GB T 31491-2015 无线网络访问控制技术规范.pdf
《GB T 31491-2015 无线网络访问控制技术规范.pdf》由会员分享,可在线阅读,更多相关《GB T 31491-2015 无线网络访问控制技术规范.pdf(40页珍藏版)》请在麦多课文档分享上搜索。
1、、ICS 35.110 L 78 中华人民共和国国家标准GB/T 31491-2015 无线网2名访问控制技术规范Wireless network at:cess control technical specification 2015-05-15发布2016-01-01实施片rx中华人民共和国国家质量监督检验检疫总局也企精正中国国家标准化管理委员会a叩GB/T 31491-2015 目次IE1123455566666677888ummm却mM域式组组HHHH领模分分HHHHH用作求应.商商应工型 . 请响制制产协协模制理商商护商商机机提息息)u件UH般机管协.协保.协协别别加倍信录录瞅川帐棚
2、翩翩拟制愉怖姗姗幢幢栅焊焊倒四u引定问问述享制别享据略述制制议述实实息播播范料性和语访访概共控鉴共数策概控控协概二三啃单组明领盐1围范语略络络制别写言言范规术缩网网UUUUUU控UMM鉴MMM知川口和和教前引123456789附附参GB/T 31491-2015 前本标准按照GB/T1.1-2009给出的规则起草。本标准由全国信息技术标准化技术委员会(SAC/TC28)提出并归口。本标准主要起草单位z西安西电捷通无线网络通信股份有限公司、无线网络安全技术国家工程实验室、国家无线电监测中心检测中心、中国电子技术标准化研究所、西安邮电大学、西安电子科技大学、国家密码管理局商用密码检测中心、信息安全
3、国家重点实验室、中国信息安全认证中心、国家信息安全工程技术研究中心、国家计算机网络应急技术处理协调中心、中国人民解放军信息安全测评认证中心、广州杰赛科技股份有限公司、重庆邮电大学、宇龙计算机通信科技(深圳)有限公司、中国人民大学、桂林电子科技大学、中国电信集团公司、国家信息中心、北京大学深圳研究生院、北京中电华大电子设计有限责任公司、东南大学、深圳市明华澳汉科技股份有限公司、北京六合万通微电子技术有限公司、北京网贝合创科技有限公司、弘浩明传科技(北京有限公司、中国人民解放军信息工程大学、江南计算技术研究所、北京邮电大学、北京五龙电信技术公司、北大方正集团公司、北京市政务网络管理中心、北京城市热
4、点资讯有限公司、北京华安广通科技发展有限公司、迈普通信技术有限公司、北京天一集成科技有限公司、宽带无线IP标准工作组、WAPI产业联盟。本标准主要起草人z黄振海、铁满霞、赖晓龙、宋起柱、王育民、曹军、朱志祥、冯登国、李大为、陈晓桦、文仲慧、卓兰、肖跃雷、舒敏、胡亚楠、李广森、高波、刘平、杜志强、吴亚非、李琴、梁朝晖、梁琼文、张变玲、罗旭光、龙昭华、张伟、徐平平、仇洪冰、朱跃生、潘峰、兰天、王志坚、王柯、张国强、杨宏、田小平、田辉、张永强、寿国梁、毛立平、曹竹青、郭志刚、高宏、韩康、陈志峰、李大伟、王立仁、高原。I G/T 31491-2015 51 在通信网络,尤其是无线网络中,非授权的终端设
5、备能物理地连接到网络上,或者授权的终端设备所物理连接的网络不一定是终端所期望的。因此,在终端和网络通信前,需要先相互鉴别对方的身份,再进行授权访问,以保证通信的可靠。本标准描述了无线网络访问控制机制,规范了网络的接入控制。本文件的发布机构提请注意,声明符合本文件时,可能涉及8.2.2.2、8.3.2等与一种三步握手协议方法飞一种实现实体的公钥获取、证书验证及双向鉴别的方法等相关的专利的使用。本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。该专利持有人已向本文件的发布机构保证,他愿意同任何申请人在合理且无歧视的条款和条件下,就专利授权许可进行谈判。该专利持有人的声明已在本文件发布机构
6、备案。相关信息可通过以下联系方式获得z专利权人z西安西电捷通无线网络通信股份有限公司地址z西安市高新区科技二路68号西安软件园秦风阁A201联系人z刘长春邮政编码:710075 电子邮件: 电话:029-87607836传真:029-87607829 网址:http:/ 请注意除上述专利外,本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别这些专利的责任。E GB/T 31491-2015 无线网络访问控制技术规范1 范围本标准规定了网络访问过程中安全访问控制的一般方法。本标准适用于WLAN、WPAN、WSN、RFID等各种无线网络访问控制领域,也适用于LAN、PLC、PON等各种有线
7、网络访问控制领域。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注目期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 15629.2一2008信息技术系统间远程通信和信息交换局域网和城域网特定要求第2部分z逻辑链路控制GB/T 15629.3-2014信息技术系统间远程通信和信息交换局域网和城域网特定要求第3部分z带碰撞检测的载波债听多址访问CCSMA/CD)的访问方法和物理层规范GB 15629.11-2003信息技术系统间远程通信和信息交换局域网和城域网特定要求军11部分z元线局域网媒体访问控制和物理层规范
8、GB 15629.11-2003/XGl-20C6信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分z无线局域网某体访问控制和物理层规范第1号修改单GB 15629.11012006信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分z无线局域网媒体访问控制和物理层规范:5.8GHz频段高速物理层扩展规范GB 15629.1102-2003信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分z无线局域网媒体访问控制和物理层规范:2.4GHz频段较高速物理层扩展规范GB/T 15629.1103-2006信息技术系统间远程通信和信息交换局域网和城域网特定要求
9、第11部分z无线局域网媒体访问控制和物理层规范z附加管理域操作规范GB 15629.1104-2006信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分z无线局域网媒体访问控制和物理层规范:2.4GHz频段更高数据速率扩展规范GB/T 15629.15-2010信息技术系统间远程通信和信息交换局域网和城域网特定要求第15部分z低速元线个域网CWPAN)媒体访问控制和物理层规范GB/T 15843.1-2008信息技术安全技术实体鉴别第1部分=概述GB/T 15843.2-2008信息技术安全技术实体鉴别第2部分z采用对称加密算法的机制GB/T 15843.3信息技术安全技术实体鉴
10、别第3部分z采用数字签名技术的机制GB/T 28455-2012 信息安全技术引人可信第三方的实体鉴别及接人架构规范GB/T 28925-2012信息技术射频识别2.45 GHz空中接口协议GB/T 29768-2013信息技术射频识别800/900 MHz空中接口协议GB/T 29828-2013信息安全技术可信计算规范可信连接架构GB/T 3000l.1-2013信息技术基于射频的移动支付第1部分z射频接口GM/T 0002-2012 SM4分组密码算法ISO/IEC 9798-3: 1998/ Amd.1 :2010信息技术安全技术实体鉴别第3部分z采用数字签名GB/T 31491-20
11、15 技术的机制第1号修改单(Informationtechnology-Security techniques-Entity authentication Part 3: Mechanisms using digital signature techniques-Amendment 1) ISO IIEC 1177 0-1信息技术安全技术密钥管理第1部分框架(Informationtechnology Security techniques-Key management-Part 1 : Framework) ISO/IEC 20009-2:2013信息技术安全技术匿名实体鉴别第2部分z基于
12、群组公钥签名的机制(lnformationtechnology-Security techniques-Anonymous entity authentication-Part 2: Mech anisms based on signatures using a group public key) RFC 768用户数据报协议(UserDatagram Protocol, August 1980) RFC 793传输控制协议(TransmissionControl Protocol,Scptember 1981) 3 术语和定义下列术语和定义适用于本文件。3.1 DH交换Ditfie-Itel
13、lman缸cbangeDiffer和Hellman提出的基于离散对数难题的密钥交换技术。3.2 密文cipbertext 经过变换,信息内容被隐藏起来的数据。3.3 密码校验画鼓cptogr呻hiccheck function 以秘密密钥和任意字符串作为输入,并以密码校验值作为输出的密码变换。3.4 解密d配叮ption把一个密文转换为一个明文的处理,该转换需要一套算法和一套输入参量,3.5 加密encryption 把一个明文转换为一个密文的处理,该转换需要一套算法和一套输入参量。3.6 鉴别authentication 证实一个实体就是所声称的实体。3.7 双向鉴别mutual authe
14、ntication 向双方实体提供身份保证的实体鉴别。3.8 密钥key 控制密码变换操作(例如加密、解密、密码校验函数计算、签名生成和签名验证)的符号序列。3.9 密钥协商key agreement 在实体之间建立一个共享密钥的过程,在这个过程中,任何一个参与实体都不能事先决定共享密钥的值。3.10 3.11 3.12 3.13 3.14 3.15 3.16 3.17 3.18 3.19 共事信息shared information 通信双方或多方共享的信息,可以是公开的也可以是秘密的,如z密钥等。私钥private key 一个实体的非对称密钥对中只由该实体使用的密钥。签名私钥privat
15、e signature key 规定私有签名变换的私有密钥。公钥public key 一个实体的非对称密钥对中能够被公开的密钥。公钥证书public key certificate 实体的公开密钥信息,它由认证机构签名,因而不可伪造。验证公钥public verification key 规定公开验证变换的公开密钥。随机数ran:.oJ. number 其值不可预测的时变参数。权标token GB/T 31491-2015 由与特定的通信相关的数据宇段构成的信息,它包含已使用密码技术进行了变换的信息。单向鉴别unilateral authentication 只向一个实体提供另一个实体身份保证
16、,而不向后者提供前者身份保证的实体鉴别。杂凄函数hash function 散列画数将位串映射成固定长度位串的画数,满足两个性质E对于一个给定的输出,要找到其对应的输入,在计算上是不可行的F对于一个给定的输入,要找到对应其输出的第二个输入,在计算上是不可行的。计算上的可行性依藏于用户的具体安全要求和环境。3.20 密钥加密密钥keyencption key 用于加密密钥数据的密钥。4 缅暗语下列缩略语适用于本文件。3G LTE 3G长期演进(3GLong Term Evolution) AP 访问点(AccessPoint) AS 鉴别服务器(AuthenticationServer) 3 G
17、B/T 31491-2015 BK 基密钥(BaseKey) CCM 计数器模式及密码区块链信息认证码(Countermode with Cipher-block chaining Message authentication code) GCM Galois计数器模式(Galois/CounterMode) LAN 局域网(LocalArea Network) MAN MIC MPAS NEAU ONU PLC PON REP REQ RFID SN TCA TePA TePA-AC TISec TLSec TPLS TPSec TRAIS TSSI 城域网(MetropolitanArea
18、 Network) 消息完整性校验(MessageIntegrity Check) 移动支付空中接口安全(MobilePayment Air interface Security) NFC实体鉴别(NFCEntity Authentication) 光网元(OpticalNetwork Unit) 电力线通信(PowerLine Communication) 无源光网络(PassiveOptical Network) 响应者(Re叩。nser)请求者(requester)射频识别(RadioFrequency Identification) 传感器网络(SensorNetwork) 可信连接架
19、构(TrustedConnect Architecture) 三元对等架构(Tri-elementPeer Architecture) 基于三元对等架构的访问控制(TePA-basedAccess Control) 可信IP安全(TrustedIP layer security) 基于三元对等架构的局域网媒体访问控制安全(TePA-basedLAN MAC Security) 基于三元对等架构的电力线通信网络安全(TePA-basedPLC Security) 基于三元对等架构的无源光网络安全(TePA-basedPON Security) 标签和读写器空中接口安全(Tagand Reader
20、 Air-Interface Security) 基于三元对等架构的传感器网络安全基础设施(TePA-basedSN Secutity Infrastruc-ture) UWB 超宽带(UltraWideBand) VPN 虚拟专用网络(VirtualPrivate Network) WAPI 无线局域网鉴别与保密基础结构(WirelessLAN Authentication and Privacy Infra-structure) WLAN WMAN WPAN WSAI 无线局域网(WirelessLAN) 无线城域网(WirelessMAN) 无线个域网(WirelessPAN) WPAN
21、安全访问基础设施(WPANSecurity Access Infrastructure) 5 网络访问的一融模型网络访问可以使用多种形式,包括无线、有线等物理链路及IP逻辑链路等,比如WPAN、WLAN、WMAN,3G/LTE、RFID、LAN、PON、PLC等均可作为网络访问方式。每种网络形式都有各自的组成方式,包含的网元种类也不同,但它们的基本结构都是相同的,如图1所示。4 终端访问节点! |PC 移动叫:-一-j|mN(A) i|PC叫卜-i|WMANBS)i|PC二终辅|LJl |i !| 川PN服务器I 一-一-一一一一圄1网络访问基本结构GB/T 31491-2015 后台网络L
22、_一一-一网络在其网络边缘提供一个访问节点,比如WLAN的APC其定义应符合GB15629.11-2003、GB 15629.11-2003/XGl-2006、GB15629.1101-2006、GB15629.1102-2003、GB/T15629.1103 2006、GB15629.1104-2006的规定)、PON的ONU,3G/LTE的基站和IPVPN服务器等,终端通过该访问节点与网络连接F因此网络从结构上基本可以划分三个部分z终端、访问节点和后台网络。网络访问就是通过终端、访问节点和后台网络三部分的交互,实现终端和网络之间的通信控制。6 罔络访问控制机制6.1 辙述如第5章描述,不同
23、网络访问的结构基本类似,虽然各种网络在物理和链路特性上都各有自身的特殊性。网络访问控制管理通过下面所述的控制技术,按照设定的控制机制,实现终端到访问节点的连结被合法的使用,其中的数据传输受到保护。网络访问控制机制一般包含以下五大模块z-一共享信息管理z一一控制策略蜘商;一一鉴别协议;一一共享信息协商z一一数据传输保护。本标准定义的网络访问控制机制可应用于链路层、网络层或应用层等,所定义的安全协议报文传递时,可以使用管理报文或控制报文,也可以使用数据报文。如果使用数据报文,需要使用特定的标记用以区分安全协议报文和普通的数据报文。具体实现时,对于以太网络,可使用以太类型宇段Ox891b进行安全协议
24、交互z对于TCP/UDP应用,可使用TCP/UDP端口号5111完成安全协议交互。其中以太类型字段应符合GB/T15629.2-2008的规定,TCP定义应符合RFC793的规定,UDP定义应符合RFC 768的规定。在引人可信第三方时,网络访问控制的架构见GB/T28455-2012. 本标准定义的网络访问控制机制可应用不同网络,实现合法用户访问合法网络,见附录A。6.2 共享信息管理共享信息管理是网络访问控制机制的基础一步,它指终端和访问点、终端和终端之间的初始共享信GB/T 31491-2015 息的管理,定义共享信息管理对象,共享信息管理机制,包括密钥的产生、注册、分配、安装、存储、存
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 31491 2015 无线网络 访问 控制 技术规范