win7系統下載
當前位置: 首頁 > 網絡技術教程 > 詳細頁面

WAPI在電信網的部署與運營探討

發布時間:2022-05-08 文章來源:xp下載站 瀏覽:

網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。

由于802.11協議標準中定義的WEP安全機制在數據安全性、用戶key管理等方面存在缺陷,是WLAN大規模運營的重大障礙。

中國在無線局域網國家標準GB15629.11-2003中發布了WAPI,WAPI主要由WAI(無線局域網鑒別基礎結構)和WPI(無線局域網保密基礎結構)兩部分組成,提出了對等訪問控制的概念,實現了AE、ASUE和ASE的三元組認證。

WAPI用戶的漫游

因為WLAN的用戶是百萬級的,不可能在全國集中架設WAPI的AS服務器,必須根據用戶量的多少,把AS服務器架設在省公司層面或本地網層面。就必須解決用戶在不同AS域中的認證問題,即WAPI用戶的漫游。

具體來說,有兩種模式:異地認證和本地認證。

異地認證模式,即:用戶在其他AS域中要求證書鑒別,AS通過數字證書的頒證機構(Issuername)字段發現該用戶非本地用戶,馬上把WAI報文轉發到用戶歸屬地的AS進行鑒別認證。本地認證模式,即AS直接認證數字證書有效性,同時查證該證書是否在“黑名單”中決定是否讓該用戶認證通過。

WAPI用戶的認證和計費

用戶使用WLAN業務一共要經過三重認證:無線鏈路加密認證,接入認證和業務認證。無線用戶終端在發現WLAN網絡具有WAPI認證功能后,提交自己的WAPI證書信息,WLAN設備加上自身的認證信息后一起提交AS,AS對兩者的信息都進行認證,把認證結果告訴WLAN設備和無線用戶終端;整個認證過程中采用數字簽名;只有當三方認證都通過后,才開始由WLAN設備與無線用戶終端協商通信密鑰。整個無線鏈路加密認證過程在后臺運行,用戶基本不用人工參與。

如果用數字證書認證替代現有的+Portal等接入認證,最主要問題是無法實現正常計費:無線鏈路加密認證通過后,AC開放了受控端口,允許數據流進入公網,但AC不可能知道用戶何時開始使用網絡,無法提供計費開始信息;同時,用戶沒有正常下線的手段,系統也無法檢測用戶是否異常下線,無法提供計費結束信息。這樣就只能為用戶提供包月的服務。

因此是否把多重認證方式統一,要區分不同用戶及不同的無線用戶終端。

WAPI數字證書的發放和管理

實體身份的認證、證書的發布、吊銷等一系列工作絕非簡單。

基于證書機制,PKI核心組件包括:

CA(Certificate Authority,證書認證中心)

CA是PKI最核心的組件。它負責接受用戶的請求,負責簽發和管理數字證書,提供證書查詢,接受證書注銷請求,提供CRL等。

RA(Registration Authority,證書注冊中心)

RA直接面對最終客戶,受理其證書申請和管理請求。

CRL(Certificate RevocationList,作廢證書列表)

作廢證書列表,通常由同一個發證實體簽名。當公鑰的所有者丟失私鑰,或者改換姓名時,需要將原有證書作廢。

證書存檔(Repository)

一個電子站點,存放證書和作廢證書列表、CA在用證書和作廢證書。

用戶(Subscriber)

用戶是作為主體署名證書并依據策略使用證書和相應密鑰的實體。

根CA系統

根CA系統主要由根證書簽發系統,根CRL組成。根CA在系統正式運行后,不會參與各種用戶證書的簽發,因此平時基本上處于離線關閉狀態。

二級CA系統

二級CA系統是整個PKI/CA系統中最重要的部分,安全性要求最高。主要包括:數字證書簽發系統、數字證書申請系統、數字證書服務系統、客戶服務系統和數字證書管理系統等。

RA機構

證書注冊審核機構(RA)分布在各個本地網,來滿足不同地區證書用戶的申請、注冊、審核和發放。

RA受理代理點(RAT)

若上述的RA機構仍不能滿足用戶分散性等工作要求的地區,可以在本地區的RA機構下,再設立RAT。由電信運營商設立CA根中心,生成各省公司的二級CA中心,然后在各本地網設立RA或RAT(見圖1)。

WAPI數字證書的獲取和存儲

用戶的私鑰是非常重要,必須對用戶的私鑰進行保護確保不丟失。如果丟失,須通知CA中心吊銷自己的證書,防止其它用戶信任已經泄密的證書而造成不必要的損失。根據對安全的不同要求,用戶的證書及其私鑰可以放在硬盤中、智能卡、USB令牌等存儲介質中:

硬盤(固定的存儲介質)

私鑰通過口令進行保護,并加密存放在硬盤中。該方式的優點在于不需額外花費,使用簡單快捷;缺點在于安全性較低,不支持移動辦公。這種方式非常適合于安全性要求不太高,或機器本身有較強的安全保護環境中。對于手機終端,相當于將證書安裝在其閃存中。

智能卡+讀卡器(專用的便攜式存儲介質)

智能卡是一種非常安全可靠的存儲設備,它通過IC芯片和其中的操作系統(COS)防止攻擊者竊取卡內的機密信息。該方式的優點在于安全性高,可以實現在具有讀卡器的機器上漫游;缺點是需要額外硬件投資,以及安裝軟件。

USB-Key(通用便攜式存儲介質)

該方式的優點在于安全性高,可以實現在所有的機器(具有USB接口)上的漫游;缺點是需要額外硬件投資,以及安裝相應軟件驅動。

電信運營商向用戶提供、(3)兩類的存儲介質,用戶可以自行選擇。選擇類的存儲介質,除了安全性較低外,用戶更換終端或重裝系統就要重新申請并安裝新的證書;選擇(3)類的存儲介質,有較高的安全性,但對存儲介質有較高的要求,特別是要支持WAPI數字簽名指定的橢圓曲線加密算法(ECC)。

用戶獲取數字證書,可以通過到營業廳(RA/RAT)申請,也可以利用電腦或手機直接從網上下載。前者適合于提供有效期較長的數字證書,后者適合于提供短期、臨時的數字證書。



網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。

本文章關鍵詞: WAPI 部署 運營 
主站蜘蛛池模板: 色综合久久久久网| 欧美成电影综合网站色www| 色噜噜狠狠狠狠色综合久一| 亚洲国产综合91精品麻豆| 亚洲VA欧美va国产va综合| 色综合欧美在线视频区| 久久精品综合网| 伊人色综合久久天天| 日韩亚洲国产综合久久久| 色综合久久88色综合天天| 久久综合综合久久97色| 久久精品国产亚洲综合色| 天天做天天爱天天爽天天综合| 国产香蕉尹人综合在线| 色噜噜狠狠色综合网| 青青草原综合久久大伊人| 一本一本久久a久久综合精品蜜桃| 激情五月婷婷综合网站| 五月天综合色激情| 国产成人精品综合久久久| 桃花色综合影院| 综合网在线观看| 偷自拍视频区综合视频区| 国产成人综合洲欧美在线| 热综合一本伊人久久精品| 欧美伊香蕉久久综合类网站| 久久综合色老色| 亚洲综合偷自成人网第页色| 久久久久亚洲AV综合波多野结衣| 久久综合丁香激情久久| 伊人久久大香线焦综合四虎 | 激情综合色五月丁香六月亚洲| 久久综合视频网| 久久婷婷五月综合97色一本一本| 综合久久国产九一剧情麻豆| 亚洲第一综合天堂另类专| 亚洲国产成人久久综合一 | 婷婷综合久久中文字幕蜜桃三电影| 欧美日韩国产综合视频一区二区二| 色欲综合久久躁天天躁| 色婷婷综合久久久久中文一区二区 |