1はじめに
21世紀のネットワークの能力と情報セキュリティの包括的な国力、経済競争力と今後の国際競争のシンボルの可能性、"キラー"。現在、中国は、様々なアプリケーション、情報セキュリティに基づいて、安全で信頼性の高い通信インフラストラクチャネットワークのプラットフォームとなる国民経済と社会情報の処理を必要とスピードアップしています。
開発と進化ネットワーク技術ので、IPブロードバンドメトロポリタンエリアネットワークブロードバンドネットワークが様々な情報技術アプリケーションの開発の方向IP技術をベースとなるとなっている。しかし、現在のIPを効果的に法的地位を識別できないことができる首都圏ネットワーク管理などの多くの問題が、セキュリティ上のアプリケーション:ネットワークユーザーにブロードバンド、ユーザーの個人情報はon効果的に保護図ること。効率的に対策防止を問題を解決することはできません。
これらの問題が1つの手を率いて、IPアドレスMANは、制御管理することができますブロードバンド、管理が悪いです。一方、直接国家情報国の安全に関連するセキュリティに影響を与える。
主な理由は、これらの問題につながる、現在のブロードバンドのIPマニュアルtoによる"ユーザー名is password検索する"認証メソッドは、、とsimple management primaryを達成できる、セキュリティが(不正のease、combined suchとして十分なnot)です。ユーザ名とない固定アクセス回線に対応関係がユーザーのハード検索する、困難なユーザー権限を管理するandようにアクセスすることです。
したがって、効果的に現在のIPアドレスに首都圏のネットワーク管理や問題のセキュリティアプリケーションをブロードバンドには、まずユーザ認証を解決しなければならない、ユーザー権限管理、ユーザー向きはやその他の問題は、信頼できるネットワーク環境を確立します。
近年では、情報セキュリティ技術、広範な注目を受けかなりの進歩を遂げて、特に、公開鍵基盤に基づいている(PKI)と特権管理インフラストラクチャ(PMIの)信頼とintelligent技術のブレークスルーof権限の大規模されhas電子使用政府、電子商取引システム。
したがって、この資料では、PKIの/ PMIの信頼とインテリジェントなIP技術の権威、デジタル証明書の認証方法をブロードバンド首都圏ネットワーク、for信頼された環境を作成するに基づいて使用するについて説明します、ブロードバンドのIP MANのための情報セキュリティ技術の管理運用管理は、"動作し、管理制御することができますビルドには、"キャリアグレードのIPは、様々な情報の基本的な通信ネットワークプラットフォームの安全と信頼性の高いアプリケーションを提供するために首都圏ネットワークのブロードバンド。
これは全く新しいアイデア、新しい試みは、IP MANの他の管理方法の詳細セキュリティと柔軟性もです。
2 PKIは、/ PMIの概要
2.1 PKIの
PKIは、公開キーテクノロジーに国家情報のsecurityインフラ(国科捜)it of important一部、データ機密性、integrity、認証およびオンラインの否認防止of behavior toセキュリティ目的のため、このようなbrowsing、ネットワークのアプリケーション(デバイスは、電子メール)信頼性の高いセキュリティサービスを提供します。 RSA非対称アルゴリズムと楕円曲線2つのアルゴリズムの公開鍵(ECC)をサポートデュアルキーと国家情報セキュリティインフラストラクチャでは、PKI証明書システム、対称鍵暗号はステート暗号化管理委員会のオフィスを暗号化アルゴリズムを指定サポート。公開鍵インフラストラクチャの信頼のサービスは、システムや鍵管理システムが含まれます。
公開鍵-ベースのPKIデジタル証明書(暗号)認証のメカニズムのentity authenticationのサービスofシステム全体の信頼のサービスのシステムの主要な任務、soシステム全体のcontext in onlyとして実体の真のアイデンティティを決定するためのシステム-幅establishにin信頼に一貫。
鍵管理システムは主にサービスの管理を担当し、緊急管理の規定は、鍵回復機能の特殊なケースを承認するシステムにキーを提供します。
2.2 PMIの
PMIは国立科学捜査の目的の重要な部分は承認されたユーザーとアプリケーションサービス管理を提供し、さアプリケーションシステムと承認サービスuserのアイデンティティの管理に関連するアプリケーションのための責任をマッピング関数の適用承認を提供することです。
認証とアクセス制御のメカニズムのコア属性based証明書(交流)としてPMIのリソース管理、authorized機関byリソースtoアクセスover一元管理thatリソースの所有者のアクセスを制御する管理になるだろう。 PKIは、2つの主な違いと比較されます:PKIは、そのPMIはどのようなアクセス許可をユーザーが行うことができます、とPMIを証明しながら、PKI認証サービスを提供する必要があるユーザー。
3のIPは、首都圏ネットワークセキュリティソリューションをブロードバンド
3.1 IPアドレスは、首都圏ネットワークアプリケーションプラットフォームのセキュリティアーキテクチャをブロードバンド
IPアドレスブロードバンド首都圏ネットワークセキュリティアプリケーションプラットフォームは、ブロードバンドmetropolitanエリアネットワーク上で従来のIP、core、構築などのPKI / PMIのネットワークと情報セキュリティ技術、統合ビジネス管理をベースのフレームワークは料金が統一された、制御できる管理は、IP MANのブロードバンド動作させることができます。
論理的にブロードバンドIP MANのセキュリティアプリケーションのプラットフォームへの内外3つのレベル、すなわちに分かれており、アクセス認証層は、アグリゲーションレイヤとコア層は、図1に示すように構成されます。
図1 3層アーキテクチャ
*アクセス認証のレイヤ:IPアドレスのブロードバンドアクセスユーザとネットワーク機器の認証が完了)認証されたユーザーやネットワーク機器、ネットワーク領域で構成された信頼されたドメインのネットワーク(構成します。不正ネットワーク機器やIPをユーザーがautomatically blockし、システムsafe信頼性の高いネットワークシステムを不正アクセス、セキュリティを防ぐためのlimitations broadbandブロードバンドのIP MANの実現control can、管理is、基礎をoperate。
*タンデム層:様々なビジネスの1つの完了は、タンデム機能をストリーム;一方、PKIの、PMIのシステムの導入を介してネットワーク要素と管理、統合されたビジネス内のユーザーID認証、信頼、承認および認証を実現する管理。ブロードバンドIP MANの実現には、制御、管理、運営かどうか。
*コアレベル:高速伝送や情報交換の完了他のネットワークとの相互運用を実現します。
加えて、再び2つのレベルに、すなわち、分割されたIP MANの面を、インテリジェントなセキュリティアプリケーションの管理面、図2に示すようにブロードバンド論理的に安全なアプリケーションのプラットフォームアーキテクチャのIP MANのブロードバンド。
図2の2つの平面
2つの面の単純な重ね合わせは、ではなく、補完、調整は、有機的には完全な統一は、管理制御することができます形成するために組み合わせることにより、IPアドレスの人をブロードバンドで動作します。
· IPは首都圏ネットワークのブロードバンドのIP MANのユーザーアクセス、情報の読み込みと交換のサービスを提供するブロードバンドは、MAN面:従来のIPアドレスからメインformブロードバンドとその他のポスト接続ネットワークとfinishとインターネットブロードバンドのIP isセキュリティアプリケーションプラットフォームの男の基礎。
*インテリジェントアプリケーション管理面のセキュリティ:PKIとPMIの、信頼と認定知能技術に基づいて、信頼できるネットワーク環境を構築し、安全で信頼性の高いネットワーク機器やユーザーのアクセス、情報伝達と交換を提供し、ビジネス管理サービス、セキュリティアプリケーションは、IP MANのブロードバンドのコアプラットフォームです。
3.2セキュリティアプリケーションおよび管理ソリューション
情報セキュリティインフラストラクチャのapplication国立研究所on PKIの/ PMIののtrust and authorizedインテリジェンスプラットフォーム技術の独立した知的財産権とbased IPの信頼性をビルドすると、IP Broadband市を実現するデジタル証明書のアプローチを使ってMANネットワークのブロードバンド環境エリアネットワークのユーザー認証と承認。
主なアイデアは、ユーザ暗号(シリアル番号、IPアドレス、MACアドレスやその他の情報)とロールなど、ユーザーの属性情報を含む電源(のようなお客様の個人情報を含むに提示されると、アクセスコントロールのアクセス許可など)。 PKCの一意性によって"1つのエンティティでは、1つのライセンス"基礎、かつ正確にユーザーIDを識別します。制御スイッチポートのアクセス認証と認証管理の背景により、その、flexible対応を確立することができますもIPアドレスをアドレスが含まできるポート(with証明書)およびwhetherユーザーは、IPマニュアルのブロードバンドアクセスすることができますdetermine、同時に、およびAC下のユーザー権利のトラフィック、期間、時間とその他の統計情報へのアクセスを提供いただく場合限り、請求およびその他の財産管理。証明書とポートのバインドをこの柔軟性は、証明書とIPブロードバンドメトロポリタンエリアネットワークのセキュリティ管理モデルは、PSTNラインベースの管理モデルに同様のポートを作成します。
また、公開鍵デジタル証明書の識別コードは、物理デバイス(デジタル証明書の材料キャリア)に埋め込まれては、USBインターフェイスを使用する。各エンティティのデバイスの識別コードはPINコードの保護、いくつかの失敗暗証番号入力の承継は、物理デバイスの識別コードが自動的に、エンティティ、デバイスの識別コードは非常に辞書攻撃を行うので、難しいと同時に唯一のエンティティはbeことをて回っているロックされますデバイスの識別コードと対応するPINコードは、正当なユーザーとしてポーズを、現在の単純な方法は暗証番号を追加するよりも、この認証のユーザ名は、より安全な法的地位へのネットワークユーザーのアクセス、他の多く効果的な身分証明書は、偽造を防ぐためです。
特定の実装では、インテリジェントなアプリケーションの管理の面でsecurity trust、権限情報サービスのsupportのplatform、ネットワークと信頼されたドメインと3の部分のintegratedビジネスの管理プラットフォームの管理プラットフォームを含むIPアドレスBroadband Metropolitanエリアネットワークアプリケーションとセキュリティ管理、entire飛行機、implement to 。
信頼とプラットフォームエンティティの暗号は、AC認証、承認、経営者によって統一されたIPアドレスを作成するために採択されたのコアのプラットフォームをサポートして承認サービスは、首都圏ネットワークを信頼性と権威の知的環境に基づいてブロードバンド、ネットワーク管理プラットフォームの信頼ドメインと統合されたビジネスアプリケーションの管理プラットフォーム信頼性の高い、安全なサービスを提供する。
ネットワーク管理プラットフォームは、ネットワーク管理上のエンティティ、確実にドメインの信頼は、効果的なアクセスのネットワークであることができるエンティティのデジタル証明書を発行した信頼できる唯一のエンティティ。
インテリジェントなサービスプラットフォームのユーザーは、信頼と権威directlyへの統合のビジネス管理、ビジネス管理のIPブロードバンドユーザーの証明書を、機器の証明書とユーザー属性certificateユーザ請求に基づいたする。
信頼と承認サービスの3.2.1インテリジェントサポートプラットフォーム
使用して、信頼とIPの承認サービスのPKI / PMIのシステムのサポートプラットフォームの信頼のサービスと認証サービスを提供する首都圏ネットワークのブロードバンド。エンティティを通じてプラットフォームは、暗号は、AC認証は、承認、管理、信頼性と権威の知的環境の統一基準を作成する"1つのエンティティをライセンス設立され、統一された証明書は、"IP MANはブロードバンドシーケンシャル管理を分散ネットワークの運用管理モード。
いわゆる"統一認証"と呼ばれることを意味:サードパーティの証明書の認証センターで(カナダ)認証機関はブロードバンドIP MANのユーザーの統一、機器の暗号責任によって発行された。信頼とサポートサービスを、統一されたプラットフォームでACを提供するために承認と証明書を発行を達成統合管理は、ネットワークを確保するためのドメイン管理サービスを信頼された。 "分散シーケンシャル管理"とは:分割する責任の実際の範囲と、各都市ソウルなど首都圏のIPに基づいてネットワークドメインの信頼関係管理も信頼の基本タイプのユーザードメイン(することができますその垂直区別としてシステムのブロードバンド信頼のサポートプラットフォームと権威サービスサポートを提供することを通じて、信頼ドメインの信頼および承認サービスのホームユーザは、大規模な顧客、等)は、各ドメインの基本的な信頼は、独自の管理システムを持って信頼されたドメインの管理を担当して、ネットワーク管理システム。このモデルは、責任を信頼されたドメインおよび管理システムを明確に、簡単に管理、システム全体のネットワークを構築する。
(1)オペレーティングシステムの証明書
ビジネスサービス証明書のキー管理システム(KM)のCAの採用は、レジストリの監査(RAの証明書)と他のアプリケーションのデジタル証明書、監査サービスを提供するに基づいてシステム。
(2)証明書のチェック検証サービスシステム
ビジネスアプリケーションの管理プラットフォームの問い合わせシステムの認証サービスは、ディレクトリの照会サービスおよび証明書オンライン照会サービスを含む証明書の認証サービスを提供する。お問い合わせ認証サービスシステムは、証明書、証明書失効リスト(CRL)出版やオンライン証明書ステータスチェックサービスissuedのvariousタイプを含むにLightweight Directory Accessプロトコル(LDAP)をサーバーとオンライン証明書ステータスプロトコル(OCSP)サーバを提供する、含まれています。
(3)サービスシステムを承認
PMIのビジネスサービスのシステム権限のユーザーとアプリケーションの管理とリソース管理のサービスのための証明書に基づいて、primarilyアプリケーションのsystems、承認services userのアイデンティティの管理toアプリケーションmappingの機能を提供する権限に関連するアプリケーションの責任。
(4)は、タイムスタンプサービスシステムを信頼
信頼のタイムスタンプサービスシステムは、権力のタイムソースとpublic key技術、セキュリティの管理システムのビジネスアプリケーションを基づいており、ビジネスを正確かつ信頼性の高いタイムスタンプをcertain時間及び関連作戦の相対的な時系列at存在をデータの処理を確実に提供しています否認防止と監査を処理する効果的な支援を提供します。国立タイムサービスセンターからの時から信頼されたタイムスタンプサービスシステムは、国家権力と時間のシステム全体の結束の源、時間の権限を取得します。
(5)基本的なセキュリティ保護システム
基本的なセキュリティシステムは、ファイアウォールの侵入検知システムは、脆弱性システム、セキュリティ監査、ウイルス防止システム、Web情報システムをスキャン、耐タンパー性組成で構成され、基本的な安全バリアのすべてのラウンドビューの形成。
(6)復旧と災害復旧システム
災害復旧、バックアップシステムが含まれています:ローカルシステムのバックアップと寒さ、リモート惨事復旧センターの建物の重要なデータのホットバックアップのためのデュアルキー装置。
3.2.2ネットワークドメインと信頼管理プラットフォーム
重要な機器は、それが重要な端末と証明書のエンティティのユーザへの導入""ネットワークのドメインでは、ネットワークアクセス、セキュリティ、ネットワーク通信と信頼の管理サービスの信頼性などの信頼を構築することを意味します。
はIEEE達成へのアクセス認証証明書を802.1x標準は、X.509証明書のサポート、ベースのイーサネットベースのアクセスモードへのネットワークアクセスの認証技術の高い信頼性の実装は、PKIデジタル証明書の技術を使用して、ポートベースのアクセス制御。
セキュアな通信ネットワークのIP暗号化ゲートウェイ上で、どのIPSecのプロトコルに基づいて、信頼されたドメイン間のネットワークの情報交換の安全and reliableアクセスを提供するPKIの技術を使って達成するために基づいて。
GeleiクライアントのアクセススイッチをRenzheng収集中にメイン信管のためのネットワーク管理システムは、ネットワークデータとネットワークの管理、地図型CPEのデロケーション管理、Zhuangtaijiankong、元チェンパラメータの設定管理を実現するために、ドメインの信頼関係のドメインユーザーを信頼Shangshouチのユーザーポート情報は、IPサービスのデータフローと時刻情報の使用を使用などのIPのビジネス処理データ。
3.2.3統合型ビジネス管理プラットフォーム
経営管理、顧客管理、請求管理、ネットワークリソースの管理、システムのセキュリティ管理、システムの保守管理、新規事業の開発と管理を含むユーザーに直接統合されたビジネス管理プラットフォームは、知識管理部。統合業務管理プラットフォームは、3層の抽象化のように要約することができます:データ層、ビジネスプロセス層、アプリケーション層。
証明書データ、デバイスデータ、コアデータシステムデータの3種類を含む、システムの主要なデータオブジェクトのデータストレージ層。
ビジネス処理層のビジネスロジックの処理は、プロセスが別のモジュール、システム内の様々なモジュール間の呼び出しの一体的なビジネスシステムの機能をモジュールをスケジュールによってカプセル化されます。
アプリケーション層は、IPアドレスの幅広い顧客向けウィンドウが付加価値の高いサービスとユーザーインターフェイスを提供し、ビジネスプロセス層、最終的にビジネスのすべてのタイプを処理し、ビジネスプロセス層のための背景データ層を提供するアプリケーションをブロードバンド対応システムデータサービス。
オフラインプロセス3.3ユーザー
この方式では、前にブロードバンドサービスの楽しさで、ユーザーは、それがオペレータのビジネスにBanlishuozi証明書、デジタル証明書申請のための学科を受けて有效書類を入手する必要があります成功すると、セールスマンでPaifaユーザーエンティティパスワードJianbieデバイスとIPアドレス、Tongshiされパスワードエンベロープを含むエンティティのパスワード識別装置のシリアル番号とパスワードを、ユーザーがビジネスの成功を適用すること。次に、PCユーザは、ログインプロセスをインストールし、IPアドレスの割り当てを構成するアクセスする必要があるので、アクセスの準備を行う。必要インターネットアクセスは、ユーザの識別装置のプラグエンティティのパスワードは、開始のログイン手順は、エンティティのコードをシリアル番号とパスワードを、アクセス認証および承認サービススイッチと信頼デジタル証明書ベースの認証、認証用のユーザ支援プラットフォームの識別を入力ユーザーの通過後にブロードバンドサービスを楽しむことができます。渡されない、ユーザーのアクセスを禁止する。通常のインターネットユーザーの間に、スイッチのアクセス認証識別は定期的にエンティティ証明書の要求、およびエンティティデバイスの識別コード認証証明書を行うには、インターネットユーザーの合法性を確保するためにアップロードするためのパスワードを送信します。
ユーザーが通常のオフライン、第一ログインのプロセスによってアクセスto certifiedは、オフラインのaccess認証要求を切り替えた後受け取ったrequestのオフラインをsendに切り替えると、ユーザーと、結果に応答をsends信頼および認可サービスのパッケージof platformを組み立てラインから送信するsupportに閉じたポート。ユーザーがユーザーのパスワードなどの非正規オフラインで(直接、オフにエンティティの識別子を外したり、ネットワークケーブルなど)を外し、アクセス認証スイッチが率先してイベントを(定期的にエンティティデバイスの識別へのアクセスの認証パスワードを交換するために検出するためにかかる送信証明書の要求)し、信頼と承認サービスパッケージのサポートプラットフォームと、ポートを組立ラインをオフに送信するために閉じて結果がユーザーに応答を送信しません。
4結論
プロジェクトは、深セン通信のIPマニュアルに基づいている裁判の一定量を2003年3月20日に省科学の専門家の検査の主催で実施した。
価値が、簡単にユーザーのセキュリティ認証を行うことができる、ユーザーはプレミアムビジネスを使用してプロジェクトの証明書と属性証明書のIDを使用して、その属性証明書に記録され、注目により情報ベースのアプリケーションのセキュリティを、請求などの解決は認証、付加価値サービスのプリペイド料金などの問題が起動するための良好な状態を作成します。