第1章(16页) 3.列出并简要定义被动和主动安全攻击的分类? 被动攻击:消息内容泄漏和流量分析。
主动攻击:假冒,重放,改写消息和拒绝服务。
4.列出并简要定义安全服务的分类
认证,访问控制,数据机密性,数据完整性,不可抵赖性。
5.列出并简要定义安全机制的分类。
特定安全机制:为提供osi安全服务,可能并到适当的协议层中。加密,数字签名,访问控制,数据完整性, 认证交换,流量填充,路由控制,公证。
普通安全机制:没有特定osi安全服务或者协议层的机制。可信功能,安全标签,事件检测,安全审计跟踪,安全恢复。
第2章(42页) 1.对称密码的基本因素是什么?
明文,加密算法,秘密密钥,密文,解密算法。
4分组密码和流密码区别是什么?
流密码是一个比特一个比特的加密,分组时若干比特同时加密。比如DES是64bit的明文一次性加密成密文。
密码分析方面有很多不同。比如说密码中,比特流的很多统计特性影响到算法的安全性。 密码实现方面有很多不同,比如流密码通常是在特定硬件设备上实现。分组密码可以在硬件实现,也可以在计算机软件上实现。
第3章(71页) 1.消息认证的三种方法:
利用常规加密的消息认证、消息认证码、单向散列函数
4、对于消息认证,散列函数必须具有什么性质才可以用 1 H 可使用于任意长度的数据块 2 H 能生成固定长度的输出 3 对于任意长度的x ,计算H (x )相对容易,并且可以用软/ 硬件方式实现 4 对于任意给定值h, 找到满足H(x)=h 的x 在计算机上不可行5 对于任意给定的数据块x, 找到满足H (y)=H(x) ,的y=!x 在计算机上是不可行的。6 找到满足H (x)=H(y) 的任意一对(x,y)在计算机上是不可行的。
4、公钥加密系统的基本组成元素是什么?
明文,加密算法,公钥和私钥,密文,解密算法
5、列举并简要说明公钥加密系统的三种应用
加密/ 解密,发送者用接收者公钥加密信息。数字签名,发送者用自己的私钥“签名”消息;密钥交换 :双方联合操作来交换会话密钥。
9、什么是数字签名:(P67)
A想给B发送消息,b收到密文时,她能够用a的公钥进行解密,从而证明这条消息确实是A加密的,因为没有其他人拥有A的私钥,所以其任何人都不能创建由A的公钥能够解密的密文。因此,整个加密的消息就成为一个数字签名。
- 1 -
习题 3.14.。。。 3.15.。。。
第4章(94页)
5.什么是公钥证书?
公钥证书由公钥、公钥所有者的用户id和可信的第三方(用户团体所信任的认证中心CA)签名的整数数据块组成,用户可通过安全渠道把它的公钥提交给ca,获得证书。
4、对Kerberos提出的四点要求是什么? 安全,可靠,透明,可伸缩
8、X.509标准的目的是什么?(P93)
1、X.509定义了一个使用X.500目录向其用户提供认证服务的框架
2、X.509是一个重要的标准,因为、X.509中定义的证书结构和认证协议在很大环境下都会使用。
3、X.509基于公钥加密体制和数字签名的使用。
9、什么叫证书链?(P95-P96)
在多个CA认证中心之间需要相互认证各自的用户时,由各个CA认证中心相互认证的证书,形成一个证书链,通信双方通过这个证书链取得相互信任。
第6章(160页)
1、图6.1给出的三种方法的各自优点是什么?(P177)
采用IPSec方法的优势是在网络层上实现安全,对于终端用户和应用是透明的,用户和应用程序不必考虑安全机制。
采用SSL/TLS方式的优势是在传输层上实现安全传输,在Web拂去其和Web客户端嵌入该安全方法,就能够保证互联网上实现且安全的访问。
而采用诸如PGP、SET等方法的优势是可以针对特定的需求和应用,定制特别的安全机制。该机制是在应用层上实现安全访问。
2、SSL由那些协议组成?(P178图7.2) 一、18
SSL记录协议,SSL握手协议,SSL密码变更规格协议,SSL报警协议。
6、SSL记录协议提供了那些服务:(P179-180) 机密性和消息完整性。(要写出定义)
7、SSL记录协议执行过程中涉及到那些步骤?(P180)
先将数据分段成可操作的块,然后选择压缩或不压缩数据,再生成MAC,加密,添加头并将最后的结构作为一个TCP分组送出。
- 2 -
第8章(189页)
1.PGP提供的5种主要服务是什么? 认证(用数字签名),保密(消息加密),压缩(用ZIP),电子邮件兼容性(基-64转换)和分段
3.PGP为什么在压缩前生成签名
1对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用
2即使有人想动态的对消息重新压缩后进行验证,用PGP现有的压缩算法仍然很困难
第9章(224页) 9.2IPsec提供哪些服务?
访问控制,无连接完整性,数据源认证;拒绝重放包,保密性,受限制的流量保密性。
9.4传输模式和隧道模式有什么区别?
传输模式下的ESP加密和认证ip载荷,但不包括ip报头,AH认证,IP载荷和IP报头的选中部分;隧道模式下的ESP加密和认证包括内部ip报头的整个内部ip包,AH认证整个内部ip包和外部ip报头被选中的部分。
9.5什么是重放攻击?
一个攻击者得到一个经过认证的副本,稍后又将其传送到其被传送的目站点的攻击,重复的接受经过认证的ip包可能会以某种方式中断服务或产生一些不希望出现的结果
第10章(269页) 10.3描述病毒或蠕虫的周期中有那些典型阶段 睡眠阶段,传播阶段,触发阶段,执行阶段
10.6通常来讲,蠕虫是怎样传播的?
电子邮件工具,远程执行能力,远程登陆能力
第11章(290页)
11.1列出并简要定义三类入侵者。
(1)假冒用户:为授权使用计算机的个体,或潜入系统的访问控制来获得合法用户的账户 (2)违法用户:系统的合法用户访问未授权的数据,程序或者资源或者授权者误用其权限 (3)隐秘用户:通过某些方法夺取系统的管理控制权限,并使用这种控制权躲避审计机制的访问控制,或者取消审计集合的个体。
11.2、用于保护口令文件的两种通用技术是什么? 单向函数,和访问控制
- 3 -
11.3入侵防御系统可以带来哪三个好处?
(1)如果能够足够快的速度检测入侵行为,那么就可以在入侵危害系统或危机数据安全之前将其鉴别并驱逐出系统。即使未能及时监测到入侵者,越早发现入侵行为就会使系统损失程度越小,系统也能越快得到恢复。
(2)有效的入侵检测技术是一种威慑力量,能够起到防护入侵者的作用。 (3)入侵检测可以收集入侵技术信息有利增强入侵防护系统的防护能力。
11.8在unix口令管理的context中,salt是指什么?
用一个12比特随机数“salt”对DES算法进行修改,salt和用户输入的口令作为加密程序的输入。
11.9列出简要定义四种用于防止口令猜测的技术
1.用户教育:可以引导用户认识到选择难于猜测的口令的重要性,也可以提供一些具体选择口令的指导原则。
2.由计算机生成口令:用户被提供一个由计算机生成的口令。
3.后验口令检测:系统周期性地运行它自身的口令破解程序来检验易于猜测的口令,对易于猜测的口令,系统将通告用户并删除该口令。 4前验口令检验;该方案允许用户选择自己的口令,但在选择之初,系统会检测口令是否难认猜测,如果不是,那么将拒绝该口令。 习题 11.13 。。。。
第12章(315页) 11.1列出防火墙的三个设计目标
1所有入站和出站的网络流量都必须通过防火墙。2只有经过授权的网络流量,防火墙才允许其通过。3防火墙本身不能被攻破,这意味着防火墙应该允许在有安全操作系统的可信系统上。
11.2 防火墙控制访问及执行安全策略四个技术: 服务控制,方向控制,用户控制,行为控制;
11.3典型的句过滤路由使用了什么信息?
源IP地址,目的IP地址,源端和自由端传输层地址,IP协议域,接口;
- 4 -
(完整word版)西南民大--2013级网络安全基础应用与标准_第五版(网工)期末复习思考题答案
