国产乱淫av片免费_ 身份認證和訪(fǎng)問(wèn)控制實(shí)現原理 - 產(chǎn)品研發(fā) - 海頓之家

身份認證和訪(fǎng)問(wèn)控制實(shí)現原理

　　身份認證和訪(fǎng)問(wèn)控制的實(shí)現原理將根據系統的架構而有所不同。對于B/S架構，將采用利用Web服務(wù)器對SSL（Secure Socket Layer，安全套接字協(xié)議）技術(shù)的支持，可以實(shí)現系統的身份認證和訪(fǎng)問(wèn)控制安全需求。而對于C/S架構，將采用簽名及簽名驗證的方式，來(lái)實(shí)現系統的身份認證和訪(fǎng)問(wèn)控制需求。以下將分別進(jìn)行介紹：

基于SSL的身份認證和訪(fǎng)問(wèn)控制

　　目前，SSL技術(shù)已被大部份的Web Server及Browser廣泛支持和使用。采用SSL技術(shù)，在用戶(hù)使用瀏覽器訪(fǎng)問(wèn)Web服務(wù)器時(shí)，會(huì )在客戶(hù)端和服務(wù)器之間建立安全的SSL通道。在SSL會(huì )話(huà)產(chǎn)生時(shí)：首先，服務(wù)器會(huì )傳送它的服務(wù)器證書(shū)，客戶(hù)端會(huì )自動(dòng)的分析服務(wù)器證書(shū)，來(lái)驗證服務(wù)器的身份。其次，服務(wù)器會(huì )要求用戶(hù)出示客戶(hù)端證書(shū)（即用戶(hù)證書(shū)），服務(wù)器完成客戶(hù)端證書(shū)的驗證，來(lái)對用戶(hù)進(jìn)行身份認證。對客戶(hù)端證書(shū)的驗證包括驗證客戶(hù)端證書(shū)是否由服務(wù)器信任的證書(shū)頒發(fā)機構頒發(fā)、客戶(hù)端證書(shū)是否在有效期內、客戶(hù)端證書(shū)是否有效（即是否被竄改等）和客戶(hù)端證書(shū)是否被吊銷(xiāo)等。驗證通過(guò)后，服務(wù)器會(huì )解析客戶(hù)端證書(shū)，獲取用戶(hù)信息，并根據用戶(hù)信息查詢(xún)訪(fǎng)問(wèn)控制列表來(lái)決定是否授權訪(fǎng)問(wèn)。所有的過(guò)程都會(huì )在幾秒鐘內自動(dòng)完成，對用戶(hù)是透明的。
　　如下圖所示，除了系統中已有的客戶(hù)端瀏覽器、Web服務(wù)器外，要實(shí)現基于SSL的身份認證和訪(fǎng)問(wèn)控制安全原理，還需要增加下列模塊：

基于SSL的身份認證和訪(fǎng)問(wèn)控制原理圖

Web服務(wù)器證書(shū) 　　要利用SSL技術(shù)，在Web服務(wù)器上必需安裝一個(gè)Web服務(wù)器證書(shū)，用來(lái)表明服務(wù)器的身份，并對Web服務(wù)器的安全性進(jìn)行設置，使能SSL功能。服務(wù)器證書(shū)由CA認證中心頒發(fā)，在服務(wù)器證書(shū)內表示了服務(wù)器的域名等證明服務(wù)器身份的信息、Web服務(wù)器端的公鑰以及CA對證書(shū)相關(guān)域內容的數字簽名。服務(wù)器證書(shū)都有一個(gè)有效期，Web服務(wù)器需要使能SSL功能的前提是必須擁有服務(wù)器證書(shū)，利用服務(wù)器證書(shū)來(lái)協(xié)商、建立安全SSL安全通道。
　　這樣，在用戶(hù)使用瀏覽器訪(fǎng)問(wèn)Web服務(wù)器，發(fā)出SSL握手時(shí)，Web服務(wù)器將配置的服務(wù)器證書(shū)返回給客戶(hù)端，通過(guò)驗證服務(wù)器證書(shū)來(lái)驗證他所訪(fǎng)問(wèn)的網(wǎng)站是否真實(shí)可靠。
客戶(hù)端證書(shū) 　　客戶(hù)端證書(shū)由CA系統頒發(fā)給系統用戶(hù)，在用戶(hù)證書(shū)內標識了用戶(hù)的身份信息、用戶(hù)的公鑰以及CA對證書(shū)相關(guān)域內容的數字簽名，用戶(hù)證書(shū)都有一個(gè)有效期。在建立SSL通道過(guò)程中，可以對服務(wù)器的SSL功能配置成必須要求用戶(hù)證書(shū)，服務(wù)器驗證用戶(hù)證書(shū)來(lái)驗證用戶(hù)的真實(shí)身份。
證書(shū)解析模塊 　　證書(shū)解析模塊以動(dòng)態(tài)庫的方式提供給各種Web服務(wù)器，它可以解析證書(shū)中包含的信息，用于提取證書(shū)中的用戶(hù)信息，根據獲得的用戶(hù)信息，查詢(xún)訪(fǎng)問(wèn)控制列表（ACL），獲取用戶(hù)的訪(fǎng)問(wèn)權限，實(shí)現系統的訪(fǎng)問(wèn)控制。
訪(fǎng)問(wèn)控制列表（ACL）

　　訪(fǎng)問(wèn)控制列表是根據應用系統不同用戶(hù)建設的訪(fǎng)問(wèn)授權列表，保存在數據庫中，在用戶(hù)使用數字證書(shū)訪(fǎng)問(wèn)應用系統時(shí)，應用系統根據從證書(shū)中解析得到的用戶(hù)信息，查詢(xún)訪(fǎng)問(wèn)控制列表，獲取用戶(hù)的訪(fǎng)問(wèn)權限，實(shí)現對用戶(hù)的訪(fǎng)問(wèn)控制。

基于簽名及簽名驗證的身份認證和訪(fǎng)問(wèn)控制

　　基于簽名及簽名驗證的身份認證和訪(fǎng)問(wèn)控制是利用數字簽名技術(shù)實(shí)現的，數字簽名技術(shù)的實(shí)現是指使用數字證書(shū)的私鑰，對被簽名數據的摘要值進(jìn)行加密，加密的結果就是數字簽名。在進(jìn)行簽名驗證時(shí)，是用數字證書(shū)（即公鑰）來(lái)進(jìn)行驗證，用公鑰解密數據，得到發(fā)送過(guò)來(lái)的摘要值，然后用相同的摘要算法對被簽名數據做摘要運算，得到另一個(gè)摘要值，將兩個(gè)摘要值進(jìn)行比較，如果相等，則數字簽名驗證通過(guò)，否則驗證無(wú)效。數字簽名技術(shù)的實(shí)現依賴(lài)于下列兩個(gè)事實(shí)：一是每一個(gè)信息的摘要值是唯一的，找不到兩個(gè)摘要值相同的不同信息；二是證書(shū)的私鑰只有數字證書(shū)的擁有者才擁有，其他人得不到擁有者的私鑰。這樣，通過(guò)簽名及簽名驗證，可以確定數據的確是數字證書(shū)的擁有者發(fā)送的，發(fā)送者不能進(jìn)行抵賴(lài)。數據在發(fā)送的過(guò)程中，沒(méi)有被別人竄改過(guò)的，是完整的。
　　因此，利用這種技術(shù)可以實(shí)現對用戶(hù)身份的認證，一旦對簽名數據進(jìn)行驗證，就可以知道簽名者是誰(shuí)，根據簽名者的證書(shū)可以得到簽名者的信息，查詢(xún)訪(fǎng)問(wèn)控制列表，就知道是簽名者的訪(fǎng)問(wèn)權限，從而實(shí)現身份認證和訪(fǎng)問(wèn)控制。
　　基于簽名及簽名驗證的身份認證和訪(fǎng)問(wèn)控制主要應用于不使用或支持SSL的系統，對于C/S結構，采用這種方式是非常合適的，要實(shí)現這種設計，如下圖所示，除了系統原有的專(zhuān)業(yè)客戶(hù)端，服務(wù)器之外，需要增加上面描述的客戶(hù)端證書(shū)、服務(wù)端證書(shū)解析模塊和訪(fǎng)問(wèn)控制列表之外，還需要增加下列模塊：

基于簽名及簽名驗證的身份認證和訪(fǎng)問(wèn)控制原理

客戶(hù)端數據簽名模塊 　　客戶(hù)端數據簽名模塊以控件的方式提供給專(zhuān)業(yè)客戶(hù)端，對專(zhuān)業(yè)客戶(hù)端軟件進(jìn)行修改，調用數據簽名模塊，實(shí)現數字簽名功能。在用戶(hù)使用專(zhuān)業(yè)客戶(hù)端進(jìn)行系統訪(fǎng)問(wèn)時(shí)，專(zhuān)業(yè)客戶(hù)端調用數據簽名模塊，使用用戶(hù)選擇的客戶(hù)端證書(shū)的私鑰對客戶(hù)端發(fā)送的數據進(jìn)行數字簽名，提供服務(wù)器端認證用戶(hù)身份時(shí)使用。
服務(wù)端簽名驗證模塊 　　服務(wù)端簽名驗證模塊以插件或動(dòng)態(tài)庫方式提供，安裝在服務(wù)器端，實(shí)現對客戶(hù)端數據簽名的驗證，對客戶(hù)端數據簽名證書(shū)的有效性驗證。通過(guò)驗證簽名數據，可以判斷客戶(hù)端簽名者的確擁有簽名證書(shū)，通過(guò)對簽名證書(shū)的驗證，可以判斷客戶(hù)端證書(shū)持有者的身份。

本站僅提供存儲服務(wù)，所有內容均由用戶(hù)發(fā)布，如發(fā)現有害或侵權內容，請點(diǎn)擊舉報。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

身份認證和訪(fǎng)問(wèn)控制實(shí)現原理