公共无线局域网安全体系结构设计与研究.doc

基于接入控制器模式的 公共无线局域网安全体系设计 宋宇波, 胡爱群, 杨晓辉 （东南大学信息安全研究中心 江苏 南京 210096） [摘要] 公共无线局域网面临网络安全、用户数据保护、身份认证、移动管理及网络服务等多方面的挑战。将现有的公共无线局域网分为WISP-owned, Operator-owned以及for Enterprise 3种类型，并分别讨论了各种类型的特征及其架构。在此基础上提出一种基于接入控制器模式的通用安全体系，可应用与目前大多数类型的公共无线局域网。提出了一种802.1X和WEB认证的混合型认证协议，该协议在进行WEB认证时将利用802.1X协商后产生的密钥进行，可有效的抵抗窃取服务、基站伪装、消息窃听等攻击，并与现有公共无线局域网Web认证相兼容。 [关键词] 公共无线局域网; 安全体系; 认证; 接入控制器 [中图分类号] TP393.17 [文献标识码] A [文章编号] 1009(1742(2008)00(0000(00 1 前言 随着无线应用和无线网络技术的快速发展,人们希望能够在降低网络基础设施的成本，同时能享受随时随地的移动网络应用，得到高效率、高质量、低商业成本的网络服务。网络连接将从公司、学校等私有网络扩展到诸如机场、宾馆、公园、商业区等人群密集的公共热点地区。由于无线局域网技术在传输速率、设备成本、网络复杂度、可管理性、室内短距无线通信等方面无疑具有优势，因此基于IEEE802.11[1]标准无线局域网技术的公共无线局域网络(PWLAN, public wireless local area network)无疑是目前提供高速公共无线网络连接的理想解决方案。近年来，国内外已有很多网络运营商架构了公共无线局域网，提供11~54 Mb/s的无线宽带网络服务。 公共无线局域网是在机场、车站、酒店、旅馆、超市、剧场、公园、会议场所等人口密集的公共热点地区部署基于无线局域网技术，提供高带宽无线互联网接入服务的无线网络系统。它面临着网络安全、用户数据保护、身份认证、移动管理及网络服务等多方面的挑战。现有的公共无线局域网又不同的运营商经营，其体系结构差别较大。使得用户无法在不同运营商之间的无线局域网间进行自由切换和漫游。另外，现有的公共无线局域网没有专门的安全认证机制，目前网络运营商一般采用基于WEB认证实现用户的认证授权、接入和计费。然而这存在较大的安全漏洞，攻击者可以通过IP或MAC地址欺骗窃取服务，底层的数据缺乏加密和完整性保护，同时这种认证方式无法抵抗基站伪装攻击。 将现有的公共无线局域网分为WISP-owned、Operator-owned以及for Enterprise 3种类型，并分别讨论了各种类型的特征及其架构。在此基础上提出一种基于接入控制器模式的通用安全体系，可应用与目前大多数类型的公共无线局域网。另外，提出了一种802.1X和WEB认证的混合型认证协议，该协议可有效的抵抗窃取服务、基站伪装、消息窃听等攻击，并与现有公共无线局域网WEB认证相兼容。 2 公共无线局域网架构 从现有的应用上看，目前的公共无线局域网结构上基本相似，都是基于现有互联网的事实标准架构，其采用的无线局域网技术为IEEE802.11或者是HIPERLAN。其提供服务模式基本上是有线网络服务的扩展和延伸。从应用模式和体系结构上看，可将公共无线局域网定义为以下3种类型： 1) WISP-owned PWLAN 由无线互联网服务提供商（WISP, wireless internet server porvider)架构的公共无线局域网。其主要特点为公共无线局域网是有线互联网接入服务的延伸，网络运营商提供主要向用户提供互联网接入服务，网络运营商拥有自己的基于互联网的认证授权计费管理系统。其架构由无线接入点、接入控制器、IP核心网络、网关、管理系统和本地网络应用构成。 2) Operator-owned PWLAN 由蜂窝网络运营商(cellular network operator)架构的公共无线局域网。这种公共无线局域网体系结构最先由Juha Ala-Laurila [2] 等人在2001年提出，其主要思路是充分利用蜂窝网络的基础设施和资源架构公共无线局域网。无线局域网传输速率高，成本低廉，部署简单，但覆盖距离小，只能部署在特定的公共热点地区；而蜂窝网络具有覆盖范围大，并已得到广泛的部署和应用，拥有良好的计费漫游管理设施和庞大的客户群，但数据传输速率低而且费用高。因此，两种网络有着很好的互补性，两者结合可以满足那些需要宽带无线接入又需要随时随地的移动网络连接的用户需求。目前已有面向GSM, GPRS, CDMA2000, 3G蜂窝网络运营商的PWLAN架构方案。 欧洲