38、802.11与3G认证的互操作性解决方案

最新推荐文章于 2025-10-12 12:53:21 发布

珊珊333333

最新推荐文章于 2025-10-12 12:53:21 发布

阅读量40

点赞数

CC 4.0 BY-SA版权

分类专栏：探索计算机网络新趋势与创新文章标签： 802.11 3G认证 AAA协议

本文链接：https://blog.youkuaiyun.com/css33/article/details/150760827

探索计算机网络新趋势与创新专栏收录该内容

38 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

802.11与3G认证的互操作性解决方案

1. 问题提出

在当今的无线通信领域，IEEE 802.11无线局域网（WLAN）协议和第三代蜂窝（3G）协议各自有着广泛的应用。IEEE 802.11无线协议覆盖区域及其内部实体构成了802.11域，而3G蜂窝协议覆盖区域及其内部实体则构成了3G域。当这两个域之间需要进行数据通信时，首要任务就是实现两个域内对等实体的相互识别。在802.11域中，802.11 WLAN终端可进行认证；在3G域中，3G终端则依据3GPP规范中的方法进行认证。然而，要实现3G域和802.11域之间的认证，还面临着诸多问题：
- 身份识别方案不统一 ：3GPP采用智能卡中的用户服务身份模块（USIM），而IEEE 802.11 MT则根据具体实现使用终端ID、MAC地址等。需要一种通用的方式来识别对等实体。
- 缺乏相互认证 ：认证机制应能实现802.11 WLAN MT与3G MT之间的相互认证。
- 密钥协商问题 ：为保证通信的机密性和完整性，802.11 WLAN MT和3G MT之间需共享密钥，认证机制应提供密钥协商功能。
- 认证层问题 ：802.11 WLAN和3G域均在链路层进行认证，但两者在物理层和链路层使用不同的协议和技术，应采用上层认证。
- 中间节点认证消息安全交换 ：需要确保两个域核心网络之间中间节点的认证消息安全交换。
- 域间认证消息安全 ：每个域都有各自的认证方案，需保证认证消息在域间的安全性。
- 计算和通信效率 ：由于无线设备处理能力和电池资源有限，协议执行所需的消息数量和带宽至关重要。

2. 通用解决方案

为解决上述问题，提出的解决方案是独立处理每个域，不修改各域的安全机制，而是基于两个域中AAA服务器的通信。具体步骤如下：
1. 终端认证与请求 ：802.11 MT和3G MT在各自系统中成功认证后，向所在域的认证客户端表明通信请求。
2. 认证客户端操作 ：认证客户端进行必要操作，将认证请求发送给认证服务器，并附带合适的身份信息，以便将请求路由到目标域。
3. 具体解决措施 ：
- 统一标识 ：每个终端使用NAI（网络访问标识符）格式名称。
- 相互认证 ：通过AAA协议中两个AAA服务器之间的共享密钥实现相互认证。
- 建立安全隧道 ：AAA协议可根据给定属性和会话密钥在两个域之间建立安全隧道。
- 上层认证 ：依据AAA协议，采用网络层或上层认证。
- 消息机密性和完整性 ：AAA协议除认证消息外，还提供多种保证消息机密性和完整性的机制，如使用整个消息的MAC。
- 消息保护 ：利用各域的安全机制保护消息。
- 减轻终端负担 ：终端认证消息的处理由核心网络中的AAA客户端负责，不影响移动终端的电池和处理能力。

以下是该解决方案的基本结构和操作流程的mermaid流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([802.11 MT和3G MT认证]):::startend --> B(向认证客户端发送请求):::process
    B --> C(认证客户端操作):::process
    C --> D(发送认证请求到服务器):::process
    D --> E{认证是否成功}:::decision
    E -->|是| F(建立安全隧道通信):::process
    E -->|否| G(认证失败):::process

3. 详细场景分析

下面详细介绍从3G MT到802.11 MT的消息传输场景：
1. 3G终端开机与连接建立 ：3G终端开机后，启动连接建立程序，其中包括AKA（认证与密钥协商）算法，实现3G MT与3G网络的相互认证。3G - SGSN（服务GPRS支持节点）执行认证程序，在连接建立程序结束时，SGSN与3G MT之间建立IK(i)和CK(i)，并使用加密算法fa对消息进行加密，RNC根据该算法执行加密过程。
2. 接入分组交换域与PDP上下文激活 ：3G MT若要向3G网络外的分组数据网络（PDN）发送消息，需接入分组交换（PS）域，并激活分组数据协议（PDP）上下文。在激活PDP上下文之前，3G MT需向SGSN执行GPRS附着操作，SGSN从HLR（归属位置寄存器）获取3G MT的用户数据，用于PDP上下文激活。附着过程结束后，SGSN获取用户的APN（接入点名称）列表。
3. PDP上下文激活过程 ：3G MT发起PDP上下文激活程序，SGSN根据3G MT的APN设置获取GGSN（网关GPRS支持节点）的信息，并使用用户的APN列表检查3G MT是否有权限访问所选APN。SGSN与GGSN之间通过G接口进行消息传递，使用用户数据报协议UDP/IP。PDP上下文激活是GTP（GPRS隧道协议）控制平面功能，GTP - C消息受IPsec安全协议保护，始终处于ESP（封装安全有效负载）模式和隧道模式。激活成功后，3G MT与3G GGSN之间建立会话，GGSN为3G MT分配IP地址。
4. 消息发送与加密 ：成功激活上下文后，3G MT可使用已建立的PDP上下文向802.11发送分组数据。消息从MT到SGSN使用fg算法和建立的CK(i)进行加密，具体形式为：
- 3G MT -> SGSN : f _g [CK(i), COUNT - C, BEARER, DIRECTION, LENGTH] || 明文
- 其中，COUNT - C是与时间相关的输入，BEARER是承载标识，DIRECTION是传输方向，LENGTH是所需密钥流的长度。
5. 消息从SGSN到GGSN传输 ：消息通过GTP用户平面（GTP - U）从SGSN发送到GGSN，所有PDP PDU都封装在GTP中。由于SGSN和GGSN在同一安全域，通常无需使用IPsec，但在安全要求较高的情况下可使用。GGSN根据消息的目的地址使用DNS解析接收方的域信息，构建3G MT和802.11 MT的NAI格式身份信息。GGSN作为AAA客户端，当通过特殊APN建立的PDP上下文接收到消息时，执行必要的安全功能。GGSN向3G域的AAA服务器发送AAA请求消息，询问802.11域中是否存在具有802.11 MTid的身份，并表明自身有一个具有3G MTid的用户。请求消息还包含有关安全通道的属性和加密会话密钥，整个消息使用GGSN与3G AAA服务器之间的共享密钥进行签名。

以下是一个示例APN配置表格：
| 参数 | 详情 |
| ---- | ---- |
| PDP上下文数量 | 50,000 |
| 最大同时活跃用户数 | 100,000 |
| 安全启用 | 是 |
| SA模式 | 隧道 |
| 安全协议 | ESP |
| SGW地址 | 802.11域中SGW的IP地址 |
| APN标签 | SecureCommunication |
| GGSN访问模式 | 透明 |
| IP地址分配器 | DHCP服务器IP地址 |

3. 后续流程与消息处理

3G域AAA服务器处理 ：3G域的AAA服务器使用共享密钥解密消息，若验证成功，则搜索AAA请求中的用户。若用户属于802.11域且已与3G AAA服务器相互认证，3G AAA服务器将访问请求消息转发给802.11 AAA服务器，并使用3G AAA服务器与802.11 AAA服务器之间的共享密钥（SK _3G80211 ）对消息进行签名。
802.11域AAA服务器验证 ：802.11域的AAA服务器验证接收到的访问请求。若验证成功，则验证用户和3G AAA服务器提供的隧道属性。
用户验证结果处理 ：
- 验证失败 ：若用户验证失败，802.11域的AAA服务器拒绝3G域AAA服务器的请求消息，3G域AAA服务器将此信息传递给GGSN，GGSN可能启动PDP上下文去激活程序。
- 验证成功 ：若用户验证成功，802.11域的AAA服务器检查安全隧道的属性并解密提供的会话密钥，同时检查用户是否有权使用给定的安全机制。若用户未定义安全机制，发送拒绝消息给3G AAA服务器；若用户定义了多种安全机制且其中一种与3G域提供的安全机制属性相同，则接受该机制；若定义的安全机制与提供的不匹配，802.11域的AAA服务器准备响应消息，表明接受用户，并使用SK _3G80211 签名后发送给3G AAA服务器。
3G AAA服务器响应处理 ：若消息验证通过，3G AAA服务器使用密钥S&GSN3G对响应消息进行签名，并发送给GGSN。
GGSN处理结果与隧道建立 ：GGSN验证消息后，检查隧道属性，可能出现以下情况：
- 接受所有属性 ：若对等方接受所有属性和会话密钥，将建立具有认证步骤中确定属性的安全隧道。GGSN使用商定的加密算法和密钥，通过安全隧道将3G MT的PDU发送到802.11域，具体形式为：
  - GGSN <-> 802.11 AP安全隧道建立
  - GGSN -> 802.11 AP : Alg _{GGSN - AP} - Encrypt _{K
    _{GGSN - AP}} [PDU]
  - 其中，Alg _{GGSN - AP} 为商定的IPSEC协议（如AH或ESP），K _{GGSN - AP} 为商定的加密密钥。
- 不接受部分属性 ：若对等方不接受部分属性或会话密钥，若GGSN支持3G域提供的属性，可准备新的请求包并重新开始消息传递；若不支持，则可能启动PDP上下文去激活程序。
消息传递到802.11 MT ：假设802.11域使用增强安全网络（ESN），802.11 AP使用配置的密钥和选定的加密方法将消息发送给802.11 MT，具体形式为：
- 802.11 AP -> 802.11 MT : Alg _{AP - MT} - Encrypt _{K
  _{AP - MT}} [3GMTid || 802.11MTid || Msg]
- 其中，K _{AP - MT} 是802.11 AP与802.11 MT之间的密钥，可手动分配或通过自动密钥管理技术分配；Alg _{AP - MT} 是802.11 AP与802.11移动终端协商的加密套件（如WEP、WEP2、AES）。

以下是消息交换流程的mermaid流程图：

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([3G MT发送消息]):::startend --> B(SGSN处理):::process
    B --> C(GGSN处理):::process
    C --> D(AAA请求发送到3G域AAA服务器):::process
    D --> E{3G域AAA服务器验证}:::decision
    E -->|成功| F(转发到802.11域AAA服务器):::process
    E -->|失败| G(通知GGSN):::process
    F --> H{802.11域AAA服务器验证}:::decision
    H -->|成功| I(处理隧道属性):::process
    H -->|失败| J(拒绝请求):::process
    I --> K(发送响应消息):::process
    K --> L{3G AAA服务器验证响应}:::decision
    L -->|成功| M(通知GGSN):::process
    L -->|失败| N(重新处理):::process
    M --> O{GGSN检查隧道属性}:::decision
    O -->|接受| P(建立安全隧道发送PDU):::process
    O -->|不接受| Q(重新请求或去激活PDP上下文):::process
    P --> R(802.11 AP接收并转发给802.11 MT):::process

4. 方案优势与展望

该方案具有诸多优势。首先，它无需在3G MT和802.11 MT上安装新软件，802.11 MT和3G MT在各自安全域内完成认证，认证互操作性主要通过3G域的GGSN、802.11域的AP和两个域的AAA服务器之间的消息传递来实现，能够提供3G MT与802.11 MT之间的无缝认证。

从未来发展来看，随着技术的进步，3G域和802.11域在结构上可能都会采用AAA技术。在3G域中，IP多媒体子系统已使用AAA协议进行用户认证；支持ESN的802.11网络也使用AAA基础设施进行认证。因此，预计无需为这两个域的认证定义新机制，AAA基础设施可用于实现互操作性，为无线通信领域的发展提供了一种高效、安全的解决方案。

802.11与3G认证的互操作性解决方案

5. 技术点分析

在上述解决方案中，涉及到多个关键技术点，下面对这些技术点进行详细分析：

5.1 NAI格式的使用

NAI（网络访问标识符）格式在整个认证互操作性方案中起到了关键作用。它为每个终端提供了统一的标识方式，解决了3G和802.11两个域中身份识别方案不统一的问题。通过使用NAI格式，GGSN能够准确地构建3G MT和802.11 MT的身份信息，并在不同域之间进行有效的身份传递和识别。例如，在消息传递过程中，GGSN将3G MT和802.11 MT的身份以NAI格式包含在AAA请求消息中，使得AAA服务器能够清晰地识别用户身份，为后续的认证和通信提供了基础。

5.2 AAA协议的应用

AAA（认证、授权和计费）协议是实现3G和802.11域之间认证互操作性的核心。它主要体现在以下几个方面：
- 相互认证 ：通过AAA协议中两个AAA服务器之间的共享密钥，实现了3G MT和802.11 MT之间的相互认证。这种相互认证机制确保了通信双方的身份真实性，提高了通信的安全性。
- 安全隧道建立 ：AAA协议可以根据给定的属性和会话密钥，在两个域之间建立安全隧道。安全隧道的建立为数据传输提供了安全的通道，保护了数据的机密性和完整性。
- 消息机密性和完整性 ：除了认证功能外，AAA协议还提供了多种保证消息机密性和完整性的机制。例如，使用整个消息的MAC（消息认证码）来验证消息的完整性，防止消息在传输过程中被篡改。

5.3 加密算法的使用

在整个消息传输过程中，使用了多种加密算法来保证数据的安全性。例如，在3G MT与SGSN之间的消息传输中，使用了fg算法和建立的CK(i)进行加密；在GGSN与802.11 AP之间的安全隧道中，使用了商定的IPSEC协议（如AH或ESP）和加密密钥进行加密；在802.11 AP与802.11 MT之间的消息传输中，使用了协商的加密套件（如WEP、WEP2、AES）进行加密。这些加密算法的使用有效地保护了数据的机密性，防止数据在传输过程中被窃取。

6. 操作步骤总结

为了更清晰地展示整个认证互操作性的过程，下面将操作步骤进行总结：
1. 3G终端开机与连接建立 ：3G终端开机后，启动连接建立程序，包括AKA算法，实现与3G网络的相互认证，建立IK(i)和CK(i)。
2. 接入分组交换域与PDP上下文激活 ：3G MT接入PS域，激活PDP上下文，执行GPRS附着操作，获取用户数据和APN列表。
3. PDP上下文激活过程 ：3G MT发起PDP上下文激活程序，SGSN获取GGSN信息，检查APN权限，通过G接口与GGSN通信，激活PDP上下文，GGSN为3G MT分配IP地址。
4. 消息发送与加密 ：3G MT使用已建立的PDP上下文向802.11发送分组数据，消息从MT到SGSN使用fg算法和CK(i)进行加密。
5. 消息从SGSN到GGSN传输 ：消息通过GTP - U从SGSN发送到GGSN，GGSN解析接收方域信息，构建NAI格式身份信息，向3G域的AAA服务器发送AAA请求消息。
6. 3G域AAA服务器处理 ：3G域的AAA服务器解密消息，验证请求，若用户属于802.11域且已相互认证，转发请求到802.11域的AAA服务器。
7. 802.11域AAA服务器验证 ：802.11域的AAA服务器验证请求，验证用户和隧道属性。
8. 用户验证结果处理 ：根据用户验证结果，802.11域的AAA服务器发送相应的响应消息。
9. 3G AAA服务器响应处理 ：3G AAA服务器验证响应消息，签名后发送给GGSN。
10. GGSN处理结果与隧道建立 ：GGSN检查隧道属性，根据结果建立安全隧道或重新请求、去激活PDP上下文。
11. 消息传递到802.11 MT ：802.11 AP使用配置的密钥和加密方法将消息发送给802.11 MT。

7. 对比分析

与其他一些解决无线通信安全问题的方案相比，本方案具有明显的优势。例如，一些方案使用VPN（虚拟专用网络）和IKE（互联网密钥交换）协议代理模式来实现端到端的安全，但这些方案通常会给网络带来复杂的计算工作，并且TLS（传输层安全）协议对于移动设备来说是资源消耗较大的协议。而本方案基于AAA协议和现有各域的认证机制，无需在3G MT和802.11 MT上安装新软件，认证互操作性主要通过核心网络中的AAA客户端和AAA服务器之间的消息传递来实现，减轻了移动终端的负担，提高了通信效率。

8. 总结

综上所述，提出的基于AAA协议的解决方案有效地解决了3G和802.11网络之间的认证互操作性问题。通过使用统一的身份标识、AAA协议、加密算法等技术手段，实现了3G MT和802.11 MT之间的安全通信。该方案具有无需安装新软件、减轻终端负担、提供无缝认证等优势，并且随着3G域和802.11域在结构上逐渐采用AAA技术，预计未来无需为这两个域的认证定义新机制，AAA基础设施将能够很好地实现互操作性，为无线通信领域的安全发展提供了一种可行的解决方案。

以下是整个流程的关键步骤总结表格：
| 步骤 | 操作内容 | 涉及设备 |
| ---- | ---- | ---- |
| 1 | 3G终端开机与连接建立 | 3G MT、SGSN |
| 2 | 接入分组交换域与PDP上下文激活 | 3G MT、SGSN、HLR |
| 3 | PDP上下文激活过程 | 3G MT、SGSN、GGSN |
| 4 | 消息发送与加密 | 3G MT、SGSN |
| 5 | 消息从SGSN到GGSN传输 | SGSN、GGSN |
| 6 | 3G域AAA服务器处理 | GGSN、3G域AAA服务器 |
| 7 | 802.11域AAA服务器验证 | 3G域AAA服务器、802.11域AAA服务器 |
| 8 | 用户验证结果处理 | 802.11域AAA服务器、3G域AAA服务器、GGSN |
| 9 | 3G AAA服务器响应处理 | 3G域AAA服务器、GGSN |
| 10 | GGSN处理结果与隧道建立 | GGSN、802.11 AP |
| 11 | 消息传递到802.11 MT | 802.11 AP、802.11 MT |

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;

    A([开始]):::startend --> B(3G终端开机与连接建立):::process
    B --> C(接入分组交换域与PDP上下文激活):::process
    C --> D(PDP上下文激活过程):::process
    D --> E(消息发送与加密):::process
    E --> F(消息从SGSN到GGSN传输):::process
    F --> G(3G域AAA服务器处理):::process
    G --> H(802.11域AAA服务器验证):::process
    H --> I(用户验证结果处理):::process
    I --> J(3G AAA服务器响应处理):::process
    J --> K(GGSN处理结果与隧道建立):::process
    K --> L(消息传递到802.11 MT):::process
    L --> M([结束]):::startend

通过以上分析和总结，我们可以更深入地理解3G和802.11网络之间认证互操作性的解决方案，为无线通信领域的安全研究和实践提供参考。