精品文档---下载后可任意编辑网络平安:IIS5 中的平安认证系统绪论本文将讨论的内容是实现一个基于 Internet 的受保护应用程序,这 种保护是用 IIS5 提供的平安选项实现的,包括:平安的数据传输和完整性 客户端和效劳 器端的验证IIS 效劳器验证和数据保护X.509 协议 (IETF 标 准)是在 Internet 上使用的标准效劳器验证机制,IIS 当然也秉承了这个标准。这个协议是建立在一个验证权威 机构签署的证书根底上的。当客户要求效劳器的验证时,Web 效劳器就将其证书发送 给浏览器。假如能成功完成以下步骤,效劳器验证就算成功了:客户浏览器信任所提供证书的证 明机构的签署。 客户使用证明机构的公共关键字来翻开证书,然后验证证书内的公共名称与浏览器正 在指向的 URL 是否相匹配。 客户验证证书没有过期。最后浏览器可 能会检查 CRL(证书撤回列表),它的 URL 包含在证书内,看看证书是否在失效期之前被收回。假如客户端接受了效劳器的证书,那么就将开始平安 Sockets 层〔SSL〕协议的握手阶段,以 建立起受保护的数据传输。SSL 协议是一种基于会话〔session〕关键字的私用关键字算法。在握手阶段,客户向效劳器发送一个 session 关键字,这个关键字是用效劳器公共关键字加密 的。只有知道相应的私用关键字的效劳器才能对这个 session 关键字进行解密。当效劳器和客户平安地共享 session 关键字后,通讯就可以在希望的保护中进行了。基于证书的不对称加密法只 局限于在握手阶段使用,这是因为象 SSL 的对称算法在加密和解密数据方面比不对称算法要有效得多。请注意效劳器证明和数据加密是紧密联系的。从理论上说,不进行效劳器证明也能使用 SSL, 但是在实际中这种情况不会发生。以上所描述的证书和 SSL 通常指的是 S 协议。IIS 客户证明 平安选项精品文档---下载后可任意编辑IIS 客户证明的全部内容就是映射身份,这个映射身份通过 协议, 在点击一个 windows 域中身负责验证的 web 效劳器时发生的。根据 IIS 应用程序平安性的设置,为请求提供效劳 的 IIS 线程都会担当一个特定的身份,这样所有的访问检查,比方文件存取、ASP 脚本等等,都会参照这个线程 身份进行,而不是参照 IIS 的程序身份。这种身份可以应用在以下访问检查中:当请求 HTML 或 ASP 页面时,在 NTFS 驱动器上进行的文件系统访问检查。 在执行 ASP 脚本期...
