IEEE 802.16安全传输机制的问题分析(上)

1 引言
802.16是一项新兴的无线城域网（WMAN）技术，是针对2~66GHz频段提出的一种新的空中接口标准。作为一种极具竞争力的无线接入技术，众多的运营商和设备厂商已在积极酝酿将其推向市场。但是由于无线传输信道的开放性，它的安全性一直是人们关注的问题，并将影响其市场推广。因此关注802.16的安全机制有着极为重要的意义。

802.11i是IEEE提出的新一代无线局域网（WLAN）安全标准，802.11i作为一种相对成熟的安全标准，是IEEE标准委员会于2004年6月25日正式批准通过的。

由于无线城域网和无线局域网都属于宽带无线网络，它们有各自的特点，同时在安全方面也有很大的共性。比如它们都需要数据的机密性、完整性保护，设备以及用户的身份认证，并且根据不同的需求引入PKI体制，在实现的时候同时也要注意防DoS攻击以及其他一些细节。在目前802.16的安全标准尚未最终制定，各种提案尚处于草案阶段的情况下，我们可以根据802.11i的一些设计思想来预测802.16安全机制的发展趋势。

2 IEEE 802.11i安全机制简介

IEEE 802.11i规定使用802.1x认证和密钥管理方式，在数据加密方面，定义了TKIP（Temporal Key Integrity Protocol）、CCMP（Counter-Mode/CBC- MAC Protocol）和WRAP（Wireless Robust Authenticated Protocol）三种加密机制。

IEEE 802.11i使用802.1x完成初步认证并且获得成对主密钥（PMK）之后，再通过四次握手协议来互动地从PMK中获得加密密钥和认证密钥。四次握手协议使得可以用临时密钥来对单播数据进行加密后再传播。同时在802.11i中引进了组密钥握手协议，通过组密钥握手协议来获得多播数据的加密密钥从而实现多播数据的加密传输。另外在IEEE 802.11i中当客户端（请求者）在接入点（认证者）之间漫游时，为了从根本上降低恢复通信所需要的时间，采用了预认证方法。

3 802.16 D3版本的安全机制

在802.16 D3版本中主要是通过在MAC层中定义了一个保密子层来提供安全保障。保密子层主要包括两个协议：数据加密封装协议和密钥管理协议（PKM）。其中数据加密封装协议定义了IEEE 802.16支持的加密套件，即数据加密与完整性验证算法，以及对MAC PDU载荷应用这些算法的规则。而密钥管理协议则定义了从基站向用户工作站分发密钥数据的安全方式，两者之间密钥数据的同步以及对接入网络服务的限制。

3.1 802.16 D3版本安全机制的主要工作流程

（1）工作站向基站发送一个认证信息消息。该消息包含SS制造商的X.509证书。

（2）工作站向基站发送授权请求消息。该消息包括生产商发布的X.509证书，基站所支持的加密算法以及基站的基本连接ID。

（3）基站验证工作站的身份，决定加密算法，并为工作站激活一个授权密钥（AK）。

（4）基站将AK用工作站的公钥加密后返回给工作站。

（5）工作站定时发送授权请求消息给基站来更新AK。

另外，随着AK的交换，基站建立了工作站的身份认证以及工作站授权接入的服务。亦即在基站和工作站之间建立了某种安全关联。安全关联是基站和一个或多个工作站间共享的一组安全信息，目的是为了支持IEEE Std80.16网络间的安全通信。安全关联可以包括TEK（用来加密数据流的密钥）和初始化向量。故在获得授权后，工作站应该向基站请求加密密钥TEK，流程如下：
（1） 工作站向基站发送加密密钥请求消息。

（2）基站在收到该消息后，生成TK，并通过密钥回应消息发送给工作站。

（3）工作站定时发送密钥请求消息给基站来更新TEK。

3.2 802.16 D3版本安全机制存在的问题

从前面802.16 D3版本安全机制的工作流程可以看出，D3版本安全机制主要存在以下问题：

（1）单向认证。只能基站认证工作站，工作站不能认证基站，这样可能导致中间人攻击。

（2）认证机制缺乏扩展性。认证机制只是基于X.509证书，因此缺乏扩展性。

（3）缺乏抗重放保护。攻击者可以通过截获数据包进行重放来对系统发起攻击。

另外，在802.16 D3版本对数据的加密采用的是DES-CBS算法，这种算法的密钥长度只有56bit，容易遭受到穷举攻击。