淺談PKI數(shù)字證書在WEB系統(tǒng)中的安全應(yīng)用

1、    淺談pki數(shù)字證書在web系統(tǒng)中的安全應(yīng)用    謝躍偉【摘要】 本文簡(jiǎn)要介紹了web系統(tǒng)，對(duì)有關(guān)web系統(tǒng)的安全技術(shù)進(jìn)行了分析，包括公鑰密碼體制、數(shù)字證書、ssl安全傳輸協(xié)議等，強(qiáng)調(diào)了pki數(shù)字證書在web系統(tǒng)中應(yīng)用的重要性，并對(duì)其具體應(yīng)用方法進(jìn)行了闡述，目的在于進(jìn)一步提高web系統(tǒng)應(yīng)用的安全性?！娟P(guān)鍵詞】 pki數(shù)字證書 web系統(tǒng) 安全應(yīng)用前言：隨著社會(huì)信息化水平的不斷提升，以政府為主的各項(xiàng)社會(huì)工作同樣對(duì)信息化技術(shù)進(jìn)行了應(yīng)用，由此而誕生的“電子政務(wù)”等，不僅提高了各領(lǐng)域的工作效率，同時(shí)也提高了信息的透明度。但需重視的是，在信息化辦公條件下，

2、信息所面臨的風(fēng)險(xiǎn)進(jìn)一步增加，加強(qiáng)對(duì)信息的保護(hù)，成為了政府及有關(guān)部門關(guān)注的重點(diǎn)問題。一、web系統(tǒng)web系統(tǒng)即各領(lǐng)域的內(nèi)部系統(tǒng)，在功能等方面，較傳統(tǒng)網(wǎng)站而言具有一定的優(yōu)勢(shì)，能夠有效支持各領(lǐng)域工作流程的完成，因此系統(tǒng)內(nèi)部所包含的信息相對(duì)全面，確保系統(tǒng)安全十分必要1。二、有關(guān)安全技術(shù)分析1、公鑰密碼體制。公鑰密碼體制，是確保數(shù)據(jù)安全的主要體制之一2。該體制要求在信息的傳輸過程中，通過加密與解密的方式，提高信息的安全性。如何交換密鑰，是采用該體制保護(hù)信息安全的過程中，需要考慮的重點(diǎn)問題。另外，隨著用戶量的不斷增加，密鑰的產(chǎn)生以及分配等難度，也會(huì)隨之加大，在保護(hù)信息安全方面，效率較低，且存在較大的安全漏

3、洞，因此不提倡采用上述方法保護(hù)信息安全。2、數(shù)字簽名。數(shù)字簽名在公鑰密碼體制的基礎(chǔ)上產(chǎn)生，要求將哈希算法作為數(shù)據(jù)加密的主要算法，發(fā)送方可通過自行設(shè)計(jì)密鑰的方法，對(duì)數(shù)據(jù)進(jìn)行加密，進(jìn)而形成數(shù)字簽名，省略了公鑰密碼體制下對(duì)密鑰的分配這一步驟，提高了加密效率。在接收方接收到信息之后，可以利用自己的密鑰解密，之后同樣利用哈希算法，將信息讀取。采用該方法保護(hù)數(shù)據(jù)，能夠使數(shù)據(jù)信息篡改時(shí)，被及時(shí)發(fā)現(xiàn)，可有效提高數(shù)據(jù)與信息傳輸?shù)陌踩浴?、ssl安全傳輸協(xié)議。ssl協(xié)議是安全傳輸協(xié)議的一種，目前應(yīng)用較為廣泛3。該協(xié)議要求在采用數(shù)字證書的基礎(chǔ)上，在客戶端與服務(wù)器之間，建立安全通道，只有經(jīng)過授權(quán)的合法用戶，才能對(duì)信

4、息進(jìn)行提取和使用，在很大程度上降低了信息泄漏的幾率。ssl即安全套接層，可與應(yīng)用協(xié)議獨(dú)立使用，優(yōu)勢(shì)在于能夠在通信之前便完成加密，同時(shí)能夠?qū)崿F(xiàn)對(duì)表單內(nèi)容等的完全保密，是提高數(shù)據(jù)安全性的主要手段。4、數(shù)字證書。數(shù)字證書一般由版本號(hào)、序列號(hào)、有效期、用戶公鑰等多項(xiàng)內(nèi)容所構(gòu)成，是ssl安全傳輸協(xié)議形成的基礎(chǔ)，通常由具有較高可信度的機(jī)構(gòu)，掌握有關(guān)文件及數(shù)據(jù)結(jié)構(gòu)。數(shù)字證書中往往包含著全面的公鑰信息，包含證書持有者的信息。上述信息需經(jīng)過第三方公正，以保證具有準(zhǔn)確性。三、pki數(shù)字證書在web系統(tǒng)中的安全應(yīng)用3.1 算法的擴(kuò)充從理論上講，ssl安全傳輸協(xié)議中所包含的加密算法最為全面，但需要注意的是，為進(jìn)一步提

5、高系統(tǒng)的安全性，對(duì)相應(yīng)算法進(jìn)行擴(kuò)充很有必要4。為達(dá)到上述目的，可在算法中，加入進(jìn)國(guó)內(nèi)具有自主知識(shí)產(chǎn)權(quán)的算法，同時(shí)將用戶證書等，存放到ic卡存儲(chǔ)空間中，確保其安全。在windows中，crypto api函數(shù)的應(yīng)用，能夠?yàn)殚_發(fā)者提供較為全面的加密接口，開發(fā)者可以通過對(duì)加密接口的使用，完成對(duì)數(shù)據(jù)的加密與解密過程，另外可實(shí)現(xiàn)對(duì)證書的編碼與解碼。crypto api函數(shù)要求以csp作為加密操作的基礎(chǔ)來完成加密，具體算法的擴(kuò)充過程，可采用自行開發(fā)的csp，對(duì)windows中原有的csp進(jìn)行替代，而提高系統(tǒng)的安全性。3.2 pki數(shù)字證書在web系統(tǒng)中的安全應(yīng)用可采用以下方法，將pki數(shù)字證書應(yīng)用到web

6、系統(tǒng)中，實(shí)現(xiàn)對(duì)系統(tǒng)的改造：（1）可通過修改身份認(rèn)證以及訪問控制代碼的方法，完成web的改造過程，提高內(nèi)部網(wǎng)絡(luò)的安全性。身份認(rèn)證的修改等環(huán)節(jié)，可在源程序中直接執(zhí)行與操作。（2）可根據(jù)web服務(wù)器的不同，分別設(shè)計(jì)不同的插件，以確保插件與web服務(wù)器具有適應(yīng)性。（3）可通過改變用戶與服務(wù)器之間的認(rèn)證關(guān)系的方法，實(shí)現(xiàn)對(duì)系統(tǒng)的保護(hù)?？稍趦烧咧g建立訪問控制網(wǎng)關(guān)服務(wù)器，在用戶向系統(tǒng)提出訪問請(qǐng)求之后，相應(yīng)請(qǐng)求信息會(huì)被系統(tǒng)自行處理，如允許訪問，則可直接將訪問轉(zhuǎn)發(fā)到應(yīng)用服務(wù)其當(dāng)中。在上述三種方法中，根據(jù)web服務(wù)器設(shè)計(jì)插件的方法具有較高的可行性。通過對(duì)pki數(shù)據(jù)證書的應(yīng)用，可以順利的完成用戶的身份認(rèn)證過程，同時(shí)

7、，系統(tǒng)還可通過對(duì)api接口的調(diào)用，獲取用戶的權(quán)限信息，進(jìn)而解決用戶使用不同系統(tǒng)時(shí)重復(fù)登錄的問題，提高登錄以及系統(tǒng)使用的便利性，實(shí)際應(yīng)用價(jià)值較高。結(jié)論：綜上所述，可將pki數(shù)字證書應(yīng)用到web系統(tǒng)當(dāng)中，實(shí)現(xiàn)對(duì)用戶登錄過程的控制，提高web系統(tǒng)的安全性，確保系統(tǒng)中的信息不丟失，減輕木馬、病毒傳播、遠(yuǎn)程控制等非法手段對(duì)系統(tǒng)的攻擊，使系統(tǒng)可正常運(yùn)行。參 考 文 獻(xiàn)1謝杰濤，吳敏，吳娟，史睿冰. web系統(tǒng)高性能本地?cái)?shù)據(jù)緩存實(shí)現(xiàn)機(jī)制j. 計(jì)算機(jī)應(yīng)用研究，2014，07：2074-2077.2胡振碧，黃翔，張文博，陳宇行，張竹綠. 面向paas的web系統(tǒng)動(dòng)態(tài)性能建模工具的設(shè)計(jì)實(shí)現(xiàn)j. 計(jì)算機(jī)工程與設(shè)計(jì)，2013，01：151-158.3朱養(yǎng)鵬. 基于ajax的通用web系統(tǒng)權(quán)限管理的設(shè)計(jì)與實(shí)現(xiàn)j. 西安石油大學(xué)學(xué)報(bào)（自然科學(xué)版），2011，05：98-102+119.4王飛，劉超. 基于日志的web系統(tǒng)互操作測(cè)試用例擴(kuò)充方法j. 計(jì)算機(jī)科學(xué)與探索，2015，07：803-811. 中國(guó)新通信2017年7期中國(guó)新