对比
一、网络安全实验教学系统主要模块包括了
(1) PKI/CA实验模块 (2) 密码学实验模块
(3) 网络攻防实验模块 (4) 防病毒实验模块
(5) 无线网络安全实验模块 (6) 防火墙实验模块
(7) DDoS测试及防御实验模块 (8) VPN实验模块
(9) 入侵检测实验模块
二、各模块功能介绍
1、PKI/CA实验模块
鉴于非对称密码体制的实施离不开PKI/CA系统的支撑,我公司针对不同需求开发了一套完整的用于教学和实验的PKI/CA教学系统,针对教学用途的CA认证系统,分为两级体系结构:第一级为证书签发中心(CA系统服务器);第二级为审核受理点(LRA受理点)。
CA系统由CA SERVER、CA DataBase、RA SERVER组成,按实际需要,这几个组件可以集成放置于同一台主机上。
CA
CA由一台CA服务器组成:CA服务器用于签发和管理用户证书。CA提供如下功能:
(1) 接收RA中心提交的证书申请和证书撤消申请信息;
(2) 签发用户证书;
(3) 签发CRL;
(4) 证书归档;
(5) 向密钥管理中心发送证书申请人信息;
(6) 向密钥管理中心申请密钥对信息;
(7) CA的密钥管理;
(8) CA的系统管理。
CA数据库
CA数据库用来存放待用的密钥对信息、密钥备份信息、密钥恢复申请信息、操作日志信息等。数据库采用MYSQL,直接安装在CA服务器上,MYSQL作为CA服务器在密钥管理、用户管理方面的重要组成部份。
RA中心
RA中心由RA管理系统和对外服务系统组成。
RA管理系统
RA管理系统中的数据库存储整个CA认证系统中的所有用户信息和证书信息,所有提交的证书申请以及对外发布的数据由RA管理系统进行控制和处理,因此需要保障该数据库的安全。RA数据库中存储了所有的证书申请信息、证书撤销申请信息、证书信息、CRL信息,还包括系统的操作日志等数据,RA 还应保管用户证书和证书黑名单。为用户提供证书查询服务。
RA管理终端
负责对所有证书申请信息、证书撤消申请信息、密钥恢复申请信息进行二次审核,并负责对RA管理系统的数据库数据进行统计和管理。
对外服务系统
用于对外发布证书信息、接收用户证书申请、提供证书OCSP查询服务等。
WWW服务器
WWW服务器负责接收LRA上传的证书申请、证书撤消申请、密钥恢复申请等信息,并存入RA管理系统的数据库中,供审核受理终端二次审核。同时,WWW服务器提供证书和CRL的发布、查询、下载等服务。任何与WWW服务器的连接都采用SSL方式,以保证数据传输的机密性。
LDAP目录服务
LDAP目录服务用于对外发布证书信息,该服务中的数据与RA管理系统中的LDAP目录服务中的数据保持同步。
LRA受理点
LRA受理点主要负责为用户提交证书申请、证书撤销申请信息以及为用户制证。LRA受理点的管理员通过RA中心的WWW服务器对用户信息(证书申请、审核等)进行管理,信息传输的安全性由SSL协议保证。
开设PKI/CA课程时,需要掌握数字证书的概念,CA中心的组成、证书的签发、申请、证书发布、证书查询、证书废除以及用户密钥管理等功能服务。可以完成如下实验:
(1) 证书申请 (2) 证书签发
(3) 证书发布 (4) 证书查询
(5) 证书废除(CRL证书撤销列表) (6) 用户及密钥管理等
密码学与CA应用
为了培养学生把所学的知识用于解决实际问题的能力,我公司还设计了如下基于密码技术、PKI技术的安全应用实验。
Outlook安全电子邮件
采用数字证书,实现安全电子邮件传输,发送加密邮件和数字签名邮件。观察不同类型数字证书的配置及其作用。实验包括:
(1) 数字证书在邮件系统中的配置 (2) 发送加密邮件实验
(3) 发送数字签名邮件 (4) 发送加密和签名邮件
(5) 对加密、签名之后邮件的源文件的比较
PGP的邮件加密标准实验
(1) 文件加解密实验 (2) 利用PGP发送加密邮件
(3) 利用PGP发送数字签名邮件 (4) 利用PGP发送加密和签名邮件
SSH安全协议
理解SSH协议,采用SSH客户端软件(例如SecureCRT)登陆SSH服务器(Linux),同时利用sniffer抓包工具,比较采用SSH协议的数据与Telnet数据之间的差别。可以完成的实验包括:
(1) SSH客户端的配置
(2) SSH服务器端的配置
(3) 基于共享密钥情况下,SSH客户端访问SSH服务器端
(4) 基于公钥密码体制,SSH客户端登陆实验
基于操作系统的EFS加密演示
理解EFS加密文件系统的原理,利用EFS功能保护NTFS分区的文件系统。可以完成的实验包括:
(1) EFS对目录的加密
(2) 更换不同登陆帐号,观察EFS加密之后的目录的访问权限的变化
(3) EFS的密钥备份与恢复
文件、文件夹加密工具演示
可以选择的工具较多,例如采用gnupg软件,利用证书、配置密钥,实现文件系统的加解密、签名及验证等多种实验演示。
SSL协议WEB服务演示
SSL协议是非常重要的安全协议,电子商务和电子政务等很多基于WEB的应用都是采用SSL协议,因此在理解SSL协议的基础上,对浏览器和WEB服务器进行安全配置非常必要。可以完成实验包括:
(1) WEB服务器上,服务器证书的申请
(2) 浏览器上,证书管理器的使用(证书的导入、导出等)
(3) IIS WEB服务器上SSL协议支持的相关配置
在Linux操作系统中利用CIPE配置VPN
CIPE(crypto IP encapsulation)是主要为Linux开发的VPN实现软件。CIPE使用默认的CIPE加密机制(标准的Blowfish或IDEA加密算法)来加密IP分组,并把这些分组封装在UDP中。然后,这些UDP分组再通过CIPE虚拟网络设备(cipcbx)和IP层,以及通信公司的网络传输给预想的远程节点。
2、密码学实验模块
在信息安全知识体系中,密码学占据着举足轻重的地位。学生对密码算法和密码体制的理解关系到后续实验内容能否顺利展开。鉴于此,“信息安全实验系统”把密码学实验作为一个重要基础来建设,它可以提供实验如下表所示
(1) 古典密码加密、分析的算法和源代码
(2) 对称密码(AES、IDEA、Kasumi)实验及源代码
(3) WPA的分析实验
(4) 非对称密码(RSA、椭圆曲线)实验及源代码
(5) 数字签名实验,包括群签名、盲签名、代理签名、多重签名、可视化数字签名
(6) RC4流密码攻击集成操作平台,学生可独立进行密钥破解
(7) A5/2流密码攻击算法,学生可独立进行密钥破解
3、防火墙实验模块
利用C/S结构的可视化实验界面,基于IPTABLES的规则配置,可方便防火墙原理知识教学,同时支持普通包过滤、状态检测、应用代理等核心防火墙技术实验。采用创新的系统还原功能,支持防火墙系统实验的痕迹清理,减少实验准备时间及实验设备管理工作量。
4、网络攻防实验系统
系统基本功能包括网络拓扑模拟、网络主机模拟、物理蜜罐、网络攻击行为信息捕获、网络入侵信息分析、攻击过程实时监控和控制中心等七个部分。
5、防病毒实验模块
该系统是基于真实的网络环境及安全设备下搭建起一套真实的防病毒及邮件过滤教学实验系统。支持多种类型病毒实验的教学,所有病毒类型模块采用插件形式,方便功能扩展和升级。
防病毒实验系统提供的实验内容
(1) 病毒特征提取; (2) 脚本病毒实验;
(3) 木马实验; (4) PE病毒实验;
(5) MZ病毒实验; (6) DLL注入型病毒实验;
(7) SQL注入实验; (8) Cookie注入实验;
(9) HTML恶意代码实验; (10) 邮件型病毒实验;
(11) 宏病毒实验; (12) 提供40万病毒库
(13) 提供20万条病毒样本
6、无线网络安全实验模块
我公司研制的无线网络安全教学实验系统以软件无线技术为基础,用USRP2.0+GNU Radio来构建通用的无线网络攻击平台, GNU Radio采用通用硬件¾¾USRP板和普通PC机(其架构如图7所示),作为信号处理软件的平台,具有很多优势:
纯软件的信号处理具有很强大的灵活性,采用通用的高级语言(Python和C++)进行软件开发,扩展性和可移植性很强,开发周期短;同时,基于通用的硬件平台,可以享受计算机技术进步带来的优势,比如CPU处理能力的不断提高和软件技术对的进步等。
GNU Radio平台的架构
无线安全实验系统提供的实验包括:
(1) 无线局域网安全配置实验; (2) 无线局域网攻击实验;
(3) RC4分析实验;
7、 DDoS测试及防御实验模块
该系统是基于网络处理器实现的,支持多种拒绝服务攻击类型,每种流量类型的流量速度、目标等参数可以配置,主要用于拒绝服务攻击测试和防御实验的教学。该系统采用B/S结构设计,方便用户管理及教学。
系统实施环境,
用户PC机:操作系统不限,能运行浏览器即可。
远程控制台:提供Web服务,方便用户选择流量类型,配置流量参数。
流量发生器(支持多台):64位服务器操作系统,Linux-2.6.22。具备1个以太网接口(电口),用于接收控制台下发的配置信息;具备4个千兆以太网接口(电口),可同时向目标发送数据流。
目标:流量发送目标。
提供的实验
(1) 流量发生器设计实验;
(2) 远程控制台设计及操作实验;
(3) 网络层攻击:ARP Flood,ICMP Flood,IGMP Flood;
(4) 传输层攻击:TCP SYN Flood,TCP ACK Flood,TCP NULL Flood;
(5) 应用层攻击:HTTP Flood, DNS Flood。
(6) 反射类攻击:ICMP unreachable Flood,TCP RESET Flood,DNS reflector Flood;
(7) DDoS防御实验。
8、VPN教学实验模块
VPN实验子系统提供目前应用较广的PPTP、IPSec及SSL VPN实验,可供学生进行主流VPN技术的原理学习和配置操作,同时对相关的PPP、IPSec等安全协议进行分析学习。
可提供的实验包括:
(1) 基于PKI与PMI的VPN实验
(2) 基于黑盒的VPN实验
(3) 基于路由器的VPN实验
(4) 基于远程访问的VPN实验
(5) 基于软件的VPN实验
(6) 基于加密方式的VPN实验,具体包括四种协议:PPTP、L2TP、IPSec和SSL
9、入侵检测教学实验模块
采用虚拟设备技术提供对大规模实验的支持,保证多名学生同时参与实验
(1) 提供对交互性实验的支持,并提供友好的人机接口
(2) 支持不同层次的、多用户并发访问的入侵检测技术原理及应用实验,包括异常流量检测、多协议分析、网络入侵检测、主机入侵检测以及虚警率分析等实验
(3) 支持审计日志的智能分析
(4) 支持基于agent的入侵检测实验
(5) 支持入侵检测效果评估实验
(6) 提供源代码
苏公网安备 32059002002276号
