基于对等访问控制的安全接入基础结构规范课件

1、西安西电捷通无线网络通信有限公司 Date: 2006-07基于对等访问控制的安全接入基础结构 议程项目背景目前的进展总结项目的研究目标针对无线IP网络的安全接入问题进行研究和提出一种安全接入基础结构技术方案并形成相关标准草案。该技术方案及其标准主要应用于无线IP网络，如无线局域网、无线城域网（包括Wimax和我国自主的无线城域网方案）和有线网络。 WAPI基础结构的适应性WAPI安全接入方法WLANWMAN 实例1WAPI框架方法标准基于对等访问控制的安全接入基础结构规范已在全国信息技术标准化技术委员会和全国信息安全标准化技术委员会立项，2006年内完成WAPI方法的应用实例已在国家无线局域

2、网标准中采用；WAPI方法的应用实例已在国家无线宽带多媒体技术标准工作组中提出；ABWAPI WAPI方法与应用的关系网 络 通 信 协 议 无线个域网无线城域网无线局域网智能天线技术 扩频技术安全接入技术媒体访问控制技术调制技术三元对等鉴别框架方法 WAPI项目的技术背景访问控制是接入安全的一个重要基础内容。访问终端接入控制器网络访问控制访问控制的目标授权是在接入链路的两端实施。如何控制终端设备和接入控制器的受控端口是关键。如果终端设备和接入控制器自行完成（self-controlled），那么每个接入控制器都要保存有终端设备的凭证（credential），才能使终端设备能够在各个接入控制器

3、获得授权。这种方法非常难以管理。如何获得管理的便利性和访问控制的安全性？IEEE 802.1x将认证和授权终端设备的的功能从接入控制器中分离出来，建立认证服务器实体来实现这部分功能定义三个逻辑实体请求者Supplicant终端设备认证者Authenticator接入控制器认证服务器Authentication Server认证服务器接入控制器是认证服务器的附属，对于终端设备来说，不区分接入控制器和认证服务器。从结构上，这是两元（终端设备和网络）三实体（终端设备、接入控制器和认证服务器）结构。终 端 接入控制器 服务器 IEEE 802.1x 主要特性访问控制实体请求者和认证者在认证和授权上是不

4、同的。请求者是自独立的，认证者受认证服务器的控制。IEEE 802.1x的适应性当前的网络环境：请求者和认证者之间的数据传输并不安全，在认证和授权的同时还要协商出会话密钥。尤其在无线环境更是如此。IEEE 802.11i、802.16e等网络中都要求会话密钥。目前的解决方法：由于认证者的附属性，密钥在请求者和认证服务器之间协商，然后密钥从认证服务器传递给认证者。困难密钥从认证服务器传递到认证者，保证传递的安全性需要付出额外的资源。请求者和认证服务器进行认证，无法认证认证者的身份，因而在请求着和认证者之间还需进行额外的确认。解决方法IEEE 802.1x虽然增加了实体，但该实体不是新的功能体。在

5、增强管理性的同时，带来了其他的问题。新的方法：对等访问控制方法终端设备和接入控制器保持原始的功能增加新的功能体凭证管理服务器结构上是三元结构(终端设备、接入控制器和凭证管理服务器）终 端接入控制器服务器对等访问控制的特点凭证管理服务器同时管理终端设备和接入控制器的凭证，从根本上支持双向认证；终端设备和接入控制器都是自我控制的实体，都不是凭证管理服务器的附属，在访问控制概念上是对等的；认证及密钥协商直接在终端设备和接入控制器之间进行；具有良好的管理性、安全性、扩展性。 运行示意服务器接入控制器终端(双向) 鉴别安全属性传送导出密钥，控制端口导出密钥，控制端口议程项目背景目前的进展总结项目状态完成

6、基于对等访问控制的安全接入基础结构研究报告完成基于对等访问控制的安全接入基础结构规范草案规范内容定义对等访问控制的结构定义端口终端和接入控制之间消息格式接入控制和凭证管理服务器的通信定义认证协议封装的方法如何利用端口控制和各种消息定义，实现对等控制。需要的状态机管理：定义管理对象，管理类，管理协议，MIB库。方法框架基本原理系统实体定义通用认证协议通用认证协议在接入链路上的封装对等控制认证协议模型格式与其它层的关系消息格式消息处理协议描述状态机 管理信息（管理对象、协议支持、MIB等）实体定义（一）系统：连接在接入网络中接入链路上的设备称之为系统端口：系统和接入链路有一个或多个连接点，被称之为

7、端口。 受控端口非受控端口系统连接点接入链路实体定义（二）一个系统的端口（更准确地说，是端口的端口控制实体PAE）可以采用以下两种角色：提供者（Provider）：如果系统的端口想通过端口提供资源给其他系统访问，那么它采用提供者的角色。提供者也可以通过该端口访问其他系统的资源。访问者（Visitor）：如果系统的端口想通过端口访问其他系统提供的资源，那么它采用访问者的角色。另外还有一个系统角色被定义：管理服务器（Management Server）：在提供者和访问者进行认证授权时，管理服务器提供必要的安全资源和管理的功能。端口只能采用提供者或访问者其中之一的角色，而不能同时采用两种角色，这样可

8、以防止两种角色对于端口的控制出现状态的不同步。 实体定义（三）应用-使用提供者的服务访问者PAE访问者系统接入链路服务-提供者提供提供者PAE提供者系统端口非授权端口非授权管理服务器系统管理服务器 高层协议负载认证协议一个给定的协议可能需要绕过授权功能而使用非受控端口。两个PAE利用他们的非受控端口，使用链路层负载的认证协议互相通信，提供者PAE通过高层协议负载的认证协议与管理服务器进行通信。实体定义（四）自适应端口选择PAE只能选择访问者或提供者之一的角色。一个PAE可以静态的采用访问者或提供者的角色，也可以根据情况动态选择访问者和提供者角色。如果对方是提供者，自适应PAE将采用访问者角色，

9、如果对方是访问者，自适应PAE将采用提供者角色。如果双方都是自适应PAE，那么根据优先级和物理地址来确定角色。优先级高的PAE成为提供者，另外一个是访问者。如果优先级一样，那么物理地址高的PAE成为提供者。PAE通过GAPoL帧进行自适应选择。通用认证协议（一）GAP是一个协议封装协议，用于网络接入认证。它支持多种认证协议，可以灵活的适应各种环境，有效地完成认证。GAP包格式 Code（8位）Identifier（8位）Length（16位）标志（3位） 片偏移（13位）校验和（16位）数据通用认证协议（二）GAP认证方法GAP 对等体层GAP 层底 层GAP认证方法GAP提供者层GAP 层底

10、 层传输 层GAP认证方法GAP 对等体层GAP 层传输 层提供者对等体认证服务器底层/传输层：负责在对等体和提供者之间传送和接收GAP帧。GAP可以运行在多种底层技术上，包括PPP、802 LAN、802.11 WLAN、802.16、802.15、UDP、TCP等。GAP层：GAP层通过底层传送和接收GAP数据包，实现重复帧检测和重传、在对等体层和提供者层之间传送消息。GAP对等体层和提供者层：根据Code字段的值，GAP层解析收到的GAP包，传送到GAP对等体层或GAP提供者层。通用认证协议在接入链路上的封装GAPoL（一）定义了访问者 PAEs和提供者 PAEs之间负载GAP包的封装技

11、术。封装称为接入链路上的GAP，或GAPoL、GAP over Link。通用认证协议在接入链路上的封装GAPoL（二）GAPoL PDU的格式八位位组序号协议版本 1类型 2长度 3-4内容 5-N通用认证协议在接入链路上的封装GAPoL（三）类型：此字段长度为1字节，用一个无符号数表示。它的值决定着发送的包的类型。定义了如下类型：GAP-Packet. 值0000 0000表示帧载有GAP。GAPoL-Start。值0000 0001表示帧是GAPoL-Start帧。GAPoL-Logoff。值0000 0010表示帧是明确的GAPoL-Logoff请求帧。GAPoL-Key。值00000

12、011表示帧是GAPoL-Key帧。GAPoL-Encapsulated-ASF-Alert。值0000 0100表示帧载有GAPoL-Encapsulated-ASF-Alert。通用认证协议在接入链路上的封装GAPoL（四）Key Descriptor的格式 长度-2个八位位组标识-2个八位位组重放计数器-8个八位位组算法-OID保留-8个八位位组MIC-20个八位位组协议数据-n个八位位组对等控制认证协议PCAP（一）PCAP根据GAP消息的结果，来控制端口的状态。系统的portEnable信号通告给PCAP，指示一个端口是活跃的。PCAP在物理层和高层之间传递GAP消息。访问者的消息流使用来自GAP的gapResp/gapNoResp指示GAP准备好接受另外一个消息，来自PCAP的gapReq指示GAP有消息要处理。提供者的消息流的控制和访问者类似。在高层实体中，GAP和GAP关联的认证协议驱动认证会话。一旦完成会话，高层实体使用gapSuccess和gapFail通知PCAP。 PCAP之间通过GAPoL交换GAP消息。对等控制认证协议PCAP（二）对等控制认证协议PCAP （三）访问者提供者管理服务器GAPoL StartGAP Request/identityGAP Response/identityGAP RequestG