1 Innledning
Evne til nettverk og informasjonssikkerhet i det 21. århundre omfattende nasjonal styrke, økonomisk konkurransekraft og levedyktighet symbolet for den fremtidige internasjonale konkurranse, "killer". I dag er Kina påskynde prosessen med nasjonale økonomiske og sosiale informasjon, må være en trygg og pålitelig infrastruktur for telekommunikasjon nettverk plattform for ulike programmer basert på informasjonssikkerhet.
Med utviklingen og utviklingen av nettverksteknologi, har IP Broadband Metropolitan Area Network bredbåndsnett blir utviklingen retning av ulike IT-programmer vil være basert på IP-teknologi. Men dagens bredbånd IP MAN Zaiguan Li og sikkerhetsprogrammer, er det mange forhold som: tilgang til nettverket kan ikke effektivt identifisere brukerens rettslige status, brukerens personlige opplysninger kan ikke være riktig for å oppnå effektiv Bao Hu; kan ikke effektivt Kang benektelse av problemer.
Disse problemene førte den ene hånden, bredbånd IP MAN kan kontrollere, administrere, er ledelsen dårlig, derimot, direkte påvirker sikkerheten til nasjonale opplysninger knyttet til sikkerheten i landet.
Den viktigste grunnen som fører til disse problemene skyldes den gjeldende bredbånd IP MAN med et "brukernavn + passord" authentication metoden kan bare oppnå det primære, og enkel administrasjon, er sikkerhet ikke nok (for eksempel enkel underslag, kombinert), brukernavn og Det er ingen fast aksess linjer tilsvarende forhold gir brukere tilgang til vanskelig å finne, vanskelig å administrere brukerrettigheter og så videre.
Derfor, for å effektivt ta opp aktuelle IP bredbånd storbyområdet nettverksadministrasjon og sikkerhetsprogrammer i problemene, må vi først løse brukerautentisering, å bruker autorisasjon ledelse og brukerorientering og andre spørsmål, etablere et klarert nettverksmiljø.
I de senere årene, informasjonssikkerhet teknologi fått omfattende oppmerksomhet, og har gjort betydelige fremskritt, spesielt, er basert på offentlig nøkkel infrastruktur (PKI) og Privilege infrastruktur (PMI) av tillit og autoritet av intelligent teknologi gjennombrudd har blitt større brukt i e-government, e-handel system.
Derfor vil denne artikkelen drøfte hvordan du bruker basert på PKI / PMI tillit og autoritet intelligente IP teknologi for å skape et pålitelig miljø for bredbånd hovedstadsområdet nettverk, hvordan digitale sertifikat autentisering, håndtering av informasjonssikkerhet teknologi for bredbånd IP MAN driftsadministrasjon, å bygge en "kan kontrollere, administrere, management" carrier-grade IP bredbånd hovedstadsområdet nettverk, for en rekke informasjon for å gi en sikker og pålitelig bruk av grunnleggende telenett plattform.
Dette er en helt ny idé, et nytt forsøk, IP MAN enn andre driftsmetoder mer sikkerhet og fleksibilitet.
2 PKI / PMI Oversikt
2.1 PKI
PKI nasjonale informasjonssikkerhet infrastruktur (NISI) en viktig del av en åpen Key Technology, basert på data konfidensialitet, integritet, autentisering, og Xing Wei Wangshangshenfen den Buke benektelse Wei sikkerhet Mudi for nett-programmer (som Liu Lan enheter, e-post) for å gi pålitelig sikkerhetstjenester. På nasjonalt informasjonssikkerhet infrastruktur, PKI-sertifikat system med dual-tasten, som støtter RSA algoritmen asymmetriske og elliptisk kurve offentlige nøkkelen (ECC) av to algoritmer, støttet symmetriske chiffer kontoret til Statens Encryption Management Kommisjonen utpekt den kryptografiske algoritmen. Public Key Infrastructure stoler inkluderer systemet og sentrale styringssystem.
De viktigste oppgavene til den tillit tjenesten system for hele systemet av offentlig-nøkkel-basert PKI digitale sertifikater (PKC) sertifisering mekanismen foretaket autentiseringstjenester å aktivere omfanget av hele systemet den eneste måten å finne den sanne identiteten til den enheten for å etablere hele systemet konsistent grunnlag innenfor tillit.
Key styringssystem gir nøkkelen til systemet er i hovedsak ansvarlig for forvaltningen av tjenestene, til å yte beredskap administrasjon fullmakt som gjelder spesielt for viktige utvinning funksjoner.
2.2 PMI
PMI er en viktig del av NISI Målet er å gi autoriserte brukere og anvendelse service management, er ansvarlig for programmet systemer og applikasjoner til autoriserte tjenester relatert til styring av brukerens identitet til å gi fullmakt til anvendelsen av kartleggingen funksjonen.
PMI ressursforvaltning som en kjerne attributt-baserte sertifikater (AC) av autorisasjon og tilgangskontroll mekanismer, vil bli samlet kontroll over tilgangen til ressurser forvaltes av autoriserte institusjoner, fra eierne av ressurser for å gjennomføre tilgangskontroll. Sammenlignet med PKI, den største forskjellen mellom de to er: PKI at brukere som, mens PMI for å bevise hvilke rettigheter brukeren kan gjøre, og PMI må oppgi PKI autentisering tjenester.
3 IP Broadband Metropolitan Area Network Security Solutions
3.1 IP Broadband Metropolitan Area Network Application Platform Garanti Arkitektur
IP Broadband Metropolitan Area Network Security Application Platform er rammen av den tradisjonelle IP over bredbånd hovedstadsområdet nettverk basert PKI / PMI nettverk og informasjonssikkerhet teknologi, integrert business management som kjernen, og bygge en komplett og helhetlig kan kontrolleres, administrerte, kan opereres bredbånd IP MAN.
Logisk sikre hele applikasjonsplattform IP bredbånd MAN inn fra utsiden skal deles inn i tre nivåer, nemlig tilgang godkjenning lag, aggregering laget og kjernen lag, vist i figur 1.
Figur 1 tre-lags arkitektur
* Tilgang Godkjenning Lag: ferdigstillelse av IP bredbåndstilgang brukere og nettverksutstyr sertifisering, utgjør et nettverk av klarert domene (av godkjent bruker og nettverksutstyr som består av et nettområde). På den illegale nettverksutstyr og IP bredbåndsbrukere å automatisk blokkere og begrensninger av systemet for å forhindre ulovlig tilgang, sikkerhet sikkert og pålitelig system nettverket er realiseringen av bredbånd IP MAN kan kontrollere, administrere, drive basis.
* Tandem lag: en gjennomføring av ulike forretninger bekker tandem funksjon, den andre hånden, for å gjennom distribusjon PKI, PMI system, innser brukeren identitet autentisering, tillit, autorisasjon og godkjenning i nettverket elementer og styring, integrert virksomhet ledelse. Realisering av bredbånd IP MAN kan kontrollere, administrere, operere eller ikke.
* Kjernen nivå: ferdigstillelse av høyhastighets overføring og utveksle informasjon for å oppnå interoperabilitet med andre nettverk.
I tillegg bredbånd IP MAN igjen logisk sikre applikasjonsplattform arkitektur er delt inn i to nivåer, nemlig bredbånd IP MAN fly og intelligente sikkerhets applikasjon styring flyet, vist i figur 2.
Figur 2 de to flyet
Er ikke en enkel superposisjon av to fly, men utfyllende, koordinering, og organisk kombineres for å danne en komplett og enhetlig kan kontrollere, administrere, drive bredbånd IP MAN.
· IP bredbånd MAN fly: hovedskjemaet fra det tradisjonelle IP bredbånd storbyområdet nettverk for å tilby bredbånd IP MAN bruker adgang, informasjon lasting og utveksle tjenester, og avslutt med andre post-samtrafikk nettverk og Internett er et bredbånd IP MAN hjørnesteinen i sikkerhets-programmer plattform.
* Intelligent Application Management flyet sikkerhet: PKI og PMI, basert på tillit og autorisert intelligens teknologi, bygge et nettverk klarert miljø og gir sikker og pålitelig nettverksutstyr og brukertilgang, informasjon girkasse og utveksling, business management-tjenester, IP Broadband Metropolitan Area Network sikkerhet er en kjerne applikasjonsplattform.
3.2 sikkerhets programmer og løsninger
Gjennom anvendelse av informasjonssikkerhet infrastruktur basert på nasjonale forskningssentre med selvstendige immaterielle rettigheter av PKI / PMI tillit og autorisert intelligens plattform-teknologi, for å bygge troverdighet IP bredbånd MAN nettverk, slik digitale sertifikater for å implementere IP Broadband City datanett brukergodkjenning og autorisasjon.
Hovedideen er presentert for brukeren PKC (inkludert din personlige informasjon, for eksempel serienummer, IP-adresse, MAC-adresse og annen informasjon) og AC (inkludert brukerens egenskap, for eksempel rollen, tilgangskontroll tillatelser, etc.). I "en enhet, en lisens"-basis, med unikt PKC, og nøyaktig identifisere brukeren identitet. Ved kontrollerbar svitsjport tilgang godkjenning og sertifisering ledelse bakgrunn, kan sertifikatet med port (det kan også inkludere IP-adresse) for å etablere fleksible korrespondanse, og finne ut om brukeren har tilgang til bredbånd IP MAN, Samtidig gir tilgang til trafikk, varighet, tid og annen statistikk, og brukeren rettigheter i henhold til AC, da den lange, fakturering og annen eiendom ledelse. Denne fleksibiliteten gjennom sertifikater og port binding, til å bygge en port på sertifikatet og IP Broadband Metropolitan Area Network sikkerhetsadministrasjon modellen, ligner på PSTN linje-basert styringsmodell.
I tillegg, den offentlige nøkkelen digitale sertifikatet identifikasjonskode innebygd i en fysisk enhet (den materielle bærere av digitale sertifikater), bruk av USB-grensesnitt. Entity autentisering passord for hver enhet og en PIN-kode beskyttelse, rekkefølgen av flere mislykkede PIN inngang, vil foretaket enheten ID-kode som automatisk låses, slik at foretaket enheten ID-koden er svært vanskelig å gjennomføre ordliste angrep, slik at bare enheter i samme tid være enhet identifikasjonskode og den tilsvarende PIN-koden for å posere som legitime brukere, er denne godkjenningen brukernavnet enn dagens enkle måten å legge til PIN-kode sikrere, mer effektiv identifisering av nettverket brukere tilgang til juridisk status, for å forhindre forfalskninger.
I den konkrete gjennomføringen, gjennom den intelligente applikasjonsforvaltning flyet sikkerhet bredbånd IP MAN å implementere og administrere sikkerhetsprogrammer, hele flyet, blant annet tillit og autoriserte etterretnings service support plattform, nettverk og ledelse plattform for klarerte domenet og integrert forretningsførsel plattform av tre deler .
Hvilken tillit og godkjenningstjeneste støtte plattformen på kjernen i plattformen, til foretaket gjennom PKC, AC autentisering, autorisering og forvaltning skape en enhetlig bredbånd IP MAN intelligent grunnleggende miljø av tillit og autoritet, tillit domene for nettverksadministrasjon plattform og integrert business applikasjonsforvaltning plattform å gi pålitelig, sikker service.
Nettverksadministrasjon plattform klarerte domenet og enhetene i nettverket ledelsen, for å sikre at bare klarerte enheter som har utstedt det digitale sertifikatet i foretaket kan være et effektivt aksessnett.
Integrert forretningsførsel til direkte møte brukeren, tillit og autoritet i den intelligente tjenesteplattform for å angi IP bredbånd brukersertifikater, utstyr sertifikater og bruker attributtet sertifikat basert på brukerens fakturering, bedriftsledelse.
3.2.1 Intelligent støtte plattform av tillit og fullmakt service
Bruk av PKI / PMI System support plattform av tillit og fullmakt tjenester for IP bredbånd storbyområdet nettverk for å gi tillit tjenester og autorisasjon tjenester. Plattform gjennom enheter PKC, AC autentisering, til autorisasjon og forvaltning skape et enhetlig grunnlag for intelligent miljø av tillit og autoritet, etablerte "én enhet en lisens, den felles sertifisering, distribuert sekvensiell styring" bredbånd IP MAN nettverksdrift og ledelse modus.
Den såkalte "enhetlig sertifisering" betyr: av en tredje part autentisering senter (CA) utstedt av sertifiseringsorgan er ansvarlig for samlingen av bredbånd IP MAN brukere, utstyr PKC, autorisert av tillit og støtte tjenester, en forent plattform for å tilby AC og oppnå sertifikat utstedt enhetlig ledelse, sikre nettverk klarert domeneadministrasjon tjenester. Den "Distributed sekvensielle administrasjonen" betyr: nettverket domenet Trust Management i henhold til faktiske omfanget av ansvar og å dele, hver by eller et større byområde IP bredbånd systemer kan også være den grunnleggende typen tillit bruker domene (for eksempel Qubie generell hjemmebrukere, store kunder, osv.), har den grunnleggende tilliten til hvert domene eget styringssystem er ansvarlig for den klarerte domeneadministrasjon, nettverk styringssystem for den tillit domenet tillit og fullmakt tjenester gjennom støtte plattform av tillit og autoritet til å yte service support. Denne modellen ansvar for å bygge en tydelig, enkel administrasjon, hele systemet nettverk av klarerte domener og styringssystem.
(1) Operasjonelle System Certificate
Forretningstjenester Sertifikat Key Management System (KM) system basert på adopsjon av CA, sertifikat av register revisjon (RA) og andre programmer for å tilby digitale sertifikater, revisjonstjenester.
(2) sertifikat sjekk bekreftelse service system
Forespørsel sertifisering tjenester for business applikasjonsforvaltning plattform for å tilby autentisering av tjenesten, herunder katalog forespørsel service og sertifikater online forespørsel service. Forespørsel autentiseringstjeneste systemet inkluderer Lightweight Directory Access Protocol (LDAP) server og Online Certificate Status Protocol (OCSP) server for å gi, inkludert ulike typer sertifikater utstedt, sertifikat (CRL) publisering og online sertifikatstatus sjekk service.
(3) fullmakt til tjenesten systemet
PMI i virksomheten tjeneste basert på sertifikatet for autoriserte brukere og applikasjoner styring og ressursforvaltning tjenester, primært ansvar for applikasjoner og applikasjoner for autorisert tjenester relatert til styring av brukerens identitet til programmer fullmakt til å gi kartfunksjonalitet.
(4), klarert tidsstempel service system
Klarert tidsstempel service systemet er basert på den tiden kilden til statlig myndighet og offentlig nøkkel teknologi, forretningsapplikasjoner for sikkerheten styringssystem gir nøyaktige og pålitelige tidsangivelse for å sikre behandling av data eksisterer på et bestemt tidspunkt og relative tid sekvensen av virksomhet, for business Håndtere ikke-benektelse og auditability å gi effektiv støtte. Klarert tidsstempel service system fra det tidspunkt kilden til statlig myndighet og hele systemet enhet i tid, fra National Time Service Senter for å få myndigheten på den tiden.
(5) grunnleggende garanti sikringen system
Grunnleggende sikkerhetssystemet består av brannmurer, Detektering av inntrenging i systemene, sårbarhet skanning systemer, sikkerhet revisjon, virus forebygging systemer, Web informasjonssystemer, tamper-motstandsdyktig sammensetning, dannelse av en allsidig syn på grunnleggende sikkerhetsbarriere.
(6) å bli frisk og Disaster Recovery System
Katastrofe gjenoppretting og backup-systemet inkluderer: dual-tasten utstyr til de lokale systemet backup og varm backup av viktige data i det kalde, eksterne katastrofesikring sentrum bygning.
3.2.2 Nettverk management plattform for klarerte domenet og
Kritisk utstyr, er det viktig terminal og bruker adopsjon "av en enhet i et sertifikat" betyr å bygge tillit i nettverket domener, inkludert troverdighet nettverkstilgang, sikkerhet, nettverk kommunikasjon og tillit forvaltningstjenester.
Troverdig gjennomføring av nettverkstilgang godkjenning teknologi til Ethernet-basert tilgang modus, bruker PKI digitalt sertifikat teknologi, basert på IEEE 802.1x-standarden, støtte for X.509 sertifikater, gjennom tilgangen til autentisering sertifikatene som oppnår portbasert tilgangskontroll.
Sikker kommunikasjon basert på IP-kryptering gateway å oppnå, som er basert på IPSec-protokollen, ved hjelp av PKI-teknologi for nettverk informasjonsutveksling mellom klarerte domener for å tilby en sikker og pålitelig tilgang.
Network Management System er hovedsakelig ansvarlig for den tillit domenet tillit domene brukere på nettverket data og nettverk ledelse, implementering av kart-type CPE plassering ledelse, tilstandskontroll, ekstern parameter konfigurasjonsstyring, samtidig samle ulike typer klient tilgang autentisering bytte Shouji's IP virksomhet som behandler data, inkludert brukeren portinformasjon, IP-tjeneste ved hjelp av dataflyt og bruk av tid informasjon.
3.2.3 Integrert Business Management Platform
Integrert business management plattform direkte til brukere, inkludert business management, kundeadministrasjon, fakturering ledelse, nettverk ressursforvaltning, system sikkerhetsadministrasjon, systemvedlikehold og ledelse, ny forretningsutvikling og ledelse, kunnskapsledelse delen. Integrert business management plattform kan oppsummeres som tre-lags abstraksjon: data laget, forretningsprosesser laget, applikasjonslaget.
Datalagring lag av de største objektene i systemet data, inkludert sertifikatet data, enheten data, sentrale datasystem data tre kategorier.
Business behandlingen lag å fullføre forretningslogikk behandlingen, er prosessen innkapslet i egne moduler i systemet ved å planlegge moduler enhetlig forretningssystemet funksjoner av ulike inter-modulen samtaler.
Søknad laget er kunderettede vinduet for et bredt spekter av verdiøkende tjenester IP bredbånd applikasjoner og brukergrensesnitt, og til slutt i forretningsprosessen laget behandle alle typer virksomhet, mens bakgrunnen laget dataene laget for å gi de aktuelle forretningsprosessene System datatjenester.
3,3 brukere på offline-prosessen
I denne ordningen, er en bruker i glede av bredbånd tjenesten før den må få et gyldig sertifikat Dao operatør business aksept Avdeling for Banlishuozi Zheng Shu, digitalt sertifikat programmet lykkes, av selgerne å distribuere brukeren en entitet passord Jianbie enheten og en IP-adresse, er innhentet et passord konvolutt, inneholder foretaket passordet identifikasjonsnummer enheten serienummer og passord, slik at brukerne gjelder suksess. Deretter PC-brukere trenger tilgang til påloggingssiden prosess å installere og konfigurere tildeling av IP-adresser, så gjør adgangen forberedelsene. Trenger Internett-tilgang, brukeridentifikasjon enheten plug enheter passord, starter pålogging prosedyre, skriver foretaket koden som identifiserer serienummer og passord, og tilgang til autentisering og autorisering service brytere og stoler på brukerstøtte plattform for digitalt sertifikat-basert autentisering, sertifisering Etter passering av brukeren kan nyte bredbåndstjenester, ikke bestått, som forbyr brukertilgang. Under vanlige Internett-brukere, sender tilgang autentisering identifikasjon av bryteren periodisk passordet til foretaket sertifikatsøknaden, og enheten som enheten identifikasjonskode å gjøre godkjenningssertifikat for å laste opp for å sikre lovligheten av Internett-brukere.
Når brukeren normal offline, den første sertifisert av påloggingsprosessen å få tilgang til bytte til sende forespørselen offline, får frakoblet tilgang autentisering slå på forespørsel, å sende respons resultater, og å støtte plattform av tillit og autorisasjon tjenester til å sende av samlebåndet Bao og lukket porter. Når brukeren når ikke-normale offline (for eksempel brukerpassord direkte trekk foretaket identifikatorer, av eller koble fra nettverkskabelen, etc.), vil få tilgang til autentisering bytte ta initiativ til å oppdage hendelsen (på grunn av utveksling regelmessig tilgang godkjenning passordet til foretaket enheten identifisering Send sertifikatet forespørsel), så til støtte plattform av tillit og autorisasjon servicepakke og lukket porten for å sende av samlebåndet, men resultatet sender ikke et svar til brukeren.
4 Konklusjon
Prosjektet er basert i Shenzhen Telecom IP MAN gjennomført en viss prøving og i 20 mars 2003 i regi av departementet for vitenskap og ekspert inspeksjon.
Er verdt å merke seg at ved å bruke dette prosjektet som sertifikater og attributt sertifikater, kan enkelt sikre brukeren identitet autentisering, blir brukeren ved hjelp av verdiøkende virksomhet registrert i attributtet sertifikatet for å ta opp bruk av informasjonsteknologi sikkerhet, fakturering, etc. slike spørsmål som autentisering, pre-betalt avgifter for verdiøkende tjenester for å skape gode forhold for utsetting.