基于对等访问控制的安全接入基础结构.pptVIP

议程 项目背景 目前的进展 总结 项目的研究目标 针对无线IP网络的安全接入问题进行研究和提出一种安全接入基础结构技术方案并形成相关标准草案。 该技术方案及其标准主要应用于无线IP网络，如无线局域网、无线城域网（包括Wimax和我国自主的无线城域网方案）和有线网络。 WAPI方法与应用的关系 项目的技术背景 访问控制是接入安全的一个重要基础内容。 访问控制的目标 授权是在接入链路的两端实施。 如何控制终端设备和接入控制器的受控端口是关键。 如果终端设备和接入控制器自行完成（self-controlled），那么每个接入控制器都要保存有终端设备的凭证（credential），才能使终端设备能够在各个接入控制器获得授权。这种方法非常难以管理。 如何获得管理的便利性和访问控制的安全性？ IEEE 802.1x 将认证和授权终端设备的的功能从接入控制器中分离出来，建立认证服务器实体来实现这部分功能 定义三个逻辑实体 请求者Supplicant——终端设备 认证者Authenticator——接入控制器 认证服务器Authentication Server——认证服务器 接入控制器是认证服务器的附属，对于终端设备来说，不区分接入控制器和认证服务器。 从结构上，这是两元（终端设备和网络）三实体（终端设备、接入控制器和认证服务器）结构。 IEEE 802.1x 主要特性 访问控制实体请求者和认证者在认证和授权上是不同的。 请求者是自独立的， 认证者受认证服务器的控制。 IEEE 802.1x的适应性 当前的网络环境： 请求者和认证者之间的数据传输并不安全，在认证和授权的同时还要协商出会话密钥。 尤其在无线环境更是如此。 IEEE 802.11i、802.16e等网络中都要求会话密钥。 目前的解决方法： 由于认证者的附属性，密钥在请求者和认证服务器之间协商，然后密钥从认证服务器传递给认证者。 困难 密钥从认证服务器传递到认证者，保证传递的安全性需要付出额外的资源。 请求者和认证服务器进行认证，无法认证认证者的身份，因而在请求着和认证者之间还需进行额外的确认。 解决方法 IEEE 802.1x虽然增加了实体，但该实体不是新的功能体。在增强管理性的同时，带来了其他的问题。 新的方法：对等访问控制方法 终端设备和接入控制器保持原始的功能 增加新的功能体凭证管理服务器 结构上是三元结构(终端设备、接入控制器和凭证管理服务器） 对等访问控制的特点 凭证管理服务器同时管理终端设备和接入控制器的凭证，从根本上支持双向认证； 终端设备和接入控制器都是自我控制的实体，都不是凭证管理服务器的附属，在访问控制概念上是对等的； 认证及密钥协商直接在终端设备和接入控制器之间进行； 具有良好的管理性、安全性、扩展性。 运行示意 议程 项目背景 目前的进展 总结 项目状态 完成《基于对等访问控制的安全接入基础结构研究报告》 完成《基于对等访问控制的安全接入基础结构规范》草案 规范内容 定义对等访问控制的结构 定义端口 终端和接入控制之间消息格式 接入控制和凭证管理服务器的通信定义 认证协议封装的方法 如何利用端口控制和各种消息定义，实现对等控制。 需要的状态机 管理：定义管理对象，管理类，管理协议，MIB库。 方法框架 实体定义（一） 系统：连接在接入网络中接入链路上的设备称之为系统 端口：系统和接入链路有一个或多个连接点，被称之为端口。 实体定义（二） 一个系统的端口（更准确地说，是端口的端口控制实体PAE）可以采用以下两种角色： 提供者（Provider）：如果系统的端口想通过端口提供资源给其他系统访问，那么它采用提供者的角色。提供者也可以通过该端口访问其他系统的资源。 访问者（Visitor）：如果系统的端口想通过端口访问其他系统提供的资源，那么它采用访问者的角色。 另外还有一个系统角色被定义： 管理服务器（Management Server）：在提供者和访问者进行认证授权时，管理服务器提供必要的安全资源和管理的功能。 实体定义（三） 一个给定的协议可能需要绕过授权功能而使用非受控端口。 两个PAE利用他们的非受控端口，使用链路层负载的认证协议互相通信，提供者PAE通过高层协议负载的认证协议与管理服务器进行通信。 实体定义（四） 自适应端口选择 PAE只能选择访问者或提供者之一的角色。 一个PAE可以静态的采用访问者或提供者的角色，也可以根据情况动态选择访问者和提供者角色。如果对方是提供者，自适应PAE将采用访问者角色，如果对方是访问者，自适应PAE将采用提供者角色。如果双方都是自适应PAE，那么根据优先级和物理地址来确定角色。优先级高的PAE成为提供者，另外一个是访问者。如果优先级一样，那么物理地址高的PAE成为提供者。 PAE通过GAPoL帧进行自适应