全部科目 > 软件设计师 >
2019年上半年 上午试卷 综合知识
第 9 题
知识点 消息   安全通信   认证  
关键词 安全   通信   消息  
章/节 面向对象基础知识  
 
 
用户A和B要进行安全通信,通信过程需确认双方身份和消息不可否认。A和B通信时可使用(9)来对用户的身份进行认证;使用(10)确保消息不可否认。
 
  A.  数字证书
 
  B.  消息加密
 
  C.  用户私钥
 
  D.  数字签名




 
 
相关试题     面向对象基础知识 

  第17题    2025年上半年  
用户A和B要进行安全通信,通信过程需确认双方身份和消息不可否认。A和B通信时可使用(9)来对用户的身份进行认证;使用(10)确保消息不可否认。

  第39题    2009年下半年  
(38)是把对象的属性和服务结合成一个独立的系统单元,并尽可能隐藏对象的内部细节;(39)是指子类可以自动拥有父类的全部属性和服务:(40)是对象发出的服务请求,一..

  第45题    2022年上半年  
在某系统中,项目经费支配申请(Request)根据额度的不同,由不同层次的主管人员分级审批,项目经理(Manager)可以审批5万元以下的支配单,部门主管(Director)可以审..

 
知识点讲解
· 消息
· 安全通信
· 认证
 
        消息
        对象之间进行通信的一种构造叫做消息。但一个消息发送给某个对象时,包含要求接收对象去执行某些活动的信息,接收到消息的对象经过解释,然后予以响应,这种通信机制叫做消息传递。发送消息的对象不需要知道接收消息的对象如何对请求予以响应。
 
        安全通信
        网络设备和管理工作站之间的安全通信有两种方式:一是使用SSH;二是使用VPN。
               SSH
               为了远程访问安全,网络设备提供SSH服务以替换非安全的Telnet,其配置步骤如下:
               (1)使用hostname指定设备名称。
               (2)使用ip domain-name配置设备域。
               (3)使用crypto key generate rsa生成RSA加密密钥。建议最小密钥大小为1024位。
               (4)使用ip ssh设置SSH访问。
               (5)使用transport input命令配置使用SSH。
               如下所示,是在路由器RouterOne上设置SSH访问,VTY配置成只允许SSH访问。
               
               IPSec VPN
               网络设备若支持IPSec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的,其主要配置步骤如下:
               (1)设置ISAKMP预共享密钥;
               (2)创建可扩展的ACL;
               (3)创建IPSec transforms;
               (4)创建crypto map;
               (5)应用crypto map到路由接口。
               假设管理工作站的IP地址是X.Y.Z.10,网络设备是路由器RouterOne,则路由器的IPsec配置过程如下表所示。
               
               IPsec配置过程示意表
 
        认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议



更多复习资料
请登录电脑版软考在线 www.rkpass.cn

京B2-20210865 | 京ICP备2020040059号-5
京公网安备 11010502032051号 | 营业执照
 Copyright ©2000-2025 All Rights Reserved
软考在线版权所有