基于对等访问控制的安全接入 基础结构 西安西电捷通无线网络通信有限公司 Date: 2006-07.

Slides:



Advertisements
Similar presentations
當我已老 謹以此文獻給像我一樣流浪在外的子女們.
Advertisements

“321人才计划”情况介绍 南京高新技术产业开发区 人才工作办公室.
6.6 简单网络管理协议 SNMP 网络管理的基本概念
新多益擬真英檢系統 以專區帳密登入 選擇任一項目 注意:限用IE瀏覽器!!.
南宁市中考网上报名录取系统 使用手册 2014年5月.
2015年12月14日-2015年12月20日 缩略版.
指導老師:羅夏美 組別:第四組 組員: 車輛二甲 蔡中銘 車輛三甲 莊鵬彥 國企二甲 陳于甄 國企二甲 詹雯晴 資傳二乙 林怡芳
第二章 中药总论 ----中兽药的基本知识.
欢迎大家选修 《网络工程设计》课程.
第09章 无线网络 讲师:韩立刚 QQ: QQ教学群:
Wimax 張瀞云 陳璟薇 指導老師:徐必大.
實驗 9: 無線安全網路之建設.
邮币卡开户、银行签约、出入金流程.
实验八 以太网口业务配置实验.
湖南省怀化市中小学信息技术 学科考试系统培训交流
实验一:分析“征途游戏”网站的类型与推广手段
簡報內容 網路請購系統說明 經費授權注意事項 請購單&授權應用範例 系統環境及設定. 簡報內容 網路請購系統說明 經費授權注意事項 請購單&授權應用範例 系統環境及設定.
繪本變作有聲書.
“网络问政”给九江新闻网 带来新的发展机遇 -- 九江新闻网 高立东 --.
《计算机网络技术》 课程整体设计介绍.
网络协议及架构安全 培训机构名称 讲师名字.
Visitor Attractions Management
南台科技大學 財務報表分析期中報告 【聯發科技股份有限公司】 班 級:夜二技財金四甲 學 號: 姓 名:張詩妤
本著作除另有註明外,採取創用CC「姓名標示-非商業性-相同方式分享」台灣3.0版授權釋出
网络体系结构:OSI模型.
文書檔案與實務概述 103年7月30日 主講人:總務處文書組單秀琴組長.
遊戲機制設計 遊戲設計文件( GDD ) 塞德克歐北來.
计算机网络基础 主讲人:杨华强 抚州职业技术学院 .
做最好的自己 ——七(6)班主题班会.
北京市医师定期考核信息管理系统 在线考试培训会 北京市卫生和计划生育委员会 北京市医师定期考核办公室 2016年9月
社会工作概论 个案工作 课程培训 深圳电大 赖小乐.
自我介绍 ——陈丽敏.
荆门市农业水价综合改革 工作情况汇报 湖北省荆门市水务局 二0一六年九月.
紧抓PPP项目为招标代理机构 带来的转型发展机遇
前言.
西南林学院计科系 董跃宇 局域网及局域网组网技术 西南林学院计科系 董跃宇
弘道老人福利基金會.
前不久看到了这样一则报道:某个大学校园里,一个大学生出寝室要给室友留一张字条,告诉他钥匙放在哪里。可是“钥匙”两个字他不会写,就问了其他寝室的同学,问了好几个,谁也不会写,没办法,只好用“KEY”来代替了。 请大家就此事发表一下自己看法。
第二期实验室工作人员培训讲座(三) 加强规范化建设 提高仪器设备管理水平 设备处 黄久龙 2017年9月13日 徐州师范大学设备处 黄久龙.
WiFi技术的原理及未来发展趋势.
利用共同供應契約 辦理大量訂購流程說明.
Wimax 62137謝孟娟 52030陳虹錚 指導老師:徐必大.
指導教授:陳偉業 老師 碩專資管二甲 N 林士淵 富強鑫公司 資訊工程師 2006/12/23
课程目标 学习完本课程,您应该能够: 了解NTP协议的基本概念及应用 掌握NTP协议的基本原理 掌握NTP协议的网络结构及实现模型
資訊安全─入門手冊 第 18 章 無線網路安全.
如何使用IP通远程访问系统 申请及使用方法介绍.
WLAN 技术基础介绍.
校園網路電話專案 建置說明 2018/12/6 D-Link Taiwan Version 1.03.
Wimax阶段性研究汇报 /1/3 Wimax 阶段性研究汇报.
吉林省信息技术与教学融合优质课大赛 参赛教师提交大赛作品流程 吉林省电化教育馆.
新课标主题资源库普通用户使用培训 清华同方思科.
使用前请注意 请将IE或上网助手、google工具条等设置的禁止弹出窗口设为允许弹出窗口。
Wireshark DNS&HTTP封包分析
Speaker: 碩專一甲 陳芸仙 N 服務單位: 高雄市立裕誠幼稚園
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
目次检索 打印 下载 文字摘录 更换背景 多窗口阅读.
兒童及少年保護、 家庭暴力及性侵害事件、 高風險家庭 宣導與通報
杭州国家粮食交易中心 欢迎您!.
(1)最简单的电路由哪几部分组成? (2)在电路中开关与用电器应如何连接? (3)那么家庭电路又由哪几部分组成呢?它们又如何 连接的呢?
大葉服務學習執行說明 課外活動暨服務學習中心:黃泰元.
進貨管理介接更動 有關「匯入進貨資料」傳,請注意「上游業者出貨單號」,上游業者出貨單號要配合「匯出上游出貨資料」中的「出貨單號」或是「自有系統上傳的出貨單號」。 Ø  若「自有系統上傳的出貨單號」有值,則「匯入進貨資料」中的「上游業者出貨單號」就要key入「匯出上游出貨資料」中的「自有系統上傳的出貨單號」。
一切都是課程 『國際教育』在明道.
北京市药品阳光采购培训会 遴选、交易系统介绍
網路概論 第15章 網路規劃.
道家的中心觀念.
GDP设计协同 PDU业务管理员操作手册 GDP项目组 2019/01/30.
Mobile Nodes and Multiple Interfaces in IPv6 (Monami6)
學生學習診斷與進展評量 測驗科目:第一次國語文、第二次數學 (數學要帶紙筆計算)
轉換成二進位、八進位及十六進位 = ( ) = ( ) = ( )16.
超星数字图书馆的发展现状 1、超星公司是目前中国规模最大,起步最早的数字图书馆解决方案提供商和中文数字资源提供商。公司从1993年成立,到1999年创立超星数字图书馆
Presentation transcript:

基于对等访问控制的安全接入 基础结构 西安西电捷通无线网络通信有限公司 Date: 2006-07

议程 项目背景 目前的进展 总结

项目的研究目标 针对无线IP网络的安全接入问题进行研究和提出一种安全接入基础结构技术方案并形成相关标准草案。 该技术方案及其标准主要应用于无线IP网络,如无线局域网、无线城域网(包括Wimax和我国自主的无线城域网方案)和有线网络。

WAPI基础结构的适应性 WAPI安全接入方法 WLAN WMAN … … WAPI A 实例1 B WAPI框架方法标准《基于对等访问控制的安全接入基础结构规范》已在全国信息技术标准化技术委员会和全国信息安全标准化技术委员会立项,2006年内完成 WAPI方法的应用实例已在国家无线局域网标准中采用; WAPI方法的应用实例已在国家无线宽带多媒体技术标准工作组中提出;

WAPI方法与应用的关系 网 络 通 信 协 议 无线局域网 智 能 天 线 技 术 … … 扩 频 安 全 接 入 媒 体 访 问 控 制 网 络 通 信 协 议 无线局域网 智 能 天 线 技 术 … … 扩 频 安 全 接 入 媒 体 访 问 控 制 调 无线城域网 无线个域网 … … WAPI 三元对等鉴别框架方法

项目的技术背景 访问控制是接入安全的一个重要基础内容。 访问控制 网络 访问终端 接入控制器

访问控制的目标 授权是在接入链路的两端实施。 如何控制终端设备和接入控制器的受控端口是关键。 如何获得管理的便利性和访问控制的安全性? 如果终端设备和接入控制器自行完成(self-controlled),那么每个接入控制器都要保存有终端设备的凭证(credential),才能使终端设备能够在各个接入控制器获得授权。这种方法非常难以管理。 如何获得管理的便利性和访问控制的安全性?

IEEE 802.1x 将认证和授权终端设备的的功能从接入控制器中分离出来,建立认证服务器实体来实现这部分功能 定义三个逻辑实体 请求者Supplicant——终端设备 认证者Authenticator——接入控制器 认证服务器Authentication Server——认证服务器 接入控制器是认证服务器的附属,对于终端设备来说,不区分接入控制器和认证服务器。 从结构上,这是两元(终端设备和网络)三实体(终端设备、接入控制器和认证服务器)结构。 终 端 接入控制器 服务器

IEEE 802.1x 主要特性 访问控制实体请求者和认证者在认证和授权上是不同的。 请求者是自独立的, 认证者受认证服务器的控制。

IEEE 802.1x的适应性 当前的网络环境: 目前的解决方法: 困难 请求者和认证者之间的数据传输并不安全,在认证和授权的同时还要协商出会话密钥。 尤其在无线环境更是如此。 IEEE 802.11i、802.16e等网络中都要求会话密钥。 目前的解决方法: 由于认证者的附属性,密钥在请求者和认证服务器之间协商,然后密钥从认证服务器传递给认证者。 困难 密钥从认证服务器传递到认证者,保证传递的安全性需要付出额外的资源。 请求者和认证服务器进行认证,无法认证认证者的身份,因而在请求着和认证者之间还需进行额外的确认。

解决方法 IEEE 802.1x虽然增加了实体,但该实体不是新的功能体。在增强管理性的同时,带来了其他的问题。 新的方法:对等访问控制方法 终端设备和接入控制器保持原始的功能 增加新的功能体凭证管理服务器 结构上是三元结构(终端设备、接入控制器和凭证管理服务器) 终 端 接入控制器 服务器

对等访问控制的特点 凭证管理服务器同时管理终端设备和接入控制器的凭证,从根本上支持双向认证; 终端设备和接入控制器都是自我控制的实体,都不是凭证管理服务器的附属,在访问控制概念上是对等的; 认证及密钥协商直接在终端设备和接入控制器之间进行; 具有良好的管理性、安全性、扩展性。

运行示意 终端 接入控制器 服务器 (双向) 鉴别 安全属性 传送 导出密钥,控制端口 导出密钥,控制端口

议程 项目背景 目前的进展 总结

项目状态 完成《基于对等访问控制的安全接入基础结构研究报告》 完成《基于对等访问控制的安全接入基础结构规范》草案

规范内容 定义对等访问控制的结构 定义端口 终端和接入控制之间消息格式 接入控制和凭证管理服务器的通信定义 认证协议封装的方法 如何利用端口控制和各种消息定义,实现对等控制。 需要的状态机 管理:定义管理对象,管理类,管理协议,MIB库。

方法框架 基本原理 系统实体定义 通用认证协议 通用认证协议在接入链路上的封装 对等控制认证协议 模型 格式 与其它层 的关系 消息 消息处理 协议 描述 状态机 管理信息(管理对象、协议支持、MIB等)

实体定义(一) 系统:连接在接入网络中接入链路上的设备称之为系统 端口:系统和接入链路有一个或多个连接点,被称之为端口。 受控端口 非受控端口 系统 连接点 接入链路

实体定义(二) 一个系统的端口(更准确地说,是端口的端口控制实体PAE)可以采用以下两种角色: 另外还有一个系统角色被定义: 提供者(Provider):如果系统的端口想通过端口提供资源给其他系统访问,那么它采用提供者的角色。提供者也可以通过该端口访问其他系统的资源。 访问者(Visitor):如果系统的端口想通过端口访问其他系统提供的资源,那么它采用访问者的角色。 另外还有一个系统角色被定义: 管理服务器(Management Server):在提供者和访问者进行认证授权时,管理服务器提供必要的安全资源和管理的功能。 端口只能采用提供者或访问者其中之一的角色,而不能同时采用两种角色,这样可以防止两种角色对于端口的控制出现状态的不同步。

实体定义(三) 一个给定的协议可能需要绕过授权功能而使用非受控端口。 两个PAE利用他们的非受控端口,使用链路层负载的认证协议互相通信,提供者PAE通过高层协议负载的认证协议与管理服务器进行通信。 高层协议负载认证协议 管理服务器系统 访问者系统 提供者系统 应用-使用提供者的服务 服务-提供者提供 访问者PAE 提供者PAE 管理服务器 端口非授权 端口非授权 接入链路

实体定义(四) 自适应端口选择 PAE只能选择访问者或提供者之一的角色。 一个PAE可以静态的采用访问者或提供者的角色,也可以根据情况动态选择访问者和提供者角色。如果对方是提供者,自适应PAE将采用访问者角色,如果对方是访问者,自适应PAE将采用提供者角色。如果双方都是自适应PAE,那么根据优先级和物理地址来确定角色。优先级高的PAE成为提供者,另外一个是访问者。如果优先级一样,那么物理地址高的PAE成为提供者。 PAE通过GAPoL帧进行自适应选择。

通用认证协议(一) GAP是一个协议封装协议,用于网络接入认证。它支持多种认证协议,可以灵活的适应各种环境,有效地完成认证。 GAP包格式 Code(8位) Identifier(8位) Length(16位) 标志(3位) 片偏移(13位) 校验和(16位) 数据

通用认证协议(二) 提供者 对等体 认证服务器 GAP认证方法 GAP 对等体层 GAP 层 底 层 GAP提供者层 传输 层 提供者 对等体 认证服务器 底层/传输层:负责在对等体和提供者之间传送和接收GAP帧。GAP可以运行在多种底层技术上,包括PPP、802 LAN、802.11 WLAN、802.16、802.15、UDP、TCP等。 GAP层:GAP层通过底层传送和接收GAP数据包,实现重复帧检测和重传、在对等体层和提供者层之间传送消息。 GAP对等体层和提供者层:根据Code字段的值,GAP层解析收到的GAP包,传送到GAP对等体层或GAP提供者层。

通用认证协议在接入链路上的封装GAPoL(一) 定义了访问者 PAEs和提供者 PAEs之间负载GAP包的封装技术。 封装称为接入链路上的GAP,或GAPoL、GAP over Link。

通用认证协议在接入链路上的封装GAPoL(二) GAPoL PDU的格式 八位位组序号 协议版本 1 类型 2 长度 3-4 内容 5-N

通用认证协议在接入链路上的封装GAPoL(三) 类型:此字段长度为1字节,用一个无符号数表示。它的值决定着发送的包的类型。定义了如下类型: GAP-Packet. 值0000 0000表示帧载有GAP。 GAPoL-Start。值0000 0001表示帧是GAPoL-Start帧。 GAPoL-Logoff。值0000 0010表示帧是明确的GAPoL-Logoff请求帧。 GAPoL-Key。值00000011表示帧是GAPoL-Key帧。 GAPoL-Encapsulated-ASF-Alert。值0000 0100表示帧载有GAPoL-Encapsulated-ASF-Alert。

通用认证协议在接入链路上的封装GAPoL(四) Key Descriptor的格式 长度--2个八位位组 标识--2个八位位组 重放计数器--8个八位位组 算法--OID 保留--8个八位位组 MIC--20个八位位组 协议数据--n个八位位组

对等控制认证协议PCAP(一) PCAP根据GAP消息的结果,来控制端口的状态。 系统的portEnable信号通告给PCAP,指示一个端口是活跃的。PCAP在物理层和高层之间传递GAP消息。 访问者的消息流使用来自GAP的gapResp/gapNoResp指示GAP准备好接受另外一个消息,来自PCAP的gapReq指示GAP有消息要处理。提供者的消息流的控制和访问者类似。 在高层实体中,GAP和GAP关联的认证协议驱动认证会话。一旦完成会话,高层实体使用gapSuccess和gapFail通知PCAP。 PCAP之间通过GAPoL交换GAP消息。

对等控制认证协议PCAP(二)

对等控制认证协议PCAP (三) 访问者 提供者 管理服务器 GAPoL Start GAP Request/identity GAP Response/identity GAP Request GAP Response GAP Request GAP Response GAP Success GAP认证成功的完成 GAPoL LOGOFF GAP认证成功的结束

对等控制认证协议PCAP (四) 状态机 访问者 提供者 访问者后台 提供者后台

访问者 提供者

访问者后台 提供者后台

议程 项目背景 目前的进展 总结

总结 网络安全接入是安全和管理的统一。 基于对等访问控制的安全接入解决了目前网络安全接入方法存在的问题。 目前已完成标准草案。

谢谢!