基于数字证书的身份验证与授权系统构建(5)

菜单

通过上面对SSL的分析，我们可以看到，SSL并不能阻止别人获得你传输的数据，但是由于你传输的数据都是加密过的，别人拿到了毫无用处，一样可以保护信息的安全。还有一点需要强调一下，SSL并不依赖于TCP，它可以建立在任何可靠的传输层协议（比如TCP）之上。也就是说SSL是不能建立在UDP之上的。这是显然的，如果传输都不可靠，偶尔丢两个包或者包的顺序换一换的话，是肯定不能够保证通信稳定安全的。

3 系统设计

要想实现一个身份认证与授权的系统，那么就既要有管理身份的部分，也要有验证身份认证的部门。所以总体上分为两个部分：CA中心和一个人事管理系统。CA中心，主要负责数字证书的管理，实现授权管理，包括：证书申请、审核颁发、证书注销和注销列表发布。人事管理系统就完全是一个实际的应用，它基于HTTPS协议，强制使用数字证书才能够进行访问。当用户进行登录时，通过检测用户数字证书代表的“电子身份”，来实现身份认证。这个课题项目，主要由两大块组成：

3.1、CA中心

身份认证技术是基于数字证书来实现的，所以需要构建自己的企业内部的CA中心，由自己充当管理员来管理日常的证书申请、颁发、注销等事务。

这个CA中心，将负责颁发服务器端的证书和用户客户端的证书。源:自~751·论`文'网·www.751com.cn/

3.2、Web网站（人事管理系统）

项目中的身份认证是依托在一个实际的项目中的，由于企业人事系统中，人员等级跟相应操作权限都有直接关系，而且对登陆安全性要求比较高，所以正确的身份认证是保证系统良好运行的前提保证。其次企业人事系统功能繁多、逻辑复杂、对于可拓展性要求较高，是锻炼编程能力的一个好案例。

通过分别实现这两大部分，我们就可以架构起一个基于SSL的HTTPS网站，这要求客户端和服务器端都必须安装数字证书，但是同时在互联网中进行传播时，数据包也都是加密的。在用户登陆时，结合其数字证书上的登陆信息进行双重验证，保证用户登陆的安全性。同时，用户登陆完后数据在互联网上进行传播时，也是利用数字证书进行双向加密的，所以进一步保证通信的安全性。