论文部分内容阅读
摘 要近年来,宽带用户迅猛增长,宽带给家庭用户带来信息沟通的便利,但是宽带帐号被盗用等安全问题日益突出。从对宽带接入用户的链路控制入手,提出安全防范思路和解决方案,防止用户接入盗用。
关键词宽带账号;端口绑定;USB Key漫游;接入认证
中图分类号TP文献标识码A文章编号1673-9671-(2010)091-0034-01
1宽带业务现状
1.1研究背景
近年来,我公司宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利,但是宽带帐号被盗用等安全问题日益突出。黑客盗用宽带帐号进行网上消费,使宽带用户遭受经济损失,也给我国宽带的发展带来了负面影响。宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
1.2必要性分析
1)解决宽带账号盗用的必要性。如何可以有效地解决用户账号的盗用问题,方便用户访问宽带业务平台,从而进一步促进宽带接入业务及增值业务的大力发展,都成为急需解决的问题。
2)细分用户的必要性。如果解决用户名/密码盗用问题,希望宽带账号只能在某一部电话上使用。运营商需要向用户提供多样化服务,对于有移动及安全性要求的宽带用户,还需要提供账号漫游业务,既可以满足用户漫游的需求,又可以最大程度的保证用户网络安全,同时做到细分用户。
3)信息层消费的必要性。目前运营商的信息层计费系统(如中国电信的“互联星空”,中国网通的“宽带中国”)对于用户的支付金额有所限制,因为网上交易时双方互不可见,无法确认用户身份,有可能造成经济纠纷,所以限制支付金额,以期降低交易风险,因此从接入层做到防止盗用功能,也可以很有效的解决信息层的消费盗用。
2宽带业务安全解决方案分析
2.1系统建设目标
对宽带接入用户的链路控制,防止用户接入盗用,针对宽带用户进行接入链路绑定,对于需要漫游的用户提供USBKey(USB存储介质)的解决方案,包括端口绑定模块和USBKey漫游模块两部分。
2.2总体功能描述
端口绑定模块主要实现的是:针对宽带用户,业务支撑系统在后台完成链路绑定,将宽带账号绑定到其对应的电话链路上,对于端局无法提供准确链路信息的用户,绑定方式采用系统后台根据用户的访问频率进行捆绑,捆绑后用户只能在其对应的链路上接入。
USBKey漫游模块主要实现的是:依靠客户端软件,基于非对称加密机制,以USBKey为载体,利用用户认证信息来取代传统的用户名/密码进行接入认证,即用户可以在不输入甚至不知道认证信息内容的情况下,完全由程序自动实现认证过程。用户只有插上USBKey,拨号客户端才能够拨号上网,如果USBKey被拔下,软件会自动断开网络连接,以此方法实现在客户端进行接入账号唯一性限制。主要完成互联网用户安全认证客户端第一版和USBKey后台支撑管理系统。
2.3端口绑定解决方案
端口绑定实施方案由业务支撑系统独立完成,基本技术原理如下:
1)建立自动统计分析系统,对用户上网认证信息中所携带的NAS-IP、NAS-PORT-ID等逻辑端口属性进行统计和分析。
2)按照一定的策略,建立用户账号与这些属性之间的对应关系。
3)用户在上网时,认证服务器除匹配用户账号和密码外,同时还匹配账号与逻辑端口属性的对应关系,这二者缺一不可。
由于设备原因,可能需要进行维护、更换等工作,由于用户账号与端口实现了绑定,因此这种工作会影响到用户的上网,因此在设备维护、更换前需要对相应用户进行解绑,因此需要在受理系统中提供相应的批量解绑的操作界面,需要解绑的用户可以以文件方式输入,系统自动完成批量解绑操作;对于批量解绑后的用户账号,系统视同于新开用户,即解除绑定后,此用户第一次上网,系统对用户首次认证上网所使用的端口进行绑定。
2.4漫游业务方案
1)接入认证过程分析。为了在端口绑定实施前,能够确保为用户提供漫游的服务,满足不同用户的使用需要,需要提供基于USB-Key的漫游业务;在提供漫游业务前,我们首先需要分析安全问题可能出现的环节。用户端PC在拨号过程中,用户账号最容易在用户PC端,即拨号出口处被盗用,例如:通过木马程序截获使用者拨号使用的账号、密码,在用户上网时直接发送到指定地点。需要考虑采用一种方式在用户拨号时使用的加密密钥在本次上网后就失效了,下次上网即采用新的密钥,这样即使盗用者盗取密文码流也无法使用,如果盗用明文密码,而没有获得加密算法和本次的加密密钥的话通用无法使用,起到很好的安全作用。
2)接入认证过程安全分析。用户端PC在拨号过程中,用户PC端,仅可以与BRAS设备通信,在完成认证前,用户PC端无法直接与业务系统通信,因此需要考虑通过其他手段解决密钥更换的问题。
图1接入过程安全分析
如图1所示,用户端PC在拨号过程中,用户PC端,仅可以与BRAS设备通信,在完成认证前,用户PC端无法直接与Radius通信,因此需要考虑通过其他手段解决密钥更换的问题。即考虑用户拨号端与认证端进行密钥的同步更远,因此考虑采用递推方式,从密钥1产生密钥2,然后递推产生后续密钥,采用对称密钥方式,即密钥可对加密对象加解密,这样只需要用户端与认证端保持密钥同步就可以实现密钥更换。
3结束语
从未来业务发展来看,宽带接入是接入业务发展的重要趋势,而信息层消费业务的扩展,也是推进宽带业务发展的重要手段,宽带接入业务的增长也会增加信息层消费业务的业务量,因此这两种业务间是相辅相成的。而随着业务的发展,和用户业务使用的不断深入,业务模型中的缺陷也逐漸展现出来,我们迫切需要及时调整业务策略,修改相应的系统,以适应业务发展的需要。
参考文献
[1]黄燕.计算机网络教程[M].北京:人民邮电出版社,2004,4.
[2]鲍有仲.网络安全之防黑秘诀[M].北京:电子工业出版社,2002,1.
关键词宽带账号;端口绑定;USB Key漫游;接入认证
中图分类号TP文献标识码A文章编号1673-9671-(2010)091-0034-01
1宽带业务现状
1.1研究背景
近年来,我公司宽带用户迅猛增长,宽带给家庭用户带来了信息沟通的便利,但是宽带帐号被盗用等安全问题日益突出。黑客盗用宽带帐号进行网上消费,使宽带用户遭受经济损失,也给我国宽带的发展带来了负面影响。宽带用户应提高网络安全意识,并采取强化系统、限制开放端口、关闭共享等相应的技术防范措施,以防止黑客侵入计算机,减少或避免因帐号被盗用而产生的经济损失。
1.2必要性分析
1)解决宽带账号盗用的必要性。如何可以有效地解决用户账号的盗用问题,方便用户访问宽带业务平台,从而进一步促进宽带接入业务及增值业务的大力发展,都成为急需解决的问题。
2)细分用户的必要性。如果解决用户名/密码盗用问题,希望宽带账号只能在某一部电话上使用。运营商需要向用户提供多样化服务,对于有移动及安全性要求的宽带用户,还需要提供账号漫游业务,既可以满足用户漫游的需求,又可以最大程度的保证用户网络安全,同时做到细分用户。
3)信息层消费的必要性。目前运营商的信息层计费系统(如中国电信的“互联星空”,中国网通的“宽带中国”)对于用户的支付金额有所限制,因为网上交易时双方互不可见,无法确认用户身份,有可能造成经济纠纷,所以限制支付金额,以期降低交易风险,因此从接入层做到防止盗用功能,也可以很有效的解决信息层的消费盗用。
2宽带业务安全解决方案分析
2.1系统建设目标
对宽带接入用户的链路控制,防止用户接入盗用,针对宽带用户进行接入链路绑定,对于需要漫游的用户提供USBKey(USB存储介质)的解决方案,包括端口绑定模块和USBKey漫游模块两部分。
2.2总体功能描述
端口绑定模块主要实现的是:针对宽带用户,业务支撑系统在后台完成链路绑定,将宽带账号绑定到其对应的电话链路上,对于端局无法提供准确链路信息的用户,绑定方式采用系统后台根据用户的访问频率进行捆绑,捆绑后用户只能在其对应的链路上接入。
USBKey漫游模块主要实现的是:依靠客户端软件,基于非对称加密机制,以USBKey为载体,利用用户认证信息来取代传统的用户名/密码进行接入认证,即用户可以在不输入甚至不知道认证信息内容的情况下,完全由程序自动实现认证过程。用户只有插上USBKey,拨号客户端才能够拨号上网,如果USBKey被拔下,软件会自动断开网络连接,以此方法实现在客户端进行接入账号唯一性限制。主要完成互联网用户安全认证客户端第一版和USBKey后台支撑管理系统。
2.3端口绑定解决方案
端口绑定实施方案由业务支撑系统独立完成,基本技术原理如下:
1)建立自动统计分析系统,对用户上网认证信息中所携带的NAS-IP、NAS-PORT-ID等逻辑端口属性进行统计和分析。
2)按照一定的策略,建立用户账号与这些属性之间的对应关系。
3)用户在上网时,认证服务器除匹配用户账号和密码外,同时还匹配账号与逻辑端口属性的对应关系,这二者缺一不可。
由于设备原因,可能需要进行维护、更换等工作,由于用户账号与端口实现了绑定,因此这种工作会影响到用户的上网,因此在设备维护、更换前需要对相应用户进行解绑,因此需要在受理系统中提供相应的批量解绑的操作界面,需要解绑的用户可以以文件方式输入,系统自动完成批量解绑操作;对于批量解绑后的用户账号,系统视同于新开用户,即解除绑定后,此用户第一次上网,系统对用户首次认证上网所使用的端口进行绑定。
2.4漫游业务方案
1)接入认证过程分析。为了在端口绑定实施前,能够确保为用户提供漫游的服务,满足不同用户的使用需要,需要提供基于USB-Key的漫游业务;在提供漫游业务前,我们首先需要分析安全问题可能出现的环节。用户端PC在拨号过程中,用户账号最容易在用户PC端,即拨号出口处被盗用,例如:通过木马程序截获使用者拨号使用的账号、密码,在用户上网时直接发送到指定地点。需要考虑采用一种方式在用户拨号时使用的加密密钥在本次上网后就失效了,下次上网即采用新的密钥,这样即使盗用者盗取密文码流也无法使用,如果盗用明文密码,而没有获得加密算法和本次的加密密钥的话通用无法使用,起到很好的安全作用。
2)接入认证过程安全分析。用户端PC在拨号过程中,用户PC端,仅可以与BRAS设备通信,在完成认证前,用户PC端无法直接与业务系统通信,因此需要考虑通过其他手段解决密钥更换的问题。
图1接入过程安全分析
如图1所示,用户端PC在拨号过程中,用户PC端,仅可以与BRAS设备通信,在完成认证前,用户PC端无法直接与Radius通信,因此需要考虑通过其他手段解决密钥更换的问题。即考虑用户拨号端与认证端进行密钥的同步更远,因此考虑采用递推方式,从密钥1产生密钥2,然后递推产生后续密钥,采用对称密钥方式,即密钥可对加密对象加解密,这样只需要用户端与认证端保持密钥同步就可以实现密钥更换。
3结束语
从未来业务发展来看,宽带接入是接入业务发展的重要趋势,而信息层消费业务的扩展,也是推进宽带业务发展的重要手段,宽带接入业务的增长也会增加信息层消费业务的业务量,因此这两种业务间是相辅相成的。而随着业务的发展,和用户业务使用的不断深入,业务模型中的缺陷也逐漸展现出来,我们迫切需要及时调整业务策略,修改相应的系统,以适应业务发展的需要。
参考文献
[1]黄燕.计算机网络教程[M].北京:人民邮电出版社,2004,4.
[2]鲍有仲.网络安全之防黑秘诀[M].北京:电子工业出版社,2002,1.