第6章 网络安全技术习题.doc

第6章 网络安全技术补充习题一、填空题：1、 _公开密钥_指可以公开发布，让所有人知道得密钥。_私有密钥是由用户自己保管的密钥。2、_单向散列函数_可以帮助通信的接收方验证所收到的数据在内容上的完整性以及在发送者和时间上的真实性。 3、防火墙主要包括三种类型：包过滤防火墙、 代理服务器防火墙 、 应用层网关防火墙。4、IP欺骗的三个对象：_攻击者_、_目标主机_、_受信任主机_。5、_特洛伊木马_是指隐藏在正常的程序中，一旦通过某种方式激活，就运行在后台实现攻击者对服务器的控制的网络攻击程序。6、_分布式拒绝服务DDOS _源于DOS，通常以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击的目的。7、域名服务器DNS实现_ IP地址_和_域名_之间的映射。8、_公开密钥_指可以公开发布，让所有人知道得密钥。_私有密钥_是由用户自己保管的密钥。9、_单向散列函数_可以帮助通信的接收方验证所收到的数据在内容上的完整性以及在发送者和时间上的真实性。 二、选择题：1、虚拟专用网VPN通常被定义为一个公共网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全的、稳定的隧道。下列哪个不是VPN具备的功能（D）。A. 加密数据 B. 身份认证 C.访问控制 D.数字签名2、按（D）划分，可将加密体制划分为对称加密体制和不对称加密体制。 A加密与解密的算法是否相同。B.加密与解密的算法是否可逆。 C. 加密密钥与解密密钥是否相同。D. 加密密钥与解密密钥是否相同或本质上等同。3.DES算法属于（A）。 A.对称加密体制。 B.不对称加密体制。 C.单向散列函数。 D.数字签名算法。4.防火墙是（C）。 A.软件。 B.硬件。 C.软件+硬件 D.其他。5.数字签名与传统的手写签名的差别是（D）。 A.手写签名不可能被伪造，数字签名可能被伪造。 B.数字签名是被签署文件的物理组成部分，而手写签名不是。 C. 手写签名不易复制，而数字签名正好相反。 D. 手写签名是通过与一个真实的手写签名比较来进行验证的，而数字签名是通过一个公开的验证算法来验证的。6.数字时间戳不包括的部分是（D）。A.加时间戳的文件摘要。 B.DTS收到文件的日期和时间。C.DTS的数字签名。 D.加密方法。7. 下列密码算法中，不属于对称密钥算法的是_ C_。A. DES B. IDEA C. RSA D. RC4三、名词解释1数据安全：所谓数据安全是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等。2数据加密：数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径达到保护数据不被人非法窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。3防火墙：防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。4数字签名：“附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造”5数字时戳：时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：（1）需加时间戳的文件摘要（digest）；（2）DTS收到文件的日期和时间；（3）DTS的数字签名。四、简答题1简述数据加密的基本方法。（1）单表换字法。凯撒密码是最古老的替代密码，以英文26个字母为例，它用D表示a，用E表示b，用F表示c，用C表示z，密文字母相对明文字母循环左移了3位，因此，又称为循环移位密码。这种映射关系表示为如下函数：F（a）=（a十k）mod n其中：a表示明文字母，n为字符集中字母个数，k为密钥。假设k=3，则明文P=COMPUTER SYSTEMS可加密为： f（C）=（2+3）mod 26=5=F f（O）=（14+3）mod 26=17=R f（S）=（18+3）mod 26=21=V所以密文C=Ek（P） =FRPSXWHUVBVWHPV（2）异或法。异或运算的特点是，明文信息码与密钥码异或，得到密文信息码；该密文信息码再与同一密钥码异或，又可以还原为原来的明文信息码。（3）移位法。前面的两种加密算法都属于替换，其目的在于制造混乱，使得截获者难于从密文中了解到明文的含义。替换是密码学中的一种有效的加密方法。2传统密码体制和公钥密码体制的特点。传统密码体制又称对称密码体系，即加密和解密使用同一密钥的加密体系。其中目前较为流行的对称加密算法有：DES、3DES、IDES、RC5、AES等。其中DES是对称加密算法中的代表。公开密钥密码体制又称非对称式加密体系，即加密和解密过程分别使用两个不同的密钥体系。目前，用于公钥加密的典型算法有：RSA、背包算法、Rabin算法、概率加密算法、McEliece算法等。3P2DR模型的主要组成部分。P2DR模型是TCSEC模型的发展，也是目前被普遍采用的安全模型。P2DR模型（如图6-3所示）包含四个主要部分：Policy（安全策略）、Protection（防护）、Detection（检测）和Response （响应）。防护、检测和响应组成了一个所谓的“完整的、动态”的安全循环，在安全策略的整体指导下保证信息系统的安全。4简述包过滤防火墙和代理防火墙的工作原理。包过滤防火墙。包过滤是面向网络层和传输层的防火墙产品，它的工作原理是通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。代理防火墙是针对包过滤的缺点而引入的防火墙技术。其特点是将所有跨越防火墙的网络通信链路分为两段，一段是从外部网络到代理服务器，另一段是从代理服务器到内部网络之间。代理防火墙的工作原理是运行在两个网络之间，它对于客户来说像是一台真的服务器一样，而对于外界的服务器来说，它又是一台客户机。当代理服务器接收到用户的请求后，会检查用户请求的站点是否符合公司的要求，如果公司允许用户访问该站点的话，代理服务器会像一个客户一样，去那个站点取回所需信息再转发给客户。其工作方式如图6-5所示。5简述HASH算法实现数字签名的过程。HASH数字签名算法的实现流程如下，如图6-10所示。（1）被发送消息用HASH算法加密产生128bit的消息摘要A。 （2）发送方用自己的私用密钥对消息摘要A再加密，这就形成了数字签名。 （3）发送方通过某种关联方式，比如封装，将消息原文和数字签名同时传给接受方。 （4）接受方用发送方的公开密钥对数字签名解密，得到消息摘要A；如果无法解密，则说明该信息不是由发送方发送的。如果能够正常解密，则发送方对发送的消息就具有不可抵赖性。 （5）接受方同时对收到的文件用约定的同一HASH算法加密产生又一摘要B。 （6）接受方将对摘要A和摘要B相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。 6数字时间戳的作用。在电子通信中，带有时间戳的数字签名，相当于具有自毁功能的签名，使他人不能再次使用已经用过的数字签名。例如：若发送方的消息中有发送的时间和日期，或有任何非重复的代码，就可以防止消息的重用。为防止将消息分成一系列小块并重用单个块，发送方可将每个消息都依赖于时间标志。例如：用DES加密64位数据组产生64位输出，发送方可使每个组的头8个字节为加密的时间和日期，其余的56位作为消息。由于DES64位输出完全依赖于64位输入的数据，因此，银行不能将56位的消息和不匹配的别的8位的时间标志组合起来。这样，即使是单个小块，也不能被重用。五、论述题 1试论述数字签名和数字时间戳的作用。数字签名是目前电子商务、电子政务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。它采用了规范化的程序和科学化的方法，用于鉴定签名人的身份以及对一项电子数据内容的认可。它还能验证出文件的原文在传输过程中有无变动，确保传输电子文件的完整性、真实性和不可抵赖性，防止原始文档被污染或变更，防止别有用心者使用他人名字散布欺骗性消息，等等。在我国2004年新颁布的电子签名法中所规定的“安全的电子签名具有与手写签名或者盖章同等的效力”的三点具体体现：（1）该电子文件确实是由签名者的发送方所发出的，电子文件来源于该发送者。因为，签署时电子签名数据由电子签名人所控制；（2）被签名的电子文件确实是经发送方签名后发送的，说明发方用了自己的私钥作的签名，并得到验证，达到不可否认的目的；（3）接收方收到的电子文件在传输中没有被篡改，保持了数据的完整性，因为，签署后对电子签