基于pkiii技術(shù)的web應(yīng)用安全研究

基于pkiii技術(shù)的web應(yīng)用安全研究

0網(wǎng)絡(luò)化帶來的信息安全挑戰(zhàn)開放、自由、國際化的網(wǎng)絡(luò)產(chǎn)業(yè)的發(fā)展為政府機(jī)構(gòu)、公司和機(jī)構(gòu)的工作方法帶來了革命性的變化，他們能夠利用網(wǎng)絡(luò)來提高工作效率，面對(duì)由此產(chǎn)生的信息安全問題。PKI作為目前較為完善的網(wǎng)絡(luò)安全方案,能夠解決網(wǎng)絡(luò)中的身份認(rèn)證、數(shù)據(jù)保密性、數(shù)據(jù)完整性、不可否認(rèn)性等方面的問題,但是對(duì)于資源的訪問控制力不從心1身份證書pkc或pki認(rèn)證公鑰基礎(chǔ)設(shè)施PKI實(shí)際上是一個(gè)密鑰管理平臺(tái),它采用公鑰理論和技術(shù),能夠透明地向所有網(wǎng)絡(luò)應(yīng)用提供基于公開密鑰的加密和數(shù)字簽名等安全服務(wù),實(shí)現(xiàn)對(duì)密鑰和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能(1)PKI是PMI的基礎(chǔ),兩者之間有著緊密的聯(lián)系。PMI授予屬性證書AC(AttributeCertificate)時(shí),先要驗(yàn)證用戶的身份證書PKC(PublicKeyCertificate),以保證其身份正確。AA(AttributeAuthority)頒發(fā)屬性證書時(shí),要將屬性證書與用戶的公鑰證書信息進(jìn)行綁定,權(quán)限驗(yàn)證者在驗(yàn)證用戶權(quán)限之前,首先要調(diào)用PKI對(duì)其身份進(jìn)行鑒別。(2)PMI與PKI具有無關(guān)性。PMI和PKI不用了解彼此內(nèi)部的操作情況,兩者之間是透明的。PMI通過證書相關(guān)接口與PKI進(jìn)行交互,調(diào)用PKI系統(tǒng)中的功能模塊和API函數(shù),完成用戶請(qǐng)求。公鑰證書可以看作一個(gè)護(hù)照,它標(biāo)明護(hù)照的持有者,具有較長的有效期,并且用戶申請(qǐng)證書不應(yīng)該很容易就獲得,需要一個(gè)強(qiáng)認(rèn)證過程。屬性證書則像一個(gè)簽證,通常它是由一個(gè)不同的國家頒發(fā),其有效期較短。為了獲得一個(gè)簽證需要出示相應(yīng)的護(hù)照,獲得簽證是一個(gè)相對(duì)簡單的過程。屬性證書依賴身份證書而存在,而且它們的結(jié)構(gòu)也類似。公鑰證書和屬性證書的異同點(diǎn)如表1所示。2pmi-pm網(wǎng)絡(luò)應(yīng)用2.1校園網(wǎng)的管理筆者通過調(diào)研發(fā)現(xiàn),針對(duì)校園網(wǎng)的使用及其存在的安全威脅主要分為以下幾種:(1)發(fā)布言論:校園網(wǎng)不實(shí)行實(shí)名制管理,經(jīng)常有人在BBS上發(fā)布黃色信息和不符合政治大局的言論,校園網(wǎng)的管理員對(duì)此無能為力,只能簡單地采取封ID號(hào)的辦法進(jìn)行處理,而破壞者不但能夠免于制裁,而且只需重新申請(qǐng)一個(gè)賬號(hào)就可以繼續(xù)散布不良信息了。事實(shí)上,以前校園網(wǎng)管理員也曾經(jīng)采用IP地址綁定等辦法來加強(qiáng)對(duì)校園網(wǎng)的管理,但最終都無法解決根本問題。(2)發(fā)送郵件:校園網(wǎng)上附帶郵箱功能,由于用戶的誤操作或存在中間人攻擊,用戶的私密信息有可能泄漏。(3)ftp的管理:校園網(wǎng)上的ftp網(wǎng)站沒有進(jìn)行嚴(yán)格的訪問控制,部分ftp網(wǎng)站可以隨意上傳、下載資源。事實(shí)上通過工具獲取ftp站點(diǎn)的管理員權(quán)限對(duì)普通黑客來說也非難事。對(duì)于以上校園網(wǎng)上存在的各種安全隱患,可以引入PKI與PMI系統(tǒng)加以解決,其中對(duì)于電子郵件的泄密可以使用接收方的公鑰對(duì)電子郵件的內(nèi)容進(jìn)行加密,對(duì)方收到后再用自己的私鑰進(jìn)行解密;而對(duì)于另外兩種情況則必須利用身份認(rèn)證和訪問控制技術(shù)去解決問題。2.2身份證作用機(jī)制筆者將PKI/PMI系統(tǒng)應(yīng)用于校園網(wǎng)中,用PKI來實(shí)現(xiàn)身份認(rèn)證,PMI來進(jìn)行權(quán)限管理,以提高校園網(wǎng)的安全性和增加校園網(wǎng)的使用范圍。其中在權(quán)限管理過程中采用基于角色的訪問控制思想,將屬性證書分為角色分配證書和角色規(guī)范證書(1)CA(CertificationAuthority):負(fù)責(zé)簽發(fā)身份證書和發(fā)布身份證書撤消列表,管理證書和密鑰生存周期。(2)RA(RegistrationAuthority):是CA的代理機(jī)構(gòu),負(fù)責(zé)在CA為終端用戶發(fā)放證書以前驗(yàn)證實(shí)體身份,并在PKI系統(tǒng)中為用戶注冊(cè)。(3)AA(AttributeAuthority):負(fù)責(zé)簽發(fā)角色規(guī)范證書、角色分配證書及發(fā)布角色分配證書撤消列表,管理這兩種屬性證書的生存周期。(4)ARA(AttributeRegistrationAuthority):是AA的代理機(jī)構(gòu),負(fù)責(zé)在AA為終端用戶發(fā)放角色分配證書前驗(yàn)證用戶提供的資料。(5)LDAP(LightDirectoryAccessProtocol):存儲(chǔ)由AA和CA頒發(fā)的各種證書和證書撤消列表的內(nèi)容,并提供對(duì)外查詢功能。(6)密碼服務(wù)器:用于公私鑰對(duì)的產(chǎn)生、密鑰的存貯加密、信息傳輸加密,以及對(duì)各種證書進(jìn)行數(shù)字簽名。(7)ACS(AccessControlSystem):負(fù)責(zé)驗(yàn)證用戶的身份證書和角色分配證書的有效性,并從角色規(guī)范證書中析出角色的終端用戶的權(quán)限。3身份認(rèn)證技術(shù)的檢驗(yàn)系統(tǒng)內(nèi)的身份認(rèn)證主要由ACS驗(yàn)證用戶的身份證書,從而實(shí)現(xiàn)類似網(wǎng)絡(luò)實(shí)名制的功能,防止用戶隨意發(fā)布不負(fù)責(zé)任的言論。其具體過程如下:(1)終端用戶與ACS建立連接后ACS發(fā)送認(rèn)證請(qǐng)求消息,包括自己的身份證書和用私鑰加密的隨機(jī)數(shù)m1。(2)ACS檢驗(yàn)身份證書以下三個(gè)方面的內(nèi)容:是否為可信的CA所頒發(fā)、是否在有效期內(nèi)、是否被撤銷。如果能通過檢驗(yàn),則取出證書中的公鑰解密客戶端發(fā)送的加密的隨機(jī)數(shù)m1,并向用戶發(fā)送認(rèn)證請(qǐng)求消息,包括ACS的身份證書,用ACS的私鑰加密,并加密另一個(gè)隨機(jī)數(shù)m2。(3)用戶使用與(2)相同的方法驗(yàn)證認(rèn)證服務(wù)器的證書。利用證書中公鑰解密出隨機(jī)數(shù)ml和m2,客戶端得到ml,證明發(fā)送方為ACS。用戶向認(rèn)證服務(wù)器發(fā)送認(rèn)證消息,用自己的私鑰簽名m2。(4)ACS使用自己的私鑰和用戶的公鑰解密收到的認(rèn)證消息并得到m2,確認(rèn)對(duì)方身份。如果用戶還要對(duì)ftp站點(diǎn)進(jìn)行管理,則在驗(yàn)證身份證書的基礎(chǔ)上驗(yàn)證角色分配證書,并通過相關(guān)聯(lián)的角色規(guī)范證