《网络安全技术》实验指导书.doc

1、实验一 加解密算法DES 算法的实现一、 实验目的熟悉 DES算法的思想，算法实现过程。二、 实验内容DES加密算法分为 3个步骤：第一步，初始置换 IP58 50 12 34 26 18 10 2 60 52 44 36 28 12 462 54 46 38 30 22 14 6 64 56 48 40 32 24 16 857 49 41 33 25 17 9 1 59 51 43 35 27 19 11 361 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7（初始置换表 IP）第二步，16 轮迭代扩展置换32bitS盒替代P盒替代Ri48bit密钥变

2、换Ki32bitLi-1Li48bitf函数一次迭代运算过程Ri-132 1 2 3 4 5 4 5 6 7 8 9 8 9 10 1112 13 12 13 14 15 16 17 16 17 18 19 20 21 20 2122 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1（扩展置换表 E）16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 102 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25（P 盒置换）列行 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14

3、150 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 71 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 82 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0S13 5 12 8 2 4 9 1 7 5 11 3 14 10 0 6 130 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 101 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 52 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15S23 13 8 10 1 3 15 4 2 1

4、1 6 7 12 0 5 14 9 （S 盒子）第三步，逆初始置换40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 3138 6 46 14 54 22 62 30 37 5 45 13 53 21 61 2936 4 44 12 52 20 60 28 35 3 43 11 51 19 59 2734 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25（逆初始置换 IP1 ）子密钥的产生：子密钥的产生过程经过PC-1，得到C 0，D 0Ci(28bit) Di(28bit)循环左移 循环左移经过PC-256bit48bit子

5、密钥 Ki密钥K（64bit ）56bit根据以上 DES算法的实现过程，补充程序，源码请参见网络存储。E:wm backdes算 法 .doc实验二：RSA 算法的实现及应用一、 实验目的了解 RSA 算法的原理，实现过程，以及应用。二、 实验条件Windows2000/XP 操作系统，vc6.0三、 实验内容了解 RSA 源码实现过程，源码请参见网络存储实验三 PGP 的使用第 1 部分 PGP 的安装及密钥的生成与管理一、实验目的掌握密码理论与技术（对称密码技术和非对称密码技术）的原理；能够比较透切地PGP 使用公钥密码技术的机理；掌握 PGP 加密软件在密钥生成及管理。二、实验内容1安

6、装PGP 的安装很简单，和平时的软件安装一样，只须按提示一步步“Next” 完成即可。其中在以下的画面你可以选择要安装的选件，如果选择了“PGPnetVirtualPrivateNetworking”虚拟网，再选择相应的 Plugin，如 “PGPMicrosoftOutlookExpressPlugin”，就可以在OutlookExpress 中直接用 PGP 加密邮件，这里指的是加密邮件的内容，具体操作我们在后面会详细说到。如前所述请下载文件文件：PGP8.exe 。然后直接执行，即可进入 PGP 程序安装画面，请依屏幕指示操作机可。2操作方式 1密钥的生成使用 PGP 之前，首先需要生成

7、一对密钥，这一对密钥其实是同时生成的，其中的一个我们称为公钥，意思是公共的密钥，你可以把它分发给你的朋友们，让他们用这个密钥来加密文件，另一个我们称为私钥，这个密钥由你保存，你是用这个密钥来解开加密文件的。打开“开始”中“PGP”的“PGPKEYS”，可看到以下的画面。点击图标或者用菜单 keynewkey开始生成密钥。PGP 有一个很好的密钥生成向导，只要跟着它一步一步做下去就可以生成密钥，ok,letsgo ！操作时请注意：（1）Fullname 是个人公钥字段格式。（2）Email 地址请填写正确。注：PGP5.0 以后建议编码方式改用 Diffie-Hellman/DSS 算法，安全性

8、比较高。而且在PGP6.0 以后将不支持 RSA 编码了。请大家按 PGP 的建议吧 !请对自己的私钥设定一组密码，在激活私钥时都需加以核对，以增加安全性，但一直输入密码也很讨厌，因此 PGP 有很人性化的考虑，他会自动判断需不需要核对密码。图 3-1 设定 PGP Public Key Information图 3-2 设定 PGP Private Key 密码注：在产生公钥/私钥的过程中，请记得要不断的移动鼠标，制造随机数，才能完成喔! 图 3-2 产生 PGP Private 及 Public Key在图 3-2 中生成完成后，单击 “下一步”按钮，出现入图 3-3 所示的对话框，随即P

9、rivate 及 Public Key 生成完成。图 3-3 图 3-4 完成自己的 PGPKey 制作2操作方式 2Public Key 传送到预设的 KeyServer个人的 PGP 私钥及密码在 PGP 机制中是最重要的部份，一定要妥善保管，万一遗失或担心已经泄露，可将公钥也一并作废(Revoke)，重新制作一组公钥及私钥。个人的 PGP公錀最好透过安全的管道传送给自己的亲朋好友，让对方用来加密文件寄给自己。除了您主动交付公钥给对方之外，PGP 机制中还有 PGP Key Server 的功能，让使用者公布个人公钥并开放给任何人下载。操作步骤见“PGP Desktop for Windo

10、ws Users Guide”的 P27。3操作方式 3密钥认证特性的一些设置双击“PGPKeys”中的公钥项，出现如图 3-5 所示的对话框，即可以进行。图 3-5 在图 3-5 中单击“Show Signing Key Properties”按钮，出现如图 3-6 所示的对话框，然后进行相应的设置（比如可以将密钥的 Expire（期限） 、Revoke（作废）等） 。图 3-64操作方式 4输出文字文件的 PublicKey汇出公钥及私钥的步骤，非常简单，在 PGP keys 的Keys选单内有Export功能，会帮你将公钥或私钥产生 ASCII 格式的文件，这个 ASCII 格式的文件就

11、是您的公钥了，可用来公布在 Key Server 上或和你的朋友互相交换。图 3-6 输出文字文件格式的 PGP Public Key除了产生公钥的文字文件之外，若您勾选了ExportPrivateKey ，将同时产生私钥的文字文件，扩展名习惯上都是*.asc，当然私钥的文字文件请小心保管，可别到处流传喔 !图 3-7 设定 PGP Public Key 文字文件文件名5操作方式 5设定 PGPKeyServer该功能能直接传送公钥、搜寻、更新公钥，和邮件软件的配合更是天衣无缝，作为用户可以在 PGP 内设定 KeyServer。建议各位在还未习惯 PGP 各种操作前，先别将自己的公钥传送其它

12、的 KeyServer，免得将来要异动时很麻烦(所有的 KeyServer 都不能让使用者自行删除公钥!)。请选择Edit/Options图 3-8 进入 PGP 的其它设定部份请选择Servers类别，并且将右边Listed 的“ ”去掉。图 3-9 设定 PGP Key Server图 3-10 建立一组新的 PGP Key Server6PGP 的认证方式PGP 的基本规则是:要利用别人的公钥送加密文件给对方之前，必需先将对方的公钥加入到自己的公钥环(PublicKeyRing)。您可以透过各种妥善管道取得对方的公钥，例如直接由对方交付、或由网络传送等等，最重要的您一定要确定这把公钥真的

13、是对方所有的!否则你们之间的通讯安全就无法保证了。因为 PGP 是以相互签名方式来验证公钥的真伪，我们要先接受第一个朋友的公钥，然后透过第一个朋友的签名验证后，才能接受其它的公钥。因此，千万别轻易为别人签名，除非确实是自己可信赖的人，免得因为 PGP 层层签名的制度而产生安全漏洞。总之，PGP 也等于自己在网络世界的信用指数，可别随便拿自己的名誉开玩笑喔!7搜寻/加入别人的 PublicKey在中研院的 KeyServer(http:/pks.sinica.edu.tw)上可搜寻到所有的公钥，但是不能直接下载，必需利用 Copy/Paste 方式将对方的公钥存成文字文件，再加入到自己的公钥环之

14、中。这版的 PGP 提供更简易的操作，直接在 PGP 中搜寻 KeyServer 上的公钥，找到后再决定是否加入自己的公钥环中，程序大致如下，是不是非常方便呢?选择Server/Search图 3-11 由 Key Server 搜寻别人的 Public Key请输入搜寻条件，例如以bernd ，想列出其所有的公钥。图 3-12 设定搜寻字符串条件PGP 将会自动到预设的 KeyServer 查询符合的公钥（图略） 。图 3-13加入别人公钥到公钥环的步骤：（1）选择想加入的公钥。（2）按鼠标右键选择Import to Local Keyring图 3-14 将别人的 PublicKey 加入

15、自己的 KeyRing加入了其它公钥的公钥环状况图 3-15 完成后 KeyRing 内所有的 PublicKey第 2 部分 PGP 加密与数字签名的使用一、实验目的1掌握密码理论与技术（对称密码技术和非对称密码技术）的加密与数字签名的原理。2掌握 PGP 加密软件加密及数字签名的两种操作方式。二、实验内容PGP 加密与数字签名一般有两种操作方式：其一对文件内容利用剪贴簿的【复制/贴上】功能达成，其二对文件则以鼠标右键激活 PGP 功能。分别详述如下：1剪贴簿（复制/贴上）当安装了 PGP 之后，PGP 就会自动激活。并且在 Windows 下方状态列的右边会出现一个小符号如 ，在这个符号上

16、按左键会出现 PGP 菜单，你可以选择EncryptClipboard(将剪贴簿内资料加密)、SignClipboard(将剪贴簿内资料签名)、Encrypt&SignClipboard(将剪贴簿内资料加密并签名 )、Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)等功能，这种透过剪贴簿来操作 PGP 功能的操作方式，适用于电子邮件，例如:NetscapeMail(注)。信件加密/签名程序（1）当信件内容输入完成后，在Edit功能内选Select All，或按 Ctrl+A。选择全部信件内容。（2）在Edit 功能内选Copy ，或按 Ctrl+C。将信件内容复制

17、到剪贴簿。图 4-1 选择信件内容后复制到剪贴簿（3）在 符号上按左键，点出 PGP 菜单。（4）选择Encrypt Clipboard只做加密，或选择Encrypt&SignClipboard加密又签名名。图 4-2 选择 PGPtray 的Encrypt&SignClipboard（5）选择收信人的公钥。图 4-3 选择收信人的公钥在 PGPforOutlook 中有另一项很方便的功能,若对方的公钥尚未加入到你的钥匙环中，PGP 会自动到指定的 KeyServer 查询并下载。（6）若选择签名，则还要输入私钥密码以执行签名功能。图 4-4 输入私钥密码执行签名（7）PGP 完成动作后，会将

18、加密/签名的结果自动更新到剪贴簿。（8）回到信件编辑状态时，只需在Edit功能内选Paste，或按 Ctrl+V，就会变成信件加密/签名后的密码型式了。图 4-5 将加密后密文贴在信件之中（9）传送信件给对方。收信人解密/验证程序在此以 NetscapeMail 利用 PGP 读取“加密电子化薪资单“为例。（1）Edit 功能内选SelectAll，或按 Ctrl+A。选择全部信件内容。（2）在Edit 功能内选Copy ，或按 Ctrl+C。将信件内容复制到剪贴簿。图 4-6 将信件内容复制到剪贴簿（3）选择 Decrypt/VerifyClipboard(将剪贴簿内资料解密或验证签名)。图

19、 4-7 选择 PGPtray 的Decrypt/VerifyClipboard功能（4）输入个人私钥的密码，进行解密；输入发送方的公钥进行签名验证。图 4-8 输入私钥密码（5）得到解密结果。图 4-9 解密结果（TextViewer 窗口内容显示明文）（6）观看解密后的信件内容。PGP 会自动出现TextViewer窗口（如上图所示） ，这里遇到中文有点小麻烦，因为窗口字型不是细明体，每一行均无法对齐，请按下功能。关闭TextViewer窗口。请开启文书软件(例如:笔记本 Notepad)，再执行贴上 功能，即可看到整齐的内容（如下图所示） 。图 4-10 粘贴到记事本显示明文2文件的加密

20、/签名(按右键)这种方式适合对文件做加密/签名，而且操作程序更简单，只需在该文件上按鼠标右键，然后点PGP 会出现 :Encrypt(加密) 、Sign( 签名) 、Encryp&Sign( 加密并签名)、Wipe(清除原始文件) 等功能，请选择执行即可（如图 4-11） 。假如加密签名的文件是： test.txt。图 4-11 按鼠标右键执行 PGP 功能选择加密用的公钥/签名用的私钥，如图 4-12 所示。图 4-12在图 4-13 中输入加密用的公钥。图 4-13在图 4-14 中的对话框中输入签名用的私钥。图 4-14随后就将加密并签名的的文件保存为：test.txt.asc注意：新产

21、生的加密/签名档， PGP 会自动加上不同的扩展名作为区别。加密后的新档为*.*.pgp、签名后的验证档为*.*.sig、加密又签名后的新档为*.*.asc。3文件的解密/验证签名(按右键)解密/验证签名的方法也是与前类似，只要在经过加密 /签名的文件上，按鼠标右键，然后择选PGP内的 Decrypt/Verify 功能，再输入自己的私钥密码即可还原。下面仅仅以加密的文件为例进行讲解。图 4-15在图 4-16 中输入签名验证用的公钥 /解密用的私钥，随后单击“OK ”按钮，并出现如图 4-17 所示的保存解密后文件的对话框。图 4-16图 4-17请留意PGPlog窗口，验证结果以符号及消息

22、显示（如图 4-18） 。图 4-18 实验四：简易防火墙的配置一、实验目的在 Windows 2K 中创建简易防火墙配置（ IP 筛选器） 。完成实验后，将能够在本机实现对 IP 站点、端口、DNS 服务屏蔽，实现防火墙功能。二、实验条件熟悉防火墙的概念。具备下述环境：运行 Windows 2K Server 的计算机。三、实验内容1运行 IP 筛选器主要任务：在 Windows 2K Server 上运行 IP 筛选器。操作步骤（1）在 Windows 2K Server 里运行“mmc”命令，在出现的“控制台 1” 窗口里，选择菜单上的“控制台 1”里的“添加/删除命令” ，出现“ 添加

23、/ 删除”对话框。（2）在“添加/删除管理单元 ”对话框中（如图 2-1 所示） ，选择“独立”标签页，在“管理单元添加到”下拉列表框中，选择“控制根节点”选项，单击“添加”按钮，出现“添加独立管理单元”对话框。图 2-1 “添加/删除管理单元”对话框（3）在“添加独立管理单元”对话框中（如图 2-2 所示） ，在“可用独立管理单元”列表框中，选择“IP 安全策略管理”选项，单击“添加”按钮，出现“选择计算机”对话框，单击“本地计算机”单选按钮，单击“完成”按钮。图 2-2 “添加独立管理单元”对话框（4） 返回“ 添加独立管理单元”对话框中，单击“关闭”按钮，返回到“添加/删除管理单元”对话

24、框中；单击“确定”按钮，返回“控制台 1”窗口（如图 2-3） ，完成“IP安全策略，在本地计算机”的设置。图 2-3 “控制台 1”窗口2添加 IP 筛选器表主要任务：在本机中添加一个能指定 IP（192.168.14.0）进行筛选的 IP 筛选器。操作步骤：（1）在“控制台 1”窗口的“控制台根节点”窗口中，展开刚建立的“IP 安全策略，在本地计算机”选项，右边框有 3 个默认的安全规则；选中左边的“IP 安全策略，在本地计算机”选项并右击，从打开的菜单中选择“管理 IP 筛选器表和筛选器操作”命令（如图2-4） ，出现“管理 IP 筛选器表和筛选器操作 ”对话框。图 2-4 选择“管理

25、IP 筛选器表和筛选器操作”命令（2）在出现的选择“管理 IP 筛选器表和筛选器操作”对话框中（如图 2-5） ，单击“添加”按钮，出现“IP 筛选器列表”对话框。图 2-5 选择“管理 IP 筛选器表和筛选器操作”对话框（3）在打开的“IP 筛选器列表”对话框中（如图 2-6） ，输入此 IP 筛选器的名称和描述，例如：“名称”为“屏蔽特定 IP”， “描述”为“屏蔽 192.168.14.0”，这里选择“使用添加向导 ”复选框，单击“编辑”按钮，出现“筛选器属性”对话框。可对“屏蔽特定IP”进行设置。图 2-6 选择“IP 筛选器列表”对话框（4）在“筛选器属性”对话框中（如图 2-7）

26、，选择“寻址”标签页，在“源地址”和“目标地址”下拉列表框中，分别选择“我的 IP 地址”和“一个特定的 IP”选项。当选择“一个特定的 IP”选项时，会出现“IP 地址”文本框，可输入要屏蔽的 IP 地址，如“192.168.0.0”。选择 IP 地址设定的方法有 5 种，比较容易理解。默认情况下， “IP 筛选器”的作用是单方面的，比如源地址为 A，目标地址为 B，则防火墙只对 AB 的流量起作用，对 BA 的流量不计。选中“镜像”复选框，则防火墙对 AB 的双向流量都进行处理（相当于一次添加了两条规则） 。图 2-7 “筛选器属性”对话框（5）在“筛选器属性”对话框的“协议”标签页中（如

27、图 2-8） ，选择协议类型及设置 IP协议端口。图 2-8 “协议”标签页（6）在“筛选器属性”对话框的“描述”标签页的“描述”文本框中，输入描述文字，作为筛选器的详细描述（如图 2-9） 。单击“确定”按钮，返回到“IP 筛选器列表”窗口（如图 2-10） ， “屏蔽特定 IP”被填入了筛选器列表。图 2-9 “描述”标签页图 2-10 “屏蔽特定 IP”被填入了筛选器列表3添加 IP 筛选器动作主要任务：在第“2”步的操作中，将一个虚拟的 C 类网段 192.168.10.0 加入到了“待屏蔽 IP 列表” ，但它只是一个列表，没有防火墙功能，只有再加入动作后，才能够发挥作用。本任务是建

28、立一个“阻止”动作，通过动作与刚才的列表结合，就可以屏蔽特定的 IP 地址。操作步骤：（1）在“控制台 1”窗口的“控制台根节点”窗口中，选中左边的“IP 安全策略，在本地计算机”选项并右击，选择“管理 IP 筛选器表和筛选器操作”命令，出现“管理 IP筛选器表和筛选器操作”对话框。（2）在“管理 IP 筛选器表和筛选器操作”对话框的“管理 IP 筛选器列表”标签页中选择“屏蔽特定 IP”选项（如图 2-11） ；然后选择“管理筛选器操作”标签页（如图 2-11） ，单击“添加”按钮，出现“新筛选器操作属性”对话框。图 2-11 选择“屏蔽特定 IP”选项图 2-12 “管理筛选器操作”标签页

29、（3）在“IP 筛选器列表”对话框中（见图 2-6） ，输入此 IP 筛选器的名称和描述，例如“名称”为“屏蔽特定 IP”， “描述”为“屏蔽特定 IP”，并选择使用“添加向导”复选框，单击“添加”按钮，出现“筛选器属性”对话框，即可对“屏蔽特定 IP”进行设置。（4）在“筛选器操作属性”对话框的“安全措施”标签页，选择“阻止”单选按钮（如图 2-13） ，选择“常规” 标签页，在“名称”文本框中输入“阻止” （如图 2-14） ；单击“确定”按钮，此时“阻止”加入到操作列表中（如图 2-15） 。图 2-13 “安全措施”标签页图 2-14 “常规”标签页图 2-15 筛选器设置完成4创建

30、IP 安全策略主要任务：筛选器表和筛选器动作已建立完毕，在本任务中将它们结合起来发挥防火墙的作用。操作步骤：（1）返回“控制台 1”窗口的“控制台根节点”窗口，选择“IP 安全策略，在本地计算机”并右击，选择“创建 IP 安全策略”命令（如图 2-16） ，出现“IP 安全策略向导 1”对话框。图 2-16 选择“创建 IP 安全策略 ”命令（2）在“IP 安全策略向导”对话框的“名称”文本框中输入“我的安全策略” ，可以在“描述”文本框中输入对安全策略设置的描述，单击“下一步”按钮，出现“IP 安全策略向导”对话框。（3）在“IP 安全策略向导”对话框中，取消选择“激活默认响应规则”复选框，

31、单击“下一步”按钮，出现“IP 安全策略向导”对话框。（4）在“IP 安全策略向导”对话框中，选择“编辑属性”复选框，单击“完成”按钮，出现“我的安全策略属性”对话框。（5）在“我的安全策略属性”对话框的“规则”标签页中（见图 2-17） ，选择“新 IP筛选器”单选按钮，出现“新规则属性”对话框，修改此策略的属性，用筛选器表和筛选器动作建立规则。图 2-17 “我的安全策略属性”对话框（6）在“新规则属性”对话框的“IP 筛选器列表”标签页中，选择“新 IP 筛选器”单选按钮（如图 2-18） ；在“ 筛选器操作”标签页中，选择 “阻止”单选按钮（如图 2-19） ；单击“确定”按钮，返回“

32、我的安全策略属性”对话框，可看到新规则已建立（如图 2-20） 。至此，屏蔽特定 IP 或网址的操作已完成。图 2-18 “IP 筛选器列表”标签页图 2-19 “筛选器操作”标签页5用 IP 筛选器屏蔽特定端口主要任务：建立一个名为“屏蔽 139 端口”的 IP 筛选器规则，关闭本机的“139 端口”，然后结合上述任务添加的“阻止”动作进行设置，同样也可以关闭其他端口。操作步骤：（1）在“IP 筛选器列表”对话框的“名称”文本框中，输入“屏蔽 139 端口” ，如图2-21 所示，单击“添加”按钮，出现 “筛选器属性”对话框。图 2-21 “IP 筛选器列表”对话框（2）在“筛选器属性”对话

33、框的“寻址”标签页中的“源地址”下拉式列表框中，选择“任何 IP 地址” ，在“目的地址”下拉式列表框中，选择“我的 IP 地址” ，取消“镜像”复选框（如图 2-22） 。在“协议 ”标签页中，参考图 2-23 进行设置；在“描述”标签页中，参与图 2-24 进行设置。图 2-22 “寻址”标签页图 2-23 “协议”标签页图 2-24 “描述”标签页（3）单击“确定”按钮，返回到“管理 IP 筛选器表和筛选器操作”对话框，可以看到“屏蔽 139 端口”已经建立（如图 2-25） 。图 2-25 “管理 IP 筛选器表和筛选器操作 ”对话框6应用 IP 安全策略主要任务：应用 IP 安全策略操作步骤：（1）在“控制台根节点“窗口中，在刚建立的”我的安全策略“规则”上右击，选择“指派”命令（见图 2-26） 。图 2-26 选择“指派”命令（2）在“IP 安全策略，在本地计算机”选项中右击，再选择“所有任务”|“导出策略”命令，备份所设置的安全策略（如图 2-27） 。同样的，可以使用“导入策略”恢复。