身份认证和访问控制实现原理

最新推荐文章于 2024-02-02 21:44:01 发布
最新推荐文章于 2024-02-02 21:44:01 发布
阅读量1.1w 收藏 10
点赞数 1
分类专栏: java

 身份认证和访问控制的实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证和访问控制安全需求。而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证和访问控制需求。以下将分别进行介绍:

  • 基于SSL的身份认证和访问控制

  目前,SSL技术已被大部份的Web Server及Browser广泛支持和使用。采用SSL技术,在用户使用浏览器访问Web服务器时,会在客户端和服务器之间建立安全的SSL通道。在SSL会话产生时:首先,服务器会传送它的服务器证书,客户端会自动的分析服务器证书,来验证服务器的身份。其次,服务器会要求用户出示客户端证书(即用户证书),服务器完成客户端证书的验证,来对用户进行身份认证。对客户端证书的验证包括验证客户端证书是否由服务器信任的证书颁发机构颁发、客户端证书是否在有效期内、客户端证书是否有效(即是否被窜改等)和客户端证书是否被吊销等。验证通过后,服务器会解析客户端证书,获取用户信息,并根据用户信息查询访问控制列表来决定是否授权访问。所有的过程都会在几秒钟内自动完成,对用户是透明的。

  如下图所示,除了系统中已有的客户端浏览器、Web服务器外,要实现基于SSL的身份认证和访问控制安全原理,还需要增加下列模块:

基于SSL的身份认证和访问控制原理图

  1. Web服务器证书

      要利用SSL技术,在Web服务器上必需安装一个Web服务器证书,用来表明服务器的身份,并对Web服务器的安全性进行设置,使能SSL功能。服务器证书由CA认证中心颁发,在服务器证书内表示了服务器的域名等证明服务器身份的信息、Web服务器端的公钥以及CA对证书相关域内容的数字签名。服务器证书都有一个有效期,Web服务器需要使能SSL功能的前提是必须拥有服务器证书,利用服务器证书来协商、建立安全SSL安全通道。

      这样,在用户使用浏览器访问Web服务器,发出SSL握手时,Web服务器将配置的服务器证书返回给客户端,通过验证服务器证书来验证他所访问的网站是否真实可靠。

  2. 客户端证书

      客户端证书由CA系统颁发给系统用户,在用户证书内标识了用户的身份信息、用户的公钥以及CA对证书相关域内容的数字签名,用户证书都有一个有效期。在建立SSL通道过程中,可以对服务器的SSL功能配置成必须要求用户证书,服务器验证用户证书来验证用户的真实身份。

  3. 证书解析模块

      证书解析模块以动态库的方式提供给各种Web服务器,它可以解析证书中包含的信息,用于提取证书中的用户信息,根据获得的用户信息,查询访问控制列表(ACL),获取用户的访问权限,实现系统的访问控制。

  4. 访问控制列表(ACL)

  访问控制列表是根据应用系统不同用户建设的访问授权列表,保存在数据库中,在用户使用数字证书访问应用系统时,应用系统根据从证书中解析得到的用户信息,查询访问控制列表,获取用户的访问权限,实现对用户的访问控制。

  • 基于签名及签名验证的身份认证和访问控制

  基于签名及签名验证的身份认证和访问控制是利用数字签名技术实现的,数字签名技术的实现是指使用数字证书的私钥,对被签名数据的摘要值进行加密,加密的结果就是数字签名。在进行签名验证时,是用数字证书(即公钥)来进行验证,用公钥解密数据,得到发送过来的摘要值,然后用相同的摘要算法对被签名数据做摘要运算,得到另一个摘要值,将两个摘要值进行比较,如果相等,则数字签名验证通过,否则验证无效。数字签名技术的实现依赖于下列两个事实:一是每一个信息的摘要值是唯一的,找不到两个摘要值相同的不同信息;二是证书的私钥只有数字证书的拥有者才拥有,其他人得不到拥有者的私钥。这样,通过签名及签名验证,可以确定数据的确是数字证书的拥有者发送的,发送者不能进行抵赖。数据在发送的过程中,没有被别人窜改过的,是完整的。

  因此,利用这种技术可以实现对用户身份的认证,一旦对签名数据进行验证,就可以知道签名者是谁,根据签名者的证书可以得到签名者的信息,查询访问控制列表,就知道是签名者的访问权限,从而实现身份认证和访问控制。

  基于签名及签名验证的身份认证和访问控制主要应用于不使用或支持SSL的系统,对于C/S结构,采用这种方式是非常合适的,要实现这种设计,如下图所示,除了系统原有的专业客户端,服务器之外,需要增加上面描述的客户端证书、服务端证书解析模块和访问控制列表之外,还需要增加下列模块:

基于签名及签名验证的身份认证和访问控制原理

  1. 客户端数据签名模块

      客户端数据签名模块以控件的方式提供给专业客户端,对专业客户端软件进行修改,调用数据签名模块,实现数字签名功能。在用户使用专业客户端进行系统访问时,专业客户端调用数据签名模块,使用用户选择的客户端证书的私钥对客户端发送的数据进行数字签名,提供服务器端认证用户身份时使用。

  2. 服务端签名验证模块

      服务端签名验证模块以插件或动态库方式提供,安装在服务器端,实现对客户端数据签名的验证,对客户端数据签名证书的有效性验证。通过验证签名数据,可以判断客户端签名者的确拥有签名证书,通过对签名证书的验证,可以判断客户端证书持有者的身份。

码农之地
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C/S架构,验证签名(java)
12-10
包里面的jar文件是我从IBM网站上下载的一个demo。其他源文件是我在demo基础上改的。程序的功能就是,客户端输入一个字符串,并且用自己的私钥进行签名,服务器端用客户端的公钥进行验证签名和传送的舒服,判断该数据是否被篡改。代码写的不规范,只是实现了功能。
基于SSL的身份认证访问控制实现原理.pdf
10-24
基于SSL的身份认证访问控制实现原理.pdf
网络安全之身份认证访问控制实现原理(ZZ)
chqfei的专栏
07-18 2368
        身份认证访问控制实现原理将根据系统的架构而有所不同。对于B/S架构,将采用利用Web服务器对SSL(Secure Socket Layer,安全套接字协议)技术的支持,可以实现系统的身份认证访问控制安全需求;而对于C/S架构,将采用签名及签名验证的方式,来实现系统的身份认证访问控制需求。以下将分别进行介绍:基于SSL的身份认证访问控制   目前,SSL技术已被
权限系统设计详解(二):IBAC 基于身份的访问控制
路多辛的所思所想
02-02 822
IBAC(Identity-Based Access Control,基于身份的访问控制)是信息安全管理中的一种传统访问控制模型,根据用户的身份(如用户名或用户ID)来授权用户对系统资源的访问。这种方法直接将访问权限与个体的身份相关联,是最直观的访问控制方式之一。与RBAC(基于角色的访问控制)不同,IBAC 更加强调用户身份的作用,通过身份信息来控制访问权限。
2.2 身份鉴别与访问控制
weixin_43263566的博客
08-02 1620
为用户对系统资源提供最大限度共享的基础上,对用户的访问权进行管理,防止对信息的非授权篡改和滥用主体和客体都有一个固定的安全属性,系统用该安全属性来决定一个主体是否可以访问某个客体。
DKY_2023信安第四章复习“访问控制技术”_wxc
Wxc20212308的博客
06-10 297
理解:①身份认证访问控制的基础;②身份认证是判断用户是否合法,访问控制是授予不同的合法用户不同的权限;③授权是访问控制的核心,访问控制是一种加强授权的方法;④审计是事后的责任认定、分析评价。
【网络安全技术】(4)-----身份认证访问控制------身份认证技术
qq_43182466的博客
10-20 1673
概述 认证:通过对网络系统使用过程中的主客体进行鉴别确认身份后,对其赋予恰当的标志、标签、证书等的过程身份认证:是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程身份认证的作用: 确保用户身份的真实性、合法性和有效性。 身份认证的种类和方法: - 消息认证。保证消息的完整性和可审查性。 - 身份认证。鉴别身份用...
身份认证访问控制
俺当日记写
09-02 626
就是能证明用户身份的生活特征或行为特征具有唯一性例:指纹 视网膜等生物特征声音、笔迹、签名等行为特征口令、密码等提供能识别自己身份的信息密码容易被遗忘或被窃取 身份可能会被冒充。
转 Web用户的身份验证及WebApi权限验证流程的设计和实现
weixin_30673715的博客
03-29 76
前言:Web 用户的身份验证,及页面操作权限验证是B/S系统的基础功能,一个功能复杂的业务应用系统,通过角色授权来控制用户访问,本文通过Form认证,Mvc的Controller基类及Action的权限验证来实现Web系统登录,Mvc前端权限校验以及WebApi服务端的访问校验功能。 1. Web Form认证介绍 Web应用的访问方式因为是基于浏览器的Http地址请求,所以需要验证用户...
扩展RBAC用户角色权限设计方案
心梦帆影Java技术博客
02-26 7808
RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。在这种模型中,用户与角色之间,角色与权限之间,一般者是多对多的关系。(如下图) 角色是什么?可以理解为一定数量的权限的集合,权限的载体。例如:一个论坛系统,“超级管理员”、“版主”...
项目:rbac 基于角色的权限管理系统;
weixin_30793643的博客
11-08 217
- 简单示意流程图 - RBAC分析:   - 基于角色的权限管理;   - 权限等于用户可以访问的URL;   - 通过限制URL来限制权限; - RBAC表结构组成: from django.db import models class Menu(models.Model): """ 菜单表: """ tit...
信息安全原理与技术ch06-身份认证访问控制 精品资料.pptx
10-26
身份认证访问控制
基于区块链的数据库访问控制机制设计
01-13
从区块链层次结构、访问控制过程的逻辑层次结构、访问控制实现原理访问控制的共识认证原理以及访问控制区块链体系的构建机制几个方面设计了基于区块链的数据库访问控制实现机制,对基于区块链的数据库访问控制...
PHP中对用户身份认证实现两种方法
12-19
当访问者浏览受保护页面时,客户端浏览器会弹出对话窗口要求用户输入用户名和密码,对用户的身份进行验证,以决定用户是否有权访问页面。下面用两种方法来说明其实现原理。 一、用HTTP标头来实现 标头是服务器以HTTP...
appsync-auth-and-unauth:如何同时允许对API进行身份验证和未经身份验证的访问
05-17
使用以下步骤,您可以允许对您的AWS AppSync API进行身份验证和未经身份验证的访问: 创建一个放大项目amplify init 使用自定义安全配置添加身份验证: amplify add auth 您是否要使用默认的身份验证和安全配置?...
node-v16.12.0-darwin-x64.tar.xz
最新发布
04-23
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
试用Dev Containers的示例项目-Go
04-23
计算机技术是指评价计算机系统的各种知识和技能的总称。它涵盖了计算机硬件、软件、网络和信息安全等方面。计算机技术的发展使我们能够进行高效的数据处理、信息存储和传输。现代计算机技术包括操作系统、数据库管理、编程语言、算法设计等。同时,人工智能、云计算和大数据等新兴技术也在不断推动计算机技术的进步。计算机技术的应用广泛,涵盖了各个领域,如商业、医疗、教育和娱乐等。随着计算机技术的不断革新,我们可以更加高效地实现预期自动化、标准化
NTsky新闻发布v1.0测试版(提供JavaBean).zip
04-23
### 内容概要: 《NTsky新闻发布v1.0测试版》是一款基于 Java 开发的新闻发布系统的测试版本,旨在为新闻机构和媒体提供一个简单易用的新闻发布平台。该系统具有基本的新闻发布和管理功能,包括新闻分类、新闻编辑、新闻发布等核心功能。此外,该版本还提供了 JavaBean,使开发人员能够方便地将系统集成到自己的项目中,快速实现新闻发布的功能。 ### 适用人群: 本测试版本适用于新闻机构、媒体从业者以及Java开发人员。如果你是一家新闻机构或媒体,希望拥有一个简单易用的新闻发布平台,方便快捷地发布和管理新闻,那么这个测试版本将为你提供一个初步的体验。同时,如果你是一名Java开发人员,希望学习和掌握新闻发布系统的开发技术,并且对新闻行业有一定的了解,那么通过这个测试版本,你可以获取到一些JavaBean,并且可以参考系统的设计和实现,为你的项目开发提供参考和借鉴。无论是从业务需求还是技术学习的角度,该测试版本都将为你提供一定的帮助和支持。
校园网认证登录原理和实现
06-02
校园网认证登录是指学校为了保障网络安全,对接入校园网的设备进行身份认证,只有通过认证的设备才能够使用校园网服务。其原理是通过认证服务器对用户的身份进行验证,验证通过后才能够访问网络资源。 具体实现方式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值