隨著網(wǎng)絡(luò)技術(shù)的發(fā)展演變,IP寬帶城域網(wǎng)已成為寬帶網(wǎng)絡(luò)的發(fā)展方向,各種信息化應(yīng)用都將基于IP技術(shù)。本文在分析目前IP寬帶城域網(wǎng)在安全應(yīng)用與管理方面存在問題的基礎(chǔ)上,首先簡單介紹了PKI/PMI,然后闡述了如何應(yīng)用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng)的可信任環(huán)境,如何利用數(shù)字證書來實(shí)現(xiàn)基于證書和端口的IP寬帶城域網(wǎng)安全應(yīng)用與管理模式,該模式類似于PSTN中基于號(hào)線的應(yīng)用與管理模式,從而構(gòu)建一個(gè)“可控制、可管理、可經(jīng)營”的電信級IP寬帶城域網(wǎng),為各種信息化應(yīng)用提供一個(gè)安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺(tái)。
1 引言
網(wǎng)絡(luò)與信息安全能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存力的象征,是未來國際競爭的“殺手锏”。當(dāng)前,中國正在加快國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程,急需要一個(gè)安全可信的電信基礎(chǔ)網(wǎng)絡(luò)平臺(tái),為各種信息化應(yīng)用提供基礎(chǔ)安全保障。
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和演變,IP寬帶城域網(wǎng)已成為寬帶網(wǎng)的發(fā)展方向,各種信息化應(yīng)用都將基于IP技術(shù)。但是,目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在許多問題,如:不能有效識(shí)別進(jìn)入網(wǎng)絡(luò)用戶的合法身份;不能對用戶的個(gè)人信息實(shí)現(xiàn)有效保護(hù);不能有效地解決抗抵賴性問題等。
這些問題的存在一方面導(dǎo)致了IP寬帶城域網(wǎng)的可控制、可管理、可經(jīng)營性較差;另一方面直接影響到國家的信息安全,關(guān)系到國家的安危。
導(dǎo)致這些問題的原因主要是由于目前IP寬帶城域網(wǎng)采用的“用戶名+密碼”的認(rèn)證方式只能實(shí)現(xiàn)初級的、簡單的管理,安全性很不夠(如易于盜用、合用);用戶名與接入線路沒有固定的對應(yīng)關(guān)系,使得用戶接入難以定位,用戶權(quán)限難以管理等。
因此,要有效解決目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在的問題,首先要解決用戶身份認(rèn)證、用戶的授權(quán)管理和用戶定位等問題,建立起可信賴的網(wǎng)絡(luò)環(huán)境。
近年來,信息安全技術(shù)受到廣泛關(guān)注,并得到了長足發(fā)展,特別是基于公鑰基礎(chǔ)設(shè)施(PKI)和授權(quán)管理基礎(chǔ)設(shè)施(PMI)的智能化信任與授權(quán)技術(shù)有了突破性進(jìn)展,已大規(guī)模應(yīng)用于電子政務(wù)、電子商務(wù)系統(tǒng)中。
因此,本文將探討如何采用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng)的可信任環(huán)境,如何將數(shù)字證書的認(rèn)證、管理等信息安全技術(shù)應(yīng)用于IP寬帶城域網(wǎng)的運(yùn)營管理中,從而構(gòu)建一個(gè)“可控制、可管理、可經(jīng)營”的電信級IP寬帶城域網(wǎng),為各種信息化應(yīng)用提供一個(gè)安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺(tái)。
這是一個(gè)全新的思路、全新的嘗試,具有比其他IP城域網(wǎng)的管理方法更高的安全性和靈活性。
2 PKI/PMI概述
2.1 PKI
PKI是國家信息安全基礎(chǔ)設(shè)施(NISI)的重要組成部分,它以公開密鑰技術(shù)為基礎(chǔ),以數(shù)據(jù)機(jī)密性、完整性、網(wǎng)上身份認(rèn)證和行為的不可抵賴為安全目的,為網(wǎng)絡(luò)應(yīng)用(如瀏覽器、電子郵件)提供可靠的安全服務(wù)。在國家信息安全基礎(chǔ)設(shè)施中,PKI采用雙密鑰證書體系,其中非對稱算法支持RSA和橢圓曲線公開密鑰(ECC)兩種算法,對稱密碼算法支持國家密碼管理委員會(huì)辦公室指定的密碼算法。公鑰基礎(chǔ)設(shè)施包含信任服務(wù)體系和密鑰管理體系。
信任服務(wù)體系的主要職責(zé)是為整個(gè)系統(tǒng)提供基于PKI的公鑰數(shù)字證書(PKC)認(rèn)證機(jī)制的實(shí)體身份鑒別服務(wù),以便能在整個(gè)系統(tǒng)范圍內(nèi)唯一地確定實(shí)體的真實(shí)身份,從而建立起全系統(tǒng)范圍內(nèi)一致的信任基準(zhǔn)。
密鑰管理體系主要負(fù)責(zé)向系統(tǒng)提供密鑰對的管理服務(wù),同時(shí)向授權(quán)管理部門提供應(yīng)急情況下的特殊密鑰恢復(fù)功能。
2.2 PMI
PMI也是NISI的一個(gè)重要組成部分,目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)服務(wù)管理,主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理,提供用戶身份到應(yīng)用授權(quán)的映射功能。
PMI以資源管理為核心,提供基于屬性證書(AC)的授權(quán)和訪問控制機(jī)制,將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理,即由資源的所有者來進(jìn)行訪問控制。同PKI相比,兩者的區(qū)別主要在于:PKI證明用戶是誰,而PMI證明這個(gè)用戶有什么權(quán)限,能干什么,而且PMI需要PKI為其提供身份認(rèn)證服務(wù)。
3 IP寬帶城域網(wǎng)安全應(yīng)用解決方案
3.1 IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)體系架構(gòu)
IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)是在傳統(tǒng)IP寬帶城域網(wǎng)框架之上,以基于PKI/PMI的網(wǎng)絡(luò)和信息安全技術(shù)為基礎(chǔ),以綜合業(yè)務(wù)管理為核心,構(gòu)建的一個(gè)完整統(tǒng)一的可控制、可管理、可經(jīng)營的IP寬帶城域網(wǎng)。
在邏輯上把整個(gè)IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)由外到里分為三層,分別為接入認(rèn)證層、匯接層和核心層,如圖1所示。
·接入認(rèn)證層:完成對IP寬帶用戶及網(wǎng)絡(luò)設(shè)備的接入認(rèn)證,構(gòu)成網(wǎng)絡(luò)信任域(由通過認(rèn)證的用戶和網(wǎng)絡(luò)設(shè)備構(gòu)成的一個(gè)網(wǎng)絡(luò)區(qū)域)。對非法的網(wǎng)絡(luò)設(shè)備和IP寬帶用戶自動(dòng)進(jìn)行阻斷和限制,防止對系統(tǒng)的非法接入,保障網(wǎng)絡(luò)系統(tǒng)的安全可信,是實(shí)現(xiàn)IP寬帶城域網(wǎng)可控制、可管理、可經(jīng)營的基礎(chǔ)。
·匯接層:一方面完成匯接各類業(yè)務(wù)流的功能;另一方面,通過部署PKI、PMI體系,實(shí)現(xiàn)對用戶身份的認(rèn)證、信任授權(quán)和域內(nèi)各網(wǎng)絡(luò)元素的認(rèn)證與管理,實(shí)現(xiàn)綜合業(yè)務(wù)管理。是實(shí)現(xiàn)IP寬帶城域網(wǎng)可控制、可管理、可經(jīng)營的關(guān)鍵。
·核心層:完成信息的高速傳送與交換,實(shí)現(xiàn)與其它網(wǎng)絡(luò)的互聯(lián)互通。
另外,在邏輯上又把IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)體系架構(gòu)分為兩個(gè)平面,即IP寬帶城域網(wǎng)平面和智能化安全應(yīng)用管理平面,如圖2所示。
兩平面不是簡單的疊加,而是相輔相成,協(xié)調(diào)工作,有機(jī)地結(jié)合在一起,構(gòu)成一個(gè)完整統(tǒng)一的可控制、可管理、可經(jīng)營的IP寬帶城域網(wǎng)!
圖1 三層體系架構(gòu)
圖2 兩個(gè)平面
·IP寬帶城域網(wǎng)平面:主要由傳統(tǒng)IP寬帶城域網(wǎng)構(gòu)成,提供IP寬帶城域網(wǎng)用戶的接入、信息承載與交換服務(wù)功能,并完成與其他專網(wǎng)和Internet的互聯(lián),是IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)的基石。
·智能化安全應(yīng)用管理平面:采用基于PKI和PMI的智能化信任與授權(quán)技術(shù),構(gòu)建一個(gè)可信任的網(wǎng)絡(luò)環(huán)境,提供網(wǎng)絡(luò)設(shè)備與用戶安全可靠的接入、信息傳輸與交換、業(yè)務(wù)管理服務(wù)功能,是IP寬帶城域網(wǎng)安全應(yīng)用平臺(tái)的核心。
來源:千家綜合布線網(wǎng)