資源描述:
《基于microsoft證書服務的web應用程序安全構架new》由會員上傳分享,免費在線閱讀,更多相關內容在教育資源-天天文庫。
1、2004年6月北京廣播學院學報(自然科學版)June.2004第11卷第2期JOURNALOFBEIJINGBROADCASTINGINSTITUTEVol.11,No.2(SCIENCEANDTECHNOLOGY)基于Microsoft證書服務的Web應用程序安全架構閆巖曹三省李丹(北京廣播學院計算機與軟件學院北京100024)摘要:隨著Internet與Web技術的發(fā)展,大量應用系統(tǒng)已經采用基于Web的方式進行設計實施。實際應用需求決定了這些應用系統(tǒng)對安全性有著突出的要求。因此需要構建一個增強的系統(tǒng)安全解決方案,以使系統(tǒng)符合實際運行環(huán)境中的安全性需求
2、。基于特定的工程實踐,本文給出了一個具有可操作性的基于Microsoft證書服務體系的Web應用安全架構,該架構可用于主流Web應用系統(tǒng)中的信息安全設計與實施。關鍵詞:安全,證書,應用,Web中圖分類號:TP013文獻標識碼:A文章編號:1007-8819(2004)02-子系統(tǒng)開發(fā)成熟后、經過多次補充開發(fā)而完1信息系統(tǒng)安全技術概述成的。隨著計算機網絡技術的高速發(fā)展及其在需要指出的是,系統(tǒng)在安全性方面的完實際應用中的日益普及,計算機網絡安全已善往往要付出在其計算和處理性能方面或可經成為當代社會各個領域都必須面對和解決用性方面的代價,因為一些安全算法的引入
3、的問題,為從通信技術角度防范可能滲透于必然會耗費一定的計算能力和系統(tǒng)資源,但國家機關、軍隊、銀行、證券等各種企事業(yè)由于安全技術的重要性,這一折衷是可以接單位內外各個層面的計算機犯罪,具備高度受并且應當接受的,并且,如果對系統(tǒng)資源實用性和穩(wěn)定性的安全技術體系逐漸成為信進行適當擴充,則仍可以保證系統(tǒng)的整體性息科學領域內的核心技術之一。能不因安全算法的引入而受到影響。安全技術的實施目標是對資產、即具有信息系統(tǒng)的安全體系由以下部分構成:價值的任何事物(如商業(yè)規(guī)劃、財產、保密·認證(Authentication):確定試圖訪問的原代碼、私人密碼、金錢、名譽等)的保
4、資源的用戶的身份。護。在網絡應用中,安全技術的重要性尤為·授權(Authorization):確定該客戶機突出。例如在基于Internet網的電子商務交是否已被允許訪問該資源。易過程中,需要防范信用卡信息盜用、交易·審核(Auditing):跟蹤該客戶機所進信息竊取、黑客攻擊等各類安全隱患。行的操作并記錄在案供以后檢查。一個信息系統(tǒng)的安全體系的實現是一個·保密性(Privacy):確保任何人都不能復雜的過程,因為發(fā)現整個系統(tǒng)中的各種安截取客戶機與服務器之間的通訊。全漏洞需要經過反復測試、模擬攻擊和修正?!ね暾裕↖ntegrity):檢測數據是否已一個系
5、統(tǒng)的安全修正往往是在該系統(tǒng)的各個被更改或者應用程序是否已經損壞?!び行裕ˋvailability):檢測客戶機傳收稿日期2003-12-08送來的數據是否有效。結構(PKI)的證書服務。這一安全平臺?!げ豢煞裾J性(Nonrepudiation):提供證了各類網絡應用的通信安全。所謂“證書”,某個操作已經發(fā)生的證據。是網絡數據交換中標志通信各方身份信息的對于基于Web的信息系統(tǒng)而言,有三個一系列數據,它是一個經數字簽名、由發(fā)行不同級別的訪問方式:匿名訪問著簽署的聲明,用于處理特定主體的公鑰。(Anonymousaccess),鑒別訪問證書也被稱作數字身份
6、。MicrosoftWindows(Identifiedaccess)和授權訪問2000Server證書遵循ITU-TX.509國際標(Authenticatedaccess)。匿名訪問被廣泛準。標準的X.509數字證書包括以下內容:使用于大量存在的開放式Web信息系統(tǒng),用·證書的版本信息;戶不需要提供其身份信息即可訪問服務提供·證書的序列號(此序列號是唯一的,者允許其訪問的所有資源。鑒別訪問要求用每個證書都有一個唯一的序列號);戶提供其合法的身份信息,但所有資源對任·證書所使用的簽名算法;何合法用戶全面提供。授權訪問則在獲得用·證書發(fā)行機構的名稱(命名
7、規(guī)則一般戶合法身份信息的基礎上,根據用戶身份信采用X.500協議格式);息和相應的資源訪問授權策略,確定用戶有·證書的有效期(通用證書一般采用權對何種資源進行何種級別的訪問。在對安UTC時間格式,計時范圍為1950年全性要求較高的信息系統(tǒng)中,應考慮采用鑒-2049年);別訪問方式或授權訪問方式。授權訪問方式·證書所有人的名稱(命名規(guī)則一般采較鑒別訪問方式而言,具備更完善的安全機用X.500協議格式);制,但其設計與實現也更為復雜,且在實際·證書所有人的公開密鑰(公鑰);運行中對各類資源訪問行為的授權也必將帶·證書發(fā)行者對證書的簽名。來一定的系統(tǒng)資源消耗。
8、2基于Microsoft證書服務的應用環(huán)境安全體系在廣為采用的Microsoft