数字证书与网络安全|计算机毕业论文|计算机毕业设计|免费范文下载网站

中文摘要

本文在阐述数字证书研究背景、实现原理和应用、数字证书与网络安全的基础上，基于PKI/PMI数字证书技术，分析了PKI/PMI技术的理论需求和工作原理，及在Web中对身份认证和权限访问控制的实现。通过一个在公安网中运用的实例来分析基于PKI/PMI的数字证书在具体Web应用中安全访问控制的实现方法。最后，通过WindowsServer2003提供的CA服务组建了一个数字证书系统，以实例方式实现和分析数字证书系统的组建和证书的申请、颁发、应用、管理等过程。

关键词：网络安全数字证书PKI/PMI技术

外文摘要

Title:DigitalCertificateandNetworkSecurity

Abstract

ThispaperanalyzesthetheoreticalneedsofPKI/PMItechnology,theprinciplesofWebaswellastherealizationoftheidentityauthenticationandaccesscontrolauthority,basedontheresearchbackground,therealizingtheoryofdigitalcertificateanditsapplication,thedigitalcertificateandnetworksecurity,withPKI/PMIdigitalcertificatetechnology.Throughanexampleofitsapplicationinpublicsecuritynetwork,itanalyzesthesecurityaccesscontrolmethodbasedonPKI/PMIdigitalcertificateinspecificWebApplication.Finally,adigitalcertificatesystemisestablishedthroughCAservicesprovidedbyWindowsServer2003soastoachieveandanalyzetheformationofdigitalcertificatesystemandtheprocessoftheclaims,issuance,application,managementofthecertificate.

KeyWords:networksecuritydigitalcertificatePKI/PMItechnology

1引言1
1.1　数字证书的研究背景1
1.2数字证书的实现原理和应用1
2　数字证书与网络安全2
2.1　网络安全现状2
2.2数字证书与网上用户身份识别3
2.2.1　网上用户身份识别的难点——HTTP协议的无状态性4
2.2.2网上用户身份识别的解决方案4
2.3　数字证书与数据传输安全5
2.3.1　传统网络数据访问和传输中存在的问题5
2.3.2数据传输安全性的解决方案6
2.4　数字证书在公安网中的应用7
3　基于PKI/PMI的数字证书应用8
3.1　PKI技术9
3.2　PKI/PMI技术理论需求9
3.3　基于PKI/PMI数字证书的工作原理10
3.4　基于PKI/PMI数字证书的Web实现12
3.5　公安系统中PKI/PMI体系的应用13
3.5.1公安网现状需求和解决方案13
3.5.2　基于PKI/PMI的Web多域单点登陆在公安网中的模式14
3.5.3　公安网多域单点登陆模式的分析16
4　WindowsServer2003数字证书系统的组建和应用16
4.1　企业根CA的安装及其数字证书应用16
4.1.1CA安装和数字证书应用的环境17
4.1.2　企业根CA的安装19
4.1.3　域用户向企业CA申请证书21
4.1.4　企业根CA数字证书应用实例----邮件加密和签名24
4.2　企业从属CA29
4.3　独立根CA与独立从属CA31
结论32
致谢33
参考文献34

1.2数字证书的实现原理和应用

数字证书技术类似传统大使馆颁发、登记公民签证的方式，由大家所信任的公正第三者或认证机构（CA）以数字签名技术，将每一个用户的公钥和个人的身份数据签署成电子证书。当用户收到他人的证书之后，可以使用CA的公钥验证所获得证书的正确性，确信此证书内所含的公开密钥、身份数据及其他相关内容确实是证书上声称的主体（持证人），而不是其他主体用户。如此可将用户身份与用户的公钥紧密地结合在一起，让攻击者无法伪冒他人，传送假的公钥欺骗其他网络用户。数字证书利用公正第三者帮助认证用户公钥的方式，可以将用户必须认证网络上每一个用户公钥的问题，缩减到只需要认证用户所信任的公正第三方的公钥正确性的问题，大大增加了公开密钥的实用性。

数字证书实现原理的可行性和安全性，使得它在生活中得到了广泛应用。在公安网络中，过去的系统访问方式中，都采用“用户口令”的方式，这种登陆方式既容易被非法用户窃取也带来了使用不便的麻烦。现在大部分地区，普遍采用公安系统颁发的数字证书，只要将数字证书存放在移动存储设备中，使用时和电脑连接采用网上验证，就可以方便快捷地查询公安信息，这样既保证了用户的管理，也确保了使用的安全。

数字证书在网上银行方面也得到普遍应用，当用户进入网上银行登陆界面时，网上银行需要识别登陆的用户是否为合法用户，只有合法用户才可以登陆到自己的账户下进行操作，同时它提供了数字签名功能，用户进行账户交易时使用私钥进行签名，网上银行留存交易的签名，防止交易发起人日后对交易的抵赖。同时网上银行系统能够识别交易数据在传输过程中是否被他人篡改，因此能够保证交易数据的真实性和完整性。

2　数字证书与网络安全

随着国民经济和社会信息化的不断推进，特别是互联网的迅猛发展和快速普及，信息网络安全问题日益突出，网络受攻击、遭破坏的事件越来越频繁地发生，网络安全及其相关问题已成为全球所关注的焦点。

2.1　网络安全现状

当今的计算机网络基本都是按照开放系统互连（为OSI）的国际标准建立起来的开放系统，开放系统可以使网络的使用和互连更加方便，但同时也造成了对网络安全的威胁。目前，计算机网络所面临的威胁大致可分为两种：一是对数据信息的威胁；二是对物理设备的威胁。

造成网络安全威胁的因素非常多，主要有软件漏洞、配置不当、病毒、黑客攻击等等，这些威胁的目的更多的是针对网络信息窃取和对网络通信和信息提供服务的破坏[1]。针对网络信息所面临的威胁，常用的网络安全对策有：

1、认证技术

对于未授权的用户，认证是一个必要的步骤，在需要高度安全的场合，可以为用户提供智能卡或者其他认证令牌。常用的认证方法采用的是数字签名技术，例如为了避免通过E-mail附件入侵网络和蓄意破坏主要文件，首先要完成邮件的认证，只有确认了邮件的发送者身份，才可以下载其邮件附件。在这个过程中，数字签名技术就可以解决通信中发生的否认、伪造、冒充、篡改等问题，一旦邮件在通信过程中发生冒充或篡改，接收方就会有信息提示。

2、加密技术

加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。同样，在数据的传送过程中，可以采用加密技术以防止在传送时被非法篡改。

3、防火墙和入侵检测技术

防火墙技术是用于保护连入Internet中的网络边境的一种基本工具。它所保护的对象是网络中有明确闭合边界的一个网络部分，它的防范对象是来自被保护网络部分之外的部分对网络安全的威胁。也就是保护内部网络不受来自外部的侵入。实现防火墙的主要技术有数据包过滤、应用级网关、代理服务和地址转换等[2]。防火墙对于应用层的后门以及内部用户的攻击往往无能为力，而入侵检侧系统则可以及时发现并报告整个网络中未授权或异常现象，相当于对防火墙技术的一个补充。

除了上述的几种网络安全对策外，还有病毒保护、访问控制、审计等方法来保障网络信息安全[2]。目前，数字证书是对身份认证和加密技术的综合运用，数字证书已经普遍地应用于网络身份识别、信息传输加密等网络安全技术中。

2.2数字证书与网上用户身份识别

身份识别是保障网络信息安全的重要策略之一，如果实现了网上身份的识别，网络管理员就可以根据权限对Web资源进行访问权限的控制，有效地保护网络信息资源被滥用的危险。

2.2.1　网上用户身份识别的难点——HTTP协议的无状态性

HTTP协议（即超文本传输协议）是一个应用层的网络协议，采用客户-服务器模式来发送客户请求的服务器资源。Web应用程序的用户通过浏览器进行操作，以浏览器作为客户端采用HTTP协议同Web服务器进行交互，完成相应的工作。由此可见，HTTP协议是Web应用程序的重要基础之一。

每个Web站点都有一个服务器进程，它在特定TCP端口上不断监听，以便发现是否有浏览器向它发出连接建立请求；一旦监听到连接建立请求并建立了TCP连接之后，浏览器就向服务器发出浏览某个页面的请求，服务器接着就返回所请求的页面作为响应；发送完响应后，服务器关闭TCP连接。服务器处理下一个请求，这次处理与上一个请求没有任何关系，对于HTTP服务器而言，各个请求都是一样的，不会保留各次处理时的信息，这就是HTTP协议的无状态性[3]。

HTTP的无状态性既是优点，也是缺点，它的设计本意在于共享资源，但对基于Web的应用，却很不方便，特别是对拥有各种角色的多用户系统来说，可能要求对用户进行区分，这就要求对用户的身份进行验证。因为HTTP协议本身不维护请求之间的状态信息，若仅仅通过协议本身，服务器无法判断各请求之间的关联性，也就是说，尽管可以使用户进入Web应用的默认页面为登陆页面，通过用户输入用户登陆名及密码等信息以实现用户身份验证，然后再通过链接或其它机制转到其它相关页面，但是如果不采取其它措施，用户即使不从登陆页面进入也可以通过输入URL的方式对网站上其它页面进行不受限制的访问。因而，能够识别用户的身份、识别一系列远程客户的请求是从同一个客户处发出的，是建立有效的基于Web的应用程序的关键。

参考文献

[1]冯登国.国内外信息安全发展现状和趋势[J].网络安全技术与应用.2001，1.

[2]聂元名，丘平.网络信息安全技术[M].科学出版社.2001.

[3]谭丽娟，陈运.网络安全策略研究.信息安全与通信秘密，2003.

[4]PawlakZ.RoughSets.InternationalJournalofComputerandinformationScience[J],1996，11(5)：341-356.

[5]EntrustXMLStrategyforAuthorization.http://www.entrust.com.

[6]刘少辉，盛秋戬，吴斌.Rough集高效算法的研究[J].计算机学报，2003；26(5)：524-529.

[7]杨义先.公钥基础设施及数字证书技术[J].世界电信，2001，(8)：13-15.

[8]宁宇鹏.PKI技术[M].北京：机械工业出版社，2004.

[9]胡喜玲.基于角色证书和角色的PMI[J].微计算机应用，2004，(3)：308-301.

[10]王薇，张红旗，张斌.基于PKI/PMI多域单点登陆技术的研究[J].微计算机信息，2006，22（7-3）：150-153.

[11]李小平，阎光伟，王轩峰.基于公开密钥基础设施的单点登录系统的设计[J].北京理工大学学报,2002，22(2):209-213.

[12]夏思洵，董传良.基于证书的信息门户单一登录[J].计算机应用与软件，2004，(4)：96-98.

[13]张秋余，梁爽，王利娜.PKI的发展及问题分析[J].信息安全，2006.

[14]吴鹏，王晓，苏新宁.基于PKI/PMI的Web应用安全解决方案[J].计算机工程与应用，2006.06.

[15]关振胜.公钥基础设施PKI与认证机构CA[M].电子工业出版社.2002.

[16]王群.数字证书与网络安全[M].清华大学出版社.2006.