网络安全协议知识点整理

1、.与VPN相关的协议有哪些？PPTP、IPSec、SSL。.传输层安全协议：SSL TLS,协议位置在应用层下传输层上，传输层要求是TCP （连接型传输层）不能 UDP ,.二层隧道协议 有哪些？PPTP:以PPP （点对点协议）为基础；只支持在 IP网络内使用；只能在两端点间建立单一隧道。L2TP :可以支持多种传输协议，如IP, ATM ,帧中继。L2F : L2TP协议支持IP、X.25、帧中继或 ATM等作为传输协议。但目前仅定义了基于IP网络的L2TP。L2TP支持在两端点间使用多隧道。建立在点对点协议 PPP的基础上形成的数据包依靠第二层（数据链路层）协议进行传输。（网络隧道技术的

2、定义：利用一种网络协议来传输另一种网络协议。隧道技术解决了专网与公网的兼容问题。）.三层隧道协议 有哪些？GRE:通用路由封装协议。IPsec：包含两个安全协议（AH、ESP）和一个密钥管理协议（IKE）。是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层（网络层）协议进行传输，在可扩充性、安全性、 可靠性方面优于第二层隧道协议。.与电子邮件相关的协议 有哪些？ SMTP、POP3、IMAP4、RFC822、MIME、PEM、PGP、S/MIME。完整性：保障传送过程中数据包不被篡改：mac方法或数字签名使用MAC方法实现完整性保护的协议有哪些？IPSEC （AH和ESP都有认证）、S

3、SL、SNMP使用数字签名方法实现完整f保护的协议有哪些？S/MIME、PGP （2都是签名映像）、SET第一章基础知识部分：TCP/IP协议主要协议及缺陷分析ISO/OSI参考模型：应用层、表示层、会话层、传输层、网络层、数据链路层、物理层。TCP/IP模型：应用层（应用程序）、传输层（ TCP、UDP）,网络层（ICMP、IP、IGMP）,链路层（ARP、RARP）。 一、链路层协议ARP地址转换协议：将IP地址转换为硬件 MAC地址，与IP协议配合使用。（功能）地址解析：是一个将主机IP地址映射到硬件地址的过程。过程：ARP请求（发送方硬件地址/发送方IP地址/目标方的硬件地址/目标方的

4、IP地址，本地广播）、ARP响应。ARP高速缓存：减少广播的数量，生存期。RARP反地址解析协议： 将硬件地址转换为IP地址。ARP欺骗（单选）：计算机A收到了一个虚假 ARP响应，其中包含了网络中另外一台机器B的硬件地址对路由器（或网关）IP地址的映射。这样， A计算机的ARP缓存将被更新。这种技术称为缓存中毒。也称 ARP欺骗。结 果：所有由A发往路由器（或网关）的包都将送往Bo B进行可以分析、篡改、转发等操作。收到数据包的计算机将数据包进行分析后才将数据包发往真正的路由器。（注意：路由器并非唯一可假冒的机器）ARP的问题：无状态性。主机信任所有 ARP响应包，听响应的进程同发送请求的进

5、程之间没有任何关系。如果机器收到一个ARP响应，无法知道是否真的发送过对应的ARP请求。ARP地址欺骗类病毒： 一般属于木马病毒，发作时会向全网发送伪造的ARP数据包，干扰全网的运行。中毒现象：网络掉线但网络连接正常、内网的部分电脑不能上网、无法打开网页或打开缓慢。ARP分组格式硬件类型：16bit,运行ARP的物理网络类型如以太网取值1,令牌环网取值为 4协议类型：16bit,发送方提供的高层协议类型，如 IPV4取值为0X0800硬件长度：8bit,以字节为单位的物理地址长度，如以太网该值取6协议长度：8bit,以字节为单位的逻辑地址长度，如 IPV4取值为4操作字段：16bit,分组类型

6、。ARP请求取值1, ARP应答取值2目的站硬件地址：在 ARP请求分组格式中，该字段为 0暝件类型博议类型硬件长盘擀我长度埃作（清求1,回答2）发送蛤硬件地珏发送站林江地珏司的站硬件地珏目的站博试地珏问题：ARP应答和ARP请求有何种机制保持联系？ARP的无状态性。侦听响应的进程同发送请求的进程之间没有任何关系。如果机器收到一个 ARP响应，无法知道是否真的发送过对应的ARP请求。潜在的攻击方法：发送虚假的ARP响应，改变ARP缓存表ARP缓存有一定的有效期可以编写简单的软件，给目标机器一直发送ARP响应，保证目标机器的 ARP缓存有ARP请求广播发送,ARP请求广播发送,效ARP回应单播响

7、应、网络层协议IP数据报格式f以钙为她-百冰度二蛔啜僻二 /3115 f以钙为她-百冰度二蛔啜僻二 /3115 久/ X1P敷据分析CIP苗”的16进制表示口 45 00 00 40 47 ED 00 00 80 117OFDC0 AS 00 69,口 ；把所4 13进到转操为十七洌TTL: I2S协议:1TTL: I2S协议:1了校疆情:胡英5IP: 19X168.0.105口 S1P* 192.168.0l1版本：4头部长度服务类型常氏度：72识别符：18413偏移：。根据IP 8位 防议号”字段，区分封装的内容（数据）：TCP : 6 UDP : 17 ICMP : 1 IPV4 : 4

8、 AH : 51 ESP: 50IP分片技术：当一个较长的IP分组经过一个 MTU值较小的网络时，把长分组分割成较小的分组进行传输。IP规定分片可以在任何中间路由器上进行，可以走不同的路径，重组只在目的站进行。传输模式：不加新的IP头，隧道模式：加新的 IP头+ah头或ESP头+原IP地址包ICMP发ping命令产生这个数据包配置IPSec安全策略，密钥协商成功后续通信是加密的ESP,算应用层协议第二章 PPTP与虚拟专用网1、PPTP的基础是什么？适用于什么网络？可以构建哪种类型的VPN?以PPP协议（点对点协议）为基础，IP网络，远程接入类型的虚拟专用网：允许移动用户通过因特网拨号进入它

9、们本地的因特网服务供应商 （ISP）来接入，PPTP协议要求互联网是IP网络2、什么是网络隧道技术？简述现有的隧道协议。网络隧道技术指的是利用一种网络协议来传输另一种网络协议。封装传输和拆封数据的过程称为隧道。是为 了在公网上传输私有数据而发展出来的信息封装”方式。二层隧道协议（数据链路层）： PPTP , L2TP、L2F、MPLS三层隧道协议（网络层）：IPSEC、GRE3、PPTP协议中的安全机制有哪些？PAP 口令认证协议（明文通信+明文存储）、CHAP挑战握手协议（密文通信+明文存放+单向认证+周期重新认证）MPPE协议4、CHAP挑战握手：没有明文发送口令，把口令做哈希值口握手认证

10、正猩（3金为眼热墨.U为客户端，R为应机数）A5U;R.心中存诫用户明义口令U6As川计其HI （PW | Rk PW为口令.计算H值，送到认证时 普器A53U:A$计算H2（Pld|l0a比较HI和HZ,如果一致，通过身将 认证皿埠解尸团 | mt |43*由：&i 5、 IEEE802.1X 的用途IEEE802.1X是在利用LAN交换机和无线LAN接入点之前对用户进行认证的技术。普通LAN交换机将缆线连接到端口上即可使用 LAN。不过，支持802.1X的LAN交换机连接缆线后也不能直接使用LAN。只有在对连接的个人电脑进行认证、确认是合法用户以后才能使用LAN。通过认证，LAN交换机就可

11、以通过或者屏蔽用户发送过来的信息。无线LAN接入点也基本上采用这一工作原理。6、IEEE802.10通过加密和认证等安全机制保证局域网上数据交换的机密性和完整性。定义了一种安全数据交换的协议数据单元，也称为802.10报头。安全性1在报头中包含源地址字段，用于支持地址认证。2ICV用于数据完整性检查。3可对帧中数据进行数据加密。在VLAN中得到应用，将报头中的安全关联标识符用在VLAN中作为VLAN标识符。7、理解VLAN :虚拟局域网划分8、ADSL拨号网络所使用的数据链路层协议是什么？PPP协议在ADSL接入方式中，PPP与其他的协议共同派生出了符合宽带接入要求的新的协议。第三章 IPSe

12、cVPN的含义及三种常见的应用类型。虚拟专用网VPN:跨越公网的一条安全连接。通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。为了对上层应用透明，VPN采用协议隧道技术。拨号 VPN、内网扩展 VPN、外联网VPNVPN的关键协议：IPSec协议IPSec协议集：AH、ESP、IKE ,都提供什么功能？ 认证头（AH） : AH提供完整性保护。数据源身份认证、完整性、抗重放攻击服务 封装安全载荷（ESP）： ESP提供机密性、完整性保护；ESP协议主要提供加密保护，也可提供鉴别保护。AH比ESP认证范围广，AH认证整个数据包。（传输SA）。IKE协议：密

13、钥协商（1）实现安全协议参数协商。包括加密及鉴别算法、加密及鉴别密钥、通信的保护模式 或隧道模式）、密钥的生存期等。（2）在（传输SA）。IPSec的两种工作模式，各用于怎样的通信情形？各自提供的数据保护范围？ 两种工作模式：传输模式和 隧道模式。区别：保护内容不同。传输模式：AH和ESP只处理IP有效负载，并不添加新的 IP协议报头。优点：在于每个数据包只增加了少量的字节。缺点：IP报头是以明文方式传输的，因此很容易遭到某些通信量分析攻击。隧道模式：原来的整个IP包都受到保护，并被当作一个新的IP包的有效载荷。优点：不用修改任何端系统就可以获得IP安全性能。隧道模式同样还可以防止通信量分析攻

14、击。IPSec使用什么技术来完成完整性和不可否认性验证？HMAC方法：根据 SA指定的认证算法和密钥对IP分组计算出消息认证码（MAC）,用一个秘密密钥来产生和验证MACIKE密钥协商分几个阶段，各自功能是什么，每个阶段各有什么工作模式？IKE协议：以受保护的方式动态协商 SA的协议。作用：在IPSec通信双方之间，建立起共享安全参数及验证过的密钥，即建立安全关联。IKE就是IPSec规定的一种用于动态管理和维护 SA的协议。功能：协商通信参数和安全特性，认证通信对端，保护实体，用安全的方法产生、交换、建立密钥，管理、删除 安全关联SA。组成：internet密钥交换协议IKE , inter

15、net安全关联和密钥管理协议 ISAKMP （Oakley密钥确定协议），IPSec DOI 协议。IKE密钥协商分两个阶段：（1）阶段一：协商出安全参数 协商如何保护后续的协商传输，并建立一个主密钥，形成一个ISAKMP SA。涉及大量的密码计算，较复杂；第一阶段的交换结果可以支持多个第二阶段的交换；有主模式（含身份认证）、野蛮/积极模式（不含身份认证）。主模式将SA的建立和对端身份的认证以及密钥协商相结合，使得这种模式能抵抗中间人的攻击；野蛮模式简化了协商过程，但抵抗攻击的能力较差，也不能提供身份保护。阶段一协商出的安全参数是供第二个阶段使用的，不是AH和ESP。IKE协商阶段一第一阶段（

16、主模式） 守IKE协商阶段一第一阶段（主模式） 守的；建立旧AKMPSA地方国应力WH5A .RM. SAXKEemh附.叽HA期I 府IL式交模05扶亨密钥械第一制二隹胃如下圉；犷上第m静肃csagum.於&式昂声闻硝 疝嬴 便祗.苣帮T酒餐擅性乏择*起方 晌应方看十耳南一个第三房四个消孰下图；工区总 UP 乂目1 11：发起方 照应古（身份认证环节加密，HASH_I和HASH_R是预共享密钥。）（1）阶段二：协商建立IPSec SA,用于实际的安全协议（AH或ESP）,保护实际通信内容。第二阶段的消息由第一阶 段建立起来的安全关联来保护；阶段一为阶段二交换的所有消息提供源验证，完整性和秘密

17、性的保护；是通过快速模 式来建立的。阶段二协商出来的安全参数是供AH或ESP使用。参数存放在安全关联里。阶段1（主模式）一最后两条消息k后在条消息用于实现认证.认证方式不同, Nt据包格式也不同阶段2建立IPSec安全关联数宇签名认证1映耳IHJF阶段2建立IPSec安全关联数宇签名认证1映耳IHJF盆瞽标说PJi H； Wft* IHKV MIKR加t专密铺崂证主播后西十萧总：=-=： i A7快速交换慢式通过三条希里完成一个IPSKSA协商*A侨商内容-外加率茸:去且含艳割号呼葬）f? V证宵会普主许的同解佃朗干宇节J4）加甯幅亡偏筋或寤值：ISAKMP报文依靠什么传输层哪个协议传送，采用

18、的端口是多少UDP、500ESP和AH能否抵抗重放攻击？采用什么方法？ESP和AH都提供抗重放攻击，头部都有序列号字段。使用MAC实现完整性认证的原理？发送方流程/接收方流程IPSec工作模式：传输模式和隧道模式I（原IPv4分组原IP头标TC联标数据加上AHc标后的IPv4分组.原ip头标ahostc联标rW卜以讦范闱（iP n柝中印变域除外）-加上ES脂的IPv4分组 ES摩荷 F原IP头标ES映标TCPfe 标数据ESP1 标ES耿证数据L一刀口道范围.认证范围加上AHc标后的IPv4分组新IP头标AHfe标原IP头标TCPfe 标数据认证范围（新IP头标中可变域除外）力上ES脂的IPv

19、4分组E ESP荷 新IP头标ESPfe标|原IP头标TC映标数据ESP1 标ES新证数据卜加密范围才.认证范围h传输模式：IPSec模块安装于两个端主机，AH和ESP只处理IP有效负载，并不修改原来的IP协议报头，只保护IP头。优点：在于每个数据包只增加了少量的字节。缺点：IP报头是以明文方式传输的，因此很容易遭到某些通信 量分析攻击。隧道模式：IPSec处理模块安装于两个网关之间，原来的整个IP包都受到保护，并被当作一个新的IP包的有效载荷。优点：不用修改任何端系统就可以获得IP安全性能。隧道模式同样还可以防止通信量分析攻击。缺点：增大了 网管处理负荷，容易形成通信瓶颈，对内部的诸多安全问

20、题不可控。AH数据格式：提供完整性保护无论传输模式或隧道模式，AH头都将紧跟在一个IP头之后。AH的协议代号是51。数据到接收方有没有被篡改，看认证数据，在IPSec中一般是96bit （HMAC -MD5和HMAC -SHA1者B是），是IPSec规定的必须实现的两个完整性验证的方法。使用IPSec, IP头标后插入 AH或ESP头标，IP变为51或50 （AH或ESP）相应的数字，AH头标中的下一个头 标编程第三个头标的内容对应的数值。之前没有使用IPSec的时候，IP头标中存放的就是第三个内容对应的数值。净荷长度：后面数据的长度。Spi:安全关联参数索引。安全关联存储的是供AH、ESP使

21、用的密钥。安全关联 SA是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定：安全参数索引SPI,目的地址，安全协、议。SA是单向的（A到B和B到A的参数不同），SA是协议相关的（AH或ESP） , SA保存在安全关联数 据库SADB中。安全关联是通信双方所协商的安全策略的一种描述。AH协议和ESP协议可以通过安全关联组合使用。Spi和序列号都是协商安全关联的时候产生的，序列号初值0每访问一个数据包初值 +1.n 士七百n 士七百ifx外刁文即岩片：7.安全策略与安全关联（1）安全策略：安全策略决定了为一个包提供的安全服务。IPSec将安

22、全策略保存在安全策略数据库SPD中。在SPD中，每个条目包含一组 IP地址和上层协议字段，IP包的外出和进入处理都要以安全策略为准。（2）安全关联：安全关联SA是IPSec用于跟踪某一个特定IPSec通信会话所涉及的细节问题的一种方法。安全关联可以由一个三元组惟一确定： 安全参数索引 SPI,目的地址，安全协议。SA是单向的，SA是协议相关的（AH或 ESP） , SA保存在安全关联数据库 SADB中。安全关联是通信双方所协商的安全策略的一种描述。AH协议和ESP协议可以通过安全关联组合使用（3）安全参数索引（SPI）存在于IPSec协议头内，SPI是惟一的，被当作 AH或ESP头的一部分传送

23、给接收方。目 标IP地址决定了安全关联方向。安全协议标示符由AH或ESP二选一。（4）安全关联可分为IPSec SA和IKE SA , IKE SA描述两个IKE设备使用的安全参数。SA的管理包才SA创建和SA创建。在IPSec环境中，SA的管理通过IKE协议完成。建立过程：如果安全策略要求建立安全、保密的连接，但 却找不到相应的 SA, IPSec的内核便会自动调动IKE , IKE会与目标主机或者途中的主机 /路由协商具体的SA。（5）SA选择符：每一个SPD条目由一组IP地址和更高层协议字段值规定，称为 SA选择器或SA选择符。选择符 是从网络层和传输层头内提取出来的。包含内容有：目的I

24、P地址、源IP地址、UserID （操作系统中的用户标识，此字段只能在IKE协商期间使用，不能在包处理期间使用）、IPSec协议、传输层协、源端口 /目的端口。第四章SSL与TLS. SSL的协议位置SSL介于面向连接的传输层协议 TCP和应用层协议之间。. SSL协议的体系结构如何（分两层，主要协议的功能）协议分为两层底层：SSL记录协议，为上层协议提供基本的安全业务。上层：SSL握手协议、SSL修改密码说明协议、SSL警告协议，用于 SSL交换过程的管理。SSL记兼协议SSL记兼协议口建立在可A种样檎协（如 TCP之上口它提供性搂安全擀,市眄 个林益口意餐也.使用HMM，洋口前来封装商展的

25、协议口*甯黄以可的SL握手仲叔客户和报导科之同傕考公捐 裳法相互上别口/商加罟烹金士雷钳它提法生曝宗全性.有殉个 特点口身播暴驯.至少计一方宾 费学舸.史可M支股向赛 用口博商得到的赛事需朝北安 令的，中闾人不能够知道. SSL协议的工作模式（从认证的角度考虑）有哪几种？广泛使用的是哪种?会话和连接记录协议改变密码规范协议告警协议握手协议.认证模式不同，握手协议过程中的消息会有不容.握手协议协商出哪些密钥.记录协议的Contenttype类型可取值为什么，各代表什么. https、Ftps代表什么？使用的端口号是多少？被 SSL 保护的 http （443） 、 FTP. SSL握手协议. V

26、PN的概念VPN是利用共享的公用网络建立特定用户数据传输通道，提供端到端的、有一定安全和服务质量保证的数据通信 服务的网络技术。.内部网VPN、外部网VPN、远程访问VPN.各适用于什么样的应用环境.什么是隧道技术？其核心是什么采用隧道技术（Tunnelling）,对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道 传输。隧道，实质上是一种封装，是将一种协议封装在另一种协议中传输，从而实现内部网络协议对公用网络的 透明性。隧道在VPN中的作用：负责隧道的建立、保持和拆除对数据进行封装，传输，解封。提供数据完整性和机密性等安全服务。.二层 VPNPPTP L2TP 等MP

27、LS协议.三层VPNIPSec GRE.高层VPNSSL VPN. SSL VPN 和IPSec VPN有什么区另. PPTP VPN 和IPSec VPN有什么区另、TCP连接.建立TCP连接时，客户端的端口号多是随机的；服务器端的端口号 是固定的：http-80, https-443, ftp -21 , ftps-990, smtp-25, pop-110.套接字（Socket）:是支持TCP/IP协议的网络通信的基本操作单元，是不同主机间进程进行双向通信的端点。跨机应用进程之间要在网络环境下进行通信，必须要在网络的每一端都要建立一个套接字（IP, PORT）分类：面向连接的流套接字TC

28、P协议，无连接的数据报套接字UDP协议。工作方式：C/S方式，是主动请示方式，服务器先启动。HTTPS:运行在 SSL之上的安全 HTTP版本，端口号 443。安全套接字：使数据加密传输（如SSL）.怎样标识同一个主机上的不同的应用程序？IP头中包含源和目的IP地址；TCP头中包含源和目的端口号。. TCP连接（即Socket）是用一对端点来标识。端点即（host,port）, host:主机地址；port:主机上的应用程序所对应的端口号。.搭建 Web服务器：IIS、Apache,通过（IP server, PORT server）定义到服务器。面向连接的应用程序流程图（Openssl编程改

29、进的Socket面向连接的应用程序流程图（Openssl编程改进的Socket编程）SSL安全套接层协议. SSL协议：提供传输层的安全服务，独立于应用层，传输层采用 TCP协议提供可靠服务:. SSL协议的位置：SSL介于面向连接的传输层协议 TCP和应用层协议之间。fPSecSSLSSL肛I 0&TCFIPIFSccwLotvctI口viy aners. SSL体系结构：两层上层：握手协议（建立客户与服务器之间的安全通道，用于在客户与服务器之间建立安全连接之前交换安全信息， 包括双方的相互认证，交换密钥参数）、改变密码规范协议 （改变密码参数）、告警协议（对端指示其安全错误）下层：记录协议

30、（确定数据安全传输模式，采用记录协议封装以上三种协议或应用层数据。记录类型Contenttype :20-改变密码规范，21-告警，22-握手，23-应用层数据）上层协议作为记录协议的载荷部分进行传输，上层依赖于下层）. SSL协议的工作模式（从认证的角度考虑）有哪几种？广泛使用的是哪种？认证模式不同，握手协议过程中的消息会有不同。模式一：客户端和服务器都被验证。模式二：只验证服务器，不验证客户端，是目前应用最广泛的模式。模式三：客户和服务器都不被验证，也称完全匿名方式，SSL协议不鼓励模式三。模式四：回复一个已存在的会话，该模式的握手过程较简单。.握手协议协商出哪些密钥？加密数据的密钥、产生

31、 MAC值的密钥.会话和连接SSL连接：连接是指一种适合服务的传输。连接是短暂的，每个连接和一个会话联系。SSL会话：是一个客户和一个服务器之间的关联。一个会话可以被多个连接所使用。（压缩、加密和MAC算法，以及（压缩、加密和MAC算法，以及待决状态，包含了握手协议协商好的参数，未使用；当前操作状态，包含了 SSL记录协议正在使用的参数。每种状态又可分为读（接收）和写（发送）两种状态。Id白Wifler（会诘标识符:现匕位信字下尽列，周乂禄归一个活动限口揖沽的 Id白Wifler（会诘标识符:现匕位信字下尽列，周乂禄归一个活动限口揖沽的 feei CertlllLdte工实件L1工）:一今K5

32、WV3正节,可力工.GoiTfxesstonmetiiMi （士的耳士:M神画也仃被抵压现随法,口伊日和ec ：忙也观:指明到搪件U建的H法l三.或泗善J 一，鼻揭及刘虫：便DSUtSHA 1,用于计耳般 一园挣它学如陋:厚长再MhsLu aecrei.（主直胡）:明早节N糖-在口改口决rwi二间共工,E rounidible （是否可榭I）:-个哧志，而睹海；工话至占能用于日一个新逢抵.Ienl arid servei即xJani;.awt. *j为灾d/Rjiiik 岫羯施,防11地七匚弭tret:Serve* write key;正箸土 -tlUj比所制定加（Writ* MAC，式Ml：

33、Udit,.炉密三三司不用俄月EE* Clprrt Mite k=y;if罟FI& 1里船时使斗甘则郭出当3推地专升CEtf式Fl,折一寸子持保H-Tk首兵由蚤1_4岫&10 Pr如El声生/以后保甯每次国卮的击交计推 作为】*Sequence均一方为彳一个连装的ihrt送=持购物护的藤庠号:.万八.三二哆：,rr.-. ：11 c; -.1 H- .* 兰三1：-，最会话状态包含（存储）的参数连接状态包含（存储）的参数会话状态包含（存储）的参数连接状态包含（存储）的参数会话状态存储的参数：主密钥、压缩算法、会话ID会话状态存储的参数：主密钥、压缩算法、会话ID、证书连接状态存储的参数：加密密

34、钥、MAC连接状态存储的参数：加密密钥、MAC密钥、初始向量、序列号.记录协议记录协议用了描述 SSL信息交换过程中的记录格式。 是SSL的底层协议，在SSL中所有数据都封装在记录协议中， 格式：记录头+数据。服务：保密性（利用握手协议所定义的共享密钥对SSL载荷payload加密）；完整性（利用握手协议所定义的共享的MAC密值来生成报文的鉴别码 MAC ）。发送方：对信息进行分段，数据压缩（可选），生产MAC值，加密数据（含 MAC值），添加SSL记录协议报头。（PS: MAC晕死先于加密运算，即先认证后加密）接收方：解密数据，校验 MAC ,对数据解压缩（在需要时使用），对数据进行重组。.

35、握手协议（新建会话、回复会话）是SSL中最复杂的一部分，使得服务器和客户端能够相互验证身份，并协商加密和MAC算法、保密密钥等一系列安全参数。握手协议本质上是一个密钥交换协议，握手协议由客户和服务器之间的一系列消息交换来完成。握手消 息共有10种，除Finished消息外，所有其他握手消息都以明文传送。握手协议由以下几部分组成：协商数据传送期间使用的密码组（密钥交换方法、加密算法、 MAC生成算法）建立和共享客户与服务器之间白会话密钥（加密密钥、MAC生成密钥）客户认证服务器（可选）服务器认证客户（可选）（1）握手过程必须出现的握手协议消息类型：Client_hello:客户启动握手请求，该消

36、息是当客户第一次连接服务器时向服务器发送的第一条消息。该消息中包括客户端支持的各种算法，若服务器不能支持，则本次会话可能失败。Server_hello:其结构与Client_hello消息相似，该消息是服务器对客户端Client_hello消息的回复。Server_Hello_done :该消息表明服务器端的握手请求报文已发送完毕，正在等待客户端的响应。客户端收到该消息时，将检查服务器提供的证书及其他参数是否有效。Client_Key_Exchange :客户密钥交换。当客户不使用证书时，需要使用该消息来交换密钥。Finished：该消息在 修改密码规约”消息之后发送，已证实握手过程已经成功完

37、成。该消息需要在两个方向传送。阶段一：建立安全能力两条消息：Client_hello和Server_hello ,由客户端发起。Client_hello消息参数：协议版本、随机数、会话ID、密码组、压缩方法。密码组的参数：密钥交换方法、Cipher_Spec （数据传输加密算法、MAC算法、密码类型、可出口、散列长度、密钥材料、IV大小）。阶段二：服务器认证和密钥交换，最多四条消息，最少一条，全由服务器发送。Certificate 证书消息、ServerKey_Exchange 服务器密钥交换消息、Certificate_request 证书请求消息、 Server_done 服务器完成消息（

38、单项认证时二三条不用）阶段三：客户端认证和密钥交换，最多三条消息，最少一条，全由客户端发送。Certificate证书消息：服务器发送证书请求消息时，客户端发送自己的证书。Client_Key_exchange客户端密钥交换消息，必须消息。Certificate_Verify证书验证消息。（单项认证时一三条不用）阶段四：完成连接的设置 ，四条消息Change_Cipher_Spec改变密码规范消息：由客户端发起。Finished消息：握手完成，开始应用层数据交换。* 11m、一1!qqhf. g4l 4V 1149 1LI1 庭子协议述全新盘部描月如延侬任,（阴影不是必须的消息）握手过程：客户

39、和服务器的握手过程是指建立一个会话或恢复一个会话的过程。在这一过程中，客户和服务器都 建立新的会话的会话状态或使用已存在的会话的会话状态。但是每次握手都生成新的加密密钥、MAC密钥、IVS,并将这些参数作为当前连接状态中的元素。握手时机：在客户和服务器之间建立一个连接，就必须进行握手过程。每次握手都存在一个会话和一个连接，连 接一定是新的，会话可能是新的，也可能是已存在的（通过Session_id表示）SSL握手协议可以恢复一个会话过程以建立新连接，并说明在此种模式下新计算出哪些参数，继承了哪些参数？寻户串口 aw害户。Fr.jsf-edE 5闻pM dpt串口 aw害户。Fr.jsf-edF

40、hlyJwd当客户发送ClentH*肖JM九 耳巾的SMS0iJd是梦愎复 i话的网於g ijdrW 国道板复一个盘话建立连接时.这一斯的连传魅求这小套下的E箱耳走.忘的承至.T祕声.蒋希格工下箱汩吐印阳?11口,，2!阿601rwHHdrando皿二%和 当着雕质上龙钥阿35旬4：1那来产生透连接使用随出. Mah则加1四。SSL VPN 和 IPSec VPN 的比较?I.IPsec VPN多用于 网一网”连接，SSL VPN用于 移动客户一网”连接。SSL VPN的移动用户使用标准的浏览 器，无需安装客户端程序，即可通过SSL VPN隧道接入内部网络;IPSec VPN的移动用户需要安装

41、专门的IPSec客户端软件。（SSL内嵌在浏览器中）2.IPsec VPN对所有的IP应用均透明；而SSL VPN保护基于 Web的应用更有优势。3.SSL VPN用户不受上网方式限制，SSL VPN隧道可以穿透 Firewall;而IPSec客户端需要支持 “ NA穿透”功能才能穿透 Firewall 。第五章电子邮件安全协议、电子邮件概论.电子邮件服务系统的工作方式：存储-转发方式（不是端到端方式）.电子邮件服务工作模式：用户代理UA负责和用户打交道，接受用户的指令，传送报文。报文传送代理则完成邮件交换工作。羯出 战） *1 fflLm蓑窗生电；强幺I客户1用户代理g L；邮件队5L ：心

42、唾区J曲瓦盆廊画斗二用户薛箱一 对傅 朋分港.常用的电子邮件协议：简单邮件传输协议 SMTP、邮局协议版本三 POP3、因特网消息访问协议版本四文本电子邮件标准 RFC822、多用途因特网邮件扩展协议MIME 。MTAIMAP4 、.常用的安全电子邮件协议：S/MIME、PEM、PGP MTAIMAP4 、.安全电子邮件工作模式：安全电子邮件的发送必须经过邮件签名和邮件加密两个过程（先签名后加密），对于接收到的安全电子邮件则需要邮件解密和邮件验证两个过程。.实验三过程 中，使用S/MIMIE 发送安全电子邮件， 发送方和接收方的配置如何？发送签名和加密邮件的步骤？ 有邮件客户端工具，各有一个可

43、使用的账户，要给邮箱账户配置一个证书导入系统，配置账户并将申请好的安全电子 邮件证书配置到邮箱账户中，要给对方发送加密邮件需要有对方的公钥。以加密邮件为例，步骤 1发送端向接收端发送获取邮箱证书的请求，接可邮件自己的公钥证书给发2发在自己的主机验证并导入接的证书 3写邮件，正文附件收件人4选择邮件客户端工具的加密功能选择收件人的证书发送即可。. S/MIME为数字签名定义哪几种格式，有无使用限制？签名都是透明签名（可以查看邮件正文但是验证不了签名，因为没有发送者的公约证书）（用浏览器打开可以看到正文，签名文件.p7s验证不了）（若采用加密.p7m的方式用浏览器看不了）. Base64编码原理将

44、任意格式的字节流编码为可打印的ASCII字符，其基本原理是连续的 3个输入字节（3*8 ）映射为4个6位值（4*6 ）输出，并且用可打印的字符来表示这些6位值。用途：发送邮件用 SMTP协议只能传送7位白ASCII码，所以必须进行编码转换。. PGP 与 S/MIME 比较：.都可以发送安全电子邮件2.S/MIME认证基于X.509 V3证书格式，PGP只有公私钥对没有证书。.PGP采用了分布式的认证模式，适合于公众领域和内部网络用户之间的安全信息交流，而且PGP保留了用户的个人电子邮件安全服务的选择。S/MIME采用基于CA的集中式认证模式，更适合于电子商务、政府机关、公司企业之间等对身份认

45、证要求比较高的领域。.都支持加密、身份认证，都使用base64编码第六章安全电子商务协议 SET子商务按交易对象分类，可分为哪几种模式，SET协议支持哪种模式？按交易对象分类：企业与消费者之间的电子业务B2C,企业与企业自己的电子业务 B2B,消费者与消费者之间的电子业务C2C,企业与政府方面的电子业务B2G。ET协议的参与者有哪些？各自需要什么样的配置？参与主体：用户（持卡人），商家，收款银行，（发款银行，CA,支付网关）。持卡人：一个公钥证书即可，用户签名证书（私钥签名，公钥验证签名）。安装一套符合SET协议标准的钱包软件，从发卡银行获取一张信用卡 /银行卡，从身份认证机构获取一张数字证书

46、。网络商家：需要两个证书，一个签名证书，一个加密证书。安装一套符合SET标准的商家软件，在收款银行开有自己的收款账户，从身份认证机构获取一张数字证书。发卡银行：为持卡人建立账户，发放支付卡，负责持卡人身份认证，同时从事发放数字证书的各项审核工作。收款银行：需要两个证书，一个签名证书，一个加密证书。为商家建立一个银行账户，处理支付卡的授权和付款 事宜。支付网关：需要两个证书，一个签名证书，一个加密证书。安装一套符合SET标准的网关软件，与收款银行交易处理主机建立符合ISO 8583报文格式的通信，从身份认证机构获取一张数字证书。认证中心CA:安装一套符合 SET标准的CA软件，绝对安全的运作与管

47、理。ET中如何发送支付信息持卡人将支付信息（加密）PI和订购信息OI 一起发送给商家，由商家转发支付信息给银行。两者可以分离，但不能简单分离，这两个信息必须采用必要的方式连接起来，以解决可能出现的争端。ET的关键技术双重签名（定义），生成过程（要求有公式）。定义：发送者寄出两个相关信息给接收者，对这两组相关信息，接收者只能解读其中一组，另一组只能转送给第三方 接收者，不能打开看其内容。主要应用于SET协议中，可以连接发送给不同接受者的报文。公式：DS=EKC （H （H （PI） | H （OI） ） ） 。 KC持卡者的私钥， PIMD支付摘要，OIMD 订购摘要，POMD支 付订购才S要，

48、DS双重签名（三次哈希一次加密，签名的内容包含两部分）一个B to C的电子商务应用过程，参与方为持卡人、商家和结算银行。当持卡人登录商务网站，提出申请购物时，持卡人要签名两组信息：向商家直接购物信息和向银行提出付款信息。但持卡人不希望商家知道他的银行相关信息，也持卡用尸生成购买请求的过程:rm石底七询重覆化含话片相心用1H持卡用尸生成购买请求的过程:rm石底七询重覆化含话片相心用1H上卓匕凹：丈乩:掩_抽 心工四仃的仙也.用户产生的购买请求报文包括哪些内容？ （3部分）1证书2订购信息（加双重签名保证完整性，订购信息，支付摘 要验证签名）3支付信息+双重签名+订购摘要存在数字信封中，数字 信

49、封由临时会话密钥和银行公钥生成.商家收到购买请求后怎么处理？验证用户证书。通过持卡用户证书中的CA签名来验证用户的证书；验证双向签名。使用持卡用户证书中的公开密钥来验证双向签名， 以验证定购信息的完整性；转发支付信息。将支付信息转交给支付网关进行“支付认可”；向持卡用户发送购买响应”报文。报文中包含一个响应数据块包含 了相应的交易ID用于确认定购，商家对数据块进行签名， 再加上签名证 书一起发送给用户。7.SET与SSL机制的比较：SET是应用层协议，SSL在应用层和传车层之间。SET适用于转发支付信息。将支付信息转交给支付网关进行“支付认可”；向持卡用户发送购买响应”报文。报文中包含一个响应数据块包含 了相应的交易ID用于确认定购，商家对数据块进行签名， 再加上签