我國的寬帶城域網(wǎng)建設(shè)還是非常迅速的，于是我研究了一下寬帶城域網(wǎng)在建設(shè)中遇到的問題，在這里拿出來和大家分享一下，希望對大家有用。網(wǎng)絡(luò)與信息安全能力是21世紀(jì)綜合國力、經(jīng)濟(jì)競爭實(shí)力和生存力的象征，是未來國際競爭的“殺手锏”。當(dāng)前，中國正在加快國民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程，急需要一個(gè)安全可信的電信基礎(chǔ)網(wǎng)絡(luò)平臺，為各種信息化應(yīng)用提供基礎(chǔ)安全保障。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和演變，IP寬帶城域網(wǎng)已成為寬帶城域網(wǎng)的發(fā)展方向，各種信息化應(yīng)用都將基于IP技術(shù)。但是，目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在許多問題，如：不能有效識別進(jìn)入網(wǎng)絡(luò)用戶的合法身份;不能對用戶的個(gè)人信息實(shí)現(xiàn)有效保護(hù);不能有效地解決抗抵賴性問題等。這些問題的存在一方面導(dǎo)致了IP寬帶城域網(wǎng)的可控制、可管理、可經(jīng)營性較差;另一方面直接影響到國家的信息安全，關(guān)系到國家的安危。

導(dǎo)致這些問題的原因主要是由于目前IP寬帶城域網(wǎng)采用的“用戶名+密碼”的認(rèn)證方式只能實(shí)現(xiàn)初級的、簡單的管理，安全性很不夠(如易于盜用、合用);用戶名與接入線路沒有固定的對應(yīng)關(guān)系，使得用戶接入難以定位，用戶權(quán)限難以管理等。因此，要有效解決目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在的問題，首先要解決用戶身份認(rèn)證、用戶的授權(quán)管理和用戶定位等問題，建立起可信賴的網(wǎng)絡(luò)環(huán)境。近年來，信息安全技術(shù)受到廣泛關(guān)注，并得到了長足發(fā)展，特別是基于公鑰基礎(chǔ)設(shè)施(PKI)和授權(quán)管理基礎(chǔ)設(shè)施(PMI)的智能化信任與授權(quán)技術(shù)有了突破性進(jìn)展，已大規(guī)模應(yīng)用于電子政務(wù)、電子商務(wù)系統(tǒng)中。

因此，本文將探討如何采用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來建立IP寬帶城域網(wǎng)的可信任環(huán)境，如何將數(shù)字證書的認(rèn)證、管理等信息安全技術(shù)應(yīng)用于IP寬帶城域網(wǎng)的運(yùn)營管理中，從而構(gòu)建一個(gè)“可控制、可管理、可經(jīng)營”的電信級IP寬帶城域網(wǎng)，為各種信息化應(yīng)用提供一個(gè)安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺。這是一個(gè)全新的思路、全新的嘗試，具有比其他IP城域網(wǎng)的管理方法更高的安全性和靈活性。

PKI是國家信息安全基礎(chǔ)設(shè)施(NISI)的重要組成部分，它以公開密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)機(jī)密性、完整性、網(wǎng)上身份認(rèn)證和行為的不可抵賴為安全目的，為網(wǎng)絡(luò)應(yīng)用(如瀏覽器、電子郵件)提供可靠的安全服務(wù)。在國家信息安全基礎(chǔ)設(shè)施中，PKI采用雙密鑰證書體系，其中非對稱算法支持RSA和橢圓曲線公開密鑰(ECC)兩種算法，對稱密碼算法支持國家密碼管理委員會(huì)辦公室指定的密碼算法。公鑰基礎(chǔ)設(shè)施包含信任服務(wù)體系和密鑰管理體系。

信任服務(wù)體系的主要職責(zé)是為整個(gè)系統(tǒng)提供基于PKI的公鑰數(shù)字證書(PKC)認(rèn)證機(jī)制的實(shí)體身份鑒別服務(wù)，以便能在整個(gè)系統(tǒng)范圍內(nèi)唯一地確定實(shí)體的真實(shí)身份，從而建立起全系統(tǒng)范圍內(nèi)一致的信任基準(zhǔn)，密鑰管理體系主要負(fù)責(zé)向系統(tǒng)提供密鑰對的管理服務(wù)，同時(shí)向授權(quán)管理部門提供應(yīng)急情況下的特殊密鑰恢復(fù)功能。

PMI也是NISI的一個(gè)重要組成部分，目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)服務(wù)管理，主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。PMI以資源管理為核心，提供基于屬性證書(AC)的授權(quán)和訪問控制機(jī)制，將對資源的訪問控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即由資源的所有者來進(jìn)行訪問控制。同PKI相比，兩者的區(qū)別主要在于：PKI證明用戶是誰，而PMI證明這個(gè)用戶有什么權(quán)限，能干什么，而且PMI需要PKI為其提供身份認(rèn)證服務(wù)。