针对不同的漫游场景,结合AS多层级部署模式,无线身份鉴别存在AS之间直接建立信任关系互联和中心(集团)AS负责中转AS漫游鉴别两种方式:
相邻AS可互相交换存储证书,或预置共享密钥来建立信任关系。接入地AS找到直接信任的归属地 AS,则把漫游证书鉴别请求发归属地AS进行证书鉴别。
若用户跨区域漫游,接入地AS把漫游证书鉴别请求发往中心 AS,中心AS负责把该漫游认证请求发往归属地AS进行证书鉴别。
二、建立智能专用终端WAPI模块证书管理机制
随着云计算、大数据、移动互联网、物联网等新型信息技术的不断发展,多产业领域信息系统技术架构体系不断演进变化,数据采集业务呈现复杂化。采集控制终端的接入终端多样且数量巨大、数据敏感性高,且涉及控制指令下发等特点。在这种背景下,WAPI技术作为网络安全、数据安全和应用安全的核心支撑,需要满足接入终端的身份的合法性、关键数据的保密性、控制指令的安全下发的需求。
AS的证书签发功能(CISU)支持提供WAPI证书签发服务,强制使用数字身份凭证作为身份凭证,能够为接入的AP和STA签发数字身份凭证,系统采用了国家密码管理局批准的SM4对称密码算法对传输数据进行加解密,充分保障了数据传输的安全和用户信息的完整。针对智能专用终端(如:巡检机器人),支持为其内置密码模块,在终端内部产生密钥和P10请求,并发送至AS进行证书申请与下发。
AS的身份鉴别功能(ASU)使用数字身份凭证作为用户身份凭证,在鉴别过程中采用基于椭圆曲线的公钥证书体制(ECC算法),并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别信息进行修改和伪造,安全强度高。
三、构建云服务架构,实现证书签发集中化与标准化
未来的各类业务系统都会逐步向云迁移,业务扩展速度和规模也与云构架相匹配。因此,有必要将AS软硬件进行分离,实现集中化的证书签发管理平台,实现标准化的数字身份证书管理流程与规范。区别于典型的WAPI解决方案,应基于WAPI无线接入技术,将CISU(证书签发功能)和ASU (证书鉴别功能)相互分离,CISU部署在总部CIS服务端,提供WAPI证书统一签发服务,ASU部署在本地AS服务端,提供网络安全接入鉴别管控服务,解决了网络部署规模大与异地管控的业务场景。
四、基于WAPI技术,建立标准化政策与规范
WAPI产业联盟自2006年成立以来,与工信部宽带无线IP标准工作组、ISO/IEC JTC1/SC6国内技术对口单位形成了WAPI标准产业共同体,凝聚了政产学研用百余家单位,专注于无线网络和网络安全领域的技术研究、标准化、产业化和国际化,已成为国内在该领域最有影响力的产业技术组织,推动形成了TePA-WAPI技术创新和标准体系。联盟组织成员单位通过标准制修订和转化,推动无线网络创新技术的应用,填补标准体系空白,提升产业发展水平,推动行业进步。至今,联盟成员在无线网络领域已累计形成5000余项专利。
目前,基于三元对等(TePA)安全架构已经形成13项国际标准,在物联网、有线以太网、无线个域网、电子标签、同轴双向网络、传感器网络、有线局域网、无线城域网、未来网络、磁域网络等众多领域已形成了标准国际化超前布局,这是与国外最领先的安全协议技术同台激烈竞争,彰显了中国的国际技术创新竞争能力和水平,也为我国自主核心技术创新、解决网络安全卡脖子问题、提升国际话语权做出有力支撑。
供稿单位:南方电网数字电网研究院有限公司、北京数字认证股份有限公司
