網(wǎng)絡(luò)安全實(shí)驗(yàn)2.3

1、實(shí)驗(yàn)2 IIS服務(wù)器證書(shū)配置一 實(shí)驗(yàn)?zāi)康?.了解PKI體系2.了解用戶進(jìn)行證書(shū)申請(qǐng)和CA頒發(fā)證書(shū)過(guò)程3.掌握認(rèn)證服務(wù)的安裝及配置方法4.掌握使用數(shù)字證書(shū)配置安全站點(diǎn)的方法5.掌握使用數(shù)字證書(shū)發(fā)送簽名郵件和加密郵件的方法二 實(shí)驗(yàn)原理PKI是PublicKeyInfrastructure的縮寫(xiě)，通常譯為公鑰基礎(chǔ)設(shè)施。稱為“基礎(chǔ)設(shè)施”是因?yàn)樗邆浠A(chǔ)設(shè)施的主要特征。PKI在網(wǎng)絡(luò)信息空間的地位與其他基礎(chǔ)設(shè)施在人們生活中的地位非常類似。電力系統(tǒng)通過(guò)延伸到用戶端的標(biāo)準(zhǔn)插座為用戶提供能源；PKI通過(guò)延伸到用戶的接口為各種網(wǎng)絡(luò)應(yīng)用提供安全服務(wù)，包括身份認(rèn)證、識(shí)別、數(shù)字簽名、加密等。一方面PKI對(duì)網(wǎng)絡(luò)應(yīng)用提供廣

2、泛而開(kāi)放的支撐；另一方面，PKI系統(tǒng)的設(shè)計(jì)、開(kāi)發(fā)、生產(chǎn)及管理都可以獨(dú)立進(jìn)行，不需要考慮應(yīng)用的特殊性。目前，安全的電子商務(wù)就是采用建立在PKI基礎(chǔ)上的數(shù)字證書(shū)，通過(guò)對(duì)要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名來(lái)保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性（又稱非否認(rèn)性)，從而保證信息的安全傳輸和交易的順利進(jìn)行。PKI已成為電子商務(wù)應(yīng)用系統(tǒng)、乃至電子政務(wù)系統(tǒng)等網(wǎng)絡(luò)應(yīng)用的安全基礎(chǔ)和根本保障。PKI的主要目的是通過(guò)自動(dòng)管理密鑰和證書(shū)，為用戶建立起一個(gè)安全的網(wǎng)絡(luò)運(yùn)行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的完整性、機(jī)密性、不可否認(rèn)性。數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過(guò)程中不能被非

3、法篡改；數(shù)據(jù)的機(jī)密性是指數(shù)據(jù)在傳輸過(guò)程中，不能被非授權(quán)者偷看；數(shù)據(jù)的不可否認(rèn)性是指參加某次通信交換的一方事后不可否認(rèn)本次交換曾經(jīng)發(fā)生過(guò)。三 實(shí)驗(yàn)步驟一安全Web通信 1 無(wú)認(rèn)證（服務(wù)器和客戶端均不需要身份認(rèn)證） 通常在Web服務(wù)器端沒(méi)有做任何加密設(shè)置的情況下，其與客戶端的通信是以明文方式進(jìn)行的。 （1）客戶端啟動(dòng)協(xié)議分析器，選擇“文件”“新建捕獲窗口”，然后單擊工具欄中的 按鈕開(kāi)始捕獲；2 單向認(rèn)證（僅服務(wù)器需要身份認(rèn)證） （1）CA（主機(jī)A）安裝證書(shū)服務(wù) （2）服務(wù)器（主機(jī)B）證書(shū)申請(qǐng) （3）服務(wù)器（主機(jī)B）安裝證書(shū) （4）Web通信3 雙向認(rèn)證（服務(wù)器和客戶端均需身份認(rèn)證） （1）服務(wù)器要

4、求客戶端身份認(rèn)證 （2）客戶端訪問(wèn)服務(wù)器 （3）客戶端（主機(jī)C）證書(shū)申請(qǐng) （4）客戶端查看頒發(fā)證書(shū) （5）客戶端再次通過(guò)https訪問(wèn)服務(wù)器二安全電子郵件1 主機(jī)B、C創(chuàng)建郵件賬戶 具體創(chuàng)建方法參照附錄AOutlook Express配置方法。 通過(guò)單擊“發(fā)送和接收”按鈕或Ctrl+M快捷鍵，測(cè)試郵件賬戶是否創(chuàng)建成功。2 郵件用戶（主機(jī)B、C）申請(qǐng)電子郵件保護(hù)證書(shū) （1）郵件用戶在IE瀏覽器地址欄中輸入“http:/CA的IP/certsrv/”并確認(rèn)，訪問(wèn)CA的證書(shū)申請(qǐng)頁(yè)面。 （2）郵件用戶通過(guò)“申請(qǐng)一個(gè)證書(shū)”|“高級(jí)證書(shū)申請(qǐng)”|“創(chuàng)建并向此CA提交一個(gè)申請(qǐng)”，申請(qǐng)一張電子郵件保護(hù)證書(shū)。（3

5、）CA為郵件用戶頒發(fā)電子郵件保護(hù)證書(shū)。 （4）郵件用戶通過(guò)CA“證書(shū)服務(wù)主頁(yè)”|“查看掛起的證書(shū)申請(qǐng)的狀態(tài)”|“安裝證書(shū)”將數(shù)字證書(shū)安裝好。3 郵件用戶設(shè)置Outlook Express4 發(fā)送簽名電子郵件（未加密） （1）郵件用戶創(chuàng)建新郵件 單擊Outlook Express中的“創(chuàng)建郵件”，在“收件人”欄寫(xiě)入對(duì)方（另外一個(gè)郵件用戶）的郵件地址，主題和內(nèi)容任意，先不要發(fā)送。 （2）使用數(shù)字證書(shū)為郵件簽名 單擊新郵件的“工具”|“數(shù)字簽名”為郵件簽名，此時(shí)會(huì)在收件人后面出現(xiàn)一個(gè)簽名的小標(biāo)志。 （3）發(fā)送郵件 單擊新郵件的“發(fā)送”按鈕將郵件發(fā)出。 （4）郵件用戶接收到對(duì)方（另外一個(gè)郵件用戶）的郵

6、件并查看簽名 單擊Outlook Express的“發(fā)送/接收”按鈕，接收對(duì)方發(fā)來(lái)的郵件。 當(dāng)打開(kāi)對(duì)方發(fā)來(lái)的郵件時(shí)，可看到郵件有數(shù)字簽名的標(biāo)識(shí)和提示信息。 單擊“繼續(xù)”按鈕即可閱讀到郵件的內(nèi)容。5 發(fā)送加密電子郵件 （1）郵件用戶使用包含對(duì)方數(shù)字簽名的郵件獲得對(duì)方的數(shù)字證書(shū) （2）郵件用戶創(chuàng)建新郵件并加密 （3）接收對(duì)方的加密郵件并閱讀該郵件6 郵件用戶驗(yàn)證郵件的加密作用 （1）導(dǎo)出證書(shū) （2）刪除證書(shū)后查看加密郵件 （3）導(dǎo)入證書(shū)后查看加密郵件。實(shí)驗(yàn)3 IPSecIP安全協(xié)議伴隨著密碼學(xué)的發(fā)展，數(shù)字簽名技術(shù)也得以實(shí)現(xiàn)，利用數(shù)字簽名技術(shù)可以保證信息傳輸過(guò)程中的數(shù)據(jù)完整性以及提供對(duì)信息發(fā)送者身份

7、的認(rèn)證和不可抵賴性。一、 實(shí)驗(yàn)?zāi)康?. 了解IPSec主要協(xié)議2. 理解IPSec工作原理3. Windows環(huán)境下能夠利用IPSec在兩臺(tái)主機(jī)間建立安全隧道二、 實(shí)驗(yàn)環(huán)境Windows，交換網(wǎng)絡(luò)結(jié)構(gòu)，每組2人，密碼工具，網(wǎng)絡(luò)協(xié)議分析器三、 實(shí)驗(yàn)原理IPSec工作原理IPSec包含4類組件：（1）IPSec進(jìn)程本身：驗(yàn)證頭協(xié)議(AH)或封裝安全載荷協(xié)議(ESP)；（2）Internet密鑰交換協(xié)議(IKE，Internet Key Exchange)：進(jìn)行安全參數(shù)協(xié)商；（3）SADB(SA Database)：用于存儲(chǔ)安全關(guān)聯(lián)(SA，Security Association)等安全相關(guān)參數(shù)；（

8、4）SPD(Security Policy Database，安全策略數(shù)據(jù)庫(kù))：用于存儲(chǔ)安全策略。IPSec的工作原理類似于包過(guò)濾防火墻。IPSec是通過(guò)查詢安全策略數(shù)據(jù)庫(kù)SPD來(lái)決定接收到的IP包的處理，但不同于包過(guò)濾防火墻的是，IPSec對(duì)IP數(shù)據(jù)包的處理方法除了丟棄、直接轉(zhuǎn)發(fā)(繞過(guò)IPSec)外，還有進(jìn)行IPSec的處理。進(jìn)行IPSec處理意味著對(duì)IP數(shù)據(jù)包進(jìn)行加密和認(rèn)證，保證了在外部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)包的機(jī)密性、真實(shí)性、完整性，使通過(guò)Internet進(jìn)行安全的通信成為可能。在IETF的標(biāo)準(zhǔn)化下，IPSec的處理流程受到了規(guī)范。1 IPSec流出處理如圖2-1，在流出處理過(guò)程中，傳輸層的數(shù)據(jù)

9、包流進(jìn)IP層，然后按如下步驟執(zhí)行：圖2-1 IPSec流出處理流程（1）查找合適的安全策略。從IP包中提取出“選擇符”來(lái)檢索SPD，找到該IP包所對(duì)應(yīng)的流出策略，之后用此策略決定對(duì)該IP包如何處理：繞過(guò)安全服務(wù)以普通方式傳輸此包或應(yīng)用安全服務(wù)。（2）查找合適的SA。根據(jù)策略提供的信息，在安全關(guān)聯(lián)數(shù)據(jù)庫(kù)中查找為該IP包所應(yīng)該應(yīng)用的安全關(guān)聯(lián)SA。如果此SA尚未建立，則會(huì)調(diào)用IKE，將這個(gè)SA建立起來(lái)。此SA決定了使用何種基本協(xié)議(AH或ESP)，采用哪種模式(隧道模式或傳輸模式)，以及確定了加密算法，驗(yàn)證算法，密鑰等處理參數(shù)。（3）根據(jù)SA進(jìn)行具體處理。根據(jù)SA的內(nèi)容，對(duì)IP包的處理將會(huì)有幾種情況

10、：使用隧道模式下的ESP或AH協(xié)議，或者使用傳輸模式下的ESP或AH協(xié)議。2 IPSec流入處理如圖2-2，在流入處理過(guò)程中，數(shù)據(jù)包的處理按如下步驟執(zhí)行：圖2-2 IPSec流入處理流程（1）IP包類型判斷：如果IP包中不包含IPSec頭，將該包傳遞給下一層；如果IP包中包含IPSec頭，會(huì)進(jìn)入下面的處理。（2）查找合適的SA：從IPSec頭中摘出SPI，從外部IP頭中摘出目的地址和IPSec協(xié)議，然后利用<SPI，目的地址，協(xié)議>在SAD中搜索SPI。如果SA搜索失敗就丟棄該包。如果找到對(duì)應(yīng)SA，則轉(zhuǎn)入以下處理。（3）具體的IPSec處理：根據(jù)找到的SA對(duì)數(shù)據(jù)包執(zhí)行驗(yàn)證或解密進(jìn)行

11、具體的IPSec處理。（4）策略查詢：根據(jù)選擇符查詢SPD，根據(jù)此策略檢驗(yàn)IPSec處理的應(yīng)用是否正確。最后，將IPSec頭剝離下來(lái)，并將包傳遞到下一層，根據(jù)采用的模式的不同，下一層或者是傳輸層，或者是網(wǎng)絡(luò)層。四、 實(shí)驗(yàn)步驟IPsec虛擬專用網(wǎng)絡(luò)的設(shè)置1. 進(jìn)入IPsec配置界面（1）主機(jī)A、B通過(guò)“開(kāi)始”“程序”“管理工具”“本地安全策略”打開(kāi)IPSec相關(guān)配置界面，如圖2-3所示。（2）在默認(rèn)情況下IPsec的安全策略處于沒(méi)有啟動(dòng)狀態(tài)，必須進(jìn)行指定，IPsec才能發(fā)揮作用。IPsec包含以下3個(gè)默認(rèn)策略，如圖2-3所示。圖2-3 本地安全設(shè)置l 安全服務(wù)器：對(duì)所有 IP 通訊總是使用 Ke

12、rberos 信任請(qǐng)求安全。不允許與不被信任的客戶端的不安全通訊。這個(gè)策略用于必須采用安全通道進(jìn)行通信的計(jì)算機(jī)。l 客戶端：正常通信，默認(rèn)情況下不使用IPSec。如果通信對(duì)方請(qǐng)求IPSec安全通信，則可以建立IPSec虛擬專用隧道。只有與服務(wù)器的請(qǐng)求協(xié)議和端口通信是安全的。l 服務(wù)器：默認(rèn)情況下，對(duì)所有IP通信總是使用Kerberos信任請(qǐng)求安全。允許與不響應(yīng)請(qǐng)求的客戶端的不安全通信。（3）以上策略可以在單臺(tái)計(jì)算機(jī)上進(jìn)行指派，也可以在組策略上批量指派，為了達(dá)到通過(guò)協(xié)商后雙方可以通信的目的，通信雙方都需要設(shè)置同樣的策略并加以指派。2. 定制IPSec安全策略（1）雙擊“安全服務(wù)器(需要安全)”項(xiàng)

13、，進(jìn)入“安全服務(wù)器屬性”頁(yè)，可以看到在“規(guī)則”頁(yè)簽中已經(jīng)存在3個(gè)“IP安全規(guī)則”，單擊“添加”按鈕，進(jìn)入向?qū)砑有掳踩?guī)則。（2）在本練習(xí)中，我們實(shí)現(xiàn)的是兩臺(tái)主機(jī)之間的IPSec安全隧道，而不是兩個(gè)網(wǎng)絡(luò)之間的安全通信，因此，我們選擇“此規(guī)則不指定隧道”，即選用傳輸模式IPSec，選中后單擊“下一步”按鈕。（3）在選擇網(wǎng)絡(luò)類型的界面。安全規(guī)則可以應(yīng)用到3種網(wǎng)絡(luò)類型：所有網(wǎng)絡(luò)連接、局域網(wǎng)(LAN)和遠(yuǎn)程訪問(wèn)。本練習(xí)中，我們選擇“所有網(wǎng)絡(luò)連接”，單擊“下一步”按鈕。（4）在IP篩選器列表界面。我們定制自己的篩選操作，單擊“添加”按鈕，進(jìn)入“IP篩選器列表”界面，如圖2-4所示。圖2-4 IP篩選器列

14、表（5）定制自己的IP篩選器。點(diǎn)擊“添加”按鈕進(jìn)入“IP篩選器向?qū)А?，單擊“下一步”按鈕；（6）在“IP篩選器描述和鏡像屬性”的“描述”中，可自由添加對(duì)新增篩選器的解釋信息，在這里輸入“與同組主機(jī)進(jìn)行安全的icmp通信”，單擊“下一步”按鈕；（7）IP通信源選擇“我的IP地址”，單擊“下一步”按鈕；（8）IP通信目標(biāo)選擇“一個(gè)特定的IP地址”，IP地址填寫(xiě)：同組主機(jī)IP，單擊“下一步”按鈕；（9）選擇“ICMP”協(xié)議類型，單擊“下一步”按鈕。單擊“完成”按鈕，完成定制IP篩選器；（10）單擊“確定”按鈕，退出“IP篩選器列表”對(duì)話框。操作界面返回到“安全規(guī)則向?qū)А?，設(shè)置新的IP篩選器：（1）在

15、“IP篩選器列表”中選中“新 IP篩選器列表”，單擊“下一步”按鈕；（2）在“篩選器操作”界面單擊“添加”按鈕新建篩選器操作，在彈出的“篩選器操作向?qū)А苯缑嬷?，單擊“下一步”按鈕；（3）新的篩選器操作名稱為“安全的ICMP通信”，描述自定義，單擊“下一步”按鈕；（4）在“篩選器操作常規(guī)選項(xiàng)”中選中“協(xié)商安全”，單擊“下一步”按鈕；（5）選中“不與不支持IPSec的計(jì)算機(jī)通信”，單擊“下一步”按鈕；（6）在“IP通信安全措施”中，選擇“完整性和加密”，單擊“下一步”按鈕；最后單擊“完成”按鈕完成篩選器操作設(shè)置。（7）返回到“安全規(guī)則向?qū)А保凇昂Y選器操作”列表中選中“安全的ICMP通信”，單擊“

16、下一步”按鈕；（8）在“身份驗(yàn)證方法”界面。選中“使用此字符串保護(hù)密鑰交換(預(yù)共享密鑰)”，填寫(xiě)共享密鑰“jlcss”(主機(jī)A、主機(jī)B的共享密鑰必須一致)，單擊“下一步”按鈕，直至最終完成。IPsec虛擬專用網(wǎng)絡(luò)的檢測(cè)注 應(yīng)用策略之前必須指派策略，否則策略不會(huì)自動(dòng)生效。右鍵點(diǎn)擊“安全服務(wù)器”，選擇“指派”使策略生效。（1）主機(jī)A不指派策略，主機(jī)B不指派策略。主機(jī)A在“cmd”控制臺(tái)中，輸入如下命令：ping 主機(jī)B的IP填寫(xiě)ping操作反饋信息：_正常_。（2）主機(jī)A指派策略，主機(jī)B不指派策略。主機(jī)A在“cmd”控制臺(tái)中，輸入如下命令：ping 主機(jī)B的IP填寫(xiě)ping操作反饋信息：_ Neg

17、otiating IP Security _。（3）主機(jī)A不指派策略，主機(jī)B指派策略。主機(jī)A在“cmd”控制臺(tái)中，輸入如下命令：ping 主機(jī)B的IP填寫(xiě)ping操作反饋信息：_ Request timed out _ _。（4）主機(jī)A指派策略，主機(jī)B指派策略。主機(jī)A在“cmd”控制臺(tái)中，輸入如下命令：ping 主機(jī)B的IP填寫(xiě)ping操作反饋信息：_正常_。協(xié)議分析ESP首先確保主機(jī)A、主機(jī)B均已指派策略。（1）主機(jī)A、B進(jìn)入實(shí)驗(yàn)平臺(tái)，單擊工具欄“協(xié)議分析器”按鈕，啟動(dòng)協(xié)議分析器。定義過(guò)濾器，設(shè)置“網(wǎng)絡(luò)地址”過(guò)濾為“主機(jī)A的IP<>主機(jī)B的IP”；單擊“新建捕獲窗口”按鈕，點(diǎn)擊“

18、選擇過(guò)濾器”按鈕，確定過(guò)濾信息。在新建捕獲窗口工具欄中點(diǎn)擊“開(kāi)始捕獲數(shù)據(jù)包”按鈕，開(kāi)始捕獲數(shù)據(jù)包。（2）主機(jī)A在“cmd”控制臺(tái)中對(duì)主機(jī)B進(jìn)行ping操作。（3）待主機(jī)A ping操作完成后，主機(jī)A、B協(xié)議分析器停止數(shù)據(jù)包捕獲。切換至“協(xié)議解析”視圖，觀察分析源地址為主機(jī)A的IP、目的地址為主機(jī)B的IP的數(shù)據(jù)包信息，如圖2-5所示。圖2-5 概要解析（4）分析右側(cè)協(xié)議樹(shù)顯示區(qū)中詳細(xì)解析及下側(cè)十六進(jìn)制顯示區(qū)中的數(shù)據(jù)，參照?qǐng)D2-6，按照鏈路層報(bào)頭（默認(rèn)14字節(jié)）網(wǎng)絡(luò)層報(bào)頭（本實(shí)驗(yàn)中為20字節(jié)）ESP報(bào)頭的順序解析數(shù)據(jù)，回答下列問(wèn)題：圖2-6 ESP十六進(jìn)制數(shù)據(jù)l ESP協(xié)議類型值（十進(jìn)制）_50_。l 安全參數(shù)索引(SPI)值是_ 95 CB 6D 3F_。l 序列號(hào)是_1_。l ICMP負(fù)載是否被加密封