.!访问者后台提供者后台西安西电捷通议程•项目背景•目前的进展•总结西安西电捷通总结•网络安全接入是安全和管理的统。•基于对等访问控制的安全接入解决了目前网络安全接入方法存在的问题。•目前已完成标准草案。西安西电捷通谢谢!安西电捷通对等控制认证协议•根据消息的结果，来控制端口的状态。•系统的信号通告给，指示个端口是活跃的。在物理层和高层之间传递消息。•访问者的消息流使用来自的指示准备好接受另外个消息，来自的指示有消息要处理。提供者的消息流的控制和访问者类似。•在高层实体中，和关联的认证协议驱动认证会话。旦完成会话，高层实体使用和通知。•之间通过交换消息。西安西电捷通对等控制认证协议二上层端口上层端口访问者提供者西安西电捷通对等控制认证协议三访问者提供者管理服务器认证成功的完成认证成功的结束西安西电捷通对等控制认证协议四•状态机访问者提供者访问者后台提供者后台西安西电捷通!!!!!!!!!!!!!提供者访问者西安西电捷通!!!!!!!!!!!!!!!!传递给认证者。•困难密钥从认证服务器传递到认证者，保证传递的安全性需要付出额外的资源。请求者和认证服务器进行认证，无法认证认证者的身份，因而在请求着和认证者之间还需进行额外的确认。西安西电捷通解决方法•.虽然增加了实体，但该实体不是新的功能体。在增强管理性的同时，带来了其他的问题。•新的方法对等访问控制方法终端设备和接入控制器保持原始的功能增加新的功能体凭证管理服务器结构上是三元结构终端设备接入控制器和凭证管理服务器终端接入控制器服务器西安西电捷通对等访问控制的特点•凭证管理服务器同时管理终端设备和接入控制器的凭证，从根本上支持双向认证•终端设备和接入控制器都是自我控制的实体，都不是凭证管理服务器的附属，在访问控制概念上是对等的•认证及密钥协商直接在终端设备和接入控制器之间进行•具有良好的管理性安全性扩展性。西安西电捷通运行示意服务器接入控制器终端双向鉴别安全属性传送导出密钥，控制端口导出密钥，控制端口西安西电捷通议程•项目背景•目前的进展•总结西安西电捷通项目状态•完成基于对等访问控制的安全接入基础结构研究报告•完成基于对等访问控制的安全接入基础结构规范草案西安西电捷通规范内容•定义对等访问控制的结构•定义端口•终端和接入控制之间消息格式•接入控制和凭证管理服务器的通信定义•认证协议封装的方法•如何利用端口控制和各种消息定义，实现对等控制。•需要的状态机•管理定义管理对象，管理类，管理协议，库。西安西电捷通方法框架基本原理系统实体定义通用认证协议通用认证协议在接入链路上的封装对等控制认证协议模型格式与其它层的关系消息格式消息处理协议描述状态机管理信息管理对象协议支持等西安西电捷通实体定义•系统连接在接入网络中接入链路上的设备称之为系统•端口系统和接入链路有个或多个连接点，被称之为端口。受控端口非受控端口系统连接点接入链路西安西电捷通实体定义二•个系统的端口更准确地说，是端口的端口控制实体可以采用以下两种角色提供者如果系统的端口想通过端口提供资源给其他系统访问，那么它采用提供者的角色。提供者也可以通过该端口访问其他系统的资源。访问者如果系统的端口想通过端口访问其他系统提供的资源，那么它采用访问者的角色。•另外还有个系统角色被定义管理服务器在提供者和访问者进行认证授权时，管理服务器提供必要的安全资源和管理的功能。端口只能采用提供者或访问者其中之的角色，而不能同时采用两种角色，这样可以防止两种角色对于端口的控制出现状态的不同步。西安西电捷通实体定义三应用使用提供者的服务访问者访问者系统接入链路服务提供者提供提供者提供者系统端口非授权端口非授权管理服务器系统管理服务器高层协议负载认证协议•个给定的协议可能需要绕过授权功能而使用非受控端口。•两个利用他们的非受控端口，使用链路层负载的认证协议互相通信，提供者通过高层协议负载的认证协议与管理服务器进行通信。西安西电捷通实体定义四•自适应端口选择只能选择访问者或提供者之的角色。个可以静态的采用访问者或提供者的角色，也可以根据情况动态选择访问者和提供者角色。如果对方是提供者，自适应将采用访问者角色，如果对方是访问者，自适应将采用提供者角色。如果双方都是自适应，那么根据优先级和物理地址来确定角色。优先级高的成为提供者，另外个是访问者。如果优先级样，那么物理地址高的成为提供者。通过帧进行自适应选择。西安西电捷通通用认证协议•是个协议封装协议，用于网络接入认证。它支持多种认证协议，可以灵活的适应各种环境，有效地完成认证。•包格式位位位标志位片偏移位校验和位数据西安西电捷通通用认证协议二认证方法对等体层层底层认证方法提供者层层底层传输层认证方法对等体层层传输层提供者对等体认证服务器底层传输层负责在对等体和提供者之间传送和接收帧。可以运行在多种底层技术上，包括.等。层层通过底层传送和接收数据包，实现重复帧检测和重传在对等体层和提供者层之间传送消息。对等体层和提供者层根据字段的值，层解析收到的包，传送到对等体层或提供者层。西安西电捷通通用认证协议在接入链路上的封装•定义了访问者和提供者之间负载包的封装技术。•封装称为接入链路上的，或。西安西电捷通通用认证协议在接入链路上的封装二•的格式八位位组序号协议版本类型长度内容西安西电捷通通用认证协议在接入链路上的封装三•类型此字段长度为字节，用个无符号数表示。它的值决定着发送的包的类型。定义了如下类型.值表示帧载有。。值表示帧是帧。。值表示帧是明确的请求帧。。值表示帧是帧。。值表示帧载有。西安西电捷通通用认证协议在接入链路上的封装四•的格式长度个八位位组标识个八位位组重放计数器个八位位组算法保留个八位位组个八位位组协议数据个八位位组西西安西电捷通西安西电捷通无线网络通信有限公司基于对等访问控制的安全接入基础结构西安西电捷通议程•项目背景•目前的进展•总结西安西电捷通项目的研究目标•针对无线网络的安全接入问题进行研究和提出种安全接入基础结构技术方案并形成相关标准草案。•该技术方案及其标准主要应用于无线网络，如无线局域网无线城域网包括和我国自主的无线城域网方案和有线网络。西安西电捷通基础结构的适应性安全接入方法移动终端接入点基站终端台式机交换机实例•框架方法标准基于对等访问控制的安全接入基础结构规范已在全国信息技术标准化技术委员会和全国信息安全标准化技术委员会立项，年内完成•方法的应用实例已在国家无线局域网标准中采用•方法的应用实例已在国家无线宽带多媒体技术标准工作组中提出西安西电捷通方法与应用的关系网络通信协议无线个域网无线城域网无线局域网智能天线技术扩频技术安全接入技术媒体访问控制技术调制技术三元对等鉴别框架方法西安西电捷通项目的技术背景•访问控制是接入安全的个重要基础内容。访问终端接入控制器网络访问控制西安西电捷通访问控制的目标•授权是在接入链路的两端实施。•如何控制终端设备和接入控制器的受控端口是关键。如果终端设备和接入控制器自行完成，那么每个接入控制器都要保存有终端设备的凭证，才能使终端设备能够在各个接入控制器获得授权。这种方法非常难以管理。•如何获得管理的便利性和访问控制的安全性西安西电捷通.•将认证和授权终端设备的的功能从接入控制器中分离出来，建立认证服务器实体来实现这部分功能定义三个逻辑实体•请求者终端设备•认证者接入控制器•认证服务器认证服务器接入控制器是认证服务器的附属，对于终端设备来说，不区分接入控制器和认证服务器。从结构上，这是两元终端设备和网络三实体终端设备接入控制器和认证服务器结构。终端接入控制器服务器西安西电捷通.主要特性•访问控制实体请求者和认证者在认证和授权上是不同的。请求者是自独立的，认证者受认证服务器的控制。西安西电捷通.的适应性•当前的网络环境请求者和认证者之间的数据传输并不安全，在认证和授权的同时还要协商出会话密钥。尤其在无线环境更是如此。等网络中都要求会话密钥。•目前的解决方法由于认证者的附属性，密钥在请求者和认证服务器之间协商，然后密钥从认证服务器传.!访问者后台提供者后台西安西电捷通议程•项目背景•目前的进展•总结西安西电捷通总结•网络安全接入是安全和管理的统。•基于对等访问控制的安全接入解决了目前网络安全接入方法存在的问题。•目前已完成标准草案。西安西电捷通谢谢!!!!!!!!!!!!!!提供者访问者西安西电捷通