身份认证系统LedCA的校园网安全解决方案分析
- 作者:admin 来源:网络 日期:2009-2-19 23:13:16
- 摘要随着网络技术的发展演变,校园网已经成为众多高等院校信息化建设的主要载体和重要手段。该文在分析目前校园网在安全应用与管理方面存在问题的基础上,首先简单介绍了PKI/PMI,然后阐述了如何根据PKI/PMI的一般架构设计基于身份认证系统LedCA的可信任环境,从而构建一个“可控制、可管理”的校园网,为各种信息化应用提供一个安全可信的网络平台。
关键词身份认证系统公钥基础设施PKI校园网安全授权管理基础设施PMIOpenSSL属性证书
1引言
目前校园网在管理和安全应用方面存在许多问题,如:不能有效识别进入网络用户的合法身份;不能对用户的个人信息实现有效保护;不能有效地解决抗抵赖性问题等。这些问题的存在一方面导致了校园网的可控制、可管理较差;另一方面直接影响到各单位的信息安全,甚至关系到国家的安危。导致这些问题的原因主要是由于目前校园网采用的“用户名+密码”的认证方式只能实现初级的、简单的管理,安全性很不够(如易于盗用、合用);用户名与接入线路没有固定的对应关系,使得用户接入难以定位,用户权限难以管理等。因此,要有效解决目前校园网在管理和安全应用方面存在的问题,必须从技术上保证校园网在管理使用过程中能够实现身份认证、安全传输、不可否认性、数据完整性和用户定位等问题。
2PKI/PMI
2.1PKI
公钥基础设施(PKI,PublicKeyInfrastructure)是国家信息安全基础设施(NationalInformationSecurityInfrastructure,NISI)的重要组成部分,PKI采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA),把用户的公钥和用户的其他标识信息捆绑在一起,其中包括用户名和电子邮件地址等信息,以在Internet网上验证用户的身份。PKI把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。因此,从大的方面来说,所有提供公钥加密和数字签名服务的系统,都可归结为PKI系统的一部分,PKI的主要目的是通过自动管理密钥和证书,为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名技术,从而保证网上数据的机密性、完整性、有效性,一个典型的PKI系统如下图所示。
2.2PMI
PrivilegeManagementInfrastructure(PMI)即权限管理基础设施或授权管理基础设施,是国家信息安全基础设施(NISI)的一个重要组成部分,PMI以资源管理为核心,资源的访问控制权统一交由授权机构统一处理,即由资源的所有者来进行访问控制。目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化应用系统的开发与维护。PMI是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能,如下图所示:
PMI和PKI之间的主要区别在于:PKI主要进行身份鉴别,证明用户身份,即“你是谁”;PMI主要进行授权管理,证明这个用户具有什么权限,即“能做什么”。虽然PMI可以独立于PKI执行管理操作,但是两者之间还存在着必要的联系,即PKI可用于认证属性证书中实体和所有者的身份,并鉴别属性证书签发权威AA的身份。http://www.dxlww.net代写论文网
3校园网安全应用解决方案
3.1校园网安全应用平台体系架构
校园网安全应用平台是在传统校园网框架之上,以基于PKI/PMI的网络和信息安全技术为基础,构建的一个完整统一的可控制、可管理的校园网。在逻辑上把整个校园网安全应用平台由外到里分为三层,分别为接入认证层、汇接层和核心层。
·接入认证层:完成对校园网用户及网络设备的接入认证,构成网络信任域(由通过认证的用户和网络设备构成的一个网络区域)。对非法的网络设备和IP宽带用户自动进行阻断和限制,防止对系统的非法接入,保障网络系统的安全可信,是实现校园网可控制、可管理的基础。
·汇接层:一方面完成汇接各类业务流的功能;另一方面,通过部署PKI、PMI体系,实现对用户身份的认证、信任授权和域内各网络元素的认证与管理。
·核心层:完成信息的高速传送与交换,实现与其它网络的互联互通。
3.2身份认证系统LedCAServer方案设计
通过应用基于PKI/PMI平台的智能化信任与授权技术,来构建校园网的可信网络环境,采用数字证书的方式来实现校园网用户的认证与授权。主要思想是给用户颁发数字证书(包括用户个人信息,如序列号、IP地址、MAC地址等信息),在“一实体一证”的基础上,由数字证书的唯一性,准确地标识用户身份。由接入认证交换机端口的可控性和后台的认证管理功能,将证书与端口(也可以包括IP地址)建立灵活的对应关系,并由此决定用户是否可以接入校园网,同时对接入用户提供流量、时长、时段等管理。
在具体实现中,根据公钥基础设施一般架构方案,结合OpenSSL开发标准,设计出身份认证系统LedCAServer,系统设计架构如下图。
系统包含PKI安全策略、软硬件系统、注册机构(RA)、权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书撤销系统、应用接口(API)等组成部分。其中,证书认证机构CA是系统的核心,用于签发证书和撤销证书以及密钥的产生、备份和恢复;证书注册机构RA可以作为CA的一部分,也可以独立,其功能包括个人身份(证书申请)信息审核、申请信息和证书信息管理、CRL管理、和证书发布及下载等;证书数据库建立申请表和证书表用于存储和管理用户申请和用户证书信息及其状态,并提供一定的查询功能。还用于其它系统在LedCA基础上进一步开发,如属性认证系统等;密钥备份和恢复系统和证书撤销系统可以嵌入CA中,通过控制LDAP证书库管理库中证书文件和密钥文件;软硬件系统主要考虑该认证系统在不同操作系统平台上的兼容性;证书策略(CP)定义为一系列规则,它们对具有共同认证需求的用户证书的适用性进行了描述。针对不同层次的认证需求,证书政策定义该安全级别上的颁发策略和认证适用范围。
另外,将数字证书内嵌在一个实体鉴别密码器(USB-KEY)中,每个实体鉴别密码器还有一个PIN码保护,连续发生几次不成功的PIN输入后,实体鉴别密码器会被自动锁定,使得对实体鉴别密码器进行词典攻击非常困难,这样只有同时得到实体鉴别密码器和相应PIN码才能假扮合法用户,这种认证方式比目前单纯的用户名加PIN码的方式具有更高的安全性,更能有效识别进入网络用户的合法身份,防止假冒。
代写论文联系方式
联系QQ:904272800
联系信箱:904272800@qq.com
代写论文导航
客户、写手申请单
最新论文
热点论文
