《网络与信息安全》实验指导书2010new.doc-道客多多

资源描述

1、1网络与信息安全2实验指导书3目录实验一硬盘数据恢复工具的使用 3实验二 WORD 文档密码破解 .4实验三网络攻防：ARP 欺骗 .5实验四网络攻防：利用 ICMP 重定向进行信息窃取 8实验五网络攻防：路由欺骗 11实验六用 C 语言编程实现凯撒密码加密 .14实验七 PKI 与证书服务应用 16实验八 PGP 软件的使用 19实验九防火墙模拟器的使用 24实验十服务器的安全配置 25实验十一网络安全漏洞测试与评估 32实验十二扫描器 XScan 的使用 .34实验十三宏病毒分析及清除实验 37实验十四 32 位文件型病毒分析实验 .42实验十五冰河木马的使用 45

2、实验十六线程插入型木马 48实验十七 CHM 木马的制作 52实验十八 Web 恶意代码实验 .54实验十九网络嗅探与欺骗实验 56实验二十嗅探器 Sniffer Pro 的使用 .574实验一硬盘数据恢复工具的使用实验目的:掌握一种硬盘数据恢复工具的使用方法。实验设备:连入 Internet 的计算机一台所用软件：实验步骤:1.新建任意一个文档,然后按 shift+delete 永久删除.2.到网上搜索一款硬盘数据恢复软件，看其说明学会使用。3.利用你所搜索的软件对你删除的文件进行恢复。4.将实验过程详细写入实验报告，实验成功。附：各种类型的数据文件是我们保存在计算机上的巨大财富，而

3、数据文件丢失一直是困扰 IT 从业人员的梦魇。病毒、误操作和存储介质故障等不可预知的潜在危险时刻都在威胁着我们的重要数据文件的安全，再周密和谨慎的数据备份工作都不可能为我们的数据文件提供实时、完整的保护。因此，灾难数据恢复工具是IT 人员的必备工具之一.推荐使用:1. FinalData: 在 Windows 环境下删除一个文件，只有目录信息从 FAT 或者MFT（NTFS）删除。这意味着文件数据仍然留在你的磁盘上。所以，从技术角度来讲，这个文件是可以恢复的。FinalData 就是通过这个机制来恢复丢失的数据的，在清空回收站以后也不例外。另外，FinalData 可以很容易地从格式化后的文件

4、和被病毒破坏的文件恢复。甚至在极端的情况下，如果目录结构被部分破坏也可以恢复，只要数据仍然保存在硬盘上。灾难数据恢复工具 FinalData 以其强大、快速的恢复功能和简便易用的操作界面成为 IT 专业人士的首选工具。当文件被误删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成 FAT 表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData 都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部

5、分覆盖以后，专业版FinalData 也可以将剩余部分文件恢复出来。用户既可以（通过通配符匹配）快速查找指定的一个或者多个文件，也可以一次完成整个目录及子目录下的全部文件的恢复（保持目录结构不变）。高版本的 FinalData 软件可以通过 TCP/IP 网络协议对网络上的其他计算机上丢失的文件进行恢复，从而为整个网络上的数据文件提供保护。2. EasyRecovery : 威力非常强大的硬盘数据恢复工具。能够帮你恢复丢失的数据以及重建文件系统。EasyRecovery 不会向你的原始驱动器写入任何东东，它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。你可以从被病毒破坏或是

6、已经格式化的硬盘中恢复数据。该软件可以恢复大于 8.4GB 5的硬盘。支持长文件名。被破坏的硬盘中像丢失的引导记录、BIOS 参数数据块；分区表；FAT 表；引导区都可以由它来进行恢复。6实验二 WORD 文档密码破解实验目的:掌握一种 WORD 文档密码破解工具的使用方法。实验设备:连入 Internet 的计算机一台实验步骤:1.新建一个 WORD 文档并对其加密。工具-选项-安全性2.从网上下载任一款 WORD 文档密码破解软件，查看其使用方法。(注明所用软件名称)3.利用你所搜索的软件对你的 WORD 文档进行解密。（解密过程请详细记录）4.顺利打开你所破解后的 WORD 文档，实验

7、成功。推荐软件：office password remover下载地址：http:/www.s 解除 PDF 文档的加密保护实验目的:掌握一种解除 PDF 文档的加密保护的方法。实验设备:计算机一台实验步骤:1.从网上下载任一款解除 PDF 文档加密保护的软件，查看其使用方法。(注明所用软件名称)2.利用你所搜索的软件对你的 PDF 文档进行解密。（解密过程请详细记录）推荐软件：PDF2Word，PDFpasswordremover。其中，PDF2Word(pdf to word)可以把文本，图片以及其他内容从 pdf 文档中输出到 word 文档中，所以能够重新编辑 pdf 内容，PDF2

8、Word 将保存文本，版面和图片到生成的 word 文档中。7实验三网络攻防：ARP 欺骗实验目的：1. 加深对 ARP 高速缓存的理解2. 了解 ARP 协议的缺陷实验环境：网络协议仿真系统背景描述：流经主机 A 和主机 C 的数据包被主机 D 使用 ARP 欺骗进行截获和转发。流经主机 E（172.16.0.2 接口）和主机 F 的数据包被主机 B（172.16.0.1 接口）使用 ARP 欺骗进行截获和转发。实验环境配置：本实验采用网络结构二。实验原理：ARP 表是 IP 地址和 MAC 地址的映射关系表，任何实现了 IP 协议栈的设备，一般情况下都通过该表维护 IP 地址和 MAC

9、地址的对应关系，这是为了避免 ARP 解析而造成的广播数据报文对网络造成冲击。ARP 表的建立一般情况下是通过二个途径：1、主动解析，如果一台计算机想与另外一台不知道 MAC 地址的计算机通信，则该计算机主动发 ARP 请求，通过 ARP 协议建立（前提是这两台计算机位于同一个 IP 子网上）；2、被动请求，如果一台计算机接收到了一台计算机的 ARP 请求，则首先在本地建立请求计算机的 IP 地址和 MAC 地址的对应表。因此，针对 ARP 表项，一个可能的攻击就是误导计算机建立正确的 ARP 表。根据 ARP 协议，如果一台计算机接收到了一个 ARP 请求报文，在满足下列两个条8件的情况下

10、，该计算机会用 ARP 请求报文中的源 IP 地址和源 MAC 地址更新自己的 ARP 缓存：1、如果发起该 ARP 请求的 IP 地址在自己本地的 ARP 缓存中；2、请求的目标 IP 地址不是自己的。举例说明过程:假设有三台计算机 A，B，C，其中 B 已经正确建立了 A 和 C 计算机的 ARP 表项。假设 A 是攻击者，此时，A 发出一个 ARP 请求报文，该 ARP 请求报文这样构造：1、源 IP 地址是 C 的 IP 地址，源 MAC 地址是 A 的 MAC 地址；2、请求的目标 IP 地址是 B 的 IP 地址。这样计算机 B 在收到这个 ARP 请求报文后（ARP 请求

11、是广播报文，网络上所有设备都能收到），发现 C 的 ARP 表项已经在自己的缓存中，但 MAC 地址与收到的请求的源 MAC 地址不符，于是根据 ARP 协议，使用 ARP 请求的源 MAC 地址（即A 的 MAC 地址）更新自己的 ARP 表。这样 B 的 ARP 缓存中就存在这样的错误 ARP 表项：C 的 IP 地址跟 A 的 MAC 地址对应。这样的结果是，B 发给 C 的数据都被计算机 A 接收到。实验步骤：按照拓扑结构图连接网络，使用拓扑验证检查连接的正确性。本练习将主机 A、C 和 D 作为一组，主机 B、E、F 作为一组。现仅以主机A、C 和 D 为例说明试验步骤。（由于两组使

12、用的设备不同，采集到的数据包不完全相同） 1. 主机 A 和主机 C 使用“arp -a”命令察看并记录 ARP 高速缓存。 2. 主机 A、C 启动协议分析器开始捕获数据并设置过滤条件（提取 ARP 协议和 ICMP 协议）。 3. 主机 A ping 主机 C。观察主机 A、C 上是捕获到的 ICMP 报文，记录 MAC地址。 4. 主机 D 启动仿真编辑器向主机 A 编辑 ARP 请求报文（暂时不发送）。其中：MAC 层：“源 MAC 地址”设置为主机 D 的 MAC 地址“目的 MAC 地址”设置为主机 A 的 MAC 地址ARP 层：“源 MAC 地址”设置为主机 D 的 MAC 地

13、址“源 IP 地址”设置为主机 C 的 IP 地址“目的 MAC 地址”设置为 000000-000000。“目的 IP 地址”设置为主机 A 的 IP 地址5. 主机 D 向主机 C 编辑 ARP 请求报文（暂时不发送）。其中：MAC 层：“源 MAC 地址”设置为主机 D 的 MAC 地址“目的 MAC 地址”设置为主机 C 的 MAC 地址ARP 层：“源 MAC 地址”设置为主机 D 的 MAC 地址“源 IP 地址”设置为主机 A 的 IP 地址“目的 MAC 地址”设置为 000000-000000。“目的 IP 地址”设置为主机 C 的 IP 地址6. 同时发送第 4 步和第 5

14、步所编辑的数据包。注意：为防止主机 A 和主机 C 的 ARP 高速缓存表被其它未知报文更新，可以定时发送数据包（例如：每隔 500ms 发送一次）。 7. 观察并记录主机 A 和主机 C 的 ARP 高速缓存表。 98. 在主机 D 上启动静态路由服务（方法：在命令行方式下，输入“staticroute_config”），目的是实现数据转发。 9. 主机 D 禁用 ICMP 协议。a. 在命令行下输入“mmc”，启动微软管理控制台。b. 导入控制台文件。单击“文件(F)打开(O).”菜单项来打开“c:WINNTsystem32IPSecPolicystopicmp.msc”。 c. 导入策

15、略文件。单击“操作(A)所有任务(K)导入策略(I).”菜单项来打开“c:WINNTsystem32IPSecPolicy stopicmp.ipsec”。此命令执行成功后，在策略名称列表中会出现“禁用 ICMP”项。d. 启动策略。用鼠标选中“禁用 ICMP”项，单击右键，选择“指派(A)”菜单项。10.主机 A 上 ping 主机 C（“ping 主机 C 的 IP 地址 n 1”）。 -n ：发送 count 指定的 ECHO 数据包数。通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助。能够测试发送数据包的返回平均时间及时间的快慢程度。默认值为 4。 11.主机 A、C 停止捕

16、获数据，分析捕获到的数据，并回答以下问题：主机 A、C 捕获到的 ICMP 数据包的源 MAC 地址和目的 MAC 地址是什么？结合主机 A 和主机 C 捕获到的数据包，绘制出第 6 步发送的 ICMP数据包在网络中的传输路径图。主机 D 取消对 ICMP 的禁用。在微软管理控制台（mmc）上，用鼠标选中“禁用 ICMP”项，单击右键，选择“不指派(U)”菜单项。 10实验四网络攻防：利用 ICMP 重定向进行信息窃取实验目的1、加深对 ICMP 协议的理解2、了解简单的信息窃取技术实验环境：网络协议仿真系统实验原理在 Internet 上，主机数量要比路由器多出许多，为了提高效率，主

17、机都不参与路由选择过程。主机通常使用静态路由选择。当主机开始联网时，其路由表中的项目数很有限，通常只知道默认路由的 IP 地址。因此主机可能会把某数据发送到一个错误的路由，其实该数据本应该发送给另一个网络的。在这种情况下，收到该数据的路由器会把数据转发给正确的路由器，同时，它会向主机发送 ICMP重定向报文，来改变主机的路由表。路由器发送 ICMP Redirect 消息给主机来指出存在一个更好的路由。ICMP Redirect 数据包使用下图中显示的结构。当 IP 数据报应该被发送到另一个路由器时，收到数据报的路由器就要发送 ICMP 重定向差错报文给 IP 数据报的发送端。ICMP 重

18、定向报文的接收者必须查看三个 IP 地址：（1）导致重定向的 IP 地址（即 ICMP 重定向报文的数据位于 IP 数据报的首部）；（2）发送重定向报文的路由器的 IP 地址（包含重定向信息的 IP 数据报中的源地址）；（3）应该采用的路由器的 IP 地址（在 ICMP 报文中的 4-7 字节）。类型 = 5 代码 = 0 - 3 检验和应该使用的路由器 IP 地址IP 首部（包括选项）+原始 IP 数据报中数据的前 8 字节代码为 0：路由器可以发送这个 ICMP 消息来指出有一个到达目标网络的更好方法。代码为 1：路由器可以发送这个 ICMP 消息来指出有一个到达目标主机的更

19、好方法。代码为 2：路由器可以发送这个 ICMP 消息来指出有一个更好的方法到达使用希望的 TOS 目标网络。代码为 3：路由器可以发送这个 ICMP 消息来指出有一个更好的方法到达使用所要求的 TOS 的目标主机。实验环境配置：本实验采用网络结构二。11实验步骤：1. 主机 A 启动 ICMP 重定向功能，在命令行方式下输入“icmpredirect_config enable”。 2. 主机 B 启动静态路由服务，在命令行方式下输入“staticroute_config”。3. 主机 A、B、D、E、F 启动协议分析器开始捕获数据并设置过滤条件（提取ICMP 协议）。 4. 主机 A

20、ping 主机 E（172.16.0.2），察看主机 A、B、D、E、F 捕获到的数据。通过此 ICMP 及其应答报文的 MAC 地址，绘制其在网络中的传输路径图。 5. 主机 C 模拟主机 B 的身份（172.16.1.1）向主机 A 发送 ICMP 重定向报文，其中： MAC 层：“源 MAC 地址”设置为主机 C 的 MAC 地址“目的 MAC 地址”设置为主机 A 的 MAC 地址 IP 层：“源 IP 地址”设置为主机 B 的 IP 地址（172.16.1.1） “目的 IP 地址”设置为主机 A 的 IP 地址（172.16.1.2） ICMP 层：“类型”设置为 5 “代码”设

21、置为 1 “网关地址”设置为主机 C 的 IP 地址（172.16.1.3） ICMP 数据：伪造的主机 A 向主机 E 发送的 ping 请求报文的一部份（包括整个 IP 首部和数据的前 8 个字节）。注意：为防止主机 B 的路由表被其它未知数据包更新，可以定时发送此报文（例如：每隔 500ms 发送一次）。 6. 查看主机 A 的路由表（route print）发现一条到主机 E 的直接路由信息，其网关是主机 C 的 IP 地址（172.16.1.3）。 127. 在主机 C 上启动静态路由服务（方法：在命令行方式下，输入“staticroute_config”），并添加一条静态路由条目

22、（方法：在命令行方式下，输入“route add 172.16.0.0 mask 255.255.255.0 172.16.1.1 metric 2”），目的是实现数据转发。8. 主机 C 禁用 ICMP 协议。a) 在命令行下输入“mmc”，启动微软管理控制台。b) 导入控制台文件。单击“文件(F)打开(O).”菜单项来打开“c:WINNTsystem32IPSecPolicystopicmp.msc”。 c) 导入策略文件。单击“操作(A)所有任务(K)导入策略(I).”菜单项来打开“c:WINNTsystem32IPSecPolicy stopicmp.ipsec”。此命令执行成功后，在

23、策略名称列表中会出现“禁用 ICMP”项。d) 启动策略。用鼠标选中“禁用 ICMP”项，单击右键，选择“指派(A)”菜单项。9. 主机 A ping 主机 E（172.16.0.2），查看主机 A、B、E、F 捕获到的数据：通过此 ICMP 及其应答报文的 MAC 地址，绘制其在网络中的传输路径图。比较两次 ICMP 报文的传输路径，简述 ICMP 重定向报文的作用。简述第 5 步和第 6 步在信息窃取过程中所起到的作用。10.主机 C 取消对 ICMP 的禁用。在微软管理控制台（mmc）上，用鼠标选中“禁用 ICMP”项，单击右键，选择“不指派(U)”菜单项。11. 主机 C 在命令

24、行下输入“recover_config”,停止静态路由服务。13实验五网络攻防：路由欺骗实验目的：1. 了解针对 RIP 协议的攻击方式及原理2. 理解 RIP2 的安全属性实验环境：网络协议仿真系统实验原理：RIP 协议是通过周期性（一般情况下为 30S）的路由更新报文来维护路由表的，一台运行 RIP 路由协议的路由器，如果从一个接口上接收到了一个路由更新报文，它就会分析其中包含的路由信息，并与自己的路由表进行比较，如果该路由器认为这些路由信息比自己所掌握的要有效，它便把这些路由信息引入自己的路由表中。这样如果一个攻击者向一台运行 RIP 协议的路由器发送了人为构造的带破坏性的路由更新报文

25、，就很容易的把路由器的路由表搞紊乱，从而导致网络中断。如果运行 RIP 路由协议的路由器启用了路由更新信息的 HMAC 验证，则可从很大程度上避免这种攻击，另外 RIP 第二版增加了在安全方面的功能。实验环境配置：该实验采用网络结构三实验步骤：1. 在主机 A、B、D、E、F 上启动协议分析器开始捕获数据，并设置过滤条件（提取 RIP 和 ICMP）。 142. 主机 B 和主机 E 启动 RIP 协议并添加新接口：在主机 B 上启动 RIP 协议：在命令行方式下输入“rip_config”；在主机 E 上启动 RIP 协议：在命令行方式下输入“rip_config”；添加主机 B 的接

26、口：添加 IP 为 172.16.0.1 的接口：在命令行方式下输入“rip_config “172.16.0.1 的接口名“ enable”；添加 IP 为 192.168.0.2 的接口：在命令行方式下输入“rip_config “192.168.0.2 的接口名“ enable”；添加主机 E 的接口：添加 IP 为 192.168.0.1 的接口：在命令行方式下输入“rip_config “192.168.0.1 的接口名“ enable”；添加 IP 为 172.16.1.1 的接口：在命令行方式下输入“rip_config “172.16.1.1 的接口名“ enable”。

27、3. 等待一段时间，直到主机 B 和主机 E 的路由表达到稳定态。使用“netsh routing ip show rtmroutes”命令察看主机 B 和主机 E 的路由表。 4. 通过主机 A ping 主机 F（172.16.1.2）。通过主机 A、B、D、E、F 上协议分析器采集到的数据包，记录 ping报文的路径。5. 在主机 C 上启动静态路由。在命令行方式下，输入“staticroute_config”。为主机 C 添加两个静态路由条目在命令行方式下，输入： “route add 172.16.1.0 mask 255.255.255.0 192.168.0.1 metric

28、 2”；“route add 172.16.0.0 mask 255.255.255.0 192.168.0.2 metric 2”；目的是实现数据转发。6. 在主机 C 上启动协议仿真编辑器，编辑 RIP-Request 报文。MAC 层：源 MAC 地址：主机 C 的 MAC 地址目的 MAC 地址：主机 B 的 MAC 地址（192.168.0.2 接口对应的MAC） IP 层：源 IP 地址：主机 C 的 IP 地址目的 IP 地址：广播地址（192.168.0.255） UDP 层：源端口：520目的端口： 520 RIP 层：命令：1（RIP-Response）版本：2

29、路由选择信息选项号：右击，追加块计算“长度”和“校验和”字段，填充后发送。 7. 察看主机 B 的邻居列表（在命令行方式下，输入“rip_config showneighbor”），确定主机 B 添加了一个新邻居（192.168.0.3）。 8. 在主机 C 上，编辑 RIP-Response 报文。MAC 层：源 MAC 地址：主机 C 的 MAC 地址。目的 MAC 地址：主机 B 的 MAC 地址（192.168.0.2 接口对应的MAC）。IP 层：源 IP 地址：主机 C 的 IP 地址。目的 IP 地址：广播地址（192.168.0.255）。15UDP 层：源端口：5

30、20。目的端口：520。 RIP 层：命令：2（RIP-Response）。版本：2。路由选择信息选项号：右击，追加块。地址族 ID：2。网络地址：172.16.1.0。下一跳路由器：主机 C 地址（192.168.0.3）。度量：1。计算并填充“长度”和“校验和”，以时间间隔为 1 秒发送此报文 6000次。 9. 察看主机 B 的路由表中路由条目变化。 10.通过主机 A 来 ping 主机 F（172.16.1.2）。通过主机 A、B、D、E、F 上协议分析器，记录 ping 报文的路径。比较两次 ping 报文的路径。简述发生欺骗的原理（DV 算法）。主机C输入“recover_c

31、onfig”，停止静态路由服务。输入“route delete 172.16.1.0”和“route delete 172.16.0.0”删除手工添加的静态路由条目。16实验六用 C 语言编程实现凯撒密码加密实验目的:通过 C 语言编程掌握凯撒密码加密原理。所用软件：TC2.0实验内容：为了使电报保密，往往按一定规律将其转换成密码。根据凯撒密码加密原理，已知明文电报，编写一段程序，按照凯撒加密规律将明文电报变为密文。其中，密钥 k4。实验步骤:1.打开 C 语言环境。2.用 C 语言编程实现凯撒密码加密。输入程序如下：#include main()char c;while (c=getch

32、ar()!=n)if (c=aprintf(“%c“,c);3.用明文测试程序是否正确。4.将程序及运行结果写入实验报告。注意事项：C 路径设置问题：解压 TC.0 后，在编译连接时出现找不到 stdio.h、conio.h 等 include 文件或者 unable to open file：c0s.obj 的解决方法：将压缩包解压到: ，（这时在盘里会直接看到 turboc2，即turboc2）。打开 turboc2，新建一个文件夹取名为output。运行 TC，选主菜单 Options Directories 回车，Include directories:C:TURBOC2 INC

33、LUDELibrary directories:C:TURBOC2 LIBOutput directories:C:TURBOC2OUTPUT (第步建的文件夹，解决unable to open file：c0s.obj 问题）其他的选项使用默认的。设置好后，按键，在主菜单 Options 下 Save Options 保存路径设置，否则以后还是会出错或每次都要重新设置路径.。最后看下 File 中的 Change dir 里的路径是不是:TURBOC2 ，如果是，退出。17 如果解压在其他盘，与是一样的改法，把上面的改成解压到的盘符。快捷方式：编译和连接F9运行Ctrl+F9ASC码:

34、A65,Z-90a97,z12218实验七 PKI 与证书服务应用实验目的:掌握证书服务安全配置。掌握在 WEB 服务器上配置 SSL 。实验环境:Windows 2000 Server ，IIS 服务(端口必须为 80)。实验步骤:1. 安装 CA 中心（证书颁发机构）：单击“开始”，“添加/删除程序”，单击“添加/删除 Windows 组件”。选择“证书服务”。下一步中，安装需要指出服务器授权的类型，一般选择第一项（或第三项），一般如果没有安装 AD 活动目录的话选择第三项：独立的根。然后在下一步中给自己的 CA 起一个名字。然后，需要指定共享文件夹，这作为证书服务的配置数据存储位置，单

35、击“下一步”，安装完毕。注意：自己建立 CA 机构时，所给 CA 机构起的名是自己定义的，在客户端的 IE中，在一开始并不属于客户端信任的根证书颁发机构，如果，客户端没有把该 CA机构加为自己所信任的根证书颁发机构，那么在客户端访问该服务器上的网站时，会出现安全警告信息。这也是为什么我们访问一些 HTTPS 网站要出现安全警告信息的原因。2.在 WEB 服务器上设置 SSL: (1) 生成证书申请（在 WEB 服务器上操作）。在 IIS 信息服务中，选择你要保护的站点。注意：你的站点的 IP 地址请使用指定的 IP 地址，不要使用“（全部未分配）”，比如我的指定地址为192.168.77.11

36、0。然后，到“目录安全性”页面，按“服务器证书”按钮，调出向导，依次选择“创建一个新证书”-“现在准备请求，但稍候发送” -“选选择 1024 位长” -在为证书请求输入一个文件名的地方，输入一个 txt 文件名-完成。到此，我们就已经为此站点生成了一个公钥，放到 txt 文件中了。(2) 提交用户申请（用 WEB 方式提交 base64 位编码申请文件）。打开 IE，在地址栏中输入 http:/localhost/certsrv，选择“申请证书”“高级申请”“使用 base64 编码的 PKCS #10 文件提交一个证书申请，或使用 base64 编码的 PKCS #7 文件更新证书申请”打

37、开你刚才生成的 txt文件，内容全选，复制后，粘贴到“Base64 编码”的框中，提交，申请成功。(3) 颁发证书（在 CA 根证书服务器上操作）。打开管理工具中的“证书颁发机构”，在“待定申请”中，就有了我们刚才提交的申请，用鼠标右键单击，“所有任务”，“颁发”即可。你可以到“颁发的证书”中看到我们的证书已经存在了。接着点击 “颁发的证书”目录，打开刚刚颁发成功的证书，在 “证书”对话框中切换到“详细信息”标签页。点击“复制到文件”按钮，弹出证书导出对话框，一路下一步，在“要导出的文件”栏中指定文件名，如保存证书路径为“c:/dengpc.cer”，最后点击“完成”。(4) 下载 64 位

38、 base 证书并安装。19打开 IIS 信息服务，选择刚才的 Web 站点，“属性”，“目录安全性”，“服务器证书”，第一项，安装证书，下一步，选择 c:/dengpc.cer，下一步，完成安装证书。然后到“Web 站点”页面，在 SSL 端口中输入 443。验证：打开 IE，发现在地址栏中输入 https:/192.168.77.110 可以访问的站点。通过以上步骤，现在成功的在 IIS5.0 上面布置了 SSL。(5) 下载根证书并安装至“受信任的根证书颁发机构”- 本地计算机 - 启用 SSL - 要求客户端证书。 (6) 利用 SSL 加强客户端访问验证：如果在 HTTPS 访问下

39、要求客户端验证，请在客户证书中选择“申请客户证书”，这样没有客户证书的客户将不再允许访问。选择启用证书信任列表，将阻止证书被吊销的客户访问。确定。打开 IE，在地址栏中输入 http:/certsrv，选择“申请证书”“用户证书申请”&“Web 浏览证书”输入客户的信息，提交。然后管理员在“证书颁发机构”中颁发证书，用户在来到 http:/ /certsrv 中“检查挂起的申请”，把证书安装到他自己的机器上，即可以通过 SSL 安全的访问我们的 Web 站点。注：1.CA 类型：企业级 CA，独立级 CA 。企业级 CA 与独立级 CA 区别： (1) 安装环境：企业级：只能在域环境中安装。

40、独立级：既可以在域环境中安装也可在工作组环境中安装。(2) 申请方式：企业级：MMC 和 WEB 两种方式申请。独立级：WEB 方式申请。(3) 颁发方式：企业级：只能给域内的合法用户办法且自动颁发。独立级：可以为所有用户颁发证书，手动颁发。 2. SSL（Security Socket Layer）的中文全称是“ 加密套接字协议层” ，是由Netscape 公司推出的一种安全通信协议，它位于 HTTP 协议层和 TCP 协议层之间，能够对信用卡和个人信息提供较强的保护。SSL 在客户和服务器之间建立一条加密通道，确保所传输的数据不被非法窃取，SSL 安全加密机制功能是依靠使用数字证书来实现的

41、。SSL 介于 HTTP 协议与 TCP 之间，结构如下：HTTP SSL TCP IP SSL 传输过程用到的端口是 443SSL 会话过程：应用了 SSL 加密机制后， IIS 服务器的数据通信过程如下：首先客户端与 IIS 服务器建立通信连接，接着 IIS 把数字证书与公用密钥发给客户端。然后客户端使用这个公共密钥对客户端的会话密钥进行加密后，传递给 IIS 服务器，服务器端20接收后用私人密钥进行解密，这时就在客户端和 IIS 服务器间创建了一条安全数据通道，只有被 IIS 服务器允许的客户才能与它进行通信。Windows 网络操作系统内置的 IIS 是大家最常用的 Web 服务器。但

42、在系统默认配置下，IIS 使用的是“HTTP 协议” 以明文形式传输数据，没有采用任何加密手段，传输的重要数据很容易被窃取，如果用 Sniffer pro 这类的软件就能从抓的数据包上反映出来。这对于一些安全性要求高的网站来说，是远远不够的。为了保证重要数据的万无一失，IIS 也提供了 SSL 安全加密机制。21实验八 PGP 软件的使用实验目的:掌握 PGP 软件的使用方法，对加密理论知识加深理解。掌握使用 PGP 软件发送安全电子邮件的方法。实验设备:连入 Internet 的计算机一台所用软件：实验步骤:1.到网上搜索 PGP 软件，下载。2.下载安装 PGP 后，重新启动。重启后会让你

43、输入姓名，单位和序列号，我们不是付费用户，点“later”。接下来进行一些个人信息以及 PGP 简单配置。3.启动 PGP 后，在任务栏生成一个小锁图标。点击小锁，弹出的菜单中选择“PGPMail”,出现一个程序栏。4.生成密钥：使用 PGP 之前，首先需要生成一对密钥。“PGPKeys”-“Keys”-“New Key”, 开始生成密钥。出现密钥生成向导对话框。第一步，PGP 会提示这个向导的目的是生成一对密钥，你可以用它来加密文件或对数字文件进行签名。第二步，如果你要选择密钥的位数或者选择其他加密算法，点击“expert”高级选项，PGP 会要求你输入全名和邮件地址。虽然真实的姓名不是必须

44、的，但是输入一个你的朋友看得懂的名字，最好能让别人一下就认出你来，会使他们在加密时很快找到想要的密钥。选择一种加密类型。指定密钥的长度。通常来说位数越大被解密的可能性越小就越安全，但是在执行解密和加密时会需要更多的时间，一般 2048 位就 ok 了。 PGP 会问你密钥的过期日期，可以选择从不过期或者指定一个日期作为过期的界限。否则就按“下一步”。第三步，请重复输入你的密码 Passphrase。这个密码是对你的私钥进行加密，平时私钥是不公开的，万一别人拿到了你的私钥，没有这个密码，他也没办法使用。建议你的密码大于 8 位，并且最好包括大小写、空格、数字、标点符号等，为了方便记忆你可以用一句

45、话作为你的密钥，如 Amy is 12 years old.等。边上的“Hide Typing”指示是否显示键入的密码。（Passphrase口令，密码短语, 在功能上，passphrase 同密码一样，只是长度较密码长。通常 passphrase 使用 4 到 5 个单词取代原来数字、字母结合的方式）第四步，接下来 PGP 会花一点点时间来生成你的密钥，一直“下一步”就可以完成了。想废除密钥时，选取 Revoke 即可。5.导出并发送公钥：把公钥作为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。用菜单 keysEmport 将你的密钥导出为扩展名为 asc 或 txt

46、的文件，将它发给你的朋友们。默认的参数是只导出公钥。（对方则用 keysimport 导入）公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过Email 方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，22因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环境来传送公钥。我们可以互相通过 Email 传送公钥，例如，用户 A 和用户 B 要互相通信，则 A 需要把自己的公钥传递给 B，而 B 需要把自己的公钥传递给 A。6.数字签名：由于公钥是发放给其他人使用的，那么

47、在公钥发放的过程中，存在公钥被人替换的可能。此时，若有一个人对此公钥是否真正属于某个用户的公钥做出证明，那么该公钥的可信任度就比较高。如果 A 很熟悉 B，并且能断定某公钥是 B 的，并没有人把该公钥替换或者篡改的话，那么可以对 B 的公钥进行数字签名，以自己的名义保证 B 的公钥的真实性。具体操作为：运行“开始”“PGP”“PGP Keys”，选中要进行签名的公钥，然后右键，选择“Sign”进行签名。此时，选择该用户的公钥，并且选中“Allow signature to be exported. Others may rely upon your signature（允许该签名被导出，其他人

48、可以信任你的签名的真实性）”，点击“OK”。输入私钥的密码，点击“OK”。这样，对公钥的签字就完成了。如果希望发出的信件或者文件不被冒名或篡改，我们也可以对文件进行签名和加密。操作如下：选择要进行签名的文件，点击右键，选择“sign”。要注意的是，对文件签名只能证明是你发出该文件，但是文件的内容并没有被加密，同时，进行数字签名时，在意的是表明该文件是从自己这里发出，因此对于文件的内容并不在意被别人看到，经过数字签名的文件要同原明文文件一同发送给对方，对方才能验证数字签名是否有效。如果同时要表明文件从自己这里发出，同时又要对文件的信息保密，那么就选择“签名与加密”选项 Encrypt&sign

49、。同样的，在选择密钥的对话框中，从对话框上部的密钥列表中，选择接收文件的用户拖到对话框的下部，点击“OK”。确定接收人后，输入私钥的密码，进行数字签名或数字签名和加密。收件人使用你的公钥验证签名。签名文件后，将增加一个后缀是 sig 文件，文件名与你签名的文件名相同，你要同时发布这两个文件，别人才能校验你发布的文件是否被改过了。7.加密与解密：加密：有了对方的公钥之后就可以用对方公钥对文件进行加密，然后再传送给对方。具体操作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”（或者点击“Encrypt”图标，出现选择所加密文件对话框，选择文件所在位置）。然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分（recipients），点击“OK”，并且为加密文件设置保存路径和文件名。加密文件后，将生成一个新的文件，后缀是 pgp。此时，你就可以把该加密文件传送给对方。解

展开阅读全文