数字证书是在网络中相当公民在日常生活中使用的身份证,所以在以数字证书作为核心的加密技术,可以对在网络上传输的信息进行加密、解密、数字签名以及签名验证,可以确保网上传递信息的机密性和完整性。在基于数字证书的网络安全通信系统中,数字证书可以用来证明用户合法身份和提供合法的公钥。公钥基础设施PKI是国际上解决开放式互联网络信息安全的一种体系。基于数字证书的认证在网络安全通信中 具有重要的意义。第一,在认证过程中不会涉及保密信息的传输,用户可以被远端服务器认证自己的身份,完全不必担心被窃听。第二,由于用户和服务器间不需要共享密钥,所以它可以向多个服务器进行认证。第三,这种认证方式可以支持双向认证,用户可以在向服务器端进行身份认证的同时,服务器端也能利用相同的机制进行身份认证。因此,基于数字证书的认证方式在企业中应用具有重要意义。
2 技术背景
2.1 PKI
PKI,即公钥基础设施,它是遵循一定的标准的密钥管理设施,可以为网络应用提供加密和数字签名等密码服务,还可以提供必需的密钥和证书管理,也就是说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术不仅仅是信息安全的核心,也是电子商务的关键和基础技术。
一个完整的PKI系统应该具有数字证书库、认证机构(CA)、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。
2.2 数字证书
数字证书是由证书颁发机构经过数字签名后颁发的文件。它应该包含拥有公开密钥的人的信息、公开密钥以及数字签名。它通过加密传输、数字签名、数字摘要、数字证书等技术,实现了对网络信息传输的加密解密,数字签名和验证,可以保证信息在网络传输中的机密性、完整性和不可抵赖性。数字证书已经成为安全加密的保障。许多商业网站已经使用数字证书作为保证信息安全的主要技术手段。
2.3 SSL
Secure Socket Layer,是由Netscape所研发得,用来保障在Internet上数据传输的安全,利用数据加密技术,它可以确保在网络上传输的数据不会被窃听,保证了数据传输的安全性。一般通用的规格是40 bit的安全标准,美国则已推出了128 bit的更高安全标准。现在大部分主流浏览器都支持SSL,例如IE、google、firefox等。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全性的支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
3 整体设计
3.1服务器端功能描述
本系统是通过Window Server 2003系统上的证书颁发机构来构建CA,完成数字证书的申请,颁发,吊销等功能。
3.1.1认证功能
为了确保登录的安全性,采用数字证书和SSL协议相结合的认证方式。在配置SSL后,保证了服务器端和客户端信息传输的安全性和保密性。实现系统的安全登录。
3.1.2数据加密设计
系统采用了SSL数据加密技术,把HTTP与SSL结合起来,服务器端和客户端之间需要双向认证,这样他们之间的通信不会被窃听者偷听和窃取,SSL协议是建立在传输层和应用层协议之间的,它在完成加密算法密钥协商以及服务器认证后开始应用层协议的通信,在应用层协议上传送的数据全部会被加密,这样就确保了通信的机密性。 基于数字证书的身份认证与授权系统构建(2):http://www.751com.cn/jisuanji/lunwen_13537.html