一个比特有关。
7-14 什么是重放攻击?怎样防止重放攻击?
答:(1)入侵者C 可以从网络上截获A 发给B 的报文。C 并不需要破译这个报文(因为这
可能很花很多时间)而可以直接把这个由A 加密的报文发送给B,使B 误认为C 就是A。然后
B 就向伪装是A 的C 发送许多本来应当发送给A 的报文。这就叫做重放攻击。
(2)为了对付重放攻击,可以使用不重数。不重数就是一个不重复使用的大随机数,即 “一次一数”。
7-15 什么是“中间人攻击”?怎样防止这种攻击?
答:(1) 中间人攻击(Man-in -the-Middle Attack ,简称“MIT M 攻击”)是一种
“间接” 的入侵攻击, 这种攻击模式是通过各种技术手段将受入侵者控制的一台计
算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算
机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他
们是在互相通信,因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为
了黑客常用的一种古老的攻击手段,并且一直到今天还具有极大的扩展空间。
(2) 要防范MIT M 攻击,我们可以将一些机密信息进行加密后再传输, 这样即使
被“中间人”截取也难以破解,另外,有一些认证方式可以检测到MIT M 攻击。比如
设备或IP 异常检测:如果用户以前从未使用某个设备或IP 访问系统,则系统会采取
措施。还有设备或IP 频率检测:如果单一的设备或IP 同时访问大量的用户帐号, 系
统也会采取措施。更有效防范MIT M 攻击的方法是进行带外认证。
7-16 试讨论Kerberos 协议的优缺点。
答:Kerberos 协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需
输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个
服务,即SSO(Single Sign On)。由于在每个Client 和Service 之间建立了共享密钥,使 得该协议具有相当的安全性。
概括起来说Kerberos 协议主要做了两件事:Ticket 的安全传递; Session Key 的安 全发布。
再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session
Key,在通过鉴别之后Client 和Service 之间传递的消息也可以获得Confidentiality(机
密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认
性,这也限制了它的应用。不过相对而言它比X.509 PKI 的身份鉴别方式实施起来要简单多 了。
7-17 因特网的网络层安全协议族Ipsec 都包含哪些主要协议?
答:在Ipsec 中最主要的两个部分就是:鉴别首部AH 和封装安全有效载荷ESP。
AH 将每个数据报中的数据和一个变化的数字签名结合起来,共同验证发送方身份,使
得通信一方能够确认发送数据的另一方的身份,并能够确认数据在传输过程中没有被篡改,
防止受到第三方的攻击。它提供源站鉴别和数据完整性,但不提供数据加密。
ESP 提供了一种对IP 负载进行加密的机制,对数据报中的数据另外进行加密,因此它
不仅提供源站鉴别、数据完整性,也提供保密性。
IPSec 是IETF(Internet Engineering Task Force,Internet 工程任务组)的IPSec
小组建立的一套安全协作的密钥管理方案,目的是尽量使下层的安全与上层的应用程序及用
户独立,使应用程序和用户不必了解底层什么样的安全技术和手段,就能保证数据传输的可 靠性及安全性。
IPSec 是集多种安全技术为一体的安全体系结构,是一组IP 安全协议集。IPSec 定义了在网
际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数 据完整性检查和防止重放攻击。 7-18 试简述SSL 和SET 的工作过程。
答:首先举例说明SSL 的工作过程。假定A 有一个使用SSL 的安全网页,B 上网时用鼠标点
击到这个安全网页的链接。接着,服务器和浏览器就进行握手协议,其主要过程如下。
(1)浏览器向服务器发送浏览器的SSL 版本号和密码编码的参数选择。
(2)服务器向浏览器发送服务器的SSL 版本号、密码编码的参数选择及服务器的证书。证
书包括服务器的RSA 分开密钥。此证书用某个认证中心的秘密密钥加密。
(3)浏览器有一个可信赖的CA 表,表中有每一个CA 的分开密钥。当浏览器收到服务器发
来的证书时,就检查此证书是否在自己的可信赖的CA 表中。如不在,则后来的加密和鉴别
连接就不能进行下去;如在,浏览器就使用CA 的公开密钥对证书解密,这样就得到了服务 器的公开密钥。
(4)浏览器随机地产生一个对称会话密钥,并用服务器的分开密钥加密,然后将加密的会 话密钥发送给服务器。
(5)浏览器向服务器发送一个报文,说明以后浏览器将使用此会话密钥进行加密。然后浏
览器再向服务器发送一个单独的加密报文,表明浏览器端的握手过程已经完成。
(6)服务器也向浏览器发送一个报文,说明以后服务器将使用此会话密钥进行加密。然后
服务器再向浏览器发送一个单独的加密报文,表明服务器端的握手过程已经完成。