3.1網(wǎng)絡(luò)協(xié)議分析工具3.2PGP3.3CA系統(tǒng)及其應(yīng)用3.4IP安全3.5虛擬專用網(wǎng)絡(luò)3.1.1協(xié)議數(shù)據(jù)單元

1.以太網(wǎng)的幀格式

以太網(wǎng)的幀格式如圖3-1所示?！扒巴酱a”占有64bit，包含交替的0和1，接收方用它來同步。隨后的兩個域包含物理地址。以太網(wǎng)使用48bit的靜態(tài)編址方案，每個設(shè)備都由生產(chǎn)商分配一個唯一的地址。3.1網(wǎng)絡(luò)協(xié)議分析工具其中，“目標(biāo)地址”域包含了幀到達的目標(biāo)站點的物理地址，“源地址”域包含發(fā)送幀的站點的物理地址。幀頭包含的“幀類型”域占有16bit，標(biāo)明了以太網(wǎng)幀的類型。CRC校驗和字段長為4字節(jié)，采用CRC-32多項式生成。網(wǎng)卡驅(qū)動程序接收到數(shù)據(jù)后，將去除其中的前同步碼字段及校驗和字段，發(fā)送數(shù)據(jù)時還負責(zé)計算校驗和。圖3-1以太網(wǎng)的幀格式

2.?IP數(shù)據(jù)報的格式

IP數(shù)據(jù)報包含首部和數(shù)據(jù)兩部分，對首部的分析是分析IP數(shù)據(jù)報的主要內(nèi)容之一。圖3-2給出了一個完整的IP數(shù)據(jù)報包含的各字段。首部的前一部分是固定長度，共20字節(jié)，是所有IP數(shù)據(jù)報必須具有的。首部中除了固定部分外，還包含一些可選字段，其長度是可變的。圖3-2IP數(shù)據(jù)報的格式

3.?TCP報文段的格式

與IP數(shù)據(jù)報相似，一個TCP報文段也分為首部和數(shù)據(jù)兩部分，如圖3-3所示。TCP的全部功能都體現(xiàn)在首部包含的各字段上。TCP報文段首部的前20個字節(jié)是固定的，后面有4N字節(jié)是根據(jù)需要而增加的選項。圖3-3TCP報文段的格式3.1.2Sniffer的工作原理

Sniffer(嗅探器)是一種常用的收集有用數(shù)據(jù)的網(wǎng)絡(luò)分析工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動情況以及網(wǎng)絡(luò)上傳輸?shù)男畔ⅰＯ到y(tǒng)管理員可以使用Sniffer診斷出通過常規(guī)工具難以解決的網(wǎng)絡(luò)疑難問題。例如，如果網(wǎng)絡(luò)的某一段運行異常，數(shù)據(jù)包的發(fā)送比較慢，此時可以用Sniffer對問題做出精確的判斷。通過Sniffer捕獲的數(shù)據(jù)，可以為系統(tǒng)管理員在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護過程中提供詳細的信息。網(wǎng)絡(luò)中的每個接口都有一個硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址。同時，每個網(wǎng)段有一個廣播地址，該廣播地址可以代表同一個網(wǎng)段中所有的網(wǎng)絡(luò)接口。在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)下面兩種數(shù)據(jù)幀：

(1)幀的目標(biāo)地址具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址；

(2)幀的目標(biāo)地址為“廣播地址”。

在接收到這兩種情況的數(shù)據(jù)包時，網(wǎng)卡通過CPU產(chǎn)生一個硬件中斷，引起操作系統(tǒng)的注意，然后將幀中包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理。通過Sniffer工具，可以將本地網(wǎng)絡(luò)接口設(shè)置為“混雜”(promiscuous)模式(絕大多數(shù)的網(wǎng)卡都可以設(shè)置成“混雜”模式)。在這種模式下，網(wǎng)絡(luò)接口對遇到的每一個幀都產(chǎn)生一個硬件中斷，提醒操作系統(tǒng)處理到達該網(wǎng)絡(luò)接口的每一個數(shù)據(jù)包。

在用HUB連接的共享式局域網(wǎng)中，同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力。而在用交換機連接的交換式局域網(wǎng)環(huán)境中，轉(zhuǎn)發(fā)數(shù)據(jù)時并不是像共享網(wǎng)絡(luò)那樣將數(shù)據(jù)發(fā)往所有的網(wǎng)絡(luò)接口。當(dāng)然，廣播數(shù)據(jù)還是會發(fā)往所有網(wǎng)絡(luò)接口的。當(dāng)Sniffer工作在交換式網(wǎng)絡(luò)時，由于交換機只根據(jù)目標(biāo)地址轉(zhuǎn)發(fā)數(shù)據(jù)幀，因此Sniffer只能捕獲目標(biāo)地址是本機地址或廣播地址的數(shù)據(jù)幀。

Sniffer可以分為軟件和硬件兩種。軟件Sniffer有SnifferPro、NetXray、Packetboy、Netmonitor等，硬件Sniffer通常稱為網(wǎng)絡(luò)分析儀。SnifferPro軟件是NAI公司推出的功能強大的協(xié)議分析軟件，支持的協(xié)議很豐富。默認情況下，SnifferPro將其在網(wǎng)絡(luò)上檢測到的所有幀的統(tǒng)計信息收集到一個捕獲緩沖區(qū)中，此緩沖區(qū)是內(nèi)存中預(yù)留的一個存儲區(qū)。若要只捕獲幀的一個特定的子集，可以通過設(shè)計一個捕獲過濾器來挑選出這些幀。完成信息捕獲后，可以設(shè)計一個顯示過濾器，來指定將哪些已捕獲的數(shù)據(jù)幀顯示在查看窗口中。3.1.3實驗——SnifferPro軟件的使用

【實驗?zāi)康摹?/p>

(1)理解Sniffer的工作原理；

(2)能夠使用SnifferPro軟件對網(wǎng)絡(luò)協(xié)議進行簡單的分析。

【實驗環(huán)境】

PC機至少2臺，組建成局域網(wǎng)并連接至Internet，如圖3-4所示，并在計算機A上安裝SnifferPro軟件。圖3-4網(wǎng)絡(luò)連接圖【實驗過程】

本節(jié)主要介紹SnifferPro軟件的報文捕獲及解碼分析功能。

1.選擇網(wǎng)絡(luò)接口

(1)在計算機A上，依次單擊“開始”→“程序”→“SnifferPro”→“Sniffer”菜單，打開SnifferPro軟件主窗口，如圖3-5所示。

(2)在主窗口中，依次點擊“文件”→“選定設(shè)置”，彈出“當(dāng)前設(shè)置”窗口，如圖3-6所示。如果本地主機具有多個網(wǎng)絡(luò)接口，且需要監(jiān)聽的網(wǎng)絡(luò)接口不在列表中，可以單擊“新建”按鈕添加。圖3-5SnifferPro主窗口圖3-6“當(dāng)前設(shè)置”窗口

(3)選擇正確的網(wǎng)絡(luò)接口后，單擊“確定”按鈕。

2.報文捕獲與分析

(1)在SnifferPro主窗口(如圖3-5所示)中，依次單擊“捕獲”→“開始”菜單或直接單擊工具欄中的“開始”按鈕，開始捕獲經(jīng)過選定的網(wǎng)絡(luò)接口的所有數(shù)據(jù)包。

(2)打開IE瀏覽器，登錄Web服務(wù)器(如)，同時在主窗口觀察數(shù)據(jù)捕獲情況。

(3)依次單擊主窗口中的“捕獲”→“停止并顯示”菜單或直接單擊工具欄中的“停止并顯示”按鈕，在彈出的窗口中選擇“解碼”選項卡，如圖3-7所示。圖3-7“解碼”選項卡

(4)在上側(cè)的窗格中選中向Web服務(wù)器請求網(wǎng)頁內(nèi)容的HTTP報文，在中間的窗格中選中一項，在下方的窗格中將有相應(yīng)的十六進制和ASCII碼的數(shù)據(jù)與之相對應(yīng)。

(5)從圖3-7中間窗格的TCP報文段描述中可以看出，數(shù)據(jù)偏移為20字節(jié)，即TCP報文段的首部長度為20字節(jié)。對照圖3-3所示的TCP報文段的格式，可以清楚地分析捕獲的報文段的十六進制代碼，如圖3-8所示。

“源端口”字段的值0420，即為客戶端(IP地址為29)進程使用的端口號；

“目的端口”字段的值0050(十進制表示為80)，表示W(wǎng)eb服務(wù)器(IP地址為)使用了HTTP的默認端口；

“數(shù)據(jù)偏移”字段的值5，指出了TCP報文段首部的長度為20字節(jié)。圖3-8TCP報文段首部與十六進制代碼對照

3.定義過濾器

有時我們并不需要經(jīng)過網(wǎng)絡(luò)接口的所有數(shù)據(jù)，此時可以通過定義過濾器來捕獲指定的數(shù)據(jù)包。

(1)在SnifferPro主窗口中，依次單擊菜單“捕獲”→“定義過濾器”，彈出“定義過濾器-捕獲”窗口，選擇“地址”選項卡，如圖3-9所示。

在“地址類型”下拉列表中，選擇“IP”項；

在“模式”欄內(nèi)選擇“包含”項；

在下方列表中分別填寫計算機A、B的IP地址。圖3-9“地址”選項卡

(2)選擇“高級”選項卡，展開節(jié)點“IP”，單擊選中協(xié)議“ICMP”，如圖3-10所示。

(3)選擇“摘要”選項卡，可以查看定義的過濾器，如圖3-11所示，單擊“確定”按鈕。

此時，SnifferPro只捕獲計算機A、B之間通信的ICMP報文。

4.報文解碼詳細分析

(1)利用網(wǎng)絡(luò)測試命令“ipconfig/all”分別查看兩臺計算機的MAC地址和IP地址，結(jié)果如表3-1所示。圖3-10“高級”選項卡圖3-11“摘要”選項卡表3-1計算機A、B的地址

(2)在計算機A中啟用SnifferPro軟件捕獲數(shù)據(jù)，同時在計算機A中執(zhí)行命令“ping30”，捕獲結(jié)果如圖3-12所示。

(3)圖3-12所示中間窗格中，對于幀的描述如圖3-13所示。圖3-12捕獲ICMP報文圖3-13幀的描述對照圖3-1所示的幀結(jié)構(gòu)可以分析：

幀長為74字節(jié)(不含前同步碼字段和CRC校驗和字段)；

目的MAC地址為000AE6A4C599，即計算機B的MAC地址；

源MAC地址為000AE6A4CB32，即計算機A的MAC地址；

幀類型字段為0800，即幀中數(shù)據(jù)為一個IP數(shù)據(jù)報。

這些信息也可以從圖3-12下方窗格的十六進制代碼中讀出。

(4)圖3-12所示中間窗格中，對于IP數(shù)據(jù)報的描述如圖3-14所示。

對照圖3-2所示的IP數(shù)據(jù)報的格式，可以清楚地分析圖3-12下方窗格中IP數(shù)據(jù)報的十六進制代碼，其對應(yīng)關(guān)系如圖3-15所示。圖3-14IP數(shù)據(jù)報的描述圖3-15IP數(shù)據(jù)報與十六進制代碼對照

“版本”字段的值4，表示使用的IP協(xié)議的版本號為4，即IPv4；

“首部長度”字段的值5，表示IP數(shù)據(jù)報的首部長度為20字節(jié)；

“協(xié)議”字段的值01，表示該IP數(shù)據(jù)報的數(shù)據(jù)部分為一個ICMP報文；

“源地址”字段的值DE181581，即計算機A的IP地址；

“目的地址”字段的值DE181582，即計算機B的IP地址。

(5)從圖3-12中還可以分析ICMP報文的信息，例如ICMP報文中數(shù)據(jù)字段的長度為32字節(jié)，對應(yīng)內(nèi)容為：abcdefghijklmnopqrstuvwabcdefghi。3.2.1PGP工作原理

PGP(PrettyGoodPrivacy)的創(chuàng)始人是美國的PhilipZimmermann，他把公開密鑰密碼體制的方便和常規(guī)密鑰密碼體制的高速度結(jié)合起來，并且在數(shù)字簽名和密鑰認證管理機制上有巧妙的設(shè)計。PGP沒有采用什么新的概念，只是將現(xiàn)有的一些算法(如RSA、IDEA、MD5等)綜合在一起。3.2PGP

RSA算法的計算量極大，在速度上不適合加密大量數(shù)據(jù)。PGP用來加密明文的算法不是RSA本身，而是采用了一種叫IDEA的傳統(tǒng)加密算法。IDEA的加/解密速度比RSA快得多。PGP以一個隨機會話密匙(每次產(chǎn)生的會話密鑰不同)用IDEA算法對明文進行加密，然后用RSA算法對該會話密鑰加密。傳統(tǒng)加密算法的主要缺點是密鑰的傳遞渠道解決不了安全性問題，不適合網(wǎng)絡(luò)環(huán)境加密的需要。PGP采用兩種密碼體制結(jié)合的方法，既利用了RSA算法密鑰傳遞的安全性，又保證了IDEA算法加密的快捷性。

PGP軟件是一款非常優(yōu)秀的加密軟件。它能實現(xiàn)對文件、電子郵件、磁盤以及ICQ通信內(nèi)容的加密、解密、數(shù)字簽名等功能，適合企業(yè)、政府機構(gòu)或家庭(個人)等多種用戶的安全通信應(yīng)用。

安全電子郵件的發(fā)送必須經(jīng)過郵件簽名和郵件加密兩個過程，而對于接收到的安全電子郵件，則要經(jīng)過郵件解密和郵件驗證兩個過程，其工作模式如圖3-16所示。其中，郵件加密提供郵件的保密性，郵件簽名提供郵件的完整性和不可抵賴性。圖3-16安全電子郵件的工作模式

PGP把公鑰和私鑰存放在密鑰環(huán)(keyring)文件中，并提供有效的算法查找用戶需要的密鑰。PGP在多處需要用到口令，它主要起到保護私鑰的作用。由于私鑰太長且無規(guī)律，因此難以記憶，PGP把它用口令加密后存入密鑰環(huán)，這樣用戶可以用易記的口令間接使用私鑰。

PGP對電子郵件的簽名過程如圖3-17所示。PGP用發(fā)送方(用戶A)的用戶標(biāo)識(IDA)作為索引，從私鑰環(huán)中得到用戶A的私鑰。PGP提示輸入口令來恢復(fù)用戶A的私鑰，構(gòu)造簽名部分。圖3-17郵件簽名

PGP對已簽名的郵件進行加密的過程如圖3-18所示。PGP產(chǎn)生一個會話密鑰K，用于加密已簽名的郵件。PGP使用接收方(用戶B)的用戶標(biāo)識符(IDB)從公鑰環(huán)中獲取其公鑰，并對會話密鑰進行加密。

接收方收到郵件后，首先進行郵件解密，其過程如圖3-19所示。用戶可能具有多對密鑰，因此PGP用會話密鑰部分的密鑰ID字段作為索引，從私鑰環(huán)中查找接收方的私鑰。PGP提示用戶輸入口令來恢復(fù)私鑰，然后恢復(fù)會話密鑰，并解密郵件。圖3-18郵件加密圖3-19郵件解密

PGP對郵件的驗證過程如圖3-20所示。PGP使用簽名部分的密鑰ID字段作為索引，從公鑰環(huán)中查找發(fā)送方的公鑰，恢復(fù)所傳輸?shù)泥]件摘要。對接收的普通郵件計算郵件摘要，并與所傳輸?shù)泥]件摘要進行比較，從而實現(xiàn)驗證。圖3-20郵件驗證3.2.2實驗——PGP軟件的使用

【實驗?zāi)康摹?/p>

(1)通過認識PGP加密過程，加深對加密理論的理解；

(2)學(xué)會使用PGP軟件對文件和電子郵件加密。

【實驗環(huán)境】

PC機至少2臺，組建成局域網(wǎng)并連接至Internet，如圖3-21所示，并在計算機A、B上安裝PGP軟件。圖3-21網(wǎng)絡(luò)連接圖【實驗過程】

1.安裝PGP軟件

(1)在計算機A上雙擊安裝文件，彈出準(zhǔn)備安裝窗口，如圖3-22所示。

(2)稍候彈出“Welcome”窗口，如圖3-23所示，單擊“Next”按鈕。圖3-22準(zhǔn)備安裝圖3-23“Welcome”窗口

(3)彈出“LicenseAgreement”窗口，閱讀許可協(xié)議后，單擊“Yes”按鈕。

(4)彈出“ReadMe”窗口，閱讀軟件介紹后，單擊“Next”按鈕。

(5)彈出“UserType”窗口，選擇“No,I’maNewUser”項，如圖3-24所示，單擊“Next”按鈕。

(6)彈出“InstallDirectory”窗口，選擇合適的安裝路徑，單擊“Next”按鈕。

(7)彈出“SelectComponents”窗口，選擇需要安裝的組件，如圖3-25所示，單擊“Next”按鈕。其中，第一個選項是關(guān)于磁盤加密的功能，第三、四個選項是關(guān)于Outlook、OutlookExpress的郵件加密功能。圖3-24選擇用戶類型圖3-25選擇安裝組件

(8)彈出“StartCopyingFiles”窗口，單擊“Next”按鈕，開始復(fù)制文件等安裝過程，結(jié)束后彈出“PGP8.1installcomplete”窗口，如圖3-26所示。

(9)單擊“Finish”按鈕，重新啟動計算機，正確輸入注冊碼進行許可認證后即可。

按照以上同樣的步驟，在計算機B上安裝PGP加密軟件。圖3-26“PGP8.1installcomplete”窗口

2.創(chuàng)建密鑰對

使用PGP之前，需要創(chuàng)建一對密鑰——公鑰和私鑰。其中公鑰對外公開，用來加密文件或電子郵件；私鑰由用戶自己保存，用來解密對應(yīng)公鑰加密的文件或電子郵件，私鑰還可以用于數(shù)字簽名。

(1)在計算機A上，依次單擊“開始”→“程序”→“PGP”→“PGPkeys”菜單，打開“PGPkeys”窗口，如圖3-27所示。圖3-27“PGPkeys”窗口

(2)在“PGPkeys”窗口中，依次單擊“Keys”→“NewKey…”菜單，啟動密鑰對生成向?qū)?，如圖3-28所示，單擊“下一步”按鈕。

(3)彈出“NameandEmailAssignment”窗口，填寫合適的全名和郵件地址，如圖3-29所示，單擊“下一步”按鈕。這里的全名和郵件地址都不一定真實，但是應(yīng)該方便通信對方能夠在多個公鑰中快速、正確地找出公鑰。圖3-28啟動密鑰對生成向?qū)?/p>

圖3-29填寫全名和郵件地址

(4)彈出“PassphraseAssignment”窗口，填寫并確認用于對密鑰對中私鑰加密的口令(如testaccount1)，如圖3-30所示，單擊“下一步”按鈕。如果選中“HideTyping”復(fù)選框，輸入口令時不回顯。這里輸入的口令不能少于8個字符，建議采用字母與數(shù)字混合的字符串。

(5)彈出“KeyGenerationProgress”窗口，指示密鑰對生成進度，各步執(zhí)行完畢后如圖3-31所示，單擊“下一步”按鈕。圖3-30填寫口令圖3-31密鑰對生成

(6)彈出“CompletingthePGPKeyGenerationWizard”窗口，提示密鑰對創(chuàng)建成功，單擊“完成”按鈕，結(jié)束密鑰對生成向?qū)А?/p>

此時，可以在“PGPkeys”窗口(如圖3-27所示)中查看生成的密鑰信息。

按照同樣的步驟，在計算機B上創(chuàng)建密鑰對。

3.密鑰的導(dǎo)出與導(dǎo)入

(1)在計算機A上，打開“PGPkeys”窗口(如圖3-27所示)，選擇需要導(dǎo)出的密鑰后，依次單擊“Keys”→“Export”菜單，如圖3-32所示。圖3-32導(dǎo)出密鑰

(2)彈出“ExportKeytoFile”窗口，選擇合適的路徑和文件名，如圖3-33所示，單擊“保存”按鈕即可將公鑰導(dǎo)出保存到本機硬盤上?？梢赃x擇的文件格式為“.asc”或“.txt”。

(3)把導(dǎo)出的公鑰文件“TestAccount1.asc”通過E-mail方式傳送或者直接復(fù)制到計算機B上。

(4)在計算機B上，依次單擊“PGPkeys”窗口(如圖3-32所示)中的“Keys”→“Import”菜單，按照提示可以將公鑰導(dǎo)入。

按照同樣的方法，將計算機B上的帳戶TestAccount2的公鑰導(dǎo)入到計算機A中，如圖3-34所示。圖3-33“ExportKeytoFile”窗口圖3-34導(dǎo)入帳戶TestAccount2的公鑰

4.文件的加密與解密

(1)在計算機A上，右鍵單擊需要加密的文件，在彈出的快捷菜單中，依次單擊“PGP”→“Encrypt”菜單，如圖3-35所示。

(2)在彈出的密鑰選擇窗口中，把文件接收者的公鑰加入到“Recipients”欄內(nèi)，如圖3-36所示，這里選擇的文件接收者為帳戶TestAccount2。圖3-35對文件加密圖3-36密鑰選擇窗口

(3)單擊“OK”按鈕，即可生成擴展名為“.pgp”的加密文件，如圖3-37所示。

(4)把加密文件“PGP加密.txt.pgp”通過E-mail方式傳送或者直接復(fù)制到計算機B上。

(5)在計算機B上，右鍵單擊已加密的文件，在彈出的快捷菜單中，依次單擊“PGP”→“Decrypt&Verify”菜單。

(6)彈出口令輸入窗口，如圖3-38所示，正確輸入對帳戶TestAccount2私鑰加密的口令(如testaccount2)，單擊“確定”按鈕即可對文件解密。圖3-37生成加密文件圖3-38輸入帳戶TestAccount2口令

5.電子郵件的加密與解密

除了用于文件加密與解密外，PGP軟件還可以用于電子郵件的加密與解密。PGP軟件安裝完后，能夠自動與Outlook或OutlookExpress關(guān)聯(lián)。下面說明如何把PGP與OutlookExpress結(jié)合，對電子郵件進行加密與解密。

(1)在計算機A、B上分別正確配置OutlookExpress，這里使用的帳戶分別為TestAccount1(Email_Test@)和TestAccount2(msg1982@)。

(2)在計算機A上，打開新郵件撰寫窗口，寫完郵件后分別單擊智能圖標(biāo)中的“EncryptMessage(PGP)”、“SignMessage(PGP)”兩項，如圖3-39所示，要求對發(fā)送的電子郵件加密與簽名。圖3-39電子郵件加密與簽名

(3)單擊“發(fā)送”按鈕，彈出密鑰選擇窗口，把郵件接收者的公鑰加入到“Recipients”欄內(nèi)，如圖3-36所示，單擊“OK”按鈕。這里選擇的郵件接收者為帳戶TestAccount2。

(4)彈出口令輸入窗口，如圖3-40所示，正確輸入對帳戶TestAccount1私鑰加密的口令(如testaccount1)，單擊“OK”按鈕，將郵件發(fā)送到帳戶TestAccount2。

需要說明的是，這里需要用帳戶TestAccount1的私鑰對郵件進行數(shù)字簽名。圖3-40輸入帳戶TestAccount1的口令

(5)在計算機B上，打開收到的郵件，經(jīng)過加密的郵件內(nèi)容如圖3-41所示，單擊智能圖標(biāo)中的“DecryptPGPmessage”按鈕。

(6)彈出口令輸入窗口，如圖3-42所示，正確輸入對帳戶TestAccount2私鑰加密的口令(如testaccount2)。

(7)單擊“OK”按鈕即可對郵件解密，解密后的郵件如圖3-43所示。圖3-41經(jīng)過加密的郵件內(nèi)容圖3-42輸入帳戶TestAccount2的口令圖3-43經(jīng)過解密的郵件3.3.1CA系統(tǒng)

PKI技術(shù)是當(dāng)今國內(nèi)外最常使用也是最為成熟的解決網(wǎng)絡(luò)安全的方案。CA系統(tǒng)采用PKI技術(shù)，能夠很好地解決電子商務(wù)、電子政務(wù)等應(yīng)用中的信息安全問題。

1．證書頒發(fā)機構(gòu)

證書頒發(fā)機構(gòu)(CertificateAuthority，CA)也稱為證書認證機構(gòu)、認證中心等。它是PKI的核心部分，負責(zé)證書的審核、頒發(fā)管理和維護任務(wù)。證書使用者必須信任CA，這樣才能認為該CA頒發(fā)的證書是有效的。3.3CA系統(tǒng)及其應(yīng)用

CA的功能主要包括審核證書請求并頒發(fā)證書、更新證書、廢除證書、維護CA證書分發(fā)點、維護CA自身證書等方面。

(1)審核證書請求并頒發(fā)證書。創(chuàng)建證書時，CA首先獲取用戶的請求信息，如果密鑰對由用戶端產(chǎn)生，則請求信息中應(yīng)該包含用戶公鑰。CA根據(jù)用戶的請求信息，對其身份進行審核，如果審核通過，將產(chǎn)生證書，并用CA自己的私鑰對證書進行簽名。

(2)更新證書。當(dāng)證書即將過期時，CA將接收并處理用戶更新證書的請求，對證書進行續(xù)訂。

(3)廢除證書。有時由于用戶身份信息變更、用戶私鑰泄露等各種原因，需要廢除CA頒發(fā)的一張證書，CA將會把該證書的序列號加入到證書廢除列表(CertificateRevocationList，CRL，也稱為證書吊銷列表)中。CA通過發(fā)布證書廢除列表，確保必要時可以廢除證書。

(4)維護CA證書分發(fā)點。無論是證書持有者還是驗證證書的用戶，都需要在本地保存CA自身證書，因此CA需要維護發(fā)布CA自身證書的發(fā)布點(AuthorityInformationAccess，AIA)。AIA與CRL分發(fā)點一樣是記錄在證書信息中的，而且一旦被寫入，就不可更改，但在續(xù)訂證書時可更改，所以CA管理員在頒發(fā)證書之前需要規(guī)劃AIA的位置。

(5)維護CA自身證書。CA自身的證書與其他證書一樣具有時效性，所以管理員需要定期續(xù)訂CA自身證書。

2．?dāng)?shù)字證書

數(shù)字證書與日常生活中的身份證非常相似，能夠用來標(biāo)識網(wǎng)絡(luò)上通信雙方的身份，提供一種在Internet上身份驗證的方式。

證書頒發(fā)機構(gòu)(CA)為每個網(wǎng)絡(luò)用戶發(fā)放一個數(shù)字證書，證書中含有該用戶的公開密鑰。數(shù)字證書可以證明證書中標(biāo)識的用戶擁有證書中列出的公開密鑰。CA對證書進行數(shù)字簽名，從而使得攻擊者不能偽造和篡改證書。證書在使用過程中，其他用戶需要下載并安裝CA根證書，使用CA根證書中的公鑰對CA頒發(fā)的證書進行驗證，如果對證書中CA的數(shù)字簽名驗證通過，則證明這個證書是CA簽發(fā)的。如果一個CA可以信任，則完全可以信任持有該CA頒發(fā)的證書的用戶。

數(shù)字證書的存儲格式有多種，按照X.509標(biāo)準(zhǔn)，數(shù)字證書主要由下列信息組成：

版本：0表示X.509v1標(biāo)準(zhǔn)，1表示X.509v2標(biāo)準(zhǔn)，2表示X.509v3標(biāo)準(zhǔn)。

序列號：證書的唯一標(biāo)識號，同一認證機構(gòu)頒發(fā)的證書不會有相同的序列號。

簽名算法：標(biāo)明認證機構(gòu)用來對證書內(nèi)容進行簽名的算法。認證機構(gòu)：用來標(biāo)識頒發(fā)證書的認證機構(gòu)信息，包括名字、國家、省市等信息。

證書有效期：包括證書開始生效的日期和證書有效的截止日期。

主題信息：包括證書持有者的姓名、國家、省市、E-mail等信息。

公鑰信息：用戶使用的公鑰算法和公鑰的值。

認證機構(gòu)的簽名：包括認證機構(gòu)對證書內(nèi)容簽名使用的算法和簽名值。

3．Windows2000Server中的CA系統(tǒng)

Windows2000Server系統(tǒng)集成了“證書服務(wù)”組件，支持兩種類型的CA，即獨立CA和企業(yè)CA。

(1)獨立CA。獨立CA不要求域環(huán)境，其數(shù)據(jù)信息獨立存放在本地數(shù)據(jù)庫，不與域集成。獨立CA可安裝在任何一臺裝有Windows2000Server系統(tǒng)的計算機上，即安裝獨立CA的計算機可以是獨立服務(wù)器、域控制器或成員服務(wù)器。

向獨立CA提交證書申請時，證書申請者必須在證書申請中明確提供所有關(guān)于自己的標(biāo)識信息以及證書申請所需的證書類型。默認情況下，發(fā)送到獨立CA的所有證書申請都被設(shè)置為掛起，一直等到獨立CA的管理員驗證申請者的身份并批準(zhǔn)申請為止。另外，獨立CA不使用證書模板。

管理員必須向域用戶的信任根存儲區(qū)明確分配獨立CA的證書，或者必須讓用戶自己執(zhí)行該任務(wù)。否則，用戶將無法信任獨立CA頒發(fā)的證書。

獨立CA的部署比較簡單，適用于那些小型的證書應(yīng)用場合，如建立SSL網(wǎng)站。如果給Windows2000Server域之外的用戶頒發(fā)證書，一般安裝獨立CA。

獨立CA可以分為獨立根CA和獨立從屬CA。獨立從屬CA需要從根CA或上層獨立從屬CA那里為自身申請取得證書后，才能夠發(fā)放證書。

(2)企業(yè)CA。企業(yè)CA需要ActiveDirectory目錄服務(wù)的支持，只能安裝在Windows2000Server的域系統(tǒng)中，即安裝企業(yè)CA的計算機可以是域控制器或成員服務(wù)器，而不能是獨立服務(wù)器。必須是域管理員或是對ActiveDirectory具有寫權(quán)限的管理員，才能安裝企業(yè)根CA。

向企業(yè)CA提交證書申請時，企業(yè)用戶的信息可以從ActiveDirectory中獲得(不需要用戶明確提供)，證書類型由證書模板來說明。企業(yè)CA使用基于證書模板的證書類型。安裝企業(yè)根CA時，域中的所有用戶和計算機都會被組策略配置為自動信任根CA。企業(yè)CA能夠與組策略結(jié)合使用，自動為域中的計算機頒發(fā)、續(xù)訂證書。

企業(yè)CA用于為一個組織內(nèi)部并且屬于同一個域的用戶和計算機頒發(fā)證書，非本域內(nèi)的用戶或計算機無法向該企業(yè)CA申請證書。

企業(yè)CA也可以分為企業(yè)根CA和企業(yè)從屬CA。企業(yè)根CA主要用于為企業(yè)從屬CA發(fā)放證書。3.3.2SSL協(xié)議

SSL(SecureSocketLayer，安全套接層)是Netscape公司開發(fā)的一個協(xié)議，它提供了一種協(xié)議獨立的加密方案，在應(yīng)用層和傳輸層之間提供了安全的通道。應(yīng)用層報文通過SSL協(xié)議把數(shù)據(jù)傳輸?shù)絺鬏攲樱藭r數(shù)據(jù)已被加密，TCP/IP協(xié)議只需要將這些數(shù)據(jù)可靠地傳送到目的地即可。SSL主要包括SSL記錄協(xié)議、SSL握手協(xié)議、SSL告警協(xié)議、SSL修改密文協(xié)議等，它們之間的關(guān)系如圖3-44所示。SSL握手協(xié)議(包括修改密文協(xié)議和告警協(xié)議)使得服務(wù)器和客戶機之間能夠相互認證對方的身份，協(xié)商加密、MAC算法以及用來保護SSL記錄中發(fā)送的數(shù)據(jù)的加密密鑰。SSL記錄協(xié)議位于SSL握手協(xié)議的下層，定義了數(shù)據(jù)傳輸?shù)母袷?。圖3-44SSL協(xié)議棧使用SSL來傳輸數(shù)據(jù)前，必須經(jīng)過一個握手過程來建立連接，其主要步驟如下：

(1)客戶端向服務(wù)器發(fā)送一個消息，其中包含SSL版本號、加密方式等信息，服務(wù)器只有知道這些信息才能與客戶端建立SSL連接。

(2)如果服務(wù)器支持SSL應(yīng)用，則向客戶端回應(yīng)一個消息，說明自己使用的SSL版本號、支持的加密方式等信息。同時，服務(wù)器還向客戶端發(fā)送自己的證書(證書中含有服務(wù)器的公鑰)。如果服務(wù)器需要對客戶端身份進行驗證，消息還應(yīng)該包含對客戶證書的申請。

(3)客戶端根據(jù)服務(wù)器發(fā)來的消息，對服務(wù)器的身份進行驗證，檢查連接的服務(wù)器與證書是否相符。

(4)如果服務(wù)器身份通過驗證，客戶端將產(chǎn)生一個pre-master密鑰，并用服務(wù)器的公鑰加密后發(fā)送給服務(wù)器。

(5)如果服務(wù)器需要對客戶端身份進行驗證，客戶端將發(fā)送一個包含客戶證書的消息，使得服務(wù)器能夠?qū)蛻舻纳矸葸M行驗證。

(6)如果對客戶端認證成功，服務(wù)器將用私鑰解密得到pre-master密鑰，然后通過一系列運算生成master密鑰?？蛻舳送ㄟ^相同的運算由pre-master密鑰來產(chǎn)生master密鑰。

(7)客戶端和服務(wù)器使用相同的master密鑰來產(chǎn)生會話過程中需要的多個會話密鑰，這些密鑰將用來對會話過程中傳送的數(shù)據(jù)進行加/解密和完整性驗證。

(8)客戶端向服務(wù)器發(fā)送一個消息，告知服務(wù)器以后的數(shù)據(jù)將使用會話密鑰進行加密，接著發(fā)送一條單獨的加密消息說明客戶端的握手過程已經(jīng)結(jié)束。

(9)服務(wù)器向客戶端發(fā)送一個消息，告知客戶端以后的數(shù)據(jù)將使用會話密鑰進行加密，接著發(fā)送一條單獨的加密消息說明服務(wù)器端的握手過程已經(jīng)結(jié)束。

(10)客戶端與服務(wù)器握手結(jié)束，完成SSL連接的建立，以后雙方傳輸?shù)臄?shù)據(jù)將通過會話密鑰來加密并進行完整性驗證。3.3.3實驗——基于CA的安全Web訪問

【實驗?zāi)康摹?/p>

(1)理解CA系統(tǒng)的原理及主要功能；

(2)理解SSL協(xié)議的工作過程；

(3)掌握CA系統(tǒng)的配置步驟及其應(yīng)用。

【實驗環(huán)境】

安裝Windows2000Server系統(tǒng)的PC機至少3臺，并連接成如圖3-45所示的網(wǎng)絡(luò)。圖3-45網(wǎng)絡(luò)連接拓撲圖【實驗過程】

1.安裝獨立根CA

(1)在計算機A上，依次單擊“開始”→“設(shè)置”→“控制面板”菜單，打開“控制面板”窗口。

(2)雙擊“添加/刪除程序”圖標(biāo)，打開“添加/刪除程序”窗口，單擊窗口左側(cè)的“添加/刪除Windows組件”按鈕，打開“Windows組件”窗口，如圖3-46所示。圖3-46“Windows組件”窗口

(3)在“組件”列表中，單擊選中“證書服務(wù)”項前的復(fù)選框，彈出如圖3-47所示窗口，提示安裝證書服務(wù)后，不能重命名計算機，并且計算機不能加入域或從域刪除。單擊“是”按鈕，回到“Windows組件”窗口。

(4)單擊“下一步”按鈕，彈出“證書頒發(fā)機構(gòu)類型”窗口，選擇“獨立根CA”項，如圖3-48所示。圖3-47提示安裝證書服務(wù)后不能進行的操作圖3-48“證書頒發(fā)機構(gòu)類型”窗口說明：由于此時計算機A上沒有安裝活動目錄(ActiveDirectory)，因此無法選擇安裝企業(yè)CA。

(5)單擊“下一步”按鈕，彈出“CA標(biāo)識信息”窗口，填寫標(biāo)識該CA的信息，如圖3-49所示。

(6)單擊“下一步”按鈕，彈出“數(shù)據(jù)儲存位置”窗口，指定儲存配置數(shù)據(jù)、數(shù)據(jù)庫和日志的位置，如圖3-50所示。

(7)單擊“下一步”按鈕，彈出如圖3-51所示窗口，提示Internet信息服務(wù)正在本機上運行，繼續(xù)之前必須停止這個服務(wù)。圖3-49“CA標(biāo)識信息”窗口圖3-50“數(shù)據(jù)儲存位置”窗口圖3-51提示繼續(xù)之前必須停止Internet信息服務(wù)

(8)單擊“確定”按鈕，彈出“正在配置組件”窗口，如圖3-52所示。安裝配置組件的過程中，需要復(fù)制操作系統(tǒng)安裝光盤上的系統(tǒng)文件，這些文件位于文件夾“I386”中。

(9)組件安裝配置完成后，彈出“完成‘Windows組件向?qū)А贝翱?，如圖3-53所示。單擊“完成”按鈕，結(jié)束獨立根CA的安裝。圖3-52“正在配置組件”窗口圖3-53“完成‘Windows組件向?qū)А贝翱?/p>

2.為IE瀏覽器申請證書

(1)在計算機B上，打開IE瀏覽器，在地址欄中輸入“17/certsrv”，這里CA服務(wù)器的IP地址為17，打開“歡迎”窗口，選擇“申請證書”項，如圖3-54所示。

(2)單擊“下一步”按鈕，打開“選擇申請類型”窗口，如圖3-55所示，選中“用戶證書申請”項，并在列表中選擇“Web瀏覽器證書”項。

(3)單擊“下一步”按鈕，打開“Web瀏覽器證書—標(biāo)識信息”窗口，填寫將在證書中出現(xiàn)的標(biāo)識信息，如圖3-56所示。圖3-54“歡迎”窗口圖3-55“選擇申請類型”窗口圖3-56“Web瀏覽器證書—標(biāo)識信息”窗口

(4)單擊“提交”按鈕，彈出如圖3-57所示窗口，提示只允許信任的網(wǎng)站為我們請求證書。

(5)單擊“是”按鈕，打開“證書掛起”窗口，等待CA服務(wù)器為IE瀏覽器頒發(fā)證書，如圖3-58所示。此時，IE瀏覽器采用默認的加密算法生成公、私密鑰對，私鑰保存在本地計算機中，公鑰及用戶身份信息按照標(biāo)準(zhǔn)的格式發(fā)送給CA服務(wù)器。圖3-57提示只允許信任的網(wǎng)站為我們請求證書圖3-58“證書掛起”窗口

(6)在計算機A上，依次單擊“開始”→“程序”→“管理工具”→“證書頒發(fā)機構(gòu)”菜單，打開“證書頒發(fā)機構(gòu)”窗口。

注意：如果找不到“證書頒發(fā)機構(gòu)”菜單，說明在計算機A上沒有正確安裝證書服務(wù)。

(7)展開節(jié)點“myCA”，打開“待定申請”文件夾，右鍵單擊需要頒發(fā)的證書申請，在彈出的快捷菜單中，依次單擊“所有任務(wù)”→“頒發(fā)”項，如圖3-59所示。此時，CA服務(wù)器成功地為IE瀏覽器頒發(fā)了證書，文件夾“待定申請”中的項已經(jīng)轉(zhuǎn)移到文件夾“頒發(fā)的證書”中。圖3-59為IE瀏覽器頒發(fā)證書

(8)在計算機B上，單擊圖3-58所示窗口右上角的“主頁”超鏈接，

回到“歡迎”窗口，選擇“檢查掛起的證書”項，如圖3-60所示。

(9)單擊“下一步”按鈕，打開“檢查掛起的證書申請”窗口，如圖3-61所示，選擇已經(jīng)提交的證書申請。

(10)單擊“下一步”按鈕，打開“證書已發(fā)布”窗口，如圖3-62所示。圖3-60為IE瀏覽器檢查掛起的證書圖3-61“檢查掛起的證書申請”窗口圖3-62“證書已發(fā)布”窗口

(11)單擊“安裝此證書”鏈接，彈出如圖3-63所示窗口，單擊“是”按鈕。

(12)彈出“根證書存儲”窗口，詢問是否將根證書添加到根存儲區(qū)中，如圖3-64所示。單擊“是”按鈕，將CA服務(wù)器自身的證書添加到了IE瀏覽器的“受信任的根證書頒發(fā)機構(gòu)”列表中。

(13)打開“證書已安裝”窗口，提示為IE瀏覽器申請的證書已經(jīng)成功安裝，如圖3-65所示。圖3-63安全風(fēng)險提示圖3-64“根證書存儲”窗口圖3-65“證書已安裝”窗口至此，IE瀏覽器需要的證書安裝完畢，可以按照如下步驟來查看：

(1)在計算機B的IE瀏覽器中，依次單擊“工具”→“Internet選項”菜單，彈出“Internet選項”窗口。

(2)選擇“內(nèi)容”選項卡，單擊“證書”按鈕，彈出“證書”窗口，選擇“個人”選項卡，如圖3-66所示。圖3-66“個人”選項卡

(3)雙擊列表中的IE瀏覽器證書，可以查看證書的詳細信息，如證書的目的、有效期、版本、簽名算法和公鑰等信息，如圖3-67所示。

(4)單擊“確定”按鈕，回到圖3-66所示窗口，選擇“受信任的根證書頒發(fā)機構(gòu)”選項卡，可以查看CA服務(wù)器自身的證書，如圖3-68所示。圖3-67IE瀏覽器證書圖3-68查看CA服務(wù)器自身的證書

3.為Web服務(wù)器申請證書

1)生成Web服務(wù)器證書請求

(1)在計算機C上，依次單擊“開始”→“程序”→“管理工具”→“Internet服務(wù)管理器”菜單，打開“Internet信息服務(wù)”窗口，展開節(jié)點“net18”。右鍵單擊節(jié)點“默認Web站點”，在彈出的快捷菜單中單擊“屬性”項，如圖3-69所示。圖3-69“Internet信息服務(wù)”窗口

(2)彈出“默認Web站點屬性”窗口，如圖3-70所示。正確設(shè)置默認Web站點的IP地址、主目錄、默認文檔等屬性，使之能被正常訪問。

(3)選擇“目錄安全性”選項卡，如圖3-71所示，單擊“服務(wù)器證書”按鈕。

(4)彈出“歡迎使用‘Web服務(wù)器證書向?qū)А贝翱冢鐖D3-72所示，單擊“下一步”按鈕。圖3-70“Web站點”選項卡

圖3-71“目錄安全性”選項卡圖3-72啟動Web服務(wù)器證書向?qū)?/p>

(5)彈出“服務(wù)器證書”窗口，如圖3-73所示，選擇“創(chuàng)建一個新證書”項，單擊“下一步”按鈕。

(6)彈出“稍候或立即請求”窗口，如圖3-74所示，選擇“現(xiàn)在準(zhǔn)備請求，但稍候發(fā)送”項，單擊“下一步”按鈕。

(7)彈出“命名和安全設(shè)置”窗口，如圖3-75所示，填寫合適的證書名稱并指定位長，單擊“下一步”按鈕。圖3-73“服務(wù)器證書”窗口圖3-74“稍候或立即請求”窗口圖3-75“命名和安全設(shè)置”窗口

(8)彈出“組織信息”窗口，如圖3-76所示，填寫合適的組織名稱及組織部門，單擊“下一步”按鈕。

(9)彈出“站點的公用名稱”窗口，如圖3-77所示，填寫公用名稱，單擊“下一步”按鈕。圖3-76“組織信息”窗口圖3-77“站點的公用名稱”窗口說明：這里的“公用名稱”應(yīng)該填寫該Web服務(wù)器的域名，否則使用該證書進行身份驗證時，將會提示“安全證書上的名稱無效，或者與站點名稱不匹配”的錯誤信息。

(10)彈出“地理信息”窗口，正確填寫各項信息，如圖3-78所示，單擊“下一步”按鈕。

(11)彈出“證書請求文件名”窗口，如圖3-79所示，為證書請求文件輸入一個文件名并選擇合適的保存路徑(該文件中存有請求證書時需要的各種信息)，單擊“下一步”按鈕。圖3-78“地理信息”窗口

圖3-79“證書請求文件名”窗口

(12)彈出“請求文件摘要”窗口，列出了證書請求文件中包含的摘要信息，如圖3-80所示，單擊“下一步”按鈕。

(13)彈出“完成Web服務(wù)器證書向?qū)А贝翱冢瑔螕簟巴瓿伞卑粹o，如圖3-81所示。生成的證書請求保存于文件“c:\certreq.txt”中，其內(nèi)容如圖3-82所示。圖3-80“請求文件摘要”窗口圖3-81“完成Web服務(wù)器證書向?qū)А贝翱趫D3-82證書請求文件

2)申請Web服務(wù)器證書

(1)在計算機C上，打開IE瀏覽器，在地址欄中輸入“17/certsrv”，打開“歡迎”窗口，選擇“申請證書”項，單擊“下一步”按鈕。

(2)打開“選擇申請類型”窗口，選擇“高級申請”項，如圖3-83所示，單擊“下一步”按鈕。圖3-83“選擇申請類型”窗口

(3)打開“高級證書申請”窗口，選擇base64編碼方式的文件提交或更新證書申請，如圖3-84所示，單擊“下一步”按鈕。

(4)打開“提交一個保存的申請”窗口，把請求文件certreq.txt的內(nèi)容粘貼到“保存的申請”下方的文本框中，如圖3-85所示，單擊“提交”按鈕。圖3-84“高級證書申請”窗口圖3-85“提交一個保存的申請”窗口

(5)打開“證書掛起”窗口，如圖3-86所示，等待CA服務(wù)器為Web服務(wù)器頒發(fā)證書。

(6)在CA服務(wù)器(計算機A)上，為Web服務(wù)器頒發(fā)證書，如圖3-87所示。

(7)在計算機C上，單擊圖3-86所示窗口右上角的“主頁”超鏈接，回到“歡迎”窗口，選擇“檢查掛起的證書”項，單擊“下一步”按鈕。

(8)彈出“檢查掛起的證書申請”窗口，如圖3-88所示，選擇提交的證書申請，單擊“下一步”按鈕。圖3-86等待CA服務(wù)器為Web服務(wù)器頒發(fā)證書圖3-87為Web服務(wù)器頒發(fā)證書圖3-88選擇提交的證書申請

(9)彈出“證書已發(fā)布”窗口，如圖3-89所示，單擊“下載CA證書”超鏈接，選擇合適的路徑及文件名，把Web服務(wù)器證書文件下載并保存到本地計算機中。例如，可以把該證書文件保存為“c:\certnewWeb.cer”。圖3-89下載Web服務(wù)器證書

3)安裝Web服務(wù)器證書

(1)在計算機C上，單擊“默認Web站點屬性”窗口的“服務(wù)器證書”按鈕(如圖3-71所示)，彈出“歡迎使用‘Web服務(wù)器證書向?qū)А贝翱冢瑔螕簟跋乱徊健卑粹o。

(2)彈出“掛起的證書請求”窗口，選擇“處理掛起的請求并安裝證書”項，如圖3-90所示，單擊“下一步”按鈕。

(3)彈出“處理掛起的請求”窗口，單擊“瀏覽”按鈕，選擇之前下載的Web服務(wù)器證書文件(c:\certnewWeb.cer)，如圖3-91所示，單擊“下一步”按鈕。圖3-90“掛起的證書請求”窗口

圖3-91“處理掛起的請求”窗口

(4)彈出“證書摘要”窗口，如圖3-92所示，檢查證書的摘要信息，單擊“下一步”按鈕。

(5)彈出“完成Web服務(wù)器證書向?qū)А贝翱冢鐖D3-93所示，單擊“完成”按鈕，結(jié)束Web服務(wù)器證書的安裝。

此時，“默認Web站點屬性”窗口中的“查看證書”、“編輯”按鈕均變?yōu)榧せ顮顟B(tài)，如圖3-94所示。圖3-92“證書摘要”窗口圖3-93完成Web服務(wù)器證書向?qū)D3-94“默認Web站點屬性”窗口

(6)單擊“查看證書”按鈕，彈出“證書”窗口，如圖3-95所示，可以查看Web服務(wù)器證書的詳細信息。這里，Web服務(wù)器證書提示錯誤信息，是因為還沒有在計算機C上安裝CA服務(wù)器自身的證書。

4)為Web服務(wù)器安裝CA服務(wù)器證書

只有在Web服務(wù)器(計算機C)上正確安裝CA服務(wù)器自身的證書，才能使得Web服務(wù)器證書生效。圖3-95查看Web服務(wù)器證書

(1)在計算機C上，單擊如圖3-89所示窗口右上角的“主頁”超鏈接，打開“歡迎”窗口，選擇“檢索CA證書或證書吊銷列表”項，單擊“下一步”按鈕，

(2)打開“檢索CA證書或證書吊銷列表”窗口，如圖3-96所示，單擊“下載CA證書”超鏈接，選擇合適的路徑及文件名，把CA服務(wù)器證書文件下載并保存到本地計算機中。例如，可以把該證書文件保存為“c:\certnewCA.cer”。圖3-96“檢索CA證書或證書吊銷列表”窗口

(3)雙擊文件“certnewCA.cer”，打開“證書”窗口，如圖3-97所示，可以查看CA服務(wù)器證書的詳細信息。

(4)單擊“安裝證書”按鈕，彈出“歡迎使用證書導(dǎo)入向?qū)А贝翱?，如圖3-98所示，單擊“下一步”按鈕。圖3-97查看CA服務(wù)器證書圖3-98“歡迎使用證書導(dǎo)入向?qū)А贝翱?/p>

(5)彈出“證書存儲”窗口，選擇“將所有的證書放入下列存儲區(qū)”項，單擊“瀏覽”按鈕。

(6)彈出“選擇證書存儲”窗口，如圖3-99所示，單擊選中“顯示物理存儲區(qū)”復(fù)選框，展開節(jié)點“受信任的根證書頒發(fā)機構(gòu)”，選擇“本地計算機”子節(jié)點。

(7)單擊“確定”按鈕，回到“證書存儲”窗口，如圖3-100所示，單擊“下一步”按鈕。

(8)彈出“正在完成證書導(dǎo)入向?qū)А贝翱冢鐖D3-101所示，單擊“完成”按鈕。

(9)證書導(dǎo)入成功后，彈出“導(dǎo)入成功”窗口，如圖3-102所示。圖3-99“選擇證書存儲”窗口

圖3-100“證書存儲”窗口圖3-101“正在完成證書導(dǎo)入向?qū)А贝翱?/p>

圖3-102“導(dǎo)入成功”窗口

4.在Web服務(wù)器上配置SSL

分別為IE瀏覽器、Web服務(wù)器安裝必要的證書后，就可以配置SSL，實現(xiàn)兩者之間的安全通信。

(1)在計算機C上，打開“默認Web站點屬性”窗口(如圖3-94所示)，單擊“編輯”按鈕，彈出“安全通信”窗口，保留默認設(shè)置，如圖3-103所示。

“安全通信”窗口中各選項的含義介紹如下：

申請安全通道(SSL)：此項選中后，表示W(wǎng)eb服務(wù)器要求客戶端必須使用安全通道方式訪問，即使用“https”協(xié)議訪問。

忽略客戶證書：Web服務(wù)器不對客戶端身份進行驗證，即不需要IE瀏覽器提供證書。

接收客戶證書：Web服務(wù)器可以對客戶端身份進行驗證。如果客戶端不能夠提供證書，仍然允許訪問Web服務(wù)器。

申請客戶證書：Web服務(wù)器必須對客戶端身份進行驗證。如果客戶端不能夠提供證書，將不能夠訪問Web服務(wù)器。圖3-103“安全通信”窗口

(2)打開計算機B的IE瀏覽器，在地址欄中輸入“18”(這里Web服務(wù)器的IP地址為18)，同時在計算機C上啟動協(xié)議分析軟件Sniffer。此時，能夠正常訪問Web服務(wù)器，如圖3-104所示。

(3)?Sniffer捕獲的數(shù)據(jù)包如圖3-105所示，可以看出在計算機B、C之間以明文形式傳輸HTTP報文。圖3-104正常訪問Web服務(wù)器圖3-105明文傳輸HTTP報文說明：協(xié)議分析軟件Sniffer的使用方法請參考3.1.3節(jié)。

(4)在如圖3-103所示的“安全通信”窗口中，單擊選中“申請安全通道(SSL)”復(fù)選框，選擇“申請客戶證書”項。單擊“確定”按鈕回到“默認Web站點屬性”窗口，單擊“應(yīng)用”按鈕。

再次在計算機B上用“18”訪問Web服務(wù)器，如圖3-106所示，此時訪問失敗，提示W(wǎng)eb服務(wù)器要求用“https”方式訪問。圖3-106訪問Web服務(wù)器失敗

(5)在計算機B的IE地址欄中輸入“18”，訪問Web服務(wù)器。此時將彈出“安全警報”窗口，提示即將通過安全連接查看網(wǎng)頁，如圖3-107所示，單擊“確定”按鈕。

(6)彈出“安全警報”窗口，提示證書名稱有問題，如圖3-108所示，單擊“是”按鈕。圖3-107提示即將通過安全連接查看網(wǎng)頁圖3-108提示證書名稱問題需要說明的是，申請Web服務(wù)器證書過程中，如果填寫的“公用名稱”與Web服務(wù)器的域名不一致，將會導(dǎo)致這里出現(xiàn)的Web服務(wù)器證書問題。

(7)彈出“客戶身份驗證”窗口，如圖3-109所示，選擇正確的IE瀏覽器證書，單擊“確定”按鈕。

此時，通過“https”方式正確訪問了Web服務(wù)器，如圖3-110所示。圖3-109客戶身份驗證圖3-110通過“https”方式訪問Web服務(wù)器通過“https”方式訪問Web服務(wù)器的過程中，如果在計算機C上啟動了Sniffer，捕獲的數(shù)據(jù)包如圖3-111所示，從中可以看出https協(xié)議使用的端口號為443。另外，通過Sniffer監(jiān)視器已經(jīng)無法讀出有效的HTTP報文信息，這正說明了使用SSL連接的安全性。圖3-111SSL連接的安全性3.4.1IPSec簡介

IPSec協(xié)議是IETF(InternetEngineeringTaskForce，因特網(wǎng)工程部)開發(fā)的一套互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，為IP數(shù)據(jù)報提供完整性、機密性、數(shù)據(jù)源身份認證等安全服務(wù)。IPSec協(xié)議主要包括密鑰協(xié)商協(xié)議和安全協(xié)議兩個部分。3.4IP安全

1．Internet密鑰交換

IPSec采用Internet密鑰交換協(xié)議IKE(InternetKeyExchange)實現(xiàn)安全協(xié)議的自動安全參數(shù)協(xié)商。IKE協(xié)商的安全參數(shù)包括加密及認證算法、加密及認證密鑰、通信的保護模式(傳輸或隧道模式)、密鑰的生存期等。IKE還負責(zé)這些安全參數(shù)的更新。

IKE主要是兩種協(xié)議的組合，即Internet安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP以及OAKLEY密鑰決定協(xié)議。ISAKMP定義了認證對方身份的方法、密鑰的產(chǎn)生以及對安全服務(wù)進行協(xié)商的方法。OAKLEY密鑰決定協(xié)議用來建立一個共享的密碼，該密碼可以作為數(shù)據(jù)交換時的密鑰。

2．安全協(xié)議

IPSec使用兩個安全協(xié)議提供數(shù)據(jù)包的安全保護，即鑒別首部(AuthenticationHeader，AH)和封裝安全有效載荷(EncapsulationSecurityPayload，ESP)。

(1)?AH為IP數(shù)據(jù)報提供完整性檢驗和身份認證。然而，AH并不提供任何機密性服務(wù)，它不加密受保護的數(shù)據(jù)包。AH通過對IP數(shù)據(jù)報進行完整性檢驗，以確保其完整性。

AH具有兩種工作模式，即傳輸模式和隧道模式，其數(shù)據(jù)包封裝格式分別如圖3-112和圖3-113所示。傳輸模式使用原有的IP首部，AH首部被插入到IP首部的后面；隧道模式中需要建立一個新IP首部，AH被插入到原IP首部和新IP首部之間，原始IP數(shù)據(jù)報保持完整不變而被封裝在新的IP數(shù)據(jù)報中。圖3-112傳輸模式AH

圖3-113隧道模式AH傳輸模式僅為上層協(xié)議(IP數(shù)據(jù)報的有效載荷)提供保護，而隧道模式能夠為整個IP數(shù)據(jù)報提供保護機制。

隧道模式下，外層IP首部中的IP地址可以與內(nèi)部IP首部中的IP地址不同，這就使得兩個網(wǎng)關(guān)可以通過AH隧道對它們所連接的網(wǎng)絡(luò)之間的全部通信進行安全保護。

傳輸模式AH適用于主機而不是網(wǎng)關(guān)，其優(yōu)點在于額外開銷較小，但是無法對原IP首部的可變字段進行保護。隧道模式能夠?qū)Ρ环庋b的IP數(shù)據(jù)報提供完全的保護，同時使得私有地址在Internet上的使用成為可能。不足的是，隧道模式帶來了額外的處理開銷。

(2)?ESP的功能是為IP數(shù)據(jù)報提供完整性檢驗、身份認證和加密，同時還可提供可選擇的重放攻擊保護。重放攻擊保護功能只能由接收方來選擇。

與AH一樣，ESP也具有兩種工作模式：傳輸模式和隧道模式，其數(shù)據(jù)包格式分別如圖3-114和圖3-115所示。圖3-114傳輸模式ESP圖3-115隧道模式ESP傳輸模式把ESP首部插入到IP首部之后，并在原始IP數(shù)據(jù)報的尾部增加一個ESP尾部，ESP認證數(shù)據(jù)緊跟ESP尾部。隧道模式把整個原始IP數(shù)據(jù)報封裝在新的IP數(shù)據(jù)報中，在原始IP數(shù)據(jù)報開始部分添加一個新IP首部和ESP首部，在結(jié)尾部分附加ESP尾部和ESP認證數(shù)據(jù)。

傳輸模式ESP并不對IP首部提供身份認證和加密，但是隧道模式ESP能夠?qū)υ械腎P首部提供身份認證和加密功能。

如果隧道起點與終點分別位于兩個主機之間，新IP首部中的IP地址和原IP首部中的IP地址可能相同。但是，如果隧道位于兩個網(wǎng)關(guān)之間，新的IP首部中的IP地址將反映網(wǎng)關(guān)的地址。3.4.2實驗——傳輸模式IPSec策略配置

【實驗?zāi)康摹?/p>

(1)了解IPSec協(xié)商過程；

(2)理解傳輸模式IPSec數(shù)據(jù)包格式；

(3)學(xué)會配置并應(yīng)用傳輸模式IPSec安全策略。

【實驗環(huán)境】

安裝Windows2000Server系統(tǒng)的PC機至少3臺，交換機1臺，連接成如圖3-116所示網(wǎng)絡(luò)。圖3-116網(wǎng)絡(luò)連接拓撲圖【實驗過程】

1.配置基于預(yù)共享密鑰的IPSec策略

1)新建IP安全策略

(1)在計算機A上，依次單擊“開始”→“程序”→“管理工具”→“本地安全策略”菜單，打開“本地安全設(shè)置”窗口，如圖3-117所示。圖3-117“本地安全設(shè)置”窗口這里默認提供了三個安全策略，分別為：

安全服務(wù)器(要求安全設(shè)置)：應(yīng)用此策略的服務(wù)器拒絕與不安全的客戶端進行通信。該服務(wù)器總是要求進行IPSec安全協(xié)商，如果客戶端未配置IPSec或不支持IPSec，服務(wù)器將中斷通信。

客戶端(只響應(yīng))：應(yīng)用此策略的客戶端不主動要求對傳輸數(shù)據(jù)進行協(xié)商保護，但是如果訪問的目標(biāo)服務(wù)器要求安全通信，客戶端能夠響應(yīng)IPSec安全協(xié)商請求，并建立安全的通信通道。服務(wù)器(請求安全設(shè)置)：應(yīng)用此策略的服務(wù)器總是試圖進行IPSec安全協(xié)商，如果對方計算機未配置IPSec或不支持IPSec，該服務(wù)器可接受來自客戶端未經(jīng)加密的通信請求，采用明文方式與客戶端進行通信。

(2)右鍵單擊節(jié)點“IP安全策略，在本地機器”，在彈出的快捷菜單中單擊“創(chuàng)建IP安全策略”項。

(3)彈出“歡迎使用‘IP安全策略向?qū)А贝翱?，如圖3-118所示，單擊“下一步”按鈕。

(4)彈出“IP安全策略名稱”窗口，如圖3-119所示，填寫合適的“名稱”和“描述”，單擊“下一步”按鈕。圖3-118啟動IP安全策略向?qū)?/p>

圖3-119“IP安全策略名稱”窗口

(5)彈出“安全通訊請求”窗口，單擊清除“激活默認響應(yīng)規(guī)則”復(fù)選框，如圖3-120所示，單擊“下一步”按鈕。

說明：默認響應(yīng)規(guī)則在沒有其他規(guī)則適用時，將對請求安全的遠程計算機作出響應(yīng)。這里沒有必要激活該規(guī)則。

(6)彈出“完成‘IP安全策略向?qū)А贝翱?，單擊清除“編輯屬性”?fù)選框，如圖3-121所示，單擊“完成”按鈕。圖3-120“安全通訊請求”窗口圖3-121完成IP安全策略向?qū)?/p>

2)添加IP安全規(guī)則

(1)在“本地安全設(shè)置”窗口(如圖3-117所示)中，雙擊新建的IP安全策略，彈出其屬性窗口，選擇“規(guī)則”選項卡，如圖3-122所示，單擊“添加”按鈕。這里，默認選中了窗口右下角的“使用‘添加向?qū)А睆?fù)選框。

(2)彈出“歡迎使用‘創(chuàng)建IP安全規(guī)則向?qū)А贝翱?，單擊“下一步”按鈕，開始為創(chuàng)建的IP安全策略添加新的規(guī)則。

(3)彈出“隧道終結(jié)點”窗口，選擇“此規(guī)則不指定隧道”項，如圖3-123所示，單擊“下一步”按鈕。圖3-122“規(guī)則”選項卡圖3-123“隧道終結(jié)點”窗口

(4)彈出“網(wǎng)絡(luò)類型”窗口，選擇“所有網(wǎng)絡(luò)連接”項，如圖3-124所示，單擊“下一步”按鈕。

(5)彈出“身份驗證方法”窗口，如圖3-125所示，選擇“此字串用來保護密鑰交換(預(yù)共享密鑰)”項，并在文本框中輸入預(yù)共享密鑰的值，如“123456”，單擊“下一步”按鈕。圖3-124“網(wǎng)絡(luò)類型”窗口圖3-125“身份驗證方法”窗口

(6)彈出“IP篩選器列表”窗口，如圖3-126所示，單擊選中“所有ICMP通訊量”項，單擊“下一步”按鈕。

(7)彈出“篩選器操作”窗口，如圖3-127所示，單擊選中“要求安全設(shè)置”項，拒絕與沒有安全措施的對方計算機通信，單擊“下一步”按鈕。圖3-126“IP篩選器列表”窗口

圖3-127“篩選器操作”窗口

(8)彈出“完成‘新增規(guī)則向?qū)А贝翱?，單擊“完成”按鈕，結(jié)束IP安全規(guī)則的添加。

至此，在計算機A上完成了IP安全策略的創(chuàng)建及新規(guī)則的添加，在計算機B上重復(fù)以上步驟。

3)應(yīng)用IP安全策略

(1)?IP安全策略應(yīng)用之前，計算機A、B之間的數(shù)據(jù)包均以明文傳輸。在計算機A上啟動協(xié)議分析工具Sniffer，同時用ping命令測試計算機A、B之間的連通性，如圖3-128所示。圖3-128測試計算機A、B之間的連通性

(2)?Sniffer捕獲的數(shù)據(jù)包如圖3-129所示，可以看出計算機A、B之間以明文傳輸ICMP數(shù)據(jù)。

(3)在計算機A上，打開“本地安全設(shè)置”窗口(如圖3-117所示)，右鍵單擊創(chuàng)建的安全策略(MyIPSec(A))，在彈出的快捷菜單中，單擊“指派”項，如圖3-130所示。

在計算機B上，重復(fù)這一步驟，執(zhí)行類似的操作。圖3-129明文傳輸ICMP數(shù)據(jù)圖3-130指派IP安全策略

(4)在計算機A上，用ping命令測試A、B之間的連通性，如圖3-131所示，這說