《网络安全技术与实践第二版课后答案》由会员分享,可在线阅读,更多相关《网络安全技术与实践第二版课后答案(18页珍藏版)》请在金锄头文库上搜索。
1、网络安全期末复习题型:1、选择、判断、简答(45%)2、分析题(55%)注:如有发现错误,希望能够提出来。第一章 引言一、填空题1、信息安全的3个基本目标是:保密性、完整性和可用性。此外,还有一个不可忽视 目标是:合法使用。2、网络中存在的4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和非法使用。3、访问控制策略可以划分为:强制性访问控制策略和自主性访问控制策略。4、安全性攻击可以划分为:被动攻击和主动攻击。5、X.800定义的5类安全服务是:认证、访问控制、数据保密性、数据完整性、不可否 性。6、X.800定义的8种特定的安全机制是:加密、数字签名、访问控制、数据完整性、认 交换 流量埴
2、充 路由控制 和口公证doo定义的、5种普遍的安全机制是:可信功能度、安全标志、事件检测、安全审计 踪和安全恢复。二、思考题2 、基本的安全威胁有哪些?主要的渗入类型威胁是什么?主要的植入类型威胁时什么? 请列出几种最主要的威胁。答:基本的安全威胁有:信息泄露、完整性破坏、拒绝服务、非法使用。 主要的渗入类型威胁有:假冒、旁路、授权侵犯。主要的植入威胁有:特洛伊木马?、陷门 最主要安全威胁:(1)授权侵犯(2)假冒攻击(3)旁路控制(4)特洛伊木马或陷 阱(5)媒体废弃物(出现的频率有高到低)4. 什么是安全策略?安全策略有几个不同的等级? 答:安全策略:是指在某个安全区域内,施加给所有与安全
3、相关活动的一套规则。安全策略的等级: 1安全策略目标;2机构安全策略;3系统安全策略。6. 主动攻击和被动攻击的区别是什么?请举例说明。 答:区别:被动攻击时系统的操作和状态不会改变,因此被动攻击主要威胁信息 的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作, 此主动攻击主要威胁信息的完整性、可用性和真实性。主动攻击的例子:伪装攻击、重放攻击、消息篡改、拒绝服务。 ? 被动攻击的例子:消息泄漏、流量分析。9、请画出一个通用的网络安全模式,并说明每个功能实体的作用。 网络安全模式如下:网络安全模型由六个功能实体组成:消息的发送方(信源)、消息的接收方(信宿)、安 变换、信息
4、通道、可信的第三方和攻击者。一、填空题1、主机的IPv4的长度为32b,主机的MAC地址长度为48bo IPv6的地址长度为128b。2、ARP的主要功能是将IP地址转换成为物理地址3、NAT的主要功能是实现网络地址和IP地址之间的转换,它解决了 IPv4地址短缺的问题4、DNS服务使用53号端口,它用来实现域名到IP地址或IP地址到域名的映射。二、思考题1、简述以太网上一次 TCP 会话所经历的步骤和涉及的协议。答:步骤:开放TCP连接是一个3步握手过程:在服务器收到初始的SYN数据包后,该 接处于半开放状态。此后,服务器返回自己的序号,并等待确认。最后,客户 机发送第3 个数据包使 TCP
5、 连接开放,在客户机和服务器之间建立连接。 协议:路由协议、Internet协议、TCP/IP协议2、在TCP连接建立的3步握手阶段,攻击者为什么可以成功实施SYN Flood攻击?在实 际中,如何防范此类攻击?答:当TCP处于半开放状态时,攻击者可以成功利用SYN Flood对服务器发动攻击。攻, 者使用第一个数据包对服务器进行大流量冲击,使服务器一直处于半开放连接状态 导致服务器无法实现 3 步握手协议。防范 SYN Flood 攻击,一类是通过防火墙、路由器等过滤网关防护;另一类是通过加 固TCP/IP协议栈防范。4、为什么UDP比BGP的主要区别。答:由于UDP自身缺少流控制特性,所以
6、采用UDP进行大流量的数据传输时,就可能造 堵塞主机或路由器,并导致大量的数据包丢失;UDP没有电路概念,所以发往给定端 口的数据包都被发送给同一个进程,而忽略了源地址和源端口号; UDP 没有交换握手 信息和序号的过程,所以采用UDP欺骗要比使用TCP更容易。9、通过DNS劫持会对目标系统产生什么样的影响?如何避免?答:通过劫持了 DNS 服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域 名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果 是对特定的网址不能访问或访问的是假网址。避免 DNS 劫持:暴露的主机不要采用基于名称的认证;不要把秘密的信息放在主机
7、名 中;进行数字签名14、判断下列情况是否可能存在?为什么?(1)通过ICMP数据包封装数据,与远程主机进行类似UDP的通信。(2)通过特意构造的TCP数据包,中断两台机器之间指定的一个TCP会话。答:(1)不存在。TCP/UDP是传输层(四层)的协议,只能为其上层提供服务,而ICMP 网络互联层(三层)的协议,怎么可能反过来用四层协议来为比它还低层的数: 包来服务呢。(2)如果攻击者能够预测目标主机选择的起始序号,他就可能欺骗该目标主机,使 标主机相信自己正在与一台可信的主机会话。第 4 章 单(私)钥加密体制一、填空题1、密码体制的语法定义由以下六部分构成:明文消息空间、密文消息空间、加密
8、密钥空 间、密钥生成算法、加密算法、解密算法。2、单(私)钥加密体制的特点是:通信双方采用的密钥相同所以人们通常也称其为对; 加密体制。一、选择题1. 数字证书将用户与其 B 相联系。A .私钥 B.公钥 C.护照 D.驾照2. 用户的 B不能出现在数字证书中。A.公钥 B.私钥C.组织名D.人名3. A可以签发数字证书。A.CA B.政府 C.小店主D.银行4. _D_标准定义数字证书结构。A. X.500 B. TCP/IP C. ASN.l D. X.5095. RA A签发数字证书。A.可以B.不必C.必须D. 不能6. CA使用D签名数字证书。A.用户的公钥B.用户的私钥C.自己的公
9、钥D.自己的私钥7. 要解决信任问题,需使用 C 。A.公钥B.自签名证书C.数字证书D.数字签名& CRL是 C 的。A.联机B.联机和脱机C.脱机D.未定义9. OCSP 是 A 的。A.联机B.联机和脱机C.脱机D.未定义10. 最高权威的CA称为 C 。A. RCA B. RA C. SOA D. ARA二、思考题1、数字证书的典型内容什么?答:数字证书的概念:一个用户的身份与其所持有的公钥的结合,由一个可信任的权威 构 CA 来证实用户的身份,然后由该机构对该用户身份及对应公钥相结合的证书进行数 签名,以证明其证书的有效性。一般包括:(1)证书的版本信息;(2)证书的序列号,每个证书
10、都有一个唯一的证书序列号;(3)证书所使用的签名算法;(4)证书的发型机构名称;(5)证书的有效期;(6)证书所有人名称;(7)证书所有人的公开密钥;(8)证书发行者对证书的签名;4、简述撤销数字证书的原因?答:(1) 数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);(2)CA发现签发数字证书是出错;(3)证书持有者离职,而证书为其在职期间签发的。10、攻击者A创建了一个证书,放置一个真实的组织名(假设为银行B)及攻击者自己 公钥。你在不知道是攻击者在发送的情形下,得到了该证书,误认为该证书来自银行 B 请问如何防止该问题的产生?答:給in 言 冋釵十口宓匕宓鉗咎钿一、填空题1、网
11、络加密方式有4种,它们分别是链路加密、节点加密、端到端加密和混合加密。2、在通信网的数据加密中,密钥可分为基本密钥、会话密钥、密钥加密密钥、主机主密 钥。3、密钥分配的基本方法有利用安全信道实现密钥传输、利用双钥体制建立安全信道传递 和利用特定的物理现象实现密钥传递等4、在网络中,可信第三方TTP的角色可以由密钥服务器、密钥管理设备、密钥查阅服务 和时戳代理等来承担(请任意举出4个例子)5、按照协议的功能分类,密码协议可以分为认证建立协议、密钥建立协议、认证的密钥 建立协议。6、Diffie-Hellman密钥交换协议不能抵抗中间人的攻击7、Kerberos 提供 AA.加密 B.SSOC.远
12、程登录D.本地登陆8、在Kerberos中,允许用户访问不同应用程序或服务器的服务器称为_A.ASB.TGTC.TGSD.文件服务器9、 在Kerberos中,C与系统中的每个用户共享唯个口令。A.ASB.TGTC.TGSD.文件服务器二、思考题1、网络加密有哪几种方式?请比较它们的优缺点。 答:网络加密的方式有4种分别是链路加密、节点加密、端到端加密、混合加密。 链路加密的优点:(1) 加密对用户是透明的,通过链路发送的任何信 息在发送前都先被 加密。(2)每个链路只需要一对密钥。(3)提供了信号流安全机制。 缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较高。节点加密的优点:(1
13、)消息的加、解密在安全模块中进行,这使消息内容不会被泄密 (2)加密对用户透明缺点:(1)某些信息(如报头和路由信息)必须以明文形式传输 (2)因为所有节点都必须有密钥,密钥分发和管理变的困难端到端加密的优点:对两个终端之间的整个通信线路进行加密 只需要 2 台加密机, 1 台在发端, 1 台在收端 从发端到收端的传输过程中,报文始终以密文存在 消息报头(源/目的地址)不能加密,以明文传送 只需要 2 台加密机, 1 台在发端, 1 台在收端 从发端到收端的传输过程中,报文始终以密文存在 比链路和节点加密更安全可靠,更容易设计和维护 缺点:不能防止业务流分析攻击。混合加密的是链路和端到端混合加
14、密组成。 优点:从成本、灵活性和安全性来看,一般端到端加密方式较有吸引力。于某些远程机构,链路加密可能更为合适。缺点信息的安全设计较复杂。4、密钥有哪些种类?它们各自的用途是什么?请简述它们之间的关系?答:种类: 1、基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某种算法所 构造的密钥产生器,产生用于加密数据的密钥流。2、会话密钥其用途是使人们可以不必繁琐的更换基本密钥,有利于密钥的3、密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密 钥,也成为次主密钥、辅助密钥或密钥传送密钥。4、主机主密钥作用是对密钥加密密钥进行加密的密钥,存储于主机处理器中5、双钥体制下的公开钥和秘
15、密钥、签名密钥、证实密钥。关系如图:7、密钥分配的基本模式有哪些?(a) 点对点密钥分配:由A直接将密钥送给B,利用A与B的共享基本密钥加密实现。(b) 密钥分配中心(KDC): A向KDC请求发送与B通信用的密钥,KDC生成k传给A,并 过A转递给B,利用A与KDC和B与KDC的共享密钥实现。(c) 密钥传递中心(KTC): A与KTC,B与KTC有共享基本密钥。11、在密码系统中,密钥是如何进行保护、存储和备份的? 密钥的保护:将密钥按类型分成不同的等级。大量的数据通过少量的动态产生的初级密 来保护。初级密钥用更少量的、相对不变的二级密钥或主密钥KM0来保护。二级密钥用 机主密钥KM1,KM2来保护。少量的主密钥以明文形式存储在专用的密码装置中,其余的 钥以密文形式存储在专用密码装置以外。这样,就把保护大量数据的问题简化为保护和使 用少量数据的问题。密钥的存储:密钥在多数时间处于静态,因此对密钥的保存是密钥管理重要内容。密钥可 以作为一个整体进行保存,也可化为部分进行保存。密钥的硬件存储;使用门限方案的 钥保存 ;公钥在公用媒体中存储。密钥的备份:交
