我国的宽带城域网建设还不是很完善，但是接入技术在不断的成熟，可能好多人还不了解宽带城域网建设中遇到的问题，没有关系，看完本文你肯定有不少收获，希望本文能教会你更多东西。通过应用基于国家信息安全基础设施研究中心具有自主知识产权的PKI/PMI平台的智能化信任与授权技术，来构建IP宽带城域网的可信网络环境，采用数字证书的方式来实现IP宽带城域网用户的认证与授权。

主要思想是给用户颁发PKC(包括用户个人信息，如序列号、IP地址、MAC地址等信息)和AC(包括用户的属性信息，如角色、访问控制权限等)。在“一实体一证”的基础上，由PKC的唯一性，准确地标识用户身份。由接入认证交换机端口的可控性和后台的认证管理功能，可将证书与端口(也可以包括IP地址)建立灵活的对应关系，并由此决定用户是否可以接入IP宽带城域网，同时对接入用户提供流量、时长、时段等的统计，并根据AC对用户进行权限、时长、计费方式等属性管理。这样通过证书和端口的灵活绑定，构建一个基于证书和端口的IP宽带城域网安全管理模式，类似于PSTN基于号线的管理模式。

另外，将公钥数字证书内嵌在一个实体鉴别密码器(数字证书的物质载体)中，采用USB接口。每个实体鉴别密码器还有一个PIN码保护，连续发生几次不成功的PIN输入后，实体鉴别密码器会被自动锁定，使得对实体鉴别密码器进行词典攻击非常困难，这样只有同时得到实体鉴别密码器和相应PIN码才能假扮合法用户，这种认证方式比目前单纯的用户名加PIN码的方式具有更高的安全性，更能有效识别进入网络用户的合法身份，防止假冒。

在具体实现中，通过智能化安全应用管理平面来实施IP宽带城域网的安全应用及管理，整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务管理平台三部分。其中信任与授权服务支撑平台处于核心地位，该平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的IP宽带城域网智能化信任与授权基础环境，为网络信任域管理平台和综合业务应用管理平台提供可信的、安全的服务。

网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络。综合业务管理直接面对用户，在智能化信任与授权服务平台提供的IP宽带用户证书、设备证书及用户属性证书的基础上，对用户进行计费、业务管理。采用PKI/PMI体系构建信任与授权服务支撑平台，为IP宽带城域网提供信任服务和授权服务。平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的智能化信任与授权基础环境，确立了“一实体一证、统一发证、分布式逐级管理”的IP宽带城域网运营管理模式。

所谓“统一发证”是指：由第三方证书认证中心(CA)认证机构负责统一签发IP宽带城域网的用户、设备的PKC;由信任与授权服务支撑平台提供AC的统一签发并实现证书的统一管理，保证网络信任域管理服务。而“分布式逐级管理”是指：网络信任域按实际的责任和管理范围来划分，每个城市或地区的IP宽带城域网系统也可以根据用户类型划分基本信任域(如可区别普通家庭用户、大客户等)，每个基本信任域都有自己的管理系统负责本信任域的管理，网络信任域管理系统通过信任与授权服务支撑平台提供信任与授权服务的支持。以此模式构筑了一个责任明确、管理方便、覆盖全系统的网络信任域及管理体系。

证书业务服务系统
证书业务服务系统在密钥管理(KM)系统的基础上，通过CA、证书审核注册中心(RA)等提供数字证书的申请、审核服务。

(2)证书查询验证服务系统
证书查询验证服务系统为业务应用管理平台提供证书认证服务，包括目录查询服务和证书在线状态查询服务。证书查询验证服务系统主要包括轻目录访问协议(LDAP)服务器和在线证书状态协议(OCSP)服务器，提供包括各类证书发布、证书撤消列表(CRL)发布和证书状态在线查询服务。

(3)授权服务系统
PMI在证书业务服务系统基础上，为用户和应用程序提供授权管理和资源管理服务，主要负责向应用系统提供与应用相关的授权服务管理，提供用户身份到应用授权的映射功能。

(4)可信时间戳服务系统
可信时间戳服务系统基于国家权威时间源和公钥技术，为安全业务应用管理系统提供精确可信的时间戳，保证处理数据在某一时间的存在性及相关操作的相对时间顺序，为业务处理的不可抵赖性和可审计性提供有效支持。可信时间戳服务系统从国家权威的时间源获得全系统统一的时间，即从国家授时中心获取权威的时间。