基于pkipmi的ip宽带城域网安全应用解决方案

基于PKI/PMI的IP宽带城域网安全应用解决方案1引言网络与信息安全能力是21世纪综合国力、经济竞争实力和生存力的象征，是未来国际竞争的“杀手锏”。当前，中国正在加快国民经济和社会信息化进程，急需要一个安全可信的电信基础网络平台，为各种信息化应用提供基础安全保障。随着网络技术的发展和演变，IP宽带城域网已成为宽带网的发展方向，各种信息化应用都将基于IP技术。但是，目前IP宽带城域网在管理和安全应用方面存在许多问题，如：不能有效识别进入网络用户的合法身份；不能对用户的个人信息实现有效保护；不能有效地解决抗抵赖性问题等。这些问题的存在一方面导致了IP宽带城域网的可控制、可管理、可经营性较差；另一方面直接影响到国家的信息安全，关系到国家的安危。导致这些问题的原因主要是由于目前IP宽带城域网采用的“用户名+密码”的认证方式只能实现初级的、简单的管理，安全性很不够（如易于盗用、合用）；用户名与接入线路没有固定的对应关系，使得用户接入难以定位，用户权限难以管理等。因此，要有效解决目前IP宽带城域网在管理和安全应用方面存在的问题，首先要解决用户身份认证、用户的授权管理和用户定位等问题，建立起可信赖的网络环境。近年来，信息安全技术受到广泛关注，并得到了长足发展，特别是基于公钥基础设施（PKI）和授权管理基础设施（PMI）的智能化信任与授权技术有了突破性进展，已大规模应用于电子政务、电子商务系统中。因此，本文将探讨如何采用基于PKI/PMI的智能化信任与授权技术来建立IP宽带城域网的可信任环境，如何将数字证书的认证、管理等信息安全技术应用于IP宽带城域网的运营管理中，从而构建一个“可控制、可管理、可经营”的电信级IP宽带城域网，为各种信息化应用提供一个安全可信的基础电信网络平台。这是一个全新的思路、全新的尝试，具有比其他IP城域网的管理方法更高的安全性和灵活性。2PKI/PMI概述2.1PKIPKI是国家信息安全基础设施（NISI）的重要组成部分，它以公开密钥技术为基础，以数据机密性、完整性、网上身份认证和行为的不可抵赖为安全目的，为网络应用（如浏览器、电子邮件）提供可靠的安全服务。在国家信息安全基础设施中，PKI采用双密钥证书体系，其中非对称算法支持RSA和椭圆曲线公开密钥（ECC）两种算法，对称密码算法支持国家密码管理委员会办公室指定的密码算法。公钥基础设施包含信任服务体系和密钥管理体系。信任服务体系的主要职责是为整个系统提供基于PKI的公钥数字证书（PKC）认证机制的实体身份鉴别服务，以便能在整个系统范围内唯一地确定实体的真实身份，从而建立起全系统范围内一致的信任基准。密钥管理体系主要负责向系统提供密钥对的管理服务，同时向授权管理部门提供应急情况下的特殊密钥恢复功能。2.2PMIPMI也是NISI的一个重要组成部分，目标是向用户和应用程序提供授权服务管理，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。PMI以资源管理为核心，提供基于属性证书（AC）的授权和访问控制机制，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制。同PKI相比，两者的区别主要在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且PMI需要PKI为其提供身份认证服务。3IP宽带城域网安全应用解决方案3.1IP宽带城域网安全应用平台体系架构IP宽带城域网安全应用平台是在传统IP宽带城域网框架之上，以基于PKI/PMI的网络和信息安全技术为基础，以综合业务管理为核心，构建的一个完整统一的可控制、可管理、可经营的IP宽带城域网。在逻辑上把整个IP宽带城域网安全应用平台由外到里分为三层，分别为接入认证层、汇接层和核心层，如图1所示。·接入认证层：完成对IP宽带用户及网络设备的接入认证，构成网络信任域（由通过认证的用户和网络设备构成的一个网络区域）。对非法的网络设备和IP宽带用户自动进行阻断和限制，防止对系统的非法接入，保障网络系统的安全可信，是实现IP宽带城域网可控制、可管理、可经营的基础。·汇接层：一方面完成汇接各类业务流的功能；另一方面，通过部署PKI、PMI体系，实现对用户身份的认证、信任授权和域内各网络元素的认证与管理，实现综合业务管理。是实现IP宽带城域网可控制、可管理、可经营的关键。·核心层：完成信息的高速传送与交换，实现与其它网络的互联互通。另外，在逻辑上又把IP宽带城域网安全应用平台体系架构分为两个平面，即IP宽带城域网平面和智能化安全应用管理平面，如图2所示。两平面不是简单的叠加，而是相辅相成，协调工作，有机地结合在一起，构成一个完整统一的可控制、可管理、可经营的IP宽带城域网。图1三层体系架构图2两个平面·IP宽带城域网平面：主要由传统IP宽带城域网构成，提供IP宽带城域网用户的接入、信息承载与交换服务功能，并完成与其他专网和Internet的互联，是IP宽带城域网安全应用平台的基石。·智能化安全应用管理平面：采用基于PKI和PMI的智能化信任与授权技术，构建一个可信任的网络环境，提供网络设备与用户安全可靠的接入、信息传输与交换、业务管理服务功能，是IP宽带城域网安全应用平台的核心。3.2安全应用及管理解决方案通过应用基于国家信息安全基础设施研究中心具有自主知识产权的PKI/PMI平台的智能化信任与授权技术，来构建IP宽带城域网的可信网络环境，采用数字证书的方式来实现IP宽带城域网用户的认证与授权。主要思想是给用户颁发PKC（包括用户个人信息，如序列号、IP地址、MAC地址等信息)和AC（包括用户的属性信息，如角色、访问控制权限等)。在“一实体一证”的基础上，由PKC的唯一性，准确地标识用户身份。由接入认证交换机端口的可控性和后台的认证管理功能，可将证书与端口（也可以包括IP地址）建立灵活的对应关系，并由此决定用户是否可以接入IP宽带城域网，同时对接入用户提供流量、时长、时段等的统计，并根据AC对用户进行权限、时长、计费方式等属性管理。这样通过证书和端口的灵活绑定，构建一个基于证书和端口的IP宽带城域网安全管理模式，类似于PSTN基于号线的管理模式。另外，将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中，采用USB接口。每个实体鉴别密码器还有一个PIN码保护，连续发生几次不成功的PIN输入后，实体鉴别密码器会被自动锁定，使得对实体鉴别密码器进行词典攻击非常困难，这样只有同时得到实体鉴别密码器和相应PIN码才能假扮合法用户，这种认证方式比目前单纯的用户名加PIN码的方式具有更高的安全性，更能有效识别进入网络用户的合法身份，防止假冒。在具体实现中，通过智能化安全应用管理平面来实施IP宽带城域网的安全应用及管理，整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务管理平台三部分。其中信任与授权服务支撑平台处于核心地位，该平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的IP宽带城域网智能化信任与授权基础环境，为网络信任域管理平台和综合业务应用管理平台提供可信的、安全的服务。网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络。综合业务管理直接面对用户，在智能化信任与授权服务平台提供的IP宽带用户证书、设备证书及用户属性证书的基础上，对用户进行计费、业务管理。3.2.1智能化信任与授权服务支撑平台采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。所谓“统一发证”是指：由第三方证书认证中心（CA）认证机构负责统一签发IP宽带城域网的用户、设备的PKC；由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而“分布式逐级管理”是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域（如可区别普通家庭用户、大客户等），每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。（1）证书业务服务系统证书业务服务系统在密钥管理（KM）系统的基础上，通过CA、证书审核注册中心（RA）等提供数字证书的申请、审核服务。（2）证书查询验证服务系统证书查询验证服务系统为业务应用管理平台提供证书认证服务，包括目录查询服务和证书在线状态查询服务。证书查询验证服务系统主要包括轻目录访问协议（LDAP)服务器和在线证书状态协议（OCSP）服务器，提供包括各类证书发布、证书撤消列表（CRL）发布和证书状态在线查询服务。（3）授权服务系统PMI在证书业务服务系统基础上，为用户和应用程序提供授权管理和资源管理服务，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。（4）可信时间戳服务系统可信时间戳服务系统基于国家权威时间源和公钥技术，为安全业务应用管理系统提供精确可信的时间戳，保证处理数据在某一时间的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统从国家权威的时间源获得全系统统一的时间，即从国家授时中心获取权威的时间。（5）基本安全防护系统基本安全防护系统由防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防治系统、Web信息防篡改系统等组成，形成全方位、多角度的基本安全屏障。（6）故障恢复及容灾备份系统故障恢复和容灾备份系统主要包括：本地系统关键设备的双机热备份和重要数据的冷备份、异地建设容灾备份中心。3.2.2网络信任域及管理平台对关键设备、重要终端及用户采用“一实体一证书”的方式来构建网络信任域，包括可信网络接入、安全网络通信及可信管理等服务。可信网络接入认证技术的实现以以太网接入方式为基础，采用PKI数字证书技术，基于IEEE802.1x标准，支持X.509证书，通过对接入者的证书进行身份认证，实现基于端口的访问控制。网络安全通信基于IP加密网关来实现，它基于IPSec协议，利用PKI技术，为网络信任域之间的信息交换提供安全可信通道。网络信任域管理系统主要负责对网络信任域内的用户进行数据及网络管理，实现地图式用户端设备的位置管理、状态监控、远程参数配置管理，同时采集各类用户端接入认证交换机上收集的IP业务处理数据，包括用户端口信息、IP业务使用的数据流量及使用时间信息等。3.2.3综合业务管理平台综合业务管理平台直接面对用户，包括业务管理、客户管理、计费管理、网络资源管理、系统安全管理、系统维护管理、新业务开发管理、知识管理等部分。综合业务管理平台可抽象归纳为三层架构：数据层、业务处理层、应用层。数据层主要存放整个系统的对象数据，包括证书数据、设备数据、系统数据三大类核心数据。业务处理层完成业务逻辑处理，其处理过程被封装在相互独立的系统功能模块中，并由调度功能模块统一进行各业务系统功能模块间的相互调用。应用层是面向客户的窗口，为多种多样的IP宽带应用增值业务提供与用户的接口，并在业务处理层最终实现对各类业务的处理，而后台数据层为业务处理层提供相应的系统数据服务。3.3用户上下线流程在该方案中，一个用户在享受宽带服务前，必须凭有效证件到运营商业务受理处申请办理数字证书，数字证书申请成功后，由营业员派发用户一个实体密码鉴别器及一个IP地址，同时得到一个密码信封，内含实体密码鉴别器的序列号和密码，这样用户业务申请成功。然后，用户在需上网的PC上安装登录程序，并配置分配的IP地址，这样就做好了上网的准备工作。需要上网时，用户插上实体密码鉴别器，启动登录程序，输入实体密码鉴别器的序列号和密码，然后由接入认证交换机和信任与授权服务支撑平台对用户进行基于数字证书的认证，认证通过后用户就可以享受宽带服务；未通过，则禁止用户接入。用户正常上网期间，由接入认证交换机定期向实体密码鉴别器发送证书请求，并对实体密码鉴别器上传的证书做验证，确保用户上网的合法性。当用户正常下线时，首先由登录程序向接入认证交换机发送下线请求，接入认证交换机收到下线请求之后，向用户发送响应结果，并且向信任与授权服务支撑平台发送下线包和封闭端口。当用户非正常下线时（如用户直接拔掉实体密码鉴别器、关机或者拔掉网线等），接入认证交换机会主动探测到该事件（由于接入认证交换机会定期向实体密码鉴别器发送证书请求），然后向信任与授权服务支撑平台发送下线包和封闭端口，但是不向用户发送响应结果。4结束语该项目以深圳电信IP城域网为基础，进行了一定规模的试验，并于2003年3月20日通过国家科技部组织的专家组验收。值得指出的是，采用本项目中的身份证书和属性证书，可以方便地对用户身份进行安全认证，将用户使用增值业务的情况记录在属性证书上，从而解决信息化应用的安全、计费等问题，如身份鉴别，预付费等，为增值服务的开展创造良好的条件。

附录资料：不需要的可以自行删除Xxxxx煤矿Xxxx使用气割安全技术措施一、施工概述根据工作安排，于2010年4月3日对xxxx维修，施工过程中需用气割作业。为确保施工安全，特制定本专项安全技术措施。二、作业环境及施工时间1、作业地点位于我矿副井处，全负压通风，符合煤矿安全规程气割作业环境的要求。2、施工时间：xxxxxxxx。三、施工组织施工人员3人，其中现场负责人：xxx现场监护工：xxx气割操作工：xxx火种携带工：xxx洒水灭火工：xxx四、施工前准备（一）地面施工准备1、检查气瓶。必须认真检查，检查氧气瓶、乙炔瓶阀门关闭严密无泄漏，氧气、乙炔足量，压力负荷达到要求，并认真清点好领取数量。2、检查气割器具。必须对气管、减压阀、气压表、回火防止器、割炬等认真检查，确保气割器具完好，气管及连接部位不漏气。3、气割器具装车。将氧气、乙炔及气割器具装入矿车，作好入井准备。氧气瓶、乙炔瓶不能装在同一矿车内，且不得与其它可燃材料、大型金属物件以及大块矸石等混装；气管及其它器具不得装车运输，必须专人携带以防挤坏。4、入井要求。地面准备工作负责人持审批完成的气割措施，在井口向把钩人员登记氧气、乙炔数量及施工地点后，方能将气瓶和施工材料装入矿车推到井口位置，准备下井。5、地面准备工作由xxxx完成，由地面负责人具体负责检查确认。（二）井下运输1、气瓶二次检查。将氧气瓶、乙炔瓶下放到八号行人斜巷，派专人再次检查氧气瓶、乙炔瓶的装车情况，并对运输过程监管。2、运输路线：地面→主井→xxx→xxx。3、气瓶运输。氧气瓶、乙炔瓶的井下运输由xxx负责，按照井口登记的施工地点，将氧气瓶、乙炔瓶运送到指定地点；xxx派专人在指定地点现场交接，并作好交接记录。4、气瓶卸车。气瓶要小心从矿车中取出，接气瓶人员拿稳之后，取气瓶人员才能松手，气瓶要轻抬轻放。5、井下运输监管工作由xxx负责。器具交接、检查由xxx现场负责人具体负责。（三）施工人员入井前准备1、施工人员要求。经过培训考试合格并持证上岗，配齐防护用品。2、火源携带。火源为打火机一只，由火种携带工负责携带，火源入井时，要携带审批好的专项气割措施，并在井口进行火源登记。3、施工现场施工人员必须携带便携式甲烷检测仪。4、施工人员入井前准备检查工作由井口检身工负责。（四）井下施工准备1、清理施工现场。将工作地点及附近前后两端各10米2、放置气瓶。气瓶距工作地点间距必须在10米以上，且两种气瓶间距不小于10米；气瓶必须垂直站立放置在3、备好水源及消防器材。工作地点应配备不少于0.2m3的消防沙和合格的4kg干粉灭火器2台，工作人员必须了解灭火器使用方法；施工地点配有清水管路，4、井下施工准备工作由杨付强负责检查落实；安检员负责施工安全设施检查。（五）气割作业前准备1、人员到位。现场负责人检查气割操作工、现场监护工、火种携带工、洒水灭火工、瓦斯检查工、安检员到位情况。2、设定安全监护。指定专人负责整个施工现场安全监护。3、气割前器具检查。由气割操作工再次对气瓶、减压阀、气压表、气管、割炬等器具进行详细的安全检查，确认完好后，将各部件对接。4、现场洒水。由专职洒水工向施工点洒水，确保施工点10m范围内润湿。5、检查瓦斯。瓦斯检查工对气割工作地点及附近20m范围风流中的瓦斯浓度和通风状况进行检查，瓦斯浓度不得超过0.5%，只有在检查证明作业地点及附近20m范围内巷道顶部无瓦斯积存时，方能进行气割作业。6、在施工点上风侧3m范围内，距顶板500mm处悬挂一台便携式甲烷检测仪，以便随时监测风流中瓦斯浓度。7、请示。经施工负责人、安检员、瓦斯检查工共同检查确认无安全隐患后，由施工负责人向调度室汇报现场准备工作完毕，并请示调度室是否可以开始施工，经调度室许可后方能施工。8、施工前气割设施检查、连接工作由xxx负责；气割作业前准备工作由现场负责人负责检查落实；瓦斯检查工负责施工前有害气体检查；施工负责人、安检员、瓦斯检查工共同检查确认。五、气割操作技术要求1、施工过程中氧气瓶、乙炔瓶要直立放置，固定牢靠，不得在地上乱滚动，气管必须理顺，不得遭受挤压或踩踏。2、氧气瓶、乙炔瓶、减压阀、气压表、割炬、气管及连接部位等必须密封完好，不漏气，气压表能正确指示。3、气割作业时，枪嘴应尽量远离附近缆线常洒水、设备，避免在工作中被气割渣或火焰损伤。邻近的可能被加热的机械部分经降温，以防损坏。4、施工中瓦斯检查工应每隔30分钟全面检查一次工作地点风流中的有害气体浓度，当瓦斯浓度达到0.5%时，应立即停止作业，并用水迅速将熔渣冷却。5、施工现场悬挂的便携式甲烷检测仪设专人观察，实时监测风流中瓦斯浓度。6、气割作业时，现场监护工对气割操作实时监护，严格按规程操作；现场负责人经常对施工现场巡回检查，发现异常及时处理。7、操作人员离开作业现场或暂停作业时，必须及时关闭气瓶阀门，并设专人看管设备；停止作业必须拆除气割用具。8、施工安全监护人员为杨付强；安检员负责安全设施检查；瓦斯检查工负责有害气体检查。六、安全技术措施1、施工人员在搬运氧气瓶、乙炔瓶的过程中，要指定负责人，统一指挥，行走时注意防滑，步调一致，确保安全。2、施工前，要认真检查构件气割部位是否存在预应力，如存在，必须现场采取技术措施将应力释放，以防施工时伤人或损害其它构件。3、气割作业时，气割点的下方必须使用铁桶或铁板承接熔落物及火星，气割部位以及气割掉的废料必须及时洒水降温，以防高温物体灼伤人员。4、作业时，严禁作业人员将头、手、脚放在两个金属构件之间，严防发生挤伤人员事故。5、在施工点上方悬挂的便携式甲烷检测仪必须确保读数准确。6、作业时，施工人员要佩戴保护用品，穿好工作服、扎紧袖口，佩戴好防护眼镜，以防刺伤眼睛和伤害皮肤。7、火源要由携带者专人妥善保管，严禁将火源用于非气割作业的其它作业，严禁人员玩耍火源，随意引燃。8、人员登高作业，如使用梯子，梯子要放置牢稳，并派专人扶梯，登高作业时，人员必须佩带保险带。9、气割作业中若遇到停风、风流出现异常或瓦检仪报警时，必须立即停止作业，关闭气瓶阀门，待查明原因并恢复正常后方可重新开始工作。10、现场使用的措施必须由施工人员、安检员和瓦斯检查工共同签字。11、施工环节要有确认、签字，每项工作必须由负责人确认无误、签字认可后方可进入下道工序，严禁代替签字。12、施工结束后，由施工负责人落实将现场签字后的措施于8小时内送至安检科和调度室备案。13、施工中，如现场负责人临时不在现场，则必须指定专人行使职责。七、施工收尾措施（一）施工后现场管理1、作业人员在规定时间内完工后，要先关闭气瓶阀门，及时收好割炬、气管，核对气割器具和火源数量。2、施工结束，必须将现场打扫干净，施工现场再次洒水，经检查无异常情况，由施工负责人向调度室汇报作业完毕，经调度室许可后方能离开作业现场。3、指派专人现场监视1小时，及时将未熄火源熄灭，冷却高温物体，发现异常现象，立即处理。4、施工后现场管理工作由现场负责人负责；并由现场负责人指派专职洒水监视施工后的现场情况。（二）施工后，气瓶及施工器具管理1、作业完成后，气瓶及施工器具必须当班装车升井，不得在井下存放。2、氧气瓶、乙炔瓶不能装在同一矿车内，要分矿车运输，经检查确认后交运输队升井；气压表、气管及割炬由专人携带升井。3、引燃火源由火源携带者专人携带升井，上交到队值班人员。4、气瓶及施工器具升井后，安排专人（施工前地面准备工作人员）负责认真核实升井设备数量，严禁将施工器具及火源等遗留在井下。5、施工器具回收由现场负责人负责；地面清查施工器具和气瓶工作由井上负责人负责。八、施工组织措施及安全责任划分1、现场负责人：施工人员组织、安全、质量及措施的监督、确认。2、气割操作工：施工机具、施工材料的安全检查，按照施工措施和本工种操作规程要求进行安全作业，保质保量完成施