全部科目 > 网络工程师 >
2019年上半年 上午试卷 综合知识
第 43 题
知识点 数字证书   安全通信   认证   消息  
关键词 安全   通信   消息  
章/节 网络安全  
 
 
用户A和B要进行安全通信,通信过程需确认双方身份和消息不可否认,A、B通信时可使用(43)来对用户的身份进行认证,使用(44)确保消息不可否认。
 
  A.  数字证书
 
  B.  消息加密
 
  C.  用户私钥
 
  D.  数字签名
 
 




 
 
相关试题     网络安全 

  第42题    2017年下半年  
下列攻击行为中属于典型被动攻击的是( ) 。

  第66题    2015年上半年  
(66)针对TCP连接进行攻击。

  第16题    2022年下半年  
下列认证方式中,安全性较低的是()。

 
知识点讲解
· 数字证书
· 安全通信
· 认证
· 消息
 
        数字证书
               数字证书的概念
               数字证书解决了公开密钥密码体制下密钥的发布和管理问题。用户可以公开其公钥,而保留其私钥。一般包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。
               数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。目前得以广泛使用的证书标准是X.509。下表所示为X.509数字证书中的各个数字域的含义。
               
               X.509数字证书中的各个数字域的含义
               证书的获取
               任何一个用户要得到CA的公钥,就能得到该CA为该用户签署的公钥。由于证书是不可伪造的,因此对于存放证书的目录无须施加特别的保护。
               由于一个公钥用户拥有的可信任管理中心数量有限,要与大量不同管理域的用户建立安全通信需要CA间建立信任关系。一个证书链是从一个自签名的根证书开始,前一个证书主体是后一个证书的发放者。也就是说,该主体对后一个证书进行签名。一般来说,对证书链的处理需要考虑每个证书相关的信任关系。
               证书的吊销
               用户的数字到了有效期的终止时间、用户私钥已被泄露、用户放弃使用原CA的服务、CA私钥泄露都需要吊销用户的数字证书。为此,CA维护有一个证书吊销列表(CRL),以供用户查询。
 
        安全通信
        网络设备和管理工作站之间的安全通信有两种方式:一是使用SSH;二是使用VPN。
               SSH
               为了远程访问安全,网络设备提供SSH服务以替换非安全的Telnet,其配置步骤如下:
               (1)使用hostname指定设备名称。
               (2)使用ip domain-name配置设备域。
               (3)使用crypto key generate rsa生成RSA加密密钥。建议最小密钥大小为1024位。
               (4)使用ip ssh设置SSH访问。
               (5)使用transport input命令配置使用SSH。
               如下所示,是在路由器RouterOne上设置SSH访问,VTY配置成只允许SSH访问。
               
               IPSec VPN
               网络设备若支持IPSec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的,其主要配置步骤如下:
               (1)设置ISAKMP预共享密钥;
               (2)创建可扩展的ACL;
               (3)创建IPSec transforms;
               (4)创建crypto map;
               (5)应用crypto map到路由接口。
               假设管理工作站的IP地址是X.Y.Z.10,网络设备是路由器RouterOne,则路由器的IPsec配置过程如下表所示。
               
               IPsec配置过程示意表
 
        认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
 
        消息
        消息是对象间通信的手段、一个对象通过向另一个对象发送消息来请求其服务。一个消息通常包括接收对象名、调用的操作名和适当的参数(如有必要)。消息只告诉接收对象需要完成什么操作,并不能指示接收者怎样完成操作。消息完全由接收者解释,接收者独立决定采用什么方法来完成所需的操作。



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2023 All Rights Reserved
软考在线版权所有