计算机网络安全实验指导书

计算机网络安全 实 验 指 导 书 （计算机科学技术专业 本科） 福建工程学院 计算机与信息科学系 网络工程教研室 张永晖 编 2005年2月 目 录 实验一 数据加密技术..................................................................................... 1 实验二用Ethereal分析协议数据包................................................................ 4 实验三: 使用数字证书加密解密电子邮件 .....................................................11 实验四:防火墙............................................................................................... 21 1 实验一 数据加密技术 实验目的: 编制基本的文本加、解密程序 实验内容: 凯撒密码实现 实验要求: 使用任意高级语言做出给文本文件加、解密的软件. 实验学时: 2学时 实验步骤: 参考教科书有关内容.掌握凯撒加密方法.自行设计密钥.编制程序. 密码术可以大致别分为两种，即易位和替换，当然也有两者结合的更复杂的 方法。在易位中字母不变，位置改变；替换中字母改变，位置不变。将替换密码 用于军事用途的第一个文件记载是恺撒著的《高卢记》。恺撒描述了他如何将密 信送到正处在被围困、濒临投降的西塞罗。其中罗马字母被替换成希腊字母使得 敌人根本无法看懂信息。 苏托尼厄斯在公元二世纪写的《恺撒传》中对恺撒用过的其中一种替换密码 作了详细的描写。恺撒只是简单地把信息中的每一个字母用字母表中的该字母后 的第三个字母代替。这种密码替换通常叫做恺撒移位密码，或简单的说，恺撒密 码。 如将字母A换作字母D，将字母B换作字母E。 如有这样一条指令： RETURN TO ROME 用恺撒密码加密后就成为： UHWXUA WR URPH 如果这份指令被敌方截获，也将不会泄密，因为字面上看不出任何意义。 这种加密方法还可以依据移位的不同产生新的变化，如将每个字母左19位， 就产生这样一个明密对照表： 2 明:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密:T U V W X Y Z A B C D E F G H I J K L M N O P Q R S 暴力破解： 使用从1-25的密钥依次解密密文，看看得出来的结果是怎样的。 ====================================================== 参考： 尽管苏托尼厄斯仅提到三个位置的恺撒移位，但显然从1到25个位置的移位我们都可以使用， 因此， 为了使密码有更高的安全性，单字母替换密码就出现了。 如： 明码表 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 密码表 Q W E R T Y U I O P A S D F G H J K L Z X C V B N M 明文 F O R E S T 密文 Y G K T L Z 只需重排密码表二十六个字母的顺序，允许密码表是明码表的任意一种重排，密钥就会增加到四千亿亿亿 多种，我们就有超过4×1027种密码表。破解就变得很困难。 如何破解包括恺撒密码在内的单字母替换密码？ 方法：字母频度分析 尽管我们不知道是谁发现了字母频度的差异可以用于破解密码。但是9世纪的科学家阿尔·金迪在《关于破 译加密信息的手稿》对该技术做了最早的描述。 “如果我们知道一条加密信息所使用的语言，那么破译这条加密信息的方法就是找出同样的语言写的一篇其 他文章，大约一页纸长，然后我们计算其中每个字母的出现频率。我们将频率最高的字母标为1号，频率排 第2的标为2号，第三标为3号，依次类推，直到数完样品文章中所有字母。然后我们观察需要破译的密文， 同样分类出所有的字母，找出频率最高的字母，并全部用样本文章中最高频率的字母替换。第二高频的字 母用样本中2号代替，第三则用3号替换，直到密文中所有字母均已被样本中的字母替换。” 以英文为例，首先我们以一篇或几篇一定长度的普通文章，建立字母表中每个字母的频度表。 在分析密文中的字母频率，将其对照即可破解。 虽然设密者后来针对频率分析技术对以前的设密方法做了些改进，比如说引进空符号等，目的是为了打破 正常的字母出现频率。但是小的改进已经无法掩盖单字母替换法的巨大缺陷了。到16世纪，最好的密码破 译师已经能够破译当时大多数的加密信息。 局限性： 短文可能严重偏离频率，加入文章少于100个字母，那么对它的解密就会比较困难。 而且不是所有文章都适用标准频度： 1969年，法国作家乔治斯·佩雷克写了一部200页的小说《逃亡》，其中没有一个含有字母e的。更令人 称奇的是英国小说家和拼论家吉尔伯特·阿代尔成功地将《逃亡》翻译成英文，而且其中也没有一个字母e。 阿代尔将这部译著命名为《真空》。如果这本书用单密码表进行加密，那么频度分析破解它会受到很大的 困难。 选作实验 有条件的学生可进一步实现多字加解密程序的实现. 3 4 实验二用Ethereal分析协议数据包 实验目的: 掌握使用Ethereal分析协议数据包的技能 实验内容: Ethereal的安装和使用 实验要求: 能够截获foxmail自动发送状态下邮箱密码 实验学时: 2学时 实验步骤: Ethereal是一个图形用户接口（GUI）的网络嗅探器，能够完成与Tcpdump相同的功能， 但操作界面要友好很多。Ehtereal和Tcpdump都依赖于pcap库（libpcap），因此两者在许 多方面非常相似（如都使用相同的过滤规则和关键字）。Ethereal和其它图形化的网络嗅探 器都使用相同的界面模式，如果能熟练地使用Ethereal，那么其它图形用户界面的嗅探器基 本都可以操作。 1.Ethereal的安装 在http://www.ethereal.com网站上可以下载到最新的Ethereal源码包。下面以Ethereal 0.9.9 为例，讲述如何安装Ethereal，此处使用的操作系统是Red Hat 8.0。 首先下载最新的源码包，并将其解压缩： # cp ethereal-0.9.9.tar.bz2 /usr/local/src/ # cd /usr/local/src/ # bzip2 -d ethereal-0.9.9.tar.bz2 # tar xvf ethereal-0.9.9.tar 同Tcpdump一样，在编译Ethereal之前应先确定已经安装pcap库（libpcap），这是编译 Ethereal时所必需的。如果该库已经安装，就可以执行下面的命令来编译并安装Ethereal： # cd ethereal-0.9.9 # ./configure # make # make install 2.设置Ethereal的过滤规则 当编译并安装好Ethereal后，就可以执行“ethereal”命令来启动Ethereal。在用Ethereal截获 数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Ethereal使用与 Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为Ethereal 配置过滤规则，首先单击“Edit”选单，然后选择“Capture Filters...”菜单项，打开“Edit Capture Filter List”对话框（如图1所示）。因为此时还没有添加任何过滤规则，因而该对 话框右侧的列表框是空的。 图1 Ethereal过滤器配置对话框 在Ethereal中添加过滤器时，需要为该过滤器指定名字及规则。例如，要在主机10.1.197.162 和www.sohu.com间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“sohu”，在 “Filter string”编辑框内输入过滤规则“host 10.1.197.162 and www.sohu.com”，然后单击 “New”按钮即可，如图2所示。 5 图2 为Ethereal添加一个过滤器 在Ethereal中使用的过滤规则和Tcpdump几乎完全一致，这是因为两者都基于pcap库的缘 故。Ethereal能够同时维护很多个过滤器。网络管理员可以根据实际需要选用不同的过滤器， 这在很多情况下是非常有用的。例如，一个过滤器可能用于截获两个主机间的数据包，而另 一个则可能用于截获ICMP包来诊断网络故障。 当所有需要的过滤器都创建好后，单击“Save”按钮保存创建的过滤器，然后单击“Close”按 钮来关闭“Edit Capture Filter List”对话框。要将过滤器应用于嗅探过程，需要在截获数据 包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击 “Capture”选单，选择“Start...”选单项，打开“Capture Options”对话框，单击该对话框中的 “Filter:”按钮，然后选择要使用的过滤器，如图3所示。 6 图3 为Ethereal指定过滤器 注意在“Capture Options”对话框中，“Update list of packets in real time”复选框被选中了。 这样可以使每个数据包在被截获时就实时显示出来，而不是在嗅探过程结束之后才显示所有 截获的数据包。 在选择了所需要的过滤器后，单击“OK”按钮，整个嗅探过程就开始了。Ethereal可以实时 显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性 能和流量能有一个比较准确的把握。 3.用Ethereal分析数据包 Ethereal和其它的图形化嗅探器使用基本类似的界面，整个窗口被分成三个部分：最上面为 数据包列表，用来显示截获的每个数据包的总结性信息；中间为协议树，用来显示选定的数 据包所属的协议信息；最下边是以十六进制形式表示的数据包内容，用来显示数据包在物理 层上传输时的最终形式。 7 使用Ethereal可以很方便地对截获的数据包进行分析，包括该数据包的源地址、目的地址、 所属协议等。图4是在Ethereal中对一个HTTP数据包进行分析时的情形。 在图3最上边的数据包列表中，显示了被截获的数据包的基本信息。从图中可以看出，当前 选中数据包的源地址是10.1.197.162，目的地址为61.135.150.65，该数据包所属的协议是超文本 传输协议(HTTP)。更详细的信息表明该数据包中含有一个HTTP的GET命令，要求下载 starrtlog.js文件到客户端的Web浏览器。 图4 用Ethereal分析数据包内容 图4中间是协议树，通过协议树可以得到被截获的数据包的更多信息，如主机的MAC地址 (Ethernet II)、IP地址(Internet Protocol)、TCP端口号(Transmission Control Protocol)，以及 HTTP协议的具体内容(Hypertext Trnasfer Protocol)。通过扩展协议树中的相应节点，可以 得到该数据包中携带的更详尽的信息。 图4最下边是以十六制显示的数据包的具体内容，这是被截获的数据包在物理媒体上传输时 的最终形式，当在协议树中选中某行时，与其对应的十六进制代码同样会被选中，这样就可 以很方便地对各种协议的数据包进行分析。 Ethereal提供的图形化用户界面非常友好，管理员可以很方便地查看到每个数据包的详细信 息，协议树及其对应的十六进制表示对分析每个数据包的目的很有帮助，综合使用Ethereal 8 9 和Tcpdump能够基本满足网络管理员在Linux系统上的所有嗅探要示。 4.用EtherApe查看网络流量 EtherApe也是一个图形化的网络嗅探器。与Ehtereal不同，EtherApe通过验证主机与主机 之间的链接，图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表示位 于不同主机之间的连接，而连线的粗细则表明主机间数据流量的大小。这些信息都是实时变 化的，因而能够协助管理员随时了解到网络中各部分流量的变化情况。 EtherApe的安装 EhterApe支持Ethernet、FDDI和Token Ring等多种网络，能够实时地从网络或文件中读取网 络流量的变化情况。此外它还可以将网络流量信息保存下来，以便在之后需要时再显示出来。 在http://www.sourceforge.net/projects/etherape/网站上可以下载到最新的EtherApe 源码包。下面以Ethereal 0.8.2为例，讲述如何安装EtherApe（使用的操作系统是RedHat 8.0）。 首先下载最新的源码包并将其解压缩，代码如下： # cp etherape-0.8.2.tar.gz /usr/local/src/ # cd /usr/local/src/ # tar xzvf etherape-0.8.2.tar.gz EtherApe使用的是GNOME这一图形用户接口库。与Ethereal和Tcpdump一样，它也使用 pcap库(libpcap)对网络上传输的数据包进行截获和过滤。在编译EtherApe之前，应先确定 所需的这些库已经安装好，因为这是编译EtherApe时所必需的。如果这些库已经安装，就 可以执行下面的命令来编译并安装EtherApe： # cd etherape-0.8.2 # ./configure # make # make install 用EtherApe分析网络流量 当编译并安装好EtherApe后，就可以执行“etherape”命令来启动EtherApe。 当用EtherApe截获在网络上传输的数据包时，也需要先为其指定过滤规则，否则EthreApe 将捕获网络中的所有数据包。单击工具栏上的“Pref.”按钮，打开“Preferences”对话框，在 该对话框中的“Capture”属性页中，可以找到用于设置过滤规则的“Capture filter”下拉框。 由于采用的都是pcap库，因此EtherApe过滤规则的设置与Tcpdump和Ethereal是相同的。 设置好过滤规则后，单击工具栏上的“Start”按钮，就可以开始对网络中感兴趣的数据包进 行嗅探。EhterApe图形化地显示网络流量，图5是当EtherApe处于Ethernet模式下时的网络 流量图。 图5 EtherApe监测的Ethernet流量图 EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五种监听模式。当处于Ethernet模式下 时，EtherApe会截获所有符合过滤规则的以太网数据包，但有时网络管理员可能只对IP数据 包感兴趣，这时可以将EtherApe切换到IP模式。单击“Capture”菜单，选择“Mode”菜单项， 然后再选择相应的模式，就可以完成模式之间的切换。图6是当EhterApe处于IP模式下时的 网络流量图。 10 图6 EtherApe监测的IP流量图 EtherApe能够以图形的方式显示网络流量。用户看到的是一个很直观的用于表示网络上各 主机间流量大小的图，而不是单个的数据包，因而更容易从整体上把握整个网络的运行状况， 在定位网络故障时相对来说也变得更加容易。 实验三: 使用数字证书加密解密电子邮件 实验目的： 1. 为自己申请数字证书 2. 了解当前各种数字证书机构的状况 3. 了解数字证书的类型和作用. 4. 掌握申请数字证书的方法 5. 加深对数字证书概念和作用的理解. 6. 使用数字证书解密加密电子邮件 实验内容 11 12 数字证书的申请. 使用数字证书加密解密电子邮件 实验要求: 1.上网搜索提供数字证书的机构 2.了解各类数字证书的作用. 3.选定一家免费证书提供机构.为自己申请一张安全电子邮件证书. 4.在IE 浏览器中查看自己申请成功的数字证书. 实验学时: 2学时 五.实验步骤 步骤1:搜索提供数字证书的机构. 在google 搜索引擎中输入"数字证书".可以找到很多国内的CA 机构. 这些CA 机构都提供不同类型的数字证书. 步骤2:对这些机构提供的数字证书类型及其作用进行分析. 目前国内的证书机构能够提供的证书类型主要包括个人数字证书. 企业数字 证书.服务器身份证书.安全web 服务证书.安全电子邮件证书.代码签名证书等. 各种不同类型的证书作用不同.个人数字证书中包含证书持有者的个人身份信息. 公钥及CA 的签名.在网络通讯中标识证书持有者的个人身份;企业数字证书中包 含企业基本信息.公钥及CA 的签名.在网络通讯中标识证书持有企业的身份;服务 器身份证书中包含服务器信息.公钥及CA 的签名.在网络通讯中标识和验证服务 13 器的身份.在网络应用系统中.服务器软件利用证书机制保证与其他服务器或客户 端通信的安全性; 安全Web 站点证书中包含Web 站点的基本信息.公钥和CA 的签名.凡是具 有网址的Web 站点均可以申请使用该证书.主要和网站的IP 地址.域名绑定.可 以保证网站的真实性和不被人仿冒;代码签名证书是CA 中心签发给软件提供商 的数字证书.包含软件提供商的身份信息.公钥及CA 的签名.软件提供商使用代码 签名证书对软件进行签名后放到Internet 上.当用户在Internet 上下载该软件 时.将会得到提示.从而可以确信软件的来源.并确认软件自签名后到下载前没有 遭到修改或破坏;安全电子邮件证书中包含证书持有者的电子邮件地址.公钥及 CA 的签名.使用安全电子邮件证书可以收发加密和数字签名邮件.保证电子邮件 传输中的机密性.完整性和不可否认性.确保电子邮件通信各方身份的真实性. 步骤3:选定一种个人数字证书.为自己申请该数字证书. 由于大多数证书机构都要求对提供的数字证书收费.我们在此给同学提供一 些提供免费试用证书的CA 网址: https://testca.netca.net http://www.verisign.com(需有访问国外网站的权限) 以下以某学生的申请过程为例.给出在https://testca.netca.net 申请一份 免费数字证书的实验步骤.1.登录到https://testca.netca.net 申请地址.点击"证 书申请"链接.选择"试用型个人数字 14 证书申请"链接. 2.只有安装了根证书(即证书链)的计算机.才能够完成后面的申请步骤和正常 使用在CA 中心申请的数字证书.所以需要先进行证书链的安装.按照系统提示.我们可以 在https://testca.netca.net/download/GetRootCertificateIndi.asp 页面中点 击"安装证书链"按钮. 3.在系统"安装成功"提示框出现后.进入"基本信息"表单.按照表单的提示内容. 完整地输入个人资料.注意在选择加密服务提供程序(Cryptographic Service Provider.CSP)项目中选择"Microsoft Base Cryptagraphic Provider V1.0" 选项. 4.选择填写补充信息.具体包括有效证件类型.证件号码.出生日期.性别.住址. 通信地址.邮政编码.联系电话.传真号码以及存储介质等.完成后.点击"提交"按钮. 随后系统将进行数字证书的下载.在完成上述步骤后.系统将发送一封申请成功的 信件到您申请时使用的邮箱内.其中包括业务受理号.密码以及数字证书下载的地 址. 5.点击数字证书的下载地址链接.并填写业务受理号和密码并提交.系统即提 示您安装的数字证书的基本信息.然后点击下方的"安装证书"按钮.当系统给出" 证书成功下载并装入应用程序中"提示后.表明您的证书已经成功安装. 步骤4:在IE 浏览器中查看已经申请成功的数字证书 1.首先打开Internet Explorer.在其菜单栏上选择"工具"\"Internet 选项".在 15 "Internet 选项"对话框中.选择"内容"选项卡.点击"证书"按钮查看当前信任的证 书列表. 2.在"证书"对话框中.点击"个人"选项卡.可以查看到已经申请的个人数字证书 列表. 3. 选定您需要查看的个人数字证书.然后单击"查看"按钮.可以查看相应数字 证书的详细信息. foxmail加密 安全电子邮件（数字签名与加密） 由于越来越多的人通过电子邮件进行重要的商务活动和发送机密信息，因此 保证邮件的真实性（即能够鉴别是否是伪造）、以及邮件不被其他人截取和偷阅 也变得日趋重要。 安全电子邮件通过使用数字标识（数字证书，这里即安全电子邮件证书）， 对邮件进行数字签名和加密，以确保电子邮件的真实性和保密性。Foxmail 全面 支持安全电子邮件技术，兼容多种加密、解密算法，可应用于各种重要商务活动 处理机密信息时接收和发送数字签名、加密邮件。 数字签名、加密原理 概述 在能够发送带有数字签名的邮件之前，您必须获得数字标识（也称为数字证 书）。获得数字标识的方法请参考申请数字证书。 所谓数字标识是指由独立的授权机构发放的，证明您在 Internet 上身份的 证件，是您在因特网上的身份证，是用户收发电子邮件时采用证书机制保证安全 所必须具备的证书。 电子邮件数字签名、加密遵循 S/MIME 协议实现，S/MIME 全称“安全的多功 能互联网邮件扩展”（Secure/Multipurpose Internet Mail Extensions），是 16 通过在 RFCl847 中定义的多部件媒体类型在 MIME 中打包安全服务的一个技术。 它提供验证、信件完整性、数字签名和加密。 数字标识包括“私人密钥”（简称“私钥”）和“公用密钥”（简称“公 钥”）。私钥是保密的，由证书申请人独自掌握，需要妥善保管。私钥一旦泄漏， 应当尽快注销该证书，以免被他人冒用您的身份；公钥是公开的，您可以把它发 送给别人，别人也可以从证书颁发机构处获得。 签名 申请到数字证书之后，使用证书的私钥，可以向任何邮件地址送数字签名邮 件。通过数字签名，收件人可以验证您的身份，确认邮件是由您发出的，并且中 途没有被篡改过。从而防止他人冒用您的身份发送邮件，或者中途篡改邮件。 加密 要向收件人发送加密邮件，并且对方可以正确解密，首先必须获得该收件人 的公钥。发送邮件时，使用公钥对邮件进行加密。当收件人收到加密邮件后，使 用对应的私钥才能对邮件进行解密，阅读邮件。其他人即使窃取到邮件，由于没 有对应的私钥，也无法解读。 电子邮件安全的核心技术 随着越来越多的用户加入 Internet，安全已经成为 Internet 标准委员会的 重点。事实上，一个重要的中心是在给大多数 Internet 协议增加高级的安全特 性（特别是核心协议）。 1997 年 IAB 召开了一个安全体系结构的会议，它的目标是为 Internet 设计 一个安全体系结构，至少是了解 Internet 安全的现状和它的发展方向。这次会 议指出，有 3个使用安全组件的方面需要得到最大的改善，其中就包括保密电子 邮件（另外 2个是对象安全和路由安全）。 现在我们通过技术手段来保证网上交流的安全性。密码术衍生出的数字签名 的技术，和传统的手写签名作用类似，衍生出的数字证书，和身份证件的作用也 是类似的。 大多数安全机制的核心有 4种算法：伪随机数产生器、密码散列函数、对称 加密和非对称加密。这些算法以某种形式组合起来，产生另外两个核心安全技术： 数字签名和信件验证代码。 17 申请数字证书 数字证书由独立的授权机构发放。在向授权机构的 Web 站点申请数字证书 时，授权机构在发放标识之前有一个确认您身份的过程。数字证书有不同的类别， 不同类别提供不同的信用级别。有关的详细信息，请参阅授权机构 Web 站点上的 帮助。 登陆 http://ca.foxmail.com.cn 页面，可以申请数字证书。申请证书以需 要经过以下步骤： 第一步，安装 CA 根证书。 第二步，申请证书，填写邮件地址和必要的用户信息。 第三步，接收证书发放机构发送过来的邮件，获得序列号和密码信息。 第四步，下载并安装证书，下载过程需要提供序列号和密码。 安装后，可以在系统中查看证书：打开 IE 浏览器，单击“工具”菜单的 “Internet 选项”，在弹出的对话框中切换到“内容”选项卡，单击“证书” 按钮，在弹出的“证书”对话框中，可以查看系统中已经安装的各个证书。 另外，当您发现自已的证书的私钥泄密或其它原因引起不可信时，可以通过 页面上的“撤销您的证书”功能，将证书撤消。请注意撤消的证书是不可恢复的。 证书申请页面还提供了证书废止列表下载。证书废止列表（CRL）了所 有我们的 CA 服务用户中被废止的证书的相关信息，系统可能会自动查找证书废 止列表并下载，如果需要，您可以手工下载 CRL 文件，选中该文件右击可进行 CRL 的安装。 发送数字签名或加密邮件 发送数字签名或加密邮件 带数字签名的电子邮件允许电子邮件的收件人验证您的身份，加密电子邮件 则可以防止其他人在邮件传递过程中偷阅邮件。发送邮件时，可以只对邮件进行 签名，或者只对邮件进行加密，也可以对邮件同时进行签名和加密。 发送签名邮件 18 要为邮件添加数字签名，请在写邮件窗口“工具”菜单中，单击“数字签 名”菜单项，或者单击工具栏的“签名”按钮。 使用某个帐户发送数字签名邮件，必须首先为该帐户的电子邮件地址申请一 个数字证书，否则，发送邮件时，将提示用户申请数字证书。 在帐户属性中，可以为帐户设置证书。发送数字签名邮件时，将使用该证书 进行签名，如果没有设置，将弹出“证书选择”对话框，提示用户选择一个证书 作为本帐户的证书。 发送加密邮件 要加密邮件，请在写邮件窗口“工具”菜单中，单击“加密”菜单项，或者 单击工具栏的“加密”按钮。 发送加密邮件，需要使用收件人的公钥，对邮件进行加密。一般有以下两种 方法取得并使用收件人的公钥加密邮件： 第一，直接回复带有数字签名的邮件，并对邮件进行加密。回复邮件的收件 人自动包含了其证书信息（公钥），双击写邮件窗口“收件人”一栏内的收件人， 将弹出地址簿卡片属性对话框，在“数字证书”选项卡可以查看收件人的证书信 息。 第二，向包含数字证书的卡片发送加密邮件。要把含有公钥信息的数字证书 添加到地址簿卡片中，请参考添加数字证书。 阅读数字签名或加密邮件 阅读数字签名或加密邮件 带数字签名的邮件，邮件图标上有一个飘带标记，加密的邮件，邮件图标上 有一把锁作为标记。 正常情况下，阅读带数字签名或加密的邮件与阅读其他邮件一样，Foxmail 会自动显示邮件的内容。但是，如果阅读的邮件存在安全问题，例如邮件已被篡 改或发件人的数字证书已过期，Foxmail 将显示安全警告信息，详细说明问题所 在。在安全警告信息显示框中，有三个按钮，分别是： 打开邮件：显示邮件内容。 19 查看数字证书：查看发件人的数字证书详细信息。 编辑信任：查看或修改对该数字证书的信任方式。 打开一个带有数字签名或者加密的邮件，邮件内容右上方将显示签名或者加 密图标，单击该图标，可以查看邮件的安全属性。 在安全属性对话框中，可以查看邮件所采用的签名、加密算法，查看签名、 加密证书，对签名邮件，还可以把发件人的数字证书信息添加到址簿中。 参考资料：数字证书认证中心简介 CA中心，又称为数字证书认证中心，作为电子商务交易中受信任的第三方，专门解决公钥体系中 公钥的合法性问题。CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中 列出的用户名称与证书中列出的公开密钥相对应。CA中心的数字签名使得攻击者不能伪造和篡改数字证 书。当然CA中心还需要 配套的RA（Registration Authority --注册审批机构）系统。 下面我们就分别介 绍中心以及注册中心： 一,认证中心 认证中心（CA）可按照一定的信任模型来组织，通常组织成层状模型。各级CA认证机构的存在组成 了整个网上信息交流的信任链。每一份数字证书都与上一级的数字签名证书相关联，最终通过安全链追溯 到一个已知的并被广泛认为是安全、权威、足以信赖的机构-根证书中心（根CA），即一个CA可用来证明 另外一个CA的合法性，而且对于某些CA，这也是它们的唯一任务。这种认证体系将证书分层，各证书都有 上级CA的数字签名。 1，认证中心的组成 （1）签名和加密服务器 对于数字证书，应该有认证机构的数字签名，对于被撤消的数字证书，也 应有该认证机构的数字签名。签名和加密服务器就是用来接收来自证书管理服务器的申请，按规则对待签 名证书和待签名的CRL进行数字签名，并进行证书管理服务器的加密/解密运算 （2）密钥管理服务器 密钥管理服务器与签名和加密服务器连接，按配置生成密钥、撤消密钥、 恢复密钥和查询密钥 （3）证书管理服务器 主要完成证书的生成、作废等操作控制。维护证书库，作废证书库、证书 状态库等有关数据库。证书管理服务器是对证书的生成、作废等操作实现的核心。 （4）证书发布和CRL服务器 证书发布服务器用于将证书信息按一定的时间间隔对外发布，可通过web server和LDAP实现，Server为客户提供证书下载和CRL下载等服务。 （5）在线证书状态查询服务器 证书用户随时都想知道某个证书的最新状态，这是由在线证书状态查 询服务器提供的实时查询证书状态的服务服务来完成的。 （6）WEB服务器 用于证书的发布和有关数据认证系统政策的发布。 2，认证中心功能的实现 （1）证书发放 通过注册中心的初始身份认证后，注册中心将用户申请提交认证中心，认证中心根据 证书操作管理定义的颁发规则在证书中插入附加信息并设置个字段，并采取不同的方法将证书返回给 20 用户（如用电子邮件形式） （2）证书更新 这个包含两个方面，一是用户证书已经过期或者与证书相关的密钥到了他有效生命终 点，或者证书中一些属性已经改变，这都需要更新用户的证书。二是CA本身的证书也存在以上的问题，所 以CA根证书也是需要更新的. （3）证书注销 在某种情况下，证书的有效性要求在证书结束日期之前终止或者要求拥护与私钥分离 时，证书要被撤消。例如签署者状态发生改变，证书中信息可能已经修改，与用户相关的私钥可能以某种 方式泄露。大多数情况下，CA用来公布已更改的证书状态机制是一个证书撤消列表（CRL）。CRL包括已 被撤消证书的序列号和撤消日期，还有标志撤消原因的状态。 （4）证书验证 它包括如下几个内容，一是证书是否包含一个有效的数字签名，以此证明证书内容 没被修改。二是颁发者的公开密钥是否可以验证证书上的数字签名，以确认数据是否来源于真正的数据发 送方。三是当前使用的证书是否在证书的有效期内。四是证书是否用于最初分发它的目的。五是检查证书 撤消列表CRL，验证证书是否被撤消。 二, 注册中心 注册中心是数字证书注册审批机构。RA系统是CA的证书发放、管理的延伸，它负责证书申请者的信 息录入，审核等工作；同时，对发放的证书完成相应的管理功能，一般来说，注册机构控制注册、证书传 递、其他密钥和证书生命周期管理过程中主体、最终实体和PKI间的交换，然而任何环境下RA都不真正发 起关于主体的可信声明。 1，RA的功能 （1) 主体注册证书的个人认证 （2) 确认主体所提供的信息的有效性 （3） 对被请求证书属性确定主体的权利 （4） 确认主体确实拥有注册的私钥 （5） 在需要撤消时报告密钥泄露或终止事件 （6） 为识别身份的目的分配名字 （7） 在注册初始化和证书获得阶段产生共享秘密 （8） 产生公/私密钥对 (9） 认证机构代表最终实体开始注册过程 （10) 私钥的归档 （11) 开始密钥恢复处理 （12）包含私钥的物理环网（例如智能卡）的分发 2，基于WEB浏览器的简单注册操作过程 （1） 访问一个URL，得到一个Web页面，它提供输入表单来让申请者指定注册信息 （2） 页面上某处有一个程序用来生成公/私钥对，通常出现一个输入字段，让申请者选择密钥长度 （3） 输入完信息后提交表单，系统自动构造素数，使浏览器开始生成密钥对。 （4） 密钥对生成以后，私钥存储在一个本地应用密钥存储区内，如果是第一次构造密钥存储区，通 常还会提示申请者输入口令，使用该口令构造一个加密或解密密钥存储区的对称密钥 （5） 当密钥产生完毕，公开密钥就与填入注册表单中的信息一起发送给注册机构的Web服务器接口。 在有些情况下，申请者此时必须证明其拥有私有密钥，这可以通过对注册申请进行数字签名来证明，RA接 21 收到申请时对签名进行验证。 （6） 注册机构检查申请信息并且开始验证用户提供的身份信息。 （7） 当证书服务器接收到RA的申请后，它根据证书操作管理规范定义的颁发规则在证书中插入附加 信息并设置各字段。 （8） 生成的证书返回给用户，用何种方式返回根据CA的具体实现和CPS需求的不同而不同。 （9） 当用户单击URL时，证书被下载到浏览器 （10) 当浏览器发现证书加载操作时，它将返回的证书和先前生成的私钥一起存储到密钥存储区。 实验四:防火墙 一.实验目的 掌握防火墙的使用 二.实验内容: 防火墙以及个人防火墙的设置和使用. 三.实验要求: 掌握防火墙的基本原理和作用. 四.实验学时: 2学时 五.实验步骤: 网络的主要功能是向其他通信实体提供信息传输服务。网络安全技术的主要 目的是为传输服务实施的全过程提供安全保障。在网络安全技术中，防火墙技术 是一种经常被采用的对报文的访问控制技术。实施防火墙技术的目的是为了保护 内部网络免遭非法数据包的侵害。为了对进入网络的数据进行访问控制，防火墙 需要对每个进入的数据包按照预先设定的规则进行检查。目前的防火墙也有检查 由内到外的数据包的功能。我们在系统视图下，使用如下命令启用防火墙功能： [Quidway]firewall enable 并在接口视图下利用如下命令将规则应用到该接口的某个方向上： [Quidway-Ethernet0]firewall packet-filter acl-number[inbound |outbound] 可以在系统视图下使用如下命令改变缺省行为： [Quidway]firewall default deny | permit 访问控制列表ACL 路由器的防火墙配置包括两个内容，一是定义对特定数据流的访问控制规则， 即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上，从而过 滤特定方向上的数据流。常用的访问控制列表可以分为两种：标准访问控制列表 和扩展访问控制列表。标准访问控制列表仅仅根据IP 报文的源地址域区分不同 的数据流，扩展访问控制列表则可以根据IP 报文中更多的域（如目的IP 地址， 22 上层协议信息等）来区分不同的数据流。所有访问控制列表都有一个编号，标准 访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范 围为1～99，扩展访问控制列表为100～199。 定义标准访问控制列表的命令格式为： [Quidway] acl acl-number[match-order config | auto] [Quidway-acl-10] rule{normal|special}{permit|deny}[source source-addr source-wildcard | any] 以下是一个标准访问控制列表的例子： [Quidway]acl 20 [Quidway-acl-20]rule normal permit source 10.0.0.0 0.0.0.255 [Quidway-acl-20]rule normal deny source any 这个访问控制列表20 包含两条规则，共同表示除了源IP 地址在网络 10.0.0.0/24 内的允许通过以外，其他源IP 地址的数据包都禁止通过。 定义扩展访问控制列表的规则 [Quidway] acl acl-number[match-order config | auto] [Quidway-acl-10] rule{normal|special}{permit | deny}pro-number [source source-addr source-wildcard | any][source-port operator port1[port2]][destination dest-addr dest-wildcard | any][destination-port operator port1[port2]][icmp-type icmp-type icmp-code][logging] 以下是一个扩展访问控制列表的例子： [Quidway]acl 120 [Quidway-acl-120]rule normal permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0 [Quidway-acl-120]rule normal deny ip source any destination any 这条访问控制列表120 规定了除主机10.0.0.1 到主机202.0.0.1 的数据 流可以通过外，其他一律禁止。 [Quidway]acl 121 [Quidway-acl-121]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port eaual ftp logging [Quidway-acl-121]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port eaual telnet logging [Quidway-acl-121]rule deny ip source any destination any 这种规则实现的需求是：仅允许目的为FTP 服务器10.0.0.1 的FTP 请求报文 输入和目的为TELNET 服务器10.0.0.2 的TELNET 报文输入，禁止其他一切输 入报文。 二. 实验内容：防火墙的配置 三. 实验目的：学习配置访问控制列表设计防火墙 四. 实验环境：实验环境： 23 Telnet 服务器 129.38.1.2 WWW 服务器 129.38.1.3 129.38.1.5 特定的内部用户 129.38.1.4 202.38.160.1 特定的外部用户 Intern FTP 服务器 129.38.1.1 公司对外的IP 地址为202.38.160.1。通过配置防火墙，希望实现以下要求： （1）外部网络只有特定用户可以访问内部服务器 （2）内部网络只有特定主机可以访问外部网络。 在本实验中，假定外部特定用户的IP 地址为202.39.2.3。 五. 实验步骤： （1）启用防火墙功能 （2）设置防火墙缺省过滤方式为允许通过 （3）配置允许特定主机允许访问外部网，此处的特定主机为129.38.1.4 和三 个服务器 （4）配置规则允许特定用户从外部网访问内部服务器 （5）将第三步所配规则作用于从接口E0 进入的包 （6）将第四步所配规则作用于从接口S0 进入的包 个人防火墙 一.安装瑞星个人防火墙 第一步:启动计算机并进入中文Windows(95/98/Me/NT/2000/XP/2003)系统; 第二步:从下载的安装包安装:运行Rfw.exe.则开始运行瑞星安装程序. 第三步:安装程序弹出语言选择框.选择您需要安装的语言版本.按【确定】进入安装程序 欢迎界面; 第四步:阅读『最终用户许可协议』.点击【我接受协议】.按【下一步】继续安装;如果不 接受协议.选择【我不接受】退出安装程序; 第五步:依次确认【程序文件夹】后.选择【下一步】继续; 第六步:选择安装方式.默认安装可以安装默认的目录和组件.定制安装可以选择组件并 将其安装在您认为合适的目录下.选择【下一步】.弹出【安装信息】界面.显示了有关安装的 详细信息.选择【下一步】继续.在安装过程中.程序会提示您是否在桌面上建立快捷方式; 第七步:复制文件结束.提示是否启动瑞星个人防火墙. 二.启动瑞星个人防火墙 24 启动瑞星个人防火墙软件主程序有两种方法: 第一种方法: 进入【开始】/【程序】/【瑞星个人防火墙】.选择【瑞星个人防火墙】即可启动; 第二种方法: 用鼠标双击桌面上的【瑞星个人防火墙】快捷图标 即可启动. 防火墙主界面 瑞星个人防火墙主界面包括【日志】.【选项】和【帮助】等选项.此外.还有方便快捷的 操作按钮 四.规则设置 在瑞星个人防火墙主界面中.选择【设置】/【设置规则】.弹出【瑞星个人防火墙规则设 置】窗口;规则描述是对某条规则的描述说明;每条规则均有序号.规则名称.方向.协议和操作 等信息. 五.安全级别设置 在瑞星个人防火墙主界面中.单击【选项】按钮.在安全级别栏中可选择三个不同等级的 安全级别.一般安全级别:接收到数据包时.如果没有规则拒绝它通过.都被认为是合法的.予以 放行.较高安全级别:如果数据包的源端口号不是众所周知的端口号.且目的端口号是某些木 马默认使用的端口号.则禁止该连接.其他情况和一般安全级别一样处理.最高安全级别:接收 到数据包时.如果没有规则允许它通过.都被认为是非法的.予以拒绝. 六.其他设置 学生自己设置. 六.选作实验 进一步访问防火墙网站.了解防火墙的最新技术. 实验一 数据加密技术 实验二用Ethereal分析协议数据包 实验三: 使用数字证书加密解密电子邮件 实验四:防火墙