精品文档---下载后可任意编辑网络平安:IIS5 中的平安认证系统绪论本文将讨论的内容是实现一个基于 Internet 的受保护应用程序,这 种保护是用 IIS5 提供的平安选项实现的,包括:平安的数据传输和完整性 客户端和效劳 器端的验证IIS 效劳器验证和数据保护X
509 协议 (IETF 标 准)是在 Internet 上使用的标准效劳器验证机制,IIS 当然也秉承了这个标准
这个协议是建立在一个验证权威 机构签署的证书根底上的
当客户要求效劳器的验证时,Web 效劳器就将其证书发送 给浏览器
假如能成功完成以下步骤,效劳器验证就算成功了:客户浏览器信任所提供证书的证 明机构的签署
客户使用证明机构的公共关键字来翻开证书,然后验证证书内的公共名称与浏览器正 在指向的 URL 是否相匹配
客户验证证书没有过期
最后浏览器可 能会检查 CRL(证书撤回列表),它的 URL 包含在证书内,看看证书是否在失效期之前被收回
假如客户端接受了效劳器的证书,那么就将开始平安 Sockets 层〔SSL〕协议的握手阶段,以 建立起受保护的数据传输
SSL 协议是一种基于会话〔session〕关键字的私用关键字算法
在握手阶段,客户向效劳器发送一个 session 关键字,这个关键字是用效劳器公共关键字加密 的
只有知道相应的私用关键字的效劳器才能对这个 session 关键字进行解密
当效劳器和客户平安地共享 session 关键字后,通讯就可以在希望的保护中进行了
基于证书的不对称加密法只 局限于在握手阶段使用,这是因为象 SSL 的对称算法在加密和解密数据方面比不对称算法要有效得多
请注意效劳器证明和数据加密是紧密联系的
从理论上说,不进行效劳器证明也能使用 SSL, 但是在实际中这种情况不会发生
以上所描述的证书和 SSL 通常指的是 S 协
