WMAN技术---解析WiMAX的安全机制

1 IEEE 802.16安全机制简介

802.16是一项新兴的无线城域网(WMAN)技术，是针对2~66GHz频段提出的一种新的空中接口标准。作为一种极具竞争力的无线接入技术，众多的运营商和设备厂商已在积极酝酿将其推向市场。但是由于无线传输信道的开放性，它的安全性一直是人们关注的问题，并将影响其市场推广。因此关注802.16的安全机制有着极为重要的意义。

802.11i是IEEE提出的新一代无线局域网(WLAN)安全标准，802.11i作为一种相对成熟的安全标准，是IEEE标准委员会于2004年6月25日正式批准通过的。

由于无线城域网和无线局域网都属于宽带无线网络，它们有各自的特点，同时在安全方面也有很大的共性。比如它们都需要数据的机密性、完整性保护，设备以及用户的身份认证，并且根据不同的需求引入PKI体制，在实现的时候同时也要注意防DoS攻击以及其他一些细节。在目前802.16的安全标准尚未最终制定，各种提案尚处于草案阶段的情况下，我们可以根据802.11i的一些设计思想来预测802.16安全机制的发展趋势。

2 IEEE 802.11i安全机制简介

IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP(Temporal Key Integrity Protocol)、CCMP(Counter-Mode/CBC- MAC Protocol)和WRAP(Wireless Robust Authenticated Protocol)三种加密机制。

IEEE 802.11i使用802.1x完成初步认证并且获得成对主密钥(PMK)之后，再通过四次握手协议来互动地从PMK中获得加密密钥和认证密钥。四次握手协议使得可以用临时密钥来对单播数据进行加密后再传播。同时在802.11i中引进了组密钥握手协议，通过组密钥握手协议来获得多播数据的加密密钥从而实现多播数据的加密传输。另外在IEEE 802.11i中当客户端(请求者)在接入点(认证者)之间漫游时，为了从根本上降低恢复通信所需要的时间，采用了预认证方法。

3 802.16 D3版本的安全机制

在802.16 D3版本中主要是通过在MAC层中定义了一个保密子层来提供安全保障。保密子层主要包括两个协议：数据加密封装协议和密钥管理协议(PKM)。其中数据加密封装协议定义了IEEE 802.16支持的加密套件，即数据加密与完整性验证算法，以及对MAC PDU载荷应用这些算法的规则。而密钥管理协议则定义了从基站向用户工作站分发密钥数据的安全方式，两者之间密钥数据的同步以及对接入网络服务的限制。

3.1 802.16 D3版本安全机制的主要工作流程

(1)工作站向基站发送一个认证信息消息。该消息包含SS制造商的X.509证书。

(2)工作站向基站发送授权请求消息。该消息包括生产商发布的X.509证书，基站所支持的加密算法以及基站的基本连接ID。

(3)基站验证工作站的身份，决定加密算法，并为工作站激活一个授权密钥(AK)。

(4)基站将AK用工作站的公钥加密后返回给工作站。

(5)工作站定时发送授权请求消息给基站来更新AK。

另外，随着AK的交换，基站建立了工作站的身份认证以及工作站授权接入的服务。亦即在基站和工作站之间建立了某种安全关联。安全关联是基站和一个或多个工作站间共享的一组安全信息，目的是为了支持IEEE Std80.16网络间的安全通信。安全关联可以包括TEK(用来加密数据流的密钥)和初始化向量。故在获得授权后，工作站应该向基站请求加密密钥TEK，流程如下：

(1) 工作站向基站发送加密密钥请求消息。

(2)基站在收到该消息后，生成TK，并通过密钥回应消息发送给工作站。

(3)工作站定时发送密钥请求消息给基站来更新TEK。

3.2 802.16 D3版本安全机制存在的问题

从前面802.16 D3版本安全机制的工作流程可以看出，D3版本安全机制主要存在以下问题：

(1)单向认证。只能基站认证工作站，工作站不能认证基站，这样可能导致中间人攻击。

(2)认证机制缺乏扩展性。认证机制只是基于X.509证书，因此缺乏扩展性。

(3)缺乏抗重放保护。攻击者可以通过截获数据包进行重放来对系统发起攻击。

另外，在802.16 D3版本对数据的加密采用的是DES-CBS算法，这种算法的密钥长度只有56bit，容易遭受到穷举攻击。

4 802.16E对D3版本安全机制的完善

802.16E是802.16工作组正在制定的一个标准，它是对802l.16d的增强，支持在2~11GHz频段下的固定和车速移动业务，并支持基站和扇区间的切换。

802.16E为了解决802.16中原有安全机制存在的一些问题，主要作了以下改进：

(1)引进了基于EAP协议的认证机制。这样就解决了单向认证和认证机制缺乏扩展性的问题。

(2)引进了AES-CCM数据加密协议。AES- CCM是基于AES的CCM模式，该模式结合了Counter(计数器，CTR)模式用于数据保密和CBC-MAC(Cipher Block Chaining Message Authentication Code)模式用于数据完整性鉴权。这样就解决了D3 版本中安全机制缺乏抗重放保护和加密算法本身不安全的问题。

另外，在802.16E中为了支持快速切换，从而引进了预认证的概念。

5 802.16安全机制的发展趋势

从上述802.16E中可以看出，802.16的安全机制在很大程度上与802.11i有着一致性。比如都引进了基于EAP协议的认证机制，都采用了AES-CCM 数据加密协议，都引进了预认证方法等等。因此802.11i中的四次握手协议以及组密钥握手协议对于802.16安全机制也有着很大的借鉴作用。由于目前802.16 安全机制只是引进了基于EAP认证的协议和引进了类似于四次握手的流程(并不是完整的四次握手协议)，而对于组密钥握手则尚未涉及。因此可以推测802.16安全机制的发展趋势必将趋向于802.11i的安全设计思想，在802.16中引进明确的四次握手协议和组密钥握手协议。

另外，在当前的802.16安全机制中有关多播的建议是：

(1)多播传输连接可以映射到任何静态的或动态的安全关联。

(2)用于更新TEK的密钥请求和密钥回应消息通过Primary管理连接来装载。

这样的话，在(1)中将存在这样的问题：假定一个多播服务同时服务于多个用户，然而对于不同的用户，指派给它的安全关联是不同的。在这种情况下，基站将使用不同的安全关联和不同的TEK来加密同样的多播传输数据，因此使得基站的负担非常重。而在(2)中将存在这样的问题：

①某个具体多播服务的所有用户通过使用CDMA码来请求带宽以发送密钥请求消息，因为同时有多个用户请求带宽，所以一些CDMA码可能互相冲突，这就有可能使一些用户因带宽请求失败而不能发送密钥请求消息来获得新的TEK，从而导致不能再获得多播服务。

②在更新TEK时，使用了不必要的信令(signaling)资源，而TEK在基站和多个用户之间将会是相同的。

③基站需要好几帧来接收密钥请求消息和发送密钥回应消息。

这样通过Primary管理连接来装载更新TEK的密钥请求和密钥回应消息，效率将非常低下。

因此，802.16的安全机制也必将对多播方面的内容做出规定，比如针对(1)中的问题可以采取将一个具体的多播服务只映射到一个安全关联的方式来解决，如图2所示。

针对(2)中的问题可以采取在工作站第一次向基站请求TEK时，密钥请求和密钥回应消息通过Primary管理连接来装载。而以后在更新TEK时，由基站在TEK过渡时间内周期性地进行。基站将通过广播连接来向所有用户发送密钥回应消息，用户不再需要向基站发送密钥请求消息。

6 小结

本文简单介绍了802.11i的安全标准，并分析了802.16D3 版本安全机制所存在的问题以及802.16E对802.16安全机制所作的改善，从中可以发现许多802.11i的安全设计思想。由于802.11i已经是一个相对成熟的针对无线局域网的安全标准，因此在我们研究802.16的安全机制时将有极大的启发作用。虽然802.16的安全标准尚未最终确定，但是通过研究802.11i的安全标准，在很大程度上可以帮助我们推测802.16安全机制的发展趋势。