网络信息安全课程设计

郑州轻工业学院 课程设计说明书课程设计说明书 题目：题目： 网络信息安全课程设计 设计具备 SSL 安全协议的小型企业网 姓姓 名：名： 院院 （系）：（系）： 国际教育学院 专业班级：专业班级： 学学 号：号： 指导教师：指导教师： 尹毅峰 程立辉 成成 绩：绩： 时间：时间：2012 年年 6 月月 18 日至日至 2012 年年 6 月月 22 日日 郑州轻工业学院国际教育学院网络信息安全课程设计 1 郑州轻工业学院 课课 程程 设设 计计 任任 务务 书书 题目题目 网络信息安全课程设计网络信息安全课程设计 专业、班级专业、班级 学号学号 姓名姓名 主要内容、基本要求、主要参考资料等：主要内容、基本要求、主要参考资料等： 1.1.主要内容主要内容 设计具备 SSL 安全协议的小型企业网： 实现一个安全的可用于身份验证的企业网站，能够抵抗大多数的攻击。网站中包含 一个 CA 系统，可以接受用户的认证请求，安全储存用户信息，记录储存对用户的一些认 证信息，给用户颁发证书，可以吊销。 2.2.基本要求：基本要求： 1）接受用户的提交申请，提交时候让用户自己产生公钥对； 2）接受用户的申请，包括用户信息的表单提交，公钥的提交； 3）在对用户实施认证的过程中，储存相应的电子文档，比如证书、营业执照的扫描 文档； 4）通过验证的给予颁发证书； 5）用户密钥丢失时，可以吊销证书，密钥作废。 主要参考资料主要参考资料 完完 成成 期期 限：限： 指指导导教教师师签签名名： 课程负责人签名：课程负责人签名： 20122012 年年 6 6 月月 2020 日日 目目 录录 1前言.1 2系统分析.2 2.1 具备 CA 系统的企业网站设计.2 2.2 功能要求：.2 3功能设计.2 3.1 安装必要组件.2 3.1.1 安装 Internet 信息管理器.2 3.1.2 安装 Active Directory.3 3.1.3 安装 CA 证书.3 3.2 配置 Internet 信息管理器.3 3.3 在 Web 服务器上安装证书.4 3.4 针对网站设置 SSL.5 3.5 导入网站.5 4所遇到的问题及分析解决.7 4.1 所遇问题.7 4.2 分析解决.8 5测试.8 5.1 服务器测试.8 5.2 客户端测试.9 6结论.10 郑州轻工业学院国际教育学院网络信息安全课程设计 1 1 1前言前言 本课程是互联网专业所开设的一门重要实践课程，要求学生掌握网络安全原理和技 术在实践中的应用。本课程设计的目的是使学生在理论学习的基础上，动手设计基于安 全套接字层协议的企业网站，通过应用所学习的知识，来解决一些实际企业网站安全应 用问题。在此基础上，真正理解和掌握网络安全的相关理论，具备程序设计的能力。 SSL 采用对称密码技术和公开密码技术相结合，提供了如下三种基本的安全服务： （1）秘密性。SSL 客户机和服务器之间通过密码算法和密钥的协商，建立起一个安 全通道。以后在安全通道中传输的所有信息都经过了加密处理，网络中的非法窃听者所 获取的信息都将是无意义的密文信息。 完整性。SSL 利用密码算法和 hash 函数，通过对传输信息特征值的提取来保证信息 的完整性，确保要传输的信息全部到达目的地，可以避免服务器和客户机之间的信息内 容受到破坏。 （2）认证性。利用证书技术和可信的第三方 CA，可以让客户机和服务器相互识别 的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户)，SSL 要求证书持有 者在握手时相互交换数字证书，通过验证来保证对方身份的合法性。 SSL 可分为两层，一是握手层，二是记录层。SSL 握手协议描述建立安全连接的过 程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信 双方的身份验证等功能；SSL 记录协议则定义了数据传送的格式，上层数据包括 SSL 握 手协议建立安全连接时所需传送的数据都通过 SSL 记录协议再往下层传送。这样，应用 层通过 SSL 协议把数据传给传输层时，已是被加密后的数据，此时 TCP/IP 协议只需负责 将其可靠地传送到目的地，弥补了 TCP/IP 协议安全性较差的弱点。 SSL（Secure Socket Layer 即安全套接层）协议是 Netsc Communication 公司推出在网 络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和 Web 服务器之 间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的 信用卡/借记卡支付协议。SSL 协议支持了电子商务关于数据的安全性、完整性和身份认 证的要求，但是它没有保证不可抵赖性的要求。它能够对信用卡和个人信息提供较强的 保护。SSL 是对计算机之间整个会话进行加密的协议。在 SSL 中，采用了公开密钥和私 有密钥两种加密方法。SSL 也提供了两台机器间的安全连接。支付系统经常通过在 SSL 连接上传输信用卡卡号的方式来构建，在线银行和其他金融系统也常常构建在 SSL 之上。 虽然基于 SSL 的信用卡支付方式促进了电子商务的发展，但如果想要电子商务得以成功 地广泛开展的话，必须采用更先进的支付系统。SSL 被广泛应用的原因在于它被大部分 Web 浏览器和 Web 服务器所内置，比较容易被应用。 所以，SSL 保证了 Ineternet 上浏览器。服务器会话中三大安全中心内容：机密性、 完整性认证性。 （1）L 把客户机和服务器之间的所有同通信都进行加密，保证了机密性。 （2）供完整性检验，可防止数据在通信过程中被改动。 （3）提供认证性使用数字证书用以正确识别对方。首先是利用服务的数字 证书来验证商家的资格。如果商家网站服务器要进行 SSL 的安全网上交易，他必须 事先向认证中心提出商家自己的合法证明（营业执照、法人材料等） ，并取得数字证书。 郑州轻工业学院国际教育学院网络信息安全课程设计 2 在 SSL 交易中，客户浏览器对服务器进行认证，以使其确信与之通信的网站服 务器具有的特定密钥；必要时服务对浏览器用类似方法进行认证，以确信其具有合法的 信用卡号等。现在网络商店使用这类似认证还在普及之中，而 Ineternet 银行合同签署中 已普遍采用。 2 2系统分析系统分析 2.12.1具备具备 CA 系统的企业网站设计系统的企业网站设计 任务: 实现一个安全的可用于身份验证的企业网站，能够抵抗大多数的攻击。网站 中包含一个 CA 系统，可以接受用户的认证请求，安全储存用户信息，记录储存对用户的 一些认证信息，给用户颁发证书，可以吊销。 2.22.2 功能要求：功能要求： 1）接受用户的提交申请，提交时候让用户自己产生公钥对； 2）接受用户的申请，包括用户信息的表单提交，公钥的提交； 3）在对用户实施认证的过程中，储存相应的电子文档，比如证书、营业执照的扫描 文档； 4）通过验证的给予颁发证书； 5）用户密钥丢失时，可以吊销证书，密钥作废。 3 3功能设计功能设计 3.13.1 安装必要组件安装必要组件 .1 安装安装 InternetInternet 信息管理器信息管理器 打开【控制面板】 ，选择【添加或删除程序】选项，选择【添加删除 Windows 组件】 ， 选择安装 Internet 信息管理器。如图 3-1： 图 3-1 郑州轻工业学院国际教育学院网络信息安全课程设计 3 .2 安装安装 Active Directory 点击【开始】 ，选择【运行】 ，输入：dcpromo 单击确定。出现安装 Active Directory 对话框，进行安装。如图 3-2： 图 3-2 .3 安装安装 CA 证书证书 打开【控制面板】 ，选择【添加或删除程序】选项，选择【添加删除 Windows 组件】 ， 选择安装证书服务。如下图 3-3： 图 3-3 3.23.2 配置配置 InternetInternet 信息管理器信息管理器 1）打开【Internet 信息管理器】 ，选择【网站】 ，单击选择【默认网站】 ，右键选择 郑州轻工业学院国际教育学院网络信息安全课程设计 4 【属性】 ，进入属性界面选择【目录安全性】 ，进入选择【服务器证书】 ，单击进入【Web 服务器证书向导】 。如图 3-4： 图 3-4 2）提交证书申请。打开 IE 浏览器，导航到 0/certsrv，选择【申请一 个证书】 ，选择提交【高级证书申请】 。在【高级证书申请】页中，选择第二项，然后单 击【下一步】按钮。使用记事本打开在前面的过程中生成的证书文件，将它的整个内容 复制到这个页面的留空位置上，选择【Web 服务器】 ，然后提交申请。选择 64Bates 编码， 下载证书。如图 3-5： 图 3-5 3.33.3 在在 WebWeb 服务器上安装证书服务器上安装证书 打开“IIS 管理器” ，右击默认网站，从弹出的快捷菜单中选择【属性】 ，选择【目录 安全性】命令，单击【服务器证书】按钮。然后按步骤进行证书安装。如图 3-6： 郑州轻工业学院国际教育学院网络信息安全课程设计 5 图 3-6 3.43.4 针对网站设置针对网站设置 SSLSSL 打开【Internet 信息管理器】 ，右击【默认网站】 ，从弹出的快捷菜单中选择【属性】 ， 选择【目录安全性】命令，单击【安全通信】的【编辑】按钮，出现【安全通信】对话 框，在此对话框选择【要求安全通道（SSL） 】复选框，单击【确定】按钮。如图 3-7： 图 3-7 3.63.6 客户端证书申请客户端证书申请 在客户端输入网址：30/，在主页上有【证书申请】选项，点击进入， 即可在客户端进行证书申请。如图 3-8： 郑州轻工业学院国际教育学院网络信息安全课程设计 6 3.53.5 导入网站导入网站 在上述问题都解决好了之后，开始进行网站的设计，代码如下： Index.htm 源代码： 武侠小说网 欢迎来到武侠小说网! 古龙作品集 金庸作品集 长生剑 作者：古龙 出版时间：1973 年 作品简介： 古长生剑是把神奇的剑，为白玉京所配，剑名取意来自于李白的诗： “仙人抚我顶，结发受长生。 ” 七种武器之长生剑 【名称】七种武器系列长生剑 郑州轻工业学院国际教育学院网络信息安全课程设计 7 故事简介：“天上白玉京，五楼十二城。仙人抚我顶，结发授长生。 ”陈旧的剑鞘， 缠在剑柄上的缎子也同样陈旧，根本看不出来他有什么杀气。然而这陈旧剑鞘中的剑， 却锋利得可怕。这本就是江湖中最可怕的一把剑-白玉京的长生剑!江湖中的人怕白玉京， 怕白玉京的剑。因为只有他杀人，从没有人能杀死他!其实白玉京最可怕的不是他的剑， 而是他的笑。因为他的笑使许多江湖大腕败在了他的剑下，他的笑也无数次使自己从别 人的剑下死里逃生。详细 古龙作品集：其代表作有多情剑客无情剑 、 绝代双骄 、 楚留香 传奇系列、 赌局系列、 小李飞刀系列、 陆小凤传奇系列、 萧十一郎 、 七 种武器系列、 白玉老虎 、 流星蝴蝶剑 、 三少爷的剑 、 圆月弯刀 、 欢乐英 雄 、 大旗英雄传 、 浣花洗剑录 、 武林外史 、 大人物 、 碧血洗银枪等。 射雕英雄传 作者：金庸 出版时间：1959 年 作品简介：射雕英雄传又名大漠英雄传 ，是“射雕三部曲”之一，下接神 雕侠侣 倚天屠龙记 。这部小说历史背景突出，场景纷繁，气势宏伟，具有鲜明的 “英雄史诗”风格；在人物创造与情节安排上，它打破了传统武侠小说一味传奇，将人 物作为情节附庸的模式，坚持以创造个性化的人物形象为中心，坚持人物统帅故事，按 照人物性格的发展需要及其内在可能性、必然性来设置情节，从而使这部小说达到了事 虽奇人却真的妙境。本书最初连载于 19571959 年的香港商报 。 射雕英雄传现收 录在金庸作品集中。 故事简介：南宋宁宗庆元年间（11951200 年）一个岁末，隐居临安郊外牛家村的忠 良之后郭啸天、杨铁心家遭横祸，被与金国王子完颜洪烈勾结的南宋官府害死，已怀身 孕的郭夫人李萍、杨夫人包惜弱也双双失踪，噩耗传来，郭、杨的好友全真教道士丘处 机怒不可遏，对杀害郭、杨的凶手进行了追杀。他惦念失散的朋友家眷，在临安一带四 处奔走打探未果；接着又因受奸人段天德蒙骗在嘉兴与江南七怪发生冲突，两败俱伤。 事后，丘处机与江南七怪识破奸人阴谋，释兵言和，但比武未分胜负，丘处机相约江南 七怪一同寻人，由自己去救助杨铁心妻子包惜弱，江南七怪去救助郭啸天妻子李萍，并 各自将两家的孩子教养成人，十八年后重会嘉兴，由郭杨后人代为比武再分胜负。江南 七怪义薄云天，慨然应诺。详 细 金庸作品集：越女剑 飞狐外传 雪上飞狐 连城诀 天龙八 部 射雕英雄传 白马啸西风 鹿鼎记 笑傲江湖 书剑恩仇录 神雕侠侣 侠 郑州轻工业学院国际教育学院网络信息安全课程设计 8 客行 倚天屠龙记 碧血剑 鸳鸯刀 webmaster(E-mail 我) 【注：限于篇幅问题，其他子网页内容未予显示】 4 4所遇到的问题及分析解决所遇到的问题及分析解决 4.14.1 所遇问题所遇问题 问题一： 对于建两个虚拟机进行客户端到服务器通过 SSL 安全通道进行通信，总是出 现错误而不能通信。 问题二：对于建好的两个虚拟机怎么在客户机上进行对服务器端的网站访问。 4.24.2 分析解决分析解决 1)对于问题一所出现的问题，主要是在于两虚拟机的 IP 和 DNS 设定的问题上。对于 两个虚拟机，我们可以对其看成是两台通过网线连接的计算机，对其进行 IP 和 DNS 的连 接设定。如图 4-1： 图 4-1 2）对于问题二所提及的问题，则是对于 SSL 安全通道的理解有所错误，对于通信则 是应用加密的安全通道进行的。如图 4-2： 郑州轻工业学院国际教育学院网络信息安全课程设计 9 图 4-2 5 5测试测试 5.15.1 服务器测试服务器测试 对所做好的网站导入到服务器虚拟机上，然后对其进行本机测试。如图 5-1： 图 5-1 通过对本机的几次测试，均能打开所设计的网站中的各个网页。 5.25.2 客户端测试客户端测试 对所做好的网站导入服务器虚拟机上后，对其进行客户端测试。如图 5-2： 图 5-2 郑州轻工业学院国际教育学院网络信息安全课程设计 10 通过对客户端进行多次的测试，同样可以打开所有的网页。 通过以上测试，基本上能完场客户端到服务器的安全通道访问。但对于用域名进行打 开时均失败了，我想原因可能出在开始对 Internet 信息管理器进行各种配置时没有进行正 确的域名设置。 6 6结论结论 通过自己的亲手实践，学习了 IIS 管理器的安装，CA 系统的安装，Web 服务器证书 的申请和装载，和 Active Directory 的安装。并