一種基于安全標簽的單向身份認證技術*

賈 悠，葉常華，盧宇浩，邱海彬

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

隨著信息技術的飛速發展，目前的無線通信大量應用了WIFI、4G、5G、衛星等技術手段，傳輸高效、穩定[1]，但都是依賴于大規模的系統級應用，設備成本、應用成本及維護成本較高。傳統的基于短波、超短波的無線通信手段憑借其長距離、低成本[2]以及抗干擾[3]等技術特點，廣泛應用于政治、軍事、外交、氣象、商業等部門，用以傳送語音、文字、圖像、數據等信息，但在實際應用過程中，受限于帶寬及傳輸時延等信道物理特性，基本沒有采取任何安全防護手段，數據在無線傳輸過程中容易被篡改、假冒，存在大量的安全風險。

1 無線通信安全防護現狀分析

隨著移動互聯網的快速發展，移動通信設備被大眾廣泛使用，隨之而來的是對用戶隱私的眾多安全性問題，在工作和生活中通過無線網絡進行通信應用，如何保障無線通信雙方的安全可信和數據信息的無線安全傳輸成為了最敏感的安全問題，與有線網絡不同，無線網絡沒有物理邊界，任何用戶可以在任何地點接入無線網絡，眾多安全廠商目前都已實現了無線安全解決方案，主要包括端到端的加密、基于PKI 體制的無線身份認證以及數據簽名等，很好地適用于WIFI、4G、5G 等目前主流的無線通信網絡，在終端安全接入、身份安全認證、數據安全傳輸、信息安全訪問等安全保障下實現信息的可信互聯和安全互通。

但目前已有的安全解決方案大多都是基于WIFI、4G、5G 等公用互聯網絡的，屬于寬帶信息網絡，在認證過程中較多采用的是傳統交互式的身份認證流程[4-5]，不需要過多考慮身份認證開銷對網絡帶寬的影響；但對于短波、超短波等窄帶無線通信手段，信道帶寬極其有限的情況下，交互式的身份認證開銷會嚴重影響無線網絡數據的正常傳送，對無線網絡的吞吐量及傳輸時延都有較大的影響。受限于帶寬及傳輸時延等信道物理特性，目前大多使用短波、超短波進行無線通信的應用系統都沒有使用任何安全保密措施，如若通過該類系統傳遞敏感數據，會存在極高的安全風險。

針對應用系統利用短波、超短波等窄帶無線信道組網進行無線數據互通的使用場景，通過一種基于標簽的單向身份認證技術，實現數據的完整性和真實性保護，防止非法假冒節點的接入，防止數據在無線通信過程中被篡改、假冒，在提供必要安全防護機制的同時，盡可能小地消耗信道帶寬資源，保證無線網絡數據的正常收發。

以兩個應用系統通過短波、超短波等窄帶無線信道進行數據互通的典型應用場景為例進行設計，在每個應用系統上加載認證處理模塊并分配唯一的身份ID，應用系統在無線通信過程中，發送端通過隨機數生成密鑰號，根據密鑰號選擇一組系統內置的密鑰Key，與數據內容Data 一起計算出安全摘要Hash1（Key，Data），再加上異或后的密鑰號和身份ID，一同組成安全標簽，在發送數據時附加到應用數據尾部進行發送；接收端收到數據后，獲取安全標簽，解析密鑰號和身份ID，驗證發送端的身份ID，并根據密鑰號獲取密鑰Key，根據Key 和數據Data 計算出安全摘要Hash2（Key，Data），與接收到的安全摘要Hash1 進行比對，只有當身份ID 合法且安全摘要一致時，才允許接收無線數據，否則丟棄此數據包。具體實現流程如圖1 所示。

2 單向身份認證技術設計

圖1 認證流程

（1）在應用系統加載時，為每個應用系統預置唯一的身份ID 作為應用系統標識，并同時把所有合法的身份ID 列表下發到各應用系統，應用系統接收應用數據時根據合法身份ID 列表對發送端的用戶身份進行驗證；

（2）在應用系統加載時，為應用系統預置多組密鑰，每組密鑰分配一個密鑰編號，所有應用系統中預置的密鑰相同，加密儲存在應用系統中；

（3）當應用系統需要通過窄帶無線信道向外發送數據包時，系統會通過隨機數生成器隨機生成一個密鑰編號，系統根據密鑰編號獲取相應的密 鑰Key；

（4）獲取密鑰后，通過默認的算法根據IP 數據包的數據Data 與密鑰Key 一同計算出安全摘要Hash1（Data，Key）；

（5）系統對隨機生成的密鑰號及系統身份的唯一標識身份ID 進行異或處理，與根據數據包內容計算出的安全摘要一同組裝為安全標簽；

（6）在發送數據時，將安全標簽附加在IP 數據包的尾部再通過無線信道進行數據發送；

（7）接收端應用系統在接收到無線數據后，提取IP 數據包尾部的安全標簽進行解析，獲取數據發送端的身份ID 后，在合法身份ID 列表中進行查詢，驗證身份ID 的合法性，如果身份ID 非法，則丟棄該數據包，防止非法假冒用戶進行數據互通；

系統所有的操作都在一個界面上完成，實現“一張看板的功能”，如圖1所示。輸入井號，選擇設計井類型，點擊“確定”按鈕，系統會從A2生產數據庫中自動獲取該井所有的動態數據，如圖2所示。

（8）根據安全標簽中的密鑰編號獲取相應的密鑰Key；

（9）通過系統默認的算法，根據IP 數據包的數據Data 及獲取的密鑰Key 一同計算出安全摘要Hash2（Data，Key），與安全標簽中的安全摘要Hash1 進行比對，如果安全摘要不一致，則丟棄數據包，防止數據包在無線傳輸過程中被篡改，如果安全摘要一致，則接收該數據包，傳入網絡協議棧繼續處理。

3 通信效能影響評估分析

3.1 實驗理論分析

單向身份認證技術為窄帶無線通信提供了安全防護功能，但同時也會對窄帶無線通信的通信效能帶來一定的影響，主要體現在丟包率方面，無線通信系統在采用單向身份認證技術后，數據包會增加一定長度的安全標簽，致使數據包整體長度增加，相同數據包比特數量增加，增大了數據包因誤碼引起出錯的概率，繼而增大了丟包的概率。

無線通信過程中，接收端從無線信道接收到數據包后會對收到的數據包進行校驗和計算，而后將計算出的校驗和同接收數據包中的校驗和進行比對，如果一致則接收，否則丟棄此數據包。

假設發送長度為N字節的數據包，在誤碼率為P的情況下，系統丟包率為：

系統采用單向身份認證技術后，增加長度為M字節的安全標簽，丟包率為：

系統采用單向身份認證技術后,增大的丟包 率為：

系統不采用單向身份認證技術時的丟包率為：18.52%；

系統采用單向身份認證技術后丟包率為：20.58%；

系統采用單向身份認證技術后增大的丟包率為：2.06%。

3.2 實驗方案

通過搭建兩套分別互通的模擬應用系統來進行實驗，模擬應用系統1 采用透明傳輸，不采用任何安全防護手段，模擬應用系統2 加載安全防護模塊，采用單向身份認證技術，實驗拓撲如圖2 所示。

圖2 實驗拓撲

由于短波無線信道質量受外界因素影響很大，外界因素的改變，使得無線信道的質量也會隨之變化，因此實驗過程中發送端使用兩臺安裝有模擬應用系統的計算機同時發送測試數據包，接收端兩臺計算機同時接收數據包，以達到較為準確的實驗效果。

3.3 實驗結果

實驗過程中通過調整短波電臺參數，分別在信道質量良好、一般、較差、很差4 種情況下對兩組模擬應用系統無線通信的丟包率進行了測試，實驗數據結果如表1 所示。

實驗結果可以看出，短波無線通信系統采用單向身份認證技術實現安全防護功能后，對丟包率只會有微小的增加，不會影響應用業務的正常通信。

表1 實驗數據結果

4 結 語

在窄帶無線通信系統上應用單向身份認證技術后，能極大提升無線通信的安全性，防止非法的節點接入無線通信網絡，防止數據信息在無線通信過程中被篡改、假冒，保證無線交互數據信息的完整性和真實性。但由于單向身份認證技術會在無線通信數據的數據包后端附加一定長度的安全標簽，從而增加數據包長度，導致數據包的整體丟包率會有微小的提高。但總的來看，基于安全標簽的單向身份認證技術對通信傳輸效能的影響是比較微小的，是在可接受范圍內，通過損失微小的通信傳輸效能換取了數據信息的無線安全傳輸，無論是在軍用還是民用領域，都具有廣闊的應用價值。