wapi打开好还是不打开 wapi是什么东西( 三 )


如果现场还有一个公安身份的人 , 并能够当场验证两个人的身份证是否真实有效 , 并把结果反馈给二人 , 那么这个“陌生——互信”的过程就比较靠谱了 。这里就引入了一个“三元”认证的概念 , 即两个陌生人+公安人员 , 用网络语言来说 , 两个陌生人分别对应着用户和接入点 , 公安人员则对应着在线可信第三方(TTP) 。WAPI就是采用了这种有“公安人员”参与确认“身份证”的实体鉴别技术 。
WAPI在网络架构上引入了在线可信第三方——身份鉴别服务器 , 并赋予了用户(如手机)、接入点、身份鉴别服务器三个实体以各自独立的身份信息 , 这样一来 , 在鉴别服务器的帮助下 , 手机和接入点就可以更完备地完成双向对等身份鉴别 , 进而为网络安全接入提供了可靠的技术支撑 。
需要强调的是 , 在两个陌生人相认过程中 , 没有任何一个人可以有免检或额外的特权 , 即他们之间都需要进行“对等”的鉴别 。即不仅网络可以鉴别手机是否合法 , 手机也可以鉴别网络是否合法 。网络安全界有一句名言:“不假定任何事情 , 不相信任何人 , 检验所有的东西” 。WAPI所采用的三元对等实体鉴别技术理念即是如此 。
WAPI“双节棍解决方案”实现了无线场景下的网络身份鉴别
三元对等原理看似简单 , 但三元对等架构下的实体鉴别在无线应用场景中的实现却远比想象复杂 。对于三元对等实体鉴别原理 , 我们直观的想象基本就是如下图所示的逻辑结构:
电脑A、接入点B以及身份鉴别服务器TTP三者之间处于直连状态 , 所以 , 它们各自之间可以方便地实现双向身份鉴别 , 这个模型被望图生意地称为“金字塔模型” 。
但是 , 做工程研发的都知道一个铁律 , 技术的合理并不完全等于工程可用 , “金字塔模型”也是如此 。在实际应用中我们就会发现 , “金字塔”结构应用于有线网络没有太大问题 , 但是对于无线网络则几乎不可用 。
很显然 , 当我们的电脑通过有线方式联网 , 电脑A可以通过有线方式直接连到服务器和接入点B , 因此 , 根据“金字塔模型”所设想的双向对等鉴别是可以实现的 。但是如果发生在无线网络场景中 , 这种结构的工程实现就不适用了 。
由于无线信号传输距离有限 , 手机可以通过无线方式就近连接接入点 , 但是却无法连接放置在远方机房中的服务器 , 它在现实场景中的逻辑结构就成了下面这样:
此时 , 在线可信第三方TTP参与鉴别 , 但A、B两者仅一方能够连接可信第三方 。为了适应无线场景的接入鉴别应用 , “双节棍模型”(同样是望图生意)解决方案被发明了出来 , 该解决方案也是WAPI整体技术解决方案体系的一部分 。
基于“双节棍模型”的三元对等实体鉴别机制是如何实现的呢?以下图加以说明:
这种三元架构采取了五步鉴别的模式 , 具体过程是这样的:
第一步接入点向终端发消息“鉴证身份开始”;
第二步终端发消息回答接入点“这是我的身份信息 , 请鉴别 , 并请给我看你的身份信息以及第三方对你的鉴别身份鉴别结果”;
第三步接入点向鉴别服务器发消息“这是我和终端的身份信息 , 请鉴别并反馈结果”;


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: