我國的寬帶城域網(wǎng)建設(shè)還不是很完善，但是接入技術(shù)在不斷的成熟，可能好多人還不了解寬帶城域網(wǎng)建設(shè)中遇到的問題，沒有關(guān)系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。通過應(yīng)用基于國家信息安全基礎(chǔ)設(shè)施研究中心具有自主知識產(chǎn)權(quán)的PKI/PMI平臺的智能化信任與授權(quán)技術(shù)，來構(gòu)建IP寬帶城域網(wǎng)的可信網(wǎng)絡(luò)環(huán)境，采用數(shù)字證書的方式來實現(xiàn)IP寬帶城域網(wǎng)用戶的認證與授權(quán)。

主要思想是給用戶頒發(fā)PKC(包括用戶個人信息，如序列號、IP地址、MAC地址等信息)和AC(包括用戶的屬性信息，如角色、訪問控制權(quán)限等)。在“一實體一證”的基礎(chǔ)上，由PKC的唯一性，準確地標識用戶身份。由接入認證交換機端口的可控性和后臺的認證管理功能，可將證書與端口(也可以包括IP地址)建立靈活的對應(yīng)關(guān)系，并由此決定用戶是否可以接入IP寬帶城域網(wǎng)，同時對接入用戶提供流量、時長、時段等的統(tǒng)計，并根據(jù)AC對用戶進行權(quán)限、時長、計費方式等屬性管理。這樣通過證書和端口的靈活綁定，構(gòu)建一個基于證書和端口的IP寬帶城域網(wǎng)安全管理模式，類似于PSTN基于號線的管理模式。

另外，將公鑰數(shù)字證書內(nèi)嵌在一個實體鑒別密碼器(數(shù)字證書的物質(zhì)載體)中，采用USB接口。每個實體鑒別密碼器還有一個PIN碼保護，連續(xù)發(fā)生幾次不成功的PIN輸入后，實體鑒別密碼器會被自動鎖定，使得對實體鑒別密碼器進行詞典攻擊非常困難，這樣只有同時得到實體鑒別密碼器和相應(yīng)PIN碼才能假扮合法用戶，這種認證方式比目前單純的用戶名加PIN碼的方式具有更高的安全性，更能有效識別進入網(wǎng)絡(luò)用戶的合法身份，防止假冒。

在具體實現(xiàn)中，通過智能化安全應(yīng)用管理平面來實施IP寬帶城域網(wǎng)的安全應(yīng)用及管理，整個平面包括智能化信任與授權(quán)服務(wù)支撐平臺、網(wǎng)絡(luò)信任域及管理平臺和綜合業(yè)務(wù)管理平臺三部分。其中信任與授權(quán)服務(wù)支撐平臺處于核心地位，該平臺通過對實體的PKC、AC的認證、授權(quán)、管理來建立一個統(tǒng)一的IP寬帶城域網(wǎng)智能化信任與授權(quán)基礎(chǔ)環(huán)境，為網(wǎng)絡(luò)信任域管理平臺和綜合業(yè)務(wù)應(yīng)用管理平臺提供可信的、安全的服務(wù)。

網(wǎng)絡(luò)信任域及管理平臺對網(wǎng)絡(luò)中的實體進行管理，確保只有可信的實體，即頒發(fā)了有效數(shù)字證書的實體才能接入網(wǎng)絡(luò)。綜合業(yè)務(wù)管理直接面對用戶，在智能化信任與授權(quán)服務(wù)平臺提供的IP寬帶用戶證書、設(shè)備證書及用戶屬性證書的基礎(chǔ)上，對用戶進行計費、業(yè)務(wù)管理。采用PKI/PMI體系構(gòu)建信任與授權(quán)服務(wù)支撐平臺，為IP寬帶城域網(wǎng)提供信任服務(wù)和授權(quán)服務(wù)。平臺通過對實體的PKC、AC的認證、授權(quán)、管理來建立一個統(tǒng)一的智能化信任與授權(quán)基礎(chǔ)環(huán)境，確立了“一實體一證、統(tǒng)一發(fā)證、分布式逐級管理”的IP寬帶城域網(wǎng)運營管理模式。

所謂“統(tǒng)一發(fā)證”是指：由第三方證書認證中心(CA)認證機構(gòu)負責統(tǒng)一簽發(fā)IP寬帶城域網(wǎng)的用戶、設(shè)備的PKC;由信任與授權(quán)服務(wù)支撐平臺提供AC的統(tǒng)一簽發(fā)并實現(xiàn)證書的統(tǒng)一管理，保證網(wǎng)絡(luò)信任域管理服務(wù)。而“分布式逐級管理”是指：網(wǎng)絡(luò)信任域按實際的責任和管理范圍來劃分，每個城市或地區(qū)的IP寬帶城域網(wǎng)系統(tǒng)也可以根據(jù)用戶類型劃分基本信任域(如可區(qū)別普通家庭用戶、大客戶等)，每個基本信任域都有自己的管理系統(tǒng)負責本信任域的管理，網(wǎng)絡(luò)信任域管理系統(tǒng)通過信任與授權(quán)服務(wù)支撐平臺提供信任與授權(quán)服務(wù)的支持。以此模式構(gòu)筑了一個責任明確、管理方便、覆蓋全系統(tǒng)的網(wǎng)絡(luò)信任域及管理體系。

證書業(yè)務(wù)服務(wù)系統(tǒng)
證書業(yè)務(wù)服務(wù)系統(tǒng)在密鑰管理(KM)系統(tǒng)的基礎(chǔ)上，通過CA、證書審核注冊中心(RA)等提供數(shù)字證書的申請、審核服務(wù)。

(2)證書查詢驗證服務(wù)系統(tǒng)
證書查詢驗證服務(wù)系統(tǒng)為業(yè)務(wù)應(yīng)用管理平臺提供證書認證服務(wù)，包括目錄查詢服務(wù)和證書在線狀態(tài)查詢服務(wù)。證書查詢驗證服務(wù)系統(tǒng)主要包括輕目錄訪問協(xié)議(LDAP)服務(wù)器和在線證書狀態(tài)協(xié)議(OCSP)服務(wù)器，提供包括各類證書發(fā)布、證書撤消列表(CRL)發(fā)布和證書狀態(tài)在線查詢服務(wù)。

(3)授權(quán)服務(wù)系統(tǒng)
PMI在證書業(yè)務(wù)服務(wù)系統(tǒng)基礎(chǔ)上，為用戶和應(yīng)用程序提供授權(quán)管理和資源管理服務(wù)，主要負責向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。

(4)可信時間戳服務(wù)系統(tǒng)
可信時間戳服務(wù)系統(tǒng)基于國家權(quán)威時間源和公鑰技術(shù)，為安全業(yè)務(wù)應(yīng)用管理系統(tǒng)提供精確可信的時間戳，保證處理數(shù)據(jù)在某一時間的存在性及相關(guān)操作的相對時間順序，為業(yè)務(wù)處理的不可抵賴性和可審計性提供有效支持。可信時間戳服務(wù)系統(tǒng)從國家權(quán)威的時間源獲得全系統(tǒng)統(tǒng)一的時間，即從國家授時中心獲取權(quán)威的時間。