淺談PKI數字證書在WEB系統中的安全應用

謝躍偉

【摘要】 本文簡要介紹了WEB系統，對有關WEB系統的安全技術進行了分析，包括公鑰密碼體制、數字證書、SSL安全傳輸協議等，強調了PKI數字證書在WEB系統中應用的重要性，并對其具體應用方法進行了闡述，目的在于進一步提高WEB系統應用的安全性。

【關鍵詞】 PKI數字證書 WEB系統 安全應用

前言：隨著社會信息化水平的不斷提升，以政府為主的各項社會工作同樣對信息化技術進行了應用，由此而誕生的“電子政務”等，不僅提高了各領域的工作效率，同時也提高了信息的透明度。但需重視的是，在信息化辦公條件下，信息所面臨的風險進一步增加，加強對信息的保護，成為了政府及有關部門關注的重點問題。

一、WEB系統

WEB系統即各領域的內部系統，在功能等方面，較傳統網站而言具有一定的優勢，能夠有效支持各領域工作流程的完成，因此系統內部所包含的信息相對全面，確保系統安全十分必要[1]。

二、有關安全技術分析

1、公鑰密碼體制。公鑰密碼體制，是確保數據安全的主要體制之一[2]。該體制要求在信息的傳輸過程中，通過加密與解密的方式，提高信息的安全性。如何交換密鑰，是采用該體制保護信息安全的過程中，需要考慮的重點問題。另外，隨著用戶量的不斷增加，密鑰的產生以及分配等難度，也會隨之加大，在保護信息安全方面，效率較低，且存在較大的安全漏洞，因此不提倡采用上述方法保護信息安全。

2、數字簽名。數字簽名在公鑰密碼體制的基礎上產生，要求將哈希算法作為數據加密的主要算法，發送方可通過自行設計密鑰的方法，對數據進行加密，進而形成數字簽名，省略了公鑰密碼體制下對密鑰的分配這一步驟，提高了加密效率。在接收方接收到信息之后，可以利用自己的密鑰解密，之后同樣利用哈希算法，將信息讀取。采用該方法保護數據，能夠使數據信息篡改時，被及時發現，可有效提高數據與信息傳輸的安全性。

3、SSL安全傳輸協議。SSL協議是安全傳輸協議的一種，目前應用較為廣泛[3]。該協議要求在采用數字證書的基礎上，在客戶端與服務器之間，建立安全通道，只有經過授權的合法用戶，才能對信息進行提取和使用，在很大程度上降低了信息泄漏的幾率。SSL即安全套接層，可與應用協議獨立使用，優勢在于能夠在通信之前便完成加密，同時能夠實現對表單內容等的完全保密，是提高數據安全性的主要手段。

4、數字證書。數字證書一般由版本號、序列號、有效期、用戶公鑰等多項內容所構成，是SSL安全傳輸協議形成的基礎，通常由具有較高可信度的機構，掌握有關文件及數據結構。數字證書中往往包含著全面的公鑰信息，包含證書持有者的信息。上述信息需經過第三方公正，以保證具有準確性。

三、PKI數字證書在WEB系統中的安全應用

3.1 算法的擴充

從理論上講，SSL安全傳輸協議中所包含的加密算法最為全面，但需要注意的是，為進一步提高系統的安全性，對相應算法進行擴充很有必要[4]。為達到上述目的，可在算法中，加入進國內具有自主知識產權的算法，同時將用戶證書等，存放到IC卡存儲空間中，確保其安全。在WINDOWS中，Crypto API函數的應用，能夠為開發者提供較為全面的加密接口，開發者可以通過對加密接口的使用，完成對數據的加密與解密過程，另外可實現對證書的編碼與解碼。Crypto API函數要求以CSP作為加密操作的基礎來完成加密，具體算法的擴充過程，可采用自行開發的CSP，對WINDOWS中原有的CSP進行替代，而提高系統的安全性。

3.2 PKI數字證書在WEB系統中的安全應用

可采用以下方法，將PKI數字證書應用到WEB系統中，實現對系統的改造：（1）可通過修改身份認證以及訪問控制代碼的方法，完成WEB的改造過程，提高內部網絡的安全性。身份認證的修改等環節，可在源程序中直接執行與操作。（2）可根據WEB服務器的不同，分別設計不同的插件，以確保插件與WEB服務器具有適應性。（3）可通過改變用戶與服務器之間的認證關系的方法，實現對系統的保護。可在兩者之間建立訪問控制網關服務器，在用戶向系統提出訪問請求之后，相應請求信息會被系統自行處理，如允許訪問，則可直接將訪問轉發到應用服務其當中。在上述三種方法中，根據WEB服務器設計插件的方法具有較高的可行性。通過對PKI數據證書的應用，可以順利的完成用戶的身份認證過程，同時，系統還可通過對API接口的調用，獲取用戶的權限信息，進而解決用戶使用不同系統時重復登錄的問題，提高登錄以及系統使用的便利性，實際應用價值較高。

結論：綜上所述，可將PKI數字證書應用到WEB系統當中，實現對用戶登錄過程的控制，提高WEB系統的安全性，確保系統中的信息不丟失，減輕木馬、病毒傳播、遠程控制等非法手段對系統的攻擊，使系統可正常運行。

參 考 文 獻

[1]謝杰濤，吳敏，吳娟，史睿冰. Web系統高性能本地數據緩存實現機制[J]. 計算機應用研究，2014，07：2074-2077.

[2]胡振碧，黃翔，張文博，陳宇行，張竹綠. 面向PaaS的Web系統動態性能建模工具的設計實現[J]. 計算機工程與設計，2013，01：151-158.

[3]朱養鵬. 基于Ajax的通用Web系統權限管理的設計與實現[J]. 西安石油大學學報（自然科學版），2011，05：98-102+119.

[4]王飛，劉超. 基于日志的Web系統互操作測試用例擴充方法[J]. 計算機科學與探索，2015，07：803-811.