WAPI在電信網(wǎng)的部署和運營(yíng)探討
潘毅明 高波 李莉 2009/03/09
由于802.11協(xié)議標準中定義的WEP安全機制在數據安全性、用戶(hù)key管理等方面存在缺陷,是WLAN大規模運營(yíng)的重大障礙。
中國在無(wú)線(xiàn)局域網(wǎng)國家標準GB15629.11-2003中發(fā)布了WAPI,WAPI主要由WAI(無(wú)線(xiàn)局域網(wǎng)鑒別基礎結構)和WPI(無(wú)線(xiàn)局域網(wǎng)保密基礎結構)兩部分組成,提出了對等訪(fǎng)問(wèn)控制的概念,實(shí)現了AE、ASUE和ASE的三元組認證。
WAPI用戶(hù)的漫游
因為WLAN的用戶(hù)是百萬(wàn)級的,不可能在全國集中架設WAPI的AS服務(wù)器,必須根據用戶(hù)量的多少,把AS服務(wù)器架設在省公司層面或本地網(wǎng)層面。就必須解決用戶(hù)在不同AS域中的認證問(wèn)題,即WAPI用戶(hù)的漫游。
具體來(lái)說(shuō),有兩種模式:異地認證和本地認證。
異地認證模式,即:用戶(hù)在其他AS域中要求證書(shū)鑒別,AS通過(guò)數字證書(shū)的頒證機構(Issuername)字段發(fā)現該用戶(hù)非本地用戶(hù),馬上把WAI報文轉發(fā)到用戶(hù)歸屬地的AS進(jìn)行鑒別認證。本地認證模式,即AS直接認證數字證書(shū)有效性,同時(shí)查證該證書(shū)是否在“黑名單”中決定是否讓該用戶(hù)認證通過(guò)。
WAPI用戶(hù)的認證和計費
用戶(hù)使用WLAN業(yè)務(wù)一共要經(jīng)過(guò)三重認證:無(wú)線(xiàn)鏈路加密認證,接入認證和業(yè)務(wù)認證。無(wú)線(xiàn)用戶(hù)終端在發(fā)現WLAN網(wǎng)絡(luò )具有WAPI認證功能后,提交自己的WAPI證書(shū)信息,WLAN設備加上自身的認證信息后一起提交AS,AS對兩者的信息都進(jìn)行認證,把認證結果告訴WLAN設備和無(wú)線(xiàn)用戶(hù)終端;整個(gè)認證過(guò)程中采用數字簽名;只有當三方認證都通過(guò)后,才開(kāi)始由WLAN設備與無(wú)線(xiàn)用戶(hù)終端協(xié)商通信密鑰。整個(gè)無(wú)線(xiàn)鏈路加密認證過(guò)程在后臺運行,用戶(hù)基本不用人工參與。
如果用數字證書(shū)認證替代現有的DHCP+Portal等接入認證,最主要問(wèn)題是無(wú)法實(shí)現正常計費:無(wú)線(xiàn)鏈路加密認證通過(guò)后,AC開(kāi)放了受控端口,允許數據流進(jìn)入公網(wǎng),但AC不可能知道用戶(hù)何時(shí)開(kāi)始使用網(wǎng)絡(luò ),無(wú)法提供計費開(kāi)始信息;同時(shí),用戶(hù)沒(méi)有正常下線(xiàn)的手段,系統也無(wú)法檢測用戶(hù)是否異常下線(xiàn),無(wú)法提供計費結束信息。這樣就只能為用戶(hù)提供包月的服務(wù)。
因此是否把多重認證方式統一,要區分不同用戶(hù)及不同的無(wú)線(xiàn)用戶(hù)終端。
WAPI數字證書(shū)的發(fā)放和管理
實(shí)體身份的認證、證書(shū)的發(fā)布、吊銷(xiāo)等一系列工作絕非簡(jiǎn)單。
基于證書(shū)機制,PKI核心組件包括:
CA(Certificate Authority,證書(shū)認證中心)
CA是PKI最核心的組件。它負責接受用戶(hù)的請求,負責簽發(fā)和管理數字證書(shū),提供證書(shū)查詢(xún),接受證書(shū)注銷(xiāo)請求,提供CRL等。
RA(Registration Authority,證書(shū)注冊中心)
RA直接面對最終客戶(hù),受理其證書(shū)申請和管理請求。
CRL(Certificate RevocationList,作廢證書(shū)列表)
作廢證書(shū)列表,通常由同一個(gè)發(fā)證實(shí)體簽名。當公鑰的所有者丟失私鑰,或者改換姓名時(shí),需要將原有證書(shū)作廢。
證書(shū)存檔(Repository)
一個(gè)電子站點(diǎn),存放證書(shū)和作廢證書(shū)列表、CA在用證書(shū)和作廢證書(shū)。
用戶(hù)(Subscriber)
用戶(hù)是作為主體署名證書(shū)并依據策略使用證書(shū)和相應密鑰的實(shí)體。
根CA系統
根CA系統主要由根證書(shū)簽發(fā)系統,根CRL組成。根CA在系統正式運行后,不會(huì )參與各種用戶(hù)證書(shū)的簽發(fā),因此平時(shí)基本上處于離線(xiàn)關(guān)閉狀態(tài)。
二級CA系統
二級CA系統是整個(gè)PKI/CA系統中最重要的部分,安全性要求最高。主要包括:數字證書(shū)簽發(fā)系統、數字證書(shū)申請系統、數字證書(shū)服務(wù)系統、客戶(hù)服務(wù)系統和數字證書(shū)管理系統等。
RA機構
證書(shū)注冊審核機構(RA)分布在各個(gè)本地網(wǎng),來(lái)滿(mǎn)足不同地區證書(shū)用戶(hù)的申請、注冊、審核和發(fā)放。
RA受理代理點(diǎn)(RAT)
若上述的RA機構仍不能滿(mǎn)足用戶(hù)分散性等工作要求的地區,可以在本地區的RA機構下,再設立RAT。由電信運營(yíng)商設立CA根中心,生成各省公司的二級CA中心,然后在各本地網(wǎng)設立RA或RAT。
WAPI數字證書(shū)的獲取和存儲
用戶(hù)的私鑰是非常重要,必須對用戶(hù)的私鑰進(jìn)行保護確保不丟失。如果丟失,須通知CA中心吊銷(xiāo)自己的證書(shū),防止其它用戶(hù)信任已經(jīng)泄密的證書(shū)而造成不必要的損失。根據對安全的不同要求,用戶(hù)的證書(shū)及其私鑰可以放在硬盤(pán)中、智能卡、USB令牌等存儲介質(zhì)中:
硬盤(pán)(固定的存儲介質(zhì))
私鑰通過(guò)口令進(jìn)行保護,并加密存放在硬盤(pán)中。該方式的優(yōu)點(diǎn)在于不需額外花費,使用簡(jiǎn)單快捷;缺點(diǎn)在于安全性較低,不支持移動(dòng)辦公。這種方式非常適合于安全性要求不太高,或機器本身有較強的安全保護環(huán)境中。對于手機終端,相當于將證書(shū)安裝在其閃存中。
智能卡+讀卡器(專(zhuān)用的便攜式存儲介質(zhì))
智能卡是一種非常安全可靠的存儲設備,它通過(guò)IC芯片和其中的操作系統(COS)防止攻擊者竊取卡內的機密信息。該方式的優(yōu)點(diǎn)在于安全性高,可以實(shí)現在具有讀卡器的機器上漫游;缺點(diǎn)是需要額外硬件投資,以及安裝軟件。
USB-Key(通用便攜式存儲介質(zhì))
該方式的優(yōu)點(diǎn)在于安全性高,可以實(shí)現在所有的機器(具有USB接口)上的漫游;缺點(diǎn)是需要額外硬件投資,以及安裝相應軟件驅動(dòng)。
電信運營(yíng)商向用戶(hù)提供(1)、(3)兩類(lèi)的存儲介質(zhì),用戶(hù)可以自行選擇。選擇(1)類(lèi)的存儲介質(zhì),除了安全性較低外,用戶(hù)更換終端或重裝系統就要重新申請并安裝新的證書(shū);選擇(3)類(lèi)的存儲介質(zhì),有較高的安全性,但對存儲介質(zhì)有較高的要求,特別是要支持WAPI數字簽名指定的橢圓曲線(xiàn)加密算法(ECC)。
用戶(hù)獲取數字證書(shū),可以通過(guò)到營(yíng)業(yè)廳(RA/RAT)申請,也可以利用電腦或手機直接從網(wǎng)上下載。前者適合于提供有效期較長(cháng)的數字證書(shū),后者適合于提供短期、臨時(shí)的數字證書(shū)。
通信產(chǎn)業(yè)報
亚洲精品网站在线观看不卡无广告,国产a不卡片精品免费观看,欧美亚洲一区二区三区在线,国产一区二区三区日韩
西宁市|
黄山市|
贺兰县|
沐川县|
寻甸|
锦州市|
鄂尔多斯市|
香格里拉县|
镇赉县|
德令哈市|
保靖县|
容城县|
定安县|
尚志市|
六盘水市|
防城港市|
牟定县|
育儿|
获嘉县|
名山县|
阿拉善左旗|
醴陵市|
天柱县|
通海县|
江川县|
孝感市|
泰宁县|
施甸县|
桐乡市|
榆社县|
兴海县|
榆林市|
巧家县|
福建省|
承德县|
乐昌市|
长阳|
资源县|
任丘市|
蒙城县|
龙州县|
http://444
http://444
http://444
http://444
http://444
http://444