作业讲解-安全协议ppt课件.ppt

资源描述

《作业讲解-安全协议ppt课件.ppt》由会员分享，可在线阅读，更多相关《作业讲解-安全协议ppt课件.ppt（26页珍藏版）》请在三一办公上搜索。

1、安全协议与标准作业讲解,杨礼珍,第2章作业,P.47，思考题6、7、8,第二章作业讲解,P.47 思考题：分析CHAP协议可能面临的安全风险。,对CHAP协议的中间人攻击,中间人攻击把chap认证降级为pap认证：通过截获服务器向客户端发送的pap认证请求并修改后转发，强迫客户端发送失败的响应，从而让服务器使用安全级别更低的pap认证。,P.47 思考题7 你认为哪些AVP应设置”H”比特。H比特是加密标志比特，设置为1表示属性值加密过。表2.3中H比特为“-”的可设置为0或者1。,P.47 思考题8 根据文中给出的AVP加密方法，设计响应的解密算法。p1=c1 MD5(AV|S|RV)p2=

2、c2 MD5(S|c1)pi=ci MD5(S|ci-1)其中AV是属性类型，S是通信双方的共享秘密，RV为随机向量,第3章作业 IPSec,请写出在IPSec实现嵌套式隧道时，AH和EPS的报文封装方式。P.103 思考题1、4、5、8、10,请写出在IPSec实现嵌套式隧道时，AH和EPS的报文封装方式。,参考答案：假设M向D2发送数据AH协议：,ESP协议下,p.103 思考题1.为什么IPSec要对进入和外出两个方向的SA进行单独的控制?进入和外出的数据的安全需求不同，一般对进入的数据安全要求更高，因此它们的安全处理未必相同，需要用不同SA处理。,思考题4：假设使用ISAKMP协商SA

3、，发起端提供了两套建议；第一套使用两个协议AH和ESP，并分别使用散列算法MD5和加密算法3DES；第二套使用一个协议ESP，加密算法为DES或3DES。画出此时ISAKMP请求报文的内容。对于接收方而言，它可以有几种选择？,参考答案：报文格式略，参考p.75图3.26，其中SA荷载参考p.71图3.15的例子。接收方有以下三种选择：同时使用AH和ESP协议，散列算法为MD5，加密算法为3DES使用ESP协议，加密算法为DES使用ESP协议，加密算法为3DES,5.分析在IKEv1的主模式下使用公钥加密和预共享密钥认证方法时，如何能够认证对等端的身份,公钥加密方式下的认证原理：SKEYID=p

5、份。预共享密钥认证方式下：秘密信息计算：SKEYID=prf(预共享密钥，Ni_b|Nr_b)HASH_I和HASH_R以SKEYID作为输入。只有拥有共享密钥才能生成正确的HASH_I或HASH_R，从而验证了身份。,8.查找相关资源，掌握在Windows操作系统下使用IPSec的方法,参考资料：使用 Internet 协议安全保护两个主机之间的网络通信http:/Windows Server 2003 中配置 IPSec 隧 http:/Windows 2000 中的 IPsec 和 L2TP 实现 http:/Windows XP 中解决基本 L2TP/IPSec 问题http:/,10

6、.设两个通信对等端使用IPSec的隧道模式，IPSec部署于它们所在网络的出口路由器。画出这两个环境中所需要的所有IPSec组件，并分析通信对等端在数据收发过程中如何与这些组件交互。图类似于p.100 图3.56（把网络1，2中的主机改成1个，出口网关改成路由器），交互过程一样。主机1的数据首先发送给路由器1进行安全处理，到达路由器2后对数据进行验证和还原，之后投递给主机2。封装IP报文时，内部IP头中包含的IP地址分别是主机1和主机2的地址，外部IP头中包含的IP地址是路由器1和路由器2的地址。,第4章SSL作业,课本p.147 思考题2、6、7、8,2.比较SSLv3与IPSec，请从功能

7、的角度分析这两个协议套件所包含的安全协议之间的对应关系。,参考答案：密码算法和密钥协商：SSLv3的握手协议，IPSec的IKE协议差错通知、状态通知：SSLv3的警告协议，IPSec的IKE协议的通知交换模式消息完整性：SSLv3记录格式中的MAC，IPSec的AH和ESP报文中的认证数据。加密：SSLv3的记录协议，IPSec的ESP身份认证：SSLv3握手协议，IPSec的IKE,6.分析SSLv2的安全缺陷。,参考答案：未定义证书链，因此客户端和服务器交换的证书必须由根CA颁发，使用不便。加密和计算MAC使用同一密钥，安全性较低。没有验证握手消息完整性的措施，攻击者可能篡改握手消息，降

8、低安全度。没有安全断连的机制，无法防止截断攻击。可能会面临一种“认证传输攻击”。,7.利用SSL也可以构建VPN，但IPSec VPN仍然是企业解决方案主流，为什么？,参考答案：SSL VPN只能进行认证和加密，不能实施访问控制，建立隧道后，管理员对用户不能进行所有的控制，而集成防火墙的IPSec VPN则可以根据用户的身份和角色进行安全控制和审计。SSL VPN局限了用户只能访问web服务器的应用，而IPSec VPN几乎能为所有应用提供访问。SSL VPN只提供了单一的证书认证方式，企业需要购买或者部署一个小型证书系统，IPSec可以提供多种认证方式。SSL VPN位于传输层，IPSec

9、VPN位于网络层，SSL VPN的效率比IPSec VPN 差。要实现网络-网络的安全互联，只能考虑使用IPSec VPN。,8.SSL有哪几种应用模式？它们各用于什么场合？,参考答案：利用SSL保护高层应用有两种方式：分设端口：不同的访问使用不同的端口。Web和新闻访问、文件和邮件传输等标准应用都可以使用该方式的SSL保护。向上协商：SMTP采用向上协商的策略使用SSL。,第五章SSH作业,P.179，思考题1、4、91.SSH传输层协议与用户认证协议的关系如何?参考答案：传输层协议只提供服务器认证功能，没有用户认证功能，如果需要认证用户身份，则客户需要利用传输层协议向服务器提出用户身份认证

10、服务请求，若服务器接受请求，则双方开始执行SSH身份认证协议。身份认证协议在传输层协议提供的安全通道上运行。,4.SSH用户协议支持基于口令的认证方法，且不对口令作加密处理。它这样放心地传输口令的依据是什么？,参考答案：SSH的身份认证协议在传输协议所建立的安全通道上进行。身份认证协议的报文封装在传输协议的报文的数据区中，而传输协议的报文的数据区可以进过加密处理后发出去，所以身份认证协议的数据可以以明文形式发送而无需关心保密性。,9.从配置方法、管理简易性、可扩展性和安全性等方面对SSL VPN与SSH VPN进行比较。,参考答案：效率：SSH位于TCP/IP协议栈的应用层，SSL位于传输层，

11、利用SSH构建VPN比SSL消耗更多带宽。配置方法：SSH VPN使用TCP/IP端口转发，SSL VPN使用分设端口。管理简易性：使用上，SSL VPN对用户完全透明，SSH VPN需要用户登录到用户账户上。管理上，SSH VPN可配置成仅允许目标端口为22的通信量通过，配置和管理更加简单，而SSL VPN对不同应用的访问端口不同。可扩展性：SSH不支持UDP和ICMP报文，SSL不支持UDP报文但支持ICMP报文。安全性：SSH VPN和SSL VPN都提供了机密性、完整性和身份认证功能，他们支持的密码算法不同。,第六章Socks,思考题2、4补充题：如果通信双方都具备IPv4和IPv6协

12、议栈6网络，假设发起方连接IPv4网络，回应方连接IPv6，中间是Socks网关，请写出回应方向发起方发送的报文的发送过程。,2.Socks 5扩展了哪些内容？,参考答案：扩展了客户端身份认证功能，支持多种身份验证方法：用户名/口令认证方法、GSSAPI认证。扩展了寻址方法，除了IPv4地址外，还支持域名及IPv6地址增加了对UDP的支持,4.分析Socks所支持的各种身份认证方法可能面临的安全风险。,参考答案：用户名/口令认证方法：用户名和口令以明文方式发送，如被截获面临身份被假冒的风险。GSSAPI认证：GSSAPI为定义所使用的认证方法和密钥交换方法，其安全风险取决于所使用的认证方法和密钥交换方法的安全性。,补充题：如果通信双方都具备IPv4和IPv6协议栈6网络，假设发起方连接IPv6网络，回应方连接IPv4，中间是Socks网关，请写出回应方向发起方发送的报文的发送过程。,参考答案：发起发构造IPv4报文，并在报文前添加IPv6报文，该报文首部的目标地址设置为Socks网关地址。Socks网关剥掉IPv6首部，把IPv4报文发送给回应方。,

展开阅读全文