信息安全.docx

1、信息安全计算机与网络安全实验报告评语：成绩教师：年月日班级：计算机院卓越班学号：姓名：冉徐衎地点：EII-508 时间：2014年6月对称密码基本加密实验【实验环境】ISES客户端Microsoft CLR Debugger 2005或其它调试器【实验步骤】一、 DES在加密算法选项里选择DES，以下实验步骤保持算法不变。(一) 加解密计算(1) 加密(2) 解密(二) 分步演示(1) 点击“扩展实验”框中的“DES分步演示”按钮，进入DES分步演示窗口，打开后默认进入分步演示页面。(2) 密钥生成(3) 加密过程二、 3DES在加密算法选项里选择3DES，以下实验步骤保持算法不变。(一) 加

2、解密计算选择明/密文和密钥的格式，输入明/密文和密钥；点击“加密”/“解密”按钮，进行加/解密计算；查看计算结果。具体步骤可参照DES的加解密计算的实验步骤。(二) 查看轮密钥(1) 点击“扩展实验”框中的“查看轮密钥”按钮，进入查看轮密钥窗体。(2) 输入明文、初始化向量和密钥，密钥长度为128位或192位，对应于原理中的两种情况，此处以输入128位密钥为例；选择工作模式和填充模式，点击“加密”按钮，使用3DES算法按照选定的工作模式和填充模式进行加密；在“密钥”框中查看各轮的密钥，在“密文”框中查看生成的密文。具体如图1.1.418所示。【实验截图】DES加密DES解密三、 AES-128

3、/192/256AES-128/192/256的区别仅在于密钥长度的不同，此处以AES-128为例，AES-192/256可参照完成。在加密算法选项里选择AES-128，以下实验步骤保持算法不变。(一) 加解密计算选择明/密文和密钥的格式，输入明/密文和密钥；点击“加密”/“解密”按钮，进行加/解密计算；查看计算结果。具体步骤可参照DES的加解密计算的实验步骤。(二) 查看轮密钥3DES加密查看轮转秘钥AES查看轮秘钥AES查看轮秘钥DESE盒拓展非对称加密实验【实验环境】ISES客户端Microsoft CLR Debugger 2005或其它调试器【实验步骤】一、 RSA(一) 加解密计算

4、(1) 打开实验实施，默认的选择即为RSA标签，显示RSA实验界面。(2) 选择明文格式，输入要加密的明文信息。(3) 选择密钥长度，此处以512比特为例，点击“生成密钥对”按钮，生成密钥对和参数。(4) 选择“标准方法”标签，在标签下查看生成的密钥对和参数，如图1.1.71所示。图1.1.71(5) 标准方法加解密(6) 选择“中国剩余定理方法”标签，在标签下查看生成的密钥对和参数，如图1.1.73所示。(7) 中国剩余定理方法加解密(二) RSA密钥计算【实验截图】RSA标准方法RSA中国剩余定理方法PGP在文件系统、邮件系统中的应用【实验环境】本地主机PGP8.1版本【实验步骤】一、 生

5、成密钥二、 文件加解密(1) 在待加密的文件上单击右键，选择PGP-加密。弹出PGP外壳-密钥选择对话框(2) 选择刚创建的密钥，点击确定；PGP会对文件进行加密，并保存为.pgp的加密文件(3) 要查看加密后的文件，在加密后的文件上双击或者单击右键选择PGP-解密&较验；此时会要求输入密码(4) 正确输入文件加密密钥对应的密码，PGP解密文件并提示保存解密文件(5) 保存解密文件，并与原文件比较三、 创建与使用PGPdisk(1) 运行PGPdisk：启动-程序-PGP-PGPdisk(2) 点击下一步，设置PGPdisk位置和大小(3) 点击“高级选项”，可以指定PGPdisk以一个分区存

6、在或者是NTFS分区上的一个文件夹存在，还可以指定PGPdisk的加密算法和文件系统格式(4) 选择完毕后点击确定，并点击下一步，选择保护方法(5) 选择使用公钥保护PGPdisk，点击下一步，选择已经生成的公钥(6) 点击下一步，进入收集随机数据界面；此时随意移动鼠标或者打字，产生随机数据用于创建PGPdisk的加密密钥图1.1.1316(7) 随机数据收集完毕，点击下一步；PGPdisk将新添加的卷进行加密和格式化操作(8) 点击下一步，完成PGPdisk的创建；在我的电脑中可以看到PGPdisk创建的虚拟分区(9) 将待加密的文件保存到这个分区；找到PGPdisk文件的保存位置(默认保存

7、位置在C:Documents and SettingsAdministratorMy Documents文件夹)，在PGPdisk文件上单击右键，选择PGP-编辑PGPdisk(10) 在弹出的PGPdisk编辑器中可以添加或编辑对新创建的PGPdisk卷的访问用户；修改之前，必须先将PGPdisk反装配，点击工具栏的反装配按钮；然后选择菜单栏的用户-添加，此时需要输入创建PGPdisk时所选公钥对应的密码的密码；点击确定，将弹出PGPdisk用户添加向导(11) 点击下一步，进入选择保护方法界面，如果有导入的其它PGP密钥，也可以选择使用这些其它的PGP公钥；在此没有导入其它PGP密钥，所以

8、默认只能使用密码保护的方式。(12) 创建一个新的密码保护PGPdisk的用户，输入用户名；点击下一步，输入一个至少8位字符长度的新用户的密码(13) 点击下一步，完成PGPdisk用户的创建；此时新创建的用户会显示在PGPdisk编辑对话框中(14) 现在就可以用user1用户使用此PGPdisk了；现在备份并删除原有的PGP密钥，打开PGPkeys：开始-程序-PGP-PGPkeys(15) 在现有密钥上单击右键，选择导出；打开导出密钥对话框，选中左下角的包含私钥、包含6.0公钥(16) 选择好保存路径后，点击保存；然后在PGPkeys界面中，右键单击PGP密钥，选择删除；此时会弹出删除确

9、认对话框，单击是，删除PGP密钥。(17) 回到PGPdisk的保存路径，在PGPdisk文件上点击右键，选择PGP-编辑PGPdisk；弹出PGPdisk编辑器。可以看到原来的PGP密钥已经显示为，表示当前已经没有此PGP密钥。(18) 点击工具栏的装配按钮，会提示输入密码，此时必须输入创建user1时的密码(19) 输入user1密码，点击确认；PGPdisk装配完毕(20) 打开我的电脑，可以看到E盘已经装配四、 PGP加密邮件应用(1) 查看PGPkeys中的PGP密钥，确保密钥的有效性为绿色有效(2) 启动OutlookExpress，开始-程序-OutlookExpress；配置O

10、utlookExpress的电子邮件账户，添加创建PGP密钥时所用的邮箱账户(3) 点击工具栏的创建邮件按钮，打开新邮件窗口；填写收件人邮箱，此处用PGP密钥的邮件地址代替收件人邮箱地址，实际应用中填写真实收件人邮箱地址；并填写邮件主题、邮件正文(4) 按照前面第二部分文件加解密实验，将待发送的文件用PGP加密；然后将加密后的文件当做附件添加到邮件中(5) 在菜单栏的工具下选中“使用PGP加密”、“使用PGP签名”两项，如图1.1.1335所示。(6) 点击工具栏发送，在弹出的PGP插件提示中选择“是”；如果弹出PGP警告，提示没有找到有效默认密钥，需要选择密钥，如图1.1.1336所示，选择

11、正确的密钥后点击确定。(7) 此时需要为选择的PGP密钥输入密码，输入PGP密钥的密码(8) PGP会对邮件正文进行加密，并发送邮件；回到OutlookExpress，点击工具栏的收取/发送按钮，收到刚发送的邮件；打开邮件，如图1.1.1338所示，可以看到邮件正文是已经被签名并加密过的。图1.1.1338(9) 右键单击任务栏的PGPtray图标，选择“当前窗口|解密&校验”(10) 输入PGP密钥的密码，点击确定。(11) PGP解密并验证邮件正文，点击确定。(12) 邮件的附件可按照第二部分PGP加解密文件中的步骤进行解密。【实验截图】1,生成向导2汉化密码包3，PGPkeys结果证书申

12、请实验【实验环境】ISES客户端【实验步骤】(1) 填写注册信息(2) 选择证书属性：密钥用法、增强型密钥用法及密钥长度(3) 点击“申请”按钮，系统给予申请成功提示信息，如图1.2.13所示。图1.2.13提交申请【实验截图】证书请求成功请求管理实验【实验环境】ISES客户端【实验步骤】一、 申请证书的颁发或拒绝(1) 选择“等待颁发的申请”项，在“证书请求列表”中出现未处理的申请证书。(2) 点击要颁发拒绝的证书，右侧“证书请求详细信息”内可查看相关信息。(3) 点击“颁发”或“拒绝”按钮，系统给予提示信息。上述操作如图所示。颁发证书二、 查看证书申请处理情况用户可根据需要在“申请状态”栏

13、中选择不同申请状态的单选按钮来查看证书申请处理情况【实验截图】成功颁发证书证书管理实验【实验环境】ISES客户端【实验步骤】一、 查看证书(一) 查看证书详细信息(1) 选择任意证书状态，在下方“证书列表”中出现符合要求的所有证书。(2) 在“证书列表”中点击要查看证书，在右侧“证书详细信息”栏出现被选证书信息。(二) 查看根证书(1) 选择任意证书状态，在下方“证书列表”中出现符合要求的所有证书。(2) 点击“查看根证书”按钮，弹出证书信息窗口如果未安装过此根证书，会提示此CA根证书不受信任(3) 点击“详细信息”或“证书路径”选项卡可查看根证书的详细属性或颁发机构，如(4) 点击“常规”选

14、项卡，进入显示根证书基本信息界面；点击“安装证书”按钮，弹出“证书导出向导”窗口，用户可根据系统提示信息按步骤安装根证书。(5) 点击“详细信息”选项卡，进入查看根证书详细属性界面；点击“复制到文件”按钮，弹出“证书导出向导”窗口，用户可根据系统提示信息按步骤导出根证书。(三) 查看CRL(1) 选择任意证书状态，在下方“证书列表”中出现符合要求的所有证书。(2) 点击“查看CRL”按钮，系统弹出“证书吊销列表”窗口(3) 点击“确定”按钮返回实验实施界面。二、 导出证书三、 撤销证书【实验截图】查看、安装证书交叉认证实验【实验环境】ISES客户端【实验步骤】一、 查看与导出证书二、 创建交叉

15、认证证书(一) 签发交叉认证(二) 查询交叉认证信息(三) 撤销交叉认证(1) 选择要撤销的交叉认证证书(2) 点击“撤销交叉认证”按钮，即可完整撤消操作。三、 构建及验证证书路径(一) 构建证书路径(1) 选择已建立交叉认证的CA下的实体(2) 点击“查询”按钮，弹出成功建立信任链对话框(3) 点击“确定”按钮返回实验实施界面，并在界面下方显示出两实体的信任链(二) 验证证书路径有效期【实验截图】证书不信任信息交叉认证普通包过滤实验【实验环境】图3.1.11实验环境拓扑图实验环境拓扑图如图3.1.11所示，其中：防火墙IP地址：内网IP地址：172.20.2.X/16 连接防火墙实验显示的内

16、网IP外部IP地址：172.21.2.X/16 连接防火墙实验显示的外网IP客户端IP地址：172.20.1.Y/255.255.0.0 ，可通过察看本地网络属性获得Windows实验台的IP地址：172.21.3.Y网关为防火墙外网IP地址：1172.21.2.X本实验的防火墙的默认规则都是允许。【实验步骤】一、 连接防火墙服务器，开始实验二、 添加静态路由打开本地cmd命令行，输入route add 172.21.0.0 mask 255.255.0.0 172.20.2.1验证网络连通性打开本地cmd命令行，输入Ping 172.21.3.76（实验台第二块网卡IP）在浏览器地址栏中输入

17、http:/172.21.3.76/showip.asp三、 编写防火墙规则四、 验证实验结果添加完规则，查看正确实验结果如图3.1.18所示。图3.1.18连接测试再次访问 http:/172.21.3.76/showip.asp，如果添加了防止WEB访问的规则，防火墙将数据包过滤，该页面无法正常访问。五、 尝试添加其它规则尝试添加其它规则并进行验证。【实验截图】规则设置NAT转换实验【实验环境】图3.1.42实验环境拓扑图实验环境拓扑图如图3.1.42所示，其中：防火墙IP地址：内网IP地址：172.20.2.X/16 连接防火墙实验显示的内网IP 外部IP地址：172.21.2.X/16

18、 连接防火墙实验显示的外网IP客户端IP地址：172.20.1.Y/255.255.0.0 可察看本地网络属性Windows实验台的IP地址：172.21.3.Y，确保相互之间不会冲突。网关为防火墙外网IP地址：172.21.2.X本实验的防火墙的默认规则都是允许。【实验步骤】一、 连接防火墙服务器，开始实验二、 添加静态路由三、 验证网络连通性四、 编写目的NAT规则五、 验证目的NAT实验结果六、 编写源NAT规则七、 验证源NAT实验结果再次访问 http:/172.21.3.76/showip.asp ，源地址被转换成172.20.2.1，结果如图所示，从而实现隐藏源地址的作用。【实验

19、截图】添加规则已设置规则IPtables防火墙配置【实验环境】图3.1.61实验环境拓扑图如图3.1.61所示，其中：Linux实验台：系统中安装了IPTABLES及配套插件Linux实验台IP地址： 172.20.4.X客户端：Windows XP操作系统、IE浏览器客户端IP地址：172.201.Y注：图中IP地址为默认实验环境地址，学生可根据实际环境，依据网络拓扑示意原理，对IP进行配置与修改【实验步骤】打开Linux实验台，进入Linux系统，启动ftp服务。图3.1.62(1) 通过IE访问FTP服务器，服务器可访问时如图3.1.63所示。图3.1.63(2) 设置防火墙规则如图3.

20、1.64所示为防火墙设置默认规则，即先清空所有规则，再将OUTPUT链设置为默认丢弃。图3.1.64此时不能访问FTP再针对 FTP服务进行放行，添加防火墙规则如图3.1.66所示。(3) 实验结果如图3.1.69所示。图3.1.69【实验截图】测试FTPWindows下IPSec VPN实验【实验环境】一、 主机到主机主机到主机的IPSec VPN的网络拓扑如图3.3.21所示，其中：图3.3.21A：本地主机，以IP地址172.20.X.X为例。B：Windows实验台，以IP地址172.20.Y.Y为例。二、 网关到网关网络到网络的IPSec VPN的网络拓扑如图3.3.22所示；该部分

21、实验以两人一组(A、B)的形式进行；其中：主机A的本地IP为172.20.1.X/16，Windows实验台A的两个(内外网)IP分别为172.20.3.X/16和172.22.3.X/16；主机B的本地IP为172.21.1.Y/16，Windows实验台B的两个(内外网)IP分别为172.21.3.Y/16和172.22.3.Y/16。图3.3.22网络到网络的IPSec VPN网络拓扑【实验步骤】一、 主机到主机(一) 主机配置(二) 实验台中，添加关于ICMP协议的安全策略(1) 选择认证方式，如图3.3.25所示；然后对该策略进行编辑，如图3.3.26所示。图3.3.25IP安全策略

22、向导图3.3.26IP安全策略向导(2) 点击“添加”，添加新的IP规则，如图3.3.27所示。图3.3.27(3) 添加IP安全规则，选择所有ICMP通讯(三) 本地主机，添加ICMP安全策略具体步骤同虚拟主机步骤，暂时并不激活该规则，注意本地预共享密钥需与实验台的一致，才能保证实验正常。(四) ping程序测试连接(1) 本地主机 ping 172.20.0.1 t 查看连接状态(2) 在运行ping的同时，右键点击新建的IP安全策略，选择指派，查看ping程序运行状态。(3) 对两台机器同时指派，查看ping状态，如图可以看到两台主机已经可以ping通。二、 网关到网关(一) 网络配置(

23、二) 创建IPSec策略(三) 主机A安全规则(四) 主机B网络配置(1) 添加a-b的IPSec筛选器列表图3.3.2351) 如图3.3.234所示，在“a-b”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器；2) 在“IP筛选器列表”窗口，输入名称“a-b”，清除“使用添加向导”复选框，单击添加按钮，进入IP筛选器属性窗口。3) “源地址”选择“一个特定的子网”，“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机A到主机B的网络之间所使用的规则，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭

24、”，至此已添加好名为“a-b”的筛选器。(2) 配置身份验证方法1) 编辑“a-b筛选器列表”，然后单击“身份验证方法”标签。2) 单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”。至此已配置好身份验证方法，如图3.3.235所示。图3.3.236(3) 配置a-b规则隧道终结点IPSec需要在筛选器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照IP筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机A 要与计算机

25、 B 安全地交换数据，计算机A 上的活动IPSec策略必须有针对计算机B 的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.Y，如图3.3.236所示。图3.3.237(4) 定义IPSec筛选器操作双击“a-b”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如保持完整性，如图3.3.237所示。图3.3.238(5) 添加b-a的IPSec筛选器列表图3.3.2391) 如图3.3.238所示，在“b-a”属性框中，清除“使用添加向导”复选框，单击“添加”按钮，添加IPSec筛选器2) “源地址”选择“一个特定的子网”，

26、“目标地址”也选择“一个特定的子网”，分别填上IP地址，该规则定义了从主机B到主机A的网络之间所使用的规则，如图3.3.239所示，清除“镜像”复选框；在“协议”标签中“选择协议类型”为“任意”，单击“确定”，再单击“关闭”，至此已添加好名为“b-a”的筛选器。图3.3.240筛选器(6) 配置身份验证方法1) 编辑“b-a筛选器列表”，然后单击“身份验证方法”标签。2) 单击“添加”按钮，选择“此字串用来保护密钥交换(预共享密钥)”单选框，输入“123456”，单击“确定”，至此已配置好身份验证方法，如图3.3.240所示。图3.3.241(7) 配置b-a规则隧道终结点IPSec需要在筛选

27、器列表中指定的计算机之间同时有入站和出站筛选器。入站筛选器适用于传入的通讯，并允许接收端的计算机响应安全通讯请求；或者按照 IP 筛选器列表匹配通讯。出站筛选器适用于传出的通讯，并触发一个在通讯发送之前进行的安全协商。例如，如果计算机 B 要与计算机 A 安全地交换数据，计算机 B 上的活动IPSec策略必须有针对计算机 A 的IPSec策略的筛选器。A实验台隧道终点IP地址为172.22.3.X，如图3.3.241所示。图3.3.242(8) 定义IPSec筛选器操作双击“b-a”，再单击“筛选器操作”标签，单击“编辑”按钮，在“需求安全属性”对话框中，定义所使用的安全措施，例如“仅保持完整性，如图3.3.242所示。图3.3.243(五) 测试IPSec策略按要求分别在A、B两机配置好IPSec策略后，需测试其是否正常工作，在测试前需将A、B两机配置成路由器，并起用IP路由功能，(“路由和远程访问”)。同时需在A机上添加到B机所在内网段的路由项,在B机上添加到A机所在内网段的路由项。在做好这些准备工作后，IPSec策略测试步骤如下：三、 查看IPSec密钥交换过程ICMP协议加密如图3.3.244所示。图3.3.245【实验截图】配置IP安全策略IP筛选