【文章內(nèi)容簡介】 簽名的文檔下載到C主機(jī)上，并檢查是否可以打開并查看里面的內(nèi)容實(shí)驗(yàn)報(bào)告：1. 私鑰加密體制與公鑰加密體制知識(shí)介紹2. 分析對(duì)比對(duì)稱加密與非對(duì)稱加密算法；3. 利用PGP實(shí)施加密、驗(yàn)證與簽名4. 檢驗(yàn)加密、驗(yàn)證與簽名的有效性實(shí)驗(yàn)三 利用數(shù)字證書保護(hù)通信實(shí)驗(yàn)?zāi)康模?. 要保護(hù)通過IE瀏覽器訪問某WWW服務(wù)器上的關(guān)鍵服務(wù)時(shí)，能同時(shí)實(shí)現(xiàn)數(shù)據(jù)機(jī)密性、完整性與真實(shí)性的保護(hù)。2. 數(shù)字證書服務(wù)機(jī)構(gòu)的實(shí)現(xiàn)流程。3. 數(shù)字證書的申請(qǐng)與頒發(fā)以及吊銷流程實(shí)驗(yàn)要求：1. 理解數(shù)字證書的原理及工作流程2. 能正確安裝配置CA服務(wù)器，為客戶及服務(wù)器頒發(fā)數(shù)字證書，并能正確安裝證書。3. 對(duì)數(shù)字證書的安全防護(hù)措施操作有效并符合標(biāo)準(zhǔn)與規(guī)范。4. 能夠采用正確的方法對(duì)數(shù)字證書的保護(hù)措施進(jìn)行檢查，并能說明查驗(yàn)過程中的各步驟理論依據(jù)。實(shí)驗(yàn)工具與軟件：WIN2003操作系統(tǒng)； 安裝CA服務(wù)器；IE瀏覽器。實(shí)驗(yàn)原理：數(shù)字簽名 數(shù)字簽名是指發(fā)送方以電子形式簽名一個(gè)消息或文件，表示簽名人對(duì)該消息或文件的內(nèi)容負(fù)有責(zé)任。數(shù)字簽名綜合使用了數(shù)字摘要和非對(duì)稱加密技術(shù)，可以在保證數(shù)據(jù)完整性的同時(shí)保證數(shù)據(jù)的真實(shí)性。 如下圖所示，A把要發(fā)送的原文通過HASH算法得到摘要1，并用A的私鑰加密得到A的數(shù)字簽名。把此簽名與原文一并通過公共網(wǎng)絡(luò)發(fā)給B，B用A的公鑰即可確認(rèn)數(shù)據(jù)是否是由A發(fā)來的，并通過后面的摘要對(duì)比確定數(shù)據(jù)是否完整?；ヂ?lián)網(wǎng)Wele toBeiJingxxxxxxxxxxxxxxxWele toBeiJing黑客發(fā)送端A接收端B原文摘要1原文摘要2對(duì)比HASH算法yyyyyYyyyyyyyyyA的私鑰數(shù)字簽名yyyyyYyyyyyyyyy數(shù)字簽名xxxxxxxxxxxxxxx摘要1xxxxxxxxxxxxxxxA的公鑰HASH算法圖 1數(shù)字證書 （1）數(shù)字證書 數(shù)字證書(Digital ID) 含有證書持有者的有關(guān)信息，是在網(wǎng)絡(luò)上證明證書持有者身份的數(shù)字標(biāo)識(shí)，它由權(quán)威的認(rèn)證中心(CA)頒發(fā)。 CA是一個(gè)專門驗(yàn)證交易各方身份的權(quán)威機(jī)構(gòu)，它向涉及交易的實(shí)體頒發(fā)數(shù)字證書。 數(shù)字證書由CA做了數(shù)字簽名，任何第三方都無法修改證書內(nèi)容。交易各方通過出示自己的數(shù)字證書來證明自己的身份。 在電子商務(wù)中，數(shù)字證書主要有客戶證書、商家證書兩種。客戶證書用于證明電子商務(wù)活動(dòng)中客戶端的身份，一般安裝在客戶瀏覽器上。商家證書簽發(fā)給向客戶提供服務(wù)的商家，一般安裝在商家的服務(wù)器中，用于向客戶證明商家的合法身份。（2）數(shù)字證書包含內(nèi)容 數(shù)字證書就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗(yàn)證您身份的方式，其作用類似于司機(jī)的駕駛執(zhí)照或日常生活中的身份證。它是由一個(gè)由權(quán)威機(jī)構(gòu)CA機(jī)構(gòu)，又稱為證書授權(quán)(CertificateAuthority)中心發(fā)行的，人們可以在網(wǎng)上用它來識(shí)別對(duì)方的身份。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個(gè)公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時(shí)間，發(fā)證機(jī)關(guān)(證書授權(quán)中心)的名稱，該證書的序列號(hào)等信息，證書的格式遵循ITUT　?。篴) 證書的版本信息；b) 證書的序列號(hào)，每個(gè)證書都有一個(gè)唯一的證書序列號(hào)；c) 證書所使用的簽名算法；d) 證書的發(fā)行機(jī)構(gòu)名稱，；e) 證書的有效期，現(xiàn)在通用的證書一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為19502049；f) 證書所有人的名稱，；g) 證書所有人的公開密鑰；h) 證書發(fā)行者對(duì)證書的簽名（CA的簽名）。安全認(rèn)證機(jī)構(gòu)功能 認(rèn)證中心(Certificate Authority)是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書，確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。CA通常是企業(yè)性的服務(wù)機(jī)構(gòu)，主要任務(wù)是受理數(shù)字證書的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書的管理。在實(shí)際運(yùn)作中，CA可由大家都信任的一方擔(dān)當(dāng)。CA的職能：證書發(fā)放、證書更新、證書撤銷和證書驗(yàn)證。從功能上類似于發(fā)放身份證的公安局。任務(wù)構(gòu)成 在本工任務(wù)中，參與的3個(gè)對(duì)象構(gòu)及活動(dòng)。1. 證書頒發(fā)者：頒發(fā)與吊銷證書； 2. 證書持有者：申請(qǐng)、安裝并出示（使用）證書；3. 證書的檢驗(yàn)者：檢查證書真實(shí)有效性。實(shí)驗(yàn)步驟：基于IIS與IE瀏覽器實(shí)施數(shù)字證書保護(hù)（1）基于Windows2003 Server 建立CA認(rèn)證中心（在A主機(jī)上完成） 選擇開始控制面板添加刪除程序添加刪除Windows組件： 提示安裝證書服務(wù)后不能改變計(jì)算機(jī)名了，選擇是后，有四種類型的證書頒發(fā)機(jī)構(gòu)，如果本機(jī)是活動(dòng)目錄，則都可選擇，如果不是則只有后兩項(xiàng)可以選擇，即獨(dú)立的根CA（CA 體系中最受信任的 CA。不需要 Active Directory。）和獨(dú)立的從屬CA（標(biāo)準(zhǔn) CA 可以給任何用戶或計(jì)算機(jī)頒發(fā)證書。必須從另一個(gè) CA 獲取 CA 證書。不需要 Active Directory。）這里選擇獨(dú)立的根CA。圖 2接下來要求輸入CA機(jī)構(gòu)的一些信息。這些都是CA的真實(shí)信息，要得到申請(qǐng)者的確信。 然后，會(huì)給出證書數(shù)據(jù)庫與日志的存放位置設(shè)置，默認(rèn)為C:\WINNT\system32\CertLog，系統(tǒng)目錄下。開始復(fù)制數(shù)據(jù)，要求提供WIN2000安裝文件或光盤。放入光盤或指定好位置后就可以完成CA服務(wù)的安裝了。證書的申請(qǐng)要通過IIS以WEB形式完成。安裝完成后會(huì)在IIS中建立兩個(gè)虛擬目錄CertControl和CertEnroll用于證書的申請(qǐng)與管理。 現(xiàn)在可以選擇開始程序管理工具證書頒發(fā)機(jī)構(gòu)，可以查看是否有證書的申請(qǐng)，即待發(fā)證書，也可以對(duì)證書進(jìn)行吊銷等管理了。圖 3（2）數(shù)字證書的申請(qǐng)和簽發(fā)步驟：①申請(qǐng)者向某CA申請(qǐng)數(shù)字證書后，下載并安裝該CA的“自簽名證書”或更高級(jí)的CA向該CA簽發(fā)的數(shù)字證書，驗(yàn)證CA身份的真實(shí)性。②申請(qǐng)者的計(jì)算機(jī)隨機(jī)產(chǎn)生一對(duì)公私密鑰。③申請(qǐng)者把私鑰留下，把公鑰和申請(qǐng)明文用CA的公鑰加密，發(fā)送給CA。④CA受理證書申請(qǐng)并核實(shí)申請(qǐng)者提交的信息.⑤CA用自己的私鑰對(duì)頒發(fā)的數(shù)字證書進(jìn)行數(shù)字簽名，并發(fā)送給申請(qǐng)者。⑥經(jīng)CA簽名過的數(shù)字證書安裝在申請(qǐng)方的計(jì)算機(jī)上。 可參見后面圖所示過程（注：，則證書申請(qǐng)的URL為：）CA認(rèn)證中心商家（WEB網(wǎng)站）客戶（IE瀏覽器）申請(qǐng)客戶證書驗(yàn)證并發(fā)放客戶證書申請(qǐng)服務(wù)器證書驗(yàn)證并發(fā)放服務(wù)器證書圖 4商家WEB服務(wù)器申請(qǐng)CA證書（在C主機(jī)上完成）（1）生成服務(wù)申請(qǐng)證書的文件在IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性，中選擇安全通信，服務(wù)器證書，然后下一步，在出現(xiàn)的下一個(gè)窗口中選擇“創(chuàng)建一個(gè)新證書”，下一步后出現(xiàn)，現(xiàn)在準(zhǔn)備請(qǐng)求…，依次選擇下一步，輸入證書名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會(huì)生成一個(gè)請(qǐng)求文件名，默認(rèn)為：c:\，也可修改。圖 5 （2）通過IE瀏覽器申請(qǐng)證書（在C主機(jī)上完成） 在商家WEB服務(wù)器的IE瀏覽器中輸入CA服務(wù)器的URL：圖6在出現(xiàn)的選擇項(xiàng)中選擇申請(qǐng)證書后點(diǎn)下一步。在出現(xiàn)的窗口中選擇高級(jí)申請(qǐng)，因?yàn)橐暾?qǐng)的是WEB服務(wù)器證書。下一步后，接下來選擇：“使用 base64 編碼的 PKCS 10 文件提交一個(gè)證書申請(qǐng)，或使用 base64 編碼的 PKCS 7 文件更新證書申請(qǐng)?！焙笙乱徊健Ｈ缓筮x擇窗口中的瀏覽，如果出現(xiàn)提示警告，則是因?yàn)檫@里是一個(gè)ActiveX控件，IE默認(rèn)級(jí)別為中級(jí)，不允許運(yùn)行ActiveX控件，這里選擇IE右鍵屬性，在安全中把Internet的安全級(jí)別中的ActiveX設(shè)置為啟用即可。再次選擇窗口中的瀏覽，則會(huì)出現(xiàn)路徑選擇：c:\。如下圖所示，點(diǎn)提交后會(huì)出現(xiàn)證書掛起，等待CA頒發(fā)。這里可通知CA服務(wù)器管理員進(jìn)行信息核實(shí)后頒發(fā)證書。圖7（3）CA中心頒發(fā)證書（在A主機(jī)上完成） 這時(shí)在CA的服務(wù)器上打開，CA中心證書頒發(fā)機(jī)構(gòu)。選擇待定證書，會(huì)發(fā)現(xiàn)剛才的申請(qǐng)，右鍵選擇所有任務(wù)中的頒發(fā)即可。圖 8（4）通過IE瀏覽器下載并保存證書（在C主機(jī)上完成） 此時(shí)商家計(jì)算機(jī)可以通過IE瀏覽器打開申請(qǐng)證書時(shí)的URL：“檢查掛起證書”。選擇下載證書到本地計(jì)算機(jī)。（5）在IIS服務(wù)WEB站點(diǎn)上安裝此證書（在C主機(jī)上完成） 再次進(jìn)入，IIS服務(wù)器中的WEB站點(diǎn)上右鍵屬性，目錄安全性中選擇安全通信，服務(wù)器證書，會(huì)發(fā)現(xiàn)有所變化。選擇處理掛起的請(qǐng)求并安裝證書，并找到剛才下載的證書并安裝。圖 9客戶IE瀏覽器端申請(qǐng)CA證書（在B主機(jī)上完成） 此步驟可參考服務(wù)器端?；臼侨缦逻^程，區(qū)別是不用在IIS上生成請(qǐng)求文件了：（1）通過IE瀏覽器申請(qǐng)證書，申請(qǐng)時(shí)要選擇WEB瀏覽器證書。（2）CA中心頒如證書。（3）通過IE瀏覽器下載并保存證書，或選擇安裝即可。如果成功安裝了證書會(huì)在IE瀏覽器的選項(xiàng)中的內(nèi)容下的證書中看到證書的相關(guān)信息。圖 10數(shù)字證書的驗(yàn)證過程(以B、C雙方進(jìn)行安全通信時(shí)B驗(yàn)證A的數(shù)字證書為例 )：　① B要求C出示數(shù)字證書?！、?C將自己的數(shù)字證書發(fā)送給B。 ③ B首先驗(yàn)證簽發(fā)該證書的CA是否合法。 ?、?B用CA的公鑰解密A證書的數(shù)字簽名，得到C證書的數(shù)字摘要。 ?、?B用摘要算法對(duì)C的證書明文制作數(shù)字摘要。 ?、?B將兩個(gè)數(shù)字摘要進(jìn)行對(duì)比。如相同，則說明C的數(shù)字證書合法。CA認(rèn)證中心C商家（WEB網(wǎng)站）B客戶（IE瀏覽器）客戶要求商家出示數(shù)字證書商家將自己的數(shù)字證書發(fā)送給客戶圖 11圖 12測(cè)試在數(shù)字證書保護(hù)下通信的安全性 以B訪問C進(jìn)行安全通信為例：　 此時(shí)在B主機(jī)的瀏覽器中輸入：//，就可以實(shí)現(xiàn)通過安全的HTTPS協(xié)議進(jìn)行網(wǎng)站的訪問了。 此時(shí)可以利用Sniffer pro進(jìn)行捕獲分析，可以在B或C主機(jī)上完成檢查工作。實(shí)驗(yàn)報(bào)告：1. 數(shù)字證書的原理及工作的流程。2. 正確安裝配置CA服務(wù)器，為客戶及服務(wù)器頒發(fā)數(shù)字證書，并能正確安裝證書的步驟。3. 說明查驗(yàn)過程中的各步驟理論依據(jù)實(shí)驗(yàn)四 利用隧道技術(shù)連接企業(yè)與分支實(shí)驗(yàn)?zāi)康模?. 理解隧道技術(shù)，知道隧道技術(shù)的應(yīng)用，熟悉GRE封裝格式。2. 能正確配置路由器，并能在路由器上配置隧道技術(shù)，實(shí)現(xiàn)基于GRE封裝的隧道。3. 對(duì)隧道技術(shù)配置操作有效并符合標(biāo)準(zhǔn)與規(guī)范。4. 能夠采用正確的方法對(duì)GRE隧道封裝結(jié)果進(jìn)行檢查，并能說明查驗(yàn)結(jié)果說明了哪些原理。實(shí)驗(yàn)要求：1. 理解通過公共網(wǎng)絡(luò)把兩個(gè)私有網(wǎng)絡(luò)連接起來的技術(shù)。2. 學(xué)習(xí)隧道技術(shù)，協(xié)議是可以多次包裝的3. 掌握隧道協(xié)議GRE在路由器上的配置，以實(shí)現(xiàn)總部與分支的連接實(shí)驗(yàn)工具與軟件：路由器模擬軟件DynamipsGUI； 路由器配置軟件及路由器IOS； 實(shí)際路由器配置中的工具軟件。實(shí)驗(yàn)原理：隧道技術(shù)的應(yīng)用（1）連接現(xiàn)同網(wǎng)絡(luò)層協(xié)議的網(wǎng)絡(luò)：對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP, IPX等）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）的網(wǎng)絡(luò)中傳輸。如圖所示：IPX網(wǎng)絡(luò)IP網(wǎng)絡(luò)IPX網(wǎng)絡(luò)IPv6網(wǎng)絡(luò)IPv4網(wǎng)絡(luò)IPv6網(wǎng)絡(luò)圖 1（2）通過公共網(wǎng)絡(luò)連接兩個(gè)私有IP網(wǎng)絡(luò)，同時(shí)利用隧道技術(shù)可以進(jìn)行加密封裝處理。如后面要講到的基于IPSec的VPN。私有網(wǎng)絡(luò)公共網(wǎng)絡(luò)私有網(wǎng)絡(luò)C圖加密的隧道圖 2通用路由封裝協(xié)議 GRE (Generic Routing Encapsulation): 是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如：IP, IPX等）的數(shù)據(jù)報(bào)文進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報(bào)文能夠在另一個(gè)網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸，GRE在IP協(xié)議中的協(xié)議號(hào)為47。GRE 提供了將一種協(xié)議的報(bào)文封裝在另一種協(xié)議報(bào)文中的機(jī)制，使報(bào)文能夠在異種網(wǎng)絡(luò)中傳輸，異種報(bào)文傳輸?shù)耐ǖ婪Q為tunnel。圖 3GRE私網(wǎng)IP頭公網(wǎng)IP頭（協(xié)議號(hào)47）上層數(shù)據(jù)私有IP網(wǎng)絡(luò)公網(wǎng)IP網(wǎng)絡(luò)私有IP網(wǎng)絡(luò)AB圖 4通用路由封裝（GRE）最初由Cisco開發(fā)，由RFC 170RFC 1702和RFC 2784標(biāo)準(zhǔn)定義。GRE是一種隧道，它規(guī)定了怎樣用一種網(wǎng)絡(luò)層協(xié)議去封裝另一種網(wǎng)絡(luò)層協(xié)議的方法。但它并不是一種安全的隧道方法。但可以用IPSec的加密方法對(duì)GRE進(jìn)行加密，實(shí)現(xiàn)安全的VPN。 當(dāng)然還有其它的隧道協(xié)議，GRE是基于網(wǎng)絡(luò)層次結(jié)構(gòu)中的第三層，還有基于二層的隧道協(xié)議L2TP等。后面的VPN技術(shù)中將進(jìn)一步介紹。隧道技術(shù)的概括 隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。 被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。 實(shí)驗(yàn)步驟：工具軟件使用路由器模擬軟件DynamipsGUI 下面是DynamipsGUI的安裝界面，在完成DynamipsGUI的安裝后，系統(tǒng)會(huì)提示需要WinPcap（這是一個(gè)包