信息安全原理與技術(shù)第3版習(xí)題答案

1.1主動(dòng)攻擊和被動(dòng)攻擊是區(qū)分是什么?答：被動(dòng)攻擊時(shí)系統(tǒng)的操作和狀態(tài)不會(huì)轉(zhuǎn)變，因此被動(dòng)攻擊主要威逼信息的保密性。主動(dòng)攻擊那么意在篡改或者偽造信息、也可1.2列出一些主動(dòng)攻擊和被動(dòng)攻擊的例子。加密機(jī)制：加密是供應(yīng)數(shù)據(jù)愛護(hù)最常用的方法，加密能夠供應(yīng)數(shù)據(jù)的保密性，并能對(duì)其他平安機(jī)制起作用或?qū)λ鼈冞M(jìn)行補(bǔ)公證機(jī)制：在兩個(gè)或多個(gè)實(shí)體間進(jìn)行通信時(shí)，數(shù)據(jù)的完整性、來源、時(shí)間和目的地等內(nèi)容都由公證機(jī)制來保證。答：平安效勞是加強(qiáng)數(shù)拯處理系統(tǒng)和信息傳輸?shù)钠桨残缘囊环N效勞，是指信息系統(tǒng)為英應(yīng)用供應(yīng)的某些功能或者幫助業(yè)務(wù)。平安效勞模型主要由三個(gè)局部組成：支撐效勞，預(yù)防效勞和恢復(fù)相關(guān)的效勞。支撐效勞是英他效勞的根底，預(yù)防效勞能夠阻擋平安漏洞的發(fā)生，檢測與恢復(fù)效勞主要是關(guān)于平安漏洞的檢測，以及實(shí)行行1.5說明平安目標(biāo)、平安要求、平安效勞答：全部平安需求的實(shí)現(xiàn)才能到達(dá)平安目標(biāo)，平安需求和平安效勞是多對(duì)多的關(guān)系，不同的平安效勞的聯(lián)合能夠?qū)崿F(xiàn)不同的平安1.6說明在網(wǎng)絡(luò)平安模型中可信的第三方所起的作用。2·1、列出小于30的素?cái)?shù)。2.2、假設(shè)a是大于1的整數(shù)，那么a的大于1的最小因子一泄是素?cái)?shù)。證明假設(shè)a是素?cái)?shù)，明顯a的大于1的最小因子就是素?cái)?shù)a;假設(shè)a是合數(shù)，那么明顯除1和a外還有其它的因數(shù)，令b是這些正因數(shù)中最小者，可以證明b不是合數(shù)而是素?cái)?shù)，假設(shè)英不然，b必有大于1且不等于b的因數(shù)c,于是由clb和blc可知cla,即c是a的因數(shù)，又有l(wèi)<c<b.這與假設(shè)b是a的大于1的最小因數(shù)相沖突.故b不是合數(shù)而是素?cái)?shù).因此，a的大于1的最小因數(shù)b是素?cái)?shù).仃J(a+h)modm=((amodm)+(bmodm))mo(“一b)modm=(jm+q-km-r)modm=(乙一r)modm=[(amod(3)(axb)modm=((amodm)mx(hmodm))modm證明：假設(shè)amodh=r,b,modrn,那么得a=jm+rajeZ.同樣，假定4于是EQ\*jc3\*hps26\o\al(\s\up3(m),r)EQ\*jc3\*hps26\o\al(\s\up3(ke),jm)EQ\*jc3\*hps26\o\al(\s\up3(6),o)EQ\*jc3\*hps26\o\al(\s\up3(d),r)EQ\*jc3\*hps26\o\al(\s\up3(m),od)EQ\*jc3\*hps26\o\al(\s\up3(m),am)(4)(t/x(Z?+c))modm=((axb)modm)+((t/xc)modm))mod證明：1!1(1)和(3)可矢H(ax(b+c))modin=((axb)+(axc))modin=(((axb)mod2.5、證明5他1是56的倍數(shù)*證明：由于5,=13mod56,5smod56=(5ax5s)mod56=(13x13)mod56三1mod56,對(duì)同余式兩邊同時(shí)升到10次幕，即那么10組mod56三1mod56,從而可以寫成三1mod56或所以么60-】是56的倍數(shù)。2.6、對(duì)于整數(shù)39和63,答復(fù)下而問題解：由于gcd(39.63)=3,所以他們不互素。所以39和63的最大公因子是3.10=2x5+0,可知25和15的最大公因子是5,E|jgcd(25,15)=5~1.所以不互素那么三x解：對(duì)1997和57運(yùn)用歐兒里德算法的過程如下：同理，對(duì)24140和16762運(yùn)用歐兒里德算法的過程如下2.8、用擴(kuò)展歐幾里德算法求以下乘法逆元(1)1234mod4321QX100130112143142442435131-1082三3239mod4321,所以QX0010121123223433516279820Q100130112413154551617138431a=2H't6x36=216三62mod77a=1時(shí)36?=64mod77a=OH'];64x62=3968三41mod77,所以2008三2008rmod77=41mod7742三16,12x16°H12(mod77)mod77,11121=(1010,1)得3?三9,3?x9°H3(mod77)三69mod772.10s用費(fèi)馬定理求3(mod11)共20個(gè)是401393+6191·(-9)=1,401393191+6191(-9191)=191,所以2.16.類似于表2.2,用表列出有限域GF(5)中的加法和乘法運(yùn)算解：表如下：0123412341123422340334012440112233400112342241333142443200233322414b、(6”+x+3)x(5x?+2)=(30x?+5x?+27x?+2解：己&)@b(x)=a(x)b(x)rrodf(x)=(2x?+x+2)(2x?+2x+2)rrod(x?+x+1)printf(rinputprintf(inputprintf(uinputthesecondnumber:thethirdnumber:);cin>n;intmain(intcout《ninputthefirstcout<ninputthesecondnumber:《end1;)(2)hello五個(gè)字母對(duì)應(yīng)的數(shù)字分別是7,4,11,11,14分別加密如下：(3*7+5)mod26=0(3*4+5)mod26=17(3*11+5)mod26=12(3*11+5)mod26=12(3*14+5)五個(gè)密文數(shù)字為0,17,12,12,21,對(duì)應(yīng)密文是ARMMVo(3)解密變換為m=1(c·5)mod263五個(gè)字母對(duì)應(yīng)數(shù)字分別為0,17,12,12,21分別利用解密變換解密，解密后對(duì)應(yīng)數(shù)字為7,4,11,11,14所以得到明文為hello。3.2用Playfair密碼加密卜面消息：ciphersusingsubstitutionsortranspositionsarenotsecurecharacteristics.密鑰為theplayfaircipherwasinventedbyCharlesWheatstone解：由密鑰可構(gòu)建如下的密鑰矩陣。THEPLAYFRCWSNVDB0GKMQUXZ將明文依據(jù)兩個(gè)字母分組為：3.3假設(shè)密鑰為.encryption,用維吉尼亞密碼加密消息symmetricschemesrequirebothpartiestoshare在明文下面重復(fù)寫密鑰字，組成密鑰。將明文和密鑰轉(zhuǎn)化為數(shù)字明文=(18,24,12,12,4,19,17,8,2,18,2,7,4,12,4,18,17,4,16,20,8>17,4,1,14,19,7,密鑰=〔4,13,2,17,24,15,19,8,14,13,4,13,2,17,24,15,19,8,14,13,4,13,2,17,24,15,19,8,14,13,4,13,2,1對(duì)每個(gè)明文數(shù)字和對(duì)應(yīng)的密鑰數(shù)字，使用G=(n"+化)mod26加密，得到密文數(shù)字為4,B21,6>9,17,3.11,15,144,&13,4,5,10.h3.4Hill密碼不能(3)破解一個(gè)Hilh密碼至少應(yīng)當(dāng)有m個(gè)不同的明文■密文對(duì)。對(duì)任意的1<jS有y=e〔〕。假如泄義兩個(gè)mxm矩陣X=()#IY=〔y〕,那么有矩陣方程Y=XK,其中mxm矩陣K是未知密鑰。假設(shè)矩陣X是可逆的，那么攻擊者可以算出K=X~Y,從而可以破譯Hill密碼〔假如X不行逆，那么必需重新選擇m個(gè)明-密文對(duì)〕。設(shè)明文為Hill,那么相應(yīng)的明文向量為(7,8)和(11,11)。于是，相應(yīng)的密文向量分別為因此，明文Hill的密文為XIYJo3.6用一次一密加密消息“選尼的密鑰是試寫出密文。3.7使用DES加密，假設(shè)明文和密鑰都為(0123456789ABCDEF)1=(00000001001000110100010101100111(1)推導(dǎo)出第一輪的子密鑰(4)將第(3)問的結(jié)果，輸入到8個(gè)S盒，求出加密函數(shù)FDo=10101010110011001111左移1位后經(jīng)置換選擇2輸出48為Ki。=00001010000000100111011110011011010010007x)=11001100000000001100110E(他)+K=011100000001011100100010111000010101110111110000S](011100)=0000S?(000001)=0000S?(111000)=0011S6(010101)=1101F=001110000000000000100000111Li=/?=11110000101010101111000010Ri=Lo+F=11001000101010101101000001000111|標(biāo)識(shí)為00000001,代入S盒的變換，第一列第2個(gè)字節(jié)的代換方程為再模一個(gè)次數(shù)為8的不行約多項(xiàng)式”7()=g+4+3++1因此{(lán)87}④({02}·{6E})+({03}>{46})④{A6}計(jì)算結(jié)果為3.10接受AES加密，密鑰為2B7E(1)寫出最初的State的值(2)寫出密鑰擴(kuò)展數(shù)組中的前8個(gè)字節(jié)(3)寫出初始輪密鑰加后State的值(4)寫出字節(jié)代換后State的值(5)寫出行移位后的State的值(6)寫出列混淆后State的值號(hào)A其密鑰擴(kuò)展數(shù)組中前8個(gè)字節(jié)為Wo,W0W=SubByte(CF4F3C09)◎(01000000)◎(2BW?=W?+W?=(ABF71588)+(88542CBI)=23A33W;=W?+Wj(09CF4F3C)+(23A33939)=2A6c7605所以，得到第一輪子密鑰Ki為：W◎(4)經(jīng)過字節(jié)代換后，sta忙的值為(5)經(jīng)過行移位后，slate的值為(6)經(jīng)過列混淆變換后，state的值為3.11對(duì)習(xí)題3.10的明文和密鑰不變，接受SMS4加密。(1)求出第一輪的輪密鑰rku°(2)求第一輪加密后的明文輸出是什么?(1)SMS4加密算法的輪密鑰由加密密鑰通過密鑰擴(kuò)展算法生成，第一輪輪密鑰rku的計(jì)算過程如下：①首先，將加密密鑰MK=(MK°,MK,,MK2,MK3)按字分為四組，分別為MKo=(2b7e1516),MKi=(28aee/2a6),MK?=W71588),K3)=(MKOFK,MK】+FK、,NMKo=0010101101111110000101兩者做異或運(yùn)算后，得/Co=1000100011001111101011111101ooooA:2=11001100100010101000010000011固定參數(shù)CK°的十六進(jìn)制表示為：00070e15,那么通過異或運(yùn)算A=(兔，山，色，他)二&+K?+L(B)=0001010110011010011111③最終，由公式改二=K田M+Kg@K書◎CK「)知，將K苗步驟②求出的ZJ(B)做異或運(yùn)rfe)=N=10011101010101011101000001011010,十六進(jìn)制表示為：9d55(2)依據(jù)SMS4加密算法，首先將十六進(jìn)制明文3243f6ad885a308d313198a2eO然后，依據(jù)第一輪輪密鑰rk()的計(jì)算結(jié)果，加密函數(shù)F,F(X-,X八X,X22,rk)=X,_@T(X@X?@X?+伙-)得到第一輪輸出數(shù)據(jù)。①進(jìn)行合成置換T運(yùn)算中間值A(chǔ)=(《o,tzi,《z,t/?)=X必)=(110001000000100101111111C=L(B)=11110000101100011010000010110011o%4=(00110010010000111111011010101101)+(1111000010110001000010110011)=1100001011110010010100第4章1.2利用RSA算法運(yùn)算，假如尸11,殲13,el03,1.4在RSA體制中，假設(shè)某用聲的公鑰是3533,尸101,尸113,現(xiàn)對(duì)明文9726加密和解密。解：加密過程{{中，僅供應(yīng)保密性是遠(yuǎn)遠(yuǎn)不夠的。認(rèn)證那么是防止主動(dòng)攻擊的重要技術(shù)。認(rèn)證的目的主要有兩個(gè)：第一，驗(yàn)證消息的發(fā)送者是合法的，不是冒充的，這稱為實(shí)體認(rèn)證，包括對(duì)信源、信宿等的認(rèn)證和識(shí)別；其次，驗(yàn)證信息5.2SHA中使用的根本算術(shù)和規(guī)律函數(shù)是什么?答：SHA-512中最核心的處理就是對(duì)單個(gè)512分組處理的80輪的每一輪的處理，其運(yùn)算如下定義：g=.ft:步驟數(shù)，0</<79oCh(叮，g)=(eAND.f~NOTeMaj(a.b,c)=(aANDb)ANDc)②(bANDc),函數(shù)為真僅當(dāng)變量的多數(shù)(2或3)為真。W:64位，從當(dāng)前的512位消息分組導(dǎo)出K.:64位常數(shù)(3)給泄Hash函數(shù)的描述，對(duì)于給立的散列值h,找到滿足H(m)=h的m在計(jì)算上是不行行的；(4)給泄Hash函數(shù)的描述，對(duì)于給泄的消息叫找到滿足m刖且H伽2)=H伽)的彩在計(jì)算上是不行行的：(5)找到任何滿足H(m)=H(m2)且刖牝的消息對(duì)伽，加2)在計(jì)算上是不行行的。5.5散列函數(shù)和消息認(rèn)證碼有什么區(qū)分?各自可以供應(yīng)什么功能?答：消息認(rèn)證碼和散列函數(shù)都屬于認(rèn)證函數(shù)。簡潔來說，消息認(rèn)證碼是一種使用密鑰的認(rèn)證技術(shù)，它利用密鑰來生成一個(gè)固左長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。而散列函數(shù)是將任意長的消息映射為定長的它們都可以供應(yīng)消息認(rèn)證，認(rèn)證內(nèi)容包括：消息的源和宿；消息內(nèi)容是否曾受到偶然的5.6數(shù)字簽名和散答：散列函數(shù)可以被稱為是消息的“指紋”,它可以用來對(duì)于消息生成一個(gè)固左長度的短數(shù)拯塊。它可以和數(shù)字戶才可以供應(yīng)數(shù)字簽名，數(shù)字簽劃可以解決的問題包括：否認(rèn)：發(fā)送方否認(rèn)發(fā)送過或簽名過某個(gè)消息；偽造：用戶A偽造一份消息，并聲稱該消息來自8:冒充：用戶A冒充其他用戶接收或發(fā)送報(bào)文：篡改：消息接收方5.7數(shù)字簽名需要滿足哪些條件?[1]簽名的結(jié)果必需是與被簽名的消息相關(guān)的二進(jìn)制位串；[2]簽名必需使用發(fā)送方某些獨(dú)有的信息〔發(fā)送者的私鑰〕,以防偽造和否認(rèn)：[3]產(chǎn)生數(shù)字簽名比擬簡潔：[4]識(shí)別和驗(yàn)證簽名比擬簡潔：[5]給左數(shù)字簽名和被簽名的消息，偽造數(shù)字簽乞在汁算上是不行行的。[6]保存數(shù)字簽名的拷貝，并由第三方進(jìn)行仲裁是可行的。5.8給出幾種數(shù)字簽名技術(shù)，分析其優(yōu)缺點(diǎn)。仲裁數(shù)字簽統(tǒng)：仲裁簽名中除了通信雙方外，還有一個(gè)仲裁方。發(fā)送方A發(fā)送給B的每條簽需的消息都先發(fā)送給仲裁者T,T對(duì)消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及英內(nèi)容，檢查無誤后給消息加上日期再發(fā)送給B,同時(shí)指明該消息已通過仲裁者的檢驗(yàn)。因此，仲裁數(shù)字簽名實(shí)際上涉及到多余一步的處理，仲裁者的參與使得對(duì)盲簽名：允許消息發(fā)送者先將消息盲化，而后讓簽名者對(duì)盲化的消息進(jìn)行簽名，最終消息擁有者對(duì)簽名除去6.1解釋身份認(rèn)證的根本概念。答：身份認(rèn)證是指汁算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份答：口令認(rèn)證的優(yōu)點(diǎn)就是簡潔，易于實(shí)現(xiàn)?？诹钫J(rèn)證的缺乏之處是簡潔受到攻擊，主要的攻擊方式有竊聽、重訪問把握決左了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問把握能夠阻擋未6.5有哪幾種訪問把握策略?6.6什么是強(qiáng)制訪問把握MAC策略?它的適用場合是什么?答：強(qiáng)制訪問把握是指訃算機(jī)系統(tǒng)依據(jù)使用系統(tǒng)的機(jī)構(gòu)事先確定的平安策略，對(duì)用戶的訪問權(quán)限進(jìn)行強(qiáng)制性的6.7什么是自主訪問把握DAC策略?它的平安性如何?答：自主訪問把握是指對(duì)某個(gè)客體具有擁有權(quán)(或把握權(quán))的主體能夠?qū)?duì)該客體的一種訪問權(quán)或多種訪問權(quán)自隱患，無意間就可能泄需信息，而且不能防范特洛伊木馬的攻擊。6.8為什么MAC能阻擋特洛伊木馬?答：一個(gè)特洛伊木馬是在一個(gè)執(zhí)行某些合法功能的程序中隱蔽的代碼，它利用運(yùn)行此程序的主體權(quán)限違反平安策略，通過偽裝成有用的程序在進(jìn)程中泄露信息。阻擋特洛伊木馬的策略是基于非循環(huán)信息流，所以在一個(gè)級(jí)因而它可以很好地阻I匕特洛伊木馬的泄密。6.9簡述什么是基于角色的訪問把握RBACo答：基于角色的訪問把握是在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起來，通過對(duì)角色的授第7章@AS以證書(credential)作為響應(yīng)，證書包括訪問TGS的許可證和用戶與TGS間的會(huì)話密鑰。會(huì)話密鑰⑤用戶向應(yīng)用效勞器提交應(yīng)用效勞器的許可證和用戶新產(chǎn)生的帶時(shí)間戳的認(rèn)證符(認(rèn)證符以用戶與應(yīng)用⑥應(yīng)用效勞器從許可證中取出會(huì)話密鑰、解密認(rèn)證符，取出時(shí)間戳并檢驗(yàn)有效性。然后向用戶返回一個(gè)帶時(shí)間戳的認(rèn)證符，該認(rèn)證符以用戶與應(yīng)用效勞器之間的會(huì)話密鑰進(jìn)行加密。據(jù)此，用戶可以驗(yàn)證應(yīng)用效勞器7.2簡述SSL握手的過程。證信息指明結(jié)果。然后，客戶方發(fā)出一個(gè)結(jié)束信息，指出協(xié)商過程已經(jīng)完成?？蛻舴竭€發(fā)送一個(gè)修改密文規(guī)約信息來產(chǎn)生共享的常規(guī)密鑰。應(yīng)當(dāng)留意這局部工作不是由握手協(xié)議把握，是由修改密文規(guī)約協(xié)議管理的。第五步：會(huì)話雙方分別產(chǎn)生一個(gè)加密密鑰，然后他們?cè)僖罁?jù)這些密鑰導(dǎo)出會(huì)話主密鑰。握手協(xié)議轉(zhuǎn)變狀答在IPSec平安協(xié)議組中，ESP規(guī)左了為通信供應(yīng)機(jī)密性和完整性愛護(hù)的具體方案，包括ESP載荷的格式、語7.4AH的傳輸模式與隧道模式有何區(qū)分?答：傳輸模式的AH中，封裝后的分組IP頭仍舊是原IP頭、只是IP頭的協(xié)議字段由原來的值變?yōu)?1,表示IP頭后緊接的載荷為AH載荷。在隧逍模式的AH中，不是將原始的IP協(xié)議頭移到最左邊然后插入AH協(xié)議頭，而是復(fù)制原始IP協(xié)議頭，并將復(fù)制的IP協(xié)議頭移到數(shù)據(jù)報(bào)最左邊作為新的IP協(xié)議頭。隨后在原始IP協(xié)議頭與IP協(xié)議頭的副本之間放宜AH協(xié)議頭。原始IP協(xié)議頭保持原封不動(dòng)，并且整個(gè)原始IP協(xié)議頭都被認(rèn)證或由加答：ESP傳輸模式中，F(xiàn)協(xié)議頭被調(diào)整到數(shù)據(jù)報(bào)左邊，并插入ESP協(xié)議頭。ESP協(xié)議尾以協(xié)議頭始終延長到ESP協(xié)議尾。在ESP隧逍模式下，原數(shù)據(jù)包〔包括原IP報(bào)頭和數(shù)據(jù)〕被封裝在ESP才艮頭和ESP報(bào)尾之間，外邊附上了新的IP報(bào)頭。在這種模式下，加密局部為原IP數(shù)據(jù)包和ESP報(bào)尾，完整性檢查局部為ESP報(bào)頭、原IP數(shù)據(jù)包以及ESP報(bào)尾。7.6電子郵件存在哪些平安性問題?器端防范和杜絕垃圾郵件、病毒郵件和釣魚郵件等，這些是電子郵件效勞的根本要求：二是電子郵件內(nèi)容平安件的發(fā)送和接收行為，以及如何防止非法用戶登錄合法用戶的電子郵件賬號(hào)等。答：PGP在進(jìn)行郵件加密時(shí)經(jīng)常與郵件收發(fā)軟件一起使用，如OutlookExpress0加密郵件時(shí)，郵件的主題不能第8章8.1PKI的主要組成是什么?它們各自的功能各是什么?注冊(cè)機(jī)構(gòu)〔RegisterAuthority,簡稱RA〕、證書發(fā)布系統(tǒng)和PKI應(yīng)用接口等。結(jié)構(gòu)圖參考教材圖7.2和PKI平安策略建立和定義了一個(gè)信息平安方面的指導(dǎo)方針，同時(shí)也左義了密碼系統(tǒng)使用的處理方法和原那證書機(jī)構(gòu)CA是PKI的信任根底，它管理公鑰的整個(gè)生命周期，苴作用包括：發(fā)放證書、規(guī)任證書的有效期和通過發(fā)布證書撤銷列表〔CcrlificatcRevocationLists,簡稱CRL〕確保必要時(shí)可以撤銷證書。證書發(fā)布系統(tǒng)負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過名目效勞。名目效勞器可以是一個(gè)組織中現(xiàn)存的，也可以是PKI方案中供應(yīng)的。PKI應(yīng)用接口是供應(yīng)在PKI平臺(tái)之上為全部應(yīng)用供應(yīng)全都、可信的使用公鑰i正書及相關(guān)效勞的接口。8.2什么是交叉認(rèn)證?請(qǐng)給出交叉認(rèn)證的過程。答：交叉認(rèn)證為屬于不同CA域的用戶供應(yīng)一種相互認(rèn)可對(duì)方證書的機(jī)制，在原本沒有聯(lián)系的CA之間建立信任關(guān)系。交叉認(rèn)證機(jī)制保證一個(gè)PKI團(tuán)體的用戶可以驗(yàn)證另一個(gè)PKI團(tuán)體的用戶證書。它是將這些以前無關(guān)的兩個(gè)CA平安地交換他們的驗(yàn)證密鑰。這些密鑰用于驗(yàn)證他們?cè)谧C書上的簽名。為了完成這個(gè)操作，每個(gè)CA簽認(rèn)i正的CA簽發(fā)的用戶證書的有效性，這個(gè)操作需要經(jīng)常執(zhí)行。該操作被稱為跟蹤信任鏈，鏈指得是交叉證&3PKI中有哪些常見的信任模型?各種的特點(diǎn)是什么?答：(1)層次模型：認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)可以描繪為一棵倒轉(zhuǎn)的樹，根在頂上，葉在最下而。在這棵倒轉(zhuǎn)的樹上，根代表一個(gè)對(duì)整個(gè)PKI域內(nèi)的全部實(shí)體都有間CA〔也被稱作子CA,它們是附屬于根CA〕,這些CA由中間節(jié)點(diǎn)代表，從中間節(jié)點(diǎn)再伸出分支。與非CA信任錨，因此相應(yīng)的CA必需是整個(gè)PKI群體的一個(gè)子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根CA(CA1:是包括A在內(nèi)的層次結(jié)構(gòu)的根，CA2是包括8在(3)Web模型是在環(huán)球網(wǎng)(WorldWideWeb)上誕生的，依靠于流行的掃瞄器進(jìn)行構(gòu)建。在這種模型中，很多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的掃瞄器上。這些公鑰確立了一組掃瞄器用戶最初信任的CA.盡管這組根密鑰可以(4)在一般被稱作以用戶為中心的信任模型中，每個(gè)用戶都對(duì)決左信任哪個(gè)證書和拒絕哪個(gè)證書直接完全地負(fù)責(zé)。在這個(gè)信任模型中，沒有特地的CA中心，每個(gè)用聲可以向他所信任的人簽發(fā)公鑰證書，通的方式建立一個(gè)信任網(wǎng)。由于要依靠于用戶自身的行為和決策力量，因此以用戶為中心的模型在技術(shù)水平較高和利害關(guān)系高度全都的群體中是可行的，但是在一般的群體(其用戶有極少實(shí)行某種把握，明顯這樣的信任策略在以用戶為中心的模型中是不行能實(shí)現(xiàn)的。用戶名稱供應(yīng)了通信實(shí)體的認(rèn)證機(jī)制，并規(guī)定了實(shí)體認(rèn)證過程中廣泛適用的證書語法和數(shù)據(jù)接口。答：通過發(fā)布證書撤銷列表(Ccrtifica撤銷信息的查詢，也可以使用在線查詢方式。在線證書狀態(tài)協(xié)議(OnlineCertificatest稱OCSP)是IETF公布的用于檢查數(shù)字證書在某一交易時(shí)間是否有效的標(biāo)準(zhǔn)，可以實(shí)時(shí)進(jìn)行這類檢查，8.7請(qǐng)具體描述給出PKI在網(wǎng)絡(luò)平安應(yīng)用中的位置及作用?的是根底效勞。平安根底設(shè)施就是為整個(gè)應(yīng)用組織供應(yīng)平安的根本框架，可以被組織中任何需要平安的應(yīng)用和對(duì)于使用公鑰/私鑰和證書等應(yīng)用中，比方在電子商務(wù)中對(duì)用戶身份的認(rèn)證，網(wǎng)上銀行客戶與銀行之間的認(rèn)證和交易簽名、電子郵件簽需、Web網(wǎng)站認(rèn)證等。PKI供應(yīng)和證書相關(guān)的透亮?????”“無縫”的服務(wù)。PKI可以8.8請(qǐng)給出案例，說明基于PKI的SSL是如何工作的?協(xié)議允許在掃瞄器和效勞器之間進(jìn)行加密通信。此外效勞器端和掃瞄器端通信時(shí)雙方可以通過數(shù)字證書的交互確認(rèn)對(duì)方的身份?；赑KI技術(shù)，結(jié)合SSL協(xié)議和數(shù)字證書，那么可以保證Web交易多方面的平安需求，使Web名目進(jìn)行查詢，同時(shí)CRL也在應(yīng)用效勞器中存儲(chǔ)和查詢，對(duì)用戶的簽俎的驗(yàn)證也是在應(yīng)用效勞器中完成。這樣答：防火墻是位于一個(gè)或多個(gè)平安的內(nèi)部網(wǎng)絡(luò)和非平安的外部網(wǎng)絡(luò)〔如Internet〕之間的進(jìn)行網(wǎng)絡(luò)訪問把握的網(wǎng)絡(luò)設(shè)備(或系統(tǒng))。防火墻的目的是防止不期望的或未授權(quán)的用戶和主機(jī)訪問內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)正常、9.3簡述防火墻的分類。答：依據(jù)物理特性，防火墻可分為兩大類：軟件防火墻和硬件防火墻。從結(jié)構(gòu)上又可分為單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻三種。按工作位置可分為邊界防火墻、個(gè)人防火墻和混合防火墻。按防火墻性9.5怎樣通過防火墻進(jìn)行數(shù)據(jù)包過濾?答：在大多數(shù)狀況下，數(shù)據(jù)包過濾是用設(shè)置了過濾規(guī)那么的路由器來實(shí)現(xiàn)的。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)了一個(gè)包過濾路由器，該路由器便從包首部截取特左信息，然后依據(jù)過濾規(guī)那么判左該包是否可通過或丟棄。一般從包首部截取的信息有：源IP地址、目的IP地址、TCP/UDP源端口號(hào)、TCP/UDP目的端口號(hào)、ICMP信息類型、封裝協(xié)9.6代理效勞器防火墻是如何實(shí)現(xiàn)的?客戶懇求，并經(jīng)過特定的平安化的Proxy應(yīng)用程序處理連接懇求，將處理后