摘要

随着网络技术的发展演变，IP宽带城域网已成为宽带网络的发展方向，各种信息化应用都将基于IP技术。本文在分析目前IP宽带城域网在安全应用与管理方面存在问题的基础上，首先简单介绍了PKI/PMI，然后阐述了如何应用基于PKI/PMI的智能化信任与授权技术来建立IP宽带城域网的可信任环境，如何利用数字证书来实现基于证书和端口的IP宽带城域网安全应用与管理模式，该模式类似于PSTN中基于号线的应用与管理模式，从而构建一个“可控制、可管理、可经营”的电信级IP宽带城域网，为各种信息化应用提供一个安全可信的基础电信网络平台。

关键词 公钥基础设施 授权管理基础设施 公钥数字证书 属性证书 IP宽带城域网

1 引言

网络与信息安全能力是21世纪综合国力、经济竞争实力和生存力的象征，是未来国际竞争的“杀手锏”。当前，中国正在加快国民经济和社会信息化进程，急需要一个安全可信的电信基础网络平台，为各种信息化应用提供基础安全保障。

随着网络技术的发展和演变，IP宽带城域网已成为宽带网的发展方向，各种信息化应用都将基于IP技术。但是，目前IP宽带城域网在管理和安全应用方面存在许多问题，如：不能有效识别进入网络用户的合法身份；不能对用户的个人信息实现有效保护；不能有效地解决抗抵赖性问题等。

这些问题的存在一方面导致了IP宽带城域网的可控制、可管理、可经营性较差；另一方面直接影响到国家的信息安全，关系到国家的安危。

导致这些问题的原因主要是由于目前IP宽带城域网采用的“用户名+密码”的认证方式只能实现初级的、简单的管理，安全性很不够（如易于盗用、合用）；用户名与接入线路没有固定的对应关系，使得用户接入难以定位，用户权限难以管理等。

因此，要有效解决目前IP宽带城域网在管理和安全应用方面存在的问题，首先要解决用户身份认证、用户的授权管理和用户定位等问题，建立起可信赖的网络环境。

近年来，信息安全技术受到广泛关注，并得到了长足发展，特别是基于公钥基础设施（PKI）和授权管理基础设施（PMI）的智能化信任与授权技术有了突破性进展，已大规模应用于电子政务、电子商务系统中。

因此，本文将探讨如何采用基于PKI/PMI的智能化信任与授权技术来建立IP宽带城域网的可信任环境，如何将数字证书的认证、管理等信息安全技术应用于IP宽带城域网的运营管理中，从而构建一个“可控制、可管理、可经营”的电信级IP宽带城域网，为各种信息化应用提供一个安全可信的基础电信网络平台。

这是一个全新的思路、全新的尝试，具有比其他IP城域网的管理方法更高的安全性和灵活性。

2 PKI/PMI概述

2.1 PKI

PKI是国家信息安全基础设施（NISI）的重要组成部分，它以公开密钥技术为基础，以数据机密性、完整性、网上身份认证和行为的不可抵赖为安全目的，为网络应用（如浏览器、电子邮件）提供可靠的安全服务。在国家信息安全基础设施中，PKI采用双密钥证书体系，其中非对称算法支持RSA和椭圆曲线公开密钥（ECC）两种算法，对称密码算法支持国家密码管理委员会办公室指定的密码算法。公钥基础设施包含信任服务体系和密钥管理体系。

信任服务体系的主要职责是为整个系统提供基于PKI的公钥数字证书（PKC）认证机制的实体身份鉴别服务，以便能在整个系统范围内唯一地确定实体的真实身份，从而建立起全系统范围内一致的信任基准。

密钥管理体系主要负责向系统提供密钥对的管理服务，同时向授权管理部门提供应急情况下的特殊密钥恢复功能。

2.2 PMI

PMI也是NISI的一个重要组成部分，目标是向用户和应用程序提供授权服务管理，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。

PMI以资源管理为核心，提供基于属性证书（AC）的授权和访问控制机制，将对资源的访问控制权统一交由授权机构进行管理，即由资源的所有者来进行访问控制。同PKI相比，两者的区别主要在于：PKI证明用户是谁，而PMI证明这个用户有什么权限，能干什么，而且PMI需要PKI为其提供身份认证服务。

3 IP宽带城域网安全应用解决方案

3.1 IP宽带城域网安全应用平台体系架构

IP宽带城域网安全应用平台是在传统IP宽带城域网框架之上，以基于PKI/PMI的网络和信息安全技术为基础，以综合业务管理为核心，构建的一个完整统一的可控制、可管理、可经营的IP宽带城域网。

在逻辑上把整个IP宽带城域网安全应用平台由外到里分为三层，分别为接入认证层、汇接层和核心层，如图1所示。

·接入认证层：完成对IP宽带用户及网络设备的接入认证，构成网络信任域（由通过认证的用户和网络设备构成的一个网络区域）。对非法的网络设备和IP宽带用户自动进行阻断和限制，防止对系统的非法接入，保障网络系统的安全可信，是实现IP宽带城域网可控制、可管理、可经营的基础。

·汇接层：一方面完成汇接各类业务流的功能；另一方面，通过部署PKI、PMI体系，实现对用户身份的认证、信任授权和域内各网络元素的认证与管理，实现综合业务管理。是实现IP宽带城域网可控制、可管理、可经营的关键。

·核心层：完成信息的高速传送与交换，实现与其它网络的互联互通。

另外，在逻辑上又把IP宽带城域网安全应用平台体系架构分为两个平面，即IP宽带城域网平面和智能化安全应　　用管理平面，如图2所示。

两平面不是简单的叠加，而是相辅相成，协调工作，有机地结合在一起，构成一个完整统一的可控制、可管理、可经营的IP宽带城域网。

·IP宽带城域网平面：主要由传统IP宽带城域网构成，提供IP宽带城域网用户的接入、信息承载与交换服务功能，并完成与其他专网和Internet的互联，是IP宽带城域网安全应用平台的基石。

·智能化安全应用管理平面：采用基于PKI和PMI的智能化信任与授权技术，构建一个可信任的网络环境，提供网络设备与用户安全可靠的接入、信息传输与交换、业务管理服务功能，是IP宽带城域网安全应用平台的核心。

3.2 安全应用及管理解决方案

通过应用基于国家信息安全基础设施研究中心具有自主知识产权的PKI/PMI平台的智能化信任与授权技术，来构建IP宽带城域网的可信网络环境，采用数字证书的方式来实现IP宽带城域网用户的认证与授权。

主要思想是给用户颁发PKC（包括用户个人信息，如序列号、IP地址、MAC地址等信息)和AC（包括用户的属性信息，如角色、访问控制权限等)。在“一实体一证”的基础上，由PKC的唯一性，准确地标识用户身份。由接入认证交换机端口的可控性和后台的认证管理功能，可将证书与端口（也可以包括IP地址）建立灵活的对应关系，并由此决定用户是否可以接入IP宽带城域网，同时对接入用户提供流量、时长、时段等的统计，并根据AC对用户进行权限、时长、计费方式等属性管理。这样通过证书和端口的灵活绑定，构建一个基于证书和端口的IP宽带城域网安全管理模式，类似于PSTN基于号线的管理模式。

另外，将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中，采用USB接口。每个实体鉴别密码器还有一个PIN码保护，连续发生几次不成功的PIN输入后，实体鉴别密码器会被自动锁定，使得对实体鉴别密码器进行词典攻击非常困难，这样只有同时得到实体鉴别密码器和相应PIN码才能假扮合法用户，这种认证方式比目前单纯的用户名加PIN码的方式具有更高的安全性，更能有效识别进入网络用户的合法身份，防止假冒。

在具体实现中，通过智能化安全应用管理平面来实施IP宽带城域网的安全应用及管理，整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务管理平台三部分。

其中信任与授权服务支撑平台处于核心地位，该平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的IP宽带城域网智能化信任与授权基础环境，为网络信任域管理平台和综合业务应用管理平台提供可信的、安全的服务。

网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络。

综合业务管理直接面对用户，在智能化信任与授权服务平台提供的IP宽带用户证书、设备证书及用户属性证书的基础上，对用户进行计费、业务管理。

3.2.1 智能化信任与授权服务支撑平台

采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。

所谓“统一发证”是指：由第三方证书认证中心（CA）认证机构负责统一签发IP宽带城域网的用户、设备的PKC；由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而“分布式逐级管理”是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域（如可区别普通家庭用户、大客户等），每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。

（1）证书业务服务系统

证书业务服务系统在密钥管理（KM）系统的基础上，通过CA、证书审核注册中心（RA）等提供数字证书的申请、审核服务。

（2）证书查询验证服务系统

证书查询验证服务系统为业务应用管理平台提供证书认证服务，包括目录查询服务和证书在线状态查询服务。证书查询验证服务系统主要包括轻目录访问协议（LDAP)服务器和在线证书状态协议（OCSP）服务器，提供包括各类证书发布、证书撤消列表（CRL）发布和证书状态在线查询服务。

（3）授权服务系统

PMI在证书业务服务系统基础上，为用户和应用程序提供授权管理和资源管理服务，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。

（4）可信时间戳服务系统

可信时间戳服务系统基于国家权威时间源和公钥技术，为安全业务应用管理系统提供精确可信的时间戳，保证处理数据在某一时间的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统从国家权威的时间源获得全系统统一的时间，即从国家授时中心获取权威的时间。

（5）基本安全防护系统

基本安全防护系统由防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防治系统、Web信息防篡改系统等组成，形成全方位、多角度的基本安全屏障。

（6）故障恢复及容灾备份系统

故障恢复和容灾备份系统主要包括：本地系统关键设备的双机热备份和重要数据的冷备份、异地建设容灾备份中心。

3.2.2 网络信任域及管理平台

对关键设备、重要终端及用户采用 “一实体一证书”的方式来构建网络信任域，包括可信网络接入、安全网络通信及可信管理等服务。

可信网络接入认证技术的实现以以太网接入方式为基础，采用PKI数字证书技术，基于IEEE 802.1x标准，支持X.509证书，通过对接入者的证书进行身份认证，实现基于端口的访问控制。

网络安全通信基于IP加密网关来实现，它基于IPSec协议，利用PKI技术，为网络信任域之间的信息交换提供安全可信通道。

网络信任域管理系统主要负责对网络信任域内的用户进行数据及网络管理，实现地图式用户端设备的位置管理、状态监控、远程参数配置管理，同时采集各类用户端接入认证交换机上收集的IP业务处理数据，包括用户端口信息、IP业务使用的数据流量及使用时间信息等。

3.2.3 综合业务管理平台

综合业务管理平台直接面对用户，包括业务管理、客户管理、计费管理、网络资源管理、系统安全管理、系统维护管理、新业务开发管理、知识管理等部分。综合业务管理平台可抽象归纳为三层架构：数据层、业务处理层、应用层。

数据层主要存放整个系统的对象数据，包括证书数据、设备数据、系统数据三大类核心数据。

业务处理层完成业务逻辑处理，其处理过程被封装在相互独立的系统功能模块中，并由调度功能模块统一进行各业务系统功能模块间的相互调用。

应用层是面向客户的窗口，为多种多样的IP宽带应用增值业务提供与用户的接口，并在业务处理层最终实现对各类业务的处理，而后台数据层为业务处理层提供相应的系统数据服务。

3.3 用户上下线流程

在该方案中，一个用户在享受宽带服务前，必须凭有效证件到运营商业务受理处申请办理数字证书，数字证书申请成功后，由营业员派发用户一个实体密码鉴别器及一个IP地址，同时得到一个密码信封，内含实体密码鉴别器的序列号和密码，这样用户业务申请成功。然后，用户在需上网的PC上安装登录程序，并配置分配的IP地址，这样就做好了上网的准备工作。需要上网时，用户插上实体密码鉴别器，启动登录程序，输入实体密码鉴别器的序列号和密码，然后由接入认证交换机和信任与授权服务支撑平台对用户进行基于数字证书的认证，认证通过后用户就可以享受宽带服务；未通过，则禁止用户接入。用户正常上网期间，由接入认证交换机定期向实体密码鉴别器发送证书请求，并对实体密码鉴别器上传的证书做验证，确保用户上网的合法性。

当用户正常下线时，首先由登录程序向接入认证交换机发送下线请求，接入认证交换机收到下线请求之后，向用户发送响应结果，并且向信任与授权服务支撑平台发送下线包和封闭端口。当用户非正常下线时（如用户直接拔掉实体密码鉴别器、关机或者拔掉网线等），接入认证交换机会主动探测到该事件（由于接入认证交换机会定期向实体密码鉴别器发送证书请求），然后向信任与授权服务支撑平台发送下线包和封闭端口，但是不向用户发送响应结果。

4 结束语

该项目以深圳电信IP城域网为基础，进行了一定规模的试验，并于2003年3月20日通过国家科技部组织的专家组验收。

值得指出的是，采用本项目中的身份证书和属性证书，可以方便地对用户身份进行安全认证，将用户使用增值业务的情况记录在属性证书上，从而解决信息化应用的安全、计费等问题，如身份鉴别，预付费等，为增值服务的开展创造良好的条件。