名词解释
1.Kerberos 信任状:
2.通信流:
3.安全策略:是针对安全需求给出的一系列解决方案,决定了对什么样的通信实施安全保护,
以及提供何种安全保护。
4.安全关联AS:指通信的对等方之间为了给需要受保护的数据流提供安全服务,而对某些
要素的一种协定。
5.Kerberos 票据:一个记录,客户可以用它来向服务器证明自己的身份,其中包括客户标识、
会话密钥、时间戳,以及其他一些信息。Ticket 中的大多数信息都被加密,密钥为服务器的
密钥。
6.认证符:认证符(Authenticator)是可用来作为认证的一段加密文字的。当客户端发送票证到目标服务
器时,不管服务器是TGS 或者其他网络服务器,客户端都将一个认证符的放在消息中。
7.Kerberos 域:每个组织或单位都可以建立并维护一个Kerberos 认证系统,该系统称为
Kerberos 域。
8.U2U 认证:用户到用户的认证,即U2U 认证,以保障Kerberos 服务器安全。
9.安全协议及其目的:又称密码协议、安全通信协议,是实现信息安全交换和某种安全目的
的通信协议。
10.NAS:网络接入服务器,为每个用户的网络接入提供随时、临时的服务。
11.PAC:PPTP 接入控制器,与PSTN 或ISDN 线路连接、能够进行PPP 操作和处理PPP 协议
的设备,是PPTP 协议模型的客户端,是PPPLCP 协议的逻辑终点。
12.隧道:一对<PAC,PNS>定义一条隧道,在PAC 和PNS 之间运输PPP 数据报,隧道可以复用
/分用。
13.呼叫:PSTN 或ISDN 网络中两个终端用户间的一次连接或连接企图。
14.安全参数索引SPI:是一个32 位的整数值,SPI 和外部头的目的地址、AH 协议一起,用
以唯一标识对这个包进行AH 的保护SA。
15.SSL 握手协议:允许服务器和客户机相互验证,协商加密和MAC 算法以及保密密钥,用
来保护在SSL 记录中发送的数据。
16.base64 编码:Base64 是一种基于64 个可打印字符来表示二进制数据的表示方法。Base64
常用于在通常处理文本数据的场合,表示、传输、存储一些二进制数据。
1
17.MIME 安全多部件:多部件/签名和多部件/加密,包括了用作打包数字签名和加密数据框
架的MIME 实体。
18.密钥环:密钥环分为私钥环和公钥环,一个用来存储此结点的公钥/私钥对,一个用来存
储此结点知道的其他用户的公钥。
习题
1.简述ARP 欺骗的基本过程,画出简图。
2.简述摘要验证数据完整性的基础。
在发送数据的同时附加其摘要,接收方收到数据后利用同一散列函数计算接收的数据的摘要,
并把它也收到的摘要加以比较,若相同,则说明数据未被修改,否则,数据的完整性已经被
破坏。
3.简述四种交换的密钥协商共享方式,画出简图。
答:(1)主模式:将SA 的建立和对端身份的认证以及密钥协商相结合,使得这种模式能抵
抗中间人攻击;
①
②
发起端
HDR,SA
HDR,SA
响应端
说明
协商基本SA
③
④
⑤
⑥
HDR,[HASH(1),]<Ni_b>PubKey_r,<KE_b>Ke_i,
<IDii_b>Ke_i,[<Cert-i_b>Ke_i]
HDR,<Nr_b>PubKey_i,<KE_b>Ke_r,<IDir_b>Ke_r
HDR,HASH_I*
HDR,HASH_R*
2
传递临时密钥加密
的密钥交换信息、
身份信息及,对端公
钥加密的随机数
交换身份及认证信
息,实现对端认证
(2)野蛮模式:简化了协商过程,但抵抗攻击的能力较差,也不能提供身份保护;
①
②
③
发起端
HDR,SA,KE,Ni,IDii
HDR,SA,KE,Nr,IDir,HASH_R
HDR,HASH_I
响应端
(3)快速模式:在快速模式下交换的载荷都是加密的;
发起端
响应端
①
②
③
HDR,HASH(1),SA,KE,Ni[,KE][,IDci,IDcr]*
HDR,HASH(2),SA,KE,Nr[,KE][,IDci,IDcr]*
HDR,HASH(3)*
(4)新模式:为Diffie-Hellman 密钥交换协商一个新的,在新模式下交换的载荷也都
是加密的。
①
②
发起端
HDR,HASH(1),SA*
HDR,HASH(2),SA*
响应端
4.简述IKE 使用的4 种认证方法中的任两种。
数字签名认证主模式交换:
在数字签名认证方法中,双方的相互认证是通过对HASH-1 和HASH-R 进行数字签名来
完成的,而并非只是提供一个散列结果。交换中采用了可选的载荷。数字签名是无法否认的,
只要每一方都保留了同IKE 辉煌对应的状态,他们就可以确定无疑地证明自己是在同一个特
定的实体进行通信。
公钥加密认证主模式
(1)交换步骤
使用公钥加密认证的主模式中,其中{}pub_x 表示用“x”的公钥进行加密。在这种
交换过程中,ID 载荷时在第三条消息中交换的,因为发起者必须提供自己的身份信
息,使响应者能够正确地地位发起者的公钥,并对反馈给发起者的响应进行加密。
如果要保护ID 载荷,则双方必须使用对方的公钥加密自己的身份信息。
(2)公钥加密认证的主模式交换的局限性
公钥加密认证主模式不允许证书的请求或交换,如果想交换一份证书,则必须损失
主模式的身份保护功能。应用该模式时,双方必须提供额外的方法支持,以便双方
能够获得双方的证书。
容易造成否认,通信双方都可以否认自己曾经参与过交换。
3
5.比较网络层部署安全协议的优缺点。
网络层安全通信协议主要是解决网络层通信的安全问题,对于TCP/IP 协议来说,就是
解决IP 协议的安全问题。现阶段,IPsec 是最主要的网络层安全通信协议。主要优点是对网
络层以上各层透明性好,主要缺点是很难提供不可否认服务。
6 利用数字证书、签名和加密方式构建简单的安全消息系统,画出简图,并说明其不足。
同10
7 简述ESP 是如何处理进入分组的?
ESP 机制对进入IPsec 数据包的处理如下:
1)分段重组
当一个设置了MF 位的数据包到达IPsec 目的结点时,IPsec 等待剩下的分段到达后,重组这
些分段。
2)查SA
使用外部IP 头中的三元组<SPI,目的IP,协议号>作为索引检索SAD,若查失败,则丢弃该
包,
记录日志。
3)抗重放处理
若启用抗重放功能,则使用SA 的抗重放窗口检查数据是否是重放包,若是,丢弃,记录日
志;否则,继续后续处理。
4)完整性检查
使用SA 指定的MAC 算法计算数据包的ICV,并将它和“认证数据”进行比较,若相同,则
通过验证;否则,丢弃该包,记录日志。
5)解密数据包
若SA 指定了加密服务,则使用SA 指定的密码算法和解密密钥,对ESP 载荷数据部分进行解
密(从IV 到下一个头之间)。接收方可以通过检查解密结果中填充内容的合法性来判断解密
是否成功。若成功,则继续处理,否则丢弃并记录日志。
6)恢复IP 数据包。
传输模式,将ESP 载荷的下一个头字段值赋予IP 头的协议字段,去掉ESP 头、ESP 尾、IV 以
及ICV 字段,重新计算IP 头的校验和;对隧道模式,内部IP 头即原始IP 头,因此,恢复时
只要去掉外部IP 头、ESP 头、ESP 尾和ICV,即可得到原来的IP 数据包。
7)检验策略的一致性。
对恢复出的明文IP 数据包,根据源IP、目的IP、上层协议和端口号等构造选择符,将SPD
条目中的选择符与构造出的选择符比较,并比较该SPD 的安全策路与实际保护的安全策略
是否相符,若不相符则丢失数据包,并记录日志。
4
最后,将数据包发送到IP 协议栈的传输层或转发到指定的结点。
8.IPsec 传输模式分别有什么优缺点和各使用在什么场合?
传输模式优点:
(1)使内容其他用户,也不能解密在A、B 主机之间传输的数据。
(2)各主机分担了IPsec 的负载,避免了IPsec 处理的瓶颈。
传输模式缺点:
(1)内网中各主机只能使用公网IP 地址。
(2)每个实现传输模式的主机都必须安装实现IPsec 协议,不能实现对端用户的透明服务。
(通信协议3)暴露了子网内部的拓扑结构。
隧道模式优点:
①受保护的子网内所有用户都可以透明地享受安全网关提供的保护。
②能够保护子网内部的拓扑结构。
③子网内部的各主机可以使用私有IP 地址。
隧道模式缺点:
①子网内通信以明文形式,故无法控制内部安全问题的发生。
②IPsec 主要集中在安全网关,增加了安全网关的负担,容易造成通信瓶颈。
9.简述IPsec 不能突破NAT 的原因。
(1)NAT 与AH
AH 协议认证外部的IP 头,而NAT 就是要改变外部IP 头中的地址,所以在NAT 网关后的IPsec
网关或主机,应用IPSec 保护时无法通过AH 认证。
(2)ESP 与NAT
虽然ESP 协议不认证也不加密外部IP 头,可以在NAT 环境下使用,但是也存在问题:TCP
和UDP 这些传输层协议头中都有一个校验和字段,他与IP 头中的IP 地址有关,NAT 处理后,
修改了源或目的IP 地址,因此NAT 必须重新计算传输层校验和字段。这样在接收端进行传
输层校验和时就会出错,因此这个报文会被传输层丢弃,但是ESP 在隧道模式下能够穿越
NAT。
(3)IKE 与NAT
使用IKE 自动建立SA 宁做端对端认证时,最常用的认证方法是预共享密钥,而这种方法依
赖于数据包的源IP 地址,如果两端之间插入NAT,则外部源IP 地址将被翻译成NAT 路由器
的地址,此时就不能标识源端的身份,IKE 会丢弃这个IP 包。
(4)端口与NAPT
NAPT(网络地址端口翻译)是最常用的一种动态NAT,它需要修改传输层的端口号,一个
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论