摘要 本文提出了一种利用WPA安全标准、通过基于Internet的无线终端用户集中认证技术来综合非公众无线接入资源的设想,然后又分析了此类应用对宽带运营产业产生的正面及负面的潜在影响。通过在Linux平台上具体实现了构想中系统的主要功能,验证了这一设想的技术可行性。最后,对此设想存在的意义以及改进进行了讨论。
1、引言
众所周知,Internet最早是由美国军方的研究项目ARPAnet发展、演变而来的。它最初是一种专有、区域性的网络,但通过研究项目的开放并伴随着网络互联技术(特别是TCP/IP协议)的发展,不断与分布在各地的各种网络连接、融合,最后演变成为当今开放的、全球性的、连接数千万计算机的现代化网络。Internet是一个专有名词,它的定义多种多样。其中较能反映其本质的叙述如下:Internet是网络用户的团体,用户使用网络资源,同时也为该网络的发展壮大贡献力量,是所有可被访问和利用的信息资源的集合。可见Internet很好地集成了分布在世界各地的网络资源,其本身就代表了整合与共享而不是特定的一个网络。
目前类似Internet通过集中松散资源实现整体化、规模化的其他信息技术也有很多,例如:网格计算技术——一种利用互联网,通过将一项复杂、庞大的计算任务细分成若干小型、简洁的计算并交由分布在全世界的PC来共同完成的技术;Bittorrent下载技术——一种采用对等传输技术(P2P),同时实现服务与被服务的下载技术。这些技术的出现从某方面都大大提高了资源的可用性以及使用效率。
而20世纪中叶开始迅猛发展起来的无线通信技术,使无线接入方式走入千家万户。除了个别ISP运营商推出的无线接入服务如Wi-Fi、GPRS、CDMA等,大多数企业或家庭用户采用的是无线路由器(Wireless Router)、无线接入点(AP)等无线应用方式(由于从无线接入角度讨论,这两种产品并无本质区别,所以文中不再将其细分,统一采用AP指代这两种接入产品)。而这些企业、家庭或个人采用的接入方式都属于WLAN的范畴,应用性质都是小范围的、自给自用、松散简易的方式,属于非公众资源。随着无线数字通信技术的发展、无线AP速率的不断提高,这种各自为阵,非共享的方式造成了重复投资、资源浪费。即使是提供公众无线接入的运营商与运营商之间也存在这种情况。
本文将提出一种创新的无线接入模式和认证机制,从而把这些非公众、非共享无线接入资源集中起来综合利用。
2、设想
专业的ISP运营商或者第三方组织(文中将称二者为“共享计划运营者”,或简称为“运营者”)可以通过在Internet上建立一个对公众或某一特定群体开放的网站(称为Portal),通过会员注册的方式与用户约定一种无线资源接入共享协议,接受该协议的用户即加入“共享计划”。协议的主要内容包括用户使用其他协议用户资源的权利以及将自己的接入资源共享的义务。Portal进而提示用户下载认证服务器(Auth Server)的公钥数字证书,并输入其所有的AP基本信息——包括地理位置、速率标准、工作频段等等。再通过在线设置向导指导注册用户对各自的AP进行标准、规范的安全接入设置,从而使AP的接入认证模式、安全加密方式能符合WPA的安全体系标准,并将其发出的认证请求设置为发往运营者在Internet上架设的认证服务器。Portal网站的Web服务器将这些用户信息写进用户帐户数据库(Account Database),通过与认证服务器(Auth Server)共享这一数据库将用户的注册、设置以及以后的认证接入集成。
这样,用户在下次连接AP的时候只需要输入在运营者网站注册的用户名和密码,就可以实现认证、连接并访问Internet。此时用户与AP间产生的空中无线通信流量都是经过加密的,保证了用户信息交换的安全性。而且,用户可以利用自己的这个会员帐号在任何一个加入此计划的AP所覆盖的地方实现无线接入,而且该用户的AP也自动成为服务任何一个会员的无线接入基础设施,从而实现服务别人的同时被别人服务的资源共享模式。
此设想的关键点在于:利用了与Internet连接的认证服务器以及基于无线端口的认证方式(WPA中采用的802.1x方式),通过实现集中认证分布的AP接入请求,最大限度的综合了非公众无线接入资源。这样的认证机制在实现以上资源共享目的的同时,存在如下的优势和限制。
●优势:
(1)充分集中资源,节省了成本,提供以同一个用户帐号跨地域接入的可能;
(2)采用WPA标准以及PEAP认证方法,通过SSL、TKIP加密协议,以及终端与认证服务器的双向认证等方式,不但保证了空中无线接口进出数据的安全,也保证了在Internet上穿行的认证数据流的安全性;
(3)排除了用户自购AP设置不当所产生的帐号被盗用风险,以及由此带来的损失;
(4)简化了用户对AP的设置和管理,从对单个物理AP的管理转移到对逻辑帐号的管理;简化了终端的设置、用户的登录过程——仅需输入帐号、密码即可实现认证,方便,快捷;
(5)为网络运营商大规模部署无线应用提供了建设基础设施的捷径。
●限制:
(1)加入此计划的用户所使用的AP必须符合Wi-Fi的WPA标准;
(2)需要一种反向验证机制,让运营者能够验证用户的AP的无线接口设置符合规范,排除协议用户拒绝共享其接入资源的可能性。目前只能通过认证日志分析、访问控制设置来监督用户是否遵守了协议;
(3)如同Bittorrent下载技术,由于采用技术标准的开放性、相关产品容易获取和实现,可能会被非ISP的个人或组织利用来共享ISP网络接入资源,从而谋取利益;
(4)共享计划运营者无法控制接入AP的WAN端口设置,以及接入Internet的具体方式,使拥护有潜在遭受MitM(Man it the Middle)攻击的危险。这个问题可以通过进一步明确与宽带用户、网络运营商之间的合作关系可以得到缓解;
(5)加入此共享计划的用户数量达到一定规模,资源共享、跨地域接入的效应才能比较好地显现。
以下给出该构想系统的工作流程(参见图1)。整个流程分为两大部分,(a)用户注册部分和(b)用户认证请求访问部分,以下分别叙述:
●为了加入“共享计划”,终端用户必须先向“运营者”进行注册。注册步骤及流程如下:
(a1)客户端注册:自愿加入“共享计划”的用户通过浏览器向“运营者”进行注册。
(a2)用户注册模块:HTTP Server上的注册模块引导用户进行注册,提交必要信息,并写入用户帐户数据库;
(a3)下载证书,设置向导:用户成功注册完毕后,从HTTP Server下载Auth Server的PKI数字证书。然后,HTTP Server打开设置向导(Config Wizard);
(a4)按向导设置AP:用户按照设置向导的提示一步步设置好自己所属AP的无线端口、终端PC操作系统的必要参数。到此为止,用户的注册工作全部完成。
●接下来,是协议用户在实际接入“共享计划”资源的流程:
(b1)向AP发起关联请求:用户通过无线“终端PC”向任意一个“共享计划”中的AP(可以是用户自己的,也可以是任意一台已经向“运营者”注册的AP)发起关联请求。此时AP的“控制端口”处于关闭状态,而“非控制端口”仅允许认证数据流通过;
(b2)启动PEAP认证流程:AP启动PEAP认证流程,代表客户向Auth Server发起认证请求。关键步骤包括终端PC通过PKI证书验证Auth Server的身份,并提示用户输入用户名、密码,提交给AP;
(b3)获取用户帐号信息:AP将用户的信息(用户名,密码等)通过SSL加密隧道传给Auth Server,同时Auth Server从用户帐户数据库获得注册用户的帐号信息,并通过认证模块进行认证;
(b4)返回认证结果:Auth Server将认证结果(成功/失败)传回给AP。认证成果的话还会与客户端协商无线数据流加密密钥;
(b5)打开端口,允许访问:AP根据Auth Server发来的认证结果判断是否开放“控制端口”;
(b6)开始正常访问:终端PC对无线数据流进行加密,并通过AP的“控制端口”进行正常数据交换。
3、实现
由于以上设想的共享计划的用户注册、认证等关键环节完全基于Internet上实现,这些过程的安全性、保密性异常重要,但同时由于共享计划面向的是普通用户,又要求终端用户的操作、使用尽量简便。基于这些考虑,建议采用WPA+802.1x的认证模式,并采用可以进行双向认证、基于动态密钥提供方式,且容易部署、无需建立专门的PKI证书有效性管理体系、以及Windows XP操作系统内置就支持的EAP-PEAP(MS-CHAPv2)认证协议。
为了验证以上设想的共享计划以及配套解决方案的技术可行性,我们将在Linux平台上实现一个演示系统,这个系统包括如下关键组件:
1.Auth Server(认证服务器)
●平台:Linux
●认证服务:FreeRadius
●SSL加密协议:OpenSSL。
●CA(数字证书生成)服务:OpenSSL内置——CA.pl
●帐户数据库:MySQL
2.Portal Server(Portal网站服务器)
●平台:Linux
●HTTP服务:Apache+Tomcat(JSP+Java Servlet技术)
Portal Server和Auth Server在物理上可以是同一台主机,也可以是通过网络连接的两台分离的服务器,但是两者共享同一个用户帐户数据库,或者可以同时作为LDAP服务器的客户端,以共享用户帐户信息。此演示系统采用共享用户帐户数据库的方法。
3.符合WPA标准的无线AP
这些AP的无线模块必须支持:
●WPA/WPA2安全选项
●TKIP加密方法
●基于端口的802.1x(EAP)认证协议
4.用户终端(WPA Client-WPA客户端)
●硬件平台:带符合WPA标准无线网卡的X86体系PC
●操作系统:Microsoft Windows XP
●浏览器:IE 6.0 or above
4、意义
如果将目前终端用户自行安装使用、或各大运营商各自为阵部署的无线AP比喻为Internet发展之初的分散在各地、大大小小的网络,将基于WPA安全标准的集中式认证技术比喻为当时的TCP/IP技术,那么文中提出的“共享计划”恰恰就如同将这些资源集成起来的Internet所倡导的理念。该“共享计划”通过采用集中式认证技术实现无线接入资源的共享,并作为一种开放、自由性质的资源共享方式,其对宽带运营和WLAN产业的潜在影响包括但不限于以下方面:
1.综合目前用户或运营商分散的Wi-Fi接入资源,为所有用户提供无地域限制的接入服务,为终端用户提升了应用价值;
2.通过用户协议以开放、自组织的方式发展Wi-Fi网状网,对运营商的接入基础设施起到了一定的补充作用,从一定程度上扩大了其服务覆盖范围,为宽带运营商创造了价值;
3.将促进Wi-Fi认证的无线产品的实际应用与推广,以及加快推进802.11体系的发展,特别是加快了WPA安全体系的产业化。
根据对该“共享计划”系统目前所面临的限制,结合可以预见的无线接入网络、无线AP产业的发展趋势,提出以下几项改进:
1.通过采用与RADIUS认证服务器结合的计费系统,可以实现更细粒度的用户访问控制和计费要求;
2.宽带接入运营商与“共享计划”运营者可以协商合作方式,对WAN端口进行DHCP自动配置的同时,将AP的信息(IP地址、MAC地址等)注册到用户帐户数据库;
3.运营者可以与AP设计企业合作,共同开发互操作规程,从而可以实现AP无线端口的自动设置、或配置文件自动导入功能;
4.在条件成熟、政策允许的情况下,可以通过RADIUS Proxy实现跨运营商部署、共享帐户信息以及接入资源,促进互联互通,有效防止重复建设。