基于對(duì)等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范課件

1、西安西電捷通無線網(wǎng)絡(luò)通信有限公司 Date: 2006-07基于對(duì)等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu) 議程項(xiàng)目背景目前的進(jìn)展總結(jié)項(xiàng)目的研究目標(biāo)針對(duì)無線IP網(wǎng)絡(luò)的安全接入問題進(jìn)行研究和提出一種安全接入基礎(chǔ)結(jié)構(gòu)技術(shù)方案并形成相關(guān)標(biāo)準(zhǔn)草案。該技術(shù)方案及其標(biāo)準(zhǔn)主要應(yīng)用于無線IP網(wǎng)絡(luò)，如無線局域網(wǎng)、無線城域網(wǎng)（包括Wimax和我國(guó)自主的無線城域網(wǎng)方案）和有線網(wǎng)絡(luò)。 WAPI基礎(chǔ)結(jié)構(gòu)的適應(yīng)性WAPI安全接入方法WLANWMAN 實(shí)例1WAPI框架方法標(biāo)準(zhǔn)基于對(duì)等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范已在全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)和全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)，2006年內(nèi)完成WAPI方法的應(yīng)用實(shí)例已在國(guó)家無線局域

2、網(wǎng)標(biāo)準(zhǔn)中采用；WAPI方法的應(yīng)用實(shí)例已在國(guó)家無線寬帶多媒體技術(shù)標(biāo)準(zhǔn)工作組中提出；ABWAPI WAPI方法與應(yīng)用的關(guān)系網(wǎng) 絡(luò) 通 信 協(xié) 議 無線個(gè)域網(wǎng)無線城域網(wǎng)無線局域網(wǎng)智能天線技術(shù) 擴(kuò)頻技術(shù)安全接入技術(shù)媒體訪問控制技術(shù)調(diào)制技術(shù)三元對(duì)等鑒別框架方法 WAPI項(xiàng)目的技術(shù)背景訪問控制是接入安全的一個(gè)重要基礎(chǔ)內(nèi)容。訪問終端接入控制器網(wǎng)絡(luò)訪問控制訪問控制的目標(biāo)授權(quán)是在接入鏈路的兩端實(shí)施。如何控制終端設(shè)備和接入控制器的受控端口是關(guān)鍵。如果終端設(shè)備和接入控制器自行完成（self-controlled），那么每個(gè)接入控制器都要保存有終端設(shè)備的憑證（credential），才能使終端設(shè)備能夠在各個(gè)接入控制器

3、獲得授權(quán)。這種方法非常難以管理。如何獲得管理的便利性和訪問控制的安全性？IEEE 802.1x將認(rèn)證和授權(quán)終端設(shè)備的的功能從接入控制器中分離出來，建立認(rèn)證服務(wù)器實(shí)體來實(shí)現(xiàn)這部分功能定義三個(gè)邏輯實(shí)體請(qǐng)求者Supplicant終端設(shè)備認(rèn)證者Authenticator接入控制器認(rèn)證服務(wù)器Authentication Server認(rèn)證服務(wù)器接入控制器是認(rèn)證服務(wù)器的附屬，對(duì)于終端設(shè)備來說，不區(qū)分接入控制器和認(rèn)證服務(wù)器。從結(jié)構(gòu)上，這是兩元（終端設(shè)備和網(wǎng)絡(luò)）三實(shí)體（終端設(shè)備、接入控制器和認(rèn)證服務(wù)器）結(jié)構(gòu)。終 端 接入控制器 服務(wù)器 IEEE 802.1x 主要特性訪問控制實(shí)體請(qǐng)求者和認(rèn)證者在認(rèn)證和授權(quán)上是不

4、同的。請(qǐng)求者是自獨(dú)立的，認(rèn)證者受認(rèn)證服務(wù)器的控制。IEEE 802.1x的適應(yīng)性當(dāng)前的網(wǎng)絡(luò)環(huán)境：請(qǐng)求者和認(rèn)證者之間的數(shù)據(jù)傳輸并不安全，在認(rèn)證和授權(quán)的同時(shí)還要協(xié)商出會(huì)話密鑰。尤其在無線環(huán)境更是如此。IEEE 802.11i、802.16e等網(wǎng)絡(luò)中都要求會(huì)話密鑰。目前的解決方法：由于認(rèn)證者的附屬性，密鑰在請(qǐng)求者和認(rèn)證服務(wù)器之間協(xié)商，然后密鑰從認(rèn)證服務(wù)器傳遞給認(rèn)證者。困難密鑰從認(rèn)證服務(wù)器傳遞到認(rèn)證者，保證傳遞的安全性需要付出額外的資源。請(qǐng)求者和認(rèn)證服務(wù)器進(jìn)行認(rèn)證，無法認(rèn)證認(rèn)證者的身份，因而在請(qǐng)求著和認(rèn)證者之間還需進(jìn)行額外的確認(rèn)。解決方法IEEE 802.1x雖然增加了實(shí)體，但該實(shí)體不是新的功能體。在

5、增強(qiáng)管理性的同時(shí)，帶來了其他的問題。新的方法：對(duì)等訪問控制方法終端設(shè)備和接入控制器保持原始的功能增加新的功能體憑證管理服務(wù)器結(jié)構(gòu)上是三元結(jié)構(gòu)(終端設(shè)備、接入控制器和憑證管理服務(wù)器）終 端接入控制器服務(wù)器對(duì)等訪問控制的特點(diǎn)憑證管理服務(wù)器同時(shí)管理終端設(shè)備和接入控制器的憑證，從根本上支持雙向認(rèn)證；終端設(shè)備和接入控制器都是自我控制的實(shí)體，都不是憑證管理服務(wù)器的附屬，在訪問控制概念上是對(duì)等的；認(rèn)證及密鑰協(xié)商直接在終端設(shè)備和接入控制器之間進(jìn)行；具有良好的管理性、安全性、擴(kuò)展性。 運(yùn)行示意服務(wù)器接入控制器終端(雙向) 鑒別安全屬性傳送導(dǎo)出密鑰，控制端口導(dǎo)出密鑰，控制端口議程項(xiàng)目背景目前的進(jìn)展總結(jié)項(xiàng)目狀態(tài)完成

6、基于對(duì)等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)研究報(bào)告完成基于對(duì)等訪問控制的安全接入基礎(chǔ)結(jié)構(gòu)規(guī)范草案規(guī)范內(nèi)容定義對(duì)等訪問控制的結(jié)構(gòu)定義端口終端和接入控制之間消息格式接入控制和憑證管理服務(wù)器的通信定義認(rèn)證協(xié)議封裝的方法如何利用端口控制和各種消息定義，實(shí)現(xiàn)對(duì)等控制。需要的狀態(tài)機(jī)管理：定義管理對(duì)象，管理類，管理協(xié)議，MIB庫。方法框架基本原理系統(tǒng)實(shí)體定義通用認(rèn)證協(xié)議通用認(rèn)證協(xié)議在接入鏈路上的封裝對(duì)等控制認(rèn)證協(xié)議模型格式與其它層的關(guān)系消息格式消息處理協(xié)議描述狀態(tài)機(jī) 管理信息（管理對(duì)象、協(xié)議支持、MIB等）實(shí)體定義（一）系統(tǒng)：連接在接入網(wǎng)絡(luò)中接入鏈路上的設(shè)備稱之為系統(tǒng)端口：系統(tǒng)和接入鏈路有一個(gè)或多個(gè)連接點(diǎn)，被稱之為

7、端口。 受控端口非受控端口系統(tǒng)連接點(diǎn)接入鏈路實(shí)體定義（二）一個(gè)系統(tǒng)的端口（更準(zhǔn)確地說，是端口的端口控制實(shí)體PAE）可以采用以下兩種角色：提供者（Provider）：如果系統(tǒng)的端口想通過端口提供資源給其他系統(tǒng)訪問，那么它采用提供者的角色。提供者也可以通過該端口訪問其他系統(tǒng)的資源。訪問者（Visitor）：如果系統(tǒng)的端口想通過端口訪問其他系統(tǒng)提供的資源，那么它采用訪問者的角色。另外還有一個(gè)系統(tǒng)角色被定義：管理服務(wù)器（Management Server）：在提供者和訪問者進(jìn)行認(rèn)證授權(quán)時(shí)，管理服務(wù)器提供必要的安全資源和管理的功能。端口只能采用提供者或訪問者其中之一的角色，而不能同時(shí)采用兩種角色，這樣可

8、以防止兩種角色對(duì)于端口的控制出現(xiàn)狀態(tài)的不同步。 實(shí)體定義（三）應(yīng)用-使用提供者的服務(wù)訪問者PAE訪問者系統(tǒng)接入鏈路服務(wù)-提供者提供提供者PAE提供者系統(tǒng)端口非授權(quán)端口非授權(quán)管理服務(wù)器系統(tǒng)管理服務(wù)器 高層協(xié)議負(fù)載認(rèn)證協(xié)議一個(gè)給定的協(xié)議可能需要繞過授權(quán)功能而使用非受控端口。兩個(gè)PAE利用他們的非受控端口，使用鏈路層負(fù)載的認(rèn)證協(xié)議互相通信，提供者PAE通過高層協(xié)議負(fù)載的認(rèn)證協(xié)議與管理服務(wù)器進(jìn)行通信。實(shí)體定義（四）自適應(yīng)端口選擇PAE只能選擇訪問者或提供者之一的角色。一個(gè)PAE可以靜態(tài)的采用訪問者或提供者的角色，也可以根據(jù)情況動(dòng)態(tài)選擇訪問者和提供者角色。如果對(duì)方是提供者，自適應(yīng)PAE將采用訪問者角色，

9、如果對(duì)方是訪問者，自適應(yīng)PAE將采用提供者角色。如果雙方都是自適應(yīng)PAE，那么根據(jù)優(yōu)先級(jí)和物理地址來確定角色。優(yōu)先級(jí)高的PAE成為提供者，另外一個(gè)是訪問者。如果優(yōu)先級(jí)一樣，那么物理地址高的PAE成為提供者。PAE通過GAPoL幀進(jìn)行自適應(yīng)選擇。通用認(rèn)證協(xié)議（一）GAP是一個(gè)協(xié)議封裝協(xié)議，用于網(wǎng)絡(luò)接入認(rèn)證。它支持多種認(rèn)證協(xié)議，可以靈活的適應(yīng)各種環(huán)境，有效地完成認(rèn)證。GAP包格式 Code（8位）Identifier（8位）Length（16位）標(biāo)志（3位） 片偏移（13位）校驗(yàn)和（16位）數(shù)據(jù)通用認(rèn)證協(xié)議（二）GAP認(rèn)證方法GAP 對(duì)等體層GAP 層底 層GAP認(rèn)證方法GAP提供者層GAP 層底

10、 層傳輸 層GAP認(rèn)證方法GAP 對(duì)等體層GAP 層傳輸 層提供者對(duì)等體認(rèn)證服務(wù)器底層/傳輸層：負(fù)責(zé)在對(duì)等體和提供者之間傳送和接收GAP幀。GAP可以運(yùn)行在多種底層技術(shù)上，包括PPP、802 LAN、802.11 WLAN、802.16、802.15、UDP、TCP等。GAP層：GAP層通過底層傳送和接收GAP數(shù)據(jù)包，實(shí)現(xiàn)重復(fù)幀檢測(cè)和重傳、在對(duì)等體層和提供者層之間傳送消息。GAP對(duì)等體層和提供者層：根據(jù)Code字段的值，GAP層解析收到的GAP包，傳送到GAP對(duì)等體層或GAP提供者層。通用認(rèn)證協(xié)議在接入鏈路上的封裝GAPoL（一）定義了訪問者 PAEs和提供者 PAEs之間負(fù)載GAP包的封裝技

11、術(shù)。封裝稱為接入鏈路上的GAP，或GAPoL、GAP over Link。通用認(rèn)證協(xié)議在接入鏈路上的封裝GAPoL（二）GAPoL PDU的格式八位位組序號(hào)協(xié)議版本 1類型 2長(zhǎng)度 3-4內(nèi)容 5-N通用認(rèn)證協(xié)議在接入鏈路上的封裝GAPoL（三）類型：此字段長(zhǎng)度為1字節(jié)，用一個(gè)無符號(hào)數(shù)表示。它的值決定著發(fā)送的包的類型。定義了如下類型：GAP-Packet. 值0000 0000表示幀載有GAP。GAPoL-Start。值0000 0001表示幀是GAPoL-Start幀。GAPoL-Logoff。值0000 0010表示幀是明確的GAPoL-Logoff請(qǐng)求幀。GAPoL-Key。值00000

12、011表示幀是GAPoL-Key幀。GAPoL-Encapsulated-ASF-Alert。值0000 0100表示幀載有GAPoL-Encapsulated-ASF-Alert。通用認(rèn)證協(xié)議在接入鏈路上的封裝GAPoL（四）Key Descriptor的格式 長(zhǎng)度-2個(gè)八位位組標(biāo)識(shí)-2個(gè)八位位組重放計(jì)數(shù)器-8個(gè)八位位組算法-OID保留-8個(gè)八位位組MIC-20個(gè)八位位組協(xié)議數(shù)據(jù)-n個(gè)八位位組對(duì)等控制認(rèn)證協(xié)議PCAP（一）PCAP根據(jù)GAP消息的結(jié)果，來控制端口的狀態(tài)。系統(tǒng)的portEnable信號(hào)通告給PCAP，指示一個(gè)端口是活躍的。PCAP在物理層和高層之間傳遞GAP消息。訪問者的消息流使用來自GAP的gapResp/gapNoResp指示GAP準(zhǔn)備好接受另外一個(gè)消息，來自PCAP的gapReq指示GAP有消息要處理。提供者的消息流的控制和訪問者類似。在高層實(shí)體中，GAP和GAP關(guān)聯(lián)的認(rèn)證協(xié)議驅(qū)動(dòng)認(rèn)證會(huì)話。一旦完成會(huì)話，高層實(shí)體使用gapSuccess和gapFail通知PCAP。 PCAP之間通過GAPoL交換GAP消息。對(duì)等控制認(rèn)證協(xié)議PCAP（二）對(duì)等控制認(rèn)證協(xié)議PCAP （三）訪問者提供者管理服務(wù)器GAPoL StartGAP Request/identityGAP Response/identityGAP RequestG