我國(guó)的寬帶城域網(wǎng)建設(shè)還不是很完善，但是接入技術(shù)在不斷的成熟，可能好多人還不了解寬帶城域網(wǎng)建設(shè)中遇到的問(wèn)題，沒(méi)有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會(huì)你更多東西。通過(guò)應(yīng)用基于國(guó)家信息安全基礎(chǔ)設(shè)施研究中心具有自主知識(shí)產(chǎn)權(quán)的PKI/PMI平臺(tái)的智能化信任與授權(quán)技術(shù)，來(lái)構(gòu)建IP寬帶城域網(wǎng)的可信網(wǎng)絡(luò)環(huán)境，采用數(shù)字證書(shū)的方式來(lái)實(shí)現(xiàn)IP寬帶城域網(wǎng)用戶的認(rèn)證與授權(quán)。

主要思想是給用戶頒發(fā)PKC(包括用戶個(gè)人信息，如序列號(hào)、IP地址、MAC地址等信息)和AC(包括用戶的屬性信息，如角色、訪問(wèn)控制權(quán)限等)。在“一實(shí)體一證”的基礎(chǔ)上，由PKC的唯一性，準(zhǔn)確地標(biāo)識(shí)用戶身份。由接入認(rèn)證交換機(jī)端口的可控性和后臺(tái)的認(rèn)證管理功能，可將證書(shū)與端口(也可以包括IP地址)建立靈活的對(duì)應(yīng)關(guān)系，并由此決定用戶是否可以接入IP寬帶城域網(wǎng)，同時(shí)對(duì)接入用戶提供流量、時(shí)長(zhǎng)、時(shí)段等的統(tǒng)計(jì)，并根據(jù)AC對(duì)用戶進(jìn)行權(quán)限、時(shí)長(zhǎng)、計(jì)費(fèi)方式等屬性管理。這樣通過(guò)證書(shū)和端口的靈活綁定，構(gòu)建一個(gè)基于證書(shū)和端口的IP寬帶城域網(wǎng)安全管理模式，類似于PSTN基于號(hào)線的管理模式。

另外，將公鑰數(shù)字證書(shū)內(nèi)嵌在一個(gè)實(shí)體鑒別密碼器(數(shù)字證書(shū)的物質(zhì)載體)中，采用USB接口。每個(gè)實(shí)體鑒別密碼器還有一個(gè)PIN碼保護(hù)，連續(xù)發(fā)生幾次不成功的PIN輸入后，實(shí)體鑒別密碼器會(huì)被自動(dòng)鎖定，使得對(duì)實(shí)體鑒別密碼器進(jìn)行詞典攻擊非常困難，這樣只有同時(shí)得到實(shí)體鑒別密碼器和相應(yīng)PIN碼才能假扮合法用戶，這種認(rèn)證方式比目前單純的用戶名加PIN碼的方式具有更高的安全性，更能有效識(shí)別進(jìn)入網(wǎng)絡(luò)用戶的合法身份，防止假冒。

在具體實(shí)現(xiàn)中，通過(guò)智能化安全應(yīng)用管理平面來(lái)實(shí)施IP寬帶城域網(wǎng)的安全應(yīng)用及管理，整個(gè)平面包括智能化信任與授權(quán)服務(wù)支撐平臺(tái)、網(wǎng)絡(luò)信任域及管理平臺(tái)和綜合業(yè)務(wù)管理平臺(tái)三部分。其中信任與授權(quán)服務(wù)支撐平臺(tái)處于核心地位，該平臺(tái)通過(guò)對(duì)實(shí)體的PKC、AC的認(rèn)證、授權(quán)、管理來(lái)建立一個(gè)統(tǒng)一的IP寬帶城域網(wǎng)智能化信任與授權(quán)基礎(chǔ)環(huán)境，為網(wǎng)絡(luò)信任域管理平臺(tái)和綜合業(yè)務(wù)應(yīng)用管理平臺(tái)提供可信的、安全的服務(wù)。

網(wǎng)絡(luò)信任域及管理平臺(tái)對(duì)網(wǎng)絡(luò)中的實(shí)體進(jìn)行管理，確保只有可信的實(shí)體，即頒發(fā)了有效數(shù)字證書(shū)的實(shí)體才能接入網(wǎng)絡(luò)。綜合業(yè)務(wù)管理直接面對(duì)用戶，在智能化信任與授權(quán)服務(wù)平臺(tái)提供的IP寬帶用戶證書(shū)、設(shè)備證書(shū)及用戶屬性證書(shū)的基礎(chǔ)上，對(duì)用戶進(jìn)行計(jì)費(fèi)、業(yè)務(wù)管理。采用PKI/PMI體系構(gòu)建信任與授權(quán)服務(wù)支撐平臺(tái)，為IP寬帶城域網(wǎng)提供信任服務(wù)和授權(quán)服務(wù)。平臺(tái)通過(guò)對(duì)實(shí)體的PKC、AC的認(rèn)證、授權(quán)、管理來(lái)建立一個(gè)統(tǒng)一的智能化信任與授權(quán)基礎(chǔ)環(huán)境，確立了“一實(shí)體一證、統(tǒng)一發(fā)證、分布式逐級(jí)管理”的IP寬帶城域網(wǎng)運(yùn)營(yíng)管理模式。

所謂“統(tǒng)一發(fā)證”是指：由第三方證書(shū)認(rèn)證中心(CA)認(rèn)證機(jī)構(gòu)負(fù)責(zé)統(tǒng)一簽發(fā)IP寬帶城域網(wǎng)的用戶、設(shè)備的PKC;由信任與授權(quán)服務(wù)支撐平臺(tái)提供AC的統(tǒng)一簽發(fā)并實(shí)現(xiàn)證書(shū)的統(tǒng)一管理，保證網(wǎng)絡(luò)信任域管理服務(wù)。而“分布式逐級(jí)管理”是指：網(wǎng)絡(luò)信任域按實(shí)際的責(zé)任和管理范圍來(lái)劃分，每個(gè)城市或地區(qū)的IP寬帶城域網(wǎng)系統(tǒng)也可以根據(jù)用戶類型劃分基本信任域(如可區(qū)別普通家庭用戶、大客戶等)，每個(gè)基本信任域都有自己的管理系統(tǒng)負(fù)責(zé)本信任域的管理，網(wǎng)絡(luò)信任域管理系統(tǒng)通過(guò)信任與授權(quán)服務(wù)支撐平臺(tái)提供信任與授權(quán)服務(wù)的支持。以此模式構(gòu)筑了一個(gè)責(zé)任明確、管理方便、覆蓋全系統(tǒng)的網(wǎng)絡(luò)信任域及管理體系。

證書(shū)業(yè)務(wù)服務(wù)系統(tǒng)
證書(shū)業(yè)務(wù)服務(wù)系統(tǒng)在密鑰管理(KM)系統(tǒng)的基礎(chǔ)上，通過(guò)CA、證書(shū)審核注冊(cè)中心(RA)等提供數(shù)字證書(shū)的申請(qǐng)、審核服務(wù)。

(2)證書(shū)查詢驗(yàn)證服務(wù)系統(tǒng)
證書(shū)查詢驗(yàn)證服務(wù)系統(tǒng)為業(yè)務(wù)應(yīng)用管理平臺(tái)提供證書(shū)認(rèn)證服務(wù)，包括目錄查詢服務(wù)和證書(shū)在線狀態(tài)查詢服務(wù)。證書(shū)查詢驗(yàn)證服務(wù)系統(tǒng)主要包括輕目錄訪問(wèn)協(xié)議(LDAP)服務(wù)器和在線證書(shū)狀態(tài)協(xié)議(OCSP)服務(wù)器，提供包括各類證書(shū)發(fā)布、證書(shū)撤消列表(CRL)發(fā)布和證書(shū)狀態(tài)在線查詢服務(wù)。

(3)授權(quán)服務(wù)系統(tǒng)
PMI在證書(shū)業(yè)務(wù)服務(wù)系統(tǒng)基礎(chǔ)上，為用戶和應(yīng)用程序提供授權(quán)管理和資源管理服務(wù)，主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。

(4)可信時(shí)間戳服務(wù)系統(tǒng)
可信時(shí)間戳服務(wù)系統(tǒng)基于國(guó)家權(quán)威時(shí)間源和公鑰技術(shù)，為安全業(yè)務(wù)應(yīng)用管理系統(tǒng)提供精確可信的時(shí)間戳，保證處理數(shù)據(jù)在某一時(shí)間的存在性及相關(guān)操作的相對(duì)時(shí)間順序，為業(yè)務(wù)處理的不可抵賴性和可審計(jì)性提供有效支持。可信時(shí)間戳服務(wù)系統(tǒng)從國(guó)家權(quán)威的時(shí)間源獲得全系統(tǒng)統(tǒng)一的時(shí)間，即從國(guó)家授時(shí)中心獲取權(quán)威的時(shí)間。