基于INTERNET的远程访问控制中AAA问题的研究及实现
|
摘要
Internet网络的兴起推动了整个世界信息产业的飞速发展,但同时也给网络
服务的提供者(ISP)们提出了一个无法回避的问题,即如何保证远程访问的网络
安全。
远程访问控制的安全包含三方面的内容:认证(Authentication)、授权
(Authorization)、记帐(Accounting),现在人们常常将它们称作为“3A”或
“ AAA”,已成为网络安全策略研究的重要部分,并用于各种网络的安全设计中。
传统的AAA主要用于局域网和校园网当中,应用面窄,满足不了大型ISP业务
的需求;电信部门虽然在广域网上采用了AAA技术,但主要是用在PSTN网上;基于
Internet的AAA问题的研究甚少,在实用系统的开发上更是力量薄弱。针对上述情
况,我们进行了基于Internet的远程访问控制安全中AAA问题(以下简称AAA问题)
的研究。
文中首先对AAA问题所涉及的相关内容进行了研究:首先对Internet上信息服
务的基本工作环境——分布式系统进行了介绍,对Internet上超大容量数据的有
关问题进行了探讨,然后着重对Internet远程访问控制的安全性进行了研究,并
对实现远程访问控制的安全提出了下述措施:
1.在认证过程中,提出了对传统的抵御报文重播方法的一种改进措施,
2.设计了一种新的一次性口令鉴别协议。
3.提出一种新的授权证书来实现分布式的访问控制。
在上述工作的基础上,进一步对AAA问题的相关技术进行了探讨,提出了一
个基于Internet的远程访问控制的AAA模型(I3A-1模型),对其功能、工作流
程及关键问题分别做了详细阐述,并在记帐问题上,提出利用两套不同的数据采
集和计费采集系统(一套是利用I3A-1模型本身的接入服务器和认证服务器来进
行,另一套是直接利用电信部门的固有设备。)所采集的数据分别进行记帐并核对,
达到计费的准确和实时高效,从而充分利用两者的优势达到互补。
最后,将I3A-1模型在联想集团的计费项目LegendAAA中进行了实际应用。
通过实践的验证,说明运用模型及有关方法解决互联网上信息系统中的远程访问
控制安全问题是可行的。本文所做的工作对ISP在灵活定制计费策略,安全、准
确地进行计费工作上也起到了积极作用,同时对Internet上远程访问控制安全问
题的解决也具有一定的理论和实用价值。
随着Internet网上应用的推陈出新,与其相关的AAA技术也在日新月异地不
断变化。今后我们还将进一步将应用系统记帐功能完善、细化,改进目前应用系
统,使其能够应用于多种平台上,并进一步完善模型,逐步将其应用于移动网络
领域。
The appearance of Internet has promoted the development of world’s
information industry. But at the same time , it brings Internet Service
Provider (ISP) an unavoidable problem that is the security of remote
access.
The control of remote access includes three aspect: authentication,
authorization and accounting, which are often called “3A”or “AAA”
It has become an important part of the strategy research of the network’s
safety design.
The traditional AAA primarily is used in Local Area Network (LAN).
It’s limited application can’t satisfy the need of the large scale ISP.
Although telecom departments have used the technology of AAA , they
mainly have used it in PSTN. There have little research on Internet?s
AAA problem, and especially in the development of application system.
In the light of these, we researched the AM problem based on the
control of remote access in Internet.
In this article, some points about MA are discussed. First the
essential working environment of information service in Internet
-distribution system is introduced. Some problems of large capacity data
in Internet are presented. Then the security of the remote access in
Internet are researched. And some measures of the security of remote access
in Internet are advanced:
1. Providing a new measure to prevent the replay of message.
2. Designing a new protocol-OTPAP( One Time Password Authentication
Protocol)
3. Presenting a new certification of authorization to realize the
distributive access control.
Based on the research of these, we farther research some technology
about AAA problem, give a AAA model based on the control of remote access
in Internet-I3A-1, and introduce the model’s function, operational
process and key problem. And in the problem of accounting, we put forward
a way of using two sets of data to check the accounts (One comes from telecom
department, and the other comes from I3A-1 model) to secure accounts’
accuracy and real time process.
In the end, we use the I3Al model in LegendAAA system, Legend Group’s
accounting project.
Through the practice we prove that the use of I3A-1 model in the
control of remote access in Internet is operable, and the I3A-1 model play
an important role in promting the development of ISP.
With the development of Internet, the relevant technology of AM will
be changing day by day. In the future, we will improve the application
system to equip it with more function, and perfect the model to be applied
in the field of mobile network step by step.
服务的提供者(ISP)们提出了一个无法回避的问题,即如何保证远程访问的网络
安全。
远程访问控制的安全包含三方面的内容:认证(Authentication)、授权
(Authorization)、记帐(Accounting),现在人们常常将它们称作为“3A”或
“ AAA”,已成为网络安全策略研究的重要部分,并用于各种网络的安全设计中。
传统的AAA主要用于局域网和校园网当中,应用面窄,满足不了大型ISP业务
的需求;电信部门虽然在广域网上采用了AAA技术,但主要是用在PSTN网上;基于
Internet的AAA问题的研究甚少,在实用系统的开发上更是力量薄弱。针对上述情
况,我们进行了基于Internet的远程访问控制安全中AAA问题(以下简称AAA问题)
的研究。
文中首先对AAA问题所涉及的相关内容进行了研究:首先对Internet上信息服
务的基本工作环境——分布式系统进行了介绍,对Internet上超大容量数据的有
关问题进行了探讨,然后着重对Internet远程访问控制的安全性进行了研究,并
对实现远程访问控制的安全提出了下述措施:
1.在认证过程中,提出了对传统的抵御报文重播方法的一种改进措施,
2.设计了一种新的一次性口令鉴别协议。
3.提出一种新的授权证书来实现分布式的访问控制。
在上述工作的基础上,进一步对AAA问题的相关技术进行了探讨,提出了一
个基于Internet的远程访问控制的AAA模型(I3A-1模型),对其功能、工作流
程及关键问题分别做了详细阐述,并在记帐问题上,提出利用两套不同的数据采
集和计费采集系统(一套是利用I3A-1模型本身的接入服务器和认证服务器来进
行,另一套是直接利用电信部门的固有设备。)所采集的数据分别进行记帐并核对,
达到计费的准确和实时高效,从而充分利用两者的优势达到互补。
最后,将I3A-1模型在联想集团的计费项目LegendAAA中进行了实际应用。
通过实践的验证,说明运用模型及有关方法解决互联网上信息系统中的远程访问
控制安全问题是可行的。本文所做的工作对ISP在灵活定制计费策略,安全、准
确地进行计费工作上也起到了积极作用,同时对Internet上远程访问控制安全问
题的解决也具有一定的理论和实用价值。
随着Internet网上应用的推陈出新,与其相关的AAA技术也在日新月异地不
断变化。今后我们还将进一步将应用系统记帐功能完善、细化,改进目前应用系
统,使其能够应用于多种平台上,并进一步完善模型,逐步将其应用于移动网络
领域。
The appearance of Internet has promoted the development of world’s
information industry. But at the same time , it brings Internet Service
Provider (ISP) an unavoidable problem that is the security of remote
access.
The control of remote access includes three aspect: authentication,
authorization and accounting, which are often called “3A”or “AAA”
It has become an important part of the strategy research of the network’s
safety design.
The traditional AAA primarily is used in Local Area Network (LAN).
It’s limited application can’t satisfy the need of the large scale ISP.
Although telecom departments have used the technology of AAA , they
mainly have used it in PSTN. There have little research on Internet?s
AAA problem, and especially in the development of application system.
In the light of these, we researched the AM problem based on the
control of remote access in Internet.
In this article, some points about MA are discussed. First the
essential working environment of information service in Internet
-distribution system is introduced. Some problems of large capacity data
in Internet are presented. Then the security of the remote access in
Internet are researched. And some measures of the security of remote access
in Internet are advanced:
1. Providing a new measure to prevent the replay of message.
2. Designing a new protocol-OTPAP( One Time Password Authentication
Protocol)
3. Presenting a new certification of authorization to realize the
distributive access control.
Based on the research of these, we farther research some technology
about AAA problem, give a AAA model based on the control of remote access
in Internet-I3A-1, and introduce the model’s function, operational
process and key problem. And in the problem of accounting, we put forward
a way of using two sets of data to check the accounts (One comes from telecom
department, and the other comes from I3A-1 model) to secure accounts’
accuracy and real time process.
In the end, we use the I3Al model in LegendAAA system, Legend Group’s
accounting project.
Through the practice we prove that the use of I3A-1 model in the
control of remote access in Internet is operable, and the I3A-1 model play
an important role in promting the development of ISP.
With the development of Internet, the relevant technology of AM will
be changing day by day. In the future, we will improve the application
system to equip it with more function, and perfect the model to be applied
in the field of mobile network step by step.
引文
1. Abraham Silberschatz,Henry F.Korth,S.Sudarsham DATABASE SYSTEM CONCEPTS(THIRD EDITION) china machine press 1999,3
2. Douglas E.Comer Computer Networks and Internets(Second Edition) 机械工业出版社 2000,8
3. 张健沛 数据库原理及应用系统开发 中国水利水电出版社 1999,4
4. 蒋林涛 多媒体通信网 人民邮电出版社 1999,6
5. 邵佩英 分布式数据库系统及其应用 科学出版社 2000,6
6. 许锦波 Internet/Intranet网络安全结构设计 清华大学出版社 1999,2
7. 胡道元 信息网络系统集成技术 清华大学出版社 1996,3
8. 基于RADIUS的校园网拨号计费系统CERNET第5届学术论文集
9. BEA White Book
10. TUXDEO White Book
11. Marc Farley等 网络安全与数据完整性 机械工业出版社 1998,4
12. 段海新 基于Web和数据库的网络管理系统的设计与实现 软件学报 2000,11(4)
13. 蒋伟进,许宇辉 基于体系结构的网络与信息安全研究 计算机工程与 应用 2000,9
14. 李正 远程访问的安全控制 微型电脑应用 2000,2
15. 鞠海玲 分布式数据库系统的安全机制 计算机工程与应用 2000,3
16. 陈家祺 基于Client/Server分布式系统的研究与开发 计算机应用 2000,6
17. 王宇 利用授权证书实现分布式的访问控制 计算机工程与科学 2000,6
18. Tamara Dean Network+Guide to Networks 机械工业出版社 2000,8
19. 卢开澄等 计算机系统安全 重庆出版社 1999年
20. Cisco Systems Cisco IOS Dial Solutions 电子工业出版社 1999,8
21. BEA系统有限公司北京代表处 BEA系统有限公司电子商务解决方案
22. SCO系统管理参考大全 北京希望电子出版社 2000,8
23. 史金红 认证授权与通用信任管理系统 微型电脑应用 2000,1
24. Douglas E.Comer,David L.Stevens Internetworking With TCP/IP Vol Ⅲ:Client-Server Programming And Application(Second Edition) 清华大 学出版社 1998/06
25. 巩志国 周龙骧 分布式多媒体数据库系统 软件学报 2000,11
26. 何俊杰 用Radius构建远程拨入用户安全认证服务器 CERNET第5届学 术论文集
27. 黄川等 IP计费系统的设计与实现 计算机工程与应用 2000,8
28. 安常青等 面向用户的综合网络计费系统 计算机工程与应用 2000,8
29. Norman E.Smith Intranet客户机/服务器应用指南 人民邮电出版社 1999,3
30. Kelley C.Bourne客户机/服务器系统测试 机械工业出版社 1998,5
31. 张小斌 计算机网络安全工具 清华大学出版社 1999,2
32. Radius协议在拨号用户认证计费系统中的应用 99Cernet年会录用论文
33. 曾勇军 PPP协议及其在INTERNET远程接入技术中的应用 计算机应用 研究 2000,3
34. 张坤龙等 异构分布式实时系统中容错调度模型的研究 华中理工大学 学报 2000,8
35. Joline Morrison The Guide of ORACLE 1999,5
36. 郑振楣 分布式数据库 科学出版社 1998
37. 周龙骧等 分布式数据库管理系统安全技术 科学出版社 1998,7
38. 刘积仁等 分布式多媒体技术 电子工业出版社 1999,7
39. Anonymous Maximum Security(Second Edition)Sams Publish 1999,4
40. 王育民 刘建伟 通信网的安全--理论与技术 西安电子科技大学出版社 2000,3
41. 高鹏 构建安全的WEB站点 清华大学出版社 1999,3
42. 萨师煊,王珊 数据库系统概论 高等教育出版社 1995年
43. 霍英,张莲 联想计费系统LegendAAA需求说明
44. 王憬,霍英 联想计费系统LegendAAA技术文档
2. Douglas E.Comer Computer Networks and Internets(Second Edition) 机械工业出版社 2000,8
3. 张健沛 数据库原理及应用系统开发 中国水利水电出版社 1999,4
4. 蒋林涛 多媒体通信网 人民邮电出版社 1999,6
5. 邵佩英 分布式数据库系统及其应用 科学出版社 2000,6
6. 许锦波 Internet/Intranet网络安全结构设计 清华大学出版社 1999,2
7. 胡道元 信息网络系统集成技术 清华大学出版社 1996,3
8. 基于RADIUS的校园网拨号计费系统CERNET第5届学术论文集
9. BEA White Book
10. TUXDEO White Book
11. Marc Farley等 网络安全与数据完整性 机械工业出版社 1998,4
12. 段海新 基于Web和数据库的网络管理系统的设计与实现 软件学报 2000,11(4)
13. 蒋伟进,许宇辉 基于体系结构的网络与信息安全研究 计算机工程与 应用 2000,9
14. 李正 远程访问的安全控制 微型电脑应用 2000,2
15. 鞠海玲 分布式数据库系统的安全机制 计算机工程与应用 2000,3
16. 陈家祺 基于Client/Server分布式系统的研究与开发 计算机应用 2000,6
17. 王宇 利用授权证书实现分布式的访问控制 计算机工程与科学 2000,6
18. Tamara Dean Network+Guide to Networks 机械工业出版社 2000,8
19. 卢开澄等 计算机系统安全 重庆出版社 1999年
20. Cisco Systems Cisco IOS Dial Solutions 电子工业出版社 1999,8
21. BEA系统有限公司北京代表处 BEA系统有限公司电子商务解决方案
22. SCO系统管理参考大全 北京希望电子出版社 2000,8
23. 史金红 认证授权与通用信任管理系统 微型电脑应用 2000,1
24. Douglas E.Comer,David L.Stevens Internetworking With TCP/IP Vol Ⅲ:Client-Server Programming And Application(Second Edition) 清华大 学出版社 1998/06
25. 巩志国 周龙骧 分布式多媒体数据库系统 软件学报 2000,11
26. 何俊杰 用Radius构建远程拨入用户安全认证服务器 CERNET第5届学 术论文集
27. 黄川等 IP计费系统的设计与实现 计算机工程与应用 2000,8
28. 安常青等 面向用户的综合网络计费系统 计算机工程与应用 2000,8
29. Norman E.Smith Intranet客户机/服务器应用指南 人民邮电出版社 1999,3
30. Kelley C.Bourne客户机/服务器系统测试 机械工业出版社 1998,5
31. 张小斌 计算机网络安全工具 清华大学出版社 1999,2
32. Radius协议在拨号用户认证计费系统中的应用 99Cernet年会录用论文
33. 曾勇军 PPP协议及其在INTERNET远程接入技术中的应用 计算机应用 研究 2000,3
34. 张坤龙等 异构分布式实时系统中容错调度模型的研究 华中理工大学 学报 2000,8
35. Joline Morrison The Guide of ORACLE 1999,5
36. 郑振楣 分布式数据库 科学出版社 1998
37. 周龙骧等 分布式数据库管理系统安全技术 科学出版社 1998,7
38. 刘积仁等 分布式多媒体技术 电子工业出版社 1999,7
39. Anonymous Maximum Security(Second Edition)Sams Publish 1999,4
40. 王育民 刘建伟 通信网的安全--理论与技术 西安电子科技大学出版社 2000,3
41. 高鹏 构建安全的WEB站点 清华大学出版社 1999,3
42. 萨师煊,王珊 数据库系统概论 高等教育出版社 1995年
43. 霍英,张莲 联想计费系统LegendAAA需求说明
44. 王憬,霍英 联想计费系统LegendAAA技术文档
© 2004-2018 中国地质图书馆版权所有 京ICP备05064691号 京公网安备11010802017129号 地址:北京市海淀区学院路29号 邮编:100083 电话:办公室:(+86 10)66554848;文献借阅、咨询服务、科技查新:66554700 |