基于PKI/PMI的IP宽带城域网安全问题 （2）

通过智能化安全应用管理平面来实施IP宽带城域网的安全应用及管理，整个平面包括智能化信任与授权服务支撑平台、网络信任域及管理平台和综合业务管理平台三部分。其中信任与授权服务支撑平台处于核心地位，该平台通过对实体的PKC、AC的认证、授权、管理来建立一个统一的IP宽带城域网智能化信任与授权基础环境，为网络信任域管理平台和综合业务应用管理平台提供可信的、安全的服务。网络信任域及管理平台对网络中的实体进行管理，确保只有可信的实体，即颁发了有效数字证书的实体才能接入网络。 基于PKI/PMI的IP宽带城域网安全问题的核心在于构建一个安全、可信的网络环境，通过智能化安全应用管理平面实现对用户、设备及业务的高效管理。这一方案主要依赖于数字证书来确保网络实体的身份认证和授权，以及通过一系列的服务系统保障网络安全。 智能化信任与授权服务支撑平台是整个安全架构的基础。该平台利用PKI/PMI（Public Key Infrastructure/PKI-based Management Infrastructure）技术，对网络中的PKC（Public Key Certificate，公钥证书）和AC（Authorization Certificate，授权证书）进行认证、授权和管理。PKC包含了用户的身份信息，如序列号、IP地址和MAC地址，而AC则包含了用户的属性信息，如角色和访问权限。通过“一实体一证”的原则，确保每个网络实体都有唯一的身份标识，从而增强网络接入的安全性。 在实际操作中，实体鉴别密码器（通常以USB接口的形式存在）与数字证书结合，增强了认证过程的安全性。每个密码器都配有PIN码保护，连续多次输入错误PIN码后，密码器会自动锁定，防止恶意攻击者通过词典攻击伪造合法用户。综合业务管理平台则直接与用户交互，依据信任与授权服务支撑平台提供的用户证书、设备证书及属性证书，进行计费和业务管理。 网络信任域及管理平台的角色是确保只有拥有有效数字证书的实体能够接入网络。它按照实际的责任和管理范围划分网络信任域，每个区域有独立的管理系统负责相应信任域的管理，通过信任与授权服务支撑平台提供服务和支持，形成一个全面覆盖的管理体系。 此外，信任与授权服务支撑平台包含以下关键组件： 1. 证书业务服务系统：处理数字证书的申请、审核，由密钥管理（KM）系统、CA（Certificate Authority，证书认证中心）和RA（Registration Authority，注册审批中心）构成。 2. 证书查询验证服务系统：提供证书认证服务，包括LDAP（Lightweight Directory Access Protocol）服务器和OCSP（Online Certificate Status Protocol）服务器，用于证书状态查询和发布。 3. 授权服务系统：基于PMI，为用户提供授权管理，实现用户身份到应用授权的映射。 4. 可信时间戳服务系统：利用国家权威时间源和公钥技术，确保数据处理的时间准确性和操作顺序，支持业务的不可抵赖性和审计性。 5. 基本安全防护系统：包括防火墙、入侵检测系统、漏洞扫描系统、安全审计系统、病毒防治系统和Web信息防篡改系统，形成多层面的安全防御。 6. 故障恢复及容灾备份系统：确保系统在遇到故障时能够迅速恢复，提供数据备份和灾难恢复能力。 基于PKI/PMI的IP宽带城域网安全解决方案旨在通过智能管理和严格的认证授权机制，构建一个安全、可靠且易于管理的网络环境，以应对日益严峻的网络安全挑战。这一方法不仅强化了用户身份认证，还实现了对网络资源的精细控制，确保了业务的正常运行和用户隐私的保护。