搜索
《网络安全基础应用与标准》书后思考题答案第一章:1、什么是OSI安全体系结构?(P6)一、2安全攻击安全机制安全服务2、被动和主动安全威胁之间有什么不同?(P6)被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?(P6)被动攻击:内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?(P9)认证,访问控制,数据机密性,数据完成性,不可抵赖性5、列出并简要定义安全机制的分类?(P11-12)加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。第二章:1、对称密码的基本因素是什么?(P23)明文,加密算法,秘密密钥,密文,解密算法2、加密算法使用的两个基本功能是什么?(P24)替换和重排3、两个人通过对称密码通信需要多少个密钥?(P24)一、31个4、分组密码和流密码的区别是什么?(P33)流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。比如des是64比特的明文一次性加密成密文。密码分析方面有很多不同。比如流密码中,比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现,也方便在计算机上软件实现。5、攻击密码的两个通用方法是什么?密钥搜索和穷举方法7、什么是三重加密?(P28)在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES的强度大约和112-bit的密钥强度相当。三重DES有四种模型。(a)使用三个不同密钥,顺序进行三次加密变换(b)使用三个不同密钥,依次进行加密-解密-加密变换(c)其中密钥K1=K3,顺序进行三次加密变换(d)其中密钥K1=K3,依次进行加密-解密-加密变换8、为什么3DES的中间部分是解密而不是加密?(P29)3DES加密过程中的第二步使用的解密没有密码方面的意义。它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据9、链路层加密和端到端加密的区别是什么?(P41)对于链路层加密,每条易受攻击的通信链路都在其两端装备加密设备。所以通信链路的所有通信都受到保护,提供了较高的安全性。对于端到端加密,加密过程在两个端系统上实现。源主机和终端加密数据,该数据以加密过的形式,通过网络不可变更地传输到目的地终端或者主机。10、列出将密钥分发给通信双方的方法。(P42)1.通过物理方法传递。2.依靠第三方通过物理方式传递给通信双方。3.一方用旧密钥加密新密钥传递给另一方。4.采用“密钥分发中心KDC”通过加密链路传递给通信双方。11、会话密钥和主密钥的区别是什么?(P42,P312)主密钥(Masterkey)是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥,客户端写密钥,服务器读密钥,服务器写密钥。主密钥能够被作为一个简单密钥块输出会话密钥是指:当两个端系统希望通信,他们建立一条逻辑连接。在逻辑连接持续过程中,所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时,会话密钥被销毁。12、什么是密钥分发中心?(P43)密钥分发中心判断那些系统允许相互通信。当两个系统被允许建立连接时,密钥分发中心就为这条连接提供一个一次会话密钥。第三章:1、列举消息认证的三种方法:(P48)单向散列函数,消息认证码MAC,利用常规加密的消息认证2、什么是MAC:(P49)一种认证技术。利用私钥产出一小块数据,并将其附到消息上。这种技术称为消息验证码。3、简述图3.2所示的三种方案:(P50)一、6A.使用传统加密。B.使用公钥加密。C.使用秘密值。4、对于消息认证,散列函数H必须具有什么性质才可以用:(P51)1H可使用于任意长度的数据块2H能生成固定长度的输出3对于任意长度的x,计算H(x)相对容易,并且可以用软/硬件方式实现4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。5对于任意给定的数据块x,找到满足H(y)=H(x),的y=!x在计算机上是不可行的。6找到满足H(x)=H(y)的任意一对(x,y)在计算机上是不可行的。5、对于散列函数的内容,压缩函数是什么:(P56)压缩函数也具有散列函数的特征,具有抗碰撞能力的压缩函数可以被用来设计成消息认证方法。Whirlpool算法就是采用AES分组加密方法使用于压缩函数。6、公钥加密系统的基本组成元素是什么?(P59)明文,加密算法,公钥和私钥,密文,解密算法7、列举并简要说明公钥加密系统的三种应用:(P60)一、7加密/解密,数字签名,密钥交换8、私钥和密钥之间有什么区别:(P60)传统加密算法中使用的密钥被特别地称为密钥,用于公钥加密的两个密钥被称为公钥和私钥。私钥总是保密的,但仍然被称作私钥而不是密钥,这是为了避免与传统加密混淆。9、什么是数字签名:(P67)A想给B发送消息,b收到密文时,她能够用a的公钥进行解密,从而证明这条消息确实是A加密的,因为没有其他人拥有A的私钥,所以其任何人都不能创建由A的公钥能够解密的密文。因此,整个加密的消息就成为一个数字签名。10、什么是公钥证书:(P67)一、9公钥证书由公钥加上所有者的用户ID以及可信的第三方签名的整个数据块组成。11、公钥加密如何用来分发密钥:(P69)1准备消息2利用一次性传统会话密钥,使用传统加密方法加密消息3利用对方的公钥,使用公钥加密的方法加密会话密钥4把加密的会话密钥附在消息上,并且把他发送给对方第四章:1、设计KERBEROS是为了解决什么问题?(P78)一、11假设在一个开放的分布式环境中,工作站的用户希望访问分布在网络各处的服务器的服务。我们希望服务器能够将访问权限限制在授权用户范围内,并且能够认证服务请求。2、在网络或互联网上,与用户认证有关的三个威胁是什么?(P78)1)、一个用户可能进入一个特定的工作站,并冒充使用那个工作站的其他用户2)、一个用户可能改变一个工作站的网络地址,使得从此工作站发出的请求好像是从被伪装的工作站发出的3)、一个用户可能窃听信息交换,并使用重放攻击来获取连接服务器,或者是破坏正常操作。3、列出在分布式环境下进行安全用户认证的三种方式:(P79)1.依靠每个用户工作站来确认用户或用户组,并依靠每个服务器通过给予每个用户身份的方法来强制实施安全方案2.要求服务器对用户系统进行认证,在用户身份方面信任用户系统3.需要用户对每个调用的服务证明自己的身份,也需要服务器向用户证明他们的身份4、对Kerberos提出的四点要求是什么?(P79)安全,可靠,透明,可伸缩5、一个提供全套kerberos服务的环境由那些实体组成?(P86)一台Kerberos服务器,若干客户端和若干应用服务器6、在kerberos环境下,域指什么?(P86)一个提供全套服务的Kerberos环境,包括一台Kerberos服务器、若干台客户端和若干应用服务器的这种环境被称为Kerberos域。7.kerberos版本4和版本5的主要区别由那些?(P88)版本5要解决版本4在两方面的局限:环境上有6个方面的不足和技术上有5个方面的缺陷。(请例举)。8、X.509标准的目的是什么?(P93)1、X.509定义了一个使用X.500目录向其用户提供认证服务的框架2、X.509是一个重要的标准,因为、X.509中定义的证书结构和认证协议在很大环境下都会使用。3、X.509最初发布于、1988年4、X.509基于公钥加密体制和数字签名的使用。9、什么叫证书链?(P95-P96)在多个CA认证中心之间需要相互认证各自的用户时,由各个CA认证中心相互认证的证书,形成一个证书链,通信双方通过这个证书链取得相互信任。10怎样撤销X.509证书?(P97)每一个存放在目录中的证书撤销列表都由证书发放者签名,并且包括:发放者的名称,列表创建日期,下一个CRL计划发放日期和每一个被撤销证书的入口。当用户从消息中得到证书时,必须要确定证书是否被撤销。用户可以在每次收到证书时检查目录。为了避免由目录搜索带来的延迟,用户可以维护一个记录证书和被撤销证书列表的本地缓存。第五章:1、PGP提供的5种主要服务是什么?(P109)一、12认证(数字签名),保密(消息加密),压缩,电子邮件兼容和分段。2、分离签名的用途是什么?(P110)分离签名可以与其签名的消息分开存储和传送,这在许多情况下都有用:1用户的要求;2防止病毒;3可以多方签名。3、PGP为什么在压缩前生成签名?(P111)1.对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用;2.即使有人想动态地对消息重新压缩后进行验证,用PGP现有的压缩算法仍然会比较困难。4、什么是基-64转换?(P112)将一组三个8比特二进制数据映射为4个ASCII码字符,同时加上CRC校验以检测传送错误。5、电子邮件应用为什么使用基-64转换?(P112)使用PGP时,要对数据进行加密。加密得到的数据可能是由任意的8比特字节流组成。然而许多电子邮件系统仅仅允许使用由ASCII码组成的数据块。为适应这个限制,PGP提供了将8比特二进制流转换为可打印的ASCII码字符的功能。6、PGP为什么需要分段和重组?(P113)电子邮件工具通常限制消息的最大长度。未来适应这个限制,PGP自动将长消息分段,使之可以通过电子邮件发送。分段在所以其他操作(包括基-64转换)治好进行。因此,会话密钥和签名部分仅在第一个分段的开始出现。7、PGP如何使用信任关系?(P119)PGP的信任关系由“密钥合法性域”、“签名信任域”、“所有者信任域”这三个域构成。经过三步流程(写出三个流程的过程),周期性的处理公钥获得一致性。8、RFC822是什么?(P121)一、13RFC822定义了一种电子邮件传输的文本消息格式,这是一种被广泛使用的基于互联网传递的文本邮件标准。包括信封和内容两部分(写出这两部分内容)。9、MIME是什么?(P122)一、14是指多用途网际邮件扩展是对RFC822框架的扩展,用于解决关于电子邮件的SMTP,简单邮件传输或其他邮件传输协议和RFC822存在的一些问题和局限性。10、S/MIME是什么?(P121)是基于RSA数据安全性,对互联网电子邮件格式标准MIME的安全性增强。虽然PGP和S/MIME都基于IETF标准,但S/MIME侧重于适合商业和团体使用的工业标准.第六章:1、举出一个应用IPSEC的例子:(P143)1.路由器广播;2.邻居广播;3.重定向报文;4.路由更新未被伪造。(详细写出一个即可)2、IPSEC提供那些服务?(P145)访问控制,无连接完整性,数据源认证,拒绝重返包,保密性,受限制的流量保密性3、那些参数表示了SA,那些参数表现了一个特定SA的本质?(P146)由安全参数索引、IP目的地址、安全协议标识三个参数确定一个SA。由“序列号计数器,序列计数器溢出,反重放窗口,AH信息,ESP信息,此安全关联的生存期,IPSec协议模式,最大传输单元路径”等参数表示一个特定的SA。4、传输模式与隧道模式有何区别?(P148)传输模式是对IP数据包的载荷(上层协议)、IPV6报头的扩展部分进行保护和认证;隧道模式是对整个内部IP包、IPV6报头的扩展部分进行保护和认证。5、什么是重放攻击?(P149)一、15重放攻击就是一个攻击者得到了一个经过认证的包的副本,稍后又将其传送到其希望被传送到的目的的站点的攻击。6、为什么ESP包括一个填充域?(P153)ESP格式要求填充长度和邻接报头域为右对齐的32比特的字,同样,密文也是32比特的整数倍,填充域用来保证这样的排列。7、捆绑SA的基本方法是什么?(P156)1.传输邻接:这种方法指在没有激活隧道的情况下,对一个IP包使用多个安全协议。2.隧道迭代:指通过IP隧道应用多层安全协议。8、Oakley密钥确定协议和ISAKMP在IPSec中起到什么作用?(P158)IPS