213123-ag真人官方网址

大家好！今天让小编来大家介绍下关于213123的问题，以下是酷知号的小编对此问题的归纳整理，让我们一起来看看吧。

1.与vpn相关的协议有哪些？

二层隧道协议：pptp、l2tp、l2f（pc--lan）；三层隧道协议：ipsec（lan--lan）

2.与电子邮件相关的协议有哪些？

smtp（tcp端口25、发）、pop（tcp端口110、收）、imap（收）、pgp、s/mime

注意：pgp、s/mime均属于电子邮件安全协议，但pgp是基于公钥，信任模型以个人为中心，在个人群体中应用。s/mime基于数字证书，应用与企业等大范围。

others

ssl：面向连接的传输层协议(tcp)和应用层协议之间

ip/ipsec：网络层

pptp/l2tp/l2f：链路层

第1章 基础知识部分：tcp/ip协议族主要协议及缺陷分析

1.链路层协议（arp、arp欺骗）

arp/rarp协议介绍

arp（address resolution protocol），地址转换协议负责将ip地址转换为硬件地址（mac），与ip协议配合使用。

地址解析是一个将主机ip地址映射到硬件地址的过程

地址解析的过程包括:

arp请求:发送方硬件地址/发送方ip地址/目标方的硬件地址/目标方的ip地址(本地广播)

arp响应

arp缓存中毒（arp欺骗: 发送虚假的arp响应，改变arp缓存表）

 当你的计算机器收到了一个虚假arp响应，其中包含了网络中另外一台机器的硬件地址对路由器ip地址的映射。这样，你的计算机的arp缓存将被更新。这种技术称为缓存中毒(cache poisoning)。也称arp欺骗。

2.网络层协议

ip:根据ip “协议号”字段，区分封装的内容

tcp：6，udp：17，ah：51，esp：50，icmp：1

ip 分片技术:（重点）

ip对待分组时，采用如下的处理方式：

选择一个方便的初始分组大小，同时提供这样一种机制，当一个较长的ip分组经过一个mtu值较小的网络时，把长分组分割成较小的分组进行传输，这个划分的过程叫做分片（划分得到的每一部分也叫分片）。mtu指的是最大传输单元，以太网的mtu=1500b。

ip规定分片可以在任何中间路由器上进行，可以走不同的路径，重组只在目的站进行。

和分片相关的ip首部字段:

1.    分片偏移：13bit（需要会计算）

定义了分片在原始分组中的偏移量，因为只用13bit标识65535的字节数，以8b为单位。若ip分组被再次分片之后，再次分片后的分片偏移值还是相对于原始分组。计算偏移值时，要以实际的偏移量除以8作为最终的偏移量。

标志字段：3bit

第1位保留

第2位表示是否被分片：为1代表不能被分片，为0表示可以被分片。

第3位表示是否还有分片：为0，表示是最后的分片或唯一的分片。反之为1。

标识符字段：16bit，标识分组从源站发出。

当分组被分片时，标识符字段的值被复制到所有的分片中

在目地站，所有具有相同标识符的分片必须组装成同一个分组

注：分片之后ip首部，各分片不一样的是分片偏移和标志字段，   

一样的是标识符字段、源ip地址、目的ip地址

分片重组:

只在目的端进行,首先根据相关的ip首部字段(总长度、分片偏移、标志及相同的标识符、源ip、目的ip、协议号),在一定时间内，分片全部到齐后重新组装成原始分组：

(1)按分片偏移顺序排队

(2)只保留第一个分片的首部作分组首部，删除其余分片的首部

(3)重新计算分组总长度，填入ip分组首部的“总长度”字段。

攻击：死亡之ping

重组包的长度超过了所分配的内存区域，造成了缓存溢出。

3.传输层协议

tcp：

tcp（传输控制协议）是tcp/ip体系中的传输层协议，是面向连接的，提供可靠的按序传送数据的服务。tcp提供的连接是双向的，即全双工的。

syn flood攻击：

syn flood攻击本质上属于拒绝服务攻击，syn攻击利用的是大多数主机实现三次握手时存在的漏洞。

攻击原理：

当主机a接收到来自主机x的syn请求时，它就必须在侦听队列中对此连接请求保持75秒的跟踪。

由于大多数系统资源有限，能够打开的连接数有限

攻击者x同时向主机a发送多个syn请求，而对a返回的syn ack包不进行应答。这样侦听队列很快被塞满，从而拒绝接受其它的新的连接请求，直至部分打开的连接超时。

应用层协议

dns(域名地址解析协议)：把域名映射为ip地址或把ip地址映射为域名

dns欺骗原理：

(1)在dns报文中只使用一个16位标识号来进行有效性鉴别，并未提供其它

的认证和保护手段，这使得攻击者可以很容易地监听到查询请求，并伪造

dns应答包给dns客户端，从而进行dns欺骗攻击。

(2)目前所有dns客户端处理dns应答包,都是简单地信任首先到达的数据包，

丢弃所有后到达的，而不对数据包的合法性作任何的分析。只要欺骗包先于

合法包到达就可以达到欺骗的目的。

dns欺骗攻击可能存在于客户端和dns服务器间，也可能存在于各dns服务器

之间。

 

 

第2章 pptp与虚拟专用网 vpn

1. pptp的基础是什么？适用于什么网络？可以构建哪种类型的vpn？

ppp（点对点协议）；ip网络；远程接入类型（pc-lan）：允许客户端首先按照常规方式拨号到isp的接入服务器nas，建立ppp连接；在此基础上，客户端进行第二次拨号建立到pptp服务器的连接，该连接称为pptp隧道。pptp协议要求互联网是ip网络。

2.什么是网络隧道技术？简述现有的隧道协议。

网络隧道技术指的是利用一种网络协议来传输另一种网络协议。封装、传输和拆封数据的过程称为“隧道”。是为了在公网上传输私有数据而发展出来的“信息封装”方式

两种类型的隧道协议：

二层隧道协议（数据链路层）

pptp（点对点隧道协议）、l2tp（第二层隧道协议）

三层隧道协议（网络层）

ipsec，包含两个安全协议(ah、esp)和一个密钥管理协议(ike)

3.pptp客户端和服务器端之间传输的报文类型

（1）控制报文

作用：负责pptp隧道的建立、维护和断开。

pptp客户端“拨号”到pptp服务器创建pptp隧道。                   此处“拨号”指的是连接pptp服务器的1723号端口建立控制连接。

            

（2）数据报文

作用：负责传输用户的真正数据。gre协议：定义了在任意一种网络层协议上封装任意另外层协议的协议。p44

说明：首先，有效载荷封装在gre 包中，然后将包封装在其它协议中转发。

协议类型字段（16bit）：ppp包作为gre载荷传输时，协议类型设置为 0x800b。

密钥（key）字段：高位的两个字节表示ppp分组的总长度；低位两个字节表示通信双方为该会话分配的呼叫id，用以表示分组属于哪个会话。

（3）控制报文封装在什么协议里面进行传输？

4.pptp协议中的安全机制有哪些？

依赖于ppp协议中的安全机制：通信主机认证协议

pap（口令认证协议）：明文通信 明文存储

chap（挑战握手协议）：密文通信明文存放单向认证周期重新认证

mppe（微软点对点加密协议）：端端加密 双向数据认证 ccp调用 预共享密钥

适用接入方式：pstn 拨号连接 专用链接

握手认证过程：（as为服务器，存放用户明文口令；u为客户端；r为随机数）

1.  asàu: r

2.  uàas: h ₁(pw||r)，//pw为口令，计算h值，送到认证服务器

3.  as àu: 计算h2(pw||r)，比较h1和h2，如果一致,通过身份认证

chap优点：

chap利用散列算法对口令进行保护
chap对于返回的口令进行认证
chap不定时的向客户端重复发送呼呼叫口令，避免第三方攻击

chap缺点：

服务器端，用户口令明文存储，入侵者入侵服务器即可。
协议只支持认证服务器对用户的单项认证，假冒的认证服务器就可以欺骗用户。
为防止插入信道攻击，服务器需要周期性的发送呼叫信息重新认证。周期时间过长为入侵者留下机会，如果周期过短，增加通信的计算机量。

第3章 ipsec

1.vpn的含义是什么，三种常见的应用类型？

通过一个公用网络(通常是互联网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。隧道技术是ｖｐｎ的核心技术，隧道技术使用了加密与封装相结合的技术对用户数据进行安全保护。

三种常见的类型是：

远程接入、企业内联网、可控的内联网接入

2.vpn的关键协议：ipsec协议

ipsec协议集：ah、esp、ike，都提供什么功能？

esp提供机密性、完整性保护；ah提供完整性保护、数据源身份认证。esp和ah都提供抗重放攻击。ike(internet key exchange)协议实现安全协议参数协商。ike将安全参数构成的集合称为安全关联sa (security association)。

ipsec的两种工作模式，各用于怎样的通信情形？各自提供的数据保护范围？

传输模式多用于两台主机之间的通信，隧道模式多用于两个网关之间。传输模式保护的是ip包的有效载荷，在原ip头部与数据域之间插入ah头标或者esp头标，隧道模式保护的是整个ip包，esp和ah的头标都是加在原ip头标之前，且在ah和esp头标之前再加入新ip头标。

3.安全策略和安全关联，具体什么含义，二者有何关联？

安全策略：安全策略决定了为一个包提供的安全服务。ipsec将安全策略保存在安全策略数据库spd中。ip包的外出和进入处理都要以安全策略为准。（丢弃，旁路ipsec，ipsec）

安全关联：安全关联sa是ipsec用于跟踪某一个特定ipsec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定：<安全参数索引spi, 目的地址, 安全协议>。

安全策略与安全关联的关系：安全关联是通信双方所协商的安全策略的一种描述。

4.安全关联束有几种，其加密和认证顺序如何？

安全关联束(bundles)是指为提供特定的ipsec服务集所需的一个安全关联序列。

有两种，分别是传输邻接和隧道嵌套。

 

传输邻接

内部是esp sa，外部是ah sa，都是传输模式，但esp sa此时不含认证功能。

 

 

隧道嵌套：

内部是传输模式的ah sa，外部是隧道模式的 esp sa，esp sa不提供认证功能

 

 

 

5.ipsec使用什么技术来完成完整性和不可否认性验证

hmac：

公式：hmac(k,
text)_t = h((k₀⊕opad )|| h((k₀⊕ipad) || text))_t

简述步骤如下：

(1)将k₀与ipad进行异或操作后，连接原文，进行第一次哈希运算，得到哈希值1；

(2)然后将k₀与opad进行异或操作，连接第一步产生的哈希值1，进行第2次哈希运算，得到哈希值2；

(3)截取哈希值2最最左边的t字节作为最终的验证值

hmac中用到的参数和符号

b：计算消息摘要时输入块的字节长度(如对于sha-1, b
= 64)。

ipad：将数值0x36重复b次。

opad：将数值0x5c重复b次。

k：共享密钥。

k₀ ：在密钥k的左边附加0使其长为b字节的密钥。

l：消息摘要的字节长度(如对于sha-1，l = 20)。

t：mac的字节数。

注意：hmac-md5的icv是128位，hmac-sha1的icv是160位（icv是完整性校验值）

6.ike密钥协商分几个阶段，各自功能是什么，每个阶段各有什么工作模式？

分两个阶段：

阶段一：协商如何保护后续的协商传输，并建立一个主密钥，形成一个isakmp sa，分为主模式、野蛮/积极模式。

涉及大量的密码计算，较复杂；第一阶段的交换结果可以支持多个第二阶段的交换。

阶段二：协商建立ipsec sa，用于实际的安全协议(ah或esp)，保护实际通信内容，分为快速模式。

第二阶段的消息由第一阶段建立起来的安全关联来保护；阶段一为阶段二交换的所有消息提供源验证，完整性和秘密性的保护。

7.isakmp报文依靠什么传输层哪个协议传送，采用的端口是多少?（填空）

isakmp依靠传输层udp协议传送，端口号是500。

8.esp和ah能否抵抗重放攻击？采用什么方法？

能，通过验证序列号：通信双方每使用一个特定的sa发出一个数据包，就将他们响应的序列号加1。

//xj:能。ah：检查序列号，确定是否为重放分组。

esp：对序列号进行处理，若此分组的序列号落在该活动sa的滑动窗口之内有效；否则丢弃，用于抵御重放攻击。

【能。采用滑动窗口机制抵抗重放攻击。通信双方每使用一个特定的sa发出一个数据包，就将他们响应的序列号加1。接收方判断如果次分组的序列号落在该活动sa的滑动窗口之内有效，否则就丢弃。】

9.ipv4网络向ipv6
网络过渡的策略有哪些？

1.双ip协议栈

主机和路由器在同一个网络接口上运行ipv4和ipv6两个协议栈，分别有一个ipv4地址和一个ipv6地址，既可以接收和发送ipv4分组，又可以接收和发送ipv6分组。

优点：互通性好

缺点：每台主机需要两个地址，不能解决ipv4地址短缺的问题

2.基于ipv4隧道的ipv6

在ipv4的网络上建立一条隧道，把整个ipv6分组作为数据封装在新建的ipv4分组中，并在ipv4的网络中进行传输。

适用通信情况：运行ipv6的主机a和主机b之间通信，但中间需穿越ipv4网络

优点：具有透明性

缺点：隧道配置过程比较复杂。无法解决ipv4主机和ipv6主机之间的通信

10.mac实现完整性认证的原理？发送方流程/接收方流程

mac：与密钥相关的单向散列函数通常称为mac，即消息认证码：mac=c_k(m)

原理：单独的hash函数无法实现完整性认证，mac使用hash函数

与密钥结合的方式，即只有通信双方掌握密钥k，首先运用hash

函数计算出摘要值，然后在共享密钥k的作用下产生消息验证码。

而hash函数具有不可逆性，因此很难实现攻击。

发送方：使用双方协商好的散列函数计算摘要值，在双方共享的会话

密钥的作用下，由摘要值获得消息验证码，将消息验证码附在数据

后面一起被发送。

接收方：收到报文后，首先获取数据后的消息验证码，利用会话密钥还原摘要值，同时利用散列函数在本地计算所收到数据的摘要值，并将这两个数据进行比对。若两者相等，则报文通过认证。

11.ipv6地址长度、ipv6的6
个扩展首部

ipv6地址长度：128bit

扩展首部：

1）逐跳选项：源站需要将某些信息传递给分组经过的所有路由器时使用

2）目的站：当源站需要将信息仅传送给目的站时使用该选项

3）源路由选择：ip分组每经过一个路由器时，基本首部中的源地址不变，而目的地址都发生改变，指向要到达的下一个路由器地址。

4）分片

5）鉴别（ipsec中的ah）

6）加密的安全有效载荷（ipsec中的esp）

10.ipv6对于分片的处理

分片由源站完成，两种方法

1:发送数据前，源站采用一种“路径mtu发现技术”，确立这条路径到目的站的最小mtu。

2:使用1280b的最小mtu。

“m”字段：1bit，m=0，这是最后一个分片；m＝1，后面还有分片。

对于路径mtu发现技术的评价及改进方案：

优点：减少路由器的开销

缺点：不能适应路由变更，违背了internet的“允许任何时候改变路由”的基本假设。

解决方法：使用隧道技术，当中间路由器需要对分组进行分片时，路由器创建一个全新的分组，把原来的分组（包括首部和数据）进行分片作为数据封装到新的分组中。

11.本章相关知识点：

（1）ah认证头协议

无论传输模式或隧道模式，ah头都将紧跟在一个ip头之后。ah的协议代号是51。

 

 

 

 

（2）esp封装安全载荷协议

隧道模式：

将整个ip分组封装到一个esp载荷中，然后进行安全处理，如加密处理、鉴别处理。

传输模式：

将原ip分组的上层协议部分封装到esp载荷中

（3）安全关联与安全策略

安全策略：安全策略决定了为一个包提供的安全服务。ipsec将安全策略保存在安全策略数据库spd中。ip包的外出和进入处理都要以安全策略为准。

安全关联：安全关联sa是ipsec用于跟踪某一个特定ipsec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定：<安全参数索引spi, 目的地址, 安全协议>。

安全关联组合例子－－传输隧道束（见右图→）       

 ipsec——隧道嵌套

（4）

mac与hmac

什么是mac：与密钥相关的单向散列函数通常称为mac，即消息认证码：

m为可变长的消息；k为通信双方共享的密钥；c为单向函数。

mac可为拥有共享密钥的双方在通信中验证消息的完整性；也可被单个用户用来验证他的文件是否被改动.

hmac：用一个秘密密钥来产生和验证mac

用公式表示hmac的产生过程如下：

简述步骤如下：

(1) 将k0与ipad进行异或操作后，连接原文，进行第一次哈希运算，得到哈希值1；

(2) 然后将k0与opad进行异或操作，连接第一步产生的哈希值1，进行第2次哈希运算，得到哈希值2；

(3) 截取哈希值2最最左边的t字节作为最终的验证值

（5）ike协商阶段

isakmp为安全服务的协商提供了两个独立的阶段。

阶段一：协商如何保护后续的协商传输，并建立一个主密钥，形成一个isakmp sa

l   涉及大量的密码计算，较复杂

l   第一阶段的交换结果可以支持多个第二阶段的交换。

l   主模式、野蛮/积极模式

协商建立ipsec  sa，用于实际的安全协议(ah或esp)，保护实际通信内容

l   第二阶段的消息由第一阶段建立起来的安全关联来保护。

l   阶段一为阶段二交换的所有消息提供源验证，完整性和秘密性的保护。

（6）ipv6 扩展首部

在基本首部之后最多6个扩展首部：

1）逐跳选项

2）目的站

3）源路由选择

4）分片

5）鉴别（ipsec中的ah）

6）加密的安全有效载荷（ipsec中的esp）

单播地址：标识了作用域内的单个接口。作用域指ipv6网络的一个区域，在此区域内，该地址唯一。

发送给单播地址的分组必须交付到一个惟一的接口。

多播地址：多播地址标识零个或多个接口。

发送给多播地址的分组必须交付到该组中的所有接口。

任播地址：任播地址标识多个接口。

发送给任播地址的分组最终交付到一个惟一的接口，该接口与源站在路由上最近。

在ipv6中没有定义广播地址，ipv4中的广播用ipv6的多播实现

第4章 ssl与tls

1.ssl的协议位置

介于面向连接的传输层协议(tcp)和应用层协议之间。

2.ssl协议的体系结构如何（分两层，主要协议的功能）

两层协议体系结构:

上层：（作为记录协议的载荷部分进行传输）

握手协议：建立客户与服务器之间的安全通道，该协议包括双方的相互认证，交换密钥参数

改变密码规范协议：改变密码参数将未决状态改变为当前状态，更新当前连接的密钥组。

告警协议：向对端指示其安全错误

下层：

记录协议：用于封装各种高层协议，具体实现压缩/解压缩、加密/解密、计算/校验mac等安全有关的操作

3.ssl协议的工作模式（从认证的角度考虑）有哪几种？广泛使用的是哪种？

模式1：双向认证：客户和服务器都被验证

模式2：单向认证：只验证服务器，不验证客户端，

这是目前应用最广泛的模式。

模式3：客户和服务器都不被验证，也称完全匿名方式。

模式4：恢复一个已存在的会话，该模式的握手过程较简单。

握手协议中包含的消息：(上文中8条加粗蓝色为必须消息)

单向认证（客户端认证服务器）

阶段1(建立安全能力)：客户端client_hello(客户启动握手请求)；服务器server_hello(对客户端的回复)

阶段2(服务器认证和密钥交换):服务器certificate(证书消息) server_key_exchange（服务器密钥交换信息） server_done（服务器完成消息）

阶段3(客户端认证和密钥交换)：客户端
client_key_exchange（密钥交换消息）

阶段4（完成）：客户端change_cipher_spec(改变密码规范消息) finished ;服务器change_cipher_spec(改变密码规范消息) finished

双向认证

阶段1(建立安全能力)：客户端client_hello(客户启动握手请求)；服务器server_hello(对客户端的回复)

阶段2(服务器认证和密钥交换):服务器certificate(证书消息)
certificate_request（证书请求消息）server_key_exchange（服务器密钥交换信息）server_done（服务器完成消息）

阶段3(客户端认证和密钥交换）：客户端certificate（证书消息）client_key_exchange（密钥交换消息）certificate_verify（证书验证消息）

阶段4（完成）：客户端change_cipher_spec(改变密码规范消息) finished ;服务器change_cipher_spec(改变密码规范消息) finished

注：下列情况不需要server_key_exchange

服务器发送了带有固定diffie－hellman参数的证书(固定diffie－hellman交换)

以下情况需要serverkey_exchange消息，

匿名diffie－hellman; 瞬时diffie－hellman; rsa密钥交换，服务器在使用rsa时只使用了rsa签名密钥。

握手协议协商出哪些密钥？128bit

server write mac secret:

服务器计算mac所需的密钥，客户端验证mac的密钥。

client write mac secret: 

客户端计算mac所需的密钥，服务器验证mac的密钥。

server write key:

服务器加密、客户端解密时使用的对称密钥。

client write key:

客户端加密、服务器解密时使用的对称密钥

4.ssl握手协议可以恢复一个会话过程以建立新连接，并说明在此种模式下新计算出哪些参数，继承了哪些参数？

新计算：当通过恢复一个会话建立连接时，这一新的连接继承

这个会话状态下的压缩算法、密码规范、主密钥和session_id。

继承：该连接产生新的clienthello.random

和serverhello.random,以及该连接使用的密钥、mac密钥和

初始向量。

5.记录协议的contenttype类型可取值为什么，各代表什么

记录类型：20=改变密码规范协议，21=告警协议，22=握手协议，23=应用层数据

6.https，ftps代表什么？使用的端口号是多少？

https是运行在ssl之上的安全http版本，端口号443

ftps是运行在ssl之上的安全ftp版本，端口号990

7.会话和连接的概念，会话和连接的关系，存储的

会话状态包含的参数：

会话标识符: 

服务器选择的一个任意字节序列，用以标识一个活动的或可激活的会话状态。

对等实体证书:

一个 x.509 v3证书，可为空。

压缩算法:

加密前进行数据压缩的算法。

加密规范:

指明数据体加密的算法（无、或des等），以及摘要算法（如md5或sha-1），用于计算mac。还包括其它参数，如杂凑长度。

主密钥:

 48字节密钥，在client 和server之间共享。

是否可恢复:

一个标志，指明该会话是否能用于产生一个新连接。

连接状态包含的参数：

client and server randam:

c和s为每次连接所选择的随机数，防止重放攻击

server write mac secret:

服务器计算mac所需的密钥，客户端验证mac的密钥。

client write mac secret: 

客户计算mac所需的密钥，服务器验证mac的密钥。

server write key:

服务器加密、客户解密时使用的对称密钥。

client write key:

客户加密、服务器解密时使用的对称密钥。

initialization vectors: 

当数据加密采取cbc方式时，每一个密钥保持一个iv；

首先由ssl handshake protocol 产生，以后保留每次最后的密文数据块作为iv。

sequence number:

每一方为每一个连接的数据发送和接收维护单独的顺序号；当一方发送或接收一个改变的cipher spec message 时，序号置为0，最大264 –1.

8.ssl的工作模式发送方记录协议对于数据的处理过程如何？

步骤：

1 对信息进行分段

2 数据压缩(可选)

3 生成mac值

4 加密数据（含mac值）

5 添加ssl记录协议报头

第5章 应用层安全协议——安全电子邮件

1.电子邮件服务的工作方式

通过”存储－转发”(store and forward)的方式而不是“端到端”的方式为用户传递信件。

2.常用的电子邮件协议有哪些

1简单邮件传送协议  smtp, （端口号
tcp 25）

2 邮局协议版本3    pop3，（端口号
tcp 110）

3因特网消息访问协议版本4   imap4,

4 文本电子邮件标准  rfc822 

5 多用途因特网邮件扩展协议
mime，

3.常用的安全电子邮件协议有哪些  pgp、s/mime

4.安全电子邮件的工作模式（理解）,处理过程邮件签名和邮件加密

安全电子邮件的发送必须经过邮件签名和邮件加密两个过程，

而对于接收到的安全电子邮件，则需要经过邮件解密和邮件验证两个过程

安全电子邮件工作模式如下：

 

原始普通邮件                    邮件签名                    邮件加密                      发送安全电子邮件

 

     
发送方

                                                                                                                                            internet             

 

原始普通邮件                   邮件验证                        邮件解密                      接受安全电子邮件

 

            接收方

5.实验过程中，如何发送签名和加密邮件？得到的报文格式如何？

首先要生成自己的证书，才能进行签名和加密操作。发送签名邮件，只需导入自己的证书，用私钥签名即可。如果需要发送加密邮件，发送加密的邮件时，需要获取对方的数字证书，用收件人的公钥加密，收件人用自己的私钥解密。

透明签名：                                                                          加密：

6.s/mime为数字签名定义哪几种格式，有无使用限制？
两种签名格式。使用multipart/signed类型以及application/pkcs7-mime类型的signeddata。

使用multipart/signed格式签名，不管接收方是否支持s/mime都可以阅读签名消息，这种叫透明签名

使用application/pkcs7-mime类型的signeddata，除非接收方支持s/mime，否则不能阅读消息，这种叫不透明签名

7.分析实验三得到的邮件原文信息（签名邮件和加密邮件），根据邮件的原始信息，判断对邮件进行了哪些处理？

需要判断：发件人，收件人，判断出加密还是签名操作，是否可以在ie浏览器中打开

透明签名：content-type:
multipart/signed（可以在ie浏览器中打开）

application/pkcs7-mime类型的signeddata签名:
smime-type字段：signed-data（不可以在ie浏览器中打开）

加密邮件:smime-type字段：enveloped-data

8.要想向一个人发送一封加密邮件，发送方的处理过程如何？（老师说考察发送加密邮件的过程）（s/mime的过程）

1.编写邮件内容(如doc或txt格式) ；

2.用邮件程序转换文件为mime格式；

3.用hash算法确定唯一的邮件摘要(即信息完整性证明)
；

4.用私钥来加密摘要，并把加密的摘要附在信息中(即产生数字签名)
；

5.
发送方随机产生会话密钥，用来加密签名后的邮件

5.从ca认证中心取得收信方的公钥，加密会话密钥；

6.收信方收信，先用自身私钥解密会话密钥，再解密邮件；

7.验证其签名；

8.验证其完整性。

9.base 64编码原理，课本p153有例子。

base64：是一种mime编码转换方法，功能是将任意格式的字节流编码为可打印的ascii字符，其基本原理是连续的3个输入字节映射为4个6位值输出，并且用可打印的字符来表示这些6位值。

要求会查表：

书上例子：

假设有二进制代码，共24位：00100011 01011100 10010001

先划分4个6位组，即001000
110101 110010 010001，对应的十进制数分别为8,53,50,17，查表可得，编码为i1yr

10.pgp和s/mime 有什么相同和不同之处

第6章安全电子交易协议set

1.电子商务按交易对象分类，可分为哪几种模式，set协议支持哪种模式？

对参与电子商务交易涉及的对象分类，电子商务可以分为以下4种类型

(1)企业与消费者之间的电子商务b2c (business to customer)。

(2)企业与企业之间的电子商务b2b (business to business)。

(3)消费者对消费者的电子商务c2c(customer to customer)

(4)企业与政府方面的电子商务b2g (business to government)

set支持b-to-c商务模式

2.set协议的参与者有哪些？各自需要什么样的配置？

(1)持卡人

安装一套符合set协议标准的钱包软件;从发卡银行获取一张信用卡/银行卡;从身份认证机构获取一张数字证书

(2)网络商家

安装一套符合set标准的商家软件;在收款银行开有自己的收款账户;从身份认证机构获取一张数字证书

(3)发卡银行

为持卡人建立一个银行账户，并发放支付卡；

负责持卡人身份认证，同时从事发放数字证书的各项审核工作；

持卡人数字证书的签发既可以由发卡银行发放，也可以由专业的认证中心ca签发

发卡银行不属于安全电子商务交易的直接组成部分，但却是授权与清算操作的主要参与方

 (4)收款银行

为商家建立一个银行账户;处理支付卡的授权和付款事宜;

(5)支付网关

安装一套符合set标准的网关软件;与收款银行交易处理主机建立符合iso 8583报文格式的通信;从身份认证机构获取一张数字证书

(6)认证中心ca

安装一套符合set标准的ca软件；

绝对安全的运作与管理以下设备与软件：物理设备；ca软件的运行；密钥的保管；证书生成时使用硬件加密

3.set中，支付信息是如何发送的？

由用户将支付信息发送给商家，再由商家转发给银行。

4.set的关键技术双重签名（定义），生成过程（要求有公式）。

定义：发送者寄出两个相关信息给接收者，对这两组相关信息，接收者只能解读其中一组，另一组只能转送给第三方接收者，不能打开看其内容。

公式：

 

其中：k_c代表持卡用户的私钥

pi：支付信息oi：定购信息

pimd：支付摘要oimd：定购摘要

h：哈希运算

pomd：支付定购摘要

ds：双重签名

5.用户产生的购买请求报文包括哪些内容？（3部分）商家怎么处理的

内容：①支付的相关信息②定购的相关信息③用户证书

(1)验证用户证书

通过持卡用户证书中的ca签名来验证用户的证书

(2)验证双重签名

使用持卡用户证书中的公开密钥来验证双重签名，以验证

定购信息的完整性。

(3)转发支付信息

将支付信息转交给支付网关进行”支付认可”

(4)向持卡用户发送”购买响应”报文

报文中包含一个响应数据块，其中包含了相应的交易id用于

确认定购，商家对数据块进行签名，再加上签名证书一起

发送给用户。

6.商家发送给支付网关的报文包含哪些内容？支付网关收到支后如何处理？

内容：支付的相关信息(来自用户)；授权的相关信息(来自商家)；持卡人证书及商家的签名证书，商家的加密证书

(1)验证所有的证书

用户证书、商家证书(加密和签名证书)

(2)对商家转发来的支付数据块的处理

解密数字信封进行解密，获得一次性对称密钥，并解密支付数据块

验证双重签名，若通过取出交易id

(3)对授权数据块的处理

解密数字信封进行解密，获得一次性对称密钥，然后解密授权数据块，验证数字签名，若通过取出交易id

(4)验证从商家提交的交易id是否与用户pi中的交易id匹配

(5)向发卡机构请求并接收一个授权。

请求发卡机构核准该用户的余额是否可以支付本次购买。

支付网关和发卡机构之间是专网

(6)从发卡机构获得授权后，支付网关向商家返回“支付授权响应”报文。

包含授权数据块(由支付网关签名并使用一次性对称密钥加密及数字信封)

捕获（付款）标记信息

支付网关的签名证书。

 

7.set与ssl机制相比较，有什么优缺点？

安全性高，成本高，采用率低，认证机制复杂（所有参与set成员均参加）

1)     认证机制方面：set要求所有参与交易各方均必须先申请数字证书以识别身份，而ssl只有商家的服务器需要认证，客户端的认证是可选择的。

2)    
设置成本：申请set交易者除必须申请数字证书之外，也必须在计算机上安装符合set规格的电子钱包软件，而ssl交易无须另外安装软件。故set成本较高，ssl成本较低。

3)     安全性：set的安全性比ssl高。因为set严格规定了持卡人、商家与银行间的信息规范。ssl的安全范围只限于持卡人到商家的信息交换。

4)    
目前采用率：由于set的设置成本较高，目前国内采用ssl的网上交易占多数。

 

第七章snmp协议

1简述snmpv1版本的安全措施，并分析其安全性。　

snmpv1只提出了基于共同体的安全机制，定义了认证服务和访问控制策略的安全措施；

(1)认证服务：从管理站发往代理的每个消息都包括一个共同体名，起口令的作用；

(2)访问控制策略：通过定义共同体，代理可以限制它的mib只能被选定的一组管理站访问。而通过定义多于一个的团体，代理能够为不同的管理站提供不同的mib访问权限。

分析安全性：共同体机制可以提供简单的认证和访问控制功能，采用以明文传输的共同体名作为认证手段，安全性低

2简述管理信息库的概念

是一个信息存储库，它包含了被管理设备的有关配置和性能的数据：

在网络中，每个设备都具有一个或多个变量来描述其状态，snmp称这些变量为对象。这些对象的集合称为管理信息库（mib）

3简述snmp的网络管理模型。

管理站           运行c/s模型中的客户端程序
管理代理       运行c/s模型中的服务器端程序

4.snmp报文的封装

封装在udp协议中。

snmp get/set消息通过 udp端口161接收，只有trap信息采用udp 端口 162。

注：封装在udp中的协议有：snmp、ike

以上就是小编对于213123问题和相关问题的解答了，213123的问题希望对你有用！