收藏
下载资源

身份认证和访问控制实现原理

上传人:新** 文档编号:508943086 上传时间:2024-01-01 格式:DOCX 页数:3 大小:72.01KB
返回 下载 相关 举报
身份认证和访问控制实现原理_第1页
第1页 / 共3页
身份认证和访问控制实现原理_第2页
第2页 / 共3页
身份认证和访问控制实现原理_第3页
第3页 / 共3页
亲,该文档总共3页,全部预览完了,如果喜欢就下载吧!
资源描述

《身份认证和访问控制实现原理》由会员分享,可在线阅读,更多相关《身份认证和访问控制实现原理(3页珍藏版)》请在金锄头文库上搜索。

1、身份认证和访问控制实现原理身份 认证 和访问控制的实现原 理将 根据 系统 的 架构 而有 所不 同。对于 B/S 架构 ,将采用 利 用 Web 服 务 器 对 SSL ( Secure Socket Layer , 安 全 套 接 字 协 议 ) 技 术 的 支 持 , 可 以 实 现 系统 的身 份认 证和 访问控制安全需求。而对于 C/S 架构,将采用签 名 及签 名 验证 的方 式,来 实现系统的身份认证和访问控制需求。以下将分别进行介绍:基 于 SSL 的 身 份 认 证和 访问 控 制目前 ,SSL 技术已被大部份的 Web Server 及 Browser 广泛支持和 使用。

2、采用 SSL 技术 在用 户使 用浏 览器 访问 Web 服务器 时, 会在 客户 端 和服 务器 之间建立安全的 SSL 通道。在 SSL 会话产生 时: 首先 , 服务 器会 传送 它的服务器证书,客 户端 会自 动的 分 析服 务器 证书, 来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服 务器完 成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是 否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即 是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取 用户信息,并根据用户

3、信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒 钟内自动完成,对用户是透明的。如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份 认证和访问控制安全原理, 还需要增加下列模块:(ACL)服尋器证书HTML/XML基于 SSL 的身份认证和访问控制原理图1. Web 服 务器 证 书要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服 务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA 认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、 Web 服务器端的公钥以及CA对证书相关域内容

4、的数字签名。服务器证书都有一个有效 期, Web 服务器需要使能 SSL 功能的前提是必须拥有服务器证书, 利用服务器证书 来协商、 建立安全 SSL 安全通道。这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配 置的服务器证书返回给客户端, 通过验证服务器证书来验证他所访问的网站是否真实可靠。2. 客 户 端 证 书客户 端证 书由 CA 系统颁发给系统用 户, 在用 户 证书 内标 识了 用户 的身份信息、 用户 的公 钥以及 CA 对 证书 相关域内容的数字 签名,用户 证书都有一个有效 期。在建 立 SSL 通道过程中,可以对服务器的 SSL 功 能配置 成必须

5、要求用户证 书, 服 务器 验 证用户证书来验证用户的真实身份。3. 证 书 解 析 模 块证书 解析 模块以动态库的方式 提供 给各种 Web 服务 器, 它可 以解 析证 书 中包 含 的信息,用于提取证书中的用户信息,根据获得的用户信息,查询访问控制列表(ACL ),获取用户的访问权限,实现系统的访问控制。4. 访 问 控 制 列 表 (ACL )访问控制列表是根据应用系统不同用户建设的访问授权列表,保存在数据库中,在用户 使用数字证书访问应用系统时,应用系统根据从证书中解析得到的用户信息,查询访问控制 列表, 获取用户的访问权限, 实现对用户的访问控制。基于签名及签名验证的身份认证和访

6、问控制基于签名及签名验证的身份认证和访问控制是利用数字签名技术实现的,数字签名技术 的实现是指使用数字证书的私钥,对被签名数据的摘要值进行加密,加密的结果就是数字签 名。在进行签名验证时,是用数字证书( 即公钥)来进行验证,用公钥解密数据,得到发送 过来的摘要值,然后用相同的摘要算法对被签名数据做摘要运算,得到另一个摘要值,将两 个摘要值进行比较,如果相等,则数字签名验证通过,否则验证无效。数字签名技术的实现 依赖于下列两个事实:一是每一个信息的摘要值是唯一的,找不到两个摘要值相同的不同信 息;二是证书的私钥只有数字证书的拥有者才拥有,其他人得不到拥有者的私钥。这样,通 过签名及签名验证, 可

7、以确定数据的确是数字证书的拥有者发送的, 发送者不能进行抵赖。 数据 在发 送的 过程 中, 没有被别人窜改 过的 , 是 完 整的 。因此,利用这种技术可以实现对用户身份的认证,一旦对签名数据进行验证,就可以知 道签名者是谁,根据签名者的证书可以得到签名者的信息,查询访问控制列表,就知道是签 名者的访问权限, 从而实现身份认证和访问控制。基于签名及签名验证的身份认证和访问控制主要应用于不使用或支持SSL的系统,对于 C/S 结构,采用这种方式是非常合适的,要实现这种设计,如下图所示,除了系统原有的专 业客户端,服务器之外,需要增加上面描述的客户端证书、服务端证书解析模块和访问控制 列表之外,

8、 还需要增加下列模块:7客户端证书駐书访何控制列表 (ACLJ客户轄专业客皿基于签名及签名验证的身份认证和访问控制原理1. 客 户端 数据签 名模块客户端数据签名模块以控件的方式提供给专业客户端,对专业客户端软件进行 修改,调用数据签名模块,实现数字签名功能。在用户使用专业客户端进行系统访 问时,专业客户端调用数据签名模块,使用用户选择的客户端证书的私钥对客户端 发送的数据进行数字签名,提供服务器端认证用户身份时使用。2. 服 务端 签名验 证模块服务端签名验证模块以插件或动态库方式提供,安装在服务器端,实现对客户 端数据签名的验证,对客户端数据签名证书的有效性验证。通过验证签名数据,可 以判断客户端签名者的确拥有签名证书,通过对签名证书的验证,可以判断客户端 证书持有者的身份。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号