计算机网络安全第二版期末复习重点
网络安全期末复习题
精品文档考试教学资料施工组织设计方案第1章网络安全概论1. 选择题(1) 计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.机密性B.抗攻击性C.网络服务管理性D.控制安全性(2) 网络安全的实质和关键是保护网络的安全。
A.系统B.软件C.信息D.网站(3) 下面不属于TCSEC标准定义的系统安全等级的4个方面是。
A.安全政策B.可说明性C.安全保障D.安全特征(4) 在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
A.机密性B.完整性C.可用性D.可控性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
A.破环数据完整性B.非授权访问C.信息泄漏D.拒绝服务攻击答案: (1) A (2) C (3) D (4) C (5) B2. 填空题(1) 计算机网络安全是一门涉及、、、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。
答案: 计算机科学、网络技术、信息安全技术(2) 网络安全的5 大要素和技术特征,分别是______、______、______、______、______。
答案: 机密性、完整性、可用性、可控性、不可否认性(3) 计算机网络安全所涉及的内容包括是、、、、等五个方面。
答案: 实体安全、运行安全、系统安全、应用安全、管理安全(4) 网络信息安全保障包括、、和四个方面。
(5) 网络安全关键技术分为、、、、、、和八大类。
(6) 网络安全技术的发展具有、、、的特点。
(7) TCSEC是可信计算系统评价准则的缩写,又称网络安全橙皮书,将安全分为、、和文档四个方面。
(8)通过对计算机网络系统进行全面、充分、有效的安全评测,能够快速查出、、。
答案:(4) 信息安全策略、信息安全管理、信息安全运作和信息安全技术(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复(6) 多维主动、综合性、智能化、全方位防御(7) 安全政策、可说明性、安全保障(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力3. 简答题(1) 简述网络安全关键技术的内容?网络安全关键技术主要包括:(1) 身份认证(Identity and Authentication Management)(2) 访问管理(Access Management)(3) 加密(Cryptograghy)(4) 防恶意代码(Anti-Malicode)(5) 加固(Hardening)(6) 监控(Monitoring)(7) 审核跟踪(Audit Trail)(8) 备份恢复(Backup and Recovery)(3) 网络安全框架由哪几部分组成?(1)信息安全战略(2)信息安全政策和标准(3)信息安全管理(4)信息安全运作(5)信息安全技术(6) 网络安全设计的原则有哪些?在进行网络系统安全方案设计、规划时,应遵循以下7项基本原则:(1) 综合性、整体性原则(2) 需求、风险、代价平衡的原则(3)一致性原则(4)易操作性原则(5) 分步实施原则(6) 多重保护原则(7) 可评价性原则(7) 网络安全的设计步骤是什么?根据信息安全标准和网络安全设计的原则,可以确定网络安全设计的5个步骤:(1) 明确安全需求,进行风险分析(2) 选择并确定网络安全措施(3) 方案实施(4) 网络试验及运行(5) 优化及改进第2章网络安全技术基础1. 选择题(1)SSL协议是()之间实现加密传输的协议。
计算机网络安全技术期末重点
第一章1.2 网络安全的定义及特征计算机系统安全:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
计算机网络安全:是通过采用各种技术和管理措施,保证在一个网络环境里,信息数据的机密性、完整性及可用性受到保护。
网络安全五大特征:1.完整性:保持信息原样。
2.保密性:信息不暴露给未经授权的人或进程。
3.可用性:正异常均可使用信息。
4.可控性:可以对信息流向和行为方式进行控制。
5.可审查性:当网络出现安全问题时,能够提供调查的依据和手段。
1.3 网络安全的主要威胁物理威胁:不允许其他人拿到或看到不属于自己的东西。
窃取、废物搜寻、间谍行为、假冒系统漏洞威胁:漏洞是方法、管理和技术上存在缺陷而造成,该缺陷可以降低系统的安全性。
不安全服务、配置和初始化错误身份鉴别威胁:指对网络访问者的身份真伪进行鉴别。
口令圈套、口令破解、算法考虑不周、编辑口令线缆连接威胁:借助网络传输介质(线缆)对系统造成的威胁,主要包括:窃听、拨号进入、冒名顶替有害程序威胁:病毒、逻辑炸弹、特洛伊木马、间谍软件、黑客1.4 安全策略和安全等级1.4.1 安全策略制定安全策略通常从以下几个方面来考虑:1.物理安全策略2.访问控制策略目的:对要访问系统的用户进行识别,对访问权限进行必要的控制。
访问控制策略是维护计算机系统安全、保护其资源的重要手段。
3 .加密策略4 .防火墙控制策略1.4.2 安全性指标和安全等级制定安全策略时,往往需要在安全性和可用性之间采取一个折衷的方案,重点保证一些主要安全性的指标。
主要如:完整性:在传输过程时,数据是否保持完整。
可用性:在系统发生故障时,数据是否会丢失。
保密性:在任何时候,数据有被非法窃取的可能。
1.5 常用的网络安全管理技术及新技术1 .物理安全技术 2. 安全隔离 3.访问控制 4.加密通道 5.入侵检测 6.入侵保护安全扫描 8.蜜罐技术 9.物理隔离技术 10.灾难恢复和备份技术11.上网行为管理 12.统一威胁管理8 蜜罐技术蜜罐(Honeypot)是一种计算机网络中专门为吸引并“诱骗”那些试图非法入侵他人计算机系统的人而设计的“陷阱”系统。
网络安全期末复习题(答案)解析
网络安全期末复习题及答案一、选择题:1.计算机网络安全的目标不包括( A )A.可移植性B.保密性C.可控性D.可用性2.SNMP的中文含义为( B )A.公用管理信息协议B.简单网络管理协议C.分布式安全管理协议D.简单邮件传输协议3.端口扫描技术( D )A.只能作为攻击工具B.只能作为防御工具C.只能作为检查系统漏洞的工具D.既可以作为攻击工具,也可以作为防御工具4.在以下人为的恶意攻击行为中,属于主动攻击的是( A )A、身份假冒B、数据解密C、数据流分析D、非法访问5.黑客利用IP地址进行攻击的方法有:( A )A. IP欺骗B. 解密C. 窃取口令D. 发送病毒6.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? ( A )A、拒绝服务B、文件共享C、BIND漏洞D、远程过程调用7.向有限的空间输入超长的字符串是哪一种攻击手段?( A )A、缓冲区溢出B、网络监听C、拒绝服务D、IP欺骗8.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段( B )A、缓存溢出攻击B、钓鱼攻击C、暗门攻击D、DDOS攻击9.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止:( B )A、木马B、暴力攻击C、IP欺骗D、缓存溢出攻击10.当你感觉到你的Win2003运行速度明显减慢,当你打开任务管理器后发现CPU的使用率达到了百分之百,你最有可能认为你受到了哪一种攻击。
( B )A、特洛伊木马B、拒绝服务C、欺骗D、中间人攻击11.假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。
这时你使用哪一种类型的进攻手段?( B )A、缓冲区溢出B、地址欺骗C、拒绝服务D、暴力攻击12.小李在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端口,此主机最有可能是什么?( B )A、文件服务器B、邮件服务器C、WEB服务器D、DNS服务器13.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令?( C )A、pingB、nslookupC、tracertD、ipconfig14.黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是( B )A.木马的控制端程序B.木马的服务器端程序C.不用安装D.控制端、服务端程序都必需安装15.为了保证口令的安全,哪项做法是不正确的( C )A 用户口令长度不少于6个字符B 口令字符最好是数字、字母和其他字符的混合C 口令显示在显示屏上D 对用户口令进行加密16.以下说法正确的是( B )A.木马不像病毒那样有破坏性B.木马不像病毒那样能够自我复制C.木马不像病毒那样是独立运行的程序 D.木马与病毒都是独立运行的程序17.端口扫描的原理是向目标主机的________端口发送探测数据包,并记录目标主机的响应。
网络安全期末考知识点总结
网络安全期末考知识点总结一、网络安全概述1. 网络安全定义网络安全是指保护网络系统、服务和数据免受未经授权或意外的访问、修改、破坏、被盗和泄露的威胁。
2. 网络安全的重要性网络安全是当今互联网时代的基础和核心问题,是保障国家利益、企业发展和个人权益不受损害的重要保障。
网络安全的重要性主要体现在保护国家信息安全、确保公民权益、促进经济发展和维护社会稳定等方面。
3. 网络安全的基本原则网络安全的基本原则包括保密原则、完整性原则、可用性原则、责任追究原则等。
二、网络安全威胁1. 网络威胁的类型网络威胁包括病毒、蠕虫、木马、间谍软件、僵尸网络、拒绝服务攻击、网络钓鱼、网络欺诈、黑客攻击等。
2. 威胁的危害性网络威胁对个人、企业和国家的危害主要表现在信息泄露、系统瘫痪、网络犯罪、经济损失和社会不稳定等方面。
三、网络安全的防御措施1. 网络安全防御的原则网络安全防御的原则包括实施全面防御、建立多层防御、有效管理权限、加强监控和预警等。
2. 网络安全防御的技术手段网络安全防御的技术手段包括防火墙、入侵检测系统、加密技术、身份识别技术、虚拟专用网络技术、安全软件、安全协议等。
3. 网络安全防御的管理手段网络安全防御的管理手段包括建立网络安全政策、加强人员培训、定期演练和检查、建立灾难恢复计划和加强法律监管等。
四、网络安全管理1. 网络安全管理的基本流程网络安全管理的基本流程包括规划、组织、实施、监控和改进等阶段。
2. 安全政策和标准网络安全政策是企业或组织为保护信息系统资源而制定的规范性文件,安全标准是企业或组织为支持和实施安全政策而制定的具体技术规程。
3. 安全管理体系安全管理体系是指一套完整的、连续不断的组成部分,以提供安全资源、保护安全资源和保持安全资源连续性的一组规则、政策、流程、过程等。
五、密码学基础1. 密码学的基本概念密码学是一门研究如何实现信息安全的学科,它涉及到数据加密、数据解密和数据完整性的验证等技术。
计算机网络安全知识点梳理
计算机网络安全知识点梳理计算机网络安全是当今信息社会中不可忽视的重要领域。
随着网络的普及和应用范围的扩大,网络安全问题也日益突出。
为了保护个人隐私、企业机密以及国家安全,我们需要了解并掌握一些计算机网络安全的基本知识。
本文将对计算机网络安全的一些重要知识点进行梳理和总结。
首先,我们来了解一下计算机网络安全的定义和目标。
计算机网络安全是指在计算机网络环境下,保护计算机系统、网络设备、通信内容和网络用户的安全。
其目标是确保计算机网络的机密性、完整性和可用性。
机密性指的是保护信息不被未授权的个人或实体访问;完整性指的是确保信息在传输过程中不被篡改或损坏;可用性指的是确保计算机网络和相关资源能够正常运行,不受恶意攻击的影响。
在计算机网络安全中,常见的攻击手段包括病毒、木马、蠕虫、黑客攻击等。
病毒是一种能够自我复制并感染其他程序的恶意软件,它会对计算机系统造成破坏;木马是指通过欺骗用户获取权限,从而控制计算机的恶意软件;蠕虫是一种能够自动传播的恶意软件,它会利用计算机网络的漏洞进行传播和破坏;黑客攻击是指未经授权的个人或实体通过网络入侵他人计算机系统,获取或破坏信息。
为了保护计算机网络的安全,我们需要采取一系列的安全措施。
其中,身份验证是保护计算机网络安全的重要手段之一。
常见的身份验证方式包括密码、指纹、虹膜识别等。
密码是最常见的身份验证方式,它通过用户输入的密码与系统预设的密码进行比对来验证用户身份。
指纹和虹膜识别则通过扫描用户的指纹或虹膜来验证用户身份的真实性。
此外,网络防火墙也是保护计算机网络安全的重要工具。
网络防火墙可以监控网络流量,阻止未经授权的访问和恶意攻击。
它可以通过设置访问控制策略、过滤网络流量等方式来保护计算机网络的安全。
此外,网络防火墙还可以检测和阻止网络中的恶意软件和攻击行为。
除了身份验证和网络防火墙,加密技术也是计算机网络安全的重要组成部分。
加密技术可以将敏感信息转化为一种难以理解的形式,从而保护信息的机密性。
计算机网络网络安全技术复习
计算机网络网络安全技术复习计算机网络安全技术是保障网络系统安全的重要组成部分,随着信息技术的快速发展,网络安全问题变得日益严峻。
本文将通过回顾计算机网络网络安全技术的相关知识,帮助读者对网络安全技术进行复习。
一、网络安全基础知识1.1 定义与目标网络安全是指保护计算机网络系统的完整性、可用性和保密性,旨在防止网络中的非法访问、攻击和滥用。
1.2 基本要素网络安全的基本要素包括:- 机密性:保护信息不被未授权个体访问;- 完整性:确保信息在传输中不被篡改;- 可用性:确保网络及其资源的可靠性和可用性;- 身份认证:验证用户的身份。
二、网络攻击与威胁2.1 常见的网络攻击类型网络攻击的类型繁多,包括但不限于:- 拒绝服务攻击(DDoS):通过大量的请求导致网络资源过载,从而使网络无法正常工作;- 网络钓鱼:用于获取用户敏感信息的欺诈行为;- 病毒和蠕虫:通过感染计算机系统并自我复制来传播的恶意代码;- 木马程序:通过伪装成正常程序的方式获取用户信息或者控制目标计算机;- 黑客攻击:通过未获得授权的访问手段入侵系统。
2.2 网络威胁防范为了防范网络威胁,我们需要采取一系列的安全措施:- 防火墙:用于监控和控制网络流量,保护内部网络与外部网络的安全;- 入侵检测与入侵防御系统:用于检测和抵御网络攻击;- 加密技术:保护数据传输的机密性,防止信息被窃听和篡改;- 强密码策略:使用复杂且不易猜测的密码,定期更换密码;- 安全更新与补丁管理:及时更新操作系统和应用程序的安全补丁。
三、网络安全协议3.1 SSL/TLS协议SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议用于保护网络通信的安全,提供加密、身份验证和完整性保护。
这两个协议主要用于Web浏览器与Web服务器之间的安全通信。
3.2 IPsec协议IPsec(Internet Protocol Security)协议用于保护IP层的通信安全,提供身份验证和数据加密机制。
计算机网络期末复习知识点整理
第一章概述1.网络是指“三网”:电信网络、有线电视网络和计算机网络2.计算机网络向用户可以提供那些服务:连通性;共享3.网络是由若干结点和连接这些结点的链路组成4.互联网是“网络的网络”5.因特网服务提供商ISP(Internet Service Provider)6.因特网的拓扑结构划分两大块:边缘部分称为资源共享;核心部分称为通讯子网7.在网络边缘的端系统之间的通信方式划分为两大类:客户—服务器方式(C/S方式)和对等方式(P2P方式)8.路由器是实现分组交换的关键构件。
常用的交换方式:电路交换、分组交换、报文交换9.计算机网络按网络的作用范围分为:广域网WAN、城域网MAN、局域网LAN、个人区域网PAN10.开放系统互连基本参考模型OSI/RM(Open Systems Interconnection Reference Model)11.网络协议:为进行网络中的数据交换而建立的规则、标准或约定。
由三要素组成:语法、语义和同步1-10 试在下列条件下比较电路交换和分组交换。
要传送的报文共x(bit)。
从源点到终点共经过k 段链路,每段链路的传播时延为d(s),数据率为b(b/s)。
在电路交换时电路的建立时间为s(s)。
在分组交换时分组长度为p(bit),且各结点的排队等待时间可忽略不计。
问在怎样的条件下,分组交换的时延比电路交换的要小?(提示:画一下草图观察k段链路共有几个结点。
)答:线路交换时延:kd+x/b+s, 分组交换时延:kd+(x/p)*(p/b)+ (k-1)*(p/b)其中(k-1)*(p/b)表示K段传输中,有(k-1)次的储存转发延迟,当s>(k-1)*(p/b)时,电路交换的时延比分组交换的时延大,当x>>p,相反。
1-11 在上题的分组交换网中,设报文长度和分组长度分别为x和(p+h)(bit),其中p为分组的数据部分的长度,而h为每个分组所带的控制信息固定长度,与p的大小无关。
第2章计算机网络安全技术(第二版)
防护通常采用传统的静态安全技术及方法如防火墙、加密、认证等来实现。 主要是在边界提高抵御能力。边界防护技术可分为物理实体的防护技术和 信息防护(防泄露、防破坏)技术。 物理实体的防护技术主要是对有形的信息载体实施保护,使之不被窃取、 复制或丢失。如磁盘信息消除技术,室内防盗报警技术,密码锁、指纹锁、 眼底锁等。信息载体的传输、使用、保管、销毁等各个环节都可应用这类 技术。 信息防护技术主要是对信息的处理过程和传输过程实施保护,使之不被非 法入侵、窃听、干扰、破坏、拷贝。 对信息处理的防护主要有如下二种技术:
P2DR安全模型(3)
2、防护
防护就是采用一切手段保护计算机网络系统的保密性、 完整性、可用性、可控性和不可否认性,预先阻止攻击 可以发生的条件产生,让攻击者无法顺利地入侵。所以 说,防护是网络安全策略中最重要的环节。防护可以分 为三大类:系统安全防护、网络安全防护和信息安全防 护。
系统安全防护指的是操作系统的安全防护,即各个操作系统的 安全配置、使用和打补丁等。不同操作系统有不同的防护措施 和相应的安全工具。 网络安全防护指的是网络管理的安全,以及网络传输的安全。 信息安全防护指的是数据本身的保密性、完整性和可用性。数 据加密就是信息安全防护的重要技术。
成功 攻击 防护(P) 失败 检测(D) 失败 成功 成功 响应(R) 失败 恢复(R)
2.1.2 PDRR网络安全模型(2)
PDRR安全模型中安全策略的前三个环节与P2DR安全模 型中后三个环节的内涵基本相同,不再赘述。最后一 个环节“恢复”,是指在系统被入侵之后,把系统恢 复到原来的状态,或者比原来更安全的状态。系统的 恢复过程通常需要解决两个问题:一是对入侵所造成 的影响进行评估和系统的重建,二是采取恰当的技术 措施。系统的恢复主要有重建系统、通过软件和程序 恢复系统等方法。详见第十章10.4节。 PDRR安全模型阐述了下面一个结论:安全的目标实际 上就是尽可能地增大保护时间,尽量减少检测时间和 响应时间,在系统遭受到破坏后,应尽快恢复,以减 少系统暴露时间。也就是说:及时的检测和响应就是 安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目 录 .1 1.1计算机网络安全的概念是什么?计算机网络安全网络安全有哪几个基本特征?各个特征的含义是什么? 概念:网络安全 指网络系统的软件、硬件以及系统中存储和传输的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,网络系统连续可靠正常地运行,网络服务不中断。 网络安全的属性(特征)(CIA三角形) 机密性(Confidentiality ) 保证信息与信息系统不被非授权的用户、实体或过程所获取与使用 完整性 ( Integrity ) 信息在存贮或传输时不被修改、破坏,或不发生信息包丢失、乱序等 可用性(Availability)) 信息与信息系统可被授权实体正常访问的特性,即授权实体当需要时能够存取所需信息。 可控性 对信息的存储于传播具有完全的控制能力,可以控制信息的流向和行为方式。 真实性 也就是可靠性,指信息的可用度,包括信息的完整性、准确性和发送人的身份证实等方面,它也是信息安全性的基本要素。 1.2 OSI安全体系结构涉及哪几个方面? OSI安全体系结构主要关注: 安全性攻击 任何危及企业信息系统安全的活动。 安全机制 用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程,或实现该过程的设备。 安全服务 目 录 .2 加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。 1.3OSI的安全服务和安全机制都有哪几项?安全机制和安全服务之间是什么关系? 安全服务 OSI安全体系结构定义了5大类共14个安全服务: 1 鉴别服务 who 鉴别服务与保证通信的真实性有关,提供对通信中对等实体和数据来源的鉴别。 1)对等实体鉴别:该服务在数据交换连接建立时提供,识别一个或多个连接实体的身份,证实参与数据交换的对等实体确实是所需的实体,防止假冒。 2)数据源鉴别:该服务对数据单元的来源提供确认,向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元 2 访问控制服务 包括身份认证和权限验证,用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用,信息资源的读、写和删除,进程资源的执行)或对资源的所有访问。 3 数据保密性服务 为防止网络各系统之间交换的数据被截获或被非法存取而泄密,提供机密保护。保密性是防止传输的数据遭到被动攻击。包括: 连接保密性 无连接保密性 选择字段不保密性 信息流保密性 4 数据完整性服务 用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。 带恢复的连接完整; 不带恢复的连接完整; 选择字段的连接完整; 无连接完整; 选择字段无连接完整 目 录 .3 5 不可(抗)否认服务 用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。 具有源点证明的不能否认; 具有交付证明的不能否认。 为了实现安全服务,OSI安全体系结构还定义了安全机制。 特定安全机制 (8 在特定的协议层实现) 加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制 关系:
服务 机制 加密 数字签名 访问控制 教据完整性 认证交换 流量填充 路由控制 证
同等实体认证
YY Y 目 录 .4 数据源认证
YY
访问控制
Y
保密性
Y Y
流量保密性
Y YY
数据完整
YY Y 目 录 .5 性 不可否认性
Y Y
可用性
YY
1.4简述网络安全策略的意义?它主要包括哪几个方面策略? 意义:网络安全系统的灵魂与核心,是在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则集合。网络安全策略的提出,是为了实现各种网络安全技术的有效集成,构建可靠的网络安全系统 网络安全策略包含5方面策略 物理安全策略 访问控制策略 防火墙控制 信息加密策略 网络安全管理策略 2.2根据各自所基于的数学原理,分析公钥密码体制与对称密码体制的改进? 公钥密码体制(n:1)--对称密码(1:1) 在用户数目比较多时,传统对称密码体制密钥产生、存储和分发是很大问题。 公钥密码体制用户只需掌握解密密钥,而将加密密钥和加密函数公开。改变了密钥分发目 录 .6 方式,便利密钥管理。不仅用于加解密,还广泛用于消息鉴别、数字签名和身份认证 2.3与对称密码体制比较,公钥密码体制在应用中有哪些优点? 公钥密码体制最大优点适应网络的开放性要求。 密码管理比对称密码简单,又满足新的应用要求。 通信各方都可以访问公钥,私钥在通信方本地产生,不必进行分配。任何时刻都可以更改私钥,只要修改相应的公钥替代原来的公钥。 2.4有哪些常见的密码分析攻击方法,各自什么特点? 惟密文攻击:仅知加密算法和密文,最易防范 已知明文攻击:知加密算法,待解密文,同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式,如标准化的文件头。 选择明文攻击: 攻击者选择对其有利的明文,获取到了其相应的密文。 选择密文攻击:事先搜集一定数量的密文,获的对应的明文。 3.2什么是MAC?其实现的基本原理是什么? MAC是消息鉴别码,又称密码校验和。 其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块,即MAC,并附加到消息后面传输,接收方利用与发送方共享的密钥进行鉴别。MAC提供消息完整性保护,可以在不安全的信道中传输,因为MAC的生成需要密钥。 3.3散列函数应该具有哪些安全特性? (1)单向性:对于任意给定的散列码h,寻找x使得H(x)=h在计算上不可行。 (2)强对抗碰撞性:输入是任意长度的M;输出是固定长度的数值;给定h和M,h(M)容易计算;寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。 (3)弱对抗碰撞性:对于任意给定的分组M,寻找不等于M的M’,使得H(M’)=h(M)在计算上不可行。 3.4什么是数字签名?数字签名具有哪些特征? 数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性,并保护数据,防止被人(如接收者)进行伪造。 目 录 .7 数字签名的特征: (1)可验证性:信息接收方必须能够验证发送方的签名是否真实有效。 (2)不可伪造性:除了签名人之外,任何人都不能伪造签名人的合法签名。 (3)不可否认性:发送方发送签名消息后,无法抵赖发送行为;接收方在收到消息后,也无法否认接收行为。 (4)数据完整性:发送方能够对消息的完整性进行校验,具有消息鉴别的作用。 4.1用户认证的主要方法有哪些?各自具有什么特点? 基于口令的认证、基于智能卡的认证、基于生物特征的认证。 基于口令的认证最简单,最易实现,最容易理解和接受。 基于智能卡的认证的特点:双因子认证、带有安全存储空间、硬件实现加密算法、便于携带,安全可靠。 基于生物特征的认证不易遗忘或丢失;防伪性能好,不易伪造或被盗;“随身携带”,方便使用;但成本高,只适用于安全级别比较高的场所。 4.2简述X.509证书包含的信息。 版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名。 4.3一个完整的PKI应用系统包括那些组成部分?各自具有什么功能? 一个完整的PKI应用系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分。 认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征; 数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥; 密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。 证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种目 录 .8 身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。 应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。 4.4简述CA的基本职责。 (1)制定并发布本地CA策略; (2)对下属各成员进行身份认证和鉴别; (3)发布本CA的证书,或者代替上级CA发布证书; (4)产生和管理下属成员的证书; (5)证实RA的证书申请,返回证书制作的确认信息,或返回已制作的证书; (6)接受和认证对所签发证书的撤销申请; (7)产生和发布所签发证书和CRL; (8)保存证书、CRL信息、审计信息和所制定的策略。 第五章 1. 简述针对主机的ARP欺骗的机制 中间人C冒充B,响应A以虚假的IPB—MACC,扰乱A的ARP列表,A发给B的数据发给了C。 2. IPsec中传输模式和隧道模式有何区别? ESP在隧道模式中加密和认证(可选)整个内部IP包,包括内部IP报头。AH在隧道模式中认证整个内部IP包和外部IP头中的选中部分。当IPsec被用于端到端的应用时,传输模式更合理一些。在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中,通常采用隧道模式;而且,传输模式并不是必需的,因为隧道模式可以完全替代传输模式。但是隧道模式下的IP数据包有两个IP头,处理开销相对较大。 3. AH协议和ESP协议各自提供哪些安全服务? AH协议为IP数据包提供数据完整性校验和身份认证,还有可选择的抗重放攻击