Secure 第五天作业

实验需求：

1. 需求一拓扑：

按照以上拓扑所示，完成以下需求：

1. 简述PKI基础架构是由哪些系统构建而成；
2. 简述散列函数的特点；
3. 简述对称密钥和非对称密钥的优缺点，以及适用场合；
4. 简述什么是数字签名；
5. 简述一个完整的数字证书是由哪些内容所组成；
6. 配置HUB路由器为CA；
7. Spoke1使用SCEP在线方式申请证书，Spoke2使用PKCS#10离线申请证书；
8. 在Spoke1和Spoke2之间配置基于证书认证的IPSec VPN，使两台路由器的环回口都能相互通讯。

设备配置：

1） 简述 PKI 基础架构是由哪些系统构建而成

一个典型的PKI系统包括PKI策略、软硬件系统、证书机构CA、注册机构RA、证书发布系统和PKI应用等。

PKI安全策略

建立和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。它包括一个组织怎样处理密钥和有价值的信息，根据风险的级别定义安全控制的级别。 

证书机构CA

证书机构CA是PKI的信任基础，它管理公钥的整个生命周期，其作用包括：发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书。 [1] 

注册机构RA

注册机构RA提供用户和CA之间的一个接口，它获取并认证用户的身份，向CA提出证书请求。它主要完成收集用户信息和确认用户身份的功能。这里指的用户，是指将要向认证中心(即CA)申请数字证书的客户，可以是个人，也可以是集团或团体、某政府机构等。注册管理一般由一个独立的注册机构(即RA)来承担。它接受用户的注册申请，审查用户的申请资格，并决定是否同意CA给其签发数字证书。注册机构并不给用户签发证书，而只是对用户进行资格审查。因此，RA可以设置在直接面对客户的业务部门，如银行的营业部、机构认识部门等。当然，对于一个规模较小的PKI应用系统来说，可把注册管理的职能由认证中心CA来完成，而不设立独立运行的RA。但这并不是取消了PKI的注册功能，而只是将其作为CA的一项功能而已。PKI国际标准推荐由一个独立的RA来完成注册管理的任务，可以增强应用系统的安全。 

证书发布系统

证书发布系统负责证书的发放，如可以通过用户自己，或是通过目录服务器发放。目录服务器可以是一个组织中现存的，也可以是PKI方案中提供的。 [1] 

PKI的应用

PKI的应用非常广泛，包括应用在web服务器和浏览器之间的通信、电子邮件、电子数据交换(EDI)、在Internet上的信用卡交易和虚拟私有网(VPN)等。 [1] 

通常来说，CA是证书的签发机构，它是PKI的核心。众所周知，构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及一对密钥(即私钥和公钥)，私钥只由用户独立掌握，无须在网上传输，而公钥则是公开的，需要在网上传送，故公钥体制的密钥管理主要是针对公钥的管理问题，较好的方案是数字证书机制。

2） 简述散列函数的特点

1、固定大小 2、雪崩效应、单向、冲突避免

3） 简述对称密和非对称密钥的优缺点，以及适用场合

对称密钥

优点：速度快、 安全、紧凑

缺点：明文传输共享密钥，容易出现中途劫持和窃听

               随着参与者数量增多，密钥数量也增多

               随着密钥增多，对密钥管理存储存在问题

               不支持数字签名和不可否认性

非对称加密

优点：安全、密钥数目和参与者数目相同、在交换公钥之前不需要建立某种信任关系、支持数字签名和不可否认性。

缺点：加密速度慢、密文会变长

对称加密与算法的加密和解密密钥相同，算法速度快，但在密钥交换环节容易出现泄密，主要用在大量文档主体的加密；非对称加密与算法的加密和解密密钥不同，加解密的计算量大，但不存在密钥的交换问题，安全性好，主要用在数字签名，对称密钥的加密、数字封装等方面。

4） 简述什么是 签名

数字签名（又称公钥数字签名）是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术来实现的，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。数字签名是非对称密钥加密技术与数字摘要技术的应用。

5） 简述一个完整的数字证书是由哪些内容所组成

数字证书包括：公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。

数字证书是一种权威性的电子文档，可以由权威公正的第三方机构，即CA(例如中国各地方的CA公司)中心签发的证书，也可以由企业级CA系统进行签发。

它以数字证书为核心的加密技术(加密传输、数字签名、数字信封等安全技术)可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性及交易的不可抵赖性。使用了数字证书，即使您发送的信息在网上被他人截获，甚至您丢失了个人的账户、密码等信息，仍可以保证您的账户、资金安全。

它是能提供在 Internet 上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份。当然在数字证书认证的过程中证书认证中心(CA)作为权威的，公正的，可信赖的第三方，其作用是至关重要的。

数字证书可用于:发送安全电子邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动

AB双方交换公钥 可信的（离线）

将A的id 公钥 md5 计算得到 散列1

A将ID 公钥 散列1 先用A的私钥加密在用B公钥加密发给B

B 先用私钥解密再用A的公钥解密得到 A的id 公钥  散列1

B将A的id 公钥  md5计算得到散列2

比较散列一和散列 二

如果一致 用B的私钥加密 A将ID 公钥

得到A的证书 包括 A的ID 公钥 B的签名

最后再发给A

6） 配置 HUB 路由器为 CA

ip domain name lxf.com

crypto pki server lxf.CA

issuer-name cn=CA.lxf.com,c=cn,l=Beijing

noshutdown

7） Spoke1 使用 SCEP 在线方式申请证书，Spoke2 使用 PKCS#10 离线申请证书

吊销R2证书  crypto pki server lxf.CA revoke 0x3

Spoke1

ip domain name lxf.com

!

crypto pki trustpoint CA

 enrollment url http://202.100.1.100:80

 serial-number

 revocation-check crl

获取根证书

cryptpo pki authenticate CA    和CA确认yes

show crypto pki certificates

crypto pki enroll CA

申请个人证书

Crypto pki enroll CA

服务器分发证书

show crypto pki server lxf.CA requests   查看

crypto pki server lxf.CA grant ReqID   分发

Spoke2

ip domain name lxflxf

crypto pki trustpoint CA

 enrollment terminal

 revocation-check none

导出CA的根证书

crypto pki export lxf.CA pem terminal

R2导入CA根证书

crypto pki authenticate CA

申请个人证书

Crypto pki enroll CA

CA分发

Crypto pki     server lxf.CA request pkcs10 terminal

Crypto pki server lxf.CA grant all

R2导入个人证书

Crypto pki import CA certificate

8） 在 Spoke1 和 Spoke2 之间配置基于证书认证的 IPSec VPN，使两台路由器的环

回口都能相互通讯

R1

crypto isakmp policy 10

!

!

crypto ipsec transform-set cisco esp-des esp-md5-hmac

 mode tunnel

!

!

!

crypto map cisco 10 ipsec-isakmp

 set peer 202.100.1.2

 set transform-set cisco

 match address vpn

ip route 0.0.0.0 0.0.0.0 202.100.1.2

!

ip access-list extended vpn

 permit ip host 1.1.1.1 host 2.2.2.2 

interface Ethernet0/0

 crypto map cisco

!

R2

crypto isakmp policy 10

!

!

crypto ipsec transform-set cisco esp-des esp-md5-hmac

 mode tunnel

!

!

!

crypto map cisco 10 ipsec-isakmp

 set peer 202.100.1.1

 set transform-set cisco

 match address vpn

ip route 0.0.0.0 0.0.0.0 202.100.1.1

!

ip access-list extended vpn

 permit ip host 2.2.2.2 host 1.1.1.1

interface Ethernet0/0

 crypto map cisco

!

R1#

R1#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

202.100.1.2     202.100.1.1     QM_IDLE           1001 ACTIVE

IPv6 Crypto ISAKMP SA

R1#show crypto isakmp policy

Global IKE policy

Protection suite of priority 10

        encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

        hash algorithm:         Secure Hash Standard

        authentication method:  Rivest-Shamir-Adleman Signature

        Diffie-Hellman group:   #1 (768 bit)

        lifetime:               86400 seconds, no volume limit