企业网安全应用通用解决方案.doc

《企业网安全应用通用解决方案.doc》由会员分享，可在线阅读，更多相关《企业网安全应用通用解决方案.doc（23页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业网安全应用通用解决方案深圳维豪二OO一年十二月十八日1前言21.1企业网安全应用建设的必要性与可行性21.2企业网安全应用的建设内容31.3企业网安全应用的建设目标31.4企业网安全应用的建设原则32企业网信任服务体系的逻辑描述42.1概述42.2网络信任域组织结构42.3企业网安全应用逻辑分层53企业网安全应用核心关键设备63.1概述63.2平台类设备63.3网络端设备83.4客户端设备134企业网安全应用系统结构144.1网络拓扑图144.2系统说明155网络信任域及管理平台155.1概述155.2网络信任域管理系统155.3网络信任域管理机制176PKI/PMI服务支撑平台196.1

2、系统组成196.2功能描述197结束语218附件：缩略表211 前言21世纪信息安全已成为世界关注的问题，信息安全直接关系到国家的安全和民族的兴衰。作为信息产业发展较快的国家，我国也越来越重视信息安全技术的研究和应用。我国高新技术研究发展的863计划，在“十五”期间“信息技术”领域的四大主题中专门设立了“信息安全”的研究专题。“信息安全”专题主要通过对信息安全关键技术的攻关研究以及对急需的信息安全产品的研究开发，为我国信息化建设的安全保障体系提供关键技术和应用平台，由此增强对国家信息基础设施和重点信息资源的安全保障能力。1.1 企业网安全应用建设的必要性与可行性目前社会已经进入信息时代，以知识

3、和技术为主要特征的信息革命极大地解放了社会生产力，推动着新经济形态的形成和发展，网络经济就是这场信息革命的直接产物。因为网络经济的开放性和虚拟性需要政府保障与之相适应的诚实、可信、有序的社会和经济秩序，否则网络经济就如同建在沙地上的建筑，随时都有倾覆的危险。传统的企业工作模式无法提供网络经济发展所需的必要条件，只有数字企业才能承担起这个历史重任。随着改革的深化和中国即将加入世界贸易组织WTO，对我国产生重大影响的将是对政府效能的冲击。一是传统的政策环境发生了巨大变化，原有的政策手段，在新的形势下不再有效。二是强制性地使WTO成同国采用的游戏规则国际化。世界经济一体化和经济全球化，也使得传统的金

4、字塔型的权力结构向扁平化方向过渡。这种变化使得以往我们企业所习惯的完全依赖于行政命令，分兵设卡进行管理的方式难以适应新的形势。因此，在管理结构发生转变的过程中，新的决策方式意味着对相应信息基础的准确性、完整性、及时性提出越来越高的要求，即解决决策的协调性问题有赖于企业信息能力的提高。所以在这样一种特定的历史条件下实施企业网安全应用是顺应历史潮流的战略性举措，具有深远的意义。综上所述，适应信息时代国家政治、经济和社会的发展需要，建立一个先进可靠的安全企业网络系统，有效提高企业各部门办公效率和决策能力的同时，更好地为社会经济和公众服务，是摆在企业面前的一项十分必要和紧迫的任务。1.2 企业网安全应

5、用的建设内容企业网安全应用将在原有的企业网络基础之上建设一个网络信任域，来保障企业的内部网络安全，它是国家信息安全基础设施NISI的一个重要组成部分，主要是构建一个可证明信任的网络环境，为上层信息系统提供安全可信的网络接入、传输、交换和管理服务。它主要发挥着如下作用：安全可信的网络接入安全可信的网络信息传输与交换完全可信的网络元素管理1.3 企业网安全应用的建设目标企业网安全应用建设采用具有自主知识产权的网络信任域基础设施及管理平台，建设一个统一发证、逐级分布式管理的企业内部网络范围内的网络信任域，为整个企业范围内提供安全可信的网络接入、传输、交换和管理服务。1.4 企业网安全应用的建设原则企

6、业网网络信任域基础设施及管理平台的建设将按照国家有关部门的规定进行。在平台建设上遵循以下总体原则：l 总体上遵从中国电子政务总体建设方案的要求；l 结合各自企业的实际网络和业务现状进行合理规划；l 保护原有投资，充分利用现有系统和现有设备；l 全面规划、分步实施。l 在实施过程中，要结合实际情况，遵循统筹规划、分步实施，联合共建、互联互通，安全可信、先进可靠，经济实用、灵活方便，统一标准、统一规范的原则。2 企业网信任服务体系的逻辑描述2.1 概述网络信任域是国家信息安全基础设施NISI的一个重要组成部分，主要是构建一个可证明信任的网络环境，为上层信息系统提供安全可信的网络接入、传输、交换和管

7、理服务。它主要发挥着如下作用：l 安全可信的网络接入l 安全可信的网络信息传输与交换l 完全可信的网络元素管理l 网络信任域采用统一发证、分布式逐级管理的模式来组织。所谓统一发证是指：建立统一的电子政务设备证书认证管理中心，负责签发电子政务系统中设备的数字证书PKC，即构建设备信任服务系统。而分布式逐级管理是指网络信任域按实际的责任和管理范围来划分。 2.2 网络信任域组织结构图2-1 网络信任域组织示意图如图所示为网络信任域组织示意图，从中可以看出网络信任域主要在终端设备的安全可信接入、网络原来的安全可信管理、数据信息的安全可信传输等环节进行组织和管理的。也就是说在网络信任域基础设施及管理平

8、台系统的终端接入环节采用网络接入认证交换机，保证设备的安全可信接入；在数据通信环节采用PKI网关保证数据安全可信传输；而在信任域管理环节采用信任域管理服务平台来保证组网设备的安全可信。2.3 企业网安全应用逻辑分层如下图所示为企业网安全应用系统的分层逻辑模型，整个逻辑结构按照功能可以自下而上划分为三个层次：网络基础设施层、智能化信任和授权基础设施层和应用层。这个逻辑模型是对企业网安全应用系统的抽象概括，其中网络基础设施的安全部分、智能化信任和授权基础设施以及应用开发与运行的安全部分构成国家信息安全基础设施NISI。网络基础设施层主要是为企业网安全应用系统提供信息及其它运行管理信息传输和交换的平

9、台，是整个企业网安全体系的最终信息承载者，位于整个分层体系结构的最低层。Web服务系统业务应用系统数据服务系统目录服务系统系统运行维护系统公务服务系统安全保密管理系统RA中心CA中心KM中心AA中心企业专网企业内联网企业外网网络信任域管理系统因特网公钥基础设施授权管理基础设施智能化信任与授权服务层网络基础设施层企业网安全应用层智能化信任和授权基础设施层主要在网络基础设施所提供支持的信息传输服务平台的基础上，为企业网安全应用提供一个通用的、高性能可信和授权计算平台，即所谓的智能化信任和授权平台。lll图5-1 中国电子政务的总体技术体系结构模型3 企业网安全应用核心关键设备3.1 概述以往，我国

10、的网络信息安全建设均是采用国外的技术和产品，通过较为传统的方式构筑身份认证、信息交换和处理平台，其中存在相当的安全漏洞和隐患；同时各类安全设备大都构建于国外的硬件平台和操作系统之上，摆脱不了受限、受制、受控于人的被动局面。具有我国自主知识产权的PKI信息安全平台的研制成功，分别从服务器端、网络端和客户端提供了三个层面的系列安全产品，并对产品系列采用了标准化、模块化的设计思路和产业化的生产模式。以其为基础构建公钥基础设施，设计建设电信系统安全应用平台体系，可有效保证电信系统安全可靠的运行，摆脱了企业安全应用系统的信息化、网络化建设受限、受制、受控于人的被动局面。3.2 平台类设备3.2.1 信任

11、域服务基础平台信任服务基础平台提供各类密码服务、信任服务、安全信息存储、安全管理和安全监测及其管理与调度功能，完成基本的PKI安全服务处理功能。信任服务基础平台采用以信息安全架构体系为核心的全新设计思路，将PKI安全服务的核心处理模块和核心业务处理模块从现有主机平台中分离出来，并放置在独立可信的计算环境中运行，以解决我国信息安全系统依赖国外操作系统和底层硬件平台的问题。信任服务基础平台是所有信任服务应用的基础，基于信任服务基础平台可以构建证书认证服务平台、授权管理服务平台、Web信任服务平台、App信任服务平台等，可为业务数字证书认证中心、密钥管理中心提供基础信任服务。信任服务基础平台在逻辑上

12、是一个分层的结构，其核心是信息安全服务引擎，下层是各种基本功能服务单元，如：密码服务单元、密钥服务单元等。因此可将安全服务细节和应用开发独立开，对安全服务性能实现平滑扩展。信任服务基础平台主要包括：信任服务基础平台基本框架、密码服务单元、密钥服务单元、签名服务单元、可信日志服务单元和监控服务单元。其中，密码服务单元和签名服务单元是信任服务基础平台必须具备的功能服务单元，密钥服务单元、可信日志服务单元和监控服务单元属于信任服务基础平台扩展服务单元。1) 信任服务基础平台基本框架信任服务基础平台基本框架通过信息安全服务引擎、系统状态管理单元、信任服务基础平台状态管理单元和接入认证交换机，为信任服务

13、基础平台提供了PKI核心服务的统一调度、状态管理和可信接入服务。2) 密码服务单元密码服务单元采用了国密办批准认可的加密算法，在国密办批准认可的、具有自主知识产权的可信安全设备（如密码服务设备）中提供加解密服务功能。3) 密钥服务单元密钥服务单元为数字证书提供存储功能，并为密码服务单元提供支持服务。4) 签名服务单元签名服务单元采用了国密办批准认可的签名算法，在国密办批准认可的、具有自主知识产权的可信安全设备（如签名服务设备）中提供签名服务功能。5) 可信日志服务单元可信日志服务单元记录信任服务基础平台系统事件，并采用数字签名技术防止日志被篡改，为系统维护和管理提供可靠数据。可信日志服务单元提

14、供日志参数设置、可信日志查询和可信日志备份等操作接口。6) 监控服务单元监控服务单元提供对内部软件模块的实时运行监控功能，确保平台内部可信计算环境的完整性与安全性。监控服务单元采用安全监测控制器和探测器两级的分布式结构，探测器配置在平台的敏感部位进行系统运行状态信息的采集，而安全监测控制器则对所收集到的信息进行分析处理，判断整个平台是否遭到入侵攻击，并进行适时处理。3.2.2 数据库信任服务平台数据库信任服务平台一改以往基于口令/密码的传统数据库身份认证机制，在PKI/PMI基础上实现了对用户身份的强认证，从根本上保证了数据的安全性。同时由于现有数据资源的分散性、无序性，因此很难形成集成化的数

15、据服务以满足企业分析决策的迫切需要。数据库信任服务平台通过数据仓库和数据挖掘功能的集成，实现了对数据的统一有序管理，提供了优化统计和分析决策功能。数据库信任服务平台采用面向对象的思想设计，构筑在信任服务基础平台上，通过数据库服务单元保证数据的安全。数据库服务单元是存储机密数据、执行关键任务的核心单元。主要为各种应用提供数据存贮、管理、查询、修改等服务，用于存放用户信息、用户证书信息、操作员信息、操作日志、密钥池，以及电子政务、电子商务等综合业务数据。数据库服务单元可作为数据中心服务器工作，并提供Java开发工具和决策支持工具支持。数据库服务单元提供了多重的安全机制以保证用户数据的安全性。3.3

16、 网络端设备3.3.1 PKI接入网关3.3.1.1 PKI网关描述l PKI网关是PKI信息安全平台用户端网络系统保护的主要设备，负责在不可信的开放网络环境中实现用户端网络系统（可信）到远端服务器系统的安全接入，并实现对用户端系统内部的安全防护。l PKI网关采用了基于PKI的用户身份认证机制来实现终端用户的身份鉴别，并采用了基于证书的虚拟专用网功能，在身份鉴别的基础上进行虚拟专用网的访问授权。同时在两个PKI网关间构建一个端对端的加密安全通道。l PKI网关同时采用了基于包过滤技术的网络层安全防护机制，提供了对常见网络层攻击的动态检测和预防功能，能实现对PKI网关设备后的用户内部可信网络系

17、统的安全防护。PKI网关的数据包过滤机制与虚拟子网机制是完全兼容的，两者共同提供了网络层上的一种灵活的数据传输保护机制。3.3.1.2 PKI网关的功能1) 支持基于PKC的运行、配置和管理 支持PKC(公钥证书)技术l PKI GP网关是基于数字证书进行运行、管理和配置的，实现“一机一证”（基于证书的配置、认证和IKE），符合X.509V2/V3标准证书格式。l 公钥基础设施PKI主要在分布式计算环境中提供数据机密性、完整性、用户身份签别和行为的不可抵赖等安全功能。公钥基础设施PKI构建的关键是PKI技术，它采用公钥密码体制构建公钥基础设施，是目前公认的在大型开放网络环境下解决信息安全问题的

18、最可行、最有效的办法。PKI网关正是在基于PKI架构上研发的。 基于PKC的运营体系l PKI网关在运行中，符合X.509标准的数字证书，并和CA紧密配合。一个PKI由众多部件组成，这些部件共同完成两个主要功能:为数据加密和创建数字认证。CA服务器产品是这一系统的核心,这些数据库管理着数字认证、公共密钥及专用密钥(分别用于数据的加密和解密)。CA(Certificate Authority,认证权威)数据库负责发布、废除和修改 X.509数字认证信息,它装有用户的公共密钥、证书有效期以及认证功能(例如对数据的加密或对数字签字的验证) 。为了防止对数据签字的篡改，CA在把每一数字签字发送给发出请

19、求的客户机之前,需对每一个数字签字进行认证。一旦数字认证得以创建, 它将会被自动存储于X.500目录中，X.500目录为树形结构。LDAP(Lightweight Directory Access Protocol)协议将响应那些要求提交所存储的公共密钥认证的请求。CA为每一用户或服务器生成两对独立的公共和专用密钥。其中一对用于信息的加密和解密，另一对由客户机应用程序使用，用于文档或信息传输中数字签字的创建。CA还提供在线的实时服务，确保在运行中对对等网关身份认证的真实性和可靠性等。 基于PKC的管理和配置体系l 提供基于PKC技术的可信配置和管理。只有通过基于证书认证的设备管理员才能够对设备

20、进行管理。证书类似于日常生活中的身份证，在网络通讯中标志通讯各方身份信息的一系列数据，它是由证书授权机构CA中心发行的。证书认证中心根据不同的管理功能要求，生成具有相应权限的设备管理员（录入员、审核员、制作员），设备管理员所有的管理和配置、以及日志信息都基于PKI技术进行安全性、可信性和完整性的保护。支持本地和远程的安全配置。l 管理员对PKI网关进行的管理和配置的每一条命令都是在公钥体系的保护下进行的，确保系统的安全可靠配置和管理。 采用便于扩展的系统架构l PKI网关采用便于扩展的系统架构，支持设备的平滑扩展，以满足设备对将来网络发展的需要。l 尤其是PKI E3000和PKI E4000

21、，均是一种分布式系统，能够平滑地扩展系统的能力。2) 使用经国家认可并经过审批的密码算法或密码芯片l 使用由国家密码管理委员会批准和认可的密码算法。公钥算法采用国密办审批的1024 bit以上的RSA和ECC算法；应用于对网络数据流加密的算法是总参56所提供的经国密办审批的单钥算法和SSF09密码芯片。3) 符合Ipsec标准l PKI 网关系统设计符合RFC2401RFC2409定义的VPN设备支持的Ipsec和IKAKMP的协议标准，以便于和更多厂商的VPN设备进行互通互联。它支持“传输模式”和“隧道模式”。4) 支持基于数字证书（PKI X.509V2/V3标准）的IKEl PKI网关支

22、持基于X.509V2/V3标准数字证书签名的IKE（internetKEYexchange），也支持基于预共享密钥的IKE。l 在密钥的协商过程中，依据通讯双方的数字证书采用公开密钥算法协商会话密钥，同时，依靠CA提供的“在线认证服务”确认通讯对等方的身份（即：证书有效性）。在依据证书确认对方身份时，依靠CA来确保验证的有效性和可靠性。l 采用何种方式协商密钥匙，可以由系统管理员灵活配置。5) 具有防火墙和NAT功能l PKI 网关的所有网络行为都是基于控制访问的，它具有基于五元组的IP包过滤：端口、服务和地址过滤的访问控制能力；通过制定一些具体的规则，让通过关守的IP报文和这些规则联系起来，

23、起到包过滤防火墙的功能。PKI 网关支持NAT、NAPT和反向端口映射技术，解决了IP地址匮乏问题，同时也起到了对外网的屏蔽作用；PKI 网关具有防止IP欺骗（IP Spoofing），支持应用级代理网关：HTTP、FTP、SMTP、Telnet等功能；支持DHCP；同时提供完善的日志审计管理功能，能够以各种方式让管理员进行查询。6) 支持基于数字证书的代码安全升级l PKI网关设备能够支持安全的代码升级。PKI网关的代码能够在经过代码签名校验后，由管理员在内网以安全的方式升级系统。3.3.1.3 PKI网关的性能l 根据不同的接入用户，PKI网关分为服务器型、工作组型和个人型三种级别。3.3

24、.2 接入认证交换机3.3.2.1 网络接入认证交换机描述l PKI接入认证交换机是PKI信息安全平台的用户信任域管理接入控制服务器，负责对相应的用户群提供身份验证和业务控制，确保只有合法的用户才能使用网络资源，而且其服务质量与其申请的网络服务类型严格一致。实现对访问用户的“一人一证”的实体鉴别。l PKI接入认证交换机采用基于PKI的接入用户身份验证，用户的数字证书中同时包含了其所申请的服务配置参数信息，当用户通过身份验证之后，安全接入服务器将自动提取其中的配置信息，并在此基础上提供了基于安全策略的用户接入控制和基于用户服务配置的服务控制机制，确保只有经过授权的用户才能接入网络系统，并按照其

25、申请的服务模式使用网络资源。l PKI接入认证交换机提供了基于TMN和SNMP的网络管理接口功能支持，以便PKI网管服务器能对其进行远程监管。3.3.2.2 功能说明1) 遵循IEEE802.1X标准，并支持基于数字证书的身份认证与接入控制，实现分布式网络环境中对终端用户和设备的身份识别与验证，确保只有合法的用户和设备才能接入网络；2) 提供一种加载在LAN端口上的具有点对点连接特性的接入认证及业务授权的方法，同时防止在认证和授权处理失败情况下的端口接入；3) 在PKI/PMI技术基础上实现基于用户身份的网络接入服务质量控制；4) 提供基于SNMP的网类接口，通过网管接口进行远程配置和管理；5

26、) 具有线速交换能力，加快数据的移动速度；6) 支持802.1Q VLAN标记的动态配置。7) 支持对10/100Mbps和100/1000Mbps端口上的电缆进行自动动态调整；8) 支持堆叠。3.3.2.3 性能指标1) 支持IEEE802.1X访问控制；2) 10/100M以太网端口密度24；3) 可选光纤1000M以太网端口密度2；4) 背板带宽(bps)=9.6G；5) 背板吞吐量(pps)=300万；6) 每端口MAC地址数8；7) 时延=4,096 entries；10) 交换带宽=6Gbps；11) 交换能力=3百万PPS； 12) 每口内存=4MB；13) 2448口的RJ45

27、接口；3.3.2.4 遵循标准1) ITU-T X.509v42) IEEE 标准802.1X ，2001 版3) IEEE 标准802.1Q ，1998 版 4) IEEE 标准802.1t ，5) IEEE 标准802.3 ，2000 年版6) IEEE 标准802.5 ，1998 年版（ISO/IEC 8802-5-1998 ）7) IEEE 标准802.11 ，1999 年版（ISO/IEC8802-11 ，1999 ）8) 网络协议标准SNMP。3.4 客户端设备3.4.1 多证书实体鉴别密码器多证书实体鉴别密码器是信息安全平台的终端产品系列之一和用户终端PKI安全服务调用的支持设备

28、。它改变了以往基于用户名和口令（脆弱的安全、昂贵的维护），或将数字身份存储在计算机硬驱动器中（不能移植、易受病毒感染）的传统方式，采用基于PKI数字证书的强认证方式，实现了“一实体一证”，“一机一证”和“一模块一证”的实体证书身份鉴别机制，以其安全、便携等特点成为用户终端PKI安全服务调用的专用支持设备。人、设备以及应用模块等都通过多证书实体鉴别密码器来表示其唯一合法身份。多证书实体鉴别密码器提供分布式计算环境中终端实体（包括用户个人和终端设备）的唯一性身份标识功能，并在此基础上有效地为上层应用提供各种PKI服务支持以及用户敏感信息的存储管理功能。实体鉴别密码器具备了完全的自主知识产权，并采用

29、了国密办审批和认可的专用密码算法。功能多样化和性能价格比方面的优势将使其成为未来信息社会中多功能、便携式、智能化的主流用户终端设备。l 密钥管理和证书存储l 硬件密码算法l 用户身份认证功能l 用户信息加密功能l 敏感信息的管理功能l PKI服务的个性化定制l 关键应用模块证书管理l 文件加密l 终端桌面锁定功能l 安全登录l 支持终端桌面安全应用4 企业网安全应用系统结构4.1 系统网络拓扑图4.2 系统说明本解决方案主要为企业网提供安全应用的保障，考虑到企业网本身可能或已经在建相关网上应用，故为保护企业原有投资，主要以建设企业网网络信任域及其管理平台，如上图中左边红色框范围内的部分；在兰色

30、虚框中的为可选项，各模块组成及功能详述如下。5 网络信任域及管理平台5.1 概述网络信任域管理服务平台主要负责对网络系统中的各级网络设备进行身份验证和相应的控制，确保只有指定的网络设备即颁发了证书的网络设备才能按照预定的模式运行，对非法的网络设备则自动进行隔离和限制。实现对网络设备的“一机一证”的实体鉴别。网络信任域管理服务平台采用了基于PKI一机一证模式的网络设备身份验证功能，能对网络所属的包括接入级、汇接级和核心级在内的网络设备提供身份鉴别。网络信任域管理服务平台同时提供了对所属网络系统的服务配置信息和全部接入用户的服务配置信息，作为网管服务器的网络设备状态监控的基准。网络信任域管理服务平

31、台还采用了基于TMN和SNMP的网络管理接口，通过该接口对所属的网络设备进行运行监测和控制，当发现未经授权的网络设备进入网络运行时，即通过网管接口调整相关网络设备的运行模式将非授权网络设备隔离；当监测到网络设备的运行状态与其预定模式不相符合时，即通过网管接口启用备份设备或安全告警。5.2 网络信任域管理系统网络信任域管理系统构建在信任服务基础平台之上，其组成如下图所示：5.2.1 系统组成5.2.2 功能描述5.2.2.1 Web服务单元1) 支持XML技术；2) Web系统监控服务；3) 可信日志服务；4) 负载均衡技术；5) 支持开放源码的操作系统；6) 采用“刀片”式服务器。5.2.2.

32、2 网元管理服务单元1) 支持SNMP网络管理协议；2) 支持PKC网元设备证书进行网元合法性验证；3) 支持对PMI网元设备配置属性证书进行设备属性设定认证；4) 网元接入情况数据采集；5) 支持XML技术；6) 负载均衡技术。5.2.2.3 网络信任域管理配置服务单元1) 支持XML技术；2) 可信日志服务；3) 提供网元接入检测策略配置服务；4) 提供告警方式配置服务；5) 提供网元属性配置服务。5.2.2.4 网元信息图形服务单元1) 支持XML技术；2) 可信日志服务；3) 网元设备属性使用状况图形服务；4) 非法接入图形服务；5) 合法接入图形服务。5.2.2.5 网元监控统计日志

33、分析服务单元1) 支持XML技术；2) 可信日志服务；3) 合法接入详细统计；4) 非法接入详细统计；5) 日志分析统计。5.3 网络信任域管理机制5.3.1 网络设备的证书管理企业网安全应用系统中用户和设备的数字证书由统一的信任与授权服务支撑平台负责发放管理，以使签发的证书在整个企业网系统中具有唯一标识，为企业网网管理体系的应用提供一个可靠的信任基础。企业网用户的公钥证书由企业自己核准发放，由信任与授权服务支撑平台实现注册审核及管理服务，用户的属性证书由信任与授权服务支撑平台签发并管理。公钥证书包含用户信息，如用户帐号、IP地址、MAC地址等信息；属性证书包含用户属性信息，如端口属性（包括：

34、带宽、速率、时长等）、服务属性（包括：网费限额、服务等级等）。设备证书给予企业网内的网元设备赋予合法的身份，使全网监控设备运作有证可依。设备属性的设定将由属性证书决定，确保设备属性的安全性，防止篡改。5.3.2 网络信任域接入用户端的接入认证管理在企业网中，网络信任域接入层的接入认证交换机提供全网用户的可信接入。接入认证交换机是对用户信任管理的接入控制服务器，提供了基于安全策略的用户接入控制和基于用户服务配置的服务控制机制，负责对相应的用户群提供身份验证和业务控制，确保只有合法的用户才能使用网络资源，而且其服务质量与其申请的网络服务类型严格一致。实现对访问用户的“一人一证”的实体鉴别。接入认证

35、交换机采用PKI技术对接入的用户进行身份认证。当用户登录网络时，向接入认证交换机提交用户PKC证书，接入认证交换机对用户提交的PKC证书进行有效性检查。确认证书有效后，对证书进行解密，获取用户信息，扫描交换机的端口，寻找与用户终端设备MAC地址一致的端口，与之建立连接。同时到信任与授权服务支撑平台获取用户属性证书中包含的服务配置参数信息，并对照服务配置参数信息进行相应的系统应用配置，为用户提供其申请服务模式的网络资源。这种分布式的安全管理简化了要求认证的过程，避免了因大量用户同时登录网络而造成系统拥塞的情况。5.3.3 平台网络设备管理平台网络设备管理提供了对所属网络系统的服务配置信息和全部接

36、入用户的服务配置信息，作为网管服务器的网络设备状态监控的基准，平台采用了基于TMN和SNMP的网络管理接口，通过该接口对所属的网络设备进行运行监测和控制，确保只有指定的网络设备即颁发了证书的网络设备才能按照预定的模式运行，当发现未经授权的网络设备进入网络运行时，即通过网管接口调整相关网络设备的运行模式将非授权网络设备隔离。当监测到网络设备的运行状态与其预定模式不相符合时，即通过网管接口启用备份设备或安全告警。通过提供上述的设备管理机制，从而建立一个可信任的网络服务平台。认证采用基于PKI技术的一机一证模式，对网络所属的网络设备提供身份鉴别，对非法的网络设备自动进行隔离和限制。6 PKI/PMI

37、服务支撑平台6.1 系统组成PKI/PMI服务系统构建在信任服务基础平台之上，其组成如下图所示：PKI/PMI服务分别基于公钥基础设施PKI体系和授权管理基础设施PMI体系，面向企业网应用系统提供信任与授权管理服务，是企业网信息安全的根本。其中PKI服务包括证书签发、密钥管理、申请审核注册，分别通过企业内部CA系统、KM系统及RA系统提供完善的PKI服务。PMI服务包括授权管理和资源管理，分别由AA业务服务单元及资源管理服务系统实现。信任服务基础平台的系统状态管理单元、基础平台状态管理单元通过安全服务引擎对系统内各服务单元及功能模块实现状态监控及维护管理。6.2 功能描述PKI/PMI服务分别

38、基于公钥基础设施PKI体系和授权管理基础设施PMI体系，面向企业网安全应用系统提供信任与授权管理服务。其中PKI服务包括证书签发、密钥管理、申请审核注册，分别通过CA中心、KM中心及RA中心提供完善的PKI服务。在本解决方案中，CA、KM及RA可由企业内部负责承建并运营，平台的PKI/PMI服务系统只需将其公用服务远程镜像到本地提供LDAP服务及OCSP服务的支持。PMI服务包括授权管理和资源管理，分别由AA业务服务单元及资源管理服务系统实现。在具体功能实现上，l PKI/PMI服务系统在前端采用WEB方式，以人性化界面方便操作人员的直观操作管理，同时有利于各系统间的相互调度与协调；l PKC

39、 LDAP服务单元基于LDAP协议，面向WEB服务系统提供公钥证书及证书撤消列表的目录服务支持，采用PKI网关实现CA中心证书库及证书撤消列表的远程镜像，通过信任服务基础平台同步CA中心证书库和证书撤消列表的发布并保持一致；l PKC OCSP服务单元基于OCSP协议并结合LDAP协议，通过信任服务基础平台的安全服务引擎，与PKC LDAP服务单元相结合提供证书库及证书撤消列表实时在线查询功能的服务支持，同时提供对查询服务处理模块的管理和任务调度功能，确保查询服务的响应速度；l AA业务服务单元基于属性证书提供授权服务、委托服务以及对角色信息的管理服务等，同时通过信任服务基础平台对数据库服务单

40、元、签名服务单元以及资源管理服务系统进行业务调度，为整个电信系统提供基于PMI的资源授权访问服务管理；l 数据库服务单元通过安全数据库软件为系统提供了的用户基本信息、用户公钥证书信息、操作员信息、操作策略、操作日志等数据存储管理服务。通过挂接大容量、高性能的海量存储设备，为信任与授权服务支撑平台所产生的所有PKI数据信息进行存储管理，并且根据系统业务量的增加扩展，存储设备及磁盘阵列数可相应动态添加；l 签名服务单元在信任服务基础平台的支持下，通过信任服务基础平台的安全服务引擎实现签名及加解密功能；l 监控服务单元采用安全监测控制器和探测器两级的分布式结构，探测器配置在平台的敏感部位进行系统运行

41、信息的采集，而安全监测控制器则对所收集到的信息进行分析处理，判断整个系统是否遭到入侵攻击；l 可信日志服务单元通过安全服务引擎对系统内部的操作日志及运行状态日志进行记录、查询、备份、参数设置等管理服务；l 信任服务基础平台的系统状态管理单元、基础平台状态管理单元通过安全服务引擎对系统内各服务单元及功能模块实现状态监控及维护管理。7 结束语基于PKI/PMI体系实施企业网安全应用工程，将信任与授权服务全面引入企业内部网，为企业网业务应用提供信任服务与授权服务。这是一次跨越式的前进和质的飞跃。本工程的成功实施，将对企业内部网络的安全性建设、业务的安全性推广起到推动促进的决定性作用。通过构建网络安全

42、基础设施，设计制定企业网业务运行的示范模式，搭建企业安全应用的示范环境，从战略思想上、安全机制上、技术实现上、业务运作上将工程的示范性成功体现。本文从企业网安全应用示范工程的建设内容、必要性、指导思想、建设目标和实施原则、系统体系结构、总体技术框架国家信息安全基础设施、应用开发与运行平台、网络基础设施质量保障体系等方面，详细论述了该工程的总体建设方案，具有先进性和可行性。8附件：缩略表AA（Attribute Authotity）授权管理中心AC（Attribute Certificate）属性证书ADSL（Asymmetrical Digital Subscriber Loop）非对称数字用

43、户环线API（Application Programming Interface）应用程序接口ATM（Asynchronous Transfer Mode）异步传输模式BCI（Business Create Implement）业务生成器BOS（Business Object Service）业务对象服务CA（Certificate Authotity）证书认证中心GUI（Graphical User Interface）图形用户界面 ICP（Internet Content Provider）因特网服务内容提供商IKE（Internet Key Exchange）互联网密钥交换IP（Inte

44、rnet Protocol）网际协议ISP（Internet Service Provider）网络服务提供商KM（Key Management）密钥管理中心LAN（Local Area Network）局域网LDAP（Light Directory Access Protocol）轻目录访问控制协议NAT（Network Address Transfer）网络地址转换OAE（Order Attemper Engine）订单调度引擎OCSP（On-line Certificate Status Protocol）在线证书状态协议OMM（Oprational Maturity Model）运营成

45、熟度模型PKC（Public Key Certificate）公钥证书PKI（Public Key Infrastructure）公钥基础设施PMI（Privilege Management Infrastructure）授权管理基础设施PSTN（Public Switched Telephone Network）公共交换电话网络RA（Register Authotity）数字证书审核注册中心SNMP（Simple Network Management Protocol）简单网络管理协议STP（Spanning Tree Protocol）生成树协议VOD（Video-On-Demand）视频点播VPN（Virtual Private Network）虚拟专用网络XML（Exceed Mark-up Language）超标记语言