1.什么叫证书链?

正确答案:
答:证书链由不同证书颁发机构(CA)创建的证书序列组成,其中每个连续的证书都是由一个CA颁发的证书,用于证明链中下一个CA的公钥。

2.怎样撤销X.509证书?

正确答案: 答:公钥所有者可以颁发吊销一个或多个证书的证书吊销列表。

3.解释密钥管理问题以及它如何影响对称密码。

正确答案: 答:对称加密算法的主要缺点是保持单个密钥的安全。 它被称为密钥管理,带来了许多重大挑战。
如果用户想使用对称加密将加密的消息发送给另一个用户,则必须确保她具有解密消息的密钥。 第一个用户应如何获得第二个用户的密钥?
他不想通过互联网以电子方式发送它,因为这会使它容易受到窃听者的攻击。 他也不能加密密钥并将其发送,因为接收者将需要某种方式来解密密钥。
而且,即使他甚至可以安全地将密码获取给用户,他如何确定攻击者没有看到该人计算机上的密钥? 密钥管理是使用对称加密的重要障碍。

4.给出网络访问控制的简要定义。

正确答案:
答:网络访问控制(NAC)是管理网络访问的总称。NAC对登录网络的用户进行身份验证,并确定他们可以访问哪些数据以及可以执行哪些操作。NAC还检查用户计算机或移动设备(端点)的健康状况。

5.什么是EAP?

正确答案:
答:可扩展认证协议(EAP)作为网络访问和认证协议的框架。EAP提供了一组协议消息,可以封装客户机和身份验证服务器之间使用的各种身份验证方法。EAP可以在各种网络和链路级设施上运行,包括点对点链路、局域网和其他网络,并且可以满足各种链路和网络的认证需求。

6.列出并简要定义4种EAP认证方法。

正确答案: 答:EAP-TLS(EAP传输层安全):EAP-TLS(RFC
5216)定义如何将TLS协议(在第17章中描述)封装到EAP消息中。
EAP-TTLS(EAP隧道TLS)与EAP-TLS类似,只是服务器有一个证书,可以首先向客户端进行身份验证。
EAP-GPSK(EAP通用预共享密钥)是一种使用预共享密钥(PSK)进行相互身份验证和会话密钥派生的EAP方法。EAP-GPSK指定了一种基于预共享密钥的EAP方法,并采用了基于密钥的加密算法。
EAP-IKEv2支持使用各种方法建立相互身份验证和会话密钥。

7.IEEE 802. 1X的功能是什么?

正确答案: 答: IEEE 802.1X,基于端口的网络访问控制旨在为局域网提供访问控制功能。

8.给出云计算的定义。

正确答案: 答:
NIST将云计算定义为:一种模型,用于实现对共享的可配置计算资源池(如网络、服务器、存储、应用程序和服务)的无所不在、方便的按需网络访问,这些资源可以通过最小的管理工作或服务提供商交互快速提供和发布。此云模型提升了可用性,由五个基本特性、三个服务模型和四个部署模型组成。

9.列出并简要定义3种云服务模型。

正确答案:
答:软件即服务(SaaS):向消费者提供的功能是使用在云基础设施上运行的提供商的应用程序。应用程序可以通过瘦客户机界面(如Web浏览器)从各种客户机设备访问。企业不必为其使用的软件产品获得桌面和服务器许可证,而是从云服务获得相同的功能。
平台即服务(PaaS):向用户提供的功能是将用户创建或获取的应用程序部署到使用供应商支持的编程语言和工具创建的云基础设施上。PaaS通常提供中间件风格的服务,如数据库和组件服务,供应用程序使用。实际上,PaaS是云中的一个操作系统。
基础设施即服务(iaas):向用户提供的功能是提供处理、存储、网络和其他基础计算资源,用户可以在这些资源中部署和运行任意软件,其中包括操作系统和应用程序。IAAS使客户能够将基本的计算服务(如数字处理和数据存储)结合起来,以构建高度适应性的计算机系统。

10.什么是云计算参考架构?

正确答案:
答:NIST云计算参考架构侧重于“什么”云服务提供的需求,而不是“如何”设计解决方案和实现。参考体系结构旨在帮助理解云计算中的操作复杂性。它不代表特定云计算系统的系统体系结构;相反,它是一个使用通用参考框架描述、讨论和开发系统特定体系结构的工具。

11.描述主要的特定云安全威胁。

正确答案:
答:滥用和恶意使用云计算:对于许多云提供商(CPS),注册和开始使用云服务相对容易,有些甚至提供免费的有限试用期。这使攻击者能够进入云中进行各种攻击,如垃圾邮件、恶意代码攻击和拒绝服务。
不安全的接口和API:CPS公开了一组软件接口或API,客户使用它们来管理和与云服务交互。这个通用云服务的安全性和可用性取决于这些基本API的安全性。
恶意内幕人士:在云计算范式下,一个组织放弃了对安全的许多方面的直接控制,并且在这样做时,给CP带来了前所未有的信任水平。一个严重的问题是恶意内幕人士活动的风险。云架构需要一些非常高风险的角色。示例包括CP系统管理员和托管安全性。
共享技术问题:IaaS供应商通过共享基础架构以可扩展的方式提供服务。通常,构成此基础结构的底层组件(CPU缓存,GPU等)并非旨在为多租户架构提供强大的隔离属性。
数据丢失或泄漏:对于许多客户端而言,安全漏洞造成的最破坏性影响是数据丢失或泄漏。
帐户或服务劫持:利用凭据被盗,攻击者通常可以访问已部署的云计算服务的关键区域,从而使他们能够破坏这些服务的机密性,完整性和可用性。
未知的风险状况:在使用云基础架构时,客户端必须将控制权移交给云提供商,以解决可能影响安全性的许多问题。

12.有三种典型的方式使用随机数作为挑战。假设Na是A生成的,A和B共享密钥K, f()是一个函数,三个应用是:

描述每种应用适用于何种条件。

正确答案:
答:三者的目的都是一样的。区别在于脆弱性。在用法1中,攻击者可以通过膨胀Na并为将来的重播攻击(一种抑制重播攻击的形式)保留B的答案来破坏安全性。攻击者可以尝试在用法2中预测可能的答复,但如果立即数是随机的,则此操作不会成功。在用法1和用法2中,消息都在两个方向上工作。也就是说,如果N向任一方向发送,则响应为E[K,N]。在用法3中,消息在两个方向上都是加密的;函数f的目的是确保消息1和消息2不相同。因此,用法3更安全。

13.考虑基于非对称加密技术的单向认证:
AàB: IDA
BàA: R1
AàB: E(PRa,R1)
a. 解释协议。
b. 协议易受什么类型的攻击?

正确答案: 答: a.这是一种对B进行A身份验证的方法。R1成为一个挑战,只有A能够加密R1,以便可以使用A的公钥对其进行解密。
b.某人(例如C)可以使用此机制获取A对消息进行签名。
然后,C将把此签名与消息一起提供给D,声称它是由A发送的。如果A使用其公钥/私钥进行身份验证,签名等,这将是一个问题。

14.考虑基于非对称加密技术的单向认证:
AàB: IDA
BàA: E(PUa,R2)
AàB: R2
a. 解释协议。
b. 协议易受什么类型的攻击?

正确答案:

答: a.这是对A到B进行身份验证的一种方法。只有A可以解密第二条消息以恢复R2。
b.某人(例如C)可以使用此机制获取A来解密它从网络(最初发送给A)偷听到的消息(形如R2这种消息)。

NIST定义加密时间为:特定密钥被授权使用或者保持有效的时间跨度。一个密钥管理的文件,使用下面共享密钥的时间图。 发送者使用阶段
<---------------->
接收者使用阶段
<---------------------------------->
加密阶段 <------------------------------------------> 通过应用中的例子解释图中的重叠部分,其中发送者使用阶段开始和结束都早于接收者使用阶段。

15.考虑下列协议,它让A和B决定一个新鲜共享的对话密钥KAB’,假设它们已经共享了一个长期密钥KAB:
(1) AàB: A,NA
(2) BàA: E(KAB,[NA,KAB’])
(3) AàB: E(KAB’,NA)
a.我们首先要理解协议设计者的理由:
为什么A和B认为他们可以通过这个协议和对方共享KAB’。
为什么他们相信共享的密钥是新鲜的。
在两种情况中,你应该对A和B都进行解释,从而使你的回答可以完成下列句子
A认为她和B共享是KAB’因为…
B认为她和A共享是KAB‘因为…
A认为KAB’是新鲜的因为…
B认为KAB‘是新鲜的因为…
b.假设A开始和B使用这个协议,然而通信被C截获。说明C如何利用反射开始的协议,使得A认为她已经同意了和B使用新鲜的密钥(尽管实际上她只是和C进行了通信),从而使得a中的理由是错误的。
c.提出一个改进的协议使得其可以避免这种攻击。
正确答案:

答:
a.相信她与B共享K’AB,因为她的现时返回消息2,该消息2使用仅B和A知道的密钥加密。B认为他与A共享K’AB,因为Na是用K’AB加密的。只有知道K’AB的人并且只有A和B知道才能从消息2中检索它。A认为K’AB是新鲜的,因为它与NA一起包含在消息2中。B相信自从K’AB亲自选择以来,它就是新鲜的。
b.1.A->C(B):A,NA 1’.C(B)->A:B,NA 2’.A->C(B):E(KAB,[NA,K’AB])
2.C(B)->A:E(KAB,[NA,K’AB])
3.A->C(B):E(K’AB,NA) C无法加密A的随机数,因此他需要获得消息2的帮助。因此,它是用A进行了新的运行,让A进行加密并反射回信。A将接受未启动的协议运行,并认为B存在。
c.为了防止攻击我们需要在消息中更明确的说明,例如,通过将消息2更改为包括发送方和接收方,即E(KAB,[A,B,NA,K’AB])

16.PKI的核心部分是什么?简要描述每个部分。
正确答案:

答: 典型的PKI由七个核心组件组成。下面简要描述这些:
1.数字证书(公共密钥证书,X.509证书):数字证书是一种签名的数据结构,该结构将实体的一个或多个属性与其对应的公共密钥绑定在一起。通过由公认的受信任的机构(即证书颁发机构)签名,数字证书可以确保特定的公共密钥属于特定的实体(并且该实体拥有相应的私有密钥)。
2.证书颁发机构(CA):证书颁发机构是负责创建,颁发和管理PKI内使用的公钥证书的人员,过程和工具。
3.注册机构(RA):注册机构是负责认证需要CA证书的新实体(用户或计算设备)身份的人员,流程和工具。 RA还维护本地注册数据,并启动旧证书或冗余证书的续订或吊销过程。他们 充当CA的代理(在这方面,可以根据需要执行CA的某些功能)。
4.证书存储库:PKI的所有用户都可以访问的数据库或其他存储,可以在其中保存公钥证书,证书吊销信息和策略信息。
5. PKI客户端软件:需要客户端软件以确保PKI实体能够使用PKI的密钥和数字证书管理服务(例如,密钥创建,自动密钥更新和刷新)。
6.启用PKI的应用程序:必须先启用PKI的软件应用程序才能在PKI中使用。通常,这涉及修改应用程序,以便它可以理解和利用数字证书(例如,对远程用户进行身份验证并向远程用户进行身份验证)。
7.政策(证书政策和认证实践声明):证书政策和认证实践声明是定义在PKI中使用,管理和管理证书所采用的程序和实践的政策文件。

17.考虑如下协议:
AàKDC:IDA||IDB||N1
KDCàA: E(Ka,[Ks||IDB||N1||E(Kb,[Ks||IDA])
AàB: E(Kb,[Ks||IDA])
BàA: E(Ks,N2)
AàB: E(Ks,f(N2))
a.解释这个协议。
b.你能给出可能的攻击吗?解释它是如何完成的。
c.提出一种可能的技术躲开那种攻击,不需要详细描述,只需说明基本思路。
正确答案:

答:a.A向KDC请求在A和B之间使用的会话密钥。随机数用于质询响应。
b.如果有人设法获得一个旧的K,他们可以将步骤3的消息重播到B并与B进行通信,假装是A。 c.消息中包含的时间戳可以解决此漏洞

18.辨析公钥有效期、私钥有效期、公钥证书的有效期三者的关系。
正确答案:

答:1)公钥有效期是通过公钥证书的有效期来指定的,因此二者是相同的。
2)私钥使用期限:表明与公钥相对应的私钥的使用期限。一般来说,私钥的使用期限与公钥的合法期限是不同的。比如,对于数字签名密钥,签名使用的私钥的使用期限一般比验证使用的公钥的使用期限短。但对解密用的私钥有效期与公钥有效期相同。
3)过了公钥有效期,公钥就不宜再用来加密了,但仍可以用来验证私钥到期前形成的数字签名的有效性。
4)过了私钥有效期,私钥就不宜再用来签名了,但仍可以用来解密公钥到期前加密的数据。

网络安全基础(十二)相关推荐

  1. c++二进制文件java读取int_吃透Java基础十二:IO

    一.什么是IO流 Java中将输入输出抽象称为流,就好像水管,将两个容器连接起来.流是一组有顺序的,有起点和终点的字节集合,是对数据传输的总称或抽象.即数据在两设备间的传输称为流. 按数据来源(去向) ...

  2. 思科网络安全 第十二章测验答案

    哪个术语可用于描述原始状态的证据? 选择一项: 补强证据 最佳证据 间接证据 直接证据 反馈 Refer to curriculum topic: 12.3.1 可对证据进行如下分类: 最佳证据:是指 ...

  3. java 包权限_Java基础(十二)之包和权限访问

    软件包 软件包解决了两个类名字一样的问题.软件包就是一个"文件夹". 包名的命名规范: 1.要求所有字母都小写: 2.包名一般情况下,是你的域名倒过来写.比如baidu.com,p ...

  4. 孙立岩 python-basic: 用于学习python基础的课件(十一 十二)

    十一 分支语句 语句的执行顺序,主流的只有三种:顺序.分支.循环. 顺序就是指代码从上到下,依次逐行地执行: 分支就是指代码以某种条件跳转执行: 循环就是指cpu反复执行某一段代码,直到满足某种条件: ...

  5. Tensorflow深度学习之十二:基础图像处理之二

    Tensorflow深度学习之十二:基础图像处理之二 from:https://blog.csdn.net/davincil/article/details/76598474   首先放出原始图像: ...

  6. OpenCV学习笔记(四十一)——再看基础数据结构core OpenCV学习笔记(四十二)——Mat数据操作之普通青年、文艺青年、暴力青年 OpenCV学习笔记(四十三)——存取像素值操作汇总co

    OpenCV学习笔记(四十一)--再看基础数据结构core 记得我在OpenCV学习笔记(四)--新版本的数据结构core里面讲过新版本的数据结构了,可是我再看这部分的时候,我发现我当时实在是看得太马 ...

  7. 专题开发十二:JEECG微云快速开发平台-基础用户权限

      专题开发十二:JEECG微云快速开发平台-基础用户权限 11.3.4自定义按钮权限 Jeecg中,目前按钮权限设置,是通过对平台自己封装的按钮标签(<t:dgFunOpt等)进行设置.而在开 ...

  8. 计算机基础函数运用,计算机应用基础第十二讲:EXCEL中函数的实际运用.doc

    文档介绍: 计算机应用基础第十二讲:EXCEL中函数的实际运用.doc计算机应用基础第十二讲:EXCEL中函数的实际运用课 题EXCEL屮函数的实际运用课型多媒体课授课时间第20周教学目的实例分析,掌 ...

  9. 【零基础学Java】—Java 日期时间(三十二)

    [零基础学Java]-Java 日期时间(三十二) DateFormat 是日期/时间格式化子类的抽象类,它以语言无关的方式格式化和分析日期或时间. 日期/时间格式化子类(如SimpleDateFor ...

  10. 【零基础学Java】—Random的基本概述和使用(十二)

    [零基础学Java]-Random的基本概述和使用(十二) Random类用来生成随机的数字,使用起来也是三个步骤 导包:import java.util.Random; 创建:Random r=ne ...

最新文章

  1. Windows下MySQL下载安装、配置与使用
  2. 权限控制框架Shiro简单介绍及配置实例
  3. 解决pip异常:No module named ‘pip‘
  4. python的mag模块_Python全栈-magedu-2018-笔记22
  5. iOS.ReactNative-3-about-viewmanager-uimanager-and-bridgemodule
  6. python编辑七段数码管引脚图_初识原理图
  7. 【半原创】将js和css文件装入localStorage加速程序执行
  8. 小学五年级计算机听课记录表,小学五年级语文教师听课记录
  9. K-meas聚类算法极简介绍
  10. this.$router.push相关的vue-router的导航方法
  11. android微信支付
  12. jquery radio设置选中_前端jQuery实战之 attr() 和 prop() 的区别
  13. 12864与24C04的原理和使用方法——以电子密码锁为例(上篇)
  14. 游戏服务器租用阿里云和腾讯云价格对比
  15. oracle between and 边界查询用法
  16. python爬取和平精英皮肤_Python——LOL官方商城皮肤信息爬取(一次练手)
  17. 基于51单片机手机电话拨号盘模拟proteus仿真
  18. 写一个抖音协议 价格你定
  19. 2021年煤气考试题库及煤气试题及解析
  20. Word无法打开该文件,因为文件格式与扩展名不匹配

热门文章

  1. 【Android SDM660源码分析】- 01 - 如何创建 UEFI XBL Protocol DXE_DRIVER 驱动及UEFI_APPLICATION 应用程序
  2. 杰森xbl_每日新闻摘要:Google杀死了230万个不良广告,微软宣布XBL游戏栈等等
  3. oracle开机自启
  4. 微搭小课堂-第一课 实现到店导航
  5. Tableau:如何添加参考线、趋势线、参考区间、分布区间、盒须图?
  6. android实现向右滑动返回功能
  7. OCR文本图像合成工具
  8. 解释:什么是CPC,CPA,CVR,CTR,ROI? 营销、广告、淘宝 术语
  9. 前端免费图标icon的使用方法和获取
  10. linux下安装matlab运行环境