基于对等访问控制的安全接入 基础结构 西安西电捷通无线网络通信有限公司 Date: 2006-07
议程 项目背景 目前的进展 总结
项目的研究目标 针对无线IP网络的安全接入问题进行研究和提出一种安全接入基础结构技术方案并形成相关标准草案。 该技术方案及其标准主要应用于无线IP网络,如无线局域网、无线城域网(包括Wimax和我国自主的无线城域网方案)和有线网络。
WAPI基础结构的适应性 WAPI安全接入方法 WLAN WMAN … … WAPI A 实例1 B WAPI框架方法标准《基于对等访问控制的安全接入基础结构规范》已在全国信息技术标准化技术委员会和全国信息安全标准化技术委员会立项,2006年内完成 WAPI方法的应用实例已在国家无线局域网标准中采用; WAPI方法的应用实例已在国家无线宽带多媒体技术标准工作组中提出;
WAPI方法与应用的关系 网 络 通 信 协 议 无线局域网 智 能 天 线 技 术 … … 扩 频 安 全 接 入 媒 体 访 问 控 制 网 络 通 信 协 议 无线局域网 智 能 天 线 技 术 … … 扩 频 安 全 接 入 媒 体 访 问 控 制 调 无线城域网 无线个域网 … … WAPI 三元对等鉴别框架方法
项目的技术背景 访问控制是接入安全的一个重要基础内容。 访问控制 网络 访问终端 接入控制器
访问控制的目标 授权是在接入链路的两端实施。 如何控制终端设备和接入控制器的受控端口是关键。 如何获得管理的便利性和访问控制的安全性? 如果终端设备和接入控制器自行完成(self-controlled),那么每个接入控制器都要保存有终端设备的凭证(credential),才能使终端设备能够在各个接入控制器获得授权。这种方法非常难以管理。 如何获得管理的便利性和访问控制的安全性?
IEEE 802.1x 将认证和授权终端设备的的功能从接入控制器中分离出来,建立认证服务器实体来实现这部分功能 定义三个逻辑实体 请求者Supplicant——终端设备 认证者Authenticator——接入控制器 认证服务器Authentication Server——认证服务器 接入控制器是认证服务器的附属,对于终端设备来说,不区分接入控制器和认证服务器。 从结构上,这是两元(终端设备和网络)三实体(终端设备、接入控制器和认证服务器)结构。 终 端 接入控制器 服务器
IEEE 802.1x 主要特性 访问控制实体请求者和认证者在认证和授权上是不同的。 请求者是自独立的, 认证者受认证服务器的控制。
IEEE 802.1x的适应性 当前的网络环境: 目前的解决方法: 困难 请求者和认证者之间的数据传输并不安全,在认证和授权的同时还要协商出会话密钥。 尤其在无线环境更是如此。 IEEE 802.11i、802.16e等网络中都要求会话密钥。 目前的解决方法: 由于认证者的附属性,密钥在请求者和认证服务器之间协商,然后密钥从认证服务器传递给认证者。 困难 密钥从认证服务器传递到认证者,保证传递的安全性需要付出额外的资源。 请求者和认证服务器进行认证,无法认证认证者的身份,因而在请求着和认证者之间还需进行额外的确认。
解决方法 IEEE 802.1x虽然增加了实体,但该实体不是新的功能体。在增强管理性的同时,带来了其他的问题。 新的方法:对等访问控制方法 终端设备和接入控制器保持原始的功能 增加新的功能体凭证管理服务器 结构上是三元结构(终端设备、接入控制器和凭证管理服务器) 终 端 接入控制器 服务器
对等访问控制的特点 凭证管理服务器同时管理终端设备和接入控制器的凭证,从根本上支持双向认证; 终端设备和接入控制器都是自我控制的实体,都不是凭证管理服务器的附属,在访问控制概念上是对等的; 认证及密钥协商直接在终端设备和接入控制器之间进行; 具有良好的管理性、安全性、扩展性。
运行示意 终端 接入控制器 服务器 (双向) 鉴别 安全属性 传送 导出密钥,控制端口 导出密钥,控制端口
议程 项目背景 目前的进展 总结
项目状态 完成《基于对等访问控制的安全接入基础结构研究报告》 完成《基于对等访问控制的安全接入基础结构规范》草案
规范内容 定义对等访问控制的结构 定义端口 终端和接入控制之间消息格式 接入控制和凭证管理服务器的通信定义 认证协议封装的方法 如何利用端口控制和各种消息定义,实现对等控制。 需要的状态机 管理:定义管理对象,管理类,管理协议,MIB库。
方法框架 基本原理 系统实体定义 通用认证协议 通用认证协议在接入链路上的封装 对等控制认证协议 模型 格式 与其它层 的关系 消息 消息处理 协议 描述 状态机 管理信息(管理对象、协议支持、MIB等)
实体定义(一) 系统:连接在接入网络中接入链路上的设备称之为系统 端口:系统和接入链路有一个或多个连接点,被称之为端口。 受控端口 非受控端口 系统 连接点 接入链路
实体定义(二) 一个系统的端口(更准确地说,是端口的端口控制实体PAE)可以采用以下两种角色: 另外还有一个系统角色被定义: 提供者(Provider):如果系统的端口想通过端口提供资源给其他系统访问,那么它采用提供者的角色。提供者也可以通过该端口访问其他系统的资源。 访问者(Visitor):如果系统的端口想通过端口访问其他系统提供的资源,那么它采用访问者的角色。 另外还有一个系统角色被定义: 管理服务器(Management Server):在提供者和访问者进行认证授权时,管理服务器提供必要的安全资源和管理的功能。 端口只能采用提供者或访问者其中之一的角色,而不能同时采用两种角色,这样可以防止两种角色对于端口的控制出现状态的不同步。
实体定义(三) 一个给定的协议可能需要绕过授权功能而使用非受控端口。 两个PAE利用他们的非受控端口,使用链路层负载的认证协议互相通信,提供者PAE通过高层协议负载的认证协议与管理服务器进行通信。 高层协议负载认证协议 管理服务器系统 访问者系统 提供者系统 应用-使用提供者的服务 服务-提供者提供 访问者PAE 提供者PAE 管理服务器 端口非授权 端口非授权 接入链路
实体定义(四) 自适应端口选择 PAE只能选择访问者或提供者之一的角色。 一个PAE可以静态的采用访问者或提供者的角色,也可以根据情况动态选择访问者和提供者角色。如果对方是提供者,自适应PAE将采用访问者角色,如果对方是访问者,自适应PAE将采用提供者角色。如果双方都是自适应PAE,那么根据优先级和物理地址来确定角色。优先级高的PAE成为提供者,另外一个是访问者。如果优先级一样,那么物理地址高的PAE成为提供者。 PAE通过GAPoL帧进行自适应选择。
通用认证协议(一) GAP是一个协议封装协议,用于网络接入认证。它支持多种认证协议,可以灵活的适应各种环境,有效地完成认证。 GAP包格式 Code(8位) Identifier(8位) Length(16位) 标志(3位) 片偏移(13位) 校验和(16位) 数据
通用认证协议(二) 提供者 对等体 认证服务器 GAP认证方法 GAP 对等体层 GAP 层 底 层 GAP提供者层 传输 层 提供者 对等体 认证服务器 底层/传输层:负责在对等体和提供者之间传送和接收GAP帧。GAP可以运行在多种底层技术上,包括PPP、802 LAN、802.11 WLAN、802.16、802.15、UDP、TCP等。 GAP层:GAP层通过底层传送和接收GAP数据包,实现重复帧检测和重传、在对等体层和提供者层之间传送消息。 GAP对等体层和提供者层:根据Code字段的值,GAP层解析收到的GAP包,传送到GAP对等体层或GAP提供者层。
通用认证协议在接入链路上的封装GAPoL(一) 定义了访问者 PAEs和提供者 PAEs之间负载GAP包的封装技术。 封装称为接入链路上的GAP,或GAPoL、GAP over Link。
通用认证协议在接入链路上的封装GAPoL(二) GAPoL PDU的格式 八位位组序号 协议版本 1 类型 2 长度 3-4 内容 5-N
通用认证协议在接入链路上的封装GAPoL(三) 类型:此字段长度为1字节,用一个无符号数表示。它的值决定着发送的包的类型。定义了如下类型: GAP-Packet. 值0000 0000表示帧载有GAP。 GAPoL-Start。值0000 0001表示帧是GAPoL-Start帧。 GAPoL-Logoff。值0000 0010表示帧是明确的GAPoL-Logoff请求帧。 GAPoL-Key。值00000011表示帧是GAPoL-Key帧。 GAPoL-Encapsulated-ASF-Alert。值0000 0100表示帧载有GAPoL-Encapsulated-ASF-Alert。
通用认证协议在接入链路上的封装GAPoL(四) Key Descriptor的格式 长度--2个八位位组 标识--2个八位位组 重放计数器--8个八位位组 算法--OID 保留--8个八位位组 MIC--20个八位位组 协议数据--n个八位位组
对等控制认证协议PCAP(一) PCAP根据GAP消息的结果,来控制端口的状态。 系统的portEnable信号通告给PCAP,指示一个端口是活跃的。PCAP在物理层和高层之间传递GAP消息。 访问者的消息流使用来自GAP的gapResp/gapNoResp指示GAP准备好接受另外一个消息,来自PCAP的gapReq指示GAP有消息要处理。提供者的消息流的控制和访问者类似。 在高层实体中,GAP和GAP关联的认证协议驱动认证会话。一旦完成会话,高层实体使用gapSuccess和gapFail通知PCAP。 PCAP之间通过GAPoL交换GAP消息。
对等控制认证协议PCAP(二)
对等控制认证协议PCAP (三) 访问者 提供者 管理服务器 GAPoL Start GAP Request/identity GAP Response/identity GAP Request GAP Response GAP Request GAP Response GAP Success GAP认证成功的完成 GAPoL LOGOFF GAP认证成功的结束
对等控制认证协议PCAP (四) 状态机 访问者 提供者 访问者后台 提供者后台
访问者 提供者
访问者后台 提供者后台
议程 项目背景 目前的进展 总结
总结 网络安全接入是安全和管理的统一。 基于对等访问控制的安全接入解决了目前网络安全接入方法存在的问题。 目前已完成标准草案。
谢谢!