1、4)通过验证的给予颁发证书;5)用户密钥丢失时,可以吊销证书,密钥作废。主要参考资料完 成 期 限:指导教师签名:课程负责人签名:2012年 6 月 20日 目 录1前言 12系统分析 2 2.1具备CA系统的企业网站设计 2 2.2功能要求: 23功能设计 2 3.1安装必要组件 2 3.1.1安装Internet 信息管理器 2 3.1.2安装Active Directory 3 3.1.3安装CA证书 3 3.2配置Internet 信息管理器 3 3.3 在Web服务器上安装证书 4 3.4针对网站设置SSL 5 3.5导入网站 54所遇到的问题及分析解决 7 4.1所遇问题 7 4.
2、2分析解决 85测试 8 5.1 服务器测试 8 5.2 客户端测试 96结论 101前言本课程是互联网专业所开设的一门重要实践课程,要求学生掌握网络安全原理和技术在实践中的应用。本课程设计的目的是使学生在理论学习的基础上,动手设计基于安全套接字层协议的企业网站,通过应用所学习的知识,来解决一些实际企业网站安全应用问题。在此基础上,真正理解和掌握网络安全的相关理论,具备程序设计的能力。SSL采用对称密码技术和公开密码技术相结合,提供了如下三种基本的安全服务:(1)秘密性。SSL客户机和服务器之间通过密码算法和密钥的协商,建立起一个安全通道。以后在安全通道中传输的所有信息都经过了加密处理,网络中
3、的非法窃听者所获取的信息都将是无意义的密文信息。完整性。SSL利用密码算法和hash函数,通过对传输信息特征值的提取来保证信息的完整性,确保要传输的信息全部到达目的地,可以避免服务器和客户机之间的信息内容受到破坏。(2)认证性。利用证书技术和可信的第三方CA,可以让客户机和服务器相互识别的对方的身份。为了验证证书持有者是其合法用户(而不是冒名用户),SSL要求证书持有者在握手时相互交换数字证书,通过验证来保证对方身份的合法性。 SSL可分为两层,一是握手层,二是记录层。SSL握手协议描述建立安全连接的过程,在客户和服务器传送应用层数据之前,完成诸如加密算法和会话密钥的确定,通信双方的身份验证等
4、功能;SSL记录协议则定义了数据传送的格式,上层数据包括SSL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送。这样,应用层通过SSL协议把数据传给传输层时,已是被加密后的数据,此时TCP/IP协议只需负责将其可靠地传送到目的地,弥补了 TCP/IP协议安全性较差的弱点。SSL(Secure Socket Layer即安全套接层)协议是Netsc Communication公司推出在网络传输层之上提供的一种基于非对称密钥和对称密钥技术的用于浏览器和Web服务器之间的安全连接技术。它是国际上最早应用于电子商务的一种由消费者和商家双方参加的信用卡/借记卡支付协议。SSL协议支持
5、了电子商务关于数据的安全性、完整性和身份认证的要求,但是它没有保证不可抵赖性的要求。它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中,采用了公开密钥和私有密钥两种加密方法。SSL也提供了两台机器间的安全连接。支付系统经常通过在SSL连接上传输信用卡卡号的方式来构建,在线银行和其他金融系统也常常构建在SSL之上。虽然基于SSL的信用卡支付方式促进了电子商务的发展,但如果想要电子商务得以成功地广泛开展的话,必须采用更先进的支付系统。SSL被广泛应用的原因在于它被大部分Web浏览器和Web服务器所内置,比较容易被应用。所以,SSL保证了Ineternet
6、上浏览器。服务器会话中三大安全中心内容:机密性、完整性认证性。(1)L把客户机和服务器之间的所有同通信都进行加密,保证了机密性。(2)供完整性检验,可防止数据在通信过程中被改动。(3)提供认证性使用数字证书用以正确识别对方。首先是利用服务的数字证书来验证商家的资格。如果商家网站服务器要进行SSL的安全网上交易,他必须事先向认证中心提出商家自己的合法证明(营业执照、法人材料等),并取得数字证书。在SSL交易中,客户浏览器对服务器进行认证,以使其确信与之通信的网站服务器具有的特定密钥;必要时服务对浏览器用类似方法进行认证,以确信其具有合法的信用卡号等。现在网络商店使用这类似认证还在普及之中,而In
7、eternet银行合同签署中已普遍采用。2系统分析2.1具备CA系统的企业网站设计任务: 实现一个安全的可用于身份验证的企业网站,能够抵抗大多数的攻击。2.2功能要求:3功能设计3.1安装必要组件3.1.1安装Internet 信息管理器打开【控制面板】,选择【添加或删除程序】选项,选择【添加删除Windows组件】,选择安装Internet 信息管理器。如图3-1:图3-13.1.2安装Active Directory点击【开始】,选择【运行】,输入:dcpromo单击确定。出现安装Active Directory对话框,进行安装。如图3-2:图3-23.1.3安装CA证书打开【控制面板】,
8、选择【添加或删除程序】选项,选择【添加删除Windows组件】,选择安装证书服务。如下图3-3:图3-33.2配置Internet 信息管理器1)打开【Internet 信息管理器】,选择【网站】,单击选择【默认网站】,右键选择【属性】,进入属性界面选择【目录安全性】,进入选择【服务器证书】,单击进入【Web服务器证书向导】。如图3-4:图3-42)提交证书申请。打开IE浏览器,导航到http:/192.168.1.30/certsrv,选择【申请一个证书】,选择提交【高级证书申请】。在【高级证书申请】页中,选择第二项,然后单击【下一步】按钮。使用记事本打开在前面的过程中生成的证书文件,将它的
9、整个内容复制到这个页面的留空位置上,选择【Web服务器】,然后提交申请。选择64Bates编码,下载证书。如图3-5:图3-53.3 在Web服务器上安装证书打开“IIS管理器”,右击默认网站,从弹出的快捷菜单中选择【属性】,选择【目录安全性】命令,单击【服务器证书】按钮。然后按步骤进行证书安装。如图3-6:图3-63.4针对网站设置SSL打开【Internet信息管理器】,右击【默认网站】,从弹出的快捷菜单中选择【属性】,选择【目录安全性】命令,单击【安全通信】的【编辑】按钮,出现【安全通信】对话框,在此对话框选择【要求安全通道(SSL)】复选框,单击【确定】按钮。如图3-7:图3-73.6
10、客户端证书申请在客户端输入网址:https:/192.168.1.130/,在主页上有【证书申请】选项,点击进入,即可在客户端进行证书申请。如图3-8:3.5导入网站在上述问题都解决好了之后,开始进行网站的设计,代码如下:Index.htm源代码:headtitle武侠小说网link rel=stylesheet type=text/css href=style.css/headbody class=stylefont face=幼圆 color=rgb(255,128,192)marquee style=font-size: 29pt width=1000 scrollAmount=12欢迎
11、来到武侠小说网!/marquee/fonthr/p align=centera href=gulong/gulongquanji.html target=_blank古龙作品集 jinyong/jinyongquanji.html金庸作品集gulong/csj.html img src=images/gulong1.jpg align=right border=0 alt=转到长生剑小说 /div style=text-indent:1.5emp class=style1长生剑作者:古龙出版时间:1973年作品简介:古长生剑是把神奇的剑,为白玉京所配,剑名取意来自于李白的诗:“仙人抚
12、我顶,结发受长生。” 七种武器之长生剑【名称】七种武器系列长生剑 故事简介:“天上白玉京,五楼十二城。仙人抚我顶,结发授长生。”陈旧的剑鞘,缠在剑柄上的缎子也同样陈旧,根本看不出来他有什么杀气。然而这陈旧剑鞘中的剑,却锋利得可怕。这本就是江湖中最可怕的一把剑-白玉京的长生剑!江湖中的人怕白玉京,怕白玉京的剑。因为只有他杀人,从没有人能杀死他!其实白玉京最可怕的不是他的剑,而是他的笑。因为他的笑使许多江湖大腕败在了他的剑下,他的笑也无数次使自己从别人的剑下死里逃生。详细 /divp a name=01古龙作品集:其代表作有多情剑客无情剑、绝代双骄、楚留香传奇系列、赌局系列、小李飞刀系列、陆小凤传
13、奇系列、萧十一郎、七种武器系列、白玉老虎、流星蝴蝶剑、三少爷的剑、圆月弯刀、欢乐英雄、大旗英雄传、浣花洗剑录、武林外史、大人物、碧血洗银枪等。 jinyong/xdyxz.htmlimages/jinyong4.jpg转到射雕英雄传小说射雕英雄传金庸1959年射雕英雄传又名大漠英雄传,是“射雕三部曲”之一,下接神雕侠侣倚天屠龙记。这部小说历史背景突出,场景纷繁,气势宏伟,具有鲜明的“英雄史诗”风格;在人物创造与情节安排上,它打破了传统武侠小说一味传奇,将人物作为情节附庸的模式,坚持以创造个性化的人物形象为中心,坚持人物统帅故事,按照人物性格的发展需要及其内在可能性、必然性来设置情节,从而使这部
14、小说达到了事虽奇人却真的妙境。本书最初连载于19571959年的香港商报。射雕英雄传现收录在金庸作品集中。南宋宁宗庆元年间(11951200年)一个岁末,隐居临安郊外牛家村的忠良之后郭啸天、杨铁心家遭横祸,被与金国王子完颜洪烈勾结的南宋官府害死,已怀身孕的郭夫人李萍、杨夫人包惜弱也双双失踪,噩耗传来,郭、杨的好友全真教道士丘处机怒不可遏,对杀害郭、杨的凶手进行了追杀。他惦念失散的朋友家眷,在临安一带四处奔走打探未果;接着又因受奸人段天德蒙骗在嘉兴与江南七怪发生冲突,两败俱伤。事后,丘处机与江南七怪识破奸人阴谋,释兵言和,但比武未分胜负,丘处机相约江南七怪一同寻人,由自己去救助杨铁心妻子包惜弱,
15、江南七怪去救助郭啸天妻子李萍,并各自将两家的孩子教养成人,十八年后重会嘉兴,由郭杨后人代为比武再分胜负。江南七怪义薄云天,慨然应诺。02金庸作品集:越女剑飞狐外传雪上飞狐连城诀天龙八部射雕英雄传白马啸西风鹿鼎记笑傲江湖书剑恩仇录神雕侠侣侠客行倚天屠龙记碧血剑鸳鸯刀text-align:mailto:webmasterwebmaster(E-mail我)/body/html【注:限于篇幅问题,其他子网页内容未予显示】4所遇到的问题及分析解决4.1所遇问题 问题一: 对于建两个虚拟机进行客户端到服务器通过SSL安全通道进行通信,总是出现错误而不能通信。 问题二:对于建好的两个虚拟机怎么在客户机上进
16、行对服务器端的网站访问。4.2分析解决1)对于问题一所出现的问题,主要是在于两虚拟机的IP和DNS设定的问题上。对于两个虚拟机,我们可以对其看成是两台通过网线连接的计算机,对其进行IP和DNS的连接设定。如图4-1:图4-12)对于问题二所提及的问题,则是对于SSL安全通道的理解有所错误,对于通信则是应用加密的安全通道进行的。如图4-2:图4-25测试5.1 服务器测试 对所做好的网站导入到服务器虚拟机上,然后对其进行本机测试。如图5-1:图5-1通过对本机的几次测试,均能打开所设计的网站中的各个网页。5.2 客户端测试 对所做好的网站导入服务器虚拟机上后,对其进行客户端测试。如图5-2:图5
17、-2通过对客户端进行多次的测试,同样可以打开所有的网页。 通过以上测试,基本上能完场客户端到服务器的安全通道访问。但对于用域名进行打开时均失败了,我想原因可能出在开始对Internet 信息管理器进行各种配置时没有进行正确的域名设置。6结论通过自己的亲手实践,学习了IIS管理器的安装,CA系统的安装,Web服务器证书的申请和装载,和Active Directory的安装。并且熟悉了虚拟机的建立,对于两个虚拟机的建立,用其中一个作为服务器,另一个作为客户机,进行基于SSL的网站通信,对所学的内容进行了更好的复习和实践,增加了自己对本科的浓厚兴趣和更深的体会,更是明白了网络需要安全性的操作的。在进
18、行两天的学习探索之后,终于做出了整个系统,并用这个系统实现了对于从客户端到服务器的通信工作,把自己之前所学的网页设计的内容应与于此内容上,更加体会到专业内各门课程之间是紧密相联系的,所以不仅仅要对一门课程进行学习,而要综合的学好各门课程,才能做到对本专业的深度理解和掌握。但在整个课程设计的过程中也出现了种种困难,有许多都是通过老师的讲解和同学的帮助才得以完成。在对老师的要求执行能力中,自己也做得并不是完美,比如说,对于更深一层的账户的注册与登录的安全管理这块,自己由于网站对登陆注册没有来得及做出来,并且自己也并不是很理解这一块的安全管理,所以放弃了对这一方面的探索。21世纪是知识的时代,网络化、信息化是这个时代的重要特征。然后在这学期的网络信息安全学习后,更明白网络化、信息化的利弊,又通过多次试验和最后的这次课程设计,更加深刻的认识到网络的安全不是一件简单的事情,它保护着我们的财产和隐私不被非法侵害。所以网络信息安全乃是现在学习中的重要课程,我所要做的就是认真的对待,理解老师课堂所讲的内容,把课本上的知识变成自己的一门技术,至少为以后的工作做一个很好的储备。参考文献1 蒋天发.网络信息安全.北京;电子工业出版社,2009;1309.
