网络安全:IIS5中的安全认证系统绪论本文将讨论的内容是实现一个基于Internet的受保护应用程序,这种保护是用IIS5提供的安全选项实现的,包括:安全的数据传输和完整性客户端和服务器端的验证IIS服务器验证和数据保护X.509协议(IETF标准)是在Internet上使用的标准服务器验证机制,IIS当然也秉承了这个标准。这个协议是建立在一个验证权威机构签署的证书基础上的。当客户要求服务器的验证时,Web服务器就将其证书发送给浏览器。如果能成功完成以下步骤,服务器验证就算成功了:客户浏览器信任所提供证书的证明机构的签署。客户使用证明机构的公共关键字来打开证书,然后验证证书内的公共名称与浏览器正在指向的URL是否相匹配。客户验证证书没有过期。最后浏览器可能会检查CRL(证书撤回列表),它的URL包含在证书内,看看证书是否在失效期之前被收回。如果客户端接受了服务器的证书,那么就将开始安全Sockets层(SSL)协议的握手阶段,以建立起受保护的数据传输。SSL协议是一种基于会话(session)关键字的私用关键字算法。在握手阶段,客户向服务器发送一个session关键字,这个关键字是用服务器公共关键字加密的。只有知道相应的私用关键字的服务器才能对这个session关键字进行解密。当服务器和客户安全地共享session关键字后,通讯就可以在希望的保护中进行了。基于证书的不对称加密法只局限于在握手阶段使用,这是因为象SSL的对称算法在加密和解密数据方面比不对称算法要有效得多。请注意服务器证明和数据加密是紧密联系的。从理论上说,不进行服务器证明也能使用SSL,但是在实际中这种情况不会发生。以上所描述的证书和SSL通常指的是HTTPS协议。IIS客户证明安全选项IIS客户证明的全部内容就是映射身份,这个映射身份通过HTTP协议,在点击一个windows域中身负责验证的web服务器时发生的。根据IIS应用程序安全性的设置,为请求提供服务的IIS线程都会担当一个特定的身份,这样所有的访问检查,比如文件存取、ASP脚本等等,都会参照这个线程身份进行,而不是参照IIS的程序身份。这种身份可以应用在以下访问检查中:当请求HTML或ASP页面时,在NTFS驱动器上进行的文件系统访问检查。在执行ASP脚本期间所要求的访问检查。对标准和配置过的COM+组件的激活和访问检查。对配置的COM+组件应用基于角色的安全。使用Windows综合安全与SQL服务器相连接时,在ASP脚本内执行的数据库访问。你可以为IIS应用程序定义下面5种可能的安全设置以提供客户证明:Anonymous(匿名):所有的请求都被映射到一个唯一域用户。默认的用户是IUSR_,如果愿意也可以改变。Basic(基本):当你请求一个位于虚拟目录下、要求基本证明的资源时(HTML或ASP页面),浏览器会提示你输入用户名和口令。IIS挑选出来完成这个请求的线程会用客户输入的信息试着登录到虚拟目录设置中定义的域上,这不一定是IIS服务器注册的那个。这个安全机制在IE和Netscape中能工作,但是有一个很大的缺点:用户口令是用明码发送的。通常这个问题是通过要求HTTPS通讯来解决的。使用HTTPS这种方法,整个的通讯,包括口令,都是加密发送的。可以对IIS线程进行配置,以执行对域的不同类型的登录。就是说,你可以指示IIS调用交互性LogonUser(默认值)、批登录或网络登录。Digest(在IIS4下不可用):这是基于一个挑战响应机制上的新标准安全协议,只在IE5和IIS5上支持。Digest证明不太吸引人,因为Web服务器必须要位于PDC上才能工作。SPNEGO:这个Microsoft私有的证明协议在http上执行一个标准登录会话,就象你按ALT+CTRL+DEL一样,被要求输入一个用户名、一个口令以及域名。实际使用的协议要由NTLM和Kerberos进行协商。使用Kerberos的情况是在Windows2000计算机上运行IE5浏览器和在一个Windows2000域中注册的计算机上的运行IIS5Web服务器。综合证明只在IE中支持,并且通过代理是不能工作的,因此它只能用在Intranet环境。客户证书映射:配置一个虚拟目录在HTTPS连接上运行,你就可以通过客户证书指示IIS要求客户证明。如果这样做了,那么当用户连接到虚拟目录时,会被要求提供一个证书,然后...
VIP
