網(wǎng)絡(luò)安全簡(jiǎn)答題

1、網(wǎng)絡(luò)安全簡(jiǎn)答題精選一、簡(jiǎn)答題1、簡(jiǎn)述物理安全包括那些內(nèi)容？防盜，防火，防靜電，防雷擊和防電磁泄漏2、簡(jiǎn)述防火墻有哪些基本功能？（寫出五個(gè)功能）建立一個(gè)集中的監(jiān)視點(diǎn)隔絕內(nèi)外網(wǎng)絡(luò)，保護(hù)內(nèi)部網(wǎng)絡(luò)強(qiáng)化網(wǎng)絡(luò)安全策略對(duì)網(wǎng)絡(luò)存取和訪問(wèn)進(jìn)行監(jiān)控和審計(jì)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換3、簡(jiǎn)述無(wú)線局域網(wǎng)由那些硬件組成？無(wú)線局域網(wǎng)由無(wú)線網(wǎng)卡、AR無(wú)線網(wǎng)橋、計(jì)算機(jī)和有關(guān)設(shè)備組成。4、簡(jiǎn)述網(wǎng)絡(luò)安全的層次體系從層次體系上，可以將網(wǎng)絡(luò)安全分成四個(gè)層次上的安全：物理、邏輯、操作系統(tǒng)和聯(lián)網(wǎng)安全5、簡(jiǎn)述TCP/IP協(xié)議族的基本結(jié)構(gòu)?TCP/IP協(xié)議族是一個(gè)四層協(xié)議系統(tǒng)，自底而上分別是數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。6、簡(jiǎn)述網(wǎng)絡(luò)掃描的分類及每

2、類的特點(diǎn)掃描，一般分成兩種策略：一種是主動(dòng)式策略，另一種是被動(dòng)式策略。被動(dòng)式策略是基于主機(jī)之上，對(duì)系統(tǒng)中不合適的設(shè)置、脆弱的口令及其他同安全規(guī)則抵觸的對(duì)象進(jìn)行檢查，不會(huì)對(duì)系統(tǒng)造成破壞。主動(dòng)式策略是基于網(wǎng)絡(luò)的，它通過(guò)執(zhí)行一些腳本文件模擬對(duì)系統(tǒng)進(jìn)行攻擊的行為并記錄系統(tǒng)的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞，但是可能會(huì)對(duì)系統(tǒng)造成破壞。7、簡(jiǎn)述常用的網(wǎng)絡(luò)攻擊手段網(wǎng)絡(luò)監(jiān)聽、病毒及密碼攻擊、欺騙攻擊拒絕服務(wù)攻擊、應(yīng)用層攻擊、緩沖區(qū)溢出8、簡(jiǎn)述后門和木馬的概念并說(shuō)明兩者的區(qū)別木馬(Trojan)，也稱木馬病毒，是指通過(guò)特定的程序木馬程序來(lái)控制另一臺(tái)計(jì)算機(jī)后門：是繞過(guò)安全性控制而獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法本質(zhì)上，木馬和

3、后門都是提供網(wǎng)絡(luò)后門的功能，但是木馬的功能稍微強(qiáng)大一些，一般還有遠(yuǎn)程控制的功能，后門程序則功能比較單一，只是提供客戶端能夠登錄對(duì)方的主機(jī)9、簡(jiǎn)述惡意代碼的概念及長(zhǎng)期存在的原因惡意代碼是一種程序，它通過(guò)把代碼在不被察覺(jué)的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。原因：在信息系統(tǒng)的層次結(jié)構(gòu)中，包括從底層的操作系統(tǒng)到上層的網(wǎng)絡(luò)應(yīng)用在內(nèi)的各個(gè)層次都存在著許多不可避免的安全問(wèn)題和安全脆弱性。而這些安全脆弱性的不可避免，直接導(dǎo)致了惡意代碼的必然存在。10、簡(jiǎn)述安全操作系統(tǒng)的機(jī)制安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制，操作系統(tǒng)

4、的安全標(biāo)識(shí)與鑒別，訪問(wèn)控制、最小特權(quán)管理、可信通路和安全審計(jì)。11、簡(jiǎn)述密碼學(xué)除機(jī)密性外還需提供的功能鑒別、完整性、抗抵賴性鑒別：消息的接收者應(yīng)該能夠確認(rèn)消息的來(lái)源；入侵者不可能偽裝成他人。完整性：消息的接收者應(yīng)該能夠驗(yàn)證在傳送過(guò)程中消息沒(méi)有被修改；入侵者不可能用假消息代替合法消息?？沟仲囆裕喊l(fā)送者事后不可能虛假地否認(rèn)他發(fā)送的消息。12、簡(jiǎn)述入侵檢測(cè)系統(tǒng)的概念及常用的3種入侵檢測(cè)方法入侵檢測(cè)系統(tǒng)：是能夠?qū)θ肭之惓Ｐ袨樽詣?dòng)進(jìn)行檢測(cè)、監(jiān)控和分析的軟件與硬件的組合系統(tǒng)，是一種自動(dòng)監(jiān)測(cè)信息系統(tǒng)內(nèi)、外入侵的安全設(shè)備常用的方法有3種：靜態(tài)配置分析、異常性檢測(cè)方法，基于行為的檢測(cè)方法和文件完整性檢查。13、

5、簡(jiǎn)述網(wǎng)絡(luò)安全框架包含的內(nèi)容網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全策略和標(biāo)準(zhǔn)網(wǎng)絡(luò)安全運(yùn)作網(wǎng)絡(luò)安全管理網(wǎng)絡(luò)安全技術(shù)14. 什么是網(wǎng)絡(luò)安全？其特征有哪些？網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其中數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷的措施。特征：保密性、完整性、可用性、可控性、可審查性。15. 網(wǎng)絡(luò)安全威脅的發(fā)展特點(diǎn)主要有哪些？（1）與互聯(lián)網(wǎng)更加緊密地結(jié)合，利用一切可以利用的方式進(jìn)行傳播所有病毒都具有混合型特性，集文件傳染、蠕蟲、木馬、黑客程序的特點(diǎn)于一身，破壞性增強(qiáng)（2）擴(kuò)散極快，更加注重欺騙性利用系統(tǒng)漏洞成為病毒有力的傳播方式無(wú)線網(wǎng)絡(luò)技術(shù)的發(fā)展使得遠(yuǎn)程網(wǎng)絡(luò)攻擊的可能性增加各種

6、境外情報(bào)諜報(bào)人員通過(guò)信息網(wǎng)絡(luò)渠道搜集情報(bào)和竊取資料。（3）各種病毒、蠕蟲、后門技術(shù)智能化，呈現(xiàn)整合趨勢(shì)，形成混合型威脅；各種攻擊技術(shù)的隱密性增強(qiáng)。常規(guī)手段不能識(shí)別；（4）分布式計(jì)算技術(shù)用于攻擊的趨勢(shì)增強(qiáng)，威脅高強(qiáng)度密碼的安全性（5）一些政府部門的超級(jí)計(jì)算機(jī)資源成為攻擊者利用的跳板，網(wǎng)絡(luò)管理安全問(wèn)題日益突出16. TCP協(xié)議存在哪些典型的安全漏洞？如何應(yīng)對(duì)這些漏洞？TCP使用三次握手機(jī)制來(lái)建立一條連接，握手的第一個(gè)報(bào)文為SYNfe;第二個(gè)報(bào)文為SYN/ACKa,表明它應(yīng)答第一個(gè)SYNfe同時(shí)繼續(xù)握手的過(guò)程；第三個(gè)報(bào)文僅僅是一個(gè)應(yīng)答，表示為ACKfeo若A放為連接方，B為響應(yīng)方，其間可能的威脅有：

7、一1 .攻擊者監(jiān)聽B方發(fā)出的SYN/ACK艮文2 .攻擊者向B方發(fā)送RST包，接著發(fā)送SYNfe,假冒A方發(fā)起新的連接。3 .B方響應(yīng)新連接，并發(fā)送連接響應(yīng)報(bào)文SYN/ACK4 .攻擊者再假冒A方對(duì)B方發(fā)送ACKfeo二應(yīng)對(duì)：1 .對(duì)系統(tǒng)設(shè)定相應(yīng)的內(nèi)核參數(shù)，使得系統(tǒng)強(qiáng)制對(duì)超時(shí)的SYN青求連接數(shù)據(jù)包的復(fù)位，同時(shí)通過(guò)縮短超時(shí)常數(shù)和加長(zhǎng)等候隊(duì)列使得系統(tǒng)能迅速處理無(wú)效的SYN青求數(shù)據(jù)包。2 .建議在該網(wǎng)段的路由器上做些配置的調(diào)整，這些調(diào)整包括限制SYW開數(shù)據(jù)包的流量和個(gè)數(shù)。3 .建議在路由器的前端多必要的TCP蘭截，使得只有完成TCP三次握手過(guò)程的數(shù)據(jù)包才可以進(jìn)入該網(wǎng)段，這樣可以有效的保護(hù)本網(wǎng)段內(nèi)的服

8、務(wù)器不受此類攻擊。17. 簡(jiǎn)述IPSec策略的工作原理。IPAH提供了無(wú)連接的完整性、數(shù)據(jù)起源的身份驗(yàn)證和一個(gè)可選的防止重放的服務(wù)。ESP能夠提供機(jī)密性和受限制的流量機(jī)密性，它也能提供無(wú)連接的完整性、數(shù)據(jù)起源的身份驗(yàn)證和防止重放服務(wù)。AH和ESP可單獨(dú)應(yīng)用或組合起來(lái)在IPv4和v6提供一個(gè)所需的安全服務(wù)集；都支持兩種使用模式：傳輸模式和隧道模式18. 如何刪除默認(rèn)共享。（1）開始-運(yùn)行（輸入）cmd彈出命令提示符；（2）在命令提示符輸入:netshare查看系統(tǒng)中的共享；（3）關(guān)閉默認(rèn)共享輸入:netshare共享名（如C$）/del。19. 如何關(guān)閉不需要的端口和服務(wù)關(guān)閉端口。比如在Wind

9、ows2000/XP中關(guān)閉SMTP艮務(wù)的25端口，可以這樣做：首先打開“控制面板”，雙擊“管理工具”，再雙擊“服務(wù)”。接著在打開的服務(wù)窗口中找到并雙擊“SimpleMailTransferProtocol（SMTP”服務(wù)，單擊“停止”按鈕來(lái)停止該服務(wù)，然后在“啟動(dòng)類型”中選擇“已禁用”，最后單擊“確定”按鈕即可。這樣，關(guān)閉了SMTP艮務(wù)就相當(dāng)于關(guān)閉了對(duì)應(yīng)的端口。20. 什么是主動(dòng)攻擊？什么是被動(dòng)攻擊？主動(dòng)攻擊包含攻擊者訪問(wèn)他所需信息的故意行為。主動(dòng)攻擊包括拒絕服務(wù)攻擊、信息篡改、資源使用、欺騙等攻擊方法。被動(dòng)攻擊主要是收集信息而不是進(jìn)行訪問(wèn)，數(shù)據(jù)的合法用戶對(duì)這種活動(dòng)一點(diǎn)也不會(huì)覺(jué)察到。被動(dòng)攻擊包

10、括嗅探、信息收集等攻擊方法。21. 在密碼學(xué)中，明文，密文，密鑰，加密算法和解密算法稱為五元組。試說(shuō)明這五個(gè)基本概念。明文：計(jì)算機(jī)數(shù)據(jù)加密語(yǔ)言、加密前的原始數(shù)據(jù)密文：加密后的消息稱為密文。密鑰：一種參數(shù)明文轉(zhuǎn)化成密文或相反時(shí)在算法中輸入的數(shù)據(jù)加密算法：將一個(gè)消息經(jīng)過(guò)加密鑰匙及加密函數(shù)，變成無(wú)意義的密文解密算法：密文經(jīng)過(guò)解密密鑰及解密函數(shù)轉(zhuǎn)換成明文的函數(shù)22. 網(wǎng)絡(luò)攻擊和防御分別包括哪些內(nèi)容？攻擊：（1）網(wǎng)絡(luò)監(jiān)聽：自己不主動(dòng)去攻擊別人，而是在計(jì)算機(jī)上設(shè)置一個(gè)程序去監(jiān)聽目標(biāo)計(jì)算機(jī)與其他計(jì)算機(jī)通信的數(shù)據(jù)。（2）網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。（3

11、）網(wǎng)絡(luò)入侵：當(dāng)探測(cè)發(fā)現(xiàn)對(duì)方存在漏洞后，入侵到目標(biāo)計(jì)算機(jī)獲取信息。（4）網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了實(shí)現(xiàn)對(duì)“戰(zhàn)利品”的長(zhǎng)期控制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。（5）網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除，從而防止被對(duì)方管理員發(fā)現(xiàn)。防御：（1）安全操作系統(tǒng)和操作系統(tǒng)的安全配置：操作系統(tǒng)是網(wǎng)絡(luò)安全的關(guān)鍵。（2）加密技術(shù)：為了防止被監(jiān)聽和數(shù)據(jù)被盜取，將所有的數(shù)據(jù)進(jìn)行加密。（3）防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行限制，從而防止被入侵。（4）入侵檢測(cè)：如果網(wǎng)絡(luò)防線最終被攻破，需要及時(shí)發(fā)出被入侵的警報(bào)。（5）網(wǎng)絡(luò)安全協(xié)議：保證傳輸?shù)臄?shù)據(jù)不被截獲和監(jiān)聽23. 簡(jiǎn)述OSI參考模型

12、的結(jié)構(gòu)從低到高：物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話層表示層應(yīng)用層24. 簡(jiǎn)述研究惡意代碼的必要性。在Internet安全事件中，惡意代碼造成的經(jīng)濟(jì)損失占有最大的比例。如今，惡意代碼已成為信息戰(zhàn)、網(wǎng)絡(luò)戰(zhàn)的重要手段。日益嚴(yán)重的惡意代碼問(wèn)題，不僅使企業(yè)及用戶蒙受了巨大經(jīng)濟(jì)損失，而且使國(guó)家的安全面臨著嚴(yán)重威脅。二、綜述題1. 簡(jiǎn)述ARPB騙的實(shí)現(xiàn)原理及主要防范方法。答：由于ARP議在設(shè)計(jì)中存在的主動(dòng)發(fā)送ARP艮文的漏洞，使得主機(jī)可以發(fā)送虛假的ARP青求報(bào)文或響應(yīng)報(bào)文，報(bào)文中的源IP地址和源MAO址均可以進(jìn)行偽造（2分）。在局域網(wǎng)中，即可以偽造成某一臺(tái)主機(jī)（如服務(wù)器）的IP地址和MAO址的組合，也可以偽造

13、成網(wǎng)關(guān)的IP地址和MAO址的組合，ARP即可以針對(duì)主機(jī)，也可以針對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備（2分），等等。目前，絕大部分ARPK騙是為了擾亂局域網(wǎng)中合法主機(jī)中保存的ARPfe,使得網(wǎng)絡(luò)中的合法主機(jī)無(wú)法正常通信或通信不正常，如表示為計(jì)算機(jī)無(wú)法上網(wǎng)或上網(wǎng)時(shí)斷時(shí)續(xù)等。（2分）針對(duì)主機(jī)的ARPK騙的解決方法：主機(jī)中靜態(tài)ARPg存表中的記錄是永久性的，用戶可以使用TCP/IP工具來(lái)創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP工具，利用“arp-s網(wǎng)關(guān)IP地址網(wǎng)關(guān)MAO址”將本機(jī)中ARPg存表中網(wǎng)關(guān)的記錄類型設(shè)置為靜態(tài)（static）。（2分）針對(duì)交換機(jī)的ARPK騙的解決方法：在交換機(jī)上防范ARPK騙的方法與

14、在計(jì)算機(jī)上防范ARPK騙的方法基本相同，還是使用將下連設(shè)備的MAO址與交換機(jī)端口進(jìn)行一一綁定的方法來(lái)實(shí)現(xiàn)。（2分）2. 如圖所示，描述DDoS$擊的實(shí)現(xiàn)方法。答：DDoSfc擊是利用一批受控制的主機(jī)向一臺(tái)主機(jī)發(fā)起攻擊，其攻擊的強(qiáng)度和造成的威脅要比DoSt擊嚴(yán)重得多，當(dāng)然其破壞性也要強(qiáng)得多。（2分）在整個(gè)DDoSC擊過(guò)程中，共有四部分組成：攻擊者、主控端、代理服務(wù)器和被攻擊者，其中每一個(gè)組成在攻擊中扮演的角色不同。（1）攻擊者。攻擊者是指在整個(gè)DDoSfc擊中的主控臺(tái)，它負(fù)責(zé)向主控端發(fā)送攻擊命令。與DoSt擊略有不同，DDoSt擊中的攻擊者對(duì)計(jì)算機(jī)的配置和網(wǎng)絡(luò)帶寬的要求并不高，只要能夠向主控端正

15、常發(fā)送攻擊命令即可。（2分）（2）主控端。主控端是攻擊者非法侵入并控制的一些主機(jī)，通過(guò)這些主機(jī)再分別控制大量的代理服務(wù)器。攻擊者首先需要入侵主控端，在獲得對(duì)主控端的寫入權(quán)限后，在主控端主機(jī)上安裝特定的程序，該程序能夠接受攻擊者發(fā)來(lái)的特殊指令，并且可以把這些命令發(fā)送到代理服務(wù)器上。（2分）（3）代理服務(wù)器。代理服務(wù)器同樣也是攻擊者侵入并控制的一批主機(jī)，同時(shí)攻擊者也需要在入侵這些主機(jī)并獲得對(duì)這些主機(jī)的寫入權(quán)限后，在上面安裝并運(yùn)行攻擊器程序，接受和運(yùn)行主控端發(fā)來(lái)的命令。代理服務(wù)器是攻擊的直接執(zhí)行者，真正向被攻擊主機(jī)發(fā)送攻擊。（2分）（4）被攻擊者。是DDoSfc擊的直接受害者，目前多為一些大型企業(yè)的

16、網(wǎng)站或數(shù)據(jù)庫(kù)系統(tǒng)。（2分）3. 如下圖所示，詳細(xì)描述包過(guò)濾防火墻的工作原理及應(yīng)用特點(diǎn)。答：包過(guò)濾（PacketFilter）是在網(wǎng)絡(luò)層中根據(jù)事先設(shè)置的安全訪問(wèn)策略（過(guò)濾規(guī)則），檢查每一個(gè)數(shù)據(jù)包的源IP地址、目的IP地址以及IP分組頭部的其他各種標(biāo)志信息（如協(xié)議、服務(wù)類型等），確定是否允許該數(shù)據(jù)包通過(guò)防火墻（2分）。包過(guò)濾防火墻中的安全訪問(wèn)策略（過(guò)濾規(guī)則）是網(wǎng)絡(luò)管理員事先設(shè)置好的，主要通過(guò)對(duì)進(jìn)入防火墻的數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議及端口進(jìn)行設(shè)置，決定是否允許數(shù)據(jù)包通過(guò)防火墻。（2分）如圖所示，當(dāng)網(wǎng)絡(luò)管理員在防火墻上設(shè)置了過(guò)濾規(guī)則后，在防火墻中會(huì)形成一個(gè)過(guò)濾規(guī)則表。當(dāng)數(shù)據(jù)包進(jìn)入防火墻時(shí)，

17、防火墻會(huì)將IP分組的頭部信息與過(guò)濾規(guī)則表進(jìn)行逐條比對(duì)，根據(jù)比對(duì)結(jié)果決定是否允許數(shù)據(jù)包通過(guò)。（2分）包過(guò)濾防火墻主要特點(diǎn)：過(guò)濾規(guī)則表需要事先進(jìn)行人工設(shè)置，規(guī)則表中的條目根據(jù)用戶的安全要求來(lái)定；防火墻在進(jìn)行檢查時(shí)，首先從過(guò)濾規(guī)則表中的第1個(gè)條目開始逐條進(jìn)行，所以過(guò)濾規(guī)則表中條目的先后順序非常重要；由于包過(guò)濾防火墻工作在OSI參考模型的網(wǎng)絡(luò)層和傳輸層，所以包過(guò)濾防火墻對(duì)通過(guò)的數(shù)據(jù)包的速度影響不大，實(shí)現(xiàn)成本較低。但包過(guò)濾防火墻無(wú)法識(shí)別基于應(yīng)用層的惡意入侵。另外，包過(guò)濾防火墻不能識(shí)別IP地址的欺騙，內(nèi)部非授權(quán)的用戶可以通過(guò)偽裝成為合法IP地址的使用者來(lái)訪問(wèn)外部網(wǎng)絡(luò)，同樣外部被限制的主機(jī)也可以通過(guò)使用合法

18、的IP地址來(lái)欺騙防火墻進(jìn)入內(nèi)部網(wǎng)絡(luò)。（4分）4. 根據(jù)實(shí)際應(yīng)用，以個(gè)人防火墻為主，簡(jiǎn)述防火墻的主要功能及應(yīng)用特點(diǎn)。答：防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信賴的企業(yè)內(nèi)部局域網(wǎng)和不可信賴的公共網(wǎng)絡(luò)）之間或網(wǎng)絡(luò)安全域之間的一系列部件的組合，通過(guò)監(jiān)測(cè)、限制、更改進(jìn)入不同網(wǎng)絡(luò)或不同安全域的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的入侵，實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。（2分）個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。（2分）個(gè)人

19、防火墻是在企業(yè)防火墻的基礎(chǔ)上發(fā)展起來(lái)，個(gè)人防火墻采用的技術(shù)也與企業(yè)防火墻基本相同，但在規(guī)則的設(shè)置、防火墻的管理等方面進(jìn)行了簡(jiǎn)化，使非專業(yè)的普通用戶能夠容易地安裝和使用。（2分）為了防止安全威脅對(duì)個(gè)人計(jì)算機(jī)產(chǎn)生的破壞，個(gè)人防火墻產(chǎn)品應(yīng)提供以下的主要功能。防止Internet上用戶的攻擊、阻斷木馬及其他惡意軟件的攻擊、為移動(dòng)計(jì)算機(jī)提供安全保護(hù)、與其他安全產(chǎn)品進(jìn)行集成。（4分）5. Kerberos協(xié)議分為兩個(gè)部分：1 .Client向KDCt送自己的身份信息，KDCATicketGrantingService得到TGT（ticket-grantingticket）,并用協(xié)議開始前Client與KD

20、d間的密鑰將TGT1口密回復(fù)給Client。此時(shí)只有真正的Client才能利用它與KDd間的密鑰將加密后的TGTW密，從而獲得TGT。（此過(guò)程避免了Client直接向KDCg送密碼，以求通過(guò)驗(yàn)證的不安全方式）2.Client利用之前獲得的TGT向KDC青求其他Service的Ticket,從而通過(guò)其他Service的身份鑒別。Kerberos協(xié)議的重點(diǎn)在于第二部分，簡(jiǎn)介如下：將之前獲得TG用口要請(qǐng)求的服務(wù)信息（服務(wù)名等）發(fā)送給KDCKDC的TicketGrantingService將為Client和Service之間生成一個(gè)SessionKey用于Service又寸Client的身份鑒別。然后

21、KDCW這個(gè)SessionKey和用戶名，用戶地址（IP）,服務(wù)名，有效期時(shí)間戳一起包裝成一個(gè)Ticket（這些信息最終用于Service對(duì)Client的身份鑒別）發(fā)送給Service,不過(guò)Kerberos協(xié)議并沒(méi)有直接將Ticket發(fā)送給Service,而是通過(guò)Client轉(zhuǎn)發(fā)給Service.所以有了第二步。2 .此時(shí)KDC等剛才的Ticket轉(zhuǎn)發(fā)給Client。由于這個(gè)Ticket是要給Service的，不能讓Client看到，所以KDC8協(xié)議開始前KDCWService之間的密鑰將Ticket加密后再發(fā)送給Cliento同時(shí)為了讓Client和Service之間共享那個(gè)秘密（KDC在第一步為它們創(chuàng)建的SessionKey）,KDC用Client與它之間的