电子商务安全实验指导书.doc

1、电子商务安全实验指导书192020年4月19日文档仅供参考，不当之处，请联系改正。电子商务安全实验指导书南京工业大学经济管理学院 9月 实验一 数据加密技术 实验目的: 编制基本的文本加、解密程序 实验内容: 凯撒密码实现 实验要求: 使用任意高级语言做出给文本文件加、解密的软件. 实验学时: 2学时 实验步骤: 参考教科书有关内容.掌握凯撒加密方法.自行设计密钥.编制程序. 密码术能够大致别分为两种，即易位和替换，当然也有两者结合的更复杂的方法。在易位中字母不变，位置改变；替换中字母改变，位置不变。将替换密码用于军事用途的第一个文件记载是恺撒著的高卢记。恺撒描述了她如何将密信送到正处在被围困

2、、濒临投降的西塞罗。其中罗马字母被替换成希腊字母使得敌人根本无法看懂信息。 苏托尼厄斯在公元二世纪写的恺撒传中对恺撒用过的其中一种替换密码作了详细的描写。恺撒只是简单地把信息中的每一个字母字母表中的该字母后的第三个字母代替。这种密码替换一般叫做恺撒移位密码，或简单的说，恺撒密码。 如将字母A换作字母D，将字母B换作字母E。 如有这样一条指令： RETURN TO ROME 用恺撒密码加密后就成为： UHWXUA WR URPH 如果这份指令被敌方截获，也将不会泄密，因为字面上看不出任何意义。 这种加密方法还能够依据移位的不同产生新的变化，如将每个字母左19位，就产生这样一个明密对照表： 明:A

3、 B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密:T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 暴力破解： 使用从1-25的密钥依次解密密文，看看得出来的结果是怎样的。 = 参考资料： 尽管苏托尼厄斯仅提到三个位置的恺撒移位，但显然从1到25个位置的移位我们都能够使用， 因此，为了使密码有更高的安全性，单字母替换密码就出现了。 如： 明码表 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密码表 Q W E R T Y U I

4、 O P A S D F G H J K L Z X C V B N M 明文 F O R E S T 密文 Y G K T L Z 只需重排密码表二十六个字母的顺序，允许密码表是明码表的任意一种重排，密钥就会增加到四千亿亿亿多种，我们就有超过41027种密码表。破解就变得很困难。 如何破解包括恺撒密码在内的单字母替换密码？ 方法：字母频度分析 尽管我们不知道是谁发现了字母频度的差异能够用于破解密码。可是9世纪的科学家阿尔金迪在关于破译加密信息的手稿对该技术做了最早的描述。 “如果我们知道一条加密信息所使用的语言，那么破译这条加密信息的方法就是找出同样的语言写的一篇其它文章，大约一页纸长，然后

5、我们计算其中每个字母的出现频率。我们将频率最高的字母标为1号，频率排第2的标为2号，第三标为3号，依次类推，直到数完样品文章中所有字母。然后我们观察需要破译的密文，同样分类出所有的字母，找出频率最高的字母，并全部用样本文章中最高频率的字母替换。第二高频的字母用样本中2号代替，第三则用3号替换，直到密文中所有字母均已被样本中的字母替换。” 以英文为例，首先我们以一篇或几篇一定长度的普通文章，建立字母表中每个字母的频度表。 在分析密文中的字母频率，将其对照即可破解。 虽然设密者后来针对频率分析技术对以前的设密方法做了些改进，比如说引进空符号等，目的是为了打破正常的字母出现频率。可是小的改进已经无法

6、掩盖单字母替换法的巨大缺陷了。到16世纪，最好的密码破译师已经能够破译当时大多数的加密信息。 局限性： 短文可能严重偏离标准频率，加入文章少于100个字母，那么对它的解密就会比较困难。 而且不是所有文章都适用标准频度： 1969年，法国作家乔治斯佩雷克写了一部200页的小说逃亡，其中没有一个含有字母e的单词。更令人称奇的是英国小说家和拼论家吉尔伯特阿代尔成功地将逃亡翻译成英文，而且其中也没有一个字母e。阿代尔将这部译著命名为真空。如果这本书用单密码表进行加密，那么频度分析破解它会受到很大的困难。 选作实验 有条件的学生可进一步实现多字加解密程序的实现. 实验二:防火墙 一.实验目的 掌握防火墙

7、的使用 二.实验内容: 防火墙以及个人防火墙的设置和使用. 三.实验要求: 掌握防火墙的基本原理和作用. 四.实验学时: 2学时 五.实验步骤: 网络的主要功能是向其它通信实体提供信息传输服务。网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。在网络安全技术中，防火墙技术是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。为了对进入网络的数据进行访问控制，防火墙需要对每个进入的数据包按照预先设定的规则进行检查。当前的防火墙也有检查由内到外的数据包的功能。我们在系统视图下，使用如下命令启用防火墙功能： Quidwayfirewall en

8、able 并在接口视图下利用如下命令将规则应用到该接口的某个方向上： Quidway-Ethernet0firewall packet-filter acl-numberinbound |outbound 能够在系统视图下使用如下命令改变缺省行为： Quidwayfirewall default deny | permit 访问控制列表ACL 路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控制规则，即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上，从而过滤特定方向上的数据流。常见的访问控制列表能够分为两种：标准访问控制列表和扩展访问控制列表。标准访问控制列表仅仅根据

9、IP 报文的源地址域区分不同的数据流，扩展访问控制列表则能够根据IP 报文中更多的域（如目的IP 地址，上层协议信息等）来区分不同的数据流。所有访问控制列表都有一个编号，标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范围为199，扩展访问控制列表为100199。 定义标准访问控制列表的命令格式为： Quidway acl acl-numbermatch-order config | auto Quidway-acl-10 rulenormal|specialpermit|denysource source-addr source-wildcard | any 以下是一

10、个标准访问控制列表的例子： Quidwayacl 20 Quidway-acl-20rule normal permit source 10.0.0.0 0.0.0.255 Quidway-acl-20rule normal deny source any 这个访问控制列表20 包含两条规则，共同表示除了源IP 地址在网络 10.0.0.0/24 内的允许经过以外，其它源IP 地址的数据包都禁止经过。 定义扩展访问控制列表的规则 Quidway acl acl-numbermatch-order config | auto Quidway-acl-10 rulenormal|specialpe

11、rmit | denypro-number source source-addr source-wildcard | anysource-port operator port1port2destination dest-addr dest-wildcard | anydestination-port operator port1port2icmp-type icmp-type icmp-codelogging 以下是一个扩展访问控制列表的例子： Quidwayacl 120 Quidway-acl-120rule normal permit ip source 10.0.0.1 0.0.0.0

12、 destination 202.0.0.1 0.0.0.0 Quidway-acl-120rule normal deny ip source any destination any 这条访问控制列表120 规定了除主机10.0.0.1 到主机202.0.0.1 的数据 流能够经过外，其它一律禁止。 Quidwayacl 121 Quidway-acl-121rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port eaual ftp logging Quidway-acl-121rule permit

13、tcp source any destination 10.0.0.2 0.0.0.0 destination-port eaual telnet logging Quidway-acl-121rule deny ip source any destination any 这种规则实现的需求是：仅允许目的为FTP 服务器10.0.0.1 的FTP 请求报文输入和目的为TELNET 服务器10.0.0.2 的TELNET 报文输入，禁止其它一切输入报文。 二. 实验内容：防火墙的配置 三. 实验目的：学习配置访问控制列表设计防火墙 四. 实验环境：实验环境： 23 Telnet 服务器 129.

14、38.1.2 WWW 服务器 129.38.1.3 129.38.1.5 特定的内部用户 129.38.1.4 202.38.160.1 特定的外部用户 Intern FTP 服务器 129.38.1.1 公司对外的IP 地址为202.38.160.1。经过配置防火墙，希望实现以下要求： （1）外部网络只有特定用户能够访问内部服务器 （2）内部网络只有特定主机能够访问外部网络。 在本实验中，假定外部特定用户的IP 地址为202.39.2.3。 五. 实验步骤： （1）启用防火墙功能 （2）设置防火墙缺省过滤方式为允许经过 （3）配置允许特定主机允许访问外部网，此处的特定主机为129.38.1.

15、4 和三个服务器 （4）配置规则允许特定用户从外部网访问内部服务器 （5）将第三步所配规则作用于从接口E0 进入的包 （6）将第四步所配规则作用于从接口S0 进入的包 个人防火墙 一.安装瑞星个人防火墙 第一步:启动计算机并进入中文Windows(95/98/Me/NT/ /XP/ )系统; 第二步:从下载的安装包安装:运行Rfw.exe.则开始运行瑞星安装程序. 第三步:安装程序弹出语言选择框.选择您需要安装的语言版本.按【确定】进入安装程序欢迎界面; 第四步:阅读最终用户许可协议.点击【我接受协议】.按【下一步】继续安装;如果不接受协议.选择【我不接受】退出安装程序; 第五步:依次确认【程

16、序文件夹】后.选择【下一步】继续; 第六步:选择安装方式.默认安装能够安装默认的目录和组件.定制安装能够选择组件并将其安装在您认为合适的目录下.选择【下一步】.弹出【安装信息】界面.显示了有关安装的详细信息.选择【下一步】继续.在安装过程中.程序会提示您是否在桌面上建立快捷方式; 第七步:复制文件结束.提示是否启动瑞星个人防火墙. 二.启动瑞星个人防火墙 24 启动瑞星个人防火墙软件主程序有两种方法: 第一种方法: 进入【开始】/【程序】/【瑞星个人防火墙】.选择【瑞星个人防火墙】即可启动; 第二种方法: 用鼠标双击桌面上的【瑞星个人防火墙】快捷图标 即可启动. 防火墙主界面 瑞星个人防火墙主

17、界面包括【日志】.【选项】和【帮助】等选项.另外.还有方便快捷的操作按钮 四.规则设置 在瑞星个人防火墙主界面中.选择【设置】/【设置规则】.弹出【瑞星个人防火墙规则设置】窗口;规则描述是对某条规则的描述说明;每条规则均有序号.规则名称.方向.协议和操作等信息. 五.安全级别设置 在瑞星个人防火墙主界面中.单击【选项】按钮.在安全级别栏中可选择三个不同等级的安全级别.一般安全级别:接收到数据包时.如果没有规则拒绝它经过.都被认为是合法的.予以放行.较高安全级别:如果数据包的源端口号不是众所周知的端口号.且目的端口号是某些木马默认使用的端口号.则禁止该连接.其它情况和一般安全级别一样处理.最高安全级别:接收到数据包时.如果没有规则允许它经过.都被认为是非法的.予以拒绝. 六.其它设置 学生自己设置. 六.选作实验 进一步访问防火墙网站.了解防火墙的最新技术.