《网络安全基础应用与标准_第四版思考题答案》由会员分享,可在线阅读,更多相关《网络安全基础应用与标准_第四版思考题答案(13页珍藏版)》请在金锄头文库上搜索。
1、- 1 -第一章1.什么是 osi 安全体系结构?为了有效评估某个机构的安全需求,并选择各种安全产品和策略,负责安全的管理员需要一些系统性的方法来定义安全需求以及满足这些安全需求的方法,这一套系统体系架构便称为安全体系架构。2.被动和主动威胁之间有什么不同?被动威胁的本质是窃听或监视数据传输,主动威胁包含数据流的改写和错误数据流的添加。3.列出并简要定义被动和主动安全攻击的分类?被动攻击:消息内容泄漏和流量分析。主动攻击:假冒,重放,改写消息和拒绝服务。4.列出并简要定义安全服务的分类认证,访问控制,数据机密性,数据完整性,不可抵赖性。5.列出并简要定义安全机制的分类。特定安全机制:为提供 o
2、si 安全服务,可能并到适当的协议层中。普通安全机制:没有特定 osi 安全服务或者协议层的机制。第二章1.对称密码的基本因素是什么?明文,加密算法,秘密密钥,密文,解密算法。2.加密算法使用的两个基本功能是什么?替换和排列组合3.分组密码和流密码区别是什么?分组时若干比特同时加密。比如 DES 是 64bit 的明文一次性加密成密文。流密码是一个比特一个比特的加密,密码分析方面有很多不同。比如说密码中,比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同,比如流密码通常是在特定硬件设备上实现。分组密码可以在硬件实现,也可以在计算机软件上实现。4.攻击密码的两个通用方法是什么?密码分
3、析与穷举法(暴力解码)5.为什么一些分组密码操作模式只使用了加密,而其他的操作模式使用了加密又使用了解密出于加密与解密的考虑,一个密码模式必须保证加密与解密的可逆性。在密码分组链接模式中,对明文与前一密文分组异或后加密,在解密时就要先解密再异或才能恢复出明文;在计数器模式中,对计数器值加密后与明文异或产生密文,在解密时,只需要相同的计数器加密值与密文异或就可得到明文。6.为什么 3DES 的中间部分是解密而不是加密?3DES 加密过程中使用的解密没有密码方面的意义。唯一好处是让 3des 使用者能解密原来单重 des 使用者加密的数据。第三章1.消息认证的三种方法:利用常规加密的消息认证、消息
4、认证码、单向散列函数2 什么是 mac?一种认证技术利用私钥产生一小块数据,并将其附到信息上的技术。3 简述图 3.2 的三种方案a 使用传统加密:消息在散列函数的作用下产生一个散列值,对散列值进行传统加密后附加到消息上传送,解密时,把消息上附带的加密散列值解密得到散列值与消息产生的散列- 2 -值比较如果不一样则消息被篡改为伪消息。b 使用公钥加密:过程与传统加密相似,只是在对散列值加密时采用了公钥加密方式。c 使用秘密值:把秘密值与消息连接,再经过散列函数产生一个散列值,把散列值附加到消息上传送,解密时,把秘密值与消息连接块经过散列函数产生的散列值与接收的加密散列值解密后的散列值比较,若一
5、样,则不是伪消息,否则是伪消息。4、对于消息认证,散列函数必须具有什么性质才可以用 1 H 可使用于任意长度的数据块 2 H 能生成固定长度的输出 3 对于任意长度的 x ,计算H (x )相对容易,并且可以用软/ 硬件方式实现 4 对于任意给定值 h, 找到满足 H(x)=h 的 x 在计算机上不可行 5 对于任意给定的数据块 x, 找到满足 H (y)=H(x) ,的 y=!x 在计算机上是不可行的。6 找到满足 H (x)=H(y) 的任意一对(x,y)在计算机上是不可行的。 4、公钥加密系统的基本组成元素是什么?明文,加密算法,公钥和私钥,密文,解密算法 5、列举并简要说明公钥加密系统
6、的三种应用加密/ 解密,发送者用接收者公钥加密信息。数字签名,发送者用自己的私钥“签名”消息;密钥交换 :双方联合操作来交换会话密钥。第四章1.会话密钥与主密钥的区别是什么?主密钥是指主机与 kdc 之间通信使用的共享密钥。而会话密钥是两台主机建立连接后,产生的一个唯一的一次性会话密钥。2 、一个提供全套 kerberos 服务的环境由那些实体组成? 一台 Kerberos 服务器,若干客户端和若干应用服务器 3.什么是现实?现实是指一个随机数在 as 到 c 的消息中被重复来确保应答是实时的,而不是被攻击者重放过的。4.与密钥分发有关的公钥密码的两个不同用处是什么?1 公钥分发 2 利用公钥
7、加密分发私钥5.什么是公钥证书?公钥证书由公钥、公钥所有者的用户 id 和可信的第三方(用户团体所信任的认证中心CA)签名的整数数据块组成,用户可通过安全渠道把它的公钥提交给 ca,获得证书。第五章1.、SSL 由那些协议组成? SSL 记录协议,SSL 握手协议,SSL 密码变更规格协议,SSL 报警协议 2.、SSL 连接和 SSL 会话之间的区别是什么?连接是一种能够提供合适服务类型的传输。连接是点对点关系而且是短暂的。会话:SSL 会话是客户与服务器之间的一种关联。会话通常用来避免每条连接需要进行的代价高昂的新的安全参数协商过程。3、SSL 记录协议提供了那些服务 机密性(用对称加密)
8、和消息完整性(用消息认证码)4.https 的目的是什么?在 http 的基础上结合 ssl 来实现网络浏览器和服务器的安全通信。- 3 -5.对哪些应用 ssh 是有用的?最初版本 ssh 致力于提供一个安全的远程登陆装置代替telnet 和其他远程无保护机制,ssh 还提供一个更为广泛的用户/服务器功能,并支持文件传输和 E-MAIL 等网络功能。6.SSH 由传输层协议、用户身份验证协议、连接协议组成第六章1.什么是 802.11WLAN 的基本模块?一个无线局域网的最小组成模块是基本服务单元 BSS,包含执行相同的 MAC 协议和竞争同一无线介质接口的多个无线站点/3.列出 IEEE8
9、02.11 服务连接,认证,重认证、取消连接,分发,整合,MSDU 传输,加密,重连接。4.分布式系统是无线网络吗?(可能是也可能不是)分布式系统可以是交换机,有线网络,也可以是无线网络,所以说分布式系统是无线网络不全对。5.请解释联合的概念和移动概念的相关性?移动性是指 802.11 环境下移动站点的物理转换,包括无转换基于 BSS 的转换基于扩展服务单元的转换。联合性提供一种 BSS 中,移动站点向 AP 证明自己身份以便与其他站点进行数据交换的服务。6.被 IEEE802.11 定义的安全区域是什么?IEEE802.11i 三个主要安全区域,认证,密钥管理,加密数据传输。7.简要描述 I
10、EEE802.11i 操作的四个阶段1/发现 2/认证 3/密钥产生及其配送 4/保密数据传输 5/连接终止9.HTML 过滤器和 WAP 代理之间的区别是什么?HTML 过滤器将 HTML 的内容翻译成无限置标(WML)的内容。如果过滤器与 WAP 代理分开,则利用 HTTP/TCP/IP 将 WML 传送到 WAP 代理,WAP 代理将 WML 转换成二进制 WML 格式,并经由无线网络用 WAP 协议栈传送到移动用户。10wsp 提供什么服务?Wsp 即无线会话协议。Wsp 为两个会话服务提供接口应用。连接导向的会话服务基于 wtp,非连接会话服务则是基于不可靠传输协议 WDP 进行操作
11、。11.WTP 的三种传输模式在什么时候被使用?1/提供了不可信赖的数据报服务,可以用在不可信进栈操作 2/提供了可信赖的数据报服务,可以用在可信进栈操作中 3/提供请求回复传输服务并支持在一个 WSP 会话中进行多个传输。12.简要描述 WTLS 提供的安全服务(网关的保护)1/数据完整性:使用信息认证来确保用户和网关之间发送的数据未被篡改 2/机密性:使用加密来确保数据不被第三方读取 3/认证:使用数字证书来对两方进行认证。4/拒绝服务保护:删除拒绝重放或者未成功验证的信息。13.简要描述 WTLS 的四种协议要素 WTLS 记录协议:从更高层取得用户数据,并将数据封装在一个协议数据单元中
12、。WTLS 密码变更规格协议:该协议只有一条信息,包含一个数值为一的比特。该信息的目的将不确定状态复制到当前状态,以便更新该连接使用的加密套件。WTLS 警报协议:用来将 WTLS 相关的警报传送到 peer 实体。WTLS 握手协议:允许服务器和用户相互认证,并协商加密和 MAC 算法以及用来保护 WTLS 记录中发送数据的加密密钥。14.WTLS 使用的密钥握手协议生成预主密钥,预主密钥生成主密钥,主密钥用来生成各种加密密钥- 4 -15 描述三种不同的提供 WAP 端到端安全性的方法 1 在客户端和服务器间使用 TLS 协议4,两端之间建立安全的 TLS 会话 2 端到端之间利用 IP
13、层的 IPSEC 来保证安全性 3 我们假设 WAP 网管只作为简单的互联网路由器,这种情况下名为 WAP 传输层端到端安全性的方法第七章1PGP 提供的 5 种主要服务是什么?认证(用数字签名) ,保密(消息加密) ,压缩(用 ZIP) ,电子邮件兼容性(基-64 转换)和分段2 分离签名的用途是什么?1 满足用户希望所有发送和接收的消息分开存储和传送 2 检测程序以后是否被感染病毒 3 可用于对一个合法合同等文档的双方进行签名,每个人的签名彼此独立,且只与该文档有关3PGP 为什么在压缩前生成签名1 对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用 2 即使有人想动态的对消
14、息重新压缩后进行验证,用 PGP 现有的压缩算法仍然很困难4 为什么是基-64 转换一组三个 8 比特二进制数据映射为 4 个 ASCII 码字符,同时加上 CRC 校验以检测传送错误5 电子邮件应用为什么使用基-64 转换使用 PGP 时至少会对一部分数据块加合,若只使用签名服务,则需要用发送方的私钥对消息摘要加密,若使用保密服务,则要把消息和签名用一次性会话密钥加密因此得到的全部分成全部数据块可能由任意的 8 比特字节流组成,然而,许多电子邮件系统仅仅允许使用有 ASCII 码组成的块,为适应这个限制,提供转换功能6PGP 如何使用信任关系PGP 的信任关系由“密钥合法性域” “签名信任域
15、” , “所有者信任域”构成,经过三步流程周期性的处理公钥获得一致性。9s/mime 是什么?是居于 RSA 数据安全性,对互联网电子邮件格式标准 mine 的安全性增强。10DKIM 是什么?指电子邮件信息加密签名的特殊应用,他通过一个签名域来确定信件系统中信息的责任。第八章8.2IPsec 提供哪些服务?访问控制,无连接完整性,数据源认证;拒绝重放包,保密性,受限制的流量保密性。8.3 那些参数标识了 sa?那些参数表现了一个特定 sa 的本质?(1)安全参数索引(SPI)ip 目的地址,安全协议标识(2)序列号计数器,序列计数器,反重放窗口。AH 信息, ESP 信息,此安全关联的生存期
16、,IPSEC 协议模式,最大传输单元路径表示特定的 sa8.4 传输模式和隧道模式有什么区别?传输模式下的 ESP 加密和认证 ip 载荷,但不包括 ip 报头,AH 认证,IP 载荷和 IP 报头的选中部分;隧道模式下的 ESP 加密和认证包括内部 ip 报头的整个内部 ip 包,AH 认证整个- 5 -内部 ip 包和外部 ip 报头被选中的部分。8.5 什么是重放攻击?一个攻击者得到一个经过认证的副本,稍后又将其传送到其被传送的目站点的攻击,重复的接受经过认证的 ip 包可能会以某种方式中断服务或产生一些不希望出现的结果8.6 为什么 ESP 包括一个填充域?(1)如果加密算法要求明文为某个数目字节的整数倍,填充域用于把明文扩展到需要的长度;(2)ESP 格式要求填充长度和邻接报文域为右对齐的 32 比特字,同样,密文也是 32比特的整数倍,填充域用来保证这样的排列 (3)增加额外的填充能隐藏载荷的实际长度,从而提供部分流量的保密第九章9.1 列出并简要定义三类入侵者。(1)假冒用户:为授权使用计算机的个体,或潜入系统的访问控制来获得合法
