网络安全应用实训报告

安全技术及应用实训报告项目二：网络安全应用实训项目I目录任务1知识剖析...........................................................................................................11.1信息的加密传输.............................................................................................1任务2数字签名.................................................................................................2任务3数据安全传输.........................................................................................4任务4创建根CA服务器...................................................................................5任务5证书审核与签发.....................................................................................6任务6证书验证过程.........................................................................................8任务7通过数字证书建立SSL通道....................................................................9任务8USBKey应用........................................................................................101任务1知识剖析在《事件分析》中我们从网银认证发展视角、中软解决方案视角和安全行为视角对构建专业网银认证进行全面剖析。那么在构建专业网银认证中涉及了哪些信息安全领域的知识？这些知识的基本原理是什么？如何应用这些知识呢？下面我们以“安全行为视角”对构建专业网银认证中涉及的知识点进行剖析。安全行为相关知识点公开密钥技术数字签名、数据安全传输数字签名数字签名数据传输安全性信息的加密传输、数据安全传输、数字签名数字证书与SSL通道通过数字证书建立SSL通道、证书验证过程PKI(公钥基础设施)创建根CA服务器、证书审核与签发、USBKey应用1.1信息的加密传输1.1.1密码学概述。在密码学中，有一个五元组：{明文、密文、密钥、加密算法、解密算法}，对应的加密方案称为密码体制(或密码)。明文：是作为加密输入的原始信息，即消息的原始形式，通常用m或p表示。所有可能明文的有限集称为明文空间，通常用M或P来表示。密文：是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。所有可能密文的有限集称为密文空间，通常用C来表示。密钥：是参与密码变换的参数，通常用k表示。一切可能的密钥构成的有限集称为密钥空间，通常用K表示。1.1.2对称加密技术1.对称密码概述2.对称密码原理网络安全应用实训教程23.常用加密算法(1)DES加密算法(2)AES加密算法AES的候选算法主要依据以下三条原则进行评判：●安全性●代价●算法与实现特性(3)3DES加密算法1.1.3非对称加密技术所谓非对称密钥加密是指每个实体都有自己的公钥和私钥两个密钥，用其中的一个密钥对明文进行加密，都只能用另一个密钥才能解开，并且从其中的一个密钥推导出另一个密钥在计算上都是困难的。非对称密码算法解决了对称密码体制中密钥管理的难题，并提供了对信息发送人的身份进行验证的手段，是现代密码学最重要的发明。1.1.4内容与目的分别使用DES、AES和3DES加密算法对文件进行加密解密，使学生掌握对称加密技术在信息安全传输中的应用过程，理解对称加密的工作原理。1.1.5实现步骤1.获取并运行实验工具2.使用DES对称加密算法，实现信息的安全加密3.使用AES对称加密算法，实现信息的安全加密4.使用3DES对称加密算法，实现信息的安全加密任务2数字签名2.1公开密钥技术2.1.1公开密钥加密算法特点公开密钥加密技术的保密性比较好，安全性能高，它消除了最终用户交换密钥的需要。但缺点是加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。公开密钥加密技术主要用于加密/解密、数字签名和密钥交换，常见的算法有：RSA、ECC(移动设备用)、DSA(数字签名用)。第三章知识渗透32.1.2公开密钥加密算法原理公开密钥加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开；得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方；甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。公开密钥加密流程如下图所示：2.2数字签名技术2.2.1数字签名简介所谓数字签名，就是只有信息的发送者才能产生的，别人无法伪造的一段数字串，它同时也是对发送者发送的信息的真实性的一个证明。数字签名是在公钥加密系统的基础上建立起来的，数字签名的产生涉及的运算方式是为人们所知的散列函数功能，也称“哈希函数功能”(HashFunction)。签署一个文件或其他任何信息时，签名者首先须准确界定要签署内容的范围。然后，签名者软件中的哈希函数功能将计算出被签署信息唯一的哈希函数结果值(为实用目的)。最后使用签名者的私人密码将哈希函数结果值转化为数字签名。得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的。2.2.2数字签名的作用采用数字签名和加密技术相结合的方法，可以很好地解决信息传输过程中的完整性，身份认证以及防抵赖性等问题。(1)完整性：因为它提供了一项用以确认电子文件完整性的技术和方法，所以可认定文件为未经更改的原件。(2)可验证性：可以确认电子文件之来源。由于发件人以私钥产生的电子签章惟有与发件人的私钥对应的公钥方能解密，故可确认文件之来源。(3)不可否认性：由于只有发文者拥有私钥，所以其无法否认该电子文件非由其所发送。2.2.3数字签名过程(1)发送方首先用哈希函数从原文得到信息摘要。网络安全应用实训教程4(2)发送方用自己的私钥对信息摘要加密，这就形成了数字签名。(3)发送方把数字签名附加在要发送的原文后面传给接收方。(4)接收方同时对收到的原文用与发送方同样的哈希函数获得一信息摘要A。(5)接收方用发送方的公钥对数字签名解密，得到信息摘要B。(如果无法解密，则说明该信息不是由发送方发送的；如果能够正常解密，则发送方对发送的消息就具有不可抵赖性。)(6)接收方对摘要A和摘要B相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。2.3网络环境应用再现需要同一网络区域内的两台主机配合完成，分别扮演数据发送方和数据接收方两种角色，下面以主机A(数据发送方)、B(数据接收方)为例说明实验过程。2.3.1实现步骤1.获取并运行实验工具2.主机A对源文件生成数字摘要3.主机A生成公私钥对4.主机A对摘要文件进行签名5.主机B对主机A签名的文件进行验证6.总结数字签名的过程任务3数据安全传输3.1数据安全传输的要求数据安全传输主要有以下4个要求：1.保密要求2.认证要求3.数据完整性要求4.不可否认要求3.2网络环境应用再现需要同一网络区域内的两台主机配合完成，分别扮演数据发送方和数据接收方两种角色，下面以主机A(数据发送方)、B(数据接收方)为例说明实验过程。第三章知识渗透53.3实现步骤1.获取并运行实验工具2.生成公私密钥3.交换公钥4.产生会话密钥5.使用会话密钥加密数据6.使用对方的公钥对会话密钥进行加密7.对传输的文件进行数字摘要8.对摘要文件进行数字签名9.发送/接收相关数据10.解密会话密钥11.解密密文12.对解密后的文件进行数字摘要13.验证数字签名，得到准数字摘要14.进行摘要内容比较，判断数据传输过程是否安全15.总结数据安全传输的实现过程任务4创建根CA服务器4.1认证中心(CA)证书认证中心CA(CertificationAuthority)是PKI的核心部分，用于发放和管理数字证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥(公钥一般可由用户端产生，如电子邮件程序或浏览器等)等。4.2CA根证书根证书是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信任的根证书，用户的数字证书才是有效的。根证书是一份特殊的证书，它的签发者是它本身，下载根证书就表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。4.3根CA服务器的创建过程1.首先创建根CA目录2.建立一个随机文件(.rnd)网络安全应用实训教程63.为CA创建Datebase文件(index.txt)4.为CA创建序列文件(serial)5.为CA创建吊销列表文件(crlnumber4.4内容与目的使用OpenSSL工具搭建CA认证中心，实现CA自签发证书功能。掌握OpenSSL简单命令的使用，理解自签发证书的过程。4.5实现步骤1.获取并运行实验工具2.搭建根CA服务器(1)首先创建根CA目录。(2)建立一个随机文件(.rnd)。(3)为CA创建Datebase文件(index.txt)。(4)为CA创建序列文件(serial)。(5)为CA创建吊销列表文件。3.CA自签发证书(1)进入“C:\CARoot”，双击“openssl.bat”，打开OpenSSL命令窗口。(2)使用OpenSSL工具创建CA公私钥对。(3)生成CA证书请求。(4)对CA证书请求进行自签名。4.IE浏览器导入CA根证书①点击桌面InternetExplorer浏览器右键属性，选择“内容-证书”。②点击“导入”命令，选择“下一步”，选择“浏览”找到根证书文件C:\CARoot\private\cacert.crt。③点击“下一步”，选择“根据证书类型，自动选择证书存储”区，点击“下一步”。④点击“完成”命令，此时会出现一个警告，点击“是”，将显示导入成功对话框。⑤导入成功后，如下图所示：任务5证书审核与签发5.1RA概述RA(RegistrationAuthority)，数字证书注册审核机构。RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作(安全审计)。同时，对发放的证书完成相应的管理功能(安全管理)。RA系统是整个CA中心得以正常运营不可缺少的一部分。5.2RA系统结构及RA审核1.RA系统结构2.RA审核5.3CA系统结构与功能1.CA管理第三章知识渗透72.CA服务器3.CA数据库5.4CA签发证书1.申请证书流程2.撤销证书流程5.5内容与目的(1)通过实验掌握开源工具OpenSSL的一些常用命令。(2)通过实验掌握开源工具OpenSSL如何为用户生成公私钥对。(3)通过实验掌握开源工具OpenSSL如何为用户产生证书请求文件。(4)通过实验掌握开源工具OpenSSL如何为用户签发证书或撤销证书，并掌握签发证书或撤销证书的过程和步骤。5.6实现步骤1.获取并运行实验工具2.RA审核过程(1)为用户生成用户公私钥对。(2)RA创建用户证书请求。(3)RA为用户提出撤销证书请求。3.CA签发证书和撤销证书(1)CA为用户签发证书。(2)CA撤销证书CRL。①撤销证书。②产生CRL吊销列表