安全与认证Week3 Tutorial+历年题补充

news2024/11/24 14:51:02

目录

1) 什么是重放攻击?

2)什么是Kerberos系统?它提供什么安全服务?

3)服务器验证客户端身份的一种简单方法是要求提供密码。在Kerberos中不使用这种身份验证,为什么?Kerberos如何对服务器和客户机进行身份验证?

4) Kerberos的四个要求是什么?Kerberos系统中使用什么机制来实现这些需求?

5)什么是公钥证书?说明证书包含哪些信息

6)定义X.509标准。给出三个证书在到期前应被撤销的理由? 如何撤销X.509证书?(“撤销”另一种问法:证书颁发机构(ca)如何保持所有用户的最新有效性并避免无效密钥?)

7)什么是IPsec?为什么它很重要?

8)IPsec的两种操作方式是什么?他们如何实现对流量分析的保护?

9)列出IPSec提供的服务。

10)在IPSec中,什么是解释域(DOI)?

11)在IPSec中,传输模式和隧道模式有什么区别? 简要介绍IPSec中隧道模式和传输模式的工作原理。

12)用来表征特定SA性质的参数是什么?

13)Oakley密钥确定协议和ISAKMP在IPsec中的作用是什么?

14)在防火墙中,什么是电路级网关?用图表支持你的答案

15)列出防火墙用于控制访问和实施安全策略的两种技术。


1) What is a replay attack?

1) 什么是重放攻击?

        It is when an attacker re-uses a valid sequence of data in order to access a particular service.

        它是指攻击者为了访问特定服务而重用有效的数据序列。

  

2) What is Kerberos system? What security services does it provide?

2)什么是Kerberos系统?它提供什么安全服务?

        • Kerberos is a centralised authentication service designed for use in a distributed environment.

        •Kerberos是专为在分布式环境中使用而设计的集中式身份验证服务。

        • It makes use of a trusted third-party authentication service that enables clients and servers to establish authenticated communication. Also, it provides access control.

        •它利用可信的第三方认证服务,使客户端和服务器能够建立身份验证通信。此外,它还提供访问控制。

  

3) A simple way for a server to authenticate a client, is to ask for a password. In Kerberos this authentication is not used, why? How does Kerberos authenticate the server and the clients?

3)服务器验证客户端身份的一种简单方法是要求提供密码。在Kerberos中不使用这种身份验证,为什么?Kerberos如何对服务器和客户机进行身份验证?

        • The main security weakness is that the password is transmitted. So anybody eavesdropping can get hold of it.

        •主要的安全弱点是密码会被传输。这样任何窃听者都能得到它。

        • A better way is: the client request from the server a “service granting ticket”. The client sends the request for using the server, and the user’s ID. The server, which knows the users password, creates a session key using the user’s password. Using this session key, the server sends the ticket granting a service. The client asks the user for his/her password, generates the session key and recovers the ticket. The password is never transmitted between server-client.

        •一个更好的方法是:客户端从服务器请求一个“服务授予票证”。客户端发送使用服务器的请求,以及用户的ID。服务器知道用户的密码,使用用户的密码创建会话密钥。使用此会话密钥,服务器发送授予服务的票证。客户端向用户询问密码,生成会话密钥并恢复票据。密码永远不会在服务器-客户端之间传输。

  

4) What are the four requirements for Kerberos? What mechanisms are used within Kerberos systems to achieve those requirements?

4) Kerberos的四个要求是什么?Kerberos系统中使用什么机制来实现这些需求?

RequirementMechanism
Secure

Provided by the secure steps, mostly achieved by using conventional encryption. 

AUTHENTICATION is an alternative answer. 

ReliableDistributed architecture. Uses mirrored system backups. 
Transparent

Limitation of user interaction to the authentication with the client

 (password, or other methods). 

ScalablePrinciple of Kerberos realms.
要求机制
安全所提供的安全步骤,大多是通过使用常规加密实现的。身份验证是另一种解决方案。
可靠分布式体系结构。使用镜像系统备份。
透明限制用户与客户端的身份验证交互(密码或其他方法)。
可伸缩Kerberos领域原理。

  
5) What is a public-key certificate? Explain what information a certificate contains

5)什么是公钥证书?说明证书包含哪些信息

        It is used to authenticate public-keys of users. A public--key certificate consists of a public—key, the user ID of the key owner and the whole block signed by the trusted third party, is signed and acreated by a certificate authority, and is given to the participant. A participant conveys its key information to another by transmitting its certificate. Other participants can verify that the certificate was created by the authority.

        用于验证用户的公钥。公钥证书由公钥、密钥所有者的用户ID和可信第三方签名的整个区块组成,由证书颁发机构签名和创建,并提供给参与者。参与者通过传输其证书将其密钥信息传递给另一个参与者。其他参与者可以验证证书是由权威机构创建的。

  

6) Define the X.509 standard. Give three reasons why a certificate should be revoked before its expiry date? How is an X.509 certificate revoked? (How can Certification Authorities (CAs) maintain an up-to-date validity of all users and avoid invalid keys?)

6)定义X.509标准。给出三个证书在到期前应被撤销的理由? 如何撤销X.509证书?(“撤销”另一种问法:证书颁发机构(ca)如何保持所有用户的最新有效性并避免无效密钥?)

i)

        • X.509 defines a framework for the provision of authentication services by the X.500 directory to its users.

        • the public key of a user and is signed with the private key of a trusted certification authority.

        • The X.509 defines alternative authentication protocols based on the use of public-key certificates.

        X.509定义了一个框架,用于X.500目录向其用户提供认证服务。

        用户的公钥,并使用可信证书颁发机构的私钥签名。

        X.509定义了基于使用公钥证书的可选认证协议。

ii)

        · User’s Private-Key has been compromised

        · Certification Authority has been compromised

        · User is no longer certified by this Authority

        ·用户私钥被泄露

        ·证书颁发机构已被入侵

        ·用户不再获得该机构的认证

iii)

        • Each CA must maintain a certificate revocation list (CRL) consisting of all revoked certificates issued by that CA.

        • The list is signed by the issuer and includes the issuer’s name, the date the list was created, the date the next CRL is scheduled to be issued, and an entry for each revoked certificate. Each entry consists of the serial number of a certificate and revocation date for that certificate.

        • The user could check the CRL list each time a certificate is received to determine the certificate is not revoked.

        • DRAW A DIAGRAM FOR X.509 STACK AND THE CRL?

        • 每个CA必须维护一个证书撤销列表(CRL),其中包含由该CA颁发的所有已撤销证书。

        • 该列表由颁发者签名,并包括颁发者的名称、创建列表的日期、计划颁发下一个CRL的日期以及每个被吊销证书的条目。每个条目由证书的序列号和该证书的撤销日期组成。

        • 用户可以在每次收到证书时检查CRL列表,以确定证书未被吊销。

        • 绘制x.509堆栈和crl?

  

7) What is IPsec?  Why is it significant?

7)什么是IPsec?为什么它很重要?

        • IPSec stands for IPSecurity as it protects IP packets

        •IPSec代表IPSecurity,用于保护IP报文

        • It is vital for providing additional security at the IP layer, and protects packets of all applications including security-ignorant applications

        •它对于在IP层提供额外的安全性至关重要,并保护所有应用程序的数据包,包括不了解安全的应用程序

        • It provides: confidentiality, authentication, or both for IP packets.

        •为IP包提供:机密性、身份验证或两者兼有。

  

8) What are the two modes of operations in IPsec? How can they achieve protection against traffic analysis?

8)IPsec的两种操作方式是什么?他们如何实现对流量分析的保护?

        • Tunnel Mode: protects entire packet.

        •隧道模式:保护整个报文。

        • Transport Mode: protects payload.  ESP provides protection against traffic analysis.

        •传输模式:保护有效载荷。ESP提供针对流量分析的保护。

        * In tunnel mode ESP provides protection against traffic analysis where the host on the internet networks use the Internet transportof data but do not interact with other Internet-based hosts.

        *在隧道模式下,ESP提供流量分析保护,其中internet网络上的主机使用internet传输数据,但不与其他基于internet的主机交互。

        * In Transport Mode, ESP only protects the payload, hence the IP header will not be hidden (limited protection against traffic analysis).

        *在传输模式下,ESP只保护有效载荷,因此IP头不会被隐藏(对流量分析的有限保护)。

  

9) List the services provided by IPSec.

9)列出IPSec提供的服务。

        Access control - 访问控制

        Connectionless integrity - 无连接完整性

        Data origin authentication - 数据来源认证

        Rejection of replayed packets - 拒绝重放的数据包

        Confidentiality (encryption) - 机密性(加密)

        Limited traffic flow confidentiality - 有限的流量机密性

  

10) In IPSec, what is the domain of interpretation (DOI)?

10)在IPSec中,什么是解释域(DOI)?

        Contains values to relate the different specifications of the protocol 

        包含值来关联协议的不同规范

        Identifiers for encryption and authentication algorithms 

        加密和身份验证算法的标识符

        Operational parameters, key lifetimes, key exchange, etc. 

        操作参数、密钥寿命、密钥交换等方面的参数

  

11) In IPSec, what is the difference between transport mode and tunnel mode? Briefly explain how the Tunnel and Transport Modes operate in IPSec. 

11)在IPSec中,传输模式和隧道模式有什么区别? 简要介绍IPSec中隧道模式和传输模式的工作原理。

i)

        Transport mode: Provides protection primarily for upper-layer protocols. That is, transport mode protection extends to the payload of an IP packet. 

        Tunnel mode: Provides protection to the entire IP packet.

        传输模式:主要为上层协议提供保护。也就是说,传输模式的保护范围延伸到了IP数据包的负载。

        隧道模式:为整个IP数据包提供保护。

ii)

        Transport mode, in this mode the load of the datagram is encrypted (ESP) or authenticated (AH) depending which protocol is used.

        Tunnel mode the whole IP packet is encrypted (ESP) or authenticated (AH).    This mode can be used to create a virtual private network VPN.

        传输模式,在此模式下,根据使用的协议,对数据报的负载进行加密(ESP)或身份验证(AH)。

        隧道模式对整个IP报文进行ESP (encryption)或AH (authenticated)加密。该方式可用于创建虚拟私网VPN。

  

12) What are the parameters used to characterize the nature of a particular SA?

12)用来表征特定SA性质的参数是什么?

        Sequence Number Counter(序列号计数器)

        Sequence Counter Overflow(序列计数器溢出)

        Anti-Replay Window(防重放窗口)

        AH Information(身份验证头信息)

        ESP Information(封装安全有效负载信息)

        Lifetime of this Security Association(安全关联的生命周期)

        IPSec Protocol Mode(IPSec协议模式)

        Path MTU(路径最大传输单元)

  

13) What are the roles of the Oakley key determination protocol and ISAKMP in IPsec?

13)Oakley密钥确定协议和ISAKMP在IPsec中的作用是什么?

        ISAKMP by itself does not dictate a specific key exchange algorithm; rather, ISAKMP consists of a set of message types that enable the use of a variety of key exchange algorithms. 

        ISAKMP本身不规定特定的密钥交换算法;相反,ISAKMP由一组消息类型组成,使得可以使用各种密钥交换算法。

        Oakley is the specific key exchange algorithm mandated for use with the initial version of ISAKMP. 

        Oakley是在ISAKMP的初始版本中规定使用的具体密钥交换算法。

  

14) In Firewalls, what is a circuit-level gateway? Support your answer with a diagram

14)在防火墙中,什么是电路级网关?用图表支持你的答案

电路层网关器
AKA Network Address Translation (NAT) 网络地址转换(NAT)
Translates the addresses of internal hosts in order to hide them from the
outside world. 转换内部主机的地址,以便对外部世界隐藏它们。

(图:不是端到端的TCP连接,而是中继它们。在自身和内部主机以及自身和外部主机之间建立两个连接。)

  

15) List two techniques used by firewalls to control access and enforce a security policy.      Explain each of them.

15)列出防火墙用于控制访问和实施安全策略的两种技术。

        • Service control: Determines the types of Internet services that can be accessed, inbound or outbound.     The firewall may filter traffic on the basis of IP address and TCP port number;      may provide proxy software that receives and interprets each service request before passing it on; or may host the server software itself, such as a Web or mail service.

        •服务控制:决定可以访问的Internet服务类型,包括入站和出站。防火墙可以根据IP地址和TCP端口号对流量进行过滤;可以提供代理软件,接收和解释每个服务请求,然后再传递;或者可以托管服务器软件本身,例如Web或邮件服务。

        • Direction control: Determines the direction in which particular service requests may be initiated and allowed to flow through the firewall.

        •方向控制:确定特定服务请求可能被发起和允许流过防火墙的方向。

        • User control: Controls access to a service according to which user is attempting to access it. This feature is typically applied to users inside the firewall perimeter (local users). It may also be applied to incoming traffic from external users;    the latter requires some form of secure authentication technology, such as is provided in IPSec.

        •用户控制:根据试图访问服务的用户来控制对服务的访问。此特性通常应用于防火墙边界内的用户(本地用户)。它也可以应用于来自外部用户的传入流量;后者需要某种形式的安全身份验证技术,例如IPSec所提供的技术。

        • Behaviour control: Controls how particular services are used.  For example, the firewall may filter e-mail to eliminate spam, or it may enable external access to only a portion of the information on a local Web server.

        •行为控制:控制特定服务的使用方式。例如,防火墙可以过滤电子邮件以消除垃圾邮件,或者它可能只允许外部访问本地Web服务器上的部分信息。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1361018.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python IDE Pycharm服务器配置方法并结合内网穿透工具实现远程开发

文章目录 一、前期准备1. 检查IDE版本是否支持2. 服务器需要开通SSH服务 二、Pycharm本地链接服务器测试1. 配置服务器python解释器 三、使用内网穿透实现异地链接服务器开发1. 服务器安装Cpolar2. 创建远程连接公网地址 四、使用固定TCP地址远程开发 本文主要介绍如何使用Pych…

位移贴图还原电影3D角色

在线工具推荐: 3D数字孪生场景编辑器 - GLTF/GLB材质纹理编辑器 - 3D模型在线转换 - Three.js AI自动纹理开发包 - YOLO 虚幻合成数据生成器 - 三维模型预览图生成器 - 3D模型语义搜索引擎 位移贴图(Displacement Map)在电影制作中是一…

Databend 的安装配置和使用

介绍 Databend 是一个内置在 Rust 中的开源、弹性和工作负载感知的云数据仓库,为 Snowflake 提供了具有成本效益的替代方案,专门对最大的数据集进行复杂分析而设计。 性能: 在存储对象上,能快速进行数据分析。没有索引和分区&a…

扩展 apiserver 连接认证 ip, apiserver证书更新

本文来自我的博客地址 文章目录 问题场景:问题分析:问题解决:查看 apiserver 证书支持的 ip 或 host使用 openssl 生成证书:再次查看 apiserver 证书支持的 ip 或 host 再次尝试将 master 加点加入参考 问题场景: k8s 1.28.1 集群后期新增 vip apiserver 证书不支持 vip 引入…

【LLM】大型语言模型:2023年完整指南

Figure 1: Search volumes for “large language models” 近几个月来,大型语言模型(LLM)引起了很大的轰动(见图1)。这种需求导致了利用语言模型的网站和解决方案的不断开发。ChatGPT在2023年1月创下了用户群增长最快…

工智能基础知识总结--导出SVM要优化的问题

导出SVM要优化的问题 对于上图中这样一个二分类线性可分问题,期望找到一个分类超平面将正负类分开,SVM就是一个用来寻找这样的分类超平面的算法。 定义正负类的标签分别为1、-1,分类超平面的表达式为 f ( x ) = w T x + b f(x)=w^Tx+b

vue的插值语法,vue指令系统,style和class

官网:https://cn.vuejs.org/ 文档3:https://cn.vuejs.org/ 文档2:https://v2.cn.vuejs.org/ M-V-VM架构 mvvm 前端vue架构 M:model 数据层 V:view 用户视图层 VM:viewmodel 连接数据和视图…

技术概述:ARMv8体系结构

John Goodacre, Director Program Management ARM Processor Division, November 2011 背景:ARM体系结构 从ARM精简指令集体系结构提出到现在已经有20多年了;ARMv7系列处理器是在ARMv4基础上设计的,随着ARMv7系列处理器大量应用&#xff0…

每天一杯羊奶,让身体更健康

每天一杯羊奶,让身体更健康 羊奶作为一种天然的健康饮品,越来越受到人们的关注和喜爱。它不仅口感醇厚,营养丰富,而且具有独特的保健功效。今天,小编羊大师带大家详细介绍一下每天喝一杯羊奶对身体的好处。 羊奶中的…

首发!全志T527第一款核心板,高性能8核处理器带AI NPU

今天,米尔电子联合战略合作伙伴全志科技,隆重发布第一款T527核心板及开发板。基于全志T527高性能可选AI功能MPU,配备八核A55高性能处理器,RISC-V协处理器,支持2Tops NPU,满足边缘智能AI加速应用&#xff1b…

“奶茶妹妹”章泽天被曝生双胞胎,偷拍照流出

♥ 为方便您进行讨论和分享,同时也为能带给您不一样的参与感。请您在阅读本文之前,点击一下“关注”,非常感谢您的支持! 文|猴哥聊娱乐 编辑|侯欢庭 去年九月的某一天,一位网友在国外的一家商场偶遇了章泽天和刘强东…

QT5.14 实现ModbusTCP客户端 Demo

本文在QT5.14平台,基于QModbusClientTcp类,实现了客户端对单个寄存器的读写,用ModbusSlave做服务器做测试。 1.界面 (1)更改读按钮的名称为bt_Read (2)更改写按钮的名称为bt_Write 2.修改pro文件的第三行 greaterThan(QT_MAJOR_VERSION, 4)…

13. 强化学习编程实验1-在格子世界中寻宝(1)

文章目录 1.实验目的2.任务描述3.任务分析3.1 待求问题是多步决策问题否3.2 问题求解过程是一个马尔科夫决策过程3.3 状态空间S的确定3.4 动作空间A的确定3.5 状态转移概率P的确定3.6 立即回报R的确定3.7 折扣 γ \gamma γ的确定 4. 编程架构4.1 程序中有哪些对象和类4.2 环境…

网络摄像机的网络连接

网络摄像机的网络连接 1. 网络连接2. 网络直通线和网络交叉线的制作方法References 1. 网络连接 网络摄像机完成安装后,需要进行功能的配置及参数的设置,您可以通过浏览器进行相关功能的配置。 有线网络连接 左侧为通过网络直通线连接的示意图&#x…

注水算法—功率分配

最近一直在学习一位学姐的知乎文章,文章链接放到下面了。 无线通信多用户MISO系统的发射功率最小化问题 这里面涉及到了注水算法,为了学习的更明白,写这篇博客方便以后能快速记起,如果内容有问题的地方,欢迎在评论区…

ref hook之useRef

一、useRef useRef函数: 1.一个参数:默认值 2.返回一个固定的对象(对象的地址是不会变化的),{current: 值} import React, { useState } from reactexport default function App() {const inpRef React.createRef(…

深入理解Vue3中的自定义指令

Vue3是一个流行的前端框架,它引入了许多新特性和改进,其中之一是自定义指令。自定义指令是一种强大的功能,可以让开发者在模板中直接操作 DOM 元素。本文将深入探讨 Vue3中的自定义指令,包括自定义指令的基本用法、生命周期钩子函…

C#,归并排序算法(Merge Sort Algorithm)的源代码及数据可视化

归并排序 归并算法采用非常经典的分治策略,每次把序列分成n/2的长度,将问题分解成小问题,由复杂变简单。 因为使用了递归算法,不能用于大数据的排序。 核心代码: using System; using System.Text; using System.Co…

用友U8 Cloud smartweb2.RPC.d XML外部实体注入漏洞

产品介绍 用友U8cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型、集团型企业,提供企业级云ERP整体解决方案。它包含ERP的各项应用,包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理&#…

PHPStudy快速搭建网站并结合内网穿透远程访问本地站点

文章目录 [toc]使用工具1. 本地搭建web网站1.1 下载phpstudy后解压并安装1.2 打开默认站点,测试1.3 下载静态演示站点1.4 打开站点根目录1.5 复制演示站点到站网根目录1.6 在浏览器中,查看演示效果。 2. 将本地web网站发布到公网2.1 安装cpolar内网穿透2…