北航信息對抗專業(yè)《信息網(wǎng)絡安全》復習資料

1、信息網(wǎng)絡安全資料第一章1、掌握信息安全的四個目標 保密性 完整性 可用性 合法使用2、信息系統(tǒng)中常見的威脅有哪些 授權(quán)侵犯 假冒攻擊 旁路控制 特洛伊木馬或陷門 媒體廢棄物3、安全攻擊分幾大類？有何區(qū)別？分為 被動攻擊 和 主動攻擊被動攻擊是對所傳輸?shù)男畔⑦M行竊聽和監(jiān)測，主動攻擊是指惡意篡改數(shù)據(jù)或偽造數(shù)據(jù)流等攻擊行為，主動攻擊對信息不僅進行竊聽，還會篡改4、掌握OSI的七層參考模型和Internet四層參考模型OSI七層參考模型 物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層、應用層Internet四層參考模型 數(shù)據(jù)鏈路層 網(wǎng)絡層 傳輸層 應用層5、熟記X.800標準中的5類安全服務和8種

2、特定安全機制，并簡述安全服務和安全機制之間的關(guān)系 5類安全服務 認證 訪問控制 數(shù)據(jù)保密性 數(shù)據(jù)完整性 不可否認性8種特定安全機制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認證交換 流量填充 路由控制 公證關(guān)系：安全服務通過安全機制來實現(xiàn)安全策略6、能夠畫出網(wǎng)絡安全參考模型和網(wǎng)絡訪問參考模型第二、三章（不做重點要求）1、必須知道IPv4及IPv6地址的格式及長度IPv4 32位 IPv6 128位 2000:0000:0000:0000:0001:2345:6789:abcd（將這128位的地址按每16位劃分為一個段，將每個段轉(zhuǎn)換成十六進制數(shù)字，并用冒號隔開）2、必須知道M

3、AC地址的長度 48位, 3、必須熟記http/ftp/telnet/pop3/smtp/ssh/dns等常用通信協(xié)議的端口號及功能 http 80 用于傳送Web數(shù)據(jù) ftp 20、21 提供上傳下載服務telnet 23 遠程登陸服務的標準協(xié)議pop3 110 接收電子郵件smtp 25 發(fā)送郵件ssh 22 為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議dns 53 把域名轉(zhuǎn)換成計算機能夠識別的IP地址4、為什么要進行網(wǎng)絡地址轉(zhuǎn)換（NAT）？ IP地址短缺5、ARP協(xié)議的作用是什么？ 負責將局域網(wǎng)中的32b IP地址轉(zhuǎn)換為對應的48b物理地址，即網(wǎng)卡的MAC地址6、為什么UDP比TCP協(xié)議

4、更加容易遭到攻擊？ 因為UDP沒有交換握手信息和序號的過程第四章1、按照對明文消息的處理方式不同，單鑰體質(zhì)可分為 分組密碼 和 流密碼 2、DES的分組長度是 64 位 密鑰長度是 56 位3、AES的分組長度是 128 位 密鑰長度是 128、192、256 位4、分組密碼算法都含有 擴散 和 混淆 兩個過程5、加密的安全性只取決于 密鑰的保密 ，而算法可以 公開6、加密輪數(shù)是否越多越好？密鑰是否越長越好？ 不是7、一條明文經(jīng)過2個算法串聯(lián)加密，是否一定更安全？ 不一定8、分組密碼的5種工作模式是什么？請畫圖說明（1）電碼本模式（2）密碼分組鏈接模式（3）輸出反饋模式（4）密碼反饋模式（5）

5、計數(shù)器模式第五章1、雙鑰密碼體制是基于數(shù)學難題構(gòu)造的，請列舉出目前存在的數(shù)學難題多項式求根、 離散對數(shù)、 大整數(shù)分解、 背包問題、 Diffie-Hellman問題、 二次剩余問題、 模n的平方根問題2、RSA是基于何種數(shù)學難題構(gòu)造的？大整數(shù)分解Diffie-Hellman是基于何種數(shù)學難題構(gòu)造的？離散對數(shù)3、請寫出RSA加密和解密的數(shù)學表達式，并指出什么是公鑰，什么事私鑰，并能做出簡單的計算（重點題目，考試需要帶計算器）4、RSA是否可以看成是分組密碼體制？為什么？可以，因為可把數(shù)分成一組一組加密5、必須知道，用雙鑰體制加密時采用誰的公鑰？解密時采用誰的私鑰？加密時采用信息接收方的公鑰，解密

6、時采用信息接收方的私鑰第六章1、請說明Hash函數(shù)與加密函數(shù)有何不同？Hash函數(shù)不可逆，加密函數(shù)可逆2、雜湊函數(shù)具有哪些性質(zhì)？（1）混合變換 （2）抗碰撞攻擊 （3）抗原像攻擊 （4）實用有效性3、什么是消息認證碼MAC？如何構(gòu)造？MAC有密鑰控制的單向雜湊函數(shù)，其雜湊值不僅與輸入有關(guān)，而且與密鑰有關(guān)，只有持此密鑰的人才能計算出相應的雜湊值構(gòu)造方法 MAC=CK(M) 其中，M是一個變長消息，K是收發(fā)雙方共享的密鑰，CK(M)是定長的認證符4、什么是消息檢測嗎MDC？簡述MDC與MAC的異同MDC是無密鑰控制的單向雜湊函數(shù)，其雜湊值只是輸入字串的函數(shù)，任何人都可以計算MDC不具有身份認證功能

7、，MAC具有身份認證功能MDC 和 MAC 都可以檢測接受數(shù)據(jù)的完整性5、MD5的輸出長度是多少位？ 128位6、SHA-1的輸出長度是多少位？ 160位 7、熟悉P165頁的圖6-6的幾個圖所能夠提供的安全功能第七章1、數(shù)字簽名應該具有哪些性質(zhì)？（1）收方能夠確認或證實發(fā)放的簽名，但不能偽造（2）發(fā)方發(fā)出簽名的消息給收方后，就不能再否認他所簽發(fā)的消息（3）收方對已收到的簽名消息不能否認，即有收報認證（4）第三者可以確認收發(fā)雙方之間的消息傳送，但不能偽造這一過程2、數(shù)字簽名可以分為哪幾類？確定性簽名 隨機化簽名3、RSA簽名是基于何種數(shù)學難題？ 大整數(shù)分解4、ElGamal簽名是基于何種數(shù)學難

8、題？ 離散對數(shù)5、數(shù)字簽名時，簽名者用的是誰的何種密鑰？驗證時，驗證者用的是誰的何種密鑰？簽名者用的是簽名者的私鑰，驗證時用的是簽名者的公鑰6、Diffie-Hellman能用來做數(shù)字簽名嗎？ 不能7、單鑰體制能用來做數(shù)字簽名嗎？ 不能8、試比較數(shù)字簽名與雙鑰加密的區(qū)別數(shù)字簽名是用簽名者的私鑰進行簽名，用簽名者的公鑰進行驗證，雙鑰加密為發(fā)送方用接受方的公鑰進行消息的加密，接受方用自己的私鑰進行解密第八章1、協(xié)議的三個要素是什么？（1）有序性 （2）至少有兩個參與者 （3）通過執(zhí)行協(xié)議必須能完成某項任務2、如果按照密碼協(xié)議的功能分類，密碼協(xié)議可以分為哪幾類？（1）密鑰建立協(xié)議（2）認證建立協(xié)議（

9、3）認證的密鑰建立協(xié)議3、什么是中間人攻擊？如何對Diffie-Hellman協(xié)議進行中間人攻擊？請畫圖說明。Mallory不僅能夠竊聽A和B之間交換的信息，而且能夠修改消息，刪除消息，甚至生成全新的消息。當B與A會話時，M可以冒充B，當A與B會話時，M可以冒充A4、請用數(shù)學表達式寫出DIffie-Hellman協(xié)議的密鑰交換過程？（1）A選擇一個隨機的大整數(shù)x，并向B發(fā)送以下消息 X=gxmod n（2）B選擇一個隨機的大整數(shù)y，并向A發(fā)送以下消息 Y=gymod n（3）A計算： K=Yxmod n（4）B計算： K= Xymod n5、Diffie-Hellman能用來做數(shù)字簽名嗎？ 不

10、能6、掌握大嘴青蛙協(xié)議和Yahalom安全協(xié)議設(shè)計的思想 大嘴青蛙協(xié)議: A和B均與T共享一個密鑰，A只需要傳兩條消息，就可以將一個會話密鑰發(fā)送給B Yahalom ： B首先與T接觸，而T僅向A發(fā)送一條消息第九章1、什么是PKI？PKI是由哪幾部分組成？每個組成部分的作用是什么？PKI是一種遵循標準的利用公鑰理論和技術(shù)建立的提供安全服務的基礎(chǔ)設(shè)施PKI由 證書機構(gòu) 注冊機構(gòu) 證書發(fā)布庫 密鑰備份與恢復 證書撤銷 PKI應用接口 組成（1）證書機構(gòu)（CA）負責發(fā)放和管理數(shù)字證書（2）注冊機構(gòu)（RA）按照特定政策與管理規(guī)范對用戶的資格進行審查，并執(zhí)行“是否同意給該申請者發(fā)放證書、撤銷證書”等操作

11、，承擔因?qū)徍隋e誤而引起的一切后果（3）證書發(fā)布庫 是網(wǎng)上可供公眾進行開放式查詢的公共信息庫（4）密鑰備份與恢復 提供密鑰備份與恢復機制（5）證書撤銷 警告其他用戶不要再使用該用戶的公鑰證書（6）PKI應用接口 令用戶能方便地使用加密、數(shù)字簽名等安全服務2、什么是數(shù)字證書？X.509證書的格式是什么？數(shù)字證書就是一個用戶的身份與其所持有的公鑰的結(jié)合，在結(jié)合之前由一個可信任的權(quán)威機構(gòu)CA來證實用戶的身份，然后由該機構(gòu)對用戶身份及對應公鑰想結(jié)合的證書進行數(shù)字簽名，以證明其證書的有效性。格式： Cert=IDA|KPA SigKSCA(IDA|KPA3、實際中，由誰來簽發(fā)證書？ CA4、簽發(fā)證書時，是

12、由CA的何種密鑰（私鑰還是公鑰）進行簽名？ 私鑰 驗證證書時，是用誰的公鑰來驗證？ 用CA的公鑰來驗證5、數(shù)字證書的作用是什么？它本質(zhì)上是為了解決網(wǎng)絡安全中的什么問題？ 數(shù)字證書可以證明網(wǎng)絡實體在特定安全應用的相關(guān)信息為了解決公鑰可信性問題第十章1、熟記網(wǎng)絡加密的4種方式 鏈路加密 節(jié)點加密 端到端加密 混合加密2、密鑰有哪些種類？它們各自有什么用途？ 基本密鑰 會話密鑰 密鑰加密密鑰 主機主密鑰 工作密鑰 基本密鑰：由用戶選定或由系統(tǒng)分配、可在較長時間內(nèi)由一對用戶專用的密鑰 會話密鑰：兩個通信終端用戶在一次通話或交換數(shù)據(jù)時所用的密鑰 密鑰加密密鑰：用于對傳送的會話或文件密鑰進行加密時采用的密

13、鑰 主機主密鑰：對密鑰加密密鑰進行加密的密鑰 工作密鑰：在不增大更換密鑰工作量的條件下擴大可使用的密鑰量3、按照協(xié)議的功能分類，密碼協(xié)議可以分成哪3類？ （1）密鑰建立協(xié)議（2）認證建立協(xié)議（3）認證的密鑰建立協(xié)議4、寫出Diffie-Hellman協(xié)議的數(shù)學表達式 同 第八章-45、簡述為何Diffie-Hellman協(xié)議不能抵抗中間人攻擊？并畫圖說明中間人攻擊的過程6、一個好的密鑰應具備哪些特性？（1）真正隨即、等概率（2）避免使用特定算法的若密鑰（3）滿足一定的數(shù)學關(guān)系（4）易記而難猜中（5）采用密鑰揉搓或雜湊技術(shù)，將易記的長句子經(jīng)單向雜湊函數(shù)變換成偽隨機數(shù)串7、軟件加密和硬件加密有何區(qū)

14、別？ 任何加密算法都可以用軟件實現(xiàn)，靈活、輕便，在主流操作系統(tǒng)上都有軟件可以用，但速度慢，安全性有一定風險 硬件加密 加密速度快 硬件安全性好 硬件易于安裝第十一章1、 無線網(wǎng)絡面臨哪些安全威脅？請寫出5種以上竊聽 通信阻斷 數(shù)據(jù)的注入和篡改 中間人攻擊 客戶端偽裝 接入點偽裝 匿名攻擊 客戶端對客戶端的攻擊 隱匿無線信道 服務區(qū)標識符的安全問題 漫游造成的問題2、 GSM的主要安全缺陷有哪些？（1） 基站和基站之間沒有設(shè)置任何加密措施，KC和SRES在網(wǎng)絡中以明文傳輸（2） Ki的長度是48b，用戶截取RAND和SRES后很容易破譯Ki，而Ki一般固定不變，使SIM卡的復制成為可能（3） 單

15、向身份認證（4） 缺乏數(shù)據(jù)完整性認證（5） 存在跨區(qū)切換，在這個過程中，可能泄露用戶的秘密信息（6） 用戶無法選擇安全級別3、 請簡要描述GSM蜂窩系統(tǒng)的認證過程。為何挑戰(zhàn)值是一個隨機數(shù)而不能是常數(shù)？（畫圖分析說明）（1） 基站產(chǎn)生一個128b的隨機數(shù)或挑戰(zhàn)值，并把它發(fā)給手機（2） 手機使用A3算法和密鑰Ki將RAND加密，產(chǎn)生一個32b的簽名回應（SRES）（3） 同時，VLR也計算出SRES值（4） 手機將SRES傳輸?shù)交?，基站將其轉(zhuǎn)發(fā)到VLR（5） VLR將收到的SRES值與算出的SRES值對照（6） 如果SRES相符，認證成功（7） 如果SRES不符，連接中止 挑戰(zhàn)值是隨機數(shù)可以防止

16、強力攻擊，一個128b的隨機數(shù)意味著3.4*1038 種可能的組合，即使一個黑客知道A3算法，猜出有效的RAND/SRES的可能性也非常小4、 為何3G系統(tǒng)比2.5G系統(tǒng)更安全？3G系統(tǒng)在提高安全性上作了哪些改進？2.5G系統(tǒng)采用的是單向認證，3G系統(tǒng)采用的是雙向認證（1）實現(xiàn)了用戶與網(wǎng)絡之間的相互認證（2）建立了用戶與網(wǎng)絡之間的會話密鑰（3）保持了密鑰的新鮮性第十二章1、 防火墻可以劃分為哪三種基本類型？這三種防火墻各自工作于OSI模型的哪一層上？包過濾防火墻 電路級網(wǎng)關(guān)防火墻 應用級網(wǎng)關(guān)防火墻 2、 在實際網(wǎng)絡環(huán)境中，防火墻放置在何種位置？請畫圖說明（假設(shè)網(wǎng)絡中還有路由器、IDS、VPN、

17、交換機等設(shè)備）參考十三章-53、 防火墻一般有幾個端口？ 3個什么是DMZ區(qū)？它的作用是什么？ 被內(nèi)外過濾器隔離出來的部分稱為非軍事區(qū)（DMZ）作用提供中繼服務，以補償過濾器帶來的影響4、 簡述包過濾防火墻和應用網(wǎng)關(guān)防火墻的區(qū)別包過濾防火墻能對所有不同服務的數(shù)據(jù)流進行過濾，而應用級網(wǎng)關(guān)只能對特定服務的數(shù)據(jù)流進行過濾包過濾器不需要了解數(shù)據(jù)流的細節(jié)，它只查看數(shù)據(jù)包的源地址和目的地址或檢查UDP/TCP的端口號和某些標志位。應用級網(wǎng)關(guān)必須為特定的應用服務編寫特定的代理程序。5、 簡述NAT路由器的工作原理（給圖填地址）第十三章1、 IDS可以分為哪3種類型？它們各自用于何種場合？（1） 基于網(wǎng)絡的入

18、侵檢測系統(tǒng)（NIDS） 數(shù)據(jù)來源于網(wǎng)絡上的數(shù)據(jù)流（2） 基于主機的入侵檢測系統(tǒng)（HIDS） 數(shù)據(jù)來源于主機系統(tǒng)（3） 采用上述兩種數(shù)據(jù)來源的分布式入侵檢測系統(tǒng)（DIDS） 分別來源于主機系統(tǒng) 和網(wǎng)絡數(shù)據(jù)流2、 一個IDS通常由哪幾部分組成？（1） 數(shù)據(jù)收集器（2） 檢測器（3） 知識庫（4） 控制器3、 NIDS一般放置于網(wǎng)絡的何種位置？基于網(wǎng)絡的入侵檢測產(chǎn)品（NIDS）放置在比較重要的網(wǎng)段內(nèi)，可連續(xù)監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，對每個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析4、HDIS一般放置于網(wǎng)絡的何種位置？ HDIS安裝在被保護主機上5、請畫出各類IDS在一個實際網(wǎng)絡中的部署圖。6、 NIDS在功能結(jié)

19、構(gòu)上應至少包含哪4個功能模塊？（1） TCP會話重組模塊（2） 數(shù)據(jù)包捕獲模塊（3） 內(nèi)容分析模塊（4） 自動響應第十四章1、 根據(jù)訪問方式的不同，VPN可以分哪2類？TSL VPN和IPSec VPN各自屬于哪一類？（1）遠程訪問VPN TLS VPN（2）網(wǎng)關(guān)-網(wǎng)關(guān)VPN IPSec VPN2、 請比較TLS VPN和IPSec VPN的優(yōu)缺點TLS VPN優(yōu)點：（1） TLS VPN無須安裝客戶端軟件。IPSec VPN需要在每臺計算機上配置安全策略（2） 適用于大多數(shù)設(shè)備（3） 適用于大多數(shù)操作系統(tǒng)（4） 支持網(wǎng)絡驅(qū)動器訪問（5） 不需要對遠程設(shè)備或網(wǎng)絡做任何改變（6） 較強的資源控制

20、能力（7） 費用低且具有良好的安全性（8） 可以繞過防火墻和代理服務器進行訪問，而IPSec VPN很難做到這一點（9） TLS加密已經(jīng)內(nèi)嵌在瀏覽器中，無須增加額外的軟件TLS VPN缺點（1） 認證方式比較單一，只能采用證書，一般是單向認證。IPSec VPN認證方式靈活，可采用口令、令牌等認證方式（2） 應用的局限大（3） 只能對通信雙方所使用的應用通道進行加密（4） TLS VPN不能對應用層的消息進行數(shù)字簽名（5） LAN-to-LAN 的鏈接缺少理想的TLS解決方案（6） TLS VPN的加密級別通常不如IPSec VPN高（7） 不能保護UDP通道的安全（8） TLS VPN是應用層加密，性能比較差。IPSec VPN性能要好很多（9） TLS VPN只能進行認證和加密，不能實施訪問控制。而IPSec VPN可以根據(jù)用戶的身份在其訪問內(nèi)部資源時進行訪問控制和安全審計（10） TLS VPN需要CA支持3、請盡可能多地說出目前常用的隧道協(xié)議名稱，并了解其基本用途。（1）PPTP 讓遠程用戶撥號連接到本地ISP、通過Internet安全遠程訪問公司網(wǎng)絡資源（2）L2F 可以在多種介質(zhì)上建立多協(xié)議的安全虛擬專用網(wǎng)（3）L2TP 適合組建遠程接入方式的VPN（4）IPSec 是專為IP設(shè)計提供安全服務的一種協(xié)議（5）GRE 規(guī)定了如何用一種網(wǎng)絡協(xié)議去封裝另一種網(wǎng)絡協(xié)