廣工網(wǎng)絡(luò)安全考綱及答案

1、第1章(約10%)/1、安全措施的目標主要有哪些？訪問控制、認證、完整性、審計、保密1、安全攻擊可分為哪兩大類？請分別舉例。(1)被動攻擊。還可以分為被動竊聽：明文傳輸?shù)挠脩裘涂诹钚畔τ诖祟惞魜碚f簡直易如反掌。用交換技術(shù)或加密技術(shù)通信流量分析：攻擊者發(fā)現(xiàn)兩個公司之間網(wǎng)絡(luò)流量很大，則發(fā)現(xiàn)可能他們之間進行重組談判。(填充技術(shù)和蔥式路由技術(shù))(2)主動攻擊：涉及數(shù)據(jù)流修改或創(chuàng)建錯誤流。方式：假冒、重放、欺騙、消息篡改、拒絕服務(wù)。2、攻擊的主要方式有哪幾類？(1)利用系統(tǒng)缺陷(操作系統(tǒng)漏洞網(wǎng)絡(luò)協(xié)議缺陷)(2)利用用戶淡薄的安全意識(假冒系統(tǒng)郵件釣魚網(wǎng)站特殊“利益”誘惑)(3)內(nèi)部用戶的竊密、泄密

2、和破壞(管理松懈、權(quán)限不分)(4)惡意代碼(來自Internet的不明“共享軟件”或網(wǎng)頁腳本)(5)口令攻擊和拒絕服務(wù)(弱口令)3、網(wǎng)絡(luò)安全威脅的類型有哪些？(1)竊聽或者嗅探(2)假冒(3)重放(4)流量分析(5)破壞完整性(6)拒絕服務(wù)(7)資源非授權(quán)使用(8)特洛伊木馬(9)病毒(10)誹謗4、什么是安全服務(wù)？一一認證、訪問控制、數(shù)據(jù)機密性、數(shù)據(jù)完整性和非否認服務(wù)的意義。答：安全服務(wù)：指采用一種或多種安全機制以抵御安全攻擊。認證：有兩種類型分別為實體認證(口令認證)和數(shù)據(jù)源認證(數(shù)據(jù)簽名技術(shù))訪問控制：保護信息未有被授權(quán)就訪問。數(shù)據(jù)機密性：服務(wù)確保只有經(jīng)過授權(quán)的實體才能理解受保護的信息。

3、數(shù)據(jù)完整性：保護信息免于被惡意篡改、插入，刪除和重放。非否認服務(wù)：收發(fā)者不行否認。4、常用的安全機制有哪些？安全服務(wù)與安全機制的關(guān)系。有：1.加密2.信息完整性3.數(shù)字簽名4.身份認證交換5.流量填充6.路由控制7.訪問控制8.公證關(guān)系：安全服務(wù)和安全機制是密切聯(lián)系的，因為安全機制或安全機制組合就是用來提供服務(wù)的.一種機制也可以被應(yīng)用于一種或更多種類的服務(wù)中第2章(約15%)1、對稱加密的原理。加密/解密用的是同一把密鑰。消息空間中的消息M(稱之為明文)通過由加密密鑰K1控制的加密算法加密后得到的密文C.密文C通過解密密鑰K2的解密算法有可恢復原始明文M.2、熟練掌握古典密碼中的替代密碼和置換

4、密碼，完全理解課本中的舉例。P23-P303、DES算法的特征和步驟。不用記憶具體的P盒和S盒內(nèi)容，但要掌握DES的算法流程。DES是一種典型的分組密碼，它將固定長度的明文通過一些列復雜的操作編程同樣長度的密文的算法.算法認為只有持有加密所用密鑰的用戶才能解密密文流程：1.初始置換函數(shù)IP2.獲取子密鑰K3.密碼函數(shù)f4.末置換5.DES解密流程圖P314、密碼塊操作模式(DES工作模式)有哪四種？(計算公式或者圖形)1 .電子密本模式：Ci=DESk(Pi)2 .密碼分組連接(CBC)模式：C1=DES(P1IV)C2=DES(P2C1)Ci=DES(PiCi-1)3 .密文反饋(CFB)模

5、式：C1=P1LeftnDESk(IV)C2=P2LeftnDESk(C1)Ci=PiLeftnDESk(Ci-1)4 .三重DES加密:C=Ek3(Dk2(Ek1(M)解密：M=Dk1(Ek2(Dk3(M)5、3DES與DES算法的區(qū)別。3DES是DES的一種變形實現(xiàn),如上面公式，其中K1、K2、K3為56位DES密鑰。為獲得更高安全性，三個密鑰應(yīng)該互不相同。但在某種情況下，如果與原來DES保持兼容，只可以選擇K1=K2或者K2=K3第3章（約10%）1、單向散列函數(shù)需要滿足哪些特性？1 .給定M,很容易算出h;2給定h,根據(jù)H（M尸h反推M很難3給定M,要找到另一消息M并滿足H（M）=H（

6、M）很又t.2、SHA-1算法的步驟和參數(shù)。（MD5與SHA1類似，因此不考察MD5的具體算法）步驟有：1.附加消息2.初始化MD緩沖區(qū)3.按512位的分組處理輸入消息4.輸出3、請列出實現(xiàn)消息認證的三種不同方法。a.使用對稱加密；b.使用非對稱加密；c.不使用任何加密。（請參考講義）1、利用常規(guī)加密的認證：雙方有共享密鑰，只有真正的發(fā)送者才能為對方加密；2、非加密的消息認證：1.要把相同的消息廣播到多個目的地.2.信息交換過程中，另一端負載大，無暇解密所有傳入的消息.3.對明文形式的計算機程序進行認證；3、利用消息認證碼，mac算法.：1.接收者能確認消息沒被篡改.2.接收者能確保消息來自合

7、法的發(fā)送者.3.如果消息中含有序列號，而攻擊者不能成功地修改序列號，接收者就可以確認消息的正確序列.4、請畫出HMAC的算法流程。P66第4章（約10%）（本章考查簡單計算，但不考查數(shù)學證明）1、RSA算法和Diffie-Hellman算法的過程（要計算）。RSA:P70Diffie-Hellman:P71-P722、如何使用RSA算法分配密鑰？P70:e和n作為公開密鑰，d作為私人密鑰3、如何使用RSA算法實現(xiàn)數(shù)字簽名？RSA數(shù)字簽名算法，包括簽名算法和驗證簽名算法。首先用MD5算法對信息作散列計算。簽名的過程需用戶的私鑰，驗證過程需用戶的公鑰。A用簽名算法將字符串形式的消息處理成簽名；B用

8、驗證簽名算法驗證簽名是否是A對消息的簽名，確認是A發(fā)送的消息；消息沒有被攥改過；A一定發(fā)送過消息。第6章（約15%）1、常見的VPN應(yīng)用環(huán)境有哪些？（6.4節(jié)）1 .遠程接入2.LAN-LAN通信3.可控的內(nèi)聯(lián)網(wǎng)接入2、AH和ESP服務(wù)的區(qū)別？2 .AH沒有ESP的加密特性3 .AH的認證是對整個數(shù)據(jù)包做出的，包括IP頭部分，因為IP頭部分包含很多變量，比如typeofservice（TOS）,flags,fragmentoffset,TTL以及headerchecksum.所以這些值在進行認證前要全部清零。否則hash會mismatch導致丟包。相反，ESP是對部分數(shù)據(jù)包做認證，不包括IP頭

9、部分。AH:AH不對受保護的IP數(shù)據(jù)源身份驗證和一些可選白有限的抗重放服務(wù)。AH不對受保護的I數(shù)據(jù)包的任何部分進行加密，即不提供保密性。ESP:提供機密性，數(shù)據(jù)源的身份驗證，數(shù)據(jù)的完整性和抗重播服務(wù)。3、傳輸模式和隧道模式的主要區(qū)別是什么？傳輸模式：用于主機之間，保護分組的有效負載，不對原來的IP地址進行加密隧道模式：用于在Internet中的路由，對整個IP分組進行保護，首先對IP分組進行加密，然后將加密后的分組封裝到另一個IP分組4、IPSec認證頭的格式，以及ESP安全封包的格式。IPSec認證頭的格式:P112ESP安全封包的格式:P1145、AH認證的范圍在傳輸模式和隧道模式中的區(qū)別

10、。（圖6.13）圖6.136、ESP加密和認證的范圍在傳輸模式和隧道模式中的區(qū)別。（圖6.15、6.17）傳輸模式僅在主機上實現(xiàn)，提供對上層協(xié)議的保護，不提供對IP頭的保護.隧道模式下，整個受保護的IP包都封裝在一個ESP頭中，并且還增加一個新的IP頭.當ESP在安全網(wǎng)關(guān)（保護用戶傳輸流量）實現(xiàn)時必須采用隧道模式.再結(jié)合圖6.15、6.17回答即可7、安全組合（SA組合）有哪些形式？（要會看圖，如圖6.18、6.19、還有課堂黑板例子）傳輸鄰接，嵌套隧道。圖6.18、6.19第7章（約15%）（本章僅考查SSL,不考查TLS）1、SSL協(xié)議棧在TCP/IP協(xié)議中的位置。位于可靠的面向連接網(wǎng)絡(luò)層

11、協(xié)議和應(yīng)用層協(xié)議之間2、SSL協(xié)議棧包含哪四種協(xié)議？分別的作用是什么？1.握手協(xié)議：用于在實際傳輸開始前，通信雙方進行身份驗證、協(xié)商加密算法、交換加密密鑰等2.改變密碼規(guī)范協(xié)議：用于從一種加密算法轉(zhuǎn)變?yōu)榱硗庖环N加密算法3.告警協(xié)議：用于消息的嚴重性以及告警消息的說明4.記錄協(xié)議：在客戶機和服務(wù)器之間傳輸應(yīng)用數(shù)據(jù)和SSL/TLS控制數(shù)據(jù)。3、SSL記錄協(xié)議的操作過程。（圖7.3）分段，把每個上層協(xié)議分割為不大于2A14字節(jié)的塊；壓縮，必須是無損壓縮，對內(nèi)容長度不能產(chǎn)生多于1024字節(jié)的增量（可選不壓縮）；添加MAC,在壓縮數(shù)據(jù)的基礎(chǔ)上計算消息認證碼；加密，對壓縮后的消息連同MAC使用對稱加密算法

12、加密；添加SSL記錄頭，由內(nèi)容類型（8bits）、主版本（8bits）、副版本（8bits）、壓縮后的長度（8bits）組成.圖7.34、SSL握手協(xié)議的消息類型，配合一個建立客戶和服務(wù)器之間邏輯連接的消息交換過程來解釋。（請參考講義，比課本要更好理解）1 .客戶發(fā)送一個ClientHello報文給服務(wù)器2 .服務(wù)器以ServerHello報文進行應(yīng)答3 .在Hello報文之后，服務(wù)器將使用Certificate報文把自己的數(shù)字證書，甚至證書鏈發(fā)送給客戶端4 .在某些情況下，服務(wù)器提供的證書不足以讓客戶來完成次密鑰的交換，此時服務(wù)器需緊接著發(fā)送一個ServerKeyExchange報文給客戶。

13、5 .服務(wù)器發(fā)送ServerHelloDone報文，告訴客戶服務(wù)器已經(jīng)完成該階段的握手。6 .在接收到服務(wù)器完成消息后，客戶需要驗證服務(wù)器是否提供合法的數(shù)字證書，并檢查ServerHello報文的參數(shù)是否可以接受。7 .客戶發(fā)送ChangeCipherSpec報文給服務(wù)器。8 .客戶發(fā)送完成消息Finished報文。9 .服務(wù)器發(fā)送自己的改變密碼規(guī)范ChangeCipherSpec報文。10 .服務(wù)器發(fā)送Finished報文。5、SSL如何計算pre_master_secret和master_secret?其他密鑰參數(shù)又是如何計算的？MD5(pre_master_secret|SHA(A|pr

14、e_master_secret|ClientHello.random|ServerHello.random)|見P136P137第8章(約15%)1、身份認證的方法可分為哪三大類？請舉例。用戶知道什么：秘密，如口令，個人身份號碼，密鑰。用戶擁有什么：令牌，如ATM卡或智能卡等。用戶是誰：造物特征，如聲音識別，手寫識別。2、Kerberos4消息交換的過程。(一定要注意每個步驟的順序和意義，請參考講義，比課本清楚一些)(1)在客戶登錄到本地工作站以后，客戶向服務(wù)器發(fā)送一個服務(wù)請求，請求獲得應(yīng)用服務(wù)器的“憑證”;(2)認證服務(wù)器以憑證作為響應(yīng)，并用客戶的密鑰加密憑證；(3)客戶C向TGS服務(wù)器發(fā)送

15、消息請求獲得訪問某個特定應(yīng)用服務(wù)器的票據(jù)；(4)TGS服務(wù)器返回應(yīng)用服務(wù)器票據(jù)以應(yīng)答客戶請求；(5)客戶將該票據(jù)傳送給應(yīng)用服務(wù)器；(6)現(xiàn)在用戶和應(yīng)用服務(wù)器已經(jīng)共享會話密鑰，如果需要身份驗證，服務(wù)器可以發(fā)送消息進行響應(yīng)，以證明自己的身份.服務(wù)器返回身份驗證碼中的時間戳值+1,再用會話密鑰進行加密.C用戶可以將消息解密，恢復增加1后的時間戳.P145圖8.82、設(shè)計Kerberos用于解決什么問題？假設(shè)在一個開放的分布式環(huán)境中，希望服務(wù)器能夠?qū)⒃L問的權(quán)限限制在授權(quán)的用戶范圍內(nèi)，并且能夠認證服務(wù)請求，使工作站的用戶可以訪問分布在網(wǎng)絡(luò)各處的服務(wù)器上的服務(wù)。3、請說明為什么要使用公鑰證書？公開密鑰密碼

16、技術(shù)能夠讓通信雙方容易共享密鑰的特點，并利用公鑰密碼系統(tǒng)中的數(shù)字簽名功能，強化網(wǎng)絡(luò)上遠程認證的能力.4、請說明公鑰證書的產(chǎn)生過程，以及使用公鑰證書的時候如何驗證證書有效。產(chǎn)生過程：沒有簽名的證書，包括用戶ID和用戶公鑰.復制兩份，一份給CA簽名，一份用來產(chǎn)生散列碼再用CA的私鑰來加密散列碼，構(gòu)成簽名.再把簽名加在有CA簽名的證書上.驗證：接收者利用CA的公鑰進行簽名解密，獲得發(fā)送者的散列碼.接收者再把得到的未經(jīng)過簽名的證書進行產(chǎn)生散列碼，看得到的散列碼與獲得的散列碼是否一樣.5、X.509數(shù)字證書3個版本的格式分別包含哪些部分?6、什么是證書鏈？數(shù)字證書由頒發(fā)該證書的CA簽名。多個證書可以綁定

17、到一個信息或交易上形成證書鏈，證書鏈中每一個證書都由其前面的數(shù)字證書進行鑒別。最高級的CA必須是受接受者信任的、獨立的機構(gòu)。第9、10章（約5%,自學部分）1、什么是防火墻？防火墻是在內(nèi)部網(wǎng)和外部網(wǎng)之間實施安全防范的系統(tǒng)2、包過濾型防火墻的工作原理是什么？通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。3、入侵檢測的定義是什么？入侵檢測就是通過從計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象，同時做出響應(yīng)。4、分別按數(shù)據(jù)來源和分析技術(shù)來分類，入侵檢測系統(tǒng)可以

18、分為哪幾種？1按數(shù)據(jù)來源分類：（1）基于主機的入侵檢測系統(tǒng)（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（3）分布式的入侵檢測系統(tǒng)2按分析技術(shù)分類：（1）異常檢測（2）誤用檢測（3）采用兩種技術(shù)混合的入侵檢測.簡述題1 .請簡述消息認證的三種方法。a.使用對稱加密；b.使用非對稱加密；c.不使用任何加密。2 .什么是重放攻擊？請簡述IPSec是如何采用窗口機制抵御重放攻擊的。3 .請簡述公鑰證書的產(chǎn)生過程及驗證方法。4請簡述如何使用公鑰加密來進行密鑰分配？5請簡述IPSec的傳輸模式和隧道模式，它們的主要區(qū)別是什么？6目前進行身份認證的主要方法有哪三類？分別舉例說明。7請簡述什么是置換算法和替代算法，并分別給出置換算法和替代算法的實例。8 請畫出KerberosV4版本中，客戶端如何與服務(wù)器端進行認證交換?？捎梦淖置枋龊蛨D形說明。9 多重Kerberos中，請描述在域A的客戶機C是如何請求另一個域中的服務(wù)的。10請簡述任意三種共享密鑰K的分配方法。11常見的密碼塊操作模式有哪幾種？請簡要描述其操作方法。12請簡要說明如何通過RSA算法進行消息認證。（可同時畫圖說明）13SSL協(xié)議棧包括哪幾個協(xié)議？其分別的作用是什么？14安全Hash函數(shù)的要求是什么？15SSL記錄協(xié)議有哪幾個操作步驟？請分別簡述。1