网络与信息安全实验报告学院计算机学院专业计算机科学与技术班级学号姓名指导老师2013年1月计算机学院班_____组学号姓名协作者教师评定实验一Windows环境下对称和非对称加解密1、实验目的（1）.了解传统密码技术（2）.掌握对称密码体制和公钥密码体制（3）.掌握密钥管理（4）.了解网络保密通信2、实验题目Windows环境下对称和非对称加解密，3、实验原理与理论基础对称式加密就是加密和解密使用同一个密钥，通常称之为“Session Key ”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的Session Key长度为56Bits。

非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。

这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。

它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别窃听到。

而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。

4、实验内容(一)、对称加密(1)、office文件加密与解密a、创建DOC文件b、在office中加密c、下载office password recovery toolbox 1.0.0.6.zip安装运行注：如果是其他类型的解密则难度大大提高(2)、使用压缩工具winrar加密压缩时，winrar的高级选项卡中可以选择带密码压缩(3)、用openssl进行文件加密（二）、非对称加密使用加密软件PGP（菲利普。

齐莫尔曼，采用RSA算法，91年上传，93年谈判，94年合法，1996年撤销指控）中文网站：http：//注：该软件有可能不安全，扫毒后慎重使用（1）、加密或者签名在AB两台PC上安装PGP产生密钥对加密或者签名解密或者身份验证(2)、软件运行，导出密钥对后，其中的公钥可以发给朋友，对往来邮件或其他加密，私钥自己留下解密。

(3)、用PGPdisk划分保密磁盘空间注：可以在网上下载教程学习5、实验结果5、实验结果（1）、对称加密office文件加密与解密解密目录得到“加密文档_NESOY”文件使用压缩工具winrar加密1、点击文件“winrar加密”文件夹，鼠标右键，选择“添加压缩文件”。

2、选择“密码”：加密压缩分为带密码压缩和非带密码压缩。

非带密码压缩带密码压缩压缩结果用openssl进行文件加密OpenSSL支持很多加密算法，但是一些算法只是为了保持向后兼容性，现在已不推荐使用，比如DES和RC4-40。

推荐使用的加密算法是bf(Blowfish)和-aes-128-cbc(运行在CBC 模式的128位密匙AES加密算法)，加密强度有保障。

加密示例：$ openssl enc -aes-128-cbc filename.aes-128-cbcenter aes-128-cbc encryption password:V erifying - enter aes-128-cbc encryption password:解密示例：$ openssl enc -d -aes-128-cbc -in filename.aes-128-cbc > filenameenter aes-128-cbc decryption password:可能用到的软件、仪器设备。

office password recovery toolbox 1.0.0.6.zipopenssl解密的选项与加密差不多，-d表示解密，其它选项的作用与加密时一样（2）、非对称加密算法2 .步骤2.1加密或者签名在AB两台PC上安装PGP，产生密钥对，加密或者签名，解密或者身份验证2.2软件运行，导出密钥对后，其中的公钥可以发给朋友，对往来邮件或其他加密，私钥自己留下解密。

2.3用PGPdisk划分保密磁盘空间4 .实验的流程图完成安装后，我们只有自己的密钥对，可以用于加密、解密本地的文件。

最简单的方法是：直接右键需加密文件，选PGP Desktop→Add”所选文件名或文件夹名”to New PGP Zip…接着弹出对话框，两次“下一步”后，点击“Add…”双击左边的想要用于加密的密钥，单击“OK”，单击“下一步”。

选择密钥，输入之前需要牢记的私钥密码，选择存放地址，下一步。

加密完成，计算机里面多了一个以.pgp为后缀的文件。

由于刚刚输入过私钥密码，所以双击这个新文件后PGP Desktop将直接在软件里打开它：“Edit”，可以对它进行编辑：不同的信息：对于这样的乱码，我们根本没法阅读。

于是，在需要的时候，就进行解密：右键加密得到的PGP文件→PGP Desktop→Decrypt & Verify ”所选文件或文件夹的名称”，得到的就是正常能看的文件了。

这一切都在PGP Desktop 的“监视”下进行的。

它会自动记录操作历史。

不想保留时，单击Clear Verification History即可。

可能用到的软件、仪器设备。

加密软件PGPPGPdisk6、实验结果分析完成安装后，我们只有自己的密钥对，可以用于加密、解密本地的文件。

最简单的方法是：直接右键需加密文件，选PGP Desktop→Add”所选文件名或文件夹名”to New PGP Zip…接着弹出对话框，两次“下一步”后，点击“Add…”双击左边的想要用于加密的密钥，单击“OK”，单击“下一步”。

在这里选择密钥，输入之前需要牢记的私钥密码，选择存放地址，下一步。

加密完成，计算机里面多了一个以.pgp为后缀的文件。

由于刚刚输入过私钥密码，所以双击这个新文件后PGP Desktop将直接在软件里打开它：点击“Edit”，可以对它进行编辑：编辑完成后，会再多出一个文件。

分别用文本框打开这三个文件，可看到完全不同的信息：对于这样的乱码，我们根本没法阅读。

于是，在需要的时候，就进行解密：右键加密得到的PGP文件→PGP Desktop→Decrypt & V erify ”所选文件或文件夹的名称”，得到的就是正常能看的文件了。

这一切都在PGP Desktop 的“监视”下进行的。

它会自动记录操作历史。

不想保留时，单击Clear V erification History即可。

计算机学院）班_____组学号姓名协作者教师评定实验二企业根CA的建立和利用安全证书对站点的保障1、实验目的熟悉在Windows环境下CA的构建和证书获取2、实验题目企业根CA的建立和利用安全证书对站点的保障，3、实验原理与理论基础CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。

首先，主体发出证书申请，通常情况下，主体将生成密钥对，有时也可能由CA完成这一功能，然后主体将包含其公钥的证书申请提交给CA，等待年批准。

CA在收到主体发来的证书申请后，必须核实申请者的身份，一旦核实，CA就可以接受该申请，对申请进行签名，生成一个有效的证书，最后，CA将分发证书，以便申请者可使用该证书。

CRL：是被CA吊销的证书的列表。

基于WINDOWS的CA支持4种类型企业根CA：它是证书层次结构中的最高级CA，企业根CA需要AD。

企业根CA自行签发自己的CA证书，并使用组策略将该证书发布到域中的所有服务器和工作站的受信任的根证书颁发机构的存储区中，通常，企业CA不直为用户和计算机证书提供资源，但是它是证书层次结构的基础。

企业从属CA：企业从属CA必须从另一CA（父CA）获得它的CA 证书，企业从属CA需要AD，当希望使用AD，证书模板和智能卡登录到运行WINDOWS XP和WIN2003的计算机时，应使用企业从属CA独立根CA：独立根CA是证书层次结构中的最高级CA。

独立根CA 既可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD 用于发布证书和证书吊销列表，则会使用AD，由于独立根CA不需要AD，因此可以很容易地将它众网络上断开并置于安全的区域，这在创建安全的离线根CA时非常有用。

独立从属CA：独立从属CA必须从另一CA（父CA）获得它的CA 证书，独立从属CA可以是域的成员也可以不是，因此它不需要AD，但是，如果存在AD用于发布和证书吊销列表，则会使用AD。

4、实验内容（1）利用windows2000 server搭建一个企业级CA，（2）客户端向CA提出申请并获取证书（3）利用获取的证书保障站点安全5、实验结果（1）利用windows2000 server搭建一个企业级CA一台是独立根CA, 安装独立根CA选中应用程序服务器和证书服务.由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务.点详细看一看点“确定”这里选独立根CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.密钥长度,根CA,默认长度为2048位,如果安装从属CA,默认密钥长度为1024位.如果不选"允许此CSP与桌面交互"系统服务就无法与当前用户的桌面进行交互.输入CA的公用名称,安装后就不能更改了.可修改默认的有效期限.共享文件用于存储CA的相关信息以便用户查找,只有在安装独立的CA 但不使用AD时才有用.下面便开始安装了.安装到一定的时候会出现下面对话框默认安装IIS时并不启用ASP支持,因此在安装时会出现上面对话框.点击是.下面来安装独立从属CA同样选择应用程序服务器和证书服务这里选择独立从属CA并勾上.可以看到这里密钥长度默认是1024位输入公用名称有效期限取决于父CA这里默认建立一个共享文件夹如果父CA在线可用,则选中"将申请直接发送给网络上的CA".在文本框中输入父CA的计算机名,和父CA的名称.如果父CA不在线可用,则选中"将申请保存到一个文件",并在申请文件文本框中输入将存储申请的文件的路径和文件名,然后使用此证书申请文件手工向父CA提交申请.下面来验证安装有图中的服务便安装成功（2）客户端向CA提出申请并获取证书现在来登录从属CA,打开"开始"-所有程序-INTERNET EXPLORER.打开IE在地址栏中输入父CA的WEB支持页面的URL.然后单击申请一个证书这里选高级证书申请选下面那条点浏览要插入的文件这个是在建立从属CA时所创建的然后点读取最后点提交这样便提交了一个证书申请然后在根CA上颁发证书认的计算机名.点证书右键,点颁发然后单击开始---管理工具---证书颁发机构.安装CA证书.然后启动服务.下一步下一步这里已先安装好了安装成功之后,从属CA部署完成.6、实验结果分析（1）利用windows2000 server搭建一个企业级CA一台是独立根CA, 安装独立根CA选中应用程序服务器和证书服务.由于"证书服务WEB注册支持"需要依赖于IIS,所以要选中应用程序服务，确定之后选独立根CA并打上勾.单击导入,可以使用现有的密钥对,就不用生成新的密钥.。