【正文】 掛起時的運行狀態(tài)，以便接著工作。VMware虛擬機軟件不需要重開機，就能在同一臺電腦使用好幾個OS，不但方便，而且安全,為了更好的運行虛擬機,一般對要求宿主計算機有比較大的內(nèi)存(大于256M,推薦512M)。如果通過實驗，達到了這三個目的，就算是一個成功的實驗課了。所以實驗內(nèi)容之一就是建立一個這樣的安全環(huán)境。（3）密鑰備份及恢復系統(tǒng)對用戶的解密密鑰進行備份，當丟失時進行恢復，而簽名密鑰不能備份和恢復。PKI這種遵循標準的密鑰管理平臺，能夠為所有網(wǎng)絡應用透明地提供采用加密和數(shù)字簽名等密碼服務所需要的密碼和證書管理。RA 系統(tǒng)是 CA 的證書發(fā)放、管理的延伸。（7）數(shù)字證書的歸檔。用戶通過定期下載，在驗證證書有效性時使用。6． 數(shù)字證書數(shù)字證書是指利用數(shù)字簽名技術實現(xiàn)的經(jīng)由第三方可信的、權威的機構CA簽發(fā)的，將被認證對象（用戶）的身份信息和其公開鑰進行有效捆綁而編碼形成的數(shù)字認證信息。在假定或已知消息正確時，將MAC附于發(fā)送方的消息后；接收方可通過計算MAC來認證該消息。在網(wǎng)絡安全協(xié)議中，雜湊函數(shù)用來處理電子簽名，將冗長的簽名文件壓縮為一段獨特的數(shù)字信息，像指紋鑒別身份一樣保證原來數(shù)字簽名文件的合法性和安全性。公開密鑰加密系統(tǒng)還能夠很容易地實現(xiàn)數(shù)字簽名。更高的要求是當敵手即使擁有部分密文以及相應明文段落也不能導出明文或者發(fā)現(xiàn)密鑰系統(tǒng)。使學生掌握計算機系統(tǒng)安全基本知識，如內(nèi)容涉及信息安全的基本理論框架，包括網(wǎng)絡安全框架如安全模型，安全體系結構等；對稱密碼技術、公開鑰密碼技術、HASH函數(shù)、MAC函數(shù)等基本密碼學理論，同時也涉及到更高層的基于密碼技術的安全協(xié)議分析和應用，也兼顧網(wǎng)絡入侵、惡意軟件、防火墻等網(wǎng)絡安全技術。本課程主要闡述如何保護自己的計算機以及網(wǎng)絡系統(tǒng)中的數(shù)據(jù)不被破壞和丟失，如何保證數(shù)據(jù)在傳輸過程中的安全，如何避免數(shù)據(jù)被篡改以及確保數(shù)據(jù)的真實性等問題。 目 錄一、 信息安全基本理論簡介 4二、 實驗基本環(huán)境簡介 9三、 系列實驗 10實驗一 VMWARE虛擬機和WIN2000安裝 10實驗二 Sniffer網(wǎng)絡偵聽和pcap編程 14實驗三 對稱加密算法實驗 20實驗四 公鑰算法實驗 24實驗五 微軟CA組件安裝和配置 28實驗六 EJBCA系統(tǒng)的安裝和配置 30實驗七 SureCA系統(tǒng)的安裝和配置 45實驗八 安全電子郵件的配置和使用 62實驗九 安全WEB訪問的配置和使用 68實驗十 OPENSSL軟件包的使用 76實驗十一 OpenVPN配置和使用 82一、 信息安全基本理論簡介1． 對稱密碼技術對稱密碼加密也稱常規(guī)密碼加密、單鑰密碼加密、秘密密鑰加密，它包括許多數(shù)據(jù)加密方法。目前，公鑰密碼理論中大量使用數(shù)論等數(shù)學理論和方法，對現(xiàn)代密碼學產(chǎn)生了深遠的影響。經(jīng)過這些算法的處理，原始信息即使只更動一個字母，對應的壓縮信息也會變?yōu)榻厝徊煌摹爸讣y”，這就保證了經(jīng)過處理信息的唯一性。散列函數(shù)值行的作用是對消息 Ｍ產(chǎn)生一個“摘要”，使得接收方能夠對消息 Ｍ的完整性進行檢驗?；诿艽a技術的數(shù)字簽名一般采用具有數(shù)字簽名功能的公開鑰密碼算法，如RSA、DSA等。7． 證書注銷列表（黑名單）數(shù)字證書在有效期內(nèi)因各種原因（對應秘密鑰丟失、身份信息變更等）可能變得不安全，需要申請注銷。（4）接收、處理最終用戶的數(shù)字證書更新請求—證書的更新。（2）CA 替用戶生成密鑰對，然后將其以安全的方式傳送給用戶，該過程必須確保密鑰的機密性、完整性和可驗證性。9． PKI公鑰基礎設施（Public Key Infrastructure,PKI）是一個用公開鑰密碼算法原理和技術實現(xiàn)并提供安全服務的具有通用性的安全基礎設施。PKI首先必須具有可信任的認證機構，在公鑰加密技術基礎上實現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放以及證書撤銷管理等功能，并包括實現(xiàn)這些功能的硬件、軟件、人力資源、相關政策和操作規(guī)范以及為 PKI體系中的各成員提供全部的安全服務，例如，身份認證、數(shù)據(jù)保密性、完整性以及不可否認性服務等。本實驗建議在微機實驗平臺上首先安裝一個硬件虛擬軟件環(huán)境，如VMWARE等。l 利用各種CA平臺，簽發(fā)各種類型的數(shù)字證書，并在實際應用環(huán)境中進行配置（典型和成熟的應用包括： 安全電子郵件系統(tǒng)、安全WEB訪問等）。利用它，你可以在一臺電腦上將硬盤和內(nèi)存的一部分拿出來虛擬出若干臺機器，每臺機器可以運行單獨的操作系統(tǒng)而互不干擾，這些“新”機器各自擁有自己獨立的CMOS、硬盤和操作系統(tǒng)，你可以像使用普通機器一樣對它們進行分區(qū)、格式化、安裝系統(tǒng)和應用軟件等操作，還可以將這幾個操作系統(tǒng)聯(lián)成一個網(wǎng)絡。2．建立一個虛擬系統(tǒng)：WIN2000 SERVER在虛擬機中的安裝雙擊桌面的“VMware”圖標，即可進入VMware的主窗口，點擊右側的New Virtual Machine即可新建一個虛擬系統(tǒng)，之后選擇Typical，再選擇一種要安裝的操作系統(tǒng) 。不要在虛擬機中使用Ctrl+Alt+Del組合鍵，因為主機系統(tǒng)同樣也會對這個組合鍵做出反應，你應當使用Ctrl+Alt+Ins來代替。由于實際驅動設備的程序仍是在本機系統(tǒng)上運行的驅動程序，實際上的效率并沒有多少降低。（3） 用winpcap/libpcap開發(fā)庫進行編程開發(fā)(選做)。（注：后面使用了不同時期的版本程序的屏幕截圖，但是和新版的基本類似）。其它程序使用自己的報文格式，比如報文等則一般不能被解析。 觀察口令推薦三類可以觀察到口令的情形。登錄學習論壇，記錄流量，一般可以觀察到帳號和口令。（3） 選做：發(fā)送分組(幀)，實現(xiàn)假冒和重放。 ，請參見 in ，at 。 實驗指導分組算法在程序實現(xiàn)時一般首先被抽象為這樣一個基本函數(shù)：F（K，IN，ENC/DEC）= OUT其中IN是固定長度的輸入分組（DES算法是8字節(jié)，AES是16字節(jié)），OUT是同樣長度的輸出分組，密鑰K是隨機比特串（DES是56比特，AES是128比特）。int DES_set_key(const_DES_cblock *key,DES_key_schedule *schedule)。參數(shù)numbits則指示了CFB每次循環(huán)加密多少明文比特，也即密文反饋的比特數(shù)目。void DES_ofb_encrypt(const unsigned char *in,unsigned char *out,int numbits,long length,DES_key_schedule *schedule,DES_cblock *ivec)。void AES_cbc_encrypt()。void RC4_set_key(RC4_KEY *key, int len, const unsigned char *data)。 做一個練習題。習慣上K1稱為公鑰，K2稱為私鑰。目前對于長達663比特的RSA模數(shù)已經(jīng)有成功分解的先例，因此當前典型的應用場合使用1024比特模長的RSA算法，此時一個分組是128字節(jié)。int RSA_public_encrypt(int flen, const unsigned char *from,unsigned char *to, RSA *rsa,int padding)。通常使用對稱算法加密文件，而用公鑰算法加密對稱算法的密鑰，此即混合密碼體制。不熟悉C/C++而擅長Java的可以考慮使用Java環(huán)境實現(xiàn)本實驗題目。你可以為Internet或者公司的內(nèi)部網(wǎng)創(chuàng)建服務器證書，從而可讓你的組織完全控制它自己的證書管理策略。 7. 如果要更改默認密碼設置，請單擊“ 高級選項 ”復選框，將其選中。完成后單擊 “下一步” 。單擊 “確定” 以停止 IIS。“證書申請向導”應該啟動。本文主要介紹針對于Windows XP SP2操作系統(tǒng)平臺的安裝、部署與應用。由于進口控制的限制，J2SDK綁定的JCE policy文件，僅允許有限的加密強度。（）規(guī)范之上靈活的、基于組件的體系結構多級CA多個CA和多級CA，在一個EJBCA實例中建立一個或者多個完整的基礎設施單獨運行，或者在任何J2EE應用中集成它簡單的安裝和配置強大的基于Web的管理界面，并采用了高強度的鑒別算法支持基于命令行的管理，并支持腳本等功能支持個人證書申請或者證書的批量生產(chǎn)服務器和客戶端證書能夠采用PKCS12,F:\EJBCA\\lib。F:\EJBCA\openldap。在命令行下鍵入run命令。CN=AdminCA1,O=PrimeKey Solutions AB,C=SE39。①處的名稱與②處的CN名稱不必相同，因為前者為管理名稱，而后者才是CA機構的對外公布名稱。) : ⑤Now for some information required to set up the administration web interface.在⑤處，提示輸入CA系統(tǒng)的配置ID，接著安裝過程為EJBCA 的 administrative web GUI連接創(chuàng)建一個 SSL 服務器端證書，以備管理員通過SSL協(xié)議連接管理服務器驗證之用。最后根據(jù)系統(tǒng)的提示，重啟JBOSS服務器，本人使用開放源碼的Web瀏覽器Firefox，導入界面如下：在此需要輸入安裝過程中設定的證書庫密碼。RA功能：1） Edit End Entity Profiles類似于CA Fuctions中的Edit Certificate Profiles，該功能單元可以對最終實體的證書類型進行相應的配置。 1． 用戶向RA注冊，RA管理員通過系統(tǒng)Add End Entity功能單元審核并填寫相關信息。1． 使用keytool 工具的非交互模式建立密鑰對，比如，要建立別名為sever，通用名為pyhy，公司為LangChao，部門為Software，城市為JiNan，省份為ShanDong，國家為CN的證書，把它存到了被密碼 adminadmin保護的密鑰庫LCkeystore的密鑰庫中，密鑰長度為1024bit2． 查看證書庫，可見證書已生成3． 生成證書簽發(fā)申請CSR文件4． 到keytool運行目錄下，用純文本方式打開，如圖所示：5． 在CA的管理端建立用戶user001，=pyhy的用戶6． 打開頁面://localhost:8080/ejbca/publicweb/apply/，輸入用戶名密碼取得證書。其基本網(wǎng)絡拓撲結構為客戶/服務器（C/S）模式的，其應用模式為 RA系統(tǒng)/CA系統(tǒng)。采用C／S結構設計。CA管理中心系統(tǒng)安裝軟件包是安裝CA系統(tǒng)后臺管理系統(tǒng)和CA系統(tǒng)通信服務器兩部分，這兩部分共同配合完成CA中心端的核心功能，RA登記中心系統(tǒng)安裝軟件包完成CA系統(tǒng)前臺登記功能，直接面向用戶。（iii） CA端目錄服務器配置 目錄服務器的服務端口默認為389，用戶為：CN=Directory Manager,口令為：12345678（任意），根節(jié)點為：O=SDU_ca_system (CA系統(tǒng)的組織名稱)。不允許再次更新。點擊“證書目錄發(fā)布”按鈕，系統(tǒng)將根據(jù)目錄服務器連接配置，連接目錄服務器，將系統(tǒng)證書發(fā)布到目錄服務器。在安裝該RA系統(tǒng)時需要安裝這兩個文件和CA系統(tǒng)的證書。(VIII) RA登記中心系統(tǒng)軟件配置（1） 啟動RA登記中心系統(tǒng)，出現(xiàn)： 直接執(zhí)行“確定”，顯示： 然后顯示主菜單： 。點擊“CARA通信服務器”圖標，出現(xiàn)提示框： 這時，在桌面右下角出現(xiàn)圖標： ，“確定”后顯示通信服務器配置對話框： （2）修改通信服務器名稱、端口、數(shù)據(jù)庫連接參數(shù)以及通信密鑰的位置等，然后退出重新啟動。選擇菜單“認證服務”—》“批量密鑰生成”，出現(xiàn)對話框，輸入一次生成的密鑰數(shù)量，系統(tǒng)開始生成密鑰。出現(xiàn)提示： （5）然后選擇簽名方法、CRL發(fā)布間隔和各種證書的有效期，如下圖所示： 然后點擊“設為當前值”按鈕，保存當前配置，退出 。接著出現(xiàn)用戶登錄窗口： 因為首次登錄，直接按“確定”。對于RA登記中心端系統(tǒng)，需要數(shù)據(jù)庫服務器支持，又由于操作員的原因，在安裝系統(tǒng)時，可以有不同的機器承擔不同的功能，如選配兩臺機器，一臺機器安裝應用系統(tǒng)，一臺機器安裝數(shù)據(jù)庫系統(tǒng)；也可以選配一臺機器，一臺機器安裝應用系統(tǒng)和數(shù)據(jù)庫系統(tǒng)；也可以選配三臺機器，一臺機器安裝數(shù)據(jù)庫系統(tǒng)，兩臺機器分別安裝應用系統(tǒng)，分別用作錄入機和核心功能機，機器之間通過網(wǎng)絡互連。CA端系統(tǒng)和RA端系統(tǒng)通過網(wǎng)絡互連。CA系統(tǒng)不直接與用戶交互，而是與各個合法的RA系統(tǒng)交互，接收RA系統(tǒng)審核過的用戶認證服務請求，執(zhí)行認證服務，返回認證結果。8． 將下載的證書文件導入到IE瀏覽器，可以查看證書的內(nèi)容：其他功能在此不贅述。 3．獲取數(shù)字證書，你可以手動安裝證書鏈，或在獲取證書的同時，自動安裝證書鏈。3） List End EntitiesRA管理員通過此功能單元，查詢相關用戶的某些信息，并進行相應的操作。EJBCA系統(tǒng)的管理功能可以劃分為四大板塊，包括CA功能，RA功能，日志功能和系統(tǒng)功能。39。Type your policy id or use 39。204839。這時在瀏覽器地址欄中鍵入://localhost:8080或://(本機IP或域名)：8080,會有如下提示：在命令提示符下，接著鍵入install命令：（粗體為系統(tǒng)提示）Wele to EJBCA InstallationThis script acts as a wizard helping you with the installation of your Certificate Auth