聲電商信息安全與管理課后習(xí)題答案

1、基礎(chǔ)應(yīng)用與標(biāo)準書后思考題第一章：1、什么是 OSI 安全體系結(jié)構(gòu)？(P6)一、2 安全安全機制 安全服務(wù)2、和主動安全威脅之間有什么不同？(P6)的本質(zhì)是或監(jiān)視數(shù)據(jù)傳輸；主動包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加 3列出并簡要定義和主動安全的分類？(P6)：內(nèi)容泄漏和流量分析；主動簡要定義安全服務(wù)的分類？(P9)：，重放，改寫消息，服務(wù) 4、列出并認證，控制，數(shù)據(jù)性，數(shù)據(jù)完，不可抵賴性 5、列出并簡要定義安全機制的分類？(P11-12)加密，數(shù)字簽名，控制，數(shù)據(jù)完整性，功能，安全，事件檢測，安全審計，認證交換，流量填充，路由控制，第二章：，安全恢復(fù)。1、對稱的基本是什么？(P23)密鑰，密文，明文

2、，加密算法，(P24) 替換和重排3、兩個人通過對稱算法 2、加密算法使用的兩個基本功能是什么？通信需要多少個密鑰？(P24)的區(qū)別是什么？(P33)一、3 1 個4、分組和流流是一個比特一個比特的加密，分組是若干比特（定長）同時加密。比如 des 是64 比特的明文加密成密文。分析方面有很多不同。比如流中，比特流的很多統(tǒng)計特性影響到算法的安全性。密碼實現(xiàn)方面有很多不同。比如流通常是在特定硬件設(shè)備上實現(xiàn)。分組既可以在硬件實現(xiàn)，也方便在計算機上軟件實現(xiàn)。5、方法的兩個通用方法是什么？ 密鑰搜索和窮舉7、什么是三重加密？(P28) 在這種方式里，使用三個不同的密鑰對數(shù)據(jù)塊進行三次加密，三重 DES

3、 的強度大約和 112-bit 的密鑰強度相當(dāng)。三重 DES 有四種模型。使用三個不同密鑰，順序進行三次加密變換使用三個不同密鑰，依次進行加密-加密變換（c）其中密鑰 K1=K3,順序進行三次加密變換（d）其中密鑰 K1=K3，依次進行加密-不是加密？(P29)-加密變換 8、為什么 3DES 的中間部分是而3DES 加密過程中的第二步使用的沒有方面的意義。它的唯一好處是讓 3DES 的使用者能夠原來單重 DES 使用者加密的數(shù)據(jù)9、鏈路層加密和端到端加密的區(qū)別是什么？(P41)對于鏈路層加密，每條易受的通信鏈路都在其兩端裝備加密設(shè)備。所以通信鏈路的所有通信都受到保護，提供了較高的安全性。對于

4、端到端加密，加密過程在兩個端系統(tǒng)上實現(xiàn)。源主機和終端加密數(shù)據(jù)，該數(shù)據(jù)以加密過的形式，通過網(wǎng)絡(luò)不可變更地傳輸?shù)侥康牡亟K端或者主機。 10、列出將密鑰分發(fā)給通信雙方的方法。(P42)1.通過物理方法傳遞。2.依靠第通過物理方式傳遞給通信雙方。3.一方用舊密鑰加密新密鑰傳遞給另一方。4.采用“密鑰分發(fā)中心 KDC”通過加密鏈路傳遞給通信雙方。11、會話密鑰和主密鑰的區(qū)別是什么？(P42,P312)主密鑰（Master key）是被客戶機和服務(wù)器用于產(chǎn)生會話密鑰的一個密鑰。這個主密鑰被用于產(chǎn)生客戶端讀密鑰，客戶端寫密鑰，服務(wù)器讀密鑰，服務(wù)器寫密鑰。主密鑰能夠被作為一個簡單密鑰塊輸出會話密鑰是指：當(dāng)兩個

5、端系統(tǒng)希望通信，他們建立一條邏輯連接。在邏輯連接持續(xù)過程中，所以用戶數(shù)據(jù)都使用一個的會話密鑰加密。在會話和連接結(jié)束時，會話密鑰被銷毀。 12、什么是密鑰分發(fā)中心？(P43)密鑰分發(fā)中心判斷那些系統(tǒng)允許相互通信。當(dāng)兩個系統(tǒng)被允許建立連接時，密鑰分發(fā)中心就為這條連接提供一個一次會話密鑰。第三章：1、列舉消息認證的三種方法：(P48)單向散列函數(shù)，消息認證碼 MAC，利用常規(guī)加密的消息認證2、什么是 MAC：(P49)一種認證技術(shù)。利用私鑰產(chǎn)出一小塊數(shù)據(jù)，并將其附到消息上。這種技術(shù)稱為消息。3、簡述圖 3.2 所示的三種方案：(P50)一、6 A使用傳統(tǒng)加密。B.使用公鑰加密。C.使用值。4、對于消

6、息認證，散列函數(shù) H 必須具有什么性質(zhì)才可以用：(P51)1 H 可使用于任意長度的數(shù)據(jù)塊 2 H 能生成固定長度的輸出3 對于任意長度的 x，計算 H（x）相對容易，并且可以用軟/硬件方式實現(xiàn) 4 對于任意給定值 h,找到滿足 H(x)=h 的x 在計算機上不可行。5 對于任意給定的數(shù)據(jù)塊 x,找到滿足 H（y）=H(x)，的 y=!x 在計算機上是不可行的。 6 找到滿足 H（x）=H(y)的任意一對（x,y）在計算機上是不可行的。5、對于散列函數(shù)的內(nèi)容，壓縮函數(shù)是什么：(P56)壓縮函數(shù)也具有散列函數(shù)的特征，具有抗碰撞能力的壓縮函數(shù)可以被用來設(shè)計成消息認證方法。Whirlpool 算法就

7、是采用 AES 分組加密方法使用于壓縮函數(shù)。6、公鑰加密系統(tǒng)的基本組成元素是什么？(P59) 明文，加密算法，公鑰和私鑰，密文，解密算法7、列舉并簡要說明公鑰加密系統(tǒng)的三種應(yīng)用：(P60)加密/，數(shù)字簽名，密鑰交換8、私鑰和密鑰之間有什么區(qū)別：(P60)傳統(tǒng)加密算法中使用的密鑰被特別地稱為密鑰，用于公鑰加密的兩個密鑰被稱為公鑰和私鑰。私鑰總是的，但仍然被稱作私鑰而不是密鑰，這是為了避免與傳統(tǒng)加密。9、什么加密的，因為沒有其他人擁有 A 的私鑰，所以其任何人都不能創(chuàng)建由 A 的公鑰能夠的密文。因此，整個加密的消息就成為一個數(shù)字簽名。10、什么是公鑰：(P67)公鑰由公鑰加上所有者的用戶 ID 以

8、及的第簽名的整個數(shù)據(jù)塊組成。11、公鑰加密如何用來分發(fā)密鑰：(P69)1 準備消息 2 利用傳統(tǒng)會話密鑰，使用傳統(tǒng)加密方法加密消息 3 利用對方的公鑰，使用公鑰加密的方法加密會話密鑰 4 把加密的會話密鑰附在消息上，并且把他發(fā)送給對方第四章：1、設(shè)計 KERBEROS 是為了解決什么問題？(P78) 一、11假設(shè)在一個開放的分布式環(huán)境中，工作站的用戶希望分布在網(wǎng)絡(luò)各處的服務(wù)器的服務(wù)。希望服務(wù)器能夠?qū)?quán)限限制在用戶范圍內(nèi)，并且能夠認證服務(wù)請求。2、在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上，與用戶認證有關(guān)的三個威脅是什么？(P78) 1）、一個用戶可能進入一個特定的工作站，并冒充使用那個工作站的其他用戶 2）、一個用戶可

9、能改變一個工作站的網(wǎng)絡(luò)地址，使得從此工作站發(fā)出的請求好像是從被的工作站發(fā)出的 3）、一個用戶可能信息交換，并使用重放來獲取連接服務(wù)器，或者是破壞正常操作。3、列出在分布式環(huán)境下進行安全用戶認證的三種方式：(P79)依靠每個用戶工作站來確認用戶或用戶組，并依靠每個服務(wù)器通過給予每個用戶的方法來強制實施安全方案要求服務(wù)器對用戶系統(tǒng)進行認證，在用戶方面信任用戶系統(tǒng)3.需要用戶對每個調(diào)用的服務(wù)證明自己的，也需要服務(wù)器向用戶證明他們的4、對 Kerberos四點要求是什么？(P79) 安全，可靠，透明，可伸縮5、一個kerberos 服務(wù)的環(huán)境由那些實體組成？(P86) 一臺 Kerberos 服務(wù)器，

10、若干客戶端和若干應(yīng)用服務(wù)器6、在 kerberos 環(huán)境下，域指什么？(P86) 一個服務(wù)的 Kerberos 環(huán)境，包括一臺Kerberos 服務(wù)器、若干臺客戶端和若干應(yīng)用服務(wù)器的這種環(huán)境被稱為 Kerberos 域。7.kerberos 版本 4 和版本 5 的主要區(qū)別由那些？(P88) 版本 5 要解決版本 4 在兩方面的局限：環(huán)境上有 6 個方面的不足和技術(shù)上有 5 個方面的缺陷。(請例舉)。8、X.509 標(biāo)準的目的是什么？(P93)1、X.509 定義了一個使用 X.500 目錄向其用戶提供認證服務(wù)的框架2、X.509 是一個重要的標(biāo)準，因為、X.509 中定義的使用。3、X.50

11、9 最初發(fā)布于、1988 年4、X.509 基于公鑰加密體制和數(shù)字簽名的使用。結(jié)構(gòu)和認證協(xié)議在很大環(huán)境下都會9、什么叫鏈？（P95-P96）在多個 CA 認證中心之間需要相互認證各自的用戶時，由各個 CA 認證中心相互認證的，形成一個鏈，通信雙方通過這個鏈取得相互信任。10 怎樣撤銷 X.509每一個存放在目錄中的？(P97)撤銷列表都由者簽名，并且包括：者的名稱，列表創(chuàng)建日期，下一個 CRL 計劃日期和每一個被撤銷的。當(dāng)用戶從消息中得到時，必須要確定是否被撤銷。用戶可以在每次收到時檢查目錄。為了避免由目錄搜列表的本地緩存。索帶來的延遲，用戶可以一個和被撤銷第五章：1、PGP 提供的 5 種主

12、要服務(wù)是什么？(P109)認證(數(shù)字簽名)，(消息加密)，壓縮，電子郵件兼容和分段。2、分離簽名的用途是什么？(P110)分離簽名可以與其簽名的消息分開防止；3 可以多方簽名。和傳送，這在許多情況下都有用：1 用戶的要求；23、PGP 為什么在壓縮前生成簽名？(P111)1.對未壓縮的消息進行簽名可以保存未壓縮的消息和簽名供未來驗證時使用； 2.即使有人想動態(tài)地對消息重新壓縮后進行驗證，用 PGP現(xiàn)有的壓縮算法仍然會比較。4、什么是基-64 轉(zhuǎn)換？(P112)將一組三個 8 比特二進制數(shù)據(jù)時加上 CRC 校驗以檢測傳送錯誤。為 4 個 ASCII 碼字符，同5、電子郵件應(yīng)用為什么使用基-64

13、轉(zhuǎn)換？(P112) 使用 PGP 時，要對數(shù)據(jù)進行加密。加密得到的數(shù)據(jù)可能是由任意的 8 比特字節(jié)流組成。然而許多電子郵件系統(tǒng)僅僅允許使用由 ASCII碼組成的數(shù)據(jù)塊。為適應(yīng)這個限制，PGP 提供了將 8 比特二進制流轉(zhuǎn)換為可打印的 ASCII 碼字符的功能。6、PGP 為什么需要分段和重組？(P113) 電子郵件工具通常限制消息的最大長度。未來適應(yīng)這個限制，PGP 自動將長消息分段，使之可以通過電子郵件發(fā)送。分段在所以其他操作（包括基-64 轉(zhuǎn)換）治好進行。因此，會話密鑰和簽名部分僅在第一個分段的開始出現(xiàn)。7、PGP 如何使用信任關(guān)系？(P119) PGP 的信任關(guān)系由 “密鑰域”、“簽名信

14、任域”、“所有者信任域”這三個域獲得一致性。經(jīng)過三步流程(寫出三個流程的過程)，周期性的處理公鑰8、RFC 822 是什么？(P121)RFC 822 定義了一種電子郵件傳輸?shù)奈谋鞠⒏袷?，這是一種被廣泛使用的基于互聯(lián)網(wǎng)傳遞的文本郵件標(biāo)準。包括信封和內(nèi)容兩部分(寫出這兩部分內(nèi)容)。9、MIME 是什么？(P122)是指多用途網(wǎng)際郵件擴展是對 RFC 822 框架的擴展，用于解決關(guān)于電子郵件的 SMTP，簡單郵件傳輸或其他郵件傳輸協(xié)議和 RFC 822 存在的一些問題和局限性。10、S/MIME 是什么？(P121)是基于 RSA 數(shù)據(jù)安全性，對互聯(lián)網(wǎng)電子郵件格式標(biāo)準 MIME 的安全性增強。雖

15、然 PGP 和S/MIME 都基于 IETF 標(biāo)準，但 S/MIME 側(cè)重于適合商業(yè)和團體使用的工業(yè)標(biāo)準.第六章：1、舉出一個應(yīng)用 IPSEC 的例子：(P143)1.路由器廣播；2.鄰居廣播；3.重定向報文；4.路由更新未被。(詳細寫出一個即可)2、IPSEC 提供那些服務(wù)？(P145)控制，無連接完整性，數(shù)據(jù)源認證，包，性，受限制的流量性3、那些參數(shù)表示了 SA，那些參數(shù)表現(xiàn)了一個特定 SA 的本質(zhì)？(P146)由安全參數(shù)索引、IP 目的地址、安全協(xié)議標(biāo)識三個參數(shù)確定一個 SA。由“序列號計數(shù)器，序列計數(shù)器溢出，反重放窗口，AH 信息，ESP 信息，此安全關(guān)聯(lián)的生存期，IPSec 協(xié)議模式

16、，最大傳輸單元路徑”等參數(shù)表示一個特定的 SA。4、傳輸模式與隧道模式有何區(qū)別？(P148)傳輸模式是對 IP 數(shù)據(jù)包的載荷(上層協(xié)議)、IPV6 報頭的擴展部分進行保護和認證；隧道模式是對整個內(nèi)部 IP 包、IPV6 報頭的擴展部分進行保護和認證。5、什么是重放？(P149)者得到了一個經(jīng)過認證的包的副本，稍后又將其傳送到其希望被傳送。重放就是一個到的目的的站點的6、為什么 ESP 包括一個填充域？(P153)ESP 格式要求填充長度和鄰接報頭域為右對齊的 32 比特的字，同樣，密文也是 32 比特的整數(shù)倍，填充域用來保證這樣的排列。7、SA 的基本方法是什么？(P156)1.傳輸鄰接：這種

17、方法指在沒有激活隧道的情況下，對一個 IP 包使用多個安全協(xié)議。 2.隧道迭代：指通過 IP 隧道應(yīng)用多層安全協(xié)議。8、Oakley 密鑰確定協(xié)議和 ISAKMP 在 IPSec 中起到什么作用？(P158)IPSec 的密鑰管理部分包括密鑰的確定和分發(fā)。分手動密鑰管理和自動密鑰管理兩種類型。Oakley 和 ISAKMP 就是 IPSec 的自動密鑰管理協(xié)議。第七章：1、圖 7.1 給出的三種方法的各自優(yōu)點是什么？(P177)采用 IPSec 方法的優(yōu)勢是在網(wǎng)絡(luò)層上實現(xiàn)安全，對于終端用戶和應(yīng)用是透明的，用戶和應(yīng)用程序不必考慮安全機制。采用 SSL/TLS 方式的優(yōu)勢是在傳輸層上實現(xiàn)安全傳輸，

18、在 Web 拂去其和Web 客戶端嵌入該安全方法，就能夠保證互聯(lián)網(wǎng)上實現(xiàn)且安全的。而采用諸如PGP、SET 等方法的優(yōu)勢是可以針對特定的需求和應(yīng)用，定制特別的安全機制。該機制是在應(yīng)用層上實現(xiàn)安全。2、SSL 由那些協(xié)議組成？(P178 圖 7.2) SSL協(xié)議，SSL 握手協(xié)議，SSL變更規(guī)格協(xié)議，SSL協(xié)議。(詳細寫出)3、SSL 連接和 SSL 會話之間的區(qū)別是什么？(P178)連接是一種能夠提供合適服務(wù)類型的傳輸。會話：SSL 會話是客戶與服務(wù)器之間的一種關(guān)聯(lián)。4、列出定義 SSL 會話狀態(tài)的參數(shù)，并簡要給出各參數(shù)的定義：(P179) 會話標(biāo)識符，對等證書，規(guī)格，主密鑰，可恢復(fù)性。(要寫

19、出定義)5、列出定義 SSL 會話連接的參數(shù)，并簡要給出各參數(shù)的定義：(P179)服務(wù)器和客戶端隨機數(shù)，服務(wù)器寫 MAC 密鑰，客戶端寫 MAC 密鑰，服務(wù)器寫密鑰，客戶端寫密鑰，初始化向量，序列號。(要寫出定義)6、SSL協(xié)議提供了那些服務(wù)：(P179-180)性和消息完整性。(要寫出定義)7、SSL協(xié)議執(zhí)行過程中涉及到那些步驟？(P180)先將數(shù)據(jù)分段成可操作的塊，然后選擇壓縮或不壓縮數(shù)據(jù)，再生成 MAC，加密，添加頭并將最后的結(jié)構(gòu)作為一個 TCP 分組送出。8、列出 SET 的主要參與者，并簡要給出他們的定義：(P194-195)持卡者：在待膩子環(huán)境下，消費者與公司客戶是通過互聯(lián)網(wǎng)上的個

20、人計算機與商家發(fā)生聯(lián)系的。 商家：商家是能夠售賣貨物或服務(wù)給持卡者的個人或組織。發(fā)卡機構(gòu)：發(fā)卡機構(gòu)是能夠為持卡者提供支付卡的金融機構(gòu)。商：商是為了商家建立帳戶并處理支付卡認證與支付事物的金融機構(gòu)。支付網(wǎng)關(guān)：是商或指定第的專門處理商家支付信息的功能設(shè)施認證機構(gòu)：是一個為持卡者，商家和支付網(wǎng)關(guān)簽發(fā) X.509V3 公鑰的實體。9、什么是雙重簽名？其目的是什么？(P196)雙重簽名是 SET 協(xié)議中，保證發(fā)出的訂單信息 OI 與相對應(yīng)的致富信息 PI 是唯一對應(yīng)的。消費者使用簽名：DS=E（PRc,H(H(PI)|H(OI)）； 商家使用簽名：H(PIMD|HOI);D(PUc,DS)；驗證簽名：H

21、(HPI|OIMD);D(PUc,DS)。這樣都可以證明該項交易真實性。第八章：1、把網(wǎng)絡(luò)管理體系結(jié)構(gòu)視為一個整體的意義是什么？(P205)網(wǎng)絡(luò)管理系統(tǒng)將整個網(wǎng)絡(luò)視為一個的體系結(jié)構(gòu)，并為系統(tǒng)中的各個點分配地址和，為系統(tǒng)所知的每個部件和鏈路分配特定的屬性。網(wǎng)絡(luò)中的主動部件會定期的將其狀態(tài)信息反饋給網(wǎng)絡(luò)控制中心。2、SNMP 模型中的關(guān)鍵元素是什么? (P205-206)一、20 管理站，管理網(wǎng)絡(luò)管理協(xié)議，管理信息庫，3、什么是 MIB？(P206)為了管理網(wǎng)絡(luò)中的資源，SNMP 使用客體來描述每個資源?？腕w的本質(zhì)是數(shù)據(jù)變量，它描述管理在某一個方面的屬性的集合了 MIB,MIB 的功能是作為管理站

22、在上的點集合。4、SNMPV1 提供那些基本功能和命令？(P206)GET, SET, Notify5、SNMP 委托的功能是什么？(P207-208)對于沒有安裝 SNMP 的設(shè)備進行網(wǎng)絡(luò)管理，稱之為“委托”。是采用“管理站查詢”“委托轉(zhuǎn)發(fā)”“設(shè)備應(yīng)答”“委托設(shè)陷井告知管理站”的流程工作的。6、簡要解釋 SNMPV1 的概念？(P211)是一個 SNMP理特性。和一組 SNMP 管理器之間的關(guān)系，定義了認證，控制和委托代7、SNMPV1,SNMPV2 和 SNMPV3 之間的關(guān)系是什么？(P205、P209、P213)SNMPv1 是具備網(wǎng)絡(luò)管理的基本功能；SNMPv2 增強了 v1 版的功

23、能，如可以管理分布式網(wǎng)絡(luò)、支持用非 TCP/IP 協(xié)議簇的其他協(xié)議、支持本地做了增強。協(xié)議關(guān)系等等；SNMPv3 則在安全性能上8、USM 模型用來預(yù)防什么威脅？(P221) 信息更改，消息流泄漏9、引擎與非引擎之間的區(qū)別是什么？(P222)能接受包含需要應(yīng)答的載荷的 SNMP 消息包的接受者為擎；能發(fā)送不需要應(yīng)答的載荷的 SNMP 消息包的發(fā)送者為擎。引擎；不能接受者為非引擎；不能發(fā)送者為非引引10、什么是密鑰本地化？(P225)為用戶和(P228)的 SNMP 引擎之間共享的密鑰。11、列出并簡要定義VACM 的元素？主體，安全級別，安全模型，客體實例，類型。第九章：1、列出并簡要定義三類

24、者？(P237)用戶，違法用戶，隱秘用戶2、用于保護口令文件的兩種通用技術(shù)是什么？(P239)單向函數(shù)，和控制3、防御系統(tǒng)可以帶來那三個好處？(P240) 1、如果足夠快地檢測到行為，就可以在檢測系統(tǒng)是者危害系統(tǒng)或者數(shù)據(jù)安全之前將其鑒別并出系統(tǒng)。 2 有效的一種威懾力量，能夠起到防護者的作用。 3檢測可以收集技術(shù)信息，這些信息可以用于增強防護系統(tǒng)的防護能力。4、統(tǒng)計異常檢測和基于規(guī)則的檢測之間有那些區(qū)別？(P243, P245) “統(tǒng)計異常檢測”是依據(jù)對正常/合法的行為進行檢測，當(dāng)檢測到超出正常范圍時就認為發(fā)生了行為；而“基于規(guī)則的檢測”則是對行為進行檢測，發(fā)現(xiàn)的行為即認為發(fā)生壞了行為。5、對于基于行為曲線的檢測來說，采用什么尺度是有益的？(P243) 可以按照“計數(shù)器”、“計量器”、“間隔計時器”、“資源使用情況”這幾個尺度來衡量行為。6、基于規(guī)則的異常檢測和基于規(guī)則的滲透檢測之間有什么不同？(P245)異常檢測是建立