信息安全概论课后思考题答案

1、计算机网络安全第一章：1、什么是OSI安全体系结构？安全攻击安全机制安全服务2、 被动和主动安全威胁之间有什么不同？被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类？被动攻击：小树内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务4、列出并简要定义安全服务的分类？认证，访问控制，数据机密性，数据完成性，不可抵赖性5、列出并简要定义安全机制的分类？加密，数字签名，访问控制，数据完整性，可信功能，安全标签，事件检测，安全审计跟踪， 认证交换，流量填充，路由控制，公证，安全恢复。第二章：1、对称密码的基本因素是什么？明文

2、，加密算法，秘密密钥，密文，解密算法2、加密算法使用的两个基本功能是什么？ 替换和转换3、两个人通过对称密码通信需要多少个密钥？1个4、分组密码和流密码的区别是什么？流密码是一个比特一个比特的加密，分组密码是若干比特（定长）同时加密。比如des是64比特的明文一次性加密成密文。密码分析方面有很多不同。比如流密码中，比特流的很多统计特性影响到算法的安全性。 密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬 件实现，也方便在计算机上软件实现。5、攻击密码的两个通用方法是什么？密钥搜索和夯举方法6、什么是三重加密？在这种方式里，使用三个不同的密钥对数据块进行三次加密，

3、三重DES的强度大约和112-bit的密钥强度相当。三重 DES有四种模型。（a）使用三个不同密钥，顺序进行三次加密变换（b） 使用三个不同密钥，依次进行加密 -解密-加密变换（c ）其中密钥K仁K3，顺序进行三次加密变换（d ）其中密钥K仁K3,依次进行加密-解密-加密变换7、为什么3DES的中间部分是解密而不是加密？3DES加密过程中的第二步使用的解密没有密码方面的意义。它的唯一好处是让3DES的使用者能够解密原来单重 DES使用者加密的数据8、链路层加密和端到端加密的区别是什么？对于链路层加密，每条易受攻击的通信链路都在其两端装备加密设备。所以通信链路的所以 通信都受到保护，提供了较高的

4、安全性。对于端到端加密，加密过程在两个端系统上实现。源主机和终端加密数据，该数据以加密过 的形式，通过网络不可变更地传输到目的地终端或者主机。10、会话密钥和主密钥的区别是什么？主密钥(Master?key )是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用 于产生客户端读密钥，客户端写密钥，服务器读密钥，服务器写密钥。主密钥能够被作为一 个简单密钥块输出会话密钥是指：当两个端系统希望通信，他们建立一条逻辑连接。在逻辑连接持续过程中， 所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时，会话密钥被销毁。11、什么是密钥分发中心？密钥分发中心判断那些系统允许相互通信。当两

5、个系统被允许建立连接时，密钥分发中心就 为这条连接提供一个一次会话密钥。第三章：1、列举消息认证的三种方法单向散列函数，消息认证码MAC利用常规加密的消息认证2、什么是MAC一种认证技术利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。3、对于消息认证，散列函数必须具有什么性质才可以用1 H可使用于任意长度的数据块2 H能生成固定长度的输出3对于任意长度的x,计算H ( x)相对容易，并且可以用软 /硬件方式实现4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。5对于任意给定的数据块 x,找到满足H( y)=H(x)，的y=!x在计算机上是不可行的。6找到满足H(

6、x)=H(y)的任意一对(x,y )在计算机上是不可行的。4、对于散列函数的内容，压缩函数是什么5、公钥加密系统的基本组成元素是什么？明文，加密算法，公钥和私钥，密文，解密算法6、列举并简要说明公钥加密系统的三种应用加密/解密，数字签名，密钥交换7、私钥和密钥之间有什么区别传统加密算法中使用的密钥被特别地称为密钥，用于公钥加密的两个密钥被称为公钥和私钥。私钥总是保密的，但仍然被称作私钥而不是密钥，这是为了避免与传统加密混淆。8、什么是数字签名A想给B发送消息，b收到密文时，她能够用 a的公钥进行解密，从而证明这条消息确实是A加密的，因为没有其他人拥有A的私钥，所以其任何人都不能创建由A的公钥能

7、够解密的密文。因此，整个加密的消息就成为一个数字签名。9、什么是公钥证书公钥证书由公钥加上所有者的用户ID以及可信的第三方签名的整个数据块组成。10、公钥加密如何用来分发密钥1准备消息2利用一次性传统会话密钥，使用传统加密方法加密消息3利用对方的公钥，使用公钥加密的方法加密会话密钥4把加密的会话密钥附在消息上，并且把他发送给对方第四章：1、设计KERBERO是为了解决什么问题？假设在一个开放的分布式环境中，工作站的用户希望访问分布在网络各处的服务器的服务。 我们希望服务器能够将访问权限限制在授权用户范围内，并且能够认证服务请求。2、在网络或互联网上，与用户认证有关的三个威胁是什么？1 ）、一个

8、用户可能进入一个特定的工作站，并冒充使用那个工作站的其他用户2）、一个用户可能改变一个工作站的网络地址，使得从此工作站发出的请求好像是从被伪装 的工作站发出的3） 、一个用户可能窃听信息交换，并使用重放攻击来获取连接服务器，或者是破坏正常操作。3、列出在分布式环境下进行安全用户认证的三种方式一，依靠每个用户工作站来确认用户或用户组，并依靠每个服务器通过给予每个用户身份的 方法来强制实施安全方案二，要求服务器对用户系统进行认证，在用户身份方面信任用户系统三，需要用户对每个调用的服务证明自己的身份，也需要服务器向用户证明他们的身份4、对Kerberos提出的四点要求是什么？安全，可靠，透明，可伸缩

9、5、一个提供全套kerberos服务的环境由那些实体组成？ 一台Kerberos服务器，若干客户端和若干应用服务器6、在kerberos 环境下，域指什么？一个提供全套服务的 kerberos环境被称为kerberos域7、kerberos 版本4和版本5的主要区别由那些？版本5要解决版本4在两方面的局限：环境方面的不足和技术山的缺陷。8、X.509标准的目的是什么？1、X.509定义了一个使用 X.500目录向其用户提供认证服务的框架2、X.509是一个重要的标准，因为、 X.509中定义的证书结构和认证协议在很大环境下都会 使用。3、X.509最初发布于、1988年4、X.509基于公钥加

10、密体制和数字签名的使用。9、什么叫证书链？10怎样撤销X.509证书？每一个存放在目录中的证书撤销列表都由证书发放者签名，并且包括：发放者的名称，列表 创建日期，下一个 CRL计划发放日期和每一个被撤销证书的入口。当用户从消息中得到证书 时，必须要确定证书是否被撤销。用户可以在每次收到证书时检查目录。为了避免由目录搜 索带来的延迟，用户可以维护一个记录证书和被撤销证书列表的本地缓存。第五章：1、PGP提供的5种主要服务是什么？数字签名，消息加密，压缩，电子邮件兼容性分段2、分离签名的用途是什么？分离签名可以与其签名的消息分开存储和传送，这在许多情况下都有用。3、PGP为什么在压缩前生成签名？A

11、,对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用；B即使有人想动态地对消息重新压缩后进行验证，用PGP现有的压缩算法仍然会比较困难。4、什么是基-64转换？一组三个8比特二进制数据映射为 4个ASCII码字符。5、电子邮件应用为什么使用基 -64转换？电子邮件工具通常限制消息的最大长度。未来适应这个限制，PGP自动将长消息分段，使之可以通过电子邮件发送。分段在所以其他操作（包括基-64转换）治好进行。因此，会话密钥和签名部分仅在第一个分段的开始出现。6、PGP为什么需要分段和重组？待定7、PGP如何使用信任关系？119页8、RFC 822是什么？RFC 822定义了一种电子邮

12、件传输的文本消息格式，这是一种被广泛使用的基于互联网传递 的文本邮件标准。9、MIME是什么？是指多用途网际邮件扩展是对RFC822框架的扩展，用于解决关于电子邮件的SMTP简单邮件传输或其他邮件传输协议和RFC 822存在的一些问题和局限性。10、S/MIME是什么？是基于RSA数据安全性，对互联网电子邮件格式标准 MIME的安全性增强。虽然PGP和S/MIME 都基于IETF标准，但S/MIME侧重于适合商业和团体使用的工业标准1、举出一个应用IPSEC的例子143页2、IPSEC提供那些服务？访问控制，无连接完整性，数据源认证，拒绝重返包，保密性，受限制的流量保密性3、 那些参数表示了

13、SA那些参数表现了一个特定SA的本质？序列号计数器，序列计数器溢出，反重放窗口，AH信息，ESP信息，此安全关联的生存期，IPSec协议模式，最大传输单元路径，安全关联选择器4、传输模式与隧道模式有何区别？传输模式是对IP载荷和IP包头的选中部分，IPV6的扩展报头进行认证； 隧道模式是对整个 内部IP包和外部IP报头的选中部分，外部 IPV6的扩展报头进行认证5、什么是重放攻击？6、为什么ESP包括一个填充域？7、捆绑SA的基本方法是什么？1传输临界：这种方法指在没有激活隧道的情况下，对一个IP包使用多个安全协议。2隧道迭代：指通过IP隧道应用多层安全协议。8、Oakley密钥确定协议和IS

14、AKMP在IPSec中起到什么作用？第七章：1、SSL由那些协议组成？SSL记录协议，SSL握手协议，SSL密码变更规格协议，SSL报警协议2、SSL连接和SSL会话之间的区别是什么？连接是一种能够提供合适服务类型的传输。会话：SSL会话是客户与服务器之间的一种关联。3、列出定义SSL会话状态的参数，并简要给出各参数的定义 会话标识符，对等证书，密码规格，主密钥，可恢复性。4、列出定义SSL会话连接的参数，并简要给出各参数的定义服务器和客户端随机数，服务器写MAC密钥，客户端写 MAC密钥，服务器写密钥，客户端写密钥，初始化向量，序列号。5、SSL记录协议提供了那些服务机密性和消息完整性6、S

15、SL记录协议执行过程中涉及到那些步骤？先将数据分段成可操作的块，然后选择压缩或不压缩数据，再生成MAC加密，添加头并将 最后的结构作为一个 TCP分组送出。7、列出SET的主要参与者，并简要给出他们的定义持卡者：在待腻子环境下，消费者与公司客户是通过互联网上的个人计算机与商家发生联系 的。商家：商家是能够售卖货物或服务给持卡者的个人或组织。 发卡机构：发卡机构是能够为持卡者提供支付卡的金融机构。代理商：代理商是为了商家建立帐户并处理支付卡认证与支付事物的金融机构。 支付网关：是代理商或指定第三方运作的专门处理商家支付信息的功能设施 认证机构：是一个为持卡者，商家和支付网关签发X.509V3公钥

16、证书的可信实体。8、什么是双重签名？其目的是什么？DS=E( PRc,H(H(PI)|H(OI)第八章：1、把网络管理体系结构视为一个整体的意义是什么？网络管理系统将整个网络视为一个统一的体系结构，并为系统中的各个点分配地址和标签， 为系统所知的每个部件和链路分配特定的属性。网络中的主动部件会定期的将其状态信息反 馈给网络控制中心。2、SNMP模型中的关键元素是什么 ？管理站，管理代理，管理信息库，网络管理协议3、什么是MIB?为了管理网络 中的资源，SNMP使用客体来描述每个资源。客体的本质是数据变量，它描述 管理代理在某一个方面的属性。科特的集合构成了MIB,MIB的功能是作为管理站在代理

17、上的访问点集合。4、SNMPV提供那些基本功能好命令？GET,SET,Notify5、SNMP委托代理的功能是什么？6、简要解释SNMPV的共同体概念？是一个SNMF代理和一组SNMPt理器之间的关系，共同体定义了认证，访问控制和委托代理 特性。7、SNMPV1,SNMPV2l SNMPV之间的关系是什么？8、USM模型用来预防什么威胁？信息更改，伪装，消息流更改，信息泄漏9、授权引擎与非授权引擎之间的区别是什么？222页10、什么是密钥本地化？为用户和授权的SNMP引擎之间共享的秘密密钥。11、列出并简要定义构成 VACM的元素？主体，安全级别，安全模型，客体实例，访问类型。第九章：1、列出

18、并简要定义三类入侵者？ 假冒用户，违法用户，隐秘用户2、用于保护口令文件的两种通用技术是什么？单向函数，和访问控制3、 入侵防御系统可以带来那三个好处？1、如果足够快地检测到入侵行为，就可以在入侵者危害系统或者危机数据安全之前将其鉴别并驱逐出系统。2有效的入侵检测系统是一种威慑力量，能够起到防护入侵者的作用。3入侵检测可以收集入侵技术信息，这些信息可以用于增强入侵防护系统的防护能力。4、统计异常检测和基于规则的入侵检测之间有那些区别？课本5、对于基于行为曲线的入侵检测来说，采用什么尺度是有益的？6、基于规则的异常检测和基于规则的渗透检测检测之间有什么不同7、什么是蜜罐？蜜罐是一个诱骗系统，用来把潜在的攻击者