5.1.7 WAPI配置相关
WAPI协议参数配置 条目 支持的WAPI最高版本号 说明 -- 英文名称 数据类型 Integer32 访问权限 ReadOnly 可选性 A 是否启用鉴权 端口的控制类型 是否支持WAPI 是否支持WAPI预鉴权 是否启用WAPI预鉴权 支持的WAPI单播密钥数 gb15629dot11wapiConfigVersio 该属性表示实体是否 启用鉴权。该值为假, 则表示不启用鉴权,gb15629dot11wapiControlledAuthControl 受控端口的状态为‘已鉴权’;若为真,则表示启用鉴权,受控端口的状态由端口的控制类型gb15629dot11wapiControlledPortControl来决定 该属性表示实体端口的控制类型,当gb15629dot11wapiControlledAuthControl为真时有效。值为0,gb15629dot11wapiCo则表示‘自动’,受ntrolledPortContro控端口的状态取决于l 鉴权结果;若为1,表示‘强制未鉴权’,受控端口的状态无条件为‘未鉴权’ 该变量指示实体是否具有WAPI功能。取值gb15629dot11wapiOp为真,表示支持WAPItionImplemented 功能;否则,表示不支持WAPI功能 该变量指示实体是否支持WAPI预鉴权。除非gb15629dot11wapiPrgb15629dot11wapiOpeauthenticationImptionImplemented取lemented 值为真,否则,该变量不能取值为真 当为真时,该对象指gb15629dot11wapiPr示该实体上的WAPI预eauthenticationEna鉴权已激活 bled gb15629dot11wapiCo-- nfigUnicastKeysSupported TruthValue ReadWrite A Integer ReadOnly A TruthValue ReadOnly A TruthValue ReadOnly A TruthValue ReadWrite A Integer ReadOnly A 20
单播密钥更新机制 -- gb15629dot11wapiConfigUnicastRekeyMethod Integer 0:disabled 1:timeBased 2:packetBased 3:timepacket-Based ReadWrite A 单播密钥有效时间 单播密钥有效的数据包数量 实体必须采用的组播密码套件 WAPI USK需要更新的秒级定时。一旦USK通过MLME-SETWPIKEYS.request原语设置后,计时器就开始工作 WAPI USK需要更新的分组计数(以1000个分组为单位)。一旦USK通过MLME-SETWPIKEYS.request原语设置后,分组计数器就开始工作,统计采用当前USK加密的分组个数 该对象指示实体必须采用的组播密码套件。WAPI信息元素的组播密码套件应采用该变量的值,它包含三个八位位组的OUI与一个八位位组的密码套件标识 该对象选择一种机制来重新建立WAPI密钥MSK。默认是基于时间的,一天一次。MSK的更新只能由担当AE角色的实体发起 gb15629dot11wapiConfigUnicastRekeyTime Unsigned32 ReadWrite A gb15629dot11wapiConfigUnicastRekeyPackets Unsigned32 ReadWrite A gb15629dot11wapiConfigMulticastCipher String ReadWrite A 组播密钥更新机制 gb15629dot11wapiConfigMulticastRekeyMethod Integer 0:disabled 1:timeBased 2:packetBased 3:timepacket-Based ReadWrite A 组播密钥有效时间 gb15629dot11wapiConfigMulticastRekeyTime WAPI MSK需要更新的秒级定时。一旦MSK通过MLME-SETWPIKEYS.request原语设置后,计时器就开始工作 Unsigned32 ReadWrite A 21
组播密钥有效的数据包数量 是否在终端离开BSS后更新组播密钥 PSK值 用于生成PSK的口令字 鉴权握手的重试次数 MSK握手的重试次数 单播密钥握手的重试次数 WAPI MSK需要更新的分组计数(以1000个分组为单位)。一旦MSK通过MLME-SETWPIKEYS.request原语设置后,分组计数器就开始工作,统计采用当前MSK加密的分组个数 当为“真”值时:不论STA什么时候离开拥有密钥MSK的BSS,该对象都会发信号通知密钥MSK需要进行更新,否则不进行MSK更新 将PSK模式选为WAPI的AKM套件时的PSK值。BK将由该对象推导产生。 当使用口令-密钥算法来生成PSK时。该变量提供了一种输入口令的方法 。当该对象被写入时,WAPI实体将使用口令-密钥算法导出一个预共享密钥,同时用导出的密钥填充gb15629dot11wapiConfigPSKValue。该对象逻辑上是只写的。读取该对象将返回不成功状态或无意义或零。 在每次证书鉴权握手中,WAPI证书鉴权握手协议的消息重传次数 在每次MSK握手中,WAPI组播密钥握手协议的消息重传的次数 在每次握手中,WAPI单播密钥握手协议的消息重传的次数 gb15629dot11wapiConfigMulticastRekeyPackets Unsigned32 ReadWrite A gb15629dot11wapiConfigMulticastRekeyStrict TruthValue ReadWrite A b15629dot11wapiConfigPSKValue OctetString ReadWrite A gb15629dot11wapiConfigPSKPassPhrase DisplayString ReadWrite A gb15629dot11wapiConfigCertificateUpdateCount gb15629dot11wapiConfigMulticastUpdateCount gb15629dot11wapiConfigUnicastUpdateCount Unsigned32 ReadWrite A Unsigned32 ReadWrite A Unsigned32 ReadWrite A 22
组播密钥长度的位数 广播密钥(BK)的有效期 BK重新鉴权的门限时间 建立安全连接的最大时长 选择的AKM 最后一次协商的单播密码套件 最后一次协商的组播密码套件 最后一次单播密钥握手过程中所使用的BKID 最后一次请求的AKM套件 最后一次请求的单播密码套件 最后一次请求的组播密码套件 支持的单播加密套件 是否启用单播加密 该对象指示组播密钥长度的位数。对于SMS4来说,长度值应该为256。前面128位为加密密钥,后面128位为完整性校验密钥 BK缓存中,一个BK的最大生存期 在重新进行证书鉴别之前,应当渡过BK生存期的百分比 安全关联建立需要的最长时间 最后一次协商的AKM套件 最后一次协商的单播密码套件 最后一次协商的组播密码套件 最后一次单播密钥握手过程中所使用的BKID 最后一次请求的AKM套件 最后一次请求的单播密码套件 最后一次请求的组播密码套件 所支持的单播密码套件 对象激活或禁止单播密码 该对象指示单播密钥长度的位数。对于SMS4来说,长度值应该为256。前面128位为加密密钥,后面128位为完整性校验密钥 AKM套件。它包括一个OUI(前三个八位位组)和一个密码套件标识(最后一个八位位组) gb15629dot11wapiConfigMulticastCipherSize gb15629dot11wapiConfigBKLifetime gb15629dot11wapiConfigBKReauthThreshold gb15629dot11wapiConfigSATimeout gb15629dot11wapiAuthenticationSuiteSelected gb15629dot11wapiUnicastCipherSelected gb15629dot11wapiMulticastCipherSelected gb15629dot11wapiBKIDUsed gb15629dot11wapiAuthenticationSuiteRequested gb15629dot11wapiUnicastCipherRequested gb15629dot11wapiGroupCipherRequested gb15629dot11wapiConfigUnicastCipher gb15629dot11wapiConfigUnicastCipherEnabled gb15629dot11wapiConfigUnicastCipherSize Unsigned32 ReadOnly A Unsigned32 Unsigned32 Unsigned32 OctetString ReadWrite ReadWrite ReadWrite ReadOnly A A A A OctetString ReadOnly A OctetString ReadOnly A OctetString ReadOnly A OctetString ReadOnly A OctetString OctetString OctetString TruthValue ReadOnly ReadOnly ReadOnly ReadWrite A A A A 单播密钥长度的位数 Unsigned32 ReadOnly A 选择的AKM套件 gb15629dot11wapiConfigAuthenticationSuite OctetString ReadOnly A 23
激活还是禁止AKM套是否启用AKM套件 件 gb15629dot11wapiConfigAuthenticationSuiteEnabled TruthValue ReadWrite A
5.1.8 Syslog配置
SYSLOG参数配置 条目 是否开启Syslog服务 上报级别门限
SYSLOG服务器配置表 条目 说明 英文名称 Syslog服务器的syslog服务器地址 SyslogServerAddr IP地址、端口号 备注:至少支持两个以上的Syslog服务器配置。 5.1.9 软件版本升级
本规范定义的软件升级,是通过SNMP方式执行,由网管对设备做SNMP SET通知后,设备自动从指定的远程服务器下载软件做升级,或者上传软件到FTP服务器上。
具体软件版本升级的处理流程,参见附录0A.1文件上传下载流程。 需要指定的SNMP OID参数,包括如下:
软件版本升级配置参数 条目 传送类型 文件名称 文件类型 说明 传送类型包括: 1:下载(从远程服务器到设备) -- 文件类型包括: 1:软件版本文件 2:配置文件 3:日志文件 使用TFTP,FTP协议,可选支持SFTP,HTTP,HTTPS等其它协议 -- -- -- 英文名称 LoadFlag FileName FileType 数据类型 Integer String Integer 访问权限 可选性 数据类型 TAddress 访问权限 可选性 说明 -- 高于此级别的事件要上报,级别的标准参照RFC 3164。 英文名称 SyslogSvcEnable SyslogReportEventLevel 数据类型 访问权限 可选性 TruthValue ReadWrite A Integer ReadWrite A ReadCreate A ReadWrite A ReadWrite A ReadWrite A 使用协议 远程服务器地址 远程服务器端口 远程服务器用户名 TransProtocol Integer ReadWrite A ReadWrite A ReadWrite A ReadWrite A ServerAddr IpAddress ServerPort Integer ServerUsername String 24