WSS在基于瀏覽器和USBKey的數(shù)字證書簽發(fā)系統(tǒng)中的研究與應(yīng)用.pdf

1、為保證B/S系統(tǒng)的安全性，一些安全性要求較高的領(lǐng)域使用用戶終端外接設(shè)備如USBkey等作為安全保障。操作系統(tǒng)出于安全性考慮禁止瀏覽器直接訪問用戶的本地資源和外接設(shè)備，瀏覽器插件解決了這一問題。插件技術(shù)沒有統(tǒng)一的標(biāo)準(zhǔn)，不同內(nèi)核的瀏覽器支持的插件技術(shù)不同。目前使用較多的ActiveX和NPAPI插件技術(shù)由于存在安全隱患逐漸不再被瀏覽器支持。鄭州信大捷安的基于瀏覽器和USBKey的數(shù)字證書簽發(fā)系統(tǒng)現(xiàn)有的安全控件也存在這些問題。為此，本文提出使

2、用HTML5中的WebSocket協(xié)議作為瀏覽器對(duì)USBKey訪問的解決方案，在用戶本地構(gòu)建WebSocket安全服務(wù)對(duì)USBKey操作并與瀏覽器通信，進(jìn)而根據(jù)瀏覽器端需求將數(shù)字證書簽發(fā)到USBKey中。主要工作如下：
　　分析了WebSocket協(xié)議的通信原理，在此基礎(chǔ)上設(shè)計(jì)了使用WebSocket訪問本地資源的WebSocket解決方案。在用戶本地實(shí)現(xiàn)WebSocket服務(wù)并通過該服務(wù)對(duì)用戶的本地資源或硬件設(shè)備進(jìn)行訪問或操作，

3、由該服務(wù)與瀏覽器客戶端通信將操作結(jié)果發(fā)送給瀏覽器。隨著HTML5的逐漸推廣與應(yīng)用，遵循HTML5標(biāo)準(zhǔn)的瀏覽器即可使用該解決方案，不會(huì)因?yàn)g覽器內(nèi)核而產(chǎn)生限制，解決了插件技術(shù)存在的瀏覽器兼容性問題。
　　設(shè)計(jì)了WebSocket解決方案的安全增強(qiáng)型WSS服務(wù)模型。在上述解決方案的基礎(chǔ)上，考慮到瀏覽器與WebSocket服務(wù)通信的安全性，對(duì)WebSocket協(xié)議中定義的wss連接進(jìn)行研究，設(shè)計(jì)了基于TLS層的WebSocket安全（WS

4、S）服務(wù)模型，并提出了該模型的實(shí)現(xiàn)方法以及配置方案。使用數(shù)字證書建立WSS服務(wù)與瀏覽器雙方信任的通道，保證雙方通信的安全性。
　　實(shí)現(xiàn)了使用WSS數(shù)字證書簽發(fā)系統(tǒng)。研究了信大捷安UKey設(shè)備的數(shù)字證書簽發(fā)系統(tǒng)的需求和USBKey提供的硬件接口；將WebSocket解決方案和WSS服務(wù)模型結(jié)合當(dāng)前的業(yè)務(wù)需求進(jìn)行實(shí)現(xiàn)，并封裝為安全控件。系統(tǒng)使用該控件實(shí)現(xiàn)了通過瀏覽器向用戶的USBKey內(nèi)簽發(fā)數(shù)字證書。對(duì)系統(tǒng)進(jìn)行功能性和瀏覽器兼容性測(cè)試