謝躍偉

【摘要】 本文簡要介紹了WEB系統(tǒng)，對有關(guān)WEB系統(tǒng)的安全技術(shù)進行了分析，包括公鑰密碼體制、數(shù)字證書、SSL安全傳輸協(xié)議等，強調(diào)了PKI數(shù)字證書在WEB系統(tǒng)中應(yīng)用的重要性，并對其具體應(yīng)用方法進行了闡述，目的在于進一步提高WEB系統(tǒng)應(yīng)用的安全性。

【關(guān)鍵詞】 PKI數(shù)字證書 WEB系統(tǒng) 安全應(yīng)用

前言：隨著社會信息化水平的不斷提升，以政府為主的各項社會工作同樣對信息化技術(shù)進行了應(yīng)用，由此而誕生的“電子政務(wù)”等，不僅提高了各領(lǐng)域的工作效率，同時也提高了信息的透明度。但需重視的是，在信息化辦公條件下，信息所面臨的風(fēng)險進一步增加，加強對信息的保護，成為了政府及有關(guān)部門關(guān)注的重點問題。

一、WEB系統(tǒng)

WEB系統(tǒng)即各領(lǐng)域的內(nèi)部系統(tǒng)，在功能等方面，較傳統(tǒng)網(wǎng)站而言具有一定的優(yōu)勢，能夠有效支持各領(lǐng)域工作流程的完成，因此系統(tǒng)內(nèi)部所包含的信息相對全面，確保系統(tǒng)安全十分必要[1]。

二、有關(guān)安全技術(shù)分析

1、公鑰密碼體制。公鑰密碼體制，是確保數(shù)據(jù)安全的主要體制之一[2]。該體制要求在信息的傳輸過程中，通過加密與解密的方式，提高信息的安全性。如何交換密鑰，是采用該體制保護信息安全的過程中，需要考慮的重點問題。另外，隨著用戶量的不斷增加，密鑰的產(chǎn)生以及分配等難度，也會隨之加大，在保護信息安全方面，效率較低，且存在較大的安全漏洞，因此不提倡采用上述方法保護信息安全。

2、數(shù)字簽名。數(shù)字簽名在公鑰密碼體制的基礎(chǔ)上產(chǎn)生，要求將哈希算法作為數(shù)據(jù)加密的主要算法，發(fā)送方可通過自行設(shè)計密鑰的方法，對數(shù)據(jù)進行加密，進而形成數(shù)字簽名，省略了公鑰密碼體制下對密鑰的分配這一步驟，提高了加密效率。在接收方接收到信息之后，可以利用自己的密鑰解密，之后同樣利用哈希算法，將信息讀取。采用該方法保護數(shù)據(jù)，能夠使數(shù)據(jù)信息篡改時，被及時發(fā)現(xiàn)，可有效提高數(shù)據(jù)與信息傳輸?shù)陌踩浴?/p>

3、SSL安全傳輸協(xié)議。SSL協(xié)議是安全傳輸協(xié)議的一種，目前應(yīng)用較為廣泛[3]。該協(xié)議要求在采用數(shù)字證書的基礎(chǔ)上，在客戶端與服務(wù)器之間，建立安全通道，只有經(jīng)過授權(quán)的合法用戶，才能對信息進行提取和使用，在很大程度上降低了信息泄漏的幾率。SSL即安全套接層，可與應(yīng)用協(xié)議獨立使用，優(yōu)勢在于能夠在通信之前便完成加密，同時能夠?qū)崿F(xiàn)對表單內(nèi)容等的完全保密，是提高數(shù)據(jù)安全性的主要手段。

4、數(shù)字證書。數(shù)字證書一般由版本號、序列號、有效期、用戶公鑰等多項內(nèi)容所構(gòu)成，是SSL安全傳輸協(xié)議形成的基礎(chǔ)，通常由具有較高可信度的機構(gòu)，掌握有關(guān)文件及數(shù)據(jù)結(jié)構(gòu)。數(shù)字證書中往往包含著全面的公鑰信息，包含證書持有者的信息。上述信息需經(jīng)過第三方公正，以保證具有準確性。

三、PKI數(shù)字證書在WEB系統(tǒng)中的安全應(yīng)用

3.1 算法的擴充

從理論上講，SSL安全傳輸協(xié)議中所包含的加密算法最為全面，但需要注意的是，為進一步提高系統(tǒng)的安全性，對相應(yīng)算法進行擴充很有必要[4]。為達到上述目的，可在算法中，加入進國內(nèi)具有自主知識產(chǎn)權(quán)的算法，同時將用戶證書等，存放到IC卡存儲空間中，確保其安全。在WINDOWS中，Crypto API函數(shù)的應(yīng)用，能夠為開發(fā)者提供較為全面的加密接口，開發(fā)者可以通過對加密接口的使用，完成對數(shù)據(jù)的加密與解密過程，另外可實現(xiàn)對證書的編碼與解碼。Crypto API函數(shù)要求以CSP作為加密操作的基礎(chǔ)來完成加密，具體算法的擴充過程，可采用自行開發(fā)的CSP，對WINDOWS中原有的CSP進行替代，而提高系統(tǒng)的安全性。

3.2 PKI數(shù)字證書在WEB系統(tǒng)中的安全應(yīng)用

可采用以下方法，將PKI數(shù)字證書應(yīng)用到WEB系統(tǒng)中，實現(xiàn)對系統(tǒng)的改造：（1）可通過修改身份認證以及訪問控制代碼的方法，完成WEB的改造過程，提高內(nèi)部網(wǎng)絡(luò)的安全性。身份認證的修改等環(huán)節(jié)，可在源程序中直接執(zhí)行與操作。（2）可根據(jù)WEB服務(wù)器的不同，分別設(shè)計不同的插件，以確保插件與WEB服務(wù)器具有適應(yīng)性。（3）可通過改變用戶與服務(wù)器之間的認證關(guān)系的方法，實現(xiàn)對系統(tǒng)的保護?？稍趦烧咧g建立訪問控制網(wǎng)關(guān)服務(wù)器，在用戶向系統(tǒng)提出訪問請求之后，相應(yīng)請求信息會被系統(tǒng)自行處理，如允許訪問，則可直接將訪問轉(zhuǎn)發(fā)到應(yīng)用服務(wù)其當(dāng)中。在上述三種方法中，根據(jù)WEB服務(wù)器設(shè)計插件的方法具有較高的可行性。通過對PKI數(shù)據(jù)證書的應(yīng)用，可以順利的完成用戶的身份認證過程，同時，系統(tǒng)還可通過對API接口的調(diào)用，獲取用戶的權(quán)限信息，進而解決用戶使用不同系統(tǒng)時重復(fù)登錄的問題，提高登錄以及系統(tǒng)使用的便利性，實際應(yīng)用價值較高。

結(jié)論：綜上所述，可將PKI數(shù)字證書應(yīng)用到WEB系統(tǒng)當(dāng)中，實現(xiàn)對用戶登錄過程的控制，提高WEB系統(tǒng)的安全性，確保系統(tǒng)中的信息不丟失，減輕木馬、病毒傳播、遠程控制等非法手段對系統(tǒng)的攻擊，使系統(tǒng)可正常運行。

參 考 文 獻

[1]謝杰濤，吳敏，吳娟，史睿冰. Web系統(tǒng)高性能本地數(shù)據(jù)緩存實現(xiàn)機制[J]. 計算機應(yīng)用研究，2014，07：2074-2077.

[2]胡振碧，黃翔，張文博，陳宇行，張竹綠. 面向PaaS的Web系統(tǒng)動態(tài)性能建模工具的設(shè)計實現(xiàn)[J]. 計算機工程與設(shè)計，2013，01：151-158.

[3]朱養(yǎng)鵬. 基于Ajax的通用Web系統(tǒng)權(quán)限管理的設(shè)計與實現(xiàn)[J]. 西安石油大學(xué)學(xué)報（自然科學(xué)版），2011，05：98-102+119.

[4]王飛，劉超. 基于日志的Web系統(tǒng)互操作測試用例擴充方法[J]. 計算機科學(xué)與探索，2015，07：803-811.