我國的寬帶城域網建設還不是很完善，但是接入技術在不斷的成熟，可能好多人還不了解寬帶城域網建設中遇到的問題，沒有關系，看完本文你肯定有不少收獲，希望本文能教會你更多東西。通過應用基于國家信息安全基礎設施研究中心具有自主知識產權的PKI/PMI平臺的智能化信任與授權技術，來構建IP寬帶城域網的可信網絡環境，采用數字證書的方式來實現IP寬帶城域網用戶的認證與授權。

主要思想是給用戶頒發PKC(包括用戶個人信息，如序列號、IP地址、MAC地址等信息)和AC(包括用戶的屬性信息，如角色、訪問控制權限等)。在“一實體一證”的基礎上，由PKC的唯一性，準確地標識用戶身份。由接入認證交換機端口的可控性和后臺的認證管理功能，可將證書與端口(也可以包括IP地址)建立靈活的對應關系，并由此決定用戶是否可以接入IP寬帶城域網，同時對接入用戶提供流量、時長、時段等的統計，并根據AC對用戶進行權限、時長、計費方式等屬性管理。這樣通過證書和端口的靈活綁定，構建一個基于證書和端口的IP寬帶城域網安全管理模式，類似于PSTN基于號線的管理模式。

另外，將公鑰數字證書內嵌在一個實體鑒別密碼器(數字證書的物質載體)中，采用USB接口。每個實體鑒別密碼器還有一個PIN碼保護，連續發生幾次不成功的PIN輸入后，實體鑒別密碼器會被自動鎖定，使得對實體鑒別密碼器進行詞典攻擊非常困難，這樣只有同時得到實體鑒別密碼器和相應PIN碼才能假扮合法用戶，這種認證方式比目前單純的用戶名加PIN碼的方式具有更高的安全性，更能有效識別進入網絡用戶的合法身份，防止假冒。

在具體實現中，通過智能化安全應用管理平面來實施IP寬帶城域網的安全應用及管理，整個平面包括智能化信任與授權服務支撐平臺、網絡信任域及管理平臺和綜合業務管理平臺三部分。其中信任與授權服務支撐平臺處于核心地位，該平臺通過對實體的PKC、AC的認證、授權、管理來建立一個統一的IP寬帶城域網智能化信任與授權基礎環境，為網絡信任域管理平臺和綜合業務應用管理平臺提供可信的、安全的服務。

網絡信任域及管理平臺對網絡中的實體進行管理，確保只有可信的實體，即頒發了有效數字證書的實體才能接入網絡。綜合業務管理直接面對用戶，在智能化信任與授權服務平臺提供的IP寬帶用戶證書、設備證書及用戶屬性證書的基礎上，對用戶進行計費、業務管理。采用PKI/PMI體系構建信任與授權服務支撐平臺，為IP寬帶城域網提供信任服務和授權服務。平臺通過對實體的PKC、AC的認證、授權、管理來建立一個統一的智能化信任與授權基礎環境，確立了“一實體一證、統一發證、分布式逐級管理”的IP寬帶城域網運營管理模式。

所謂“統一發證”是指：由第三方證書認證中心(CA)認證機構負責統一簽發IP寬帶城域網的用戶、設備的PKC;由信任與授權服務支撐平臺提供AC的統一簽發并實現證書的統一管理，保證網絡信任域管理服務。而“分布式逐級管理”是指：網絡信任域按實際的責任和管理范圍來劃分，每個城市或地區的IP寬帶城域網系統也可以根據用戶類型劃分基本信任域(如可區別普通家庭用戶、大客戶等)，每個基本信任域都有自己的管理系統負責本信任域的管理，網絡信任域管理系統通過信任與授權服務支撐平臺提供信任與授權服務的支持。以此模式構筑了一個責任明確、管理方便、覆蓋全系統的網絡信任域及管理體系。

證書業務服務系統
證書業務服務系統在密鑰管理(KM)系統的基礎上，通過CA、證書審核注冊中心(RA)等提供數字證書的申請、審核服務。

(2)證書查詢驗證服務系統
證書查詢驗證服務系統為業務應用管理平臺提供證書認證服務，包括目錄查詢服務和證書在線狀態查詢服務。證書查詢驗證服務系統主要包括輕目錄訪問協議(LDAP)服務器和在線證書狀態協議(OCSP)服務器，提供包括各類證書發布、證書撤消列表(CRL)發布和證書狀態在線查詢服務。

(3)授權服務系統
PMI在證書業務服務系統基礎上，為用戶和應用程序提供授權管理和資源管理服務，主要負責向應用系統提供與應用相關的授權服務管理，提供用戶身份到應用授權的映射功能。

(4)可信時間戳服務系統
可信時間戳服務系統基于國家權威時間源和公鑰技術，為安全業務應用管理系統提供精確可信的時間戳，保證處理數據在某一時間的存在性及相關操作的相對時間順序，為業務處理的不可抵賴性和可審計性提供有效支持。可信時間戳服務系統從國家權威的時間源獲得全系統統一的時間，即從國家授時中心獲取權威的時間。