完整版西南民大--2013級(jí)網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)第五版網(wǎng)工期末復(fù)習(xí)思考題答案

1、第1章(16頁)3. 列出并簡要定義被動(dòng)和主動(dòng)平安攻擊的分類被動(dòng)攻擊：消息內(nèi)容泄漏和流量分析.主動(dòng)攻擊：假冒,重放,改寫消息和拒絕效勞.4. 列出并簡要定義平安效勞的分類認(rèn)證,訪問限制,數(shù)據(jù)機(jī)密性,數(shù)據(jù)完整性,不可抵賴性.5. 列出并簡要定義平安機(jī)制的分類.特定平安機(jī)制：為提供 osi平安效勞,可能并到適當(dāng)?shù)膮f(xié)議層中.加密,數(shù)字簽名,訪問控制,數(shù)據(jù)完整性,認(rèn)證交換,流量填充,路由限制,公證.普通平安機(jī)制：沒有特定osi平安效勞或者協(xié)議層的機(jī)制.可信功能,平安標(biāo)簽,事件檢測(cè),平安審計(jì)跟蹤,平安恢復(fù).第2章(42頁)1. 對(duì)稱密碼的根本因素是什么明文,加密算法,秘密密鑰,密文,解密算法.4分組密碼

2、和流密碼區(qū)別是什么流密碼是一個(gè)比特一個(gè)比特的加密,分組時(shí)假設(shè)干比特同時(shí)加密.比方DES是64bit的明文一次性加密成密文.密碼分析方面有很多不同.比方說密碼中,比特流的很多統(tǒng)計(jì)特性影響到算法的平安性.密碼實(shí)現(xiàn)方面有很多不同,比方流密碼通常是在特定硬件設(shè)備上實(shí)現(xiàn).分組密碼可以在硬件實(shí)現(xiàn),也可以在計(jì)算機(jī)軟件上實(shí)現(xiàn).第3章(71頁)1. 消息認(rèn)證的三種方法：利用常規(guī)加密的消息認(rèn)證、消息認(rèn)證碼、單向散列函數(shù)4、對(duì)于消息認(rèn)證,散列函數(shù)必須具有什么性質(zhì)才可以用1 H可使用于任意長度的數(shù)據(jù)塊 2 H能生成固定長度的輸出 3對(duì)于任意長度的x ,計(jì)算H (x )相對(duì)容易,并且可以用軟/硬件方式實(shí)現(xiàn)4對(duì)于任意給定

3、值h,找到滿足H(x)=h的x在計(jì)算機(jī)上不可行 5對(duì)于任意給定的數(shù)據(jù)塊 x,找到滿足H (y) =H(x),的y=!x在計(jì) 算機(jī)上是不可行的.6找到滿足H (x) =H(y)的任意一對(duì)(x,y )在計(jì)算機(jī)上是不可行的.4、 公鑰加密系統(tǒng)的根本組成元素是什么明文,加密算法,公鑰和私鑰,密文,解密算法5、列舉并簡要說明公鑰加密系統(tǒng)的三種應(yīng)用加密/解密,發(fā)送者用接收者公鑰加密信息.數(shù)字簽名,發(fā)送者用自己的私鑰“簽名消 息；密鑰交換：雙方聯(lián)合操作來交換會(huì)話密鑰.9、什么是數(shù)字簽名：(P67)A想給B發(fā)送消息,b收到密文時(shí),她能夠用 a的公鑰進(jìn)行解密,從而證實(shí)這條消息確實(shí)是A加密的,由于沒有其他人擁有A

4、的私鑰,所以其任何人都不能創(chuàng)立由A的公鑰能夠解密的密文.因此,整個(gè)加密的消息就成為一個(gè)數(shù)字簽名.習(xí)題3.14.3.15. .第4章94頁5.什么是公鑰證書公鑰證書由公鑰、公鑰所有者的用戶id和可信的第三方用戶團(tuán)體所信任的認(rèn)證中央CA簽名的整數(shù)數(shù)據(jù)塊組成,用戶可通過平安渠道把它的公鑰提交給ca,獲得證書.4、對(duì)Kerberos提出的四點(diǎn)要求是什么平安,可靠,透明,可伸縮8、 X.509標(biāo)準(zhǔn)的目的是什么P931、X.509定義了一個(gè)使用 X.500目錄向其用戶提供認(rèn)證效勞的框架2、X.509是一個(gè)重要的標(biāo)準(zhǔn),由于、 X.509中定義的證書結(jié)構(gòu)和認(rèn)證協(xié)議在很大環(huán)境下都 會(huì)使用.3、X.509基于公鑰

5、加密體制和數(shù)字簽名的使用.9、什么叫證書鏈 P95-P96在多個(gè)CA認(rèn)證中央之間需要相互認(rèn)證各自的用戶時(shí),由各個(gè)CA認(rèn)證中央相互認(rèn)證的證書,形成一個(gè)證書鏈,通信雙方通過這個(gè)證書鏈取得相互信任.第6章160頁1、圖6.1給出的三種方法的各自優(yōu)點(diǎn)是什么P177采用IPSec方法的優(yōu)勢(shì)是在網(wǎng)絡(luò)層上實(shí)現(xiàn)平安,對(duì)于終端用戶和應(yīng)用是透明的,用戶和應(yīng) 用程序不必考慮平安機(jī)制.采用SSL/TLS方式的優(yōu)勢(shì)是在傳輸層上實(shí)現(xiàn)平安傳輸,在Web拂去其和 Web客戶端嵌入該平安方法,就能夠保證互聯(lián)網(wǎng)上實(shí)現(xiàn)且平安的訪問.而采用諸如PGP、SET等方法的優(yōu)勢(shì)是可以針對(duì)特定的需求和應(yīng)用,定制特別的平安機(jī)制.該機(jī)制是在應(yīng)用層

6、上實(shí)現(xiàn)平安訪問.2、SSL由那些協(xié)議組成P178圖7.2 一、18SSL記錄協(xié)議,SSL握手協(xié)議,SSL密碼變更規(guī)格協(xié)議,SSL報(bào)警協(xié)議.6、SSL記錄協(xié)議提供了那些效勞 ：P179-180機(jī)密性和消息完整性.要寫出定義7、SSL記錄協(xié)議執(zhí)行過程中涉及到那些步驟P180先將數(shù)據(jù)分段成可操作的塊,然后選擇壓縮或不壓縮數(shù)據(jù),再生成 MAC ,加密,添加頭并 將最后的結(jié)構(gòu)作為一個(gè) TCP分組送出.第8章189頁1.PGP提供的5種主要效勞是什么認(rèn)證用數(shù)字簽名,保密消息加密,壓縮用ZIP,電子郵件兼容性基-64轉(zhuǎn)換和 分段3. PGP為什么在壓縮前生成簽名1對(duì)未壓縮的消息進(jìn)行簽名可以保存未壓縮的消息和

7、簽名供未來驗(yàn)證時(shí)使用2即使有人想動(dòng)態(tài)的對(duì)消息重新壓縮后進(jìn)行驗(yàn)證,用PGP現(xiàn)有的壓縮算法仍然很困難第9章224頁9.2IPsec提供哪些效勞訪問限制,無連接完整性,數(shù)據(jù)源認(rèn)證；拒絕重放包,保密性,受限制的流量保密性.9.4傳輸模式和隧道模式有什么區(qū)別傳輸模式下的ESP加密和認(rèn)證ip載荷,但不包括ip報(bào)頭,AH認(rèn)證,IP載荷和IP報(bào)頭的選 中局部；隧道模式下的 ESP加密和認(rèn)證包括內(nèi)部 ip報(bào)頭的整個(gè)內(nèi)部ip包,AH認(rèn)證整個(gè)內(nèi) 部ip包和外部ip報(bào)頭被選中的局部.9.5什么是重放攻擊一個(gè)攻擊者得到一個(gè)經(jīng)過認(rèn)證的副本,稍后又將其傳送到其被傳送的目站點(diǎn)的攻擊,重復(fù)的接受經(jīng)過認(rèn)證的ip包可能會(huì)以某種方式

8、中斷效勞或產(chǎn)生一些不希望出現(xiàn)的結(jié)果第10章269頁10.3描述病毒或蠕蟲的周期中有那些典型階段睡眠階段,傳播階段,觸發(fā)階段,執(zhí)行階段10.6通常來講,蠕蟲是怎樣傳播的電子郵件工具,遠(yuǎn)程執(zhí)行水平,遠(yuǎn)程登陸水平第11章290頁11.1列出并簡要定義三類入侵者 .1假冒用戶：為授權(quán)使用計(jì)算機(jī)的個(gè)體,或潛入系統(tǒng)的訪問限制來獲得合法用戶的賬戶2違法用戶：系統(tǒng)的合法用戶訪問未授權(quán)的數(shù)據(jù),程序或者資源或者授權(quán)者誤用其權(quán)限3隱秘用戶：通過某些方法奪取系統(tǒng)的治理限制權(quán)限,并使用這種限制權(quán)躲避審計(jì)機(jī)制 的訪問限制,或者取消審計(jì)集合的個(gè)體.11.2、用于保護(hù)口令文件的兩種通用技術(shù)是什么單向函數(shù),和訪問限制11.3入

9、侵防御系統(tǒng)可以帶來哪三個(gè)好處(1) 如果能夠足夠快的速度檢測(cè)入侵行為,那么就可以在入侵危害系統(tǒng)或危機(jī)數(shù)據(jù)平安之 前將其鑒別并驅(qū)逐出系統(tǒng).即使未能及時(shí)監(jiān)測(cè)到入侵者,越早發(fā)現(xiàn)入侵行為就會(huì)使系統(tǒng)損失 程度越小,系統(tǒng)也能越快得到恢復(fù).(2) 有效的入侵檢測(cè)技術(shù)是一種威懾力量,能夠起到防護(hù)入侵者的作用.(3) 入侵檢測(cè)可以收集入侵技術(shù)信息有利增強(qiáng)入侵防護(hù)系統(tǒng)的防護(hù)水平.11.8在unix 口令治理的 context中,salt是指什么用一個(gè)12比特隨機(jī)數(shù)“salt對(duì)DES算法進(jìn)行修改,salt和用戶輸入的口令作為加密程序的 輸入.11.9列出簡要定義四種用于預(yù)防口令猜測(cè)的技術(shù)1. 用戶教育：可以引導(dǎo)用戶熟悉到選擇難于猜測(cè)的口令的重要性,也可以提供一些具體選擇 口令的指導(dǎo)原那么.2. 由計(jì)算機(jī)生成口令：用戶被提供一個(gè)由計(jì)算機(jī)生成的口令.3. 后驗(yàn)口令檢測(cè)：系統(tǒng)周期性地運(yùn)行它自身的口令破解程序來檢驗(yàn)易于猜測(cè)的口令,對(duì)易于 猜測(cè)的口令,系統(tǒng)將通告用戶并刪除該口令.4前驗(yàn)口令檢驗(yàn)；該方案允許用戶選擇自己的口令,但在選擇之初,系統(tǒng)會(huì)檢測(cè)口令是否難認(rèn)猜測(cè),如果不是,那么將拒絕該口令.習(xí)題 11.13第12章(315頁)11.1列出防火墻的三個(gè)設(shè)計(jì)目標(biāo)1所有入站和出站的網(wǎng)絡(luò)流量都必須通過防火墻.2只有