现基于对等访问控制的安全接入基础结构.pptVIP

提供者 访问者 访问者后台 提供者后台 议程 项目背景 目前的进展 总结 总结 网络安全接入是安全和管理的统一。 基于对等访问控制的安全接入解决了目前网络安全接入方法存在的问题。 目前已完成标准草案。 谢谢! * 西安西电捷通 西安西电捷通无线网络通信有限公司 Date: 2006-07 基于对等访问控制的安全接入 基础结构 议程 项目背景 目前的进展 总结 项目的研究目标 针对无线IP网络的安全接入问题进行研究和提出一种安全接入基础结构技术方案并形成相关标准草案。 该技术方案及其标准主要应用于无线IP网络，如无线局域网、无线城域网（包括Wimax和我国自主的无线城域网方案）和有线网络。 WAPI基础结构的适应性 WAPI安全接入方法 WLAN WMAN … … 实例1 WAPI框架方法标准《基于对等访问控制的安全接入基础结构规范》已在全国信息技术标准化技术委员会和全国信息安全标准化技术委员会立项，2006年内完成 WAPI方法的应用实例已在国家无线局域网标准中采用； WAPI方法的应用实例已在国家无线宽带多媒体技术标准工作组中提出； A B WAPI WAPI方法与应用的关系 网 络 通 信 协 议 … … 无线个域网 无线城域网 无线局域网 智 能 天 线 技 术 … … 扩 频 技 术 安 全 接 入 技 术 媒 体 访 问 控 制 技 术 调 制 技 术 三元对等鉴别框架方法 WAPI 项目的技术背景 访问控制是接入安全的一个重要基础内容。 访问终端 接入控制器 网络 访问控制 访问控制的目标 授权是在接入链路的两端实施。 如何控制终端设备和接入控制器的受控端口是关键。 如果终端设备和接入控制器自行完成（self-controlled），那么每个接入控制器都要保存有终端设备的凭证（credential），才能使终端设备能够在各个接入控制器获得授权。这种方法非常难以管理。 如何获得管理的便利性和访问控制的安全性？ IEEE 802.1x 将认证和授权终端设备的的功能从接入控制器中分离出来，建立认证服务器实体来实现这部分功能 定义三个逻辑实体 请求者Supplicant——终端设备 认证者Authenticator——接入控制器 认证服务器Authentication Server——认证服务器 接入控制器是认证服务器的附属，对于终端设备来说，不区分接入控制器和认证服务器。 从结构上，这是两元（终端设备和网络）三实体（终端设备、接入控制器和认证服务器）结构。 终 端 接入控制器 服务器 IEEE 802.1x 主要特性 访问控制实体请求者和认证者在认证和授权上是不同的。 请求者是自独立的， 认证者受认证服务器的控制。 IEEE 802.1x的适应性 当前的网络环境： 请求者和认证者之间的数据传输并不安全，在认证和授权的同时还要协商出会话密钥。 尤其在无线环境更是如此。 IEEE 802.11i、802.16e等网络中都要求会话密钥。 目前的解决方法： 由于认证者的附属性，密钥在请求者和认证服务器之间协商，然后密钥从认证服务器传递给认证者。 困难 密钥从认证服务器传递到认证者，保证传递的安全性需要付出额外的资源。 请求者和认证服务器进行认证，无法认证认证者的身份，因而在请求着和认证者之间还需进行额外的确认。 解决方法 IEEE 802.1x虽然增加了实体，但该实体不是新的功能体。在增强管理性的同时，带来了其他的问题。 新的方法：对等访问控制方法 终端设备和接入控制器保持原始的功能 增加新的功能体凭证管理服务器 结构上是三元结构(终端设备、接入控制器和凭证管理服务器） 终 端 接入控制器 服务器 对等访问控制的特点 凭证管理服务器同时管理终端设备和接入控制器的凭证，从根本上支持双向认证； 终端设备和接入控制器都是自我控制的实体，都不是凭证管理服务器的附属，在访问控制概念上是对等的； 认证及密钥协商直接在终端设备和接入控制器之间进行； 具有良好的管理性、安全性、扩展性。 运行示意 服务器 接入控制器 终端 (双向) 鉴别 安全属性 传送 导出密钥，控制端口 导出密钥，控制端口 议程 项目背景 目前的进展 总结 项目状态 完成《基于对等访问控制的安全接入基础结构研究报告》 完成《基于对等访问控制的安全接入基础结构规范》草案 规范内容 定义对等访问控制的结构 定义端口 终端和接入控制之间消息格式 接入控制和凭证管理服务器的通信定义 认证协议封装的方法 如何利用端口控制和各种消息定义，实现对等控制。 需要的状态机 管理：定义管理对象，管理类，管理协议，MIB库。 方法框架 基本原理 系统实体定义 通用认证协议 通用认证协议在接入链路上的封装