• 213123


    1.与VPN相关的协议有哪些?

    二层隧道协议:PPTP、L2TP、L2F(PC--LAN);三层隧道协议:IPSec(LAN--LAN)

    2.与电子邮件相关的协议有哪些?

    SMTP(TCP端口25、发)、POP(TCP端口110、收)、IMAP(收)、PGP、S/MIME

    注意:PGP、S/MIME均属于电子邮件安全协议,但PGP是基于公钥,信任模型以个人为中心,在个人群体中应用。S/MIME基于数字证书,应用与企业等大范围。

    Others

    SSL:面向连接的传输层协议(TCP)和应用层协议之间

    IP/IPSec:网络层

    PPTP/L2TP/L2F:链路层

    第1章 基础知识部分:TCP/IP协议族主要协议及缺陷分析

    1.链路层协议(ARP、ARP欺骗)

    ARP/RARP协议介绍

    ARP(Address Resolution Protocol),地址转换协议负责将IP地址转换为硬件地址(MAC),与IP协议配合使用。

    地址解析是一个将主机IP地址映射到硬件地址的过程

    地址解析的过程包括:

    ARP请求:发送方硬件地址/发送方IP地址/目标方的硬件地址/目标方的IP地址(本地广播)

    ARP响应

    ARP缓存中毒ARP欺骗: 发送虚假的ARP响应,改变ARP缓存表)

     当你的计算机器收到了一个虚假ARP响应,其中包含了网络中另外一台机器的硬件地址对路由器IP地址的映射。这样,你的计算机的ARP缓存将被更新。这种技术称为缓存中毒(Cache Poisoning)。也称ARP欺骗。

    2.网络层协议

    IP:根据IP “协议号字段,区分封装的内容

    TCP:6,UDP:17,AH:51,ESP:50,ICMP:1

    IP 分片技术:(重点)

    IP对待分组时,采用如下的处理方式:

    选择一个方便的初始分组大小,同时提供这样一种机制,当一个较长的IP分组经过一个MTU值较小的网络时,把长分组分割成较小的分组进行传输,这个划分的过程叫做分片(划分得到的每一部分也叫分片)。MTU指的是最大传输单元,以太网的MTU=1500B。

    IP规定分片可以在任何中间路由器上进行,可以走不同的路径,重组只在目的站进行。

    和分片相关的IP首部字段:

    1. 1.    分片偏移:13bit(需要会计算)

    定义了分片在原始分组中的偏移量,因为只用13bit标识65535的字节数,以8B为单位。若IP分组被再次分片之后,再次分片后的分片偏移值还是相对于原始分组。计算偏移值时,要以实际的偏移量除以8作为最终的偏移量。

    1. 标志字段:3bit

    第1位保留

    第2位表示是否被分片:为1代表不能被分片,为0表示可以被分片。

    第3位表示是否还有分片:为0,表示是最后的分片或唯一的分片。反之为1。

    1. 标识符字段:16bit,标识分组从源站发出。

    当分组被分片时,标识符字段的值被复制到所有的分片中

    在目地站,所有具有相同标识符的分片必须组装成同一个分组

    注:分片之后IP首部,各分片不一样的是分片偏移和标志字段,   

    一样的是标识符字段、源IP地址、目的IP地址

    分片重组:

    只在目的端进行,首先根据相关的IP首部字段(总长度、分片偏移、标志及相同的标识符、源IP、目的IP、协议号),在一定时间内,分片全部到齐后重新组装成原始分组:

    (1)按分片偏移顺序排队

    (2)只保留第一个分片的首部作分组首部,删除其余分片的首部

    (3)重新计算分组总长度,填入IP分组首部的“总长度”字段。

    攻击:死亡之Ping

    重组包的长度超过了所分配的内存区域,造成了缓存溢出。

    3.传输层协议

    TCP

    TCP(传输控制协议)是TCP/IP体系中的传输层协议,是面向连接的,提供可靠的按序传送数据的服务。TCP提供的连接是双向的,即全双工的。

    SYN FLOOD攻击:

    SYN Flood攻击本质上属于拒绝服务攻击,SYN攻击利用的是大多数主机实现三次握手时存在的漏洞。

    攻击原理:

    当主机A接收到来自主机X的SYN请求时,它就必须在侦听队列中对此连接请求保持75秒的跟踪。

    由于大多数系统资源有限,能够打开的连接数有限

    攻击者X同时向主机A发送多个SYN请求,而对A返回的SYN+ACK包不进行应答。这样侦听队列很快被塞满,从而拒绝接受其它的新的连接请求,直至部分打开的连接超时。

    1. 应用层协议

    DNS(域名地址解析协议):把域名映射为IP地址或把IP地址映射为域名

    DNS欺骗原理:

    (1)在DNS报文中只使用一个16位标识号来进行有效性鉴别,并未提供其它

    的认证和保护手段,这使得攻击者可以很容易地监听到查询请求,并伪造

    DNS应答包给DNS客户端,从而进行DNS欺骗攻击。

    (2)目前所有DNS客户端处理DNS应答包,都是简单地信任首先到达的数据包,

    丢弃所有后到达的,而不对数据包的合法性作任何的分析。只要欺骗包先于

    合法包到达就可以达到欺骗的目的。

    DNS欺骗攻击可能存在于客户端和DNS服务器间,也可能存在于各DNS服务器

    之间。

     

     

    第2章 PPTP与虚拟专用网 VPN

    1. PPTP的基础是什么?适用于什么网络?可以构建哪种类型的VPN?

    PPP(点对点协议);IP网络;远程接入类型(PC-LAN):允许客户端首先按照常规方式拨号到ISP的接入服务器NAS,建立PPP连接;在此基础上,客户端进行第二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道。PPTP协议要求互联网是IP网络。

    2.什么是网络隧道技术?简述现有的隧道协议。

    网络隧道技术指的是利用一种网络协议来传输另一种网络协议。封装、传输和拆封数据的过程称为“隧道”。是为了在公网上传输私有数据而发展出来的“信息封装”方式

    两种类型的隧道协议:

    二层隧道协议(数据链路层)

    PPTP(点对点隧道协议)、L2TP(第二层隧道协议)

    三层隧道协议(网络层)

    IPsec,包含两个安全协议(AH、ESP)和一个密钥管理协议(IKE)

    3.PPTP客户端和服务器端之间传输的报文类型

    (1)控制报文

    作用:负责PPTP隧道的建立、维护和断开。

    PPTP客户端“拨号”到PPTP服务器创建PPTP隧道。                   此处“拨号”指的是连接PPTP服务器的1723号端口建立控制连接。

                

    (2)数据报文

    作用:负责传输用户的真正数据。GRE协议:定义了在任意一种网络层协议上封装任意另外层协议的协议。P44

    说明:首先,有效载荷封装在GRE 包中,然后将包封装在其它协议中转发。

    协议类型字段(16bit):PPP包作为GRE载荷传输时,协议类型设置为 0x800B。

    密钥(Key)字段:高位的两个字节表示PPP分组的总长度;低位两个字节表示通信双方为该会话分配的呼叫ID,用以表示分组属于哪个会话。

    (3)控制报文封装在什么协议里面进行传输?

    4.PPTP协议中的安全机制有哪些?

    依赖于PPP协议中的安全机制:通信主机认证协议

    PAP(口令认证协议):明文通信+明文存储

    CHAP(挑战握手协议):密文通信+明文存放+单向认证+周期重新认证

    MPPE(微软点对点加密协议):端端加密+双向数据认证+CCP调用+预共享密钥

    适用接入方式:PSTN+拨号连接+专用链接

    握手认证过程:(AS为服务器,存放用户明文口令;U为客户端;R为随机数)

    1.  ASàU: R

    2.  UàAS: H 1(PW||R),//PW为口令,计算H值,送到认证服务器

    3.  AS àU: 计算H2(PW||R),比较H1和H2,如果一致,通过身份认证

    CHAP优点:

    1. CHAP利用散列算法对口令进行保护
    2. CHAP对于返回的口令进行认证
    3. CHAP不定时的向客户端重复发送呼呼叫口令,避免第三方攻击

    CHAP缺点:

    1. 服务器端,用户口令明文存储,入侵者入侵服务器即可。
    2. 协议只支持认证服务器对用户的单项认证,假冒的认证服务器就可以欺骗用户。
    3. 为防止插入信道攻击,服务器需要周期性的发送呼叫信息重新认证。周期时间过长为入侵者留下机会,如果周期过短,增加通信的计算机量。

    第3章 IPSec

    1.VPN的含义是什么,三种常见的应用类型?

    通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。隧道技术是VPN的核心技术,隧道技术使用了加密与封装相结合的技术对用户数据进行安全保护。

    三种常见的类型是:

    远程接入、企业内联网、可控的内联网接入

    2.VPN的关键协议:IPSec协议

    IPSec协议集:AHESPIKE,都提供什么功能?

    ESP提供机密性、完整性保护;AH提供完整性保护、数据源身份认证。ESP和AH都提供抗重放攻击。IKE(Internet Key Exchange)协议实现安全协议参数协商。IKE将安全参数构成的集合称为安全关联SA (Security Association)。

    IPSec的两种工作模式,各用于怎样的通信情形?各自提供的数据保护范围?

    传输模式多用于两台主机之间的通信,隧道模式多用于两个网关之间。传输模式保护的是IP包的有效载荷,在原IP头部与数据域之间插入AH头标或者ESP头标,隧道模式保护的是整个IP包,ESP和AH的头标都是加在原IP头标之前,且在AH和ESP头标之前再加入新IP头标。

    3.安全策略和安全关联,具体什么含义,二者有何关联?

    安全策略:安全策略决定了为一个包提供的安全服务。IPSec将安全策略保存在安全策略数据库SPD中。IP包的外出和进入处理都要以安全策略为准。(丢弃,旁路IPsecipsec

    安全关联:安全关联SA是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定:<安全参数索引SPI, 目的地址, 安全协议>

    安全策略与安全关联的关系:安全关联是通信双方所协商的安全策略的一种描述。

    4.安全关联束有几种,其加密和认证顺序如何?

    安全关联束(Bundles)是指为提供特定的IPSec服务集所需的一个安全关联序列。

    有两种,分别是传输邻接和隧道嵌套。

     

    传输邻接

    内部是ESP SA,外部是AH SA,都是传输模式,但ESP SA此时不含认证功能。

     

     

    隧道嵌套:

    内部是传输模式的AH SA,外部是隧道模式的 ESP SA,ESP SA不提供认证功能

     

     

     

    5.IPSec使用什么技术来完成完整性和不可否认性验证

    HMAC:

    公式:HMAC(K, text)t = H((K0⊕opad )|| H((K0⊕ipad) || text))t

    简述步骤如下:

    (1)将K0与ipad进行异或操作后,连接原文,进行第一次哈希运算,得到哈希值1;

    (2)然后将K0与opad进行异或操作,连接第一步产生的哈希值1,进行第2次哈希运算,得到哈希值2;

    (3)截取哈希值2最最左边的t字节作为最终的验证值

    HMAC中用到的参数和符号

    B:计算消息摘要时输入块的字节长度(如对于SHA-1, B = 64)。

    ipad:将数值0x36重复B次。

    opad:将数值0x5c重复B次。

    K:共享密钥。

    K0 :在密钥K的左边附加0使其长为B字节的密钥。

    L:消息摘要的字节长度(如对于SHA-1,L = 20)。

    t:MAC的字节数。

    注意:HMAC-MD5ICV128位,HMAC-SHA1ICV160位(ICV是完整性校验值)

    6.IKE密钥协商分几个阶段,各自功能是什么,每个阶段各有什么工作模式?

    分两个阶段:

    阶段一:协商如何保护后续的协商传输,并建立一个主密钥,形成一个ISAKMP SA,分为主模式、野蛮/积极模式。

    涉及大量的密码计算,较复杂;第一阶段的交换结果可以支持多个第二阶段的交换。

    阶段二:协商建立IPSec SA,用于实际的安全协议(AH或ESP),保护实际通信内容,分为快速模式。

    第二阶段的消息由第一阶段建立起来的安全关联来保护;阶段一为阶段二交换的所有消息提供源验证,完整性和秘密性的保护。

    7.ISAKMP报文依靠什么传输层哪个协议传送,采用的端口是多少?(填空)

    ISAKMP依靠传输层UDP协议传送,端口号是500。

    8.ESP和AH能否抵抗重放攻击?采用什么方法?

    能,通过验证序列号:通信双方每使用一个特定的SA发出一个数据包,就将他们响应的序列号加1。

    //xj:能。AH:检查序列号,确定是否为重放分组。

    ESP:对序列号进行处理,若此分组的序列号落在该活动SA的滑动窗口之内有效;否则丢弃,用于抵御重放攻击。

    【能。采用滑动窗口机制抵抗重放攻击。通信双方每使用一个特定的SA发出一个数据包,就将他们响应的序列号加1。接收方判断如果次分组的序列号落在该活动SA的滑动窗口之内有效,否则就丢弃。】

    9.IPV4网络向IPV6 网络过渡的策略有哪些?

    1.IP协议栈

    主机和路由器在同一个网络接口上运行IPV4和IPV6两个协议栈,分别有一个IPV4地址和一个IPV6地址,既可以接收和发送IPV4分组,又可以接收和发送IPV6分组。

    优点:互通性好

    缺点:每台主机需要两个地址,不能解决IPV4地址短缺的问题

    2.基于IPV4隧道的IPV6

    在IPV4的网络上建立一条隧道,把整个IPV6分组作为数据封装在新建的IPV4分组中,并在IPV4的网络中进行传输。

    适用通信情况:运行IPV6的主机A和主机B之间通信,但中间需穿越IPV4网络

    优点:具有透明性

    缺点:隧道配置过程比较复杂。无法解决IPV4主机和IPV6主机之间的通信

    10.MAC实现完整性认证的原理?发送方流程/接收方流程

    MAC:与密钥相关的单向散列函数通常称为MAC,即消息认证码:MAC=Ck(M)

    原理:单独的hash函数无法实现完整性认证,MAC使用hash函数

    与密钥结合的方式,即只有通信双方掌握密钥K,首先运用hash

    函数计算出摘要值,然后在共享密钥K的作用下产生消息验证码。

    而hash函数具有不可逆性,因此很难实现攻击。

    发送方:使用双方协商好的散列函数计算摘要值,在双方共享的会话

    密钥的作用下,由摘要值获得消息验证码,将消息验证码附在数据

    后面一起被发送。

    接收方:收到报文后,首先获取数据后的消息验证码,利用会话密钥还原摘要值,同时利用散列函数在本地计算所收到数据的摘要值,并将这两个数据进行比对。若两者相等,则报文通过认证。

    11.IPV6地址长度、IPV6的6 个扩展首部

    IPv6地址长度:128bit

    扩展首部:

    1)逐跳选项:源站需要将某些信息传递给分组经过的所有路由器时使用

    2)目的站:当源站需要将信息仅传送给目的站时使用该选项

    3)源路由选择:IP分组每经过一个路由器时,基本首部中的源地址不变,而目的地址都发生改变,指向要到达的下一个路由器地址。

    4)分片

    5)鉴别(IPSec中的AH)

    6)加密的安全有效载荷(IPSec中的ESP)

    10.IPV6对于分片的处理

    分片由源站完成,两种方法

    1:发送数据前,源站采用一种“路径MTU发现技术”,确立这条路径到目的站的最小MTU。

    2:使用1280B的最小MTU。

    “M”字段:1bit,M=0,这是最后一个分片;M=1,后面还有分片。

    对于路径MTU发现技术的评价及改进方案:

    优点:减少路由器的开销

    缺点:不能适应路由变更,违背了Internet的“允许任何时候改变路由”的基本假设。

    解决方法:使用隧道技术,当中间路由器需要对分组进行分片时,路由器创建一个全新的分组,把原来的分组(包括首部和数据)进行分片作为数据封装到新的分组中。

    11.本章相关知识点:

    1AH认证头协议

    无论传输模式或隧道模式,AH头都将紧跟在一个IP头之后。AH的协议代号是51。

     

     

     

     

    (2)ESP封装安全载荷协议

    隧道模式:

    将整个IP分组封装到一个ESP载荷中,然后进行安全处理,如加密处理、鉴别处理。

    传输模式:

    将原IP分组的上层协议部分封装到ESP载荷中

    3)安全关联与安全策略

    安全策略:安全策略决定了为一个包提供的安全服务。IPSec将安全策略保存在安全策略数据库SPD中。IP包的外出和进入处理都要以安全策略为准。

    安全关联:安全关联SA是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定:<安全参数索引SPI, 目的地址, 安全协议>。

    安全关联组合例子--传输隧道束(见右图→)       

     IPSec——隧道嵌套

    (4) MAC与HMAC

    什么是MAC与密钥相关的单向散列函数通常称为MAC,即消息认证码:

    M为可变长的消息;K为通信双方共享的密钥;C为单向函数

    MAC可为拥有共享密钥的双方在通信中验证消息的完整性;也可被单个用户用来验证他的文件是否被改动.

    HMAC用一个秘密密钥来产生和验证MAC

    用公式表示HMAC的产生过程如下:

    简述步骤如下:

    (1) 将K0与ipad进行异或操作后,连接原文,进行第一次哈希运算,得到哈希值1;

    (2) 然后将K0与opad进行异或操作,连接第一步产生的哈希值1,进行第2次哈希运算,得到哈希值2;

    (3) 截取哈希值2最最左边的t字节作为最终的验证值

    5IKE协商阶段

    ISAKMP为安全服务的协商提供了两个独立的阶段。

    阶段一:协商如何保护后续的协商传输,并建立一个主密钥,形成一个ISAKMP SA

    l   涉及大量的密码计算,较复杂

    l   第一阶段的交换结果可以支持多个第二阶段的交换。

    l   主模式、野蛮/积极模式

    协商建立IPSec  SA,用于实际的安全协议(AH或ESP),保护实际通信内容

    l   第二阶段的消息由第一阶段建立起来的安全关联来保护。

    l   阶段一为阶段二交换的所有消息提供源验证,完整性和秘密性的保护。

    6IPV6 扩展首部

    在基本首部之后最多6个扩展首部:

    1)逐跳选项

    2)目的站

    3)源路由选择

    4)分片

    5)鉴别(IPSec中的AH)

    6)加密的安全有效载荷(IPSec中的ESP)

    单播地址:标识了作用域内的单个接口。作用域指IPV6网络的一个区域,在此区域内,该地址唯一。

    发送给单播地址的分组必须交付到一个惟一的接口。

    多播地址:多播地址标识零个或多个接口。

    发送给多播地址的分组必须交付到该组中的所有接口。

    任播地址:任播地址标识多个接口。

    发送给任播地址的分组最终交付到一个惟一的接口,该接口与源站在路由上最近。

    在IPV6中没有定义广播地址,IPV4中的广播用IPV6的多播实现

    第4章 SSL与TLS

    1.SSL的协议位置

    介于面向连接的传输层协议(TCP)和应用层协议之间。

    2.SSL协议的体系结构如何(分两层,主要协议的功能)

    两层协议体系结构:

    上层:(作为记录协议的载荷部分进行传输)

    握手协议:建立客户与服务器之间的安全通道,该协议包括双方的相互认证,交换密钥参数

    改变密码规范协议:改变密码参数将未决状态改变为当前状态,更新当前连接的密钥组。

    告警协议:向对端指示其安全错误

    下层:

    记录协议:用于封装各种高层协议,具体实现压缩/解压缩、加密/解密、计算/校验MAC等安全有关的操作

    3.SSL协议的工作模式(从认证的角度考虑)有哪几种?广泛使用的是哪种?

    模式1:双向认证:客户和服务器都被验证

    模式2:单向认证:只验证服务器,不验证客户端,

    这是目前应用最广泛的模式

    模式3:客户和服务器都不被验证,也称完全匿名方式。

    模式4:恢复一个已存在的会话,该模式的握手过程较简单。

    握手协议中包含的消息:(上文中8条加粗蓝色为必须消息)

    单向认证(客户端认证服务器)

    阶段1(建立安全能力):客户端Client_Hello(客户启动握手请求);服务器server_Hello(对客户端的回复)

    阶段2(服务器认证和密钥交换):服务器Certificate(证书消息) Server_Key_Exchange(服务器密钥交换信息) Server_done(服务器完成消息)

    阶段3(客户端认证和密钥交换):客户端 Client_Key_exchange(密钥交换消息)

    阶段4(完成):客户端change_Cipher_Spec(改变密码规范消息) finished ;服务器change_Cipher_Spec(改变密码规范消息) finished

    双向认证

    阶段1(建立安全能力):客户端Client_Hello(客户启动握手请求);服务器server_Hello(对客户端的回复)

    阶段2(服务器认证和密钥交换):服务器Certificate(证书消息) Certificate_request(证书请求消息)Server_Key_Exchange(服务器密钥交换信息)Server_done(服务器完成消息)

    阶段3(客户端认证和密钥交换):客户端Certificate(证书消息)Client_Key_exchange(密钥交换消息)Certificate_Verify(证书验证消息)

    阶段4(完成):客户端change_Cipher_Spec(改变密码规范消息) finished ;服务器change_Cipher_Spec(改变密码规范消息) finished

    注:下列情况不需要Server_Key_Exchange

    服务器发送了带有固定Diffie-Hellman参数的证书(固定Diffie-Hellman交换)

    以下情况需要ServerKey_Exchange消息,

    匿名Diffie-Hellman; 瞬时Diffie-Hellman; RSA密钥交换,服务器在使用RSA时只使用了RSA签名密钥。

    握手协议协商出哪些密钥?128bit

    Server write MAC secret:

    服务器计算MAC所需的密钥,客户端验证MAC的密钥。

    Client write MAC secret: 

    客户端计算MAC所需的密钥,服务器验证MAC的密钥。

    Server write key:

    服务器加密、客户端解密时使用的对称密钥。

    Client write key:

    客户端加密、服务器解密时使用的对称密钥

    4.SSL握手协议可以恢复一个会话过程以建立新连接,并说明在此种模式下新计算出哪些参数,继承了哪些参数?

    新计算:当通过恢复一个会话建立连接时,这一新的连接继承

    这个会话状态下的压缩算法、密码规范、主密钥和Session_id。

    继承:该连接产生新的ClientHello.random

    和ServerHello.random,以及该连接使用的密钥、MAC密钥和

    初始向量。

    5.记录协议的Contenttype类型可取值为什么,各代表什么

    记录类型:20=改变密码规范协议,21=告警协议,22=握手协议,23=应用层数据

    6.https,Ftps代表什么?使用的端口号是多少?

    https是运行在SSL之上的安全HTTP版本,端口号443

    Ftps是运行在SSL之上的安全Ftp版本,端口号990

    7.会话和连接的概念,会话和连接的关系,存储的


    会话状态包含的参数:

    会话标识符

    服务器选择的一个任意字节序列,用以标识一个活动的或可激活的会话状态。

    对等实体证书:

    一个 X.509 V3证书,可为空。

    压缩算法:

    加密前进行数据压缩的算法。

    加密规范:

    指明数据体加密的算法(无、或DES等),以及摘要算法(如MD5或SHA-1),用于计算MAC。还包括其它参数,如杂凑长度。

    主密钥:

     48字节密钥,在Client 和Server之间共享。

    是否可恢复:

    一个标志,指明该会话是否能用于产生一个新连接。

    连接状态包含的参数:

    Client and server randam:

    C和S为每次连接所选择的随机数,防止重放攻击

    Server write MAC secret:

    服务器计算MAC所需的密钥,客户端验证MAC的密钥。

    Client write MAC secret: 

    客户计算MAC所需的密钥,服务器验证MAC的密钥。

    Server write key:

    服务器加密、客户解密时使用的对称密钥。

    Client write key:

    客户加密、服务器解密时使用的对称密钥。

    Initialization vectors: 

    当数据加密采取CBC方式时,每一个密钥保持一个IV;

    首先由SSL Handshake Protocol 产生,以后保留每次最后的密文数据块作为IV。

    Sequence number:

    每一方为每一个连接的数据发送和接收维护单独的顺序号;当一方发送或接收一个改变的Cipher Spec Message 时,序号置为0,最大264 –1.

    8.SSL的工作模式发送方记录协议对于数据的处理过程如何?

    步骤:

    1 对信息进行分段

    2 数据压缩(可选)

    3 生成MAC值

    4 加密数据(含MAC值)

    5 添加SSL记录协议报头

    第5章 应用层安全协议——安全电子邮件

    1.电子邮件服务的工作方式

    通过”存储-转发”(Store and Forward)的方式而不是“端到端”的方式为用户传递信件。

    2.常用的电子邮件协议有哪些

    1简单邮件传送协议  SMTP, (端口号 tcp 25

    2 邮局协议版本3    POP3,(端口号 tcp 110

    3因特网消息访问协议版本4   IMAP4,

    4 文本电子邮件标准  RFC822 

    5 多用途因特网邮件扩展协议 MIME,

    3.常用的安全电子邮件协议有哪些  PGP、S/MIME

    4.安全电子邮件的工作模式(理解),处理过程邮件签名和邮件加密

    安全电子邮件的发送必须经过邮件签名邮件加密两个过程,

    而对于接收到的安全电子邮件,则需要经过邮件解密邮件验证两个过程

    安全电子邮件工作模式如下:

     

    原始普通邮件                    邮件签名                    邮件加密                      发送安全电子邮件

     

          发送方

                                                                                                                                                Internet             

     

    原始普通邮件                   邮件验证                        邮件解密                      接受安全电子邮件

     

                接收方

    5.实验过程中,如何发送签名和加密邮件?得到的报文格式如何?

    首先要生成自己的证书,才能进行签名和加密操作。发送签名邮件,只需导入自己的证书,用私钥签名即可。如果需要发送加密邮件,发送加密的邮件时,需要获取对方的数字证书,用收件人的公钥加密,收件人用自己的私钥解密。

    透明签名:                                                                          加密:

    6.S/MIME为数字签名定义哪几种格式,有无使用限制?
    两种签名格式。使用multipart/signed类型以及application/pkcs7-mime类型的signedData。

    使用multipart/signed格式签名,不管接收方是否支持S/MIME都可以阅读签名消息,这种叫透明签名

    使用application/pkcs7-mime类型的signedData,除非接收方支持S/MIME,否则不能阅读消息,这种叫不透明签名

    7.分析实验三得到的邮件原文信息(签名邮件和加密邮件),根据邮件的原始信息,判断对邮件进行了哪些处理?

    需要判断:发件人,收件人,判断出加密还是签名操作,是否可以在IE浏览器中打开

    透明签名:Content-Type: multipart/signed(可以在IE浏览器中打开)

    application/pkcs7-mime类型的signedData签名: smime-type字段:signed-data(不可以在IE浏览器中打开)

    加密邮件:smime-type字段:enveloped-data

    8.要想向一个人发送一封加密邮件,发送方的处理过程如何?(老师说考察发送加密邮件的过程)(S/MIME的过程)

    1.编写邮件内容(如doc或txt格式) ;

    2.用邮件程序转换文件为MIME格式;

    3.用Hash算法确定唯一的邮件摘要(即信息完整性证明) ;

    4.用私钥来加密摘要,并把加密的摘要附在信息中(即产生数字签名) ;

    5. 发送方随机产生会话密钥,用来加密签名后的邮件

    5.从CA认证中心取得收信方的公钥,加密会话密钥;

    6.收信方收信,先用自身私钥解密会话密钥,再解密邮件;

    7.验证其签名;

    8.验证其完整性。

    9.Base 64编码原理,课本P153有例子。

    base64:是一种MIME编码转换方法,功能是将任意格式的字节流编码为可打印的ASCII字符,其基本原理是连续的3个输入字节映射为4个6位值输出,并且用可打印的字符来表示这些6位值。

    要求会查表:

    书上例子:

    假设有二进制代码,共24位:00100011 01011100 10010001

    先划分4个6位组,即001000 110101 110010 010001,对应的十进制数分别为8,53,50,17,查表可得,编码为I1yR

    10.PGPS/MIME 有什么相同和不同之处

    第6章安全电子交易协议SET

    1.电子商务按交易对象分类,可分为哪几种模式,SET协议支持哪种模式?

    对参与电子商务交易涉及的对象分类,电子商务可以分为以下4种类型

    (1)企业与消费者之间的电子商务B2C (Business to Customer)。

    (2)企业与企业之间的电子商务B2B (Business to Business)。

    (3)消费者对消费者的电子商务C2C(Customer to Customer)

    (4)企业与政府方面的电子商务B2G (Business to Government)

    SET支持B-to-C商务模式

    2.SET协议的参与者有哪些?各自需要什么样的配置?

    (1)持卡人

    安装一套符合SET协议标准的钱包软件;从发卡银行获取一张信用卡/银行卡;从身份认证机构获取一张数字证书

    (2)网络商家

    安装一套符合SET标准的商家软件;在收款银行开有自己的收款账户;从身份认证机构获取一张数字证书

    (3)发卡银行

    为持卡人建立一个银行账户,并发放支付卡;

    负责持卡人身份认证,同时从事发放数字证书的各项审核工作;

    持卡人数字证书的签发既可以由发卡银行发放,也可以由专业的认证中心CA签发

    发卡银行不属于安全电子商务交易的直接组成部分,但却是授权与清算操作的主要参与方

     (4)收款银行

    为商家建立一个银行账户;处理支付卡的授权和付款事宜;

    (5)支付网关

    安装一套符合SET标准的网关软件;与收款银行交易处理主机建立符合ISO 8583报文格式的通信;从身份认证机构获取一张数字证书

    (6)认证中心CA

    安装一套符合SET标准的CA软件;

    绝对安全的运作与管理以下设备与软件:物理设备;CA软件的运行;密钥的保管;证书生成时使用硬件加密

    3.SET中,支付信息是如何发送的?

    由用户将支付信息发送给商家,再由商家转发给银行。

    4.SET的关键技术双重签名(定义),生成过程(要求有公式)。

    定义:发送者寄出两个相关信息给接收者,对这两组相关信息,接收者只能解读其中一组,另一组只能转送给第三方接收者,不能打开看其内容。

    公式:  

    其中:Kc代表持卡用户的私钥

    PI:支付信息OI:定购信息

    PIMD:支付摘要OIMD:定购摘要

    H:哈希运算

    POMD:支付定购摘要

    DS:双重签名

    5.用户产生的购买请求报文包括哪些内容?(3部分)商家怎么处理的

    内容:①支付的相关信息②定购的相关信息③用户证书

    (1)验证用户证书

    通过持卡用户证书中的CA签名来验证用户的证书

    (2)验证双重签名

    使用持卡用户证书中的公开密钥来验证双重签名,以验证

    定购信息的完整性。

    (3)转发支付信息

    将支付信息转交给支付网关进行”支付认可”

    (4)向持卡用户发送”购买响应”报文

    报文中包含一个响应数据块,其中包含了相应的交易ID用于

    确认定购,商家对数据块进行签名,再加上签名证书一起

    发送给用户。

    6.商家发送给支付网关的报文包含哪些内容?支付网关收到支后如何处理?

    内容:支付的相关信息(来自用户);授权的相关信息(来自商家);持卡人证书及商家的签名证书,商家的加密证书

    (1)验证所有的证书

    用户证书、商家证书(加密和签名证书)

    (2)对商家转发来的支付数据块的处理

    解密数字信封进行解密,获得一次性对称密钥,并解密支付数据块

    验证双重签名,若通过取出交易ID

    (3)对授权数据块的处理

    解密数字信封进行解密,获得一次性对称密钥,然后解密授权数据块,验证数字签名,若通过取出交易ID

    (4)验证从商家提交的交易ID是否与用户PI中的交易ID匹配

    (5)向发卡机构请求并接收一个授权。

    请求发卡机构核准该用户的余额是否可以支付本次购买。

    支付网关和发卡机构之间是专网

    (6)从发卡机构获得授权后,支付网关向商家返回“支付授权响应”报文。

    包含授权数据块(由支付网关签名并使用一次性对称密钥加密及数字信封)

    捕获(付款)标记信息

    支付网关的签名证书。

     

    7.SETSSL机制相比较,有什么优缺点?

    安全性高,成本高,采用率低,认证机制复杂(所有参与set成员均参加)

    1)     认证机制方面:SET要求所有参与交易各方均必须先申请数字证书以识别身份,而SSL只有商家的服务器需要认证,客户端的认证是可选择的。

    2)     设置成本:申请SET交易者除必须申请数字证书之外,也必须在计算机上安装符合SET规格的电子钱包软件,而SSL交易无须另外安装软件。故SET成本较高,SSL成本较低。

    3)     安全性:SET的安全性比SSL高。因为SET严格规定了持卡人、商家与银行间的信息规范。SSL的安全范围只限于持卡人到商家的信息交换。

    4)     目前采用率:由于SET的设置成本较高,目前国内采用SSL的网上交易占多数。

     

    第七章SNMP协议

    1简述SNMPv1版本的安全措施,并分析其安全性。 

    SNMPv1只提出了基于共同体的安全机制,定义了认证服务和访问控制策略的安全措施;

    (1)认证服务:从管理站发往代理的每个消息都包括一个共同体名,起口令的作用;

    (2)访问控制策略:通过定义共同体,代理可以限制它的MIB只能被选定的一组管理站访问。而通过定义多于一个的团体,代理能够为不同的管理站提供不同的MIB访问权限。

    分析安全性:共同体机制可以提供简单的认证和访问控制功能,采用以明文传输的共同体名作为认证手段,安全性低

    2简述管理信息库的概念

    是一个信息存储库,它包含了被管理设备的有关配置和性能的数据:

    在网络中,每个设备都具有一个或多个变量来描述其状态,SNMP称这些变量为对象。这些对象的集合称为管理信息库(MIB)

    3简述SNMP的网络管理模型。

    • 管理站           运行C/S模型中的客户端程序
    • 管理代理       运行C/S模型中的服务器端程序

    4.SNMP报文的封装

    封装在UDP协议中。

    SNMP Get/Set消息通过 UDP端口161接收,只有Trap信息采用UDP 端口 162。

    注:封装在udp中的协议有:snmp、IKE

  • 相关阅读:
    玩转spring boot——结合JPA事务
    玩转spring boot——结合AngularJs和JDBC
    玩转spring boot——结合jQuery和AngularJs
    028_Mac急救箱快捷键
    006_身体部位名词
    005_Philippines之行准备
    027_MacOs上如何将多页word打印到一个页面上
    026_PPT知识汇总
    025_Excel知识汇总
    024_Word知识汇总
  • 原文地址:https://www.cnblogs.com/zym0728/p/7089116.html
Copyright © 2020-2023  润新知