网络安全毕业论文5 (2).doc
《网络安全毕业论文5 (2).doc》由会员分享,可在线阅读,更多相关《网络安全毕业论文5 (2).doc(36页珍藏版)》请在三一文库上搜索。
1、四川信息职业技术学院 毕业设计说明书(论文) 设计(论文)题目:数字证书在网络安全中的典型应用 专 业: 计算机网络技术 班 级: 计网 09-1 班 学 号: 0944069 姓 名: 李 婷 指导教师: 陈 新 华 2011 年 11 月 28 日 四川信息职业技术学院毕业设计说明书(论文) I 目目 录录 摘摘 要要1 1 第第 1 1 章章 概概 述述2 2 第第 2 2 章章 数字证书原理数字证书原理4 4 第第 3 3 章章 数字证书的颁发数字证书的颁发6 6 第第 4 4 章章 SSLSSL 证书应用证书应用 8 8 4 4. .1 1 S SS SL L 证证书书安安全全认认证
2、证的的原原理理 8 8 4 4. .2 2 S SS SL L 证证书书的的功功能能8 8 4.34.3 SSLSSL 应用应用9 9 4.3.14.3.1 安装安装“证书服务证书服务”W”WINDOWSINDOWS组件。组件。9 9 4.3.24.3.2 在服务器创建服务器证书请求。在服务器创建服务器证书请求。 1313 4.3.34.3.3 申请并安装服务器证书请求申请并安装服务器证书请求 1616 4.3.44.3.4 客户端通过客户端通过 SSLSSL 安全通道建立和服务器的连接。安全通道建立和服务器的连接。 2222 4.3.54.3.5 申请并安装客户端证书。申请并安装客户端证书。
3、 2828 致致 谢谢 3333 参考文献参考文献3434 四川信息职业技术学院毕业设计说明书(论文) 1 摘摘 要要 随着网络技术的飞速发展,网上办公、网上购物、网上炒股、网上娱乐、网上 贸易、网上理财以及网上求职等纷纷大行其道,电子商务系统技术使在网上购物的 顾客能够极其方便轻松地获得商家和企业的信息,但同时也增加了某些敏感或有价 值的数据被滥用的风险。如何防范风险,增强网上安全问题显得尤为重要。 为了保证互联网上电子交易及支付的安全性,保密性等,防范交易主支付过程 中的欺诈行为,必须在网上建立一种信任机制。加强网上安全有多种技术措施和手 段,下面就通过数字证书的概述,原理,颁发过程以及
4、SSL 证书应用来详细说明 其是加强网上安全的一种有效方式。 关键词:关键词:数字证书概述、原理、颁发过程、SSL 应用 四川信息职业技术学院毕业设计说明书(论文) 2 第第 1 1 章章 概概 述述 数字证书,英文名称 digital certificate。数字证书是一种权威性的电子文档,由 权威公正的第三方机构,即 CA 中心签发的证书。 CA 中心是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和 解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。使用了数字证 书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息, 仍可以保证您的账户、资金安全。
5、 它能提供在 Internet 上进行身份验证的一种权威 性电子文档,人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。 当然在数字证书认证的过程中证书认证中心(CA)作为权威的、公正的、可信赖 的第三方,其作用是至关重要的.如何判断数字认证中心公正第三方的地位是权威 可信的,国家工业和信息化部以资质合规的方式,陆续向天威诚信数字认证中心等 30 家相关机构颁发了从业资质。 由于 Internet 网电子商务系统技术使在网上购物的顾客能够极其方便轻松地获 得商家和企业的信息,但同时也增加了对某些敏感或有价值的数据被滥用的风险. 为 了保证互联网上电子交易及支付的安全性,保密性等,防范
6、交易及支付过程中的欺 诈行为,必须在网上建立一种信任机制。这就要求参加电子商务的买方和卖方都必 须拥有合法的身份,并且在网上能够有效无误的被进行验证。 数字证书特点有:安全性为了避免传统数字证书方案中,由于使用不当造成的 证书丢失等安全隐患,支付宝创造性的推出双证书解决方案:支付宝会员在申请数 字证书时,将同时获得两张证书,一张用于验证支付宝账户,另一张用于验证会员 当前所使用的计算机。 第二张证书不能备份,会员必须为每一台计算机重新申请 一张。这样即使会员的数字证书被他人非法窃取,仍可保证其账户不会受到损失。 支付盾是一个类似于 U 盘的实体安全工具,它内置的微型智能卡处理器能阻挡各 种的风
7、险,让您的账户始终处于安全的环境下。目前,为保证电子邮件安全性所使 用的方式是数字证书。 唯一性:支付宝数字证书根据用户身份给予相应的网络资 四川信息职业技术学院毕业设计说明书(论文) 3 源访问权限,申请使用数字证书后,如果在其他电脑登录支付宝账户,没有导入数 字证书备份的情况下,只能查询账户,不能进行任何操作,这样就相当于您拥有了 类似“钥匙”一样的数字凭证,增强账户使用安全。 方便性:即时申请、即时开 通、即时使用。量身定制多种途径维护数字证书,例如通过短信,安全问题等。不 需要使用者掌握任何数字证书相关知识,也能轻松掌握。 四川信息职业技术学院毕业设计说明书(论文) 4 第第 2 2
8、章章 数字证书原理数字证书原理 数字证书采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。每个 用户自己设定一把特定的仅为本人所知的私有密钥(私钥) ,用它进行解密和 签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于 加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密, 而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通 过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在 公开密钥密码体制中,常用的一种是RSA 体制。其数学原理是将一个大数分解 成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已 图 2
9、-1 公钥加密、私钥签名的过程 知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥), 在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024 位 RSA 密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题, 商户可以公开其公开密钥,而保留其私有密钥。购物者可以用人人皆知的公开密 四川信息职业技术学院毕业设计说明书(论文) 5 钥对发送的信息进行加密,安全地传送给商户,然后由商户用自己的私有密 钥进行解密 ,如图 2-1 所示。 用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样 就产生了别人无法生成的文件,也就形成了数字签名。采用数字
10、签名,能够确认 以下两点: 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认 保证信息自签发后到收到为止未曾作过任何修改,签发文件是真实文件。 数字证书里存有很多数字和英文,当使用数字证书进行身份认证时,它将随 机生成 128 位的身份码,每份数字证书都能生成相应但每次都不可能相同的数 码,从而保证数据传输的保密性,即相当于生成一个复杂的密码。 数字证书绑定了公钥及其持有者的真实身份,它类似于现实生活中的居民身 份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信 息并经过认证中心审核签发的电子数据,可以更加方便灵活地运用在电子商务和 电子政务中。 四川信息职业技术
11、学院毕业设计说明书(论文) 6 第第 3 3 章章 数字证书的颁发数字证书的颁发 CA 是证书的签发机构,它是 PKI 的核心。CA 是负责签发证书、认证证书、管理 已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份,并对用户证 书进行签名,以确保证书持有者的身份和公钥的拥有权,CA 是可以信任的第三方。 CA 也拥有一个证书(内含公钥)和私钥。网上的公众用户通过验证 CA 的签 字从而信任 CA,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的 证书。 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请。在 CA 判明申 请者的身份后,便为他分配 一个公钥,并且
12、 CA 将该公钥与申请者的身份信息绑 在一起,并为之签字后,便形成证书发给申请者。 如果一个用户想鉴别另一个证 书的真伪,他就用 CA 的公钥对那个证书上的签字进行验证,一旦验证通过,该证 书就被认为是有效的。 数字证书为实现双方安全通信提供了电子认证。在因特网、公司内部网或外部 网中,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对(公钥 和私钥)所有者的识别信息,通过验证识别信息的真伪实现对证书持有者身份的认 证。 目前全国各地现在均成立了各省市自己的 CA 公司,为本地企业提供商用数字 证书。 CA 中心作为国家认可的、权威、可信、公正的第三方机构,专门负责发放并 管理所有参
13、与网上业务的实体所需的数字证书,数字证书是网络世界中的身份证, 可以在网络世界中为互不见面的用户建立安全可靠的信任关系,而这种信任关系的 建立则源于 PKI/CA 认证中心,构建安全的 PKI/CA 认证中心是至关重要的。因为, 如果 PKI/CA 认证中心安全性不够,非法用户可能入侵 PKI/CA 认证中心,扰乱认证 中心正常运行;一些有别有用心的人可能利用认证中心潜在安全漏洞(政策、合同、 服务等),对认证中心进行攻击,造成不可估量的社会影响。 在当前环境下,为了让用户切实感到 CA 中心所提供的服务是安全可信的,保 四川信息职业技术学院毕业设计说明书(论文) 7 证认证中心各项业务正常运
14、行,规避潜在的安全隐患,从而推动电子政务、电子商 务等对信任机制要求较高的网上业务的发展,CA 中心必须加强信息安全管理以切 实获得用户的信任,消除用户残余的安全忧虑。 数字证书颁发过程一般为:用户首先产生自己的密钥对,并将公共密钥及 部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步 骤,以确信请求确实由用户发送而来,然后,认证中心将发给用户一个数字证书, 该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。 用户就可以使用自己的数字证书进行相关的各种活动。数字证书由独立的证书发行 机构发布。数字证书各不相同,每种证书可提供不同级别的可信度。可以从证
15、书发 行机构获得您自己的数字证书。 四川信息职业技术学院毕业设计说明书(论文) 8 第第 4 4 章章 SSLSSL 证书应用证书应用 4.1 SSL 证书安全认证的原理 安全套接字层 (SSL) 技术通过加密信息和提供鉴权,保护您的网站安全。 一份 SSL 证书包括一个公共密钥和一个私用密钥。公共密钥用于加密信息,私 用密钥用于解译加密的信息。浏览器指向一个安全域时,SSL 同步确认服务器 和客户端,并创建一种加密方式和一个唯一的会话密钥。它们可以启动一个保证 消息的隐私性和完整性的安全会话。 4.2 SSL 证书的功能 确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物 或
16、其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假 冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站, 可信网站将帮你确认网站的身份。 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需 要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉 及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安 全的信息传输加密通道。 在 SSL 会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服 务器证书,并根据不同版本的浏览器,从而产生40 位或 128 位的会话密钥, 用于对交易的信息进行加密。所有的过程都会
17、自动完成,对用户是透明的,因而, 服务器证书可分为两种:最低 40 位和最低 128 位(这里指的是 SSL 会话时生 成加密密钥的长度,密钥越长越不容易破解)证书。 最低 40 位的服务器证书在建立会话时,根据浏览器版本不同,可产生40 位或 128 位的 SSL 会话密钥用来建立用户浏览器与服务器之间的安全通道。而 最低 128 位的服务器证书不受浏览器版本的限制可以产生128 位以上的会话密 钥,实现高级别的加密强度,无论是IE 或 Netscape 浏览器,即使使用强行攻 四川信息职业技术学院毕业设计说明书(论文) 9 击的办法破译密码,也需要 10 年。 4.34.3 SSLSSL
18、应用应用 在这一章中将通过实验来介绍如何实现客户机和服务器之间的SSL 安全通 信。在具体实验之前,先对实验整体思路做一个描述。实验中使用两台计算机, 一台作为客户端,客户机通过 IE 浏览访问服务器的 WEB 站点。服务器通过向 证书颁发机构 (CA)申请并安装服务器证书,并要求客户机通过SSL 安全通道连 图 4-1 安装“证书服务”组件 接,从而可以保证双方通信的保密性、完整性和服务器的用户身份认证。同时, 可以通过在客户机上申请并安装客户端证书,实现客户机的身份认证。 实验目的:通过申请、安装数字证书,掌握使用SSL 建立安全通信的方法。 实验原理:SSL 协议的工作原理、数字证书的原
19、理。 实验环境:作为服务器的计算机预装 Windows Server 2003 操作系统,作 为客户端的计算机预装 Windows xp,两台计算机通过网络相连。 四川信息职业技术学院毕业设计说明书(论文) 10 4.3.1 安装“证书服务”Windows 组件。 由于在后面的实验过程中需要向证书颁发机构申请数字证书,因此必须先在 作为服务器的计算机上安装 “证书服务”组件,使之成为一个证书颁发机构, 具体实现步骤如下介绍。 (1)默认情况下 WindowsXP/Server2003 没有安装证书服务,需要通过控制 面板的添加/删除 Windows 组件来安装 “证书服务” ,如图 4-1 所
20、示。这里需要 图 4-2 选择 CA 类型 注意的是,在安装了证书服务后,计算机名和域成员身份都不能改变,因为 计算机名到 CA 信息的绑定存储在 Active Directory 中。更改计算机名和域成 员身份将使此 CA 颁发的证书无效。因此,安装证书服务之前,要确认已经配置 了正确的计算机名和域成员身份。 (2)在 CA 类型对话框中选中单选按钮,如图 4-2 所示,然后 单击按钮继续。 四川信息职业技术学院毕业设计说明书(论文) 11 (3)在 CA 识别信息对话框中为安装的 CA 起一个公用名称,这里用 “crn” , “可分辨名称后缀 ”可以不填, “有效期限”保持默认 5 年即可
21、如图 4-3 所示。 图 4-3 填写 CA 识别信息 图 4-4 设置证书数据库位置 四川信息职业技术学院毕业设计说明书(论文) 12 (4)在证书数据库设置对话框中保持默认设置即可,因为只有保证默认目录, 系统才会根据证书类型自动分类和调用,如图4-4 所示。 图 4-5 “证书颁发机构 ” 对话框 图 4-6 Web 服务器证书向导 (5)配置好所需的参数后,系统会安装证书服务组件,当然需要在安装的过 程中插入 Windows Server2003 的安装盘。安装完成后,在 “开始”“程序” “管理工具”中,可以看到 “证书颁发机构 ”对话框,打开后如图 4-5 所示。 四川信息职业技术
22、学院毕业设计说明书(论文) 13 至此,已经安装好一个证书颁发机构,在图4-5 中可以看到,此时没有颁发过 任何证书。 4.3.2 在服务器创建服务器证书请求。 为了在服务器申请并安装服务器证书,必须先创建服务器证书请求,具体实现 步骤介绍如下。 (1) 在 Web 站点的“目录安全性”选项卡中,单击“安全通信”选项区域 按钮,打开 Web 服务器证书向导,如图 4-6 所示。 (2) 单击按钮,显示如图 4-7 所示的服务器证书对话框,选中新建 证书单选按钮来新建一个服务器证书。 图 4-7 选择为站点分配证书的方法 (3) 单击按钮,显示如图 4-8 所示的名称和安全性设置对话框,用 于设
23、置新证书的名称和密钥长度。 (4) 单击按钮,显示如图 4-9 所示的单位信息对话框,用来设置该 四川信息职业技术学院毕业设计说明书(论文) 14 证书所包含单位的相关信息,以便和其他单位的证书区分开。 (5) 单击按钮,显示如图 4-10 所示的公用名称对话框,在这里输 入站点的公用名称。该公用名称要根据服务器而定,如果服务器位于 Internet 上, 应使用有效的 DNS 名;如果服务器位于 Intranet 上,可以使用计算机的 NetBIOS 名。如果公用名称发变化,则需要获取新证书。 图 4-8 设置新证书的名称和密钥长度 四川信息职业技术学院毕业设计说明书(论文) 15 图 4-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全毕业论文5 2 网络安全 毕业论文
链接地址:https://www.31doc.com/p-3968011.html