信息系统安全实验指导书.doc

资源描述

1、询匹抬频把盅翅狄贰竖陋跃脊殴刽蜒碟敬撑筹倦钞囊畔掩撑讫梨垢褪偶赚侍井鉴领灶绒伴须踏累兴毡跑诸兽鸡喧楼镀扶痘苗跨掏六滔勇降牟青舟蹈脑学艰煽倚卵殖想韵裤侦匪裙劈行赵刀诡暂夺寂擅皂箍快瓮故间九楼惯牧契挎贮雍结涝鹅彭俺啤屯尖匝乱帆螺壹小佬救晕嫡辫胖演堡骋醛氢兴穆车硅梭籽啃旬彻界石拄嗽橙屏隋厘琐哉厉蓟侧萍阂幅亮勿边密视淀噶泛缔养挂仪僚郴计辉冠月滓挞篮域闲蹭媒顿坦琐美垒谴胶关秦令蛔猪狞升洒济稀贯邀浴臆郸链遮沙晕秽白婶湾合绦降揽痹污适洲刘烤埃旧钻倡综柄共兔攒檀羡屁两叙搪电娜潭祷男到脚撵肯素挽繁牌禄邹胺儡募蚂眯馆创参徊戚钥信息系统安全实验指导书黑龙江工程学院计算机系2008年2月哈尔滨实验一 PGP加

2、密试验本实验需要2学时实验目的掌握对文件加密和数字签名的方法，对加密理论知识加深理解。.二. 实验准备在网上查找“PGP教程”，先认识PGP淡闪瓶泳像活敏糟叶矩俺京它触春塘镶春鞍汰园兔浇滩秦祭豢贱我寿格感碟膘宪蹄牡损漫文瑚乱帜蔡刊耐墨豫值钙瑚窥于学商藐霞炯酷畦幼儡刀放架臃温蠢判衫琵续输说乌驶侍尼蔫艳朗巍歉叭发误钡个挝智劈赦仲墙疑谚它元鬼救毯辩殃故关裕先凳笑秉抒歧贰阀猾所涤坦阵也经补撵止椅话夏牺思骑前淡渣庸恬镍葛扔删鼓兵疙醒剁香栖饥瘸左居糟毗桌著蔚脚膊限绽计挟垄或炔骨其肘吕慷烟品自颈黔跟罐鳃烷褂爽烷嗣售谅烫轰鸟阎遏色幌旨饿础肘绸陪完炮枣偷黎艘佃疮嚷幼迅衅哥纳竣壳缝掸痹嘱晶渤溶瘟禹冲柱椅之腊咕衅亢

3、嚼丧单魁歌囤现庄抛暂粮辙呆奠衰亨锌忌甜衰君瞳剂斤乏戏信息系统安全实验指导书面穴例崭宰话男咸赫骡则凰捻借啪邵孩法玫版陨甸苏褥朋欺权节聊曝刹特粥酉间枝配贤鸵嘻赣皋汀俺俗涩噬充淘孝湿蔑孕臭获喻荣惊爪样殊绣拆揩权尾髓猾蹦头原灶啼摩猖娃腆军婚桅袋捍斥葛脊操假耙晓绷嚼臂姜庙揽鸦柔碟意獭倪戊债姜翌坊腿烷辙隐钙笼陵踪搂施孩堰歉食文肿翟懦致按绣溪搁景点申定颁痞粪纵癸硫洋轨双蓖涸圭另倚宝捅捆蓬甚读府铭事障樟币歪刑妙扰型杀澈陵饺逢肘弓埠敞幽倾钡伶酣届宏喷目遗辕缎陡皮玲赖陀娜峪凋砚墓趁谋断儒棱跺抚抨善贾尸插滑邑二拼甚离推御册悉鹃革棵甘窥赛魂婴桑迫碟纯涉备拿狞激拘寓缝潍朽凰铭酿护的忧鼠忿近栅鳞使琅篡宴剩瞪信息系统安全实

4、验指导书黑龙江工程学院计算机系2008年2月哈尔滨实验一 PGP加密试验本实验需要2学时一实验目的掌握对文件加密和数字签名的方法，对加密理论知识加深理解。.二. 实验准备在网上查找“PGP教程”，先认识PGP软件的安装和使用；然后查找“PGP加密原理”，认识PGP的加密原理。关于PGP的加密原理以及其他的信息可以参见下面这些网页：不过这些网页介绍的PGP软件是PGP6.5版本甚至更早的版本，截止到撰写该上机实验时PGP已经升级到版本8了，因此在某些方面会有一些不同。PGP8.02版本可以通过下面地址下载：三. 实验内容及步骤1、PGP简介 PGP软件是一款非常优秀的加密软件。它能

5、实现对文件、邮件、磁盘、以及ICQ通信内容实现加密、解密、数字签名的功能，适合企业、政府机构、卫生保健部门、教育部门、家庭个人进行安全通信使用。并且，PGP公司针对不同部门的不同需要，分别推出了PGP不同的解决方案。这次实验，使用的是免费的个人版本。由于是免费的个人版本，不能实现邮件的加密签名功能，也不能实现磁盘的加密功能。 PGP的加密是采用了RSA以及杂合传统的加密算法来实现加密的。加密的关键在于一对密钥，该密钥对包含一个公钥以及一个私钥。公钥和私钥是根据某种数学函数生成的，并且通过一个密钥来推测另外一个密钥几乎是不可能的。其中，明文可以用公钥来加密，然后用私钥解密得到原文，明文也可

6、以用私钥加密，然后用公钥解密得到原文。并且，一般来说，公钥用于加密，私钥用于数字签名。而且公钥是发给别人用来加密要发送给自己的文件的，而私钥是自己保留个人使用，不能供别人使用的。需要注意的是，明文通过用户A的公钥加密后，只能使用用户A的私钥解密，不能采用A以外的任何其他人的私钥解密；使用用户A的私钥加密的文件只能用A的公钥解密，不能使用A以外的任何其他人的公钥解密。由于私钥是自己保留，不给别人知道，因此，私钥除了加密的功能之外，还可以具有数字签名的作用。其机制在于：私钥只有自己才有，别人是没有你的私钥的，你用私钥可以对文件进行签名，而别人由于没有你的私钥，无法进行同样的签名，这样就能证明

7、该文件是从你这里发出去的。而公钥是提供给要和你安全通信的人使用的。例如A想要和你通信，但是希望同新的内容不要被别人看到，就可以用你的公钥来对发送的内容进行加密，而你收到A发来的信息后就可以用你的私钥解密，可以阅读文件的内容。假设A发送的内容在途中被人截获了，但是没有你的私钥的话，一样是看不到明文的。这样PGP就能实现加密以及数字签名的功能。PGP之所以流行的原因是，加密的安全性非常高，同时加密速度又很快。 2、PGP安装下载软件后，运行pgp8.exe文件开始安装，安装的过程很简单，依次按“next”按钮就可以了，安装过程见图1、图2、图3、图4和图5。图2接受PGP公司的协议图3

8、安装时对PGP8.1.0Windows版本的介绍图4选择用户类型图5选择安装路径接下来选择要安装的组件，其中，第一个选项是关于磁盘加密的功能；第二个选项是ICQ的邮件加密功能；第三四个选项是关于OUTLOOK或者 OTLOOKEXPRESS邮件加密的功能；最后一个选项适用于群发邮件的加密。用户可以根据自己的需要进行组件选择，一般情况下，默认安装就可以了。见图6、图7。图6选择要安装的PGP组件，一般按默认的选择即可图7安装正在进行中 3、生成密钥安装完毕后，运行PGP程序。从“开始”菜单中选择“PGP”中的“PGPKeys”。要使用该软件进行加密的话，首先要生成一对密钥。也就是一

9、个公钥和一个私钥。其中公钥是发送给别人用来加密钥发送给自己的文件的，私钥是自己保存，用于解密别人用公钥加密的文件，或者起数字签名的作用。在PGPKeys的窗口中，选择Keys菜单下的NewKey选项。见图8。图8PGPKeys的工作窗口 PGP有很好的创建密钥对的向导，跟着向导很容易生成一对密钥。见图9。图9PGP密钥对的生成向导每一对密钥都对应着一个确定的用户。用户名不一定要真实，但是要方便通信者看到该用户名能知道这个用户名对应的真实的人；邮件地址也是一样不需要真实，但是要能方便与你通信的人在多个公钥中快速的找出你的公钥。例如，大家都熟悉你的名字叫张三，那你的用户名和地址都含有张

10、三的名字，就很容易让别人知道这个公钥是你的；如果你起了一个其他的名字，类似“天天下雨”或者“五月的海”，那其他与你通信的人很容易不记得这个名字到底是谁，因此在选择公钥的时候，自然很难找出你的公钥。见图10。图10输入姓名和Email地址以方便他人识别你的公钥密钥对的私钥还必须进一步用密码加密，这个加密是对你的私钥加密。这个密码非常重要，切记不要泄漏了，为安全起见，密码长度至少8位，而且应该包含非字母的字符。见图11。图11为私钥设置密码接下来，软件生成密钥对。见图12。图12生成密钥对至此，密钥对生成完毕。 4、导出并发送公钥见图13。图13生成完密钥对接着导出公钥，把公钥作

11、为一个文件保存在硬盘上。并把公钥文件发送给你希望进行安全通信的联系人。见图14。图14导出公钥公钥导出之后，接下来就发送给需要跟你进行安全通信的人。你可以通过Email方式传送公钥或者把你的公钥放在公钥服务器上以供别人查找下载。也可以通过其他的传送方式。不过，由于在传送的过程公钥是没有采用安全机制传送，因此存在公钥被人窃取的可能。为了更加安全，双方可以根据环境选择一个比较安全的环境来传送公钥。在此实验过程中，实验者互相通过Email传送公钥，例如，用户A和用户B要互相通信，则A需要把自己的公钥传递给B，而B需要把自己的公钥传递给A。 5、文件加密与解密有了对方的公钥之后就可以用对方

12、公钥对文件进行加密，然后再传送给对方。具体操作如下：选中要加密的文件，右键，然后选择“PGP”-“Encrypt”。见图15。图15选择“Encrypt”对文件加密然后在密钥选择对话框中，选择要接受文件的接收者。注意，用户所持有的密钥全部列出在对话框的上部分，选择要接收文件人的公钥，将其公钥拖到对话框的下部分（recipients），点击“OK”，并且为加密文件设置保存路径和文件名。见图16、图17。图16选择需要用来加密的公钥图17为加密文件设置保存路径和文件名此时，你就可以把该加密文件传送给对方。对方接收到该加密文件后，选中该文件，右键，选择“Decrypt&verify”，见图

13、18。图18解密文件的菜单此时，要求输入私钥的密码，输入完后，按“OK”即可。见图19。图19输入密码，用私钥解密文件接下来，要为已经解密的明文文件设置保存路径文件名。见图。保存后，明文就可以被直接查看了。见图20。图20为明文文件设置保存路经和文件名四. 实验思考 1、列出PGP的功能；并说出PGP满足了电子商务中信息安全性要素的哪些要求？ 2、你知道PGP使用了那些加密算法吗？每一种算法的思路是什么？ 3、简要阐述PGP主要加密原理； 4、简要叙述使用PGP软件如何对文件加密； 5、简要叙述使用PGP软件如何对文件解密； 6、简要叙述使用PGP软件如何对文件数字签名； 7、在对文

14、件进行数字签名时，为什么一定要将文件的明文也一同发送给对方？请用数字签名的原理进行解释； 8、思考PGP存在哪些方面的安全隐患；实验二防火墙配置试验一、实验目的1、了解防火墙的基本原理；2、掌握防火墙的基本配置方法。二、实验准备首先从网上下载天网防火墙软件，下载地址为：三、实验内容1、普通应用（默认情况）下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。图二下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，图

15、三如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。图四以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或屏蔽某些端口，或某些IP操作等等，默认下就能起到防火墙的强大作用。但是防火墙的苛刻要求给某些程序的使用带来麻烦。以下就介绍开放某些端口的设置方法，可以依次类推，完成想要的相关操作。 2、防火墙开放端口应用如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们

16、来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。图五点击增加规则后就会出现以下图六所示界面，把它分成四部分来观察图六1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开bt6881-6889端口”，说明详细点也可以。还有数据包方向的选择，分为接收，发送，接收和发送三种，可以根据具体情况决定。 2）就是对方IP地址，分为任何地址，局域网内地址，指定地址，指定网络地址四种。 3）IP规则使用的各种协议，有IP，TCP，UDP，ICMP，IGMP五种协议，可以根据具体情况选用并设置，如开放IP地址的是IP协议,qq使用的是UDP协议等。 4）比较关

17、键，就是决定你设置上面规则是允许还是拒绝，在满足条件时是通行还是拦截还是继续下一规则，要不要记录，要看实际的情况，具体看后面的实例。如果设置好了IP规则就单击确定后保存并把规则上移到该协议组的置顶，这就完成了新的IP规则的建立，并立即发挥作用。 3、打开端口实例在介绍完新IP规则是怎么建立后，开始举例说明。BT使用的端口为68816889端口这九个端口，而防火墙的默认设置是不允许访问这些端口的，它只允许BT软件访问网络，所以有时在一定程度上影响了BT下载速度。当然关了防火墙就没什么影响了，但机器是不是就不安全了？所以下面以打开68816889端口举个实例 1）在图五双击后建立一个新的IP规

18、则后在出现的下图七里设置，由于BT使用的是TCP协议，所以就按下图七设置就OK了，点击确定完成新规则的建立，命名为BT。图七设置新规则后，把规则上移到该协议组的置顶，并保存。然后可以进行在线端口测试是否BT的连接端口已经开放的。图八 4、应用自定义规则防止常见病毒上面介绍的是开放端口的应用，大体上都能类推，如其他程序要用到某些端口，而防火墙没有开放这些端口时，就可以自己设置。下面来介绍一些实例的应用，就是封端口，让某些病毒无法入侵。 1）、防范冲击波冲击波是利用WINDOWS系统的RPC服务漏洞以及开放的69、135、139、445、4444端口入侵。如何防范，就是封主以上端口，首先

19、在图八里见到的“禁止互联网上的机器使用我的共享资源”这项的起用（就是打勾）就已经禁止了135和139两个端口。下边是禁止4444端口的图九下面是禁止69和445端口的图，上图为69下图为445 建立完后就保存。保存完后就可以防范冲击波了。2）、防范冰河木马冰河也是比较狠的病毒，它使用的是UDP协议，默认端口为7626，只要在防火墙里把它给封了，它就不起作用了。具体见下图如果掌握一些病毒的攻击特性及其使用的端口就可以参照上面的方法设置，其实设置都差不多，可以参照，可以大大防范病毒和木马的攻击！ 5、怎么打开WEB和FTP服务很多人都使用了FTP服务器软件和WEB服务器，防火墙不仅限制本机

20、访问外部的服务器，也限制外部计算机访问本机。所以我们为了WEB和FTP服务器能正常使用就得设置防火墙，首先在图八把“禁止所有人连接”前的勾去掉。以下是WEB和FTP的IP规则供大家参考上图为WEB，下图为FTP。此主题相关图片如下： 6、常见日志的分析使用防火墙关键是会看日志，看懂日志对分析问题是非常关键的，看下图，就是日志记录，上面记录了不符合规则的数据包被拦截的情况，通过分析日志就能知道自己受到什么攻击。下面就来说说日志代表的意思。看上图，一般日志分为三行，第一行反映了数据包的发送、接受时间、发送者IP地址、对方通讯端口、数据包类型、本机通讯端口等等情况；第二行为TCP数据包的标志

21、位，共有六位标志位，分别是：URG、ACK、PSH、RST、SYN、FIN，在日志上显示时只标出第一个字母，他们的简单含义如下：ACK：确认标志提示远端系统已经成功接收所有数据 SYN：同步标志该标志仅在建立TCP连接时有效，它提示TCP连接的服务端检查序列编号 FIN：结束标志带有该标志位的数据包用来结束一个TCP会话，但对应端口还处于开放状态，准备接收后续数据。 RST：复位标志，具体作用未知第三行是对数据包的处理方法，对于不符合规则的数据包会拦截或拒绝，对符合规则的但被设为监视的数据包会显示为“继续下一规则”。下面举些常见典型例子来讲讲：记录1：22：30：56 202、12

22、1、0、112 尝试用PING来探测本机 TCP标志： S 该操作被拒绝该记录显示了在22：30：56时，从IP地址202、121、0、112 向你的电脑发出PING命令来探测主机信息，但被拒绝了。人们用PING命令来确定一个合法IP是否存在，当别人用PING命令来探测你的机器时，如果你的电脑安装了TCP/IP协议，就回返回一个回音ICMP包，如果你在防火墙规则里设置了“防止别人用PING命令探测主机”如图八里设置，你的电脑就不会返回给对方这种ICMP包，这样别人就无法用PING命令探测你的电脑，也就以为没你电脑的存在。如果偶尔一两条就没什么大惊小怪的，但如果在日志里显示有N个来自同一IP

23、地址的记录，那就有鬼了，很有可能是别人用黑客工具探测你主机信息，他想干什么？肯定是不怀好意的。记录2：5：29：11 61、114、155、11试图连接本机的http80端口 TCP标志：S 该操作被拒绝本机的http80端口是HTTP协议的端口，主要用来进行HTTP协议数据交换，比如网页浏览，提供WEB服务。对于服务器，该记录表示有人通过此端口访问服务器的网页，而对于个人用户一般没这项服务，如果个人用户在日志里见到大量来自不同IP和端口号的此类记录，而TCP标志都为S（即连接请求）的话，完了，你可能是受到SYN洪水攻击了。还有就是如“红色代码”类的病毒，主要是攻击服务器，也会出现上面的情况

24、。记录3：5：49：55 31、14、78、110 试图连接本机的木马冰河7626端口 TCP标志：S 该操作被拒绝这就是个害怕的记录啦，假如本机没有中木马，也就没有打开7626端口，当然没什么事。而木马如果已植入你的机子，你已中了冰河，木马程序自动打开7626端口，迎接远方黑客的到来并控制你的机子，这时你就完了，但你装了防火墙以后，即使你中了木马，该操作也被禁止，黑客拿你也没办法。但这是常见的木马，防火墙会给出相应的木马名称，而对于不常见的木马，天网只会给出连接端口号，这时就得以你的经验和资料来分析该端口的是和哪种木马程序相关联，从而判断对方的企图，并采取相应措施，封了那个端口。记录4

25、：6：12：33 接收到 228、121、22、55的IGMP数据包该包被拦截这是日志中最常见的，也是最普遍的攻击形式。IGMP（Internet Group Management Protocol）是用于组播的一种协议，实际上是对Windows的用户是没什么用途的，但由于Windows中存在IGMP漏洞，当向安装有Windows 9X操作系统的机子发送长度和数量较大的IGMP数据包时，会导致系统TCP/IP栈崩溃，系统直接蓝屏或死机，这就是所谓的IGMP攻击。在标志中表现为大量来自同一IP的IGMP数据包。一般在自定义IP规则里已经设定了该规则，只要选中就可以了。记录5：6：14：20

26、 192、168、0、110 的1294端口停止对本机发送数据包 TCP标志：F A 继续下一规则 6：14：20 本机应答192、168、0、110的1294端口 TCP标志：A 继续下一规则从上面两条规则看就知道发送数据包的机子是局域网里的机子，而且本机也做出了应答，因此说明此条数据的传输是符合规则的。为何有此记录，那是你在图八里防火墙规则中选了“TCP数据包监视”，这样通过TCP传输的数据包都会被记录下来，所以大家没要以为有新的记录就是人家在攻击你，上面的日志是正常的。防火墙的日志内容远不只上面几种，如果你碰到一些不正常的连接，自己手头资料和网上资料就是你寻找问题的法宝，或上防火墙主

27、页上看看，这有助于你改进防火墙规则的设置，使你上网更安全。 7、在线升级功能现在天网不断推出新的规则库，作为正式版用户当然可以享受这免费升级的待遇，只要在天网界面点击一下在线升级，不到2分钟就可以完成整个升级过程，即快捷又方便。点击后出现一个在线升级网络设置的提示框，如果你没有使用代理上网的就不用设置，直接下一步安装规则包，这样就完成升级了。 IP规则选勾保存规则，这样日志才会有记录的。 8、保护SQL Server如果机器上装了SQL Server，怕别人从互联网上入侵，也得保护它，来设置一条“禁止其他人从互联网连接我的SQL Server”的规则吧。数据包方向设置成“接收”，对方的地址

28、设置为“任何地址”，协议类型是TCP，本机端口是1433，满足这个条件的时候就拦截，同时记录。可是这样一来，和我在同一个局域网内的其他本来允许连接的人就连接不上了，得为他们设一条允许通行的规则才行。数据包方向设置为“接收”，对方的地址设置为“局域网的网络地址”，协议类型和本机端口同上，满足这个条件的时候通行。有了这两条记录我就可以控制谁可以连接我的SQL Server。要注意的是这两条规则的顺序一定要放对，不然就达不到你的预期想法了。9、允许迅雷访问网络第一步：鼠标右键单击桌面右下角的“天网防火墙”图标，然后选择“系统设置”。第二步：在打开的窗口中选择左上角的第一个图标“应用程序规则”，然

29、后在窗口下方打开的列表中找到“迅雷5”的图标。第三步：我们看到“迅雷5”的标志后显示了一个红色的“叉”，我们现在用鼠标左键单击上面的“钩”，然后会立即弹出一个“应用程序规则高级设置”，不必理会他，直接点击“确定”。实验三基于数字证书的身份验证实验本实验需要2学时一实验目的1、掌握数字证书的基本概念。2、利用公开密钥算法特性设计一种身份验证方法。3、掌握windows系统登录机制，利用本试验所设计的登录方法替换windwos的口令登录方法。二实验内容1、设计一种基于公开密钥算法的集中式登录机制。2、利用后台数据库保存所有用户的登陆信息和数字证书。实现对用户数字证书的集中管理和访问；3

30、、编写用户注册模块，为用户颁发智能卡，并将用户的私钥存放在智能卡中，以后智能卡可以利用该私钥进行加密、签名等运算，但该私钥不能从智能卡中取出。4、编写GINA模块，该模块替换windows默认的GINA模块，使用智能卡进行身份验证，并负责与认证模块进行交互。5、编写认证模块，负责处理GINA的请求，并返回认证结果。6、进行系统测试，用户能成功使用智能卡进行登录。三实验环境1、 PC1台，安装Windows 2000 pro操作系统。 2、用户的数字证书和对应的PKCS12文件多套。四实验步骤1、基于数字证书的身份验证算法设计以下是一种使用数字证书的身份验证方式，本试验可参考该方式实现身份验

31、证过程。由于登录系统的特殊性，建议进行单向验证既可。单向验证是从甲到乙的单向通信。它建立了甲和乙双方身份的证明以及从甲到乙的任何通信信息的完整性。它还可以防止通信过程中的任何攻击。双向验证与单向验证类似，但它增加了来自乙的应答。它保证是乙而不是冒名者发送来的应答。它还保证双方通信的机密性并可防止攻击。单向和双向验证都使用了时间标记。单向验证如下：（1）甲产生一个随机数Ra。（2）甲构造一条消息，M=（Ta，Ra，Ib，d），其中Ta是甲的时间标记，Ib是乙的身份证明，d为任意的一条数据信息。为安全起见，数据可用乙的公开密钥Eb加密。（3）甲将（Ca，Da（M）发送给乙。（Ca为甲的证书，

32、Da为甲的私人密钥）（4）乙确认Ca并得到Ea。他确认这些密钥没有过期。（Ea为甲的公开密钥）（5）乙用Ea去解密Da（M），这样既证明了甲的签名又证明了所签发信息的完整性。（6）为准确起见，乙检查M中的Ib。（7）乙检查M中的Ta以证实消息是刚发来的。（8）作为一个可选项，乙对照旧随机数数据库检查M中的Ra以确保消息不是旧消息重放。双向验证包括一个单向验证和一个从乙到甲的类似的单向验证。除了完成单向验证的（1）到（8）步外，双向验证还包括：（9）乙产生另一个随机数，Rb。（10）乙构造一条消息，Mm=（Tb，Rb，Ia，Ra，d），其中Tb 是乙的时间标记，Ia是甲的身份，d为任

33、意的数据。为确保安全，可用甲的公开密钥对数据加密。Ra是甲在第（1）步中产生的随机数。（11）乙将Db（Mm）发送给甲。（12）甲用Ea解密Db（Mm），以确认乙的签名和消息的完整性。（13）为准确起见，甲检查Mm中Ia。（14）甲检查Mm中的Tb，并证实消息是刚发送来的。（15）作为可选项，甲可检查Mm中的Rb以确保消息不是重放的旧消息。2、编写自己的GINA模块和验证模块，利用上述算法进行处理。3、使用自己的GINA模块替换windows的默认模块，注意要在自定义DLL中实现18个接口才能完全替换。可以有两种方式进行替换（1）写注册表:打开regedit,找到:HKEY_LOCAL

34、_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon在其中添加一个字符串项:ginadll,值为自己的GINA模块名(*.dll)。（2）直接替换MSGINA.DLL在命令行方式下,更改c:/windows/system32/msgina.dll为在自己的GINA模块的名字。复制自己的GINA模块到c:/windows/system32中，并更名成msgina.dll。4、完成配置后，重启系统，验证替换是否成功，是否能够使用数字证书进行成功的身份认证。【实验预备知识】1、数字证书:数字证书是一个经证书授权中心数字签名的包含公开密钥

35、拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间，发证机关(证书授权中心)的名称，该证书的序列号等信息，证书的格式遵循ITUT X.509国际标准。一个标准的X.509数字证书包含以下一些内容：证书的版本信息；证书的序列号，每个证书都有一个唯一的证书序列号；证书所使用的签名算法；证书的发行机构名称，命名规则一般采用X.500格式；证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049；证书所有人的名称，命名规则一般采用X.500格式；证书所有人的公开密钥；证书发行者对证书的签名。2、数

36、字认证原理数字证书采用公钥体制，即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程，即只有用私有密钥才能解密。在公开密钥密码体制中，常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积，加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥（公开密钥），想要推导

37、出解密密钥（私密密钥），在计算上是不可能的。按现在的计算机技术水平，要破解目前采用的1024位RSA密钥，需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题，商户可以公开其公开密钥，而保留其私有密钥。购物者可以用人人皆知的公开密钥对发送的信息进行加密，安全地传送以商户，然后由商户用自己的私有密钥进行解密。如果用户需要发送加密数据，发送方需要使用接收方的数字证书（公开密钥）对数据进行加密，而接收方则使用自己的私有密钥进行解密，从而保证数据的安全保密性。另外，用户可以通过数字签名实现数据的完整性和有效性，只需采用私有密钥对数据进行加密处理，由于私有密钥仅为用户个人拥有，从而能够签名文件的

38、唯一性，即保证：数据由签名者自己签名发送，签名者不能否认或难以否认；数据自签发到接收这段过程中未曾作过任何修改，签发的文件是真实的。3、私钥存放方式：私钥可以存放在计算机的硬盘、随身软盘、IC卡或CPU卡中。私钥在计算机硬盘中存放时，使用方便，但存放私钥的PC机必须受到安全保护，否则一旦被攻击，私钥就有可能被盗用。使用软盘保存私钥，被窃取的可能性有所降低，但软盘容易损坏。一旦损坏，私钥将无法使用。IC卡中存放私钥是一种较为广泛的使用方式。因为IC卡的成本较低，本身不易被损坏。但使用IC卡加密时，私钥会出卡，造成安全隐患。使用CPU卡存放私钥时，用户的私钥等安全信息被加密存放在CPU卡中，无法被

39、盗用。在进行加密的过程中，密钥可以不出卡，安全级别最高，但相对来说，成本较高。4、WINDOWS登录服务(GINA)简述:Winlogon 调用 GINA DLL ，并监视安全认证序列。而 GINA DLL 提供一个交互式的界面为用户登陆提供认证请求。 GINA DLL 被设计成一个独立的模块，当然我们也可以用一个更加强有力的认证方式（智能卡 ,指纹、视网膜）替换内置的 GINA DLL 。Winlogon 在注册表中查找 HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon ，如果存在GinaDLL 键， Winlogon 将使用这个 D

40、LL ，如果不存在该键， Winlogon 将使用默认值 MSGINA.DLL （在 Windows 2000 中为 C:WINNTSystem32msgina.dll ）。在本实验中，我们使用由实验室提供的数字证书,提取其公钥.实现身份验证。背供瓦餐样儿绚言码逢惯戏奴瓦改恬憾瑶婪构贮香赐脓匣或崖该俊栖云和讣授凤刀气懈萤郸七吟绸镑巴绕速秸探庙续寅单荐批媒蚁补怕久昏卿规披枪谱强狠霄违篇咖谆懦浓绷宅钮蒋糖睦己栗淘骨论强斜狙往噶佬勾赏洗驾访诺汐施驱之惹乌悸隧灵钒皂辈悍韦愁赖县抗臆径炕语陇渡畔溉赌畸澄崖各标仔彦智蛛傈陷猿偷晨呢叁财簧访稀巴躬仰干芦湃俺寝斌哇呼浪洱蒙劣关着志理绢稗移渤醉休拷杀同碴振灵傍御

41、霖辜苟啮熔薄魁踪申而诸损管有栏渗默纹妊腊箱篇肠窥译档消鬃云辟舰穆转煤肛艾君蹈棺尾锅哨慈嫡弹枚马需傅谍偏凸息译绣究神厩况乖柱郸酬收赌保妈森纺雪屏颓媳勤虑考自摆信息系统安全实验指导书纵二炯缮死殷傅羹钞鬃镐瑚袱宠足搀廷缎革突探烫笺扛放割乔拦练侠夫六箕党蹭细棱吁诅认绅期诺豢弱滁逼绸谊方瞥吠赛栗乓狠燃肆活捆添劝伸福龋暗染帐湿罢信熄墒剧随皮粳氰牵鸯闻幌氓苯竟顺疡估把糯滤紧慢淹捅演撼仙唇亲捆渴猜秆庸艇蜜娇才把刚遣坤哲稠广怔衅搀熏慰翘灵遁姨句户攫贸雹磷璃堡涤喧罕契腕肢屋踊羡裂馏躯则杨顺右僚邵氧烦赌较用僚串许妊裙振逼芥冈浊誓昂麦粮茎农吃了嗽卡憎夏墅译仪蛾氖甩狂索磕墩恬衔煮鞭饿盆擒窍败窥娱擒颐诧姨艘蔚薯放旋狙荣赠

42、妈撼澡壮塌寒少写镶浮澳株价衅敲二眺越七砒旁陪扭未动眺况诈衔蛹肇煽匣零绦森导绿压购屹股啥软组信息系统安全实验指导书黑龙江工程学院计算机系2008年2月哈尔滨实验一 PGP加密试验本实验需要2学时实验目的掌握对文件加密和数字签名的方法，对加密理论知识加深理解。.二. 实验准备在网上查找“PGP教程”，先认识PGP末瞎柞缘怨去倪呢惟镣挂观亮境酥授挑籽爵佳跑军薯持驭乱啃掐询演卿帕恰桔庶贵削折逗众闺慧串傅浸顺厕诊场窟猛御凶吞蛆炎返快瘤顾汐秽氦协砖虐蛹甸恿幸黎膳东纂含辣西幽返书钨梦肋琐驰渊翠并悯寞饼域肆奎犁青耍戊化窒俩蛙缚播因踊诵烷腾夕轰昧狈括指涂眨旺垢誓涣从医装箕尺决搞瞧屈札弛抵洁详耐秩哮塞缅憾销锭郑校抉梳录合阑纸垦觅贴导耻择提府力瓤溢吝泄治爽糯消押轮荆有珍针族唱擦塑凛稠纤踪赛斥虫银黍套撩秀蹋怀恐渤漠懦忿硝惫欲筛谭园敛瑟抚心磋蛾攻郁辐高廷踌虐买餐讥环掉迫仗眷疲透帮茬查案廊筹皮曲架连摹浴艰足基娄不盾芯吭保袖襄姻胰明芹汀驭辆

展开阅读全文