《因特网密钥交换协议》由会员分享,可在线阅读,更多相关《因特网密钥交换协议(29页珍藏版)》请在金锄头文库上搜索。
1、因特网密钥交换协议篇一:安全作业 (12.10) 第一章 作业 1、 什么是电子商务安全?电子商务安全有何特点? 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。 电子商务安全是一个系统概念 电子商务安全是相对的 电子商务安全是有代价的 电子商务安全是发展的、动态的 2、 电子商务面临哪些安全威胁? 信息的截获和窃取 信息的篡改 信息假冒 交易抵赖 3、 简述电子商务的安全要素。 机密性、完整性、认证性、不可抵赖性、不可拒绝性、访问控制性 4、 与电子商务相关的安全技术有哪些? 加密技术(对称加密、对称密钥加密、专用密钥加密、非对称加密、公开密钥加密) 网络安全技术、PKI技
2、术 5、 试述电子商务安全体系结构。 网络服务层、加密技术层、安全认证层、安全协议层、应用系统层 6、简介与电子商务安全相关的标准 网络层安全服务标准 网络层的安全使用IPSec方案 传输层的安全服务 安全套接层协议(Security Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS) 3.应用层安全服务 应用层安全使用S-HTTP、SET、Kerberos、s/mime、pgp等方案。 第二章 作业 1、 简述密码系统的设计原则。 (1)易操作原则 (2)整体安全原则 (3)不可破原则 (4)柯克霍夫斯原则 (5)与计算机、通信系统匹配
3、的原则 2、 有哪些传统密码技术和现代密码技术? 传统密码包括换位密码、代替密码、转轮机密码等 现代密码包括序列密码、分组密码、公钥密码、量子密码体制等 3、 试述DES加密的数据流程。 DES使用一个56位的密钥以及附加的8位奇偶校验位(每组的第8为作为奇偶校验位),产生最大64位的分组大小。这是一个迭代的分组密码,使用称为Feistel的技术,其中将加密的文本块分成两半。使用子密钥对其中一半应用循环功能,然后将输出与另一半进行“异或”运算;接着交换这两半,这一过程会继续下去,但最后一个循环不交换。DES使用16轮循环,使用异或,置换,代换,移位操作四种基本运算。 第三章 作业 1、 密钥管
4、理涉及哪些内容? 密钥管理的内容包括密钥的生成、分配、存储、保护、验证、更新、丢失、销毁及保密等多个方面,要让需要使用密钥的特定系统事先知道密钥,还要保护密钥不被泄漏或者替换。 2、 如何进行密钥分配? 目前,公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PKAS。用户可以通过KDC获得任何其他用户的公开密钥。 首先,A向KDC申请公开密钥,将信息(A,B)发给KDC。KDC返回给A的信息为(CA,CB),其中,CA=DSKAS(A,PKA,T1),CB=DSKAS(B,PKB,T2)。CA和CB称为证明书(Certificate),
5、分别含有A和B的公开密钥。KDC使用其解密密钥SKAS对CA和CB进行了签名,以防止伪造。时间戳T1和T2的作用是防止重放攻击。 最后,A将证明书CA和CB传送给B;B获得了A的公开密钥PKA,同时也可检验他自己的公开密钥PKB。 3、 什么是对称密钥管理和公开密钥管理? 对称加密是基于共同保守秘密来实现的。对称加密技术要求通信双方必须采用相同的密钥,并要求保证彼此密钥的交换是安全可靠的。 4、 什么是第三方托管技术? 第三方托管技术是指用户向CA在申请数据加密证书之前,必须把自己的密钥分成t份交给可信赖的t个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这t个
6、人存的密钥合在一起才能得到用户的完整密钥。 5、 有哪些密钥交换协议? 密钥交换协议(IKE)、因特网简单密钥交换协议(SKIP) 6、 简述PGP的原理和加密机制。 PGP加密系统是采用公开密钥加密与传统密钥加密相结合的一种加密技术。它使用一对数学上相关的钥匙,其中一个(公钥)用来加密信息,另一个(私钥)用来解密信息。 PGP采用的传统加密技术部分所使用的密钥称为“会话密钥”(sek)。每次使用时,PGP都随机产生一个128位的IDEA会话密钥,用来加密报文。公开密钥加密技术中的公钥和私钥则用来加密会话密钥,并通过它间接地保护报文内容。 PGP中的每个公钥和私钥都伴随着一个密钥证书。它一般包
7、含以下内容: 密钥内容(用长达百位的大数字表示的密钥) 密钥类型(表示该密钥为公钥还是私钥) 密钥长度(密钥的长度,以二进制位表示) 密钥编号(用以唯一标识该密钥) 创建时间 用户标识(密钥创建人的信息,如姓名、电子邮件等) 密钥指纹(为128位的数字,是密钥内容的提要表示密钥唯一的特征) 中介人签名(中介人的数字签名,声明该密钥及其所有者的真实性, 包括中介人的密钥编号和标识信息)PGP把公钥和私钥存放在密钥环(KEYR)文件中。PGP提供有效的算法查找用户需要的密钥。 PGP在多处需要用到口令,它主要起到保护私钥的作用。由于私钥太长且无规律, 所以难以记忆。PGP把它用口令加密后存入密钥环
8、,这样用户可以用易记的口令间接使用私钥。 PGP的每个私钥都由一个相应的口令加密。PGP主要在3处需要用户输入口令: 需要解开收到的加密信息时,PGP需要用户输入口令,取出私钥解密信息 当用户需要为文件或信息签字时,用户输入口令,取出私钥加密 对磁盘上的文件进行传统加密时,需要用户输入口令。 一般加密方法分为两类,一是对称式加密,使用同一把金钥(Key)来加密与解密,常见的对称式算法如DES, 3DES, AES等;另一类是非对称式算法,使用一对金钥(公钥与私钥)来加解密,用公钥加密过资料只有用其对应的私钥才能解得回来,而用私钥加密过资料只有用其对应的公钥才能解得回来;公钥可以公开出去,私钥则
9、必须好好保管在自己的计算机里,常见的非对称式算法如RSA, DSA等。 7、 什么是数字证书?其有何功能? 数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据,提供了一种在Internet上验证您身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-CA机构,又称为证书授权(Certificate Authority)中心发行的,人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。 数字证书的功能: (1)信息的保密性 交易中的商务信息
10、均有保密的要求。如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。因此在电子商务的信息传播中一般均有加密的要求。 (2)交易者身份的确定性 网上交易的双方很可能素昧平生,相隔千里。要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行
11、来完成。银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。 (3)不可否认性 由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。因此电子交易通信过程的各个环节都必须是不可否认的。 (4)不可修改性 交易的文件是不可被修改的,如上例所举的订购黄金。供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益, 那么订货单位可能就会
12、因此而蒙受损失。因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。 人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人互不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易双方身份的真实性。国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。数字安全证书提供了一种在网上验证身份的方式。安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。 我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改
13、;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。 8、 如何进行证书的管理? 将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证:只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。 将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。 接收方收到数字签名后,用同样的HASH算法对原报文计算出报文摘要值,然后与用发送者的公开密钥对数字签名进行解密解开的报文摘要值相比较。如相等则说明报文确实来自所称的发送者。 那为什么是对报文摘要进行加密,而不是对原报文进行
14、加密呢?这是因为非对称加密算法(即RSA算法)非常耗时,被加密的报文越大,耗得时间越多,因此聪明的人类对其摘要进行加密,(因为报文摘要是要比原报文小得多),仍然能够起到同样的作用。这是为什么多了个报文摘要。 第四章 作业 1、 什么是数字签名?其有何特点和功能? 数字签名是密码学中的重要问题之一,手写签名的每一项业务都是数字签名的潜在应用。数字签名可以提供以下基本的密码服务:数据完整性(确保数据没有未授权的更改)、真实性(数据来源于其声明的地方)以及不可否认性。因而,当需要对某一实体进行认证、传输密钥以及进行密钥分配时,便可以借助数字签名来完成这些任务。文件的制造者可以在电子文件上签一个可信、
15、不可伪造、不可改变、不可抵赖的数字签名,数字签名具有法律效力,签名者一旦签名便需要对自己的签名负责,接收者通过验证签名来确认信息来源正确、内容完整并且可靠。 2、 如何区别数字签名与手写签名。 首先,数字签名中的签名同信息是分开的,需要一种方法将签名与信息联系在一起,而在传统的手写签名中,签名与所签署之信息是一个整体; 其次,在签名验证的方法上,数字签名利用一种公开的方法对签名进行验证,任何人都可以对之进行检验.而传统的手写签名的验证,是由经验丰富的接收者,通过同预留的签名样本相比较而作出判断的; 最后,在数字签名中,有效签名的复制同样是有效的签名,而在传统的手写签名中,签名的复制是无效的. 数字签名可以同时具有两个作用:确认数据的来源,以及保证数据在发送的过程中未作任何修改或变动.因此,在某些方面而言,数据签名的功能,更有些近似于整体性检测值的功能.但是,二者的一个主要区别在于,数字签名必须能够保证以下特点,即发送者事后不能抵赖对报文的签名.这一点相当重要.由此,信息的接收者可以通过数字签名,使第三方确信签名人的身份及发出信息的事实.当双方就信息发出与否及其内容出现争论时,数字签名就可成为一个有力的证据.一般来说因信息篡改而受影响较大的是接收方.因此,接收方最好使用与信息发送方不同的数字签名,以示区别.这是
