1 Introduzione
Capacità di sicurezza delle reti e dell'informazione nel 21 ° secolo la forza nazionale globale, la competitività economica e la sostenibilità del simbolo della futura concorrenza internazionale "killer". Attualmente, la Cina sta accelerando il processo di informazione nazionale economico e sociale, occorre essere sicuro e affidabile infrastruttura della piattaforma di telecomunicazioni di rete per varie applicazioni basate sulla sicurezza dell'informazione.
Con lo sviluppo e l'evoluzione della tecnologia di rete, IP Broadband Metropolitan Area Network rete a banda larga è diventata la direzione dello sviluppo di varie applicazioni delle tecnologie dell'informazione sarà basata su tecnologia IP. Tuttavia, l'attuale IP a banda larga metropolitana di gestione rete geografica e applicazioni di sicurezza in molti problemi, quali: l'accesso agli utenti di rete non può effectively identificare lo stato giuridico, non su informazioni personali dell'utente per ottenere un'efficace protezione; può non efficacemente risolvere i problemi di anti-ripudio.
Tali problemi hanno comportato da un lato, la banda larga IP MAN in grado di controllare, gestire, la gestione è scadente; invece, influisce direttamente sulla sicurezza delle informazioni nazionali in materia di sicurezza del paese.
Il motivo principale che porta a questi problemi è dovuto alla corrente a banda larga IP MAN con un "nome utente + password" metodo di autenticazione può raggiungere il primario, e la gestione semplice, la sicurezza non è sufficiente (come la facilità di appropriazione indebita, combinato); nome utente e la Non ci sono linee di accesso fisse rapporto corrispondente permette agli utenti di accedere difficile da individuare, difficile da gestire i diritti degli utenti e così via.
Pertanto, per affrontare efficacemente l'attuale IP a banda larga area metropolitana di gestione della rete e le applicazioni di sicurezza nei problemi, dobbiamo prima risolvere l'autenticazione degli utenti, l'orientamento autorizzazione gestione degli utenti e consumatori e altri problemi, di creare un ambiente di rete attendibile.
Negli ultimi anni, la sicurezza informatica ha ricevuto grande attenzione, e ha fatto notevoli progressi, in particolare, è basata su infrastruttura a chiave pubblica (PKI) e Privilege Management Infrastructure (PMI) di fiducia e di autorità della rivoluzionaria tecnologia intelligente "è stato su larga scala usato in e-government, sistema di e-commerce.
Pertanto, questo articolo discutere su come utilizzare in base PKI / fiducia PMI e l'autorità di intelligente tecnologia IP per creare un ambiente di fiducia per la rete a banda larga area metropolitana, come certificato digitale di autenticazione, la gestione delle informazioni di protezione per la tecnologia a banda larga IP MAN gestione delle operazioni, a uno build "in grado di controllare, gestire, operare," the carrier-grade IP di rete a banda larga area metropolitana, per una serie di informazioni di assicurare un'applicazione sicura e affidabile platform basic network telecommunications.
Si tratta di una novità assoluta, un nuovo tentativo, IP uomo che più di altri metodi di gestione della sicurezza e flessibilità.
2 PKI / Panoramica PMI
2,1 PKI
PKI è una infrastruttura nazionale di sicurezza delle informazioni (NISI) La parte importante di esso a tecnologia a chiave pubblica, alla riservatezza dei dati, l'integrità, l'autenticazione e il comportamento del non-ripudio online per motivi di sicurezza, per applicazioni di rete (quali la navigazione dispositivi, e-mail) per fornire servizi di sicurezza affidabili. Al infrastrutture nazionali di sicurezza informatica, un sistema di certificati PKI con doppia chiave, che supportano gli algoritmi asimmetrici RSA e la chiave pubblica curva ellittica (ECC) di due algoritmi, algoritmi simmetrici sostenuto l'Ufficio di gestione dello stato di crittografia Commissione ha designato l'algoritmo di crittografia. A chiave pubblica di servizi di infrastruttura di fiducia del sistema e del sistema di gestione delle chiavi.
信任 regime dei dazi servizio principale è quello di tutto il sistema di pubblico certificati a chiave a base di PKI digitale (PKC), meccanismo di autenticazione dei servizi di identificazione Shitishenfen di Zai Yi Bian entità Wei Yi De livello di sistema per determinare la vera identità del sistema al fine di stabilire Quan base coerente all'interno della fiducia.
sistema di gestione delle chiavi è la chiave del sistema è principalmente responsabile per la gestione dei servizi, la fornitura di gestione delle emergenze di autorizzare il caso particolare delle caratteristiche chiave di recupero.
2,2 PMI
PMI è una parte importante dell'obiettivo NISI è di fornire agli utenti autorizzati e service di gestione delle applicazioni, è responsabile per i sistemi di applicazione e le applicazioni di servizi autorizzato legate alla gestione delle identità user di fornire authorization per l'applicazione della funzione mapping.
gestione delle risorse PMI come un attributo certificati core-based (AC) di autorizzazione e di meccanismi di controllo dell'accesso, sarà un controllo unificato per l'accesso alle risorse da enti autorizzati a gestire le risorse che i proprietari di controllare l'accesso. Confrontato con il PKI, la differenza principale tra i due è: PKI che gli utenti che, mentre il PMI di dimostrare quali autorizzazioni l'utente può fare, e PMI necessità di fornire servizi di autenticazione PKI.
3 IP Broadband Metropolitan Area Network Security Solutions
3,1 IP Broadband Metropolitan Area Network Application Architecture Platform Security
IP Broadband Metropolitan Area Network Security Application Platform è il quadro del tradizionale IP su banda larga rete di area metropolitana, in base PKI / network PMI e della sicurezza informatica, gestione integrata delle imprese, come il nocciolo, la costruzione di una completa e unitaria può essere controllato, gestita, può essere azionato a banda larga IP MAN.
Logicamente per la banda larga piattaforma applicativa di protezione IP MAN costituita dall'esterno verso l'interno è diviso in tre livelli, ossia l'autenticazione di livello di accesso, livello di aggregazione e lo strato di base, come mostrato nella Figura 1.
Figura 1 architettura a tre livelli
* Accesso autenticazione Layer: completare utenti a banda larga e di apparecchiature di rete IP, autenticazione di accesso, costituisce una rete di dominio trusted (per l'utente autenticato e apparecchiature di rete costituita da una zona di rete). Sulla apparecchiature di rete e IP a banda larga illecito utenti di bloccare automaticamente e limiti del sistema per impedire l'accesso illegale, la sicurezza del sistema di rete sicuro e affidabile è la realizzazione della banda larga IP MAN in grado di controllare, gestire, operare base.
* Strato Tandem: uno il completamento dei lavori vari flussi di funzione tandem, dall'altro, attraverso la diffusione della PKI, il sistema di PMI, per realizzare l'autenticazione dell'identità degli utenti, la fiducia, l'autorizzazione e l'autenticazione all'interno degli elementi della rete e la gestione integrata delle imprese di gestione. La realizzazione della banda larga IP MAN in grado di controllare, gestire, operare o no.
* Il livello di base: il completamento della trasmissione ad alta velocità e lo scambio di informazioni per ottenere l'interoperabilità con altre reti.
Inoltre, la banda larga IP MAN di nuovo sicurezza logica piattaforma applicazioni architettura consiste di due piani, vale a dire, a banda larga IP piano MAN e intelligente applicazione piano di sicurezza di gestione, illustrato nella figura 2.
Figura 2 i due piano
Non è una semplice sovrapposizione di due piani, ma complementari, di coordinamento, e organicamente si combinano per formare una completa e unificata in grado di controllare, gestire, operare a banda larga IP MAN.
° IP a banda larga MAN aereo: la maschera principale dalla tradizionale rete IP a banda larga area metropolitana di fornire l'accesso degli utenti a banda larga IP MAN, il carico di informazioni e servizi di scambio, e finire con le altre reti di interconnessione e post-Internet è un IP a banda larga MAN pietra angolare della piattaforma di sicurezza delle applicazioni.
* Intelligent Application piano di gestione della sicurezza: PKI e PMI, basate sulla fiducia e sulla tecnologia di intelligence autorizzati, costruire un ambiente di rete affidabile e fornire apparecchiature di rete sicuro e affidabile e accesso degli utenti, la trasmissione e lo scambio di informazioni, attività di gestione dei servizi, IP Broadband Metropolitan Area Network di sicurezza è una applicazione di base della piattaforma.
3,2 applicazioni di sicurezza e soluzioni di gestione
Attraverso l'applicazione di infrastrutture informazioni security research based on centri nazionali con indipendente diritti di proprietà intellettuale di PKI / trust PMI e autorizzati technology platform intelligenza, per costruire la credibilità di IP a banda larga MAN ambiente network, usando l'approccio digital certificate per realizzare IP Broadband City area utente di autenticazione di rete e l'autorizzazione.
L'idea principale è presentata all'utente PKC (compresi i tuoi dati personali, quali numero di serie, l'indirizzo IP, indirizzo MAC e altre informazioni) e AC (comprese le informazioni attribute dell'utente, come il ruolo, le autorizzazioni di controllo di accesso, ecc.) Nell '"unico soggetto", una licenza base, per l'unicità della PKC, e individuare con precisione l'identità dell'utente. Con la controllabile autenticazione di accesso porta di switch e gestione del background di certificazione, può il certificato con il porto (che può includere anche l'indirizzo IP) per stabilire la corrispondenza flessibile, e determinare se l'utente può accedere a banda larga IP MAN, Allo stesso tempo, fornire l'accesso al traffico, la durata, il tempo e altre statistiche, nonché i diritti degli utenti nell'ambito della AC, quando il lungo, la fatturazione e la gestione di altri beni. Questa flessibilità tramite certificati e vincolante del porto, a costruire un porto sul certificato e IP Broadband Metropolitan Area Network modello di sicurezza di gestione, simile alla linea a base di modello di gestione PSTN.
Inoltre, la chiave pubblica del certificato digitale codice di identificazione incorporato in un dispositivo fisico (il materiale dei vettori certificati digitali), l'uso di interfacce USB. Meige Entity dispositivo di autenticazione Huanyou una protezione del codice PIN password, continuo verificarsi Jici dopo soccombente PIN Shuru, ente di autenticazione password del dispositivo Hui stato bloccato automaticamente, rendendo il dispositivo entità codice di identificazione Jinxing Cidiangongji Feichangkunnan, in modo che solo gli enti Tongshidedao codice di identificazione del dispositivo e il codice PIN corrispondente a posare come utenti legittimi, questo nome utente authentication che il modo attuale semplice per aggiungere il codice PIN è più sicuro, l'identificazione più efficace di accesso alla rete agli utenti di status giuridico, per prevenire la contraffazione.
Nell'attuazione specifica, attraverso the Intelligent Security piano di gestione delle applicazioni a banda larga IP MAN per implementare e gestire applicazioni di sicurezza, il piano di entire, compresi trust and autorizzati servizio platform intelligence di supporto, di rete e piattaforma di gestione for dominio trusted e integrata piattaforma di gestione aziendale di tre parts .
Fiducia e servizi di autorizzazione a supporto del pianale al centro della piattaforma adottata dalla PKC dell'entità, authentication AC, autorizzazione e gestione per creare un unico IP a banda larga rete metropolitana area ambiente basato intelligente of fiducia ed autorevolezza, il dominio di fiducia per la piattaforma di gestione della rete e integrata gestione aziendale piattaforma applicativa per fornire servizio affidabile e sicuro.
piattaforma di gestione della rete di fiducia di dominio e gli enti per la gestione della rete, per garantire che solo i soggetti di fiducia che ha rilasciato il certificato digitale del soggetto può essere un efficace rete di accesso.
gestione integrata delle imprese direttamente all'utente, la fiducia e l'autorità nella piattaforma di servizi intelligenti di fornire i certificati di banda larga IP degli utenti, i certificati delle attrezzature e degli attributi certificato utente basato sulla fatturazione utente, gestione aziendale.
3.2.1 intelligente piattaforma di supporto di fiducia e di servizio di autorizzazione
L'uso di PKI / piattaforma di supporto del sistema AMP di fiducia e di servizi IP a larga banda di autorizzazione per le reti metropolitane di fornire servizi servizi fiduciari e di autorizzazione. Piattaforma PKC il tramite di soggetti, l'autenticazione AC, autorizzazione e gestione di creare una base unificata per l'ambiente intelligente di fiducia e di autorità istituita "una entità di una licenza, la certificazione unificata, la gestione distribuita sequenziale" a banda larga IP MAN funzionamento da rete e la modalità di gestione.
La cosiddetta "certificazione unificata" si intende: per un terzo centro di certificato di autenticazione delle parti (CA) rilasciato dall'organismo di certificazione responsabile per l'unificazione of broadband IP users MAN, attrezzature PKC, autorizzato dalla fiducia e il supporto, uno platform unified to fornire corrente alternata e ottenere il certificato rilasciato gestione unificata, garantire servizi di rete affidabile gestione del dominio. L '"amministrazione Distributed sequenziale": il dominio di gestione della rete di fiducia in base alla reale portata di responsabilità e di dividersi, ogni città o area metropolitana IP a banda larga di sistemi per il tipo di base della fiducia del dominio utente (ad esempio distinguendo normale Gli utenti privati, grandi clienti, ecc), la fiducia di base di ogni dominio ha un proprio sistema di gestione è responsabile della gestione del dominio trusted, sistema di gestione di rete per il trust di dominio servizi fiduciari e di autorizzazione attraverso la piattaforma di supporto di fiducia e all'Autorità di fornire assistenza. Questo modello la responsabilità di costruire una chiara e facile gestione, la rete a livello di sistema di domini trusted e sistema di gestione.
(1) Certificato del Sistema Operativo
I servizi alle imprese Certificate Key Management System (KM), basato sull'adozione di CA, l'esame centro certificato di registrazione (RA) e altre applicazioni per fornire certificati digitali, servizi di audit.
(2) certificato di controllo di verifica per il servizio
Richiesta servizi di sistema di certificazione per la piattaforma di gestione delle applicazioni aziendali per fornire il servizio di autenticazione certificato, compreso il servizio informazioni elenco abbonati e dei certificati di servizio di consultazione on-line. sistema di autenticazione inchiesta servizio include Lightweight Directory Access Protocol (LDAP) e il server Online Certificate Status Protocol (OCSP) per fornire server, tra cui vari tipi di certificati rilasciati, elenco di revoche di certificati (CRL) e la pubblicazione on-line lo stato del servizio di controllo del certificato.
(3) autorizzare il sistema dei servizi
AMP di cui il sistema dei servizi di business basati on il certificato per utenti autorizzati and management applicazioni e servizi di gestione delle risorse, i primi responsabili sistemi di applicazione e le applicazioni di servizi autorizzati a related gestione delle identità degli utenti per le applicazioni autorizzate per fornire la funzionalità di mapping.
(4), timbro di fiducia del sistema il tempo di servizio
Trusted timbro sistema di tempo di servizio è basato sul sorgente momento di autorità statale and public tecnologie chiave, applications business per the sistema di gestione della sicurezza prevede timbro ora esatta and affidabile per garantire il trattamento dei dati esistenza at un certo tempo e sequence tempo relative delle relative operazioni, per il business manipolazione non ripudio e la controllabilità di un sostegno efficace. Trusted timbro sistema di tempo di servizio dal momento in cui la fonte del potere statale e di unità a livello di sistema del tempo, dal momento National Service Center per ottenere l'autorità del tempo.
(5) di base del sistema di protezione di sicurezza
sistema di sicurezza di base è costituito da firewall, sistemi di rilevamento delle intrusioni, sistemi di scansione di vulnerabilità, audit di sicurezza, sistemi di prevenzione del virus, sistemi informativi sul Web, la composizione a prova di manomissione, la formazione di un tutto tondo vista della barriera di sicurezza di base.
(6) Il recupero e ripristino del sistema di emergenza
Disaster recovery e di backup del sistema comprende: materiale a duplice chiave per il backup del sistema locale e backup di dati importanti a caldo del freddo, a distanza edificio centro di disaster recovery.
3.2.2 rete di dominio e gestione piattaforma di fiducia
apparecchiature critiche, si è terminale importante e adozione utente "di un ente di uno certificato" means a creare fiducia in domini di rete, tra cui la credibilità di accesso alla rete, la sicurezza, la comunicazione di rete e gestione dei trust services.
un'attuazione credibile della tecnologia di autenticazione di accesso alla rete in modalità di accesso basati su Ethernet, utilizzando la tecnologia PKI certificato digitale, basata su standard IEEE 802.1x, supporto per i certificati X.509, i certificati di autenticazione attraverso l'accesso che si basa sul raggiungimento di porta controllo di accesso.
Proteggere le comunicazioni di rete basati su gateway IP per raggiungere la crittografia, che si basa sul protocollo IPSec, utilizzando la tecnologia PKI per lo scambio di informazioni di rete tra domini di fiducia per consentire un accesso sicuro e affidabile.
sistema di gestione della rete è il principale responsabile della trust trust di dominio all'interno i dati degli utenti della rete e gestione della rete, e map-type gestione location CPE, il monitoraggio condizione, la gestione remota di configurazione dei parametri, mentre la raccolta various types of collection access switch client authentication IP aziendali di elaborazione dati, comprese le informazioni sulle porte degli utenti, di servizi IP che utilizza il flusso di dati e l'uso delle informazioni in tempo.
3.2.3 Integrated Business Platform Management
piattaforma di business Gestione integrata direttamente agli utenti, compresa la gestione aziendale, gestione clienti, gestione fatturazione, gestione delle risorse di rete, Security Management System, sistema di manutenzione e gestione, sviluppo di nuovo business e di gestione, conoscenza sezione di gestione. piattaforma di business integrato di gestione possono essere riassunti come astrazione a tre livelli: livello di dati, di processo di livello business, a livello di applicazione.
Strato di archiviazione dei dati degli oggetti principali del sistema di dati, inclusi i dati del certificato, i dati del dispositivo, i dati di base di dati di sistema tre categorie.
Business processi di business di elaborazione livello di logica, il processo è incapsulato in moduli separati nel sistema di pianificazione da parte dei moduli unificati funzioni aziendali diverse chiamate di sistema tra i moduli.
livello di applicazione è la finestra rivolti ai clienti per una vasta gamma di IP a banda larga applicazioni per fornire servizi a valore aggiunto e interfaccia utente, e in ultima analisi al livello di processi aziendali di gestire tutti i tipi di business, e lo sfondo strato di dati per il livello dei processi di business di fornire le corrispondenti dati del sistema dei servizi.
3,3 utenti del processo in linea
In questo schema, un utente di godere di servizi a banda larga prima, si deve ottenere un valido certificato di ufficio operatore Dao attività di accettazione per il processo di applicazione Shuzizhengshu, domanda di certificato digitale è riuscita, con i venditori Paifayonghu un dispositivo password Shiti identificazione e di un indirizzo IP, si ottiene una busta password, contenente il numero di entità la password del dispositivo seriale di identificazione e una password, in modo che gli utenti applicano il successo aziendale. Poi, gli utenti PC hanno bisogno di accedere alla procedura di accesso per installare e configurare l'assegnazione di indirizzi IP, così fanno i preparativi di accesso. Bisogno di accesso a Internet, l'identificazione dell'utente dispositivo Plug enti password, avvio procedura di accesso, digitare il codice ente identificare il numero di matricola e password, quindi lo switch di accesso e servizi di autenticazione di trust per supportare la piattaforma con l'autenticazione degli utenti autorizzati digitali certificate, certificazione dopo il passaggio del l'utente può usufruire di servizi a banda larga, non approvata, che vieta l'accesso degli utenti. Durante la utilizza regolarmente Internet, l'identificazione di autenticazione di accesso dello switch invia periodicamente la password per l'entità della richiesta di certificato, e il dispositivo di identificazione codice ente certificato di autenticazione di fare l'upload per garantire la legalità degli utenti Internet.
Quando gli utenti non in linea normale, il primo certificato dal processo di login per l'accesso tasto per inviare il messaggio richiesta, richiedere l'accesso offline autenticazione ricevuto dopo l'interruttore, l'utente invia una risposta ai risultati, e per sostenere la piattaforma di fiducia e di servizio del pacchetto autorizzazione a inviare al largo della linea di assemblaggio e le porte chiuse. Quando l'utente non in linea non-normale (come ad esempio le password utente direttamente staccare gli identificatori di impresa, al largo o scollegare il cavo di rete, ecc), l'autenticazione switch di accesso prenderà l'iniziativa per rilevare l'evento (a causa di un regolare scambio di autenticazione con password l'accesso alla identificazione del dispositivo entity Inviare la richiesta di certificato), poi per la piattaforma di supporto di fiducia e di pacchetto di servizi di autorizzazione e chiuso la porta a spedire la linea di assembly, ma il risultato non prevede l'invio di una risposta per l'utente.
4 Conclusione
Il progetto ha sede a Shenzhen Telecom IP MAN effettuato una certa quantità di prove e 20 marzo 2003 organizzato dal Ministero della Scienza e della perizia.
Vale la pena notare che il sì, di applicare i certificati di identità del progetto e Zhu certificato di Xing, Keyifangbian De Jin Xing Anquanrenzheng sull'identità degli utenti, Jiang servizi Yonghushiyong valore aggiunto del Kuang Qing a verbale nel certificato di attributo, la sicurezza in tal modo l'applicazione di informazioni Jiejue, la fatturazione, ecc questioni come l'autenticazione, le spese pre-pagate per servizi a valore aggiunto di creare buone condizioni per il lancio.