TLS VPN优点:
(1) TLS VPN无须安装客户端软件。IPSec VPN需要在每台计算机上配置安全策
略
(2) 适用于大多数设备 (3) 适用于大多数操作系统 (4) 支持网络驱动器访问
(5) 不需要对远程设备或网络做任何改变 (6) 较强的资源控制能力
(7) 费用低且具有良好的安全性
(8) 可以绕过防火墙和代理服务器进行访问,而IPSec VPN很难做到这一点 (9) TLS加密已经内嵌在浏览器中,无须增加额外的软件 TLS VPN缺点
(1) 认证方式比较单一,只能采用证书,一般是单向认证。IPSec VPN认证方式
灵活,可采用口令、令牌等认证方式
(2) 应用的局限大
(3) 只能对通信双方所使用的应用通道进行加密 (4) TLS VPN不能对应用层的消息进行数字签名 (5) LAN-to-LAN 的链接缺少理想的TLS解决方案 (6) TLS VPN的加密级别通常不如IPSec VPN高 (7) 不能保护UDP通道的安全
(8) TLS VPN是应用层加密,性能比较差。IPSec VPN性能要好很多
(9) TLS VPN只能进行认证和加密,不能实施访问控制。而IPSec VPN可以根据
用户的身份在其访问内部资源时进行访问控制和安全审计
(10) TLS VPN需要CA支持
3、请尽可能多地说出目前常用的隧道协议名称,并了解其基本用途。 (1)PPTP 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源 (2)L2F 可以在多种介质上建立多协议的安全虚拟专用网 (3)L2TP 适合组建远程接入方式的VPN (4)IPSec 是专为IP设计提供安全服务的一种协议 (5)GRE 规定了如何用一种网络协议去封装另一种网络协议的方法 (6)MPLS 引入了基于标记的机制
注:1-3为第二层隧道协议,3-6位第三层隧道协议
4、VPN通常采用哪5种关键技术?
——隧道技术、加解密技术、密钥管理技术、身份认证技术、访问控制技术
第十五章
1、身份认证系统可以分哪2类?它们之间有何区别? (1)身份验证 需要回答这样一个问题“你是否是你所声称的你?” (2)身份识别 需要回答这样一个问题“我是否知道你是谁?” 2、列举出日常生活中常见的身份认证机制。 口令认证系统、基于个人生物特征的身份证明、一次性口令身份认证系统
3、 什么是一次性口令认证?实现一次性口令认证有哪几种方案?
一次性口令的设计思路是在登录过程中加入不确定因素,通过某种运算使每次登录时用 户所使用的密码都不相同,以此增强整个身份认证过程的安全性
实现一次性口令认证的方案: (1) 挑战/响应机制 (2) 口令序列机制 (3) 时间同步机制 (4) 事件同步机制
4、基于生物特征的身份识别有哪几种?与其它身份认证相比,它们有哪些优缺点? (1)手书签字验证 (2)指纹验证 (3)语音验证
(4)视网膜图样验证 (5)虹膜图样验证 (6)脸型验证
优点:由于个人特征具有因人而异和随身携带的特点,所以它不会丢失且难以伪造 缺点:有些个人特征会随时间变化,验证设备必须有一定的容差
5、试比较中国工商银行所使用的U盾与中国银行所使用的身份令牌Token之间的区别,说出它们所采用的身份认证技术有何本质上的不同?
token采用的是一次性口令认证,主要思路是在登陆过程中加入不确定因素,使每次登陆时使用的密码都不同,以此增强安全性。 工商银行采用的u盾,是基于证书的认证,并采用基于口令的认证来保证证书不被滥用