資源描述:
《基于ssl的身份認(rèn)證和訪問控制實(shí)現(xiàn)原理論文》由會(huì)員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1��、基于SSL的身份認(rèn)證和訪問控制實(shí)現(xiàn)原理論文摘要SSL協(xié)議是網(wǎng)景公司(Netscape)推出的在網(wǎng)絡(luò)傳輸層之上提供的一種基于瀏覽器和WEB服務(wù)器之間的安全連接技術(shù)���。對(duì)于不同的系統(tǒng)架構(gòu),SSL協(xié)議實(shí)現(xiàn)身份認(rèn)證和訪問控制的原理不同��。本文將分別就B/S和C/S的系統(tǒng)架構(gòu)��,來闡述SSL協(xié)議身份認(rèn)證和訪問控制的實(shí)現(xiàn)原理���。關(guān)鍵詞SSL協(xié)議身份認(rèn)證訪問控制實(shí)現(xiàn)原理一�、概述SSL(SecuresocketLayer)即安全套接層協(xié)議,..畢業(yè)指使用公鑰和私鑰技術(shù)組合的安全網(wǎng)絡(luò)通訊協(xié)議。SSL協(xié)議是網(wǎng)景公司(Netscape)推出的在網(wǎng)絡(luò)傳輸層之上提供的一種
2�����、用基于瀏覽器和WEB服務(wù)器之間的安全連接技術(shù)����。SSL協(xié)議采用數(shù)字證書及數(shù)字簽名進(jìn)行雙端實(shí)體認(rèn)證,用非對(duì)稱加密算法進(jìn)行密鑰協(xié)商,用對(duì)稱加密算法將數(shù)據(jù)加密后進(jìn)行傳輸以保證數(shù)據(jù)的保密性,并且通過計(jì)算數(shù)字摘要來驗(yàn)證數(shù)據(jù)在傳輸過程中是否被篡改和偽造,從而為敏感數(shù)據(jù)在Inter上的傳輸提供了一種安全保障手段。身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程���。訪問控制是指控制訪問服務(wù)器的用戶以及訪問者所訪問的內(nèi)容�����,限制訪問者對(duì)重要資源的訪問�?�;赟SL協(xié)議的身份認(rèn)證和訪問控制的實(shí)現(xiàn)原理將根據(jù)系統(tǒng)的架構(gòu)不同而有所不同��。對(duì)于B/S架構(gòu)�����,將采用利用Web服務(wù)
3��、器對(duì)SSL技術(shù)的支持�,可以實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證和訪問控制安全需求�。而對(duì)于C/S架構(gòu),將采用簽名及簽名驗(yàn)證的方式��,來實(shí)現(xiàn)系統(tǒng)的身份認(rèn)證和訪問控制需求�����。二�����、基于B/S架構(gòu)的SSL身份認(rèn)證和訪問控制的實(shí)現(xiàn)原理基于B/S架構(gòu)的SSL身份認(rèn)證和訪問控制是利用數(shù)字證書來實(shí)現(xiàn)的。目前..畢業(yè)�����,SSL技術(shù)已被大部份的WebServer及Browser廣泛支持和使用����。采用SSL技術(shù)����,在用戶使用瀏覽器訪問Web服務(wù)器時(shí)���,會(huì)在客戶端和服務(wù)器之間建立安全的SSL通道。在SSL會(huì)話產(chǎn)生時(shí):首先��,服務(wù)器會(huì)傳送它的服務(wù)器證書�����,客戶端會(huì)自動(dòng)的分析服務(wù)器證書��,來驗(yàn)證服務(wù)器的
4���、身份�����。其次,服務(wù)器會(huì)要求用戶出示客戶端證書(即用戶證書)��,服務(wù)器完成客戶端證書的驗(yàn)證�,來對(duì)用戶進(jìn)行身份認(rèn)證。對(duì)客戶端證書的驗(yàn)證包括驗(yàn)證客戶端證書是否由服務(wù)器信任的證書頒發(fā)機(jī)構(gòu)頒發(fā)��、客戶端證書是否在有效期內(nèi)�、客戶端證書是否有效(即是否被篡改等)和客戶端證書是否被吊銷等�。驗(yàn)證通過后,服務(wù)器會(huì)解析客戶端證書�����,獲取用戶信息�,并根據(jù)用戶信息查詢?cè)L問控制列表來決定是否授權(quán)訪問���。所有的過程都會(huì)在幾秒鐘內(nèi)自動(dòng)完成�����,對(duì)用戶是透明的。如下圖所示�����,除了系統(tǒng)中已有的客戶端瀏覽器��、Web服務(wù)器外�����,要實(shí)現(xiàn)基于SSL的身份認(rèn)證和訪問控制安全原理�,還需要增加下列模塊:基
5、于SSL的身份認(rèn)證和訪問控制原理圖1.Web服務(wù)器證書要利用SSL技術(shù)��,在Web服務(wù)器上必需安裝一個(gè)Web服務(wù)器證書�,用來表明服務(wù)器的身份�����,并對(duì)Web服務(wù)器的安全性進(jìn)行設(shè)置�����。服務(wù)器證書由CA認(rèn)證中心頒發(fā),在服務(wù)器證書內(nèi)表示了服務(wù)器的域名等證明服務(wù)器身份的信息����、Web服務(wù)器端的公鑰以及CA對(duì)證書相關(guān)域內(nèi)容的數(shù)字簽名��。服務(wù)器證書都有一個(gè)有效期,Web服務(wù)器需要使用SSL功能的前提是必須擁有服務(wù)器證書��,利用服務(wù)器證書來協(xié)商���、建立安全SSL安全通道。這樣���,用戶使用瀏覽器訪問Web服務(wù)器�����,發(fā)出SSL握手時(shí),Web服務(wù)器將配置的服務(wù)器證書返回給客戶端
6�����、�,通過驗(yàn)證服務(wù)器證書來驗(yàn)證他所訪問的網(wǎng)站是否真實(shí)可靠�。2.客戶端證書客戶端證書由CA系統(tǒng)頒發(fā)給系統(tǒng)用戶,在用戶證書內(nèi)標(biāo)識(shí)了用戶的身份信息����、用戶的公鑰以及CA對(duì)證書相關(guān)域內(nèi)容的數(shù)字簽名�,用戶證書都有一個(gè)有效期���。在建立SSL通道過程中,可以對(duì)服務(wù)器的SSL功能配置成必須要求用戶證書����,服務(wù)器驗(yàn)證用戶證書來驗(yàn)證用戶的真實(shí)身份��。3.證書解析模塊證書解析模塊以動(dòng)態(tài)庫的方式提供給各種Web服務(wù)器�,它可以解析證書中包含的信息,用于提取證書中的用戶信息���,根據(jù)獲得的用戶信息,查詢?cè)L問控制列表(ACL)���,獲取用戶的訪問權(quán)限�����,實(shí)現(xiàn)系統(tǒng)的訪問控制�。4.訪問控制列表
7���、(ACL)訪問控制列表是根據(jù)應(yīng)用系統(tǒng)不同用戶建設(shè)的訪問授權(quán)列表,保存在數(shù)據(jù)庫中���,在用戶使用數(shù)字證書訪問應(yīng)用系統(tǒng)時(shí),應(yīng)用系統(tǒng)根據(jù)從證書中解析得到的用戶信息��,查詢?cè)L問控制列表�����,獲取用戶的訪問權(quán)限�,實(shí)現(xiàn)對(duì)用戶的訪問控制��。三��、基于C/S架構(gòu)的SSL身份認(rèn)證和訪問控制的實(shí)現(xiàn)原理基于C/S架構(gòu)的SSL身份認(rèn)證和訪問控制是利用數(shù)字簽名技術(shù)實(shí)現(xiàn)的�,數(shù)字簽名技術(shù)的實(shí)現(xiàn)是指使用數(shù)字證書的私鑰�,對(duì)被簽名數(shù)據(jù)的摘要值進(jìn)行加密���,加密的結(jié)果就是數(shù)字簽名�����。在進(jìn)行簽名驗(yàn)證時(shí)���,是用數(shù)字證書(即公鑰)來進(jìn)行驗(yàn)證,用公鑰解密數(shù)據(jù)�����,得到發(fā)送過來的摘要值�,然后用相同的摘要算法對(duì)被
8���、簽名數(shù)據(jù)做摘要運(yùn)算���,得到另一個(gè)摘要值,將兩個(gè)摘要值進(jìn)行比較�,如果相等��,則數(shù)字簽名驗(yàn)證通過�,否則驗(yàn)證無效。數(shù)字簽名技術(shù)的實(shí)現(xiàn)依賴于下列兩個(gè)事實(shí):一是每一個(gè)信息的摘要值是惟一的��,找不到兩個(gè)摘要值相
