网络安全期末复习重点修改版.doc

Key words:明文：plaintext加密算法：encryption algorithm密钥：secret key密文：ciphertext解密算法：decryption algorithm加粗带线的重点看看吧，英文的都是考选择填空的哈。不过有些应该不会考了，就是后面已经作为名词解释和简答题的。不确定哦Chapter 1 Overview Page 8Security attacks are classified as either passive attacks(被动攻击),which include unauthorized(非法的) reading of message of file and traffic analysis(流量分析) or active attack(主动攻击),such as modification(篡改) of messages or files,and denial（拒绝） of service.安全攻击分为被动攻击，它包括非授权阅读消息，文件和流量分析，又或是主动攻击，例如消息或文件的篡改和拒绝服务.（填空题：根据特征判断是什么攻击。填空题填英文）Security services include authentication(认证), access control(访问控制), data confidentiality(数据机密性),data integrity(数据完整性),nonrepudiation(不可否认性),and availability(可用性).安全服务包括：认证，访问控制，数据机密性，数据完整性，不可否认性，和可用性。(简答题，写中文)Page 11网络安全的五个特征：（简答题，写中文）Confidentiality(保密性),integrity(完整性),availability(可用性)，authenticity(真实性),accountability(可追溯性).Page 16主动攻击和被动攻击的特点：（简单题）被动攻击的特性是对传输进行窃听和监测,攻击者的目标是获取正在传输的信息。被动攻击的方式有：消息泄露，流量分析。主动攻击包括数据篡改流，或者制造虚假流，方式有伪装，重放，消息篡改，拒绝服务。Chapter 2 Page 32Symmetric encryption(对称加密) is a form of cryptosystem(密码系统) in which encryption and decryption(解密) are performed using the same key. It is also known as conventional(传统的) encryption. 对称加密是这样一种形式的密码系统，它的加密和解密都是使用相同的密钥.它同时也是一种传统的加密.Symmetric encryption(对称加密) transforms plaintext(明文) into ciphertext（密文） using a secret key and an encryption algorithm.Using the same key and decryption algorithm,the plaintext is recovered from the ciphertext.对称密码使用一个密钥和加密算法将明文转换成密文。使用相同的密钥和解密算法，明文从密文中恢复出来.Traditional symmetric ciphers use substitution and/or transposition technique.传统的对称加密密码使用的是代换及置换技术。Chapter 3Page 67A block cipher(分组加密) is an encryption/decryption scheme in which a block of plaintext is treated as a whole and used to produce a ciphertext block of equal length.分组加密是这样一种加密（解密）机制，将明文组作为整体处理输出一个等长的密文组。Many block ciphers have a Feistel structure.许多分组密码有feistel结构.The Data Encryption Standard（DES）has been the most widely used encryption algorithm until recently。It exhibits the classic Feistel structure.DES use a 64-bit block and a 56-bit keyChapter 5Page 148AES is a block cipher intended to replace DES for commercial applications.It uses a 128-bit block size and a key size of 128,192,or 256 bits.AES是为了商业应用而替换DES的一种分组加密。它使用128位的分组长度和128位，192位，或者256位的密钥长度。AES does not use a Feistel structure.Instead ,each full round consists of four separate functions: byte substitution(字节替换),permutation(排列),arithmetic operations over a finite field(有限域上运算),and XOR(异或运算) with a key.AES未使用feistel结构，每轮由4个单独的运算组成：字节替换，排列，有限域上的运算，和密钥的异或运算。Chapter 6Page 193Multiple encryption(多重加密机制) is a technique in which an encryption algroithm is used multiple times.多重加密机制是一种加密算法被使用了多次的技术。Triple DES（三重） makes use of three stages of the DES algorithm,using a total of two ot three distinct keys.三重DES在三个阶段使用DES算法，共用两组或三组密钥。Chapter 7Page 219A stream cipher(流密码) is a symmetric encryption algorithm in which ciphertext output is produced bit-by-bit or byte-by-byte from a stream of plaintext input.The most widely used such cipther is RC4.流密码是一个对称加密算法，它的密文输出是从一个明文输入流逐位或者逐字节产生的。最广泛使用的流密码是RC4.Chapter 8Page 267Asymmetric encryption(非对称加密) is a form of cryptosystem in which encryption and decryption are performed using the different keys-one a public key and one a private key.It is also known as public-key encryption.非对称加密是这样一种密码系统，它的加密和解密是用的不同的密钥：一个公钥和一个私钥.它也称为公钥加密。The most widely uesd public-key cryptosystem is RSA.最广泛使用的公钥加密系统是RSA .Chapter 10A simple public-key algorithm is Diffie-Hellman(DH) key exchange(密钥交换).一个简单的公钥算法是DH密钥交换。Chapter 12 Message authentication(消息认证) is a mechanism or service used to verify（核实） the integrity of a message(消息完整性).Message authentication assures that data received are exactly as sent by （i.e. contain no modification，insertion，deletion，or replay）and that the purported(声明) identity of the sender is valid(真实的).消息认证是用来验证消息完整性的一种机制或服务，消息认证机制确保收到的数据确实是和发送时的一样（即没有修改，插入删除或重放）,且发送方声明的身份是真实有效的。A message authentication code(MAC) is an algorithm that requires the use of a secret key.A MAC takes a variable-length message and a secret key as input and produces an authentication code.MAC(消息认证码)是一种算法，它要求使用一个密钥。MAC需要一个变长的消息和一个密钥来作为输入，然后产生一个认证码.One means of forming a MAC is to combine a cryptographic hash function in some fashion with a secret key.一种构造MAC的方法是，是将密码学Hash函数以某种方式和密钥捆绑起来。Another approach to construction a MAC is to use a symmetric block cipher in such a way that it produces a fixed-length output for a variable length input.构造MAC的另外一种方法是使用对称分组密码，将可变长度的输入转为固定长度的输出。Chapter 13Page 396A digital signature(数字签名) is an authentication mechanism that enables the creator of a message to attach a code that acts as a signature.Typically the signature is formed by taking the hash of the message and encrypting the message with the creators private key.The signature guarantees the source and integrity of the message.数字签名是一种认证机制，它使得消息的产生者可以添加一个起签名作用的码字。这种签名保证了消息的来源和完整性.The digital signature standard(DSS) is an NIST standard that uses the secure hash algorithm(SHA).数字签名标准（DSS）是一种NIST（美国国家标准技术研究所）标准，它使用了安全哈希算法(SHA).Chapter 13Page 412Key distribution(密钥分配) often involves the use of master keys(主密钥),which are infrequently used and are long lasting,and session keys(会话密钥),which are generated and distributed for temporary use between two parties.密钥分配通常包括双方之间不频繁使用且长期存在的主密钥以及临时使用的会话密钥。A public-key infrastructure(PKI)公钥基础设施 is defined as the set of hardware ,software, people, policies,and procedures needed to create,manage,store,distribute,and revoke digital certificates based on asymmetric cryptography. （名解里有，所以了解下英文单词，应该不会填空了）公钥基础设施定义为一整套体系由硬件，软件，人，政策和程序构成。这些程序用来创建，管理，存储，分配和撤销建立在非对称密码算法上的数字证书Typically ,PKI implementations make use of X.509 certificates.典型的，PKI的实现是利用了X.509认证服务.Chapter 18Page 568PGP is an open-source(开源),freely available software package for e-mail security.It provides authentication through the use of digital signature,confidentiality through the use of a symmetric block encryption,compression（压缩） using the ZIP algorithm,and e-mail compatibility（兼容性） using the radix-64 encoding scheme.PGP(加密软体)是一个保障电子邮件安全的开源的软件包.它通过使用数字签名提供认证，通过使用对称分组加密提供保密性，用zip算法做压缩，并使用基数64编码模式提供邮件兼容性。（名解里有，所以了解下英文单词，应该不会填空了）Chapter 19Page 616IP security(IP sec) is a capability that can be added to either current version of the Internet Protocol(IPv4 or IPv6) by means of additional headers.IP安全性（IPsec）可以通过将额外的头部添加到当前版本的互联网协议(IPv4 or IPv6)来实现。（名解里有，所以了解下英文单词，应该不会填空了）1. PKI 公开密钥基础设施（Public Key Infrastructure,PKI）是一种以CA系统为核心，担负证书的创建、管理、存储、分布和撤销的一系列软件、硬件、人员、政策和过程的集合。它基于数字证书，使用户在虚拟的网络环境下能够相互验证身份，并提供敏感信息传输的机密性、完整性和不可否认性。2. CA颁发数字证书的权威机构称为认证中心（certificate authority，CA）它是可以信赖的第三方机构,用于颁发和管理证书、申请者身份验证、CA服务器的保护、CA私钥和用户私钥的保护，并进行审计和日志检查。3.X.509X.509是被广泛使用的数字证书标准，它定义了（但不仅限于）公钥证书、证书吊销清单、属性证书和证书路径验证算法等证书标准。4.VPN虚拟专有网络virtual private network。利用公有网络（主要是互联网）将多个私有网络或网络节点连接起来。通过公用网络进行连接可以大大降低通信的成本。5.IPSec IPSec是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。6.DSSDSS即digital signature，称作数字签名（又称公钥数字签名、电子签章），它是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算，一个用于签名，另一个用于验证。7.PGP PGP(Pretty Good Privacy)是一个基于RSA公钥加密体系的开源的邮件加密软件。可以用它对邮件保密以防止非授权者阅读，还能对邮件加上数字签名，从而使收信人可以确定发送者，并确保邮件未被篡改。8. KerberosKerberos 是一种网络认证协议，其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。9. 缓冲区溢出(Buffer Overflow)就是通过在程序的缓冲区写入超出其长度的内容，从而破坏程序的堆栈，使程序转而执行其他指令，以达到攻击的目的。10. Computer Virus(计算机病毒)计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，且能自我复制的一组计算机指令或者程序代码。简答题：1. 计算机病毒检查方法有哪些？答：（1）比较法；（2）搜索法；（3）特征字识别法（4）分析法。 （请详述）2.VPN 有哪些分类？各应用于何种场合？答：（1）内部VPN：如果要进行企业内部异地分支结构的互联，可以使用IntranetVPN 的方式，即所谓的网关对网关VPN。在异地两个网络的网关之间建立了一个加密的VPN 隧道，两端的内部网络可以通过该VPN 隧道安全地进行通信。（2）远程 VPN：公司总部和远程雇员或旅行之中的雇员之间建立的VPN，通过拨入当地的ISP 进入Internet 再连接企业的VPN 网关，在用户和VPN 网关之间建立一个安全的“隧道”，通过该隧道安全地访问远程的内部网（节省通信费用，又保证了安全性）。拨入方式包括拨号、ISDN、ADSL 等，唯一的要求就是能够使用合法IP 地址访问Internet。（3）联网VPN：公司与商业伙伴、供应商、投资者等之间建立的VPN。如果一个企业希望将客户、供应商、合作伙伴连接到企业内部网，可以使用ExtranetVPN。其实也是一种网关对网关的VPN，但它需要有不同协议和设备之间的配合和不同的安全配置。3. 简述网络安全的目标(即基本需求)及其含义。答：信息安全5个方面的安全需求分别为保密性、完整性、可用性、可控性和不可否认性。保密性是指信息不泄露给非授权用户、实体和过程，不被非法利用；完整性是指数据未经授权不能进行改变的特性，即信息在存储或传输过程中保持不被非法修改、破坏和丢失，并且能够判别出数据是否已被改变；可用性是指可被授权实体访问并按需求使用地特性，即当需求时授权者总能够存取所需的信息，攻击者不能占用所有的资源而妨碍授权者的使用。可控性是指可以控制授权范围内的信息流向及行为方式，对信息的传播及内容具有控制能力；不可否认性是指信息的行为人要对自己的信息行为负责，不能抵赖自己曾有过的行为，也不能否认曾经接到对方的信息。4. 什么叫入侵检测系统？其主要功能有哪些？答：入侵检测系统是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。其主要功能包括对网络或操作系统上的可疑行为做出策略反应，及时切断资料入侵源、记录、并通过各种途径通知网络管理员，帮助系统对付网络攻击，扩展系统管理员的管理能力（包括安全审计、监视、进攻识别和响应），提高