最新北航信息对抗专业信息网络安全复习资料

1、精品文档信息网络安全资料第一章1、掌握信息安全的四个目标 保密性 完整性 可用性 合法使用2、信息系统中常见的威胁有哪些授权侵犯 假冒攻击 旁路控制 特洛伊木马或陷门 媒体废弃物3、安全攻击分几大类？有何区别？ 分为 被动攻击 和 主动攻击 被动攻击是对所传输的信息进行窃听和监测， 主动攻击是指恶意篡改数据或伪造数据流等攻 击行为，主动攻击对信息不仅进行窃听，还会篡改4、掌握 OSI的七层参考模型和 Internet 四层参考模型OSI七层参考模型 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层Internet 四层参考模型 数据链路层 网络层 传输层 应用层5、熟记 X.800

2、标准中的 5类安全服务和 8 种特定安全机制，并简述安全服务和安全机制之 间的关系5 类安全服务 认证 访问控制 数据保密性 数据完整性 不可否认性8 种特定安全机制 加密 数字签名 访问控制 数据完整性 认证交换 流量填充 路由控制 公证关系：安全服务通过安全机制来实现安全策略6、能够画出网络安全参考模型和网络访问参考模型精品文档精品文档第二、三章（不做重点要求）1、必须知道 IPv4 及 IPv6 地址的格式及长度IPv4 32 位 IPv6 128 位 2000:0000:0000:0000:0001:2345:6789:abcd （将这 128 位的地址按每 16

3、 位 划分为一个段，将每个段转换成十六进制数字，并用冒号隔开）2、必须知道 MAC地址的长度 48 位,3、必须熟记 http/ftp/telnet/pop3 /smtp/ssh/dns 等常用通信协议的端口号及功能http 80 用于传送 Web 数据ftp 20、21 提供上传下载服务telnet 23 远程登陆服务的标准协议pop3 110 接收电子邮件smtp 25 发送邮件ssh 22为远程登录会话和其他网络服务提供安全性的协议dns 53把域名转换成计算机能够识别的 IP 地址4、为什么要进行网络地址转换（ NAT）？ IP 地址短缺5、ARP协议的作用是什么？负责将局域网中的 3

4、2b IP 地址转换为对应的 48b 物理地址，即网卡的 MAC 地址6、为什么 UDP 比 TCP协议更加容易遭到攻击？因为 UDP没有交换握手信息和序号的过程精品文档精品文档第四章1、按照对明文消息的处理方式不同，单钥体质可分为分组密码 和 流密码2、DES的分组长度是 64 位 密钥长度是 56 位3、AES的分组长度是 128 位 密钥长度是 128、192、 256 位4、分组密码算法都含有 扩散 和 混淆 两个过程5、加密的安全性只取决于密钥的保密 ，而算法可以 公开6、加密轮数是否越多越好？密钥是否越长越好？不是7、一条明文经过 2 个算法串联加密，是否一定更安全？ 不一定8、分

5、组密码的 5 种工作模式是什么？请画图说明（1）电码本模式2）密码分组链接模式3）输出反馈模式精品文档精品文档4）密码反馈模式精品文档精品文档5）计数器模式精品文档精品文档第五章1、双钥密码体制是基于数学难题构造的，请列举出目前存在的数学难题多项式求根、 离散对数、 大整数分解、 背包问题、 Diffie-Hellman 问题、 二次剩余问题、 模 n 的平方根问题2、RSA是基于何种数学难题构造的？大整数分解Diffie-Hellman达式，并指出什么是公钥，什么事私钥，并能做出简单3、请写出 RSA加密和解密的数的计算（重点题目，考试需要带计算器）4、RSA是否可以看成是分组密码体制？为什

6、么？ 可以，因为可把数分成一组一组加密5、必须知道，用双钥体制加密时采用谁的公钥？解密时采用谁的私钥？加密时采用信息接收方的公钥，解密时采用信息接收方的私钥精品文档精品文档第六章1、请说明 Hash 函数与加密函数有何不同？Hash 函数不可逆，加密函数可逆2、杂凑函数具有哪些性质？（1）混合变换 （ 2）抗碰撞攻击 （3）抗原像攻击 （ 4）实用有效性3、什么是消息认证码 MAC？如何构造？MAC 有密钥控制的单向杂凑函数，其杂凑值不仅与输入有关，而且与密钥有关，只有持此 密钥的人才能计算出相应的杂凑值构造方法 MAC=CK（M） 其中， M 是一个变长消息， K 是收发双方共享的密钥， C

7、K（M）是定长 的认证符4、什么是消息检测吗 MDC？简述 MDC 与 MAC 的异同MDC 是无密钥控制的单向杂凑函数，其杂凑值只是输入字串的函数，任何人都可以计算MDC 不具有身份认证功能， MAC 具有身份认证功能MDC 和 MAC 都可以检测接受数据的完整性5、MD5 的输出长度是多少位？128 位6、SHA-1 的输出长度是多少位？160 位7、熟悉 P165页的图 6-6 的几个图所能够提供的安全功能精品文档葫snxB风总芒也Fg吉應町第w二一世66 期希5建3kr ZZ兴議別wit精品文档第七章1、数字签名应该具有哪些性质？（1）收方能够确认或证实发放的签名，但不能伪造（2）发方

8、发出签名的消息给收方后，就不能再否认他所签发的消息（3）收方对已收到的签名消息不能否认，即有收报认证（4）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程2、数字签名可以分为哪几类？确定性签名 随机化签名3、RSA签名是基于何种数学难题？大整数分解4、ElGamal 签名是基于何种数学难题？离散对数5、数字签名时，签名者用的是谁的何种密钥？验证时，验证者用的是谁的何种密钥？ 签名者用的是签名者的私钥，验证时用的是签名者的公钥6、Diffie-Hellman 能用来做数字签名吗？不能7、单钥体制能用来做数字签名吗？不能8、试比较数字签名与双钥加密的区别 数字签名是用签名者的私钥进行签名，

9、 用签名者的公钥进行验证， 双钥加密为发送方用接受 方的公钥进行消息的加密，接受方用自己的私钥进行解密第八章1、协议的三个要素是什么？（ 1）有序性 （2）至少有两个参与者 （3）通过执行协议必须能完成某项任务2、如果按照密码协议的功能分类，密码协议可以分为哪几类？（ 1）密钥建立协议（2）认证建立协议（ 3）认证的密钥建立协议3、什么是中间人攻击？如何对 Diffie-Hellman 协议进行中间人攻击？请画图说明。 Mallory 不仅能够窃听 A 和 B之间交换的信息，而且能够修改消息，删除消息，甚至生成全 新的消息。当 B与A会话时， M 可以冒充 B，当 A与B会话时， M可以冒充

10、A精品文档精品文档4、请用数学表达式写出 DIffie-Hellman 协议的密钥交换过程？（1）A 选择一个随机的大整数 x，并向 B 发送以下消息 X=（2）B选择一个随机的大整数 y，并向 A 发送以下消息 Y=（ 3） A 计算： K=（4）B 计算： K=5、Diffie-Hellman 能用来做数字签名吗？不能6、掌握大嘴青蛙协议和 Yahalom 安全协议设计的思想 大嘴青蛙协议 : A和 B 均与 T共享一个密钥， A 只需要传两条消息，就可以将一个会话密 钥发送给 BYahalom ：B 首先与 T接触，而 T仅向 A 发送一条消息第九章1、什么是 PKI？ PKI是由哪几部

11、分组成？每个组成部分的作用是什么？ PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施 PKI由 证书机构 注册机构 证书发布库 密钥备份与恢复 证书撤销 PKI 应用接口 组成（1）证书机构（ CA）负责发放和管理数字证书（2）注册机构（ RA）按照特定政策与管理规范对用户的资格进行审查，并执行“是否同意 给该申请者发放证书、撤销证书”等操作，承担因审核错误而引起的一切后果（3）证书发布库 是网上可供公众进行开放式查询的公共信息库（4）密钥备份与恢复 提供密钥备份与恢复机制（5）证书撤销 警告其他用户不要再使用该用户的公钥证书（6）PKI应用接口 令用户能方便地使用加密、数

12、字签名等安全服务2、什么是数字证书？ X.509 证书的格式是什么？ 数字证书就是一个用户的身份与其所持有的公钥的结合， 在结合之前由一个可信任的权威机 构 CA 来证实用户的身份， 然后由该机构对用户身份及对应公钥想结合的证书进行数字签名， 以证明其证书的有效性。精品文档精品文档格式： Cert=3、实际中，由谁来签发证书？CA4、签发证书时，是由 CA 的何种密钥（私钥还是公钥）进行签名？私钥验证证书时，是用谁的公钥来验证？用 CA的公钥来验证5、数字证书的作用是什么？它本质上是为了解决网络安全中的什么问题？ 数字证书可以证明网络实体在特定安全应用的相关信息 为了解决公钥可信性问题第十章1

13、、熟记网络加密的 4 种方式 链路加密 节点加密 端到端加密 混合加密2、密钥有哪些种类？它们各自有什么用途？基本密钥 会话密钥 密钥加密密钥 主机主密钥 工作密钥 基本密钥：由用户选定或由系统分配、可在较长时间内由一对用户专用的密钥 会话密钥：两个通信终端用户在一次通话或交换数据时所用的密钥 密钥加密密钥：用于对传送的会话或文件密钥进行加密时采用的密钥 主机主密钥：对密钥加密密钥进行加密的密钥 工作密钥：在不增大更换密钥工作量的条件下扩大可使用的密钥量3、按照协议的功能分类，密码协议可以分成哪3 类？1）密钥建立协议第八章-42）认证建立协议（ 3）认证的密钥建立协议4、写出 Diffie-

14、Hellman 协议的数5、简述为何 Diffie-Hellman 协议不能抵抗中间人攻击？并画图说明中间人攻击的过程6、一个好的密钥应具备哪些特性？（1）真正随即、等概率（2）避免使用特定算法的若密钥（3）满足一定的数学关系（4）易记而难猜中 精品文档精品文档 （5）采用密钥揉搓或杂凑技术，将易记的长句子经单向杂凑函数变换成伪随机数串7、软件加密和硬件加密有何区别？任何加密算法都可以用软件实现，灵活、轻便，在主流操作系统上都有软件可以用，但 速度慢，安全性有一定风险硬件加密 加密速度快 硬件安全性好 硬件易于安装第十一章1、无线网络面临哪些安全威胁？请写出5 种以上窃听 通信阻断 数据的注入

15、和篡改 中间人攻击 客户端伪装 接入点伪装 匿名攻击 客 户端对客户端的攻击 隐匿无线信道 服务区标识符的安全问题 漫游造成的问题2、GSM 的主要安全缺陷有哪些？1）基站和基站之间没有设置任何加密措施，和 SRES在网络中以明文传输2）的长度是 48b，用户截取 RAND 和 SRES后很容易破译，而 一般固定不变，使 SIM 卡的复制成为可能3）单向身份认证4）缺乏数据完整性认证5）存在跨区切换，在这个过程中，可能泄露用户的秘密信息6）用户无法选择安全级别3、请简要描述 GSM 蜂窝系统的认证过程。为何挑战值是一个随机数而不能是常数？（画 图分析说明）（1）基站产生一个 128b 的随机数

16、或挑战值，并把它发给手机（2）手机使用 A3 算法和密钥 将 RAND 加密，产生一个 32b 的签名回应（ SRES）（ 3） 同时， VLR也计算出 SRES值（4） 手机将 SRES传输到基站，基站将其转发到VLR（5）VLR将收到的 SRES值与算出的 SRES值对照（6）如果 SRES相符，认证成功（7）如果 SRES不符，连接中止挑战值是随机数可以防止强力攻击，一个 128b 的随机数意味着 3.4*10 38 种可能的组合， 即使一个黑客知道 A3 算法，猜出有效的 RAND/SRES的可能性也非常小精品文档精品文档4、为何 3G系统比 2.5G 系统更安全？ 3G系统在提高安全

17、性上作了哪些改进？ 2.5G系统采用的是单向认证， 3G 系统采用的是双向认证（1）实现了用户与网络之间的相互认证（2）建立了用户与网络之间的会话密钥（3）保持了密钥的新鲜性第十二章1、防火墙可以划分为哪三种基本类型？这三种防火墙各自工作于OSI模型的哪一层上？包过滤防火墙 电路级网关防火墙 应用级网关防火墙2、在实际网络环境中， 防火墙放置在何种位置？请画图说明 （假设网络中还有路由器、 IDS、 VPN、交换机等设备）参考十三章 -5精品文档精品文档3、防火墙一般有几个端口？3 个什么是 DMZ 区？它的作用是什么？ 被内外过滤器隔离出来的部分称为非军事区（DMZ）作用提供中继服务，以补偿

18、过滤器带来的影响4、简述包过滤防火墙和应用网关防火墙的区别 包过滤防火墙能对所有不同服务的数据流进行过滤， 而应用级网关只能对特定服务的数 据流进行过滤包过滤器不需要了解数据流的细节，它只查看数据包的源地址和目的地址或检查 UDP/TCP的端口号和某些标志位。应用级网关必须为特定的应用服务编写特定的代理程 序。5、简述 NAT 路由器的工作原理（给图填地址）第十三章1、 IDS可以分为哪 3 种类型？它们各自用于何种场合？1）基于网络的入侵检测系统（NIDS)数据来源于网络上的数据流2）基于主机的入侵检测系统（HIDS)数据来源于主机系统3）采用上述两种数据来源的分布式入侵检测系统（DIDS）

19、 分别来源于主机系统和网络数据流2、一个 IDS 通常由哪几部分组成？（1） 数据收集器（2） 检测器（3）知识库（4）控制器精品文档精品文档网段内，3、NIDS 一般放置于网络的何种位置？ 基于网络的入侵检测产品（ NIDS）放置在比较重 数据包，对每个数据包或可疑的数4、HDIS一般放置于网络的何种位置？ HDIS安装在被保护主机上可连续监视网段中的各种5、请画出各类 IDS 在一个实际网络中的部署图。6、NIDS在功能结构上应至少包含哪 4 个功能模块？1） TCP会话重组模块2） 数据包捕获模块3）内容分析模块4）自动响应第十四章1、根据访问方式的不同， VPN可以分哪 2类？ TSL

20、 VPN和 IPSec VPN各自属于哪一类？ （ 1）远程访问 VPNTLS VPN（ 2）网关 -网关 VPNIPSec VPN2、请比较 TLS VPN和 IPSec VPN的优缺点精品文档精品文档TLS VPN优点：（1） TLS VPN无须安装客户端软件。 IPSec VPN需要在每台计算机上配置安全策 略（ 2） 适用于大多数设备（ 3） 适用于大多数操作系统（ 4） 支持网络驱动器访问（ 5） 不需要对远程设备或网络做任何改变（ 6） 较强的资源控制能力（ 7） 费用低且具有良好的安全性（8）可以绕过防火墙和代理服务器进行访问，而IPSec VPN很难做到这一点（ 9） TLS加

21、密已经内嵌在浏览器中，无须增加额外的软件TLS VPN缺点（1） 认证方式比较单一， 只能采用证书， 一般是单向认证。 IPSec VPN认证方式 灵活，可采用口令、令牌等认证方式（2） 应用的局限大（3）只能对通信双方所使用的应用通道进行加密（4）TLS VPN不能对应用层的消息进行数字签名（5）LAN-to-LAN 的链接缺少理想的 TLS解决方案（6）TLS VPN的加密级别通常不如 IPSec VPN高（7）不能保护 UDP 通道的安全（8） TLS VPN是应用层加密，性能比较差。 IPSec VPN性能要好很多（9） TLS VPN只能进行认证和加密， 不能实施访问控制。 而 IPSec VPN可以根据 用户的身份在其访问内部资源时进行访问控制和安全审计（10） TLS VPN需要 CA 支持3、请尽可能多地说出目前常用的隧道协议名称，并了解其基本用途。（ 1）PPTP 让远程用户拨号连接到本地 ISP、通过 Internet 安全远程访问公司网络资源（ 2） L2F 可以在多种介质上建立多协议的安全虚拟专用网（ 3） L2TP 适合组建远程接入方式的 VPN（4）IPSec 是专为 IP 设计提供安全服务的一种协议（ 5） GRE 规定了如何用一种网络协议去封装另一种网络协议