动,则A信任B。在PKI中,我们可以把这个定
义具体化为:如果一个用户假定CA可以把任一
公钥绑定到某个实体上,则他信任该CA。
4.有哪4种常见的信任模型?
1。认证机构的严格层次结构模型
认证机构(CA)的严格层次结构可以被描绘为一棵倒置的树,根代表一个对整个PKI系统的所有实体都有特别意义的CA—-通常叫做根CA(Root CA),它充当信任的根或“信任锚(Trust Anchor)”——也就是认证的起点或终点。
2。分布式信任结构模型
分布式信任结构把信任分散在两个或多个CA上.也就是说,A把CA1作为他的信任锚,而B可以把CA2做为他的信任锚。因为这些CA都作为信任锚,因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA。
3。Web模型
Web模型依赖于流行的浏览器,许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组CA,浏览器用户最初信任这些CA并将它们作为证书检验的根.从根本上讲,它更类似于认证机构的严格层次结构模型,这是一种有隐含根的严格层次结构。
4。以用户为中心的信任模型
每个用户自己决定信任哪些证书.通常,用户的最初信任对象包括用户的朋友、家人或同事,但是否信任某证书则被许多因素所左右。
9.CA有哪些具体的职责?
•验证并标识证书申请者的身份。
•确保CA用于签名证书的非对称密钥的质量.
•确保整个签证过程的安全性,确保签名私钥的安全性.
•证书材料信息(包括公钥证书序列号、CA标识等)的管理。
•确定并检查证书的有效期限。
•确保证书主体标识的惟一性,防止重名。
•发布并维护作废证书表(CRL)。
•对整个证书签发过程做日志记录。
•向申请人发通知.
其中最为重要的是CA自己的一对密钥的管理,它必须确保高度的机密性,防止他方伪造证书。
第十五章IP的安全
一、选择题
二、问答题
1。IPSec和IP协议以及VPN的关系是什么?
IPSec是一种由IETF设计的端到端的确保IP层通信安全的机制。不是一个单独的协议,而是一组协议.IPSec是随着IPv6的制定而产生的,后来也增加了对IPv4的支持.在前者中是必须支持的,在后者中是可选的。
IPSec作为一个第三层隧道协议实现了VPN通信,可以为IP网络通信提供透明的安全服务,免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击,同时保持易用性.
2.IPSec包含了哪3个最重要的协议?简述这3个协议的主要功能?
IPSec众多的RFC通过关系图组织在一起,它包含了三个最重要的协议:AH、ESP、IKE。
(1)AH为IP数据包提供如下3种服务:无连接的数据完整性验证、数据源身份认证和防重放攻击。数据完整性验证通过哈希函数(如MD5)产生的校验来保证;数据源身份认证通过在计算验证码时加入一个共享密钥来实现;AH报头中的序列号可以防止重放攻击.
(2)ESP除了为IP数据包提供AH已有的3种服务外,还提供数据包加密和数据流加密。数据包加密是指对一个IP包进行加密(整个IP包或其载荷部分),一般用于客户端计算机;
数据流加密一般用于支持IPSec的路由器,源端路由器并不关心IP包的内容,对整个IP包进行加密后传输,目的端路由器将该包解密后将原始数据包继续转发。
AH和ESP可以单独使用,也可以嵌套使用。可以在两台主机、两台安全网关(防火墙和路由器),或者主机与安全网关之间使用。
(3)IKE负责密钥管理,定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法.IKE将密钥协商的结果保留在安全联盟(SA)中,供AH和ESP以后通信时使用。解释域(DOI)为使用IKE进行协商SA的协议统一分配标识符.
第十六章电子邮件的安全
一、问答题
1。电子邮件存在哪些安全性问题?
1)垃圾邮件包括广告邮件、骚扰邮件、连锁邮件、反动邮件等.垃圾邮件会增加网络负荷,影响网络传输速度,占用邮件服务器的空间。