网络与系统安全实验报告1.docx

1、网络与系统安全实验报告1网络与系统安全题目：证书管理实验学院: 计算机科学与通信工程学院班级：信息安全1201学号：3120604018姓名: 张智远指导教师：李晓薇完成日期：2015.05.24证书申请管理实验【实验目的】证书是公钥体制的一种密钥管理媒介。它是一种权威性的电子文档，用于证明某一主体的身份及其公开密钥的合法性。该实验的主要目的是为了让用户对如何进行证书申请、处理证书申请及证书管理有一个感性的认识。【实验原理】PKI：公开密钥基础设施（Public Key Infrastructure）是以公开密钥密码学为理论技术基础的一整套网络信息安全技术设施与服务。其内容包括数字证书、不对称

2、密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间戳服务、相关信息标准、操作规范等。CA：认证中心（Certification Authority）是PKI的核心。它是公正、权威、可信的第三方网上认证机构，对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。CA系统的主要功能：签发证书，废止证书，数字签名，时间戳服务，发布签发及作废的证书信息，证书在线状态查询，对证书系统的管理与审计。RA系统是CA的证书发放、管理的延伸，是整个CA中心得以正常运营不可缺少的一部分。与EE和CA完全兼容并可以互操作，支持同样的基本功能。在PKI中，RA通常能够支持多个E

3、E和CA。注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。注册管理一般由一个独立的注册机构（即RA）来承担。RA系统的主要功能：审核用户提交的证书申请信息，审核用户提交的证书废除信息，受理点的全面管理，向CA发送证书签发及作废请求和证书申请及签发查询等，支持用户以各种方式申请证书，支持为用户代生成证书。对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册

4、管理的任务，可以增强应用系统的安全。数字证书：这是由认证中心经过数字签名后发给网上交易主体（企业或个人）的一段电子文档。在这段文档中包括主体名称、证书序号、发证机构名称、证书有效期、密码算法标识、公钥信息和其它信息等。利用数字证书，配合相应的安全代理软件，可以在网上交易过程中检验对方的身份真伪，实现交易双方的相互信任，并保证交易信息的真实性、完整性、私密性和不可否认性。【实验环境】1. 数据库服务器：MYSQL2. PKI服务器：JBoss3.2.53. 客户端硬件要求：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。4. 客户端软件：Java Swing（Java

5、1.4版本以上）【实验步骤】1. 确定实验参数是否正确，其中参数有两项，分别是：服务器IP、端口号（若是JBoss服务器，端口号为1099，若是WebLogic服务器，端口号为7001)。2. 打开提供的用于证书申请的页面；3. 观察应用程序中出现的需要填写/选择的信息，分析哪些必须填写/选择，为什么？写入实验报告中。4. 填写/选择相关信息，进行证书申请。在日志窗口中，记录下出现的正常/警告/错误信息，并分析原因。5. 在进入申请管理程序之前要先进行登（在证书申请实验时填入的用户名及密码），登录后只能管理自己账户的证书。6. 查找新注册的用户，观察其注册信息，然后根据注册信息的正确性选择“准

6、予签发”，“否决请求”或是“删除信息”操作。7. 查找相关状态的用户，看操作是否成功。8. 在上述过程中，观察并记录下日志信息框显示的相关的正常/警告/错误信息并进行分析。9. 查找各种状态的证书激活证书（刚签发的证书处于未激活状态，表示还未进入可使用状态）临时（可重新激活）或是永久撤销证书导出证书和对应私钥并封装成PKCS12证书保存到本地文件系统创建CRL，并导出最新生成的CRL10. 在上述过程中，应保持日志窗口处于开启状态，观察并记录下相关的正常/警告/错误信息。11. 将得到的PKCS12证书在windows系统中打开（双击），输入申请时填写的保护私钥的密码后将证书和私钥导入wind

7、ows浏览中的证书库中。成功后，点击浏览器中的工具Internet选项内容证书，查找到导入的证书后，查看证书内容是否与申请时填写的身份信息一致。将得到的CRL文件在windows系统中打开（双击），查看是否包含操作示例程序时撤销的证书的序列号以及其他相关信息是否正确。信任管理实验【实验目的】通过本实验，能让学生掌握如何对信任域进行信任管理，以保证各CA及用户证书是可信的，同时如何通过设置信任策略来加强PKI的安全。在实验中学生可以学到在CA证书和终端用户证书中哪些信任策略是可以设置的。【实验原理】1. 常用证书扩展项的类型及其用处2. 可信信任的概念3. 信任域的策略管理【实验环境】1. 客户

8、端硬件要求：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。2. 客户端软件：Java Swing（Java 1.4版本以上）【实验预备知识点】1常用的证书扩展项有哪些？各有什么用途？2CA证书或终端用户证书中哪些信任策略是可以设置的？【实验步骤】1. 学生通过按下“交叉认证及信任管理实验”按钮就可以进入实验界面，在界面上选择“信任管理”页面就可以开始实验，实验界面如图5-1所示。2. 在界面上的“信任关系图”中，不同的图型分别代表根CA证书、子CA证书及终端用户证书，学生可以通过点选不同的证书来进行设置。当选择了证书后，在“证书内容”中会显示该证书相应的一些资料。首

9、先选择一张CA证书，学生可以进行以下设置。3. 学生可以对此证书设置一个有效期，可通过界面上的“有效期”进行配置。4. 学生也可以设置证书的主体DN，在此只提供组织/公司及部门的设置（这项设置影响到交叉认证实验中证书路径有效性的验证）。图5-1信任管理实验5. 学生可以自行选择是否为此证书添加策略，如果想添加，可以通过按下“设置.”按钮进行策略设置。按下“设置.”后会出现图5-2的对话框，学生可以选择登入身份，按下确定后，就会出现图5-3的对话框，此时可以进行策略设置。学生可以自由选择要为此证书设置哪些策略。在设置策略时，必须选择策略的“可信策略级别”，此项影响到哪种登入身份能对此项策略进行什

10、么操作。如果在设置策略中出错，会出现错误信息，分析为何会出现此种错误。图5-2角色登入对话框6. 选择另一用户身份登入策略设置对话框，看看与之前设置的“可信策略级别”的结果是否一样，为何这种设置可信策略级别的访问控制方法能体现可信策略管理？图5-3信任策略设置对话框7. 完成所有设置后，按下“更新”按钮，就可以完成设置操作。8. 完成CA证书的配置后，选择一张用户证书进行之前3)7)步的设置，看看有什么区别。9. 按下“导出证书”按钮，就可以导出以PKCS12格式进行编码的证书，在IE中安装此证书（证书密码是423），查看证书内容，与自己设置的结果作对比。10. 实验中的所有信息都会出现在日志

11、信息栏中，你可以按下“导出日志”按钮保存日志。交叉认证实验【实验目的】通过本实验，能让学生掌握如何在不同信任域之间建立交叉认证，并且了解交叉认证主要通过哪些策略来增强安全性，同时在两个实体证书之间如何建立证书路径，在哪些情况下该证书路径是无效的。【实验原理】1交叉认证的概念2交叉认证的策略管理3证书路径的建立4证书路径有效性验证【实验环境】1. 客户端硬件要求：Pentium 2 400Mhz 以上，256M内存，与服务器的网络连接。2. 客户端软件：Java Swing（Java 1.4版本以上）【实验预备知识点】1为何要进行交叉认证？交叉认证证书与一般的最终实体证书有何区别？2常用的PKI

12、交叉认证模型有哪些？3两个实体证书之间如何建立证书路径？【实验步骤】1. 交叉认证的建立及策略管理：学生通过按下“交叉认证及信任管理实验”按钮就可以进入实验界面，在界面上选择“交叉认证”页面就可以开始实验，实验界面如图6-1所示。首先学生可以自由选择哪一个CA向哪一个CA签发交叉认证，交叉认证可以是单向的也可以是双向的。图6-1交叉认证实验学生也可以对交叉认证设置一个有效期，可通过界面上的“有效期”进行配置。学生可以自行选择是否为此交叉认证证书添加策略，如果想添加，可以通过按下“设置.”按钮就可以进行策略设置。按下“设置.”后会出现图5-2的对话框，选择登入身份并按下确定后，就会出现图6-2的

13、对话框，此时可以进行策略设置，配置方法与“信任管理实验”相似。完成所有设置后，按下“签发交叉认证”按钮就能完成交叉认证。成功签发交叉认证后，在界面的“信任关系图”中会出现相应的表示（箭头方向就是交叉认证方向）。在“已签发的交叉认证”中选择所需的交叉认证，再可以按下“导出交叉认证证书”按钮就可以导出相应的交叉认证证书，这张证书可以在IE中打开，查看证书内容，与自己设置的结果作对比。实验中的所有信息都会出现在日志信息栏中，你可以按下“导出日志”按钮保存日志。2. 证书路径的构建及有效性验证：图6-2证书路径构建及验证实验在界面上选择“证书路径构建及验证”页面就可以开始实验，界面如图6-11所示。首先在“交叉认证的建立及策略管理”部份中合理地签发交叉认证及合理地设置交叉认证策略，同时在“信任管理实验”中合理地设置证书策略及主体DN，确保两用户间存在多于两条的证书路径。完成以上步骤后，选择你要建立证书路径的两个用户证书，按下“建立”按钮，就能得出这两个用户间的所有证书路径。任意选择一条证书路径，按下“验证有效性”按钮就能得知此路径是否有效，如果是无效的，会出现错误原因，分析为何会出现此种错误。出现无效路径时，你可以合理地撤销交叉认证、重新签发交叉认证，或修改证书的信任管理就可以重新得到有效的路径。实验中的所有信息都会出现在日志信息栏中，你可以按下“导出日志”按钮保存日志。