论文部分内容阅读
随着互连网的不断发展和普及,基于互联网的应用系统越来越多,互联网的安全性也越来越重要。由于因特网的广泛使用,从前那种松懈的面向网络的安全性实践已经不足以保证数据的安全。其结果是,“公钥基础结构”或 PKI 被证实不是加密数据的可靠系统,而且商业社会也已经注意到了这一点。SSL作为互联网上普遍使用的一种安全协议,可以为互联网通信提供安全保障。自从SSL成为工业标准以后,SSL在Internet上已得到长足的应用,除了如S/HTTP,S/MIME, SSL-Telnet,SSL-SMTP,SSL-POP3等常用的协议以外,人们在开发各种电子商务和电子政务系统时也是基于SSL,正是由于SSL的重要性,所以有必要对其进行分析。SSL协议主要是使用公开密钥体制(PKI)和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用Web Server方式。SSL的主要目标是为两个通信主体提供保密、可靠的通道。它是在Internet基础上提供的一种保证机密性的安全协议,它建立在可靠的传输层之上,与应用层的具体协议无关,加密算法、通信密钥的协商以及服务器的认证都是由SSL自动完成的。在SSL的连接建立之后,应用层不需要进行任何干预,通信中的所有数据都会被SSL自动加密。它为应用层协议提供了一个类似于TCP的接口,对应用层程序的开发者来说,它是完全透明的,可以利用SSL套接来代替传统的TCP套接。使用SSL后,HTTP协议称为HTTPS,LDAP称为LDAPS。SSL协议能够满足通信的数据安全需求,但是只能够实现初步的身份认证,要实现用户的权限控制必须在其应用层增加很多额外的工作,如访问控制列表(ACL)等。而PMI(Privilege Management Infrastructure )技术就是为了解决权限访问控制而产生的,可以很好的解决这一问题。授权管理基础设施PMI(Privilege Management Infrastructure)是国家信息安全基础设施(National Information Security Infrastructure,NISI)的一个重要组成部分,目标是向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简化具体应用系统的开发与维护。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权限生命周期的管理。属性证书的申请,签发,注销,验证流程对应着权限的申请,<WP=39>发放,撤消,使用和验证的过程。而且,使用属性证书进行权限管理方式使得权限的管理不必依赖某个具体的应用,而且利于权限的安全分布式应用。PMI技术属于PKI技术的扩展和延续,属性证书(Attribute Certificate)的标准是X509 V4,身份证书的标准是X509 V3,两种证书配合使用,可以形成一个完整的安全系统,解决目前网络应用所面临的各种安全问题。PKI证明用户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要公钥基础设施PKI为其提供身份认证。PMI实际提出了一个新的信息保护基础设施,能够与PKI和目录服务紧密地集成,并系统地建立起对认可用户的特定授权,对权限管理进行了系统的定义和描述,完整地提供了授权服务所需过程。建立在PKI基础上的PMI,以向用户和应用程序提供权限管理和授权服务为目标,主要负责向业务应用系统提供与应用相关的授权服务管理,提供用户身份到应用授权的映射功能,实现与实际应用处理模式相对应的、与具体应用系统开发和管理无关的访问控制机制,极大地简化应用中访问控制和权限管理系统的开发与维护,并减少管理的成本和复杂性。技术不断在提高,人们对技术的要求也不断的提高,传统的技术已经不能够适应新的市场需求了。SSL存在的问题已经开始制约它的发展,必须融入新的技术才能够获得新的活力,更好的为互联网应用提供服务。本文详细介绍了SSL技术,分析了SSL技术的缺陷,提出了使用PMI(Privilege Management Infrastructure )技术对其进行改进的方案。把属性证书(Attribute Certificate)的概念引入SSL协议中。在进行身份认证的同时也进行权限认证,使底层安全通信协议同时支持X509身份证书和属性证书。本文详细的介绍了如何用Java语言实现SSL协议,并对协议本身进行了改进。最终形成一套完整的、纯Java的SSL协议改进版,可以用于网络安全应用的开发。融入了权限管理的SSL协议,不仅可以用于WEB方式的服务,也适合其他基于网络提供服务的应用系统,尤其适合那些提供跨区域服务、用户量大的系统。而采用Java语言进行开发,正是因为考虑到目前的互联网应用大多数都是基于Java平台的,有利于这种技术的推广和应用。