1.在密钥分配中,可信第三方TTP的主要参与方式包括:协调,联机,脱机,三种方式参与。
2.数字证书所包含的字段有:证书序号,主体名,主体公钥信息,签名算法标识符,版本,签名者,有效期,
注意不包含撤销时间 CRL中包含
3.试简述 IPSee VPN的主要构成模块有:
管理模块 密钥分配和生成模块 身份认证模块 数据分组封装/分解模块 数据加/解密模块 加密函数库
4.在AH协议中,用于唯一标识该IP数据包认证服务所采用的密码算法的字段是 安全参数索引SPI
5. 数字证书生成包括:密钥生成,注册,验证,证书生成
6. 网际协议(ip)并没有做任何事情来确认数据包是按顺序发送的和没有破坏的。
网际协议规定中间节点不能对小数据包进行拼装组合。
ip存在机制保证数据净荷传输的正确性
7. 在安全领域,存在多种类型的防护措施,除了采用密码技术之外,还包括物理安全,人员安全和管理安全等安全防护措施。
8. OCSP协议采用在线查询的方式,用于检查数字证书是否有效。 并不是脱机检查
9. X.509标准规定了数字证书的结构和属性证书框架。
10. 数字证书:跟日常生活中的身份证差不多。它提供了一种在Internet等公共网络中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。
11.pmi和PKI
12.PMI组成
属性权威(AA)、属性证书(,AC)、属性证书库
13、IDS模型有数据收集、检测器、知识库和控制器4部分组成
入侵检测系统IDS的主要任务(步骤)是 信息收集,信息分析,和安全响应。
14、身份证明基本途径所知、所有和个人特征
15、unix系统口令64bit
16、DHCP当某个ip租期到期,可以将该地址分给其他用户使用
17、基本密钥需要频繁更换、密钥加密密钥一般用于会话秘钥和文件密钥进行加密、
会话秘钥加密数据量不大
18、防火墙对于数据流的处理仅有两种 ×
19、IKE用于ipsec核心协议中实现安全关联
20、一次性口令有挑战响应、口令序列、时间同步、事件同步
21、应用级网管切断了数据的端到端的流动
1.网络安全策略等级分类为:安全策略目标,机构安全策略,系统安全策略
2.主动攻击分为四类:伪装攻击,重放攻击,消息篡改,拒绝服务
3.被动攻击分为两种:窃听攻击,流量分析
状态检查包过滤在网络层,安全性与包过滤防火墙类似
空间隙在外网和内网之间实现了真正的隔离
4.IPV6地址缩写规则:
IPv6地址的表达形式一般采用32个十六进制数,32位地址每位可以取16个不同的值(0-9,A-F)。在很多场合,IPv6地址由两个逻辑部分组成:一个64位的网络前缀和一个64位的主机地址,主机地址通常根据物理地址自动生成。
1.连续段的0可以用::来省略(单个的也可以)
2.单个0000可以简化成0 例如: FE80:0000:0000:0000:AAAA:0000:00C2:0002 等价于 FE80:0:0:0:AAAA:0000:00C2:0002
3.前导0可以被省略: 例如:0FE0可以写成FE0,后导0不能省略0510:不能为051
5.公钥基础设施(PKI)的目的为: 从技术上解决 网上身份认证,电子信息的完整性,不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
6.数字证书所包含的字段有:证书序号,主体公钥信息,签名算法标识符,版本,签名者,有效期,主体名
7.证书撤销列表CRL是脱机证书撤销状态检查的主要方法,每个CRL必须列出证书序号,撤销日期和时间,以及撤销原因。
列出数字证书被撤销的常见原因:
8.数字证书的生成与管理主要涉及的主要方为:最终用户,注册机构,证书机构。
9.密钥分发和传送的主要方法:
利用安全信道实现密钥传递,
利用双钥体制建立安全信道传递,
利用量子技术实现密钥传递。
11.按照协议的功能分类,密码协议包括 基本密钥,密钥加密密钥,会话密钥,主机主密钥。
12.防火墙的外部过滤器用来保护网关免受侵害,目前常见的防火墙都有三个或三个以上的接口,同时发挥两个过滤器和网关的功能,入侵检测系统可以用来防御网络内部和外部的攻击。
13.应用级网关对网络性能影响最大。
14.静态包过滤防火墙的 功能为:
1>接收每个到达的数据包
2>对数据包采用过两次规则,对数据包的IP头和传输字段内容进行检查。
3>如果没有规则与数据包信息匹配,则对数据包施加默认规则。
15.切换代理防火墙在链接建立阶段和连接完成之后工作于OSI模型的 会话 和 网络 层上。
软件防火墙和硬件防火墙:软件防火墙是运用cpu的运算能力进行处理,硬件防火墙是运用专用的芯片级处理机制
16.入侵检测系统IDS的主要任务(步骤)是 信息收集,信息分析,和安全响应。
IDS模型有数据收集、检测器、知识库和控制器4部分组成
IDS控制台有日志检索、探测器管理、规则管理、日志报表、用户管理
NIDS功能结构上至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能
DIDS功能结构构件是有数据采集构件、通信传输构件、入侵检测分析构件、应急处理的构件、用户管理构件
蜜罐是吸引潜在攻击者陷阱、
17.采用DIDS的主要原因是为解决:
1>系统的弱点或漏洞分散在网络的各个主机上,这些弱点可能被入侵者一起用来攻击网络,而依靠唯一的网络,IDS不能发现入侵行为
2>入侵不再是单一的行为,而表现出入协作入侵的特点。
3>入侵检测所依靠的数据来源分散化,收集原始数据变得困难。
4>网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。
18.基于主机的入侵检测系统HIDS有以下特点:
1>监视特定的系统活动
a>监视用户和访问文件的活动
b>监视主要系统文件和可执行文件的改变
c>监视只有管理员 才能实施的异常行为
2>非常适用于加密和交换环境
3>近实时的检测和应答
4>不需要额外的硬件
19.VPN第二层隧道协议主要有三个 :
1>点对点隧道协议(PPTP)
2>第二层转发协议(L2F)
3>第二层隧道协议 (L2TP)
VPN第3层隧道协议主要有:
1>IPSee
2>GRE
3>多协议标记交换(MPLS)
20.VPN IPSee的核心协议有:
AH 来防御中间人攻击
ESP 来对IP数据包进行加密
IKE 来动态建立安全关联
21.试简述 IPSee VPN的主要构成模块有:
管理模块
数据加/解密模块
密钥分配和生成模块
身份认证模块
数据分组封装/分解模块
加密函数库
22.在AH协议中,用于唯一标识该IP数据包认证服务所采用的密码算法的字段是 安全参数索引SPI
23.信息安全的目标包括:真实性,保密性,完整性,可用性,不可抵赖性,可控制性。
24.IPV4的地址长度为32bit,IPv6地址长度为128bit,MAC的地址为48bit
25.数字证书生成包括:密钥生成,注册,验证,证书生成
27.IP协议不能保证数据包仅传送一次,IP协议不能保证数据包以特定的次序传输。采用UDP传输数据时没有纠错和重传机制。
29.TLS VPN不需要安装和配置特殊的用户端软件,采用应用层加密。
30.IPSee可以用于提供LAN-toLAN的隧道安全链接。
31.在安全领域,存在多种类型的防护措施,除了采用密码技术之外,还包括物理安全,人员安全和管理安全等安全防护措施。
32。ocsp协议采用在线查询的方式,用于检查数字证书是否有效。
33.X.509标准规定了数字证书的结构和属性证书框架。
34.防火墙工作于OSI模型的层次越高,其检查数据包中的信息就越多
35.简述网络安全的四种基本类型:信息泄露,完整性破坏,拒绝服务,非法使用
36. TCP 传输控制协议
UDP 用户数据报协议
DNS 域名系统
AH 认证头部协议
ESP 封装净荷安全协议
NAT 网络地址转换
37.试简述入侵检测系统IDS按照数据来源不同和入侵检测策略不同分别为哪几类:
入侵检测系统按照数据来源不同分为:
基于网络的入侵检测系统
基于主机的入侵检测系统
分布式入侵检测系统
入侵检测系统IDS按照入侵检测策略不同分为:
滥用检测
异常检测
完整性分析
38.PKI的保密性服务采用了“数字信封”机制,请简述其工作原理:
1、发送方产生一个对称密钥,并对该密钥加密数据。
2、发送发还用接受方的公钥加密对称密钥,就像把它装入一个数字信封。
3、然后把被加密的对称密钥和被加密的敏感数据一起传送给接收方。
4、接收方用自己的私钥拆开数字信封,并得到对称密钥
5、用对称密钥解开被加密的敏感数据
39.列出数字证书被撤销的常见原因:
1、数字证书持有者报告该证书中指定公钥对应私钥被破解。(被盗)
2、数字证书机构发现签字数字证书时出错。
3、数字证书持有者离职,而证书为其在职期间所签发的。
40.IP协议不能保证数据包以特定的次序传输,IP协议不能保证数据包仅传送一次。
41.采用UDP传输数据时没有纠错和重传机制。
42.在密钥分配中,可信第三方TTP的主要参与方式包括 协调,联机,脱机
43 网际协议并没有做任何事情来确认数据包是按顺序发送的和没有破坏的。
网际协议规定中间节点不能对小数据包进行拼装组合。
44.PKI公钥基础设施
概念
公钥基础设施( PKI )是利用密码学中的公钥概念和加密技术为网上通信提供的符合标准的一整套安全基础平台。
基础机制:
公开密钥机制
加密机制
PKI作用:
PKI可以作为支持认证、完整性、机密性不可否认性的技术基础
解决网上身份认证、信息完整性、不可抵赖等安全问题
2.PKI机制
主要思想:通过公钥证书对某些行为进行授权。
目标:可以根据管理者的安全策略建立起-一个分布式的安全体系。
PKI机制;
核心:要解决网络环境中的信任问题。确定网络环境中行为主体(包括个人和组织)身份的唯一性、真实性和合法性,保护行为主体合法的安全利益。
3.PKI组成
**PK|系统的关键:**如何实现对密钥的安全管理
公开密钥机制涉及公钥私钥,私钥由用户自己保存,公钥在一定范围内是公开的。
公开密钥体制的密钥管理主要是对公钥的管理,目前较好的解决方法是采用大家共同信任的认证机构( CA )。
4.认证机构(CA)
CA的概念
认证机构( CA)是整个网上电子交易等安全活动的关键环节,主要负责产生、分配并管理所有参与网上安全活动的实体所需的数字证书。
在公开密钥体制中,数字证书是一种存储和管理密钥的文件。
CA具有权威性、可依赖性、公正。
CA的主要职能:
制订并发布本地CA策略。但本地CA策略只能是对上级CA策略的的补充,而不能违背。
对下属各成员进行身份认证和鉴别。
发布本CA的证书,或代替上级CA发布证书。
产生和管理下属成员证书。
证实RA的证书申请,向RA返回证书制作的确认信息,或返回已制作好的证书。
接收和认证对它所签发的证书的撤销申请。
产生和发布它所签发的证书和CRL,
保存证书信息、CRL信息、审计信息和它所制订的策略。
CA的组成:
证书及管理:
PKI采用证书管理公钥。通过第三方的可信任机构CA把用户的公钥和用户的其他标识信息捆绑在一起,在Internet或Intranet上验证用户的身份。数字证书的营理方式在PKI系统中起着关键作用。
5.数字证书
数字证书概念:
也称为数字标识( Digital Certificate,或Digital ID)。
数字证书:跟日常生活中的身份证差不多。.,它提供了一种在Internet等公共网络中进行身份验证的方式,是用来标识和证明网络通信双方身份的数字信息文件。
证书的概念:数字证书由一个权威的证书认证机构(CA)发行
比较专业的数字证书定义:
数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。
**最简单的证书组成:**公开密钥、名称、证书授权中心的数字签名
**一般来说:**证书里面还会有密钥的有效时间、发证机关名称、证书的序列号等信息。
**数字证书格式:**X.509、WTLS ( WAP )、PGP等多种
X.509最为通用,它的通用格式为:
数字证书的管理:证书申请、证书发放、证书撤销、证书更新。
证书申请:在线申请、离线申请。
证书撤销:(1)利用周期性发布机制,主要有证书撤销列表( CRL) ;(2)利用在线查询机制,如在线证书状态协议(OCSP).
证书更新:普通用户证书更新、机构证书更新
二、PMI技术
1.概念
PMI(授权管理基础设施)
PMI的概念
PMI是在PKI发展的过程中为了将用户权限的管理与其公钥的管理分离,由IETF提出的一种标准。PMI以资源管理为核心。对资源的访问控制权统一交由授权机构统管理。
PMI组成
属性权威(,AA)、属性证书(,AC)、属性证书库
属性权威(AA);
也称为“授权管理中心"或“属性权威机构”, 是整个PMI系统的核心,
它为不同的用户和机构进行属性证书(AC)创建、存储、签发和撤销,负责管理AC的整个生命周期。
属性证书(AC):
是由PMI的权威机构签发的将实体与其享有的权限属性捆绑在一起的数据结构,权威机构的数字签名保证了绑定的有效性和合法性。
属性证书库
用于存储属性证书,一般情况下采用LDAP目录服务器。
对于授权管理;最常用的就是基于角色的访问控制。
PMI中基于角色的访问控制的优势:
授权管理的灵活性
授权操作与业务操作相分离
多授权模型的灵活支持
PMI系统框架:
授权管理基础设施在体系上可分为三级:
权威源(SOA) 属性权威(AA) AA代理点
三级二级一级可以灵活配置。
PMI与PKI之间的关系:在建设PMI设施的时候必须拥有足够安全的PKI信息。
PKI负责公钥信息的管理
PMI负责权限的管理
PMI设施中的每一个AA实体和终端用户都是PKI设施的用户
应用角度:PMI和PKI的发展是相辅相成,并互为条件的
PMI与PKI的区别:
PKI证明用户是谁。
PMI证明这个用户有什么权限、能干什么。
PMI需要PKI为其提供身份认证。
PKI:身份鉴别
PMI:授权管理
46.IPSee VPN在隧道模式中,对整个IP数据包进行加密或认证,因而需要产生一个信道IP 头。
48.安全攻击被分为主动攻击和被动攻击,请列出主动攻击的四种主要类型。
1.重放攻击
2.消息篡改
3.拒绝服务
4.伪装攻击
49.请简述网络加密的四种主要方式,并指出其报头是以明文还是密文传输的。
(1)网络加密方式主要包括链路加密,节点加密,端到端加密和混合加密
(2)在链路加密方式下,包头是以密文形式传输的
(3)在节点加密方式下,报头是以明文形式传输的
(4)端到端加密是由于不允许对消息的目的地址加密,因而是采用明文 传输的
(5)混合加密模式一般是链路加密与端到端加密的混合,其报头是采用密文传输的。
论述
1、防火墙优缺点
(3)采用分布式入侵检测系统DIDS的主要原因?
①系统的弱点或漏洞分散在网络的各个主机上,这些弱点有可能被入侵者一起用来攻击网络,而依靠唯一的主机或网络,入侵检测系统很难发现入侵行为。
②入侵检测行为不再是单一的行为,而表现出协作入侵的特点,如分布式拒绝服务。(DDOS)
③入侵检测所依靠的数据来源分散化,收集原始数据变得困难,如交换网络使得网络数据包受到限制。
④网络传输速度加快,网络的流量大,集中处理原始数据的方式往往造成检测瓶颈,从而导致漏检。