1 Introduction
Capacité de réseau et de sécurité de l'information dans le 21ème siècle la résistance nationale globale, la compétitivité économique et la viabilité du symbole de la future concurrence internationale, «tueur». À l'heure actuelle, la Chine est d'accélérer le processus d'information économique et sociale nationale, doivent être une plate-forme de télécommunications sûrs et fiables infrastructure de réseau pour diverses applications basées sur la sécurité informatique.
Avec le développement et l'évolution de la technologie de réseau IP à large bande Metropolitan Area Network réseau à large bande est devenue la direction du développement de diverses applications de technologies de l'information sera basée sur la technologie IP. Toutefois, l'enquête actuelle à large bande métropolitaine de gestion réseau et les applications de sécurité dans de nombreux problèmes, tels que: l'accès aux utilisateurs du réseau ne peut pas identifier efficacement le statut juridique, non pas sur les informations personnelles de l'utilisateur pour assurer une protection efficace; ne peut pas résoudre efficacement les problèmes d'anti-répudiation.
Ces problèmes ont entraîné une part, à large bande IP MAN ne peut contrôler, gérer, la gestion est mauvaise; d'autre part, affecte directement la sécurité des informations nationales liées à la sécurité du pays.
La raison principale qui mène à ces problèmes est due à l'actuel haut débit IP MAN avec un nom d'utilisateur "+ mot de passe méthode d'authentification" ne peut aboutir au primaire, et une gestion simple, la sécurité ne suffit pas (comme la facilité d'appropriation illicite, combiné); nom d'utilisateur et Il n'y a pas de lignes d'accès fixes relation correspondante permet aux utilisateurs d'accéder à du mal à trouver, difficile à gérer les droits des utilisateurs et ainsi de suite.
Par conséquent, pour lutter efficacement contre le courant IP à large bande métropolitaine de gestion réseau et les applications de sécurité dans les problèmes, nous devons d'abord résoudre l'authentification des utilisateurs, l'orientation de gestion d'autorisation des utilisateurs et des utilisateurs et d'autres questions, d'établir un environnement réseau de confiance.
Ces dernières années, la technologie de sécurité informatique bénéficié d'une attention approfondie et a fait des progrès considérables, en particulier, est basé sur l'infrastructure à clé publique (ICP) et de gestion des privilèges d'infrastructure (PMI) de confiance et d'autorité de la percée de la technologie intelligente a été de grande envergure utilisés dans l'e-gouvernement, le système e-commerce.
Par conséquent, cet article va expliquer comment utiliser basée sur l'ICP / PMI confiance et l'autorité de la propriété intellectuelle des technologies intelligentes pour créer un environnement de confiance pour réseau à large bande métropolitaine, la façon de l'authentification par certificat numérique, la gestion de la technologie de sécurité de l'information pour le haut débit IP MAN gestion des opérations, de construire une "permet de contrôler, gérer, exploiter," la classe transporteur IP à large bande réseau métropolitain, pour une variété d'informations à fournir une application sûre et fiable de la plateforme de réseaux de télécommunications de base.
Il s'agit d'une idée totalement nouvelle, une nouvelle tentative, IP MAN de méthodes de gestion d'autres plus de sécurité et de flexibilité.
2 ICP / PMI Aperçu
2,1 ICP
PKI est une infrastructure d'information nationale de sécurité (NISI) La partie importante de celui-ci à la technologie de clé publique, à la confidentialité des données, l'intégrité, l'authentification en ligne et le comportement de non-répudiation des fins de sécurité, pour les applications réseau (telles que la navigation dispositifs, e-mail) pour fournir des services de sécurité fiables. A l'infrastructure de sécurité nationale d'information, système de certificat d'ICP avec bi-clé, qui soutiennent le RSA algorithme asymétrique et courbe elliptique clé publique (ECC) de deux algorithmes, algorithmes de chiffrement symétrique appuyé le Bureau de la Commission nationale de chiffrement de gestion désignée de l'algorithme de chiffrement. Clé publique des services de fiducie infrastructure du système et de système de gestion de clés.
La confiance dans le système de service des principales tâches oui pour l'ensemble du système de clé publique PKI basée sur 证书 numérique (PKC) mécanisme d'authentification de Shitishenfen Jianbiefuwu, Yipiannengzai l'échelle du système unique Dique entités Ding sont réellement, afin d'établir Quan système manière cohérente au sein de la fiducie.
système de gestion des clés est la clé du système est principalement responsable de la gestion des services, la fourniture de la gestion des urgences d'autoriser le cas particulier des fonctions de récupération des clés.
2,2 PMI
PMI est un élément important de l'objectif de NISI est de fournir aux utilisateurs autorisés et de la gestion de services d'application, est responsable des systèmes d'applications et applications pour les services autorisés liés à la gestion des identités des utilisateurs aux applications autorisées à fournir les fonctionnalités de cartographie.
la gestion des ressources PMI comme un certificat de base basée sur les attributs (AC) de l'autorisation et les mécanismes de contrôle d'accès, sera un contrôle unifié de l'accès aux ressources par les institutions habilitées à gérer que les propriétaires de ressources pour contrôler l'accès. Par rapport à l'ICP, la principale différence entre les deux est: ICP que les utilisateurs qui, tandis que le PMI de prouver ce que les autorisations de l'utilisateur peut faire, et PMI ont besoin pour fournir des services d'authentification PKI.
3 IP à large bande Metropolitan Area Network Solutions de sécurité
3.1 IP à large bande du réseau métropolitain Application Security Area Architecture Platform
IP à large bande Metropolitan Area Network Security Application Platform est le cadre de la période d'enquête traditionnelle sur réseau à large bande métropolitaines, basée ICP / PMI et de la technologie réseau de sécurité de l'information, la gestion intégrée des activités comme le cœur, la construction d'une complète et unifiée peut être contrôlé géré, peut être utilisé à large bande IP MAN.
Logiquement à la plate-forme haut débit IP MAN application de sécurité se compose de l'extérieur à l'intérieur divisé en trois niveaux, à savoir, la couche d'authentification d'accès, la couche d'agrégation et de la couche de base, de la figure 1.
Figure 1 architecture à trois niveaux
* Accès Authentification Layer: achèvement des utilisateurs d'accès IP haut débit et la certification des équipements de réseau, constitue un réseau de domaine approuvé (par l'utilisateur authentifié et l'équipement de réseau comprenant une zone de réseau). Sur l'équipement de réseau IP à large bande illicites et aux utilisateurs de bloquer automatiquement et les limites du système pour prévenir l'accès illégal, sécurité du système de réseau sûr et fiable est la réalisation de la large bande IP homme peut contrôler, gérer, exploiter base.
* Couche Tandem: une fin d'activité différents flux de fonction tandem; d'autre part, par le déploiement de l'ICP, le système de PMI, de réaliser l'authentification de l'identité des utilisateurs, la confiance, l'autorisation et l'authentification dans les éléments du réseau et la gestion, les entreprises intégrées gestion. La réalisation de la large bande IP homme peut contrôler, gérer, d'exploiter ou non.
* Le niveau de base: l'achèvement de la transmission à haut débit et échange d'information pour réaliser l'interopérabilité avec d'autres réseaux.
En outre, le haut débit IP MAN nouveau logiquement architecture sécurisée plateforme d'application est divisée en deux niveaux, à savoir, à large bande IP MAN avion et intelligente plan de gestion de la sécurité des applications, à la figure 2.
Figure 2 le plan à deux
N'est pas une simple superposition de deux avion, mais complémentaires, la coordination et biologiques se combinent pour former un ensemble complet et unifié permet de contrôler, gérer, exploiter à large bande IP MAN.
· IP à large bande MAN avion: la principale forme de la traditionnelle IP à large bande réseau métropolitain de fournir un accès large bande IP de l'utilisateur MAN, le chargement des informations et des services de change, et finir avec le réseau d'interconnexion d'autres post-et de l'Internet est une large bande IP MAN pierre angulaire de la sécurité des applications plate-forme.
* De sécurité intelligente plan d'application de la gestion: l'ICP et PMI, basé sur la confiance et l'intelligence autorisé, créer un environnement réseau de confiance et de fournir des équipements de réseau sûr et fiable et l'accès des utilisateurs, la transmission d'information et d'échange, les services de gestion d'entreprise, IP à large bande Metropolitan Area Network sécurité est une plate-forme d'application de base.
3.2 Des applications de sécurité et de solutions de gestion
Grâce à l'application de l'infrastructure de sécurité de l'information fondée sur des centres de recherche nationaux indépendants droits de propriété intellectuelle de l'ICP / PMI et de fiducie autorisée plate-forme technologique de renseignement, pour asseoir la crédibilité de l'IP à large bande MAN environnement réseau, la façon de mettre en œuvre des certificats numériques IP à large bande de la ville l'authentification des utilisateurs de réseaux d'aires et d'autorisation.
L'idée principale est présenté à l'utilisateur (PKC, y compris vos renseignements personnels, tels que le numéro de série, adresse IP, adresse MAC et d'autres informations) et AC (y compris les informations sur les attributs de l'utilisateur, telles que le rôle, les autorisations de contrôle d'accès, etc.) Dans la «une entité, une licence de base, par l'unicité de la PKC, et identifier avec précision l'identité de l'utilisateur. Par l'authentification d'accès au commutateur port contrôlable et d'arrière-plan de gestion de certification, le certificat peut avec le port (il peut également inclure l'adresse IP) afin d'établir la correspondance flexible, et de déterminer si l'utilisateur peut accéder à large bande IP MAN, Dans le même temps fournir un accès à la circulation, la durée, l'heure et d'autres statistiques, et les droits d'utilisateur dans le cadre du secteur, lorsque le temps, la facturation et la gestion d'autres biens. Cette flexibilité par des certificats et contraignant port, à construire un port sur le certificat et IP à large bande Metropolitan Area Network modèle de gestion de la sécurité, semblable au modèle de gestion PSTN ligne par ligne.
En outre, la clé publique code numérique d'identification de certificat intégré dans un dispositif physique (les supports matériels de certificats numériques), l'utilisation d'interfaces USB. mot de passe d'authentification d'entité pour chaque appareil et une protection par code PIN, placez une rangée, après plusieurs broche d'entrée qui succombe, boîtes Entité mot de passe d'authentification seront automatiquement verrouillé et mot de passe d'authentification d'entité sur le périphérique aux attaques par dictionnaire sont très difficiles, de sorte que seules les entités dans le même temps, être code d'identification du dispositif et le code PIN correspondant à poser que les utilisateurs légitimes, ce nom d'utilisateur d'authentification de la façon actuelle simple d'ajouter le code PIN est plus sûre, plus efficace d'identification du réseau aux utilisateurs d'accéder à un statut juridique, pour prévenir la contrefaçon.
Dans la mise en œuvre spécifique, par l'intermédiaire du plan d'application de la sécurité de gestion intelligente à large bande IP MAN de mettre en œuvre et gérer des applications de sécurité, tout le plan, y compris la confiance et la plate-forme de soutien autorisé Intelligence Service, du réseau et la plate-forme de gestion du domaine de confiance et de plate-forme intégrée de gestion des affaires de trois parties .
De fiducie et de services d'autorisation qui soutiennent la plate-forme au cœur de la plate-forme adoptée par la PKC de l'entité, l'authentification AC, l'autorisation et la gestion afin de créer un unifiée IP à large bande réseau métropolitain basé environnement intelligent de confiance et d'autorité, le domaine d'affectation spéciale pour la plate-forme de gestion de réseau et plate-forme intégrée de gestion d'entreprise demande de fournir un service fiable et sûr.
plate-forme de réseau pour le domaine de confiance et de Guan Zhong Li de l'entité pour la gestion du réseau, Quebao seule entité crédible, Jibanfale certificat numérique valide pour accéder à l'entité de réseau.
la gestion d'entreprise intégrées directement à l'utilisateur, la confiance et d'autorité dans la plate-forme de services intelligents de fournir les certificats IP de l'utilisateur haut débit, certificats équipements et le certificat d'attributs d'utilisateur sur la base de facturation de gestion des utilisateurs d'affaires.
3.2.1 plate-forme de soutien intelligent de confiance et de service d'autorisation
L'utilisation de l'ICP / plate-forme de soutien du système PMI de confiance et de services IP à large bande d'autorisation pour les réseaux métropolitains pour fournir des services de fiducie et des services d'autorisation. Plate-forme par des entités PKC, l'authentification AC, l'autorisation et la gestion afin de créer une base unifiée pour l'environnement intelligent de confiance et d'autorité, a créé la "une entité d'une licence, la certification unifié, la gestion répartie séquentielle" à large bande IP MAN l'exploitation du réseau et le mode de gestion.
Le soi-disant «certification unifié» désigne: par un centre d'authentification des parties troisième certificat (CA) émis par l'organisme de certification chargé de l'unification de la large bande aux utilisateurs Ip Man, le matériel PKC, les services autorisés par la confiance et le soutien d'une plate-forme unifiée pour fournir AC et d'atteindre le certificat délivré gestion unifiée, veiller à ce réseau de confiance des services de gestion de domaine. Le "Distributed administration séquentielle» signifie: la gestion du réseau de confiance de domaine en fonction de la portée réelle de responsabilité et de se diviser, chaque ville ou région métropolitaine de systèmes IP à large bande peut également être le type de base de la confiance du domaine de l'utilisateur (telles que la distinction normal Utilisateurs à domicile, les gros clients, etc), la confiance de base de chaque domaine a son propre système de gestion est responsable de la gestion du domaine de confiance, le système de gestion de réseau pour l'approbation de domaine des services fiduciaires et d'autorisation à travers la plate-forme de soutien de la confiance et d'autorité pour fournir des services de soutien. Ce modèle de la responsabilité de construire un cadre clair, une gestion facile, le réseau de l'ensemble du système des domaines de confiance et système de gestion.
(1) Système de Certificats opérationnel
Certificat de système de services aux entreprises dans la gestion des clés (KM) basé sur l'adoption de la CA, le certificat Shenhe Centre d'enregistrement (RA) et d'autres applications pour fournir des certificats numériques, des services de vérification.
(2) vérifier certificat de service de vérification du système
services de renseignements de certification des systèmes de plate-forme de gestion d'entreprise demande de fournir le service d'authentification de certificat, y compris le service de renseignements téléphoniques et des certificats de services de renseignements en ligne. système d'enquête du service d'authentification comprend Protocole léger d'accès à l'annuaire (LDAP) et le serveur Online Certificate Status Protocol (OCSP) serveur afin de fournir, y compris divers types de certificats délivrés, la liste de révocation de certificats (CRL) de publier en ligne et un service de check certificat de statut.
(3) autoriser le système de services
PMI dans le système de services aux entreprises basés sur le certificat pour les utilisateurs autorisés et de la gestion des applications et des services de gestion des ressources, principalement responsable des systèmes d'applications et applications pour les services autorisés liés à la gestion des identités des utilisateurs aux applications autorisées à fournir les fonctionnalités de cartographie.
(4), système de services de confiance horodatage
Trusted système de services de l'horodatage est basé sur la source de temps du pouvoir d'Etat et du public des technologies clés, des applications d'entreprise pour le système de gestion de la sécurité prévoit horodatage précis et fiable pour assurer le traitement des données à l'existence à un certain moment et la séquence de temps relative des opérations liées, pour les entreprises manipulation non-répudiation et l'auditabilité de fournir un soutien efficace. Trusted système de service à temps tampon à partir du moment de la source du pouvoir d'Etat et de l'unité l'ensemble du système de temps, à partir du Centre national de service de temps pour obtenir l'autorité de l'époque.
(5) de base du système de protection de la sécurité
système de sécurité de base comprend des pare-feu, systèmes de détection d'intrusion, les systèmes de balayage de vulnérabilité, audit de sécurité, systèmes de prévention des virus, des systèmes d'information Web, la composition inviolables, la formation d'un point de vue tout au long de la barrière de sécurité de base.
(6) système de récupération et de reprise après sinistre
reprise après sinistre et de sauvegarde du système comprend: des équipements à double-clé pour la sauvegarde du système local et sauvegarde à chaud des données importantes du froid, le renforcement des catastrophes centre éloigné de récupération.
3.2.2 Réseau de domaine et la plate-forme de gestion de la confiance
des équipements critiques, il est important terminal et adoption par les utilisateurs "d'une entité d'un certificat de" moyens de renforcer la confiance dans les domaines du réseau, y compris la crédibilité de l'accès au réseau, sécurité, réseau de communication et de gestion de la confiance.
mise en œuvre crédible de la technologie d'authentification d'accès au réseau en mode d'accès basé sur Ethernet, utilisant la technologie PKI certificat numérique, basée sur la norme IEEE 802.1x, support des certificats X.509, par le biais des certificats d'authentification d'accès qui atteignent le port-base contrôle d'accès.
Sécuriser les communications réseau basé sur la passerelle de chiffrement IP à atteindre, qui est basé sur le protocole IPSec, en utilisant la technologie PKI pour l'échange d'informations sur le réseau entre les domaines de confiance pour fournir un accès sûr et fiable.
système de gestion de réseau est principalement responsable de l'approbation de domaine de confiance au sein du réseau de données utilisateur et la gestion du réseau, pour atteindre la carte à base de 端 utilisateur l'emplacement des équipements de gestion, la surveillance d'état, gestion à distance de paramètres de configuration, tout en recueillant différents types d'authentification d'accès client recueillies interrupteur données de propriété intellectuelle des processus d'affaires, y compris les informations de port utilisateur, le service IP en utilisant le flux de données et l'utilisation de l'information en temps.
3.2.3 Plate-forme de gestion intégrée des affaires
Plate-forme intégrée de gestion des affaires directement aux utilisateurs, y compris la gestion des affaires, gestion de la clientèle, gestion de la facturation, la gestion des ressources de réseau, gestion de la sécurité du système, le système de maintenance et de gestion, le développement de nouvelles entreprises et de gestion, section de gestion des connaissances. Plate-forme intégrée de gestion d'entreprise peuvent être résumées comme abstraction à trois niveaux: la couche de données, couche de la couche application des processus d'affaires,.
couche de stockage de données des principaux objets de données du système, y compris les données de certificat, données de l'appareil, les données de base de données système trois catégories.
Entreprise de transformation de traitement logique couche métier, le processus est encapsulé dans des modules séparés dans le système par la programmation de modules pour les systèmes de gestion différents, unifié inter-disant de modules fonctionnels.
couche d'application est la fenêtre du client face à un large éventail de la propriété intellectuelle applications à large bande pour fournir des services à valeur ajoutée et l'interface utilisateur, et, finalement, dans la couche des processus d'affaires gérer tous types d'entreprises, et le contexte de données pour le calque du processus d'affaires à fournir les correspondants Les données du système de services.
3,3 utilisateurs sur le processus en mode hors connexion
Dans ce système, un utilisateur de bénéficier du service à large bande avant, elle doit obtenir un certificat valide pour l'entreprise exploitant qui reçoit Département de la gestion des certificats numériques, la demande de certificat numérique est réussie, le personnel de vente pour distribuer l'utilisateur un discriminateur de passe entité et une adresse IP, est obtenu une enveloppe de passe, contenant le numéro de l'appareil d'identification entité mot de passe de série et mot de passe, de sorte que les utilisateurs appliquent la réussite des entreprises. Ensuite, les utilisateurs de PC ont besoin d'accéder à la procédure de connexion à installer et à configurer l'attribution des adresses IP, alors ne les préparatifs d'accès. Besoin d'un accès Internet, l'identification de l'appareil utilisateur plug entités mot de passe, procédure de connexion de démarrage, entrez le code de l'entité d'identifier le numéro de série et mot de passe, l'authentification d'accès et commutateurs de services d'autorisation et de la confiance de la plate-forme de soutien aux utilisateurs pour l'authentification basée sur des certificats numériques, la certification après le passage de l'utilisateur peut profiter de services à large bande; pas été adoptée, interdisant l'accès des utilisateurs. Pendant les utilisateurs réguliers d'Internet, l'identification d'authentification d'accès du commutateur envoie périodiquement le mot de passe à l'entité la demande de certificat et le code d'identification entité appareil ne certificat d'authentification à télécharger pour assurer la légalité des utilisateurs d'Internet.
Lorsque les utilisateurs en mode hors connexion normale, la première certifiée par le processus de connexion à l'accès au commutateur pour envoyer le offline demande, demande d'authentification en mode hors connexion d'accès reçues après le commutateur, l'utilisateur envoie une réponse aux résultats, et à soutenir la plate-forme de confiance et de service de l'autorisation d'envoyer la chaîne de montage et les ports fermés. Lorsque l'utilisateur en mode hors connexion non-normale (comme les mots de passe utilisateur directement débranchez les identificateurs de l'entité, ou débrancher le câble réseau, etc), commutateur d'authentification d'accès prend l'initiative afin de détecter l'événement (en raison de l'échange régulièrement de mot de passe d'authentification d'accès à l'identification de l'appareil entité Envoyer la demande de certificat), puis à la plate-forme de soutien de la confiance et de service de l'autorisation et fermé le port pour envoyer la chaîne de montage, mais le résultat ne pas envoyer une réponse à l'utilisateur.
4 Conclusion
Le projet est basé à Shenzhen Telecom Ip Man réalisé un certain nombre de procès et en Mars 20, 2003 organisé par le ministère des Sciences et de l'inspection d'experts.
Est intéressant de noter que, par ce projet que les certificats et les certificats d'attribut, peut facilement obtenir la validation de l'identité des utilisateurs, l'utilisateur à l'aide des entreprises à valeur ajoutée est consignée dans le certificat d'attribut, afin d'examiner l'application de la sécurité informatique, la facturation, etc des questions telles que l'authentification, les frais de pré-payées pour des services à valeur ajoutée pour créer de bonnes conditions pour le lancement.