1 Inledning
Förmåga av nät-och informationssäkerhet i det 21-talet omfattande nationell styrka, ekonomisk konkurrenskraft och lönsamhet för symbol för den framtida internationella konkurrensen "mördare." För närvarande är Kina påskynda processen för nationell ekonomisk och social information, måste en säker och tillförlitlig infrastruktur för telekommunikation nätverk plattform för olika applikationer baserade på informationssäkerhet.
Med den utveckling och vidareutveckling av nätverksteknologi, bredband IP stadsnät har blivit utvecklingen av bredbandsnät, olika information tekniska tillämpningar kommer att baseras på IP-teknologi. Men bredband aktuell IP huvudstadsregionen förvaltning nätverk och applikationer säkerhet i många problem, såsom tillgång till nätanvändarna inte kan effektivt identifiera rättsliga status, inte på användarens personliga information för att uppnå ett effektivt skydd, kan inte rimligen lösa problemen med anti-avvisning.
Dessa problem ledde dels bredband IP MAN kan kontrollera, hantera, är förvaltningen fattiga, däremot, direkt påverkar säkerheten för nationella uppgifter om säkerheten i landet.
Den viktigaste orsaken som leder till sådana problem beror på den nuvarande bredband MAN IP används "användarnamn + lösenord" autentiseringsmetod kan bara nå den främsta, och enkel hantering, är säkerhet inte tillräckligt (exempelvis lätt för förskingring kombinerade,), användarnamn och Det finns ingen fast accesslinjer motsvarande relation ger användare tillgång svårt att hitta, svårt att hantera användarnas rättigheter och så vidare.
Därför, för att effektivt lösa de befintliga IP-bredband huvudstadsregionen förvaltning nätverk och applikationer säkerhet i problemen, måste vi först lösa användarautentisering, användarvänliga tillstånd förvaltning och användare läggning och andra frågor, upprätta en pålitlig nätverksmiljö.
Under de senaste åren fått information säkerhetsteknologi stor uppmärksamhet och har gjort betydande framsteg, framför allt bygger på Public Key Infrastructure (PKI) och Privilege Management Infrastructure (PMI) av tillit och auktoritet intelligenta tekniskt genombrott har varit stora används inom e-förvaltning, e-handelssystem.
Därför kommer den här artikeln diskuteras hur du använder baserade på PKI / PMI förtroende och auktoritet av intelligenta IP-teknik för att skapa en pålitlig miljö för bredband stadsnät, hur man digitalt certifikat autentisering, hantering av informationssäkerhet teknik för bredband IP-MAN verksamhetsstyrning, att bygga en "kan kontrollera, förvalta, driva," den carrier-grade IP-bredband stadsnät, för en mängd information att ge en säker och tillförlitlig tillämpning av grundläggande telenät plattform.
Detta är en helt ny idé, ett nytt försök, IP MAN än andra metoder för hantering av större trygghet och flexibilitet.
2 PKI / PMI Översikt
2,1 PKI
PKI bygger på nationella informationssäkerhet infrastruktur (OM INTE) Det viktiga delar av det till öppen nyckel teknik, data sekretess, integritet, identitet online och beteende oavvislighet för säkerheten Mudi i nätverksprogram (som beter anordningar, e-post) att tillhandahålla tillförlitliga säkerhetstjänster. På det nationella informationssäkerheten infrastruktur, PKI-certifikat system med dubbla nyckel, som stödjer RSA asymmetrisk algoritm och elliptisk kurva öppen nyckel (ECC) i två algoritmer som stöds symmetriska chiffer kontoret för statens Kryptering Management kommissionen utsett krypteringsalgoritm. Public Key Infrastructure förtroende tjänster omfattar system och system för hantering.
De viktigaste uppgifterna för de förtroende tjänst för hela systemet med öppen nyckel digitala certifikat baserade på PKI (PKC) certifieringssystem tjänsten entitetsautentisering, så det enda inom ramen för hela systemet att fastställa den rätta identiteten hos den enhet för att skapa hela systemet konsekvent inom förtroende.
Nyckelhantering system ger nyckeln till att systemet är i huvudsak ansvarar för förvaltningen av tjänsterna, tillhandahållande av krishantering godkänna det särskilda fallet av viktiga återhämtning funktioner.
2,2 PMI
PMI är en viktig del av OM INTE Målet är att ge behöriga användare och tillämpning service management, är ansvariga för tillämpningen system och applikationer till auktoriserade tjänster som rör förvaltning av användaridentiteter för att ge tillstånd till tillämpningen av den kartläggning funktion.
PMI resursförvaltning som ett centralt attribut-baserade certifikat (AC) för godkännande av och tillgång kontrollmekanismer, kommer att vara enhetlig kontroll över tillgången till resurser som förvaltas av auktoriserade institutionerna, från ägarna till resurser för att genomföra åtkomstkontroll. Jämfört med PKI, den viktigaste skillnaden mellan de två ligger: PKI att användare som, medan PMI bevisa vad behörigheter som användare kan göra, och PMI behovet av PKI-autentisering tjänster.
3 IP Bredband huvudstadsregionen nätsäkerhetslösningar
3,1 IP Broadband Metropolitan Area Network Application Architecture Platform Security
IP Broadband Metropolitan Area Network Security Application Platform är ramen för den traditionella IP över bredband stadsnät, baserat PKI / PMI nät-och informationssäkerhet-teknik, integrerad verksamhetsstyrning som kärna, bygga ett heltäckande och enhetligt kan kontrolleras, hanteras, kan användas bredband IP-MAN.
Logiskt till bredband IP MAN säkerhet ansökan plattformen består av utsidan till insidan är uppdelad i tre nivåer, nämligen tillgång autentisering lager, sammanläggning lager och grundläggande skikt, som visas i figur 1.
Figur 1 tre-tier arkitektur
* Tillgång Authentication Layer: Komplettering av IP bredbandsaccess användare och nätutrustning certifiering, utgör ett nätverk av betrodda domänen (av autentiserad användare och nätutrustning som består av ett nätområde). På den illegala nätutrustning och IP bredbandsanvändare att automatiskt blockera och begränsningar i systemet för att förhindra illegal tillgång, säkerhet säkra och pålitliga nätverk systemet är förverkligandet av bredband IP MAN kan kontrollera, förvalta, driva grund.
* Tandem skikt: ett slutförande av olika verksamhetsgrenar parallellt funktion, dels att genom PKI-systemet, PMI-systemet, inse autentisering användaridentitet, förtroende, godkännande och verifiering inom nätdelar och förvaltning, integrerad verksamhet förvaltning. Förverkligandet av bredband IP MAN kan kontrollera, förvalta, driva eller inte.
* Den centrala nivån: fullbordandet av höghastighetsöverföring och utbyta information för att uppnå interoperabilitet med andra nät.
Dessutom, bredband IP MAN igen logiskt säker arkitektur applikationsplattform är uppdelad i två nivåer, nämligen bredband IP MAN plan och intelligent säkerhet application management plan, som visas i figur 2.
Figur 2 i två plan
Är inte en enkel dubblering av två plan, men kompletterande, samordning och ekologiskt kombineras för att skapa ett heltäckande och enhetligt kan kontrollera, förvalta, driva bredband IP-MAN.
· IP bredband MAN plan: den viktigaste formen från den traditionella IP-bredband stadsnät för att tillhandahålla bredband IP MAN användaren tillgång, information lastning och utbyte, och avsluta med andra post-sammankoppling nätverk och Internet är ett bredband IP MAN grundstenen för säkerhet ansökningar plattform.
* Intelligent Application Management plan säkerhet: PKI och PMI, som bygger på förtroende och godkända intelligens teknik, bygga en pålitlig nätverksmiljö och leverera säkra och tillförlitliga nätutrustning och användarvänlig tillgång, överföring av information och utbyte, företagsledning tjänster, IP Broadband Metropolitan Area Network säkerhet är en central ansökan plattform.
3,2 säkerhet applikationer och lösningar för hantering
Genom tillämpning av informationssäkerhet infrastruktur baserad på nationella forskningscentra med oberoende immateriella rättigheter PKI / PMI förtroende och godkända Intelligence Platform-teknik, för att bygga trovärdighet IP-bredband MAN nätverksmiljö, med hjälp av digitala certifikat strategi för att förverkliga IP Broadband City område nätanvändare autentisering och tillståndsgivning.
Grundtanken är presenteras för användaren PKC (inklusive personlig information, såsom serienummer, IP-adress, MAC-adress och annan information) och AC (inklusive användarens attribut information, t.ex. den roll, åtkomstkontroll behörigheter, etc.). I "en enhet, en licens grund av det unika i PKC, och exakt identifiera användaren identitet. Av kontrollerbara växelport tillgång autentisering och certifiering förvaltning bakgrund kan det intyg med hamnen (den kan även IP-adress) för att införa flexibla korrespondens och avgöra om användaren har tillgång till bredband IP MAN, Samtidigt ger tillgång till trafiken, varaktighet, tid och annan statistik, och användarnas rättigheter inom ramen för AC, då den långa, fakturering och annan fastighetsförvaltning. Denna flexibilitet genom intyg och hamn bindande, bygga en hamn på intyget och IP Broadband Metropolitan Area Network Security Management modell, liknande den PSTN-linje förvaltning modell.
Dessutom är den offentliga nyckeln digitala certifikatet identifikationskod inbäddad i en fysisk enhet (materialet bärare av digitala certifikat), användning av USB-gränssnitt. Entitetsautentisering lösenord för varje enhet och en PIN-kod skydd, följd av flera misslyckade PIN-ingång, kommer företaget enheten identifieringskoden automatiskt låst, vilket gör företaget enheten identitetskod är mycket svårt att genomföra ordlistan attacker, så att endast enheter på samma gång vara Enheten identifieringskod och motsvarande PIN-kod för att posera som legitima användare, detta är autentisering användarnamn än de nuvarande enkelt sätt att lägga PIN-kod säkrare, effektivare identifiering av nätanvändarna tillgång till juridisk status, för att förhindra förfalskning.
I det konkreta genomförandet, genom intelligenta applikationsförvaltning plan säkerhet IP Broadband Metropolitan Area Network att genomföra och förvalta säkerhetsprogram, hela planet, inklusive förtroende och auktoriserade underrättelsetjänst service plattform, nätverk och förvaltning plattform för betrodda domänen och integrerat affärssystem plattform av tre delar .
Säkerhets-och godkännande som stöder plattformen kärnan i den plattform som antagits av företagets PKC, AC verifiering, godkännande och förvaltning för att skapa en enhetlig IP bredband stadsnät baserade intelligenta anda av förtroende och myndighet, förtroende domän för nätverket plattform och integrerat affärssystem application management plattform för att tillhandahålla tillförlitlig, säker trafik.
Nätverk plattform betrodda domänen och de enheter i nätverket förvaltningsåtgärder för att garantera att endast betrodda enheter som utfärdade det digitala certifikatet till den enhet kan vara ett effektivt accessnät.
Integrerat affärssystem direkt till användaren, förtroende och myndigheten i den intelligenta tjänsteplattform för att ange IP-certifikat bredband användare, intyg utrustning och användare attribut intyg baserat på användarens fakturering, företagsledning.
3.2.1 Intelligent stöd plattform av förtroende och godkännande service
Användning av PKI / PMI Systemstöd plattform av tillit och tillstånd för IP-bredband stadsnät för att ge förtroende tjänster och tillstånd. Plattform enheter PKC, AC autentisering, auktorisation och ledning skapa en gemensam grund för intelligent anda av förtroende och myndighet som upprättats av "en licens av en enhet, enhetlig certifiering, distribueras sekventiell administration" IP bredband storstadsområden nätdrift och förvaltningsform.
Den så kallade "enhetlig certifiering förstås av en tredje part för verifiering centrum (CA) som utfärdats av certifieringsorgan som ansvarar för enandet av bredband IP MAN användare, utrustning PKC, som godkänts av det förtroende och stöd, en enhetlig plattform för att tillhandahålla AC och uppnå de intyg som utfärdats enhetlig ledning, säkerställa nätverkets betrodda tjänster domänadministration. Den "Distributed sekventiell administrering: den nätverksdomän förtroende förvaltning enligt den verkliga betydelsen av ansvar och dela varje stad eller storstadsområde IP bredband kan också de grundläggande typ av förtroende användarens domän (till exempel särskiljande normal Hemanvändare, stora kunder, etc.), har den grundläggande förtroende varje domän sitt eget ledningssystem är ansvarig för den betrodda domänen, nätverk ledningssystem för det förtroende domän till säkerhets-och godkännande genom stöd grundläggande förtroende och befogenheter att ge service support. Denna modell ansvaret att bygga en tydlig, enkel hantering, hela systemet nätverk av betrodda domäner och ledningssystem.
(1) Operativa System Certificate
Företagstjänster Certifikat Key Management System (KM) som bygger på antagandet av CA, registreringscertifikat revision (RA) och andra applikationer för att tillhandahålla digitala certifikat, tjänster revision.
(2) intyg check kontroll servicesystemet
Enkät system för certifiering av tjänster för företag application management plattform för att tillhandahålla tjänsten certifikatverifiering inklusive nummerupplysningstjänst och intyg online nummerupplysning. Utredning autentiseringstjänst systemet ingår lättviktigt protokoll Directory Access (LDAP) server och Online Certificate Status Protocol (OCSP) server för att tillhandahålla, bl.a. olika typer av certifikat som utfärdas, lista med återkallade certifikat (CRL) förlagsverksamhet och online intyg statuskontroll tjänst.
(3) tillåta att servicesystemet
PMI i branschen tjänst som bygger på certifikat för behöriga användare och applikationer förvaltning och resurser ledarskap, i första hand ansvariga för tillämpningen system och applikationer till auktoriserade tjänster som rör förvaltning av användaridentiteter för ansökningar godkända för att utföra kartläggning funktionalitet.
(4), pålitliga tidsystem stämpel tjänst
Trusted tidstämpel tjänst Systemet är baserat på den tid som källa av offentliga maktbefogenheter samt offentliga nyckel teknik, affärssystem för det säkerhetsledningssystem som ger korrekt och tillförlitlig tidsstämpel för att säkerställa att behandling av uppgifter existence vid en viss tid och relative tid sekvens av därmed sammanhängande verksamhet för verksamhet hantering oavvislighet och gransking ge effektivt stöd. Trusted tidsstämpel tjänst system från den tidpunkt då källan till statlig myndighet och i hela systemet enighet av tid från det nationella Time servicecenter för att få ledning av den tiden.
(5) grundläggande säkerhetsskydd systemet
Grundläggande trygghet Systemet består av brandväggar, intrångsskydd system, sårbarhet scanning system, säkerhetsgranskning, virus system för förebyggande, Web informationssystem, åverkanssäkra sammansättning, bildandet av ett runt hänsyn till de grundläggande skyddsbarriär.
(6) Återvinning och Disaster Recovery System
Återställning och backup system innehåller: dubbla nyckel utrustning för lokala system backup och varm säkerhetskopiera viktiga data på den kalla, avlägsna katastrofplanering centrum byggnad.
3.2.2 Network Domain och förtroende plattform
Kritisk utrustning är det viktigt terminal och användare adoption "av en enhet i ett certifikat: bygga upp förtroendet för nätverk domäner, inklusive trovärdighet nättillträde, säkerhet, nätverkskommunikation och notariattjänster förvaltning.
Trovärdigt genomförande av tillträde till nätet autentisering teknik till Ethernet-baserade åtkomstläge, med hjälp av PKI digitalt certifikat teknik baserad på IEEE 802.1x-standarden, stöd för X.509-certifikat, genom intyg tillgång autentisering som uppnår portbaserade åtkomstkontroll.
Säker kommunikation nät baserat på IP-kryptering gateway för att uppnå, som bygger på IPSec-protokollet, med hjälp av PKI-teknik för nätverk för informationsutbyte mellan betrodda domäner för att ge en säker och pålitlig tillgång.
Nätverk ledningssystem ansvarar främst för det förtroende domänen tilliten inom data nätanvändaren och nätdrift, samt karta-typ CPE plats förvaltning, tillståndsövervakning, avlägsna parameter konfigurationshantering, samtidigt samla olika typer av client access autentisering byta insamling IP-företag bearbetar data, inklusive användaren hamnen information, IP-tjänst med hjälp av dataflödet och användningen av uppgifter om tid.
3.2.3 Integrated Business Management Platform
Integrerat affärssystem plattform direkt till användarna, bland annat företagsledning, kundhantering, fakturering, nätverk resursförvaltning, systemsäkerhet, systemutveckling underhåll och förvaltning, ny affärsutveckling och ledning, kunskapshantering avsnitt. Integrerat affärssystem plattform kan sammanfattas i tre nivåer abstraktion: dataskiktet, affärsprocesser lager, applikationslagret.
Datalagring lager av de viktigaste objekten i systemet uppgifter, inklusive intyget data, enhet, centrala datasystem uppgifter tre kategorier.
Business bearbetning lager affärslogik bearbetning, är processen inkapslade i separata moduler i systemet genom att schemalägga moduler enhetligt funktioner affärssystem av olika inter-modul samtal.
Applikationslagret är kundinriktade fönster, till en mängd olika IP bredband tillämpningar och mervärdestjänster för användargränssnittet och den slutliga förverkligandet av verksamheten arbetar med alla typer av verksamhet Ceng behandling, och bakgrundsinformation för affärsprocessen skiktet för att tillhandahålla en lämplig nivå System datatjänster.
3,3 användare på offline process
I programmet i en användare att njuta av bredband innan det måste få ett giltigt certifikat till operatörens verksamhet Shouli kontor för ansökningsförfarandet Shuzizhengshu, digitala certifikat ansökan beviljas, av säljare att distribuera användaren en enhet lösenord Jianbie enheten och en IP 地址, Tongshi vara ett lösenord kuvert, innehållande företaget lösenord identifieringsteknik serienummer och lösenord, så att användare ansöker företagets framgång. Då, PC-användare behöver tillgång till inloggningen att installera och konfigurera tilldelning av IP-adresser, så gör tillgången förberedelserna. Behöver du tillgång till Internet, identifikation av användaren enheten enheter plugg lösenord, starta inloggning, ange den enhet kod som anger serienummer och lösenord, då tillgång autentisering och tillståndsgivning växlar service och förtroende för användarstöd plattform för digitala certifikat-baserad autentisering, certifiering efter passagen av användaren kan njuta av bredbandstjänster, inte går igenom, som förbjuder användaren tillgång. Under den normala Internet-användare, skickar tillgång autentisering identifiering av strömbrytare regelbundet lösenordet till den enhet som begäran om certifikat, och företaget enheten identifikationskod göra verifieringscertifikat att ladda upp för att säkerställa lagligheten av Internet-användare.
När användarna offline normal, den första certifierade av inloggningsprocessen för tillgång växla för att sända begäran offline, inte begära att få tillgång autentisering fått efter övergången, skickar användaren ett svar på resultaten, och att stödja grundläggande förtroende och godkännande servicepaket för att skicka ut löpande bandet och stängda portar. När användaren när icke-normal offline (t.ex. användarlösenord direkt koppla från enheten identifierare, av eller dra ur nätverkskabeln, mm) kommer att få tillgång autentisering byta ta initiativ till att upptäcka händelsen (på grund av regelbundet utbyte lösenord tillgång autentisering till den enhet enheten identifiering Skicka begäran om certifikat), sedan för att stödja grundläggande förtroende och godkännande service paketet och stängde porten för att skicka ut löpande bandet, men resultatet inte skicka ett svar till användaren.
4 Slutsats
Projektet är baserat i Shenzhen Telecom IP MAN utförs en viss rättegång och 20 mars 2003 anordnades av ministeriet för vetenskap och experter inspektion.
Är värt att notera att använda detta projekt som Attesterarcertifikat och attribut, lätt kan säkra autentisering användaridentitet är användaren använder mervärde företag som registrerats i attributet intyg för att ta upp tillämpningen av IT säkerhet, fakturering osv frågor såsom autentisering, förbetalda avgifter för mervärdestjänster för att skapa goda förutsättningar för lansering.