1、概述
IEEE 802.16d安全子层,提供鉴权、安全密钥交换和加密并定义了加密封装协议、密钥管理(PKM)协议,提供多种管理信息和业务的加密密钥和算法,并提供用户认证和设备认证两种认证方式。
2、体系结构
在802.16d版本中主要是通过在MAC(媒体接入控制)层中定义了一个安全子层来提供安全保障,如图1所示。安全子层主要包括两个协议:数据加密封装协议和密钥管理协议。其中数据加密封装协议定义了IEEE 802.16 d支持的加密套件,即数据加密与完整性验证算法,以及对MAC PDU载荷应用这些算法的规则。而密钥管理协议则定义了从基站向用户工作站分发密钥数据的安全方式,两者之间密钥数据的同步以及对接入网络服务的限制。
2.1 MAC层
IEEE 802.16d的安全规范主要存在于MAC层上。MAC层通过安全子层来实现安全策略,它提供了安全认证、安全密钥交换和加密,其目标是提供接入控制和保证数据链路的机密性。
在WiMAX网络中,当两个节点建立一个链接时,它们通过一系列协议来确保两者之间的机密性和惟一连接。基站(BS)和用户站(SS)之间的握手机制是通过MAC层中的安全子层完成的,其中包含5个实体:安全联盟(SA)、X.509证书、PKM认证、机密性密钥管理和加密。
根据WiMAX的最初草案文件,通过安全子层提供机密性、校验和加密,然而为了达到更好的安全保障,在无线协作骨干网中需要一种端到端的安全策略,它能提升最初草案中的安全机制。
2.2 物理层
IEEE 802.16d的安全机制主要位于MAC层的安全子层,大部分运算法则和安全机制也都工作于此。物理层和MAC层是紧密联系在一起的,物理层上的安全策略主要以密钥交换、编码、解码的形式存在,用于对入侵者隐藏数据信息。另外一个与物理层相关的方面就是传输功率。未经授权频段的WiMAX与已获授权频段的WiMAX的功率水平相比较低,其目的是减少干扰半径。
由于调制也是在物理层上完成的,基于这种考虑,其他安全措施也可以安置于物理层上。因为数据对应一个特定的接收者,不可能被其他接收者解码,所以扩频也可以作为一种安全措施。这意味着如果某个接收者不知道扩频码,即使拥有对数据的物理接入,也无法解码该数据包。
2.3 安全层
WiMAX安全规范的核心基于MAC层协议栈的安全子层,大部分的算法和安全机制都以MAC控制信息的形式存在于此。所以,WiMAX可以自由地选取工作在7层模型中更高层(如网络层、传输层、会话层等)上的安全机制,这些机制包括IP安全(IPSec)协议、传输层安全(TLS)协议和无线传输层安全(WTLS)协议。该子层提供接入控制,通过电子签名认证用户和设备,并且应用密钥变换进行加密以保证数据传输的机密性。当两个设备建立连接,协议发挥了确保机密性和认证接入设备的作用。BS和CPE(用户端设备)之间的协调通信通过MAC层的安全子层实现。
3、802.16d的安全关键技术
3.1 包数据加密
包数据加密有3种方式:3-DES EDE(encrypt-decrypt-encrypt)、AES ECB(electronic codebook)、RSA 1 024 bit,密钥在认证过程中分发,且动态更新。
3.2 密钥管理协议
PKM使用X.509数字证书、RSA公钥算法以及强壮的加密算法来实现BS和SS之间的密钥交换。
PKM协议使用了C/S模型,在这个模型中,SS作为PKM的“Client”,向BS请求密钥资源,而BS作为PKM的“Server”,对这些请求进行响应,确保了每个SS只收到向它授权的密钥资源。PKM协议使用PKM-REQ和PKM-RSP等MAC管理消息完成这个过程。
PKM协议用公钥加密机制在BS和SS之间建立共享密钥(AK),确保后续TEK(数据加密密钥)的安全交换。这种密钥分发的两层机制使得TEK的更新不再需要公钥操作的计算代价。
3.3 安全联盟
一个SA是BS和Client SS(一个或多个)之间为了支持在IEEE 802.16网络上的安全通信而共享的一个安全信息集合。定义了3种SA:基本SA、静态SA、动态SA。每个可管理的SS在初始化过程中都会建立一个基本SA。静态SA由BS提供。动态SA根据特定服务流的初始化和终止而建立和删除。静态SA和动态SA都能被多个SS共享。
一个SA的共享信息应该包括在该SA上使用的cryptographic suite,还可能包括TEK和初始化向量。SA的具体内容取决于SA的cryptographic suite,SA由SAID惟一标识。
每个可管理的SS应该与BS之间建立一个惟一的基本SA,该SA的SAID应该等于该SS的Basic CID。
一个SA的密钥资源(如DES密钥和CBC初始化向量)都有一个有限的生命周期。当BS将SA密钥资源发给SS时,它同时也提供了该密钥资源的剩余生存时间。在SS当前持有的密钥资源失效时,SS就会向BS请求新的密钥资源。如果在新的密钥收到之前,当前密钥失效,SS就会重新进行网络登录。PKM协议规定了如何使BS和SS之间保持密钥同步。
3.3.1 SA与连接之间的映射
下列规则用于连接与SA之间的映射关系。
◆所有的传输连接应该映射到一个已经存在的SA。
◆多播传输连接可能映射到任意一个静态或动态SA。
◆Secondary Management连接应该映射到基本SA。
◆Basic和Primary Managemnet连接不应该映射到任何SA。
在实际应用中,上述这些映射关系的实现是通过在DSA-XXX消息中包含SA的SAID和相应的CID来实现的。Secondary Management连接和基本SA之间的映射不必明确指出。
3.3.2 动态SA的建立和映射
动态SA是BS为了响应特定的下行业务流的enabling和disabling而动态建立和终止的SA。SS通过DSx消息的交换获得特定的privacy-enabled业务流与它的动态分配的SA之间的映射。
通过向SS发送SA add message,BS能动态建立SA。一旦收到一个SA add message,SS就会为该消息中的每个SA开始一个TEK状态机。
当建立一个服务流时,SS可能在DSA-REQ或DSC-REQ消息中传送一个已经存在的SA的SAID。BS检查此SA的SS是否得到授权,然后利用DSA-RSP或DSC-RSP消息相应地产生正确的响应。
在BS发起的动态服务流建立过程中,BS可能将一个新的服务流和一个已经存在的、SS支持的SA进行映射,这个SA的SAID在DSA-REQ或DSC-REQ中发送给SS。
3.3.3 Cryptographic Suite
Cryptographic Suite是SA中用于数据加密、数据认证以及TEK交换的方法的集合,它应该是表1中的某一个。
4、WiMAX安全机制存在的问题及未来改进
从前面802.16d版本安全机制可以看出,安全机制主要存在以下问题。
◆单向认证。只能基站认证工作站,工作站不能认证基站,这样可能导致中间人攻击。
◆认证机制缺乏扩展性。认证机制只是基于X.509证书,因此缺乏扩展性。
◆缺乏抗重放保护。攻击者可以通过截获数据包进行重放来对系统发起攻击。
◆在802.16d版本对数据的加密采用的是DES-CBS算法,这种算法的密钥长度只有56 bit,容易遭受到穷举攻击。
802.16e为了解决802.16d中安全机制存在的一些问题,主要做了以下改进。
◆新的PKM协议,PKMv1仅提供基于设备的单向认证,PKMv2提供MAC层的用户鉴权和设备认证双重认证。用户认证采用类似Wi-Fi的体系结构,增加了认证中继单元,即WiMAX安全框架由请求者、认证中继、认证系统和认证服务器系统4部分组成。认证系统(AAA代理)和认证服务器系统(AAA服务器)之间的交互采用封装方式。
◆引进了AES-CCM数据加密协议。AES-CCM是基于AES的CCM模式,该模式结合了Counter(计数器)模式(用于数据保密)和CBC-MAC(cipher block chaining message authentication code)模式(用于数据完整性鉴权),这样就解决了802.16d版本中安全机制缺乏抗重放保护和加密算法本身不安全的问题。
◆在802.16e中为了支持快速切换,引进了预认证的概念。
◆多播安全方面,WiMAX论坛目前只提供了一些草案:多播传输连接可以映射到任何静态的或动态的安全关联,用于更新TEK的密钥请求和密钥回应消息通过Primary管理连接来装载。
但是802.16e安全仍然有很多问题需要进一步改进。
在IEEE 802.16e中提出了双向认证概念,它需要BS颁发数字证书,但是使用双向认证时也允许单向认证存在,并且增加了系统代价和实现复杂度,新厂商加入时会引起所有厂商的信任列表更新,这些有待改进。
要想真正保证WiMAX的安全性,还必须扩大安全子层,对管理信息进行加密;规范授权SA;规范随机数发生器;改善密钥管理;实现包括WLAN、WAPI等的无线多网互通安全机制报告,最后还要考虑与2G、3G系统共用AAA体系的过程。WiMAX在标准制定中已经将SS接入控制的安全性需求放在了重要的位置上,一些最新的认证和密钥管理技术被引入标准。然而,这些安全接入控制技术在实际操作中还存在诸多问题,如如何合理使用,是否存在其他安全问题,是否符合网络部署地区实际情况等。国外的厂家一般根据标准的要求和WiMAX论坛的要求制定自己产品和解决方案的安全方案,在芯片层面增加了安全的部件来实现传输数据的安全,另外也在应用层面上支持802.1x、RADIUS等认证机制来提高整个运营系统的认证安全。国内的厂家研究一般侧重于增强认证体系的引入,如EAP、EAP-SIM、EAP-AKA等认证技术,强调与2G、3G网络的统一安全认证结合过程。
在当前的802.16e安全机制中增加了多播的建议,但这也带来了基站负担加重和更新及回应密钥请求效率低等问题。
【编辑推荐】