基于海上無線網絡的安全身份認證技術研究*

趙　彥

(中國船舶工業綜合技術經濟研究院　北京　100081)

?

基于海上無線網絡的安全身份認證技術研究*

趙彥

(中國船舶工業綜合技術經濟研究院北京100081)

以海上復雜網絡的信息安全為背景，提出了一種基于海上無線網絡的安全身份認證方法。針對海戰場通信網絡對身份認證的需求問題，分析了不同信任域條件下的集成身份認證機制，設計了一套安全身份認證流程。在此基礎上提出了一種基于無線異構移動安全環境的集成身份認證模型，為保障復雜海上戰場的網絡環境安全提供技術支撐。

身份認證;海上無線網絡

Class NumberTP393

1　引言

海上通信網絡是復雜的無線異構網絡，是以艦船為信息處理節點終端，艦船之間、艦隊與艦隊之間、艦隊與協同指揮中心之間構成了一個業務邏輯上分層多級的通信網絡[1～2]，物理鏈路上按照地理分布，以Ad-hoc提供網絡接入，組成集成各種分布式資源節點的網格。在海上無線環境中，必須杜絕非法用戶的侵入和信息破壞?；诤Ｉ蠠o線異構移動環境的安全身份認證技術研究，是保障復雜海上戰場網絡環境下信息安全的基礎性研究。

2　海戰場通信網絡對身份認證的需求

海上無線網絡在安全方面的要求包括：

1)應對物理威脅，無線路由器可能被獲得并使用，這容易造成攻擊者對無線路由器的攻擊，如修改路由器中的信息，竊取路由器中用于認證的對稱密鑰或公私鑰對，或者用非法的無線路由器替換合法的。所以必須設計安全的路由協議以對抗針對路由協議的攻擊。

2)信任機制，必須研究信任與信任域，使得作戰信息網格中的主體能夠安全地使用資源、行使任務執行職權，并支持范圍約束內的擴展服務。

3)通信安全，作戰業務資源本身需要提供通信保護，以保障業務信息的完整性，防止和主體假冒和數據泄密。

4)認證與委托，由于海戰場業務的分布性，需要系統支持多種認證方式和委托方式，并提供層次化、區域化的資源使用權限。該權限直接關系到任務層面的信任，更是信任機制的基礎。

海戰場通信網絡安全模型核心是建立信任機制，信任機制的核心之一是身份認證。其中身份認證整個系統結構如圖1所示。

圖1　身份認證系統結構

其中各單平臺內需有內部認證服務器作為認證統一處理設備，經過信息加密后實現與無線網絡的接入。而作為信任域內認證服務器可以是物理存在的平臺節點(通常為編隊指揮節點)，也可以是作為各協同節點內的外部認證模型載體，即當為平臺對等協同狀態下，身份認證將以各獨立節點為中心，自己完成信任域內的實體信任和行為信任的建立工作。而編隊與編隊間的身份認證(跨信任域)將類似信任域互聯和組織的結構，編隊內有內部認證服務器，對外有虛擬的服務中心(其建立在特定的實體平臺上，也可由某個認證服務器兼任)，完成認證申請與來自外部認證申請審查工作，并進行身份分配和行為分配，從而確保樹狀層次化的身份認證結構。

海戰場通信網絡體系結構特點以及網絡安全要求決定了對身份認證有如下的要求：

1)身份認證必須符合海戰場網絡體系結構的特點，提供分層、分級的身份認證，實現實體信任機制。

2)身份認證必須提供身份識別，以及任務執行合法性、資源請求合法性的判別，實現行為信任機制。

3)身份認證需要提供與身份相符的授權，以便于授信節點提供符合權限的服務。

4)身份認證需要提供多種方式，以便于作戰人員的使用。

5)身份認證必須簡潔、快速、安全，減少不必要的網絡通信。

6)身份認證必須能夠提供信息加密方式，以保證身份認證信息在網絡或本地計算機上不被竊取。

3　海上無線異構移動安全網絡的集成身份認證機制

根據海上無線異構安全網絡環境下身份認證的需求與其特殊性，結合網絡安全模型和體系結構，需構建多樣性多層次的身份認證機制。

3.1集成身份認證機制

海上身份認證的核心是為了解決艦船實體之間相互信任的問題。海上通信網絡按照地域分布和海上任務，可劃分成為不同的信任域，通常這種信任域是以海上編隊為單位。集成身份認證模型包含了信任域內身份認證和跨信任域的身份認證[3～7]。

3.1.1信任域內身份認證機制

信任域內的身份認證通常以交換可識別的信息作為基礎，并與各自預先可獲知的信息進行比對，以完成應用層面的身份識別。身份識別后將建立實體信任關聯并將該關聯以特殊標識進行定義，同時，給該實體信任關聯給予特定存活時限，保證安全性。在時限內的實體信任將可維持正常的信息交互，并降低交互成本。

在實體信任的基礎上，還需要進行面向作戰資源與任務的行為信任建立工作。包括對任務和資源信息的集中定義和分配，并與獲得的實體信息進行匹配，形成行為映射表，最終按映射表定義關系進行行為驗證，保證具體作戰過程的身份認證。基本流程如圖2所示。

圖2　信任域內的身份認證基本流程

首先，通過對請求身份認證的節點進行軟硬件標識識別，避免非法的軟硬件資源連接到網絡路由，從而建立一定程度可信的通信鏈路，然后，與身份驗證服務器連接，進行識別和認定身份，完成實體信任。在節點執行任務時，還要經過認證服務，將任務與資源鏈接，通過與之匹配的權限，進行行為驗證和認定，從而，完成行為信任過程。

首先，在單艦上需要部署認證服務器(AS)，以實現認證任務處理。其次，認證服務器上應建立并保留作戰實體身份信息列表、作戰任務列表、作戰實體與作戰任務關系表、作戰資源實體表、作戰任務與作戰資源關系表。最后，在認證過程中將調取相應的表，執行嚴格的流程并實現動態身份認證。具體的內部信息以及可共享/預知的身份信息設計如圖3所示。

圖3　身份信息設計圖

實體身份信息存儲了作戰實體的唯一標識、作戰實體的類型、作戰實體的授權信息。作戰任務列表包含了該艦能夠執行的任務信息。作戰資源實體表描述了本艦的作戰資源實力。實體與作戰任務關系表描述了在當前實體授信范圍內可執行的任務。作戰任務與作戰資源關系表描述了各個類型和各級別的任務能夠使用的資源范圍。

3.1.2跨信任域內身份認證機制

跨信任域內身份認證與信任域內身份認證不一樣的地方在于其身份識別采用的技術與信任域內身份識別不同，包括建立各自的虛擬認證服務中心，統一調配以本信任域內的行為信任驗證過程，完成交叉認證過程。

圖4　跨信任域內身份認證示意圖

另外，信任域內身份認證通過身份識別后建立的通信鏈接是常態存在的，跨信任域內身份認證通過身份識別建立的通信鏈接是按照請求建立的臨時通信，只具有一定時限的可信資格。在時限內實體間信任可支持信息的互通，而時限通常是以完成特定任務為目標，具體設定值由雙方約定。而跨信任域內的身份認證將圍繞特定任務和資源調用，其行為信任驗證實現過程合并實體信任驗證過程一起進行。

跨信任域內身份認證的流程除了上述差異外，其流程基本相同。

3.2安全身份認證流程

3.2.1信任域內身份認證流程

具體的身份認證流程如圖5所示。

圖5　信任域內身份認證的具體流程

1)作戰實體發出身份識別請求，認證服務器完成身份識別。

2)認證服務器將根據作戰實體身份信息保留在實體身份信息表中。為該作戰實體建立可信鏈接，根據作戰實體的授信，分配符合授信的通信鏈路。這樣在整個信任域內建立實體信任。

3)當作戰實體提出作戰任務請求時，認證服務器根據作戰實體類型及授信，通過作戰實體與任務關系表對該作戰實體進行任務合法性判別。當任務合法性判別通過，再根據作戰任務級別等信息，通過作戰任務與作戰資源關系表為作戰實體分配資源使用權限，并建立資源使用的時限以及安全閾值。

4)當作戰實體執行任務時，認證服務器根據上一步分配的資源使用權限進行資源使用合法性判別。當超過資源使用的時限，需要重新提交任務請求。而當超過閾值，認證服務器將自動關閉對該作戰實體的授信服務，并提交安全警報。

3.2.2跨信任域內身份認證流程

具體的身份認證流程如圖6所示。

圖6　跨信任域內身份認證的具體流程

在跨艦艇信任域內進行身份認證時，首先應該進行平臺的身份識別。其識別過程與第一步相同。在作戰實體進行跨艦艇任務請求時，重復上述流程，只是其認證服務器應該是目標艦艇的認證服務器。同時，作戰實體的授信等級應該不高于艦艇平臺的授信等級。

需要注意的是，在信任域內經過身份認證后的作戰實體，在整個信任域內均是可信作戰實體。實際上，信任域內各艦之間的認證服務器共同構成了一個分布式的認證體系。而跨信任域身份認證與信任域身份認證過程有兩個活動相對特殊，其一是信任時限的生成與確定；其二是分立式認證ID與任務時限的關聯，并建立任務、資源與信任身份的映射。

4　無線異構移動安全環境的集成身份認證模型

4.1集成身份認證技術分析

從海上無線網絡集成身份認證的實現來看，需要一系列的身份認證協議棧來支持和滿足不同環境、不同狀態、不同業務的需要。其協議棧如下圖所示。

圖7中，物理層接入點(PHY SAP)是協議棧與物理層的接口；數據流加密認證過程負責數據消息的加密解密和完整性認證處理；控制消息處理和消息認證過程負責處理控制消息的認證和控制；PKM控制管理用于控制和管理所有的安全單元；授權控制負責控制授權密鑰狀態機；安全關聯控制負責控制多個流加密密鑰狀態機； EAP封裝解封裝，作為PKM與EAP層的接口，負責PKM基于EAP的認證；RSA認證負責PKM基于RSA的認證。

圖7　集成身份認證的協議棧

4.2信任域內身份認證技術

信任域內身份認證采用集中認證方式，該方式下認證過程包括實體信任實施過程和行為信任實施過程。該集中實體信任實施過程主要采用是IEEE 關于局域網絡訪問控制的標準802.1x。行為信任過程則采用應用層的設定和任務、資源動態分配映射技術[8～9]。

1)實體信任實施過程

802.1x 是一個標準，它使用的主要協議則是基于一個 IETF定義的叫 EAP(可擴展認證協議)的協議。EAP是一個可擴展的協議框架，具體的 EAP 協議則可以有很多種，例如 EAP-TLS,EAP-TTLS,PEAP等。當進行 802.1x/EAP 認證時，在客戶端和 AP 間運行的就是 EAPOL 協議，而在 AP 和認證服務器之間運行的是RADIUS協議。

具體流程如圖8所示。圖中，AS為認證服務器；AP為無線接入點設備；STA為站點；EAPOL為局域網可擴展認證協議。

(1)客戶端(即申請者)發出EAPOL開始消息發起認證過程；

(2)AP發出請求幀，要求客戶輸入用戶名；

(3)客戶機響應請求，將自己的用戶名信息通過數據幀發送給AP；

圖8　實體信任實施具體流程

(4)AP將客戶的用戶名信息重新封裝成RADIUS.AccessRequest包發送給服務器；

(5)RADIUS服務器驗證用戶名合法后客戶機發送自己的數字證書；

(6)客戶機通過證書驗證服務器的身份；

(7)客戶機給服務器發送自己的數字證書；

(8)服務器通過證書驗證客戶身份，完成相互認證；

(9)在相互認證的過程中，客戶機和服務器通過四次握手也獲得了主會話密鑰Master—Session—Key；

(10)認證成功，RADIUS服務器向AP發送RADIUS.ACCEPT消息，其中包括密鑰信息；

(11)AP向客戶機轉發EAPOL Success消息，認證成功。

在上述過程中，四次握手協議是密鑰管理系統中最主要的步驟，主要目的是確定申請者和認證者得到的PMK(主密鑰)是相同的，并且是最新的，以保證可以獲得最新的PTK，其中PMK是在認證結束時，由STA和AP協商生成的。PTK可以由AP定時更新，也可以在不改變PMK的情況下由STA發出初始化四次握手的請求。申請者和認證者之間的密鑰協商所傳遞的信息，都是采用EAPOL-Key進行封裝的。四次握手過程如圖9。

圖9　四次握手過程示意圖

(1)消息1：認證者發送EAPOL-Key消息，其中包括ANonce。

(2)消息2：申請者由ANonce和SNonce產生PTK，發送EAPOL-Key消息，包含SNonce和MIC。

(3)消息3：認證者由ANonce和SNonce產生PTK，并且對MIC做校驗，發送EAPOL-Key消息，其中包括ANonce、MIC以及是否安裝加密/整體性密鑰。

(4)消息4：申請者發送EAPOL-Key消息，確認密鑰已經安裝。

通過上述過程，實現STA與信任域的雙向認證，確保可信的STA鏈接到正確的信任域。

2)行為信任實施過程

在實體信任完成后，將實施行為信任過程，具體實現如圖10所示。

具體包含如下消息：

(1)消息1：申請者發送身份認證開始消息，其中包括已確定的初步身份ID。

(2)消息2：申請者由本身的ID產生任務和資源信息，發送行為級消息，包含任務ID和資源ID。

(3)消息3：認證者由行為級消息以及收到的任務ID和資源ID產生最終的身份ID，并且對其進行整體性密鑰包裝。

(4)消息4：申請者發送確認消息，確認身份驗證完成，密鑰通過。

4.3跨信任域內身份認證技術

跨信任域身份認證，需要使用分布式認證模型，采用分布式 IEEE 802.1x認證機制時，MP將如圖11所示建立握手。

圖10　行為信任實施示意圖

圖11　跨信任域內身份認證握手過程示意圖

MP Mesh節點說明：

1)從對等體的信標和探測回復幀，鑒別出一個對等的 MP作為能夠建立握手。

2)可能引入開放式系統認證。

3)每一格 MP都使用 IEEE 802.1x 來與AS進行認證，這些 AS是與其它 MP的認證方相聯系的。

4)每個 MP 的 SME 通過執行一個密鑰管理算法建立臨時的密鑰，使用在 802.11 中定義的協議。因此兩個這樣的密鑰管理算法都獨立發生在任何兩個申請者 MP 和認證方 MP中。

5)MP雙方都是用從一次交換中得來的成對瞬時密鑰(Pairwise Transient Key,PTK)的臨時決定密鑰部分和成對密碼對來保護連接的。每個MP使用由它發起的交換中所建立的GTK來保護它自己傳輸的多播和廣播幀。

6)任一個Mesh AP，它都能為STA認證。

在集中式認證中，由于CA的強勢存在，使得信任問題相對簡化。節點只需判斷出自身是否信任這唯一 CA簽發的證書即可。而在分布式系統中，信任關系就會變得復雜得多，別是在全局 CA 缺失的情況中。需要結合海戰場作戰網絡的特點，實施可行的分布式信任模型。

4.4分布式信任技術

按照集成身份認證業務模型來看，其跨信任域的認證結構形成了一種分布式的網絡結構[10～11]。而這種結構，由于海戰場作戰網絡的特殊環境，其信任實現與傳統信任存在較大差異。具體來說：

1)基礎設施：傳統信任依賴固定的可信基礎設施如 CA 中心、目錄服務器等，這些服務必須在線提供，任何實體在需要的時候總能連通到服務器。相反的，在海上網絡中，或者根本沒有 CA中心和目錄服務器，或者即使存在，但由于無線網不能保證網絡的連通性，它們并不總是可達的，相互通信的節點隨時都可能與存儲證書的目錄服務器斷開。因此，海戰場網絡不能過分依賴存儲在目錄服務器中的證書來建立信任關系。

2)關系期限：在傳統信任中建立起來的信任關系是長期和穩定的。相反的，在海上網絡中，很少存在穩定而長期的信任證據。無線節點的安全性取決于它的位置，不能預先確定。因此，海上網絡中的信任關系是短期的、變化的，經常需要重新搜集和評估信任證據來建立新的信任關系。在無線 mesh 網中，兩個移動的節點可能只有很短的時間交換信息，搜集和評估信任證據的過程必須足夠快。對時間的要求決定了無線自組網中只能依據在線證據來建立信任關系。

3)證據完整性：傳統信任中不會由于連接失敗而導致某些信任關系長時間不可用。通信鏈路、路由器、服務器的冗余性保證了網絡的連通性。因此，可以假設任何用于建立信任的證據在需要的時候都是可用的。而在無線 mesh 網中，節點之間的連通性不能得到保證，不能假設信任證據在需要的時候總是可用的，有時只能依據不完整的和非確定的證據來建立信任關系。

因此，可采用橋式模型來進行分布式認證，解決上述問題。具體如圖12所示。

在該結構中，每一套獨立的CA體系部與一個處于中心地位的橋CA進行交叉認證，橋CA只是一個中介，它不是一個樹狀結構的根CA，而是作為

交叉認證的中介，它與不同的信任域之間建立對等的信任關系，允許用戶保留他們自己的原始信任點，具有更高的可擴展性，信任域的擴展非常容易，且不受數量限制等優點。其主要特點為

1)安全風險被分散到各個認證機構中。

2)連接的各個獨立CA體系可以是任何傳統類型的信任模型。

3)橋CA需要利用證書信息來限制不同信任域PKI的信任關系，會導致證書處理的復雜度增加。

圖12　分布式認證的橋式模型

5　結語

本文針對海戰場通信網絡對身份認證的需求問題，提出了一種基于海上無線網絡的安全身份認證方法。圍繞信任域內與跨信任域兩個角度，重點分析了集成身份認證機制，設計了安全身份認證流程。根據不同信任域的認證結構，提出了相應身份認證模型，為提高海上無線異構網絡的整體安全性提供技術支撐。

[1]N.B.Salem and J-P Hubaux.Securing Wireless Mesh Network[J].IEEE.Wireless Communication,2006,13(2):51-55.

[2]Dae-Hee Seo,Im-Yeong Lee.Single Sign-on Authentication Model Using MAS(Multi agent System)[J].Communications,Computers and Signal Processing,2003(2):692-695.

[3]張昌宏,麻旻,朱婷婷,等.基于IBE的無線網絡身份認證模型研究[J].計算機與數字工程,2010,38(8):165-167.

[4]Caimu T,Oliver W.Mobile privacy in wireless network revisited[J].IEEE Transactions on Wireless Communication,2008,7(3):1035-1041.

[5]李金庫,張德運,張勇.身份認證機制研究及其安全性分析[J].計算機應用研究,2001(1):126-128.

[6]H.Xie,J.Zhao.A lightweight identity authentication method by exploiting network covert channel[J].Networking and Applications,2014,8(6):1-10

[7]L.Xiao,L.Greenstein and N.Mandayam,et al.Using the physical layer for wireless authentication in time-variant channels[J].IEEE Trans.Wireless Communication,2008,7(7):2571-2579.

[8]周賢偉,劉寧,覃伯平.IEEE802.1x協議認證機制及其改進[J].計算機應用,2007,26(12):2894-2896.

[9]C.Wang,Z.Huang,E.Peng.On the unified authentication technology of network token[J].Energy Procedia,2012,17:1476-1481.

[10]T.Miyake,S.Suzuki,et al.Efficiency of authentication network construction on organization LAN[J].Leice technical report office information systems,2009,108:19-24.

[11]Boneh D,Franklin M.Identity-Based encryption from the Weil pairing[C]//Lecture Notes in Computer Science 2139.Berlin:Springer-Verlag,2001:213-229.

Technology of Security Authentication Based on Marine Wireless Networks

ZHAO Yan

(China Institute of Marine Technology &Economy,Beijing100081)

This paper puts forward a method of security authentication based on marine wireless networks under the background of information security in marine complex network.A consolidated authentication mechanism is analyzed under the conditions of different trusted domains.A set of security authentication is also designed.On the basis,a model of integration authentication is put forward based on wireless heterogeneous mobile security environment.The technical support is provided for ensuring the network environment security of complex sea battlefield.

authentication,marine wireless networks

2016年3月8日,

2016年9月17日

趙彥，女，高級工程師，研究方向：信息安全、網絡系統測評。

TP393DOI：10.3969/j.issn.1672-9730.2016.09.021