网通e盾之宽易通——宽带网络漫游接入及其增值业务认证安全技术创新.pdfVIP

(2008北京青年通信科技论坛》论文集 网通e盾之宽易通 ——宽带网络漫游接入及增值业务认证安全技术创新 昔藏 灭，熙 北京网通综合信息业务中心增值产品研发部 【摘要】 经过宽带这些年的发展，在业务使用方面逐渐出现了 宽带账号盗用现象。针对宽带账号盗用现象，公司实施了对宽带 接入用户的链路控制，防止用户接入盗用，针对宽带用户进行接 入链路绑定，对于需要漫游的用户开创性地提出了USBKey(USB 存储介质)的解决方案，以保证宽带网络漫游接入及增值业务认 证的安全。本文详细描述了该解决方案及其所具有的价值。 【关键词】 网通e盾宽易通USBKey宽带网络漫游接入CA 一、挑战 根据最新统计，我国的宽带用户已居全球第二。宽带应用及网上增值业务进 入了发展的黄金时期。北京网通宽带用户已经达到300万，在宽带用户数量增长 的同时，出现了帐号泄漏、帐号盗用的现象，黑客可以在网络链路中截获用户名／ 密码，还可以在用户电脑中植入木马程序获取用户名／密码，互联网中的安全问题 已变得日益突出，宽带网络身份认证的安全问题困扰着电信运营商。按照原中国 信息产业部所提出的”谁接入、谁负责’的总体原则，’如何构建总体安全认证体系 架构，保障并促进互联网自身宽带接入及增值业务的良性发展”已成为中国各电信 运营商在进行总体业务转型战略中必须解决的问题。 这个问题涉及两个层面：网络接入层面和网络应用层面。那么这些问题的根 (2008北京青年通信科技论坛》论文集 源在哪里呢?为什么会产生这个问题?主要是因为身份认证手段的缺失，没有办 法来保证宽带用户的身份认证及身份识别。现在我们常用的大家熟悉的身份识别 的几种方式，第一种是用户名和密码，这是最常见也是最原始、最不安全的身份 确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击 等手段导致合法用户身份被伪造。第二种是使用动态令牌，就是一个小设备根据 时间不同会显示动态的密码。第三种识别方式是生物特征识别(包括指纹、声音、 手迹、虹膜等)，以人体唯一的生物特征为依据，具有很好的安全性和有效性。这 些识别方式都存在一定的问题，用户名和密码大家很熟悉了，密码肯定非常容易 泄露，一切的问题都是出现这里的。动态令牌安全还是可以的，但是整个系统实 施的成本比较高，使用起来用户在使用时必须根据动态令牌上产生的密码输入电 脑，如果输入错的话还要再重新输入，动态令牌和服务器可能会产生对应时间不 一致，使用非常不方便。生物识别实现的技术复杂，还不是很成熟，使用成本比 较高，一般是用在比较高级的安防系统上的，每个宽带用户花几千块钱买一个指 纹识别器这也不太现实。现在电子商务、电子政务领域最流行、最常用的识别方 式就是USBKey，对于客户端来说经济方便，使用单个成本比较低，安全强度是基 于现代密码学的，安全强度也比较高。 同时，网通集团公司正在向综合信息服务企业转型，并提出了通过采取自主 创新方式，来不断提升企业核心竞争力，加快企业发展。 本解决方案就是在这个大背景下进行可行性论证、研究开发并实施。 二、产品概述 2．1USBKey USBKey是USB接口的电子钥匙，外观很像U盘，其实不是U盘，它有哪些特 点呢?第一个有PIN码的保护，就像银行卡，要有卡，还要有密码才能取钱，如 果只有卡没有密码或者是只有密码没有卡也是不能取钱的。第二是USBKey具有安 全的存储空间，可以把用户的机要文件存储进去，不会被黑客或者是其他软件盗 取。第三是基于硬件的密码算法，它带有CPU可以进行运算。 {2008北京青年通信科技论坛)皓文集 2．2网通e盾之宽易通 气迦 罔l网通e盾之宽易通 “网通e盾之宽易通”产品，如图I所示，是以自主设计的USBKey做为前端 客户端软件的硬件载体，以北京网通现有宽带接入和增值业务支撑平台的依托， 向用户提供从基础网络接入直至增值业务消费的一体化“安全+应用”的