李劍勇

摘 要：在網(wǎng)絡(luò)服務(wù)中，Web服務(wù)是應(yīng)用較廣的典型服務(wù)之一。由于Web服務(wù)的數(shù)據(jù)在傳輸過程中是明文傳輸，如果數(shù)據(jù)在傳輸過程中被截獲，其危險是相當(dāng)大的，特別是在電子商務(wù)活動中，數(shù)據(jù)可能包含用戶的銀行卡號、密碼等，其危害性是不言而喻的。而認(rèn)證服務(wù)會將傳輸數(shù)據(jù)進行加密傳輸，因此即使數(shù)據(jù)被截獲，攻擊者也無法獲取用戶數(shù)據(jù)信息，保護了數(shù)據(jù)的安全。文章就擬介紹基于Windows 2008 Server的Web服務(wù)及認(rèn)證服務(wù)的闡述與配置，以提高Web服務(wù)的安全性。

關(guān)鍵詞：Web；認(rèn)證；安全；實現(xiàn)

中圖分類號：TP393 文獻標(biāo)識碼：A

Abstract： In the network service， Web service is one of the typical services that are widely applied. Because the data of Web service is not encrypted during the transmission process， if the data is intercepted during the transmission process， the risk is quite large， especially in the e-commerce activities， the data may contain the user's bank card number， password and so on， its harmfulness is self-evident. The authentication service encrypts the transmission data， so even if the data is intercepted， the attacker can not get the user's data information and protect the security of the data. This paper introduces the description and configuration of Web services and authentication services based on Windows 2008 Server to improve the security of Web services.

Key words： web； authentication； security； realization

1 引言

隨著網(wǎng)絡(luò)在現(xiàn)實生活中的日益普及，越來越多的企事業(yè)單位擁有了自己的網(wǎng)站以發(fā)布相關(guān)信息，極大地方便了用戶對相關(guān)信息的獲取。就網(wǎng)絡(luò)管理而言，就是提供了Web服務(wù)。但是在Web服務(wù)的數(shù)據(jù)通信原理中，數(shù)據(jù)通信過程是明文傳輸?shù)倪^程，表現(xiàn)在網(wǎng)站的協(xié)議就是HTTP。數(shù)據(jù)在傳輸過程中一旦被截獲，那么數(shù)據(jù)是沒有安全性可言的。特別是對于電子商務(wù)網(wǎng)站而言，用戶傳輸數(shù)據(jù)有可能包含用戶的銀行卡號、密碼等，因此其數(shù)據(jù)一旦被截獲，給用戶造成的損失是不言而喻的，這也是為什么電子商務(wù)網(wǎng)站、金融網(wǎng)站使用HTTPS協(xié)議的原因。HTTPS協(xié)議就是在HTTP協(xié)議基礎(chǔ)上增加了安全認(rèn)證，使得數(shù)據(jù)在傳輸過程中使用的是加密傳輸，這樣即使數(shù)據(jù)被截獲，攻擊者也無法獲取用戶的數(shù)據(jù)，從而保護了數(shù)據(jù)的安全。

2 Web服務(wù)和認(rèn)證Web服務(wù)的基本原理

2.1 基本W(wǎng)eb服務(wù)流程

一臺普通Web服務(wù)器與客戶端PC通信過程如圖1所示，當(dāng)PC對Web服務(wù)器提出訪問請求，通過DNS域名解析后，服務(wù)器就可以對PC作出回應(yīng)。

2.2 帶認(rèn)證的Web服務(wù)流程

當(dāng)客戶端PC訪問Web服務(wù)器時，其數(shù)據(jù)中需要帶有與認(rèn)證服務(wù)公鑰相匹配的私鑰。Web服務(wù)器接收到訪問數(shù)據(jù)時需要與認(rèn)證服務(wù)器中的公鑰相匹配，只有在密鑰體系檢查通過的情況下才將數(shù)據(jù)以加密的方式傳輸給客戶端PC。因此保護了數(shù)據(jù)傳輸?shù)陌踩?，其基本流程如圖2所示，表現(xiàn)在外觀上就是網(wǎng)站的協(xié)議是HTTPS。

通過使用帶認(rèn)證的Web服務(wù)，使得只有通過認(rèn)證的客戶端才能訪問服務(wù)器，保護了服務(wù)器的安全；同時也保證客戶端訪問的是真正的服務(wù)器而不是仿冒的釣魚網(wǎng)站，保護了客戶端的安全。

3 基本W(wǎng)eb服務(wù)和DNS服務(wù)的配置

配置基于Windows 2008 Server進行。

Web服務(wù)和DNS服務(wù)的配置屬于網(wǎng)絡(luò)管理中經(jīng)常會用到的內(nèi)容，在本文中不進行詳細(xì)配置過程的介紹，請讀者參見其他文章。

4 認(rèn)證服務(wù)器配置

4.1 域控服務(wù)器的安裝

由于認(rèn)證服務(wù)器需要運行在域控服務(wù)器基礎(chǔ)上，因此首先需要將服務(wù)器的角色升級為域控服務(wù)器。在“運行”中輸入“dcpromo”執(zhí)行域控服務(wù)器的安裝，如圖3所示。一般情況下，域控服務(wù)器的安裝根據(jù)向?qū)?zhí)行即可，本文不再贅述。

4.2 證書服務(wù)的安裝

在“服務(wù)器管理器”中點擊“添加角色”，選擇“Active Directory證書服務(wù)”，如圖4所示。

證書的頒發(fā)可以有兩種形式，一是直接購買國際證書機構(gòu)的證書，這些證書一般包含在Windows系統(tǒng)的自帶證書庫中，這樣當(dāng)Windows客戶端訪問服務(wù)器時就可以直接得到認(rèn)證；二是企業(yè)服務(wù)器自己頒發(fā)證書，但是這些證書由于不在Windows系統(tǒng)的自帶證書庫中，需要服務(wù)器給客戶端分發(fā)證書，這樣做的好處就是不需要購買國際證書機構(gòu)的證書，對于一些中小企業(yè)而言可以節(jié)約購買證書的費用。本文的證書服務(wù)以第二種方式進行，將服務(wù)角色定為“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web注冊”。在選擇密鑰長度時根據(jù)需要來定，一般而言，長度越長，密碼越安全，但需要系統(tǒng)更多的資源。

設(shè)定各種證書服務(wù)參數(shù)后，系統(tǒng)進行證書服務(wù)的安裝。安裝完成后檢驗證書服務(wù)是否能夠正常使用，如圖5所示。

4.3 證書的建立

在Web服務(wù)器的“IIS管理器”中進入“服務(wù)器證書”，再選擇“創(chuàng)建證書申請”，如圖6所示。 根據(jù)證書申請的向?qū)?，完成證書申請。

4.4 安全Web的創(chuàng)建

在Web網(wǎng)站中，編輯綁定類型設(shè)置為“https”，SSL證書選擇剛才創(chuàng)建的證書名稱，如圖7所示。

由于證書是服務(wù)器自行創(chuàng)建的，不在Windows Server的證書庫，因此在客戶端瀏覽器中輸入使用https協(xié)議的網(wǎng)站時會出現(xiàn)警告，如圖8所示。如果選擇“繼續(xù)瀏覽此網(wǎng)站”，也可以訪問網(wǎng)站，如圖9所示。

4.5 證書的分發(fā)

出現(xiàn)如圖9所示的證書警告的原因是這個證書是我們自己創(chuàng)建的，不在Windows系統(tǒng)證書庫里，沒有經(jīng)過認(rèn)證機構(gòu)的認(rèn)證，因此需要將自行創(chuàng)建的證書分發(fā)給客戶端。依次選擇服務(wù)器瀏覽器的“工具”“內(nèi)容”“安全”“證書”，將建立的證書進行“導(dǎo)出”，如圖10所示。

將服務(wù)器中導(dǎo)出的證書通過一定的方式交給客戶端（如銀行的U盾），在客戶端的瀏覽器“內(nèi)容”“證書”中進行“導(dǎo)入”，如圖11所示。當(dāng)然，一般情況下普通用戶不會使用這種方法，是通過程序執(zhí)行的。

在客戶端電腦執(zhí)行證書導(dǎo)入工作后，客戶端瀏覽器再次執(zhí)行對服務(wù)器的HTTPS訪問時就能夠正常訪問了，如圖12所示。在通過HTTPS方式訪問服務(wù)器時，客戶端與服務(wù)器之間的信息傳輸是加密傳輸，保證了數(shù)據(jù)傳輸?shù)陌踩?/p>

5 結(jié)束語

Web服務(wù)作為應(yīng)用最廣泛的服務(wù)，所受到的網(wǎng)絡(luò)安全攻擊也是最多的，如何保護Web服務(wù)的安全，使用加密傳輸數(shù)據(jù)是其中的手段之一。加密傳輸數(shù)據(jù)的協(xié)議從HTTP變?yōu)镠TTPS，不僅使得數(shù)據(jù)在傳輸過程中是加密傳輸，即使攻擊者攻擊成功也不能解密數(shù)據(jù)，保護數(shù)據(jù)的安全，而且由于加密傳輸使用的是非對稱密鑰，使得服務(wù)端和客戶端能夠相互驗證身份，也能夠?qū)崿F(xiàn)信息安全中的抵賴性要求，滿足電子商務(wù)交易的要求。本文就目前企業(yè)服務(wù)器中使用較多的Windows Server2008系統(tǒng)進行了證書服務(wù)的研究，并講述了實際的配置工程，希望能夠給使用Web服務(wù)的網(wǎng)站管理者一些提示，共同維護好網(wǎng)絡(luò)的安全。

參考文獻

[1] 劉遠(yuǎn)生.網(wǎng)絡(luò)安全實用教程[M].北京：人民郵電出版社，2011，4.

[2] 王闖，呂堯.我國網(wǎng)站可信認(rèn)證的實現(xiàn)路徑研究[J].網(wǎng)絡(luò)空間安全，2013年10期.

[3] 宋芹芹，趙薇.基于證書的電子郵件系統(tǒng)的實現(xiàn)[J].網(wǎng)絡(luò)空間安全，2017年Z2期.

作者簡介：

李劍勇（1969-），男，山西農(nóng)業(yè)大學(xué)信息學(xué)院，副教授；主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全與管理。