我國(guó)的寬帶城域網(wǎng)建設(shè)還是非常迅速的，于是我研究了一下寬帶城域網(wǎng)在建設(shè)中遇到的問(wèn)題，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。網(wǎng)絡(luò)與信息安全能力是21世紀(jì)綜合國(guó)力、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力和生存力的象征，是未來(lái)國(guó)際競(jìng)爭(zhēng)的“殺手锏”。當(dāng)前，中國(guó)正在加快國(guó)民經(jīng)濟(jì)和社會(huì)信息化進(jìn)程，急需要一個(gè)安全可信的電信基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，為各種信息化應(yīng)用提供基礎(chǔ)安全保障。

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和演變，IP寬帶城域網(wǎng)已成為寬帶城域網(wǎng)的發(fā)展方向，各種信息化應(yīng)用都將基于IP技術(shù)。但是，目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在許多問(wèn)題，如：不能有效識(shí)別進(jìn)入網(wǎng)絡(luò)用戶的合法身份;不能對(duì)用戶的個(gè)人信息實(shí)現(xiàn)有效保護(hù);不能有效地解決抗抵賴性問(wèn)題等。這些問(wèn)題的存在一方面導(dǎo)致了IP寬帶城域網(wǎng)的可控制、可管理、可經(jīng)營(yíng)性較差;另一方面直接影響到國(guó)家的信息安全，關(guān)系到國(guó)家的安危。

導(dǎo)致這些問(wèn)題的原因主要是由于目前IP寬帶城域網(wǎng)采用的“用戶名+密碼”的認(rèn)證方式只能實(shí)現(xiàn)初級(jí)的、簡(jiǎn)單的管理，安全性很不夠(如易于盜用、合用);用戶名與接入線路沒(méi)有固定的對(duì)應(yīng)關(guān)系，使得用戶接入難以定位，用戶權(quán)限難以管理等。因此，要有效解決目前IP寬帶城域網(wǎng)在管理和安全應(yīng)用方面存在的問(wèn)題，首先要解決用戶身份認(rèn)證、用戶的授權(quán)管理和用戶定位等問(wèn)題，建立起可信賴的網(wǎng)絡(luò)環(huán)境。近年來(lái)，信息安全技術(shù)受到廣泛關(guān)注，并得到了長(zhǎng)足發(fā)展，特別是基于公鑰基礎(chǔ)設(shè)施(PKI)和授權(quán)管理基礎(chǔ)設(shè)施(PMI)的智能化信任與授權(quán)技術(shù)有了突破性進(jìn)展，已大規(guī)模應(yīng)用于電子政務(wù)、電子商務(wù)系統(tǒng)中。

因此，本文將探討如何采用基于PKI/PMI的智能化信任與授權(quán)技術(shù)來(lái)建立IP寬帶城域網(wǎng)的可信任環(huán)境，如何將數(shù)字證書(shū)的認(rèn)證、管理等信息安全技術(shù)應(yīng)用于IP寬帶城域網(wǎng)的運(yùn)營(yíng)管理中，從而構(gòu)建一個(gè)“可控制、可管理、可經(jīng)營(yíng)”的電信級(jí)IP寬帶城域網(wǎng)，為各種信息化應(yīng)用提供一個(gè)安全可信的基礎(chǔ)電信網(wǎng)絡(luò)平臺(tái)。這是一個(gè)全新的思路、全新的嘗試，具有比其他IP城域網(wǎng)的管理方法更高的安全性和靈活性。

PKI是國(guó)家信息安全基礎(chǔ)設(shè)施(NISI)的重要組成部分，它以公開(kāi)密鑰技術(shù)為基礎(chǔ)，以數(shù)據(jù)機(jī)密性、完整性、網(wǎng)上身份認(rèn)證和行為的不可抵賴為安全目的，為網(wǎng)絡(luò)應(yīng)用(如瀏覽器、電子郵件)提供可靠的安全服務(wù)。在國(guó)家信息安全基礎(chǔ)設(shè)施中，PKI采用雙密鑰證書(shū)體系，其中非對(duì)稱算法支持RSA和橢圓曲線公開(kāi)密鑰(ECC)兩種算法，對(duì)稱密碼算法支持國(guó)家密碼管理委員會(huì)辦公室指定的密碼算法。公鑰基礎(chǔ)設(shè)施包含信任服務(wù)體系和密鑰管理體系。

信任服務(wù)體系的主要職責(zé)是為整個(gè)系統(tǒng)提供基于PKI的公鑰數(shù)字證書(shū)(PKC)認(rèn)證機(jī)制的實(shí)體身份鑒別服務(wù)，以便能在整個(gè)系統(tǒng)范圍內(nèi)唯一地確定實(shí)體的真實(shí)身份，從而建立起全系統(tǒng)范圍內(nèi)一致的信任基準(zhǔn)，密鑰管理體系主要負(fù)責(zé)向系統(tǒng)提供密鑰對(duì)的管理服務(wù)，同時(shí)向授權(quán)管理部門(mén)提供應(yīng)急情況下的特殊密鑰恢復(fù)功能。

PMI也是NISI的一個(gè)重要組成部分，目標(biāo)是向用戶和應(yīng)用程序提供授權(quán)服務(wù)管理，主要負(fù)責(zé)向應(yīng)用系統(tǒng)提供與應(yīng)用相關(guān)的授權(quán)服務(wù)管理，提供用戶身份到應(yīng)用授權(quán)的映射功能。PMI以資源管理為核心，提供基于屬性證書(shū)(AC)的授權(quán)和訪問(wèn)控制機(jī)制，將對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理，即由資源的所有者來(lái)進(jìn)行訪問(wèn)控制。同PKI相比，兩者的區(qū)別主要在于：PKI證明用戶是誰(shuí)，而PMI證明這個(gè)用戶有什么權(quán)限，能干什么，而且PMI需要PKI為其提供身份認(rèn)證服務(wù)。