网络安全实验2.3详解

实验2 IIS服务器证书配置

一实验目的

1.了解PKI体系

2.了解用户进行证书申请和CA颁发证书过程

3.掌握认证服务的安装及配置方法

4.掌握使用数字证书配置安全站点的方法

5.掌握使用数字证书发送签名邮件和加密邮件的方法

二实验原理

PKI是PublicKeyInfrastructure的缩写，通常译为公钥基础设施。称为“基础设施”是因为它具备基础设施的主要特征。PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。

目前，安全的电子商务就是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性（又称非否认性)，从而保证信息的安全传输和交易的顺利进行。PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。

PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

三实验步骤

一．安全Web通信

1．无认证（服务器和客户端均不需要身份认证）

通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。

（1）客户端启动协议分析器，选择“文件”｜“新建捕获窗口”，然后单击工具栏中的按钮开始捕获；

2．单向认证（仅服务器需要身份认证）

（1）CA（主机A）安装证书服务

（2）服务器（主机B）证书申请

（3）服务器（主机B）安装证书

（4）Web通信

3．双向认证（服务器和客户端均需身份认证）

（1）服务器要求客户端身份认证

（2）客户端访问服务器

（3）客户端（主机C）证书申请

（4）客户端查看颁发证书

（5）客户端再次通过https访问服务器

二．安全电子邮件

1．主机B、C创建邮件账户

具体创建方法参照附录A—Outlook Express配置方法。

通过单击“发送和接收”按钮或Ctrl+M快捷键，测试邮件账户是否创建成功。

2．邮件用户（主机B、C）申请电子邮件保护证书

（1）邮件用户在IE浏览器地址栏中输入“http://CA的IP/certsrv/”并确认，访问CA的证书申请页面。

（2）邮件用户通过“申请一个证书”|“高级证书申请”|“创建并向此CA提交一个申请”，申请一张电子邮件保护证书。

（3）CA为邮件用户颁发电子邮件保护证书。

（4）邮件用户通过CA“证书服务主页”|“查看挂起的证书申请的状态”|“安装证书”将数字证书安装好。

3．邮件用户设置Outlook Express

4．发送签名电子邮件（未加密）

（1）邮件用户创建新邮件

单击Outlook Express中的“创建邮件”，在“收件人”栏写入对方（另外一个邮件用户）的邮件地址，主题和内容任意，先不要发送。

（2）使用数字证书为邮件签名

单击新邮件的“工具”|“数字签名”为邮件签名，此时会在收件人后面出现一个签名的小标志。

（3）发送邮件

单击新邮件的“发送”按钮将邮件发出。

（4）邮件用户接收到对方（另外一个邮件用户）的邮件并查看签名

单击Outlook Express的“发送/接收”按钮，接收对方发来的邮件。

当打开对方发来的邮件时，可看到邮件有数字签名的标识和提示信息。

单击“继续”按钮即可阅读到邮件的内容。

5．发送加密电子邮件

（1）邮件用户使用包含对方数字签名的邮件获得对方的数字证书

（2）邮件用户创建新邮件并加密

（3）接收对方的加密邮件并阅读该邮件

6．邮件用户验证邮件的加密作用

（1）导出证书

（2）删除证书后查看加密邮件

（3）导入证书后查看加密邮件。

实验3 IPSec—IP安全协议

伴随着密码学的发展，数字签名技术也得以实现，利用数字签名技术可以保证信息传输过程中的数据完整性以及提供对信息发送者身份的认证和不可抵赖性。

一、实验目的

1.了解IPSec主要协议

2.理解IPSec工作原理

3.Windows环境下能够利用IPSec在两台主机间建立安全隧道

二、实验环境

Windows，交换网络结构，每组2人，密码工具，网络协议分析器

三、实验原理

IPSec工作原理

IPSec包含4类组件：

（1）IPSec进程本身：验证头协议(AH)或封装安全载荷协议(ESP)；

（2）Internet密钥交换协议(IKE，Internet Key Exchange)：进行安全参数协商；

（3）SADB(SA Database)：用于存储安全关联(SA，Security Association)等安全相关参数；

（4）SPD(Security Policy Database，安全策略数据库)：用于存储安全策略。

IPSec的工作原理类似于包过滤防火墙。IPSec是通过查询安全策略数据库SPD来决定接收到的IP包的处理，但不同于包过滤防火墙的是，IPSec对IP数据包的处理方法除了丢弃、直接转发(绕过IPSec)外，还有进行IPSec的处理。进行IPSec处理意味着对IP数据包进行加密和认证，保证了在外部网络传输的数据包的机密性、真实性、完整性，使通过Internet进行安全的通信成为可能。

在IETF的标准化下，IPSec的处理流程受到了规范。

1． IPSec流出处理

如图2-1，在流出处理过程中，传输层的数据包流进IP层，然后按如下步骤执行：

图2-1 IPSec流出处理流程