信息安全.docx
《信息安全.docx》由会员分享,可在线阅读,更多相关《信息安全.docx(38页珍藏版)》请在冰豆网上搜索。
信息安全
计算机与网络安全
实验报告
评语:
成绩
教师:
年月日
班级:
计算机院卓越班
学号:
姓名:
冉徐衎
地点:
EII-508
时间:
2014年6月
对称密码基本加密实验
【实验环境】
ISES客户端
MicrosoftCLRDebugger2005或其它调试器
【实验步骤】
一、DES
在加密算法选项里选择DES,以下实验步骤保持算法不变。
(一)加解密计算
(1)加密
(2)解密
(二)分步演示
(1)点击“扩展实验”框中的“DES分步演示”按钮,进入DES分步演示窗口,打开后默认进入分步演示页面。
(2)密钥生成
(3)加密过程
二、3DES
在加密算法选项里选择3DES,以下实验步骤保持算法不变。
(一)加解密计算
选择明/密文和密钥的格式,输入明/密文和密钥;点击“加密”/“解密”按钮,进行加/解密计算;查看计算结果。
具体步骤可参照DES的加解密计算的实验步骤。
(二)查看轮密钥
(1)点击“扩展实验”框中的“查看轮密钥”按钮,进入查看轮密钥窗体。
(2)输入明文、初始化向量和密钥,密钥长度为128位或192位,对应于原理中的两种情况,此处以输入128位密钥为例;选择工作模式和填充模式,点击“加密”按钮,使用3DES算法按照选定的工作模式和填充模式进行加密;在“密钥”框中查看各轮的密钥,在“密文”框中查看生成的密文。
具体如图1.1.418所示。
【实验截图】
DES加密
DES解密
三、AES-128/192/256
AES-128/192/256的区别仅在于密钥长度的不同,此处以AES-128为例,AES-192/256可参照完成。
在加密算法选项里选择AES-128,以下实验步骤保持算法不变。
(一)加解密计算
选择明/密文和密钥的格式,输入明/密文和密钥;点击“加密”/“解密”按钮,进行加/解密计算;查看计算结果。
具体步骤可参照DES的加解密计算的实验步骤。
(二)查看轮密钥
3DES加密
查看轮转秘钥
AES查看轮秘钥
AES查看轮秘钥
DES
E盒拓展
非对称加密实验
【实验环境】
ISES客户端
MicrosoftCLRDebugger2005或其它调试器
【实验步骤】
一、RSA
(一)加解密计算
(1)打开实验实施,默认的选择即为RSA标签,显示RSA实验界面。
(2)选择明文格式,输入要加密的明文信息。
(3)选择密钥长度,此处以512比特为例,点击“生成密钥对”按钮,生成密钥对和参数。
(4)选择“标准方法”标签,在标签下查看生成的密钥对和参数,如图1.1.71所示。
图1.1.71
(5)标准方法加解密
(6)选择“中国剩余定理方法”标签,在标签下查看生成的密钥对和参数,如图1.1.73所示。
(7)中国剩余定理方法加解密
(二)RSA密钥计算
【实验截图】
RSA标准方法
RSA中国剩余定理方法
PGP在文件系统、邮件系统中的应用
【实验环境】
本地主机
PGP8.1版本
【实验步骤】
一、生成密钥
二、文件加解密
(1)在待加密的文件上单击右键,选择PGP-加密。
弹出PGP外壳-密钥选择对话框
(2)选择刚创建的密钥,点击确定;PGP会对文件进行加密,并保存为.pgp的加密文件
(3)要查看加密后的文件,在加密后的文件上双击或者单击右键选择PGP-解密&较验;此时会要求输入密码
(4)正确输入文件加密密钥对应的密码,PGP解密文件并提示保存解密文件
(5)保存解密文件,并与原文件比较
三、创建与使用PGPdisk
(1)运行PGPdisk:
启动-程序-PGP-PGPdisk
(2)点击下一步,设置PGPdisk位置和大小
(3)点击“高级选项”,可以指定PGPdisk以一个分区存在或者是NTFS分区上的一个文件夹存在,还可以指定PGPdisk的加密算法和文件系统格式
(4)选择完毕后点击确定,并点击下一步,选择保护方法
(5)选择使用公钥保护PGPdisk,点击下一步,选择已经生成的公钥
(6)点击下一步,进入收集随机数据界面;此时随意移动鼠标或者打字,产生随机数据用于创建PGPdisk的加密密钥图1.1.1316
(7)随机数据收集完毕,点击下一步;PGPdisk将新添加的卷进行加密和格式化操作
(8)点击下一步,完成PGPdisk的创建;在我的电脑中可以看到PGPdisk创建的虚拟分区
(9)将待加密的文件保存到这个分区;找到PGPdisk文件的保存位置(默认保存位置在C:
\DocumentsandSettings\Administrator\MyDocuments文件夹),在PGPdisk文件上单击右键,选择PGP-编辑PGPdisk
(10)在弹出的PGPdisk编辑器中可以添加或编辑对新创建的PGPdisk卷的访问用户;修改之前,必须先将PGPdisk反装配,点击工具栏的反装配按钮;然后选择菜单栏的用户-添加,此时需要输入创建PGPdisk时所选公钥对应的密码的密码;点击确定,将弹出PGPdisk用户添加向导
(11)点击下一步,进入选择保护方法界面,如果有导入的其它PGP密钥,也可以选择使用这些其它的PGP公钥;在此没有导入其它PGP密钥,所以默认只能使用密码保护的方式。
(12)创建一个新的密码保护PGPdisk的用户,输入用户名;点击下一步,输入一个至少8位字符长度的新用户的密码
(13)点击下一步,完成PGPdisk用户的创建;此时新创建的用户会显示在PGPdisk编辑对话框中
(14)现在就可以用user1用户使用此PGPdisk了;现在备份并删除原有的PGP密钥,打开PGPkeys:
开始-程序-PGP-PGPkeys
(15)在现有密钥上单击右键,选择导出;打开导出密钥对话框,选中左下角的包含私钥、包含6.0公钥
(16)选择好保存路径后,点击保存;然后在PGPkeys界面中,右键单击PGP密钥,选择删除;此时会弹出删除确认对话框,单击是,删除PGP密钥。
(17)回到PGPdisk的保存路径,在PGPdisk文件上点击右键,选择PGP-编辑PGPdisk;弹出PGPdisk编辑器。
可以看到原来的PGP密钥已经显示为,表示当前已经没有此PGP密钥。
(18)点击工具栏的装配按钮,会提示输入密码,此时必须输入创建user1时的密码
(19)输入user1密码,点击确认;PGPdisk装配完毕
(20)打开我的电脑,可以看到E盘已经装配
四、PGP加密邮件应用
(1)查看PGPkeys中的PGP密钥,确保密钥的有效性为绿色有效
(2)启动OutlookExpress,开始-程序-OutlookExpress;配置OutlookExpress的电子邮件账户,添加创建PGP密钥时所用的邮箱账户
(3)点击工具栏的创建邮件按钮,打开新邮件窗口;填写收件人邮箱,此处用PGP密钥的邮件地址代替收件人邮箱地址,实际应用中填写真实收件人邮箱地址;并填写邮件主题、邮件正文
(4)按照前面第二部分文件加解密实验,将待发送的文件用PGP加密;然后将加密后的文件当做附件添加到邮件中
(5)在菜单栏的工具下选中“使用PGP加密”、“使用PGP签名”两项,如图1.1.1335所示。
(6)点击工具栏发送,在弹出的PGP插件提示中选择“是”;如果弹出PGP警告,提示没有找到有效默认密钥,需要选择密钥,如图1.1.1336所示,选择正确的密钥后点击确定。
(7)此时需要为选择的PGP密钥输入密码,输入PGP密钥的密码
(8)PGP会对邮件正文进行加密,并发送邮件;回到OutlookExpress,点击工具栏的收取/发送按钮,收到刚发送的邮件;打开邮件,如图1.1.1338所示,可以看到邮件正文是已经被签名并加密过的。
图1.1.1338
(9)右键单击任务栏的PGPtray图标,选择“当前窗口|解密&校验”
(10)输入PGP密钥的密码,点击确定。
(11)PGP解密并验证邮件正文,点击确定。
(12)邮件的附件可按照第二部分PGP加解密文件中的步骤进行解密。
【实验截图】
1,生成向导
2汉化密码包
3,PGPkeys
结果
证书申请实验
【实验环境】
ISES客户端
【实验步骤】
(1)填写注册信息
(2)选择证书属性:
密钥用法、增强型密钥用法及密钥长度
(3)点击“申请”按钮,系统给予申请成功提示信息,如图1.2.13所示。
图1.2.13提交申请
【实验截图】
证书请求成功
请求管理实验
【实验环境】
ISES客户端
【实验步骤】
一、申请证书的颁发或拒绝
(1)选择“等待颁发的申请”项,在“证书请求列表”中出现未处理的申请证书。
(2)点击要颁发拒绝的证书,右侧“证书请求详细信息”内可查看相关信息。
(3)点击“颁发”或“拒绝”按钮,系统给予提示信息。
上述操作如图所示。
颁发证书
二、查看证书申请处理情况
用户可根据需要在“申请状态”栏中选择不同申请状态的单选按钮来查看证书申请处理情况
【实验截图】
成功颁发证书
证书管理实验
【实验环境】
ISES客户端
【实验步骤】
一、查看证书
(一)查看证书详细信息
(1)选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
(2)在“证书列表”中点击要查看证书,在右侧“证书详细信息”栏出现被选证书信息。
(二)查看根证书
(1)选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
(2)点击“查看根证书”按钮,弹出证书信息窗口如果未安装过此根证书,会提示此CA根证书不受信任
(3)点击“详细信息”或“证书路径”选项卡可查看根证书的详细属性或颁发机构,如
(4)点击“常规”选项卡,进入显示根证书基本信息界面;点击“安装证书”按钮,弹出“证书导出向导”窗口,用户可根据系统提示信息按步骤安装根证书。
(5)点击“详细信息”选项卡,进入查看根证书详细属性界面;点击“复制到文件”按钮,弹出“证书导出向导”窗口,用户可根据系统提示信息按步骤导出根证书。
(三)查看CRL
(1)选择任意证书状态,在下方“证书列表”中出现符合要求的所有证书。
(2)点击“查看CRL”按钮,系统弹出“证书吊销列表”窗口
(3)点击“确定”按钮返回实验实施界面。
二、导出证书
三、撤销证书
【实验截图】
查看、安装证书
交叉认证实验
【实验环境】
ISES客户端
【实验步骤】
一、查看与导出证书
二、创建交叉认证证书
(一)签发交叉认证
(二)查询交叉认证信息
(三)撤销交叉认证
(1)选择要撤销的交叉认证证书
(2)点击“撤销交叉认证”按钮,即可完整撤消操作。
三、构建及验证证书路径
(一)构建证书路径
(1)选择已建立交叉认证的CA下的实体
(2)点击“查询”按钮,弹出成功建立信任链对话框
(3)点击“确定”按钮返回实验实施界面,并在界面下方显示出两实体的信任链
(二)验证证书路径有效期
【实验截图】
证书不信任信息
交叉认证
普通包过滤实验
【实验环境】
图3.1.11实验环境拓扑图
实验环境拓扑图如图3.1.11所示,其中:
防火墙IP地址:
内网IP地址:
172.20.2.X/16连接防火墙实验显示的内网IP
外部IP地址:
172.21.2.X/16连接防火墙实验显示的外网IP
客户端IP地址:
172.20.1.Y/255.255.0.0,可通过察看本地网络属性获得
Windows实验台的IP地址:
172.21.3.Y
网关为防火墙外网IP地址:
1172.21.2.X
本实验的防火墙的默认规则都是允许。
【实验步骤】
一、连接防火墙服务器,开始实验
二、添加静态路由
打开本地cmd命令行,输入routeadd172.21.0.0mask255.255.0.0172.20.2.1验证网络连通性
打开本地cmd命令行,输入Ping172.21.3.76(实验台第二块网卡IP)
在浏览器地址栏中输入http:
//172.21.3.76/showip.asp
三、编写防火墙规则
四、验证实验结果
添加完规则,查看正确实验结果如图3.1.18所示。
图3.1.18连接测试
再次访问http:
//172.21.3.76/showip.asp,如果添加了防止WEB访问的规则,防火墙将数据包过滤,该页面无法正常访问。
五、尝试添加其它规则
尝试添加其它规则并进行验证。
【实验截图】
规则设置
NAT转换实验
【实验环境】
图3.1.42实验环境拓扑图
实验环境拓扑图如图3.1.42所示,其中:
防火墙IP地址:
内网IP地址:
172.20.2.X/16连接防火墙实验显示的内网IP
外部IP地址:
172.21.2.X/16连接防火墙实验显示的外网IP
客户端IP地址:
172.20.1.Y/255.255.0.0可察看本地网络属性
Windows实验台的IP地址:
172.21.3.Y,确保相互之间不会冲突。
网关为防火墙外网IP地址:
172.21.2.X
本实验的防火墙的默认规则都是允许。
【实验步骤】
一、连接防火墙服务器,开始实验
二、添加静态路由
三、验证网络连通性
四、编写目的NAT规则
五、验证目的NAT实验结果
六、编写源NAT规则
七、验证源NAT实验结果
再次访问http:
//172.21.3.76/showip.asp,源地址被转换成172.20.2.1,结果如图所示,从而实现隐藏源地址的作用。
【实验截图】
添加规则
已设置规则
IPtables防火墙配置
【实验环境】
图3.1.61
实验环境拓扑图如图3.1.61所示,其中:
Linux实验台:
系统中安装了IPTABLES及配套插件
Linux实验台IP地址:
172.20.4.X
客户端:
WindowsXP操作系统、IE浏览器
客户端IP地址:
172.201.Y
注:
图中IP地址为默认实验环境地址,学生可根据实际环境,依据网络拓扑示意原理,对IP进行配置与修改
【实验步骤】
打开Linux实验台,进入Linux系统,启动ftp服务。
图3.1.62
(1)通过IE访问FTP服务器,服务器可访问时如图3.1.63所示。
图3.1.63
(2)设置防火墙规则
如图3.1.64所示为防火墙设置默认规则,即先清空所有规则,再将OUTPUT链设置为默认丢弃。
图3.1.64
此时不能访问FTP
再针对FTP服务进行放行,添加防火墙规则如图3.1.66所示。
(3)实验结果如图3.1.69所示。
图3.1.69
【实验截图】
测试FTP
Windows下IPSecVPN实验
【实验环境】
一、主机到主机
主机到主机的IPSecVPN的网络拓扑如图3.3.21所示,其中:
图3.3.21
A:
本地主机,以IP地址172.20.X.X为例。
B:
Windows实验台,以IP地址172.20.Y.Y为例。
二、网关到网关
网络到网络的IPSecVPN的网络拓扑如图3.3.22所示;该部分实验以两人一组(A、B)的形式进行;其中:
主机A的本地IP为172.20.1.X/16,
Windows实验台A的两个(内外网)IP分别为172.20.3.X/16和172.22.3.X/16;
主机B的本地IP为172.21.1.Y/16,
Windows实验台B的两个(内外网)IP分别为172.21.3.Y/16和172.22.3.Y/16。
图3.3.22网络到网络的IPSecVPN网络拓扑
【实验步骤】
一、主机到主机
(一)主机配置
(二)实验台中,添加关于ICMP协议的安全策略
(1)选择认证方式,如图3.3.25所示;然后对该策略进行编辑,如图3.3.26所示。
图3.3.25IP安全策略向导
图3.3.26IP安全策略向导
(2)点击“添加”,添加新的IP规则,如图3.3.27所示。
图3.3.27
(3)添加IP安全规则,选择所有ICMP通讯
(三)本地主机,添加ICMP安全策略
具体步骤同虚拟主机步骤,暂时并不激活该规则,注意本地预共享密钥需与实验台的一致,才能保证实验正常。
(四)ping程序测试连接
(1)本地主机ping172.20.0.1–t查看连接状态
(2)在运行ping的同时,右键点击新建的IP安全策略,选择指派,查看ping程序运行状态。
(3)对两台机器同时指派,查看ping状态,如图可以看到两台主机已经可以ping通。
二、网关到网关
(一)网络配置
(二)创建IPSec策略
(三)主机A安全规则
(四)主机B网络配置
(1)添加a-b的IPSec筛选器列表
图3.3.235
1)如图3.3.234所示,在“a-b”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec筛选器;
2)在“IP筛选器列表”窗口,输入名称“a-b”,清除“使用添加向导”复选框,单击添加按钮,进入IP筛选器属性窗口。
3)“源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,该规则定义了从主机A到主机B的网络之间所使用的规则,清除“镜像”复选框;在“协议”标签中“选择协议类型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“a-b”的筛选器。
(2)配置身份验证方法
1)编辑“a-b筛选器列表”,然后单击“身份验证方法”标签。
2)单击“添加”按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456”,单击“确定”。
至此已配置好身份验证方法,如图3.3.235所示。
图3.3.236
(3)配置a-b规则隧道终结点
IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。
入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照IP筛选器列表匹配通讯。
出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。
例如,如果计算机A要与计算机B安全地交换数据,计算机A上的活动IPSec策略必须有针对计算机B的IPSec策略的筛选器。
A实验台隧道终点IP地址为172.22.3.Y,如图3.3.236所示。
图3.3.237
(4)定义IPSec筛选器操作
双击“a-b”,再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性”对话框中,定义所使用的安全措施,例如保持完整性,如图3.3.237所示。
图3.3.238
(5)添加b-a的IPSec筛选器列表
图3.3.239
1)如图3.3.238所示,在“b-a”属性框中,清除“使用添加向导”复选框,单击“添加”按钮,添加IPSec筛选器
2)“源地址”选择“一个特定的子网”,“目标地址”也选择“一个特定的子网”,分别填上IP地址,该规则定义了从主机B到主机A的网络之间所使用的规则,如图3.3.239所示,清除“镜像”复选框;在“协议”标签中“选择协议类型”为“任意”,单击“确定”,再单击“关闭”,至此已添加好名为“b-a”的筛选器。
图3.3.240筛选器
(6)配置身份验证方法
1)编辑“b-a筛选器列表”,然后单击“身份验证方法”标签。
2)单击“添加”按钮,选择“此字串用来保护密钥交换(预共享密钥)”单选框,输入“123456”,单击“确定”,至此已配置好身份验证方法,如图3.3.240所示。
图3.3.241
(7)配置b-a规则隧道终结点
IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。
入站筛选器适用于传入的通讯,并允许接收端的计算机响应安全通讯请求;或者按照IP筛选器列表匹配通讯。
出站筛选器适用于传出的通讯,并触发一个在通讯发送之前进行的安全协商。
例如,如果计算机B要与计算机A安全地交换数据,计算机B上的活动IPSec策略必须有针对计算机A的IPSec策略的筛选器。
A实验台隧道终点IP地址为172.22.3.X,如图3.3.241所示。
图3.3.242
(8)定义IPSec筛选器操作
双击“b-a”,再单击“筛选器操作”标签,单击“编辑”按钮,在“需求安全属性”对话框中,定义所使用的安全措施,例如“仅保持完整性,如图3.3.242所示。
图3.3.243
(五)测试IPSec策略
按要求分别在A、B两机配置好IPSec策略后,需测试其是否正常工作,在测试前需将A、B两机配置成路由器,并起用IP路由功能,(“路由和远程访问”)。
同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。
在做好这些准备工作后,IPSec策略测试步骤如下:
三、查看IPSec密钥交换过程
ICMP协议加密如图3.3.244所示。
图3.3.245
【实验截图】
配置IP安全策略
IP筛选
升级会员 