网络安全基础应用与标准第五版课后答案

1、第1章【思考题】1.1 osi安全体系结构是一个框架，它提供了一种系统化的方式来定义安全需求，并描述满足这些需求的方法。该文档定义了安全攻击、机制和服务，以及这些类别之间的关系。1.2 被动攻击与窃听或监视传输有关。电子邮件、文件传输和客户机/服务器交换是可以监视的传输示例。主动攻击包括修改传输的数据和试图未经授权访问计算机系统。1.3被动攻击：发布消息内容和流量分析。主动攻击：伪装、重播、修改消息和拒绝服务。1.4认证：保证通信实体是其声称的实体。访问控制：防止未经授权使用资源（即，此服务控制谁可以访问资源，在什么条件下可以进行访问，以及允许访问资源的人做什么）。数据保密：保护数据不被未经授

2、权的泄露。数据完整性：确保接收到的数据与授权实体发送的数据完全一致（即不包含修改、插入、删除或重播）。不可否认性：提供保护，以防止参与通信的实体之一拒绝参与全部或部分通信。可用性服务：系统或系统资源的属性，根据系统的性能规范，经授权的系统实体可根据需要访问和使用（即，如果系统在用户请求时根据系统设计提供服务，则系统可用）。【习题】1.1系统必须在主机系统和交易传输期间对个人识别号保密。它必须保护账户记录和个人交易的完整性。东道国制度的有效性对银行的经济福祉很重要，但对其受托责任却不重要。个人取款机的可用性不那么令人担忧。1.2系统对个人交易的完整性要求不高，因为偶尔丢失通话记录或账单记录不会造

3、成持续损害。然而，控制程序和配置记录的完整性是至关重要的。没有这些，交换功能将被破坏，最重要的属性-可用性-将被破坏。电话交换系统还必须保护个人通话的机密性，防止一个来电者偷听另一个来电。1.3 a.如果系统用于发布公司专有材料，则必须确保保密性。b.如果系统被用于法律或法规，则必须确保其完整性。c.如果该系统用于出版日报，则必须确保其可用性。1.4 a.在其web服务器上管理公共信息的组织确定不存在保密性损失（即保密性要求不适用）、完整性损失的中度潜在影响和可用性损失的中度潜在影响。b.管理极为敏感的调查信息的执法机构确定，保密损失的潜在影响高，诚信损失的潜在影响中等，可用性损失的潜在影响中

4、等。c.管理日常行政信息（非隐私相关信息）的金融机构确定，保密性损失的潜在影响较低，完整性损失的潜在影响较低，可用性损失的潜在影响较低。d.承包组织内部的管理层确定：（i）对于敏感合同信息，保密损失的潜在影响是中等的，保密损失的潜在影响是完整性中等，可用性丧失的潜在影响较低；（ii）日常行政信息e、 电厂管理层确定：（i）对于由监控与数据采集系统采集的传感器数据，不存在保密性丧失、完整性丧失和可用性丧失的潜在影响；以及（ii）对于系统正在处理的行政信息，保密性丧失的潜在影响很小，完整性丧失的潜在影响很小，可用性丧失的潜在影响很小。1.5release of message contentstr

5、affic analysismasqueradereplaymodification of messagesdenial of servicepeer entity authenticationydata origin authenticationyaccess controlyconfidentialityytraffic flow confidentialityydata integrityyynon-repudiationyavailabilityy1.6release of message contentstraffic analysismasqueradereplaymodifica

6、tion of messagesdenial of serviceenciphermentydigital signatureyyyaccess controlyyyyydata integrityyyauthentication exchangeyyyytraffic paddingyrouting controlyyynotarizationyyy第2章【思考题】2.1明文、加密算法、密钥、密文、解密算法。2.2排列和替换。2.3一把密匙。2.4流密码是一次对数字数据流加密一位或一个字节的密码。分组密码是将一个明文块作为一个整体来处理，并用来产生等长的密文块的密码。2.5密码分析和暴力。2

7、.6在某些模式下，明文不通过加密函数，而是与加密函数的输出异或。数学计算出，在这些情况下，对于解密，还必须使用加密函数。2.7对于三重加密，明文块通过加密算法进行加密；然后结果再次通过同一加密算法；第二次加密的结果第三次通过同一加密算法。通常，第二阶段使用解密算法而不是加密算法。2.8第二阶段的解密使用没有任何加密意义。它的唯一优点是允许3des用户通过重复密钥来解密由旧的单个des用户加密的数据。【习题】2.1ab、 这两个矩阵的使用顺序是相反的。首先，密文在第二个矩阵中以列的形式排列，考虑到第二个存储字指示的顺序。然后，考虑到第一存储字指示的顺序，从左到右、从上到下读取第二矩阵的内容并在第

8、一矩阵的列中布局。然后从左到右、从上到下读取明文。c、 尽管这是一种弱方法，但它可能与时间敏感信息一起使用，并且对手没有立即获得良好的密码分析（例如，战术使用）。而且它不需要纸和铅笔，而且很容易记住。2.2（带公式的不好翻译，我相信研究生也已经有这个英文水平可以看懂少部分）2.3 a 常量确保每轮的加密/解密不同b 前两轮是这样的c 首先，让我们定义加密过程现在是解密过程。输入是密文（l2，r2），输出是明文（l0，r0）。解密本质上与加密相同，子密钥和增量值的应用顺序相反。还要注意，不必使用减法，因为每个方程中都有偶数个加法。d. 2.4为了确保具有相反密钥顺序的同一算法产生正确的结果，请考

9、虑图2.2，图2.2显示了16轮算法的加密过程从左侧向下，解密过程从右侧向上（任何轮数的结果都相同）。为了清楚起见，对于通过加密算法传输的数据，我们使用符号lei和rei；对于通过解密算法传输的数据，使用ldi和rdi。该图表明，在每一轮中，解密过程的中间值等于加密过程的相应值，并且值的两半被交换。换句话说，让第i个加密轮的输出为lei | | rei（li与ri连接）。然后，第（16i）轮解密的对应输入是rdi | | ldi。让我们通过这个图来演示前面断言的有效性。为了简化图表，它被展开，而不是显示每次迭代结束时发生的交换。但请注意，加密过程第i阶段结束时的中间结果是通过连接lei和rei

10、形成的2w比特量，解密过程第i阶段结束时的中间结果是通过连接ldi和rdi形成的2w比特量。在加密过程的最后一次迭代之后，输出的两半被交换，因此密文是re16 | | le16。那一轮的输出是密文。现在把这个密文作为同一算法的输入。第一轮的输入是re16 | le16，等于加密过程第十六轮输出的32位交换。现在我们要证明，第一轮解密过程的输出等于第十六轮加密过程的输入的32位交换。首先，考虑加密过程。我们看到：因此，我们得到ld1=re15和rd1=le15。因此，第一轮解密过程的输出是le15 | | re15，即32-的位交换输入到第十六轮加密。如图所示，这种对应关系贯穿16次迭代。我们可

11、以把这个过程概括起来。对于加密算法的第i次迭代：因此，我们将第i次迭代的输入描述为输出的函数，这些方程证实了下图右侧所示的赋值。最后，我们看到最后一轮解密过程的输出是re0 | | le0。32位交换恢复原始明文，证明了feistel解密过程的有效性。2.5由于关键时刻表，第9轮至第16轮中使用的圆函数是第1轮至第8轮中使用的圆函数的镜像。从这个事实我们可以看出加密和解密是相同的。我们得到一个密文c。设m=c。要求oracle加密m。oracle加密返回的密文将是c的解密。2.6对于1i128，取ci属于0，1的128次方作为在位置i中包含1的字符串，然后在其他位置零。获取这128个密文的解密

12、。设m1，m2。. . ，m128是相应的明文。现在，给定任何不包含所有零的密文c，有一个唯一的c i的非空子集，我们可以一起异或得到c。. . ，128表示此子集。观察因此，我们通过计算得到c的明文，让0成为全部为零字符串。注意。由此我们得到e（0）=e（00e（0） e（0）0。因此，c=0的明文是m=0。因此，我们可以解密每个c 0，1128。符号部分如下2.7-apairprobability00(0.5 )2= 0.25 + 201(0.5 ) (0.5 + ) =0.25 210(0.5 + ) (0.5 ) =0.25 211(0.5 + )2= 0.25 + + 2b、 因为0

13、1和10在初始序列中的概率相等，所以在修改后的序列中，0的概率为0.5，1的概率为0.5。c、 任何特定对被丢弃的概率等于该对为00或11的概率，即0.5+22，因此产生x输出位的输入位的预期数量为x/（0.25的平方）。d、 该算法产生一个完全可预测的序列，精确地交替1和0。2.8 2.9使用长度为255字节的密钥。前两个字节是零，即k0=k1=0。此后，我们得到：k2=255；k3=254；k255=2。2.102.11a 取v | | c的前80位，得到初始化向量，v、 由于v，c，k是已知的，所以可以通过计算rc4（v | | k）c来恢复（即解密）消息。b、 如果对手发现vi=vj代

14、表不同的i，j，那么他/她知道相同的密钥流被用来加密mi和mj。在这种情况下，消息mi和mj可能容易受到在（a）部分中执行的密码分析类型的攻击。c、 由于密钥是固定的，密钥流随随机选择的80位v的选择而变化。因此，大约之后 发送条消息，我们期望相同的v，因此同一个密钥流，要多次使用。d、 密钥k应该在发送240条消息之前更改。2.12a否。例如，假设c1已损坏。输出块p3仅依赖于输入块c2和c3。b p1中的错误影响c1。但由于c1是c2计算的输入，c2受到影响。这种影响是无限期的，因此所有密文块都会受到影响。然而，在接收端，解密算法为除了错误块之外的块恢复正确的明文。你可以通过写出解密的方程

15、式来说明这一点。因此，错误只影响相应的解密明文块。2.13在cbc加密中，每个前向密码操作（第一个除外）的输入块取决于前一个前向密码操作的结果，因此前向密码操作不能并行执行。然而，在cbc解密中，逆密码函数的输入块（即密文块）立即可用，以便可以并行地执行多个逆密码操作。2.14如果在密文块ci的传输中发生错误，则该错误传播到恢复的明文块pi和pi+1。2.15解密后，最后一个块的最后一个字节用于确定必须去除的填充量。因此必须至少有一个字节的填充。2.16假设最后一个明文块只有l字节长，其中l2瓦/8。加密序列如下（rfc 2040中的描述有错误；此处的描述正确）：看英文版2.17a假设最后一个

16、块（pn）有j位。在加密最后一个完整块（pn1）之后，再次加密密文（cn1），选择加密密文的最左边j位，并与短块异或以生成输出密文。b虽然攻击者无法恢复最后一个明文块，但他可以通过更改密文中的各个位来系统地更改它。如果明文的最后几位包含基本信息，这是一个弱点。2.18九个明文字符受到影响。与密文字符相对应的明文字符明显改变。此外，修改后的密文字符进入移位寄存器，直到处理完接下来的八个字符后才被删除。第3章【思考题】3.1消息加密，消息验证码，哈希函数。3.2身份验证器，是待验证数据和密钥的密码功能。3.41.h可以可应用于任何大小的数据块。2.h可以产生固定长度的输出。3.h（x）对于任何给定

17、的x都相对容易计算，使得硬件和软件实现都很实用。4.对于任何给定值h，在计算上不可能找到x，使得h（x）=h。这在文献中有时被称为单向性质。5.对于任何给定的块x，在计算上不可能找到yx 当（y）=h（x）。6.在计算上不可能找到任何一对（x，y），使得h（x）=h（y）。3.5压缩函数是哈希函数的基本模块或基本构造块。哈希函数由压缩函数的迭代应用组成。3.6明文：这是输入到算法中的可读消息或数据。加密算法：加密算法对明文执行各种转换。公钥和私钥：这是一对已选定的密钥，如果其中一个用于加密，另一个用于解密。加密算法执行的确切转换取决于作为输入提供的公钥或私钥。密文：这是作为输出产生的加扰消息。

18、这取决于明文和密钥。对于给定的消息，两个不同的密钥将产生两个不同的密文。解密算法：该算法接受密文和匹配密钥，生成原始明文。3.7加密/解密：发件人使用收件人的公钥加密邮件。数字签名：发送者用其私钥“签名”一条消息。签名是通过应用于消息或作为消息函数的小数据块的加密算法实现的。密钥交换：双方合作交换一个会话密钥。可能有几种不同的方法，涉及一方或双方的私钥。【习题】第4章【思考题】4.1甲、乙双方可通过多种方式进行密钥分配，具体如下：1.a可以选择一把钥匙并将其实际交付给b。2.第三方可以选择钥匙并将其实际交付给a和b。3.如果a和b以前和最近使用过密钥，一方可以将新密钥传输给另一方，使用旧密钥加

19、密。4.如果a和b都与第三方c有加密连接，c可以将加密链接上的密钥传递给a和b。4.2会话密钥是两个主体之间使用的临时加密密钥。主密钥是密钥分发中心和主体之间用于编码会话密钥传输的持久密钥。通常，主密钥是通过非加密方式分发的。4.3密钥分发中心是授权向主体发送临时会话密钥的系统。使用密钥分发中心与目标主体共享的主密钥，以加密形式传输每个会话密钥。4.4完整服务的kerberos环境由一个kerberos服务器、多个客户端和多个应用程序服务器组成。4.5领域是一个环境，其中：1.kerberos服务器必须具有其数据库中所有参与用户的用户id（uid）和哈希密码。所有用户都在kerberos服务器

20、上注册。2。kerberos服务器必须与每个服务器共享一个密钥。所有服务器都在kerberos服务器上注册。4.6版本5克服了版本4中的一些环境缺陷和一些技术缺陷。4.7 nonce是仅使用一次的值，例如时间戳、计数器或随机数；最低要求是它与每个事务都不同。4.8 1.公钥的分配。 2.使用公钥加密分发密钥4.9 1.该机构为每个参与者维护一个目录，其中包含一个名、公钥条目。2.每个参与者向目录颁发机构注册一个公钥。注册必须亲自进行或通过某种形式的安全认证通信进行。3.参与者可以随时用新的密钥替换现有的密钥，这可能是因为希望替换已经用于大量数据的公钥，也可能是因为相应的私钥已在某种程度上受到破

21、坏。4.当局定期发布整个目录或更新到该目录。例如，可以出版类似电话簿的硬拷贝版本，也可以在广为流传的报纸上列出更新内容。5.参与者也可以通过电子方式访问目录。为此，当局必须与参与者进行安全、认证的通信。4.10公钥证书包含公钥和其他信息，由证书颁发机构创建，并提供给具有匹配私钥的参与者。参与者通过传输证书将其关键信息传递给其他人。其他参与者可以验证证书是否由颁发机构创建。4.11 1。任何参与者都可以读取证书以确定证书所有者的名称和公钥。2。任何参与者都可以验证该证书来自证书颁发机构，并且不是伪造的。三。只有证书颁发机构才能创建和更新证书。4。任何参与者都可以验证证书的货币。4.12 x.50

22、9定义了x.500目录向用户提供认证服务的框架。目录可以用作公钥证书的存储库。每个证书都包含用户的公钥，并使用受信任证书颁发机构的私钥进行签名。4.13证书链由不同证书颁发机构（ca）创建的证书序列组成，其中每个连续的证书都是由一个ca颁发的证书，用于证明链中下一个ca的公钥。4.14公钥所有者可以颁发吊销一个或多个证书的证书吊销列表。【习题】4.1 i）向服务器发送源名称a、目标名称z（他自己的）和e（ka，r），就好像a要向他发送用同一个密钥r加密的同一条消息，就像a用b加密的一样。ii）服务器将通过发送e（kz，r）到a进行响应，z将截获iii）因为z知道自己的密钥kz，所以他可以解密e

23、（kz，r），从而获得r，从而可以用来解密e（r，m）和获得m。4.2这三者的作用完全相同。区别在于脆弱性。在用法1中，攻击者可以通过向na充气并拒绝b对未来重播攻击（抑制重播攻击的一种形式）的回答来破坏安全性。攻击者可以尝试在用法2中预测一个可信的回复，但如果这些非事件是随机的，则不会成功。在用法1和2中，消息在任何目录下都可以工作。4.3 c1中的错误会影响p1，因为c1的加密与iv进行了异或运算以生成p1。 c1和p1都影响p2，这是c2与c1和p1的xor的加密的xor。 除此之外，pn-1是形成pn的xored输入之一。4.4让我们考虑一下c1和c2互换的情况。 对于其他任何相邻的密

24、文块对，该参数将相同。 首先，如果c1和c2以正确的顺序到达：现在假设c1和c2以相反的顺序到达。 让我们将解密的块称为qi结果是q1p1; q2p2； 但q3 = p3。 后续块显然不受影响。4.5这个问题有一个简单的解决方法，即在第三条消息的签名信息中包含b的名称，因此第三条消息现在显示为：4.6 a.这是一种对b进行a身份验证的方法。r1成为一个挑战，只有a能够加密r1，以便可以使用a的公钥对其进行解密。b某人（例如c）可以使用此机制获取a对消息进行签名。 然后，c将把此签名与消息一起提供给d，声称它是由a发送的。如果a使用其公钥/私钥进行身份验证，签名等，这将是一个问题。4.7 a.这

25、是对a到b进行身份验证的一种方法。只有a可以解密第二条消息以恢复r2。b某人（例如c）可以使用此机制获取a，以解密从网络窃听的消息（即，以r2的形式发送该消息）（最初发送给a）。4.8 它包含由kdc-bob密钥加密的爱丽丝的id，鲍勃的名字和时间戳。4.9 它包含用kdc-bob密钥加密的爱丽丝的名字。4.10它具有使用会话密钥加密的随机数（例如时间戳）。4.11它包含用kdc-bob秘密密钥加密的会话密钥。4.12不管e和n的值是什么，取密文块的eth root mod n总是显示明文。 通常，这是一个非常困难的问题，确实是rsa安全的原因。 关键是，如果e太小，则采用普通整数eth根与采

26、用eth根mod n相同，并且采用整数eth根相对容易。4.13这是firefox中受信任的根ca证书的示例。4.14当使用对称密钥保护存储的信息时，接收者的使用期限可以在始发者的使用期限开始之后开始，如图所示。 例如，信息可以在存储在光盘上之前被加密。 在以后的某个时间，可以分发密钥以便解密和恢复信息。4.15 a.相信她与b共享kab，因为她的现时返回消息2，该消息2使用仅b（和a）知道的密钥加密。 b认为他与a共享kab，因为na是用kab加密的，只有知道kab的人（并且只有a和b知道）才能从消息2中检索它。 a认为kab是新鲜的，因为它与na一起包含在消息2中（因此消息2必须在发送消息

27、1之后构造）。 b相信（的确知道）自从kab亲自选择以来，它就是新鲜的。b.我们考虑该协议的以下交错运行：c无法加密a的随机数，因此他需要获得消息2的帮助。因此，他使用a进行了新的运行，让a进行加密并反射回信。 a将接受未启动的协议运行，并认为b存在。c.为了防止攻击，我们需要在消息中更明确地说明，例如 通过将消息2更改为包括发送方和接收方（按此顺序），即为e（kab，a，b，na，kab）。4.16 典型的pki由七个核心组件组成。下面简要描述这些：1.数字证书（公共密钥证书，x.509证书）：数字证书是一种签名的数据结构，该结构将实体的一个或多个属性与其对应的公共密钥绑定在一起。通过由公认

28、的受信任的机构（即证书颁发机构）签名，数字证书可以确保特定的公共密钥属于特定的实体（并且该实体拥有相应的私有密钥）。2.证书颁发机构（ca）：证书颁发机构是负责创建，颁发和管理pki内使用的公钥证书的人员，过程和工具。3.注册机构（ra）：注册机构是负责认证需要ca证书的新实体（用户或计算设备）身份的人员，流程和工具。 ra还维护本地注册数据，并启动旧证书或冗余证书的续订或吊销过程。他们充当ca的代理（在这方面，可以根据需要执行ca的某些功能）。4.证书存储库：pki的所有用户都可以访问的数据库或其他存储，可以在其中保存公钥证书，证书吊销信息和策略信息。5. pki客户端软件：需要客户端软件以

29、确保pki实体能够使用pki的密钥和数字证书管理服务（例如，密钥创建，自动密钥更新和刷新）。6.启用pki的应用程序：必须先启用pki的软件应用程序才能在pki中使用。通常，这涉及修改应用程序，以便它可以理解和利用数字证书（例如，对远程用户进行身份验证并向远程用户进行身份验证）。7.政策（证书政策和认证实践声明）：证书政策和认证实践声明是定义在pki中使用，管理和管理证书所采用的程序和实践的政策文件。4.17对称加密算法的主要缺点是保持单个密钥的安全。 它被称为密钥管理，带来了许多重大挑战。 如果用户想使用对称加密将加密的消息发送给另一个用户，则必须确保她具有解密消息的密钥。 第一个用户应如何

30、获得第二个用户的密钥？ 他不想通过互联网以电子方式发送它，因为这会使它容易受到窃听者的攻击。 他也不能加密密钥并将其发送，因为接收者将需要某种方式来解密密钥。 而且，即使他甚至可以安全地将密码获取给用户，他如何确定攻击者没有看到该人计算机上的密钥？ 密钥管理是使用对称加密的重要障碍。4.18 a.a向kdc请求在a和b之间使用的会话密钥。 随机数用于质询响应。b.如果有人设法获得一个旧的k，他们可以将步骤3的消息重播到b并与b进行通信，假装是a。c.消息中包含的时间戳可以解决此漏洞4.19 添加emk0将允许用户生成可以交换的个人会话密钥，从而避免了在用户对用户会话中存储密钥变量的必要性。4.

31、20主机i具有主密钥kmhi，其变体kmhi，j，j = 0，1，2。kmhi，0：用于加密会话密钥kskmhi，1：用于加密用户主密钥（在主机i上）kmhi，2：用于加密跨域密钥kmh（i，j）= kmh（j，i）（主机i至主机j）主机i存储e kmhi，2，kmh（i，j）并使用翻译指令rfmk：rfmke kmhi，2，kmh（i，j），e（kmhi，0，ks） e（kmhi，j，k）第二个转换函数rtmk（在主机j处）rtmk e kmhj，2，kmh（j，i），e（kmh（i，j），ks） e（kmhj，0，ks） 可由主机j上的用户解密。4.21一种解决方案是添加类似于形式rfmk

32、的指令keygen rn，kmti，kmtj它将rn解释为e（kmh0，ks），并返回e（kmhi，ks）和e（kmhj，ks），分别发送到终端i和j。 rn不需要在主机上维护。第5章【思考题】5.1网络访问控制（nac）是管理网络访问的总称。nac对登录网络的用户进行身份验证，并确定他们可以访问哪些数据以及可以执行哪些操作。nac还检查用户计算机或移动设备（端点）的健康状况。5.2可扩展认证协议（eap）作为网络访问和认证协议的框架。eap提供了一组协议消息，可以封装客户机和身份验证服务器之间使用的各种身份验证方法。eap可以在各种网络和链路级设施上运行，包括点对点链路、局域网和其他网络，并

33、且可以满足各种链路和网络的认证需求。5.3 eap-tls（eap传输层安全）：eap-tls（rfc 5216）定义如何将tls协议（在第17章中描述）封装到eap消息中。eap-ttls（eap隧道tls）与eap-tls类似，只是服务器有一个证书，可以首先向客户端进行身份验证。eap-gpsk（eap通用预共享密钥）是一种使用预共享密钥（psk）进行相互身份验证和会话密钥派生的eap方法。eap-gpsk指定了一种基于预共享密钥的eap方法，并采用了基于密钥的加密算法。eap-ikev2支持使用各种方法建立相互身份验证和会话密钥。5.4 eapol（eap over lan）在网络层运行

34、，并在链路层使用ieee802 lan，如以太网或wi-fi。eapol使请求方能够与身份验证器通信，并支持交换eap数据包进行身份验证。5.5 ieee 802.1x，基于端口的网络访问控制旨在为局域网提供访问控制功能。5.6 nist将云计算定义为：一种模型，用于实现对共享的可配置计算资源池（如网络、服务器、存储、应用程序和服务）的无所不在、方便的按需网络访问，这些资源可以通过最小的管理工作或服务提供商交互快速提供和发布。此云模型提升了可用性，由五个基本特性、三个服务模型和四个部署模型组成。5.7软件即服务（saas）：向消费者提供的功能是使用在云基础设施上运行的提供商的应用程序。应用程序

35、可以通过瘦客户机界面（如web浏览器）从各种客户机设备访问。企业不必为其使用的软件产品获得桌面和服务器许可证，而是从云服务获得相同的功能。平台即服务（paas）：向用户提供的功能是将用户创建或获取的应用程序部署到使用供应商支持的编程语言和工具创建的云基础设施上。paas通常提供中间件风格的服务，如数据库和组件服务，供应用程序使用。实际上，paas是云中的一个操作系统。基础设施即服务（iaas）：向用户提供的功能是提供处理、存储、网络和其他基础计算资源，用户可以在这些资源中部署和运行任意软件，其中包括操作系统和应用程序。iaas使客户能够将基本的计算服务（如数字处理和数据存储）结合起来，以构建高

36、度适应性的计算机系统。5.8 nist云计算参考架构侧重于“什么”云服务提供的需求，而不是“如何”设计解决方案和实现。参考体系结构旨在帮助理解云计算中的操作复杂性。它不代表特定云计算系统的系统体系结构；相反，它是一个使用通用参考框架描述、讨论和开发系统特定体系结构的工具。5.9滥用和恶意使用云计算：对于许多云提供商（cps），注册和开始使用云服务相对容易，有些甚至提供免费的有限试用期。这使攻击者能够进入云中进行各种攻击，如垃圾邮件、恶意代码攻击和拒绝服务。不安全的接口和api：cps公开了一组软件接口或api，客户使用它们来管理和与云服务交互。这个通用云服务的安全性和可用性取决于这些基本api

37、的安全性。恶意内幕人士：在云计算范式下，一个组织放弃了对安全的许多方面的直接控制，并且在这样做时，给cp带来了前所未有的信任水平。一个严重的问题是恶意内幕人士活动的风险。云架构需要一些非常高风险的角色。示例包括cp系统管理员和托管安全性【习题】5.2 数据链路层：负责在对等方和验证方之间发送和接收eap帧。 eap层：通过较低层接收和发送eap数据包，实现重复的检测和重传，以及与eap对等层和验证者层之间收发eap消息。 eap对等/身份验证器层：eap对等体和身份验证器层根据传入的eap数据包的类型对其输入进行多路分解，并将其传递到与该类型相对应的eap方法。 eap方法层：eap方法实现身

38、份验证算法，并通过eap对等层和身份验证器层接收和传输eap消息。 由于eap本身不提供碎片支持，因此这是eap方法的责任。第6章【思考题】6.1使用ipsec（图6.1a）的优点是它对最终用户和应用程序是透明的，并提供通用的解决方案。此外，ipsec还包含一个过滤功能，因此只有选定的流量需要产生ipsec处理的开销。使用ssl的优点在于它利用了tcp的可靠性和流量控制机制。特定于应用程序的安全服务（图6.1c）的优势在于，可以根据给定应用程序的特定需求定制服务。6.2 ssl握手协议；ssl更改密码规范协议；ssl警报协议；ssl记录协议。6.3连接：连接是（在osi分层模型定义中）提供适当

39、类型服务的传输。对于ssl，这种连接是对等关系。连接是暂时的。每个连接都与一个会话相关联。会话：ssl会话是客户机和服务器之间的关联。会话由握手协议创建。会话定义一组加密安全参数，这些参数可以在多个连接之间共享。会话用于避免为每个连接进行昂贵的新安全参数协商。6.4会话标识符：由服务器选择的用于标识活动或可恢复会话状态的任意字节序列。对等证书：对等的x509.v3证书。压缩方法：加密前用于压缩数据的算法。密码规范：指定用于mac计算的批量数据加密算法（如null、des等）和哈希算法（如md5或sha-1）。它还定义了加密属性，如散列大小。主秘密：客户机和服务器之间共享的48字节秘密。是否可恢

40、复：指示会话是否可用于启动新连接的标志。6.5服务器和客户端随机：服务器和客户端为每个连接选择的字节序列。服务器写入mac密钥：在mac操作中对服务器发送的数据使用的密钥。顾客写mac secret：在mac操作中对客户端发送的数据使用的密钥。服务器写入密钥：由服务器加密并由客户机解密的数据的常规加密密钥。客户端写入密钥：由客户端加密并由服务器解密的数据的常规加密密钥。初始化向量：当使用cbc模式的块密码时，为每个密钥维护一个初始化向量（iv）。该字段首先由ssl握手协议初始化。此后，保存每个记录的最后一个密文块，作为带有以下记录的iv。序列号：每一方为每个连接的发送和接收消息维护单独的序列号

41、。当一方发送或接收更改密码规范消息时，相应的序列号设置为零。序列号不能超过2641。6.6保密性：握手协议定义了一个共享密钥，用于对ssl有效负载进行常规加密。消息完整性：握手协议还定义了用于形成消息身份验证代码（mac）的共享密钥。6.7碎片；压缩；添加mac；加密；附加ssl记录头。6.8 https（http over ssl）是指http和ssl的组合，用于实现web浏览器和web服务器之间的安全通信。6.9初始版本ssh1的重点是提供安全的远程登录设施，以取代telnet和其他不提供安全性的远程登录方案。ssh还提供了更通用的客户机/服务器功能，可以用于文件传输和电子邮件等网络功能。

42、6.10传输层协议：提供服务器身份验证、数据保密性和数据完整性，并具有前向保密性（即，如果在一个会话期间密钥被破坏，则知识不会影响早期会话的安全性）。传输层可以任选地提供压缩。用户身份验证协议：对服务器的用户进行身份验证。连接协议：在一个基础ssh连接上多路复用多个逻辑通信通道。【习题】6.1改变密码规范协议存在于密码策略中的信号转换，可以独立于完整的握手协议交换发送。6.2为了完整性保护交换cookie和加密套件信息的第一组消息。例如，这将防止步骤1中的中间人攻击，在该步骤中，有人可以抑制原始消息并发送一组较弱的加密套件。6.3 a.强力密码分析攻击：传统的加密算法使用的密钥长度从40到16

43、8位不等。b.已知的明文字典攻击：ssl不使用40位密钥，而是使用128位的有效密钥来防止这种攻击。密钥的其余部分是由hello me中公开的数据构建的6.4 ssl依靠基础可靠协议来确保字节不会丢失或插入。 关于重新设计未来的tls协议以在诸如udp之类的数据报协议上进行工作的讨论，但是，在最近的tls会议上，大多数人都认为这是不适当的分层（来自ssl faq）。6.5这样可以在尝试解密之前对消息进行身份验证，这可能会更有效率。第7章【思考题】7.1基本服务集。7.2由一个配电系统互连的两个或多个基本服务集。7.3关联：在站点和ap之间建立初始关联。认证：用于建立站点之间的身份。取消身份验证

44、：每当要终止现有身份验证时，都会调用此服务。解除关联：从工作站或ap发出的通知，通知现有关联已终止。在离开ess或关闭之前，工作站应发出此通知。分布：当帧必须穿过ds才能从一个bss中的一个站点到达另一个bss中的一个站点时，站点用来交换mac帧。集成：允许在ieee 802.11 lan上的站和集成的ieee 802.x lan上的站之间传输数据。msdu交付：交付mac服务数据单元。隐私：用于防止邮件内容被预期收件人以外的人阅读。重新定位：允许已建立的关联从一个ap传输到另一个ap，允许移动站从一个bss移动到另一个bss。7.4可能是也可能不是。7.5移动性是指802.11环境中移动节点

45、可以进行的物理转换类型（无转换、在ess中从一个bss移动到另一个bss、从一个ess移动到另一个ess）。关联是一种服务，允许已进行转换的移动节点在bss中标识自己到ap，以便该节点可以参与与其他移动节点的数据交换。7.6 ieee 802.11i解决了三个主要安全领域：身份验证、密钥管理和数据传输隐私。7.7发现：ap使用称为信标和探测响应的消息来宣传其ieee802.11i安全策略。sta使用这些来识别希望与之通信的wlan的ap。sta与ap关联，当信标和探测响应提供选择时，它使用ap来选择密码套件和身份验证机制。身份验证：在这个阶段，sta和as相互证明了它们的身份。ap会阻止sta

46、和as之间的非身份验证通信，直到身份验证事务成功为止。除了转发sta和as之间的流量外，ap不参与身份验证事务。密钥生成和分发：ap和sta执行一些操作，这些操作会导致在ap和sta上生成和放置加密密钥。帧仅在ap和sta之间交换受保护的数据传输：帧通过ap在sta和终端站之间交换。如阴影和加密模块图标所示，安全数据传输仅发生在sta和ap之间；不提供端到端的安全性。连接终止：ap和sta交换帧。在此阶段，安全连接被断开，连接恢复到原始状态。7.8 tkip的设计仅要求对采用旧的无线局域网安全方法（称为有线等效隐私（wep）实施的设备进行软件更改。【习题】7.1 a.该方案非常简单，易于实施。

47、它确实可以使用现成的wi-fi lan卡防止非常简单的攻击，并防止意外连接到错误的网络。b.这一方案取决于各方是否诚实守信。该方案不能防止mac地址伪造。7.2 a.由于ap会记住先前发送的随机数，因此它可以检查发送回的结果是否使用正确的密钥加密；sta必须知道密钥才能成功加密随机值。b.这个方案没有向sta证明ap知道密钥，所以认证只是一种方式。c.如果攻击者正在窃听，该方案为攻击者提供一对明文密文，用于密码分析。7.3 a.b. 1。以明文形式接收的iv值与发送方和接收方共享的wep密钥连接，形成rc4的种子或密钥输入。2.接收到的mpdu的密文部分使用rc4解密，以恢复数据块和icv。3

48、.通过明文接收数据块计算icv，并与收到的明文icv进行比较，以验证数据块。c.7.4由于wep通过异化数据来获取密文，因此位翻转可以在加密过程中存活下来。在明文中翻转一点总是在密文中翻转相同的位，反之亦然。第8章【思考题】8.1认证、保密、压缩、电子邮件兼容性和细分8.2分离签名在几种情况下都很有用。用户可能希望维护发送或接收的所有消息的单独签名日志。可执行程序的分离签名可以检测后续的病毒感染。最后，当一方以上必须签署一份文件（如法律合同）时，可以使用分离式签名。每个人的签名是独立的，因此仅适用于文档。否则，签名将被嵌套，第二个签名者同时对文档和第一个签名进行签名，依此类推。8.3 a.最好

49、对未压缩的消息进行签名，这样就只能将未压缩的消息与签名一起存储，以备将来验证。如果有人签署了一个压缩文档，那么就需要存储消息的压缩版本以备日后验证，或者在需要验证时重新压缩消息。即使人们愿意动态地生成一个重新压缩的消息来进行验证，pgp的压缩算法也会带来困难。该算法不具有确定性；该算法的各种实现在运行速度与压缩比之间实现了不同的权衡，从而产生不同的压缩形式。但是，这些不同的压缩算法是可互操作的，因为任何版本的算法都可以正确地解压缩任何其他版本的输出。在压缩后应用散列函数和签名会将所有pgp实现约束到相同版本的压缩算法。8.4 基-64将原始8位二进制流转换为可打印的ascii字符流。每组三个八

50、位字节的二进制数据映射成四个ascii字符。8.5使用pgp时，至少对要传输的块的一部分进行加密。如果只使用签名服务，则消息摘要已加密（使用发送方的私钥）。如果使用保密服务，消息加签名（如果存在）将被加密（使用一次性对称密钥）。因此，生成的块的一部分或全部由任意8位八位字节流组成。然而，许多电子邮件系统只允许使用由ascii文本组成的块。8.6 pgp包括一种工具，用于为单个签名者和密钥分配信任级别。8.7 rfc 5322定义了使用电子邮件发送的文本消息的格式。8.8 mime是对rfc822框架的扩展，旨在解决使用smtp（简单邮件传输协议）或其他邮件传输协议以及使用rfc822进行电子邮

51、件的某些问题和限制。8.9 s/mime（安全/多用途internet邮件扩展）是对mime internet电子邮件格式标准的安全增强，基于rsa数据安全技术。8.10域密钥标识邮件（dkim）是一种加密签名电子邮件消息的规范，允许签名域声明对邮件流中的消息负责。【习题】8.1 cfb避免添加和剥离填料。8.2这只是附录11a中讨论的生日悖论的另一种形式。让我们将此问题描述为确定必须生成多少会话密钥，以便复制的概率大于0.5。根据附录11a中的方程式（11.6），我们得出近似值：对于128位密钥，有2128个可能的密钥。因此8.3同样，我们正在处理一个生日悖论现象。我们需要计算以下值：p（n

52、，k）=prk项中至少有一个重复项，每个项都可以接受n个值中的一个，其可能性在1和n之间在这种情况下，k=n，n=264。使用附录11a的方程式（11.5）：8.4 a.一点也不。消息摘要使用发送方的私钥加密。因此，任何拥有该公钥的人都可以解密它并恢复整个消息摘要。b.用错误密钥解密的消息摘要在前16位与原始消息摘要完全匹配的概率是216。8.5我们信任该所有者，但这并不意味着我们可以信任我们拥有该所有者的公钥。8.6在x.509中，存在证书颁发机构的层次结构。另一个区别是，在x.509中，用户只信任证书颁发机构，而在pgp中，用户可以信任其他用户。8.7 des因键尺寸短而不适用。双键三重d

53、es，密钥长度为112位，是合适的。aes也适用。8.8与单字母替代相比，它无疑提供了更高的安全性。 因为我们将纯文本视为一串位并一次加密6位，所以我们没有加密单个字符。 因此，频率信息丢失或至少明显地模糊。8.9 a.第一步是将字符转换为零校验的8位ascii码。 查阅附录q中的表格，我们有以下对应关系：p01110000l01101100a01100001i01101001n01101110t01110100e01100101x01111000t01110100接下来，我们将它们分成6位，显示6位十进制值，然后进行编码。011100 000110 110001 100001 011010

54、010110 111001 110100286493326225752cgxhaw50011001 010111 100001 11010025233352z x h 0所以基数64编码是cgxhaw50zxh0b。所有字符都是“安全的”，因此带引号的可打印编码只是纯文本。第9章【思考题】9.1通过互联网的安全分支机构连接：公司可以通过互联网或公共广域网建立安全的虚拟专用网络。这使企业能够严重依赖互联网，减少对专用网络的需求，节约成本和网络管理开销。通过internet进行安全远程访问：系统配备ip安全协议的最终用户可以向internet服务提供商（isp）进行本地呼叫，并获得对公司网络的安全

55、访问。这就降低了出差员工和远程办公人员的通行费成本。与合作伙伴建立外部网和内部网连接：可以使用ipsec来确保与其他组织的通信安全，确保身份验证和机密性，并提供密钥交换机制。增强电子商务安全性：尽管一些web和电子商务应用程序具有内置的安全协议，但使用ipsec增强了安全性。9.2访问控制；无连接完整性；数据源身份验证；拒绝重播数据包（部分序列完整性的一种形式）；机密性（加密）；以及有限的流量机密性9.3安全关联由三个参数唯一标识：安全参数索引（spi）：分配给该sa且仅具有本地意义的位字符串。spi包含在ah和esp报头中，以使接收系统能够选择在其中处理接收数据包的sa。ip目标地址：目前只

56、允许单播地址；这是sa的目标端点的地址，它可能是最终用户系统或网络系统（如防火墙或路由器）。安全协议标识符：指示关联是ah还是esp安全关联。安全关联通常由以下参数定义：序列号计数器：一个32位值，用于在ah或esp头中生成序列号字段，如第9.3节所述（所有实现都需要）。序列计数器溢出：指示序列号计数器是否溢出的标志。应该生成一个可审核的事件，并防止在这个sa上进一步传输数据包（所有实现都需要）。反重播窗口：用于确定入站ah或esp数据包是重播，如第9.3节所述（所有实现都需要）。ah信息：与ah一起使用的身份验证算法、密钥、密钥生命周期和相关参数（ah实现需要）。esp信息：加密和身份验证算法、密钥、初始化值、密钥生命周期以及与esp一起使用的相关参数（esp实现需要）。此安全关联的生存期：一个时间间隔或字节计数，在此时间间隔或字节计数之后，必须将sa替换为新的sa（和新的spi）或终止，再加上指示应该发生哪些操作（所有实现都需要）。ipsec协议模式：隧道、传输或通配符（所有实现都需