利用WPA認(rèn)證技術(shù)實現(xiàn)無線接入資源共享

摘要　本文提出了一種利用WPA安全標(biāo)準(zhǔn)、通過基于Internet的無線終端用戶集中認(rèn)證技術(shù)來綜合非公眾無線接入資源的設(shè)想，然后又分析了此類應(yīng)用對寬帶運(yùn)營產(chǎn)業(yè)產(chǎn)生的正面及負(fù)面的潛在影響。通過在Linux平臺上具體實現(xiàn)了構(gòu)想中系統(tǒng)的主要功能，驗證了這一設(shè)想的技術(shù)可行性。最后，對此設(shè)想存在的意義以及改進(jìn)進(jìn)行了討論。

1、引言

眾所周知，Internet最早是由美國軍方的研究項目ARPAnet發(fā)展、演變而來的。它最初是一種專有、區(qū)域性的網(wǎng)絡(luò)，但通過研究項目的開放并伴隨著網(wǎng)絡(luò)互聯(lián)技術(shù)（特別是TCP/IP協(xié)議）的發(fā)展，不斷與分布在各地的各種網(wǎng)絡(luò)連接、融合，最后演變成為當(dāng)今開放的、全球性的、連接數(shù)千萬計算機(jī)的現(xiàn)代化網(wǎng)絡(luò)。Internet是一個專有名詞，它的定義多種多樣。其中較能反映其本質(zhì)的敘述如下：Internet是網(wǎng)絡(luò)用戶的團(tuán)體，用戶使用網(wǎng)絡(luò)資源，同時也為該網(wǎng)絡(luò)的發(fā)展壯大貢獻(xiàn)力量，是所有可被訪問和利用的信息資源的集合�？梢奍nternet很好地集成了分布在世界各地的網(wǎng)絡(luò)資源，其本身就代表了整合與共享而不是特定的一個網(wǎng)絡(luò)。

目前類似Internet通過集中松散資源實現(xiàn)整體化、規(guī)�；�的其他信息技術(shù)也有很多，例如：網(wǎng)格計算技術(shù)——一種利用互聯(lián)網(wǎng)，通過將一項復(fù)雜、龐大的計算任務(wù)細(xì)分成若干小型、簡潔的計算并交由分布在全世界的PC來共同完成的技術(shù)；Bittorrent下載技術(shù)——一種采用對等傳輸技術(shù)（P2P），同時實現(xiàn)服務(wù)與被服務(wù)的下載技術(shù)。這些技術(shù)的出現(xiàn)從某方面都大大提高了資源的可用性以及使用效率。

而20世紀(jì)中葉開始迅猛發(fā)展起來的無線通信技術(shù)，使無線接入方式走入千家萬戶。除了個別ISP運(yùn)營商推出的無線接入服務(wù)如Wi-Fi、GPRS、CDMA等，大多數(shù)企業(yè)或家庭用戶采用的是無線路由器（Wireless Router）、無線接入點（AP）等無線應(yīng)用方式（由于從無線接入角度討論，這兩種產(chǎn)品并無本質(zhì)區(qū)別，所以文中不再將其細(xì)分，統(tǒng)一采用AP指代這兩種接入產(chǎn)品）。而這些企業(yè)、家庭或個人采用的接入方式都屬于WLAN的范疇，應(yīng)用性質(zhì)都是小范圍的、自給自用、松散簡易的方式，屬于非公眾資源。隨著無線數(shù)字通信技術(shù)的發(fā)展、無線AP速率的不斷提高，這種各自為陣，非共享的方式造成了重復(fù)投資、資源浪費(fèi)。即使是提供公眾無線接入的運(yùn)營商與運(yùn)營商之間也存在這種情況。

本文將提出一種創(chuàng)新的無線接入模式和認(rèn)證機(jī)制，從而把這些非公眾、非共享無線接入資源集中起來綜合利用。

2、設(shè)想

專業(yè)的ISP運(yùn)營商或者第三方組織（文中將稱二者為“共享計劃運(yùn)營者”，或簡稱為“運(yùn)營者”）可以通過在Internet上建立一個對公眾或某一特定群體開放的網(wǎng)站（稱為Portal），通過會員注冊的方式與用戶約定一種無線資源接入共享協(xié)議，接受該協(xié)議的用戶即加入“共享計劃”。協(xié)議的主要內(nèi)容包括用戶使用其他協(xié)議用戶資源的權(quán)利以及將自己的接入資源共享的義務(wù)。Portal進(jìn)而提示用戶下載認(rèn)證服務(wù)器（Auth Server）的公鑰數(shù)字證書，并輸入其所有的AP基本信息——包括地理位置、速率標(biāo)準(zhǔn)、工作頻段等等。再通過在線設(shè)置向?qū)е笇?dǎo)注冊用戶對各自的AP進(jìn)行標(biāo)準(zhǔn)、規(guī)范的安全接入設(shè)置，從而使AP的接入認(rèn)證模式、安全加密方式能符合WPA的安全體系標(biāo)準(zhǔn)，并將其發(fā)出的認(rèn)證請求設(shè)置為發(fā)往運(yùn)營者在Internet上架設(shè)的認(rèn)證服務(wù)器。Portal網(wǎng)站的Web服務(wù)器將這些用戶信息寫進(jìn)用戶帳戶數(shù)據(jù)庫（Account Database），通過與認(rèn)證服務(wù)器（Auth Server）共享這一數(shù)據(jù)庫將用戶的注冊、設(shè)置以及以后的認(rèn)證接入集成。

這樣，用戶在下次連接AP的時候只需要輸入在運(yùn)營者網(wǎng)站注冊的用戶名和密碼，就可以實現(xiàn)認(rèn)證、連接并訪問Internet。此時用戶與AP間產(chǎn)生的空中無線通信流量都是經(jīng)過加密的，保證了用戶信息交換的安全性。而且，用戶可以利用自己的這個會員帳號在任何一個加入此計劃的AP所覆蓋的地方實現(xiàn)無線接入，而且該用戶的AP也自動成為服務(wù)任何一個會員的無線接入基礎(chǔ)設(shè)施，從而實現(xiàn)服務(wù)別人的同時被別人服務(wù)的資源共享模式。

此設(shè)想的關(guān)鍵點在于：利用了與Internet連接的認(rèn)證服務(wù)器以及基于無線端口的認(rèn)證方式（WPA中采用的802.1x方式），通過實現(xiàn)集中認(rèn)證分布的AP接入請求，最大限度的綜合了非公眾無線接入資源。這樣的認(rèn)證機(jī)制在實現(xiàn)以上資源共享目的的同時，存在如下的優(yōu)勢和限制。

●優(yōu)勢：

（1）充分集中資源，節(jié)省了成本，提供以同一個用戶帳號跨地域接入的可能；

（2）采用WPA標(biāo)準(zhǔn)以及PEAP認(rèn)證方法，通過SSL、TKIP加密協(xié)議，以及終端與認(rèn)證服務(wù)器的雙向認(rèn)證等方式，不但保證了空中無線接口進(jìn)出數(shù)據(jù)的安全，也保證了在Internet上穿行的認(rèn)證數(shù)據(jù)流的安全性；

（3）排除了用戶自購AP設(shè)置不當(dāng)所產(chǎn)生的帳號被盜用風(fēng)險，以及由此帶來的損失；

（4）簡化了用戶對AP的設(shè)置和管理，從對單個物理AP的管理轉(zhuǎn)移到對邏輯帳號的管理；簡化了終端的設(shè)置、用戶的登錄過程——僅需輸入帳號、密碼即可實現(xiàn)認(rèn)證，方便，快捷；

（5）為網(wǎng)絡(luò)運(yùn)營商大規(guī)模部署無線應(yīng)用提供了建設(shè)基礎(chǔ)設(shè)施的捷徑。

●限制：

（1）加入此計劃的用戶所使用的AP必須符合Wi-Fi的WPA標(biāo)準(zhǔn)；

（2）需要一種反向驗證機(jī)制，讓運(yùn)營者能夠驗證用戶的AP的無線接口設(shè)置符合規(guī)范，排除協(xié)議用戶拒絕共享其接入資源的可能性。目前只能通過認(rèn)證日志分析、訪問控制設(shè)置來監(jiān)督用戶是否遵守了協(xié)議；

（3）如同Bittorrent下載技術(shù)，由于采用技術(shù)標(biāo)準(zhǔn)的開放性、相關(guān)產(chǎn)品容易獲取和實現(xiàn)，可能會被非ISP的個人或組織利用來共享ISP網(wǎng)絡(luò)接入資源，從而謀取利益；

（4）共享計劃運(yùn)營者無法控制接入AP的WAN端口設(shè)置，以及接入Internet的具體方式，使擁護(hù)有潛在遭受MitM（Man it the Middle）攻擊的危險。這個問題可以通過進(jìn)一步明確與寬帶用戶、網(wǎng)絡(luò)運(yùn)營商之間的合作關(guān)系可以得到緩解；

（5）加入此共享計劃的用戶數(shù)量達(dá)到一定規(guī)模，資源共享、跨地域接入的效應(yīng)才能比較好地顯現(xiàn)。

以下給出該構(gòu)想系統(tǒng)的工作流程（參見圖1）。整個流程分為兩大部分，（a）用戶注冊部分和（b）用戶認(rèn)證請求訪問部分，以下分別敘述：

●為了加入“共享計劃”，終端用戶必須先向“運(yùn)營者”進(jìn)行注冊。注冊步驟及流程如下：

（a1）客戶端注冊：自愿加入“共享計劃”的用戶通過瀏覽器向“運(yùn)營者”進(jìn)行注冊。

（a2）用戶注冊模塊：HTTP Server上的注冊模塊引導(dǎo)用戶進(jìn)行注冊，提交必要信息，并寫入用戶帳戶數(shù)據(jù)庫；

（a3）下載證書，設(shè)置向?qū)В河脩舫晒ψ�冊完畢后，從HTTP Server下載Auth Server的PKI數(shù)字證書。然后，HTTP Server打開設(shè)置向?qū)В–onfig Wizard）；

（a4）按向?qū)гO(shè)置AP：用戶按照設(shè)置向?qū)У奶崾疽徊讲皆O(shè)置好自己所屬AP的無線端口、終端PC操作系統(tǒng)的必要參數(shù)。到此為止，用戶的注冊工作全部完成。

●接下來，是協(xié)議用戶在實際接入“共享計劃”資源的流程：

（b1）向AP發(fā)起關(guān)聯(lián)請求：用戶通過無線“終端PC”向任意一個“共享計劃”中的AP（可以是用戶自己的，也可以是任意一臺已經(jīng)向“運(yùn)營者”注冊的AP）發(fā)起關(guān)聯(lián)請求。此時AP的“控制端口”處于關(guān)閉狀態(tài)，而“非控制端口”僅允許認(rèn)證數(shù)據(jù)流通過；

（b2）啟動PEAP認(rèn)證流程：AP啟動PEAP認(rèn)證流程，代表客戶向Auth Server發(fā)起認(rèn)證請求。關(guān)鍵步驟包括終端PC通過PKI證書驗證Auth Server的身份，并提示用戶輸入用戶名、密碼，提交給AP；

（b3）獲取用戶帳號信息：AP將用戶的信息（用戶名，密碼等）通過SSL加密隧道傳給Auth Server，同時Auth Server從用戶帳戶數(shù)據(jù)庫獲得注冊用戶的帳號信息，并通過認(rèn)證模塊進(jìn)行認(rèn)證；

（b4）返回認(rèn)證結(jié)果：Auth Server將認(rèn)證結(jié)果（成功/失�。﹤骰亟oAP。認(rèn)證成果的話還會與客戶端協(xié)商無線數(shù)據(jù)流加密密鑰；

（b5）打開端口，允許訪問：AP根據(jù)Auth Server發(fā)來的認(rèn)證結(jié)果判斷是否開放“控制端口”；

（b6）開始正常訪問：終端PC對無線數(shù)據(jù)流進(jìn)行加密，并通過AP的“控制端口”進(jìn)行正常數(shù)據(jù)交換。

3、實現(xiàn)

由于以上設(shè)想的共享計劃的用戶注冊、認(rèn)證等關(guān)鍵環(huán)節(jié)完全基于Internet上實現(xiàn)，這些過程的安全性、保密性異常重要，但同時由于共享計劃面向的是普通用戶，又要求終端用戶的操作、使用盡量簡便�；�于這些考慮，建議采用WPA+802.1x的認(rèn)證模式，并采用可以進(jìn)行雙向認(rèn)證、基于動態(tài)密鑰提供方式，且容易部署、無需建立專門的PKI證書有效性管理體系、以及Windows XP操作系統(tǒng)內(nèi)置就支持的EAP-PEAP（MS-CHAPv2）認(rèn)證協(xié)議。

為了驗證以上設(shè)想的共享計劃以及配套解決方案的技術(shù)可行性，我們將在Linux平臺上實現(xiàn)一個演示系統(tǒng)，這個系統(tǒng)包括如下關(guān)鍵組件：

1.Auth Server（認(rèn)證服務(wù)器）

●平臺：Linux

●認(rèn)證服務(wù)：FreeRadius

●SSL加密協(xié)議：OpenSSL。

●CA（數(shù)字證書生成）服務(wù)：OpenSSL內(nèi)置——CA.pl

●帳戶數(shù)據(jù)庫：MySQL

2.Portal Server（Portal網(wǎng)站服務(wù)器）

●平臺：Linux

●HTTP服務(wù)：Apache+Tomcat（JSP+Java Servlet技術(shù)）

Portal Server和Auth Server在物理上可以是同一臺主機(jī)，也可以是通過網(wǎng)絡(luò)連接的兩臺分離的服務(wù)器，但是兩者共享同一個用戶帳戶數(shù)據(jù)庫，或者可以同時作為LDAP服務(wù)器的客戶端，以共享用戶帳戶信息。此演示系統(tǒng)采用共享用戶帳戶數(shù)據(jù)庫的方法。

3.符合WPA標(biāo)準(zhǔn)的無線AP

這些AP的無線模塊必須支持：

●WPA/WPA2安全選項

●TKIP加密方法

●基于端口的802.1x（EAP）認(rèn)證協(xié)議

4.用戶終端（WPA Client-WPA客戶端）

●硬件平臺：帶符合WPA標(biāo)準(zhǔn)無線網(wǎng)卡的X86體系PC

●操作系統(tǒng)：Microsoft Windows XP

●瀏覽器：IE 6.0 or above

4、意義

如果將目前終端用戶自行安裝使用、或各大運(yùn)營商各自為陣部署的無線AP比喻為Internet發(fā)展之初的分散在各地、大大小小的網(wǎng)絡(luò)，將基于WPA安全標(biāo)準(zhǔn)的集中式認(rèn)證技術(shù)比喻為當(dāng)時的TCP/IP技術(shù)，那么文中提出的“共享計劃”恰恰就如同將這些資源集成起來的Internet所倡導(dǎo)的理念。該“共享計劃”通過采用集中式認(rèn)證技術(shù)實現(xiàn)無線接入資源的共享，并作為一種開放、自由性質(zhì)的資源共享方式，其對寬帶運(yùn)營和WLAN產(chǎn)業(yè)的潛在影響包括但不限于以下方面：

1.綜合目前用戶或運(yùn)營商分散的Wi-Fi接入資源，為所有用戶提供無地域限制的接入服務(wù)，為終端用戶提升了應(yīng)用價值；

2.通過用戶協(xié)議以開放、自組織的方式發(fā)展Wi-Fi網(wǎng)狀網(wǎng)，對運(yùn)營商的接入基礎(chǔ)設(shè)施起到了一定的補(bǔ)充作用，從一定程度上擴(kuò)大了其服務(wù)覆蓋范圍，為寬帶運(yùn)營商創(chuàng)造了價值；

3.將促進(jìn)Wi-Fi認(rèn)證的無線產(chǎn)品的實際應(yīng)用與推廣，以及加快推進(jìn)802.11體系的發(fā)展，特別是加快了WPA安全體系的產(chǎn)業(yè)化。

根據(jù)對該“共享計劃”系統(tǒng)目前所面臨的限制，結(jié)合可以預(yù)見的無線接入網(wǎng)絡(luò)、無線AP產(chǎn)業(yè)的發(fā)展趨勢，提出以下幾項改進(jìn)：

1.通過采用與RADIUS認(rèn)證服務(wù)器結(jié)合的計費(fèi)系統(tǒng)，可以實現(xiàn)更細(xì)粒度的用戶訪問控制和計費(fèi)要求；

2.寬帶接入運(yùn)營商與“共享計劃”運(yùn)營者可以協(xié)商合作方式，對WAN端口進(jìn)行DHCP自動配置的同時，將AP的信息（IP地址、MAC地址等）注冊到用戶帳戶數(shù)據(jù)庫；

3.運(yùn)營者可以與AP設(shè)計企業(yè)合作，共同開發(fā)互操作規(guī)程，從而可以實現(xiàn)AP無線端口的自動設(shè)置、或配置文件自動導(dǎo)入功能；

4.在條件成熟、政策允許的情況下，可以通過RADIUS Proxy實現(xiàn)跨運(yùn)營商部署、共享帳戶信息以及接入資源，促進(jìn)互聯(lián)互通，有效防止重復(fù)建設(shè)。