中文摘要

 

本文在阐述数字证书研究背景、实现原理和应用、数字证书与网络安全的基础上，基于PKI/PMI数字证书技术，分析了PKI/PMI技术的理论需求和工作原理，及在Web中对身份认证和权限访问控制的实现。通过一个在公安网中运用的实例来分析基于PKI/PMI的数字证书在具体Web应用中安全访问控制的实现方法。最后，通过Windows Server 2003 提供的CA服务组建了一个数字证书系统，以实例方式实现和分析数字证书系统的组建和证书的申请、颁发、应用、管理等过程。

 

关键词：网络安全  数字证书   PKI/PMI技术目  次

1  引言 1
1.1　数字证书的研究背景 1
1.2  数字证书的实现原理和应用 1
2　数字证书与网络安全 2
2.1　网络安全现状 2
2.2  数字证书与网上用户身份识别 3
2.2.1　网上用户身份识别的难点——HTTP协议的无状态性 4
2.2.2  网上用户身份识别的解决方案 4
2.3　数字证书与数据传输安全 5
2.3.1　传统网络数据访问和传输中存在的问题 5
2.3.2  数据传输安全性的解决方案 6
2.4　数字证书在公安网中的应用 7
3　基于PKI/PMI的数字证书应用 8
3.1　PKI技术 9
3.2　PKI/PMI技术理论需求 9
3.3　基于PKI/PMI数字证书的工作原理 10
3.4　基于PKI/PMI数字证书的Web实现 12
3.5　公安系统中PKI/PMI体系的应用 13
3.5.1  公安网现状需求和解决方案 13
3.5.2　基于PKI/PMI的Web多域单点登陆在公安网中的模式 14
3.5.3　公安网多域单点登陆模式的分析 16
4　Windows Server 2003数字证书系统的组建和应用 16
4.1　企业根CA的安装及其数字证书应用 16
4.1.1  CA安装和数字证书应用的环境 17
4.1.2　企业根CA的安装 19
4.1.3　域用户向企业CA申请证书 21
4.1.4　企业根CA数字证书应用实例----邮件加密和签名 24
4.2　企业从属CA 29
4.3　独立根CA与独立从属CA 31
结 论 32
致 谢 33
参考文献 34

 

1  引言

1.1　数字证书的研究背景

随着Internet技术的迅速发展，人们生活越来越多地依赖于网络，网上购物服务使顾客能够足不出户方便轻松地挑选和购买商品，网上银行业务使客户能够便捷地进行网上转账和网上支付等业务。这些互联网电子商务技术在给人们带来了便利快捷生活条件的同时，也带来了对某些敏感有价值数据泄漏和被盗用的风险。为了保证互联网上交易及支付的安全性，这就需要更好的网络安全策略来确保网络的安全。

数字证书就是一种能够保障网络通信和信息传输安全的技术，它不仅能够完成用户的身份验证，而且还能实现网络通信安全。数字证书是由证书认证中心签发申明，用来标识和证明网络通信双方身份的数字信息文件，作用类似个人或者单位在网上交易的身份证，确保网络通信的安全。

数字证书在网络安全中发挥了重要的作用。能够保护信息在存储和传输过程中的机密性，防止未授权者访问；还能保证数据传输过程中的完整性，确保收到的信息是最初的原始数据，而没有被第三方篡改或伪造；同时身份认证也能够在交易中先确认对方的身份，以防止敏感信息的泄漏；数字证书还能保证发送的信息是发送方确认的信息，并且日后发送方对此信息也不可否认。因此，数字证书在确保网络信息的保密，数据传输的安全和交易双方的真实性中发挥了重要的作用，具有广泛的应用前景。

1.2  数字证书的实现原理和应用

数字证书技术类似传统大使馆颁发、登记公民签证的方式，由大家所信任的公正第三者或认证机构（CA）以数字签名技术，将每一个用户的公钥和个人的身份数据签署成电子证书。当用户收到他人的证书之后，可以使用CA的公钥验证所获得证书的正确性，确信此证书内所含的公开密钥、身份数据及其他相关内容确实是证书上声称的主体（持证人），而不是其他主体用户。如此可将用户身份与用户的公钥紧密地结合在一起，让攻击者无法伪冒他人，传送假的公钥欺骗其他网络用户。数字证书利用公正第三者帮助认证用户公钥的方式，可以将用户必须认证网络上每一个用户公钥的问题，缩减到只需要认证用户所信任的公正第三方的公钥正确性的问题，大大增加了公开密钥的实用性。

参考文献

 

[1]冯登国.国内外信息安全发展现状和趋势[J].网络安全技术与应用.2001，1.

[2]聂元名，丘平.网络信息安全技术[M].科学出版社.2001.

[3]谭丽娟，陈运.网络安全策略研究.信息安全与通信秘密，2003.

[4]Pawlak Z.Rough Sets.International Journal of Computer and information Science[J],1996，11(5)：341-356.

[5] Entrust XML Strategy for Authorization.http://www.entrust.com.

[6]刘少辉，盛秋戬，吴斌.Rough集高效算法的研究[J].计算机学报，2003；26(5)：524-529.

[7]杨义先.公钥基础设施及数字证书技术[J].世界电信，2001，(8)：13-15.

[8]宁宇鹏.PKI技术[M].北京：机械工业出版社，2004.

[9]胡喜玲.基于角色证书和角色的PMI[J].微计算机应用，2004，(3)：308-301.

[10]王薇，张红旗，张斌.基于PKI/PMI多域单点登陆技术的研究[J].微计算机信息，2006，22（7-3）：150-153.

[11]李小平，阎光伟，王轩峰.基于公开密钥基础设施的单点登录系统的设计[J].北京理工大学学报,2002，22(2):209-213.

[12]夏思洵，董传良.基于证书的信息门户单一登录[J].计算机应用与软件，2004，(4)：96-98.

[13]张秋余，梁爽，王利娜. PKI的发展及问题分析[J]. 信息安全，2006.

[14]吴鹏，王晓，苏新宁. 基于PKI/PMI的Web应用安全解决方案[J]. 计算机工程与应用，2006.06.

[15]关振胜.公钥基础设施PKI与认证机构CA[M].电子工业出版社.2002.

[16]王群.数字证书与网络安全[M].清华大学出版社.2006.