1　引　言

近幾年移動(dòng)用戶數(shù)量快速增長(zhǎng)，用戶在使用語音業(yè)務(wù)的同時(shí)，對(duì)移動(dòng)數(shù)據(jù)業(yè)務(wù)也提出了更高的需求，高速無線接入勢(shì)在必行。將來的無線通信系統(tǒng)是多種接入標(biāo)準(zhǔn)的異構(gòu)系統(tǒng)。無線接入系統(tǒng)有著各自的特點(diǎn)，蜂窩結(jié)構(gòu)的宏小區(qū)覆蓋的系統(tǒng)像GPRS和UMTS可以為用戶提供高速度移動(dòng)性，只具有有限的傳輸帶寬。而中小距離覆蓋的系統(tǒng)像WLAN提供高速率的數(shù)據(jù)帶寬只具有低速率的移動(dòng)性。對(duì)于多種網(wǎng)絡(luò)提供覆蓋公共熱點(diǎn)區(qū)域像建筑物、車站、機(jī)場(chǎng)等，很有必要對(duì)擁有雙模設(shè)備的用戶提供這些網(wǎng)絡(luò)之間的互通。WLAN與蜂窩網(wǎng)的互通已經(jīng)成為后3G的研究熱點(diǎn)，第三代移動(dòng)通信合作計(jì)劃組（3GPP）對(duì)WLAN技術(shù)也進(jìn)行了積極的跟蹤研究，在協(xié)議版本R6階段逐步提出了在3G系統(tǒng)中如何與WLAN集成的解決方案。對(duì)3G系統(tǒng)與WLAN互連進(jìn)行了可行性研究，提出了從簡(jiǎn)單互連到完全無縫互連的系統(tǒng)間操作的6種情況［1］。在安全方面主要研究了安全結(jié)構(gòu)，信任模型以及3GPP系統(tǒng)與WLAN接入互通的安全需求，對(duì)于用戶和網(wǎng)絡(luò)的安全、密鑰管理、業(yè)務(wù)授權(quán)，保密性推薦了適當(dāng)?shù)臋C(jī)制，同時(shí)也提出來用戶和信令的完整性保護(hù)的機(jī)制［2］。其中安全機(jī)制推薦的有2種：

（1）基于SIM／USIM的EAPAKA機(jī)制　他可以支持現(xiàn)有3GPP／2的和密鑰認(rèn)同（AKA）過程，通常 的機(jī)制例如EAP就能支持這種方法，EAPAKA機(jī)制的詳細(xì)描述可以參考文獻(xiàn)［3］；

（2）基于GSM SIM的EAPSIM　他基于現(xiàn)有的GSM SIM過程，在3GPP-WLAN 系統(tǒng)互通中，通常的機(jī)制例如EAP能支持這種方法。EAPSIM機(jī)制的詳細(xì)描述可以參考文獻(xiàn)［4］。

2　802.1X EAP-SIM安全

IEEE802．1X協(xié)議以其簡(jiǎn)潔高效、容易實(shí)現(xiàn)、安全可靠、易于運(yùn)營等特點(diǎn)，得到越來越多的設(shè)備制造商和運(yùn)營商的支持。在WLAN與3G集成方案中也采用基于IEEE802．1X的流程。

802．1X是基于端口的訪問控制協(xié)議，可向IEEE802系列標(biāo)準(zhǔn)的局域網(wǎng)提供一個(gè)開放的驗(yàn)證框架，使得無線局域網(wǎng)易于擴(kuò)展用戶和網(wǎng)絡(luò)并提供一種分布處理集中管理的驗(yàn)證功能。體系結(jié)構(gòu)包括3部分：

（1）客戶端申請(qǐng)者Supplicant　一般是一個(gè)客戶端軟件，支持EAPOL協(xié)議，用戶UE通過啟動(dòng)改軟件發(fā)起802．1X協(xié)議的過程。
（2）者Authentication　通常是支持802．1X協(xié)議的網(wǎng)絡(luò)設(shè)備例如AP，該設(shè)備使用受控端口和非受控端口保證用戶授權(quán)前后的接入。
（3）服務(wù)器AS　通常使用RADIUS服務(wù)器是UE的終點(diǎn)，他存儲(chǔ)有關(guān)用戶的信息例如用戶的業(yè)務(wù)參數(shù)，所屬的VLAN，優(yōu)先級(jí)，用戶的訪問控制列表等。802．1X的是可擴(kuò)展協(xié)議（EAP），GSM SIM主要用來存儲(chǔ)用戶的信息，通過相應(yīng)的技術(shù)（例如讀卡器讀取，USB，紅外技術(shù)）與WLAN的無線網(wǎng)卡進(jìn)行通信，使UE獲得用戶的信息。

802．1X EAPSIM安全框圖如圖1所示。首先WLAN用戶使用無線網(wǎng)卡與WLAN／AP建立連接，啟動(dòng)802．1X，需要獲取相關(guān)的信息例如用戶的網(wǎng)絡(luò)接入標(biāo)識(shí)NAI、用戶ID（1）～（3）等。

WLAN／AP根據(jù)NAI來選擇所要使用的3GPPAAA服務(wù)器。將EAP-Response/Identity轉(zhuǎn)發(fā)送給3GPPAAA服務(wù)器。AAA服務(wù)器收到后向WLAN／AP發(fā)送RADIUS-Access-Challenge報(bào)文，其中包含有EAP-Request/SIM/Start報(bào)文內(nèi)容，表示開始EAPSIM的（4）～（6）。在（7）～（9）步中3GPPAAA服務(wù)器可以獲得用戶EAP－Response／SIM／Start報(bào)文，得到相應(yīng)的128 b隨機(jī)數(shù)NONCE＿M(jìn)T。

3GPPAAA服務(wù)器檢查該用戶是否有N（2或3）個(gè)可用的三元組。如果沒有足夠的三元組，則通過七號(hào)信令向HLR發(fā)送MAP＿Send＿Auth＿Info報(bào)文獲取N組鑒權(quán)集（SRES，RAND，Kc）。使用N個(gè)三元組的目的是為了生成更長(zhǎng)的Session key。3GPPAAA服務(wù)器還檢查數(shù)據(jù)庫是否具有WLAN接入用戶簽約信息，如沒有，則從HSS／HLR中獲取，同時(shí)3GPPAAA服務(wù)器是檢查該用戶是否 已簽約了WLAN業(yè)務(wù)（10），（11）。若滿足要求則從NONCE＿M(jìn)T和NKc密鑰中依據(jù)配置取N為2或者3，將N組RAND串起來后生成一個(gè)N＊RAND，依據(jù)規(guī)定的算法生成4個(gè)密鑰K＿sres，K＿int，K＿ency和Session＿Key，并且利用K＿int根據(jù)規(guī)定的算法生成AT＿M(jìn)AC，同時(shí)根據(jù)K＿sres生成MAC＿SRES。之后AAA服務(wù)器向WLAN／AP發(fā)送RADIUS-Access-Challenge報(bào)文，WLAN／AP拆封裝后的EAP－Response／SIM／Challenge報(bào)文發(fā)送給客戶端UE（12），（13）。

（14）～（19）完成雙向。客戶端根據(jù)每個(gè)RAND為128 b的特點(diǎn)，將N解析出來后，依據(jù)和AAA同樣的算法得出K＿sres，K＿int，K＿ency和Master＿Key，用自己產(chǎn)生的K＿int。利用和AAA設(shè)備同樣的算法得出AT＿M(jìn)AC，并且與AT＿M(jìn)AC進(jìn)行比較，如果一致，表示AAA設(shè)備是通過。再利用K＿sres作為Key，用規(guī)定的算法生成MAC＿SRES，通過EAP－Response／SIM／Challenge發(fā) 送給3GPPAAA服務(wù)器。AAA服務(wù)器利用本端產(chǎn)生的K＿sres作為密鑰，用和客戶端同樣的算法生成MAC＿SRES，并且與接收到的MAC＿SRES進(jìn)行比較，如果一致，表示客戶端通過。然后把EAPSUCCESS的消息傳給用戶端UE，并且使用擴(kuò)展RADIUS協(xié)議通過MS＿M(jìn)PPE＿SEND＿KEY將生成的SESSION-KEY發(fā)送給WLAN／AP通知已通過。

至此客戶端可以與WLAN／AP之間開始進(jìn)行安全可靠的會(huì)話。同時(shí)AP通過RADIUS-Accountong-Request（Start）報(bào)文通知AAA或者專用的計(jì)費(fèi)服務(wù)器開始進(jìn)行計(jì)費(fèi)，含有相關(guān)的計(jì)費(fèi)信息，AAA使用RADIUS-Accountong-Request（Start）向WLAN/AP響應(yīng)進(jìn)行確認(rèn)，表示計(jì)費(fèi)開始。在用戶使用過程中，為了保護(hù)用戶記帳信息，WLAN／AP每隔一段時(shí)間就向AAA上傳用戶的記帳信息。當(dāng)WLAN／AP接收到UE的拆鏈請(qǐng)求時(shí)，向AAA發(fā)送記帳結(jié)束報(bào)文。AAA確認(rèn)WLAN／AP的記帳結(jié)束報(bào)文。

3　WLAN無線接入點(diǎn)AP對(duì)802．1X的支持

從802．1XEAPSIM安全的過程中可以看出：接入點(diǎn)AP不但是接入控制度終實(shí)現(xiàn)單元，并且是用戶與AAA服務(wù)器之間信息的橋梁，大部分消息的交互都需要AP參與。所以，實(shí)現(xiàn)AP對(duì)802．1X標(biāo)準(zhǔn)的支持是部署802．1XEAPSIM安全的重要部分。為此，需要附加一些程序以及對(duì)AP的驅(qū)動(dòng)程序進(jìn)行相應(yīng)的改進(jìn)。

（1）要能夠?qū)崿F(xiàn)接入的控制。這可以歸結(jié)為有關(guān)受控端口和非受控端口的數(shù)據(jù)幀的劃分以及根據(jù)記錄來判斷用戶對(duì)應(yīng)受控端口的授權(quán)狀態(tài)。除了802．3以太網(wǎng)類型（0x88E）的EAPOL幀可以通過非授權(quán)端口之外，其他類型的幀都需要通過受控端口進(jìn)行信息的交互。對(duì)于用戶的授權(quán)狀態(tài)可以使用用戶接入狀態(tài)列表來進(jìn)行控制，控制信69息可以是接入設(shè)備的MAC地址、VLAN標(biāo)簽、IP地址以及他們的組合，具體的實(shí)現(xiàn)可以根據(jù)安全策略的等級(jí)靈活設(shè)置。這些可以在AP的驅(qū)動(dòng)程序中實(shí)現(xiàn)。

（2）在接收到開始請(qǐng)求時(shí)，應(yīng)發(fā)送EAPOL Request／Identity報(bào)文幀。這需要修改AP驅(qū)動(dòng)程序，設(shè)定在接收到請(qǐng)求幀或者收到用戶發(fā)送的數(shù)據(jù)時(shí)，檢查其用戶信息例如源地址是否在允許的控制列表中，若存在就發(fā)送EAPOLRequest／Identity，否則直接丟棄。

（3）能夠接收發(fā)送EAPOL幀和RADIUS幀，并能進(jìn)行兩種幀結(jié)構(gòu)的轉(zhuǎn)換。這需要一個(gè)附加程序來完成，功能包括建立原始套接字和無連接UDP套接字來接收和發(fā)送EAPOL幀和RADIUS幀以及兩者的轉(zhuǎn)換，并將通過或者主動(dòng)拆鏈的UE的控制信息例如（MAC地址）提交給AP的驅(qū)動(dòng)程序。

（4）能夠在UE成功后，使用針對(duì)該用戶的會(huì)話密鑰加密數(shù)據(jù)流。在控制列表中加入密鑰信息，這樣用戶的接入信息就與自己的密鑰關(guān)聯(lián)起來，保證了每個(gè)客戶端的會(huì)話密鑰的獨(dú)立性。 4　實(shí)現(xiàn)802．1X接入點(diǎn)AP附加程序的功能和注意事項(xiàng)

附加程序主要完成3大功能：RADIUS客戶端功能，接收和發(fā)送EAPOL幀的功能以及控制數(shù)據(jù)報(bào)文的解析和封裝的功能。

（1）在802．1XEAPSIM安全過程中，AP為了與AAA通信，他應(yīng)具備RADIUS客戶端功能，要正確地建立UDP套接字來接收和發(fā)送RADIUS報(bào)文，其中RADIUS端口號(hào)為1812，計(jì)費(fèi)協(xié)議端口號(hào)是1813。

（2）對(duì)于接收和發(fā)送EAPOL幀的功能，主要是針對(duì)來自底層的幀（主要是802．1幀類型0x888E）建立原始的套接字進(jìn)行收發(fā)。

（3）解析和封裝的功能有3項(xiàng)：

①把接收到的EAPOL報(bào)文中的EAP解析出來封裝到RADIUS報(bào)文中的EAP-Message字段中發(fā)往AAA服務(wù)器；
②把接收到的EAP-Response/Identity中的用戶標(biāo)識(shí)解析出來封裝到RADIUS報(bào)文的User-Name字段中發(fā)往AAA服務(wù)器；
③把接收到的RADIUS報(bào)文的EAP-Message解析出來封裝到EAPOL幀的PacketBody域中發(fā)往客戶端。

但是在實(shí)現(xiàn)時(shí)需要注意一些問題：

（1）EAPOL長(zhǎng)消息的分段　由于RADIUS的長(zhǎng)度域?yàn)?個(gè)字節(jié)，說明了一個(gè)RADIUS報(bào)文多可攜帶的數(shù)據(jù)為不超過255個(gè)字節(jié)（實(shí)際為253個(gè)），而EAPOL的長(zhǎng)度是其MTU，例如802．3LAN中MTU為1514，所以對(duì)于 EAPOL中EAP大于253個(gè)字節(jié)的報(bào)文，應(yīng)把EAP分成多個(gè)EAP-Message字段封裝到RADIUS報(bào)文中；當(dāng)接收到RADIUS報(bào)文帶有多個(gè)EAP-Message字段時(shí)，應(yīng)把各個(gè)字段中的數(shù)據(jù)取出組成一個(gè)完整的EAP消息，才能封裝到EAPOL幀中。

數(shù)據(jù)過大　由于IP報(bào)文分片重組機(jī)制，當(dāng)收到的RADIUS報(bào)文的EAP消息較大，多個(gè)EAP數(shù)據(jù)組成的消息超過了EAPOL幀的MTU長(zhǎng)度時(shí)，將會(huì)導(dǎo)致不能正常發(fā)送。這就需要在發(fā)往AAA服務(wù)器的RADIUS報(bào)文中設(shè)定EAP-Message字段，通知AAA不要發(fā)送過長(zhǎng)的EAP消息。

（3）RADIUS報(bào)文State字段的響應(yīng)　在RADIUS-Access-Challenge報(bào)文中可能帶有State字段，響應(yīng)時(shí)要用相同的狀態(tài)信息封裝到報(bào)文中。

5　結(jié)　語

在WLAN和3G集成中，統(tǒng)一的是為關(guān)鍵的一步，他不僅是提供可運(yùn)營的WLAN的基礎(chǔ)，同時(shí)為移動(dòng)運(yùn)營商加快WLAN運(yùn)營步驟，節(jié)省運(yùn)營成本，統(tǒng)一用戶管理提供了技術(shù)上的保證?；贕SM SIM的機(jī)制是3GPP 推薦的互通安全機(jī)制之一，完全滿足互通性安全需求。在3GPP-WLAN互通的實(shí)現(xiàn)中，AP作為關(guān)鍵節(jié)點(diǎn)起著舉足輕重的作用。本文提出的支持802．1XEAPSIM的AP功能實(shí)現(xiàn)，保證了安全的實(shí)現(xiàn)。至于所涉及的注意事項(xiàng)，可以使設(shè)計(jì)者少走一些彎路。

參考文獻(xiàn):

[1]. GPRS datasheet http://m.58mhw.cn/datasheet/GPRS_1594650.html.