admin管理员组文章数量:1539544
2024年4月7日发(作者:)
WAPI在电信网的部署和运营探讨
由于802.11协议标准中定义的WEP安全机制在数据安全性、用户key管理等方
面存在缺陷,是WLAN大规模运营的重大障碍。 中国在无线局域网国家标准
GB15629.11-2003中发布了WAPI,WAPI主要由WAI(无线局域网鉴别基础结构)和
WPI(无线局域网保密基础结构)两部分组成,提出了对等访问控制的概念,实现了AE、ASUE
和ASE的三元组认证。 WAPI用户的漫游 因为WLAN的用户是百万级的,不可
能在全国集中架设WAPI的AS服务器,必须根据用户量的多少,把AS服务器架设在省公
司层面或本地网层面。就必须解决用户在不同AS域中的认证问题,即WAPI用户的漫游。
具体来说,有两种模式:异地认证和本地认证。 异地认证模式,即:用户在其他AS
域中要求证书鉴别,AS通过数字证书的颁证机构(Issuername)字段发现该用户非本地用
户,马上把WAI报文转发到用户归属地的AS进行鉴别认证。本地认证模式,即AS直接
认证数字证书有效性,同时查证该证书是否在“黑名单”中决定是否让该用户
认证通过。 WAPI用户的认证和计费 用户使用WLAN业务一共要经过三重认证:
无线链路加密认证,接入认证和业务认证。无线用户终端在发现WLAN网络具有WAPI认
证功能后,提交自己的WAPI证书信息,WLAN设备加上自身的认证信息后一起提交AS,
AS对两者的信息都进行认证,把认证结果告诉WLAN设备和无线用户终端;整个认证过
程中采用数字签名;只有当三方认证都通过后,才开始由WLAN设备与无线用户终端协商
通信密钥。整个无线链路加密认证过程在后台运行,用户基本不用人工参与。 如果用
数字证书认证替代现有的DHCP+Portal等接入认证,最主要问题是无法实现正常计费:无
线链路加密认证通过后,AC开放了受控端口,允许数据流进入公网,但AC不可能知道用
户何时开始使用网络,无法提供计费开始信息;同时,用户没有正常下线的手段,系统也无
法检测用户是否异常下线,无法提供计费结束信息。这样就只能为用户提供包月的服务。
因此是否把多重认证方式统一,要区分不同用户及不同的无线用户终端。 WAPI数字
证书的发放和管理 实体身份的认证、证书的发布、吊销等一系列工作绝非简单。 基
于证书机制,PKI核心组件包括: CA(Certificate Authority,证书认证中心) CA
是PKI最核心的组件。它负责接受用户的请求,负责签发和管理数字证书,提供证书查询,
接受证书注销请求,提供CRL等。 RA(Registration Authority,证书注册中心) RA
直接面对最终客户,受理其证书申请和管理请求。 CRL(Certificate RevocationList,
作废证书列表) 作废证书列表,通常由同一个发证实体签名。当公钥的所有者丢失私钥,
或者改换姓名时,需要将原有证书作废。 证书存档(Repository) 一个电子站点,
存放证书和作废证书列表、CA在用证书和作废证书。 用户(Subscriber) 用户是
作为主体署名证书并依据策略使用证书和相应密钥的实体。 根CA系统 根CA系
统主要由根证书签发系统,根CRL组成。根CA在系统正式运行后,不会参与各种用户证
书的签发,因此平时基本上处于离线关闭状态。
二级CA系统 二级CA系统是整个PKI/CA系统中最重要的部分,安全性要
求最高。主要包括:数字证书签发系统、数字证书申请系统、数字证书服务系统、客户服务
系统和数字证书管理系统等。 RA机构 证书注册审核机构(RA)分布在各个本地网,
来满足不同地区证书用户的申请、注册、审核和发放。 RA受理代理点(RAT) 若
上述的RA机构仍不能满足用户分散性等工作要求的地区,可以在本地区的RA机构下,再
设立RAT。由电信运营商设立CA根中心,生成各省公司的二级CA中心,然后在各本地网
设立RA或RAT(见图1)。 WAPI数字证书的获取和存储 用户的私钥是非常重要,
必须对用户的私钥进行保护确保不丢失。如果丢失,须通知CA中心吊销自己的证书,防止
其它用户信任已经泄密的证书而造成不必要的损失。根据对安全的不同要求,用户的证书及
其私钥可以放在硬盘中、智能卡、USB令牌等存储介质中: 硬盘(固定的存储介质)
私钥通过口令进行保护,并加密存放在硬盘中。该方式的优点在于不需额外花费,使用简单
快捷;缺点在于安全性较低,不支持移动办公。这种方式非常适合于安全性要求不太高,或
机器本身有较强的安全保护环境中。对于手机终端,相当于将证书安装在其闪存中。 智
能卡+读卡器(专用的便携式存储介质) 智能卡是一种非常安全可靠的存储设备,它通过
IC芯片和其中的操作系统(COS)防止攻击者窃取卡内的机密信息。该方式的优点在于安全性
高,可以实现在具有读卡器的机器上漫游;缺点是需要额外硬件投资,以及安装软件。
USB-Key(通用便携式存储介质) 该方式的优点在于安全性高,可以实现在所有的机器
(具有USB接口)上的漫游;缺点是需要额外硬件投资,以及安装相应软件驱动。 电信
运营商向用户提供(1)、(3)两类的存储介质,用户可以自行选择。选择(1)类的存储介质,除
了安全性较低外,用户更换终端或重装系统就要重新申请并安装新的证书;选择(3)类的存
储介质,有较高的安全性,但对存储介质有较高的要求,特别是要支持WAPI数字签名指
定的椭圆曲线加密算法(ECC)。 用户获取数字证书,可以通过到营业厅(RA/RAT)申请,
也可以利用电脑或手机直接从网上下载。前者适合于提供有效期较长的数字证书,后者适合
于提供短期、临时的数字证书。
版权声明:本文标题:WAPI在电信网的部署和运营探讨 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1712437002a360231.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论