收藏
下载资源

网络安全通信协议

上传人:桔**** 文档编号:506492923 上传时间:2024-01-10 格式:DOCX 页数:23 大小:26.54KB
返回 下载 相关 举报
网络安全通信协议_第1页
第1页 / 共23页
网络安全通信协议_第2页
第2页 / 共23页
网络安全通信协议_第3页
第3页 / 共23页
网络安全通信协议_第4页
第4页 / 共23页
网络安全通信协议_第5页
第5页 / 共23页
点击查看更多>>
资源描述

《网络安全通信协议》由会员分享,可在线阅读,更多相关《网络安全通信协议(23页珍藏版)》请在金锄头文库上搜索。

1、名词解释1. Kerberos 信任状:2. 通信流:3. 安全策略:是针对安全需求给出的一系列解决方案,决定了对什么样的通信 实施安全保护,以及提供何种安全保护。4. 安全关联AS:指通信的对等方之间为了给需要受保护的数据流提供安全服务, 而对某些要素的一种协定。5. Kerberos 票据:一个记录,客户可以用它来向服务器证明自己的身份,其 中包括客户标识、会话密钥、时间戳,以及其他一些信息。Ticket中的大多数信息都被加密, 密钥为服务器的密钥。6认证符:认证符(Authenticator)是可用来作为认证的一段加密文字的。 当客户端发送票证到目标服务器时,不管服务器是TGS或者其他网

2、络服务器,客户端都将一个认证符的放在 消息中。7. Kerberos域:每个组织或单位都可以建立并维护一个Kerberos认证系统, 该系统称为Kerberos 域。8. U2U认证:用户到用户的认证,即U2U认证,以保障Kerberos服务器安全。9. 安全协议及其目的:又称密码协议、安全通信协议,是实现信息安全交换和 某种安全目的的通信协议。10. NAS:网络接入服务器,为每个用户的网络接入提供随时、临时的服务。11. PAC: PPTP接入控制器,与PSTN或ISDN线路连接、能够进行PPP操作和 处理PPP协议的设备,是PPTP协议模型的客户端,是PPPLCP协议的逻辑终点。12隧道

3、:一对PAC,PNS定义一条隧道,在PAC和PNS之间运输PPP数据报, 隧道可以复用/分用。13呼叫:PSTN或ISDN网络中两个终端用户间的一次连接或连接企图。14安全参数索引SPI:是一个32位的整数值,SPI和外部头的目的地址、AH协 议一起,用以唯一标识对这个包进行AH的保护SA。15. SSL握手协议:允许服务器和客户机相互验证,协商加密和MAC算法以及 保密密钥,用来保护在SSL记录中发送的数据。16. base64编码:Base64是一种基于64个可打印字符来表示二进制数据的表 示方法。Base64常用于在通常处理文本数据的场合,表示、传输、存储一些二进制数据。117. MIM

4、E 安全多部件:多部件/签名和多部件/加密,包括了用作打包数字签名 和加密数据框 架的MIME实体。18. 密钥环:密钥环分为私钥环和公钥环,一个用来存储此结点的公钥/私钥对, 一个用来存 储此结点知道的其他用户的公钥。习题 1简述ARP欺骗的基本过程,画出简图。 2.简述摘要验证数据完整性的基础。 在发送数据的同时附加其摘要,接收方收到数据后利用同一散列函数计算接收 的数据的摘要, 并把它也收到的摘要加以比较,若相同,则说明数据未被修改,否则,数据的 完整性已经被 破坏。3简述四种交换的密钥协商共享方式,画出简图。答:(1)主模式:将SA的建立和对端身份的认证以及密钥协商相结合,使得 这种模

5、式能抵 抗中间人攻击; 端 , 协商 Ke_i发起端基本 HDR,Pu bKey_i ,Ke_r,H Ke_r R HAS HDR,HA , H(1) SH_I* S , SH_R* H PubK 2D ey_r 传递临 R ,K 加密 S e_i, 的密钥 A 息、 应 Ke_i 身份信息及,对端公 钥加密的 随机数 交换身份及认 证信 息,实现对端认证(2) 野蛮模式:简化了协商过程,但抵抗攻击的能力较差,也不能 提供身份保护;发起端HDR,SA,KE,Ni,IDiiHDR,SA,KE,Nr,IDir,HASH_RHDR,HASH_I响应端(3) 快速模式:在快速模式下交换的载荷都是加密的

6、;发起端响应端HDR,HASH(1),SA,KE,Ni,KE,IDci,IDcr*HDR,HASH(2),SA,KE,Nr,KE,IDci,IDcr*HDR,HASH(3)*(4) 新群模式:Diffie-Hellman密钥交换协商一个新的群,在新 群模式下交换的载荷也都是加密的。发起端HDR,HASH(1),SA*HDR,HASH(2),SA*响应端4简述IKE使用的4种认证方法中的任两种。数字签名认证主模式交换:在数字签名认证方法中,双方的相互认证是通过对HASH-1和HASH-R 进行数字签名来完成的,而并非只是提供一个散列结果。交换中采用了可选的载荷。 数字签名是无法否认的,只要每一方

7、都保留了同IKE辉煌对应的状态,他们就可以确定无疑地 证明自己是在同一个特定的实体进行通信。公钥加密认证主模式(1) 交换步骤使用公钥加密认证的主模式中,其中pub_x表示用“x”的公钥进 行加密。在这种交换过程中,ID载荷时在第三条消息中交换的,因为发起者必须提 供自己的身份信息,使响应者能够正确地地位发起者的公钥,并对反馈给发起者的响 应进行加密。如果要保护ID载荷,则双方必须使用对方的公钥加密自己的身份信 息。(2)公钥加密认证的主模式交换的局限性 公钥加密认证主模式不允许证书的请求或交换,如果想交换一份证书 则必须损失主模式的身份保护功能。应用该模式时,双方必须提供额外的方法支持,以便

8、双方能够获得双方的证书。 容易造成否认,通信双方都可以否认自己曾经参与过交换。35.比较网络层部署安全协议的优缺点。网络层安全通信协议主要是解决网络层通信的安全问题,对于TCP/IP 协议来说,就是解决IP协议的安全问题。现阶段,IPsec是最主要的网络层安全通 信协议。主要优点是对网络层以上各层透明性好,主要缺点是很难提供不可否认服务。6 利用数字证书、签名和加密方式构建简单的安全消息系统,画出简 图,并说明其不足。同107简述ESP是如何处理进入分组的?ESP机制对进入IPsec数据包的处理如下:1)分段重组当一个设置了MF位的数据包到达IPsec目的结点时,IPsec等待剩 下的分段到达

9、后,重组这些分段。2)查找SA使用外部IP头中的三元组SPI,目的IP,协议号作为索引检索SAD, 若查找失败,则丢弃该包,记录日志。3)抗重放处理若启用抗重放功能,则使用SA的抗重放窗口检查数据是否是重放包, 若是,丢弃,记录日志;否则,继续后续处理。4)完整性检查使用SA指定的MAC算法计算数据包的ICV,并将它和“认证数据”进 行比较,若相同,则通过验证;否则,丢弃该包,记录日志。5)解密数据包若SA指定了加密服务,则使用SA指定的密码算法和解密密钥,对ESP 载荷数据部分进行解密(从IV到下一个头之间)。接收方可以通过检查解密结果中填充 内容的合法性来判断解密是否成功。若成功,则继续处

10、理,否则丢弃并记录日志。6)恢复IP数据包。传输模式,将ESP载荷的下一个头字段值赋予IP头的协议字段,去掉ESP头、ESP尾、IV以及ICV字段,重新计算IP头的校验和;对隧道模式,内部IP头即原 始IP头,因此,恢复时只要去掉外部IP头、ESP头、ESP尾和ICV,即可得到原来的IP数 据包。7)检验策略的一致性。对恢复出的明文IP数据包,根据源IP、目的IP、上层协议和端口号 等构造选择符,将SPD条目中的选择符与构造出的选择符比较,并比较该SPD的安全策路与实际保护的安全策略是否相符,若不相符则丢失数据包,并记录日志4最后,将数据包发送到IP协议栈的传输层或转发到指定的结点。8.IPs

11、ec 传输模式分别有什么优缺点和各使用在什么场合? 传输模式优点:(1) 使内容其他用户,也不能解密在A、B主机之间传输的数据。(2) 各主机分担了IPsec的负载,避免了IPsec处理的瓶颈。 传输模式缺点:(1) 内网中各主机只能使用公网IP地址。(2) 每个实现传输模式的主机都必须安装实现IPsec协议,不能实现对端用户的透明服务。(3) 暴露了子网内部的拓扑结构。隧道模式优点: 受保护的子网内所有用户都可以透明地享受安全网关提供的保护。 能够保护子网内部的拓扑结构。 子网内部的各主机可以使用私有IP地址。隧道模式缺点: 子网内通信以明文形式,故无法控制内部安全问题的发生。 IPsec主

12、要集中在安全网关,增加了安全网关的负担,容易造成通 信瓶颈。9简述IPsec不能突破NAT的原因。(1)NAT 与AHAH协议认证外部的IP头,而NAT就是要改变外部IP头中的地址, 所以在NAT网关后的IPsec网关或主机,应用IPSec保护时无法通过AH认证。(2) ESP 与NAT虽然ESP协议不认证也不加密外部IP头,可以在NAT环境下使用, 但是也存在问题:TCP和UDP这些传输层协议头中都有一个校验和字段,他与IP头中的IP 地址有关,NAT处理后,修改了源或目的IP地址,因此NAT必须重新计算传输层校验和字段。 这样在接收端进行传输层校验和时就会出错,因此这个报文会被传输层丢弃,

13、但是ESP在 隧道模式下能够穿越NAT。(3) IKE 与NAT使用IKE自动建立SA宁做端对端认证时,最常用的认证方法是预共 享密钥,而这种方法依赖于数据包的源IP地址,如果两端之间插入NAT,则外部源IP地址 将被翻译成NAT路由器的地址,此时就不能标识源端的身份,IKE会丢弃这个IP包。(4) 端口与 NAPTNAPT (网络地址端口翻译)是最常用的一种动态NAT,它需要修改传 输层的端口号,一个IP数据包收到IPSec保护时,其传输层端口号也会受到保护,所以 当NAPT修改端口号后,改IP数据包将会被接收方丢弃。(5) IKE固定端口号与NAPTNAPT通过不同的端口号来区分不同的连接

14、,但是IKE进行UDP通信 的端口号通常是500 端口,这时会出现问题。10.构建一个简单的安全消息系统。高效的方案是:使用对称密码对通信数据进行安全处理,并依托公钥 密码体制的相关技术生 成或保护对称密码算法所需的共享密钥。原理图如下:5方案可以满足各类安全需求,但忽略了以下几个问题: 忽略了身份认证问题o Alice在通信前默认Bob是自己预期的通信 对端; 忽略了双方如何就加密、散列和签名等算法达成一致; 忽略了在数据加密、散列和签名后,数据尺寸的大小。在实际的应用中,为了提高数据传输的效率,通常将证书和密钥的传 递步骤从整个通信过程中独立出来,并且在整个数据通信过程中,只进行一次证书和密钥的 交换。此后一直使用交 换的证书和密钥,该过程成为“握手”或“协商”。 通信前,进行“握手”或“协商”的功能包括: 身份认证; 算法协商; 共享密钥的生成。因此协商过程是网络安全协议规定的核心内容。由于应用环境和协议 栈的层次不同,不同的安全协议中规定的协商过程都不一致。第四章l.IPsec提供了哪些安全机制?答:IPsec工作在IP层,提供访问控制、无连接的完整性、数据源 认证、机密性保护、有限

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号