《网络信息安全》
实验报告
学校:江苏科技大学
专业:13级计算机科学与技术
导师:李永忠
学号:1341901201
姓名:黄鑫
江苏科技大学计算机科学与工程学院
2015-12-2
实验一DES加解密算法
一、实验目的
1.学会并实现DES算法
2.理解对称密码体制的基本思想
3.掌握数据加密和解密的基本过程
4.理解公钥密码体制的基本思想
5.掌握公钥密码数据加密解密的过程
6.理解Hash函数的基本思想
二、实验内容
1、根据DES加密标准,用C++设计编写符合DES算法思想的加、解密程序,能够实现对字
符串和数组的加密和解密。例如,字符串为M= “信息安全”,密钥K= “computer”
2、根据RSA加密算法,使用RSA1软件,能够实现对字符的加密和解密。
3、根据MD5算法,使用hashcalc软件和MD5Caculate软件,能够实现求字符串和文件的 HASH
值。例如,字符串为M=“信息安全”,求其HASH值
三、实验原理
算法加密encryption解密algorithmbyteDES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,首先,DES把输入的64位数据块按位重新组合,并把输出分为L0、R0两部分,每部分各长32位,并进行前后置换(输入的第58位换到第一位,第50位换到第2位,依此类推,最后一位是原来的第7位),最终由L0输出左32位,R0输出右32位,根据这个法则经过16次迭代运算后,得到L16、R16,将此作为输入,进行与初始置换相反的逆置换,即得到密文输出。
DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64位,是DES 算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密,如果Mode为加密,则用Key去把数据Data进行加密,生成Data的密码形式作为DES的输出结果;如Mode为解密,则用Key去把密码形式的数据Data 解密,还原为Data的明码形式作为DES的输出结果。在使用DES时,双方预先约定使用的”
密码”即Key,然后用Key去加密数据;接收方得到密文后使用同样的Key解密得到原数据,这样便实现了安全性较高的数据传输。
DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64
位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES
的工作方式,有两种:加密或解密。
DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,其算法
主要分为两步:
1 初始置换
其功能是把输入的64位数据块按位重新组合,并把输出分为L0、R0两部分,每部分各长3 2
位,其置换规则为将输入的第58位换到第一位,第50位换到第2位……依此类推,最后一位是
原来的第7位。L0、R0则是换位输出后的两部分,L0是输出的左32位,R0是右32位,例:设
置换前的输入值为D1D2D3……D64,则经过初始置换后的结果为:L0=D58D50……
D8;R0=D57D49 (7)
2 逆置换
经过16次迭代运算后,得到L16、R16,将此作为输入,进行逆置换,逆置换正好是初始置换的
逆运算,由此即得到密文输出。
DES加密算法基本知识
DES(Data Encryption Standard)又叫数据加密标准,是1973年5月15日美国国家标准局(现
在是美国标准技术研究所,即NIST)在联邦记录中公开征集密码体制时出现的。DES由IBM开
发,它是对早期被称为Lucifer体制的改进。DES在1975年3月17日首次在联邦记录中公
布,在经过大量的公开讨论后,1977年2月15日DES被采纳为“非密级”应用的一个标准。
最初预期DES作为一个标准只能使用10-15年,然而,事实证明DES要长寿得多。在其被采
用后,大约每隔5年被评审一次。DES的最后一次评审是在1999年1月,在当时,一个DES
的替代品,AES(Advanced Encryption Standard)开始使用。
DES是一种分组对称加解密算法,用64位密钥(实际用56位,其中每第八位作奇偶校验位)
来加密(解密)64位数据,加密的过程伴随一系列的转换与代换操作。DES加密(解密)的过程
可以分为两步:首先变换密钥得到56位密钥,然后据转换操作得到48位共16组子密钥。其
次是用上面得到的16组子密钥加密(解密) 64位明(密)文,这个过程会有相应的S-BOX等的
代换-转换操作。
四、实验结果
输入明文 huangxin 和密文computer 得出结果
RSA加密解密
五、思考题
1.分析影响DES密码体制安全的因素?
暴力破解,即重复尝试各种密钥直到有一个符合为止。随着计算机运算能力的不断提高,暴力破
解所需的时间越来越短。
自身漏洞。DES算法中只用到64位密钥中的其中56位,而第8、16、24、......64位8个位并未参与DES运算,这一点,向我们提出了一个应用上的要求,即DES的安全性是基于除了 8, 16, 24, ......64位外的其余56位的组合变化256才得以保证的。
公钥算法中加密算法和解密算法有何不同?
公钥算法中加密算法和解密算法基本相同,不同之处在于解密算法所使用的子密钥顺序与加密算法是相反的。
六、实验心得
在这次实验中,我学会了并且编程实现了DES算法,理解对称密码体制的基本思想。在掌握数据加密和解密的基本过程中,理解了公钥密码体制和Hash函数的基本思想。虽然实验
内容相对而言比较简单,但是在实际操作过程中仍然遇到了一些问题。在实验中,我对DES
的加密和解密算法的学习产生了极大的学习热情,还会继续努力!
实验二、操作系统安全配置
一.实验目的
1.熟悉Windows NT/XP/2000系统的安全配置
2. 理解可信计算机评价准则
二.实验内容
1. 修改Windows 系统注册表的安全配置,并验证
2. 修改Windows 系统的安全服务设置,并验证
3. 修改IE 浏览器安全设置,并验证
4. 设置用户的本地安全策略,包括密码策略和帐户锁定策略。
5. 新建一个文件夹并设置其访问控制权限。
6. 学会用事件查看器查看三种日志。
7. 记录并分析实验现象
三.实验过程
Windows系统注册表的配置
用“Regedit”命令启动注册表编辑器,配置Windows 系统注册表中的安全项
(1)、关闭 Windows 远程注册表服务
通过任务栏的“开始-> 运行”,输入regedit 进入注册表编辑器。找到注册表中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下的“RemoteRegistry”项。
右键点击“RemoteRegistry”项,选择“删除”。
(2)修改系统注册表防止SYN 洪水攻击
(a)找到注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD 值,名为SynAttackProtect。
(b)点击右键修改 SynAttackProtec t 键值的属性。
(c)在弹出的“编辑DWORD 值”对话框数值数据栏中输入“2”
(d)单击“确定”,继续在注册表中添加下列键值,防范SYN 洪水攻击。EnablePMTUDiscovery REG_DWORD 0
NoNameReleaseOnDemand REG_DWORD 1
EnableDeadGWDetect REG_DWORD 0
K eepAliveTime REG_DWORD 300,000
PerformRouterDiscovery REG_DWORD 0
EnableICMPRedirects REG_DWORD 0
(3) 修改注册表防范IPC$攻击:
(a)查找注册表中“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA”的“RestrictAnonymous”项。
(b)单击右键,选择“修改”。
(c)在弹出的“编辑DWORD 值”对话框中数值数据框中添入“1”,将“RestrictAnonymous”
项设置为“1”,这样就可以禁止IPC$的连接,单击“确定”按钮。
(4)修改注册表关闭默认共享
(a)对于c$、d$和admin$等类型的默认共享则需要在注册表中找到
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters”项。在该项的右边空白处,单击右键选择新建DWORD 值。
(b)添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。
注:如果系统为Windows 2000 Server 或Windows 2003 ,则要在该项中添加键值“AutoShareServer”(类型为“REG_DWORD”,值为“0”)。如果系统为Windows 2000 PRO,则应在该项中添加键值“AutoShareWks”(类型为“REG_DWORD”,值为“0”)。
2.通过“控制面板\管理工具\本地安全策略”,配置本地的安全策略
(1)禁止枚举账号
在“本地安全策略”左侧列表的“安全设置”目录树中,逐层展开“本地策略”“安全选项”。查看右侧的相关策略列表,在此找到“网络访问:不允许SAM 账户和共享的匿名枚举”,用鼠标右键单击,在弹出菜单中选择“属性”,而后会弹出一个对话框,在此激活“已启用”选项,最后点击“应用”按钮使设置生效。
(2)不显示上次登录的用户名
3. 打开IE浏览器,选择“工具\Internet选项\安全”选项,进行IE浏览器的安全设置(1)在Internet 选项中自定义安全级别
(2)设置添加受信任和受限制的站点
4. 新建一个用户组,并在这个用户组中新建一个帐号。
打开控制面板-用户账户-新建账户
5. 设置用户的本地安全策略,包括密码策略和帐户锁定策略。
(1)打开“控制面板”→“管理工具”→“本地安全设置”,
(2)设置密码复杂性要求:双击“密码必须符合复杂性要求”,就会出现“本地安全策略设置”界面,可根据需要选择“已启用”,单击“确定”,即可启用密码复杂性检查。
(3)设置密码长度最小值:双击“密码长度最小值”,将密码长度设置在6 位以上。
(4)设置密码最长存留期:双击“密码最长存留期”,将密码作废期设置为60 天,则用户每次设置的密码只在60 天内有效。
(5)单击左侧列表中的“帐户锁定策略”。
(6)设置帐户锁定时间:双击“帐户锁定时间”,将用户锁定时间设置为3 分钟,则每次锁定后帐户将保持锁定状态3 分钟。
(7)设置帐户锁定阀值:双击“帐户锁定阀值”,可将帐户锁定阀值设置为3 次。
6. 新建一个文件夹并设置其访问控制权限。
(1)在E 盘新建一个文件夹,用鼠标右键单击该文件夹,选择“属性”,在属性对话框中选择“安全”选项卡,就可以对文件夹的访问控制权限进行设置,如下图所示。
(2)在界面中删除“everyone”用户组,加入我们新建的“实验”用户组,并将“实验”用户组的权限设置为“只读”。
(3)以用户try 身份登录,验证上述设置。
7. 学会用事件查看器查看三种日志。
(1)以管理员身份登录系统,打开“控制面板”→“管理工具”→“事件查看器”,从中我们可以看到系统记录了三种日志。
(2)双击“应用程序日志”,就可以看到系统记录的应用程序日志。
(3)在右侧的详细信息窗格中双击某一条信息,就可以看到该信息所记录事件的详细信息,
用同样方法查看安全日志和系统日志。
四.实验心得
通过这次实验我熟悉了Windows NT/XP/2000系统的安全配置,理解可信计算机评价准则。虽然实验内容相对而言比较简单,但是在实际操作过程中仍然遇到了一些问题。在实验中,我产生了极大的学习热情,还会继续努力!我知道了在平时生活中要加强安全方面的意识,这样才能做到最大限度的安全保障。
实验三、网络扫描与侦听
一、实验目的
1.理解网络监听(嗅探)的工作机制和作用。
2.学习常用网络嗅探工具Sniffer和协议分析工具Wireshark的使用。
3.理解扫描器的工作机制和作用。
4.掌握利用扫描器进行主动探测、收集目标信息的方法。
5.掌握使用漏洞扫描器检测远程或本地主机安全性漏洞。
二、实验内容
1.使用Sniffer进行网络监听,嗅探及数据包抓取。
a)使用Sniffer对本地主机进行嗅探,抓取数据包。
b)浏览网站时,抓取数据包,并观察TCP连接的建立与结束过程。
c)登录QQ时,抓取数据包。
d)保存生成的数据文件。
2.使用wireshark进行网络协议分析。
a)使用wireshark进行数据包捕获,分析获得的数据,并观察三次握手过程。
b)获取ARP、HTTP、FTP、DNS、ICMP协议包,并进行分析。
c)保存生成的文件。
3.使用两种扫描软件进行扫描,包括NMAP、SuperScan、X—Scan等。对扫描的结果进行统
计分析,并提出扫描系统的改进方案。
a)使用扫描软件对远程主机进行端口扫描,探测主机信息。
b)对同一网段内的所有主机进行漏洞扫描。
c)保存生成的HTML文件。
4.比较两种扫描器的功能、特点和效果。
三、实验结果
1.熟悉并使用网络扫描软件
查找主机:
2.熟悉并使用网络侦听(嗅探)软件
3. 观察并记录扫描/侦听过程及结果
四、思考题
1.根据实验总结针对网络监听的防范措施。
a.对传输信号进行加密
b.安装木马程序进行监听,定期查杀
2.分析网络嗅探器在网络管理和网络安全方面的作用
网络嗅探器的功能主要是:通过捕获和分析网络上传输的数据来监视网络数据运行。
利用它能够随时掌握网络的实际状况,查找网络漏洞和检测网络性能;当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。
嗅探技术是一种重要的网络安全攻防技术,网络嗅探器是构成入侵检测系统和网络管理工具的基石。
3.分析网络扫描器在网络管理和网络安全方面的作用
扫描器是一种自动检测远程或本地主机安全性弱点的程序,通过使用扫描器你可一不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。这就能让我们间接的或直观的了解到远程主机所存在的安全问题。
五、实验心得
在这次实验中,我理解了网络监听(嗅探)的工作机制和作用,学习了常用网络嗅探工具Sniffer和协议分析工具Wireshark的使用。在实验中,我了解到扫描网络可以知道人的一举一动,我们要提高自己的安全意识,在以后的学习中更加注意加强安全意识。
实验四、安全电子邮件PGP 应用
一、实验目的
1. 熟悉并掌握PGP 软件的使用
2. 进一步理解加密与数字签名的过程和作用
二、实验内容
1.在理解PGP 原理和实现背景的前提下,掌握安全电子邮件PGP 软件的安装和配置方法。发送和接收安全电子邮件,通过实际操作,熟悉和掌握对邮件的加密和认证。
2.分析SSL 的会话建立及数据交换过程,进一步理解SSL 的两层结构和四种协议。
3.使用及分析SSH 登录、文件传输过程。
三、实验内容要求
1. 传统加密
任意选择一个文件,用传统加密方式对它进行加密和解密。
2. 生成自己的密钥对
要求用户ID 中必须包含自己的学号。
3. 加密文件
任意选择一个文件,用混合加密方式对它进行加密和解密。观察各种选项的作用。
4. 数字签名
任意选择一个文件,对它进行签名,然后验证。对文件略作修改后,看是否仍能通过验证。
5. 交换并验证公钥
通过电子邮件(或其它方式)和其他同学交换公钥,并验证公钥的有效性。然后,可以相互
发送加密电子邮件。
6. 分割秘钥
要求几个人合作,分割一个秘钥,每个人保管一份。然后,当需要解密文件或验证签名时,
通过网络恢复出秘钥。
7. 考核
向学生A发送一封电子邮件,谈谈你对本实验的看法和建议。要求用学生A的公钥加密,并用你的秘钥签名。在电子邮件的附件中包含你的公钥证书。
8. 观察并记录实验过程及结果,给出实验结论
四、实验步骤
安全电子邮件PGP 应用与分析
1.安装PGP8.0.3,选择合适的用户类型和支持组件。
2.生成私钥(分别输入用户名,电子邮件地址和密码),之后PGP 会自动生成公钥。对密钥进
行设置:把自己的公钥传到公钥服务器上。
3.在“General(常规)”选项卡:选中“Faster key generation(快速生成密钥)”
4 . 在“Single Sign-On(一次登录)”下,可以按照自己的实际情况选择PGP 缓存密码的时限。5.“File(文件)”选项卡下显示了公钥和私钥的保存位置,建议通过点击“Browse(览)按钮把公钥和私钥的默认保存位置转移到非系统盘的其它硬盘分区中。
6.在“Email(电子邮件)”选项卡选择“Sign new messages by default(默认签名新邮件)”选择“Automatically decrypt/verify when opening messages(打开邮件后自动解密/验证)”建议选择“Always use Secure Viewer when decrypting(解密时使用安全查看器)”。
7.应用1:
发送方向接收方发送了一封经过签名的电子邮件,接收方要检查这个邮件是否确实是发送
方发来的,以及在传送过程中有没有被第三方修改。
假设发送方使用的是PGP 桌面版以及Outlook 2003,而接收方使用的是PGP 桌面版和
Outlook Express 6。