第一篇:安全套接层(Secure Sockets Layer)协议实验报告实验报告
安全套接层(Secure Sockets Layer)协议实验报告
一、实验目的
1、学习掌握 SSL 协议的工作原理;
2、学习如何为网站实施 SSL 协议;
二、实验准备
1.上机前到机房网站上下载网络监控软件 EtherDetect 并安装好;.到机房网站上下载 upfile(测试用网站)到自己的机器上并用IIS 进行发布。
3.每两个同学一个小组,分组后到实验教师处登记。
三、实验内容步骤
1.SSL 证书的申请与安装(在局域网内部实现): 第一步:生成 CSR(证书请求申请)(1)访问 IIS Microsoft 管理控制台(MMC)。做法是:右键单击我的电脑并单击管理。此时就打开了计算机管理控制台,然后展开服务和应用程序部分,找到 Internet 信息服务并展开 IIS控制台。(2)选择自己希望安装服务器证书的特定 Web 站点,右键单击该站点并单击属性。(3)单击目录安全性选项卡,在安全通信部分单击服务器证书,这将启动 Web 服务器证书向导,单击下一步。
(4)选择创建一个新证书并单击下一步。
(5)选择现在准备请求,但稍后发送并单击下一步。
(6)在名称字段输入自己喜欢的名称,该名称将默认为为其生成CSR的Web站点的名称。
(7)在组织信息部分,输入自己的组织和部门信息,该信息必须准确无误,因为这将把这些凭证提供给第三方证书颁发机构,而我必须符合他们的证书授权。单击下一步进入站点的公用名称部分。
(8)站点的公用名称部分负责将证书绑定到我的Web 站点。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步访问信息。
(9)输入国家、省/州、县市或地区信息。写出您的省/州以及国家或地区的全称,不要使用缩写。单击下一步。
(10)将文件保存为.txt 文件。当我实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。
(11)确认请求的细节,然后单击下一步完成,并退出 Web 服务器证书向导。
第二步:申请并安装SSL 证书(WEB 服务证书)(1)请登录颁发数字证书的网站,如下图所示:
选择“申请一个证书”,之后选择“高级申请”。
(2)在接着出现的界面上选择base64 编码方式来提交证书申请,然后点击“下一步”。
(3)在“提交一个保存的申请”栏目下,把刚刚生成的CRS 的*.txt 文本文件的内容复制到“base64 编码证书申请”框里,然后按“提交”。(4)下载你所申请的证书。请再次登录那个网址,点击如上图所示的 “查看挂起的证书申请的状态”,可下载并安装自已所申请的证书。第三步:安装证书:
(1)按“生成 CSR”一节中所描述的步骤打开 IIS MMC;(2)进入要在上面安装证书的 Web 站点的属性对话框;(3)单击目录安全性选项卡并单击服务器证书。这将启动 Web 服务器证书向导,单击下一步;
(4)选择处理挂起的请求并安装证书并单击下一步;
(5)浏览到你所保存的server.cer 文件。单击下一步两次,然后单击完成。你就可以看到“查看证书”和“编辑”两个按扭可用了你就可以点击“查看证书”查看你所安装的证书的相关信息。如下图所示 2.实施 SSL 连接
(1)从计算机的IIS 管理控制台中,右键单击您希望实施 SSL的Web站点,然后单击属性;
(2)单击Web站点选项卡。在Web站点标识部分,确保SSL端口字段的数值为443;(3)单击高级可以看到两个字段,IP 地址和Web站点的端口应该已经在此,Web站点有多个标识字段中列出。如果没有列出端口443,在此Web站点有多个 SSL 标识字段下面,单击添加。选择服务器的IP地址,并在SS 端口字段键入数值443。单击确定。
(4)单击目录安全性选项卡。请注意现在在安全通信部分,编辑是可用的。单击编辑,如下图所示
(5)选择需要安全通道(SSL)。备注:如果指定128位加密,使用40或56位加密 强度浏览器的客户将无法与您的站点通讯,除非他们升级加密强度;(6)如果指定 128 位加密,使用 40 或 56 位加密强度浏览器的客户将无法与您的站点通讯,除非他们升级加密强度。打开浏览器,试着用标准 http:// 协议连接您的 Web 服务器。如果实施了 SSL,您将收到如下错误消息:
The page must be viewed over a secure channel,The page you are trying to view requires the use of “https” in the address.(网页必须通过安全渠道查看。要求在您试图查看的网页地址中使
用“https”)。如下图所示
四、问题思考
1、SSL 实施到网站上后是如何保证数据安全的? 答:安全套接层协议采用Hash 函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
2、CSR 是如何产生的?
答:CSR的产生过程在上面的报告中我们已经做了陈述,具体是:(1)访问 IISMicrosoft 管理控制台(MMC)。(2)选择自己希望安装服务器证书的特定 Web 站点,右键单击该站点并单击属性。(3)单击目录安全性选项卡,在安全通信部分单击服务器证书,这将启动 Web 服务器证书向导,单击下一步。
(4)选择创建一个新证书并单击下一步。
(5)选择现在准备请求,但稍后发送并单击下一步。
(6)在名称字段输入自己喜欢的名称,该名称将默认为为其生成CSR的Web站点的名称。
(7)在组织信息部分,输入自己的组织和部门信息,该信息必须准确无误,因为这将把这些凭证提供给第三方证书颁发机构,而我必须符合他们的证书授权。单击下一步进入站点的公用名称部分。
(8)站点的公用名称部分负责将证书绑定到我的Web 站点。对于 SSL 证书,输入主机名称和域名称。对于 Intranet 服务器,可以使用寄存站点的计算机的 NetBIOS 名称。单击下一步访问信息。
(9)输入国家、省/州、县市或地区信息。写出您的省/州以及国家或地区的全称,不要使用缩写。单击下一步。
(10)将文件保存为.txt 文件。当我实际向证书颁发机构发送请求时,必须将该文件的内容粘贴到请求中。该文件将被加密,并包含内容的标题和脚注。请求证书时必须同时包含标题和脚注。
(11)确认请求的细节,然后单击下一步完成,并退出 Web 服务器证书向导
3、为何在我们申请的数字证书中,安装好后会有一个惊叹号?
答:对这个问题我们思考的结果是因为Windows没有足够的信息,不能验证该证书的缘故导致安装好后会有一个惊叹号。
五、心得体会:从本次实验中,我们学习了证书的申请和安装过程,掌握了ssl协议的工作原理,安全套层协议是一个保证计算机通信安全的协议,对通信对话进行安全,在ssl协议的实现过程中,我们了解了基本的流程,同时对密钥的使用也由了更深入的理解。对于信息管理与信息系统的形势来说,掌握基本的信息安全知识是十分必要的,这次使用为我们以后的工作也起到了一个基石的作用。虽然在使用过程中我们还有很多问题,但是我们会努力学习计算机知识,为以后工作做准备。
第二篇:网络原理实验报告网络层
苏州科技学院
电子信息实验中心
实验报告
课
程 学
号 姓
名 班
级 专
业 指导教师 学年 / 学期
计算机网络原理 *** 闫自立 软件1311 计算机科学与技术
陶滔
2015~2016学年第1学期
实验三
网络层实验
实验项目性质:设计性
计划学时:4 实
验 环 境:Microsoft Visual Studio 2010
实验日期:2015年12月2日
一、实验目的
1.理解通信子网的完整概念,掌握网络层的作用和功能。2.掌握分组数据包格式设计方法、分组的分片与重装的方法。3.掌握网络层简单路由选择协议的实现方法。
二、实验内容
在已经实现的数据链路层基础上:
(1)设计简易实用的分组数据包格式;
(2)设计并实现类IP的网络层协议,路由选择采用静态路选择协议。(3)设计并实现分组的分片与重装。
(4)设计一个应用程序,利用网络层的功能直接将文件传输到目标主机的接收窗口中。(5)编写路由配置route_tab.cfg及本机主机地址local.cfg文件,以便与远地的其他计算机进行通信。
三、实验(设计)仪器设备和材料清单
计算机一台,串行电缆一根。
四、实验指导
本实验采用静态路由选择算法,每个结点上通过配置文件route_tab.cfg确定路由选择的结果,该文件的格式可设计如下:
主机地址
端口号
注释
555
#主机地址555的转发端口号为COM1
556
558
888
*
#默认路由
其中,端口号指PC的COM1(对应端口号1)或COM2(对应端口号2)等。同时为简化设计,去掉流量控制和拥塞控制,数据包的格式参考IP数据包格式,但尽可能简化。分组及其他数据结构设计
网络层的分组设计一方面要考虑到路由选择的实现,即分组中应含有路由寻址所必要的信息,另一方面要考虑到分组太大时的分片与重装,主机地址用4位数字字符表示。设计的分组格式如下。
(1)分组(“数据报”)的首部
typedef struct{ //定义数据报首部格式
unsigned char
vers_hlen;
//高4位是版本, 低4 位是首部长度
unsigned char
type;
//类型(保留)
unsigned short
Dlen;
//数据报数据部分长度
unsigned short ident;
//数据报标识
unsigned short frag;
//分片标识,1-分片,0-不分片 unsigned short offset;
//数据报分片偏移量
unsigned char
TTL;
//生存期
unsigned char
prot[3];
//保留
unsigned short checksum;
//校验和
IPhost source;
//源主机地址
IPhost dest;
//目标主机地址
} TIPheader;typedef struct { unsigned char cAddr[4];}IPhost;(2)数据报格式
typedef struct { unsigned char cData[MTU];} Msg;typedef struct{
//定义数据报格式
TIPheader
IpHdr;
//分组首部
Msg
Info;
//分组信息部分 } TPacket;(3)分片与重装的结构
typedef struct fid{
//用于识别同一IP 分组的各分片结构,用于组装分组
IPhost
source;
//源主机地址
IPhost
dest;
//目标主机地址
unsigned short
ident;
//IP分组标识
long int iLength;
//已接收到的数据长度
unsigned short iCount;//已接收到的分组数 }FragId;typedef struct fragif{
//包含一个分片的结构
unsigned char frgData[MTU];//分片的数据部分
unsigned short iMsgLength;
//当前分片数据部分的长度 unsigned short frag;
//分片标识,1-分片,0-不分片
unsigned short offset;
//分片在数据报中的偏移量
struct fragif *next;
//下一个分片 }FragInfo;(4)路由表结构
typedef struct { //定义路由表
unsigned char cHostAddr[4];//主机地址 char cPort;
//转发端口
char cComment[30];
//注释 } TRouteItem;2 分片与重装
在一个异构的网络的集合中,提供统一的主机到主机服务模型需要面对的问题之一是每种网络技术都试图自己定义分组的大小。例如,以太网能接收的长度最多为1500字节的分组,而FDDI能够接收的分组长度可达到4500字节。因此网络层要确保所有的分组足够小,使得其适合任何网络技术的分组;或者当分组对某一网络技术来说太大时,提供一种方法将分组拆分和重组。后一种方法是一种理想的选择,TCP/IP中的IP数据报传输就采用了后一种技术。
这样每一种网络类型有一个最大传输单元(Maximum Transmission Unit,MTU),这是一帧中所能携带的最大数据报,而这个值应比网络上的最大分组要小。
五、结果分析(可根据需要附加页)
六、主要源代码(可根据需要附加页)#pragma hdrstop #include
#include “..includeNllEntity.h” #include “..includeFtpClass.h” //-------------#pragma package(smart_init)//---------void TNLLNetEntity::readroute(){
#define MAXITEMS 100
// 路由表最大表项数
#define MAXLINE 81
// 路由表文件最大行长度
char fileName[]=“.route_tab.cfg”;
if(fst.fail())return;fst.getline(line,MAXLINE);while(!fst.fail()&&!fst.eof())// 当文件有内容时 {
} iRouteEntries=i;if(iRouteEntries){
routeTab=new TRouteItem[iRouteEntries];for(i=0;i } fst.getline(line,MAXLINE);istrstream is(fstr);is>>route[i].cHostAddr>>route[i].cPort;i++;fstream fst(fileName, ios::in);int i=0;char line[MAXLINE], *fstr;TRouteItem route[MAXITEMS]; // 只读方式打开指定文件,建立文件流对象 fstr++; } #undef MAXLINE #undef MAXITEMS } //---------void TNLLNetEntity::setDll(TDLLNetEntity *dll, int nport){ m_Dll[nport]=dll;} //---------void TNLLNetEntity::purgeroute(){ delete routeTab; iRouteEntries=0;} //---------void TNLLNetEntity::makePacket(TPacket &pkt,TIPheader &hdr,unsigned char *buf, int len){ memcpy(&pkt.IpHdr,&hdr,sizeof(TIPheader)); memcpy(&pkt.Info,buf,len);} //---------void TNLLNetEntity::sendPacket(TPacket & pkt){ unsigned char *ptr; int len=pkt.IpHdr.Dlen+sizeof(TIPheader); unsigned char *buf=new unsigned char[len]; ptr=buf; memcpy(ptr,&pkt.IpHdr,sizeof(TIPheader));ptr=ptr+sizeof(TIPheader); memcpy(ptr,&pkt.Info,pkt.IpHdr.Dlen); int n_port; unsigned char q[4]; memcpy(q,&pkt.IpHdr.dest,4); n_port=findroute(pkt.IpHdr.dest); if(n_port==-1)/不到指定路由 //查找默认路由 { IPhost dest; memset(&dest,0,4); memcpy(&dest,“*”,1); n_port=findroute(dest); if(n_port==-1)//如不存在,丢弃 return; } if(n_port>MAX_PORTS) return; //成帧 Frame frm; frm.info=new unsigned char[len]; m_Dll[n_port]->makeDataframe(frm,buf,len); //发送帧 m_Dll[n_port]->SendFrame(frm); delete buf;} //---------void TNLLNetEntity::senddata(unsigned char *cPinfo,IPhost &dest,int len){ //make header TPacket pkt; TIPheader phdr; unsigned char *cPtr; unsigned short len1,offset; cPtr=cPinfo; //设置数据报首部,以部分各个分片相同 phdr.vers_hlen=IPVERS; phdr.vers_hlen=phdr.vers_hlen|sizeof(TIPheader); memcpy(&phdr.source,&localaddr,sizeof(IPhost)); memcpy(&phdr.dest,&dest,sizeof(IPhost)); phdr.type=0xe; phdr.TTL=0xf;// phdr.prot=0; phdr.ident=iIdentify++; //设置下一个数据包的标识 if(iIdentify==0xFFFF)iIdentify=1; len1=len; offset=0; while (len1>0) { if(len1>MTU){ //需要分片? phdr.Dlen=MTU; phdr.frag=1; //分片标志 phdr.offset=offset;// phdr.chksum=makechksum(phdr);//产生校验 makePacket(pkt,phdr,cPtr, MTU); cPtr+=MTU; offset+=MTU; len1=len1-phdr.Dlen; } else{ //不再需要分片 phdr.Dlen=len1; phdr.frag=0; //分片结束标志 phdr.offset=offset; makePacket(pkt,phdr,cPtr, len1); len1=0; } sendPacket(pkt); }//end while } //发送当前分组 7 XX 理 工 学 院 实验报告 课程 计算机网络 题目 基于Cisco Packet Tracer的网络层实验 院系名称 计算机学院 班 级 计科班 学生姓名 学 号 指导教师 时 间 2016.11.14 实验二:网络层协议实验 实验说明: 1.实验中的问题按照自己的方式回答,如文字,图片,表格等形式。2.实验报告共四份,于期末通知时再统一打包上交。 3.报告文档模板中如有错误,请反映到计算机网络QQ群上。 实验内容目录: 实验2.1: IP分析 实验2.2: IP地址分配实验 实验2.3: ARP分析 实验2.4: ICMP分析 实验2.5: 路由协议分析 实验2.6: VPN与NAT协议分析 实验2.1:IP分析 实验目的: 1、熟悉IP的报文格式以及关机字段的含义。 2、掌握IP地址的分配方法。 3、理解路由器转发IP数据报的流程。 实验思考题: 1.一个IP分组经路由器转发后,有哪些字段会发生变化? 答:TTL字段需要减一,而IP头部的校验和需要重新计算,因此这两个字段会发生变化。 2.为什么任务三中的两个分片的长度分别为1500字节和48字节。 答:原数据长度为1500+8(ICMP报文头长度)=1508字节,超过以太网帧的最大传输能力,因此需要分成两片。长度分别为1480字节和28字节,封装成IP后,每片的长度分别为1480+20=1500字节,28+20=48字节。实验2.2:IP地址分配实验 实验目的: 1.掌握主机和路由器的IP地址配置。2.熟悉CIDR的IP地址编址方法。3.理解CIDR的路由聚合功能。 实验思考题: 1.与分类的IP编址方法相比,CIDR编址方案具有什么优点? 答:1)CIDR的地址分配更高效,因为CIDR采用可变长掩码,能根据网络的实际大小量身定制主机地址空间。2)CIDR具有路由聚合功能,能减少路由器的路由表项。 2.路由器的不同接口能否使用相同的网络号? 答:不能,路由器的不同接口必须使用不同的网络号。实验2.3:ARP分析 实验目的: 1.掌握基本的ARP命令。 2.熟悉ARP报文格式和数据封装方式。3.理解ARP的工作原理。 实验思考题: 1.任务一完成后,哪些PC的ARP缓存拥有PC0的MAC地址记录?哪些PC新添加了PC1 的MAC地址记录? 答:任务一完成后,PC1和PC2拥有PC0和MAC地址记录,PC0添加了PC1和PC2的MAC地址记录。 2.ARP缓存的作用是什么?缓存中记录的保存时间是否越长越好?请解释理由。 答:ARP缓存可以提高工作效率,避免主机重复进行地址查询询问。缓存时间不是越长越好,因为网络可能经常有设备动态加入或撤出,并且更换设备的网卡或IP地址也会引起主机地址映射发生变化,如果缓存时间过长会造成数据更新过慢,造成地址解析错误。 3.主机使用ARP能查询到其他网络的MAC地址吗?为什么? 答:不能。因为ARP广播询问包会被路由器阻拦。 4.在任务二的步骤3中,ARP被执行了几次? 答:共执行两次,第一次是PC0查找路由器Fa0/0的MAC地址,第二次是路由器查找PC4的MAC地址。实验2.4:ICMP分析 实验目的: 1.熟悉ICMP报文格式和数据单元的封装方式。 2.利用ping程序和tracert命令,熟悉ICMP的工作原理。3.进一步理解ICMP的作用。 实验思考题: 1.在tracert命令中,为什么源主机对于每个TTL值都要重复进行多次探测? 答:由于IP网络是不可靠的,通过多次重复探测可以避免因个别丢包而造成检测失败。 2.ICMP是否会给Internet带来安全隐患? 答:ICMP是网络层控制协议,不仅可以对网络层设备进行各种探寻,也可能更改主机配置,功能强大,但从另一面讲,这也是一个网络安全隐患,例如死亡Smurf攻击就利用ICMP进行网络攻击,因此许多操作系统的防火墙都拒绝ICMP包访问本机。实验2.5:路由协议分析 实验目的: 1.理解网络路由,学习静态路由配置能力。2.理解RIR动态路由协议的工作原理。3.理解OSPF动态路由协议的工作原理。 实验思考题 1.如果路由器转发数据报的目标不在路由表中,则会如何处理? 答:如果有默认路由,则按默认端口转发,否则丢弃处理。 2.在任务二的步骤2中,环路造成的循环转发过程会不会停止?原因是什么? 答:当被转发的IP包的TTL字段被降到0时,该循环发的工程将停止。 3.在任务三的步骤3中,Router3几次更新才能获得网络10.1.1.0的路由信息? 答:需要两个周期。 4.RIP和OSPF协议分别采用哪种通信协议?请解释理由。 答:RIP报文知识在临近节点进行传输,因此采用低开销的UDP来传输,而OSPF报文需要在网络进行泛洪传输,因此使用IP。实验2.6:VPN与NAT协议分析 实验目的: 1.理解VPN使用的IP隧道技术的工作原理。2.理解NAT技术的工作原理。 实验思考题: 1.在任务一中,Router1如何区分Server0返回给不同主机的HTTP报文。 答:NAT服务器(Router1)通过不同的端口号来识别不同的主机的报文。 2.在任务二中,VPN中采用隧道技术的原因是什么? 答:由于Net1和Net2都是使用私有地址,因此无法直接通过Internet进行通信:采用隧道技术可以方便地将源目地址转换为全局地址,而且到达目标路由器后,也很容易获得真正目标主机的IP地址。 3.Net1网络和Net2网络的IP地址能否编在同一段? 答:不行,这样容易造成两个网段间主机的IP地址发生冲突。 实验名称:电子商务安全技术 2010081126吕吕 一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有: PKI协议:PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团 CommerceNet协会提出的安全传输协议,主要利用密钥对加密的方法来保障 W eb 站点上的信息安全。S-HTTP 被设计为作为请求 /响应的传输协议———HTTP 的一种安全扩展版本,正是这一特点使得 S-HTTP 与 SSL 有了本质上的区别,因为 SSL 是一种会话保护协议。S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议(SSL): SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在 TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。 安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。 电子商务安全的措施有: 加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一 定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密性。 数字签名: 数字签名如同手写签名,在电子商务中有如下优点:(1)发送者事 后不能否认自己发送的报文签名。(2)接受者能够核实发送者发送的报文签名。 (3)接受者不能伪造发送者的报文签名。(4)接受者不能对发送者的报文进行篡改。 (5)交易中的某一用户不能冒充另一用户作为发送者或接受者。数字签名也是采用非对称加密算法,实现方式为:发送方从报文文本中生成一个128位的散列值,并用自己的私有密钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接受方;报文的接受方首先从接受到的原始报文中计算出128 位的散列值,再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接受方就能确认该数字签名是发送方的。 数字时间戳:数字时间戳(DTS ,Digital time-stamp),如同传统商务中的日期 和时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名 数字证书:数字时间戳(DTS ,Digital time-stamp),如同传统商务中的日期和 时间,在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。数字时间戳服务(DTS)是网络安全服务项目,由专门的机构提供。时间戳是一个经加密后形成的凭证文档。它由三个部分组成:需要加盖时间戳的文件的摘要、DTS收到文件的日期和时间以及DTS 的数字签名 安全协议技术:目前常用的安全协议主要有两种:SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。SSL 协议是由Netscape公司提出的安全交易协议,该协议主要目的是解决T C P /I P 协议不能确认用户身份的问题,在Socket 上使用非对称的加密技术,以保证网络通信服务的安全性。4SET是由Visa 和MasterCard 两大信用卡公司联合IBM, Microsoft, GTE ,Verisign , SA IC等公司与1996年6月共同推出的以信用卡支付为基础的电子商务安全协议,其中涵盖了电子交易中的交易协定、信息保密、数据完整、数字认证和数字签名等。它采用公钥密码体制和X.5 0 9 数字证 书标准,主要应用于保障网上购物信息的安全性。 (2)访问不同类型的电子商务站点,上网搜集相关资料,了解国内网上支付在安全方面的解决方案。 答:目前中国所有电子支付服务提供商都还是使用简单的用户名 / 密码认证机制,虽然某些电子支付服务提供商增加了一个安全控件,但还是存在以下两大严重安全问题: (1)用户的身份认证问题:由于涉及到资金问题,越来越多的黑客和木马软件就盯上了电子支付服务,而电子支付服务提供商现有的用户登录系统是简单的用户名 / 密码单一认证机制,可以说毫无安全性可言,非常容易被非法窃取而导致用户的资金被盗。 (2)电子邮件泄密问题:由于电子支付服务提供商的电子支付服务的原理是通过电子邮件通知来收款和付款的,而电子邮件在互联网上是明文传输的,非常容易被非法窃取,而一旦用户的电子邮件内容被非法窃取,则此笔交易款就极有可能也非常容易被非法盗走。 由于以上两大问题,就开始采用“双重认证(two-factor authentication)”技术来解决电子支付的在线身份盗窃问题,其实就是使用用户的个人数字证书来实现安全的身份认证和电子邮件加密。具体解决方案是: (1)电子支付服务提供商为每个用户颁发一个全球通用的个人数字,证书用于登 录电子支付服务系统的真实身份认证和用于每个交易的数字签名,从而杜绝了口令泄露而造成的损失和提供了交易不可否认的证据。 (2)由于每个用户都有全球通用的个人数字证书,不仅可以用于身份认证快速安 全登录电子支付服务系统,还可以用于电子邮件数字签名和电子邮件内容加密,所有电子支付服务提供商与用户之间的电子邮件通信内容都是使用数字证书加密的,只有用户本人使用其个人数字证书才能阅读,而其他人即使在电子邮件服务器端或电子邮件传输过程中非法窃取电子邮件支付内容。 数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加 密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。 数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。 (3)进入阿里巴巴电子商务站点,浏览,查阅,体验站点的安全机制和支付功能。总结阿里巴巴电子商务站点的安全机制和支付机制。 答:阿里巴巴电子商务安全机制: 1.数据加密技术。对数据进行加密是电子商务系统最基本的信息安全防范措 施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输,从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。 (1)对称密钥加密(SecretKeyEncryption)。对称密钥加密也叫秘密/专用密钥加密,即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快,适合于对大量数据进行加密,能够保证数据的机密性和完整性;缺点是当用户数量大时,分配和管理密钥就相当困难。 (2)非对称密钥加密(PublicKeyEncryption)。非对称密钥加密也叫公开密钥加密,它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开,私钥由个人秘密保存,用其中一把密钥来加密,就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理,缺点是算法复杂,加密速度慢。 (3)复杂加密技术。由于上述两种加密技术各有长短,目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密,生成的密文后再用接收方的公钥加密对称密钥生成数字信封,然后将密文和数字信封同时发送给接收方,接收方按相反方向解密后得到明文。 2.数字签名技术。数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名,来代替书写签名或印章,对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。 3.认证机构和数字证书。由于电子商务中的交易一般不会有使用者面对面进行,所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方,用以证实交易双方的身份,数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中,参与方必须利用认证中心签发的数字证书来证明自己的身份。 4.使用安全电子交易协议(SET:Secure Electronic Transactions)。是由VISA 和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系,给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。 阿里巴巴支付机制: 阿里巴巴,作为家喻户晓的电子商务网站,它的支付方式也同样的令人耳熟能详:支付宝,就是旗下提供的第三方支付平台,它保证了买卖双方交易的安全性与便捷性。尽管现在支付宝已经得到普及,但是相对那些有在网上购物的欲望但无法使用支付宝的人来说,邮局汇款、银行转账信用卡支付和网上银行支付无非是最好的选择。 (4)网上阅读资料,查看电子商务安全交易协议中SET中用到的双重签名技术的过程是如何的。 答:双重签名是为了保证在事务处理过程中三方安全传输信息的一种技术,用于三方通信时的身份认证和信息完整性、交易防抵赖的保护。 双重数字签名的实现步骤如下: (1)信息发送者A对发给B的信息1生成信息摘要1。 (2)信息发送者A对发给C的信息2生成信息摘要2。 (3)信息发送者A把信息摘要1和信息摘要2合在一起,对其生成信息摘要3,并使用自己的私钥签名信息摘要3。 (4)信息发送者A把信息 1、信息摘要2和信息摘要3的签名发给B,B不能得到信息2。 (5)信息发送者A把信息 2、信息摘要1和信息摘要3的签名发给C,C不能得到信息1。 (6)B接收信息后,对信息1生成信息摘要,把这信息摘要和收到的信息摘要2合在一起,并对其生成新的信息摘要,同时使用信息发送者A的公钥对信息摘要3的签名进行验证,以确认信息发送者A的身份和信息是否被修改过。 (7)C接收信息后,对信息2生成信息摘要,把这信息摘要和收到的信息摘要1合在一起,并对其生成新的信息摘要,同时使用信息发送者A的公钥对信息摘要3的签名进行验证,以确认信息发送者A的身份和信息是否被修改过。 (5)以中国工商银行网上银行为例,描述在网银上操作,是如何保障安全的?包括从一登录到交易成功的整个过程。 答:网银登录过程: 客户端首先要安装网银颁发的数字证书,用于身份认证。进入https安全页面,在客户端产生对称密钥,用服务器的公钥进行加密(公钥由网银颁发的数字证书里获取),同时客户端把会话内容用所产生的对称密钥加密,传送时包括的内容为:银行的数字签名、加密的会话内容、加密的对称密钥。每次会话都通过这种方式保障安全。如果转账时,需要插入usbkey,usbkey里面的内容可以认为是客户端的私钥,相当于客户端秘密持有的信息,插入usbkey后,会把转账内容用客户端私钥加密,用于服务器端再次确认此转账信息是由客户端发出的,客户端不可否认。由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。 SSL协议是由Netscape首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接,大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改,则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系,一般是40~128位,可在IE浏览器的“帮助”“关于”中查到。建设银行等已经采用有效密钥长度128位的高强度加密。 《信息安全》实验报告 班级: 姓名: 学号: 1. 实验题目:置换密码技术实现程序开发 2. 实验目的:通过置换密码算法的实现,进一步掌握置换密码算法的原理,为今后的工程应用打下坚实的基础。 3. 实验原理:置换密码亦称为换位密码。置换只不过是一个简单的换位。每个置换都可以用一个置换矩阵Ek来表示。每个置换都有一个与之对应的逆置换Dk。置换密码的特点是仅有一个发送方和接收方知道的加密置换(用于加密)和对应的逆置换(用于解密)。它是对明文L长字母组中的字母位置进行重新排列,而每个字母本身并不改变。令明文为 mm1m2mL。令置换矩阵所决定的置换为,则 加密置换 CEk(c1c2cL)m(1)m(2)m(L)解密置换 dDk(c1(1)1(2)cc1(L)) 例,给定明文为tba simpodst yossibje trqnspbsition cipderk,将明文分成长为L=5的段,m1=tbasi, m2=mpods m3=tyoss m4=ibjet,m5=rqnsp, m6=bsiti m7=oncip m8=derkz 最后一段长不足5,加添一个字母z。将隔断的字母序号按下述置换矩阵进行换位: Ek= 0 1 2 3 4 4 3 0 2 得到密文如下 STIAB DMSOP STSOY EITJB SRPNQ TBIIS IOPCN KDZRE 利用下述置换矩阵: Dk=0 1 2 3 4 0 4 2 1 可将密文恢复为明文。 L=5时可能的置换矩阵总数为5!=120,一般为L!个。可以证明,在给定L下所有的置换矩阵构成一个L!对称群。4. 实验代码 void Permutation()/*置换密码*/ { char c[100], *q; int *key, len, m, i, j=0; system(“cls”); printf(“********Permutation Cipher(置换密码)********nPlease input primal sentence(请输入最初的明文): ”); gets(c); strcpy(c, strupr(c)); len = strlen(c); for(i=0;i { if(c[i]<65||c[i]>90) { for(j=i;j c[j] = c[j+1]; len--; } } c[len] = '�'; printf(“Input the length of the key: ”); scanf(“%d”, &m); key =(int*)malloc(m*sizeof(int)); q =(char *)malloc(len*sizeof(int)); printf(“Input the key: ”); for(i=0;i { scanf(“%d”, key+i); key[i]--; } getchar(); for(i=0;i { j =(i/m)*m; q[i] = c[*(key+i%m)+j]; } q[i] = '�'; printf(“Result is: %sn”, q); for(i=0, j=0;i { j =(i/m)*m; c[*(key+i%m)+j] = q[i]+32; } c[len] = '�'; printf(“After translated the sentence,we can see the primal sentence as follow:n%sn”, c); printf(“Press any key to return(按任何键返回)...”); free(key); free(q); getch();} int main(){ char i = '0'; system(“cls”); while(i!='5') { system(“cls”); printf(“********Press 1~5 to choose(请按1~5选择):********n”); printf(“1.Shift Cipher(移位密码)n2.Affine Cipher(仿射密码)n3.Vigenere Cipher(维吉利亚密码)n4.Permutation Cipher(置换密码)n5.Exit(退出)n”); i = getch(); if(i=='1') Shift(); else if(i=='2') Affine(); else if(i=='3') Vigenere(); else if(i=='4') Permutation(); else if(i=='5') break; } system(“pause”);return 0; 5.实验总结:通过这次上机实验,我了解道常用置换矩阵的特点和作用,它具有很高的安全性和可靠性,然而由于我对置换矩阵算法了解不够深入,理解不够透彻,以至于出现了很多麻烦,幸运的是经过老师和同学的指点,我成功地解决了上机遇到的各种问题。第三篇:计算机网络网络层实验报告参考
第四篇:电子商务安全实验报告
第五篇:信息安全实验报告
点击咨询 