【正文】 申請，右鍵選擇所有任務(wù)中的頒發(fā)即可。這里可通知CA服務(wù)器管理員進行信息核實后頒發(fā)證書。再次選擇窗口中的瀏覽，則會出現(xiàn)路徑選擇：c:\。”后下一步。在出現(xiàn)的窗口中選擇高級申請，因為要申請的是WEB服務(wù)器證書。 可參見后面圖所示過程（注：，則證書申請的URL為：）CA認證中心商家（WEB網(wǎng)站）客戶（IE瀏覽器）申請客戶證書驗證并發(fā)放客戶證書申請服務(wù)器證書驗證并發(fā)放服務(wù)器證書圖 4商家WEB服務(wù)器申請CA證書（在C主機上完成）（1）生成服務(wù)申請證書的文件在IIS服務(wù)器中的WEB站點上右鍵屬性，目錄安全性，中選擇安全通信，服務(wù)器證書，然后下一步，在出現(xiàn)的下一個窗口中選擇“創(chuàng)建一個新證書”，下一步后出現(xiàn)，現(xiàn)在準備請求…，依次選擇下一步，輸入證書名、密鑰位數(shù)、組織信息、公用名、地理信息、最后會生成一個請求文件名，默認為：c:\，也可修改。④CA受理證書申請并核實申請者提交的信息.⑤CA用自己的私鑰對頒發(fā)的數(shù)字證書進行數(shù)字簽名，并發(fā)送給申請者。②申請者的計算機隨機產(chǎn)生一對公私密鑰。 現(xiàn)在可以選擇開始程序管理工具證書頒發(fā)機構(gòu)，可以查看是否有證書的申請，即待發(fā)證書，也可以對證書進行吊銷等管理了。證書的申請要通過IIS以WEB形式完成。開始復制數(shù)據(jù)，要求提供WIN2000安裝文件或光盤。這些都是CA的真實信息，要得到申請者的確信。）這里選擇獨立的根CA。必須從另一個 CA 獲取 CA 證書。不需要 Active Directory。1. 證書頒發(fā)者：頒發(fā)與吊銷證書； 2. 證書持有者：申請、安裝并出示（使用）證書；3. 證書的檢驗者：檢查證書真實有效性。從功能上類似于發(fā)放身份證的公安局。在實際運作中，CA可由大家都信任的一方擔當。安全認證機構(gòu)功能 認證中心(Certificate Authority)是承擔網(wǎng)上安全電子交易認證服務(wù)，能簽發(fā)數(shù)字證書，確認用戶身份的服務(wù)機構(gòu)。ITUT最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書是一個經(jīng)證書授權(quán)Authorit（2）數(shù)字證書包含內(nèi)容 數(shù)字證書就是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證?？蛻糇C書用于證明電子商務(wù)活動中客戶端的身份，一般安裝在客戶瀏覽器上。交易各方通過出示自己的數(shù)字證書來證明自己的身份。 CA是一個專門驗證交易各方身份的權(quán)威機構(gòu)，它向涉及交易的實體頒發(fā)數(shù)字證書。把此簽名與原文一并通過公共網(wǎng)絡(luò)發(fā)給B，B用A的公鑰即可確認數(shù)據(jù)是否是由A發(fā)來的，并通過后面的摘要對比確定數(shù)據(jù)是否完整。數(shù)字簽名綜合使用了數(shù)字摘要和非對稱加密技術(shù)，可以在保證數(shù)據(jù)完整性的同時保證數(shù)據(jù)的真實性。實驗工具與軟件：WIN2003操作系統(tǒng)； 安裝CA服務(wù)器；IE瀏覽器。3. 對數(shù)字證書的安全防護措施操作有效并符合標準與規(guī)范。2. 數(shù)字證書服務(wù)機構(gòu)的實現(xiàn)流程。2）檢查加密與簽名的是否有效 此時可以再找一人加入小組，即三人一組，如A、B和C。并對發(fā)送者的身份進行確認，即通過簽名驗證，是否是A發(fā)送的文件。把加密和簽名后的文件上傳到FTP，并通知B進行下載解密。圖 9圖 10學習任務(wù)環(huán)境設(shè)置 在如下圖所示的環(huán)境下進行分組實驗，兩個人一組，以A與B為例，A也B分別將自己的公鑰上傳到由教師指定的FTP中，以便到兩者互相獲取到對方的公鑰，即將對方的公鑰導入到自己的系統(tǒng)中來。 張曼玉利用HASH算法計算得到的原稿YG，得到數(shù)字摘要ZY2； 張曼玉利用劉德華公鑰LG檢驗數(shù)字簽名QM，解出數(shù)字摘要ZY1，確定數(shù)據(jù)是劉德華發(fā)來的； 劉德華將三者：密文MW、數(shù)字簽名QM、加密的對稱密鑰MY； 劉德華對上一步生成的數(shù)字摘ZY1要進行簽名，即用劉德華的私鑰（LS）加密處理數(shù)字摘要得到數(shù)字簽名QM； 劉德華用隨機產(chǎn)生的一個對稱密鑰（D1）加密這份方案書原稿YG，得到密文MW；2）實施辦法或計劃方案： 工作任務(wù)實施 1）需求描述廣告公司文案劉德華先生要把一份廣告創(chuàng)意方案書要通過電子郵件發(fā)給其外地客戶張曼玉女士，出于商業(yè)機密性考慮，為了保護這份方案書，劉德華先生想到了你網(wǎng)絡(luò)安全工程師，并提出如下需求：要保護這份方案通過互聯(lián)網(wǎng)傳到張曼玉的過程中不被其它人看到（機密性保護）；同時，要保證這份方案書傳輸過程中不被其它人修改或破壞（完整性保護）；最后還要保證被張曼玉收到后能確認是劉德華發(fā)送的（源認證保護）。也可以單擊顯示有創(chuàng)建的用戶右鍵，選擇“Export…（導出）”，在出現(xiàn)的保存對話框中，確認是只選中了“Include Extensions”（），然后選擇一個目錄，再點“保存”按鈕，即可導出你的公鑰。 圖 53）密鑰查看 通過開始程序中的PGP中啟動PGPkeys，可以看到密鑰的一些基本信息，如：Validity（有效性，PGP系統(tǒng)檢查是否符合要求，如符合，就顯示為綠色）、Trust（信任度）、Size（大?。?、Description（描述）、Key ID（密鑰ID）、Creation（創(chuàng)建時間）、Expiration（到期時間）等（這些信息，可以在菜單組“VIEW（查看）”中并選擇里面的全部選項），如圖所示： 圖 64）重新創(chuàng)建密鑰對 通過PGP程序窗口中的Keys菜單，可以重新生成另外一對密鑰，如下圖所示：圖 75）導出并發(fā)布自己的公鑰 通過PGP程序窗口中的Keys菜單，選擇Export可以導出當前選中的密鑰對中的公鑰（出果在導出到文件的窗口下邊選擇Include Pravate Key則導出了公鑰和私鑰，一般情況下不需要導出私鑰），如下圖所示：圖 86）導出并發(fā)布自己的公鑰 需要注意的是，一個用戶對應(yīng)的密鑰以“密鑰對”形式存在，其中包含了一個公鑰（公用密鑰，可分發(fā)給任何人，別人可以用此密鑰來對要發(fā)給此密鑰的擁有者的文件或者郵件等進行加密）和一個私鑰（私有密鑰，只有此密鑰的擁有者一人所有，不可公開分發(fā)，此密鑰用來解密用此密鑰的擁有者的公鑰加密的文件或郵件）。 接下來進入Key Generation Progress（密鑰生成階段），等待主密鑰（Key）和次密鑰（Subkey）生成完畢（Done）。圖 42）密鑰對（公鑰和私鑰）生成 安裝完成后會出現(xiàn)密鑰生成向?qū)?，下一步后要求輸入用戶全名和郵件地址，接下來會提示要求輸入用于保護私鑰的密碼，此密碼不能少于8位，并要求進行確認一遍，即重復一遍。輸入購買時的產(chǎn)品相關(guān)License Number等信息。PGP可以和Outlook結(jié)合完成郵件的加密圖 3最后安裝過程按提示選擇“NEXT”，最后提示重啟系統(tǒng)即可完成安裝。如果沒有安裝過PGP則這里選擇如下圖所示中的，“No I’m a new user”，然后選擇“NEXT”，出現(xiàn)程序的安裝目錄，建議將PGP安裝在安裝程序默認的目錄，也就是系統(tǒng)盤內(nèi)，程序很小。繼續(xù)點NEXT按鈕，出現(xiàn)創(chuàng)建用戶類型的界面，選擇“NEXT”。下面介紹軟件的安裝與設(shè)置。軟件的主要使用對象為具有一定商業(yè)機密的企業(yè)、政府機構(gòu)、信息安全工作者。3）非對稱密鑰加密體制特點分析優(yōu)點： (1)解決了密鑰管理問題，通過特有的密鑰發(fā)放體制，使得當用戶數(shù)大幅度增加時，密鑰也不會向外擴散； (2)由于密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高； (3)具有很高的加密強度。 目前，在網(wǎng)絡(luò)安全防護應(yīng)用中，路由器配置VPN中常用的非對稱加密算法主要是RSA和DSA（這兩種算法主要用于數(shù)字簽名，即進行源認證，其根本原理是私鑰加密簽名，對應(yīng)的公鑰進行驗證）。（2）非對稱密鑰加密技術(shù)的典型算法或公鑰體制—Elgamal Elgamal公鑰體制的公鑰加密算法是非確定性的，即使加密相同的明文，得到的明文也是不同的，因此又稱為概率加密體制。2）非對稱加密典型算法（1）非對稱密鑰加密技術(shù)的典型算法或公鑰體制—RSA RSA（算法的名字以發(fā)明者Ron Rivest，Adi Shamir和Leonard Adleman）；RSA公鑰體制的構(gòu)造是基于歐拉（Eular）定理，經(jīng)常用于數(shù)字簽名、密鑰管理和認證等方面。 用私鑰加密的信息只能用與該私鑰配對的公鑰才能解密（是驗證）比如A向B發(fā)送信息，A用自己的私鑰對信息進行加密（簽名）發(fā)送出去，B用A的公鑰可以解密簽名，所以B可以確認信息是A所發(fā)送來的。即使A再用B的公鑰也無法解出原信息。也就是說具有如下的特點：互聯(lián)網(wǎng)Wele toBeiJingxxxxxxxxxxxxxxxB的 公鑰加密Wele toBeiJingxxxxxxxxxxxxxxxB的私鑰解密黑客發(fā)送端A接收端B原文密文原文密文圖 2非對稱加密算法的核心就是加密密鑰不等于解密密鑰，且無法從任意一個密鑰推導出另一個密鑰，這樣就大大加強了信息保護的力度，而且基于密鑰對的原理很容易的實現(xiàn)數(shù)字簽名和電子信封。其特點是加密和解密使用不同的密鑰。當然數(shù)量上的差別并不是主要的，最重要的是密鑰的維護與管理上。例如思科的VPN集中器低端產(chǎn)品采用的是軟件加密，但對大用戶需求的網(wǎng)絡(luò)中，要采用基于硬件加密設(shè)計的高端思科的VPN集中器產(chǎn)品。關(guān)于以上對稱加密在算法的詳細介紹可以在互聯(lián)網(wǎng)上獲取幫助。 對稱密鑰加密技術(shù)的典型算法—RC5 RC5(RivestCipher5) DES和3DES都廣泛的應(yīng)用于商業(yè)和非安全部門的通信。 對稱密鑰加密技術(shù)的典型算法 3DESTDES(Trial Data Encryption Standard數(shù)據(jù)加密標準) 。因此，就現(xiàn)在來看應(yīng)當說IDEA是非常安全的。假定窮舉法攻擊有效的話，那么即使設(shè)計一種每秒種可以試驗10億個密鑰的專用芯片，并將10億片這樣的芯片用于此項工作，仍需1013年才能解決問題；另一方面，若用1024片這樣的芯片，有可能在一天內(nèi)找到密鑰，不過人們還無法找到足夠的硅原子來制造這樣一臺機器。 IDEA算法的密鑰長度為128位。 對稱密鑰加密技術(shù)的典型算法 IDEAIDEA(International Data Encryption Algorithm 國際數(shù)據(jù)加密算法)IDEA是一個迭代分組密碼，分組長度為64比特，密鑰長度為128比特。DES算法由于其密鑰較短，隨著計算機速度的不斷提高，使用窮舉法進行破解成為可能。DES的密鑰長度為56bit，其加密算法是公開的，其保密性僅取決于對密鑰的保密。對稱密鑰加密體制 對稱密鑰加密技術(shù)使用相同的密鑰對數(shù)據(jù)進行加密和解密，發(fā)送者和接收者用相同的密鑰。 對同樣的明文，可使用不同的加密算法。加密算法是一組打亂和恢復數(shù)據(jù)的指令集或一個數(shù)學公式。解密是加密的逆過程，即將密文還原成原來可理解的形式。實驗工具與軟件：1. 對稱加密類軟件Apocalypso；2. 加密軟件PGP。3. 對文檔加密與簽名的安全防護措施有效并符合標準與規(guī)范。學會數(shù)據(jù)的機密性、完整性與源認證進行保護方法。了解不同加密算法的應(yīng)用場合。3. 接收者能確認出發(fā)送此文件的人是誰，即為源認證提供保護。實驗二 利用PGP實施非對稱加密實驗?zāi)康?. 掌握保護文件在通過互聯(lián)網(wǎng)傳輸時不被其它人看到，即對機密性保護方法。2. 要會偽造數(shù)據(jù)包，發(fā)送數(shù)據(jù)包實施ARP攻擊。只是目的不同，這個更為復雜一些。5）攻擊的結(jié)果是：網(wǎng)關(guān)發(fā)給工作站4的數(shù)據(jù)發(fā)到了工作站1；工作站4發(fā)給網(wǎng)關(guān)的數(shù)據(jù)也發(fā)到了工作站1（MAC：010101010101）。4）攻擊過程是：工作站1以假的源MAC地址（010101010101）為源給網(wǎng)關(guān)發(fā)一個ARP包，欺騙網(wǎng)關(guān)，使網(wǎng)關(guān)會誤認為工作站1的IP地址是：，MAC地址是：010101010101（同時交換機的CAM表也更新）。這里選擇兩臺目標主機（）。2）開啟WinArpAttacker軟件，先進行Scan掃描本局域網(wǎng)內(nèi)的存活主機。至此針對ARP協(xié)議的分析、捕獲與模擬攻擊過程結(jié)束。圖20此時在工作站1上用“arp a”命令查看網(wǎng)關(guān)IP對應(yīng)的MAC地址也已經(jīng)變?yōu)榫W(wǎng)絡(luò)中不存在的偽造的MAC地址：112233445566。ARP模擬攻擊與結(jié)果檢查1）在工作站1上通過遠程桌面連接到工作站4，當啟動包生成器發(fā)送偽造的數(shù)據(jù)幀后，還能PING通網(wǎng)關(guān)了，在工作站4上用“arp a”命令查看網(wǎng)關(guān)IP對應(yīng)的MAC地址已經(jīng)變?yōu)榫W(wǎng)絡(luò)中不存在的偽造的MAC地址：112233445566。8） 修改后的幀緩沖區(qū)中的數(shù)據(jù)如圖19所示，修改后在發(fā)送（Send）次數(shù)下選擇連續(xù)發(fā)送（Continuously），發(fā)送類型（Send Type）下選擇每隔10毫秒一次。圖16圖17 工作站1發(fā)出去的ARP請求數(shù)據(jù)幀數(shù)據(jù)6) 數(shù)據(jù)（Data）是工作站1發(fā)出去查詢網(wǎng)關(guān)MAC地ARP請求數(shù)據(jù)，具體解釋參見圖18。如圖15所示圖15 SnifferPro已經(jīng)捕獲到了協(xié)議數(shù)據(jù)。3) 在沒有互相通信需求下，工作站1是不會主動發(fā)送ARP請求給網(wǎng)關(guān)的，所以也就捕獲不到ARP的協(xié)議數(shù)據(jù)，此時要在工作站1與網(wǎng)關(guān)之間進行一次通信，如可以在工作站1上ping網(wǎng)關(guān)，即：ping 。2) 要想工作站1發(fā)送ARP請求給網(wǎng)關(guān)，并得到ARP回應(yīng)，首先啟動SnifferPro捕獲ARP通信的數(shù)據(jù)包（工作站1與網(wǎng)關(guān)之間）在工作站1上再次啟動SnifferPro軟件進行基于ARP協(xié)議的攻擊模擬，即讓圖1中的所有主機不能進行外網(wǎng)訪問（無法與網(wǎng)關(guān)通信），下面在工作站1上實施攻擊模擬，步驟如下：1) 要進行模擬實施攻擊，首先要構(gòu)造一個數(shù)據(jù)幀，這很麻煩，這時可以捕獲一個ARP的數(shù)據(jù)幀再進行改造（可以捕獲一個網(wǎng)關(guān)的ARP