网络与信息安全知识点总结

1、1. 计算机病毒最本质的特点破坏性2. 一个密文块损坏会造成连续两个明文块损坏的 DES 工作模式 密码分组链接 CBC3. 为了避免访问控制表过于庞大的方法 分类组织成组4. 公钥密码算法不会取代对称密码的原因 公钥密码算法复杂，加解密速度慢，不适合加密大量数据5. 入侵检测系统的功能部件 事件生成器，事件分析器，事件数据库，响应单元，目录服务器6. 访问控制实现方法 访问控制矩阵，列：访问控制表，行：访问能力表7. PKI 的组成权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统、 应用接口（ API ）8. 公钥密码的两种基本用途 数据加密、数字签名9. SHA-1 算法

2、的输出为多少比特的消息摘要160 比特10. Kerberos 的设计目标 解决分布式网络下，用户访问网络使得安全问题，阻止非授权用户获得其无 权访问的服务或数据。11. PKI 管理对象证书、密钥、证书撤销列表12. 防火墙的基本技术 包过滤技术，代理服务技术，状态检测技术，自适应代理技术。13. 防止行为抵赖，属于什么的研究范畴 数字签名14. 完整的数字签名过程包括哪两个过程 签名过程、验证签名过程15. 用户认证的依据主要包括哪些 用户所知道的东西：如口令、密码； 用户所拥有的东西：如智能卡、身份证； 用户所具有的生物特征：如指纹、声音、 DNA 。16. 入侵检测的分类根据信息来源分

3、为：基于主机的IDS、基于网络的IDS根据检测方法分为：异常入侵检测、误用入侵检测17. 访问控制的分类自主访问控制、强制访问控制、基于角色的访问控制18. PKI 的信任模型哪些 层次模型、交叉模型、混合模型19. 数字签名的分类 按照签名方式：直接数字签名、仲裁数字签名 按照安全性：无条件安全的数字签名、计算上安全的数字签名 按照可签名次数：一次性数字签名、多次性数字签名20. 密码分析攻击分为哪几种，各有什么特点？ 已知密文攻击、已知明文攻击、选择明文攻击、选择密文攻击21. 为什么说“消息鉴别无法处理内部矛盾，而数字签名可以”？ 消息鉴别通过验证消息的完整性和真实性，可以保证不受第三方

4、攻击，但不 能处理通信双方内部的相互攻击。数字签名相当于手写签名，可以防止相互 欺骗和抵赖。22. 有哪几种访问控制策略？各有什么特点、优缺点？1、自主访问控制 （由拥有资源的用户自己来决定其他一个或一些主体可以在 什么程度上访问哪些资源） 特点：（1）基于对主体及主体所在组的识别来限制对客体的访问（2）比较宽松，主体访问权限具有传递性 缺点：通过继承关系，主体能获得本不应具有的访问权限2、强制访问控制 为所有主体和客体指定安全级别 不同级别标记了不同重要程度和能力的实体 不同级别的实体对不同级别的客体的访问是在强制的安全策略下实现 访问策略：下读 /上写3、基于角色的访问控制特点：（1）提供

5、了三种授权管理的控制途径（2）改变客体的访问权限（3）改变角色的访问权限（4）改变主体所担任的角色（5）系统中所有角色的关系结构层次化，易管理（6）具有较好的提供最小权利的能力，提高安全性（7）具有责任分离的能力实现：访问控制矩阵列访问控制表（ Access Control List）行访问能力表（ Access Capabilities List）23. 论述异常检测模型和误用检测模型的区别？24. 对经凯撒密码加密的密文“ XXX_XX_XXX_XXXXXX ”解密，写出明文据此说明替换密码的特征。（空格用符号“表示）Caesar密码是k=3时的移位替换密码， 密文=明文右移3位，明文=密

6、文左移3位25. 论述数字签名与手写签名的异同点。相同点：（1）签名者不能否认自己的签名（2）签名不能伪造，且接受者能够验证签名（3）签名真伪有争议时能够得到仲裁不同点：（1）传统签名与被签文件在物理上不可分；数字签名则不是，需要与被签 文件进行绑定。（2）传统签名通过与真实签名对比进行验证；数字签名用验证算法。（3）传统签名的复制品与原件不同；数字签名及其复制品是一样的。26. 下图描述的是基于对称密码体制的中心化密钥分配方案，请补充完整图中编 号的消息表达式，并详细描述一下每个步骤的具体内容。中心化帑创分M轆式 A向KDC 出会话擁制请求.该请求山曲牛融俎ML 是A与P的身fih 一:是-

7、机敎M ICDC为A的请求发出腹答.应善用A与KDC的其享丄兗钥削密.梢息中包含帛塑樹的一次ft 话rff I冃K,収及A的:if R尬但括次ft 机f（ V,；： 转笈给B的 U: J呷LH A；川A的9份它A ） B 1 j KIX如果I V|=44K mod 填允内容WOui 1A c P*ik!m进计负总JM先j27.网银转账操作过程中转账金额被非法篡改，这破坏了信息的什么安全属性 完整性28.安全散列函数的计算步骤SHA-1f = 44H huk1512巧份认证密钥分发44S棒512 In ；h 啊充巴心为勺？餉蔡北倍純史64mbit t 4对|64比特的Stftfjifi息枕度值也

8、= A/1/ bJi?i hntArrth5!2bi( -* 5 Ubu mA |fntf | N、 EXa A； | 1DO | Nt fj a; II/n j(4)俎兀Lnih= t | mini 严 | t 严+ 取 iJftffl 的 tl M CMcr0=i;too.MessageMessage1000LengthX512bit= .XJ2 bitWhit r512 bit姑化MD疣fiIbdbiU JUr/zaitf4救的申闻”即线幅1牛32比松F的W/ftt 4-十兀进制馆、是旣世字节优光2 B Je几広叩.191M steps.4 * ，。上仏圧町少.加10 irtpiit M

9、#|,5*20 slept口 b c山疋 |l打瓦叭60*79 20 sreps leoicri鞘五步：输出1闸比特斤值处珅牛1丄比转分姐后h=529. 高级数据加密标准的前身Rijndael对称分组密码算法30. 攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提 取出信息重新发往B称为什么攻击回放攻击31. 数字证书的组成数字证书是一段包含用户身份信息、公钥信息及CA数字签名的数据。X.509证书格式：版本号1、2、3，证书序列号、签名算法表示符、颁发者名称、有效期、主 体、主体公钥信息、颁发者唯一标识符、主体唯一标识符、扩展域、颁发者 签名32. 数字签名要预先使用单向H

10、ash函数进行处理的原因缩小签名密文的长度，加快数字签名和验证签名的运算速度。33. 包过滤防火墙是在网络模型的哪一层对数据包进行检查 网络层34. 在身份认证的方式中，最安全的是哪种数字证书35. Kerberos最严重的问题严重依赖于时钟同步36. 设哈希函数H有128个可能的输出（即输出长度为128位），如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则 k 约等于多少2A6437. MAC 码可以在不安全的信道中传输的原因因为 MAC 码的生成需要密钥38. 消息鉴别的分类直接鉴别、基于 MAC （消息鉴别码）的鉴别、基于散列函数的鉴别39. 实现混淆和扩散的常用手段 乘

11、积、迭代、合理选择轮函数、经过若干次迭代40. 一次一密的安全性取决于什么密钥的随机性41. DES算法的密钥长度密钥长度 64比特，每 8比特为一奇偶校验位，有效密钥长度 56比特，存在 弱密钥和半弱密钥，子密钥 48 位。42. RSA 算法的安全性基于什么大整数素因子分解困难问题43. 从技术上讲，密码体制的安全性取决于什么密码算法的保密强度44. 若 Alice 发送给 Bob 的消息表达式为 XXXXXXXXXXXX ，则a）请画出 Alice 生成此消息，以及 Bob 检验消息的完整流程。b）请说明在这个流程中可以实现哪些安全服务及其原因。c）在这个流程中不可以实现哪些安全服务，如

12、果要加上这些安全服务，请 给出你的设计方案并说明原因。 AB：捉供消息鉴别：加密保护H(M)提供保密通信：Alice和Bob共亨密钥K AB：提供消息鉴别：加密保护H(M)如果将HM和函数合并.即为MAC函数 4B：H(M提供消息鉴别:加密保护H(M)提供数字签名：只有Alice才能生成E% H(M)-I BKLa Compare /今丛 ML%HIM)提供消息鉴别g丿川密保护提供数字签人 只有Alice才能工成心AG提供保密通f；右Alice和Bob共亨密钥K* AB： AAH( A/IS )提供消息鉴别：仅Alice和Bob共享SS：秘密值S ( oiiippm* ABz EJ MlHlM

13、iS)提供消息鉴别：仅Alice和Bob共孚捉供保密通；i： Alice和Bob共享密钥1：M* Conipirv45. OTP在实际使用中的难点？使用与消息一样长且无重复的随机密钥来加密消息，另外，密钥只对一个消 息进行加解密，之后丢弃不用。每一条新消息都需要一个与其等长的新密钥 一次一密提供安全性存在两个基本难点：(1) 、产生大规模随机密钥有实际困难。(2) 、更令人担忧的是密钥的分配和保护。对每一条发送的消息，需要提供 给发送方和接收方等长度的密钥。因为上面这些困难，一次一密实际很少使用，主要用于安全性要求很高的低 带宽信道。46. 阐述消息认证码MAC的基本概念、原理和作用【基本概念

14、】消息鉴别码(Message Authentication Code)也叫密码校验和 (cryptographic checksum),鉴别函数的一种。密码学中，通信实体双方使用 的一种验证机制，保证消息数据完整性的一种工具。构造方法由 M.Bellare 提出，安全性依赖于Hash函数，故也称带密钥的Hash函数。消息认证码是 基于密钥和消息摘要所获得的一个值,可用于数据源发认证和完整性校验。【原理】将任意长的消息M ,经共享密钥K控制下的函数C作用后，映射到 一个简短的定长数据分组,并将它附加在消息 M 后,成为 MAC, MAC=C k(M )。接收方通过重新计算MAC 进行消息鉴别,如

15、果 ReceivedMAC=Computed MAC ,则接收者可以确信消息 M 为被改变。接收者可以确 信消息来自其共享密钥的发送者。如果消息中含有序列号(如HDLC ,X.25, TCP)，则可以保证正确的消息顺序。【作用】消息鉴别码(MAC )只能鉴别，仅仅认证消息 M的完整性(不会 被篡改)和可靠性(不会是虚假的消息或伪造的消息) ，并不负责信息 M 是 否被安全传输。47. 什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？ 数字证书是一个经证书认证中心 (CA)数字签名的包含公开密钥拥有者信息 以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机

16、构，专门负责为各 种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循 X.509 V3标准。X.509 V3标准在编排公共 密钥密码格式方面已被广为接受。 X.509 证书已应用于许多网络安全，其中 包括 IPSec( IP 安全)、SSL、SET、S/MIME。数字证书特点：( 1)、数字证书确保了公钥的最安全有效分配。( 2)、向持证人索要公钥数字证书，并用 CA 的公钥验证 CA 的签名，便可 获得可信公钥。( 3)、数字证书的可信依赖于 CA 的可信。48. 防火墙应满足的基本条件是什么？ 作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件 如下：( 1)、所有从

17、内到外和从外到内的通信量都必须经过防火墙。( 2)、只有被认可的通信量，被访问控制策略授权后，才允许传递。( 3)、防火墙本身具有高可靠性。0123449. 用置换矩阵 E= 1 2 3 0 4对明文 XXX_XX_XX 加密， 并给出其解密矩 阵及求出可能的解密矩阵总数。 (10分)Rail I enct :却训檢对角线号入明立*按咅读IB密立 甲阖I比 Z ；me jltcr th toii purt写A.： rnmutrhtpr%MIM Vl RH KiPRYETEFETFOAATR.ou rajtspuitiun 皙；r将旺文按fs诫m协.按宰钳逹列速岀密t冊：jtinvk p4Mpfm*d umll luo um 半创： 4 .1 ) 2 5 0 7明 i,如阵：f t a c