網(wǎng)絡(luò)安全基礎(chǔ)應(yīng)用與標(biāo)準(zhǔn)(第3版)復(fù)習(xí)題答案

1、網(wǎng)絡(luò)安全基礎(chǔ) 應(yīng)用與標(biāo)準(zhǔn)書(shū)后思考題答案第一章：1、什么是osi安全體系結(jié)構(gòu)？(p6) 一、2安全攻擊 安全機(jī)制 安全服務(wù)2、被動(dòng)和主動(dòng)安全威脅之間有什么不同？(p6)被動(dòng)攻擊的本質(zhì)是竊聽(tīng)或監(jiān)視數(shù)據(jù)傳輸；主動(dòng)攻擊包含數(shù)據(jù)流的改寫(xiě)和錯(cuò)誤數(shù)據(jù)流的添加3列出并簡(jiǎn)要定義被動(dòng)和主動(dòng)安全攻擊的分類(lèi)？(p6)被動(dòng)攻擊：內(nèi)容泄漏和流量分析；主動(dòng)攻擊：假冒，重放，改寫(xiě)消息，拒絕服務(wù)4、列出并簡(jiǎn)要定義安全服務(wù)的分類(lèi)？(p9)認(rèn)證，訪問(wèn)控制，數(shù)據(jù)機(jī)密性，數(shù)據(jù)完成性，不可抵賴性5、列出并簡(jiǎn)要定義安全機(jī)制的分類(lèi)？(p11-12)加密，數(shù)字簽名，訪問(wèn)控制，數(shù)據(jù)完整性，可信功能，安全標(biāo)簽，事件檢測(cè)，安全審計(jì)跟蹤，認(rèn)證交換，流

2、量填充，路由控制，公證，安全恢復(fù)。第二章：1、對(duì)稱(chēng)密碼的基本因素是什么？(p23)明文，加密算法，秘密密鑰，密文，解密算法2、加密算法使用的兩個(gè)基本功能是什么？(p24)替換和重排3、兩個(gè)人通過(guò)對(duì)稱(chēng)密碼通信需要多少個(gè)密鑰？(p24) 一、31個(gè)4、分組密碼和流密碼的區(qū)別是什么？(p33)流密碼是一個(gè)比特一個(gè)比特的加密，分組密碼是若干比特（定長(zhǎng)）同時(shí)加密。比如des是64比特的明文一次性加密成密文。密碼分析方面有很多不同。比如流密碼中，比特流的很多統(tǒng)計(jì)特性影響到算法的安全性。密碼實(shí)現(xiàn)方面有很多不同。比如流密碼通常是在特定硬件設(shè)備上實(shí)現(xiàn)。分組密碼既可以在硬件實(shí)現(xiàn)，也方便在計(jì)算機(jī)上軟件實(shí)現(xiàn)。5、攻擊

3、密碼的兩個(gè)通用方法是什么？密鑰搜索和窮舉方法7、什么是三重加密？(p28)在這種方式里，使用三個(gè)不同的密鑰對(duì)數(shù)據(jù)塊進(jìn)行三次加密，三重des的強(qiáng)度大約和112-bit的密鑰強(qiáng)度相當(dāng)。三重des有四種模型。（a）使用三個(gè)不同密鑰，順序進(jìn)行三次加密變換（b）使用三個(gè)不同密鑰，依次進(jìn)行加密-解密-加密變換（c）其中密鑰k1=k3,順序進(jìn)行三次加密變換（d）其中密鑰k1=k3，依次進(jìn)行加密-解密-加密變換8、為什么3des的中間部分是解密而不是加密？(p29)3des加密過(guò)程中的第二步使用的解密沒(méi)有密碼方面的意義。它的唯一好處是讓3des的使用者能夠解密原來(lái)單重des使用者加密的數(shù)據(jù)9、鏈路層加密和端到

4、端加密的區(qū)別是什么？(p41)對(duì)于鏈路層加密，每條易受攻擊的通信鏈路都在其兩端裝備加密設(shè)備。所以通信鏈路的所有通信都受到保護(hù)，提供了較高的安全性。對(duì)于端到端加密，加密過(guò)程在兩個(gè)端系統(tǒng)上實(shí)現(xiàn)。源主機(jī)和終端加密數(shù)據(jù)，該數(shù)據(jù)以加密過(guò)的形式，通過(guò)網(wǎng)絡(luò)不可變更地傳輸?shù)侥康牡亟K端或者主機(jī)。10、列出將密鑰分發(fā)給通信雙方的方法。(p42)1.通過(guò)物理方法傳遞。2.依靠第三方通過(guò)物理方式傳遞給通信雙方。3.一方用舊密鑰加密新密鑰傳遞給另一方。4.采用“密鑰分發(fā)中心kdc”通過(guò)加密鏈路傳遞給通信雙方。11、會(huì)話密鑰和主密鑰的區(qū)別是什么？(p42,p312)主密鑰（master key）是被客戶機(jī)和服務(wù)器用于產(chǎn)生

5、會(huì)話密鑰的一個(gè)密鑰。這個(gè)主密鑰被用于產(chǎn)生客戶端讀密鑰，客戶端寫(xiě)密鑰，服務(wù)器讀密鑰，服務(wù)器寫(xiě)密鑰。主密鑰能夠被作為一個(gè)簡(jiǎn)單密鑰塊輸出會(huì)話密鑰是指：當(dāng)兩個(gè)端系統(tǒng)希望通信，他們建立一條邏輯連接。在邏輯連接持續(xù)過(guò)程中，所以用戶數(shù)據(jù)都使用一個(gè)一次性的會(huì)話密鑰加密。在會(huì)話和連接結(jié)束時(shí)，會(huì)話密鑰被銷(xiāo)毀。12、什么是密鑰分發(fā)中心？(p43)密鑰分發(fā)中心判斷那些系統(tǒng)允許相互通信。當(dāng)兩個(gè)系統(tǒng)被允許建立連接時(shí)，密鑰分發(fā)中心就為這條連接提供一個(gè)一次會(huì)話密鑰。第三章：1、列舉消息認(rèn)證的三種方法：(p48)單向散列函數(shù)，消息認(rèn)證碼mac，利用常規(guī)加密的消息認(rèn)證2、什么是mac：(p49)一種認(rèn)證技術(shù)。利用私鑰產(chǎn)出一小塊數(shù)

6、據(jù)，并將其附到消息上。這種技術(shù)稱(chēng)為消息驗(yàn)證碼。3、簡(jiǎn)述圖3.2所示的三種方案：(p50) 一、6a使用傳統(tǒng)加密。b.使用公鑰加密。c.使用秘密值。4、對(duì)于消息認(rèn)證，散列函數(shù)h必須具有什么性質(zhì)才可以用：(p51)1 h可使用于任意長(zhǎng)度的數(shù)據(jù)塊2 h能生成固定長(zhǎng)度的輸出3 對(duì)于任意長(zhǎng)度的x，計(jì)算h（x）相對(duì)容易，并且可以用軟/硬件方式實(shí)現(xiàn)4對(duì)于任意給定值h,找到滿足h(x)=h的x在計(jì)算機(jī)上不可行。5對(duì)于任意給定的數(shù)據(jù)塊x,找到滿足h（y）=h(x)，的y=!x在計(jì)算機(jī)上是不可行的。6找到滿足h（x）=h(y)的任意一對(duì)（x,y）在計(jì)算機(jī)上是不可行的。5、對(duì)于散列函數(shù)的內(nèi)容，壓縮函數(shù)是什么：(p5

7、6)壓縮函數(shù)也具有散列函數(shù)的特征，具有抗碰撞能力的壓縮函數(shù)可以被用來(lái)設(shè)計(jì)成消息認(rèn)證方法。whirlpool算法就是采用aes分組加密方法使用于壓縮函數(shù)。6、公鑰加密系統(tǒng)的基本組成元素是什么？(p59)明文，加密算法，公鑰和私鑰，密文，解密算法7、列舉并簡(jiǎn)要說(shuō)明公鑰加密系統(tǒng)的三種應(yīng)用：(p60) 一、7加密/解密，數(shù)字簽名，密鑰交換8、私鑰和密鑰之間有什么區(qū)別：(p60)傳統(tǒng)加密算法中使用的密鑰被特別地稱(chēng)為密鑰，用于公鑰加密的兩個(gè)密鑰被稱(chēng)為公鑰和私鑰。私鑰總是保密的，但仍然被稱(chēng)作私鑰而不是密鑰，這是為了避免與傳統(tǒng)加密混淆。9、什么是數(shù)字簽名：(p67)a想給b發(fā)送消息，b收到密文時(shí)，她能夠用a的

8、公鑰進(jìn)行解密，從而證明這條消息確實(shí)是a加密的，因?yàn)闆](méi)有其他人擁有a的私鑰，所以其任何人都不能創(chuàng)建由a的公鑰能夠解密的密文。因此，整個(gè)加密的消息就成為一個(gè)數(shù)字簽名。10、什么是公鑰證書(shū)：(p67) 一、9公鑰證書(shū)由公鑰加上所有者的用戶id以及可信的第三方簽名的整個(gè)數(shù)據(jù)塊組成。11、公鑰加密如何用來(lái)分發(fā)密鑰：(p69)1準(zhǔn)備消息2利用一次性傳統(tǒng)會(huì)話密鑰，使用傳統(tǒng)加密方法加密消息3利用對(duì)方的公鑰，使用公鑰加密的方法加密會(huì)話密鑰4把加密的會(huì)話密鑰附在消息上，并且把他發(fā)送給對(duì)方第四章：1、設(shè)計(jì)kerberos是為了解決什么問(wèn)題？(p78) 一、11假設(shè)在一個(gè)開(kāi)放的分布式環(huán)境中，工作站的用戶希望訪問(wèn)分布在

9、網(wǎng)絡(luò)各處的服務(wù)器的服務(wù)。我們希望服務(wù)器能夠?qū)⒃L問(wèn)權(quán)限限制在授權(quán)用戶范圍內(nèi)，并且能夠認(rèn)證服務(wù)請(qǐng)求。2、在網(wǎng)絡(luò)或互聯(lián)網(wǎng)上，與用戶認(rèn)證有關(guān)的三個(gè)威脅是什么？(p78)1）、一個(gè)用戶可能進(jìn)入一個(gè)特定的工作站，并冒充使用那個(gè)工作站的其他用戶2）、一個(gè)用戶可能改變一個(gè)工作站的網(wǎng)絡(luò)地址，使得從此工作站發(fā)出的請(qǐng)求好像是從被偽裝的工作站發(fā)出的3）、一個(gè)用戶可能竊聽(tīng)信息交換，并使用重放攻擊來(lái)獲取連接服務(wù)器，或者是破壞正常操作。3、列出在分布式環(huán)境下進(jìn)行安全用戶認(rèn)證的三種方式：(p79)1.依靠每個(gè)用戶工作站來(lái)確認(rèn)用戶或用戶組，并依靠每個(gè)服務(wù)器通過(guò)給予每個(gè)用戶身份的方法來(lái)強(qiáng)制實(shí)施安全方案2.要求服務(wù)器對(duì)用戶系統(tǒng)進(jìn)行

10、認(rèn)證，在用戶身份方面信任用戶系統(tǒng)3.需要用戶對(duì)每個(gè)調(diào)用的服務(wù)證明自己的身份，也需要服務(wù)器向用戶證明他們的身份4、對(duì)kerberos提出的四點(diǎn)要求是什么？(p79)安全，可靠，透明，可伸縮5、一個(gè)提供全套kerberos服務(wù)的環(huán)境由那些實(shí)體組成？(p86)一臺(tái)kerberos服務(wù)器，若干客戶端和若干應(yīng)用服務(wù)器6、在kerberos環(huán)境下，域指什么？(p86)一個(gè)提供全套服務(wù)的kerberos 環(huán)境，包括一臺(tái)kerberos 服務(wù)器、若干臺(tái)客戶端和若干應(yīng)用服務(wù)器的這種環(huán)境被稱(chēng)為kerberos域。7.kerberos版本4和版本5的主要區(qū)別由那些？(p88)版本5要解決版本4在兩方面的局限：環(huán)境上

11、有6個(gè)方面的不足和技術(shù)上有5個(gè)方面的缺陷。(請(qǐng)例舉)。8、x.509標(biāo)準(zhǔn)的目的是什么？(p93)1、x.509定義了一個(gè)使用x.500目錄向其用戶提供認(rèn)證服務(wù)的框架2、x.509是一個(gè)重要的標(biāo)準(zhǔn)，因?yàn)?、x.509中定義的證書(shū)結(jié)構(gòu)和認(rèn)證協(xié)議在很大環(huán)境下都會(huì)使用。3、x.509最初發(fā)布于、1988年4、x.509基于公鑰加密體制和數(shù)字簽名的使用。9、什么叫證書(shū)鏈？（p95-p96）在多個(gè)ca認(rèn)證中心之間需要相互認(rèn)證各自的用戶時(shí)，由各個(gè)ca認(rèn)證中心相互認(rèn)證的證書(shū)，形成一個(gè)證書(shū)鏈，通信雙方通過(guò)這個(gè)證書(shū)鏈取得相互信任。10怎樣撤銷(xiāo)x.509證書(shū)？(p97)每一個(gè)存放在目錄中的證書(shū)撤銷(xiāo)列表都由證書(shū)發(fā)放者簽

12、名，并且包括：發(fā)放者的名稱(chēng)，列表創(chuàng)建日期，下一個(gè)crl計(jì)劃發(fā)放日期和每一個(gè)被撤銷(xiāo)證書(shū)的入口。當(dāng)用戶從消息中得到證書(shū)時(shí)，必須要確定證書(shū)是否被撤銷(xiāo)。用戶可以在每次收到證書(shū)時(shí)檢查目錄。為了避免由目錄搜索帶來(lái)的延遲，用戶可以維護(hù)一個(gè)記錄證書(shū)和被撤銷(xiāo)證書(shū)列表的本地緩存。第五章：1、pgp提供的5種主要服務(wù)是什么？(p109) 一、12 認(rèn)證(數(shù)字簽名)，保密(消息加密)，壓縮，電子郵件兼容和分段。2、分離簽名的用途是什么？(p110)分離簽名可以與其簽名的消息分開(kāi)存儲(chǔ)和傳送，這在許多情況下都有用：1用戶的要求；2防止病毒；3可以多方簽名。3、pgp為什么在壓縮前生成簽名？(p111)1.對(duì)未壓縮的消息進(jìn)

13、行簽名可以保存未壓縮的消息和簽名供未來(lái)驗(yàn)證時(shí)使用；2.即使有人想動(dòng)態(tài)地對(duì)消息重新壓縮后進(jìn)行驗(yàn)證，用pgp現(xiàn)有的壓縮算法仍然會(huì)比較困難。4、什么是基-64轉(zhuǎn)換？(p112)將一組三個(gè)8比特二進(jìn)制數(shù)據(jù)映射為4個(gè)ascii碼字符，同時(shí)加上crc校驗(yàn)以檢測(cè)傳送錯(cuò)誤。5、電子郵件應(yīng)用為什么使用基-64轉(zhuǎn)換？(p112)使用pgp時(shí)，要對(duì)數(shù)據(jù)進(jìn)行加密。加密得到的數(shù)據(jù)可能是由任意的8比特字節(jié)流組成。然而許多電子郵件系統(tǒng)僅僅允許使用由ascii碼組成的數(shù)據(jù)塊。為適應(yīng)這個(gè)限制，pgp提供了將8比特二進(jìn)制流轉(zhuǎn)換為可打印的ascii碼字符的功能。6、pgp為什么需要分段和重組？(p113)電子郵件工具通常限制消息的

14、最大長(zhǎng)度。未來(lái)適應(yīng)這個(gè)限制，pgp自動(dòng)將長(zhǎng)消息分段，使之可以通過(guò)電子郵件發(fā)送。分段在所以其他操作（包括基-64轉(zhuǎn)換）治好進(jìn)行。因此，會(huì)話密鑰和簽名部分僅在第一個(gè)分段的開(kāi)始出現(xiàn)。7、pgp如何使用信任關(guān)系？(p119)pgp的信任關(guān)系由 “密鑰合法性域”、“簽名信任域”、“所有者信任域”這三個(gè)域構(gòu)成。經(jīng)過(guò)三步流程(寫(xiě)出三個(gè)流程的過(guò)程)，周期性的處理公鑰獲得一致性。8、rfc 822是什么？(p121) 一、13rfc 822定義了一種電子郵件傳輸?shù)奈谋鞠⒏袷?，這是一種被廣泛使用的基于互聯(lián)網(wǎng)傳遞的文本郵件標(biāo)準(zhǔn)。包括信封和內(nèi)容兩部分(寫(xiě)出這兩部分內(nèi)容)。9、mime是什么？(p122) 一、14是

15、指多用途網(wǎng)際郵件擴(kuò)展是對(duì)rfc 822框架的擴(kuò)展，用于解決關(guān)于電子郵件的smtp，簡(jiǎn)單郵件傳輸或其他郵件傳輸協(xié)議和rfc 822存在的一些問(wèn)題和局限性。10、s/mime是什么？(p121)是基于rsa數(shù)據(jù)安全性，對(duì)互聯(lián)網(wǎng)電子郵件格式標(biāo)準(zhǔn)mime的安全性增強(qiáng)。雖然pgp和s/mime都基于ietf標(biāo)準(zhǔn)，但s/mime側(cè)重于適合商業(yè)和團(tuán)體使用的工業(yè)標(biāo)準(zhǔn).第六章：1、舉出一個(gè)應(yīng)用ipsec的例子：(p143)1.路由器廣播；2.鄰居廣播；3.重定向報(bào)文；4.路由更新未被偽造。(詳細(xì)寫(xiě)出一個(gè)即可)2、ipsec提供那些服務(wù)？(p145)訪問(wèn)控制，無(wú)連接完整性，數(shù)據(jù)源認(rèn)證，拒絕重返包，保密性，受限制的

16、流量保密性3、那些參數(shù)表示了sa，那些參數(shù)表現(xiàn)了一個(gè)特定sa的本質(zhì)？(p146)由安全參數(shù)索引、ip目的地址、安全協(xié)議標(biāo)識(shí)三個(gè)參數(shù)確定一個(gè)sa。由“序列號(hào)計(jì)數(shù)器，序列計(jì)數(shù)器溢出，反重放窗口，ah信息，esp信息，此安全關(guān)聯(lián)的生存期，ipsec 協(xié)議模式，最大傳輸單元路徑”等參數(shù)表示一個(gè)特定的sa。4、傳輸模式與隧道模式有何區(qū)別？(p148) 傳輸模式是對(duì)ip數(shù)據(jù)包的載荷(上層協(xié)議)、ipv6報(bào)頭的擴(kuò)展部分進(jìn)行保護(hù)和認(rèn)證；隧道模式是對(duì)整個(gè)內(nèi)部ip包、ipv6報(bào)頭的擴(kuò)展部分進(jìn)行保護(hù)和認(rèn)證。5、什么是重放攻擊？(p149) 一、15重放攻擊就是一個(gè)攻擊者得到了一個(gè)經(jīng)過(guò)認(rèn)證的包的副本，稍后又將其傳送到

17、其希望被傳送到的目的的站點(diǎn)的攻擊。6、為什么esp包括一個(gè)填充域？(p153)esp格式要求填充長(zhǎng)度和鄰接報(bào)頭域?yàn)橛覍?duì)齊的32比特的字，同樣，密文也是32比特的整數(shù)倍，填充域用來(lái)保證這樣的排列。7、捆綁sa的基本方法是什么？(p156)1.傳輸鄰接：這種方法指在沒(méi)有激活隧道的情況下，對(duì)一個(gè)ip包使用多個(gè)安全協(xié)議。2.隧道迭代：指通過(guò)ip隧道應(yīng)用多層安全協(xié)議。8、oakley密鑰確定協(xié)議和isakmp在ipsec中起到什么作用？(p158)ipsec的密鑰管理部分包括密鑰的確定和分發(fā)。分手動(dòng)密鑰管理和自動(dòng)密鑰管理兩種類(lèi)型。oakley和isakmp就是ipsec的自動(dòng)密鑰管理協(xié)議。第七章：1、圖

18、7.1給出的三種方法的各自優(yōu)點(diǎn)是什么？(p177)采用ipsec方法的優(yōu)勢(shì)是在網(wǎng)絡(luò)層上實(shí)現(xiàn)安全，對(duì)于終端用戶和應(yīng)用是透明的，用戶和應(yīng)用程序不必考慮安全機(jī)制。采用ssl/tls方式的優(yōu)勢(shì)是在傳輸層上實(shí)現(xiàn)安全傳輸，在web拂去其和web客戶端嵌入該安全方法，就能夠保證互聯(lián)網(wǎng)上實(shí)現(xiàn)且安全的訪問(wèn)。而采用諸如pgp、set等方法的優(yōu)勢(shì)是可以針對(duì)特定的需求和應(yīng)用，定制特別的安全機(jī)制。該機(jī)制是在應(yīng)用層上實(shí)現(xiàn)安全訪問(wèn)。2、ssl由那些協(xié)議組成？(p178圖7.2) 一、18ssl記錄協(xié)議，ssl握手協(xié)議，ssl密碼變更規(guī)格協(xié)議，ssl報(bào)警協(xié)議。(詳細(xì)寫(xiě)出)3、ssl連接和ssl會(huì)話之間的區(qū)別是什么？(p178

19、)連接是一種能夠提供合適服務(wù)類(lèi)型的傳輸。會(huì)話：ssl會(huì)話是客戶與服務(wù)器之間的一種關(guān)聯(lián)。4、列出定義ssl會(huì)話狀態(tài)的參數(shù)，并簡(jiǎn)要給出各參數(shù)的定義：(p179)會(huì)話標(biāo)識(shí)符，對(duì)等證書(shū)，密碼規(guī)格，主密鑰，可恢復(fù)性。(要寫(xiě)出定義)5、列出定義ssl會(huì)話連接的參數(shù)，并簡(jiǎn)要給出各參數(shù)的定義：(p179)服務(wù)器和客戶端隨機(jī)數(shù)，服務(wù)器寫(xiě)mac密鑰，客戶端寫(xiě)mac密鑰，服務(wù)器寫(xiě)密鑰，客戶端寫(xiě)密鑰，初始化向量，序列號(hào)。(要寫(xiě)出定義)6、ssl記錄協(xié)議提供了那些服務(wù)：(p179-180)機(jī)密性和消息完整性。(要寫(xiě)出定義)7、ssl記錄協(xié)議執(zhí)行過(guò)程中涉及到那些步驟？(p180)先將數(shù)據(jù)分段成可操作的塊，然后選擇壓縮或不

20、壓縮數(shù)據(jù)，再生成mac，加密，添加頭并將最后的結(jié)構(gòu)作為一個(gè)tcp分組送出。8、列出set的主要參與者，并簡(jiǎn)要給出他們的定義：(p194-195)持卡者：在待膩?zhàn)迎h(huán)境下，消費(fèi)者與公司客戶是通過(guò)互聯(lián)網(wǎng)上的個(gè)人計(jì)算機(jī)與商家發(fā)生聯(lián)系的。商家：商家是能夠售賣(mài)貨物或服務(wù)給持卡者的個(gè)人或組織。發(fā)卡機(jī)構(gòu)：發(fā)卡機(jī)構(gòu)是能夠?yàn)槌挚ㄕ咛峁┲Ц犊ǖ慕鹑跈C(jī)構(gòu)。代理商：代理商是為了商家建立帳戶并處理支付卡認(rèn)證與支付事物的金融機(jī)構(gòu)。支付網(wǎng)關(guān)：是代理商或指定第三方運(yùn)作的專(zhuān)門(mén)處理商家支付信息的功能設(shè)施認(rèn)證機(jī)構(gòu)：是一個(gè)為持卡者，商家和支付網(wǎng)關(guān)簽發(fā)x.509v3公鑰證書(shū)的可信實(shí)體。9、什么是雙重簽名？其目的是什么？(p196)雙重簽

21、名是set協(xié)議中，保證發(fā)出的訂單信息oi與相對(duì)應(yīng)的致富信息pi是唯一對(duì)應(yīng)的。消費(fèi)者使用簽名：ds=e（prc,h(h(pi)|h(oi)）；商家使用簽名：h(pimd|hoi);d(puc,ds)；銀行驗(yàn)證簽名：h(hpi|oimd);d(puc,ds)。這樣三方都可以證明該項(xiàng)交易真實(shí)性。第八章：1、把網(wǎng)絡(luò)管理體系結(jié)構(gòu)視為一個(gè)整體的意義是什么？(p205)網(wǎng)絡(luò)管理系統(tǒng)將整個(gè)網(wǎng)絡(luò)視為一個(gè)統(tǒng)一的體系結(jié)構(gòu)，并為系統(tǒng)中的各個(gè)點(diǎn)分配地址和標(biāo)簽，為系統(tǒng)所知的每個(gè)部件和鏈路分配特定的屬性。網(wǎng)絡(luò)中的主動(dòng)部件會(huì)定期的將其狀態(tài)信息反饋給網(wǎng)絡(luò)控制中心。2、snmp模型中的關(guān)鍵元素是什么? (p205-206) 一、

22、20管理站，管理代理，管理信息庫(kù)，網(wǎng)絡(luò)管理協(xié)議3、什么是mib？(p206)為了管理網(wǎng)絡(luò) 中的資源，snmp使用客體來(lái)描述每個(gè)資源?？腕w的本質(zhì)是數(shù)據(jù)變量，它描述管理代理在某一個(gè)方面的屬性?？铺氐募蠘?gòu)成了mib,mib的功能是作為管理站在代理上的訪問(wèn)點(diǎn)集合。4、snmpv1提供那些基本功能和命令？(p206) 一、21get, set, notify5、snmp委托代理的功能是什么？(p207-208)對(duì)于沒(méi)有安裝snmp的設(shè)備進(jìn)行網(wǎng)絡(luò)管理，稱(chēng)之為“委托代理”。是采用“管理站查詢”“委托代理轉(zhuǎn)發(fā)”“代理設(shè)備應(yīng)答”“委托代理設(shè)陷井告知管理站”的流程工作的。6、簡(jiǎn)要解釋snmpv1的共同體概念？(

23、p211)是一個(gè)snmp代理和一組snmp管理器之間的關(guān)系，共同體定義了認(rèn)證，訪問(wèn)控制和委托代理特性。7、snmpv1,snmpv2和snmpv3之間的關(guān)系是什么？(p205、p209、p213)snmpv1是具備網(wǎng)絡(luò)管理的基本功能；snmpv2增強(qiáng)了v1版的功能，如可以管理分布式網(wǎng)絡(luò)、支持用非tcp/ip協(xié)議簇的其他協(xié)議、支持本地代理協(xié)議關(guān)系等等；snmpv3則在安全性能上做了增強(qiáng)。8、usm模型用來(lái)預(yù)防什么威脅？(p221)信息更改，偽裝，消息流更改，信息泄漏9、授權(quán)引擎與非授權(quán)引擎之間的區(qū)別是什么？(p222)能接受包含需要應(yīng)答的載荷的snmp消息包的接受者為授權(quán)引擎；不能接受者為非授權(quán)

24、引擎；能發(fā)送不需要應(yīng)答的載荷的snmp消息包的發(fā)送者為授權(quán)引擎；不能發(fā)送者為非授權(quán)引擎。10、什么是密鑰本地化？(p225)為用戶和授權(quán)的snmp引擎之間共享的秘密密鑰。11、列出并簡(jiǎn)要定義構(gòu)成vacm的元素？(p228)主體，安全級(jí)別，安全模型，客體實(shí)例，訪問(wèn)類(lèi)型。第九章：1、列出并簡(jiǎn)要定義三類(lèi)入侵者？(p237) 一、22假冒用戶，違法用戶，隱秘用戶2、用于保護(hù)口令文件的兩種通用技術(shù)是什么？(p239) 一、23單向函數(shù)，和訪問(wèn)控制3、入侵防御系統(tǒng)可以帶來(lái)那三個(gè)好處？(p240)1、如果足夠快地檢測(cè)到入侵行為，就可以在入侵者危害系統(tǒng)或者危機(jī)數(shù)據(jù)安全之前將其鑒別并驅(qū)逐出系統(tǒng)。2有效的入侵檢測(cè)

25、系統(tǒng)是一種威懾力量，能夠起到防護(hù)入侵者的作用。3入侵檢測(cè)可以收集入侵技術(shù)信息，這些信息可以用于增強(qiáng)入侵防護(hù)系統(tǒng)的防護(hù)能力。4、統(tǒng)計(jì)異常檢測(cè)和基于規(guī)則的入侵檢測(cè)之間有那些區(qū)別？(p243, p245)“統(tǒng)計(jì)異常檢測(cè)”是依據(jù)對(duì)正常/合法的行為進(jìn)行檢測(cè)，當(dāng)檢測(cè)到超出正常范圍時(shí)就認(rèn)為發(fā)生了入侵行為；而“基于規(guī)則的檢測(cè)”則是對(duì)非法行為進(jìn)行檢測(cè)，發(fā)現(xiàn)非法的行為即認(rèn)為發(fā)生壞了入侵行為。5、對(duì)于基于行為曲線的入侵檢測(cè)來(lái)說(shuō)，采用什么尺度是有益的？(p243)可以按照“計(jì)數(shù)器”、“計(jì)量器”、“間隔計(jì)時(shí)器”、“資源使用情況”這幾個(gè)尺度來(lái)衡量入侵行為。6、基于規(guī)則的異常檢測(cè)和基于規(guī)則的滲透檢測(cè)之間有什么不同？(p245)異常檢測(cè)是建立一個(gè)用戶過(guò)去的行為規(guī)則統(tǒng)計(jì)庫(kù)，以這個(gè)數(shù)據(jù)庫(kù)為標(biāo)準(zhǔn)，不滿足該數(shù)據(jù)庫(kù)的行為都是入侵行為。