WAPI在電信網(wǎng)的部署和運營探討
潘毅明 高波 李莉 2009/03/09
由于802.11協(xié)議標(biāo)準(zhǔn)中定義的WEP安全機制在數(shù)據(jù)安全性�����、用戶key管理等方面存在缺陷���,是WLAN大規(guī)模運營的重大障礙��。
中國在無線局域網(wǎng)國家標(biāo)準(zhǔn)GB15629.11-2003中發(fā)布了WAPI���,WAPI主要由WAI(無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu))和WPI(無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu))兩部分組成,提出了對等訪問控制的概念�����,實現(xiàn)了AE��、ASUE和ASE的三元組認(rèn)證��。
WAPI用戶的漫游
因為WLAN的用戶是百萬級的���,不可能在全國集中架設(shè)WAPI的AS服務(wù)器����,必須根據(jù)用戶量的多少��,把AS服務(wù)器架設(shè)在省公司層面或本地網(wǎng)層面。就必須解決用戶在不同AS域中的認(rèn)證問題����,即WAPI用戶的漫游。
具體來說�,有兩種模式:異地認(rèn)證和本地認(rèn)證。
異地認(rèn)證模式�����,即:用戶在其他AS域中要求證書鑒別�,AS通過數(shù)字證書的頒證機構(gòu)(Issuername)字段發(fā)現(xiàn)該用戶非本地用戶����,馬上把WAI報文轉(zhuǎn)發(fā)到用戶歸屬地的AS進行鑒別認(rèn)證。本地認(rèn)證模式�����,即AS直接認(rèn)證數(shù)字證書有效性���,同時查證該證書是否在“黑名單”中決定是否讓該用戶認(rèn)證通過�。
WAPI用戶的認(rèn)證和計費
用戶使用WLAN業(yè)務(wù)一共要經(jīng)過三重認(rèn)證:無線鏈路加密認(rèn)證�,接入認(rèn)證和業(yè)務(wù)認(rèn)證���。無線用戶終端在發(fā)現(xiàn)WLAN網(wǎng)絡(luò)具有WAPI認(rèn)證功能后,提交自己的WAPI證書信息��,WLAN設(shè)備加上自身的認(rèn)證信息后一起提交AS����,AS對兩者的信息都進行認(rèn)證,把認(rèn)證結(jié)果告訴WLAN設(shè)備和無線用戶終端���;整個認(rèn)證過程中采用數(shù)字簽名����;只有當(dāng)三方認(rèn)證都通過后����,才開始由WLAN設(shè)備與無線用戶終端協(xié)商通信密鑰。整個無線鏈路加密認(rèn)證過程在后臺運行��,用戶基本不用人工參與����。
如果用數(shù)字證書認(rèn)證替代現(xiàn)有的DHCP+Portal等接入認(rèn)證,最主要問題是無法實現(xiàn)正常計費:無線鏈路加密認(rèn)證通過后�����,AC開放了受控端口,允許數(shù)據(jù)流進入公網(wǎng)�����,但AC不可能知道用戶何時開始使用網(wǎng)絡(luò)����,無法提供計費開始信息;同時���,用戶沒有正常下線的手段,系統(tǒng)也無法檢測用戶是否異常下線��,無法提供計費結(jié)束信息���。這樣就只能為用戶提供包月的服務(wù)���。
因此是否把多重認(rèn)證方式統(tǒng)一,要區(qū)分不同用戶及不同的無線用戶終端����。
WAPI數(shù)字證書的發(fā)放和管理
實體身份的認(rèn)證����、證書的發(fā)布�����、吊銷等一系列工作絕非簡單���。
基于證書機制�,PKI核心組件包括:
CA(Certificate Authority����,證書認(rèn)證中心)
CA是PKI最核心的組件。它負(fù)責(zé)接受用戶的請求��,負(fù)責(zé)簽發(fā)和管理數(shù)字證書�,提供證書查詢,接受證書注銷請求��,提供CRL等����。
RA(Registration Authority,證書注冊中心)
RA直接面對最終客戶��,受理其證書申請和管理請求。
CRL(Certificate RevocationList�����,作廢證書列表)
作廢證書列表����,通常由同一個發(fā)證實體簽名。當(dāng)公鑰的所有者丟失私鑰���,或者改換姓名時����,需要將原有證書作廢��。
證書存檔(Repository)
一個電子站點�����,存放證書和作廢證書列表�����、CA在用證書和作廢證書��。
用戶(Subscriber)
用戶是作為主體署名證書并依據(jù)策略使用證書和相應(yīng)密鑰的實體�。
根CA系統(tǒng)
根CA系統(tǒng)主要由根證書簽發(fā)系統(tǒng),根CRL組成����。根CA在系統(tǒng)正式運行后,不會參與各種用戶證書的簽發(fā)���,因此平時基本上處于離線關(guān)閉狀態(tài)��。
二級CA系統(tǒng)
二級CA系統(tǒng)是整個PKI/CA系統(tǒng)中最重要的部分���,安全性要求最高。主要包括:數(shù)字證書簽發(fā)系統(tǒng)���、數(shù)字證書申請系統(tǒng)����、數(shù)字證書服務(wù)系統(tǒng)��、客戶服務(wù)系統(tǒng)和數(shù)字證書管理系統(tǒng)等����。
RA機構(gòu)
證書注冊審核機構(gòu)(RA)分布在各個本地網(wǎng)����,來滿足不同地區(qū)證書用戶的申請����、注冊、審核和發(fā)放���。
RA受理代理點(RAT)
若上述的RA機構(gòu)仍不能滿足用戶分散性等工作要求的地區(qū)�����,可以在本地區(qū)的RA機構(gòu)下����,再設(shè)立RAT�。由電信運營商設(shè)立CA根中心,生成各省公司的二級CA中心��,然后在各本地網(wǎng)設(shè)立RA或RAT�。
WAPI數(shù)字證書的獲取和存儲
用戶的私鑰是非常重要����,必須對用戶的私鑰進行保護確保不丟失����。如果丟失�,須通知CA中心吊銷自己的證書,防止其它用戶信任已經(jīng)泄密的證書而造成不必要的損失��。根據(jù)對安全的不同要求���,用戶的證書及其私鑰可以放在硬盤中�����、智能卡����、USB令牌等存儲介質(zhì)中:
硬盤(固定的存儲介質(zhì))
私鑰通過口令進行保護��,并加密存放在硬盤中���。該方式的優(yōu)點在于不需額外花費����,使用簡單快捷;缺點在于安全性較低�����,不支持移動辦公���。這種方式非常適合于安全性要求不太高����,或機器本身有較強的安全保護環(huán)境中��。對于手機終端��,相當(dāng)于將證書安裝在其閃存中��。
智能卡+讀卡器(專用的便攜式存儲介質(zhì))
智能卡是一種非常安全可靠的存儲設(shè)備��,它通過IC芯片和其中的操作系統(tǒng)(COS)防止攻擊者竊取卡內(nèi)的機密信息�。該方式的優(yōu)點在于安全性高,可以實現(xiàn)在具有讀卡器的機器上漫游����;缺點是需要額外硬件投資,以及安裝軟件���。
USB-Key(通用便攜式存儲介質(zhì))
該方式的優(yōu)點在于安全性高��,可以實現(xiàn)在所有的機器(具有USB接口)上的漫游�;缺點是需要額外硬件投資��,以及安裝相應(yīng)軟件驅(qū)動�。
電信運營商向用戶提供(1)、(3)兩類的存儲介質(zhì)�����,用戶可以自行選擇����。選擇(1)類的存儲介質(zhì),除了安全性較低外���,用戶更換終端或重裝系統(tǒng)就要重新申請并安裝新的證書���;選擇(3)類的存儲介質(zhì),有較高的安全性����,但對存儲介質(zhì)有較高的要求��,特別是要支持WAPI數(shù)字簽名指定的橢圓曲線加密算法(ECC)�。
用戶獲取數(shù)字證書���,可以通過到營業(yè)廳(RA/RAT)申請���,也可以利用電腦或手機直接從網(wǎng)上下載。前者適合于提供有效期較長的數(shù)字證書�,后者適合于提供短期、臨時的數(shù)字證書����。
通信產(chǎn)業(yè)報