基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范課件

1、西安西電捷通無線網(wǎng)絡(luò)通信有限公司 Date: 2006-07基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu) 議程項目背景目前的進展總結(jié)項目的研究目標針對無線IP網(wǎng)絡(luò)的安全接入問題進行研究和提出一種安全接入基礎(chǔ)結(jié)構(gòu)技術(shù)方案并形成相關(guān)標準草案。該技術(shù)方案及其標準主要應(yīng)用于無線IP網(wǎng)絡(luò)，如無線局域網(wǎng)、無線城域網(wǎng)（包括Wimax和我國自主的無線城域網(wǎng)方案）和有線網(wǎng)絡(luò)。 WAPI基礎(chǔ)結(jié)構(gòu)的適應(yīng)性WAPI安全接入方法WLANWMAN 實例1WAPI框架方法標準基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范已在全國信息技術(shù)標準化技術(shù)委員會和全國信息安全標準化技術(shù)委員會立項，2006年內(nèi)完成WAPI方法的應(yīng)用實例已在國家無線局域

2、網(wǎng)標準中采用；WAPI方法的應(yīng)用實例已在國家無線寬帶多媒體技術(shù)標準工作組中提出；ABWAPI WAPI方法與應(yīng)用的關(guān)系網(wǎng) 絡(luò) 通 信 協(xié) 議 無線個域網(wǎng)無線城域網(wǎng)無線局域網(wǎng)智能天線技術(shù) 擴頻技術(shù)安全接入技術(shù)媒體訪問控制技術(shù)調(diào)制技術(shù)三元對等鑒別框架方法 WAPI項目的技術(shù)背景訪問控制是接入安全的一個重要基礎(chǔ)內(nèi)容。訪問終端接入控制器網(wǎng)絡(luò)訪問控制訪問控制的目標授權(quán)是在接入鏈路的兩端實施。如何控制終端設(shè)備和接入控制器的受控端口是關(guān)鍵。如果終端設(shè)備和接入控制器自行完成（self-controlled），那么每個接入控制器都要保存有終端設(shè)備的憑證（credential），才能使終端設(shè)備能夠在各個接入控制器

3、獲得授權(quán)。這種方法非常難以管理。如何獲得管理的便利性和訪問控制的安全性？IEEE 802.1x將認證和授權(quán)終端設(shè)備的的功能從接入控制器中分離出來，建立認證服務(wù)器實體來實現(xiàn)這部分功能定義三個邏輯實體請求者Supplicant終端設(shè)備認證者Authenticator接入控制器認證服務(wù)器Authentication Server認證服務(wù)器接入控制器是認證服務(wù)器的附屬，對于終端設(shè)備來說，不區(qū)分接入控制器和認證服務(wù)器。從結(jié)構(gòu)上，這是兩元（終端設(shè)備和網(wǎng)絡(luò)）三實體（終端設(shè)備、接入控制器和認證服務(wù)器）結(jié)構(gòu)。終 端 接入控制器 服務(wù)器 IEEE 802.1x 主要特性訪問控制實體請求者和認證者在認證和授權(quán)上是不

4、同的。請求者是自獨立的，認證者受認證服務(wù)器的控制。IEEE 802.1x的適應(yīng)性當前的網(wǎng)絡(luò)環(huán)境：請求者和認證者之間的數(shù)據(jù)傳輸并不安全，在認證和授權(quán)的同時還要協(xié)商出會話密鑰。尤其在無線環(huán)境更是如此。IEEE 802.11i、802.16e等網(wǎng)絡(luò)中都要求會話密鑰。目前的解決方法：由于認證者的附屬性，密鑰在請求者和認證服務(wù)器之間協(xié)商，然后密鑰從認證服務(wù)器傳遞給認證者。困難密鑰從認證服務(wù)器傳遞到認證者，保證傳遞的安全性需要付出額外的資源。請求者和認證服務(wù)器進行認證，無法認證認證者的身份，因而在請求著和認證者之間還需進行額外的確認。解決方法IEEE 802.1x雖然增加了實體，但該實體不是新的功能體。在

5、增強管理性的同時，帶來了其他的問題。新的方法：對等訪問控制方法終端設(shè)備和接入控制器保持原始的功能增加新的功能體憑證管理服務(wù)器結(jié)構(gòu)上是三元結(jié)構(gòu)(終端設(shè)備、接入控制器和憑證管理服務(wù)器）終 端接入控制器服務(wù)器對等訪問控制的特點憑證管理服務(wù)器同時管理終端設(shè)備和接入控制器的憑證，從根本上支持雙向認證；終端設(shè)備和接入控制器都是自我控制的實體，都不是憑證管理服務(wù)器的附屬，在訪問控制概念上是對等的；認證及密鑰協(xié)商直接在終端設(shè)備和接入控制器之間進行；具有良好的管理性、安全性、擴展性。 運行示意服務(wù)器接入控制器終端(雙向) 鑒別安全屬性傳送導(dǎo)出密鑰，控制端口導(dǎo)出密鑰，控制端口議程項目背景目前的進展總結(jié)項目狀態(tài)完成

6、基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)研究報告完成基于對等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范草案規(guī)范內(nèi)容定義對等訪問控制的結(jié)構(gòu)定義端口終端和接入控制之間消息格式接入控制和憑證管理服務(wù)器的通信定義認證協(xié)議封裝的方法如何利用端口控制和各種消息定義，實現(xiàn)對等控制。需要的狀態(tài)機管理：定義管理對象，管理類，管理協(xié)議，MIB庫。方法框架基本原理系統(tǒng)實體定義通用認證協(xié)議通用認證協(xié)議在接入鏈路上的封裝對等控制認證協(xié)議模型格式與其它層的關(guān)系消息格式消息處理協(xié)議描述狀態(tài)機 管理信息（管理對象、協(xié)議支持、MIB等）實體定義（一）系統(tǒng)：連接在接入網(wǎng)絡(luò)中接入鏈路上的設(shè)備稱之為系統(tǒng)端口：系統(tǒng)和接入鏈路有一個或多個連接點，被稱之為

7、端口。 受控端口非受控端口系統(tǒng)連接點接入鏈路實體定義（二）一個系統(tǒng)的端口（更準確地說，是端口的端口控制實體PAE）可以采用以下兩種角色：提供者（Provider）：如果系統(tǒng)的端口想通過端口提供資源給其他系統(tǒng)訪問，那么它采用提供者的角色。提供者也可以通過該端口訪問其他系統(tǒng)的資源。訪問者（Visitor）：如果系統(tǒng)的端口想通過端口訪問其他系統(tǒng)提供的資源，那么它采用訪問者的角色。另外還有一個系統(tǒng)角色被定義：管理服務(wù)器（Management Server）：在提供者和訪問者進行認證授權(quán)時，管理服務(wù)器提供必要的安全資源和管理的功能。端口只能采用提供者或訪問者其中之一的角色，而不能同時采用兩種角色，這樣可

8、以防止兩種角色對于端口的控制出現(xiàn)狀態(tài)的不同步。 實體定義（三）應(yīng)用-使用提供者的服務(wù)訪問者PAE訪問者系統(tǒng)接入鏈路服務(wù)-提供者提供提供者PAE提供者系統(tǒng)端口非授權(quán)端口非授權(quán)管理服務(wù)器系統(tǒng)管理服務(wù)器 高層協(xié)議負載認證協(xié)議一個給定的協(xié)議可能需要繞過授權(quán)功能而使用非受控端口。兩個PAE利用他們的非受控端口，使用鏈路層負載的認證協(xié)議互相通信，提供者PAE通過高層協(xié)議負載的認證協(xié)議與管理服務(wù)器進行通信。實體定義（四）自適應(yīng)端口選擇PAE只能選擇訪問者或提供者之一的角色。一個PAE可以靜態(tài)的采用訪問者或提供者的角色，也可以根據(jù)情況動態(tài)選擇訪問者和提供者角色。如果對方是提供者，自適應(yīng)PAE將采用訪問者角色，

9、如果對方是訪問者，自適應(yīng)PAE將采用提供者角色。如果雙方都是自適應(yīng)PAE，那么根據(jù)優(yōu)先級和物理地址來確定角色。優(yōu)先級高的PAE成為提供者，另外一個是訪問者。如果優(yōu)先級一樣，那么物理地址高的PAE成為提供者。PAE通過GAPoL幀進行自適應(yīng)選擇。通用認證協(xié)議（一）GAP是一個協(xié)議封裝協(xié)議，用于網(wǎng)絡(luò)接入認證。它支持多種認證協(xié)議，可以靈活的適應(yīng)各種環(huán)境，有效地完成認證。GAP包格式 Code（8位）Identifier（8位）Length（16位）標志（3位） 片偏移（13位）校驗和（16位）數(shù)據(jù)通用認證協(xié)議（二）GAP認證方法GAP 對等體層GAP 層底 層GAP認證方法GAP提供者層GAP 層底

10、 層傳輸 層GAP認證方法GAP 對等體層GAP 層傳輸 層提供者對等體認證服務(wù)器底層/傳輸層：負責(zé)在對等體和提供者之間傳送和接收GAP幀。GAP可以運行在多種底層技術(shù)上，包括PPP、802 LAN、802.11 WLAN、802.16、802.15、UDP、TCP等。GAP層：GAP層通過底層傳送和接收GAP數(shù)據(jù)包，實現(xiàn)重復(fù)幀檢測和重傳、在對等體層和提供者層之間傳送消息。GAP對等體層和提供者層：根據(jù)Code字段的值，GAP層解析收到的GAP包，傳送到GAP對等體層或GAP提供者層。通用認證協(xié)議在接入鏈路上的封裝GAPoL（一）定義了訪問者 PAEs和提供者 PAEs之間負載GAP包的封裝技

11、術(shù)。封裝稱為接入鏈路上的GAP，或GAPoL、GAP over Link。通用認證協(xié)議在接入鏈路上的封裝GAPoL（二）GAPoL PDU的格式八位位組序號協(xié)議版本 1類型 2長度 3-4內(nèi)容 5-N通用認證協(xié)議在接入鏈路上的封裝GAPoL（三）類型：此字段長度為1字節(jié)，用一個無符號數(shù)表示。它的值決定著發(fā)送的包的類型。定義了如下類型：GAP-Packet. 值0000 0000表示幀載有GAP。GAPoL-Start。值0000 0001表示幀是GAPoL-Start幀。GAPoL-Logoff。值0000 0010表示幀是明確的GAPoL-Logoff請求幀。GAPoL-Key。值00000

12、011表示幀是GAPoL-Key幀。GAPoL-Encapsulated-ASF-Alert。值0000 0100表示幀載有GAPoL-Encapsulated-ASF-Alert。通用認證協(xié)議在接入鏈路上的封裝GAPoL（四）Key Descriptor的格式 長度-2個八位位組標識-2個八位位組重放計數(shù)器-8個八位位組算法-OID保留-8個八位位組MIC-20個八位位組協(xié)議數(shù)據(jù)-n個八位位組對等控制認證協(xié)議PCAP（一）PCAP根據(jù)GAP消息的結(jié)果，來控制端口的狀態(tài)。系統(tǒng)的portEnable信號通告給PCAP，指示一個端口是活躍的。PCAP在物理層和高層之間傳遞GAP消息。訪問者的消息流使用來自GAP的gapResp/gapNoResp指示GAP準備好接受另外一個消息，來自PCAP的gapReq指示GAP有消息要處理。提供者的消息流的控制和訪問者類似。在高層實體中，GAP和GAP關(guān)聯(lián)的認證協(xié)議驅(qū)動認證會話。一旦完成會話，高層實體使用gapSuccess和gapFail通知PCAP。 PCAP之間通過GAPoL交換GAP消息。對等控制認證協(xié)議PCAP（二）對等控制認證協(xié)議PCAP （三）訪問者提供者管理服務(wù)器GAPoL StartGAP Request/identityGAP Response/identityGAP RequestG