计算机服务器配置课程设计
呼伦贝尔学院
计算机科学与技术学院
网络应用服务课程设计
题 目: 呼伦贝尔学院的网络设计规划
学生姓名: 高智
学 号: [1**********]2 专业班级:计算机科学与技术本科四班
指导教师: 刘仁山
完成时间: 2014年10月29日
目录
摘要 ............................................................ I Abstract ........................................................ I
第1章 客户需求分析 ............................................. 1
1.1 了解学校需求 ............................................ 1
1.1.1 分析管理目标与需求 .................................................................................... 1
1.1.2 分析技术目标与需求 .................................................................................... 1
1.1.3 了解网络现状 .............................................................................................. 2
1.2 分析管理目标与需求 ...................................... 2
1.2.1学校的服务目的 ............................................................................................. 2
1.2.2 学校的组织结构 ............................................................................................ 2
1.2.3决策者的建设思路与预算 ........................................................................... 3
1.3分析技术目标与需求 ....................................... 3
1.3.1可扩展性 ....................................................................................................... 3
1.3.2技术兼容性 ................................................................................................... 3
1.3.3网络性能要求 ............................................................................................... 3
1.3.4安全性 ........................................................................................................... 4
1.3.5可管理型 ....................................................................................................... 4
1.3.6易用性、适应性、可购买性 ....................................................................... 4
第2章 设备选型 ................................................. 4
2.1.1 网络设备分类 .......................................... 4
2.1.2UPS 选型 . ......................................................................................................... 9
2.1.3网络存储设备选型 ..................................................................................... 10
2.2 设备选型需要参考的因素 ................................. 11
2.2.1 设备选型原则 .............................................................................................. 11
第3章 公钥基础设施PKI 技术 .................................... 11
3.1 PKI 技术基础 ............................................ 11
3.1.1 PKI 的概念 . .................................................................................................. 11
3.1.2 PKI 的组成 . .................................................................................................. 12
3.1.3 PKI 所提供的三种主要的安全服务 ........................................................... 12
3.1.4 PKI 运行模型 . .............................................................................................. 12
3.1.5 PKI 在WEB 安全中的应用 ........................................................................ 13
3.2 PKI 技术功能的实现 ...................................... 13
3.2.1 SSL 协议的介绍 .......................................................................................... 13
3.2.2 SSL 的技术原理 .......................................................................................... 13
第4章 CA证书 ................................................. 14
4.1 证书的概述 ............................................. 14
4.2 CA 的作用 ............................................... 15
4.3 证书的发放过程 ......................................... 16
第5章 服务器安全设计方案 ...................................... 16
5.1 安装证书服务组件 ....................................... 16
5.2 生成服务器证书请求文件 ................................. 17
5.3 申请服务器证书 ......................................... 20
5.4 安装服务器证书 ......................................... 21
5.5 设置Web 服务器的安全通信 ............................... 22
5.6 安装浏览器的根CA 证书及测试SSL 连接 .................... 23
5.7 SSL 客户的验证 .......................................... 24
结论 ........................................................... 26
参考文献 ....................................................... 26
致谢 ........................................................... 28
摘要
随着网络建设的逐步普及,大学高校局域网络的建设是高校向高水平、研究性大学跨进的必然选择,高校校园网网络系统是一个非常庞大而复杂的系统,它不仅为高校的发展、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且,能够使教育、教学、科研三位一体,提高教育教学质量。而校园网网络建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设提供理论依据和实践指导。高校校园网的网络建设与网络技术发展几乎是同步进行的。高校不仅承担着教书育人的工作,更承担着部分国家级的科研任务,同时考虑未来几年网络平台的发展趋势, 为了充分满足高校骨干网对高速,智能,安全,认证计费等的需求, 最终达到在网络方面,更好的对众多网络使用及数据资源的安全控制,同时具有高性能,高效率,不间断的服务,方便的对网络中所有设备和应用进行有效的时事控制和管理提高了传输的效率,有效地保证了远程多媒体教学、数字图书馆等业务的开展。
[关键词] 校园网;网络设备;局域网技术;网络管理;数字多媒体
Abstract
With the gradually popularization of network construction, the construction of local area network at colleges and universities in is to a high level of colleges and universities and research universities got inevitably choice, the university campus network system is a very large and complex system, it not only to the development of
colleges and universities, comprehensive information management and office automation and so on a series of applied to provide basic operation platform, and can make education, teaching and scientific research of the trinity, improve the teaching quality of education. And the network technology has been applied in the construction of campus network important branch in the local area network technology to the construction and management, therefore this graduation design topic will mainly take the campus local area network construction process may be used various technique and implementation plan for design direction, provide theoretical basis and practical guidance for the construction of campus network. University campus network construction and network technology development is almost simultaneous. Not only bear the teaching work in colleges and universities, bear the part of the national scientific research tasks, at the same time, considering the future development trend of the network platform, in order to fully satisfy the backbone to high speed, intelligence, safety, certification requirements such as billing, finally achieved in the aspect of network, better use of many network security control and data resources, at the same time with high performance, high efficiency, continuous service, convenient for all devices in the network and the application for effective control and current affairs management to improve the transmission efficiency, effectively guarantee the distance multimedia teaching, digital library and other business.
Keywords Campus network; The network equipment; LAN technology; Network management; Digital multimedia
第1章 客户需求分析
1.1 了解学校需求
校园网络升级改造把学生公寓以及新建的教学楼都接入校园网。现有网络结构及网络设备已经不能满足学校的应用需求,其主要表现在:
1、网络覆盖范围不够。。
2、网络容量和结构不能满足信息点增长的要求。
3、网络管理难度加大手段滞后。
1.1.1 分析管理目标与需求
由于学校逐年招生的人数不断增加,以及各个教学楼与宿舍楼的新建,校园网络很多地方并未覆盖全面,现以网络中心形成了主干网,是整个校园网的总节点,并提供连接广域网和拨入服务,在主干网系统采用以太网结构。在方案中,中心机房放置着中心交换机、服务器群、路由器、机架MODEM 等网络设备,这些设备以中心交换机作为中心,以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的连接,是通过根据与子网的距离,通过光纤和双绞电缆线将中心交换机和子网的交换机连接起来。
1)网络设备支持基于端口的虚拟网(VLAN )划分,利用网络管理软件能动态地调整配置VLAN 。使划分的各虚网之间既能相互共享所需的信息,又能分别独立运作,加强各虚网之间信息的安全性。这样易于实现网络重组并具备隔离广播风暴的能力。
2)具有基于端口的访问控制模式,有效防止外部或内部对某些重要信息点的访问,达到控制信息流向的目的,增强网络的安全性。
3)动态监控网络流量和端口状态,及时平衡网络负载。
4)动态监控网络登录、网络代理用户数,有效、及时地防止某些非法访问。 5)对网络故障及时报警,并实现隔离。
对于网络管理系统软件,选用华为公司的网络管理软件H3C 网管应用软件。
1.1.2 分析技术目标与需求
对于我校组建的网络系统来说要求是比较高的,针对我校的实际情况,对服务器硬件系统和应用软件系统的要求如下:
1、服务器硬件系统要求
整个校园网络建成以后,需要运行哪些应用系统,选配哪些应用服务器设备是我们应该为客户设想的关键问题,针对该校的具体需求,我们选配四台服务器:WEB 服务器、文件服务器和FTP 服务器、电子图书管理服务器。
2、应用软件系统要求 1)操作系统
WINDOWS Server 2008在稳定性和安全性方面可靠性较高,完全适合该校的网络操作系统需求。
2)应用软件
校园应用软件要求包括如下几个部分:大学校园网办公软件、视
频点播VOD 软件、SQL Server数据库软件、电子阅览室资源库等。
1.1.3 了解网络现状
目前校园网络与新建校园区域和宿舍的网络基本不相通,而且在原有网络上老旧设备与线路需更换,在拓扑结构上需改进。校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。
1.2 分析管理目标与需求
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构
校园网采用星形的网络拓扑结构,骨干网为1000M 速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。
传输介质也要适合建网需要。在楼宇之间采用1000M 光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m 的传递距离能够满足室内布线的长度要求。
使用双核心网络的主要目的是实现冗余的连接防止单点失效,从逻辑上,大型网络可分为核心层、分布层和接入层,每层都有其特点。层次化设计的优点可以总结为如下几点:
可扩展性:因为网络可模块化增长而不会遇到问题;
简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
1.2.1学校的服务目的
信息交流功能 、学生学习功能、、图书馆功能,以图书馆为信息源、办公子网 、多媒体教学子网、宿舍子网
1.2.2 学校的组织结构
主要以教学楼、办公楼、实验楼、图书馆、宿舍楼、体育馆等组成。
1.2.3决策者的建设思路与预算
总体设计是校园网建设的总体思路和工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先,进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求和条件;其次,在应用需求分析的基础上,确定学校Intranet 服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三,确定网络拓朴结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。
1.3分析技术目标与需求
21世纪是一个以数字化、网络化与信息化为核心的信息时代。信息技术的高速发展使得计算机网络发展的非常迅速,已经成为信息科学的一个新的分支。随着计算机网络的发展,校园网已经成为学校走向信息化时代的必然发展趋势,使我国教育管理向智能化发展。校园网络的规划设计是一项系统工程,不同的规划设计方案,可使网络存在较大的性能差异,它不仅体现在网络本身具备的技术特性和应用特点上,也体现了不同用户的各种需求,而校园网的建设必将对学校的信息化建设和教学素质的提高起到强大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。
1.3.1可扩展性
校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。
1.3.2技术兼容性
选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。
1.3.3网络性能要求
骨干网为1000M 速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,在楼宇之间采用1000M 光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m 的传递距离能够满足室内布线的长度要求。
1.3.4安全性
信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。
1.3.5可管理型
网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。
1.3.6易用性、适应性、可购买性
以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。
第2章 设备选型
2.1.1 网络设备分类
构建该校园网络选用的防火墙是华为赛门铁克USG 2220
2.1.2UPS 选型
一个典型的校园网,一般拥有以下设备:NT 服务器2-3台、网管工作站一台、网络中心交换机一台、路由器、部分中低端PC 服务器等,还拥有数十台的PC 、若干终端,网络打印机等设备,因此在局域网中使用的UPS 也有其自身的特点。
在局域网的中心机房中,采用10-20KVA 中等功率的UPS 集中供电的方式已被广泛接受。为了有效提高系统可靠性,一般采用双机热备份或并联供电。
一般情况下,在为网络设备选用UPS 电源时,应注意:
根据负载设备的摆放位置,选用大容量的UPS 集中供电方案。原因是:单台容量较大
的UPS 的故障率较低;UPS 的每单位千伏安的价格,随着UPS 容量的增大而下降;选用单台容量UPS 时,有利于用户更经济合理地使用蓄电池。
根据用户的不同配送电系统选用UPS 机型,以适应用户配送电系统带载能力的要求。
选用允许市电电源波动范围大的UPS 机型,可以更好的适应市电
电网恶劣的供电环境。
选用UPS 过载能力强和具有优良抗输出短路能力的机型。只要UPS 执行市电交流旁路供电与逆变器供电切换操作,就总是存在着出故障的概率。显然,UPS 抗过载能力越强,客观上UPS 做上述切换的机会就越少,随之而来的是UPS 的故障率越低。
要有配置适当的抗瞬态浪涌抑制器,以便更好的保护网络设备。 选用UPS 输出中线对地线电位低的机型,可以获得尽可能高的数据传输速率,降低数据传输的误码率。
根据用户集中监控系统不同级别的要求,组成具有不同网络控制功能的智能化UPS 系统。
一般的主流UPS 电源中,国产选择科士达、科华恒盛,国外选用伊顿爱克赛、施耐德、艾默生,当然在最终的选择时要具体情况下具体分析。
2.1.3网络存储设备选型
存储已经成为目前教育行业信息化建设的热点。从之前简单的服务器直接存储方式,
到如今专用存储设备的使用,这个变化看似突然,却说明了教育信息化正从最初的基础架构的建设,开始进行应用的突破。
尤其在高校中,基础网络的建设已经完成,超过92%的高校已经拥有了校园网。在此基础上,各种应用随之丰富起来。目前,全国大部分的高校都已经建成数字图书馆,数字图书馆动辄上TB 级的容量需求和每年新增加的存储容量,也使大家开始考虑升级存储空间。为了节省投入,在一些高校中出现了以远程虚拟存储的方式来解决存储容量瓶颈的个例。但从性能和安全性上来说,高校自身投资存储设备,是目前的主流方向。
教师的信息化教学冲动不可阻挡,教师们的课件资源迅速增加,这些宝贵的资源,也都对存储提出了需求——以往,大家更多地关注存储容量,随着校园网内教师、学生们网络应用方向趋于多元化,对网络存储的性能要求也越来越迫切,因此,大家也开始关注存储设备的性能。
校园信息化带来了校园内各种信息数据的存储安全问题。校园内各种管理系统储存的信息,需要高安全性、高稳定性的存储设备。
2.2 设备选型需要参考的因素
校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足客户需求。
2.2.1 设备选型原则
1、代表目前网络系统设备的先进水平。 2、具备较强的安全性。
3、具备优良的RAS 性能--可靠性、可用性、可维护性。 4、具备优良的可扩充性和升级能力。
5、具备优良的性能价格比,根据现在的需求和可以预见的需求增长情况设计网络,不追求空洞的技术先进性,避免追求高档和最新技术花费的巨大代价。
第3章 公钥基础设施PKI 技术
3.1 PKI 技术基础
3.1.1 PKI 的概念
PKI (Public Key Infrastructure )即公钥基础设施。广义上讲,它是一套安全服务的集合,运用公钥密码的基础理论,为网络应用提供诸如认证、授权、加密、数字签证等安全服务。公钥认证机制为人们提供了一种安全、可靠的方式来获取用户的可信公钥,应用这些公钥,可以获得很多安全特性,如双向鉴别、数据完整性和交易的抗抵赖,因此公钥认证对于开放网络上的交易具有重要意义。
3.1.2 PKI 的组成
一个PKI 系统一般有如下几部分组成:
1. 数字证书:PKI 系统中的最基本的元素,所有安全实现都要以数字证书为基础。
2. CA :CA (Certificate Authority )即认证中心,是PKI 中非常重要的角色,它是一个可信的第三方权威机构,具有验证用户证书申请、签发证书、定期发布证书实效列表、向应用证书吊销请求等功能,同时还可以为用户存储证书备份、进行密钥恢复。
3. RA :相当于CA 的一个代理机构,帮助CA 完成证书申请的登记和审计工作,并将验证过的证书申请交由CA 签发。
4. 目录服务:用于存储证书以便用户查询,同时发布证书失效列表等。
5. 证书策略:一个PKI 系统可以根据实际应用的具体需要制定不同的证书策略,包括证书扩展项的选用,CA 的部署,证书路径长度等。
3.1.3 PKI 所提供的三种主要的安全服务
1. 鉴别(认证)服务
PKI 提供的鉴别认证服务采用了数字签名密码技术。签名产生于以下三个方面数据的绑定值之上:
①被签名的一些数据。 ②用户希望发送到远程设备的请求。 ③远程设备生成的随机挑战信息。
第一项支持PKI 的数据源鉴别服务,后两项支持PKI 的实体鉴别服务。
2. 完整性服务
PKI 提供的完整性服务可以采用两种技术之一。第一种技术是数字签名技术。既可以提供实体鉴别,也可以保证被鉴别实体的完整性。第二种技术就是消息鉴别码(MAC )。
3. 机密性服务
PKI 提供的机密性服务采用了类似于完整性服务的机制。即:生成一个对称密钥;用对称密钥加密;将加密后的数据及公钥发送给接受者。
3.1.4 PKI 运行模型
用户向RA 提交证书申请或证书注销请求,由RA 审核;RA 将审核后的用户证书申请或证书注销请求提交给CA ;CA 最终签署并颁发用户证书,并且登记在证书库中,同时定期更新证书失效列表(CRL ),供用户查询;从根CA 到本地CA 的存在一条链,下一级CA 有上一级
CA 授权;CA 还可能承担密钥备份及恢复工作。
3.1.5 PKI 在WEB 安全中的应用
为了解决WEB 的安全问题,最合适的入手点是浏览器。SSL 协议(The Secure Sockets Layer )是一个在传输层和应用层之间的安全通信层,在两个实体行的,进行通信之前,先要建立SSL 连接,以此实现对应用层透明的安全通信。利用PKI 技术,SSL 协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全,服务器端和浏览器端分别由可信的第三方颁发数字证书,这样在交易时,双方可以通过数字证书确认对方的身份。需要注意的是,SSL 协议本身并不能提供对不可否认性的支持,这部分的工作必须由数字证书完成。结合SSL 协议和数字证书,PKI 技术可以保证WEB 交易多方面的安全需求,使WEB 上的交易和面对面的交易一样安全。
图3-1 PKI 运行模式
3.2 PKI 技术功能的实现
3.2.1 SSL 协议的介绍
SSL (Secure Sockets Layer )安全套接层协议,是用来解决点到点数据安全传输和传输双方的身份认证而提出来的安全传输协议,该协议独立于一些较高层的应用级协议,如:HTTP 、FTP 、TELNET 等,从OSL 七层模型来看,该协议处于应用层和传输层之间,依赖于面向连接的可靠的传输协议(如:TCP 等)。
3.2.2 SSL 的技术原理
如SSL 的技术原理图3-2所示。一个完整的SSL 连接建立过程如
下:
1. 客户端浏览器连接到WEB 服务器,发出建立安全连接通道的请求。
2. 服务器接受客户端请求,发送服务器证书作为响应。
3. 客户端验证服务器证书的有效性,如果验证通过,则用服务器证书中包含的服务器公钥加密一个会话密钥,并将加密后的数据和客户端用户证书一起发送给服务器。。
4. 服务器收到客户端发来的加密数据后,先验证客户端证书的有效性,如果验证通过,则用其专用的私有密钥解开加密数据,获得会话密钥。然后服务器用客户端证书中包含的公钥加密该会话密钥,并将加密后的数据发送给客户端浏览器。
5. 客户端在收到服务器发来的加密数据后,用其专用的私有密钥解开加密数据,把得到的会话密钥与原来发出去的会话密钥进行对比,如果两把密钥一致,说明服务器身份已经通过认证,双方将使用这把
图3-2 SSL 技术原理图
第4章 CA 证书
4.1 证书的概述
CA (Certificate Authority ,证书颁发机构)是PKI 公钥基础结构中的核心部分。CA 负责管理PKI 结构下的所有用户(包括各种应用程序)的数字证书,把用户的公钥与用户的其他信息捆绑在一起,在网上验证用户的身份。在任何一个PKI 中,CA 都是一个可信的实体,它根据CA 颁发策略负责发布、更新和取消证书。
为保证网络上信息的传输安全,除了在通信传输中采用更强的加密算法等措施之外,必须建立一种信任及信任验证机制,即通信各方必须有一个可以被验证的标识,这就需要使用数字证书。PKI 系统中的数字证书简称证书,它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身份证号等)捆绑在一起。证书的主体可以是用户、计算机、服务等。证书可以用于很多方面,例如Web 用户身份验证、Web 服务器身份验证、安全电子邮件、Internet 协议安全(IPSec )等。数字证书是由权威公正的第三方机构即CA 签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及通信双方身份的真实性、签名信息的不可否认性,从而保障网络应用的安全性。
通常,证书包含以下信息: 1.使用者的公钥值。
2.使用者标识信息(如名称好电子邮件地址)。
3.有效期(证书的有效时间)。 4.颁发者标识信息。
5.颁发者的数字签名,用来证明使用者的公钥和使用者的标识信息之间的绑定关系是否有效。证书只有在指定的期限内才有效,每个证书都包含“有效起始日期”和“有效终止日期”,这两个值设置了有效期的限制。一旦到了证书的有效期,到期证书的使用者就必须申请一个新的证书。
4.2 CA 的作用
CA 可以自己创建,也可以是第三方机构。在复杂的认证体系中,CA 分为不同层次,各层CA 按照目录结构形成一棵树。在CA 体系结构中,根CA 处于核心地位,功能是认证授权。
CA 的核心功能就是颁发和管理数字证书,具体描述如下: 1.处理证书申请
2.鉴定申请者是否有资格接收证书
3.证书的发放:向申请者办法、拒绝颁发数字证书。
4.证书的更新:接收、处理最终用户的数字证书更新请求。 5.接收最终用户数字证书的查询、撤销。 6.产生和发布证书吊销列表(CRL )。 7.数字证书的归档。 8.密钥归档。
9.历史数据归档。
4.3 证书的发放过程
1
4
图4-1 证书发放流程图
1.证书申请:用户根据个人信息填好申请证书的信息并提交证书申请信息。
2.RA 确认用户:在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性。
3.证书策略处理:如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等。
4.RA 提交用户申请信息到CA :RA 用自己私钥对用户申请信息签名,保证用户申请信息是RA 提交给CA 的。
5.CA 为用户生成密钥对,并用CA 的签名密钥对用户的公钥和用户信息ID 进行签名,生成电子证书,这样,CA 就将用户的信息和公钥捆绑在一起了,然后,CA 将用户的数字证书和用户的公用密钥公布到目录中。
6.CA 将电子证书传送给批准该用户的RA 。
7.RA 将电子证书传送给用户(或者用户主动取回)。
8.用户验证CA 颁发的证书:确保自己的信息在签名过程中没有被篡改,而且通过CA 的公钥验证这个证书确实由所信任的CA 机构颁发。
第5章 服务器安全设计方案
5.1 安装证书服务组件
1.打开“控制面板”中的“添加/删除程序”,鼠标单击“添加/删除Windows 组件”,出现“Windows 组件向导”操作窗口,选择“证书服务”复选框。
2.单击“下一步”按钮,组件安装向导开始安装“证书服务”。在默认安装中“证书服务”组件要用Windows 2000 Server 光盘来安装。
3.出现“证书颁发机构类型”,如图5-1所示,选择“独立根CA ”
的安装类型。单击“下一步”按钮。
图5-1证书颁发机构类型
4.出现“CA 标识信息”,如图5-2所示,输入标志该CA 的信息(给自己的CA 起一个名字),单击“下一步”按钮。接下来出现“证书数据存储位置”操作窗口,选择“证书数据库”、“证书数据库日志”和“共享文件夹”的存储路径,即可完成安装。
图5-2 CA 标识信息
“证书服务”组件安装完成后,即在“控制面板”的“管理工具”中增加了一项“证书颁发机构”组件。接下来,可以启动IIS 管理器申请一个数字证书上了。
5.2 生成服务器证书请求文件
1.打开Internet 信息服务管理单元,选择相应的“Web 站点”,单击鼠标右键,从快捷菜单中选择“属性一”,打开属性设置对话框,选
择“目录安全性”选项卡。
2.单击“安全通信”区域中的“服务器证书”按钮,打开Web 服务器证书向导欢迎界面,提示Web 服务器没有安装证书。
3.单击“下一步”按钮,出现如图5-3所示的对话框,选择“创建一个新证书”单选钮。(若选择第二个选项,则将一个已存在的证书分配到该站点。若选择第三个选项,则直接从密钥管理器备份文件导入一个证书)
图5-3 证书分配的方法
4.单击“下一步”按钮,出现“稍后或立即请求”对话框,选择发送证书申请的方法。单击“下一步”按钮,出现如图5-4所示对话框,设置证书“名称”和安全密钥的“长度”。
图5-4 名称和安全属性设置
如果选择“服务器网关加密”选项,将启用服务器端网关加密(SGC ,Server Gateway Cryptogram )算法(128位),SGC 是SSL
的
扩展。服务器端网关加密不需要在客户端浏览器上运行应用程序,虽然SGC 功能已经集成到IIS4.0和以后的版本中,但使用SGC 时仍需要特殊的SGC 证书。
5.单击“下一步”按钮,出现“组织信息”对话框,设置证书的组织信息。
6.单击“下一步”按钮,出现如图5-5所示对话框,设置站点的公用名称。
图 5-5 设置站点名称
站点的公用名称非常重要,可选用Web 服务器的DNS 域名、计算机名和IP 地址。浏览器与Web 服务器建立SSL 连接时,需要使用该名称来识别Web 服务器。例如,公用名称使用域名www.sxlfzw.gov.cn ,在浏览器端使用IP 地址来连接基于SSL 的安全站点,将出现安全证书与站点名称不符的警告。一个证书只能与一个公用名称绑定。
7.单击“下一步”按钮,出现“地理信息”对话框,设置CA 的地理信息,默认继承根证书的有关设置值。
8.单击“下一步”按钮,出现“证书请求文件名”对话框,设置要产生的证书请求文件名及路径。如图5-6所示。
图 5-6 设置证书文件名及路径
9.单击“下一步”按钮,显示证书请求文件的摘要信息。如图5-7所示。
图 5-7 证书请求文件摘要
10.单击“下一步”按钮,再单击“完成”按钮,结束证书文件的创建。可以用文本编辑器打开生成的证书请求文件,进行查看。
5.3 申请服务器证书
Internet 上有许多知名的第三方证书颁发机构,如
http ://www.verisign.com 。国内也有一些证书认证中心。不同的Web 服务器类型,要求的证书也不相同,应选择能够签发所需服务器证书的证书颁发机构。一般第三方证书认证中心都能签发Netscape Web Server ,Microsoft IIS Server ,J ava Web Server ,IBM Web Server ,Lotus Notes Server 和Comino Server 等Web 服务器的证书。
完成服务器证书请求文件的设置后,接下来将刚刚生成的服务器证书提交给刚刚在本地安装的证书服务器。默认情况下“证书服务”组件完成安装后,会在本地的IIS 默认的Web 站点下生成“CertSrv ”虚拟目录。申请服务器证书的步骤如下。
1. 启动服务器的浏览器,在URL 栏中输入:
http ://locahost /CertSrv /default.asp ,打开本地以下书服务的虚拟目录,出现欢迎界面。
2. 选择“申请证书”,单击“下一步”按钮。
3. 选择“高级申请”,单击“下一步”按钮。
4. 选择“高级证书申请”中的第二个选项,即选择使用“base64的编码”方式提交证书申请。如图5-8所示。
图5-8 高级证书申请
5. 填写申请表单。将已经生成的服务器证书请求文件的内容复制到“保存的申请”表单中,在“证书模板”下拉列表中选择“Web 服务器”。如图5-9所示。
图5-9 申请表单
6. 单击“提交”按钮。提交成功后,返回一个页面给申请者,告诉证书已经成功提交,现在是挂起状态,即等待CA 中心来颁发这个证书了。
7. 在“控制面板”中的“管理工具”中,启动“证书颁发机构”,在选定申请中找到刚刚申请的条目,然后用鼠标右键单击“颁发”即可。
5.4 安装服务器证书
证书颁发成功后,就可以安装服务器证书了。在IIS5.0的Web 站点,通过Web 服务器证书向导可以方便地安装服务器证书。
1. 打开Internet 信息服务管理单元,选择“默认Web 站点”,单击鼠标右键,打开“属性”设置对话框,选择“目录安全性”选项卡。鼠标左键单击“安全通信”区域中的“服务器证书”按键,打开“欢迎使用Web 服务器证书向导”界面。
2. 单击“下一步”按钮,出现“挂起的证书请求”对话框,选择“处理挂起的请求并安装证书”
3. 单击“下一步”按钮,出现“处理挂起的请求”对话框,输入证书文件的路径和文件名。单击“浏览”按钮,从磁盘上选择刚刚颁发成功的证书文件。
4.单击“下一步”按钮,显示该证书的摘要信息,如图5-10所示。
图5-10 证书摘要 文件名ServerCert.cer www.sxlfzw.gov.cn 2005-9-30
5. 单击“下一步”按钮,部门购买“完成Web 服务器证书向导”的对话框,单击“完成”按钮,关闭服务器证书安装向导。
6. 回到“目录安全性”选项卡,单击“查看证书”,可进一步查看Web 服务器证书,如图所示。每个Web 站点只能有一个服务器证书,为安全起见,应注意及时备份服务器证书。
5.5 设置Web 服务器的安全通信
安装了服务器证书之后,还要设置Web 服务器上的SSL 端口和SSL 安全通信,才能建立SSL 安全连接。其步骤如下。
1. 在Internet 信息服务管理单元中,选择欲启用SSL 保护的“Web 站点”,单击鼠标右键打开“属性”设置对话框,在“Web 站点”选项卡设置“SSL 端口”,默认的端口号是443。如图5-11所示。
2. 在图5-11中,鼠标单击“目录安全性”选项卡,鼠标单击“安全通信”区域的“编辑”按钮,出现如图5-12所示的“安全通信”对话框。如果选中“申请安全通道(SSL )” 复选框,则强制浏览器与Web 站点(或者目录、文件)建立SSL 加密通信连接。选中“申请128
位加密”复选框,则强制SSL 连接使用128位加密。
图5-11 默认Web 站点属性
图 5-12 申请安全通道
3. 客户证书选项设置。一般可选用默认选项“忽略客户证书”,允许没有客户证书的用户访问该Web 资源,因为大部分Web 访问都是匿名的。若选用“接收客户证书”或“申请客户证书”,则只允许有客户证书的用户访问该Web 资源,即禁止匿名访问。
建立了SSL 安全机制后,只有SSL 允许的客户才能与SSL 允许的Web 站点进行通信,并且在使用URL 资源定位器时,输入https ://,而不是http :// 。
5.6 安装浏览器的根CA 证书及测试SSL 连接
仅有以上服务器端的设置,还不能确保SSL 连接的顺利建立。当浏览器与Web 服务器进行SSL 连接之前,客户必须能够信任颁发服务器证书的CA ,只有服务器和浏览器两端都信任同一CA
,彼此之间才
能协商建立SSL 连接。
在客户端计算机的根证书存储区安装该证书颁发机构的CA 证书步骤如下。
1. 启动IE 浏览器,打开https://locahost/CertSrv/ default.asp ,出现欢迎界面。
2. 选择“检查CA 证书或证书员销列表”,鼠标单击“下一步”按钮。
3. 出现如图5-13所示的界面,鼠标单击“安装此CA 证书路径”链接。
图5-13 安装CA 证书路径
4.出现“根证书存储”对话框,鼠标单击“是”按钮,将CA 添加到浏览器的“受信任的根证书颁发机构”。
5. 出现界面,提示CA 证书已安装。说明已将该CA 证书添加到根证书存储区。此时,在IE 浏览器中选择菜单“工具”→“Internet 选项”。打开“Internet 选项”对话框,选择“内容”选项卡,鼠标单击“证书”按钮,出现如图5-14所示的对话框,选择“受信任的根证书颁发机构”选项卡,可以发现新增加的CA 证书。
5.7 SSL 客户的验证
服务器证书用来让客户用来让客户识别服务器身份,客户证书用来让服务器识别客户身份。SSL 支持服务器验证,也支持客户验证。要实现客户验证,除了上述证书的安装和设置外,还应安装相应的客户证书,并在服务器上设置对客户验证的支持。
在Internet 信息服务管理单元中,选择需使用SSL 保护的“Web 站点”。单击鼠标右键,打开“属性”设置对话框,选择“目录安全通信”区域中的“编辑”按钮。在打开的“安全通信”对话框中,可选择三
种“客户证书”类型的一种。三种客户证书含义如下。
图 5-14 受信任的根证书颁发机构
1. 忽略客户证书。该选项是SSL 默认的方式,允许没有客户证书的用户使用浏览器访问安全的Web 站点。
2. 接收客户证书。选择该选项,系统会提示用户出具客户证书。
3. 申请客户证书。选择该选项,只有具有有效客户证书的用户才能使用SSL 连接,没有有效客户证书的用户将被拒绝访问。这是最严格的安全选项。
无论是选择“接收客户证书”,或者是选择“申请客户证书”,当使用浏览器访问安全Web 站点时,系统将要求客户端提供客户证书。
用户访问安全Web 站点时,要求客户证书并不能防止并不能防止站点内容受到未授权的访问。拥有客户证书的所有用户可以建立安全连接并访问资源。为了防止Web 内容受到未授权的访问,除了要求客户证书外,还必须使用摘要式验证或集成Windows 验证,并创建客户证书的Windows 账户映射。
结论
由于Internet 的开放性和信息传输的广域性,在互联网上不时发生恶意攻击和黑客入侵事件、重要数据资料被窃取或篡改、甚至造成网络瘫痪,给各个国家和组织造成直接或间接的损失,并危害到国家和地区的安全。Internet 上众多的Web 服务器汇集了大量的信息,提供各种各样的服务,往往成为恶意攻击的目标。
本文首先分析了服务器存在的主要安全问题,重点讨论了信息在传输过程中存在的安全问题,并对PKI 技术,进行了大量的分析和研究工作。随后本文从保障信息安全的观点出发,依次讨论了相关的安全算法、数字签名以及CA 证书的相关知识。最后本文设计了一个保障服务器和客户端安全有效传输信息的方案,使得信息能够安全有效的传输。
基于 Internet的Web 服务器系统安全是一个涉及到许多领域的系统工程。本文所做的工作只是对基于Internet 的Web 服务器安全中的部分问题的一个初步探讨。还有许多问题丞待解决。基于Internet 的Web 服务器系统具有广阔的应用前景和庞大的市场价值。而这一切都是建立在Web 服务器系统安全的基础之上。实际应用的需要必将推动基于Internet 的Web 服务器安全研究的不断发展和完善。
参考文献
[1] 关振胜.公钥基础设施PKI 与认证机构CA [M ].北京:电子工业出版社,2002:25-42.
[2] 张猛,杨可新,鞠九滨.改进加密算法实现的性能[M ].北京:软件学报,20016. :878-883.
[3] 刘玉珍等译.Wiliam Stallings ,密码编码学与网络安全一原理与实践(第三版)[M ],北京:电子工业出版社,2004,210-227.
[4] 谢冬青,冷健.PKI 原理与技术[M ].北京:清华大学出版社,2005:22-27.
[5] 谭作文,浏卓军.一个前向安全的强代理签名方案[M ].信息与电子工程,2003:257-259.
[6] 匿名著.网络安全技术内幕[M ].北京:机械工业出版社,2000:87-99.
[7] 曹建.Internet 与E -mail 安全防范实用技术[M ].成都:电子科技大学出版社,2008:34-66.
[8] 冯登国著.计算机通信网络安全[M ].北京:清华大学出版社,2001:231-245.
[9](美)福罗赞(Forouzan ,BA )著,马振晗,贾军保译.密码学与网络安全(国外计算机科学经典教材).北京:清华大学出版社,2009:1-180.
[10] 胡振宇,蒋建春.密码学基础与安全应用[M ].北京邮电大学出版社,2008:23-76.
[11] 步山岳,张有东.计算机信息安全技术[M ].北京:高等教育出版社,2005:34-39.
[12] 梁亚声.计算机网络安全教程(第2版)[M ].北京:机械工业出版社,2008:58-98.
[13]《中国商用密码认证体系结构研究》课题组.数字证书应用技术指南[M ].北京:电子工业出版社,2008:78-107.
致谢
当我要在此划上最后一个句号时,我意识到,在纵横的四年的本科生活已临近尾声了。感觉时光如梭,往事历历在目。特别是想到在我周围那一群可敬可爱的人,心情难以平静。
这四年平静而充实的学习生活,是我人生中一段不平凡的经历。在此首先感谢我的指导老师刘仁山老师。刘老师知识渊博、治学严谨、为人和蔼,在论文的选题上,刘老师凭其对密码学、信息安全知识领域的深刻理解和敏锐的洞察力给予我及时的帮助。刘老师精益求精的教学态度、勤勤恳恳的工作作风给了我潜移默化的熏陶,必将使我终生受益。在论文完成之际,再次对刘老师的精心指导和悉心帮助表示最衷心的感谢。
其次还要感谢我周围的同学,在他们的关心和帮助下我才更顺利的完成了毕业论文。
最后要感谢我的家人,因为她们在生活上任劳任怨才为我营造了一个良好的学习环境,使我无后顾之忧,能够安心顺利度过四年的学习生活。
计算机技术和网络技术日新月异地飞速发展,人们总是处于不断学习阶段,再加上作者水平有限,所以本文肯定存在不少错误和不尽如人意之处,欢迎广大老师和同学批评指正,在此深表感谢。