)VASU接受請求信息CertReq后，將其自動轉(zhuǎn)發(fā)至HSS，ASU迅速作出相關(guān)響應(yīng)。3.2松耦合方案WAPI下WLAN與3G網(wǎng)絡(luò)的松耦合方案主要包括：證書分發(fā)、WAPI與XG1安全接入等階段，即在進(jìn)行證書分發(fā)的階段，UE通過HSS/HASU申請臨時證書，在接收到相關(guān)證書（HSS/HASU臨時證書、VASU證書）后，UE可以與VASU建立信任的關(guān)系。當(dāng)完成證書的分發(fā)過程后，在WAPI與XG1的聯(lián)合機(jī)制下，UE使用的移動設(shè)備自動接入WLAN。在WLAN與3G網(wǎng)絡(luò)的松耦合方案研究中，技術(shù)人員對于WAPI與XG1的

10、接入安全性進(jìn)行了分析，在CK模型下確認(rèn)其安全性能滿足國家相關(guān)標(biāo)準(zhǔn)。在WAPI下WLAN與3G網(wǎng)絡(luò)安全融合問題的研究中，針對兩種融合方案中存在的某些技術(shù)問題，本文對于USIM證書的分發(fā)協(xié)議進(jìn)行了必要的更改，并且結(jié)合新的證書分發(fā)協(xié)議，以及WAPI與XG1的安全接入，分別制訂了兩種互為補充的融合方案。緊耦合方案必須借助于WAPI的接入與認(rèn)證機(jī)制，從而實現(xiàn)證書分發(fā)過程的疊加要求。松耦合方案的實施中，WAPI與證書分發(fā)環(huán)節(jié)相對獨立，移動終端用戶必須使用運行商提供的3G接口卡，以實現(xiàn)在獲取申請證書后，在WAPI機(jī)制下利用WLAN接口卡進(jìn)行WLAN的接入【6】。在WAPI下WLAN與3G網(wǎng)絡(luò)的安全融合中，本

11、文提出的兩種方案具有一定的互補性，滿足了WALN與3G用戶的統(tǒng)一管理，特別是對于3G網(wǎng)絡(luò)的簽約用戶，基于WAPI的基本安全機(jī)制進(jìn)行WLAN的接入，不但保護(hù)了用戶的隱私需求，而且有效提高了兩者融合的覆蓋范圍和接入速率【7】。同時，在現(xiàn)代網(wǎng)絡(luò)工程實踐中，本文提出的兩種安全融合方案在具體實施中仍然存在較多的技術(shù)阻礙，特別是在進(jìn)行時間與能量分析時，其容易容易遭受邊信道的惡意攻擊，所以，對于融合方案中存在的技術(shù)難題仍需進(jìn)一步加強(qiáng)研究。4. 結(jié)束語在現(xiàn)代信息社會高速發(fā)展的時代背景下，本文重點探究了WAPI下WLAN與3G網(wǎng)絡(luò)的安全融合問題，其關(guān)鍵環(huán)節(jié)是解決融合過程中的安全認(rèn)證。WLAN與3G網(wǎng)絡(luò)的融合是現(xiàn)

12、代互聯(lián)網(wǎng)和移動技術(shù)創(chuàng)新發(fā)展的必然趨勢，如何利用現(xiàn)代技術(shù)手段解決兩者融合的安全問題是至關(guān)重要的。目前，國內(nèi)在WAPI下WLAN與3G網(wǎng)絡(luò)安全融合的研究中，普遍存在安全體系與結(jié)構(gòu)不合理的技術(shù)難題，這也是各種網(wǎng)絡(luò)安全問題出現(xiàn)的根本因素，并且導(dǎo)致WLAN與3G網(wǎng)絡(luò)難以確認(rèn)。因此，在WAPI下WLAN與3G網(wǎng)絡(luò)安全融合的研究中，網(wǎng)絡(luò)技術(shù)人員應(yīng)重點關(guān)注WLAN、3G網(wǎng)絡(luò)、用戶之間的安全平衡，保障各種技術(shù)方案中的認(rèn)證平衡，在對其安全性能進(jìn)行綜合分析與認(rèn)證的基礎(chǔ)上，才能在國內(nèi)數(shù)據(jù)業(yè)務(wù)中推廣和應(yīng)用。 參考文獻(xiàn)：【1】張帆，馬建峰.WAPI實施方案的安全性分析.西安電子科技大學(xué)學(xué)報(自然科學(xué)版)，2005，(32)：545-548.【2】李興華，馬建峰.WAPI實施方案中的密鑰協(xié)商協(xié)議的安全性分析.計算機(jī)學(xué)報，2006，(29)，576-580.【3】李謝華，李建華，楊樹堂，諸鴻文.WAPI接入鑒別過程的形式化分析與驗證.計算機(jī)工程，2006，(32)：10-l3.【4】張艷，王賾.增強(qiáng)EAP-AKA協(xié)議安全性的改進(jìn)方