免费智能真题库 > 历年试卷 > 网络工程师 > 2013年上半年 网络工程师 上午试卷 综合知识
  第43题      
  知识点:   应用层安全协议   电子邮件   加密
  关键词:   电子邮件   加密   协议   邮件        章/节:   安全技术与协议       

 
(43)是支持电子邮件加密服务的协议。
 
 
  A.  PGP
 
  B.  PKI
 
  C.  SET
 
  D.  Kerberos
 
 
 

 
  第47题    2009年下半年  
   35%
IPSec的加密和认证过程中所使用的密钥由(47)机制来生成和分发。
  第44题    2011年下半年  
   41%
Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成,当用户A通过Kerberos向服务器V请求服务时,认证过程如下图所示,图中..
  第42题    2019年下半年  
   36%
下面的安全协议中,( )是替代SSL协议的一种安全协议。
   知识点讲解    
   · 应用层安全协议    · 电子邮件    · 加密
 
       应用层安全协议
               S-HTTP
               安全超文本传输协议(Secure Hyper Text Transfer Protocol, S-HTTP)是一种结合HTTP而设计的消息的安全通信协议。S-HTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序整合。
               S-HTTP协议为HTTP客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的,还为客户机和服务器提供了对称能力(及时处理请求和回复,及两者的参数选择),同时维持HTTP的通信模型和实施特征。
               S-HTTP不需要客户方的公用密钥证明(或公用密钥),但它支持对称密钥的操作模式。这一点很重要,因为这意味着在没有要求用户个人建立公用密钥的情况下,会自发地发生私人交易。它支持端对端安全传输,客户机可能首先启动安全传输(使用报头的信息),用来支持加密技术。
               在语法上,S-HTTP报文与HTTP相同,由请求或状态行组成,后面是信头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。
               PGP
               PGP(Pretty Good Privacy)是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是将现有的一些算法如MD5、RSA及IDEA等综合在一起。PGP提供数据加密和数字签名两种服务。下图所示为PGP的加密过程。
               
               PGP加密过程
               数字加密机制可以应用于本地存储文件,也可以应用于网络上传输的电子邮件。数字签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥证书进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性认证。
               S/MIME
               S/MIME(Security/Multipurpose Internet Mail Extensions)是RSA数据安全公司开发的软件。S/MIME提供的安全服务有报文完整性验证、数字签名和数据加密。S/MIME可以添加在邮件系统的用户代理中,用于提供安全的电子邮件传输服务,也可以加入其他的传输机制中,安全地传输任何MIME报文,甚至可以添加在自动报文传输代理中,在Internet中安全地传送由软件生成的FAX报文。
               S/MIME的安全功能基于加密信息语法标准PKCS#7(RFC2315)和X.509v3证书,密钥长度是动态可变的,具有很高的灵活性。
               安全的电子交易
               安全的电子交易(Secure Electronic Transaction, SET)用于电子商务的行业规范,是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是保证网络交易的安全。SET主要使用"电子认证"技术作为保密电子交易安全进行的基础,其认证过程使用RSA和DES算法。
                      SET提供的服务
                      SET提供以下3种服务。
                      (1)在交易涉及的双方之间提供安全信道。
                      (2)使用X.509数字证书实现安全的电子交易。
                      (3)保证信息的机密性。
                      SET交易过程
                      SET交易发生的先决条件是,每一个持卡人(客户)必须拥有一个唯一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET"电子钱包"。下图展示了SET交易过程中,持卡人、商家、支付网关、收单银行和发卡机构之间的数据交换过程。
                      
                      SET交易过程
               Kerberos
               Kerberos是MIT为校园网用户访问服务器进行身份认证而设计的安全协议,它可以防止偷听和重放攻击,保护数据的完整性。
               Kerberos系统为分布式计算环境提供了一种对用户双方进行验证的认证方法。它使网络上进行通信的用户相互证明自己的身份,同时又可选择防止窃听或中继攻击。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,若是合法用户则再审核该用户是否有权利对其所请求的服务器或主机进行访问。从加密算法上来讲,其验证是建立在对称加密(DES)的基础上的,它采用可信任的第三方——密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘密密钥)。
               Kerberos的目标在于3个领域:认证、授权和记账审计。认证过程如下图所示。
               
               Kerberos的认证过程
               (1)用户向KDC申请初始票据。
               (2)KDC向用户发放TGT会话票据。
               (3)用户向TGS请求会话票据。
               (4)TGS验证用户身份后发放给用户会话票据KAV
               (5)用户向应用服务器请求登录。
               (6)应用服务器向用户验证时间戳。
 
       电子邮件
        电子邮件(Electronic Mail,E-mail),是传统邮件的电子化,它最早出现在ARPANET中。电子邮件(E-mail)是Internet提供的最主要的应用之一,它已经成为世界上最快的邮局,成为倍受欢迎的通信方式。电子邮件通过Internet传送,可在几秒钟之内传到世界各地,不受时间、气候和地理的限制,而且可以附加传送计算机文件、图像、声音和视频等多种信息。与传统的信件相比,电子邮件具有速度快、价格低的优点。
        电子邮件系统是一种新型的信息系统,是通信技术和计算机技术结合的产物。它是一种“存储转发式”的服务,属异步通信方式,这正是电子邮件系统的核心。利用存储转发可进行非实时通信,信件发送者可随时随地发送邮件。接收者可随时打开计算机读取信件,不受时空限制。在这里,“发送”邮件意味着将邮件放到收件人的信箱中,而“接收”邮件则意味着从自己的信箱中读取信件,信件在信箱之间进行传递和交换,也可以与另一个邮件系统进行传递和交换,信箱实际上是由文件管理系统支持的一个实体。因为电子邮件是通过邮件服务器Mail Server来传递文件的。通常Mail Server是执行多任务操作系统Unix的计算机,它提供24小时的电子邮件服务,用户只需向Mail Server管理人员申请一个信箱账号,就可使用这项快速的邮件服务了。
        与普通信件一样,电子邮件也需要地址。这个地址就是在Internet电子信箱的地址。电子邮件地址就是用户在ISP所开设的邮件账号加上POP3服务器的域名。例如:liuhy@sdfi.edu.cn,在此地址中“liuhy”是用户名,也就是用户在ISP所提供的POP3服务器上所注册的电子邮件账号,“sdfi.edu.cn”是POP3服务器的域名。中间用“@”分隔,表示“at”的意思。用户发送电子邮件时,必须给出接收方的电子邮件地址。
        电子邮件的传输则是通过电子邮件简单传输协议SMTP(Simple Mail Transfer Protocol)这一系统软件来实现的。SMTP协议是TCP/IP的一部分,它用于描述邮件是如何在Internet上传输的。遍布全球的邮件服务器根据SMTP协议来发送和接收邮件,SMTP就像Internet上的通用语言一样,负责处理邮件服务器之间的消息传递。
        电子邮件的发送由简单邮件传输协议(SMTP)服务器来完成。它好比是邮局的邮筒,将信投入后,由邮局定时发送。接收邮件由邮局协议(POP3)服务器来完成,来信都存放于此,用户通过电子邮件软件来取信。
        当用户写好电子邮件后,可通过电子邮件软件(Outlook等)将它发送出去。电子邮件软件使用SMTP协议和TCP/IP协议将用户的邮件打包后,加上信件头送到用户所设置的Internet服务商(ISP)的SMTP服务器上。然后SMTP服务器根据用户所写的电子邮件地址,通过路由器按照当前网络传输的情况,寻找一条最不拥挤的路由,将邮件传输给下一个SMTP服务器。该服务器也如法炮制,将邮件一直传送到接收方用户的ISP所提供的POP3服务器中,并保存在以接收方用户开设的信箱中。接收方用户可以通过电子邮件软件打开自己在POP3服务器上的信箱,来接收电子邮件。
 
       加密
               保密与加密
               保密就是保证敏感信息不被非授权的人知道。加密是指通过将信息进行编码而使得侵入者不能够阅读或理解的方法,目的是保护数据和信息。解密是将加密的过程反过来,即将编码信息转化为原来的形式。古时候的人就已经发明了密码技术,而现今的密码技术已经从外交和军事领域走向了公开,并结合了数学、计算机科学、电子与通信等诸多学科而成为了一门交叉学科。现今的密码技术不仅具有保证信息机密性的信息加密功能,而且还具有数字签名、身份验证、秘密分存、系统安全等功能,来鉴别信息的来源以防止信息被篡改、伪造和假冒,保证信息的完整性和确定性。
               加密与解密机制
               加密的基本过程包括对原来的可读信息(称为明文或平文)进行翻译,译成的代码称为密码或密文,加密算法中使用的参数称为加密密钥。密文经解密算法作用后形成明文,解密算法也有一个密钥,这两个密钥可以相同也可以不相同。信息编码的和解码方法可以很简单也可以很复杂,需要一些加密算法和解密算法来完成。
               从破译者的角度来看,密码分析所面对的问题有三种主要的变型:①“只有密文”问题(仅有密文而无明文);②“已知明文”问题(已有了一批相匹配的明文与密文);③“选择明文”(能够加密自己所选的明文)。如果密码系统仅能经得起第一种类型的攻击,那么它还不能算是真正的安全,因为破译者完全可能从统计学的角度与一般的通信规律中猜测出一部分的明文,而得到一些相匹配的明文与密文,进而全部解密。因此,真正安全的密码机制应使破译者即使拥有了一些匹配的明文与密文也无法破译其他的密文。
               如果加密算法是可能公开的,那么真正的秘密就在于密钥了,密钥长度越长,密钥空间就越大,破译密钥所花的时间就越长,破译的可能性就越小。所以应该采用尽量长的密钥,并对密钥进行保密和实施密钥管理。
               国家明确规定严格禁止直接使用国外的密码算法和安全产品,原因主要有两点:①国外禁止出口密码算法和产品,目前所出口的密码算法都有破译手段,②国外的算法和产品中可能存在“后门”,要防止其在关键时刻危害我国安全。
               密码算法
               密码技术用来进行鉴别和保密,选择一个强壮的加密算法是至关重要的。密码算法一般分为传统密码算法(又称为对称密码算法)和公开密钥密码算法(又称为非对称密码算法)两类,对称密钥密码技术要求加密解密双方拥有相同的密钥。而非对称密钥密码技术是加密解密双方拥有不相同的密钥。
               对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类(这两种体制之间还有许多中间类型)。
               序列密码是军事和外交场合中主要使用的一种密码技术。其主要原理是:通过有限状态机产生性能优良的伪随机序列,使用该序列将信息流逐比特加密从而得到密文序列。可以看出,序列密码算法的安全强度由它产生的伪随机序列的好坏而决定。分组密码的工作方式是将明文分成固定长度的组(如64比特一组),对每一组明文用同一个密钥和同一种算法来加密,输出的密文也是固定长度的。在序列密码体制中,密文不仅与最初给定的密码算法和密钥有关,同时也是被处理的数据段在明文中所处的位置的函数;而在分组密码体制中,经过加密所得到的密文仅与给定的密码算法和密钥有关,而与被处理的明数据段在整个明文中所处的位置无关。
               不同于传统的对称密钥密码体制,非对称密码算法要求密钥成对出现,一个为加密密钥(可以公开),另一个为解密密钥(用户要保护好),并且不可能从其中一个推导出另一个。公共密钥与专用密钥是有紧密关系的,用公共密钥加密的信息只能用专用密钥解密,反之亦然。另外,公钥加密也用来对专用密钥进行加密。
               公钥算法不需要联机密钥服务器,只在通信双方之间传送专用密钥,而用专用密钥来对实际传输的数据加密解密。密钥分配协议简单,所以极大简化了密钥管理,但公共密钥方案较保密密钥方案处理速度慢,因此,通常把公共密钥与专用密钥技术结合起来实现最佳性能。
               密钥及密钥管理
               密钥是密码算法中的可变参数。有时候密码算法是公开的,而密钥是保密的,而密码分析者通常通过获得密钥来破译密码体制。也就是说,密码体制的安全性建立在对密钥的依赖上。所以,保守密钥秘密是非常重要的。
               密钥管理一般包括以下8个内容。
               (1)产生密钥:密钥由随机数生成器产生,并且应该有专门的密钥管理部门或授权人员负责密钥的产生和检验。
               (2)分发密钥:密钥的分发可以采取人工、自动或者人工与自动相结合的方式。加密设备应当使用经过认证的密钥分发技术。
               (3)输入和输出密钥:密钥的输入和输出应当经由合法的密钥管理设备进行。人工分发的密钥可以用明文形式输入和输出,并将密钥分段处理;电子形式分发的密钥应以加密的形式输入和输出。输入密钥时不应显示明文密钥。
               (4)更换密钥:密钥的更换可以由人工或自动方式按照密钥输入和密钥输出的要求来实现。
               (5)存储密钥:密钥在加密设备内采用明文形式存储,但是不能被任何外部设备访问。
               (6)保存和备份密钥:密钥应当尽量分段保存,可以分成两部分并且保存在不同的地方,例如一部分存储在保密设备中,另一部分存储在IC卡上。密钥的备份也应当注意安全并且要加密保存。
               (7)密钥的寿命:密钥不可以无限期使用,密钥使用得越久风险也就越大。密钥应当定期更换。
               (8)销毁密钥:加密设备应能对设备内的所有明文密钥和其他没受到保护的重要保护参数清零。
   题号导航      2013年上半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第43题    在手机中做本题