基于pkipmi的ip寬帶城域網(wǎng)安全應(yīng)用解決方案

1、基于pkipmi的ip寬帶城域網(wǎng)安 全應(yīng)用解決方案基于PKI/PMI的IP寬帶城域網(wǎng)安全應(yīng)用解決方案1引言網(wǎng)絡(luò)與信息安全能力是21世紀綜合國力、 經(jīng)濟競爭實力和生存力的象征，是未來國際競爭 的“殺手銅”。當前，中國正在加快國民經(jīng)濟和 社會信息化進程，急需要一個安全可信的電信基 礎(chǔ)網(wǎng)絡(luò)平臺，為各種信息化應(yīng)用提供基礎(chǔ)安全保 障。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和演變，IP寬帶城域 網(wǎng)已成為寬帶網(wǎng)的發(fā)展方向，各種信息化應(yīng)用都 將基于IP技術(shù)。但是，目前IP寬帶城域網(wǎng)在管 理和安全應(yīng)用方面存在許多問題， 如：不能有效 識別進入網(wǎng)絡(luò)用戶的合法身份；不能對用戶的個 人信息實現(xiàn)有效保護；不能有效地解決抗抵賴性 問題等。這

2、些問題的存在一方面導(dǎo)致了 IP寬帶城域網(wǎng)的 可控制、可管理、可經(jīng)營性較差；另一方面直接 影響到國家的信息安全，關(guān)系到國家的安危。導(dǎo)致這些問題的原因主要是由于目前 IP寬 帶城域網(wǎng)采用的“用戶名+密碼”的認證方式只 能實現(xiàn)初級的、簡單的管理，安全性很不夠（如 易于盜用、合用）；用戶名與接入線路沒有固定 的對應(yīng)關(guān)系，使得用戶接入難以定位，用戶權(quán)限 難以管理等。因此，要有效解決目前IP寬帶城域網(wǎng)在管 理和安全應(yīng)用方面存在的問題，首先要解決用戶 身份認證、用戶的授權(quán)管理和用戶定位等問題， 建立起可信賴的網(wǎng)絡(luò)環(huán)境。近年來，信息安全技術(shù)受到廣泛關(guān)注，并得 到了長足發(fā)展，特別是基于公鑰基礎(chǔ)設(shè)施（PKI） 和

3、授權(quán)管理基礎(chǔ)設(shè)施（PMI）的智能化信任與授 權(quán)技術(shù)有了突破性進展，已大規(guī)模應(yīng)用于電子政 務(wù)、電子商務(wù)系統(tǒng)中。因此，本文將探討如何采用基于 PKI/PMI 的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng) 的可信任環(huán)境，如何將數(shù)字證書的認證、管理等 信息安全技術(shù)應(yīng)用于IP寬帶城域網(wǎng)的運營管理 中，從而構(gòu)建一個“可控制、可管理、可經(jīng)營” 的電信級IP寬帶城域網(wǎng)，為各種信息化應(yīng)用提 供一個安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺。這是一個全新的思路、全新的嘗試，具有比 其他IP城域網(wǎng)的管理方法更高的安全性和靈活 性。2 PKI/PMI 概述2.1 PKIPKI是國家信息安全基礎(chǔ)設(shè)施（NISI）的重 要組成部分，它以公開

4、密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù) 機密性、完整性、網(wǎng)上身份認證和行為的不可抵 賴為安全目的，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵 件）提供可靠的安全服務(wù)。在國家信息安全基礎(chǔ) 設(shè)施中，PKI采用雙密鑰證書體系，其中非對稱 算法支持RSA和橢圓曲線公開密鑰（ECC）兩 種算法，對稱密碼算法支持國家密碼管理委員會 辦公室指定的密碼算法。公鑰基礎(chǔ)設(shè)施包含信任服務(wù)體系和密鑰管理體系信任服務(wù)體系的主要職責(zé)是為整個系統(tǒng)提 供基于PKI的公鑰數(shù)字證書（PKC）認證機制 的實體身份鑒別服務(wù)，以便能在整個系統(tǒng)范圍內(nèi) 唯一地確定實體的真實身份，從而建立起全系統(tǒng) 范圍內(nèi)一致的信任基準。密鑰管理體系主要負責(zé)向系統(tǒng)提供密鑰對 的管理服務(wù)，

5、同時向授權(quán)管理部門提供應(yīng)急情況 下的特殊密鑰恢復(fù)功能。2.2 PMIPMI也是NISI的一個重要組成部分，目標 是向用戶和應(yīng)用程序提供授權(quán)服務(wù)管理，主要負 責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理， 提供用戶身份到應(yīng)用授權(quán)的映射功能。PMI以資源管理為核心，提供基于屬性證 書（AC）的授權(quán)和訪問控制機制，將對資源的 訪問控制權(quán)統(tǒng)一交由授權(quán)機構(gòu)進行管理，即由資 源的所有者來進行訪問控制。同 PKI相比，兩 者的區(qū)別主要在于：PKI證明用戶是誰，而PMI 證明這個用戶有什么權(quán)限，能干什么，而且PMI 需要PKI為其提供身份認證服務(wù)。3 IP寬帶城域網(wǎng)安全應(yīng)用解決方案3.1 IP寬帶城域網(wǎng)安全應(yīng)用平

6、臺體系架構(gòu)IP寬帶城域網(wǎng)安全應(yīng)用平臺是在傳統(tǒng)IP寬 帶城域網(wǎng)框架之上，以基于 PKI/PMI的網(wǎng)絡(luò)和 信息安全技術(shù)為基礎(chǔ)，以綜合業(yè)務(wù)管理為核心， 構(gòu)建的一個完整統(tǒng)一的可控制、可管理、可經(jīng)營 的IP寬帶城域網(wǎng)。在邏輯上把整個IP寬帶城域網(wǎng)安全應(yīng)用平 臺由外到里分為三層，分別為接入認證層、匯接 層和核心層，如圖1所示。 接入認證層：完成對IP寬帶用戶及網(wǎng)絡(luò) 設(shè)備的接入認證，構(gòu)成網(wǎng)絡(luò)信任域（由通過認證 的用戶和網(wǎng)絡(luò)設(shè)備構(gòu)成的一個網(wǎng)絡(luò)區(qū)域）。對非 法的網(wǎng)絡(luò)設(shè)備和IP寬帶用戶自動進行阻斷和限 制，防止對系統(tǒng)的非法接入，保障網(wǎng)絡(luò)系統(tǒng)的安 全可信，是實現(xiàn)IP寬帶城域網(wǎng)可控制、可管理、 可經(jīng)營的基礎(chǔ)。 匯接層

7、：一方面完成匯接各類業(yè)務(wù)流的功 能；另一方面，通過部署 PKI、PMI體系，實 現(xiàn)對用戶身份的認證、信任授權(quán)和域內(nèi)各網(wǎng)絡(luò)元 素的認證與管理，實現(xiàn)綜合業(yè)務(wù)管理。是實現(xiàn)IP 寬帶城域網(wǎng)可控制、可管理、可經(jīng)營的關(guān)鍵。 核心層：完成信息的高速傳送與交換，實 現(xiàn)與其它網(wǎng)絡(luò)的互聯(lián)互通。另外，在邏輯上又把IP寬帶城域網(wǎng)安全應(yīng)用平 臺體系架構(gòu)分為兩個平面，即IP寬帶城域網(wǎng)平 面和智能化安全應(yīng)用管理平面，如圖2所兩平面不是簡單的疊加，而是相輔相成，協(xié)調(diào) 工作，有機地結(jié)合在一起，構(gòu)成一個完整統(tǒng)一的 可控制、可管理、可經(jīng)營的IP寬帶城域網(wǎng)。InLemel療分業(yè)4管理據(jù)人認證層事心蛻（由0情心即山M路由希曲由出攆人就

8、證 交換機髀能化安便應(yīng)用管網(wǎng)平臺接入譏前 交惟機阿塔信悵域 及管理智能化借任與 授柯加芬舊戶終涮用戶伴那用戶算成口門空冏國I -.星昨系梁的圖1三層體系架構(gòu)圖2兩個平面IP寬帶城域網(wǎng)平面：主要由傳統(tǒng)IP寬帶城 域網(wǎng)構(gòu)成，提供IP寬帶城域網(wǎng)用戶的接入、信 息承載與交換服務(wù)功能，并完成與其他專網(wǎng)和 Internet的互聯(lián)，是IP寬帶城域網(wǎng)安全應(yīng)用平 臺的基石。智能化安全應(yīng)用管理平面：采用基于 PKI和PMI的智能化信任與授權(quán)技術(shù)，構(gòu)建一 個可信任的網(wǎng)絡(luò)環(huán)境，提供網(wǎng)絡(luò)設(shè)備與用戶安全 可靠的接入、信息傳輸與交換、業(yè)務(wù)管理服務(wù)功 能，是IP寬帶城域網(wǎng)安全應(yīng)用平臺的核心。3.2 安全應(yīng)用及管理解決方案通過

9、應(yīng)用基于國家信息安全基礎(chǔ)設(shè)施研 究中心具有自主知識產(chǎn)權(quán)的 PKI/PMI平臺的智 能化信任與授權(quán)技術(shù)，來構(gòu)建IP寬帶城域網(wǎng)的 可信網(wǎng)絡(luò)環(huán)境，采用數(shù)字證書的方式來實現(xiàn)IP寬帶城域網(wǎng)用戶的認證與授權(quán)。主要思想是給用戶頒發(fā) PKC （包括用戶 個人信息，如序列號、IP地址、MAC地址等信 息）和AC （包括用戶的屬性信息，如角色、訪問 控制權(quán)限等）。在“一實體一證”的基礎(chǔ)上，由 PKC的唯一性，準確地標識用戶身份。由接入 認證交換機端口的可控性和后臺的認證管理功 能，可將證書與端口（也可以包括 IP地址）建 立靈活的對應(yīng)關(guān)系，并由此決定用戶是否可以接 入IP寬帶城域網(wǎng)，同時對接入用戶提供流量、 時長

10、、時段等的統(tǒng)計，并根據(jù)AC對用戶進行權(quán) 限、時長、計費方式等屬性管理。這樣通過證書 和端口的靈活綁定，構(gòu)建一個基于證書和端口的 IP寬帶城域網(wǎng)安全管理模式，類似于 PSTN基 于號線的管理模式。另外，將公鑰數(shù)字證書內(nèi)嵌在一個實體鑒 別密碼器（數(shù)字證書的物質(zhì)載體）中，采用USB接 口。每個實體鑒別密碼器還有一個 PIN碼保護， 連續(xù)發(fā)生幾次不成功的 PIN輸入后，實體鑒別 密碼器會被自動鎖定，使得對實體鑒別密碼器進 行詞典攻擊非常困難，這樣只有同時得到實體鑒 別密碼器和相應(yīng)PIN碼才能假扮合法用戶，這 種認證方式比目前單純的用戶名加 PIN碼的方 式具有更高的安全性，更能有效識別進入網(wǎng)絡(luò)用戶的合

11、法身份，防止假冒在具體實現(xiàn)中，通過智能化安全應(yīng)用管理 平面來實施IP寬帶城域網(wǎng)的安全應(yīng)用及管理， 整個平面包括智能化信任與授權(quán)服務(wù)支撐平臺、 網(wǎng)絡(luò)信任域及管理平臺和綜合業(yè)務(wù)管理平臺三 部分。其中信任與授權(quán)服務(wù)支撐平臺處于核心 地位，該平臺通過對實體的 PKC、AC的認證、 授權(quán)、管理來建立一個統(tǒng)一的IP寬帶城域網(wǎng)智 能化信任與授權(quán)基礎(chǔ)環(huán)境，為網(wǎng)絡(luò)信任域管理平 臺和綜合業(yè)務(wù)應(yīng)用管理平臺提供可信的、安全的 服務(wù)。網(wǎng)絡(luò)信任域及管理平臺對網(wǎng)絡(luò)中的實體 進行管理，確保只有可信的實體，即頒發(fā)了有效 數(shù)字證書的實體才能接入網(wǎng)絡(luò)。綜合業(yè)務(wù)管理直接面對用戶，在智能化信 任與授權(quán)服務(wù)平臺提供的IP寬帶用戶證書、設(shè)

12、 備證書及用戶屬性證書的基礎(chǔ)上，對用戶進行計費、業(yè)務(wù)管理3.2.1 智能化信任與授權(quán)服務(wù)支撐平臺采用PKI/PMI體系構(gòu)建信任與授權(quán)服務(wù) 支撐平臺，為IP寬帶城域網(wǎng)提供信任服務(wù)和授 權(quán)服務(wù)。平臺通過對實體的 PKC、AC的認證、 授權(quán)、管理來建立一個統(tǒng)一的智能化信任與授權(quán) 基礎(chǔ)環(huán)境，確立了 "一實體一證、統(tǒng)一發(fā)證、分 布式逐級管理”的IP寬帶城域網(wǎng)運營管理模式。所謂“統(tǒng)一發(fā)證”是指：由第三方證書認 證中心（CA）認證機構(gòu)負責(zé)統(tǒng)一簽發(fā)IP寬帶城 域網(wǎng)的用戶、設(shè)備的 PKC;由信任與授權(quán)服務(wù) 支撐平臺提供AC的統(tǒng)一簽發(fā)并實現(xiàn)證書的統(tǒng) 一管理，保證網(wǎng)絡(luò)信任域管理服務(wù)。而“分布式 逐級管理”

13、是指：網(wǎng)絡(luò)信任域按實際的責(zé)任和管 理范圍來劃分，每個城市或地區(qū)的IP寬帶城域 網(wǎng)系統(tǒng)也可以根據(jù)用戶類型劃分基本信任域 （如 可區(qū)別普通家庭用戶、大客戶等），每個基本信 任域都有自己的管理系統(tǒng)負責(zé)本信任域的管理， 網(wǎng)絡(luò)信任域管理系統(tǒng)通過信任與授權(quán)服務(wù)支撐平臺提供信任與授權(quán)服務(wù)的支持。以此模式構(gòu)筑 了一個責(zé)任明確、管理方便、覆蓋全系統(tǒng)的網(wǎng)絡(luò) 信任域及管理體系。（1）證書業(yè)務(wù)服務(wù)系統(tǒng)證書業(yè)務(wù)服務(wù)系統(tǒng)在密鑰管理（KM ）系統(tǒng)的 基礎(chǔ)上，通過CA、證書審核注冊中心（RA）等 提供數(shù)字證書的申請、審核服務(wù)。（2）證書查詢驗證服務(wù)系統(tǒng)證書查詢驗證服務(wù)系統(tǒng)為業(yè)務(wù)應(yīng)用管理平臺 提供證書認證服務(wù)，包括目錄查詢服務(wù)

14、和證書在 線狀態(tài)查詢服務(wù)。證書查詢驗證服務(wù)系統(tǒng)主要包 括輕目錄訪問協(xié)議（LDAP）服務(wù)器和在線證書狀 態(tài)協(xié)議（OCSP）服務(wù)器，提供包括各類證書發(fā) 布、證書撤消列表（CRL）發(fā)布和證書狀態(tài)在線 查詢服務(wù)。（3）授權(quán)服務(wù)系統(tǒng)PMI在證書業(yè)務(wù)服務(wù)系統(tǒng)基礎(chǔ)上，為用 戶和應(yīng)用程序提供授權(quán)管理和資源管理服務(wù)，主 要負責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù) 管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。(4)可信時間戳服務(wù)系統(tǒng)可信時間戳服務(wù)系統(tǒng)基于國家權(quán)威時間 源和公鑰技術(shù)，為安全業(yè)務(wù)應(yīng)用管理系統(tǒng)提供精 確可信的時間戳，保證處理數(shù)據(jù)在某一時間的存 在性及相關(guān)操作的相對時間順序，為業(yè)務(wù)處理的 不可抵賴性和可審計性提

15、供有效支持?？尚艜r間 戳服務(wù)系統(tǒng)從國家權(quán)威的時間源獲得全系統(tǒng)統(tǒng) 一的時間，即從國家授時中心獲取權(quán)威的時間。(5)基本安全防護系統(tǒng)基本安全防護系統(tǒng)由防火墻、入侵檢測系 統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)、病毒防治系 統(tǒng)、Web信息防篡改系統(tǒng)等組成，形成全方位、 多角度的基本安全屏障(6)故障恢復(fù)及容災(zāi)備份系統(tǒng)故障恢復(fù)和容災(zāi)備份系統(tǒng)主要包括：本地系統(tǒng) 關(guān)鍵設(shè)備的雙機熱備份和重要數(shù)據(jù)的冷備份、異 地建設(shè)容災(zāi)備份中心。3.2.2 網(wǎng)絡(luò)信任域及管理平臺對關(guān)鍵設(shè)備、重要終端及用戶采用 “一 實體一證書”的方式來構(gòu)建網(wǎng)絡(luò)信任域，包括可 信網(wǎng)絡(luò)接入、安全網(wǎng)絡(luò)通信及可信管理等服務(wù)?？尚啪W(wǎng)絡(luò)接入認證技術(shù)的實現(xiàn)以以太網(wǎng)

16、 接入方式為基礎(chǔ)，采用 PKI數(shù)字證書技術(shù)，基 于IEEE 802.1x標準，支持X.509證書，通過對 接入者的證書進行身份認證，實現(xiàn)基于端口的訪 問控制。網(wǎng)絡(luò)安全通信基于IP加密網(wǎng)關(guān)來實現(xiàn)， 它基于IPSec協(xié)議，利用PKI技術(shù)，為網(wǎng)絡(luò)信 任域之間的信息交換提供安全可信通道。網(wǎng)絡(luò)信任域管理系統(tǒng)主要負責(zé)對網(wǎng)絡(luò)信 任域內(nèi)的用戶進行數(shù)據(jù)及網(wǎng)絡(luò)管理，實現(xiàn)地圖式 用戶端設(shè)備的位置管理、狀態(tài)監(jiān)控、遠程參數(shù)配 置管理，同時采集各類用戶端接入認證交換機上 收集的IP業(yè)務(wù)處理數(shù)據(jù)，包括用戶端口信息、 IP業(yè)務(wù)使用的數(shù)據(jù)流量及使用時間信息等。3.2.3 綜合業(yè)務(wù)管理平臺綜合業(yè)務(wù)管理平臺直接面對用戶，包括業(yè) 務(wù)

17、管理、客戶管理、計費管理、網(wǎng)絡(luò)資源管理、 系統(tǒng)安全管理、系統(tǒng)維護管理、新業(yè)務(wù)開發(fā)管理、 知識管理等部分。綜合業(yè)務(wù)管理平臺可抽象歸納 為三層架構(gòu)：數(shù)據(jù)層、業(yè)務(wù)處理層、應(yīng)用層。數(shù)據(jù)層主要存放整個系統(tǒng)的對象數(shù)據(jù)，包 括證書數(shù)據(jù)、設(shè)備數(shù)據(jù)、系統(tǒng)數(shù)據(jù)三大類核心數(shù) 據(jù)。業(yè)務(wù)處理層完成業(yè)務(wù)邏輯處理，其處理過 程被封裝在相互獨立的系統(tǒng)功能模塊中， 并由調(diào) 度功能模塊統(tǒng)一進行各業(yè)務(wù)系統(tǒng)功能模塊間的相互調(diào)用應(yīng)用層是面向客戶的窗口，為多種多樣的 IP寬帶應(yīng)用增值業(yè)務(wù)提供與用戶的接口，并在 業(yè)務(wù)處理層最終實現(xiàn)對各類業(yè)務(wù)的處理，而后臺 數(shù)據(jù)層為業(yè)務(wù)處理層提供相應(yīng)的系統(tǒng)數(shù)據(jù)服務(wù)。3.3 用戶上下線流程在該方案中，一個用戶

18、在享受寬帶服務(wù) 前，必須憑有效證件到運營商業(yè)務(wù)受理處申請辦 理數(shù)字證書，數(shù)字證書申請成功后，由營業(yè)員派 發(fā)用戶一個實體密碼鑒別器及一個 IP地址，同 時得到一個密碼信封，內(nèi)含實體密碼鑒別器的序 列號和密碼，這樣用戶業(yè)務(wù)申請成功。然后，用 戶在需上網(wǎng)的PC上安裝登錄程序，并配置分配 的IP地址，這樣就做好了上網(wǎng)的準備工作。需 要上網(wǎng)時，用戶插上實體密碼鑒別器，啟動登錄 程序，輸入實體密碼鑒別器的序列號和密碼， 然 后由接入認證交換機和信任與授權(quán)服務(wù)支撐平 臺對用戶進行基于數(shù)字證書的認證，認證通過后 用戶就可以享受寬帶服務(wù)；未通過，則禁止用戶接入。用戶正常上網(wǎng)期間，由接入認證交換機定 期向?qū)嶓w密碼鑒別器發(fā)送證書請求， 并對實體密 碼鑒別器上傳的證書做驗證，確保用戶上網(wǎng)的合 法性。當用戶正常下線時，首先由登錄程序向接 入認證交換機發(fā)送下線請求，接入認證交換機收 到下線請求之后，向用戶發(fā)送響應(yīng)結(jié)果，并且向 信任與授權(quán)服務(wù)支撐平臺發(fā)送下線包和封閉端 口。當用戶非正常下線