【正文】 成后單擊 “下一步” 。填入相應的站點和組織信息。如果未選中“ 高級選項 ”復選框，則繼續(xù)執(zhí)行下一步。 8. 單擊 “下一步” 。 7. 如果要更改默認密碼設置，請單擊“ 高級選項 ”復選框，將其選中。 6. 單擊相應的 CA 類型。 4. 單擊 “下一步”。 2. 雙擊 “添加/刪除程序” 。你可以為Internet或者公司的內部網(wǎng)創(chuàng)建服務器證書，從而可讓你的組織完全控制它自己的證書管理策略。默認安裝WINDOWS操作系統(tǒng)時是不安裝的(除非特別選擇)。3．申請證書、簽發(fā)證書、下載證書等。實驗五 微軟CA組件安裝和配置 實驗目的 通過安裝和配置虛擬機的WINDOWS2000 SERVER操作系統(tǒng)中集成的CA組件,實現(xiàn)瀏覽器證書和WEB證書的簽發(fā),進一步了解微軟公司的PKI技術框架,并能夠使用該模塊,在實際系統(tǒng)中進一步應用(也可以在安裝WINDOWS 2000 SERVER 的時候一并選擇安裝). 實驗內容1．安裝CA組件。不熟悉C/C++而擅長Java的可以考慮使用Java環(huán)境實現(xiàn)本實驗題目。 要求和建議 根據(jù)上面講述的思路，進一步細化方案，并爭取能編程實現(xiàn)這樣一個功能的程序。關于私鑰的保密問題。公式化表示為： RSA（Key，K1）|| RC4（Message，Key） 解密時先用私鑰解密得到Key，再用Key解密得到Message。通常使用對稱算法加密文件，而用公鑰算法加密對稱算法的密鑰，此即混合密碼體制。int RSA_verify(int type, const unsigned char *m, unsigned int m_length, unsigned char *sigbuf, unsigned int siglen, RSA *rsa)。正確情況下返回0。 RSA簽名和驗證 簽名使用私鑰，驗證使用公鑰。int RSA_public_encrypt(int flen, const unsigned char *from,unsigned char *to, RSA *rsa,int padding)。輸入必須比RSA鑰模長短至少11個字節(jié)（在RSA_PKCS1_PADDING時？）。填充方式常用的有兩種RSA_PKCS1_PADDING和RSA_PKCS1_OAEP_PADDING。EVP_PKEY *PEM_read_bio_PrivateKey(BIO *bp, EVP_PKEY **x, pem_password_cb *cb, void *u)。目前對于長達663比特的RSA模數(shù)已經(jīng)有成功分解的先例，因此當前典型的應用場合使用1024比特模長的RSA算法，此時一個分組是128字節(jié)。另外兩個參數(shù)為NULL即可。下面介紹OpenSSL中RSA算法的函數(shù)接口。 ENC（P，K1）= C DEC（C，K2）= P RSA加密算法的步驟是這樣的：（1） 找兩個隨機大素數(shù)p和q；（2） 計算模n=pq和Euler函數(shù)φ(n) =(p1)(q1)；（3） 選取數(shù)e后用擴展Euclid算法求數(shù)d滿足ed≡1 mod φ(n)；（4） 保密私鑰K2=(d, n)，發(fā)布公鑰K1=(e, n)；（5） 加密明文p時，計算密文c = p^e mod n；（6） 解密c時，計算p = c^d mod n。習慣上K1稱為公鑰，K2稱為私鑰。 實驗目的 （1）掌握公鑰算法的使用方法 （2）掌握混合密碼體制的工作原理 實驗內容 （1）使用RSA算法加解密和簽名驗證 （2）使用混合密碼體制的文件加密 實驗指導 不同于對稱加密算法中加密和解密使用同樣的密鑰，公鑰算法分為加密密鑰K1和解密密鑰K2兩部分，而且從K1很難計算推導出K2。公鑰密碼算法當前仍是RSA算法占統(tǒng)治地位。 實驗四 公鑰算法實驗使用公鑰密碼算法可以克服協(xié)商對稱密鑰的困難，也可以用來認證和簽名。 做一個練習題。（3） 發(fā)現(xiàn)錯誤的密文或口令保護。需要使用經(jīng)過考驗的公開的加密算法，如DES/AES/RC4等；（2） 口令的質量，以及從口令衍生密鑰的方法。 一個文件加密例子程序 一個最簡單的（但是相當安全的）文件加密程序例子，參見和。void RC4_set_key(RC4_KEY *key, int len, const unsigned char *data)。 OpenSSL中RC4算法有兩個函數(shù): RC4_set_key()設置密鑰，RC4()加解密。流算法是從密鑰作為種子產(chǎn)生密鑰流，明文比特流和密鑰流異或即加密。void AES_ofb128_encrypt()。void AES_cbc_encrypt()。int AES_set_decrypt_key()。相關函數(shù)名如下(參數(shù)略)。 AES算法函數(shù)接口典型參數(shù)的AES的基本操作是把128比特明文在128比特密鑰指引下加密成128比特密文。void DES_ofb_encrypt(const unsigned char *in,unsigned char *out,int numbits,long length,DES_key_schedule *schedule,DES_cblock *ivec)。num中的返回值指示了ivec中的狀態(tài)，是和下次調用銜接的。void DES_cfb_encrypt(const unsigned char *in, unsigned char *out, int numbits, long length, DES_key_schedule *schedule, DES_cblock *ivec, int enc)。如果在一次會話中數(shù)次調用DES_cfb_encrypt()，則應該記憶ivec。參數(shù)numbits則指示了CFB每次循環(huán)加密多少明文比特，也即密文反饋的比特數(shù)目。DES算法CFB操作模式加解密函數(shù)是DES_cfb_encrypt()。因此，輸出可能比length長，而且必然是8字節(jié)的倍數(shù)。參數(shù)length指示輸入字節(jié)長度。int DES_set_key(const_DES_cblock *key,DES_key_schedule *schedule)。該函數(shù)每次只加密一個分組，因此用來加密很多數(shù)據(jù)時并不方便。參數(shù)中密鑰結構ks是用函數(shù)DES_set_key()準備好的，而密鑰key是用隨機數(shù)算法產(chǎn)生的64個隨機比特。 DES算法函數(shù)接口在OpenSSL中，DES算法的基本函數(shù)就是ECB操作模式對應的函數(shù)DES_ecb_encrypt()。 實驗指導分組算法在程序實現(xiàn)時一般首先被抽象為這樣一個基本函數(shù)：F（K，IN，ENC/DEC）= OUT其中IN是固定長度的輸入分組（DES算法是8字節(jié)，AES是16字節(jié)），OUT是同樣長度的輸出分組，密鑰K是隨機比特串（DES是56比特，AES是128比特）。（2） 用簡短的程序代碼演示：分組加密算法（DES、AES）和流密碼算法（RC4）的使用，其中包括分組算法的四種應用模式ECB、CBCCFB、OFB。（2） 掌握對稱算法的使用方法。現(xiàn)在一般使用公鑰算法做鑒別、認證以及協(xié)商會話密鑰，然后使用對稱算法加密批量數(shù)據(jù)。 ，請參見 in ，at 。（3）tcpdump/windump是命令行界面的Sniffer工具程序，靈活方便，功能強大，建議了解并試用。建議：（1）為了看清關心的流量，在逮包期間盡量關閉其它無關程序，尤其是P2P下載等程序。經(jīng)搜索“pass”、“psw”等關鍵字，發(fā)現(xiàn)有效的帳號/口令出現(xiàn)約有8次。（3） 選做：發(fā)送分組(幀)，實現(xiàn)假冒和重放。 請下載winpcap的開發(fā)包，編譯并運行其中的示例程序，然后觀察源程序及相關文檔，試演并提煉出簡短報告，內容包括：（1） winpcap庫的用法說明。Windump基于Winpcap是tcpdump的翻版。一個現(xiàn)成可參考的例子就是基于libpcap的tcpdump，它是開源的。登錄學習論壇，記錄流量，一般可以觀察到帳號和口令。捕獲登錄并查看Web郵件的流量，可以看到明文口令和郵件正文內容。（2） Web郵件口令。使用Outlook或Foxmail收發(fā)郵件，可以捕獲賬戶口令的明文。 觀察口令推薦三類可以觀察到口令的情形。（4） 使用Outlook或Foxmail收發(fā)郵件，可以引發(fā)POP3和SMTP流量，都是封裝在TCP協(xié)議中。（3） 訪問某個網(wǎng)頁，可以制造HTTP流量，順便可以看到TCP會話，包括三次握手的過程。方法：（1） ping一個本網(wǎng)段但是未開機的機器的IP地址，可以引發(fā)ARP報文。其它程序使用自己的報文格式，比如報文等則一般不能被解析。 用Sniffer工具觀察協(xié)議分組觀察ARP、UDP、TCP、DNS、HTTP、FTP、POPSMTP等協(xié)議的網(wǎng)絡分組格式。推薦使用Ethereal或Sniffer Pro。當然，這些工具軟件的起始目的是為了網(wǎng)絡管理和排錯，用來演示竊聽只是順便。（注：后面使用了不同時期的版本程序的屏幕截圖，但是和新版的基本類似）。如果把網(wǎng)卡設置為混雜模式(promiscuous)，則可以接收到所有幀。 按照以太網(wǎng)原理，以太網(wǎng)卡可以收聽到本網(wǎng)段上的所有幀，也包括和本機無關的其它機器之間的通信。局域網(wǎng)特別是以太網(wǎng)是一個完全不設防的共享式傳輸系統(tǒng)，尤其是在集線器(Hub)時代竊聽是極其容易的。（3） 用winpcap/libpcap開發(fā)庫進行編程開發(fā)(選做)。 實驗內容（1） 查閱資料，回顧以太網(wǎng)的工作原理。 實驗二 Sniffer網(wǎng)絡偵聽和pcap編程 實驗目的（1）了解和驗證網(wǎng)絡安全威脅最基本的一種形式：網(wǎng)絡竊聽。除此之外，在虛擬機中不用也不能安裝任何驅動程序。由于實際驅動設備的程序仍是在本機系統(tǒng)上運行的驅動程序，實際上的效率并沒有多少降低。軟驅同理）。之后便可使用光盤來啟動安裝（虛擬機可以用光盤鏡像如：ISO、vcd文件作為光盤。每一臺虛擬機都有它自己的BIOS。不要在虛擬機中使用Ctrl+Alt+Del組合鍵，因為主機系統(tǒng)同樣也會對這個組合鍵做出反應，你應當使用Ctrl+Alt+Ins來代替?，F(xiàn)在一臺和真實計算機一樣的機器已經(jīng)建起來了，點擊虛擬機的窗口，你的鼠標就融入虛擬系統(tǒng)了，你可以和使用一臺真的計算機一樣使用它了，而且任何設置都不會影響到你本機。Reset：重啟，相當于物理計算機的RESET按鈕。其他按鈕分別是POWER OFF:關機。2．建立一個虛擬系統(tǒng)：WIN2000 SERVER在虛擬機中的安裝雙擊桌面的“VMware”圖標，即可進入VMware的主窗口，點擊右側的New Virtual Machine即可新建一個虛擬系統(tǒng)，之后選擇Typical，再選擇一種要安裝的操作系統(tǒng) 。1． VMWARE虛擬機安裝在安裝上沒必要作過多的介紹，請大家注意的是VMware只能安裝在WinNT/2000/XP或Linux，以及FreeBSD下。Windows 2000 SERVER 操作系統(tǒng)就不用介紹了。同時它也是唯一的能在Windows和Linux主機平臺上運行的虛擬計算機軟件。利用它，你可以在一臺電腦上將硬盤和內存的一部分拿出來虛擬出若干臺機器，每臺機器可以運行單獨的操作系統(tǒng)而互不干擾，這些“新”機器各自擁有自己獨立的CMOS、硬盤和操作系統(tǒng)，你可以像使用普通機器一樣對它們進行分區(qū)、格式化、安裝系統(tǒng)和應用軟件等操作，還可以將這幾個操作系統(tǒng)聯(lián)成一個網(wǎng)絡。2． 在VMWARE中安裝WINDOWS 2000 SERVER操作系統(tǒng)。三、 系列實驗實驗一 VMWARE虛擬機和WIN2000安裝 實驗目的 通過在主系統(tǒng)平臺上安裝和配置一個虛擬機環(huán)境，為下面的實驗打好實驗環(huán)境基礎。在該系列實驗內容里，分三個層次：（1）了解和掌握CA系統(tǒng)是干什么的，為什么要這樣，原理是什么（2）CA簽發(fā)的數(shù)字證書是如何被使用的，為什么可以這樣使用（3）是否可以利用一些現(xiàn)成的開發(fā)包去構造基于數(shù)字證書的安全應用。l 利用各種CA平臺，簽發(fā)各種類型的數(shù)字證書，并在實際應用環(huán)境中進行配置（典型和成熟的應用包括： 安全電子郵件系統(tǒng)、安全WEB訪問等）。l 在WINDOWS平臺上搭建一個基于JAVA和WEB環(huán)境的大型CA系統(tǒng)平臺。2． 安全實驗環(huán)境內容的總體描述本系列實驗的總體目標是：通過安裝和配置一系列CA系統(tǒng)（包括微軟公司操作系統(tǒng)中提供的CA模塊、商業(yè)化CA系統(tǒng)以及一些開放源碼的CA系統(tǒng)），理解并掌握CA系統(tǒng)的原理和實際使用方法；進而根據(jù)實際應用系統(tǒng)的安全需要，通過數(shù)字證書的使用，搭建一些基本的PKI安全環(huán)境，從而理解并掌握在實際應用中是如何做到基于密碼技術來完成安全化改造的，進一步掌握PKI技術的開發(fā)，能夠做到對系統(tǒng)進行安全需求分析，并做一些較為簡單有效的安全方案，提高實際動手能力。在這樣一個虛擬硬件環(huán)境和操作系統(tǒng)平臺上，安裝和配置任何的安全實驗環(huán)境將不會影響主系統(tǒng)平臺的安全性。本實驗建議在微機實驗平臺上首先安裝一個硬件虛擬軟件環(huán)境，如VMWARE等。PKI是利用公鑰技術實現(xiàn)電子商務安全的一種體系，是一種基礎設施，可以保證網(wǎng)絡通信、網(wǎng)上交易的安全。（4）證書撤銷處理系統(tǒng)證書由于某種原因需要作廢，終止使用，將通過證書撤銷列表 CRL 來實現(xiàn)。（2）證書庫證書的集中存放地，提供公眾查詢。PKI首先必須具有可信任的認證機構，在公鑰加密技術基礎上實現(xiàn)證書的產(chǎn)生、管理、存檔、發(fā)放以及證書撤銷管理等功能，并包括實現(xiàn)這些功能的硬件、軟件、人力資源、相關政策和操作規(guī)范以及為 PKI體系中的各成員提供全部的安全服務，例如，身份認證、數(shù)據(jù)保密性、完整性以及不可否認性服務等。公鑰證書就是用戶的身份與之所持有的公鑰的結合，在結合之前，由一個可信任的權威機構———認證機構（CA）來證實用戶的身份。使用基于公開密鑰技術平臺的用戶建立安全通信信任機制的基礎是，網(wǎng)上進行的任何需要提供安全服務的通信都是建立在公