SSL单双向验证原理

第一篇：SSL单双向验证原理

SSL单双向验证原理

为了便于更好的认识和理解 SSL 协议，这里着重介绍 SSL 协议的握手协议。SSL协议既用到了公钥加密技术又用到了对称加密技术，对称加密技术虽然比公钥加密技术的速度快，可是公钥加密技术提供了更好的身份认证技术。SSL的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证，其主要过程如下：

① 客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其他服务器和客户端之间通讯所需要的各种信息。② 服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其他相关信息，同时服务器还将向客户端传送自己的证书。

③ 客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过期，发行服务器证书的 CA是否可靠，发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，将继续进行第四步。

④ 用户端随机产生一个用于后面通讯的“对称密码”，然后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中获得）对其加密，然后将加密后的“预主密码”传给服务器。

⑤ 如果服务器要求客户的身份认证（在握手过程中为可选），用户可以建立一个随机数然后对其进行数据签名，将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

⑥如果服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行 CA 的公钥能否正确解开客户证书的发行 CA的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验如果没有通过，通讯立刻中断；如果验证通过，服务器将用自己的私钥解开加密的“预主密码”，然后执行一系列步骤来产生主通讯密码（客户端也将通过同样的方法产生相同的主通讯密码）。

⑦ 服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性，防止数据通讯中的任何变化。

⑧ 客户端向服务器端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。

⑨ 服务器向客户端发出信息，指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。

⑩ SSL 的握手部分结束，SSL 安全通道的数据通讯开始，客户和服务器开始使用相同的对称密钥进行数据通讯，同时进行通讯完整性的检验。

双向认证 SSL 协议的具体过程

① 浏览器发送一个连接请求给安全服务器。

② 服务器将自己的证书，以及同证书相关的信息发送给客户浏览器。

③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是，就继续执行协议；如果不是，客户浏览器就给客户一个警告消息：警告客户这个证书不是可以信赖的，询问客户是否需要继续。

④ 接着客户浏览器比较证书里的消息，例如域名和公钥，与服务器刚刚发送的相关消息是否一致，如果是一致的，客户浏览器认可这个服务器的合法身份。⑤ 服务器要求客户发送客户自己的证书。收到后，服务器验证客户的证书，如果没有通过验证，拒绝连接；如果通过验证，服务器获得用户的公钥。⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦ 服务器从客户发送过来的密码方案中，选择一种加密程度最高的密码方案，用客户的公钥加过密后通知浏览器。

⑧ 浏览器针对这个密码方案，选择一个通话密钥，接着用服务器的公钥加过密后发送给服务器。

⑨ 服务器接收到浏览器送过来的消息，用自己的私钥解密，获得通话密钥。⑩ 服务器、浏览器接下来的通讯都是用对称密码方案，对称密钥是加过密的。上面所述的是双向认证 SSL 协议的具体通讯过程，这种情况要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有 CA证书，具体的过程相对于上面的步骤，只需将服务器端验证客户证书的过程去掉，以及在协商对称密码方案，对称通话密钥时，服务器发送给客户的是没有加过密的（这并不影响 SSL 过程的安全性）密码方案。这样，双方具体的通讯内容，就是加过密的数据，如果有第三方攻击，获得的只是加密的数据，第三方要获得有用的信息，就需要对加密的数据进行解密，这时候的安全就依赖于密码方案的安全。而幸运的是，目前所用的密码方案，只要通讯密钥长度足够的长，就足够的安全。这也是我们强调要求使用 128位加密通讯的原因。

证书各部分的含义

Version，证书版本号，不同版本的证书格式不同

Serial Number，序列号，同一身份验证机构签发的证书序列号唯一

Algorithm Identifier，签名算法，包括必要的参数 Issuer 身份验证机构的标识信息

Period of Validity，有效期

Subject，证书持有人的标识信息

Subject’s Public Key，证书持有人的公钥

Signature，身份验证机构对证书的签名

证书的格式

认证中心所发放的证书均遵循 X.509 V3 标准，其基本格式如下：

证书版本号（Certificate Format Version）含义：用来指定证书格式采用的 X.509 版本号。

证书序列号（Certificate Serial Number）含义：用来指定证书的唯一序列号，以标识 CA 发出的所有公钥证书。

签名（Signature）算法标识（Algorithm Identifier）含义：用来指定 CA 签发证书所用的签名算法。签发此证书的 CA 名称（Issuer）含义：用来指定签发证书的 CA 的 X.500 唯一名称（DN，DistinguishedName）。

证书有效期（Validity Period）起始日期（notBefore）终止日期（notAfter）含义：用来指定证书起始日期和终止日期。

用户名称（Subject）含义：用来指定证书用户的 X.500 唯一名称（DN，Distinguished Name）。

用户公钥信息（Subject Public Key Information）

算法（algorithm）

算法标识（Algorithm Identifier）

用户公钥（subject Public Key）含义：用来标识公钥使用的算法，并包含公钥本身。

证书扩充部分（扩展域）（Extensions）含义：用来指定额外信息。

X.509 V3 证书的扩充部分（扩展域）及实现方法

CA 的公钥标识（Authority Key Identifier）

公钥标识（SET 未使用）（Key Identifier）

签发证书者证书的签发者的甄别名（Certificate Issuer）

签发证书者证书的序列号（Certificate Serial Number）

X.509 V3 证书的扩充部分（扩展域）及实现

CA 的公钥标识（Authority Key Identifier）

公钥标识（SET 未使用）（Key Identifier）

签发证书者证书的签发者的甄别名（Certificat

签发证书者证书的序列号（Certificate Serial N含义：CA 签名证书所用的密钥对的唯一标识

用户的公钥标识（Subject Key Identifier）含义：用来标识与证书中公钥相关的特定密钥进行解密。

证书中的公钥用途（Key Usage）含义：用来指定公钥用途。

用户的私钥有效期（Private Key Usage Period）

起始日期（Note Before）

终止日期（Note After）含义：用来指定用户签名私钥的起始日期和终止日期。CA 承认的证书政策列表（Certificate Policies）含义：用来指定用户证书所适用的政策，证书政策可由对象标识符表示。

用户的代用名（Substitutional Name）含义：用来指定用户的代用名。CA 的代用名（Issuer Alt Name）含义：用来指定 CA 的代用名。

基本制约（Basic Constraints）含义：用来表明证书用户是最终用户还是 CA。在 SET 系统中有一些私有扩充部分（扩展域）Hashed Root Key 含义：只在根证书中使用，用于证书更新时进行回溯。

证书类型（Certificate Type）含义：用来区别不同的实体。该项是必选的。商户数据（Merchant Data）含义：包含支付网关需要的所有商户信息。

持卡人证书需求（Card Cert Required）含义：显示支付网关是否支持与没有证书的持卡人进行交易。

SET 扩展（SETExtensions）含义：列出支付网关支持的支付命令的 SET 信息扩展。

CRL 数据定义版本（Version）含义：显示 CRL 的版本号。

CRL 的签发者（Issuer）含义：指明签发 CRL 的 CA 的甄别名。CRL 发布时间（this Update）

预计下一个 CRL 更新时间（Next Update）

撤销证书信息目录（Revoked Certificates）

CRL 扩展（CRL Extension）

CA 的公钥标识（Authority Key Identifier）

CRL 号（CRL Number）

第二篇：室内单站验证考试题及答案

1、室内覆盖指标要求_90_%的区域达到_-105__dBm以上。

2、室内单点测试中好点下行测试要求TM3达到_50__Mbps，TM1达到__35__Mbps。

3、室内信号泄漏到室外指标要求为__建筑物外10m要求满足室外室内信号比>10dB,或者

室内信号<-110dBm __。

4、室内小区基本参数核查包括__PCI、频点、BW、子帧配置、天线间距、CELL ID、eNB ID、TAC等____。

5、子帧配置1的上下行时隙配置为__DSUUD___。

6、室内单站验证内容主要包括以下哪些内容：

A、室内覆盖测试

B、切换测试

C、业务性能测试

D、泄漏测试

答：A、B、C、D7、室内单站验证测试中定点测试包括：

A、室内外切换测试

B、上行吞吐量测试

C、下行吞吐量测试

D、PING时延测试

答：B、C、D8、室内单站验证常用工具为？

A、测试数据卡

B、路测软件

C、纸质地图及电子地图

D、倾角仪

答：A、B、C9、室内单站验证前准备工作包括？

A、工参表整理。

B、站点信息确认。

C、测试区域选择。

D、测试设备检查。

答：A、B、C、D10、室内小区的好中差点确定依据？

A、RSRP

B、SINR

C、下行吞吐量

D、上行吞吐量

答：A

第三篇：SSL实验报告

搭建证书服务器

步骤：

1、登陆Windows Server 2008服务器

2、打开【服务器管理器】

3、点击【添加角色】，之后点击【下一步】

4、找到【Active Directory证书服务】勾选此选项，之后点击【下一步】；

5、进入证书服务简介界面，点击【下一步】

6、将证书颁发机构、证书颁发机构WEB注册勾选上，然后点击【下一步】

7、勾选【独立】选项，点击【下一步】（由于不在域管理中创建，直接默认为：“独立”）

8、首次创建，勾选【根CA】，之后点击【下一步】

9、首次创建勾选【新建私钥】，之后点击【下一步】；

10、默认，继续点击【下一步】；

11、默认，继续点击【下一步】

12、默认，继续点击【下一步】

13、默认，继续点击【下一步】

14、点击【安装】

15、点击【关闭】，证书服务器安装完成

搭建WEB服务器端SSL证书应用

步骤:

1、打开IIS，WEB服务器，找到【服务器证书】并选中

2、点击【服务器证书】，找到【创建证书申请】项

3、单击【创建证书申请】，打开【创建证书申请】后，填写相关文本框，“通用名称”必需填写本机IP（192.168.72.128），单击【下一步】

4、默认，点击【下一步】

5、选择并填写需要生成文件的保存路径与文件名, 此文件后期将会被使用；（保存位置、文件名可以自行设定），之后点击【完成】，此配置完成，子界面会关闭

6、接下来，点击IE（浏览器），访问：http://192.168.72.128/certsrv/（本机ip）此时会出现证书服务页面；点击【申请证书】，进入下一界面点击【高级证书申请】，进入下一界面点击【创建并向此CA提交一个申请】，进入下一界面，此时会弹出一个提示窗口：“为了完成证书注册，必须将该CA的网站配置为使用HTTPS身份验证”；也就是必须将HTTP网站配置为HTTPS的网站，才能正常访问当前网页及功能

7、搭建HTTPS的网站：

方法：打开IE(浏览器)，找到工具栏，点击【工具栏】，找到它下面的【Internet选项】；、点击【Internet选项】->点击【安全】->点击【可信站点】；

10、点击【可信站点】，并输入之前的证书网站地址：http://192.168.72.128/certsrv，并将其【添加】到信任站点中；添加完后，点击【关闭】，关闭子界面

11、接下来，继续在【可信站点】位置点击【自定义级别】，此时会弹出一个【安全设置】子界面，在安全设置界面中拖动右别的滚动条，找到【对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本】选项，将选为【启用】；之后点击所有【确定】操作，直到【Internet选项】子界面关闭为止

12、完成上面操作后，先将IE关闭，然后重新打开，输入：http://192.168.72.128/certsrv；页面出来后点击【申请证书】，【高级证书申请】，【使用base64编码的CMC或PKCS#10文件提交一个证书申请，或使用Base64编码的PKCS#7文件续订证书申请】

13、将之前保存的密钥文档文件找到并打开，将里面的文本信息复制并粘贴到“Base-64编码的证书申请”文本框中；确定文本内容无误后，点击【提交】

14、此时可以看到提交信息，申请已经提交给证书服务器，关闭当前IE

15、打开证书服务器处理用户刚才提交的证书申请； 回到Windows【桌面】->点击【开始】->点击【运行】，在运行位置输入：certsrv.msc，然后回车就会打开证书服务功能界面；

打开后，找到【挂起的申请】位置，可以看到之前提交的证书申请；

（图17）

18、点击鼠标右键会出现【所有任务】，点击【所有任务】->点击【颁发】将挂起的证书申请审批通过，此时挂起的证书会从当前界面消失，即代表已完成操作

19、点击【颁发的证书】，可以看到新老已审批通过的证书

20、重新打开IE，输入之前的网址：http://192.168.72.128/certsrv/； 打开页面后，可点击【查看挂起的证书申请的状态】；之后会进入“查看挂起的证书申请的状态”页面，点击【保存的申请证书】；

21、进入新页面后，勾选Base 64编码，然后点击【下载证书】,将已申请成功的证书保存到指定位置，后续待用；

22、打开IIS服务器，点击【服务器证书】->【完成证书申请】->选择刚保存的证书，然后在“好记名称”文本框中输入自定义的名称，完后点击【确定】

23、上述操作完后，可在“服务器证书”界面下看到证书

24、点击左边的【Default Web Site】菜单，然后找到【绑定】功能，点击【绑定】功能，会弹出【网站绑定】界面，默认会出现一个类型为http，端口为80的主机服务，然后点击【添加】，会弹出【添加网站绑定】界面，在此界面中选择“类型：https”、“SSL证书：JZT_TEST1”，然后点【确定】；点完确定后，会看到【网站绑定】子界面中有刚配的HTTPS服务，点击【关闭】，子界面消失

25、点击左菜单上的【CertSrv】证书服务网站，然后点击【SSL设置】

26、进入SSL设置页面，勾选上“要求SSL”即启用SSL功能，然后点击【应用】，保存设置

27、打开IE，再次输入：https://192.168.70.128

第四篇：室内单站验证考试题及答案[CH]

1、室内覆盖指标要求_90_%的区域达到_-105__dBm以上。

2、室内单点测试中好点下行测试要求TM3达到_50__Mbps，TM1达到__35__Mbps。

3、室内信号泄漏到室外指标要求为或者

室内信号<-110dBm __。

4、室内小区基本参数核查包括__PCI、频点、BW、子帧配置、天线间距、CELL ID、eNB ID、TAC等____。

5、子帧配置1的上下行时隙配置为__DSUUD___。

6、室内单站验证内容主要包括以下哪些内容：

A、室内覆盖测试

B、切换测试

C、业务性能测试

D、泄漏测试

答：A、B、C、D7、室内单站验证测试中定点测试包括：

A、室内外切换测试

B、上行吞吐量测试

C、下行吞吐量测试

D、PING时延测试

答：B、C、D8、室内单站验证常用工具为？

A、测试数据卡

B、路测软件

C、纸质地图及电子地图

D、倾角仪

答：A、B、C9、室内单站验证前准备工作包括？

A、工参表整理。

B、站点信息确认。

C、测试区域选择。

D、测试设备检查。

答：A、B、C、D10、室内小区的好中差点确定依据？

A、RSRP

B、SINR

C、下行吞吐量

D、上行吞吐量

答：A

第五篇：实验基尔霍夫定律叠加原理的验证

实验基尔霍夫定律及叠加原理的验证

一．实验目的1．验证基尔霍夫定律的正确性，加深对基尔霍夫定律的理解。

2．学会用电流插头、插座测量各支路电流的方法。

3．验证线性电路叠加原理的正确性，从而加深对线性电路的叠加性和齐次性的认识和理解。

二．实验原理

基尔霍夫定律是电路的基本定律,测量某电路的各支路电流及多个元件两端的电压，应能分别满足基尔霍夫电流定律和电压定律。即对电路中的任一个节点而言,应有∑I＝0；对任何一个闭合回路而言，应有∑U＝0。

运用上述定律时必须注意电流的正方向，此方向可预先任意设定。

叠加原理指出：在有几个独立源共同作用下的线性电路中，通过每一个元件的电流或其两端的电压，可以看成是由每一个独立源单独作用时在该元件上所产生的电流或电压的代数和。

线性电路的齐次性是指当激励信号（某独立源的值）增加或减小Ｋ倍时，电路的响应（即在电路其他各电阻元件上所建立的电流和电压值）也将增加或减小Ｋ倍。

三．实验设备

1．直流电压表0～20Ｖ

2．直流毫安表

3．恒压源（+6V，+12V，0～30V）

4．实验线路板

四．实验电路

基尔霍夫定律实验线路如图2—1所示

叠加原理实验线路如图2-2所示。

五．实验内容

基尔霍夫定律

1．实验前先任意设定三条支路的电流参考方向，如图中的I1、I2、I3所示，并熟悉线路

结构，掌握各开关的操作使用方法。

2．分别将E1、E2两路直流稳压源（E1为+6V，+12V切换电源，E2接0～30V可调直流稳压源）接入电路，令E1＝6V，E2＝12V。

3．熟悉电源插头的结构，将电流插头的两端接至数字毫安表的“＋、－”两端。

4．将电流插头分别插入三条支路的三个电流插座中，读出并记录电流值。5．用直流数字电压表分别测量两路电源及电阻元件上的电压值，记入

数据表2-1中

叠加原理

1．E1为+6V、+12V切换电源，取E1=+12V，E2为可调直流稳压电源调至+6V； 2．令E1电源单独作用时（将开关K1投向E1侧，开关K2投向短路侧），用直流电压表和毫安表（接电流插头）测量各支路电流及各电阻元件两端的电压，3．令Ｅ2电源单独作用时（将开关K1投向短路侧，开关Ｋ2投向Ｅ２侧），重复实验步骤２的测量和记录。

4．令Ｅ1和Ｅ2共同作用时（开关Ｋ1和Ｋ2分别投向Ｅ1和Ｅ2侧），重复上述的测量和记录。

5．将Ｅ2的数值调至＋12Ｖ，重复上述3项的测量并记录。

数据记入表格2—2。表2—

2六．实验注意事项

1．所有需要测量的电压值，均以电压表测量的读数为准，不以电源表盘 指示值为测量的电压值。

2．防止电源两端碰线短路。

3．若用指针式电流表进行测量时，要识别电流插头所接电流表的“＋、－”极性，倘若不换接极性，则电表指针可能反偏（电流为负值时），此时必须调换电流表极性，重新测量，此时指针正偏，但读得的电流值必须冠以负号。

4．用电流表测量各支路电流时，应注意仪表的极性及数据表格中“＋、－”号的记录。5．注意仪表量程的及时更换。

七．预习思考题

1．根据图1-1的电路参数，计算出待测的电流I1、I2和I3和各电阻上的电压值，记入表中，以便实验测量时，可正确地选定毫安表和电压表的量程。

2．实验中，若用万用表直流毫安档测各支路电流,什么情况下可能出现毫安表指针反偏，应如何处理，在记录数据时应注意什么？若用直流数字毫安表进行测量时，则会有什么显示

3．叠加原理中E1、E2分别单独作用，在实验中应如何操作？可否直接将不作用的电源（E1或E2）置零（短接）？

4．实验电路中，若有一个电阻器改为二极管，试问叠加原理的迭加性与齐次性还成立吗？为什么？

八．实验报告

1．根据实验数据，选定实验电路中的任一个节点，验证KCL的正确性。2．根据实验数据，选定实验电路中的任一个闭合回路，验证KVL的正 确性。

3．根据实验数据表格，进行分析、比较、归纳、总结实验结论，即验证线性电路的叠加性与齐次性。

4．各电阻器所消耗的功率能否用叠加原理计算得出？试用上述实验数据，进行计算并作结论。

5．通过实验步骤6及分析数据表格1-3，你能得出什么样的结论？ 6．误差原因分析。心得体会及其他