南郵信息安全-考題

1、精選優(yōu)質(zhì)文檔-傾情為你奉上南京郵電大學(xué)信息安全考題考試題型：填空題（1*20） 名詞解釋（4*6） 簡(jiǎn)答題（5*6） 綜合題（3/26）1. 網(wǎng)絡(luò)攻擊分為哪兩類？各包括哪些具體的攻擊行為？p6答：被動(dòng)攻擊和主動(dòng)攻擊被動(dòng)攻擊的兩種形式：消息內(nèi)泄漏攻擊和流量分析攻擊。主動(dòng)攻擊劃分為四類：假冒、重放、改寫消息和拒絕服務(wù)。2. 什么是不可抵賴性？P11 重放攻擊？P7答：不可抵賴性防止發(fā)送者或接收者否認(rèn)一個(gè)已傳輸?shù)南?。（因此，?dāng)消息發(fā)送之后，接受者能夠證明宣稱的發(fā)送者實(shí)際上發(fā)送了此條消息。同樣，在消息接收之后，發(fā)送者也能證明宣稱的接受者實(shí)際上接受了此條消息。重放攻擊：涉及被動(dòng)獲取數(shù)據(jù)單元并按照它之前

2、的順序重新傳輸，以此來(lái)產(chǎn)生一個(gè)非授權(quán)的效應(yīng)。3. 什么是傳統(tǒng)加密技術(shù)？公鑰加密技術(shù)？各自包括哪些加密算法？P24答：傳統(tǒng)加密技術(shù)即單鑰加密，發(fā)送者和接收者都使用同一個(gè)密鑰的技術(shù)。（在該體制中，加密密鑰和解密密鑰是相同的（可互推算），系統(tǒng)的保密性取決于密鑰的安全性。）加密算法：數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）、三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)（3DES）、高級(jí)加密標(biāo)準(zhǔn)（AES）。公鑰加密技術(shù)：發(fā)送者和接收者使用不同的密鑰。（系統(tǒng)中，加密密鑰稱公開密鑰（public key），可以公開發(fā)布（電話號(hào)碼注冊(cè)）；而解密密鑰稱私人密鑰（private key,簡(jiǎn)稱私鑰）。加密：M=D(E(M,pub-key),private-ke

3、y)認(rèn)證：M=E(D(M,private-key),pub-key)。）加密算法：RSA、Diffie-Hellman、DSS和橢圓曲線加密術(shù)。4. DES和3DES的密鑰長(zhǎng)度？P27/p30答：DES：56bit ； 3DES：168bit 5. 分組加密和流密碼技術(shù)有何不同？P33哪些加密技術(shù)屬于分組加密或流密碼？答：分組加密是明文按組（含多個(gè)字符）加密。ECB、CBC、CFB流密碼技術(shù)是明文按位加密。RC46. 分組密碼的工作模式有哪些？P37有什么作用？哪些模式更安全？為什么？答：工作模式：電子密碼本(ECB)、密碼分組鏈接（CBC）、密碼反饋（CFB）。ECB：明文一次被處理64比特

4、，而且明文的每一個(gè)分組都使用同一個(gè)密鑰加密。CBC：加密算法的輸入是當(dāng)前明文分組與前一密文分組的異或；每個(gè)分組使用同一密鑰。CFB：將任意分組密碼轉(zhuǎn)化為流密碼，流密碼不需要將消息添加為分組的整數(shù)倍，他還能實(shí)時(shí)操作。CBC模式更安全，在此模式中，將明文分組序列的處理鏈接在一起，每個(gè)明文分組的加密函數(shù)的實(shí)際輸入和明文分組之間的關(guān)系不固定，因此，64比特的重復(fù)模式并不會(huì)被暴露。在ECB模式中，同一64比特的明文分組在消息中出現(xiàn)了不止一次，他總是產(chǎn)生相同的密文，因此，對(duì)于過長(zhǎng)的消息，此模式不安全。7. MAC的含義？什么是散列函數(shù)？什么是哈希函數(shù)？作用？P51答：MAC：消息認(rèn)證碼。即一種認(rèn)證技術(shù)利用

5、私鑰產(chǎn)生一小塊數(shù)據(jù)，并將其附在消息上。作用：驗(yàn)證消息的內(nèi)容有沒有被篡改和驗(yàn)證信源是否可信。散列函數(shù)H必須具有下列性質(zhì)：1 H可適用于任意長(zhǎng)度的數(shù)據(jù)塊。2 H能生成固定長(zhǎng)度的輸出。3 對(duì)于任意給定的x，計(jì)算H（x）相對(duì)容易，并且可以用軟/硬件方式實(shí)現(xiàn)。4 對(duì)于任意給定值h，找到滿足H（x）=h的x在計(jì)算上不可行。（單向性）5 對(duì)于任意給定的數(shù)據(jù)塊x，找到滿足H（y）=H（x）的y不等于x在計(jì)算上是不可行的。（抗弱碰撞性）6 找到滿足H（x）=H（y）的任意一對(duì)(x，y）在計(jì)算上是不可行的。（抗強(qiáng)碰撞行）作用:為文件、消息或其他數(shù)據(jù)塊產(chǎn)生“指紋”哈希（Hash）函數(shù)（在中文中有很多譯名，有些人根據(jù)

6、Hash的英文原意譯為“散列函數(shù)”或“雜湊函數(shù)”，有些人干脆把它音譯為“哈希函數(shù)”，還有些人根據(jù)Hash函數(shù)的功能譯為“壓縮函數(shù)”、“消息摘要函數(shù)”、“指紋函數(shù)”、“單向散列函數(shù)”等等。）1、Hash算法是把任意長(zhǎng)度的輸入數(shù)據(jù)經(jīng)過算法壓縮，輸出一個(gè)尺寸小了很多的固定長(zhǎng)度的數(shù)據(jù)，即哈希值。哈希值也稱為輸入數(shù)據(jù)的數(shù)字指紋（Digital Fingerprint）或消息摘要（Message Digest）等。Hash函數(shù)具備以下的性質(zhì)：2、給定輸入數(shù)據(jù)，很容易計(jì)算出它的哈希值；3、反過來(lái)，給定哈希值，倒推出輸入數(shù)據(jù)則很難，計(jì)算上不可行。這就是哈希函數(shù)的單向性，在技術(shù)上稱為抗原像攻擊性；4、給定哈希值

7、，想要找出能夠產(chǎn)生同樣的哈希值的兩個(gè)不同的輸入數(shù)據(jù)，（這種情況稱為碰撞，Collision），這很難，計(jì)算上不可行，在技術(shù)上稱為抗碰撞攻擊性；5、哈希值不表達(dá)任何關(guān)于輸入數(shù)據(jù)的信息。作用:保證信息的真實(shí)性、完整性和不可否認(rèn)性。8. 什么是SHA?p53HMAC?p57答:SHA：安全散列函數(shù)；HMAC的設(shè)計(jì)目標(biāo):1） 不改動(dòng)即可使用散列函數(shù)。2）嵌入式散列函數(shù)要有很多的可移植性，以便開發(fā)更快或更安全的散列函數(shù)。3）保持散列函數(shù)的原有性能,不發(fā)生顯著退化。4）使用和處理密鑰簡(jiǎn)單。5）基于嵌入式散列函數(shù)的合理假設(shè)，能夠很好地理解和分析認(rèn)證機(jī)制的密碼強(qiáng)度。9. MD5消息摘要的長(zhǎng)度？P56幾種SHA

8、消息摘要的長(zhǎng)度？P53答:MD5：128bit； SHA-1：160bit、SHA-256：256bit、SHA-384：384bit、SHA-512：512bit。10、什么是碰撞？什么是抗強(qiáng)碰撞性？抗弱碰撞性？ P51答: 若key1key2，有h(key1)=h(key2)，這種現(xiàn)象稱為碰撞。 抗弱碰撞性：對(duì)于任意給定的數(shù)據(jù)塊x，找到滿足H（y）=H（x）的y不等于x在計(jì)算上是不可行的。 抗強(qiáng)碰撞行：找到滿足H（x）=H（y）的任意一對(duì)(x，y）在計(jì)算上是不可行的。10. Diffie-Hellman算法的主要用途？P63答:使得兩個(gè)用戶能夠安全地交換密鑰，供以后加密消息時(shí)使用。（該算法

9、僅局限于密鑰交換。）11. Diffie-Hellman密鑰交換的中間人攻擊流程？P65答：假設(shè)Alice和Bob希望交換密鑰，Darth是攻擊者。中間人攻擊按如下步驟進(jìn)行：1) 為了進(jìn)行攻擊，Darth首先生成兩個(gè)密鑰和，然后計(jì)算相應(yīng)的公鑰和。2) Alice向Bob發(fā)送。3) Darth截取并且向Bob發(fā)送。Darth也計(jì)算。4) Bob接收，計(jì)算。5) Bob向Alice發(fā)送。6) Darth截取并且向Alice發(fā)送。Darth計(jì)算。7) Alice接收，計(jì)算。這時(shí)，Bob和Alice認(rèn)為他們之間共享了一個(gè)密鑰。但實(shí)際上Bob和Darth共享密鑰K1，而Alice和Darth共享密鑰K2

10、。將來(lái)，Bob和Alice之間的所有通信都以如下的方式受到威脅：1 Alice發(fā)送加密消息M：E（K2，M）。2 Darth截取加密的消息并且解密，恢復(fù)出消息M。3 Darth向Bob發(fā)送E（K1，M）或者發(fā)送E（M'），這里M'可以是任何消息。在第一種情況下，Darth只是想偷聽通信內(nèi)容卻不篡改它。在第二種情況下，Darth想要篡改發(fā)送給Bob的消息。12. 什么是數(shù)字簽名？數(shù)字簽名的流程？P67答：假設(shè)Bob想給Alice發(fā)送消息。雖然這條消息的保密性并不重要，但是他想給Alice能夠確認(rèn)這條消息確實(shí)來(lái)自于他。當(dāng)Alice收到密文時(shí)，她發(fā)現(xiàn)能夠用Bob的公鑰進(jìn)行解密，從而證

11、明這條消息確實(shí)是Bob加密的。因?yàn)闆]有其他人擁有Bob的私鑰，所有其他任何人都不能創(chuàng)建由Bob的公鑰能夠解密的密文。因此，整個(gè)加密的消息就成為一個(gè)數(shù)字簽名。13. Nonce是什么？作用？P97答：Nonce是現(xiàn)時(shí)，作用：用來(lái)檢測(cè)重放攻擊。14. AAA是何意？答：15. Kerberos和X.509證書是基于什么加密技術(shù)的認(rèn)證標(biāo)準(zhǔn)？P75/p93答：Kerberos基于傳統(tǒng)加密方法（對(duì)稱加密體制）的認(rèn)證協(xié)議。 X.509證書基于公鑰加密體制和數(shù)字簽名的使用。16. Kerberos系統(tǒng)結(jié)構(gòu)中含有哪幾個(gè)主要部分？它們的作用分別是什么？認(rèn)證的流程？P83答; 1)用于獲取票據(jù)授權(quán)票據(jù)的認(rèn)證服務(wù)交

12、換； 2）用于獲取服務(wù)授權(quán)票據(jù)的票據(jù)授權(quán)服務(wù)交換； 3）用于獲取服務(wù)的客戶端/服務(wù)器認(rèn)證交換17. Kerberos中的票據(jù)的作用？票據(jù)是如何發(fā)放的？P80答：檢查用戶是否提了對(duì)于這個(gè)用戶ID的正確口令，并檢測(cè)這個(gè)用戶是否被允許訪問服務(wù)器。AS創(chuàng)建一個(gè)票據(jù)，這個(gè)票據(jù)包括用戶ID、用戶網(wǎng)絡(luò)地址和服務(wù)器ID。18. 什么是CA？作用？P100答：CA是認(rèn)證中心。作用：證書的發(fā)放者，通常也是撤銷證書列表（CRL）的發(fā)放者。它還可能支持很多管理功能，雖然這些一般是由一個(gè)或多個(gè)注冊(cè)中心代理的。19. X.509證書中有哪些內(nèi)容？P94它們的作用是什么？P94使用X.509證書進(jìn)行認(rèn)證的過程？P97什么是

13、CRL？CRL的作用？P95-96答：（參考）版本：識(shí)別用于該證書的 X.509 標(biāo)準(zhǔn)的版本。序列號(hào)：發(fā)放證書的實(shí)體有責(zé)任為證書指定序列號(hào)，以使其區(qū)別于該實(shí)體發(fā)放的其它證書。此信息用途很多。例如，如果某一證書被撤消，其序列號(hào)將放到證書撤消清單 (CRL) 中。 簽名算法標(biāo)識(shí)符：用于識(shí)別 CA 簽寫證書時(shí)所用的算法。 簽發(fā)人姓名：簽寫證書的實(shí)體的 X.500 名稱。它通常為一個(gè) CA。 使用該證書意味著信任簽寫該證書的實(shí)體（注意：有些情況下（例如根或頂層 CA 證書），簽發(fā)人會(huì)簽寫自己的證書）。 有效期：每個(gè)證書均只能在一個(gè)有限的時(shí)間段內(nèi)有效。該有效期以起始日期和時(shí)間及終止日期和時(shí)間表示，可以短

14、至幾秒或長(zhǎng)至一世紀(jì)。所選有效期取決于許多因素，例如用于簽寫證書的私鑰的使用頻率及愿為證書支付的金錢等。它是在沒有危及相關(guān)私鑰的條件下，實(shí)體可以依賴公鑰值的預(yù)計(jì)時(shí)間。 主體名：證書可以識(shí)別其公鑰的實(shí)體名。此名稱使用 X.500 標(biāo)準(zhǔn)，因此在Internet中應(yīng)是唯一的。它是實(shí)體的特征名 (DN)，例如， CN=Java Duke，OU=Java Software Division，O=Sun Microsystems Inc，C=US（這些指主體的通用名、組織單位、組織和國(guó)家）。 主體公鑰信息：這是被命名實(shí)體的公鑰，同時(shí)包括指定該密鑰所屬公鑰密碼系統(tǒng)的算法標(biāo)識(shí)符及所有相關(guān)的密鑰參數(shù)。證書注銷列表

15、(Certificate Revocation List，簡(jiǎn)稱CRL)，是一種包含注銷的證書列表的簽名數(shù)據(jù)結(jié)構(gòu)。 （CRL是Certificate Revocation List的縮寫，中文翻譯為證書廢棄列表，）主要功能是保存廢除證書序列號(hào)和廢除的原因20. X.509證書的目的是什么？為達(dá)到這個(gè)目的，采取了那些措施？答：目的：可以讓用戶獲得公鑰證書，以便用戶團(tuán)體可以確信公鑰的有效性。21. 什么是證書鏈？作用？P96答：數(shù)字證書由頒發(fā)該證書的CA簽名。多個(gè)證書可以綁定到一個(gè)信息或交易上形成證書鏈，證書鏈中每一個(gè)證書都由其前面的數(shù)字證書進(jìn)行鑒別。最高級(jí)的CA必須是受接受者信任的、獨(dú)立的機(jī)構(gòu)。作

16、用：沿著一條路徑得到另一個(gè)用戶的公鑰證書。22. 什么是零知識(shí)認(rèn)證？作用是什么？答：所謂零知識(shí)證明，指的是示證者在證明自己身份時(shí)不泄露任何信息，驗(yàn)證者得不到示證者的任何私有信息，但又能有效證明對(duì)方身份的一種方法。23. 什么是IPSec？目的是什么？P142有哪兩種封裝模式？P147哪種模式支持端到端、端到網(wǎng)關(guān)、網(wǎng)關(guān)到網(wǎng)關(guān)的隧道？哪種模式只支持端到端？P141答：“Internet 協(xié)議安全性 (IPSec)”是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，通過使用加密的安全服務(wù)以確保在 Internet 協(xié)議 (IP) 網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。目的：提供了在LAN、專用和公用WAN以及互聯(lián)網(wǎng)中安全通信的性能。

17、傳輸模式和隧道模式。隧道模式。闡述模式。24. IPSec中AH和ESP分別有什么作用？有何不同？P148/p152答：AH（認(rèn)證報(bào)頭）給數(shù)據(jù)完整性和IP包認(rèn)證提供支持。ESP（封裝安全載荷）提供保密服務(wù)，包括報(bào)文內(nèi)容保密和流量限制保密。AH：認(rèn)證報(bào)頭。ESP：封裝安全載荷。1、AH沒有ESP的加密特性2、AH的認(rèn)證是對(duì)整個(gè)數(shù)據(jù)包做出的，包括IP頭部分，因?yàn)镮P頭部分包含很多變量，比如type of service（TOS），flags，fragment offset，TTL以及header checksum.所以這些值在進(jìn)行認(rèn)證前要全部清零。否則hash會(huì)mismatch導(dǎo)致丟包。相反，ES

18、P是對(duì)部分?jǐn)?shù)據(jù)包做認(rèn)證，不包括IP頭部分。25. 什么是SA？作用？P145答：安全關(guān)聯(lián)（Security Association，SA）是兩個(gè)應(yīng)用IPsec實(shí)體（主機(jī)、路由器）間的一個(gè)單向邏輯連接，決定保護(hù)什么、如何保護(hù)以及誰(shuí)來(lái)保護(hù)通信數(shù)據(jù)。SA用一個(gè)三元組（安全參數(shù)索引SPI、目的IP地址、安全協(xié)議）唯一標(biāo)識(shí)。 SA提供安全服務(wù)。26. SSL中有哪兩大協(xié)議？分別有何作用？P178答：（參考）SSL記錄協(xié)議，提供兩種服務(wù)：機(jī)密性，消息完整性。SSL密碼變更規(guī)格協(xié)議，使得延遲狀態(tài)改變?yōu)楫?dāng)前狀態(tài)，更新連接上應(yīng)用的密碼機(jī)制SSL報(bào)警協(xié)議，將與SSL相關(guān)的報(bào)警傳達(dá)給對(duì)等實(shí)體SSL握手協(xié)議，允許客戶

19、端和服務(wù)器相互認(rèn)證，并協(xié)商加密和MAC算法，以及用于保護(hù)SSL記錄中所發(fā)送數(shù)據(jù)加密密鑰27. 保證網(wǎng)絡(luò)支付安全的協(xié)議是什么協(xié)議？P197答:SET.28. 什么是雙重簽名？作用是什么？雙重簽名的過程？P196答：雙重?cái)?shù)字簽名 定義：有的場(chǎng)合需要寄出兩個(gè)相關(guān)信息給接收者，接收者只能打開一個(gè)，而另一個(gè)只需轉(zhuǎn)送，不能打開看其內(nèi)容。把要發(fā)送給不同接受者的兩條消息連接起來(lái)。過程：1）商家收到OI并驗(yàn)證簽名。2）銀行收到PI并驗(yàn)證簽名。3）消費(fèi)者把OI和PI聯(lián)系起來(lái)并能夠證明這種聯(lián)系。29. 防火墻有哪幾種類型？P286答：包過濾器、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)。30. 屏蔽主機(jī)防火墻和屏蔽子網(wǎng)防火墻有何不同？P292答:屏蔽主機(jī)防火墻配置中，防火墻包含兩個(gè)系統(tǒng)：包過濾路由器和堡壘主機(jī)。此配置同樣支持在提供直接互聯(lián)網(wǎng)訪問時(shí)的靈活性，提供的雙層安全機(jī)制在本配置中得到保障。屏蔽子網(wǎng)防火墻配置中，使用了兩個(gè)包過濾路由器，其中一個(gè)在堡壘主機(jī)和互聯(lián)網(wǎng)之間，另一個(gè)在堡壘主機(jī)和內(nèi)部網(wǎng)絡(luò)之間。此配置創(chuàng)建了一個(gè)獨(dú)立的子網(wǎng)，它可能只包含堡壘主機(jī)，但也可能包含一個(gè)或多個(gè)信息服務(wù)器和實(shí)現(xiàn)撥入能力的調(diào)制解調(diào)器。31. 有哪兩種入侵檢測(cè)的方法？P240答：統(tǒng)計(jì)異常檢測(cè)、基于規(guī)則的檢測(cè)。32. 什么是蜜罐？作用？P248答：蜜罐是一個(gè)誘惑