（计算机软件与理论专业论文）基于eap协议的无线定位系统安全认证研究与实现.pdf

南京邮电学院硕士研究生学位论文 摘要 摘要 近年来，随着移动通信技术的发展和应用的普及，无线定位业务作为一种新 兴的增值业务正越来越受到人们的欢迎，尤其是随着美国e 一9 1 1 ( e m e r g e n c yc a l l 9 1 l ) 法案的颁布，无线定位业务在交通管理、货物运输、突发事件处理、犯 罪跟踪和紧急医疗服务等很多行业得到广泛的应用。该业务因为涉及到用户的隐 私信息( 地理位置) ，所以该业务需要具备很高的安全性。 作者在参与无线定位系统的研发中，通过深入研究无线定位系统的实现技术， 针对目前无线定位系统中存在的安全隐患首先提出了一种基于m d 5 的双向认证方 案，但是在实现过程中发现这种方案不便于系统的移植和认证方法的扩展，针对 这两个缺点作者深入研究了目前安全认证的协议，在此基础上提出了一种基于e a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l 扩展认证协议) 协议的安全认证方案， 并且给出一种可扩展的实现方法。 e a p 协议为安全认证提供了一个框架，具体的认证方法在这个框架上执行， 这样能够将认证方法和底层的认证交互过程分离开，便于扩展和移植。在实现的 时候使用面向对象的设计方法，便于模块的划分和代码的复用。 基于e a p 协议的m d 5 安全认证方寨在很大程度上提高了无线定位系统的安全 性，能够更好的保护用户的隐私。 关键词：e a p ，a a a 无线定位系统，网络安全 南京邮电学院硕士研究生学位论文 r e c e n t l y ，w i t ht h ed e v e l o p m e n to fm o b i l ec o m m u n i c a t i o nt e c h n o l o g ya n d t h ep o p u l a r i t yo ft h i sa p p l i c a t i o n ，t h ew i r e l e s sl o c a t i n gs e r v i c ea sa r i s i n gi n c r e m e n ts e r v i c ei sg r e e t e db ym o r ea n dm o r ep e o p l e e s p e c i a l l y ， w i t ht h ep r e s e n to fa m e r i c a ne m e r g e n c yc a l l 9 11 ( e 一9 1 1 ) a c t ，w i r e l e s s l o c a t i n gs e r v i c eh a sb e e na p p l i e dw i d e l yi nm a n yo ft r a d e s ，s u c ha st r a f f i c m a n a g e m e n t 、f r e i g h tt r a n s i t 、o f f e n d e rt r a c ea n de m e r g e n c ym e d i c a ls e r v i c e ， e t c b e c a u s et h es e r v i c ei sr e l a t e dt ou s e r sp r i v a c yi n f o r m a t i o n ( u s e r s g e o g r a p h i cl o c a t i o n ) ，i ti sn e e d e ds t r o n g e rs e c u r i t y t h ea u t h o rp a r t i c i p a t e di nt h ed e v e l o p m e n ta n dr e s e a r c ho ft h ew i r e l e s s l o c a t i n gs e r v i c es y s t e m t h r o u g hd e e p l y r e s e a r c ho ft h ei m p l e m e n t t e c h n o l o g y ，a i m e da tt h el a t e n ts e c u r i t yi s s u e s ，f i r s t l yt h ea u t h o rp u t s f o r w a r ds e c u r ea u t h e n t i c a t i o ns c h e m eb a s e do nt h em d 5a l g o r i t h m b u ti n t h ep r o c e s so fi m p l e m e n t i n gt h es c h e m e ，t h ea u t h o rf o u n dt h es c h e m ew a s n t c o n v e n i e n tf o rs y s t e m sp o r t i n ga n de x t e n s i b i l i t yo fa u t h e n t i c a t i o n m e t h o d a i m e da tt h e s ed is a d v a n t a g e s ，t h ea u t h o rp u t sf o r w a r d a n a u t h e n t i c a t i o ns c h e m eb a s e do ne a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c 0 1 ) ， a n dg i v e sa ne x t e n s i b l ei m p l e m e n tm e t h o df o rt h ea u t h e n t i c a t i o ns c h e m e e a pp r o v i d e sas e c u r i t ya u t h e n t i c a t i o nf r a m e w o r kf o ra u t h e n t i c a t i o n m e t h o d i td i v i d e st h ea u t h e n t i c a t i o nm e t h o df r o mt h ea u t h e n t i c a t i o n p r o c e s si no r d e rt om a k et h es y s t e mp o r t a b l e i m p l e m e n t ，t h ea u t h o ru s e sd e s i g nm e t h o do f r e u s ec o d ea n dp a r t i t i o nm o d u l ee a s i l y a n de x t e n s i b l e d u r a t i o no f o r i e n t e d o b j e c ti no r d e rt o t h em d 5a u t h e n t i c a t i o ns c h e m eb a s e do ne a pp r o t o c o lc a ne n h a n c et h e s e c u r i t yo fw i r e l e s sl o c a t i o ns e r v i c es y s t e ma n dp r o t e c tu s e r sp r i v a c y i n f o r m a t i o nm o r ee f f i c i e n t l y k e yw o r d s ：e a p ，a a a ，w i r e l e s sl o c a t i n gs e r v i c es y s t e m ，n e t w o r ks e c u r i t y 南京邮电学院学位论文独创性声明 y7 6 5 0 8 8 本人声明所呈交的学位论文是我个人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包 含为获得南京邮电学院或其它教育机构的学位或证书而使用过的材 料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作了 明确的说明并表示了谢意。 研究生签名：日期 南京邮电学院学位论文使用授权声明 南京邮电学院、中国科学技术信息研究所、国家图书馆有权保留 本人所送交学位论文的复印件和电子文档，可以采用影印、缩印或其 他复制手段保存论文。本人电子文档的内容和纸质论文的内容相一 致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以公布 ( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权 南京邮电学院研究生部办理。 研究生签名：导师签名：日期： 南京邮电学院硕士研究生学位论文第l 章绪论 第1 章绪论 1 1 前言 蜂窝网无线定位技术是通过移动运营商的网络( c d m a 、g s m 等) 获取移动终 端用户的位置信息，并在地理信息系统( g i s ) 平台的支持下为用户提供相应服务 的种定位技术。 国际上对于无线定位技术的研究和应用可以追溯到2 0 世纪6 0 年代的自动车 辆定位( a v l ) 系统随后该项技术在交通管理、货物运输、犯罪跟踪和紧急医疗服 务等领域内得到广泛应用。2 0 世纪8 0 年代以来，随着人们对智能交通运输系统 ( i t s ) 的需要及蜂窝移动通信系统的出现，对无线定位技术有了新的需求。美国联 邦通信委员会( f c c ) 于1 9 9 6 年公布了e 一9 l l ( e m e r g e n c yc a l l9 1 i ) 定位 需求，要求在2 0 0 1 年l o 月1 目前，各种无线蜂窝网络必须能对发出e 一9 l l 紧急 呼叫的移动台提供精度在1 2 5 m 内的定位服务，而且满足此定位精度的时间概率应 不低于6 7 ；在2 0 0 1 年以后，系统必须提供更高的定位精度及三维位置信息。1 9 9 9 年1 2 月，f c c9 9 - - 2 4 5 对e - 9 1 1 需求进一步细化，对网络设备和手机生产厂商， 网络运营商等提出了明确的要求和日程安排。在定位精度方面规定：基于蜂窝网 络的定位方案( 不改动终端) ，要求在6 7 的概率下定位精度不低于1 5 0 m ，9 5 的概 率下定位精度不低于3 0 0 m ；基于移动台的定位方案( 可以改动移动台) ，要求在6 7 的概率下定位精度不低于5 0 m ，9 5 的概率下定位精度不低于1 5 0 m 。美国f c c 的这 一规定明确了提供e 一9 1 1 定位服务将是今后各神蜂窝网络，特别是3 g 网络必备的 厂1 基本功能。此外，欧洲和日本等国家也在计划制定相应标准。 在政府的强制性要求和市场本身的驱动下，无线定位业务以其独特的吸引力 和实用性受到越来越多的人们的关注，很多通信厂商已经提供了具有很好服务质 量的商用系统，无线定位用户的数量也是大幅度的增长。现在，移动通信用户不 仅可以通过这项技术随时了解自己所处的位置，运营商还可以提供紧急呼叫救援、 实时移动地图、贵重物品追踪及定位互动娱乐游戏等一系列扩展功能服务。 随着无线定位业务的快速发展和用户数目的大幅度增长，用户对于私密性和 安全性的要求越来越高。然而，目前的无线定位技术都把研究的重点放在定位算 一1 一 南京邮电学院硕上研究生学位论文第1 章绪论 法和实现上，关于定位系统的安全性研究做的工作不多，也没有制定相应标准。 a a a 指的是a u t h e n t i c a t i o n ( 鉴别) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 计费) 。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况 的准确记录。这样既在定程度上有效地保障了合法用户的权益，又能有效地保 r 0 1 障网络系统安全可靠地运行“。 e a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l 可扩展认证协议) ，该协议提供 一个支持多种认证方法的认证框架。用户可以在该认证框架上实现自己的认证算 法和认证流程，该框架上可以实现多种认证方法，在认证过程中可以根据认证策 略选择合乎要求的认证方法进行认证。 本文针对目前无线定位业务系统的安全缺陷提出了一套基于e a p 协议的接 入认证解决方案，该方案能够有效地保护用户的位景隐私，并且有利于认证系统 的移植和扩展，同时能够保证位置业务系统的稳定运行，防止非法用户的恶意破 坏。 1 2 本论文的结构和章节安排 第二章简要介绍了蜂窝网无线定位系统的基本知识，以及无线定位系统的安 全，隐私和计费管理的相关问题。在第三章中，简要分析了a a a 技术并对a 从基 础协议的实现做了介绍。第四章中介绍了e a p 协议的相关知识以及e a p 协议实现。 然后在第五章中，提出了基于e a p 协议的无线定位系统的安全认证架构，并且对 其中的几个认证实体的实现做了介绍。在文章的最后对本文做了总结并且探讨了 进一步研究和改进的方向。 南京邮电学院硕士研究生学位论文第2 章蜂窝网无线定位系统 第2 章蜂窝网无线定位系统 2 1 无线定位技术概述 无线定位技术通常是指通过无线电波来确定地球表面上某种物体在某一参考 坐标系中的位置。传统的定位技术和导航密不可分。近年来定位技术开始用于蜂 窝系统设计、e - 9 1 1 紧急援助、突发事件处理、交通监控与管理等。 当今，可以采用的定位方法通常有三类：推算定位( d r ，d e a dr e c k o n i n g ) 、 接近式定位( p r o x i m i t y ) 和无线电定位( r a d i ol o c a t i o n ) ，其中，无线电定位又可 以分为卫星无线电定位和地面无线电定位，地面无线电定位主要有蜂窝网无线定 位。 蜂窝网无线定位是指通过检测移动台和多个固定位置收发信机之间传播信号 的特征参数( 如电波场强、传播时间或时间差、入射角等) 来估计出目标移动台 的坐标位置。目前，基于蜂窝网的无线定位业务，作为移动通信网提供的一种增 值业务，正悄然兴起，在公共安全服务、紧急报警服务、基于移动台位置的计费、 车辆和交通管理、导航、城市观光等方面正越来越广泛的使用，用户数量不断增 r 1 加。本文所提到的无线定位技术特指这一种基于蜂窝网络的无线定位技术。 2 2 目前几种无线定位技术的比较 蜂窝移动通信系统中的定位技术有多种。总体上，可以根据定位参数测量和 位置计算在哪种设备上进行而分为基于移动台的定位方式、基于网络的定位方式 以及两者混合的定位方式 2 4 】。 2 2 1 基于网络( n e t w o r k b a s e d ) 的无线定位 网络利用移动台传来的信号计算出移动台位置的定位称为基于网络的定位， 这类系统在蜂窝网络中也叫做反向链路定位系统。其定位过程是由多个基站同时 检测移动台发射的信号，并对这些信号进行精确的到达时间( t o a ) 的测量，把各接 收信号携带的与移动台位置有关的特征信息送到一个定位服务中心进行处理，计 算出移动台的坐标位置。定位服务中心可看作事务处理器，它对来自不同移动台 一3 一 南京邮电学院硕士研究生学位论文第2 章蜂窝网无线定位系统 的位置测量请求，选择适当的定位接收机对指定的移动台进行所需定位区测量，收 集来自定位接收机的定位区测量信息，将所有信息进行综合得到定位测量结果， 并把该测量结果传送给发出请求的移动台。基于网络的定位系统的优点是无需修 改移动台“。 2 2 2 基于移动台( m o b i l e b a s e d ) 的无线定位 移动台利用来自基站的信号计算出自己的位置称为基于移动台的定位，也称 前向链路定位。它根据接收到的多个已知位置基站发射信号携带的与移动台位置 有关的特征信息来确定其与各基站之间的几何位置关系，再根据算法对移动台进 行定位估计。目前在无线网络广泛使用的技术是起源蜂窝小区( c o o ) ，该方案已被 用来满足美国第一阶段的“9 l l ”紧急服务需求、基于位置的付账和一些需要位置 r 9 信息的服务。 2 2 3 混合( h y b r i d ) 定位 混合定位中，移动台和网络都主动参与定位过程，在定位计算中通过空中接 口交换和移动台位置有关的信息。根据其在定位过程中的主导地位，分为网络辅 助( n e t w o r ka s s i s t e d ) 定位技术、移动台辅助( m o b i l e a s s i s t e d ) 定位技术 引。 从上述各定位系统的基本特征可以看出，在蜂窝网络中采用基于移动台的前 向链路定位方案必须对现有移动台进行适当修改，如集成g p s 接收机或能同时接 收多个基站信号进行自定位的处理单元。基于网络的反向链路定位方案只需对蜂 窝网络设备做适当扩充、修改，无需改动移动台，能利用现有蜂窝系统实现。 按照蜂窝网的类型不同，基于蜂窝网的无线定位技术还可以分为基于g s m 、 c d m a 、和其他网络的定位技术，这几种网络的无线通信原理、定位方法和定位系 统架构都有较大的区别，因为本文重点是研究和解决定位系统的安全认证问题， 所以下面仅仅对这几种定位系统的架构作一个抽象描述，便子对问题的说明。 2 3 蜂窝无线定位系统结构 对于基于蜂窝网的无线定位系统结构可以作如下的抽象 5 6 | 。 南京邮电学院硕士研究生学位论文 第2 章蜂窝网无线定位系统 图2 一l 蜂窝网无线定位系统结构 2 3 1 重要实体介绍 1 移动定位中心( m p c ) ：包括网关实体和业务处理实体，负责定位的具体流 程。 2 网关实体( i pg a t e w a y ) ：负责管理维护外部实体和定位中心的t c p i p 链 路，负责定位中心和外部实体之间消息的发送和接收。 3 业务处理实体模块( s p m ) ：负责处理定位相关的流程，响应外部实体发过 来的定位请求，返回位置结果给外部实体。 4 外部实体( e e ) ：包括m s ( 移动台) ，c p ( 内容提供商) 等实体，向定位中心 发起定位请求。获得位置结果。 南京邮电学院硕士研究生学位论文第2 章蜂窝网无线定位系统 2 3 2 基本定位流程介绍 l发起定位请求： 卜转发定位请求! l r _ ；i i i处理定位请求，返回位置结果 i ； i 返回位置结果 i i 转发位置结果f 一i k 一一一i 图2 - 2 定位基本流程 1 外部实体和网关实体建立t c p i p 连接 2 外部实体发送定位请求p o s r e q 给网关实体，请求得到某个移动终端的位 置 3 业务处理实体通过和移动网络或者g p s 卫星的交互，计算得到被定位终端 的位置，通过p o s r s p 消息发送给网关实体。 4 网关实体将该位置转发给外部实体。 2 4 无线定位系统中存在的问题 2 4 1 安全问题 对于无线定位系统，不管是c p ( c o n t e n tp r o v i d e r 内容提供商) 还是通过 j a v a b r e w 上网的移动终端发起定位请求，都是通过i p 域连接到定位系统的，而 且大多数是通过公网而非专用的网络来接入的。这就潜藏着很多安全问题，未授 权用户有可能通过i n t e r n e t 侵入无线定位系统，非法获取用户的位置隐私，或者 破坏定位系统，使其不能稳定工作。目前对于无线定位的安全问题还在研究中， 还没有成熟的安全解决方案，也没有制定相应的标准。随着无线定位业务的普及， 一6 一 南京邮电学院硕士研究生学位论文 第2 章蜂窝网无线定位系统 用户数量的上升，无线定位的安全问题势必要提到日程上来。 2 4 1 1 定位系统安全问题具体分析 当外部实体( 例如，c p ( 内容提供商) ) 发起对某个手机终端的定位时，会向 m p c ( 移动定位中心) 建立一条s o c k e t 链路，具体过程是：外部实体通过m p c 对外 提供服务的i p 地址、端口号建立起一个t c p 链路，m p c 同时会设置一个定时器， 如果定时器超时外部实体仍然没发送消息就关闭链路，如果在定时器超时前外部 实体发送了请求定位报文，就重新设置定时器。当m p c 收到外部实体发过来的定 位请求报文后，判断报文中的外部实体i d 和p a s s w o r d 是否和自身数据库中保存 的外部实体开户信息一致，不一致就拒绝。 可以看出，上面的链路建立过程存在以下几个安全问题： 1 ) 任何客户端如果知道m p c 的i p 地址、端口号都可以和m p c 建立连接，在 m p c 定时器超时前可以发送特殊的i p 报文给m p c ，对m p c 进行非法攻击。 2 ) 因为外部实体的i d 和p a s s w o r d 是在定位请求报文中以明文的方式发给 m p c 的，容易在链路上被非法截获。 3 ) 因为外部实体没有对m p c 进行认证，所以可能会有非法者冒充合法m p c ， 获取外部实体发给m p c 的请求定位报文，从而获得外部实体的i d 和口令。 2 4 2 隐私管理问题 目前关于隐私的处理通常是放在业务处理部分( s p m ) 来执行，在每一次定位 中，业务处理实体将对主叫、被叫以及外部实体的合法性进行检查。只有被叫用 户许可的主叫用户和外部实体才可以对被叫进行定位。目前业务处理实体s p m 的 鉴权过程主要分为外部实体i p 地址验证和用户、外部实体鉴权两个部分。 这样的处理会在某种程度上降低系统的处理性能。因为对于用户的请求，需 要通过业务处理模块以下的部分参与，将用户的请求上传到业务处理实体s p m 部 分处理。所以，如果有大量的不合法用户请求定位，这一部分的开销会在一定程 度上降低系统的性能，而且，当隐私策略改变时，还需要改动业务处理模块，使 得系统的内聚度减小，耦合度增大。 南京邮电学院硕上研究生学位论文第2 章蜂窝网无线定位系统 2 4 3 计费问题 目前的计费处理也是由定位系统的业务处理部分来进行，由业务处理模块生 成话单传给计费平台来处理。对于计费策略的改变也需要对业务处理模块进行改 动。 本文重点研究定位系统的安全性问题，对于隐私管理和计费问题不作为研究 的重点。 2 5 安全认证和加密机制 在前面对无线定位系统安全性分析的基础上，本节给出一种基于m d 5 的双向 认证和数据加密的安全技术 7 | 。 2 5 1 双向认证 为了实现双向认证，需要在m p c ( 移动定位中心) 和外部实体中保存和计算 一些数据。 1 表明外部实体唯一性的保密数据k i ，长度为1 2 8 b i t s ，该保密数据保存在 m p c 和外部实体中。 2 随机数r a n d ，由外部实体产生并且发送给m p c ，用于外部实体和m p c 生成 一个密钥k c 。在m p c 和外部实体中不保存该数据，都是在建立链路时才生成的。 r a n d 的长度为5 6 b i t s 。 3 外部实体的接入密码p a s s w o r d 4 序列号s q n ，长度为3 2 b i t s 。s q n 是为了防止重播攻击而在外部实体和m p c 中共同维护的一个序列号。 5 s q n 组号，随机产生并在请求认证消息中发送，到达对端后和序列号s q n 通过双方共知的算法产生一个s q n ，该s o n 用于生成认证字段和k c 。 认证过程如下： 南京邮电学院硕七研究生学位论文第2 章蜂窝网无线定位系统 1 认证请求( 包括，s q n 、认证字段、r a n d ) j 2 计算认证字段和发送过来的比较 l il ：3 认证通过，发送响应消息( 包含，响应字段) ： 一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一 ：3 认证失败，返回失败原因： 乓一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一一 i ：4 。对响应字段进行认证 ； 5 认证通过，发送加密后的定位请求消息 ； l 6 返回加密的位置信息 ： 乓一一一一一一一一一一一一一一j 图2 - 3 无线定位系统认证过程 下面介绍上图的具体流程： 1 外部实体连接到m p c 后立即发送一个请求认证消息给m p c ，该消息中包含 s q n 组号，认证字段，随机数r a n d ，认证字段采取m d 5 算法，输入是保密数据k i ， s q n ，和外部实体的接入密码，经过m d 5 算法生成的是认证字段。防止信息在链路 上被篡改。认证字段算法如图2 - 4 所示。 k i p w d s q n 认证罕段 图2 _ 4 计算认证字段 2 m p c 接收到外部实体发过来的认证字段，取出外部实体对应的保密数据k i ， p a s s w o r d ，根据消息中的s q n 组号通过一定算法得到s q n ，再通过图2 - 4 的算法 算出认证字段，若与发过来的相匹配，一致则通过认证，否则拒绝该外部实体的 连接。 3 m p c 对外部实体的认证通过后，取出认证消息中带来的随机数r a n d ，通过 图2 - 5 的算法，得到一个加密密钥k c ，然后给外部实体发送认证成功的响应消息。 响应消息中包含一个响应字段，响应字段的计算如图2 6 所示。 南京邮电学院硕士研究生学位论文第2 章蜂窝捌无线定位系统 k i r a n d s q n k c 图2 - 5 计算加密密钥k c 4 外部实体收到认证成功的响应消息后，通过图2 5 的算法得到一个加密密 钥k c 然后再通过图2 - 6 的算法得到响应字段，判断和m p c 传送过来的响应字段 是否一致，一致则认为链路建立成功。 x c r a n d s q n 图2 - 6 计算认证响应字段 5 外部实体利用加密密钥k c 将要加密的消息进行加密，然后将加密后的消 息重新封装到一个帧里，发送给m p c 。帧格式如下： 参数描述 加密算法o 一未加密 l f f ：加密方法，和m p c 端要事先确定好 数据长度净载荷长度 数据加密后的报文 图2 7 消息包格式 6 m p c 收到外部实体请求定位消息后，通过密钥k c 将报文信息解密，发送 给业务处理模块处理，将得到的位置结果信息经过同样的加密方法发送给外部实 体 在上面的认证和加密机制中，每次加密的密钥是不同的并且不在链路上传送， 可以有效的保证外部实体和m p c 之间消息传递的私密性，即使报文在链路上被非 法截取也能保证双方通信的安全，提高了目前无线位置业务系统的安全性，更好 的保护了用户的隐私。 南京邮电学院硕士研究生学位论文第2 章蜂窝网无线定位系统 2 。6 双向认证机制的缺点分析与解决方案 虽然上面的双向认证能够有效的保护用户的私密性，但是在其实现上却存在 以下几个缺点： 1 上面的认证过程是在网关实体中进行的，网关实体设计的目的是负责管理 和维护外部实体和m p c 之间的t c p i p 链路。如果将认证机制加入网关实体，降低 了系统设计的耦会度，同时还增加了网关实体的负担。 2 不利于认证方法的扩展，如果需要一种新的认证和加密机制，对网关实体 的修改较大。 3 不利于移植，这种认证方法的实现不利于在操作平台上的移植，例如u n i x 和n t 平台的移植。 4 在实现上没有一个标准的协议，使得不同厂家很难互连互通。 为了克服上面提到的几个缺点，文中提出了一种基于e a p 协议的安全认证方 案。e a p ( e x t e n s i b l ea u t h e n t i c a t i o np r o t o c o l 扩展认证协议) 是一种基于a 从 技术的一种认证框架，在e a p 基础上我们可以实现多种认证的方法，便于认证方 法的扩展和实现。 南京邮电学院硕士研究生学位论文第3 章a 从技术 第3 章a a a 技术 3 1a a a 技术概述 a a a 指的是a u t h e n t i c a t i o n ( 鉴别) ，a u t h o r i z a t i o n ( 授权) ，a c c o u n t i n g ( 计费) 。自网络诞生以来，认证、授权以及计费体制( a a a ) 就成为其运营的基 础。网络中各类资源的使用，需要由认证、授权和计费进行管理。而a a a 的发展 与变迁自始至终都吸引着营运商的目光。对于一个商业系统来说，鉴别是至关重 要的，只有确认了用户的身份，才能知道所提供的服务应该向谁收费，同时也能 防止非法用户( 黑客) 对网络进行破坏。在确认用户身份后，根据用户开户时所 申请的服务类别，系统可以授予客户相应的权限。最后，在用户使用系统资源时， 需要有相应的设备来统计用户对资源的占用情况，并据此向客户收取相应的费用 3 3 2a a a 的基本概念 鉴别( a u t h e n t i c a t i o n ) 指用户在使用网络系统中的资源时对用户身份的确 认。这一过程，通过与用户的交互获得身份信息( 诸如用户名一口令组合、生物 特征获取等) ，然后提交给认证服务器；后者对身份信息与存储在数据库里的用户 信息进行核对处理，然后根据处理结果确认用户身份是否正确。例如，g s m 移动 通信系统能够识别其网络内网络终端设备的标志和用户标志。 授权( a u t h o r i z a t i o n ) 指网络系统授权用户以特定的方式使用其资源，这一 过程指定了被认证的用户在接入网络后能够使用的资源和拥有的权限，如授予的 i p 地址等。仍以g s m 移动通信系统为例，认证通过的合法用户，其业务权限( 是 否开通国际电话主叫业务等) 则是用户和运营商在事前已经协议确立的。 计费( a c c o u n t i n g ) 指网络系统收集、记录用户对网络资源的使用情况，以 便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商i s p 为例，用户的网络按入使用情况可以按流量或者时间被准确记录下来。 认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准 确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地保障网 南京邮电学院硕士研究生学位论文 第3 章a a a 技术 络系统安全可靠地运行 3 1o | 。 3 3a a a 基础协议及其实现 a a a 基础协议主要包括a a a 传输层协议和a a a 认证状态转换协议。传输层协 议规定了底层传输的要求。a 从认证状态转换协议规定了a a a 认证状态机的组成 和状态转换的原则。 为了缩短实现的周期，论文中的实现参考了开源项目o p e n d i a m e t e r ，使用了 面向对象的编程技术，能够在一定程度上增加了代码的复用，节省实现时间 9 3 1 0 1 2 1 4 3 3 1 传输层实现 传输层使用如下的类来实现，a 从j r a n s p o r t i n t e r f a c e 是一个接口类。定义 了和s o c k e t 相关的连接( c o n n e c t ) ，侦听连接( l i s t e n ) ，接收连接( a c c e p t ) ，发 送( s e n d ) ，接收( r e c e i v e ) 等函数。 c l a s sa a a _ ，r r a n s p o r t i n t e r f a c e ( p u b l i c ： v i r t u a li n to p e n 0 = 0 ： v i r t u a li n tc l o s e o = 0 ： v i r t u a li n tc o n n e c t ( s t d ：s t r i n g & h o s t n a m e ，i n tp o r t ) = 0 ： v i r t u a li n tc o m p l e t e ( a a a _ t r a n s p 。r t i n t e r f a c e * & i f a c e )= 0 ： v i r t u a li n il i s t e n ( i n tp o r t ) = 0 ： v i r t u a li n ta c c e p t ( a a a r a n s p o r t i n t e r f a c e * & i f a c e ) = 0 ： v i r t u a li n ts e n d ( v o i d * d a t a ，s i z e tl e n g t h ) = 0 ： v i r t u a li n tr e c e i v e ( v o i d * d a t a ，s i z e _ tl e n g t h ，i n tt i m e o u t = 0 ) = 0 ； ： 为了保证程序的跨平台性，和网络底层相关的操作使用了a c e 库( a c e 库的 介绍见附录a ) 。基于a c e 库实现了一个模板类a a a a c e t r a n s p o r t ，该类使用a c e 提供的函数具体实现了a a a _ t r a n s p o r t i n t e r f a c e 接口类中提供的几个函数。 一13 南京邮电学院硕士研究生学位论文 第3 章a a a 技术 t e m p l a t e c l a s sa a a a c e t r a n s p o r t：p u b l i ca a a _ t r a n s p o r t i n t e r f a c e 因为目前系统是基于t c p i p 网络协议来实现的，因此在从aa c et r a n s p o r t 模板类的基础上实现了一个基于t c p i p 协议的具体类从a _ t r a n s p o r t t c p ，该类 使用了 a c e库提供的 a c e _ s o c ka c c e p t o r ， a c e s o c k s o n n e c t o r ，a c e s o c k s t r e a m 类。 t y p e d e fa a a a c e t r a n s p o r t a 从j r a n s p o r t t c p ： 因为网络实体分成客户端和服务端，因此在从aa c et r a n s p o r t 基础上实现 了客户端类a a a 1 0 一c o n n e c t o r 负责向服务器端发起一个连接，服务端类 a a a _ 1 0a c c e p t o r 负责接收客户端的连接。a a a 1 0 一c o n n e c t o r 和从a _ 1 0a c c e p t o r 类都是模板类，在t c p i p 网络协议上实现具体的类是从at c p a c c e p t o r ， a a at c d c o n n e c t o r 。 t y p e d e fa a a i o a c c e p t o r 3 3 2 任务调度机制的实现 任务调度机制是在a c e 任务调度机制的基础上实现的，把工作单元分为作业 ( j o b ) 和任务( t a s k ) 两个部分。 一1 4 一 南京邮电学院硕士研究生学位论文第3 章a a a 技术 作业( j o b ) 是一个最小执行单元，可以被任务( t a s k ) 调用也可以被别的( 作业) j o b 来调用。多个作业( j o b ) 还能组成一个作业组( g r o u p j o b ) ，作业组存放在队列 中，由一个调度作业通过一定策略来调度这个作业组。 对应的类是：a a a j o b 提供如下几个方法： 1 服务( s e r v e ) ：该方法被执行单元调用来执行任务。 2 调度( s c h e d u l e ) ：执行单元调用该方法来调度一个作业( j o b ) ，以便s e r v e 方法被调用。 3 名称( n a m e ) ：用来设置和得到一个作业的名称 4 待执行作业数( e x i s t b a c k l o g n u m ) ：目前待执行的作业数。 5 数据( d a t a ) ：该方法用来得到或者设置作业的数据。 6 优先级( p r i o r i t y ) ：该方法用来取得或者设置作业的优先级，使用优先级 调度作业。 任务( t a s k ) 为作业的运行创建一个线程。 对应的类是a a a _ t a s k 提供如下几个方法： 1 开始( s t a r t ) ：开始一个任务。 2 停止( s t o p ) ：停止一个任务。停止后作业不能再进入任务空间运行，但是 已经在任务空间中执行的作业将继续被执行。 3 定时器调度( s h e d u l e t i m e r ) ：用来调度一个定时器事件，定时器事件是由 定时器线程提供的。 4 。取消定时器( c a n c e l t i m e r ) ；取消一个被s c h e d u l e t i m e r 调度的定时器事 件。 任务( t a s k ) 和作业( j o b ) 的关系见下图 南京豁咆学院硕卡研究生学位论文 第3 章a a a 技术 图3 - i 作业和任务的关系图 3 3 3 有限状态机( f s m ) 的实现 大部分的通讯协议中包含一个有限状态机，有限状态机包含一个状态变迁表 ( s t a t et r a n s i t i o nt a b l e ) 。状态变迁表定义了协议的行为，用来表示在某一个 状态下接受到一个事件应该触发的一个行为动作，并且状态应该转换到下一个状 态。状态变迁表结构通常如下图所示： c u r r e n ts t a t ee v e n tn e x ts t a t ea c t i o n s le 1s 2a c t i o n l 图3 - 2 状态变迁表结构 表示该状态机在状态“s l ”，接收到事件“e 1 ”，执行动作“a c t i o n l ”，转入 “s 2 ”状态。 有限状态机的实现使用a a a s t a t e m a c h i n e b a s e 模板类，该类提供了如下几个 方法： 1 开始( s t a t e ) ：状态机开始工作。 2 停止( s t o p ) ：状态机停止运行。 3 重启( r e s t a r t ) ：状态机重新开始运行。 南京邮电学院硕士研究生学位论文第3 章a a 技术 4 是否运行( r u n n i n g ) ：确定状态机是否在运行中。 5 事件( e v e n t ) ：调用该方法将一个事件传递给运行中的状态机，状态机查找 对应的动作并且执行，将状态转移到下一个状态。 南京邮电学院硕士研究生学位论文 第4 章e a p 协议 第4 章e a p 协议 4 1e a p 协议概述 e a p 协议为认证过程提供一个支持多种认证方法的认证框架。可以运行在p p p 或者i e e e 8 0 2 等链路层上。e a p 提供自己的重传机制和重复消息丢弃机制。但是 依赖底层来保证消息的按序到达。e a p 协议本身不支持包的拆分和重组，但是特 别的e a p 认证方法可能支持这个功能。 e a p 架构优点 1 扩展性，e a p 可以选择一个特别的认证机制，认证器通过多次的交互得到 所使用的认证方法。 2 e a p 允许使用实现了多种认证方式的后端认证服务器，这时认证器执行透 传的功能，可以将认证的具体功能放到后端认证服务器上，该服务器专门用来执 行认证动作 15 】。 4 2e a p 基本概念 1 认证者( a u t h e n t i c a t o r ) ：发起e a p 认证的实体。通常是网络访问服务器 ( n a s ) 。 2 被认证端( p e e r ) ：负责发送认证响应给认证器的实体。 3 后端认证服务器( b a c k e n da u t h e n t i c a t o r ) ：为认证器提供认证服务的实 体，负责执行e a p 认证方法。也即是a a a 服务器 4 e a p 透传认证者( e a pp a s s - t h r o u g ha u t h e n t i c a t o r ) ：在整个认证过程 中起一个透传的功能，负责将认证请求或者响应消息在被认证端和后端认证服务 器之间转发。 4 3e a p 认证过程 e a p 认证方式分三种情况： 1 仅有认证者( a u t h e n t i c a t o r ) 和被认证端( p e e r ) 。如图4 一l 所示。 南京邮电学院硕士研究生学位论文 第4 章e a p 协议 回匦鲴 i ( i n p u tu s e r l d ) 一一一r ，e s p o 一一n s e i d e n t i t y 一一。j ： ! ! ! !