一种无线局域网的快速安全切换方案

  • 格式:pdf
  • 大小:265.07 KB
  • 文档页数:5

第38卷第11期 2004年11月上海交通大学学报JOU RNAL O F SHAN GHA I J I AO TON G UN I V ER S IT YV o l .38N o.11 N ov 2004 收稿日期:2003212219基金项目:国家高技术研究发展计划(863)项目(2002AA 144110);国家自然科学基金资助项目(60272082)作者简介:严 宏(19782),男,浙江宁波人,硕士,主要研究方向为无线网络安全.何 晨(联系人),男,教授,博士生导师,电话(T el .):021*********;E 2m ail :chenhe @sjtu .edu .cn . 文章编号:100622467(2004)1121827205一种无线局域网的快速安全切换方案严 宏, 何 晨(上海交通大学电子工程系,上海200030)摘 要:提出一种应用于无线局域网的快速安全切换方案,它通过对邻接接入点的提前认证,可以减少切换时无线用户的重新认证时间;同时,漫游密钥和对主密钥的频繁更新可以保证切换安全.分析和仿真结果表明,该方案具有很低的切换时延,而且安全性较高.关键词:无线局域网;切换;提前认证;密钥更新;远程拨号认证服务中图分类号:TN 918.91 文献标识码:AFa s t a nd S e cure Ha ndoff in W ire le s s Loca l A re a Ne t w o rkYA N H ong , H E Chen(D ep t .of E lectron ic Eng .,Shanghai J iao tong U n iv .,Shanghai 200030,Ch ina )Abs tra c t :A fast and secu re handoff schem e fo r w ireless LAN w as p ropo sed .In th is schem e ,A P s adjacen tto the A P that is associated w ith the w ireless clien t are p re 2au then ticated by the RAD I U S au then ticati on server ,hence to reduce the ti m e con sum p ti on of re 2au then ticati on betw een tho se A P s and the w ireless clien t .In additi on ,synch ronou s rekeying of Pairw iseM aster Key and Roam ing Key can secu re the handoff p rocess .T he analysis and si m u lati on show that the p ropo sed schem e is efficien t in term s of handoff delay as w ell as secu rity .Ke y w o rds :w ireless local area netw o rk (W LAN );handoff ;p redictive au then ticati on ;rekeying ;rem o teau then ticati on dial in u ser service (RAD I U S ) 无线局域网(W LAN )具有宽带、易布设和可移动等特点,适合一些人员流动性大的场所,如机场,饭店等.在这些场所无线用户(W L C )在W LAN 中的切换非常频繁.如果W L C 切换前后所属的基本服务组(B SS )处于同一IP 子网,那么切换在数据链路层和物理层上就可以完成.IEEE 802.11T Gi 工作组建议采用I A PP (In ter 2A P P ro toco l )协议[1],但是该协议不但存在安全隐患[2],而且由于在切换过程中需要远程认证服务器(RA S )的参与,切换时延很大,不能支持实时业务[3].Pack 等[4]提出的基于提前认证的切换方案,可以降低切换时延,但是未考虑切换的安全性.本文在IEEE 802.11i D raft 3.0[5]的基础上,稍微修改远程拨号认证服务(RAD I U S )协议和EA POL 2Key (EA P over LAN Key m essage )消息后,提出一种基于提前认证的快速切换方案,具有较高的安全性,而且切换时延较小.1 WLAN 密钥等级IEEE 802.11i D raft 3.0定义了W LAN 的对密钥等级,用于保护单播通信.其中等级最高的是对主密钥PM K (Pairw ise M aster Key ),其他的还有:PT K (Pairw ise T ran sien t Key )、E M K (EA POL 2Key M I C Key)、EEK(EA POL2Key Encryp ti on Key)和T K(T em po ral Key).PM K的生成和更新由W L C和RA S同步完成,并由RA S将更新后的PM K通过RAD I U S协议转交给相关的A P.它的长度为256b it.W L C和RA S经历完整的802.1X接入认证后生成零阶对主密钥: PM K0=TL S-PR F(M K,"clien t EA Pencryp ti on"+clien tH ello.random+serverH ello.random)(1)式中:TL S-PR F(・)为传输层安全协议[6]中称为PR F的伪随机函数,它的核心是HM A C2M D5和HM A C2SHA1算法;M K为主密钥;clien tH ello. random和serverH ello.random为802.1X的EA P (Ex ten sib le A u then ticati on P ro toco l)认证产生的随机数;“+”为连接符.当W L C切换B SS时,W L C和RA S将当前的PM K n同步更新至PM K n+1: PM K n+1=TL S-PR F(M K,PM K n+m ax(A PM ac A ddr,STAM ac A ddr)+m in(A PM ac A ddr,STAM ac A ddr))(2)式中:n=0,1,2,…为PM K的阶数,它表示W L C自上次完整的802.1X认证后的切换次数;STA2 M ac A ddr为W L C的M A C地址;A PM ac A ddr为W L C切换的目标A P的M A C地址;m ax(・)和m in(・)比较M A C地址的大小,它们服从IEEE 802地址的字典顺序.W L C和A P拥有相同的PM K后,可以通过EA POL2Key消息交换获得PT K.而E M K、EEK和T K都从PT K中截取,其中E M K和EEK用于保护EA POL2Key消息交换,T K则保护正常的通信数据.为了切换的安全性,引入漫游密钥R K(Roam2 ing Key),它只在W L C和RA S间共享,生成方式与PM K的相似,但是长度为128b it.W L C和RA S经历完整的802.1X接入认证后生成零阶漫游密钥: R K0=TL S-PR F(M K,"clien t roam ingp ro tecti on"+serverH ello.random+clien tH ello.random)(3)当W L C切换B SS时,W L C和RA S会将当前的R K n更新至R K n+1: R K n+1=TL S-PR F(M K,R K n+m in(A PM ac A ddr,STAM ac A ddr)+m ax(A PM ac A ddr,STAM ac A ddr))(4)式中:n=0,1,2,…为R K的阶数.显然R K的阶数与PM K的阶数始终一致.图1所示为W LAN网络架构和密钥共享范围,该网络包含了5个A P和1个RA S.W LAN的密钥等级如图2所示.图1 W LAN网络F ig.1 W LAN netw o rk fram ew ork图2 W LAN密钥等级F ig.2 Key h ierarchy fo r W LAN2 邻接AP搜索算法在快速切换方案中,提前认证的范围包括W L C 关联A P的所有邻接A P.RA S确定邻接A P时需要考虑:A P的物理位置和W L C的服务等级.它用矩阵W=[w ij](i,j=1,2,…,N)存储A P之间的路径权重:w ij=0i=j1i≠j,d ij<Dm ink=1,2,…,N,k≠i,j(w ik+w k j)i≠j,d ij≥D(5)式中:N为该RA S所辖的A P数量;d ij为A P i和A P j之间最短的可达路径长度;D为B SS的最大覆盖直径.可取W L C的服务等级S=1,2,…,它决定邻接A P的数量.对于一个指定A P,凡是与该A P之间的路径权重小于等于S的所有A P都为该A P的8281 上 海 交 通 大 学 学 报第37卷 邻接A P .例如,在如图3所示的网络中(只标出了路径权重为1的路径),如果W L C 的服务等级为1,那么A P 4的邻接A P 为{A P 2,A P 5,A P 6,A P 7};如果W L C 的服务等级为2,则A P 4的邻接A P 为{A P 1,A P 2,A P 3,A P 5,A P 6,A P 7,A P 8}.显然,W L C 的服务等级越高,它关联A P 的邻接A P 就越多,也即提前认证的范围就越广,这样保证该W L C 在切换和提前认证时,可以以较高速度移动而不会在下一次切换前越过这个提前认证的范围,从而在下一次切换时可以采用快速切换方案;而对于服务等级较低的W L C ,它提前认证的范围比较小,如果它希望在每次切换时都采用快速切换方案,那么它的移动速度就受到限制.图3 邻接A P 示意图F ig .3 D emon strati on fo r adjacen t A P3 快速切换与提前认证3.1 快速切换当W L C 发现切换的目标A P 时,如果该A P 还未向RA S 提前认证,那么W L C 必须与该A P 以及RA S 经历完整的802.1X 接入认证;但是如果该A P 已经向RA S 提前认证,那么W L C 可以采用快速切换方案.它首先按照式(2)更新PM K ,然后与该A P 通过4次EA POL 2Key 消息交换[5]完成认证并获得各级密钥,从而打开802.1X 的控制端口,使W L C 可以与该A P 正常通信,图4为该会话过程.图4 EA POL 2Key 消息交换F ig .4 Fou r 2w ay handshake of EA POL 2Key m essage 前3次消息交换,EA POL 2Key 21、EA POL 2Key 22和EA POL 2Key 23,与IEEE 802.11i D raft 3.0中的一致,这里不再赘述.第4次消息交换,EA POL 2Key 24,在应用上有些修改,原本没有使用的Key D ata 域被用来传输W L C 的临时证书: TC =HM A C 2M D 5(R K ,W L C’sCertificate o r Pass w o rd )(6)式中,TC 为W L C 的身份证书或其他证件的消息认证码,长度为128b it .在生成TC 之前,W L C 应该按照式(4)更新漫游密钥R K .与其他EA POL 2Key 消息一样,EA POL 2Key 24也需要完整性保护,Key D ata 域也应加密.加密和完整性保护算法可以选择RC 4和HM A C 2M D 5组合,或者HM A C 2SHA 1和A ES 2CBC 2M A C 组合.3.2 提前认证A P 获得W L C 的临时证书TC 后,立即通知RA S ,使它可以启动与该A P 的邻接A P 之间的提前认证.详细的会话过程如图5所示.它遵从RA 2D I U S 协议[7],但增加一个帧类型(接入通知帧),以及两个新的属性(U ser 2W LAN 2C i p her 属性和U s 2er 2W LAN 2Key 属性).U ser 2W LAN 2C i p her 属性可以包含在接入请求帧或接入允许帧中,主要用来传送R SN IE (Robu st Secu rity N etw o rk Info rm ati on E lem en t ).U ser 2W LAN 2Key 属性则只能包含在接入允许帧中,主要用来传送加密后的PM K ,加密方法和U ser 2Pass w o rd 属性相同.图5 提前认证F ig .5 P redictive au then ticati on A P 通知RA S 启动提前认证的接入请求帧主要包含3个属性:U ser 2N am e 属性、U ser 2Pass w o rd 属性和U ser 2W LAN 2C i p her 属性.A P 将W L C 提交的临时证书TC 作为W L C 的口令,经A P 和RA S 共享的密钥加密后作为U ser 2Pass w o rd 属性的内容,加密方法见RAD I U S 协议[7](R FC 2138).U ser 2W LAN 2C i p her 属性的内容是W L C 与A P 在上次关联过程中协商的R SN IE .RA S 收到该接入请求帧后,从它的U ser 2Pass 29281 第11期严 宏,等:一种无线局域网的快速安全切换方案w o rd属性中获得W L C的临时证书TC.然后按照式(4)更新W L C的漫游密钥R K,并按照式(6)重新生成该W L C的临时证书,记为TC3.比较TC和TC3,如果两者不相同,RA S就向A P回应接入拒绝帧,并且不启动提前认证会话;否则,向A P回应接入允许帧,然后启动提前认证.其实RA S返回帧的类型不会影响该A P的状态.提前认证开始后RA S执行邻接A P搜索算法获得该A P的邻接A P,然后发送接入通知帧给每个邻接A P.这个帧必须包含U ser2N am e属性,它的内容就是W L C的用户名.该帧中A u then ticato r域的值为A=M D5(Code+I D+L ength+D ata+U ser2N am e A ttribu te+K)(7)式中:Code、I D、L ength分别为A ccess2N o tify帧中Code、Iden tifier、L ength域中的值;D ata值为0,长度为128b it;K为该A P和RA S按照RAD I U S协议共享的密钥.邻接A P收到接入通知帧后,先按照式(7)检验A u then ticato r域的值,如果不正确,不予回应;否则,回应接入请求帧给RA S,包含U ser2N am e和U ser2Pass w o rd属性.由于邻接A P发送该帧的目的是为了向RA S证明自己的身份,而不是W L C的身份,因此在生成U ser2Pass w o rd属性的内容时,口令为0,长度为128b it.RA S收到邻接A P的接入请求帧后,检验U s2 er2Pass w o rd属性的内容,如果不正确,回应接入拒绝帧;否则,RA S按照式(2)计算对应于该邻接A P 的PM K,然后回应接入允许帧,它必须包含U ser2 W LAN2C i p her属性和U ser2W LAN2Key属性,分别用来传送A P转交的R SN IE和更新后的PM K.如果邻接A P收到接入拒绝帧,则提前认证失败,W L C进入该A P的B SS时,不能使用快速切换方案;如果邻接A P收到的是接入允许帧,则提前认证成功,W L C可以采用快速切换方案进入该A P的B SS.4 仿真结果仿真用O PN ET软件实现.W LAN网络如图3所示.网速为11M b s,A P与RA S之间的数据率为100Kb s,相邻A P之间的最大距离为100m,A P 与RA S之间的距离在20km左右.4.1 切换时延在上述仿真环境中,测得提前认证阶段消耗的时间t p re=42.327m s,它主要由A P和RA S之间4次RAD I U S帧交换的传输时延引起.I A PP协议在切换过程中需要RA S的参与,无法避免A P和RA S之间的传输时延,所以切换时延很大.而本文提出的快速切换方案在切换过程中无需RA S参与,节省了A P和RA S之间的传输时延,从而大幅降低了切换时延.图6为W L C按图3中的虚线移动时的切换时延t h,横坐标为W L C先后关联的A P序号,i=1,2,4,7,8,9.图6 切换时延F ig.6 H andoff delay4.2 WLC的移动速度在仿真环境中,当W L C切换的目标A P没有被提前认证时,W L C就无法采用快速切换方案,该次切换的时延设为一个非常大的常数.图7为服务等级为1的W L C以0~150km h的速度在相同的路径上移动时的平均切换时延tγh,它们都非常小而且几乎一致.所以服务等级为1的W L C支持0~150km h的常规移动速度.图7 支持的移动速度F ig.7 Suppo rted move velocity 为了能采用快速切换方案,服务等级为1的W L C以速度v移动时,前后两次切换地点的路径长度应大于D m in,D m in=v(t h+t p re)(8)假设W L C以150km h的速度移动,那么D m in 1.86m,非常小.所以,在现有的W LAN应用环境中,为W L C提供服务等级1已经足够.5 安全性分析快速切换方案假定:RAD I U S认证服务器RA S 可信;W L C当前关联的A P可信,其他设备均不可信.切换中采用的EA POL2Key消息交换和提前认0381 上 海 交 通 大 学 学 报第37卷 证中采用的RAD I U S 协议在应用上都已经成熟,而且证明是安全的.W L C 能够通过重新认证的前提是W L C 和切换的目标A P 拥有同步更新的PM K .PM K 在W L C 、切换的目标A P 和RA S 之间共享,不会出现在无线链路上;PM K 由W L C 和RA S 共享的主密钥生成;PM K 更新算法TL S 2PR F 的核心是HM A C 2SHA 1和HM A C 2M D 5算法,到目前为止,这两个算法在计算上是安全的.图8为TL S 2PR F 算法对明文的扩散性测试,R (x )为密文比特发生变化的百分比,x 为明文比特发生变化的位置(明文长度为352b it ).显然改变任何1b it 明文会导致大约1 2的密文比特发生变化,这样攻击者更新过程中获得关于PM K 的消息很难;邻接A P 在要求获得更新的PM K 时,需要向RA S 证明自己的身份;RA S 向A P 分发的PM K 受到共享密钥的保护.因此,攻击者无法获得正确的PM K ,从而无法伪装成W L C 来欺骗AP ,或是伪装成A P 来欺骗W L C .图8 TL S 2PR F 对明文的扩散性测试 F ig .8 D iffu sib ility Q of TL S 2PR F algo rithmagain st p lain tex t 同样,A P 也无法欺骗RA S .RA S 可以依赖A P与RA S 之间的共享密钥来验证A P 的身份.A P 只有向RA S 提交了W L C 的临时证书TC ,才能使RA S 相信该W L C 确实处于该A P 的B SS 内,从而启动对邻接A P 的提前认证.临时证书的生成算法是HM A C 2M D 5,在计算上是安全的;漫游密钥R K 只在W L C 和RA S 之间共享,而且不会出现在通信链路上,其他设备无从得知;R K 在每次切换时都会通过TL S 2PR F 算法更新;W L C 递交临时证书时,会对它采用RC 4或HM A C 2SHA 1加密保护;A P 转交临时证书时,也会用共享密钥加密保护.所以临时证书很难伪造或篡改,攻击者很难欺骗RA S 而使RA S 误启动提前认证,因此破坏W L C 和RA S 之间PM K 和R K 的同步更新很难.6 结 语PM K 和R K 在每次切换时都需要经过安全算法在无线用户和RAD I U S 认证服务器之间同步更新,使得其他网络设备很难窃听或参与切换过程的消息交换,保证了切换的安全性.通过对邻接A P 的提前认证,切换过程就无需远程RAD I U S 认证服务器的参与和EA P 认证,从而使它的切换时延远远小于I A PP 协议,而且仿真结果表明它支持常规移动速度的无线用户.参考文献:[1] IEEE Std 802.11F 22003.IEEE recomm ended p racticefo r m u lti 2vendo r access po in t in teroperab ility via an in ter 2access po in t p ro toco l acro ss distribu ti on system s suppo rting IEEE 802.11operati on [S ].[2] Jesse W Q ,N ancy C .Fast roam ing ob servati on s [EBOL ].h ttp : gouper .ieee .o rg group s802 11,2002201210.[3] M ish ra A ,Sh in M ,A rbaugh W .A n emp irical analy 2sis of the IEEE 802.11M A C layer handoff p rocess [A ].AC M SIGCOMM Co m puter Co mm un ica tion Re -v iew Arch ive [C ].N ew Yo rk :A C M P ress ,2003.93-102.[4] Pack S ,Cho i Y .Fast in ter 2A P handoff u sing p redic 2tive 2au then ticati on schem e in a pub lic w ireless LAN [EB OL ].h ttp : mm lab .snu .ac .k r research pub li 2cati on docs N etw o rk s 2002-shpack .pdf ,2002208210.[5] IEEE Std 802.11i D 3.022002.802part 11:w irelessm edium access con tro l (M A C )and physical layer (PH Y )specificati on :specificati on fo r enhanced secu 2rity [S ].[6] D ierk s T ,A llen C .T he TL S p ro toco l versi on 1.0[EB OL ].h ttp : www .faqs .o rg rfcs rfc 2246.h tm l ,1999201220.[7] R igney C ,R ubers A ,Si m p son W ,et a l .R emo te au 2then ticati on dial in u ser service (RAD I U S )[EB OL ].h ttp : www .faqs .o rg rfcs rfc 2138.h tm l ,1997204211.1381 第11期严 宏,等:一种无线局域网的快速安全切换方案。