網(wǎng)絡安全基礎應用與標準(第3版)復習題答案

1、網(wǎng)絡安全基礎 應用與標準書后思考題答案第一章：1、什么是osi安全體系結構？(p6) 一、2安全攻擊 安全機制 安全服務2、被動和主動安全威脅之間有什么不同？(p6)被動攻擊的本質(zhì)是竊聽或監(jiān)視數(shù)據(jù)傳輸；主動攻擊包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加3列出并簡要定義被動和主動安全攻擊的分類？(p6)被動攻擊：內(nèi)容泄漏和流量分析；主動攻擊：假冒，重放，改寫消息，拒絕服務4、列出并簡要定義安全服務的分類？(p9)認證，訪問控制，數(shù)據(jù)機密性，數(shù)據(jù)完成性，不可抵賴性5、列出并簡要定義安全機制的分類？(p11-12)加密，數(shù)字簽名，訪問控制，數(shù)據(jù)完整性，可信功能，安全標簽，事件檢測，安全審計跟蹤，認證交換，流

2、量填充，路由控制，公證，安全恢復。第二章：1、對稱密碼的基本因素是什么？(p23)明文，加密算法，秘密密鑰，密文，解密算法2、加密算法使用的兩個基本功能是什么？(p24)替換和重排3、兩個人通過對稱密碼通信需要多少個密鑰？(p24) 一、31個4、分組密碼和流密碼的區(qū)別是什么？(p33)流密碼是一個比特一個比特的加密，分組密碼是若干比特（定長）同時加密。比如des是64比特的明文一次性加密成密文。密碼分析方面有很多不同。比如流密碼中，比特流的很多統(tǒng)計特性影響到算法的安全性。密碼實現(xiàn)方面有很多不同。比如流密碼通常是在特定硬件設備上實現(xiàn)。分組密碼既可以在硬件實現(xiàn)，也方便在計算機上軟件實現(xiàn)。5、攻擊

3、密碼的兩個通用方法是什么？密鑰搜索和窮舉方法7、什么是三重加密？(p28)在這種方式里，使用三個不同的密鑰對數(shù)據(jù)塊進行三次加密，三重des的強度大約和112-bit的密鑰強度相當。三重des有四種模型。（a）使用三個不同密鑰，順序進行三次加密變換（b）使用三個不同密鑰，依次進行加密-解密-加密變換（c）其中密鑰k1=k3,順序進行三次加密變換（d）其中密鑰k1=k3，依次進行加密-解密-加密變換8、為什么3des的中間部分是解密而不是加密？(p29)3des加密過程中的第二步使用的解密沒有密碼方面的意義。它的唯一好處是讓3des的使用者能夠解密原來單重des使用者加密的數(shù)據(jù)9、鏈路層加密和端到

4、端加密的區(qū)別是什么？(p41)對于鏈路層加密，每條易受攻擊的通信鏈路都在其兩端裝備加密設備。所以通信鏈路的所有通信都受到保護，提供了較高的安全性。對于端到端加密，加密過程在兩個端系統(tǒng)上實現(xiàn)。源主機和終端加密數(shù)據(jù)，該數(shù)據(jù)以加密過的形式，通過網(wǎng)絡不可變更地傳輸?shù)侥康牡亟K端或者主機。10、列出將密鑰分發(fā)給通信雙方的方法。(p42)1.通過物理方法傳遞。2.依靠第三方通過物理方式傳遞給通信雙方。3.一方用舊密鑰加密新密鑰傳遞給另一方。4.采用“密鑰分發(fā)中心kdc”通過加密鏈路傳遞給通信雙方。11、會話密鑰和主密鑰的區(qū)別是什么？(p42,p312)主密鑰（master key）是被客戶機和服務器用于產(chǎn)生

5、會話密鑰的一個密鑰。這個主密鑰被用于產(chǎn)生客戶端讀密鑰，客戶端寫密鑰，服務器讀密鑰，服務器寫密鑰。主密鑰能夠被作為一個簡單密鑰塊輸出會話密鑰是指：當兩個端系統(tǒng)希望通信，他們建立一條邏輯連接。在邏輯連接持續(xù)過程中，所以用戶數(shù)據(jù)都使用一個一次性的會話密鑰加密。在會話和連接結束時，會話密鑰被銷毀。12、什么是密鑰分發(fā)中心？(p43)密鑰分發(fā)中心判斷那些系統(tǒng)允許相互通信。當兩個系統(tǒng)被允許建立連接時，密鑰分發(fā)中心就為這條連接提供一個一次會話密鑰。第三章：1、列舉消息認證的三種方法：(p48)單向散列函數(shù)，消息認證碼mac，利用常規(guī)加密的消息認證2、什么是mac：(p49)一種認證技術。利用私鑰產(chǎn)出一小塊數(shù)

6、據(jù)，并將其附到消息上。這種技術稱為消息驗證碼。3、簡述圖3.2所示的三種方案：(p50) 一、6a使用傳統(tǒng)加密。b.使用公鑰加密。c.使用秘密值。4、對于消息認證，散列函數(shù)h必須具有什么性質(zhì)才可以用：(p51)1 h可使用于任意長度的數(shù)據(jù)塊2 h能生成固定長度的輸出3 對于任意長度的x，計算h（x）相對容易，并且可以用軟/硬件方式實現(xiàn)4對于任意給定值h,找到滿足h(x)=h的x在計算機上不可行。5對于任意給定的數(shù)據(jù)塊x,找到滿足h（y）=h(x)，的y=!x在計算機上是不可行的。6找到滿足h（x）=h(y)的任意一對（x,y）在計算機上是不可行的。5、對于散列函數(shù)的內(nèi)容，壓縮函數(shù)是什么：(p5

7、6)壓縮函數(shù)也具有散列函數(shù)的特征，具有抗碰撞能力的壓縮函數(shù)可以被用來設計成消息認證方法。whirlpool算法就是采用aes分組加密方法使用于壓縮函數(shù)。6、公鑰加密系統(tǒng)的基本組成元素是什么？(p59)明文，加密算法，公鑰和私鑰，密文，解密算法7、列舉并簡要說明公鑰加密系統(tǒng)的三種應用：(p60) 一、7加密/解密，數(shù)字簽名，密鑰交換8、私鑰和密鑰之間有什么區(qū)別：(p60)傳統(tǒng)加密算法中使用的密鑰被特別地稱為密鑰，用于公鑰加密的兩個密鑰被稱為公鑰和私鑰。私鑰總是保密的，但仍然被稱作私鑰而不是密鑰，這是為了避免與傳統(tǒng)加密混淆。9、什么是數(shù)字簽名：(p67)a想給b發(fā)送消息，b收到密文時，她能夠用a的

8、公鑰進行解密，從而證明這條消息確實是a加密的，因為沒有其他人擁有a的私鑰，所以其任何人都不能創(chuàng)建由a的公鑰能夠解密的密文。因此，整個加密的消息就成為一個數(shù)字簽名。10、什么是公鑰證書：(p67) 一、9公鑰證書由公鑰加上所有者的用戶id以及可信的第三方簽名的整個數(shù)據(jù)塊組成。11、公鑰加密如何用來分發(fā)密鑰：(p69)1準備消息2利用一次性傳統(tǒng)會話密鑰，使用傳統(tǒng)加密方法加密消息3利用對方的公鑰，使用公鑰加密的方法加密會話密鑰4把加密的會話密鑰附在消息上，并且把他發(fā)送給對方第四章：1、設計kerberos是為了解決什么問題？(p78) 一、11假設在一個開放的分布式環(huán)境中，工作站的用戶希望訪問分布在

9、網(wǎng)絡各處的服務器的服務。我們希望服務器能夠?qū)⒃L問權限限制在授權用戶范圍內(nèi)，并且能夠認證服務請求。2、在網(wǎng)絡或互聯(lián)網(wǎng)上，與用戶認證有關的三個威脅是什么？(p78)1）、一個用戶可能進入一個特定的工作站，并冒充使用那個工作站的其他用戶2）、一個用戶可能改變一個工作站的網(wǎng)絡地址，使得從此工作站發(fā)出的請求好像是從被偽裝的工作站發(fā)出的3）、一個用戶可能竊聽信息交換，并使用重放攻擊來獲取連接服務器，或者是破壞正常操作。3、列出在分布式環(huán)境下進行安全用戶認證的三種方式：(p79)1.依靠每個用戶工作站來確認用戶或用戶組，并依靠每個服務器通過給予每個用戶身份的方法來強制實施安全方案2.要求服務器對用戶系統(tǒng)進行

10、認證，在用戶身份方面信任用戶系統(tǒng)3.需要用戶對每個調(diào)用的服務證明自己的身份，也需要服務器向用戶證明他們的身份4、對kerberos提出的四點要求是什么？(p79)安全，可靠，透明，可伸縮5、一個提供全套kerberos服務的環(huán)境由那些實體組成？(p86)一臺kerberos服務器，若干客戶端和若干應用服務器6、在kerberos環(huán)境下，域指什么？(p86)一個提供全套服務的kerberos 環(huán)境，包括一臺kerberos 服務器、若干臺客戶端和若干應用服務器的這種環(huán)境被稱為kerberos域。7.kerberos版本4和版本5的主要區(qū)別由那些？(p88)版本5要解決版本4在兩方面的局限：環(huán)境上

11、有6個方面的不足和技術上有5個方面的缺陷。(請例舉)。8、x.509標準的目的是什么？(p93)1、x.509定義了一個使用x.500目錄向其用戶提供認證服務的框架2、x.509是一個重要的標準，因為、x.509中定義的證書結構和認證協(xié)議在很大環(huán)境下都會使用。3、x.509最初發(fā)布于、1988年4、x.509基于公鑰加密體制和數(shù)字簽名的使用。9、什么叫證書鏈？（p95-p96）在多個ca認證中心之間需要相互認證各自的用戶時，由各個ca認證中心相互認證的證書，形成一個證書鏈，通信雙方通過這個證書鏈取得相互信任。10怎樣撤銷x.509證書？(p97)每一個存放在目錄中的證書撤銷列表都由證書發(fā)放者簽

12、名，并且包括：發(fā)放者的名稱，列表創(chuàng)建日期，下一個crl計劃發(fā)放日期和每一個被撤銷證書的入口。當用戶從消息中得到證書時，必須要確定證書是否被撤銷。用戶可以在每次收到證書時檢查目錄。為了避免由目錄搜索帶來的延遲，用戶可以維護一個記錄證書和被撤銷證書列表的本地緩存。第五章：1、pgp提供的5種主要服務是什么？(p109) 一、12 認證(數(shù)字簽名)，保密(消息加密)，壓縮，電子郵件兼容和分段。2、分離簽名的用途是什么？(p110)分離簽名可以與其簽名的消息分開存儲和傳送，這在許多情況下都有用：1用戶的要求；2防止病毒；3可以多方簽名。3、pgp為什么在壓縮前生成簽名？(p111)1.對未壓縮的消息進

13、行簽名可以保存未壓縮的消息和簽名供未來驗證時使用；2.即使有人想動態(tài)地對消息重新壓縮后進行驗證，用pgp現(xiàn)有的壓縮算法仍然會比較困難。4、什么是基-64轉(zhuǎn)換？(p112)將一組三個8比特二進制數(shù)據(jù)映射為4個ascii碼字符，同時加上crc校驗以檢測傳送錯誤。5、電子郵件應用為什么使用基-64轉(zhuǎn)換？(p112)使用pgp時，要對數(shù)據(jù)進行加密。加密得到的數(shù)據(jù)可能是由任意的8比特字節(jié)流組成。然而許多電子郵件系統(tǒng)僅僅允許使用由ascii碼組成的數(shù)據(jù)塊。為適應這個限制，pgp提供了將8比特二進制流轉(zhuǎn)換為可打印的ascii碼字符的功能。6、pgp為什么需要分段和重組？(p113)電子郵件工具通常限制消息的

14、最大長度。未來適應這個限制，pgp自動將長消息分段，使之可以通過電子郵件發(fā)送。分段在所以其他操作（包括基-64轉(zhuǎn)換）治好進行。因此，會話密鑰和簽名部分僅在第一個分段的開始出現(xiàn)。7、pgp如何使用信任關系？(p119)pgp的信任關系由 “密鑰合法性域”、“簽名信任域”、“所有者信任域”這三個域構成。經(jīng)過三步流程(寫出三個流程的過程)，周期性的處理公鑰獲得一致性。8、rfc 822是什么？(p121) 一、13rfc 822定義了一種電子郵件傳輸?shù)奈谋鞠⒏袷?，這是一種被廣泛使用的基于互聯(lián)網(wǎng)傳遞的文本郵件標準。包括信封和內(nèi)容兩部分(寫出這兩部分內(nèi)容)。9、mime是什么？(p122) 一、14是

15、指多用途網(wǎng)際郵件擴展是對rfc 822框架的擴展，用于解決關于電子郵件的smtp，簡單郵件傳輸或其他郵件傳輸協(xié)議和rfc 822存在的一些問題和局限性。10、s/mime是什么？(p121)是基于rsa數(shù)據(jù)安全性，對互聯(lián)網(wǎng)電子郵件格式標準mime的安全性增強。雖然pgp和s/mime都基于ietf標準，但s/mime側重于適合商業(yè)和團體使用的工業(yè)標準.第六章：1、舉出一個應用ipsec的例子：(p143)1.路由器廣播；2.鄰居廣播；3.重定向報文；4.路由更新未被偽造。(詳細寫出一個即可)2、ipsec提供那些服務？(p145)訪問控制，無連接完整性，數(shù)據(jù)源認證，拒絕重返包，保密性，受限制的

16、流量保密性3、那些參數(shù)表示了sa，那些參數(shù)表現(xiàn)了一個特定sa的本質(zhì)？(p146)由安全參數(shù)索引、ip目的地址、安全協(xié)議標識三個參數(shù)確定一個sa。由“序列號計數(shù)器，序列計數(shù)器溢出，反重放窗口，ah信息，esp信息，此安全關聯(lián)的生存期，ipsec 協(xié)議模式，最大傳輸單元路徑”等參數(shù)表示一個特定的sa。4、傳輸模式與隧道模式有何區(qū)別？(p148) 傳輸模式是對ip數(shù)據(jù)包的載荷(上層協(xié)議)、ipv6報頭的擴展部分進行保護和認證；隧道模式是對整個內(nèi)部ip包、ipv6報頭的擴展部分進行保護和認證。5、什么是重放攻擊？(p149) 一、15重放攻擊就是一個攻擊者得到了一個經(jīng)過認證的包的副本，稍后又將其傳送到

17、其希望被傳送到的目的的站點的攻擊。6、為什么esp包括一個填充域？(p153)esp格式要求填充長度和鄰接報頭域為右對齊的32比特的字，同樣，密文也是32比特的整數(shù)倍，填充域用來保證這樣的排列。7、捆綁sa的基本方法是什么？(p156)1.傳輸鄰接：這種方法指在沒有激活隧道的情況下，對一個ip包使用多個安全協(xié)議。2.隧道迭代：指通過ip隧道應用多層安全協(xié)議。8、oakley密鑰確定協(xié)議和isakmp在ipsec中起到什么作用？(p158)ipsec的密鑰管理部分包括密鑰的確定和分發(fā)。分手動密鑰管理和自動密鑰管理兩種類型。oakley和isakmp就是ipsec的自動密鑰管理協(xié)議。第七章：1、圖

18、7.1給出的三種方法的各自優(yōu)點是什么？(p177)采用ipsec方法的優(yōu)勢是在網(wǎng)絡層上實現(xiàn)安全，對于終端用戶和應用是透明的，用戶和應用程序不必考慮安全機制。采用ssl/tls方式的優(yōu)勢是在傳輸層上實現(xiàn)安全傳輸，在web拂去其和web客戶端嵌入該安全方法，就能夠保證互聯(lián)網(wǎng)上實現(xiàn)且安全的訪問。而采用諸如pgp、set等方法的優(yōu)勢是可以針對特定的需求和應用，定制特別的安全機制。該機制是在應用層上實現(xiàn)安全訪問。2、ssl由那些協(xié)議組成？(p178圖7.2) 一、18ssl記錄協(xié)議，ssl握手協(xié)議，ssl密碼變更規(guī)格協(xié)議，ssl報警協(xié)議。(詳細寫出)3、ssl連接和ssl會話之間的區(qū)別是什么？(p178

19、)連接是一種能夠提供合適服務類型的傳輸。會話：ssl會話是客戶與服務器之間的一種關聯(lián)。4、列出定義ssl會話狀態(tài)的參數(shù)，并簡要給出各參數(shù)的定義：(p179)會話標識符，對等證書，密碼規(guī)格，主密鑰，可恢復性。(要寫出定義)5、列出定義ssl會話連接的參數(shù)，并簡要給出各參數(shù)的定義：(p179)服務器和客戶端隨機數(shù)，服務器寫mac密鑰，客戶端寫mac密鑰，服務器寫密鑰，客戶端寫密鑰，初始化向量，序列號。(要寫出定義)6、ssl記錄協(xié)議提供了那些服務：(p179-180)機密性和消息完整性。(要寫出定義)7、ssl記錄協(xié)議執(zhí)行過程中涉及到那些步驟？(p180)先將數(shù)據(jù)分段成可操作的塊，然后選擇壓縮或不

20、壓縮數(shù)據(jù)，再生成mac，加密，添加頭并將最后的結構作為一個tcp分組送出。8、列出set的主要參與者，并簡要給出他們的定義：(p194-195)持卡者：在待膩子環(huán)境下，消費者與公司客戶是通過互聯(lián)網(wǎng)上的個人計算機與商家發(fā)生聯(lián)系的。商家：商家是能夠售賣貨物或服務給持卡者的個人或組織。發(fā)卡機構：發(fā)卡機構是能夠為持卡者提供支付卡的金融機構。代理商：代理商是為了商家建立帳戶并處理支付卡認證與支付事物的金融機構。支付網(wǎng)關：是代理商或指定第三方運作的專門處理商家支付信息的功能設施認證機構：是一個為持卡者，商家和支付網(wǎng)關簽發(fā)x.509v3公鑰證書的可信實體。9、什么是雙重簽名？其目的是什么？(p196)雙重簽

21、名是set協(xié)議中，保證發(fā)出的訂單信息oi與相對應的致富信息pi是唯一對應的。消費者使用簽名：ds=e（prc,h(h(pi)|h(oi)）；商家使用簽名：h(pimd|hoi);d(puc,ds)；銀行驗證簽名：h(hpi|oimd);d(puc,ds)。這樣三方都可以證明該項交易真實性。第八章：1、把網(wǎng)絡管理體系結構視為一個整體的意義是什么？(p205)網(wǎng)絡管理系統(tǒng)將整個網(wǎng)絡視為一個統(tǒng)一的體系結構，并為系統(tǒng)中的各個點分配地址和標簽，為系統(tǒng)所知的每個部件和鏈路分配特定的屬性。網(wǎng)絡中的主動部件會定期的將其狀態(tài)信息反饋給網(wǎng)絡控制中心。2、snmp模型中的關鍵元素是什么? (p205-206) 一、

22、20管理站，管理代理，管理信息庫，網(wǎng)絡管理協(xié)議3、什么是mib？(p206)為了管理網(wǎng)絡 中的資源，snmp使用客體來描述每個資源?？腕w的本質(zhì)是數(shù)據(jù)變量，它描述管理代理在某一個方面的屬性?？铺氐募蠘嫵闪薽ib,mib的功能是作為管理站在代理上的訪問點集合。4、snmpv1提供那些基本功能和命令？(p206) 一、21get, set, notify5、snmp委托代理的功能是什么？(p207-208)對于沒有安裝snmp的設備進行網(wǎng)絡管理，稱之為“委托代理”。是采用“管理站查詢”“委托代理轉(zhuǎn)發(fā)”“代理設備應答”“委托代理設陷井告知管理站”的流程工作的。6、簡要解釋snmpv1的共同體概念？(

23、p211)是一個snmp代理和一組snmp管理器之間的關系，共同體定義了認證，訪問控制和委托代理特性。7、snmpv1,snmpv2和snmpv3之間的關系是什么？(p205、p209、p213)snmpv1是具備網(wǎng)絡管理的基本功能；snmpv2增強了v1版的功能，如可以管理分布式網(wǎng)絡、支持用非tcp/ip協(xié)議簇的其他協(xié)議、支持本地代理協(xié)議關系等等；snmpv3則在安全性能上做了增強。8、usm模型用來預防什么威脅？(p221)信息更改，偽裝，消息流更改，信息泄漏9、授權引擎與非授權引擎之間的區(qū)別是什么？(p222)能接受包含需要應答的載荷的snmp消息包的接受者為授權引擎；不能接受者為非授權

24、引擎；能發(fā)送不需要應答的載荷的snmp消息包的發(fā)送者為授權引擎；不能發(fā)送者為非授權引擎。10、什么是密鑰本地化？(p225)為用戶和授權的snmp引擎之間共享的秘密密鑰。11、列出并簡要定義構成vacm的元素？(p228)主體，安全級別，安全模型，客體實例，訪問類型。第九章：1、列出并簡要定義三類入侵者？(p237) 一、22假冒用戶，違法用戶，隱秘用戶2、用于保護口令文件的兩種通用技術是什么？(p239) 一、23單向函數(shù)，和訪問控制3、入侵防御系統(tǒng)可以帶來那三個好處？(p240)1、如果足夠快地檢測到入侵行為，就可以在入侵者危害系統(tǒng)或者危機數(shù)據(jù)安全之前將其鑒別并驅(qū)逐出系統(tǒng)。2有效的入侵檢測

25、系統(tǒng)是一種威懾力量，能夠起到防護入侵者的作用。3入侵檢測可以收集入侵技術信息，這些信息可以用于增強入侵防護系統(tǒng)的防護能力。4、統(tǒng)計異常檢測和基于規(guī)則的入侵檢測之間有那些區(qū)別？(p243, p245)“統(tǒng)計異常檢測”是依據(jù)對正常/合法的行為進行檢測，當檢測到超出正常范圍時就認為發(fā)生了入侵行為；而“基于規(guī)則的檢測”則是對非法行為進行檢測，發(fā)現(xiàn)非法的行為即認為發(fā)生壞了入侵行為。5、對于基于行為曲線的入侵檢測來說，采用什么尺度是有益的？(p243)可以按照“計數(shù)器”、“計量器”、“間隔計時器”、“資源使用情況”這幾個尺度來衡量入侵行為。6、基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測之間有什么不同？(p245)異常檢測是建立一個用戶過去的行為規(guī)則統(tǒng)計庫，以這個數(shù)據(jù)庫為標準，不滿足該數(shù)據(jù)庫的行為都是入侵行為。