1 Introducción
Capacidad de red y seguridad de la información en el siglo 21 la fuerza nacional integral, la competitividad económica y la viabilidad del símbolo de la competencia internacional en el futuro, "asesino". En la actualidad, China está acelerando el proceso de información económica y social nacional, deben ser una infraestructura segura y confiable plataforma de red de telecomunicaciones para diversas aplicaciones basado en la seguridad de la información.
Con el desarrollo y evolución de la tecnología de red, IP de banda ancha red de área metropolitana de red de banda ancha se ha convertido en la dirección del desarrollo de diversas aplicaciones de tecnología de la información se basará en la tecnología IP. Sin embargo, el actual IP de banda ancha de gestión de red metropolitana de área y aplicaciones de seguridad en muchos problemas, tales como: el acceso a la red no puede identificar eficazmente la situación legal del usuario, no puede la información personal del usuario para conseguir una protección eficaz, no puede resolver efectivamente los problemas de la anti-rechazo.
Estos problemas han llevado una parte, de banda ancha IP MAN puede controlar, administrar la gestión es deficiente, por otra parte, afecta directamente a la seguridad de la información nacional relacionada con la seguridad del país.
La razón principal que lleva a estos problemas es debido a la corriente de banda ancha IP MAN con un nombre de usuario "+ contraseña" método de autenticación sólo puede alcanzar la primaria, y una administración simple, la seguridad no es suficiente (como la facilidad de apropiación indebida, en combinación), nombre de usuario y No hay líneas de acceso fijo relación correspondiente permite a los usuarios el acceso difícil de localizar, difícil de gestionar los derechos del usuario y así sucesivamente.
Por lo tanto, para abordar con eficacia la actual gestión de IP de banda ancha de red de área metropolitana y aplicaciones de seguridad en los problemas, lo primero que debe resolver la autenticación de usuarios, orientación de la gestión de autorización de usuarios y usuarios y otras cuestiones, para establecer un entorno de red de confianza.
En los últimos años, la tecnología de seguridad de la información recibida mucha atención, y ha hecho progresos considerables, en particular, se basa en la infraestructura de clave pública (PKI) y Gestión de Infraestructuras de privilegios (PMI) de la confianza y la autoridad de la revolucionaria tecnología inteligente ha sido la masiva utilizados en el gobierno electrónico, sistema de comercio electrónico.
Por lo tanto, este artículo discutirá cómo usar basada en PKI / PMI confianza y la autoridad de la tecnología inteligente de IP para crear un ambiente de confianza para la red de banda ancha área metropolitana, como la autenticación de certificado digital, la gestión de la tecnología de información de seguridad para banda ancha IP MAN gestión de operaciones, para construir un "puede controlar, administrar, operar," la banda ancha de calidad de operador IP de red de área metropolitana, para una variedad de información para proporcionar una aplicación segura y fiable de la plataforma de la red básica de telecomunicaciones.
Esta es una idea totalmente nueva, un nuevo intento, IP MAN que los métodos de gestión de otros más seguridad y flexibilidad.
2 PKI / PMI Información general
2,1 PKI
PKI es una infraestructura de información de seguridad nacional (NISI) La parte importante de la misma a la tecnología de clave pública, a la confidencialidad de datos, la integridad, la autenticación y el comportamiento de no repudio en línea con fines de seguridad, para aplicaciones de red (como la navegación dispositivos, e-mail) para proporcionar servicios de seguridad fiables. En la infraestructura de la información de seguridad nacional, sistema de certificados PKI con llave de doble, que apoyan el algoritmo RSA asimétrica y curva elíptica de clave pública (ECC) de dos algoritmos, sistemas de cifrado simétricos apoyo a la Oficina del Estado de cifrado de gestión de la Comisión designada el algoritmo criptográfico. De clave pública de servicios de infraestructura incluyen la confianza del sistema y el sistema de gestión de claves.
Las principales funciones del sistema de servicios de confianza para todo el sistema de públicos certificados PKI basada en clave digital (PKC) mecanismo de certificación de entidades de servicios de autenticación, así como el único en el contexto de todo el sistema para determinar la verdadera identidad de la entidad a fin de establecer en todo el sistema forma coherente dentro de la confianza.
sistema de gestión de claves es la clave del sistema es el principal responsable de la gestión de los servicios, la prestación de la gestión de emergencias para autorizar el caso especial de las características de recuperación de claves.
2,2 PMI
PMI es una parte importante del objetivo de NISI es proporcionar a los usuarios autorizados y la gestión de servicios de aplicación, es responsable de los sistemas de aplicaciones y aplicaciones a los servicios autorizados relacionados con la gestión de identidades de usuarios a conceder autorización a la aplicación de la función de asignación.
gestión de recursos como PMI certificados núcleo basado en atributos (AC) de la autorización y mecanismos de control de acceso, será el control unificado sobre el acceso a los recursos de las instituciones autorizadas para gestionar que los propietarios de los recursos para controlar el acceso. En comparación con el PKI, la principal diferencia entre ambos es: PKI que los usuarios que, mientras que el PMI de demostrar qué permisos tiene el usuario puede hacer, y PMI necesidad de proporcionar servicios de PKI de autenticación.
3 IP de banda ancha del Área Metropolitana de soluciones de seguridad de red
Red de Banda Ancha IP 3,1 Área Metropolitana de la Plataforma de Aplicaciones Arquitectura de Seguridad
IP de banda ancha del Área Metropolitana de Seguridad de la red la plataforma de aplicaciones es el marco del período de investigación tradicional sobre redes de banda ancha área metropolitana, con base PKI / PMI y la tecnología de red de seguridad de la información, gestión empresarial integrada en el núcleo, la creación de una completa y unificada puede ser controlado, administrado, puede ser operado de banda ancha IP MAN.
Lógicamente a la plataforma IP de banda ancha aplicación MAN de seguridad consiste en el exterior al interior se divide en tres niveles, a saber, capa de acceso a la autenticación, la capa de agregación y la capa de la base, que se muestra en la Figura 1.
Figura 1 Arquitectura de tres niveles
* El acceso de autenticación de capa: conclusión de los usuarios de acceso IP de banda ancha y certificación de equipos de red, constituye una red de dominio de confianza (por el usuario autenticado y el equipo de red que consiste en una red de área). En el equipo de red IP de banda ancha ilícito y abonados automáticamente bloqueado y restringido, para evitar el acceso ilegal al sistema para garantizar un sistema de red segura y confiable es la realización de la banda ancha IP MAN puede controlar, administrar, operar base.
* Capa tándem: una terminación de empresas de varios arroyos función tándem; por otra parte, a través de la implantación de la PKI, el sistema de PMI, para realizar la autenticación de la identidad del usuario, la confianza, la autorización y la autenticación dentro de los elementos de red y gestión de negocios integrada de gestión. La realización de la banda ancha IP MAN puede controlar, administrar, operar o no.
* El nivel básico: la culminación de la transmisión de alta velocidad y el intercambio de información para lograr la interoperabilidad con otras redes.
Además, la banda ancha IP MAN nuevo lógicamente arquitectura segura plataforma de aplicación se divide en dos niveles, a saber, la banda ancha IP MAN plano y el plano de la aplicación inteligente de gestión de la seguridad, que se muestra en la Figura 2.
Figura 2, el plano de dos
¿No es una simple superposición de dos avión, pero complementarios, la coordinación, y orgánicamente se combinan para formar una completa y unificada puede controlar, administrar, operar de banda ancha IP MAN.
· IP de banda ancha MAN avión: el formulario principal de la tradicional IP de banda ancha de red de área metropolitana para ofrecer banda ancha de acceso IP de usuario MAN, la carga de información y servicios de intercambio, y terminar con otra red después de la interconexión y el Internet es una IP de banda ancha MAN piedra angular de la seguridad de la plataforma de aplicaciones.
* Administración de aplicaciones inteligentes de seguridad aérea: PKI y PMI, basado en la confianza y la tecnología de inteligencia autorizadas, construir un entorno de red de confianza y proveer equipos de red segura y fiable y acceso de los usuarios, la transmisión e intercambio de información, servicios de gestión empresarial, IP de banda ancha del Área Metropolitana de Seguridad de la red es una plataforma de aplicaciones básicas.
3,2 aplicaciones de seguridad y soluciones de gestión
A través de la aplicación de la infraestructura de seguridad de la información basada en los centros nacionales de investigación independiente con los derechos de propiedad intelectual de PKI / PMI y la confianza tecnología autorizados de inteligencia plataforma, para construir la credibilidad de IP de banda ancha MAN entorno de red, utilizando el enfoque de certificado digital para realizar IP de banda ancha de la ciudad red de área de usuario de autenticación y autorización.
La idea principal es presentar al usuario la PKC (incluyendo su información personal, como números de serie, dirección IP, dirección MAC y otra información) y AC (incluyendo la información del usuario de atributos, tales como el papel, los permisos de control de acceso, etc.) En el cuadro "una entidad, una licencia" base, por la singularidad de la PKC, e identificar con precisión la identidad de usuario. Mediante la autenticación de acceso al switch controlables puerto y el fondo de gestión de la certificación, puede el certificado con el puerto (también puede incluir la dirección IP) para establecer la correspondencia flexible, y determinar si el usuario puede tener acceso de banda ancha IP MAN, Al mismo tiempo, facilitar el acceso al tráfico, la duración, el tiempo y otras estadísticas, y los derechos de usuario en la CA, cuando el tiempo, la facturación y gestión de la propiedad de otros. Esta flexibilidad a través de certificados y enlace de puerto, para construir un puerto en el certificado y de banda ancha IP Área Metropolitana de Seguridad de la red modelo de gestión, similar al modelo de gestión basado en líneas PSTN.
Además, el público clave de código de identificación digital certificado incorporado en un dispositivo físico (los soportes para el material de los certificados digitales), el uso de las interfaces USB. contraseña Entidad de autenticación para cada dispositivo y una protección del código PIN, la sucesión de entrada de varios intentos sin éxito PIN, el dispositivo entidad código de identificación será bloqueado automáticamente, por lo que el dispositivo entidad código de identificación es muy difícil de llevar a cabo ataques de diccionario, de modo que las únicas entidades en el mismo tiempo se código de identificación del dispositivo y el correspondiente código PIN para hacerse pasar por usuarios legítimos, este nombre de usuario de autenticación que el actual modo simple de agregar el código PIN es más segura, la identificación más eficaz de la red de acceso a los usuarios de estado jurídico, para evitar la falsificación.
En la aplicación específica, a través del plano de aplicación de seguridad inteligentes de gestión de banda ancha IP MAN para aplicar y gestionar aplicaciones de seguridad, el avión entero, incluyendo la confianza y la plataforma de servicio autorizado de inteligencia de apoyo, la red y plataforma de gestión de dominio de confianza y de la plataforma integrada de gestión empresarial de tres partes .
La confianza y servicios de autorización que apoyan la plataforma en el centro de la plataforma aprobada por la PKC de la entidad, la autenticación de CA, autorización y administración para crear un unificado IP de banda ancha de red de área metropolitana con el medio ambiente inteligente de confianza y autoridad, el dominio fiduciario para la plataforma de gestión de red y la aplicación integrada de gestión empresarial plataforma para proveer un servicio confiable y seguro.
plataforma de gestión de la red de confianza de dominio y las entidades en la gestión de la red, para garantizar que sólo las entidades de confianza que ha expedido el certificado digital de la entidad puede ser una red de acceso eficaz.
La gestión integrada de negocios directamente al usuario, la confianza y la autoridad en la plataforma de servicios inteligentes para proporcionar los certificados de usuario de banda ancha IP, los certificados de equipo y el certificado de atributos de usuario basada en la facturación de usuarios, gestión de negocios.
3.2.1 inteligente plataforma de apoyo de confianza y servicio de autorizaciones
El uso de PKI / PMI plataforma de apoyo del sistema de servicios de confianza y autorización de IP de banda ancha las redes de área metropolitana de prestación de servicios fiduciarios y de autorización. Plataforma a través de entidades PKC, la autenticación de CA, autorización y administración para crear una base unificada para el medio ambiente inteligente de confianza y autoridad, estableció el "una entidad de una licencia, la certificación unificada, distribuidos manejo secuencial" de banda ancha IP MAN explotación de la red y el modo de gestión.
La denominada "certificación unificado" significa: por un centro de autenticación de terceros de certificados (CA), expedido por el organismo de certificación responsable de la unificación MAN usuarios de banda ancha IP, equipo PKC; autorizado por la confianza y servicios de apoyo, una plataforma unificada para ofrecer AC y lograr el certificado expedido unificado de gestión, asegurar la red de servicios de confianza de dominio de gestión. La "administración secuencial distribuida": una red real de alcance gestión de dominios de confianza de la responsabilidad y se clasifican, cada ciudad o región metropolitana IP de banda ancha sistema de red de área también se pueden dividir según el tipo de usuario Jiben dominio de confianza (por ejemplo, una distinción entre ordinarias Los usuarios domésticos, los grandes clientes, etc), la confianza básica de cada dominio tiene su propio sistema de gestión es responsable de la gestión de dominio de confianza, la red de sistema de gestión de la confianza de confianza de dominios y servicios de autorización a través de la plataforma de apoyo de confianza y autoridad para proporcionar servicios de apoyo. Este modelo de la responsabilidad de construir un marco claro, fácil administración, la red de todo el sistema de dominios de confianza y de gestión.
(1) Certificado del Sistema Operativo
Servicios a empresas Certificado de administración de claves del sistema (KM) sistema basado en la adopción de la AC, el certificado de auditoría de Registro (AR) y otras aplicaciones para proporcionar certificados digitales, servicios de auditoría.
(2) pregunta a la autenticación de certificado del sistema de servicio
Encuesta servicios de certificación de sistemas de gestión empresarial para la plataforma de aplicación para proporcionar el servicio de autenticación de certificados, incluido el servicio de información telefónica y certificados de servicio de información en línea. Encuesta de autenticación sistema de servicios incluye el protocolo ligero de acceso a directorios (LDAP) y el Protocolo de estado de certificados en línea (OCSP) servidor para proporcionar, incluyendo varios tipos de certificados emitidos, la lista de certificados revocados (CRL) la publicación y servicio en línea del estado del certificado de verificación.
(3) autorizar el sistema de servicio
PMI 在 certificado basado en el sistema de servicios empresariales para los usuarios y las aplicaciones para ofrecer gestión de servicios de autorización y gestión de los recursos, es responsable de los sistemas de aplicación y aplicación a la gestión de autorizaciones de servicios de referencia, proporcionando la identidad del usuario para aplicar las funciones de autorización de mapas.
(4), marca de tiempo de confianza del sistema de servicios
sello de confianza hora del sistema de servicios se basa en la fuente de tiempo de la autoridad estatal y tecnologías de clave pública, las aplicaciones de negocio para el sistema de gestión de la seguridad proporciona la marca de tiempo precisos y fiables para garantizar el tratamiento de los datos existentes en un determinado tiempo y secuencia temporal relativa de las operaciones, para las empresas manipulación no repudio y auditabilidad de proporcionar un apoyo efectivo. sello de confianza hora del sistema de servicios desde el momento en la fuente de la autoridad estatal y la unidad de todo el sistema de tiempo, desde el Centro Nacional de Servicio de hora de obtener la autoridad de la época.
(5) sistema básico de protección de seguridad
Sistema básico de seguridad consiste en firewalls, sistemas de detección de intrusos, escaneo de vulnerabilidades de sistemas, auditoría de seguridad, sistemas de prevención de virus, los sistemas de información web, composición de inviolabilidad, la formación de una visión completa de la barrera de seguridad de base.
(6) sistema de recuperación y recuperación de desastres
La recuperación de desastres y el sistema de copia de seguridad incluye: equipo de doble clave para la copia de seguridad del sistema local y de copia de seguridad en caliente de los datos importantes del edificio frío, centro de desastres de recuperación remota.
3.2.2 Red de dominio y plataforma de gestión de la confianza
equipos críticos, es importante terminal de usuario y la adopción "de una entidad de un certificado": para generar confianza en los dominios de red, incluyendo la credibilidad de acceso a la red, la seguridad, la comunicación de las redes y servicios de fideicomiso de administración.
aplicación fiable de la tecnología de autenticación de acceso de red a modo de acceso basado en Ethernet, utilizando la tecnología PKI de certificado digital, basada en IEEE 802.1x estándar, soporte para certificados X.509, a través de los certificados de autenticación de acceso que logran basado en puertos control de acceso.
Comunicaciones de red seguras basadas en IP de puerta de enlace cifrado de lograr, que se basa en el protocolo IPSec, utilizando la tecnología PKI para red de intercambio de información entre los dominios de confianza para proporcionar un acceso seguro y fiable.
sistema de gestión de la red es el principal responsable por la confianza de confianza de dominios en la red de datos de usuario y gestión de redes, para lograr un manejo CPE mapa de localización de tipo, monitoreo de condiciones, la gestión de configuración remota de parámetros, mientras que recoge varios tipos de interruptor de la autenticación de acceso de cliente, sobre la recogida IP informática de gestión, incluida la información de los puertos de usuario, el servicio IP mediante el flujo de datos y el uso de información en tiempo.
3.2.3 integrado de administración de plataforma de negocios
negocio integrado de la plataforma de gestión directamente a los usuarios, incluida la gestión empresarial, gestión de clientes, gestión de facturación, gestión de recursos de red, gestión de la seguridad del sistema, sistema de mantenimiento y administración, desarrollo de nuevos negocios y la gestión, el conocimiento sección de gestión. negocio integrado de la plataforma de gestión se pueden resumir como la abstracción de tres niveles: capa de datos, la capa de procesos de negocio, capa de aplicación.
Capa de almacenamiento de datos de los principales objetos de los datos del sistema, incluyendo los datos del certificado, los datos del dispositivo, los datos básicos de datos sistema de tres categorías.
Negocios negocio de procesamiento de la capa de lógica de procesamiento, el proceso se encapsula en módulos independientes en el sistema mediante la programación de módulos de funciones del sistema unificado de negocios de varias llamadas entre módulos.
capa de aplicación es la ventana de cara al cliente para una amplia gama de IP de banda ancha las aplicaciones para proporcionar servicios de valor añadido y la interfaz de usuario, y en última instancia en la capa de procesos de negocio manejar todo tipo de negocios, y el fondo capa de datos para la capa de proceso de negocio para proporcionar el correspondiente datos del sistema de servicios.
3,3 usuarios en el proceso en línea
En este esquema, un usuario disfrutar de servicios de banda ancha antes de que los documentos válidos para el negocio de operador de la Oficina receptora para solicitar un certificado digital, solicitud de certificado digital se realiza correctamente, por el vendedor para distribuir el usuario un discriminador contraseña entidad y una dirección IP, y se un sobre de contraseña, número de entidad que contiene la contraseña del dispositivo de serie de identificación y contraseña, para que los usuarios aplican el éxito empresarial. Entonces, los usuarios de PC necesitan para acceder al proceso de entrada para instalar y configurar la asignación de direcciones IP, también lo hacen los preparativos de acceso. Necesita acceso a Internet, la identificación del usuario del dispositivo contraseña enchufe entidades, procedimiento de conexión inicial, ingrese el código de identificación de la entidad el número de serie y la contraseña, la autenticación de acceso y conmutadores de autorización de servicio y la confianza de la plataforma de apoyo al usuario para la autenticación basada en certificados digitales, la certificación después del paso de que el usuario puede disfrutar de servicios de banda ancha; no se pasa, que prohíbe el acceso de los usuarios. Durante los usuarios habituales de Internet, la identificación de autenticación de acceso del interruptor envía periódicamente la contraseña a la entidad la solicitud de certificado, y el dispositivo entidad código de identificación que ver certificado de autenticación para subir a garantizar la legalidad de los usuarios de Internet.
Cuando los usuarios en línea normal, el primero certificado por el proceso de entrada al acceso cambiar a enviar la petición sin conexión, el acceso sin conexión solicitud de autenticación recibida después del cambio, el usuario envía una respuesta a los resultados, y para apoyar la plataforma de confianza y un paquete de servicio de autorización para despedir a la línea de montaje y los puertos cerrados. Cuando el usuario cuando está desconectado no normal (por ejemplo, contraseñas de los usuarios directamente desenchufe los identificadores de entidad, o desconecte el cable de red, etc), cambiar de autenticación de acceso tomará la iniciativa para detectar el evento (debido a un intercambio regular contraseña de autenticación de acceso a la identificación del dispositivo entidad Enviar la solicitud de certificado), luego a la plataforma de apoyo de confianza y paquete de servicios de autorización y cerró el puerto para despedir a la línea de montaje, pero el resultado no envía una respuesta al usuario.
4 Conclusión
El proyecto se basa en Shenzhen Telecom IP MAN llevó a cabo una cierta cantidad de ensayos y 20 de marzo 2003, organizado por el Ministerio de Ciencia e inspección de expertos.
Vale la pena señalar que la adopción de la identidad del certificado de proyecto y certificado de atribución, es fácil de autenticación segura de autenticar a los usuarios, a los usuarios a uso comercial prima se registra en el certificado de atribución 上 fin de abordar la seguridad información de la aplicación, facturación, etc cuestiones tales como la autenticación, las tasas de prepago para los servicios de valor agregado para crear buenas condiciones para el lanzamiento.