隨著網(wǎng)絡(luò)技術(shù)的發(fā)展演變�,IP寬帶城域網(wǎng)已成為寬帶網(wǎng)絡(luò)的發(fā)展方向�����,各種信息化應(yīng)用都將基于IP技術(shù)���。本文在分析目前IP寬帶城域網(wǎng)在安全應(yīng)用與管理方面存在問題的基礎(chǔ)上,首先簡單介紹了PKI/PMI����,然后闡述了如何應(yīng)用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng)的可信任環(huán)境,如何利用數(shù)字證書來實現(xiàn)基于證書和端口的IP寬帶城域網(wǎng)安全應(yīng)用與管理模式��,該模式類似于PSTN中基于號線的應(yīng)用與管理模式�����,從而構(gòu)建一個“可控制��、可管理��、可經(jīng)營”的電信級IP寬帶城域網(wǎng)��,為各種信息化應(yīng)用提供一個安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺����。
1 引言
網(wǎng)絡(luò)與信息安全能力是21世紀(jì)綜合國力��、經(jīng)濟(jì)競爭實力和生存力的象征�����,是未來國際競爭的“殺手锏”��。當(dāng)前���,中國正在加快國民經(jīng)濟(jì)和社會信息化進(jìn)程,急需要一個安全可信的電信基礎(chǔ)網(wǎng)絡(luò)平臺�,為各種信息化應(yīng)用提供基礎(chǔ)安全保障。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和演變����,IP寬帶城域網(wǎng)已成為寬帶網(wǎng)的發(fā)展方向,各種信息化應(yīng)用都將基于IP技術(shù)���。但是���,目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在許多問題,如:不能有效識別進(jìn)入網(wǎng)絡(luò)用戶的合法身份;不能對用戶的個人信息實現(xiàn)有效保護(hù);不能有效地解決抗抵賴性問題等�。
這些問題的存在一方面導(dǎo)致了IP寬帶城域網(wǎng)的可控制、可管理���、可經(jīng)營性較差;另一方面直接影響到國家的信息安全��,關(guān)系到國家的安危����。
導(dǎo)致這些問題的原因主要是由于目前IP寬帶城域網(wǎng)采用的“用戶名+密碼”的認(rèn)證方式只能實現(xiàn)初級的���、簡單的管理��,安全性很不夠(如易于盜用���、合用);用戶名與接入線路沒有固定的對應(yīng)關(guān)系,使得用戶接入難以定位��,用戶權(quán)限難以管理等��。
因此����,要有效解決目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在的問題,首先要解決用戶身份認(rèn)證����、用戶的授權(quán)管理和用戶定位等問題�,建立起可信賴的網(wǎng)絡(luò)環(huán)境����。
近年來,信息安全技術(shù)受到廣泛關(guān)注���,并得到了長足發(fā)展�,特別是基于公鑰基礎(chǔ)設(shè)施(PKI)和授權(quán)管理基礎(chǔ)設(shè)施(PMI)的智能化信任與授權(quán)技術(shù)有了突破性進(jìn)展���,已大規(guī)模應(yīng)用于電子政務(wù)�、電子商務(wù)系統(tǒng)中����。
因此,本文將探討如何采用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng)的可信任環(huán)境����,如何將數(shù)字證書的認(rèn)證、管理等信息安全技術(shù)應(yīng)用于IP寬帶城域網(wǎng)的運營管理中�����,從而構(gòu)建一個“可控制���、可管理��、可經(jīng)營”的電信級IP寬帶城域網(wǎng)��,為各種信息化應(yīng)用提供一個安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺��。
這是一個全新的思路�、全新的嘗試,具有比其他IP城域網(wǎng)的管理方法更高的安全性和靈活性���。
2 PKI/PMI概述
2.1 PKI
PKI是國家信息安全基礎(chǔ)設(shè)施(NISI)的重要組成部分,它以公開密鑰技術(shù)為基礎(chǔ)���,以數(shù)據(jù)機密性��、完整性�、網(wǎng)上身份認(rèn)證和行為的不可抵賴為安全目的�,為網(wǎng)絡(luò)應(yīng)用(如瀏覽器、電子郵件)提供可靠的安全服務(wù)�。在國家信息安全基礎(chǔ)設(shè)施中,PKI采用雙密鑰證書體系����,其中非對稱算法支持RSA和橢圓曲線公開密鑰(ECC)兩種算法��,對稱密碼算法支持國家密碼管理委員會辦公室指定的密碼算法�����。公鑰基礎(chǔ)設(shè)施包含信任服務(wù)體系和密鑰管理體系���。
信任服務(wù)體系的主要職責(zé)是為整個系統(tǒng)提供基于PKI的公鑰數(shù)字證書(PKC)認(rèn)證機制的實體身份鑒別服務(wù),以便能在整個系統(tǒng)范圍內(nèi)唯一地確定實體的真實身份�����,從而建立起全系統(tǒng)范圍內(nèi)一致的信任基準(zhǔn)�。
密鑰管理體系主要負(fù)責(zé)向系統(tǒng)提供密鑰對的管理服務(wù),同時向授權(quán)管理部門提供應(yīng)急情況下的特殊密鑰恢復(fù)功能�。
2.2 PMI
PMI也是NISI的一個重要組成部分,目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)服務(wù)管理�,主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身份到應(yīng)用授權(quán)的映射功能����。
PMI以資源管理為核心,提供基于屬性證書(AC)的授權(quán)和訪問控制機制�,將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)進(jìn)行管理,即由資源的所有者來進(jìn)行訪問控制。同PKI相比�,兩者的區(qū)別主要在于:PKI證明用戶是誰,而PMI證明這個用戶有什么權(quán)限���,能干什么�,而且PMI需要PKI為其提供身份認(rèn)證服務(wù)���。
3 IP寬帶城域網(wǎng)安全應(yīng)用解決方案
3.1 IP寬帶城域網(wǎng)安全應(yīng)用平臺體系架構(gòu)
IP寬帶城域網(wǎng)安全應(yīng)用平臺是在傳統(tǒng)IP寬帶城域網(wǎng)框架之上���,以基于PKI/PMI的網(wǎng)絡(luò)和信息安全技術(shù)為基礎(chǔ),以綜合業(yè)務(wù)管理為核心�,構(gòu)建的一個完整統(tǒng)一的可控制、可管理���、可經(jīng)營的IP寬帶城域網(wǎng)。
在邏輯上把整個IP寬帶城域網(wǎng)安全應(yīng)用平臺由外到里分為三層�,分別為接入認(rèn)證層、匯接層和核心層�,如圖1所示。
·接入認(rèn)證層:完成對IP寬帶用戶及網(wǎng)絡(luò)設(shè)備的接入認(rèn)證�,構(gòu)成網(wǎng)絡(luò)信任域(由通過認(rèn)證的用戶和網(wǎng)絡(luò)設(shè)備構(gòu)成的一個網(wǎng)絡(luò)區(qū)域)。對非法的網(wǎng)絡(luò)設(shè)備和IP寬帶用戶自動進(jìn)行阻斷和限制��,防止對系統(tǒng)的非法接入��,保障網(wǎng)絡(luò)系統(tǒng)的安全可信,是實現(xiàn)IP寬帶城域網(wǎng)可控制��、可管理�、可經(jīng)營的基礎(chǔ)。
·匯接層:一方面完成匯接各類業(yè)務(wù)流的功能;另一方面�,通過部署PKI、PMI體系�,實現(xiàn)對用戶身份的認(rèn)證、信任授權(quán)和域內(nèi)各網(wǎng)絡(luò)元素的認(rèn)證與管理�����,實現(xiàn)綜合業(yè)務(wù)管理����。是實現(xiàn)IP寬帶城域網(wǎng)可控制、可管理��、可經(jīng)營的關(guān)鍵��。
·核心層:完成信息的高速傳送與交換��,實現(xiàn)與其它網(wǎng)絡(luò)的互聯(lián)互通���。
另外���,在邏輯上又把IP寬帶城域網(wǎng)安全應(yīng)用平臺體系架構(gòu)分為兩個平面��,即IP寬帶城域網(wǎng)平面和智能化安全應(yīng)用管理平面����,如圖2所示��。
兩平面不是簡單的疊加�,而是相輔相成,協(xié)調(diào)工作�����,有機地結(jié)合在一起�����,構(gòu)成一個完整統(tǒng)一的可控制����、可管理�、可經(jīng)營的IP寬帶城域網(wǎng)。
圖1 三層體系架構(gòu)
圖2 兩個平面
·IP寬帶城域網(wǎng)平面:主要由傳統(tǒng)IP寬帶城域網(wǎng)構(gòu)成�����,提供IP寬帶城域網(wǎng)用戶的接入�����、信息承載與交換服務(wù)功能����,并完成與其他專網(wǎng)和Internet的互聯(lián),是IP寬帶城域網(wǎng)安全應(yīng)用平臺的基石���。
·智能化安全應(yīng)用管理平面:采用基于PKI和PMI的智能化信任與授權(quán)技術(shù)�����,構(gòu)建一個可信任的網(wǎng)絡(luò)環(huán)境�,提供網(wǎng)絡(luò)設(shè)備與用戶安全可靠的接入���、信息傳輸與交換����、業(yè)務(wù)管理服務(wù)功能,是IP寬帶城域網(wǎng)安全應(yīng)用平臺的核心����。
3.2 安全應(yīng)用及管理解決方案
通過應(yīng)用基于國家信息安全基礎(chǔ)設(shè)施研究中心具有自主知識產(chǎn)權(quán)的PKI/PMI平臺的智能化信任與授權(quán)技術(shù),來構(gòu)建IP寬帶城域網(wǎng)的可信網(wǎng)絡(luò)環(huán)境��,采用數(shù)字證書的方式來實現(xiàn)IP寬帶城域網(wǎng)用戶的認(rèn)證與授權(quán)���。
主要思想是給用戶頒發(fā)PKC(包括用戶個人信息�����,如序列號���、IP地址、MAC地址等信息)和AC(包括用戶的屬性信息�,如角色、訪問控制權(quán)限等)����。在“一實體一證”的基礎(chǔ)上,由PKC的唯一性����,準(zhǔn)確地標(biāo)識用戶身份。由接入認(rèn)證交換機端口的可控性和后臺的認(rèn)證管理功能����,可將證書與端口(也可以包括IP地址)建立靈活的對應(yīng)關(guān)系,并由此決定用戶是否可以接入IP寬帶城域網(wǎng)�����,同時對接入用戶提供流量���、時長�����、時段等的統(tǒng)計�����,并根據(jù)AC對用戶進(jìn)行權(quán)限�����、時長�、計費方式等屬性管理�����。這樣通過證書和端口的靈活綁定,構(gòu)建一個基于證書和端口的IP寬帶城域網(wǎng)安全管理模式�,類似于PSTN基于號線的管理模式。
另外����,將公鑰數(shù)字證書內(nèi)嵌在一個實體鑒別密碼器(數(shù)字證書的物質(zhì)載體)中,采用USB接口��。每個實體鑒別密碼器還有一個PIN碼保護(hù)�����,連續(xù)發(fā)生幾次不成功的PIN輸入后�,實體鑒別密碼器會被自動鎖定,使得對實體鑒別密碼器進(jìn)行詞典攻擊非常困難��,這樣只有同時得到實體鑒別密碼器和相應(yīng)PIN碼才能假扮合法用戶�����,這種認(rèn)證方式比目前單純的用戶名加PIN碼的方式具有更高的安全性���,更能有效識別進(jìn)入網(wǎng)絡(luò)用戶的合法身份���,防止假冒。
在具體實現(xiàn)中�,通過智能化安全應(yīng)用管理平面來實施IP寬帶城域網(wǎng)的安全應(yīng)用及管理,整個平面包括智能化信任與授權(quán)服務(wù)支撐平臺���、網(wǎng)絡(luò)信任域及管理平臺和綜合業(yè)務(wù)管理平臺三部分����。
其中信任與授權(quán)服務(wù)支撐平臺處于核心地位��,該平臺通過對實體的PKC�、AC的認(rèn)證、授權(quán)�、管理來建立一個統(tǒng)一的IP寬帶城域網(wǎng)智能化信任與授權(quán)基礎(chǔ)環(huán)境,為網(wǎng)絡(luò)信任域管理平臺和綜合業(yè)務(wù)應(yīng)用管理平臺提供可信的�����、安全的服務(wù)�。
網(wǎng)絡(luò)信任域及管理平臺對網(wǎng)絡(luò)中的實體進(jìn)行管理,確保只有可信的實體����,即頒發(fā)了有效數(shù)字證書的實體才能接入網(wǎng)絡(luò)�。
綜合業(yè)務(wù)管理直接面對用戶����,在智能化信任與授權(quán)服務(wù)平臺提供的IP寬帶用戶證書、設(shè)備證書及用戶屬性證書的基礎(chǔ)上�,對用戶進(jìn)行計費、業(yè)務(wù)管理�。
3.2.1 智能化信任與授權(quán)服務(wù)支撐平臺
采用PKI/PMI體系構(gòu)建信任與授權(quán)服務(wù)支撐平臺,為IP寬帶城域網(wǎng)提供信任服務(wù)和授權(quán)服務(wù)�����。平臺通過對實體的PKC���、AC的認(rèn)證�、授權(quán)����、管理來建立一個統(tǒng)一的智能化信任與授權(quán)基礎(chǔ)環(huán)境,確立了“一實體一證���、統(tǒng)一發(fā)證�����、分布式逐級管理”的IP寬帶城域網(wǎng)運營管理模式��。
所謂“統(tǒng)一發(fā)證”是指:由第三方證書認(rèn)證中心(CA)認(rèn)證機構(gòu)負(fù)責(zé)統(tǒng)一簽發(fā)IP寬帶城域網(wǎng)的用戶����、設(shè)備的PKC;由信任與授權(quán)服務(wù)支撐平臺提供AC的統(tǒng)一簽發(fā)并實現(xiàn)證書的統(tǒng)一管理�,保證網(wǎng)絡(luò)信任域管理服務(wù)。而“分布式逐級管理”是指:網(wǎng)絡(luò)信任域按實際的責(zé)任和管理范圍來劃分�,每個城市或地區(qū)的IP寬帶城域網(wǎng)系統(tǒng)也可以根據(jù)用戶類型劃分基本信任域(如可區(qū)別普通家庭用戶、大客戶等)��,每個基本信任域都有自己的管理系統(tǒng)負(fù)責(zé)本信任域的管理�����,網(wǎng)絡(luò)信任域管理系統(tǒng)通過信任與授權(quán)服務(wù)支撐平臺提供信任與授權(quán)服務(wù)的支持�。以此模式構(gòu)筑了一個責(zé)任明確、管理方便����、覆蓋全系統(tǒng)的網(wǎng)絡(luò)信任域及管理體系。
(1)證書業(yè)務(wù)服務(wù)系統(tǒng)
證書業(yè)務(wù)服務(wù)系統(tǒng)在密鑰管理(KM)系統(tǒng)的基礎(chǔ)上���,通過CA�����、證書審核注冊中心(RA)等提供數(shù)字證書的申請���、審核服務(wù)��。
(2)證書查詢驗證服務(wù)系統(tǒng)
證書查詢驗證服務(wù)系統(tǒng)為業(yè)務(wù)應(yīng)用管理平臺提供證書認(rèn)證服務(wù)�,包括目錄查詢服務(wù)和證書在線狀態(tài)查詢服務(wù)�����。證書查詢驗證服務(wù)系統(tǒng)主要包括輕目錄訪問協(xié)議(LDAP)服務(wù)器和在線證書狀態(tài)協(xié)議(OCSP)服務(wù)器��,提供包括各類證書發(fā)布����、證書撤消列表(CRL)發(fā)布和證書狀態(tài)在線查詢服務(wù)。
(3)授權(quán)服務(wù)系統(tǒng)
PMI在證書業(yè)務(wù)服務(wù)系統(tǒng)基礎(chǔ)上����,為用戶和應(yīng)用程序提供授權(quán)管理和資源管理服務(wù),主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理����,提供用戶身份到應(yīng)用授權(quán)的映射功能�����。
(4)可信時間戳服務(wù)系統(tǒng)
可信時間戳服務(wù)系統(tǒng)基于國家權(quán)威時間源和公鑰技術(shù)����,為安全業(yè)務(wù)應(yīng)用管理系統(tǒng)提供精確可信的時間戳��,保證處理數(shù)據(jù)在某一時間的存在性及相關(guān)操作的相對時間順序�,為業(yè)務(wù)處理的不可抵賴性和可審計性提供有效支持����。可信時間戳服務(wù)系統(tǒng)從國家權(quán)威的時間源獲得全系統(tǒng)統(tǒng)一的時間��,即從國家授時中心獲取權(quán)威的時間����。
(5)基本安全防護(hù)系統(tǒng)
基本安全防護(hù)系統(tǒng)由防火墻、入侵檢測系統(tǒng)�、漏洞掃描系統(tǒng)、安全審計系統(tǒng)�����、病毒防治系統(tǒng)、Web信息防篡改系統(tǒng)等組成�,形成全方位、多角度的基本安全屏障�����。
(6)故障恢復(fù)及容災(zāi)備份系統(tǒng)
故障恢復(fù)和容災(zāi)備份系統(tǒng)主要包括:本地系統(tǒng)關(guān)鍵設(shè)備的雙機熱備份和重要數(shù)據(jù)的冷備份�、異地建設(shè)容災(zāi)備份中心。
3.2.2 網(wǎng)絡(luò)信任域及管理平臺
對關(guān)鍵設(shè)備����、重要終端及用戶采用 “一實體一證書”的方式來構(gòu)建網(wǎng)絡(luò)信任域,包括可信網(wǎng)絡(luò)接入�����、安全網(wǎng)絡(luò)通信及可信管理等服務(wù)��。
可信網(wǎng)絡(luò)接入認(rèn)證技術(shù)的實現(xiàn)以以太網(wǎng)接入方式為基礎(chǔ)����,采用PKI數(shù)字證書技術(shù),基于IEEE802.1x標(biāo)準(zhǔn)�����,支持X.509證書,通過對接入者的證書進(jìn)行身份認(rèn)證���,實現(xiàn)基于端口的訪問控制��。
網(wǎng)絡(luò)安全通信基于IP加密網(wǎng)關(guān)來實現(xiàn)���,它基于IPSec協(xié)議,利用PKI技術(shù)����,為網(wǎng)絡(luò)信任域之間的信息交換提供安全可信通道。
網(wǎng)絡(luò)信任域管理系統(tǒng)主要負(fù)責(zé)對網(wǎng)絡(luò)信任域內(nèi)的用戶進(jìn)行數(shù)據(jù)及網(wǎng)絡(luò)管理����,實現(xiàn)地圖式用戶端設(shè)備的位置管理�����、狀態(tài)監(jiān)控����、遠(yuǎn)程參數(shù)配置管理�����,同時采集各類用戶端接入認(rèn)證交換機上收集的IP業(yè)務(wù)處理數(shù)據(jù)����,包括用戶端口信息��、IP業(yè)務(wù)使用的數(shù)據(jù)流量及使用時間信息等����。
3.2.3 綜合業(yè)務(wù)管理平臺
綜合業(yè)務(wù)管理平臺直接面對用戶,包括業(yè)務(wù)管理��、客戶管理���、計費管理�、網(wǎng)絡(luò)資源管理�、系統(tǒng)安全管理、系統(tǒng)維護(hù)管理�����、新業(yè)務(wù)開發(fā)管理�、知識管理等部分��。綜合業(yè)務(wù)管理平臺可抽象歸納為三層架構(gòu):數(shù)據(jù)層����、業(yè)務(wù)處理層��、應(yīng)用層��。
數(shù)據(jù)層主要存放整個系統(tǒng)的對象數(shù)據(jù)����,包括證書數(shù)據(jù)、設(shè)備數(shù)據(jù)����、系統(tǒng)數(shù)據(jù)三大類核心數(shù)據(jù)。
業(yè)務(wù)處理層完成業(yè)務(wù)邏輯處理���,其處理過程被封裝在相互獨立的系統(tǒng)功能模塊中��,并由調(diào)度功能模塊統(tǒng)一進(jìn)行各業(yè)務(wù)系統(tǒng)功能模塊間的相互調(diào)用。
應(yīng)用層是面向客戶的窗口��,為多種多樣的IP寬帶應(yīng)用增值業(yè)務(wù)提供與用戶的接口����,并在業(yè)務(wù)處理層最終實現(xiàn)對各類業(yè)務(wù)的處理���,而后臺數(shù)據(jù)層為業(yè)務(wù)處理層提供相應(yīng)的系統(tǒng)數(shù)據(jù)服務(wù)。
3.3 用戶上下線流程
在該方案中�����,一個用戶在享受寬帶服務(wù)前�,必須憑有效證件到運營商業(yè)務(wù)受理處申請辦理數(shù)字證書,數(shù)字證書申請成功后����,由營業(yè)員派發(fā)用戶一個實體密碼鑒別器及一個IP地址,同時得到一個密碼信封���,內(nèi)含實體密碼鑒別器的序列號和密碼���,這樣用戶業(yè)務(wù)申請成功。然后��,用戶在需上網(wǎng)的PC上安裝登錄程序��,并配置分配的IP地址���,這樣就做好了上網(wǎng)的準(zhǔn)備工作����。需要上網(wǎng)時,用戶插上實體密碼鑒別器�,啟動登錄程序,輸入實體密碼鑒別器的序列號和密碼�����,然后由接入認(rèn)證交換機和信任與授權(quán)服務(wù)支撐平臺對用戶進(jìn)行基于數(shù)字證書的認(rèn)證��,認(rèn)證通過后用戶就可以享受寬帶服務(wù);未通過�����,則禁止用戶接入�。用戶正常上網(wǎng)期間,由接入認(rèn)證交換機定期向?qū)嶓w密碼鑒別器發(fā)送證書請求����,并對實體密碼鑒別器上傳的證書做驗證,確保用戶上網(wǎng)的合法性�。
當(dāng)用戶正常下線時�����,首先由登錄程序向接入認(rèn)證交換機發(fā)送下線請求,接入認(rèn)證交換機收到下線請求之后�,向用戶發(fā)送響應(yīng)結(jié)果,并且向信任與授權(quán)服務(wù)支撐平臺發(fā)送下線包和封閉端口���。當(dāng)用戶非正常下線時(如用戶直接拔掉實體密碼鑒別器���、關(guān)機或者拔掉網(wǎng)線等),接入認(rèn)證交換機會主動探測到該事件(由于接入認(rèn)證交換機會定期向?qū)嶓w密碼鑒別器發(fā)送證書請求)����,然后向信任與授權(quán)服務(wù)支撐平臺發(fā)送下線包和封閉端口,但是不向用戶發(fā)送響應(yīng)結(jié)果���。
4 結(jié)束語
該項目以深圳電信IP城域網(wǎng)為基礎(chǔ)����,進(jìn)行了一定規(guī)模的試驗�,并于2003年3月20日通過國家科技部組織的專家組驗收。
值得指出的是�,采用本項目中的身份證書和屬性證書,可以方便地對用戶身份進(jìn)行安全認(rèn)證,將用戶使用增值業(yè)務(wù)的情況記錄在屬性證書上����,從而解決信息化應(yīng)用的安全、計費等問題��,如身份鑒別���,預(yù)付費等�,為增值服務(wù)的開展創(chuàng)造良好的條件��。
