（通信与信息系统专业论文）wimax网络用户端到端安全认证研究与实现.pdf

w l m a x 网络用户瑞到端安全叭证研究与实现 摘要 i e e e8 0 2 1 6 标准是宽带无线接入标准，基于i e e e8 0 2 1 6 标准的w 1 m a x 是 一种新兴的宽带无线接入方式，覆盖范围可达5 0 公里，最高传输速率可达 7 5 m b p s 。目前尚无真正意义上的商用w i m a x 网络，但在不久的将来，它必将成为 一种极具竞争力的无线城域网接入方式。i e e e 标准仅定义了空中接口的物理层 和m a c 层，而上层协议以及与核心网的互通并未规定。与其它网络系统一样，保 证信息安全始终是w 1 m a x 网络建设中的关键问题，而用户认证是保证整个网络系 统安全特性的基础。因此，研究如何保证帆m a x 网络用户与核心网之间端到端用 户安全认证，防止非法用户对网络的无授权使用和潜在攻击，具有十分重要的意 义。 密钥管理协议( p r i v a t ek e ym a n a g e m a n t ，p k m ) 是i e e e8 0 2 1 6 标准中规 定的用于提供w l m a x 基站和移动用户之间进行认证和交换密钥的机制。在i e e e 8 0 2 1 r e 中定义的p k m v 2 中，允许支持基于e a p ( 可扩展认证协议) 的认证，但 并未具体规定采用怎样的认证方法和e a p 认证方式。此外，在w l m a x 网络中，包 括空中接口在内的r 1 - - r 5 是开放的标准接口，而包括基站( b s ) 一接入网网关 ( a s n g w ) 接口在内的r 6 ，r 8 是非开放接口，其具体实现由设备制造询自行决定。 因此，作者结合一个实际w x m a x 网络开发项目，自定义了一套用于w 1 m a x 网络中 r 6 接口的消息与流程，并结合i e e e8 0 2 1 6 定义的空中接口安全标准，基于e a p 认证机制，提出了一个完整的w 1 m a x 网络用户端到端安全接入认证模型，并给出 了移动用户在初始接入和切换各种不同场景下的详细接入流程。实验测试结果和 安全性分析表明此模型中移动用户的接入认证是安全有效的。 关键字i e e e8 0 2 1 6w l m a x 用户认证端到端中图分类号t p 3 9 3 1 复口人学硕+ 学位论文 4 w 1 m a x 网络用户端到端安全认证研究与实现 a b s t r a c t i e e e8 0 2 1 6i sab r o a d b a n dw i r e l e s sa c c e s ss t a n d a r d w i m a xi san e w b r o a d b a n dw i r e l e s sa c c e s sm e t h o db a s e do ni e e e8 0 2 1 6 w i m a xc a ns u p p o r t ar a n g eu pt o5 0 k ma n dab i tr a t eu pt o7 5 m b p s n o wt h e r ei sn or e a l c o m m e r c i a lw i m a xn e t w o r k ，b u tl nt h en e a rf u t u r e ，i tm u s tb e c o m eav e r y c o m p e t i t i v ew i r e l e s sm e t r o p o l i t a na r e an e t w o r ka c c e s s m e t h o d i e e e s t a n d a r do n l yd e f i n e st h ep h y s i c a ll a y e ra n dm a cl a y e ro ft h ea i ri n t e r f a c e a n di td o e sn o td e f i n et h eu p p e rl a y e rp r o t o c o l sa n dt h ei n t e r w o r k i n gw i t h t h ec o r en e t w o r k l i k eo t h e rn e t w o r ks y s t e m s ，b o wt oe n s u r et h es e c u r i t y o fi n f o r m a t i o ni sa l w a y st h ec r i t i c a l1 s s u ei nt h ec o n s t r u c t i o no fw l m r x n e t w o r k s ，a n du s e ra u t h e n t i c a t i o ni st h eb a s i so fe n s u r i n gt h es e c u r i t y p r o p e r t yo ft h ew h o l en e t w o r ks y s t e m t h e r e f o r e ，i t1so fg r e a ti m p o r t a n c e t os t u d yt h ee n d t o e n du s e ra u t h e n t i c a t i o nb e t w e e nt h eu s e ra n dt h ec o r e n e t w o r kt o p r e v e n tt h eu n a u t h o r i z e du s ea n dp o t e n t l a la t t a c ko ft h e n e t w o r k p e m ( p r i v a t ek e ym a n a g e m a n t ) p r o t o c o li sam e c h a n l s md e f m e di ni e e e8 0 2 1 6 f o rt h ea u t h e n t i c a t i o na n dk e ye x c h a n g i n gb e t w e e nw l m a xb sa n du s e r s p k m v 2d e f i n e di ni e e e8 0 2 1 6 ea l l o w st h es u p p o r to fe a p ( e x t e n s i b l e a u t h e n t i c a t i o np r o t o c 0 1 ) b a s e da u t h e n t i c a t i o n ，b u ti td o e sn o td e f i n e s p e c x f l c a l l yw h a tk i n do fa u t h e n t i c a t l o no re a pm e t h o dt ou s e b e s i d e s i n l m a xn e t w o r k s ，t h ei n t e r f a c e sr 1 一r 5 ( i n c l u d i n gt h ea l ri n t e r f a c e ) a r e s t a n d a r di n t e r f a c e sw h i c ha r eo p e n t h ei n t e r f a c e sr 6 ，r 8 ( i n c l u d i n gt h e i n t e r f a c eb e t w e e nb sa n da s n g w ) a r en o to p e na n dt h e i ri m p l e m e n t a t i o na r e d e t e r m n e db yt h ee q u i p m e n tm a n u f a c t u r e r s t h ea u t h o rd e f i n e das e to f m e s s a g e sa n ds c e n a r l o sf o rr 6 ，p r o p o s eaw h o l ea r c h l t e c t u r eo fw i m a xu s e r e n d t o - e n da c c e s sa u t h e n t i c a t i o nb a s e do ne a pa n dc o m b l n e dw i t hi e e e 8 0 2 1 6a i ri n t e r f a c es e c u r l t ys t a n d a r d t h ed e t a i l e ds c e n a r i o sd u r i n gt h e i n i t i a le n t r ya n dh a n d o v e r sa r ea l s og i v e n t h et e s tr e s u l ta n ds e c u r i t y a n a l y s i ss h o wt h a tt h eu s e ra u t h e n t i c a t i o ni nt h i sa r c h i t e c t u r ei ss e c u r e a n de f f e c t l v e k e y w o r d si e e e8 0 2 1 6 ，w i m a x ，u s e ra u t h e n f i c a t i o n ，c n d - t o e n dc l ct p 3 9 3 1 复旦 学硕十学位论文 5 1 i 论文的背景与意义 w i m a x 网络用户端剑端安全认证研究与实现 第一章引言 上世纪9 0 年代，宽带无线接入技术快速的发展起来。1 9 9 9 年，i e e e 成立了 8 0 2 1 6 工作组专门开发宽带无线技术标准，其目标是建立一个全球统一的宽带 无线接入标准。i e e e 8 0 2 1 6 标准又称为i e e ew i r e l e s sm a n 空中接口标准，工 作于2 - 6 6 g h z 无线频带。它所规定的无线系统覆盖范围可高达5 0 k m ，因此8 0 2 1 6 系统主要应用于城域网。为了在全球范围推广这一标准，几家世界知名电信企业 发起成立了w 1 m a x ( w o r l d w l d ei n t e r o p e r a b l l i t yf o rm i c r o w a v ea c c e s s ) 微波 接入全球互操作眭论坛。因此，通常我们将基于i e e e8 0 2 1 6 标准的无线城域网 称为w 1 m a x 网络。 据预测，w l m a x 到2 0 0 7 年将进入主流市场，w i 姒x 芯片集将破普遍内置到笔 记本电脑或其他便携设备中；到2 0 0 9 年，w 1 m a x 在新的高速无线技术市场将占 7 0 的份额。对于商用网络来说，若重要信息泄漏或非法用户接入网络，可能会 造成巨大的损失。而由于w 】_ m a x 无线网络空中接口的开放性，它易于成为攻击者 的目标。对移动用户和网络来说，存在的安全威胁包括：无授权访问，窃听，伪 装，信息篡改等等。为保证授权访问，必须进行身份认证所谓认证 ( a u t h e n t i c a t i o n ) ，是指对实体的身份进行确认。为保证信息的机密性和完整 性，必须对消息进行加密和完整性保护，而所需的会话密钥和消息鉴别密钥通常 在认证的过程中进行协商。由此可见，认证是保证网络系统整个安全特陡的基础。 因此，安全认证的目标就是提供一套完整的加密和认证机制，认证网络实体的身 份，分配会话密钥，并保证密钥的新鲜性，最大程度地保护合法用户的安全数据 传输，同时避免非法用户的无授权访问或数据泄密。 在w l m a x 中，认证是双向的，即不仅包括服务网络对用户的认证，也包括用 户对网络的认证。i e e e8 0 2 1 6 标准仅规定了w 1 m a x 网络空中接口的物理层和m a c 层，其中包括空中接口认证协议，但上层协议以及与核心网的互通不在其规定范 围内。为解决以上问题，构成完整的运营系统，w l m a xf o r u m 给出了w i m a x 网络 端到端功能模块参考模型，但完整的移动用户与核心网之间端到端认证方案的设 计，包括一些网络接口和会话密钥的分配，完全是开放的。因此，对w 1 m a x 瑞到 端安全接入认证机制的全面分析研究与解决，将为即将商用w l m a x 网络系统提供 强有力的安全保障，具有十分重要的意义。 复旦人学硕十学位论文 6 1 2 论文作者的工作 w l m a ) 【网络用户端到端安全认证研究与实现 在研究w l m a x 网络系统结构的基础上，对v h m a x 系统面临的安全威胁进行分 析 对目前各种加密和认证技术进行深入研究 对i e e e8 0 2 1 6 空中接口标准，尤其是密钥管理协议进行全面研究 提出一个能保证端到瑞安全接入认证的模型，包括定义各网络实体的功能， 各网络实体间的接口，初始及切换各状态下的安全接入流程。根据认证流程的需 要，自定义了一套r 6 接口( 基站一接入网网关接口) 消息 实现了模型中的移动用户、基站、接入网网关和a a a 服务器中与认证相关的 各部分功能 基于以上实现，通过实验侧试和安全性分析对此模型进行了验证 1 3 论文结构 全文共分五章。第一章对本课题的研究目的和研究内容作简要阐述；第二章 基于i e e e8 0 2 1 6 标准和w l m a xf o r u m 工作组的定义，详细分析w z m a x 嘲络标准 和组成结构，作为讨论端到端认证模型的基础；第三章对目前的加密和认证技术 作详细研究；第四章首先讨论w z m a x 系统面临的安全威胁，然后在前文的基础上 详细阐述作者提出一个完整的w l m a x 网络端到端安全接入认证模型，并对其进行 了实现。通过实现和分析对作者提出的模型进行了验证评价。第五章对全文进行 总结，并提出今后进一步研究的方向。 复口人学顽十学位论文 w l 姒x 网络用户端到端安全认证研究与实现 第二章w i m a x 网络系统 2 1i e e e8 0 2 1 6 标准体系简介 i e e e8 0 2 1 6 标准系列到目前为止包括i e e e8 0 2 1 6 、i e e e8 0 2 1 6 a 、i e e e 8 0 2 1 6 c 、i e e e8 0 2 1 6 d 、i e e e8 0 2 1 6 e 、i e e e8 0 2 1 6 f 和i e e e8 0 2 1 6 9 七个 标准，各标准相应的负责技术领域如表1 所示。 标准号负责的技术领域 。，。 8 0 2 1 6 1 0 6 6 g g h z 固定宽带无线接入系统空中接口 8 0 21 6 a 2 - 1 1 g h z 固定宽带接入系统空中接口 8 0 2 1 6 c 1 0 6 6 g h z 固定宽带接入系统的兼容性 8 0 2 1 6 d 2 - 6 6 g h z 固定宽带接入系统空中接口 8 0 2 1 6 e 2 - 6 g h z 固定和移动宽带无线接入系统空中接口 8 0 21 6 f 固定宽带无线接入系统空中接口m i b 要求 8 0 2 1 6 9固定和移动宽带无线接入系统空中接口管理平面流程和服务要求 表18 0 2 1 6 系列各标准负责的技术领域 i e e e8 0 2 1 6 e 是移动宽带无线接入标准，该标准后向兼容i e e e8 0 2 1 6 d 。 i e e e8 0 2 1 6 的协议体系结构如图1 所示。 _ ( 1 丙甄f h 特定业务汇集于培 | 管理文体 ( m a c c s ) 一l 特定业务? r 聚子膳 一坚皇! ! ! 卜一 m a c 公头部分f 胺 ( m a c c p s ) l - 管理实体 im a c 公共部分子层 加密子堪 il加密f 壕 ( m a cp s ) ( 盟墨酽 物理层 i 管理买体 ( p h y ) - i 物理层 l 睡b 8 0 21 6 8 0 21 6 c l e e e s 0 21 6 瞻 数据控制平血管理平幽 图18 0 2 1 6 协议体系结构 m a c 层包括三个子层，从上到下依次是： 1 服务聚合子层( s e r v i c e s p e c i f i cc o n v e r g e n c es u b l a y e r ，c s ) ：服务聚 复旦大学硕士学位论文8 w i m a x 网络用户端到端安全认证研究与实现 合子层是和高层协议的接口，把通过c s 服务接入点( s a p ) 接收到的上层协议的 数据包转变或映射为m a c 层服务数据单元( s 叫) ； 2m a c 公共部分子层( c o m m o np a r ts u b l a y e r ，c p s ) ：实现m a c 的主要功能， 如系统接入，动态带宽分配，链接的建立以及链接的维护； 3 加密子层( p r i v a c ys u b l a y e r ，p s ) ：提供加密、认证、密钥交换等与安 全有关的功能。 2 2w i m a x 网络系统端到端模型 上述i e e e 标准仅定义了8 0 2 1 6 空中接口的p h y 和m a c 层。为布署一个成功 和可操作的商业系统，不仅需要空中链路互操作性，还需要厂商间、网络间系统 级互操作性。所谓互操作性是基于在各功能实体间定义通信协议和数据平面处理 方式，来达到全面的端到端功能，例如安全管理和移动管理等。因此，w i m a xf o r u m 成立了网络工作组( n e t w o r kw o r k i n gg r o u p ) 来为开放的网络间接口开发标准的 网络接口模型，为固定及移动w i m a x 系统定义i e e e8 0 2 1 6 标准之外的高层网络 规范。 目前，w i m a xf o r u m 网络工作组已经定义了一个w i m a x 网络参考模型，它是 网络结构的逻辑代表。开发此模型的目的在于为从游牧，便携，简单移动到全移 动的w i m a x 网络布署模型和使用场景中需求的功能提供统一的支持。w i m a x 端到 端网络结构基于全i p 平台，全分组交换技术。使用全i p 意味着可使用一个公共 的核心网络。 图2 给出了一个w i m a x 解决方案的端到端模型。 复旦大学硕七学位论文 9 w l m a x 网络用户端到端安全认证研究与实现 图2w 1 m a x 网络系统模型 接口定义： r l ；m s 和接入服务网之间的接口，即空中接口 r 2 ：m s 和连接服务网之间的逻辑接口 r 3 ：接入网络和连接服务网络之间的接口 r 4 ：接入网络实体间的接口 r 5 ：连接服务网络之间的接口 r 6 ：b s 和接入网络网关之间的接口 r 8 ：b s 间的接口 a s n 作为一个逻辑实体，负责管理i e e e 8 0 2 1 6 空中接口，为w 1 姒x 用户提 供无线接入。a s n 网关( a s n g w ) 是b s 和c s n 通信的管理通信实体。c s n 为w 1 m a x 用户提供i p 连接功能，可包含路由器，a a a 服务器，用户数据库和互联嘲关等。 图2 中这些模块的功能可以在单个物理设备中实现，也可分布在多个物理设 备上。制造商可选择将一个功能实体( 如a s n ) 的功能组合或分布在物理设备中， 只要这些实现符合功能和互操作上的需求。 如图2 所示，r 1 - r 5 是开放的标准接口，而r 6 ，r 8 是非开放接口因此， 作为端到瑞安全机制的一部分，下文中将为r 6 接口设计一套具体的消息和流程。 复旦大学硕士学位论文 1 0 w 1 m a x 网络用户端到端安全认讧研究与实现 第三章认证和加密基本概念 3 1 密码学基本概念 消息( m e s s a g e ) 破称为明文( p l a i n t e x t ) ，用某种方法伪装消息以隐藏它 内容的过程称为加密( e n c r y p t i o n ) ，被加密的消息称为密文( c l p h e r t e x t ) ，而 把密文转变为明文的过程称为解密( d e c r y p t i o n ) 。 基于密钥的算法有两类：对称算法和公开密钥算法。 3 1 1 对称算法 对称算法( s y m m e t r i ca l g o r i t h m ) 中，加解密密钥相同。加密和解密表示为： 乓( m ) = c 巩( c ) = m 其中，m 表示明文，c 表示密文。e 是加密函数，d 是解密函数。 对称算法有两种基本类型：分组密码算法( b l o c ka l g o r i t h m ) 和序列密码 算法( s t r e a ma l g o r i t h m ) 。分组密码算法是在明文分组和密文分组上进行运算 通常分组长为6 4 比特，有时更长。序列密码算法作用在明文和密文数据流 的1 比特或1 字节上利用分组算法，相同的明文用相同的密钥加密永远得到相 同的密文。用序列算法，每次对相同的明文比特或字节加密都会得到不同的密文 比特或字节。 密码分组链接( c b c ) 模式是分组密码算法使用最广泛的模式之一。 在c b c 模式中，明文被加密之前要与前面的密文进行异或运算。如图3 a 所 示，第一个分组明文被加密后，其结果也被存在反馈寄存器中，在下一明文分组 加密之前，它将与反馈寄存器进行异或作为下一次加密的输入，其结果又被存进 反馈寄存器，再与下一分组明文进行异或，直到消息结束。每一分组的加密都依 赖于所有前面的分组。 解密时( 见图3 b ) ，第一个分组密文被正常的解密，并将该密文存入反馈寄 存器，在下一分组被解密后，将它与寄存器中的结果进行异或。接着下一个分组 的密文被存入反馈寄存器，如此下去直到整个消息结束。 复旦人学硕士学位论文 w l m a ) ( 网络用户端到端安全认证研究与实现 c 1 jc 。 c + ( a ) c b c 加密 p i ，p lp l + 。 ( b ) c b c 解密 图3 密码分组链接模式 用数学语言表示为： c ，= e k ( po e 一。) 只= c j 。o b ( e ) 为防止将相同的消息将加密成相同的密文，用加密随机数据作为第一个分 组，这个随机数据分组被称之为“初始化向量( i n l t l a h z a t i o nv e c t o r ，i v ) ”。 它使每个消息唯一化。当接收者进行解密时，用它来填充反馈寄存器，然后将它 忽略它。使用i v 后，完全相同的消息可以被加密成不同的密文消息。 常用的对称算法有数据加密标准( d e s ) 、国际数据加密算法( i d e a ) 和高级 加密标准( a e s ) 等。 3 1 2 公开密钥算法 公开密钥算法( p u b l i c - k e ya l g o r i t h m ) 中，用作加密的密钥不i 刮于用作解 富的密钥，而且解密密钥不能根据加密密钥计算出来。之所以叫做公开密钥算法， 是因为加密密钥能够公开。加密密钥叫做公开密钥( p u b l i c k e y ，简称公钥) ， 解密密钥叫做私人密钥( p r i v a t ek e y ，简称私钥) 。 r s a 是一个较完善的公开密钥算法。r s a 以它的三个发明者r o nr i v e s t ，a d i s h a m i r 和l e o n a r da d l e m a n 的名字命名。r s a 的安全基于大数分解的难度。其公 开密钥和私人密钥是一对大素数( 1 0 0 到2 0 0 个十进制数或更大) 的函数。从一 个公开密钥和密文中恢复出明文的难度等价于分解两个大素数之积 为了产生两个密钥，选取两个大素数，p 和口。为了获得最大程度的安全性， 复日人学硕七学位论文 w 1 姒x 网络用户端到端安全认证研究与实现 两数的长度一样。计算乘积 以= p q 然后随机选取加密密钥e ，使e 和( p 一1 ) ( g 一1 ) 互素。最后用欧几里德扩展算 法计算解密密钥d ，以满足 e d z l m o d ( p 1 ) ( g - 0 则， d = p m o d ( ( p 一1 ) ( g 一1 ” 注意d 和 也互素。g 和”是公开密钥，d 是私人密钥。两个素数p 和q 不再 需要，它们应该被舍弃，但绝不可泄露。 公开密钥 n ：两素数p 和q 的乘积( p 和g 必须保密) p ：与( p 一1 ) ( g 一1 ) 互素 私人密钥 d ：p m o d ( ( p 一1 ) ( q - 1 ) 1 加密 c = t - r 。r o o d 行 解密 m = c 。m o d n 3 1 3 单向散列函数 表2r s a 加密解密 单向散列函数h ( m ) 作用于一任意长度的消息m ，它返回一固定长度的散 列值h ： h = 日( m ) 其中h 的长度为m 。 单向散列函数具有使其单向的如下特性： 给定m ，很容易计算h 。 给定h ，根据h ( m ) = h 计算肘很难。 给定m ，要找到另一消息肘并满足h ( m ) = h ( m 。) 很难。 在实际中，单向散列函数建立在压缩函数的想法上给定一长度m 的输入， 单向函数输出长为月的散列值。压缩函数的输入是消息分组和文本前一分组的输 复旦大学硕士学位论文 w i b l a x 网络用户端剑端安全认证研究与实现 出。输出是到该点的所有分组的散列，即分组m ，的散列为： 啊= 厂( m 。， 一) 该散列值，和下一轮的消息分组一起，作为压缩函数下一轮的输入。最后一 分组的散列就成为整个消息的散列。 m d 5 算法 m d 5 的全称是m e s s a g e - d i g e s ta l g o r x t h m5 ( 信息一摘要算珐) ，在9 0 年代 初由m i tl a b o r a t o r yf o rc o m p u t e rs c i e n c e 和r s ad a t as e c u r i t yi n c 的r o n a l d l r i v e s t 开发出来，经m d 2 、m d 3 和m d 4 发展而来。对输入消息，算法产生1 2 8 一 位散列值。 在一些初始化处理之后，m d 5 以5 1 2 一位分组来处理输入文本，每一分组又划 分为1 6 个3 2 一位子分组。算法的输出由四个3 2 一位分组组成，将它们级联形成一 个1 2 8 一位散列值。 安全散列算法( s h a ) 安全散列算法s h a ( s e c u r eh a s ha l g o r i t h m ，s h a ) 是美国国家标准和技术局 发布的国家标准f i p sp u b1 8 0 - i ，一般称为s h a 一1 。s h a 算法思想与m d 5 算法类 似。但s h a 产生1 6 0 位散列，具有比m d 5 更强的安全性。 3 1 4 消息鉴别码 有密钥控制的单向散列函数通常称为m a c ( m e s s a g ea u t h e n t i c a t i o nc o d e ) ， 即消息鉴别码。m a c 具有与先前讨论的单向散列函数同样的特性，但m a c 还包括 一个密钥。只有拥有相同密钥的人才能计算出相应的散列值。因而具有身份鉴别 功能。将单向散列函数变成m a c 的一个简单的办法是用对称算法加密散列值。 3 2 认证协议 为了使保密通信双方能够确信其通信对象，而不是攻击者，通信双方应在进 行保密通信前进行身份认证。目前无线网络的认证一般基于e a p 协议。p p p 可扩 展认证协议( p p pe x t e n s i b l ea u t h e n t i c a t i o np r o t o c 0 1 ) ，简称e a p ，是一个 通用的二进制协议，它的优势在于支持多种认证机制。网络访问服务器n a s 作为 后端a a a 服务器的透明传输代理，所有认证工作由a a a 服务器执行 由于e a p 协议的可扩展胜，基于e a p 协议的认证系统可以使用多种不同的认 证方法，如队p m d 5 ，队p - t l s ，e a p - s i m ，e a p t t l s 以及e a p a k a 等。由于e a p t t l s 强大的双向认证功能，我们选择它为w i m a x 系统的端到端认证协议。 复巨人学硕十学位论文 1 4 3 2 1c h a p w i m a x 网络用户端到端安全认证研究与实现 挑战握手认证协议( p p pc h a l l e n g eh a n d s h a k ea u t h e n t l c a t i o n p r o t o c o l ，c h a p ) 是通过三次握手周期性的认证对端的身份，在初始链路建立时 完成，可以在链路建立之后的任何时候重复进行。 i 链路建立阶段结束之后，认证者向对端发送“挑战”消息。其中包括会 话i d 和一个任意生成的挑战值。 2 对端用经过单向散列函数计算出来的值做应答。返回用户名，加密的挑 战口令，会话i d ，其中用户名以非散列方式发送。 3 认证者根据它自己的预期散列值的计算来检查应答，如果值匹配，认证 得到承认；否则，连接应该终止。 4 经过一定的随机间隔，认证者发送一个新的挑战给对端，重复1 到3 。 通过递增改变的标识符和可变的挑战值，c h a p 防止了重放攻击，重复挑战 限制了对单个攻击的暴露时间，认证者控制挑战的频度。 该认证方法依赖于认证者和对端共享的密钥，密钥不通过链路发送。c h a p 要求密钥以明文形式存在。 与e a p 结合使用时，c h a p 的信息以一定的形式封装在e a p 包中进行交换。 3 2 2e a p - t t l s e a p t t l s 全称是e a pt u n n e l l e dt l sa u t h e n t i c a t i o np r o t o c o l 。分为版本 0 和版本l 。本文中采用版本0 。e a p - t t l s v o 包格式定义如图4 所示。 081 63 i i 代码标汲 长度 l 炎申标志位潲息艮度 潲息长度数掘 图4e a p - t t l s v 0 数据包格式 代码：l 为请求，2 为响应 标识：1 字节，用于将响应与请求匹配 长度：长度字段为2 字节，指示整个e a p - t t l s 包( 从代码字段到数据字段) 的字节数 类型：对于e a p t t l s ，类型值为2 l 标志位： 复旦大学硕十学位论文 w l m a ) ( 网络用户端到端安全认1 正研究与实现 图5e a p - t t l s v o 数据包标志位 l ( l e n g t hi n c l u d e d ) ：设置l 比特来指示4 字节t l s 消启长度字段的存在 m ( m o r ef r a g m e n t s ) ：指示将有多个分段 s ( s t a r t ) ：指示这是一个s t a r t 消息 r ( r e s e r v e d ) ：保留 v ( v e r s i o n ) ：指示e a p - t t l s 的版本，对e a p t t l s v 0 来说，设置为0 0 0 消息长度：消息长度字段为4 字节，当l 比特置为1 时才存在。此字段提供 分段前的原始数据消息序列的总长度 数据：对所有除s t a r t 包之外的数据包，d a t a 字段由原始t l s 消息序列或其 分段构成。对s t a r t 包，数据字段可选的包含一个属性一值对序列 每个g a p t t l s v 0 消息包含一个t l s 消息的序列。e a p 携带协议( 如，8 0 2 1 6 e ， r a d i u s ) 可能对e a p 消息的长度有限制。因此有必要将一个e a p - t t l s v o 消息分 段成多个队p 消息。e a p - t t l s 具有分段和重组功能。e a p t t l s 包格式破设计为 利用l 比特，m 比特和消息长度字段将e a p t t l s 消息分成几个包。 e a p t t l s 分为两个阶段：第一阶段是t l s 握手，第二阶段利用第一阶段建 立的t l s 记录层通道作为一个隧道来进行用户认证，支持的用户认证协议包括 p a p ，c h a p 。m s c h a p 和胚一c h a p - v 2 等。 3 2 2 1e a p - t t l s 阶段1 ：t l s 协议 i 错处理 存客p 划干臌务嚣本文巾c h a p 作为 i 翔进 j 舅伞辨衄成用数姑 | 藩固f 习f ：二习圈 图6t l s 协议 安全传输层协议t l s ( 版本1 o ) 在r f c 2 2 4 6 中定义。t l s 用于在两个通信 复日人学硕十学位论文 1 6 w l 姒x 网络用户端到端安全认1 正研究与实现 应用程序之间提供保密性和数据完整性。如图6 所示。该协议由两层组成：t l s 记录协议( t l sr e c o r d ) 和t l s 握手协议( t l sh a n d s h a k e ) 。 t l s 握手过程如图7 所示。 t l s 握手协议包括以下步骤： 交换h e l l o 消息以协商密码算法，交换随机值并检查会话是否可重用 交换必要的密码学参数，使客户和服务器能够协商p r e m a s t e rs e c r e t 交换证书和密码学信息，使客户和服务器能够进行相互认证 使用交换的随机值和p r e m a s t e rs e c r e t 生成主秘密m a s t e rs e c r e t 为记录协议提供安全参数 图7t l s 握手 t l s 记录协议提供连接安全，有两个基本特陛： 连接是私有的。数据加密( 如，d e s ，r c 4 ，等等) 使用对称加密。为每 条连接独立生成对称加密用的密钥，密钥是基于由另一个协议( 如t l s 握手协议) 协商的一个s e c r e t 。记录协议也可用于无加密。 连接是可靠的。消息传输包含使用k e y e dm a c 的一个消息完整性检查 安全的散列函数( 如，s h h ，m d 5 ，等等) 用于m a c 计算。记录协议可在没 有m a c 的情况下操作，但通常它只用于这种模式：另一个协议利用记录 协议作为传输安全参数的协商。 t l s 记录协议需要一个算法从握手协议提供的安全参数( m a s t e r _ s e c r e t ， s e r v e r _ r a n d o m 和c h e n tr a n d o m ) 生成密钥，初始化向量，和m a cs e c r e t s 。 t l s 协议中关于密钥计算的规定如下： 步骤1 ：生成p r e _ m a s t e r s e c r e t ： 复日人学硕十学位论文 w l m a ) ( 网络用户端到端安全认证研究与实现 p r em a s t e r 5c l i e n t v e r s i o n + r a n d o m ， p r em a s t e r s e c r e t = r s a e n c y p r t ( p r e _ m a s t e r ，s e r v e r _ c e r t i f i c a t e ) 其中“+ ”表示级联。 步骤2 ：计算m a s t e rs e c r e t ： m a s t e r _ s e c r e t = p r f ( p r em a s t e r _ s e c r e t ，”m a s t e rs e c r e t ”， c l i e n t h e l l o ，r a n d o m + s e r v e r h e l l o ，r a n d o m ) 0 4 7 m a s t e rs e c r e t 长度始终为4 8 字节。p r e m a s t e rs e c r e t 的长度依赖于密钥 交换方法。 其中p r f 是伪随机算法： 步骤3 ：生成加密材料， 直到生成足够的输出。 步骤4 然后对k e y _ b l o c k 作以下分割： c l l e n t w r i t e m a c s e c r e t s e c u r i t y p a r a m e t e r s h a s h _ s i z e s e r v e r _ w r i t em a c s e c r e t s e c u r l t y p a r a m e t e r s h a s h _ s i z e c l l e n t _ w r l t e _ k e y s e c u r l t y p a r a m e t e r s k e y _ m a t e r i a l l e n g t h s e r v e r _ w r l t e _ k e y s e c u r l t y p a r a m e t e r s k e y _ m a t e r i a l l e n g t h c h e n t _ w r l t e i v s e c u r l t y p a r a m e t e r s i v _ s i z e s e r v e r _ w r i t e i v s e c u r l t y p a r a m e t e r s i vs i z e 步骤5 对可出口块加密的进一步处理： 可出口加密算法( c i p h e r s p e c i s _ e x p o r t a b l e 值为t r u e 的) 需要如下额外 处理来获得它们最终的写密钥： f i n a l c h e n t _ w r l t e _ k e y = p r f ( s e c u r i t y p a r a m e t e r s c l i e n tw r i t e k e y ， ”c l i e n tw r i t ek e y ”， 复日人学硕士学位论文 8 w 1 m a x 网络用户端到端安全认证研究与实现 亘当旦垫童篁鲨丛坠! ! ! 鲨：垦塑堕垫墼主壅堡室塑塑塑塑些囱量! i vb l o c k = p r f ( 。”i vb l o c k ”，s e c u r i t y p a r a m e t e r s c l i e n tr a n d o m + s e c u r l t y p a r a m e t e r s s e r v e rr a n d o m ) i v b l o c k 像上面的k e y _ b l o c k 二壁坌塑堕全塑塑垡塑量! 兰! 三! ! = ! 兰! ! ! = ! ! ! ! ! 曼竺三! ! 兰! 呈! 垒婴呈! 皇! 兰：! ! = 曼! 圣旦j 以握手中协商的方式，用上文中生成的m a c 密钥和加密密钥对数据进行分 段，压缩，附加m a c ，加密，添加t l s 头部。 3 2 2 2e a p t t l s 阶段2 ：隧道 在阶段2 中，t l s 记录层用于在客户和t t l s 服务器间以隧道安全的传输信 息。第2 阶段支持的认证方式包括c h a p ，p a p ，m s c h a p 等等。以c h a p 为例，被 隧道传输的c h a p 信息( 如，u s e r - n a m e ，c h a p c h a l l e n g e 和c h a p p a s s w o r d ) 封装在属性一值对( a t t r i b u t e - v a l u ep a i r s ，a v p ) 序列中，再封装在t l s 和 e a p t t l s 中发送。 图8e a p - t t l s 阶段2 1m s s 将u s e r n a m e ，c h a p - c h a l l e n g e 和c h a p p a s s w o r d 信息编码在a v p 序列 中，将此序列交给t l s 记录层进行加密。 !坠!二!垒!g!堡丛!竖!婴堕!主苤堡二一一 l 唑! 二! ! ! ! ! ! ! ! ! ：! 坠! ! ! ! ! ! ! ! ! ! 坚婴! ! 竺! ：翌! ! ! ! ! ；! ! ! 翌! ： 复日大学硕士学位论文 1 9 w 1 m a x 网络用户端到端安全认证研究与实现 c h a p p a s s w o r d 由c h a pi d e n t i f l e r ( 从c h a l l e n g em a t e r i a l 中获得) 和 c h a pr e s p o n s e ( 根据c h a p 算法计算得到) 组成。 c h a p p a s s w o r d = c h a pi d + c h a pr e s p o n s e c h a pr e s p o n s e = m d 5 ( c h a pi d + u s e rp a s s w o r d + c h a p c h a l l e n g e ) c h a pr