资源预览内容
第1页 / 共7页
第2页 / 共7页
第3页 / 共7页
第4页 / 共7页
第5页 / 共7页
第6页 / 共7页
第7页 / 共7页
亲,该文档总共7页全部预览完了,如果喜欢就下载吧!
资源描述
1基于基于 PKI/PMIPKI/PMI 的的 IPIP 宽带城域网安全应用解决方案宽带城域网安全应用解决方案1 引言引言网络与信息安全能力是 21 世纪综合国力、经济竞争实力和生存力的象征,是未来国际 竞争的“杀手锏” 。当前,中国正在加快国民经济和社会信息化进程,急需要一个安全可信 的电信基础网络平台,为各种信息化应用提供基础安全保障。随着网络技术的发展和演变,IP 宽带城域网已成为宽带网的发展方向,各种信息化应 用都将基于 IP 技术。但是,目前 IP 宽带城域网在管理和安全应用方面存在许多问题,如: 不能有效识别进入网络用户的合法身份;不能对用户的个人信息实现有效保护;不能有效 地解决抗抵赖性问题等。这些问题的存在一方面导致了 IP 宽带城域网的可控制、可管理、可经营性较差;另一方面 直接影响到国家的信息安全,关系到国家的安危。导致这些问题的原因主要是由于目前 IP 宽带城域网采用的“用户名+密码”的认证方 式只能实现初级的、简单的管理,安全性很不够(如易于盗用、合用) ;用户名与接入线路 没有固定的对应关系,使得用户接入难以定位,用户权限难以管理等。因此,要有效解决目前 IP 宽带城域网在管理和安全应用方面存在的问题,首先要解决 用户身份认证、用户的授权管理和用户定位等问题,建立起可信赖的网络环境。近年来,信息安全技术受到广泛关注,并得到了长足发展,特别是基于公钥基础设施 (PKI)和授权管理基础设施(PMI)的智能化信任与授权技术有了突破性进展,已大规模 应用于电子政务、电子商务系统中。因此,本文将探讨如何采用基于 PKI/PMI 的智能化信任与授权技术来建立 IP 宽带城 域网的可信任环境,如何将数字证书的认证、管理等信息安全技术应用于 IP 宽带城域网的 运营管理中,从而构建一个“可控制、可管理、可经营”的电信级 IP 宽带城域网,为各种 信息化应用提供一个安全可信的基础电信网络平台。这是一个全新的思路、全新的尝试,具有比其他 IP 城域网的管理方法更高的安全性和 灵活性。2 PKI/PMI 概述概述2.1 PKIPKI 是国家信息安全基础设施(NISI)的重要组成部分,它以公开密钥技术为基础, 以数据机密性、完整性、网上身份认证和行为的不可抵赖为安全目的,为网络应用(如浏 览器、电子邮件)提供可靠的安全服务。在国家信息安全基础设施中,PKI 采用双密钥证 书体系,其中非对称算法支持 RSA 和椭圆曲线公开密钥(ECC)两种算法,对称密码算法2支持国家密码管理委员会办公室指定的密码算法。公钥基础设施包含信任服务体系和密钥 管理体系。信任服务体系的主要职责是为整个系统提供基于 PKI 的公钥数字证书(PKC)认证机 制的实体身份鉴别服务,以便能在整个系统范围内唯一地确定实体的真实身份,从而建立 起全系统范围内一致的信任基准。密钥管理体系主要负责向系统提供密钥对的管理服务,同时向授权管理部门提供应急 情况下的特殊密钥恢复功能。2.2 PMIPMI 也是 NISI 的一个重要组成部分,目标是向用户和应用程序提供授权服务管理,主 要负责向应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能。PMI 以资源管理为核心,提供基于属性证书(AC)的授权和访问控制机制,将对资源 的访问控制权统一交由授权机构进行管理,即由资源的所有者来进行访问控制。同 PKI 相 比,两者的区别主要在于:PKI 证明用户是谁,而 PMI 证明这个用户有什么权限,能干什 么,而且 PMI 需要 PKI 为其提供身份认证服务。3 IP 宽带城域网安全应用解决方案宽带城域网安全应用解决方案3.1 IP 宽带城域网安全应用平台体系架构宽带城域网安全应用平台体系架构IP 宽带城域网安全应用平台是在传统 IP 宽带城域网框架之上,以基于 PKI/PMI 的网 络和信息安全技术为基础,以综合业务管理为核心,构建的一个完整统一的可控制、可管 理、可经营的 IP 宽带城域网。在逻辑上把整个 IP 宽带城域网安全应用平台由外到里分为三层,分别为接入认证层、 汇接层和核心层,如图 1 所示。接入认证层:完成对 IP 宽带用户及网络设备的接入认证,构成网络信任域(由通过 认证的用户和网络设备构成的一个网络区域) 。对非法的网络设备和 IP 宽带用户自动进行 阻断和限制,防止对系统的非法接入,保障网络系统的安全可信,是实现 IP 宽带城域网可 控制、可管理、可经营的基础。汇接层:一方面完成汇接各类业务流的功能;另一方面,通过部署 PKI、PMI 体系, 实现对用户身份的认证、信任授权和域内各网络元素的认证与管理,实现综合业务管理。 是实现 IP 宽带城域网可控制、可管理、可经营的关键。核心层:完成信息的高速传送与交换,实现与其它网络的互联互通。另外,在逻辑上又把 IP 宽带城域网安全应用平台体系架构分为两个平面,即 IP 宽带城域3网平面和智能化安全应 用管理平面,如图 2 所示。两平面不是简单的叠加,而是相辅相成,协调工作,有机地结合在一起,构成一个完 整统一的可控制、可管理、可经营的 IP 宽带城域网。图 1 三层体系架构图 2 两个平面IP 宽带城域网平面:主要由传统 IP 宽带城域网构成,提供 IP 宽带城域网用户的接 入、信息承载与交换服务功能,并完成与其他专网和 Internet 的互联,是 IP 宽带城域网安 全应用平台的基石。4智能化安全应用管理平面:采用基于 PKI 和 PMI 的智能化信任与授权技术,构 建一个可信任的网络环境,提供网络设备与用户安全可靠的接入、信息传输与交换、业务 管理服务功能,是 IP 宽带城域网安全应用平台的核心。3.2 安全应用及管理解决方案安全应用及管理解决方案通过应用基于国家信息安全基础设施研究中心具有自主知识产权的 PKI/PMI 平台 的智能化信任与授权技术,来构建 IP 宽带城域网的可信网络环境,采用数字证书的方式来 实现 IP 宽带城域网用户的认证与授权。主要思想是给用户颁发 PKC(包括用户个人信息,如序列号、IP 地址、MAC 地 址等信息)和 AC(包括用户的属性信息,如角色、访问控制权限等)。在 “一实体一证” 的基础上,由 PKC 的唯一性,准确地标识用户身份。由接入认证交换机端口的可控性和后 台的认证管理功能,可将证书与端口(也可以包括 IP 地址)建立灵活的对应关系,并由此 决定用户是否可以接入 IP 宽带城域网,同时对接入用户提供流量、时长、时段等的统计, 并根据 AC 对用户进行权限、时长、计费方式等属性管理。这样通过证书和端口的灵活绑 定,构建一个基于证书和端口的 IP 宽带城域网安全管理模式,类似于 PSTN 基于号线的管 理模式。另外,将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中,采 用 USB 接口。每个实体鉴别密码器还有一个 PIN 码保护,连续发生几次不成功的 PIN 输 入后,实体鉴别密码器会被自动锁定,使得对实体鉴别密码器进行词典攻击非常困难,这 样只有同时得到实体鉴别密码器和相应 PIN 码才能假扮合法用户,这种认证方式比目前单 纯的用户名加 PIN 码的方式具有更高的安全性,更能有效识别进入网络用户的合法身份, 防止假冒。在具体实现中,通过智能化安全应用管理平面来实施 IP 宽带城域网的安全应用及 管理,整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务 管理平台三部分。其中信任与授权服务支撑平台处于核心地位,该平台通过对实体的 PKC、AC 的 认证、授权、管理来建立一个统一的 IP 宽带城域网智能化信任与授权基础环境,为网络信 任域管理平台和综合业务应用管理平台提供可信的、安全的服务。网络信任域及管理平台对网络中的实体进行管理,确保只有可信的实体,即颁发 了有效数字证书的实体才能接入网络。综合业务管理直接面对用户,在智能化信任与授权服务平台提供的 IP 宽带用户证 书、设备证书及用户属性证书的基础上,对用户进行计费、业务管理。3.2.1 智能化信任与授权服务支撑平台智能化信任与授权服务支撑平台采用 PKI/PMI 体系构建信任与授权服务支撑平台,为 IP 宽带城域网提供信任服 务和授权服务。平台通过对实体的 PKC、AC 的认证、授权、管理来建立一个统一的智能5化信任与授权基础环境,确立了“一实体一证、统一发证、分布式逐级管理”的 IP 宽带城 域网运营管理模式。所谓“统一发证”是指:由第三方证书认证中心(CA)认证机构负责统一签发 IP 宽带城域网的用户、设备的 PKC;由信任与授权服务支撑平台提供 AC 的统一签发并实现 证书的统一管理,保证网络信任域管理服务。而“分布式逐级管理”是指:网络信任域按 实际的责任和管理范围来划分,每个城市或地区的 IP 宽带城域网系统也可以根据用户类型 划分基本信任域(如可区别普通家庭用户、大客户等) ,每个基本信任域都有自己的管理系 统负责本信任域的管理,网络信任域管理系统通过信任与授权服务支撑平台提供信任与授 权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管 理体系。(1)证书业务服务系统证书业务服务系统在密钥管理(KM)系统的基础上,通过 CA、证书审核注册中心 (RA)等提供数字证书的申请、审核服务。(2)证书查询验证服务系统证书查询验证服务系统为业务应用管理平台提供证书认证服务,包括目录查询服务和 证书在线状态查询服务。证书查询验证服务系统主要包括轻目录访问协议(LDAP)服务器 和在线证书状态协议(OCSP)服务器,提供包括各类证书发布、证书撤消列表(CRL)发 布和证书状态在线查询服务。(3)授权服务系统PMI 在证书业务服务系统基础上,为用户和应用程序提供授权管理和资源管理服 务,主要负责向应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映 射功能。(4)可信时间戳服务系统可信时间戳服务系统基于国家权威时间源和公钥技术,为安全业务应用管理系统 提供精确可信的时间戳,保证处理数据在某一时间的存在性及相关操作的相对时间顺序, 为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统从国家权威的时 间源获得全系统统一的时间,即从国家授时中心获取权威的时间。(5)基本安全防护系统基本安全防护系统由防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病 毒防治系统、Web 信息防篡改系统等组成,形成全方位、多角度的基本安全屏障。(6)故障恢复及容灾备份系统6故障恢复和容灾备份系统主要包括:本地系统关键设备的双机热备份和重要数据的冷 备份、异地建设容灾备份中心。3.2.2 网络信任域及管理平台网络信任域及管理平台对关键设备、重要终端及用户采用 “一实体一证书”的方式来构建网络信任域, 包括可信网络接入、安全网络通信及可信管理等服务。可信网络接入认证技术的实现以以太网接入方式为基础,采用 PKI 数字证书技术, 基于 IEEE 802.1x 标准,支持 X.509 证书,通过对接入者的证书进行身份认证,实现基于 端口的访问控制。网络安全通信基于 IP 加密网关来实现,它基于 IPSec 协议,利用 PKI 技术,为网 络信任域之间的信息交换提供安全可信通道。网络信任域管理系统主要负责对网络信任域内的用户进行数据及网络管理,实现 地图式用户端设备的位置管理、状态监控、远程参数配置管理,同时采集各类用户端接入 认证交换机上收集的 IP 业务处理数据,包括用户端口信息、IP 业务使用的数据流量及使用 时间信息等。3.2.3 综合业务管理平台综合业务管理平台综合业务管理平台直接面对用户,包括业务管理、客户管理、计费管理、网络资 源管理、系统安全管理、系统维护管理、新业务开发管理、知识管理等部分。综合业务管 理平台可抽象归纳为三层架构:数据层、业务处理层、应用层。数据层主要存放整个系统的对象数据,包括证书数据、设备数据、系统数据三大 类核心数据。业务处理层完成业务逻辑处理,其处理过程被封装在相互独立的系统功能模
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号