基于PKI/PMI的IP宽带城域网解决方案

3.2 安全应用及管理解决方案

通过应用基于国家信息安全基础设施研究中心具有自主知识产权的PKI/PMI平台的智能化信任与授权技术，来构建IP宽带城域网的可信网络环境，采用数字证书的方式来实现IP宽带城域网用户的认证与授权。

主要思想是给用户颁发PKC(包括用户个人信息，如序列号、IP地址、MAC地址等信息)和AC(包括用户的属性信息，如角色、访问控制权限等)。在"一实体一证"的基础上，由PKC的唯一性，准确地标识用户身份。由接入认证交换机端口的可控性和后台的认证管理功能，可将证书与端口(也可以包括IP地址)建立灵活的对应关系，并由此决定用户是否可以接入IP宽带城域网，同时对接入用户提供流量、时长、时段等的统计，并根据AC对用户进行权限、时长、计费方式等属性管理。这样通过证书和端口的灵活绑定，构建一个基于证书和端口的IP宽带城域网安全管理模式，类似于PSTN基于号线的管理模式。

另外，将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中，采用USB接口。每个实体鉴别密码器还有一个PIN码保护，连续发生几次不成功的PIN输入后，实体鉴别密码器会被自动锁定，使得对实体鉴别密码器进行词典攻击非常困难，这样只有同时得到实体鉴别密码器和相应PIN码才能假扮合法用户，这种认证方式比目前单纯的用户名加PIN码的方式具有更高的安全性，更能有效识别进入网络用户的合法身份，防止假冒。

在具体实现中，通过智能化安全应用管理平面来实施IP宽带城域网的安全应用及管理，整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务管理平台三部分。

其中信任与授权服务支撑平台处于核心地位，该平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的IP宽带城域网智能化信任与授权基础环境，为网络信任域管理平台和综合业务应用管理平台提供可信的、安全的服务。

网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络。

综合业务管理直接面对用户，在智能化信任与授权服务平台提供的IP宽带用户证书、设备证书及用户属性证书的基础上，对用户进行计费、业务管理。

3.2.1 智能化信任与授权服务支撑平台

采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了"一实体一证、统一发证、分布式逐级管理"的IP宽带城域网运营管理模式。

所谓"统一发证"是指：由第三方证书认证中心(CA)认证机构负责统一签发IP宽带城域网的用户、设备的PKC;由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而"分布式逐级管理"是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域(如可区别普通家庭用户、大客户等)，每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。

(1)证书业务服务系统

证书业务服务系统在密钥管理(KM)系统的基础上，通过CA、证书审核注册中心(RA)等提供数字证书的申请、审核服务。

(2)证书查询验证服务系统

证书查询验证服务系统为业务应用管理平台提供证书认证服务，包括目录查询服务和证书在线状态查询服务。证书查询验证服务系统主要包括轻目录访问协议(LDAP)服务器和在线证书状态协议(OCSP)服务器，提供包括各类证书发布、证书撤消列表(CRL)发布和证书状态在线查询服务。

(3)授权服务系统

PMI在证书业务服务系统基础上，为用户和应用程序提供授权管理和资源管理服务，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。

(4)可信时间戳服务系统

可信时间戳服务系统基于国家权威时间源和公钥技术，为安全业务应用管理系统提供精确可信的时间戳，保证处理数据在某一时间的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统从国家权威的时间源获得全系统统一的时间，即从国家授时中心获取权威的时间。

(5)基本安全防护系统

基本安全防护系统由防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防治系统、Web信息防篡改系统等组成，形成全方位、多角度的基本安全屏障。

(6)故障恢复及容灾备份系统

故障恢复和容灾备份系统主要包括：本地系统关键设备的双机热备份和重要数据的冷备份、异地建设容灾备份中心。

　　3.2.2 网络信任域及管理平台

对关键设备、重要终端及用户采用 "一实体一证书"的方式来构建网络信任域，包括可信网络接入、安全网络通信及可信管理等服务。

可信网络接入认证技术的实现以以太网接入方式为基础，采用PKI数字证书技术，基于IEEE802.1x标准，支持X.509证书，通过对接入者的证书进行身份认证，实现基于端口的访问控制。

网络安全通信基于IP加密网关来实现，它基于IPSec协议，利用PKI技术，为网络信任域之间的信息交换提供安全可信通道。

网络信任域管理系统主要负责对网络信任域内的用户进行数据及网络管理，实现地图式用户端设备的位置管理、状态监控、远程参数配置管理，同时采集各类用户端接入认证交换机上收集的IP业务处理数据，包括用户端口信息、IP业务使用的数据流量及使用时间信息等。

3.2.3 综合业务管理平台

综合业务管理平台直接面对用户，包括业务管理、客户管理、计费管理、网络资源管理、系统安全管理、系统维护管理、新业务开发管理、知识管理等部分。综合业务管理平台可抽象归纳为三层架构：数据层、业务处理层、应用层。

数据层主要存放整个系统的对象数据，包括证书数据、设备数据、系统数据三大类核心数据。

业务处理层完成业务逻辑处理，其处理过程被封装在相互独立的系统功能模块中，并由调度功能模块统一进行各业务系统功能模块间的相互调用。

应用层是面向客户的窗口，为多种多样的IP宽带应用增值业务提供与用户的接口，并在业务处理层最终实现对各类业务的处理，而后台数据层为业务处理层提供相应的系统数据服务。

3.3 用户上下线流程

在该方案中，一个用户在享受宽带服务前，必须凭有效证件到运营商业务受理处申请办理数字证书，数字证书申请成功后，由营业员派发用户一个实体密码鉴别器及一个IP地址，同时得到一个密码信封，内含实体密码鉴别器的序列号和密码，这样用户业务申请成功。然后，用户在需上网的PC上安装登录程序，并配置分配的IP地址，这样就做好了上网的准备工作。需要上网时，用户插上实体密码鉴别器，启动登录程序，输入实体密码鉴别器的序列号和密码，然后由接入认证交换机和信任与授权服务支撑平台对用户进行基于数字证书的认证，认证通过后用户就可以享受宽带服务;未通过，则禁止用户接入。用户正常上网期间，由接入认证交换机定期向实体密码鉴别器发送证书请求，并对实体密码鉴别器上传的证书做验证，确保用户上网的合法性。

当用户正常下线时，首先由登录程序向接入认证交换机发送下线请求，接入认证交换机收到下线请求之后，向用户发送响应结果，并且向信任与授权服务支撑平台发送下线包和封闭端口。当用户非正常下线时(如用户直接拔掉实体密码鉴别器、关机或者拔掉网线等)，接入认证交换机会主动探测到该事件(由于接入认证交换机会定期向实体密码鉴别器发送证书请求)，然后向信任与授权服务支撑平台发送下线包和封闭端口，但是不向用户发送响应结果。

4 结束语

该项目以深圳电信IP城域网为基础，进行了一定规模的试验，并于2003年3月20日通过国家科技部组织的专家组验收。

值得指出的是，采用本项目中的身份证书和属性证书，可以方便地对用户身份进行安全认证，将用户使用增值业务的情况记录在属性证书上，从而解决信息化应用的安全、计费等问题，如身份鉴别，预付费等，为增值服务的开展创造良好的条件。

来源：千家综合布线网