網絡安全基礎應用與標準（第5版）期末復習題及答案

網絡安全基礎應用與標準（第5版）期末復習題第一章信息安全概述網絡安全的含義什么是信息？概念信息是對事物_________的度量，可用_________來描述理解信息是一種_________存在，用于消除_________和_________內涵信息源于_________，并可獨立于_________存在信息具有_________、_________和_________什么是信息技術？概念應用在信息____和_____過程中的_____、_____與____的_____和_____及_____理解凡是能擴展人的_____的技術都是信息技術，_____、_____、_____是典型代表內涵：感傳存處用控對信息進行_____、_____、_____、_____、_____、_____和_____的方法和技術的總和什么是信息安全？概念使信息資產_____的一切手段和方法。理解_____和_____并重，_____是基礎，_____是核心，_____是關鍵內涵：信息資產不因_____的原因遭到_____、_____及_____使信息資產_____的一切手段和方法信息安全的三個基本目標：______、______，______CIA三準則______Confidentiality保證信息為授權者使用而______給______。____________，數據未被未授權______或者____________，系統(tǒng)未被非授權______，按既定的功能運行______保證信息和信息系統(tǒng)____________，而不要出現非授權者______卻對授權者______的情況。其他安全需求____________：要求無論______還是______都不能抵賴所進行的____________：______和______的____________：授權實體可以______信息系統(tǒng)和信息使用的特性______：確認______是它所聲明的____________：確保______的活動可被______第三、四、五章密碼學相關對稱加密和非對稱加密的特征______需要變換的原消息______明文經過變換成為另一種隱蔽的形式密鑰特征一種完整的密碼技術包括______和______兩個方面______包括密鑰的______、______、______和______等______包括______和______根據密鑰的特點，又可分為：______（______、______）密碼體制______（______、______）密碼體制對稱密鑰根據______的分類：____________和____________對稱密碼技術也叫做______或______密碼技術特點：加密和解密時所用的密鑰是______或者______，即由加密密鑰可以很容易推導出解密密鑰在______技術出現之前，它是唯一的加密類型。對稱密碼體制公開密碼體制流密碼使用方法與“______”相同密鑰相對______密鑰被“______”成____________分組密碼基于______的思想分組密鑰確定了“______”每一個密鑰確定______的“______”同時使用了“______”和“______”流密碼密鑰流的使用方法與“______”相同基本思想：首先利用______產生一個______然后使用如下規(guī)則對明文串x=x0x1…加密y=y0y1y2…=Ez0(x0)Ez1(x1)Ez2(x2)…解密時，使用______的密鑰流與密文做運算(XOR)兩個算法____________已經不如分組密碼流行了分組密碼類似“____________”將明文______后的數字序列劃分成長為m的______各明文組在長為i的______的控制下變換成長為n的______通常取n＝mn>m______分組密碼n<m______分組密碼典型分析密碼結構-______美國商用數據加密標準______（DataEncryptionStandard）典型分析密碼結構-Feistel基于“______”和“______”的思考，Feistel想出了______和______交替的方式構造密碼Feistel是一種______，并非一個特殊的密碼加密將明文分成左、右兩部分:明文=(L0,R0)在每一輪i=1,2,...,n,計算 Li=Ri1 Ri=Li1F(Ri1,Ki) 其中F：輪函數，Ki：子密鑰密文=(Ln,Rn)解密密文=(Ln,Rn)每一輪i=n,n1,…,1,計算 Ri1=Li Li1=RiF(Ri1,Ki) 其中Fis______andKiis______明文=(L0,R0)DESDES是______輪的Feistel結構密碼Data:8個字節(jié)______位（明文分組長度）Key：8個字節(jié)______位密鑰（每一輪______位子密鑰）Mode：______DES加密過程：______64位->______IP->16輪______->______IP-1->______初始置換把輸入的64位數據的排列順序打亂，每位數據按照下面規(guī)則重新組合，分為L0和RO左右兩部分(各32位)16輪加密變換ki怎么生成？PC-1:忽略______(第8,16,24，32,40,48,56,64位)C0(28位)=K57K49K41...K44K36D0(28位)=K63K55K47...K12K4Lsi:______其中LS1,LS2,LS9,LS16是循環(huán)左移1位，其余為2位C0(28位)=K57K49K41...K44K36D0(28位)=K63K55K47...K12K4C1(28位)=？D1(28位)=？PC-2:選擇48位______選擇(去掉第9、18、22、25、35、38、43、54位，密鑰從56位變成48位)置換：f函數E擴展：將數據右半部分R從32位擴展到48位；目的：產生與密鑰長度相同的數據以進行異或運算S1，S2..S8（8個盒子）：6位輸入—4位輸出；輸入：110011(1和6位:11;2-5:1001)；輸出：第3行第9列（12），輸出1100；將S的32位輸出按照P盒進行置換：至此，一輪加密運算結束，包括二個步驟：（1）______(Kn的生成，n=1~16)；（2）f函數：______；______；______經過16輪加密運算，進行______的逆過程DES算法描述1）輸入64位明文，進行______；2）初始置換后，明文分成左右L0，R0，各______；3）在密鑰控制下，進行16輪______,f(Ri,K(i+1));4）16輪運算結束后，進行______；5）輸出______；加密密鑰:k1,k2…k16，解密密鑰:k16k15…k1；加密是循環(huán)左移，則解密是循環(huán)右移；DES算法特點1）______：分組長度64位，64位輸入，64位輸出；2）______：加密和解密使用同一密鑰；3）______：64位，但第8,16,24，32,40,48,56,64位為奇偶校驗位，可以忽略，參與f函數運算的是48位子密鑰;4）____________：順序打亂，擴散，…；優(yōu)點：______；缺點：______Diffie-Hellman公開______和______秘密:Alice的指數__,Bob的指數__Alice計算(gb)a=gba=gabmodnBob計算(ga)b=gabmodn他們可以使用K=gabmodn做為對稱密鑰舉例選定n=97,g=5Alice選擇自己的私有密鑰a=36,則她的公鑰是A＝536mod97＝50Bob選擇自己的私有密鑰b=58,則他的公鑰是B＝558mod97=44用戶Alice和Bob互換公鑰后，都可以計算出k=Bamod97=4436mod97=75k=Abmod97=5058mod97=75RSA算法的密鑰選取兩個大素數p與q，然后算出n=pq，φ(n)=(p-1)(q-1)，再選取一個正整數e，使之滿足(e，φ(n))=1，1<e<φ(n)，其中()表示求最大公約數；再求出正整數d，使之滿足1<d<φ(n)，且使d×e≡1modφ(n)。d=(k*φ(n)+1)/e然后用{n，e}作為公鑰，{n，d}作為私鑰RSA算法的加解密加密C=Memodn解密M=Cdmodn舉例選取兩個“大”素數p＝11，q＝3n＝p×q＝33φ(n)=(p-1)(q-1)＝20選擇e＝3，因為3與20互質再求出正整數d，使之滿足1<d<φ(n)，且使d×3≡1mod20所以d＝7公鑰（n，e）＝（33，3）私鑰（n，d）＝（33，7）假設明文是M＝8密文是C=Memodn=8^3mod33=17明文是M=Cdmodn=17^7mod33=410338673mod7=8文本加密令26個字母對應0-26設明文為M＝publicE(p)=15^3mod33=3375mod33=9E(u)=20^3mod33=14E(b)=1^3mod33=1E(l)=11^3mod33=11E(i)=8^3mod33=17E(c)=2^3mod33=8則c＝E（M）＝091401111708＝joblri文本解密收到密文后用d=7進行解密D(j)=09^7mod33=15,即明文pD(o)=14^7mod33=20,即明文uD(b)=01^7mod33=1,即明文bD(l)=11^7mod33=11,即明文lD(r)=17^7mod33=8,即明文iD(i)=08^7mod33=2,即明文c利用模運算的性質:(a*b)modn=[(amodn)*(bmodn)]modnabmodn=(amodn)bmodn常見的兩種編碼方法：移位和置換第6-1章消息認證和散列函數數據完整性定義存儲在數據庫中的所有數據值均_____的狀態(tài)。如果數據庫中存儲有_____的數據值，則該數據庫稱為已喪失數據完整性。認證的分類：_____和_____消息認證（報文鑒別）對收到的消息進行驗證，證明確實是來自聲稱的_____，并且沒有被_____。如果在消息中加入_____及_____信息，則可以完成對時間和順序的認證_____是一種認證手段，其中的一些方法可以用來抵抗_____的_____。消息認證的三種方式1.__________：用整個消息的_____作為認證標識,接收方必須能夠識別錯誤2._____：MessageAuthenticationCode,消息認證碼一個_____（消息和密鑰的函數），加上一個_____產生一個固定長度的值作為認證標識，MACM=f(KAB,M)；3.Hashfunction：一個_____將任意長度的消息映射到一個固定長度的_____，作為認證標識網絡安全機制_______________第6-2章身份認證技術數字簽名：_____基本要求：能與所簽文件“_____”、簽名者不能_____自己的簽名、簽名不能被_____、容易被_____。CA(認證中心)和RA(注冊審批機構)區(qū)別RA系統(tǒng)是CA的證書_____、_____的_____。它負責證書申請者的_____、_____以及_____等工作；同時，對發(fā)放的證書完成相應的_____。發(fā)放的數字證書可以存放于_____、_____或_____等介質中。RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分。RA作為CA認證體系中的一部分，能夠直接從CA提供者那里繼承CA認證的_____。能夠使_____以自己的名義發(fā)放證書，便于客戶_____。第6-3章訪問控制技術訪問控制三元組(_____、_____、_____)_____Subject 發(fā)出_____、_____的_____，通常可以是用戶或用戶的某個_____等。_____Object 被_____的對象，通?？梢允潜徽{用的_____、_____，要存取的_____、_____，要訪問的_____、_____或各種_____、_____等資源。_____AccessControlPolicy 用以確定一個_____是否對_____擁有_____的規(guī)則集訪問控制的實現技術實現原理實現訪問控制的基礎是如何明確訪問控制策略，即給出主體對客體的相關訪問規(guī)則集合，并根據_____管理_____對_____的訪問行為。實現方法較為常見的訪問控制的實現方法主要有以下四種：__________、__________、__________、_______________。三種訪問控制策略__________、__________、_______________。信息根據敏感程度一般可為成：_____，_____，_____，_____第9章IPSec協(xié)議IPSec的兩種通信保護機制：_____和_____NAT隧道模式：保護子網拓撲IPSec的定義（包括功能，組成等）三種功能：_____、_____和_____IPSec的三個最重要協(xié)議：_____、_____、_____第12章Web安全SSL協(xié)議工作流程的兩個階段：________和_______第13章網絡協(xié)議的安全性傳輸層威脅LAND攻擊的概念：源地址和目的地址相同的SYN包ACK泛洪攻擊的概念：傳輸不合法數據包SYN泛洪攻擊：虛假地址的SYN請求IP欺騙的基礎：互聯網開放性，IP地址真實性驗證拒絕服務攻擊的原理及防御方法DoS攻擊是指利用網絡協(xié)議漏洞或其他系統(tǒng)以及應用軟件的漏洞耗盡被攻擊目標資源，使得被攻擊的計算機或網絡無法正常提供服務，直至系統(tǒng)停止響應甚至崩潰的攻擊方式。即攻擊者通過某種手段，導致目標機器或網絡停止向合法用戶提供正常的服務或資源訪問。對于拒絕服務攻擊而言,目前還沒有比較完善的解決方案。但是由于攻擊者必須付出比防御者大得多的資源和努力才能實現有效的攻擊，所以只要我們更好地了解DDoS攻擊，積極部署防御措施，還是能在很大程度上緩解和抵御這類安全威脅的。另外，加強用戶的安全防范意識，提高網絡系統(tǒng)的安全性也是很重要的措施。監(jiān)控骨干網絡設備，減少骨干網主機的漏洞；合理配置路由器及防火墻，實現IDS和防火墻的聯動；加強網絡管理，建立合理的應對策略。第14章網絡安全隔離技術防火墻三種關鍵技術及其工作在哪一層_____（網絡層）、_____（應用層）、_____（傳輸層）。防火墻四種體系結構的安全性排序：屏蔽路由器型<屏蔽主機型<雙宿主主機型（屏蔽防火墻）<屏蔽子網型（最高）。第15-1章惡意軟件-網絡掃描技術主機掃描確定在目標網絡上的主機_____，同時盡可能多映射目標網絡的_____，主要利用_____數據包端口掃描發(fā)現遠程主機開放的_____以及_____TCP連接的三個包及相應的攻擊1、首先由Client發(fā)出請求連接即SYN=1，聲明自己的序號是seq=x2、然后Server進行回復確認，即SYN=1，聲明自己的序號是seq=y,并設置為ack=x+1,3、最后Client再進行一次確認，seq=x+1,ack=y+1.三種類型的端口掃描的原理TCPconnect()掃描：掃描器調用_____的_____函數發(fā)起一個正常的連接，如果端口是_____則連接成功，否則連接失敗TCPSYN掃描：向目標主機的特定端口發(fā)送一個_____包，如果應答包為_____，則說明該端口是關閉的，否則，會收到一個_____包。于是，發(fā)送一個_____，停止建立連接，由于連接沒有完全建立，所以稱為“__________”TCPFin掃描：掃描器發(fā)送一個_____數據包，如果端口關閉的，則遠程主機丟棄該包，并送回一個_____包，否則的話，遠程主機丟棄該包，_____第15-2章惡意軟件-網絡攻擊與防御（一）內存存儲空間的分類：堆（存放所有new出