隨著網絡技術的發展演變,IP寬帶城域網已成為寬帶網絡的發展方向,各種信息化應用都將基于IP技術。本文在分析目前IP寬帶城域網在安全應用與管理方面存在問題的基礎上,首先簡單介紹了PKI/PMI,然后闡述了如何應用基于PKI/PMI的智能化信任與授權技術來建立IP寬帶城域網的可信任環境,如何利用數字證書來實現基于證書和端口的IP寬帶城域網安全應用與管理模式,該模式類似于PSTN中基于號線的應用與管理模式,從而構建一個“可控制、可管理、可經營”的電信級IP寬帶城域網,為各種信息化應用提供一個安全可信的基礎電信網絡平臺。
1 引言
網絡與信息安全能力是21世紀綜合國力、經濟競爭實力和生存力的象征,是未來國際競爭的“殺手锏”。當前,中國正在加快國民經濟和社會信息化進程,急需要一個安全可信的電信基礎網絡平臺,為各種信息化應用提供基礎安全保障。
隨著網絡技術的發展和演變,IP寬帶城域網已成為寬帶網的發展方向,各種信息化應用都將基于IP技術。但是,目前IP寬帶城域網在管理和安全應用方面存在許多問題,如:不能有效識別進入網絡用戶的合法身份;不能對用戶的個人信息實現有效保護;不能有效地解決抗抵賴性問題等。
這些問題的存在一方面導致了IP寬帶城域網的可控制、可管理、可經營性較差;另一方面直接影響到國家的信息安全,關系到國家的安危。
導致這些問題的原因主要是由于目前IP寬帶城域網采用的“用戶名+密碼”的認證方式只能實現初級的、簡單的管理,安全性很不夠(如易于盜用、合用);用戶名與接入線路沒有固定的對應關系,使得用戶接入難以定位,用戶權限難以管理等。
因此,要有效解決目前IP寬帶城域網在管理和安全應用方面存在的問題,首先要解決用戶身份認證、用戶的授權管理和用戶定位等問題,建立起可信賴的網絡環境。
近年來,信息安全技術受到廣泛關注,并得到了長足發展,特別是基于公鑰基礎設施(PKI)和授權管理基礎設施(PMI)的智能化信任與授權技術有了突破性進展,已大規模應用于電子政務、電子商務系統中。
因此,本文將探討如何采用基于PKI/PMI的智能化信任與授權技術來建立IP寬帶城域網的可信任環境,如何將數字證書的認證、管理等信息安全技術應用于IP寬帶城域網的運營管理中,從而構建一個“可控制、可管理、可經營”的電信級IP寬帶城域網,為各種信息化應用提供一個安全可信的基礎電信網絡平臺。
這是一個全新的思路、全新的嘗試,具有比其他IP城域網的管理方法更高的安全性和靈活性。
2 PKI/PMI概述
2.1 PKI
PKI是國家信息安全基礎設施(NISI)的重要組成部分,它以公開密鑰技術為基礎,以數據機密性、完整性、網上身份認證和行為的不可抵賴為安全目的,為網絡應用(如瀏覽器、電子郵件)提供可靠的安全服務。在國家信息安全基礎設施中,PKI采用雙密鑰證書體系,其中非對稱算法支持RSA和橢圓曲線公開密鑰(ECC)兩種算法,對稱密碼算法支持國家密碼管理委員會辦公室指定的密碼算法。公鑰基礎設施包含信任服務體系和密鑰管理體系。
信任服務體系的主要職責是為整個系統提供基于PKI的公鑰數字證書(PKC)認證機制的實體身份鑒別服務,以便能在整個系統范圍內唯一地確定實體的真實身份,從而建立起全系統范圍內一致的信任基準。
密鑰管理體系主要負責向系統提供密鑰對的管理服務,同時向授權管理部門提供應急情況下的特殊密鑰恢復功能。
2.2 PMI
PMI也是NISI的一個重要組成部分,目標是向用戶和應用程序提供授權服務管理,主要負責向應用系統提供與應用相關的授權服務管理,提供用戶身份到應用授權的映射功能。
PMI以資源管理為核心,提供基于屬性證書(AC)的授權和訪問控制機制,將對資源的訪問控制權統一交由授權機構進行管理,即由資源的所有者來進行訪問控制。同PKI相比,兩者的區別主要在于:PKI證明用戶是誰,而PMI證明這個用戶有什么權限,能干什么,而且PMI需要PKI為其提供身份認證服務。
3 IP寬帶城域網安全應用解決方案
3.1 IP寬帶城域網安全應用平臺體系架構
IP寬帶城域網安全應用平臺是在傳統IP寬帶城域網框架之上,以基于PKI/PMI的網絡和信息安全技術為基礎,以綜合業務管理為核心,構建的一個完整統一的可控制、可管理、可經營的IP寬帶城域網。
在邏輯上把整個IP寬帶城域網安全應用平臺由外到里分為三層,分別為接入認證層、匯接層和核心層,如圖1所示。
·接入認證層:完成對IP寬帶用戶及網絡設備的接入認證,構成網絡信任域(由通過認證的用戶和網絡設備構成的一個網絡區域)。對非法的網絡設備和IP寬帶用戶自動進行阻斷和限制,防止對系統的非法接入,保障網絡系統的安全可信,是實現IP寬帶城域網可控制、可管理、可經營的基礎。
·匯接層:一方面完成匯接各類業務流的功能;另一方面,通過部署PKI、PMI體系,實現對用戶身份的認證、信任授權和域內各網絡元素的認證與管理,實現綜合業務管理。是實現IP寬帶城域網可控制、可管理、可經營的關鍵。
·核心層:完成信息的高速傳送與交換,實現與其它網絡的互聯互通。
另外,在邏輯上又把IP寬帶城域網安全應用平臺體系架構分為兩個平面,即IP寬帶城域網平面和智能化安全應用管理平面,如圖2所示。
兩平面不是簡單的疊加,而是相輔相成,協調工作,有機地結合在一起,構成一個完整統一的可控制、可管理、可經營的IP寬帶城域網。
圖1 三層體系架構
圖2 兩個平面
·IP寬帶城域網平面:主要由傳統IP寬帶城域網構成,提供IP寬帶城域網用戶的接入、信息承載與交換服務功能,并完成與其他專網和Internet的互聯,是IP寬帶城域網安全應用平臺的基石。
·智能化安全應用管理平面:采用基于PKI和PMI的智能化信任與授權技術,構建一個可信任的網絡環境,提供網絡設備與用戶安全可靠的接入、信息傳輸與交換、業務管理服務功能,是IP寬帶城域網安全應用平臺的核心。
3.2 安全應用及管理解決方案
通過應用基于國家信息安全基礎設施研究中心具有自主知識產權的PKI/PMI平臺的智能化信任與授權技術,來構建IP寬帶城域網的可信網絡環境,采用數字證書的方式來實現IP寬帶城域網用戶的認證與授權。
主要思想是給用戶頒發PKC(包括用戶個人信息,如序列號、IP地址、MAC地址等信息)和AC(包括用戶的屬性信息,如角色、訪問控制權限等)。在“一實體一證”的基礎上,由PKC的唯一性,準確地標識用戶身份。由接入認證交換機端口的可控性和后臺的認證管理功能,可將證書與端口(也可以包括IP地址)建立靈活的對應關系,并由此決定用戶是否可以接入IP寬帶城域網,同時對接入用戶提供流量、時長、時段等的統計,并根據AC對用戶進行權限、時長、計費方式等屬性管理。這樣通過證書和端口的靈活綁定,構建一個基于證書和端口的IP寬帶城域網安全管理模式,類似于PSTN基于號線的管理模式。
另外,將公鑰數字證書內嵌在一個實體鑒別密碼器(數字證書的物質載體)中,采用USB接口。每個實體鑒別密碼器還有一個PIN碼保護,連續發生幾次不成功的PIN輸入后,實體鑒別密碼器會被自動鎖定,使得對實體鑒別密碼器進行詞典攻擊非常困難,這樣只有同時得到實體鑒別密碼器和相應PIN碼才能假扮合法用戶,這種認證方式比目前單純的用戶名加PIN碼的方式具有更高的安全性,更能有效識別進入網絡用戶的合法身份,防止假冒。
在具體實現中,通過智能化安全應用管理平面來實施IP寬帶城域網的安全應用及管理,整個平面包括智能化信任與授權服務支撐平臺、網絡信任域及管理平臺和綜合業務管理平臺三部分。
其中信任與授權服務支撐平臺處于核心地位,該平臺通過對實體的PKC、AC的認證、授權、管理來建立一個統一的IP寬帶城域網智能化信任與授權基礎環境,為網絡信任域管理平臺和綜合業務應用管理平臺提供可信的、安全的服務。
網絡信任域及管理平臺對網絡中的實體進行管理,確保只有可信的實體,即頒發了有效數字證書的實體才能接入網絡。
綜合業務管理直接面對用戶,在智能化信任與授權服務平臺提供的IP寬帶用戶證書、設備證書及用戶屬性證書的基礎上,對用戶進行計費、業務管理。
3.2.1 智能化信任與授權服務支撐平臺
采用PKI/PMI體系構建信任與授權服務支撐平臺,為IP寬帶城域網提供信任服務和授權服務。平臺通過對實體的PKC、AC的認證、授權、管理來建立一個統一的智能化信任與授權基礎環境,確立了“一實體一證、統一發證、分布式逐級管理”的IP寬帶城域網運營管理模式。
所謂“統一發證”是指:由第三方證書認證中心(CA)認證機構負責統一簽發IP寬帶城域網的用戶、設備的PKC;由信任與授權服務支撐平臺提供AC的統一簽發并實現證書的統一管理,保證網絡信任域管理服務。而“分布式逐級管理”是指:網絡信任域按實際的責任和管理范圍來劃分,每個城市或地區的IP寬帶城域網系統也可以根據用戶類型劃分基本信任域(如可區別普通家庭用戶、大客戶等),每個基本信任域都有自己的管理系統負責本信任域的管理,網絡信任域管理系統通過信任與授權服務支撐平臺提供信任與授權服務的支持。以此模式構筑了一個責任明確、管理方便、覆蓋全系統的網絡信任域及管理體系。
(1)證書業務服務系統
證書業務服務系統在密鑰管理(KM)系統的基礎上,通過CA、證書審核注冊中心(RA)等提供數字證書的申請、審核服務。
(2)證書查詢驗證服務系統
證書查詢驗證服務系統為業務應用管理平臺提供證書認證服務,包括目錄查詢服務和證書在線狀態查詢服務。證書查詢驗證服務系統主要包括輕目錄訪問協議(LDAP)服務器和在線證書狀態協議(OCSP)服務器,提供包括各類證書發布、證書撤消列表(CRL)發布和證書狀態在線查詢服務。
(3)授權服務系統
PMI在證書業務服務系統基礎上,為用戶和應用程序提供授權管理和資源管理服務,主要負責向應用系統提供與應用相關的授權服務管理,提供用戶身份到應用授權的映射功能。
(4)可信時間戳服務系統
可信時間戳服務系統基于國家權威時間源和公鑰技術,為安全業務應用管理系統提供精確可信的時間戳,保證處理數據在某一時間的存在性及相關操作的相對時間順序,為業務處理的不可抵賴性和可審計性提供有效支持。可信時間戳服務系統從國家權威的時間源獲得全系統統一的時間,即從國家授時中心獲取權威的時間。
(5)基本安全防護系統
基本安全防護系統由防火墻、入侵檢測系統、漏洞掃描系統、安全審計系統、病毒防治系統、Web信息防篡改系統等組成,形成全方位、多角度的基本安全屏障。
(6)故障恢復及容災備份系統
故障恢復和容災備份系統主要包括:本地系統關鍵設備的雙機熱備份和重要數據的冷備份、異地建設容災備份中心。
3.2.2 網絡信任域及管理平臺
對關鍵設備、重要終端及用戶采用 “一實體一證書”的方式來構建網絡信任域,包括可信網絡接入、安全網絡通信及可信管理等服務。
可信網絡接入認證技術的實現以以太網接入方式為基礎,采用PKI數字證書技術,基于IEEE802.1x標準,支持X.509證書,通過對接入者的證書進行身份認證,實現基于端口的訪問控制。
網絡安全通信基于IP加密網關來實現,它基于IPSec協議,利用PKI技術,為網絡信任域之間的信息交換提供安全可信通道。
網絡信任域管理系統主要負責對網絡信任域內的用戶進行數據及網絡管理,實現地圖式用戶端設備的位置管理、狀態監控、遠程參數配置管理,同時采集各類用戶端接入認證交換機上收集的IP業務處理數據,包括用戶端口信息、IP業務使用的數據流量及使用時間信息等。
3.2.3 綜合業務管理平臺
綜合業務管理平臺直接面對用戶,包括業務管理、客戶管理、計費管理、網絡資源管理、系統安全管理、系統維護管理、新業務開發管理、知識管理等部分。綜合業務管理平臺可抽象歸納為三層架構:數據層、業務處理層、應用層。
數據層主要存放整個系統的對象數據,包括證書數據、設備數據、系統數據三大類核心數據。
業務處理層完成業務邏輯處理,其處理過程被封裝在相互獨立的系統功能模塊中,并由調度功能模塊統一進行各業務系統功能模塊間的相互調用。
應用層是面向客戶的窗口,為多種多樣的IP寬帶應用增值業務提供與用戶的接口,并在業務處理層最終實現對各類業務的處理,而后臺數據層為業務處理層提供相應的系統數據服務。
3.3 用戶上下線流程
在該方案中,一個用戶在享受寬帶服務前,必須憑有效證件到運營商業務受理處申請辦理數字證書,數字證書申請成功后,由營業員派發用戶一個實體密碼鑒別器及一個IP地址,同時得到一個密碼信封,內含實體密碼鑒別器的序列號和密碼,這樣用戶業務申請成功。然后,用戶在需上網的PC上安裝登錄程序,并配置分配的IP地址,這樣就做好了上網的準備工作。需要上網時,用戶插上實體密碼鑒別器,啟動登錄程序,輸入實體密碼鑒別器的序列號和密碼,然后由接入認證交換機和信任與授權服務支撐平臺對用戶進行基于數字證書的認證,認證通過后用戶就可以享受寬帶服務;未通過,則禁止用戶接入。用戶正常上網期間,由接入認證交換機定期向實體密碼鑒別器發送證書請求,并對實體密碼鑒別器上傳的證書做驗證,確保用戶上網的合法性。
當用戶正常下線時,首先由登錄程序向接入認證交換機發送下線請求,接入認證交換機收到下線請求之后,向用戶發送響應結果,并且向信任與授權服務支撐平臺發送下線包和封閉端口。當用戶非正常下線時(如用戶直接拔掉實體密碼鑒別器、關機或者拔掉網線等),接入認證交換機會主動探測到該事件(由于接入認證交換機會定期向實體密碼鑒別器發送證書請求),然后向信任與授權服務支撐平臺發送下線包和封閉端口,但是不向用戶發送響應結果。
4 結束語
該項目以深圳電信IP城域網為基礎,進行了一定規模的試驗,并于2003年3月20日通過國家科技部組織的專家組驗收。
值得指出的是,采用本項目中的身份證書和屬性證書,可以方便地對用戶身份進行安全認證,將用戶使用增值業務的情況記錄在屬性證書上,從而解決信息化應用的安全、計費等問題,如身份鑒別,預付費等,為增值服務的開展創造良好的條件。
