基于認證的Web安全及實現

李劍勇

摘 要：在網絡服務中，Web服務是應用較廣的典型服務之一。由于Web服務的數據在傳輸過程中是明文傳輸，如果數據在傳輸過程中被截獲，其危險是相當大的，特別是在電子商務活動中，數據可能包含用戶的銀行卡號、密碼等，其危害性是不言而喻的。而認證服務會將傳輸數據進行加密傳輸，因此即使數據被截獲，攻擊者也無法獲取用戶數據信息，保護了數據的安全。文章就擬介紹基于Windows 2008 Server的Web服務及認證服務的闡述與配置，以提高Web服務的安全性。

關鍵詞：Web；認證；安全；實現

中圖分類號：TP393 文獻標識碼：A

Abstract： In the network service， Web service is one of the typical services that are widely applied. Because the data of Web service is not encrypted during the transmission process， if the data is intercepted during the transmission process， the risk is quite large， especially in the e-commerce activities， the data may contain the user's bank card number， password and so on， its harmfulness is self-evident. The authentication service encrypts the transmission data， so even if the data is intercepted， the attacker can not get the user's data information and protect the security of the data. This paper introduces the description and configuration of Web services and authentication services based on Windows 2008 Server to improve the security of Web services.

Key words： web； authentication； security； realization

1 引言

隨著網絡在現實生活中的日益普及，越來越多的企事業單位擁有了自己的網站以發布相關信息，極大地方便了用戶對相關信息的獲取。就網絡管理而言，就是提供了Web服務。但是在Web服務的數據通信原理中，數據通信過程是明文傳輸的過程，表現在網站的協議就是HTTP。數據在傳輸過程中一旦被截獲，那么數據是沒有安全性可言的。特別是對于電子商務網站而言，用戶傳輸數據有可能包含用戶的銀行卡號、密碼等，因此其數據一旦被截獲，給用戶造成的損失是不言而喻的，這也是為什么電子商務網站、金融網站使用HTTPS協議的原因。HTTPS協議就是在HTTP協議基礎上增加了安全認證，使得數據在傳輸過程中使用的是加密傳輸，這樣即使數據被截獲，攻擊者也無法獲取用戶的數據，從而保護了數據的安全。

2 Web服務和認證Web服務的基本原理

2.1 基本Web服務流程

一臺普通Web服務器與客戶端PC通信過程如圖1所示，當PC對Web服務器提出訪問請求，通過DNS域名解析后，服務器就可以對PC作出回應。

2.2 帶認證的Web服務流程

當客戶端PC訪問Web服務器時，其數據中需要帶有與認證服務公鑰相匹配的私鑰。Web服務器接收到訪問數據時需要與認證服務器中的公鑰相匹配，只有在密鑰體系檢查通過的情況下才將數據以加密的方式傳輸給客戶端PC。因此保護了數據傳輸的安全，其基本流程如圖2所示，表現在外觀上就是網站的協議是HTTPS。

通過使用帶認證的Web服務，使得只有通過認證的客戶端才能訪問服務器，保護了服務器的安全；同時也保證客戶端訪問的是真正的服務器而不是仿冒的釣魚網站，保護了客戶端的安全。

3 基本Web服務和DNS服務的配置

配置基于Windows 2008 Server進行。

Web服務和DNS服務的配置屬于網絡管理中經常會用到的內容，在本文中不進行詳細配置過程的介紹，請讀者參見其他文章。

4 認證服務器配置

4.1 域控服務器的安裝

由于認證服務器需要運行在域控服務器基礎上，因此首先需要將服務器的角色升級為域控服務器。在“運行”中輸入“dcpromo”執行域控服務器的安裝，如圖3所示。一般情況下，域控服務器的安裝根據向導執行即可，本文不再贅述。

4.2 證書服務的安裝

在“服務器管理器”中點擊“添加角色”，選擇“Active Directory證書服務”，如圖4所示。

證書的頒發可以有兩種形式，一是直接購買國際證書機構的證書，這些證書一般包含在Windows系統的自帶證書庫中，這樣當Windows客戶端訪問服務器時就可以直接得到認證；二是企業服務器自己頒發證書，但是這些證書由于不在Windows系統的自帶證書庫中，需要服務器給客戶端分發證書，這樣做的好處就是不需要購買國際證書機構的證書，對于一些中小企業而言可以節約購買證書的費用。本文的證書服務以第二種方式進行，將服務角色定為“證書頒發機構”和“證書頒發機構Web注冊”。在選擇密鑰長度時根據需要來定，一般而言，長度越長，密碼越安全，但需要系統更多的資源。

設定各種證書服務參數后，系統進行證書服務的安裝。安裝完成后檢驗證書服務是否能夠正常使用，如圖5所示。

4.3 證書的建立

在Web服務器的“IIS管理器”中進入“服務器證書”，再選擇“創建證書申請”，如圖6所示。 根據證書申請的向導，完成證書申請。

4.4 安全Web的創建

在Web網站中，編輯綁定類型設置為“https”，SSL證書選擇剛才創建的證書名稱，如圖7所示。

由于證書是服務器自行創建的，不在Windows Server的證書庫，因此在客戶端瀏覽器中輸入使用https協議的網站時會出現警告，如圖8所示。如果選擇“繼續瀏覽此網站”，也可以訪問網站，如圖9所示。

4.5 證書的分發

出現如圖9所示的證書警告的原因是這個證書是我們自己創建的，不在Windows系統證書庫里，沒有經過認證機構的認證，因此需要將自行創建的證書分發給客戶端。依次選擇服務器瀏覽器的“工具”“內容”“安全”“證書”，將建立的證書進行“導出”，如圖10所示。

將服務器中導出的證書通過一定的方式交給客戶端（如銀行的U盾），在客戶端的瀏覽器“內容”“證書”中進行“導入”，如圖11所示。當然，一般情況下普通用戶不會使用這種方法，是通過程序執行的。

在客戶端電腦執行證書導入工作后，客戶端瀏覽器再次執行對服務器的HTTPS訪問時就能夠正常訪問了，如圖12所示。在通過HTTPS方式訪問服務器時，客戶端與服務器之間的信息傳輸是加密傳輸，保證了數據傳輸的安全。

5 結束語

Web服務作為應用最廣泛的服務，所受到的網絡安全攻擊也是最多的，如何保護Web服務的安全，使用加密傳輸數據是其中的手段之一。加密傳輸數據的協議從HTTP變為HTTPS，不僅使得數據在傳輸過程中是加密傳輸，即使攻擊者攻擊成功也不能解密數據，保護數據的安全，而且由于加密傳輸使用的是非對稱密鑰，使得服務端和客戶端能夠相互驗證身份，也能夠實現信息安全中的抵賴性要求，滿足電子商務交易的要求。本文就目前企業服務器中使用較多的Windows Server2008系統進行了證書服務的研究，并講述了實際的配置工程，希望能夠給使用Web服務的網站管理者一些提示，共同維護好網絡的安全。

參考文獻

[1] 劉遠生.網絡安全實用教程[M].北京：人民郵電出版社，2011，4.

[2] 王闖，呂堯.我國網站可信認證的實現路徑研究[J].網絡空間安全，2013年10期.

[3] 宋芹芹，趙薇.基于證書的電子郵件系統的實現[J].網絡空間安全，2017年Z2期.

作者簡介：

李劍勇（1969-），男，山西農業大學信息學院，副教授；主要研究方向和關注領域：網絡安全與管理。