免费智能真题库 > 历年试卷 > 网络工程师 > 2013年上半年 网络工程师 上午试卷 综合知识
  第60题      
  知识点:   IEEE 802.11的新进展   安全协议
  关键词:   安全   协议        章/节:   局域网       

 
在Wi-Fi安全协议中,WPA与WEP相比,采用了(60)。
 
 
  A.  较短的初始化向量
 
  B.  更强的加密算法
 
  C.  共享密钥认证方案
 
  D.  临时密钥以减少安全风险
 
 
 

 
  第64题    2014年下半年  
   39%
在IEEE 802.11无线局域网中使用的通信技术有多种,但是不包括(64)。
  第65题    2020年下半年  
   33%
WLAN接入安全控制中,采用的安全措施不包括( )。
  第66题    2013年下半年  
   14%
IEEE 802.11标准采用的工作频段是_(66),下列标准中采用双频工作模式的是(67)。
   知识点讲解    
   · IEEE 802.11的新进展    · 安全协议
 
       IEEE 802.11的新进展
        无线局域网面临着两个主要问题,一是增强安全性,二是提高数据速率。
               WLAN的安全
               1)SSID访问控制
               可以对各个无线接入点(AP)设置不同的SSID(Service Set Identifier),当然,也可以禁用SSID广播。
               2)物理地址过滤
               在无线路由器中维护一组允许访问的MAC地址列表,用于实现物理地址过滤功能。
               3)有线等效保密
               有线等效保密(Wired Equivalent Privacy, WEP)使用RC4协议进行加密,并使用CRC-32校验保证数据的正确性。最初的WEP标准使用24位的初始向量,加上40位的字符串,构成64位的WEP密钥。后来美国政府放宽了出口密钥长度的限制,允许使用104位的字符串,加上24位的初始向量,构成128位的WEP密钥。
               4)WPA
               Wi-Fi联盟的厂商们以802.11i草案的一个子集为蓝图制定了称为WPA(Wi-Fi Protected Access)的安全认证方案。在WPA的设计中包含了认证、加密和数据完整性校验3个组成部分。
               首先是WPA使用了802.1x协议对用户的MAC地址进行认证;其次是WEP增大了密钥和初始向量的长度,以及128位的密钥和48位的初始向量(IV)用于RC4加密。WPA还采用了可以动态改变密钥的临时密钥完整性协议(Temporary Key Integrity Protocol, TKIP),通过更频繁地变换密钥来降低安全风险。
               5)IEEE 802.11i
               IEEE 802.11i标准包含以下3个方面的安全部件。
               .临时密钥完整性协议(TKIP)是一个短期的解决方案,仍然使用RC4加密方法,但是弥补了WEP的安全缺陷。
               .重新制定了新的加密协议,称为CBC-MAC协议的计时器模式(Counter Mode with CBC-MAC Protocol, CCMP)。这是基于高级加密标准(Advanced Encryption Standard, AES)的加密方法。
               .采用802.1x进行身份认证。如果认证通过,则AP为无线工作站打开一个逻辑端口。
               可扩展的认证协议(Extensible Authentication Protocol, EAP)是一种专门用于认证的传输协议。常用的认证机制有EAP-MD5、Lightweight EAP(LEAP)、EAP-TLS。
               802.11i还提供了一种任选的加密方案WRAP(Wireless Robust Authentication Protocol),实现了一种动态密钥交换和管理体制。对于小型办公室和家庭应用,可以使用预共享密钥(Pre-Shared Key, PSK)的方案,这样就可以省去802.1x认证和密钥交换过程了。
               WLAN的传输速率
               2009年9月11日IEEE 802.11n标准正式发布。802.11n结合了MIMO与OFDM技术,可以将WLAN的传输速率由目前802.11a/802.11g的54Mbps提高到300Mbps,甚至600Mbps。
               正交频分复用(Orthogonal Frequency Division Multiplexing, OFDM)是一种多载波调制技术。其主要思想是将信道划分成若干个正交子信道,将高速数据信号转换成并行的低速子数据流,并将各个子数据流交织编码,调制到正交的子信道上进行传输,在接收端采用相关技术可以将正交信号再分开。OFDM具有较高的频谱利用率。
               MIMO(Multiple Input Multiple Output,多入多出)是通过多径无线信道实现的,传输的信息流经过空时编码成N个子信息流,由N个天线发射出去,经空间信道传输后由M个接收天线接收。多天线接收机利用先进的空时编码处理功能对数据流进行分离和解码,从而实现最佳的处理结果。
 
       安全协议
        电子商务安全交易协议是一种安全机制保障。目前,电子商务安全机制正在走向成熟,并形成了一些国际规范,比较有代表性的是SSL协议(安全套接层协议)和SET协议(安全电子交易协议)。
               SSL协议
                      SSL协议概述
                      安全套接层(Secure Sockets Layer,SSL)协议,是由美国网景(Netscape)公司研究制定的安全协议,主要用于解决TCP/IP协议难以确定用户身份的问题,为TCP/IP连接提供了数据加密、服务器端身份验证、信息完整性和可选择的客户端身份验证等功能。
                      SSL协议通过在应用程序进行数据交换前交换初始握手信息实现有关安全特性的审查。握手信息中采用了DES、MD5等加密技术实现机密性和数据完整性,并采用X.509格式数字证书实现鉴别。
                      SSL协议适用于点对点之间的信息传输,通常在浏览器和WWW服务器之间建立一条安全通道实现文件保密传输。SSL协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。
                      SSL协议层次结构
                      SSL协议在TCP/IP网络分层结构中位于应用层和TCP层之间,由SSL记录协议(Record Protocol)和SSL握手协议(Handshake Protocol)组成,如下图所示。
                      
                      SSL协议在TCP/IP网络分层结构模型中的位置
                      SSL记录协议定义数据传送的格式,包括记录头和记录数据格式的规定等。SSL握手协议描述建立安全连接的过程,在客户机和服务器传送应用数据之前,允许服务器和客户机相互验证身份(客户机端可选),协商加密算法、确定会话密钥等。
                      SSL协议基本安全服务功能
                      (1)信息机密性。SSL协议应用对称和非对称密钥等多种加密算法,客户机和服务器在建立的安全通道中传输的所有信息都经过加密处理,防止非法窃听,实现信息的机密性。
                      (2)信息完整性。SSL协议利用公开密钥加密算法和数字摘要技术,对信息的完整性进行检验,保证信息在传输过程中不被篡改。
                      (3)认证性。SSL协议利用数字证书技术,实现对服务器和客户机的认证。为了验证数字证书持有者是合法用户,SSL要求证书持有者在握手时,双方可通过交换数字证书,验证对方身份的合法性,确保数据发往正确的客户机和服务器。
                      SSL协议的通信过程
                      (1)接通阶段。客户机呼叫服务器,服务器回应客户。
                      (2)认证阶段。服务器向客户机发送服务器证书和公钥,以便客户机认证服务器身份;如果服务器需要双方认证,还要向客户机提出认证请求,客户机向服务器发送客户端证书。
                      (3)确立会话密钥。客户机和服务器之间协商确立会话密钥。
                      (4)会话阶段。客户机与服务器使用会话密钥加密交换会话信息。
                      (5)结束阶段。客户机与服务器交换结束信息,通信结束。
                      SSL协议分析
                      SSL协议开发成本小,能够提供机密性、完整性和认证服务。目前主流浏览器及许多服务器都支持SSL协议,但在电子商务交易应用过程中,也存在一些安全问题。
                      应用SSL协议的电子交易过程如下:
                      (1)客户将购物信息发往商家。
                      (2)商家将信息转发银行。
                      (3)银行验证客户信息的合法性后,通知客户和商家付款成功。
                      (4)商家通知客户购买成功,并将商品交给客户。
                      分析以上交易过程,可以看到客户的购物信息(含支付信息,如银行资料)首先发往商家,若是商家不可靠,客户银行资料的信息安全性就得不到保证。此外,SSL协议只是提供了信息传递的安全通道,没有提供数字签名功能,存在抵赖和用户身份被冒充的可能性。这些问题在SET协议中得到了解决。
               SET协议
                      SET协议概述
                      安全电子交易(Secure Electronic Transaction,SET)协议,是由VISA、Mastercard两大国际信用卡组织会同一些计算机供应商共同开发的网上安全交易协议,是为银行卡在Internet上安全地进行交易提出的一整套完整的安全解决方案。1997年5月正式推出SET协议1.0版。
                      SET协议采用对称加密技术和非对称加密技术提供数据加密、数字签名、数字信封等功能,保证了信息在网络中传输的机密性,数据的完整性和一致性,防止交易抵赖行为的发生。SET协议采用数字证书验证交易过程中参与各方的身份,一般由第三方CA机构负责为在线的通信双方提供信用担保与认证,对参与其中的支付网关也要进行认证,以防假冒,具有多方认证性。SET协议通过双重数字签名技术实现了客户订单信息和支付信息(信用卡账号、密码等)的隔离,保证商家只能看到客户的购买信息,看不到客户的支付信息;而银行只能看到客户的支付信息,看不到客户的购买信息。SET协议规定了交易中各方进行安全交易的具体流程。参与各方在交易流程中均遵循严格的标准,体现在要求软件遵循相同的协议和消息格式,加密算法的应用协商,数字证书信息和对象格式,订货信息和对象格式,认可信息和对象格式,资金划账信息和对象格式,对话实体之间消息的传输协议等。
                      SET协议的参与对象
                      基于SET协议的网络支付过程涉及多个参与方,包括客户、商家、银行(发卡银行、收单银行)、支付网关、CA认证中心。
                      (1)客户。通常是持有信用卡的用户。SET协议机制中,持卡客户通常要到发卡银行申请并在自己的客户端安装一套SET交易专用的客户端软件(电子钱包软件),并向CA认证中心申请数字证书。
                      (2)商家。客户在网上购物,网上商家通过商家服务器软件提供服务。与客户类似,商家必须先到收单银行申请设立账户,并向CA认证中心申请商家服务器的数字证书。
                      (3)发卡银行。发卡银行是指客户的开户银行。通常持卡客户的客户端软件从发卡银行获得,持卡客户申请数字证书,必须由发卡银行审核批准,才能从CA认证中心得到,因为持卡客户是利用银行的信誉消费。
                      (4)收单银行。收单银行是指商家的开户银行。支付网关接收商家转来的持卡客户支付请求后,要将支付请求转交给收单银行,通过银行间金融专用网络,传送到持卡客户的发卡行,进行相应的授权和扣款。收单银行与发卡银行可以是同一银行。
                      (5)支付网关。支付网关是Internet与银行内部专用网之间的一个专用系统,使得银行金融专用网不直接与非安全的公开网络连接,从而保护银行内部专用网的安全。通常,商家收到客户的购物请求后,要将客户的账号等支付信息传递给收单银行,因此支付网关一般由收单银行担任。银行可委托第三方担任网上交易的支付网关。与客户和商家一样,支付网关也必须通过CA认证中心申请数字证书,才能参与SET交易活动。
                      (6)CA认证中心。SET协议规定,参与SET交易的各方(包括客户、商家、支付网关)必须申请并安装数字证书,以证实自己的真实身份。CA认证中心作为发放和管理数字证书的机构,起着非常重要的核心作用。
                      应用SET协议的交易流程
                      (1)持卡人(客户)在商家(网上商店)浏览商品;
                      (2)持卡人选择要购买的商品,并填写订单;
                      (3)持卡人选择在线支付方式。当选择支持SET协议的支付方式进行支付时,SET协议开始起作用;
                      (4)持卡人发送订单和支付指令给商家。订单和支付指令由持卡人进行数字签名,同时利用双重数字签名技术保证商家看不到持卡人的支付信息(账号等);
                      (5)商家收到订单后,向持卡人所在银行发出支付请求。支付信息通过支付网关到收单银行,再到发卡银行。支付请求获得发卡银行的授权后,返回授权指令给商家;
                      (6)商家将订单确认信息通知持卡人,为客户发货或完成订购服务。
                      至此,应用SET协议的交易流程结束。商家可以请求收单银行将此笔交易的款项从持卡人账户转到商家账户。以上流程中,SET从持卡人选择支付方式后开始介入,每一步操作,持卡人、商家和支付网关都会通过CA验证通信主体的身份,以确保通信主体的真实性。
                      SET协议中的双重数字签名技术
                      电子商务交易过程中,客户发送订购信息和对应的支付信息是相关联的,如何使信息传输过程中,商家看不到客户的支付信息,银行看不到客户的购买信息,SET协议通过双重数字签名技术加以解决。
                      发送者A将发送给接收者B和C的信息分别应用算法生成各自的数字摘要,再将两个数字摘要连在一起,应用算法生成新的数字摘要(双重数字摘要),将双重数字摘要用发送者的私钥加密,生成双重数字签名。
                      下面以客户发送信息给银行为例说明双重数字签名的生成与验证过程,如下图所示。
                      
                      客户发送信息给银行双重数字签名的生成与验证过程
                      (1)客户对购买信息和支付信息分别生成购买信息的数字摘要E1和支付信息的数字摘要E2;
                      (2)将E1和E2连接起来生成双重数字摘要E3;
                      (3)客户用自己的私钥加密E3生成双重数字签名K;
                      (4)客户把双重数字签名K,支付信息和购买信息的数字摘要E1一起发送给银行;
                      (5)银行对信息进行验证。将支付信息用对应的同样算法生成支付信息的数字摘要E2′,并将E2′同收到的购买信息的数字摘要E1连接在一起,用对应的同样算法生成双重数字摘要E3′;
                      (6)银行用客户的公钥解密收到的双重数字签名K,得到双重数字摘要E3,将E3与E3′比较,如果相同,则银行验证了支付信息是由该客户发出的,且在传输过程中没有被篡改。
                      同理,客户将双重数字签名K,购买信息和支付信息数字摘要E2发送给商家完成订货信息的传递、签名与验证。通过使用双重数字签名技术,银行和商家只能看到同一条购物信息中自己所需要的那一部分信息,更好地保护了客户的隐私权和电子商务交易活动的安全性。
               SSL协议与SET协议比较
               在支持技术上,SSL协议与SET协议可以说是一致的,都采用了对称密钥加密、非对称密钥加密、数字摘要与数字证书等加密和认证技术;对信息传输的机密性来说,两者的功能是相同的,且都能保证信息在传输过程中的保密性及完整性,但两者在实现目标、实现机制、安全性等方面有所不同。
               SSL协议提供在Internet上的安全通信服务,是在客户机和服务器之间建立一个安全通道,保证数据传输机密性;SET协议是为保证银行卡在Internet上进行安全交易提出的一套完整的安全解决方案。SSL协议面向连接,SET协议则允许各方之间非实时交换报文。
               SSL协议只是简单地在双方之间建立安全连接,SET协议则是一个多方报文协议,它定义了银行、商家、持卡人之间必须遵循的报文规范;建立在SSL协议之上的卡支付系统只能与Web浏览器捆绑在一起,SET报文则能够在银行内部网或其他网络上传输。
               SSL协议与SET协议在网络中的层次也不一样。SSL协议是基于传输层的协议,SET协议是基于应用层的协议。SSL协议在建立双方安全通信通道后,所有的传输信息都被加密,SET协议则会有选择地加密一部分敏感信息。
               从安全性来讲,SSL协议中,信息首先发往商家,商家能看到客户的信用卡账户等支付信息。SET协议则通过双重数字签名技术,保证商家看不到客户的支付信息,银行也看不到客户的购买信息,更好地保护了客户的安全和隐私。
   题号导航      2013年上半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第60题    在手机中做本题