作业讲解,安全协议.ppt

安全协议与标准作业讲解 杨礼珍 第2章作业 P 47 思考题6 7 8 第二章作业讲解 P 47思考题 分析CHAP协议可能面临的安全风险 对CHAP协议的中间人攻击 中间人攻击把chap认证降级为pap认证 通过截获服务器向客户端发送的pap认证请求并修改后转发 强迫客户端发送失败的响应 从而让服务器使用安全级别更低的pap认证 P 47思考题7你认为哪些AVP应设置 H 比特 H比特是加密标志比特 设置为1表示属性值加密过 表2 3中H比特为 的可设置为0或者1 P 47思考题8根据文中给出的AVP加密方法 设计响应的解密算法 p1 c1 MD5 AV S RV p2 c2 MD5 S c1 pi ci MD5 S ci 1 其中AV是属性类型 S是通信双方的共享秘密 RV为随机向量 第3章作业IPSec 请写出在IPSec实现嵌套式隧道时 AH和EPS的报文封装方式 P 103思考题1 4 5 8 10 请写出在IPSec实现嵌套式隧道时 AH和EPS的报文封装方式 参考答案 假设M向D2发送数据AH协议 ESP协议下 p 103思考题1 为什么IPSec要对进入和外出两个方向的SA进行单独的控制 进入和外出的数据的安全需求不同 一般对进入的数据安全要求更高 因此它们的安全处理未必相同 需要用不同SA处理 思考题4 假设使用ISAKMP协商SA 发起端提供了两套建议 第一套使用两个协议AH和ESP 并分别使用散列算法MD5和加密算法3DES 第二套使用一个协议ESP 加密算法为DES或3DES 画出此时ISAKMP请求报文的内容 对于接收方而言 它可以有几种选择 参考答案 报文格式略 参考p 75图3 26 其中SA荷载参考p 71图3 15的例子 接收方有以下三种选择 同时使用AH和ESP协议 散列算法为MD5 加密算法为3DES使用ESP协议 加密算法为DES使用ESP协议 加密算法为3DES 5 分析在IKEv1的主模式下使用公钥加密和预共享密钥认证方法时 如何能够认证对等端的身份 公钥加密方式下的认证原理 SKEYID prf hash Ni b Nr b CKY I CKY R HASH I prf SKEYID g xi g xr CKY I CKY R SAi b IDii b HASH R prf SKEYID g xr g xi CKY R CKY I SAi b IDir b 分析 秘密信息SKEYID以双方发送的随机数 Ni b和Nr b 身份信息 CKY I和CKY R 作为输入 身份信息和随机数使用对等端公钥加密 只有私钥的拥有者才能解密得到对方的身份信息和随机数 HASH I和HASH R都以SKEYID作为输入 如果对方发来的散列值通过 则说明对方拥有公钥对应的私钥 那么认证了对方是证书上的身份 预共享密钥认证方式下 秘密信息计算 SKEYID prf 预共享密钥 Ni b Nr b HASH I和HASH R以SKEYID作为输入 只有拥有共享密钥才能生成正确的HASH I或HASH R 从而验证了身份 8 查找相关资源 掌握在Windows操作系统下使用IPSec的方法 参考资料 使用Internet协议安全保护两个主机之间的网络通信 10 设两个通信对等端使用IPSec的隧道模式 IPSec部署于它们所在网络的出口路由器 画出这两个环境中所需要的所有IPSec组件 并分析通信对等端在数据收发过程中如何与这些组件交互 图类似于p 100图3 56 把网络1 2中的主机改成1个 出口网关改成路由器 交互过程一样 主机1的数据首先发送给路由器1进行安全处理 到达路由器2后对数据进行验证和还原 之后投递给主机2 封装IP报文时 内部IP头中包含的IP地址分别是主机1和主机2的地址 外部IP头中包含的IP地址是路由器1和路由器2的地址 第4章SSL作业 课本p 147思考题2 6 7 8 2 比较SSLv3与IPSec 请从功能的角度分析这两个协议套件所包含的安全协议之间的对应关系 参考答案 密码算法和密钥协商 SSLv3的握手协议 IPSec的IKE协议差错通知 状态通知 SSLv3的警告协议 IPSec的IKE协议的通知交换模式消息完整性 SSLv3记录格式中的MAC IPSec的AH和ESP报文中的认证数据 加密 SSLv3的记录协议 IPSec的ESP身份认证 SSLv3握手协议 IPSec的IKE 6 分析SSLv2的安全缺陷 参考答案 未定义证书链 因此客户端和服务器交换的证书必须由根CA颁发 使用不便 加密和计算MAC使用同一密钥 安全性较低 没有验证握手消息完整性的措施 攻击者可能篡改握手消息 降低安全度 没有安全断连的机制 无法防止截断攻击 可能会面临一种 认证传输攻击 7 利用SSL也可以构建VPN 但IPSecVPN仍然是企业解决方案主流 为什么 参考答案 SSLVPN只能进行认证和加密 不能实施访问控制 建立隧道后 管理员对用户不能进行所有的控制 而集成防火墙的IPSecVPN则可以根据用户的身份和角色进行安全控制和审计 SSLVPN局限了用户只能访问web服务器的应用 而IPSecVPN几乎能为所有应用提供访问 SSLVPN只提供了单一的证书认证方式 企业需要购买或者部署一个小型证书系统 IPSec可以提供多种认证方式 SSLVPN位于传输层 IPSecVPN位于网络层 SSLVPN的效率比IPSecVPN差 要实现网络 网络的安全互联 只能考虑使用IPSecVPN 8 SSL有哪几种应用模式 它们各用于什么场合 参考答案 利用SSL保护高层应用有两种方式 分设端口 不同的访问使用不同的端口 Web和新闻访问 文件和邮件传输等标准应用都可以使用该方式的SSL保护 向上协商 SMTP采用向上协商的策略使用SSL 第五章SSH作业 P 179 思考题1 4 91 SSH传输层协议与用户认证协议的关系如何 参考答案 传输层协议只提供服务器认证功能 没有用户认证功能 如果需要认证用户身份 则客户需要利用传输层协议向服务器提出用户身份认证服务请求 若服务器接受请求 则双方开始执行SSH身份认证协议 身份认证协议在传输层协议提供的安全通道上运行 4 SSH用户协议支持基于口令的认证方法 且不对口令作加密处理 它这样放心地传输口令的依据是什么 参考答案 SSH的身份认证协议在传输协议所建立的安全通道上进行 身份认证协议的报文封装在传输协议的报文的数据区中 而传输协议的报文的数据区可以进过加密处理后发出去 所以身份认证协议的数据可以以明文形式发送而无需关心保密性 9 从配置方法 管理简易性 可扩展性和安全性等方面对SSLVPN与SSHVPN进行比较 参考答案 效率 SSH位于TCP IP协议栈的应用层 SSL位于传输层 利用SSH构建VPN比SSL消耗更多带宽 配置方法 SSHVPN使用TCP IP端口转发 SSLVPN使用分设端口 管理简易性 使用上 SSLVPN对用户完全透明 SSHVPN需要用户登录到用户账户上 管理上 SSHVPN可配置成仅允许目标端口为22的通信量通过 配置和管理更加简单 而SSLVPN对不同应用的访问端口不同 可扩展性 SSH不支持UDP和ICMP报文 SSL不支持UDP报文但支持ICMP报文 安全性 SSHVPN和SSLVPN都提供了机密性 完整性和身份认证功能 他们支持的密码算法不同 第六章Socks 思考题2 4补充题 如果通信双方都具备IPv4和IPv6协议栈6网络 假设发起方连接IPv4网络 回应方连接IPv6 中间是Socks网关 请写出回应方向发起方发送的报文的发送过程 2 Socks5扩展了哪些内容 参考答案 扩展了客户端身份认证功能 支持多种身份验证方法 用户名 口令认证方法 GSSAPI认证 扩展了寻址方法 除了IPv4地址外 还支持域名及IPv6地址增加了对UDP的支持 4 分析Socks所支持的各种身份认证方法可能面临的安全风险 参考答案 用户名 口令认证方法 用户名和口令以明文方式发送 如被截获面临身份被假冒的风险 GSSAPI认证 GSSAPI为定义所使用的认证方法和密钥交换方法 其安全风险取决于所使用的认证方法和