网络安全协议复习题
!
2.进行行序列号检查,验证每个接收的包是否包含不重复的序列号。通过使用用滑动接收窗 又口口可以拒绝重复序列号。如果检查失败,这个包就会被丢弃。
3.ICV验证:接收者使用用认证算法,根据包的字段计算ICV,验证包的认证数据字段内的ICV 获 ICV值进行行比比较。如相符,IP 过 验 证 4. 该 报丢
NAS 户 户
务 战
码 [PAP] [CHAP]
NAS发送用用户名和加密的密码到RADIUS RADIUS
!
务
应
绝
还
简述Radius协议主要功能
RADIUS 户 - 务
协议 户 验证 户 AS
构环 记帐请 务
AAA 给 RADIUS TGS 务 应
RADIUS 务 务
!
备 导 预 Kerberos 组 证书
废证书 记 验证 实 签 证书
钥 钥 钥 钥导 级设
传输 简 钥
们 间 钥 户 钥导 导
务 钥
钥 户
SSL
协议 务
预主密钥,主密钥,客户机(或服务器)写MAC
! Windows 2003 !
简述PKI 钥 PKI 钥证书 构 发
发送端的SSL
压缩应 计
值
过
压缩 对压缩 值 压缩 络传给对 过
!
简述在阶段端SSL SSL
记录协议 运 对 对 应
压
应 给应 层
计算的散列值与明文文中的散列值比比较
,则明文文有效 , SSL
! ! 简述SSL !
(1) 户
满 值 值 SPI 载 长 值 则 “32
SA SPI ” 头 “验证数据”
5.输出经过AH处理的报文文。
17. 对于外出的数据包,ESP协议处理的目目标是向数据包合适的位置增加ESP报头。具体的 处理步骤如下:
1. SPDB 时 查 SADB SA ESP应 用用到与这个与之相符的数据包,该数据包在SPDB
丢
,
发
发
协议 务 务
运 过 发 产 户 务
钥 发
ClientHello
ClientHello 户 选择 须 ServerHello 压缩 该 户
ServerHello 钥
对 务 钥 额
务
进 户
验证 验证 杂
务 户
还
发
户
发 务 进 钥 户
务 发 阶 验证 过 该 钥 验 护
1.
络 换协议
协议 电 络 码 务协议
标 协议 为
协议 击 击 胁 击 动 击 击 仅仅 对 见 见
发 动 钥 钥 颁 标 对应 钥 胁 胁 运 击
络 络 对 络 环 们 码 运
钥
换协议
认证协议
认证 赖 络 认证
钥
2. 3.
认证 计 骤 达 钥 恶 对 试图 认证 Dolve-Yao Dolve-Yao
! !
1.查询SADB 组 组
护这
SA
IP报头的SPI
IP 丢
协议
AH
对SA进行行查询。如果没有找到合适的SA 这
2.进行行序列号检查,验证每个接收的包是否包含不重复的序列号。通过使用用滑动接收窗 又口口可以拒绝重复序列号。如果检查失败,这个包就会被丢弃。
3.ICV验证:接收者使用用认证算法,根据包的字段计算ICV,验证包的认证数据字段内的ICV 获 ICV值进行行比比较。如相符,IP 过 验 证 该 报丢
AS
钥Kst对TGT进行行加密。许可证包含KS
A→TGS
话 请 应
钥KS 务 B
户A TGT
TGS发出请求,申请接入入某一一应用用服务器B KS 4 TGS→A 务
钥Kst对TGT进行行解密得到KS TGS 钥Kab 务 B 发 应 务 获 B 应 务 给
TGS产生生
新的会话密钥Kab 息用用会话密钥KS A访问服务器B A 5 A→B 户A 户A 进行行加密。当A 发给应 6 A→B 时间 钥Kab
单向函数,即给出h MD5
12. 简述普通数字签名的实现原理,并比比较数字签名和消息认证码(MAC Hash 签 签 码 13. IPSec 14. IPSec IPSec 传输 IP头,新IP头和新IP 载 15. 简述IPsec 协议 钥 库 换 组 AH , ESP 传输 协议 IKE 库SPD 联 库SAD
许
! 实现Kerberos协议包括了4 !
Kerberos协议的功能
环
络访问设备
RADIUS
户
访问
络
处
务
务
!
2
务
认证
户
Kerberos协议的功能和过程
1 A→AS
户A请求Kerberos认证服务器AS发给接入入Kerberos TGS AS→A
库 查 户A 对应 户A 实 A 详细 A AS AS产生生一一个会话密钥KS 钥Kas 导 钥 对此会话密 认证服务器AS 钥Kas
长
A计算Yx(mod p), B计算Xy(mod p), K=Yx(mod p)=Xy(mod p)=gxy(mod p) 11. Hash 义
Hash 该 h
输入入x 为 输出串长度固定
H 为m
x
h
计
Hash 计
给
x 难 SHA1 计
H(x) 输 x h = H(x)
过证书
钥
联
过
CA签名的电子子证书,它绑定公钥和身身份
CA签名
CRL
证书撤销列表(CRL RA 认证机构(CA
证书颁布策略:证书颁布的相关策略
证书目目录:存储和管理证书的目目录服务
户 Subscriber 证书
! ! ! ! ! !
赖
Relying party
证书
验证
(5)LSA KDC TGS 务请 (6) 户 务 证请
LSA联系KDC
务 计
证
务
证传递给 户 统 务
! Radius协议在WindowServer 2003 ! Windows 2003 Kerberos
对ESP载荷数据、填充项、填充长度和下一一个头进行行解密。
5.结束ESP处理过程,整个数据报传递给IP协议来处理。
20. 简述IKE 阶 协 过
阶段1 阶段2 阶 ISAKMP ISAKMP SA 1 SA 阶 ISAKMP SA AH 2 ESP SA 协议 护 IPSec SA
钥KS进行行加密;再生生成一一个票据分配许可证TGT TGS 发 3 户A 时间
TGS 认证 户实 该 话
报 认证单 访问应 B
务
KS 时间 务 获 钥Kab 务 A AS 标 务 应 这 B 话 TGS 给 户A
钥Kas导出密钥
Ticket Granting Ticket 时间 认证 务 AS
1. SPDB 时 查 SADB SA AH应 用用到与这个与之相符的数据包,该数据包在SPDB IKE动态地建立立一一个,并把序列号计数器初始化为0 2. AH AH 设 3. 4.计算ICV (也就是SA “ 0 进 SA 验证
验证 ” 钥 计 连 ICV IP AH报头)传到特定的算法 “验证数据”
护 载 间 IP ESP头或AH头;隧道模式是把原IP 钥 发 对 该 码
应
传输 为 IP IP头和IP 负载 层
发 钥 钥 该 该 Hash 计 签
认证码
对
IP层数据的安全,SSL
载
间
ESP头或AH头。传输模式保护的IP
16. 对于外出的数据包,AH协议处理的目目标是向数据包合适的位置增加AH报头。具体的处 理步骤如下:
IKE动态地建立立一一个,并把序列号计数器初始化为0 2. 3. 进 对载 SA “ 验证
项 验证 ” 计 长 钥 连
头进 IP “验证数据”
AH报头)传到特定的算法
4. 计算ICV (也就是SA
ICV
5.输出经过ESP处理的报文文。
18. 对于进入入的数据报,AH协议处理的目目标就是从数据报中将AH报头剥离下来,还原出封 装在IPSec 层
证 长 户 证续订 长
户
录
务
证
长
计算机时钟同步的最大大容 拨号
Radius协议中,用用户访问网网络访问服务器有四种方方式,分别
认证 Keberos协议有KDC 务 预 实现 钥
VPN
! IPSec !
服务
证书
kerberos协议
Windows 2003
KDC实现了Kerberos协议定义的两个
应 4 6 4 换 发 换 钥 发 SA载荷,表明接受协商的SA 进 这 传递 护
议
钥 D-H协商,生生成共享密钥
! !
简述SSL协议的组成部分。
记录协议、握手手协议、改变规格协议、告警协议
简述在发送端SSL记录协议的运行行过程。
应用用程序把应用用数据提交给本地的SSL
户A发送两条消息:第一一条消 B 钥Kbt 户A
话 话 钥Kab 这时
钥Kab对该认证单 Ticket
B时,将加密的认证单和从TGS
应用用服务器B对票据和认证单进行行解密检查,如果一一切检查均无无错误。服务器B 1 话 钥Kab 发 给A 让A 认 务 B 经
应 话
!
16. Windows 2003 Kerberos 户 差 17. 线
4.结束AH处理过程,整个数据报传递给IP协议来处理。
19. 对于进入入的数据报,ESPH协议处理的目目标就是从数据报中将ESP报头剥离下来,还原 出封装在IPSec 层
1. 查询 SADB ESP 组 组 护这 SA IP 报头的 SPI IP 丢 协议
对SA进行行查询。如果没有找到合适的SA 这
!
1 2 3 4 5
简述PKI
运 户
过 CA
证书 证书库 签 户 请
RA验明署名用用户身身份,CA签发证书;
CA 证书 户对电 赖 态
证书检查结
证书库
发 给 赖 签
证书库查 户证书
钥验证
6
! !
Radius 务
实现
AAA
AAA
认证
计费
access-accept Radius 户 access-reject Radius 务
10. 简述Diffie-Hellman 钥协 过
选定一一大大素数p, g,1<g<p, g p primitive root A选取x, 计算X=gx(mod p), B选取y,计算Y=gy(mod p), X发送给B Y发送给A
Hash 变长输 Hash值,记作h = H(x) 长
该 击 这 构 胁 击 络
协议
电 4. 较 构 动 络 络 动 动
务
为
试
删
篡
5. 6.
络 Eve
Eve
发给Eve 动 Eve 钥 码 诞 证
击 办 预测诚实 户 选
Eve处理过的;Eve Eve Eve Eve 择
7. 8.
!
现代密码学诞生生的标志是:DES 码 设计 则
9. 对称密码包括分组密码(块密码)和流密码(流密码)。
! AS !
户
务 录
TGS 务
windows 2003 过
(1) (2)
户 户
Ctrl+Alt+Delete 户 码 户 获
录
winlogon 码转换 KDC IP 务 这 发 钥
AS 务 获 TGT LSA进行行验证;
(3)LSA (4)LSA执行行一一个DNS 证
Radius协议中消息有六种类型,分别是access-request access-challenge accounting-request 实现Radius协议包括三个部分,分别是用用户、NAS 务
accounting-response
!
Radius协议认证的过程:
户 过启动PPP认证到NAS
协
! ! !
21. 简述Internet 义协
联 钥 删
协议 (ISAKMP)
SA 过
设计为
钥 认证
换协议
阶 1
协议
钥
换协议
码
钥
!
1 2 3 5 3
术
22. IKE
ISAKMP SA
骤
协
DH
钥
换
源自文库nonce临时值交换、以及身身份验证。主模式信息交换的步骤如下:
发 发 议载 SA载荷
证书
ServerHelloDone 户 户 户 证书 钥 户
为 过 务 该 务 钥 发 务 务
证书 钥
验证
务 产 该 钥
实 钥 护
刚刚协 对 这 发 连 过 务
ChangeCipherSpec 篡 协
继
话 务
这样
MAC值。 ChangeCipherSpec
一一旦服务器收到客户端传来的 Finished Finished