完整版网络安全思考题参考答案

1、网络安全思考题答案第一章1. 什么是 osi 安全体系结构？为了有效评估某个机构的安全需求， 并选择各种安全产品和策略， 负责安全的管理员需要一 些系统性的方法来定义安全需求以及满足这些安全需求的方法， 这一套系统体系架构便称为 安全体系架构。2. 被动和主动威胁之间有什么不同？被动威胁的本质是窃听或监视数据传输， 主动威胁包含数据流的改写和错误数据流的添加。3. 列出并简要定义被动和主动安全攻击的分类？被动攻击：消息内容泄漏和流量分析。 主动攻击：假冒，重放，改写消息和拒绝服务。4. 列出并简要定义安全服务的分类 认证，访问控制，数据机密性，数据完整性，不可抵赖性。5. 列出并简要定义安全机

2、制的分类。特定安全机制：为提供 osi 安全服务，可能并到适当的协议层中。普通安全机制：没有特定 osi 安全服务或者协议层的机制。第二章1. 对称密码的基本因素是什么？ 明文，加密算法，秘密密钥，密文，解密算法。2. 加密算法使用的两个基本功能是什么？替换和排列组合3. 分组密码和流密码区别是什么？流密码是一个比特一个比特的加密，分组时若干比特同时加密。比如DES是64bit的明文一次性加密成密文。密码分析方面有很多不同。 比如说密码中， 比特流的很多统计特性影响到算法的安全性。 密 码实现方面有很多不同， 比如流密码通常是在特定硬件设备上实现。 分组密码可以在硬件实 现，也可以在计算机软件

3、上实现。4. 攻击密码的两个通用方法是什么？密码分析与穷举法(暴力解码)5. 为什么一些分组密码操作模式只使用了加密，而其他的操作模式使用了加密又使用了解密答：出于加密与解密的考虑， 一个密码模式必须保证加密与解密的可逆性。 在密码分组链接 模式中，对明文与前一密文分组异或后加密，在解密时就要先解密再异或才能恢复出明文； 在计数器模式中， 对计数器值加密后与明文异或产生密文， 在解密时， 只需要相同的计数器 加密值与密文异或就可得到明文。6为什么3DES的中间部分是解密而不是加密？3DES加密过程中使用的解密没有密码方面的意义。唯一好处是让3des使用者能解密原来单重 des 使用者加密的数据

4、。第三章1消息认证的三种方法：利用常规加密的消息认证、消息认证码、单向散列函数2 什么是 mac？一种认证技术利用私钥产生一小块数据，并将其附到信息上的技术。3简述图3.2的三种方案a 使用传统加密：消息在散列函数的作用下产生一个散列值，对散列值进行传统加密后附加 到消息上传送， 解密时， 把消息上附带的加密散列值解密得到散列值与消息产生的散列值比 较如果不一样则消息被篡改为伪消息。b 使用公钥加密：过程与传统加密相似，只是在对散列值加密时采用了公钥加密方式。c 使用秘密值：把秘密值与消息连接，再经过散列函数产生一个散列值，把散列值附加到消 息上传送， 解密时，把秘密值与消息连接块经过散列函数

5、产生的散列值与接收的加密散列值 解密后的散列值比较，若一样，则不是伪消息，否则是伪消息4、对于消息认证，散列函数必须具有什么性质才可以用1H可使用于任意长度的数据块2 H能生成固定长度的输出3对于任意长度的x，计算H (x)相对容易，并且可以用软/硬件方式实现4对于任意给定值 h,找到满足H(x)=h的x在计算机 上不可行5对于任意给定的数据块 x,找到满足H (y)=H(x)，的y=!x在计算机上是不可行 的。6找到满足H (x)=H(y)的任意一对(x,y)在计算机上是不可行的。4、公钥加密系统的基本组成元素是什么？明文，加密算法，公钥和私钥，密文，解密算法5、列举并简要说明公钥加密系统的

6、三种应用加密/ 解密，发送者用接收者公钥加密信息。 数字签名，发送者用自己的私钥“签名”消息； 密钥交换 ：双方联合操作来交换会话密钥。第四章1. 会话密钥与主密钥的区别是什么？主密钥是指主机与 kdc 之间通信使用的共享密钥。而会话密钥是两台主机主机建立连接后， 产生的一个唯一的一次性会话密钥。2 、一个提供全套 kerberos 服务的环境由那些实体组成？ 一台 Kerberos 服务器，若干客户 端和若干应用服务器3什么是现实？现实是指一个随机数在as到c的消息中被重复来确保应答是实时的，而不是被攻击者重放过的。4.与密钥分发有关的公钥密码的两个不同用处是什么？1 公钥分发 2 利用公钥

7、加密分发私钥 5.什么是公钥证书？公钥证书由公钥、公钥所有者的用户id 和可信的第三方（用户团体所信任的认证中心 CA）签名的整数数据块组成，用户可通过安全渠道把它的公钥提交给ca,获得证书。第五章1. 、SSL由那些协议组成？SSL己录协议，SSL握手协议，SSL密码变更规格协议，SSL报警协议2. 、SSL连接和SSL会话之间的区别是什么？ 连接是一种能够提供合适服务类型的传输。连接是点对点关系而且是短暂的。会话：SSL会话是客户与服务器之间的一种关联。会话通常用来避免每条连接需要进行的代 价高昂的新的安全参数协商过程。3. SSL记录协议提供了那些服务 机密性（用对称加密）和消息完整性（

8、用消息认证码）4. https的目的是什么？在 http的基础上结合ssl来实现网络浏览器和服务器的安全通信。5对哪些应用ssh是有用的？最初版本ssh致力于提供一个安全的远程登陆装置代替telnet 和其他远程无保护机制, ssh 还提供一个更为广泛的用户 /服务器功能,并支持文件传 输和 E-MAIL 等网络功能。6.SS H由传输层协议、用户身份验证协议、连接协议组成不考 第六章1.什么是 802.11WLAN 的基本模块？一个无线局域网的最小组成模块是基本服务单元BSS，包含执行相同的 MAC协议和竞争同一无线介质接口的多个无线站点 /3列出IEEE802.11服 务连接，认证，重认证

9、、取消连接，分发，整合， MSDU 传输，加密，重连接。4分布式系统是无线网络吗？（可能是也可能不是）分布式系统可以是交换机，有线网络， 也可以是无线网络，所以说分布式系统是无线网络不全对。5请解释联合的概念和移动概念的相关性？移动性是指802.11环境下移动站点的物理转换，包括无转换基于BSS的转换基于扩展服务单元的转换。联合性提供一种BSS中，移动站点向AP证明自己身份以便与其他站点进行数据交换的服务。6被IEEE802.11定义的安全区域是什么？IEEE802.11i三个主要安全区域，认证，密钥管理，加密数据传输。7简要描述IEEE802.11i操作的四个阶段1/发现2/认证3/密钥产生

10、及其配送 4/保密数据传输5/连接终止9.HTML过滤器和 WAP代理 之间的区别是什么？HTML过滤器将HTML的内容翻译成无限置标（ WML）的内容。如果过滤器与 WAP代理分 开，则利用 HTTP/TCP/IP将 WML传送到 WAP代理，WAP代理将 WML转换成二进制 WML 格式，并经由无线网络用 WAP协议栈传送到移动用户。 10wsp提供什么服务？Wsp即无线会话协议。 Wsp为两个会话服务提供接口应用。连接导向的会话服务基于wtp，非连接会话服务则是基于不可靠传输协议WDP进行操作。11.WTP的三种传输模式在什么时候被使用？ 1/提供了不可信赖的数据报服务，可以用在不可信进

11、栈操作2/提供了可信赖的数据报服务，可以用在可信进栈操作中3/提供请求回复传输服务并支持在一个WSP会话中进行多个传输。12.简要描述 WTLS提供的安全服务（网关的保护） 1/数据完整性： 使用信息认证来确保用户和网关之间发送的数据未被篡改2/机密性： 使用加密来确保数据不被第三方读取 3/认证：使用数字证书来对两方进行认证。4/拒绝服务保护：删除拒绝重放或者未成功验证的信息。13.简要描述 WTLS的四种协议要素 WTLS记录协议：从更高层取得用户数据， 并将数据封装 在一个协议数据单元中。WTLS密码变更规格协议：该协议只有一条信息，包含一个数值为一的比特。该信息的目的将不确定状态复制到

12、当前状态，以便更新该连接使用的加密套件。WTLS警报协议：用来将 WTLS相关的警报传送到 peer实体。WTLS握手协议：允许服务器 和用户相互认证，并协商加密和 MAC 算法以及用来保护 WTLS 记录中发送数据的加密密 钥。14.WTLS使用的密钥 握手协议生成预主密钥，预主密钥生成主密钥，主密钥用来生成各种加密密钥15描述三种不同的提供 WAP端到端安全性的方法 1在客户端和服务器间使用 TLS协议4, 两端之间建立安全的 TLS会话2端到端之间利用IP层的IPSEC来保证安全性3我们假设 WAP 网管只作为简单的互联网路由器，这种情况下名为WAP传输层端到端安全性的方法第七章1PGP

13、提供的5种主要服务是什么？认证（用数字签名），保密（消息加密），压缩（用ZIP），电子邮件兼容性（基-64转换）和 分段2 分离签名的用途是什么？1 满足用户希望所有发送和接收的消息分开存储和传送 2 检测程序以后是否被感染病毒 3可 用于对一个合法合同等文档的双方进行签名，每个人的签名彼此独立，且只与该文档有关3PGP为什么在压缩前生成签名1对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用 2即使有人想动态的对消息重新压缩后进行验证，用PGP现有的压缩算法仍然很困难4 为什么是基 -64 转换一组三个8比特二进制数据映射为 4个ASCII码字符，同时加上 CRC校验以检测传送

14、错误5 电子邮件应用为什么使用基 -64 转换使用 PGP 时至少会对一部分数据块加合，若只使用签名服务，则需要用发送方的私钥对消 息摘要加密， 若使用保密服务， 则要把消息和签名用一次性会话密钥加密因此得到的全部分 成全部数据块可能由任意的 8 比特字节流组成，然而，许多电子邮件系统仅仅允许使用有ASCII码组成的块，为适应这个限制，提供转换功能6PGP如何使用信任关系PGP 的信任关系由“密钥合法性域” “签名信任域” ，“所有者信任域”构成，经过三步流程 周期性的处理公钥获得一致性。 9s/mime 是什么？是居于RSA数据安全性，对互联网电子邮件格式标准 mine的安全性增强。10DK

15、IM是什么？ 指电子邮件信息加密签名的特殊应用，他通过一个签名域来确定信件系统中信息的责任。8.2IPsec提供哪些服务？ 访问控制，无连接完整性，数据源认证；拒绝重放包，保密性，受限制的流量保密性。8.3那些参数标识了 sa?那些参数表现了一个特定sa的本质？（1）安全参数索引（ SPI）ip 目的地址，安全协议标识（2）序列号计数器，序列计数器，反重放窗口。AH信息，ESP信息，此安全关联的生存期， IPSEC协议模式，最大传输单元路径表示特定的sa8.4传输模式和隧道模式有什么区别？传输模式下的ESP加密和认证ip载荷，但不包括ip报头，AH认证，IP载荷和IP报头的选 中部分；隧道模式

16、下的ESP加密和认证包括内部ip报头的整个内部ip包，AH认证整个内部 ip 包和外部 ip 报头被选中的部分。8.5 什么是重放攻击？一个攻击者得到一个经过认证的副本， 稍后又将其传送到其被传送的目站点的攻击， 重复的 接受经过认证的 ip 包可能会以某种方式中断服务或产生一些不希望出现的结果8.6为什么ESP包括一个填充域？ （1）如果加密算法要求明文为某个数目字节的整数倍，填充域用于把明文扩展到需要的长度；（2） ESP格式要求填充长度和邻接报文域为右对齐的32比特字，同样，密文也是 32比特的整数倍，填充域用来保证这样的排列 （ 3）增加额外的填充能隐藏载荷的实际长度，从 而提供部分流

17、量的保密9.1 列出并简要定义三类入侵者。（1）假冒用户：为授权使用计算机的个体， 或潜入系统的访问控制来获得合法用户的账户 （ 2） 违法用户：系统的合法用户访问未授权的数据，程序或者资源或者授权者误用其权限（ 3） 隐秘用户： 通过某些方法夺取系统的管理控制权限， 并使用这种控制权躲避审计机制的访问 控制，或者取消审计集合的个体。9.2 用于保护口令文件的两种通用技术是什么？（1）单向函数：系统只保存一个基于用户口令的函数值，当用户输入口令时系统计算该口 令的函数值，并与系统内部存储的值进行比较，实际应用中， 系统通常执行单向变换， 在这 个变换中，口令被用于产生单向函数的秘钥并产生固定长

18、度的输出（2）访问控制：访问口令文件的权限仅授予一个或几个非常有限的账户9.3 入侵防御系统可以带来哪三个好处？（1）如果能够足够快的速度检测入侵行为，那么就可以在入侵危害系统或危机数据安全之 前将其鉴别并驱逐出系统。 即使未能及时监测到入侵者， 越早发现入侵行为就会使系统损失 程度越小， 系统也能越快得到恢复。 （ 2）有效的入侵检测技术是一种威慑力量，能够起到防 护入侵者的作用。（3）入侵检测可以收集入侵技术信息有利增强入侵防护系统的防护能力。- 5 -9.4 统计一场检测与基于规则入侵检测之间有哪些区别？答： 1.统计一场检测：包括一定时间内与合法用户相关的数据集合，然后用于统计学测试方

19、 法对观察到的用户进行测试， 一边能够更加确定地判断该行为是否是合法用户行为。 包括阔 值检测，给予行为曲线两种方法。基于规则入侵检测： 定义一个规则集， 用于检测与前行为模式和历史行为模式的偏离， 有异 常检测，渗透检测两种方法。2，统计方法用来定义普通或期望的行为，而基于规则的方法致力于定义正确行为。3 统计异常检测对假冒用户有效，对违规用户不佳，基于规则可以有效地检测出代表渗透攻 击行为的时刻或者动作序列。9.7 什么是蜜罐？ 蜜罐是一个诱骗系统，用来把潜在的攻击者从重要的系统中引开。其目的： 1 转移攻击者对 重要系统的访问 2 收集关于攻击者活动的信息3 鼓励攻击者停留在系统中足够长

20、的时间以便管理员做出反应。9.8 在 unix 口令管理的 context 中， salt 是指什么？用一个12比特随机数“ salt”对DES算法进行修改，salt和用户输入的口令作为加密程序的 输入。9.9 列出简要定义四种用于防止口令猜测的技术答：1.用户教育：可以引导用户认识到选择难于猜测的口令的重要性，也可以提供一些具体选择 口令的指导原则。 2.由计算机生成口令：用户被提供一个由计算机生成的口令。 3.后验口令 检测：系统周期性地运行它自身的口令破解程序来检验易于猜测的口令， 对易于猜测的口令， 系统将通告用户并删除该口令。 4 前验口令检验 ;该方案允许用户选择自己的口令，但在选

21、 择之初，系统会检测口令是否难认猜测，如果不是，那么将拒绝该口令。 10.1、在病毒运行过程中，压缩的作用是什么？ 由于感染后的程序比感染之前的程序长， 所以像签名所描述的这种病毒很容易被检测到。 防 止这种检测方法的手段是对可执行文件压缩， 使得无论该程序是否被感染， 它的长度都是相 同的。10.2、在病毒运行过程中， 加密的作用是什么？为了病毒在生成副本时可以随机插入多余质 量或者交换一些独立指令的顺序。 一种更有效的方法是采用密码学技术。 在这种技术中， 通 常将病毒中的某一部分称为突变引擎， 该部分生成一个随机加密密钥来对对病毒中其他部分 进行加密。 这个密钥由病毒保存，而突变引擎本身

22、可变。 可调用被感染的程序时， 病毒使用 它保存的随机密钥对病毒进行解密。当病毒进行复制时，会选择不同的随机密钥10.3 描述病毒或蠕虫的周期中有那些典型阶段睡眠阶段，传播阶段，触发阶段，执行阶段10.4 什么事数字免疫系统？数字免疫系统是一种全面而广泛的病毒保护措施。10.5 行为阻断软件的工作机理是什么？ 行为阻断软件与主机操作系统相结合， 实时地监控恶意的程序行为， 在检测到恶意的程序行 为后，行为阻断软件将潜在的恶意行为对实际系统实施攻击之前将其阻止。10.6 通常来讲，蠕虫是怎样传播的？电子邮件工具，远程执行能力，远程登陆能力10.7 给出一些蠕虫病毒的对策 1 基于签名的蠕虫扫描过

23、滤 2 基于过滤器的蠕虫防范 3 基于有 效载荷分类的蠕虫防范 4 阔值随机漫步的扫描检测 5 速率限制。 6 速率中断10.8 什么是 DDOSDOS 攻击指试图阻止某种服务的合法用户使用该服务， 如果这种攻击是从 某单一主机或者网点发起的，那么他就被称为DOS攻击，一个更为严重的网络威胁就是 DDOS. 在DDOS攻击中，攻击者可以募集遍及整个互联网的大量主机，在同一时间或者认协同发射方式对目标站点发起攻击，试图消耗目标设备的资源，使其不能提供服务。11.1 列出防火墙的三个设计目标 1所有入站和出站的网络流量都必须通过防火墙。2只有经过授权的网络流量，防火墙才允许其通过。 3 防火墙本身

24、不能被攻破，这意味着防火墙应该 允许在有安全操作系统的可信系统上。11.2防火墙控制访问及执行安全策略四个技术:服务控制，方向控制，用户控制， 行为控制；11.3 典型的句过滤路由使用了什么信息？源IP地址，目的IP地址，源端和自由端传输层地址，IP协议域，接口；11.4 包过滤路由器有那些弱点？ 1.因为过滤防火墙不检查更高层的数据，因此这种防火墙不能阻止利用了特定应用的漏洞或攻能所进行的攻击 2.因为防火墙可利用的信息有限，使得包过滤防火墙的日志记录功能也有限 3.大多数包过滤防火墙不支持高级的用户认证机制 4.包 过滤防火墙不支持高级的用户认证机制，包过滤防火墙对利用TCP/IP规范和协

25、议栈存在的问题进行的攻击没有良好的应对措施5.包过滤防火墙只根据几个变量进行访问控制决策，不恰当的设置会引起包过滤防火墙的安全性容易受到威胁。11.5 包过滤路由器和状态检测防火墙的区别是什么？ 传统的包过滤防火墙仅仅对单个数据包做过滤判断，不考虑更高层的上下文信息，状态检测包过滤器通过建造了一个出站TCP链接目录加强了 TCP流量的规则，当前每个已建立的连接都有一个入口与之相对应。包过滤器仅当那些数据包符合这个目录里面某个条目资料的时候，允许那些到达高端口的入站流量通过。11.6 什么是应用层网关？应用层网关也称作代理服务器， 起到了应用层流量缓冲器的作用。11.7 什么是链路层网关？也称链路层代理，是单机系统或应用层网关为特定的