基于3GPP-WLAN互通性安全的AP设计应用.docVIP

基于3GPP-WLAN互通性安全的AP设计应用 类别：电子综合 阅读：1112 基于3GPP-WLAN互通性安全的AP设计应用 何广法，刘乃安 （西安电子科技大学 ISN国家重点实验室　陕西 西安　710071） 1　引　言 近几年移动用户数量快速增长，用户在使用语音业务的同时，对移动数据业务也提出了更高的需求，高速无线接入势在必行。将来的无线通信系统是多种接入标准的异构系统。无线接入系统有着各自的特点，蜂窝结构的宏小区覆盖的系统像GPRS和UMTS可以为用户提供高速度移动性，只具有有限的传输带宽。而中小距离覆盖的系统像WLAN提供高速率的数据带宽只具有低速率的移动性。对于多种网络提供覆盖公共热点区域像建筑物、车站、机场等，很有必要对拥有双模设备的用户提供这些网络之间的互通。WLAN与蜂窝网的互通已经成为后3G的研究热点，第三代移动通信合作计划组（3GPP）对WLAN技术也进行了积极的跟踪研究，在协议版本R6阶段逐步提出了在3G系统中如何与WLAN集成的解决方案。对3G系统与WLAN互连进行了可行性研究，提出了从简单互连到完全无缝互连的系统间操作的6种情况［1］。在安全方面主要研究了安全结构，信任模型以及3GPP系统与WLAN接入互通的安全需求，对于用户和网络的安全认证、密钥管理、业务授权，保密性推荐了适当的机制，同时也提出来用户和信令的完整性保护的机制［2］。其中安全认证机制推荐的有2种： （1）基于SIM／USIM的EAPAKA认证机制　他可以支持现有3GPP／2的认证和密钥认同（AKA）过程，通常 的认证机制例如EAP就能支持这种方法，EAPAKA认证机制的详细描述可以参考文献［3］； （2）基于GSM SIM的EAPSIM认证　他基于现有的GSM SIM过程，在3GPP-WLAN 系统互通中，通常的认证机制例如EAP能支持这种方法。EAPSIM认证机制的详细描述可以参考文献［4］。 2　802.1X EAP-SIM安全认证 IEEE802．1X协议以其简洁高效、容易实现、安全可靠、易于运营等特点，得到越来越多的设备制造商和运营商的支持。在WLAN与3G集成方案中也采用基于IEEE802．1X的认证流程。 802．1X是基于端口的访问控制协议，可向IEEE802系列标准的局域网提供一个开放的验证框架，使得无线局域网易于扩展用户和网络并提供一种分布处理集中管理的验证功能。体系结构包括3部分： （1）客户端申请者Supplicant　一般是一个客户端软件，支持EAPOL协议，用户UE通过启动改软件发起802．1X协议的认证过程。 （2）认证者Authentication　通常是支持802．1X协议的网络设备例如AP，该设备使用受控端口和非受控端口保证用户认证授权前后的接入。 （3）认证服务器AS　通常使用RADIUS服务器是UE认证的终点，他存储有关用户的信息例如用户的业务参数，所属的VLAN，优先级，用户的访问控制列表等。802．1X的核心是可扩展认证协议（EAP），GSM SIM主要用来存储用户的信息，通过相应的技术（例如读卡器读取，USB，红外技术）与WLAN的无线网卡进行通信，使UE获得用户的信息。 802．1X EAPSIM安全认证框图如图1所示。首先WLAN用户使用无线网卡与WLAN／AP建立连接，启动802．1X认证，需要获取相关的信息例如用户的网络接入标识NAI、用户ID（1）～（3）等。 WLAN／AP根据NAI来选择所要使用的3GPPAAA服务器。将EAP-Response/Identity转发送给3GPPAAA服务器。AAA服务器收到后向WLAN／AP发送RADIUS-Access-Challenge报文，其中包含有EAP-Request/SIM/Start报文内容，表示开始EAPSIM的认证（4）～（6）。在（7）～（9）步中3GPPAAA服务器可以获得用户EAP－Response／SIM／Start报文，得到相应的128 b随机数NONCE＿MT。 3GPPAAA服务器检查该用户是否有N（2或3）个可用的认证三元组。如果没有足够的三元组，则通过七号信令向HLR发送MAP＿Send＿Auth＿Info报文获取N组鉴权集（SRES，RAND，Kc）。使用N个三元组的目的是为了生成更长的Session key。3GPPAAA服务器还检查数据库是否具有WLAN接入用户签约信息，如没有，则从HSS／HLR中获取，同时3GPPAAA服务器是检查该用户是否 已签约了WLAN业务（10），（11）。若满足要求则从NONCE＿MT和NKc密钥中依据配置取N为2或者3，将N组RAND串起来后生成一个N＊RAND，依据规定的算法生成4个密钥K＿sres，K＿int，K＿ency和Session＿