网络与信息安全知识点总结

1. 计算机病毒最本质的特点破坏性2. 一个密文块损坏会造成连续两个明文块损坏的des 工作模式密码分组链接 cbc3. 为了避免访问控制表过于庞大的方法分类组织成组4. 公钥密码算法不会取代对称密码的原因公钥密码算法复杂，加解密速度慢，不适合加密大量数据5. 入侵检测系统的功能部件事件生成器，事件分析器，事件数据库，响应单元，目录服务器6. 访问控制实现方法访问控制矩阵，列：访问控制表，行：访问能力表7. pki 的组成权威认证机构（ ca）、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（ api）8. 公钥密码的两种基本用途数据加密、数字签名9. sha-1 算法的输出为多少比特的消息摘要160 比特10. kerberos 的设计目标解决分布式网络下，用户访问网络使得安全问题，阻止非授权用户获得其无权访问的服务或数据。精品资料11. pki 管理对象证书、密钥、证书撤销列表12. 防火墙的基本技术包过滤技术，代理服务技术，状态检测技术，自适应代理技术。13. 防止行为抵赖，属于什么的研究范畴数字签名14. 完整的数字签名过程包括哪两个过程签名过程、验证签名过程15. 用户认证的依据主要包括哪些用户所知道的东西：如口令、密码；用户所拥有的东西：如智能卡、身份证；用户所具有的生物特征：如指纹、声音、dna 。16. 入侵检测的分类根据信息来源分为：基于主机的ids、基于网络的 ids根据检测方法分为：异常入侵检测、误用入侵检测17. 访问控制的分类自主访问控制、强制访问控制、基于角色的访问控制18. pki 的信任模型哪些层次模型、交叉模型、混合模型19. 数字签名的分类按照签名方式：直接数字签名、仲裁数字签名按照安全性：无条件安全的数字签名、计算上安全的数字签名按照可签名次数：一次性数字签名、多次性数字签名20. 密码分析攻击分为哪几种，各有什么特点？已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击21. 为什么说“消息鉴别无法处理内部矛盾，而数字签名可以”？消息鉴别通过验证消息的完整性和真实性，可以保证不受第三方攻击，但不能处理通信双方内部的相互攻击。数字签名相当于手写签名，可以防止相互欺骗和抵赖。22. 有哪几种访问控制策略？各有什么特点、优缺点？1、自主访问控制 （由拥有资源的用户自己来决定其他一个或一些主体可以在什么程度上访问哪些资源）特点：（1）基于对主体及主体所在组的识别来限制对客体的访问（ 2）比较宽松，主体访问权限具有传递性缺点：通过继承关系，主体能获得本不应具有的访问权限2、强制访问控制为所有主体和客体指定安全级别不同级别标记了不同重要程度和能力的实体不同级别的实体对不同级别的客体的访问是在强制的安全策略下实现访问策略：下读 /上写3、基于角色的访问控制特点：（1）提供了三种授权管理的控制途径（2） ）改变客体的访问权限（3） ）改变角色的访问权限（4） ）改变主体所担任的角色（5） ）系统中所有角色的关系结构层次化，易管理（6） ）具有较好的提供最小权利的能力，提高安全性（7） ）具有责任分离的能力实现：访问控制矩阵列访问控制表（ access control list）行访问能力表（ access capabilities list）23. 论述异常检测模型和误用检测模型的区别？24. 对经凯撒密码加密的密文“ xxx_xx_xxx_xxxxxx”解密，写出明文。 据此说明替换密码的特征。（空格用符号“_”表示）caesar 密码是 k=3 时的移位替换密码，密文=明文右移 3 位，明文 =密文左移 3 位25. 论述数字签名与手写签名的异同点。相同点：（1） ） 签名者不能否认自己的签名（2） ） 签名不能伪造，且接受者能够验证签名（3） ） 签名真伪有争议时能够得到仲裁不同点：（1） ） 传统签名与被签文件在物理上不可分；数字签名则不是，需要与被签文件进行绑定。（2） ） 传统签名通过与真实签名对比进行验证；数字签名用验证算法。（3） ） 传统签名的复制品与原件不同；数字签名及其复制品是一样的。26. 下图描述的是基于对称密码体制的中心化密钥分配方案，请补充完整图中编号的消息表达式，并详细描述一下每个步骤的具体内容。27. 网银转账操作过程中转账金额被非法篡改，这破坏了信息的什么安全属性完整性28. 安全散列函数的计算步骤29. 高级数据加密标准的前身rijndael 对称分组密码算法30. 攻击者截获并记录了从a 到 b 的数据，然后又从早些时候所截获的数据中提取出信息重新发往b 称为什么攻击回放攻击31. 数字证书的组成数字证书是一段包含用户身份信息、公钥信息及ca 数字签名的数据。x.509 证书格式：版本号 1 、2、3，证书序列号、签名算法表示符、颁发者名称、有效期、主体、主体公钥信息、颁发者唯一标识符、主体唯一标识符、扩展域、颁发者签名32. 数字签名要预先使用单向hash 函数进行处理的原因缩小签名密文的长度，加快数字签名和验证签名的运算速度。33. 包过滤防火墙是在网络模型的哪一层对数据包进行检查网络层34. 在身份认证的方式中，最安全的是哪种数字证书35. kerberos 最严重的问题严重依赖于时钟同步36. 设哈希函数 h 有 128 个可能的输出 (即输出长度为 128 位)，如果 h 的 k 个随机输入中至少有两个产生相同输出的概率大于0.5 ，则 k 约等于多少26437. mac 码可以在不安全的信道中传输的原因因为 mac 码的生成需要密钥38. 消息鉴别的分类直接鉴别、基于mac （消息鉴别码）的鉴别、基于散列函数的鉴别39. 实现混淆和扩散的常用手段乘积、迭代、合理选择轮函数、经过若干次迭代40. 一次一密的安全性取决于什么密钥的随机性41. des 算法的密钥长度密钥长度 64 比特，每 8 比特为一奇偶校验位，有效密钥长度56 比特，存在弱密钥和半弱密钥，子密钥48 位。42. rsa 算法的安全性基于什么大整数素因子分解困难问题43. 从技术上讲，密码体制的安全性取决于什么密码算法的保密强度44. 若 alice 发送给 bob 的消息表达式为 xxxxxxxxxxxx，则a) 请画出 alice 生成此消息，以及bob 检验消息的完整流程。b) 请说明在这个流程中可以实现哪些安全服务及其原因。c) 在这个流程中不可以实现哪些安全服务，如果要加上这些安全服务，请给出你的设计方案并说明原因。45. otp 在实际使用中的难点？使用与消息一样长且无重复的随机密钥来加密消息，另外，密钥只对一个消 息进行加解密，之后丢弃不用。每一条新消息都需要一个与其等长的新密钥。一次一密提供安全性存在两个基本难点：（1） ）、产生大规模随机密钥有实际困难。（2） ）、更令人担忧的是密钥的分配和保护。对每一条发送的消息，需要提供给发送方和接收方等长度的密钥。因为上面这些困难，一次一密实际很少使用，主要用于安全性要求很高的低带宽信道。46. 阐述消息认证码mac 的基本概念、原理和作用【基本概念】消息鉴别码（message authentication code）也叫密码校验和（ cryptographic checksum），鉴别函数的一种。密码学中，通信实体双方使用的一种验证机制， 保证消息数据完整性的一种工具。 构造方法由 m.bellare 提出，安全性依赖于 hash 函数，故也称带密钥的 hash 函数。消息认证码是基于密钥和消息摘要所获得的一个值， 可用于数据源发认证和完整性校验。【原理】将任意长的消息m，经共享密钥 k 控制下的函数 c 作用后，映射到一个简短的定长数据分组，并将它附加在消息m 后 ， 成 为 mac ， mac=c k（ m ）。接收方通过重新计算mac进行消息鉴别，如果received mac=computed mac，则接收者可以确信消息m 为被改变。接收者可以确信消息来自其共享密钥的发送者。如果消息中含有序列号 （如 hdlc ，x.25 ，tcp ），则可以保证正确的消息顺序。【作用】消息鉴别码（ mac ）只能鉴别，仅仅认证消息m 的完整性（不会被篡改）和可靠性（不会是虚假的消息或伪造的消息），并不负责信息m 是否被安全传输。47. 什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？数字证书是一个经证书认证中心（ ca ）数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心（ ca ）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循x.509 v3标准。 x.509 v3标准在编排公共密钥密码格式方面已被广为接受。x.509证书已应用于许多网络安全，其中包括 ipsec （ip 安全）、ssl 、set 、s/mime 。数字证书特点：（1） ）、数字证书确保了公钥的最安全有效分配。（2） ）、向持证人索要公钥数字证书，并用ca 的公钥验证 ca 的签名，便可获得可信公钥。（3） ）、数字证书的可信依赖于ca 的可信。48. 防火墙应满足的基本条件是什么？作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：（1） ）、所有从内到外和从外到内的通信量都必须经过防火墙。（2） ）、只有被认可的通信量，被访问控制策略授权后，才允许传递。（3） ）、防火墙本身具有高可靠性。0123449. 用置换矩阵 e=12304 对明文 xxx_xx_xx加密，并给出其解密矩阵及求出可能的解密矩阵总数。 （10 分）50. rsa 的两种用法是什么？ rsa 为什么能实现数字签名？