论文部分内容阅读
摘 要:数字证书技术普遍应用在现代网络信息保护领域,本文通过设计一组实训环境,从搭建证书服务器到申请、颁发证书、用证书保护电子邮件到截获邮件验证,全方位体验式的加深对数字证书技术的理解,可用于对数字证书理解和实训的人员参考。
关键词:数字证书;非对称加密;数字签名
数字证书技术在现代网络安全体系中扮演着极其重要的角色,以非对称加密技术为核心的数字证书承载着网络安全的基石,但由于数字证书体系的复杂性,在网络安全教学中往往对这一部分仅限于理论说明,很多学生即使学习完理论,对数字证书的整个流程还是语焉不详,为了让学生能真正透彻理解这部分知识,我在教学中利用机房现有软硬件环境,设计了针对高职学生网络安全课程数字证书部分的实训项目,让学生亲自动手搭建整个系统,并从证书服务器搭建到证书申请和颁发,以及通过数字签名和加密保护电子邮件,截获邮件验证这样的一个全过程,让学生有了切身感受,加深了理解,取得了很好的效果。
一、相关概念
1.CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书。
2.数字证书,就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
3.非对称加密,与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
4.数字签名,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。
二、实验环境
实验环境采用了学校机房通用的Vmware Workstation软件,布置一台WIN2003系统(搭建证书服务器、IIS、邮件、DNS),两台安装Outlook Express的windows系统做测试机,对于一般机房机器完全可以在一台机器中完成所有实验,如果机器性能不够也可以用三台计算机实现。
三、简易实验步骤
1.安装服务器,在win2003中安装IIS、DNS、邮件、证书服务器,选用2003系统的原因是占用资源少并且集成邮件系统,布置和测试相对简单,便于学生集中精力在理解数字证书这个主要问题上。
2.在DNS中建立邮件域名的解析,在两台测试机上添加DNS服务器地址,并测试域名的解析正确。
3.在邮件系统中创建两个用户A1和A2,在两台测试机(下文用A1用户登录测试机1,A2用户登录测试机2,)上分别用A1和A2用户在Outlook Express测试互发邮件正常。
4.在A1机器上打开win2003机器的网站(http://地址/certsrv),申请数字证书,选择电子邮件保护证书,并在服务器上颁发证书,然后A1机器下载证书并安装到系统中,同理A2机器也申请并下载安装证书。
四、验证
A1向A2发送签名邮件,A2接受并打开,此时A2就获得了A1的公钥,A2就可以给A1发送用A1的公鑰加密的邮件,由于A1私钥只有A1自己有,并未在网上传输,具有很高的安全性,所以只有A1能打开加密邮件,并且即使被截获,也是安全的。
用两封标题和内容完全一样的邮件做测试,第一封是没有加密的,第二封信是用A1的公钥加密的。第一封信用SNIFFER软件截获如图1所示,用解码软件(如MAIL DECODER)很容易获得信件内容,而第二封邮件用公钥加密后为乱码,没有私钥无法解码。
五、总结
数字证书技术已经广泛的应用于我们日常的各类应用中,安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。其中包括大家最为熟悉的用于网上银行的USBkey和部分使用数字证书的VIEID即网络身份证如支付宝、12306火车票等等,它保障着我们庞大的交易系统和各类商务领域的安全,理解并掌握其原理才能更好的服务于应用,构建安全可靠的网络环境。
作者简介:
徐峰(1970.09—),男,汉族,山东威海人,教授职称,硕士学位,无锡城市职业技术学院物联网工程学院教师。
关键词:数字证书;非对称加密;数字签名
数字证书技术在现代网络安全体系中扮演着极其重要的角色,以非对称加密技术为核心的数字证书承载着网络安全的基石,但由于数字证书体系的复杂性,在网络安全教学中往往对这一部分仅限于理论说明,很多学生即使学习完理论,对数字证书的整个流程还是语焉不详,为了让学生能真正透彻理解这部分知识,我在教学中利用机房现有软硬件环境,设计了针对高职学生网络安全课程数字证书部分的实训项目,让学生亲自动手搭建整个系统,并从证书服务器搭建到证书申请和颁发,以及通过数字签名和加密保护电子邮件,截获邮件验证这样的一个全过程,让学生有了切身感受,加深了理解,取得了很好的效果。
一、相关概念
1.CA机构,又称为证书授证(Certificate Authority)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书。
2.数字证书,就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。它是由权威机构——CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。
3.非对称加密,与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
4.数字签名,所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,主要是基于公钥密码体制的数字签名。
二、实验环境
实验环境采用了学校机房通用的Vmware Workstation软件,布置一台WIN2003系统(搭建证书服务器、IIS、邮件、DNS),两台安装Outlook Express的windows系统做测试机,对于一般机房机器完全可以在一台机器中完成所有实验,如果机器性能不够也可以用三台计算机实现。
三、简易实验步骤
1.安装服务器,在win2003中安装IIS、DNS、邮件、证书服务器,选用2003系统的原因是占用资源少并且集成邮件系统,布置和测试相对简单,便于学生集中精力在理解数字证书这个主要问题上。
2.在DNS中建立邮件域名的解析,在两台测试机上添加DNS服务器地址,并测试域名的解析正确。
3.在邮件系统中创建两个用户A1和A2,在两台测试机(下文用A1用户登录测试机1,A2用户登录测试机2,)上分别用A1和A2用户在Outlook Express测试互发邮件正常。
4.在A1机器上打开win2003机器的网站(http://地址/certsrv),申请数字证书,选择电子邮件保护证书,并在服务器上颁发证书,然后A1机器下载证书并安装到系统中,同理A2机器也申请并下载安装证书。
四、验证
A1向A2发送签名邮件,A2接受并打开,此时A2就获得了A1的公钥,A2就可以给A1发送用A1的公鑰加密的邮件,由于A1私钥只有A1自己有,并未在网上传输,具有很高的安全性,所以只有A1能打开加密邮件,并且即使被截获,也是安全的。
用两封标题和内容完全一样的邮件做测试,第一封是没有加密的,第二封信是用A1的公钥加密的。第一封信用SNIFFER软件截获如图1所示,用解码软件(如MAIL DECODER)很容易获得信件内容,而第二封邮件用公钥加密后为乱码,没有私钥无法解码。
五、总结
数字证书技术已经广泛的应用于我们日常的各类应用中,安全电子邮件、访问安全站点、网上招标投标、网上签约、网上订购、安全网上公文传送、网上缴费、网上缴税、网上炒股、网上购物和网上报关等。其中包括大家最为熟悉的用于网上银行的USBkey和部分使用数字证书的VIEID即网络身份证如支付宝、12306火车票等等,它保障着我们庞大的交易系统和各类商务领域的安全,理解并掌握其原理才能更好的服务于应用,构建安全可靠的网络环境。
作者简介:
徐峰(1970.09—),男,汉族,山东威海人,教授职称,硕士学位,无锡城市职业技术学院物联网工程学院教师。