18
a) login block-for 300 attempts 3 within 60 (60秒内连续三次登陆失败,拒绝登陆5分钟) b) login on-success log every 3 (每三次登陆成功 尝试就发送一个syslog信息) login on-failure log every 4 (每四次登陆失败尝试就发送一个syslog信息) c) login delay 10 (在两次登陆尝试之间加入10秒的延时)
17 一个双重签名是通过计算两个消息的消息摘要 产生的,并将两个摘要连接在一起,用持卡人的私 有密钥对消息摘要加密。 双重签名的产生过程:
1. 持卡人产生订单信息OI和付款指示PI的消息摘要H(OI)和 H(PI); 2. 连接消息摘要H(OI)和H(PI)得到消息OP; 3. 生成OP的消息摘要H(OP);
4. 用持卡人的私有密钥加密H(OP)得到双重签名Sign(H(OP)), 持卡人将双重签名Sign(H(OP))包含在消息中以保证接收者能 够验证。持卡人发送给商家的消息为 ( OI,H(PI), Sign(H(OP)) ,即:订单信息,付款指示摘要和双重签名; 持卡人发送给银行的消息为(PI,H(OI),Sign(H(OP)) ,即 :付款指示,订单消息摘要和双重签名。
双重签名的验证过程
商家所能看到的信息有:订单信息OI、付款指示PI的 消息摘要H(PI)、订单信息OI和付款指示PI的双重签 名Sign(H(OP));
银行所能看到的信息有:付款指示PI、订单信息OI的 消息摘要H(OI)、订单信息OI和付款指示PI的双重签 名Sign(H(OP))。
在安全交易过程中,持卡人只与商家打交道。付款指示PI由持卡人发送给商家,再由商家转发给支付网关,付款指示PI由持卡人使用支付网关的公钥加密,只有支付网关才能用自己的私钥解密。为了便于商家验证持卡人付款指示PI的真实性,商家所能看到的只是付款指示PI的消息摘要H(PI),而不是付款指示PI本身。
16非对称加密算法与对称加密算法的区别:
1)用于消息解密的密钥值与用于消息加密的密钥值不同;
2)非对称加密算法比对称加密算法慢数千倍,但在保护通信安全方面,非对称加密算法却具有对称加密算法难以企及的优势。 优缺点:
对称加密算法:数据加密标准,速度较快,适用于加密大量数据的场合。 对称式加密就是加密和解密使用同一个密钥。
非对称式加密就是加密和解密所使用的不是同一个密钥,通常有两个密钥,称为“公钥”和“私钥”,它们两个必需配对使用,否则不能打开加密文件。
这里的“公钥”是指可以对外公布的,“私钥”则不能,只能由持有人一个人知道。它的优越性就在这里。
设计如何组合使用?:用非对称算法加密对称算法的密钥,然后用那个被加密的密钥,利用对称算法加密实际的大段明文
15 使用公钥加密体制 示意图
14
a)parser view myTest (创建一个view名为”myTest”)
b)commands exec include show (”myTest” view只允许用户使用show命令)
13 Router(config)#enable password apple ;Router(config)#enable secret kiwi 这两条配置命令的区别,如果同时配置了这条命令,路由器会执行哪一条命令? 两条命令都是设置进入特权模式的密码
答:Router(config)#enable password apple (以明文形式显示的) Router(config)#enable secret kiwi (以密文形式显示的)
当同时设置了,路由器会执行Router(config)#enable secret kiwi 这条命令 12 VPN主要采用四项技术来保证安全
隧道技术(Tunneling)、 加解密技术(Encryption & Decryption)、
密钥管理技术(Key Management)、 使用者与设备身份认证技术(Authentication)。 11 HASH函数必须具备两个基本特征:单向性 和 碰撞约束。 单向性是指其的操作方向的不可逆性,在HASH函数中是指 只能从输入推导出输出,而不能从输出计算出输入; 碰撞约束是指 不能找到一个输入使其输出结果等于一个已知的输出结果 或者 不能同时找到两个不同的输入使其输出结果完全一致。 一个函数只有同时严格的具备了这样的特性,我们才能认可这样的一个HASH。
-----------------------------------------------分隔符-------------------------------------------
哈希好算法的特点:输入; 输出;容易计算;单向性
哈希算法的安全性:抗弱碰撞性 ;抗强碰撞性 ;雪崩效应
哈希函数也称散列函数、杂凑函数等,是一种单向密码体制,即只有加密过程,不存在解密过程。
-----------------------------------------------分隔符-------------------------------------------
10 OSI安全系结构定义的五类服务
认证服务、访问控制服务、数据保密性服务、数据完整性服务和抗否认性服务。
9 PPP常用的认证协议
HDLC 高级数据链路控制---作为在点对点的链路上封装数据报的基本方法 LCP 链路控制协议--用来建立、配置和测试数据链路 NCP 网络控制协议--用来建立和配置不同的网络层协议
------------------------ PPP(点对点协议)认证方式
1)口令验证协议(PAP) 2)挑战-握手验证协议(CHAP)
------------------------- 8
7 访问控制的常见实现方法有哪些? 访问控制列表(ACL)
访问能力表(capabilities) 授权关系表
6 IDEA和RC5特点
国际数据加密算法IDEA(International Data Encryption Algorithm) IDEA算法是一种典型的对称加密算法。
是一种密钥长度为128位(输入明文64位,生成的密文为64位)的分组密码算法,这种算法既可以用于加密,也可以用于解密,具有代码量少、运行速度快、安全性高等特点。(或下图)
