20155219 20155224 20155235 信息安全技术概论 第三次实验报告

20155219 20155224 20155235 信息安全技术概论 第三次实验报告

实验目的

• 了解PKI体系
• 了解用户进行证书申请和CA颁发证书过程
• 掌握认证服务的安装及配置方法
• 掌握使用数字证书配置安全站点的方法

实验原理

一．PKI简介

• PKI是Public Key Infrastructure的缩写，通常译为公钥基础设施。称为“基础设施”是因为它具备基础设施的主要特征。PKI在网络信息空间的地位与其他基础设施在人们生活中的地位非常类似。电力系统通过延伸到用户端的标准插座为用户提供能源；PKI通过延伸到用户的接口为各种网络应用提供安全服务，包括身份认证、识别、数字签名、加密等。一方面PKI对网络应用提供广泛而开放的支撑；另一方面，PKI系统的设计、开发、生产及管理都可以独立进行，不需要考虑应用的特殊性。
• 目前，安全的电子商务就是采用建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名来保证信息传输的机密性、真实性、完整性和不可否认性（又称非否认性)，从而保证信息的安全传输和交易的顺利进行。PKI已成为电子商务应用系统、乃至电子政务系统等网络应用的安全基础和根本保障。
• PKI的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的完整性、机密性、不可否认性。数据的完整性是指数据在传输过程中不能被非法篡改；数据的机密性是指数据在传输过程中，不能被非授权者偷看；数据的不可否认性是指参加某次通信交换的一方事后不可否认本次交换曾经发生过。

二．证书申请

1．PKI组件
PKI主要包括认证中心CA、注册机构RA、证书服务器、证书库、时间服务器和PKI策略等。
(1).CA
    CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。
    CA用于创建和发布证书，它通常为一个称为安全域的有限群体发放证书。创建证书的时候，CA系统首先获取用户的请求信息，其中包括用户公钥（公钥一般由用户端产生，如电子邮件程序或浏览器等），CA将根据用户的请求信息产生证书，并用自己的私钥对证书进行签名。 其他用户、应用程序或实体将使用CA的公钥对证书进行验证。如果一个CA系统是可信的，则验证证书的用户可以确信，他所验证的证书中的公钥属于证书所代表的那个实体。
    CA还负责维护和发布证书废除列表CRL。当一个证书，特别是其中的公钥因为其他原因无效时，CRL提供了一种通知用户和其他应用程序的中心管理方式。CA系统生成CRL以后，可以放到LDAP（轻量级目录访问协议）服务器中供用户查询或下载，也可以放置在Web服务器的合适位置，以页面超级连接的方式供用户直接查询或下载。
    CA的核心功能就是发放和管理数字证书，具体描述如下：

接收验证最终用户数字证书的申请。
确定是否接受最终用户数字证书的申请。
向申请者颁发或拒绝颁发数字证书。
接收、处理最终用户的数字证书更新请求。
接收最终用户数字证书的查询、撤销。
产生和发布证书吊销列表（CRL）。
数字证书的归档。
密钥归档。
历史数据归档。
    根CA证书，是一种特殊的证书，它使用CA自己的私钥对自己的信息和公钥进行签名。

（2）.RA
    RA负责申请者的登记和初始鉴别，在PKI体系结构中起承上启下的作用，一方面向CA转发安全服务器传输过来的证书申请请求，另一方面向LDAP服务器和安全服务器转发CA颁发的数字证书和证书撤消列表。
（3）.证书服务器
    证书服务器负责根据注册过程中提供的信息生成证书的机器或服务。
（4）.证书库
    证书库是发布证书的地方，提供证书的分发机制。到证书库访问可以得到希望与之通信的实体的公钥和查询最新的CRL。它一般采用LDAP目录访问协议，其格式符合X.500标准。
（5）.时间服务器
    提供单调增加的精确的时间源，并且安全的传输时间戳，对时间戳签名以验证可信时间值的发布者。
（6）.PKI策略
    PKI安全策略建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。
   
一般情况下，在PKI中有两种类型的策略：一是证书策略，用于管理证书的使用，比如，可以确认某一CA是在Internet上的公有CA，还是某一企业内部的私有CA；另外一个就是CPS（Certificate Practice Statement证书操作管理规范）。一些商业证书发放机构（CCA）或者可信的第三方操作的PKI系统需要CPS。这是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档。它包括CA是如何建立和运作的，证书是如何发行、接收和废除的，密钥是如何产生、注册的，以及密钥是如何存储的，用户是如何得到它的等等。现在为防止CPS泄露太多的信息，准备使用一种新的文件类型，即PKI信息披露规范PDS。

实验内容

利用数字证书建立安全Web通信     

1．无认证（服务器和客户端均不需要身份认证）

通常在Web服务器端没有做任何加密设置的情况下，其与客户端的通信是以明文方式进行的。通过wireshark捕获WEB通信查看。

2．单向认证（仅服务器需要身份认证）

（1）安装IIS
（2）CA（主机A）安装证书服务
安装Windows组件中的“证书服务”。
在启动“证书颁发机构”服务后，主机A便拥有了CA的角色。

（3）服务器（主机B）证书申请
「注」 服务器向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。
提交服务器证书申请
通过Web服务向CA申请证书

CA为服务器颁发证书

（3）服务器（主机B）安装证书
服务器下载、安装由CA颁发的证书
  此时服务器证书已安装完毕，可以单击“目录安全性”页签中单击“查看证书”按钮，查看证书的内容，回答下面问题。

证书信息描述：无法将这个证书验证到一个受信任的证书颁发机构。
颁发者：user24。
打开IE浏览器点击“工具”｜“Internet选项”｜“内容”｜“证书”，在“受信任的根证书颁发机构”页签中查看CA的根证书，查看其是否存在      不存在。

服务器下载、安装CA根证书

再次查看服务器证书，回答下列问题：
证书信息描述：保护远程计算机的身份。
颁发者：user24。
再次通过IE浏览器查看“受信任的根证书颁发机构”，查看CA的根证书，查看其是否存在  存在 。

（4）Web通信
在服务器端设置“要求安全通道SSL”，并且“忽略客户端证书”（不需要客户端身份认证），单击“确定”按钮使设置生效。
客户端重启IE浏览器，在地址栏输入http://服务器IP/并确认，此时访问的Web页面出现如图所示信息。

客户端启动协议分析器，捕获数据。验证服务器与客户端的Web通信过程是以密文实现的。

3．双向认证（服务器和客户端均需身份认证）

（1）服务器要求客户端身份认证
（2）客户端访问服务器

（3）客户端（主机C）证书申请
「注」 客户端向CA进行证书申请时，要确保在当前时间CA已经成功拥有了自身的角色。

登录CA服务主页面
客户端在确认CA已经启动了“证书颁发机构”服务后，通过IE浏览器访问http://CA的IP/certsrv/，可以看到CA证书服务的主页面。
客户端提交证书申请
CA为客户端颁发证书
客户端下载、安装证书链

（4）客户端查看颁发证书
（5）客户端再次通过https访问服务器
客户端重新运行IE浏览器并在地址栏中输入“https://服务器IP/bbs”并确认，访问服务器的Web服务。此时出现“安全警报”对话框提示“即将通过安全连接查看网页”，单击“确定”，又出现“安全警报”对话框询问“是否继续？”，单击“是”。出现“选择数字证书”对话框，选择相应的数字证书，单击“确定”。出现“安全信息”提示“是否显示不安全的内容”，单击“否”。此时，客户端即可以访问服务器的Web服务。

实验感想

我们是三个人一组的，一个人是CA兼职客户端，一个人是服务器，而我则负责拍照记录和实验报告。因为我们组在捕捉的时候出现了一些小问题，在另一组同学的提醒下才完成，所以我们三个人对这个关节都影响深刻。因为是我们三个人一直目不转睛的看着两台电脑完成实验，所以我们都很了解这个实验了。

思考题

1．如果用户将根证书删除，用户证书是否还会被信任？
如果服务器将CA的根证书删除，那么服务器就不会被信任了。
2．对比两次协议分析器捕获的会话有什么差异？
因为我们只进行了一次分析器捕获，所以无从比较，但是我个人认为，第一次不需要客户端证书和第二次需要客户端证书的加密应该是不一样的。