在实际应用当中,实现web认证可能需要经过下列步骤。
1.如果需要保密性攴持,则安装和配置服务器,使它支持SSL
有些Weh务器可能不支持SSI,因此,可能需增加插件对Web报务器进行扩展,或者换一个新的Web服务器,才能文持SSL。例如, Apache服务器就有支持SSL的版本,它能和 Openssl成者是 Ssleay一起工作,提供对SSL的文持。也可能需要把支持SSL的版本实装在另外一台机系统上,这样把公开信息和保密信息分开。
2.创建SSL服务器证书和相关的请求,让CA给公开的SSL服务器密钥提供证书
一个具备SSL能力的Web务器会对浏览器和服务器之间交换的数据进行加密。这个
加密的数据本身不能保证连接的正确性。别人可以切入到连接中,并假冒你单位的web服务器,在连接建之后提供假信息。
验证web服务器的真实性,需要以合适的方式给所有的用户发送服务器的公开密钥,或者通过CA的验证,以证明这个公开密钥的确是属于这个Web报务器的。
最典型的方式是,Web浏览器包含一系列的CA,其中某个CA对web服务器的公开密钥进行签名,证明这个密钥是Web服务器的公开密钥。
3.配置web服务器,使它支持SsL和基本验证
假设已经Web服务器支持SSL,对在城务器和浏览器之问交换的数据进行加密,从而形成服务器和浏览器之间的安全通道,那么现在可以用基本认证对用户进行进一步的认证。用户名和口令将会以加密的形式在服务器和浏览器之间传送,这是可以根据用户的身份拒绝或名授权对某些资源的访问。
4.配置Weh服务器软件,使它支持SSL客户端认证
如果到用户名和口令机制不够健牡,可能要更加健壮的认证机制。
5.使用客户端认证要求每个用户都有由CA签名的客户端密钥。CA可以是你单位内部的机构或者受到信任的第三方(TTP)
SSL客户端认真最好和智能卡一起使用,这样能对个人密钥起到有效的保护,同时,这样可以实现在所有的工作站上都提供客户端认证,而不是在工作站上保存密钥信息。
6.如果需要保护信用卡信息,则配置Web服务器使它攴持SsL或者是SET
信用卡信息的传送需要特别门安全保护。既可以利用SSL,出可以用SET保护信用
卡信息。如果已经有了支持SSL的Web服务器和浏览器,SSL可能是最直接的解决方案,利用SSL,信用卡信息可以在浏览器和服务器之间安全地传输。
在这个过程中,没有加密的信用卡信息可能会保存在web服务器上。强烈建议你把信用
卡信息尽快地传送到更加安全的服务器上并尽快把它从公众eb服务器上删除。如果想在公众web服务器上真接处理信用卡信息,一定要对信用卡信息进行加密。
相对SSL来讲,SFT提供更加安全的措施,因为在SET中,公共网站不会接收到信用卡信息,这些信息被传送到SET讼系结构中(银行),支付直接通过信用卡进行。这样可以减少信川卡信息从一个地方传送另外一个地力的可能。如果涉及到很多的信用卡操作,建议使用ST协议。
