免费智能真题库 > 历年试卷 > 网络工程师 > 2015年下半年 网络工程师 上午试卷 综合知识
  第44题      
  知识点:   应用层安全协议   应用层
  关键词:   安全   应用层        章/节:   安全技术与协议       

 
下列(44)不能提供应用层安全。
 
 
  A.  S-HTTP
 
  B.  PGP
 
  C.  MIME
 
  D.  SET
 
 
 

 
  第43题    2013年上半年  
   19%
(43)是支持电子邮件加密服务的协议。
  第20题    2013年下半年  
   37%
CHAP协议是PPP链路中采用的一种身份认证协议,这种协议采用(19)握手方式周期性地验证通信对方的身份,当认证服务器发出一个挑战..
  第45题    2014年下半年  
   45%
以下关于S-HTTP的描述中,正确的是(45)。
   知识点讲解    
   · 应用层安全协议    · 应用层
 
       应用层安全协议
               S-HTTP
               安全超文本传输协议(Secure Hyper Text Transfer Protocol, S-HTTP)是一种结合HTTP而设计的消息的安全通信协议。S-HTTP的设计基于与HTTP信息样板共存并易于与HTTP应用程序整合。
               S-HTTP协议为HTTP客户机和服务器提供了多种安全机制,这些安全服务选项是适用于万维网上各类用户的,还为客户机和服务器提供了对称能力(及时处理请求和回复,及两者的参数选择),同时维持HTTP的通信模型和实施特征。
               S-HTTP不需要客户方的公用密钥证明(或公用密钥),但它支持对称密钥的操作模式。这一点很重要,因为这意味着在没有要求用户个人建立公用密钥的情况下,会自发地发生私人交易。它支持端对端安全传输,客户机可能首先启动安全传输(使用报头的信息),用来支持加密技术。
               在语法上,S-HTTP报文与HTTP相同,由请求或状态行组成,后面是信头和主体。请求报文的格式由请求行、通用信息头、请求头、实体头、信息主体组成。响应报文由响应行、通用信息头、响应头、实体头、信息主体组成。
               PGP
               PGP(Pretty Good Privacy)是一个完整的电子邮件安全软件包,包括加密、鉴别、电子签名和压缩等技术。PGP并没有使用什么新的概念,它只是将现有的一些算法如MD5、RSA及IDEA等综合在一起。PGP提供数据加密和数字签名两种服务。下图所示为PGP的加密过程。
               
               PGP加密过程
               数字加密机制可以应用于本地存储文件,也可以应用于网络上传输的电子邮件。数字签名机制用于数据源身份认证和报文完整性验证。PGP使用RSA公钥证书进行身份认证,使用IDEA(128位密钥)进行数据加密,使用MD5进行数据完整性认证。
               S/MIME
               S/MIME(Security/Multipurpose Internet Mail Extensions)是RSA数据安全公司开发的软件。S/MIME提供的安全服务有报文完整性验证、数字签名和数据加密。S/MIME可以添加在邮件系统的用户代理中,用于提供安全的电子邮件传输服务,也可以加入其他的传输机制中,安全地传输任何MIME报文,甚至可以添加在自动报文传输代理中,在Internet中安全地传送由软件生成的FAX报文。
               S/MIME的安全功能基于加密信息语法标准PKCS#7(RFC2315)和X.509v3证书,密钥长度是动态可变的,具有很高的灵活性。
               安全的电子交易
               安全的电子交易(Secure Electronic Transaction, SET)用于电子商务的行业规范,是一种应用在Internet上、以信用卡为基础的电子付款系统规范,目的是保证网络交易的安全。SET主要使用"电子认证"技术作为保密电子交易安全进行的基础,其认证过程使用RSA和DES算法。
                      SET提供的服务
                      SET提供以下3种服务。
                      (1)在交易涉及的双方之间提供安全信道。
                      (2)使用X.509数字证书实现安全的电子交易。
                      (3)保证信息的机密性。
                      SET交易过程
                      SET交易发生的先决条件是,每一个持卡人(客户)必须拥有一个唯一的电子(数字)证书,且由客户确定口令,并用这个口令对数字证书、私钥、信用卡号码及其他信息进行加密存储,这些与符合SET协议的软件一起组成了一个SET"电子钱包"。下图展示了SET交易过程中,持卡人、商家、支付网关、收单银行和发卡机构之间的数据交换过程。
                      
                      SET交易过程
               Kerberos
               Kerberos是MIT为校园网用户访问服务器进行身份认证而设计的安全协议,它可以防止偷听和重放攻击,保护数据的完整性。
               Kerberos系统为分布式计算环境提供了一种对用户双方进行验证的认证方法。它使网络上进行通信的用户相互证明自己的身份,同时又可选择防止窃听或中继攻击。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法用户,若是合法用户则再审核该用户是否有权利对其所请求的服务器或主机进行访问。从加密算法上来讲,其验证是建立在对称加密(DES)的基础上的,它采用可信任的第三方——密钥分配中心(KDC)保存与所有密钥持有者通信的主密钥(秘密密钥)。
               Kerberos的目标在于3个领域:认证、授权和记账审计。认证过程如下图所示。
               
               Kerberos的认证过程
               (1)用户向KDC申请初始票据。
               (2)KDC向用户发放TGT会话票据。
               (3)用户向TGS请求会话票据。
               (4)TGS验证用户身份后发放给用户会话票据KAV
               (5)用户向应用服务器请求登录。
               (6)应用服务器向用户验证时间戳。
 
       应用层
        TCP/IP的应用层大致对应于OSI模型的应用层和表示层,应用程序通过本层协议利用网络。这些协议主要有FTP、TFTP、HTTP、SMTP、DHCP、NFS、Telnet、DNS和SNMP等。
        文件传输协议(File Transport Protocol,FTP)是网络上两台计算机传送文件的协议,是通过Internet把文件从客户端复制到服务器上的一种途径。
        简单文件传输协议(Trivial File Transfer Protocol,TFTP)是用来在客户端与服务器之间进行简单文件传输的协议,提供不复杂、开销不大的文件传输服务。TFTP协议设计的时候是进行小文件传输的,因此它不具备通常的FTP的许多功能,它只能从文件服务器上获得或写入文件,不能列出目录,也不进行认证。它传输8位数据。
        超文本传输协议(Hypertext Transfer Protocol,HTTP)是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效,使网络传输减少。它不仅保证计算机正确快速地传输超文本文档,还确定传输文档中的哪一部分,以及哪部分内容首先显示等。
        简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)是一种提供可靠且有效的电子邮件传输的协议。SMTP是建模在FTP文件传输服务上的一种邮件服务,主要用于传输系统之间的邮件信息并提供与来信有关的通知。
        动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)分为两个部分,一个是服务器端,另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。DHCP透过“租约”的概念,有效且动态地分配客户端的TCP/IP设定。DHCP分配的IP地址可以分为三种方式,分别是固定分配、动态分配和自动分配。
        网络文件系统(Net File System,NFS)是FreeBSD支持的文件系统中的一种,允许一个系统在网络上与他人共享目录和文件。通过使用NFS,用户和程序可以像访问本地文件一样访问远端系统上的文件。
        远程登录协议(Telnet)是登录和仿真程序,它的基本功能是允许用户登录进入远程主机系统。以前,Telnet是一个将所有用户输入送到远方主机进行处理的简单的终端程序。它的一些较新的版本在本地执行更多的处理,于是可以提供更好的响应,并且减少了通过链路发送到远程主机的信息数量。
        域名系统(Domain Name System,DNS)用于命名组织到域层次结构中的计算机和网络服务。在Internet上域名与IP地址之间是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。DNS通过对用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时,DNS服务可以将此名称解析为与之相关的其他信息,如IP地址。
        简单网络管理协议(Simple Network Management Protocol,SNMP)是为了解决Internet上的路由器管理问题而提出的,它可以在IP、IPX、AppleTalk、OSI及其他用到的传输协议上被使用。SNMP事实上指一系列网络管理规范的集合,包括协议本身、数据结构的定义和一些相关概念。目前SNMP已成为网络管理领域中事实上的工业标准,并被广泛支持和应用,大多数网络管理系统和平台都是基于SNMP的。
   题号导航      2015年下半年 网络工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第44题    在手机中做本题