網(wǎng)絡安全基礎應用與標準-第四版思考題答案

實用文檔第一章什么是osi安全體系結構？為了有效評估某個機構的安全需求，并選擇各種安全產(chǎn)品和策略，負責安全的管理員需要一些系統(tǒng)性的方法來定義安全需求以及滿足這些安全需求的方法，這一套系統(tǒng)體系架構便稱為安全體系架構。被動和主動威脅之間有什么不同？被動威脅的本質是竊聽或監(jiān)視數(shù)據(jù)傳輸，主動威脅包含數(shù)據(jù)流的改寫和錯誤數(shù)據(jù)流的添加。列出并簡要定義被動和主動安全攻擊的分類？被動攻擊：消息內(nèi)容泄漏和流量分析。主動攻擊：假冒，重放，改寫消息和拒絕服務。列出并簡要定義安全服務的分類認證，訪問控制，數(shù)據(jù)機密性，數(shù)據(jù)完整性，不可抵賴性。列出并簡要定義安全機制的分類。特定安全機制：為提供osi安全服務，可能并到適當?shù)膮f(xié)議層中。普通安全機制：沒有特定osi安全服務或者協(xié)議層的機制。第二章對稱密碼的基本因素是什么？明文，加密算法，秘密密鑰，密文，解密算法。加密算法使用的兩個基本功能是什么？替換和排列組合分組密碼和流密碼區(qū)別是什么？流密碼是一個比特一個比特的加密，分組時若干比特同時加密。比如DES是64bit的明文一次性加密成密文。密碼分析方面有很多不同。比如說密碼中，比特流的很多統(tǒng)計特性影響到算法的安全性。密碼實現(xiàn)方面有很多不同，比如流密碼通常是在特定硬件設備上實現(xiàn)。分組密碼可以在硬件實現(xiàn)，也可以在計算機軟件上實現(xiàn)。攻擊密碼的兩個通用方法是什么？密碼分析與窮舉法（暴力解碼）為什么一些分組密碼操作模式只使用了加密，而其他的操作模式使用了加密又使用了解密出于加密與解密的考慮，一個密碼模式必須保證加密與解密的可逆性。在密碼分組鏈接模式中，對明文與前一密文分組異或后加密，在解密時就要先解密再異或才能恢復出明文；在計數(shù)器模式中，對計數(shù)器值加密后與明文異或產(chǎn)生密文，在解密時，只需要相同的計數(shù)器加密值與密文異或就可得到明文。為什么3DES的中間部分是解密而不是加密？3DES加密過程中使用的解密沒有密碼方面的意義。唯一好處是讓3des使用者能解密原來單重des使用者加密的數(shù)據(jù)。第三章1.消息認證的三種方法：利用常規(guī)加密的消息認證、消息認證碼、單向散列函數(shù)2什么是mac？一種認證技術利用私鑰產(chǎn)生一小塊數(shù)據(jù)，并將其附到信息上的技術。3簡述圖3.2的三種方案a使用傳統(tǒng)加密：消息在散列函數(shù)的作用下產(chǎn)生一個散列值，對散列值進行傳統(tǒng)加密后附加到消息上傳送，解密時，把消息上附帶的加密散列值解密得到散列值與消息產(chǎn)生的散列值比較如果不一樣則消息被篡改為偽消息。b使用公鑰加密：過程與傳統(tǒng)加密相似，只是在對散列值加密時采用了公鑰加密方式。c使用秘密值：把秘密值與消息連接，再經(jīng)過散列函數(shù)產(chǎn)生一個散列值，把散列值附加到消息上傳送，解密時，把秘密值與消息連接塊經(jīng)過散列函數(shù)產(chǎn)生的散列值與接收的加密散列值解密后的散列值比較，若一樣，則不是偽消息，否則是偽消息。4、對于消息認證，散列函數(shù)必須具有什么性質才可以用1H可使用于任意長度的數(shù)據(jù)塊2H能生成固定長度的輸出3對于任意長度的x，計算H（x）相對容易，并且可以用軟/硬件方式實現(xiàn)4對于任意給定值h,找到滿足H(x)=h的x在計算機上不可行5對于任意給定的數(shù)據(jù)塊x,找到滿足H（y）=H(x)，的y=!x在計算機上是不可行的。6找到滿足H（x）=H(y)的任意一對（x,y）在計算機上是不可行的。4、公鑰加密系統(tǒng)的基本組成元素是什么？明文，加密算法，公鑰和私鑰，密文，解密算法5、列舉并簡要說明公鑰加密系統(tǒng)的三種應用加密/解密，發(fā)送者用接收者公鑰加密信息。數(shù)字簽名，發(fā)送者用自己的私鑰“簽名”消息；密鑰交換：雙方聯(lián)合操作來交換會話密鑰。第四章會話密鑰與主密鑰的區(qū)別是什么？主密鑰是指主機與kdc之間通信使用的共享密鑰。而會話密鑰是兩臺主機主機建立連接后，產(chǎn)生的一個唯一的一次性會話密鑰。2、一個提供全套kerberos服務的環(huán)境由那些實體組成？一臺Kerberos服務器，若干客戶端和若干應用服務器什么是現(xiàn)實？現(xiàn)實是指一個隨機數(shù)在as到c的消息中被重復來確保應答是實時的，而不是被攻擊者重放過的。與密鑰分發(fā)有關的公鑰密碼的兩個不同用處是什么？1公鑰分發(fā)2利用公鑰加密分發(fā)私鑰什么是公鑰證書？公鑰證書由公鑰、公鑰所有者的用戶id和可信的第三方（用戶團體所信任的認證中心CA）簽名的整數(shù)數(shù)據(jù)塊組成，用戶可通過安全渠道把它的公鑰提交給ca，獲得證書。第五章1.、SSL由那些協(xié)議組成？SSL記錄協(xié)議，SSL握手協(xié)議，SSL密碼變更規(guī)格協(xié)議，SSL報警協(xié)議、SSL連接和SSL會話之間的區(qū)別是什么？連接是一種能夠提供合適服務類型的傳輸。連接是點對點關系而且是短暫的。會話：SSL會話是客戶與服務器之間的一種關聯(lián)。會話通常用來避免每條連接需要進行的代價高昂的新的安全參數(shù)協(xié)商過程。SSL記錄協(xié)議提供了那些服務機密性（用對稱加密）和消息完整性（用消息認證碼）https的目的是什么？在http的基礎上結合ssl來實現(xiàn)網(wǎng)絡瀏覽器和服務器的安全通信。對哪些應用ssh是有用的？最初版本ssh致力于提供一個安全的遠程登陸裝置代替telnet和其他遠程無保護機制，ssh還提供一個更為廣泛的用戶/服務器功能，并支持文件傳輸和E-MAIL等網(wǎng)絡功能。SSH由傳輸層協(xié)議、用戶身份驗證協(xié)議、連接協(xié)議組成第六章什么是802.11WLAN的基本模塊？一個無線局域網(wǎng)的最小組成模塊是基本服務單元BSS，包含執(zhí)行相同的MAC協(xié)議和競爭同一無線介質接口的多個無線站點/3.列出IEEE802.11服務連接，認證，重認證、取消連接，分發(fā)，整合，MSDU傳輸，加密，重連接。分布式系統(tǒng)是無線網(wǎng)絡嗎？（可能是也可能不是）分布式系統(tǒng)可以是交換機，有線網(wǎng)絡，也可以是無線網(wǎng)絡，所以說分布式系統(tǒng)是無線網(wǎng)絡不全對。請解釋聯(lián)合的概念和移動概念的相關性？移動性是指802.11環(huán)境下移動站點的物理轉換，包括無轉換基于BSS的轉換基于擴展服務單元的轉換。聯(lián)合性提供一種BSS中，移動站點向AP證明自己身份以便與其他站點進行數(shù)據(jù)交換的服務。6.被IEEE802.11定義的安全區(qū)域是什么？IEEE802.11i三個主要安全區(qū)域，認證，密鑰管理，加密數(shù)據(jù)傳輸。7.簡要描述IEEE802.11i操作的四個階段1/發(fā)現(xiàn)2/認證3/密鑰產(chǎn)生及其配送4/保密數(shù)據(jù)傳輸5/連接終止9.HTML過濾器和WAP代理之間的區(qū)別是什么？HTML過濾器將HTML的內(nèi)容翻譯成無限置標（WML）的內(nèi)容。如果過濾器與WAP代理分開，則利用HTTP/TCP/IP將WML傳送到WAP代理，WAP代理將WML轉換成二進制WML格式，并經(jīng)由無線網(wǎng)絡用WAP協(xié)議棧傳送到移動用戶。10wsp提供什么服務？Wsp即無線會話協(xié)議。Wsp為兩個會話服務提供接口應用。連接導向的會話服務基于wtp，非連接會話服務則是基于不可靠傳輸協(xié)議WDP進行操作。11.WTP的三種傳輸模式在什么時候被使用？1/提供了不可信賴的數(shù)據(jù)報服務，可以用在不可信進棧操作2/提供了可信賴的數(shù)據(jù)報服務，可以用在可信進棧操作中3/提供請求回復傳輸服務并支持在一個WSP會話中進行多個傳輸。12.簡要描述WTLS提供的安全服務（網(wǎng)關的保護）1/數(shù)據(jù)完整性：使用信息認證來確保用戶和網(wǎng)關之間發(fā)送的數(shù)據(jù)未被篡改2/機密性：使用加密來確保數(shù)據(jù)不被第三方讀取3/認證：使用數(shù)字證書來對兩方進行認證。4/拒絕服務保護：刪除拒絕重放或者未成功驗證的信息。簡要描述WTLS的四種協(xié)議要素WTLS記錄協(xié)議：從更高層取得用戶數(shù)據(jù)，并將數(shù)據(jù)封裝在一個協(xié)議數(shù)據(jù)單元中。WTLS密碼變更規(guī)格協(xié)議：該協(xié)議只有一條信息，包含一個數(shù)值為一的比特。該信息的目的將不確定狀態(tài)復制到當前狀態(tài)，以便更新該連接使用的加密套件。WTLS警報協(xié)議：用來將WTLS相關的警報傳送到peer實體。WTLS握手協(xié)議：允許服務器和用戶相互認證，并協(xié)商加密和MAC算法以及用來保護WTLS記錄中發(fā)送數(shù)據(jù)的加密密鑰。WTLS使用的密鑰握手協(xié)議生成預主密鑰，預主密鑰生成主密鑰，主密鑰用來生成各種加密密鑰15描述三種不同的提供WAP端到端安全性的方法1在客戶端和服務器間使用TLS協(xié)議4，兩端之間建立安全的TLS會話2端到端之間利用IP層的IPSEC來保證安全性3我們假設WAP網(wǎng)管只作為簡單的互聯(lián)網(wǎng)路由器，這種情況下名為WAP傳輸層端到端安全性的方法第七章1PGP提供的5種主要服務是什么？認證（用數(shù)字簽名），保密（消息加密），壓縮（用ZIP），電子郵件兼容性（基-64轉換）和分段2分離簽名的用途是什么？1滿足用戶希望所有發(fā)送和接收的消息分開存儲和傳送2檢測程序以后是否被感染病毒3可用于對一個合法合同等文檔的雙方進行簽名，每個人的簽名彼此獨立，且只與該文檔有關3PGP為什么在壓縮前生成簽名1對未壓縮的消息進行簽名可以保存未壓縮的消息和簽名供未來驗證時使用2即使有人想動態(tài)的對消息重新壓縮后進行驗證，用PGP現(xiàn)有的壓縮算法仍然很困難4為什么是基-64轉換一組三個8比特二進制數(shù)據(jù)映射為4個ASCII碼字符，同時加上CRC校驗以檢測傳送錯誤5電子郵件應用為什么使用基-64轉換使用PGP時至少會對一部分數(shù)據(jù)塊加合，若只使用簽名服務，則需要用發(fā)送方的私鑰對消息摘要加密，若使用保密服務，則要把消息和簽名用一次性會話密鑰加密因此得到的全部分成全部數(shù)據(jù)塊可能由任意的8比特字節(jié)流組成，然而，許多電子郵件系統(tǒng)僅僅允許使用有ASCII碼組成的塊，為適應這個限制，提供轉換功能6PGP如何使用信任關系PGP的信任關系由“密鑰合法性域”“簽名信任域”，“所有者信任域”構成，經(jīng)過三步流程周期性的處理公鑰獲得一致性。9s/mime是什么？是居于RSA數(shù)據(jù)安全性，對互聯(lián)網(wǎng)電子郵件格式標準mine的安全性增強。10DKIM是什么？指電子郵件信息加密簽名的特殊應用，他通過一個簽名域來確定信件系統(tǒng)中信息的責任。8.2IPsec提供哪些服務？訪問控制，無連接完整性，數(shù)據(jù)源認證；拒絕重放包，保密性，受限制的流量保密性。8.3那些參數(shù)標識了sa？那些參數(shù)表現(xiàn)了一個特定sa的本質？（1）安全參數(shù)索引（SPI）ip目的地址，安全協(xié)議標識（2）序列號計數(shù)器，序列計數(shù)器，反重放窗口。AH信息，ESP信息，此安全關聯(lián)的生存期，IPSEC協(xié)議模式，最大傳輸單元路徑表示特定的sa8.4傳輸模式和隧道模式有什么區(qū)別？傳輸模式下的ESP加密和認證ip載荷，但不包括ip報頭，AH認證，IP載荷和IP報頭的選中部分；隧道模式下的ESP加密和認證包括內(nèi)部ip報頭的整個內(nèi)部ip包，AH認證整個內(nèi)部ip包和外部ip報頭被選中的部分。8.5什么是重放攻擊？一個攻擊者得到一個經(jīng)過認證的副本，稍后又將其傳送到其被傳送的目站點的攻擊，重復的接受經(jīng)過認證的ip包可能會以某種方式中斷服務或產(chǎn)生一些不希望出現(xiàn)的結果8.6為什么ESP包括一個填充域？（1）如果加密算法要求明文為某個數(shù)目字節(jié)的整數(shù)倍，填充域用于把明文擴展到需要的長度；（2）ESP格式要求填充長度和鄰接報文域為右對齊的32比特字，同樣，密文也是32比特的整數(shù)倍，填充域用來保證這樣的排列（3）增加額外的填充能隱藏載荷的實際長度，從而提供部分流量的保密9.1列出并簡要定義三類入侵者。假冒用戶：為授權使用計算機的個體，或潛入系統(tǒng)的訪問控制來獲得合法用戶的賬戶違法用戶：系統(tǒng)的合法用戶訪問未授權的數(shù)據(jù)，程序或者資源或者授權者誤用其權限隱秘用戶：通過某些方法奪取系統(tǒng)的管理控制權限，并使用這種控制權躲避審計機制的訪問控制，或者取消審計集合的個體。9.2用于保護口令文件的兩種通用技術是什么？單向函數(shù)：系統(tǒng)只保存一個基于用戶口令的函數(shù)值，當用戶輸入口令時系統(tǒng)計算該口令的函數(shù)值，并與系統(tǒng)內(nèi)部存儲的值進行比較，實際應用中，系統(tǒng)通常執(zhí)行單向變換，在這個變換中，口令被用于產(chǎn)生單向函數(shù)的秘鑰并產(chǎn)生固定長度的輸出(2)訪問控制：訪問口令文件的權限僅授予一個或幾個非常有限的賬戶9.3入侵防御系統(tǒng)可以帶來哪三個好處？如果能夠足夠快的速度檢測入侵行為，那么就可以在入侵危害系統(tǒng)或危機數(shù)據(jù)安全之前將其鑒別并驅逐出系統(tǒng)。即使未能及時監(jiān)測到入侵者，越早發(fā)現(xiàn)入侵行為就會使系統(tǒng)損失程度越小，系統(tǒng)也能越快得到恢復。（2）有效的入侵檢測技術是一種威懾力量，能夠起到防護入侵者的作用。（3）入侵檢測可以收集入侵技術信息有利增強入侵防護系統(tǒng)的防護能力。9.4統(tǒng)計一場檢測與基于規(guī)則入侵檢測之間有哪些區(qū)別？答：1.統(tǒng)計一場檢測：包括一定時間內(nèi)與合法用戶相關的數(shù)據(jù)集合，然后用于統(tǒng)計學測試方法對觀察到的用戶進行測試，一邊能夠更加確定地判斷該行為是否是合法用戶行為。包括闊值檢測，給予行為曲線兩種方法?；谝?guī)則入侵檢測：定義一個規(guī)則集，用于檢測與前行為模式和歷史行為模式的偏離，有異常檢測，滲透檢測兩種方法。2，統(tǒng)計方法用來定義普通或期望的行為，而基于規(guī)則的方法致力于定義正確行為。3統(tǒng)計異常檢測對假冒用戶有效，對違規(guī)用戶不佳，基于規(guī)則可以有效地檢測出代表滲透攻擊行為的時刻或者動作序列。9.7什么是蜜罐？蜜罐是一個誘騙系統(tǒng)，用來把潛在的攻擊者從重要的系統(tǒng)中引開。其目的：1轉移攻擊者對重要系統(tǒng)的訪問2收集關于攻擊者活動的信息3鼓勵攻擊者停留在系統(tǒng)中足夠長的時間以便管理員做出反應。9.8在unix口令管理的context中，salt是指什么？用一個12比特隨機數(shù)“salt”對DES算法進行修改，salt和用戶輸入的口令作為加密程序的輸入。9.9列出簡要定義四種用于防止口令猜測的技術答：1.用戶教育：可以引導用戶認識到選擇難于猜測的口令的重要性，也可以提供一些具體選擇口令的指導原則。2.由計算機生成口令：用戶被提供一個由計算機生成的口令。3.后驗口令檢測：系統(tǒng)周期性地運行它自身的口令破解程序來檢驗易于猜測的口令，對易于猜測的口令，系統(tǒng)將通告用戶并刪除該口令。4前驗口令檢驗;該方案允許用戶選擇自己的口令，但在選擇之初，系統(tǒng)會檢測口令是否難認猜測，如果不是，那么將拒絕該口令。10.1、在病毒運行過程中，壓縮的作用是什么？由于感染后的程序比感染之前的程序長，所以像簽名所描述的這種病毒很容易被檢測到。防止這種檢測方法的手段是對可執(zhí)行文件壓縮，使得無論該程序是否被感染，它的長度都是相同的。10.2、在病毒運行過程中，加密的作用是什么？為了病毒在生成副本時可以隨機插入多余質量或者交換一些獨立指令的順序。一種更有效的方法是采用密碼學技術。在這種技術中，通常將病毒中的某一部分稱為突變引擎，該部分生成一個隨機加密密鑰來對對病毒中其他部分進行加密。這個密鑰由病毒保存，而突變引擎本身可變?？烧{用被感染的程序時，病毒使用它保存的隨機密鑰對病毒進行解密。當病毒進行復制時，會選擇不同的隨機密鑰10.3描述病毒或蠕蟲的周期中有那些典型階段睡眠階段，傳播階段，觸發(fā)階段，執(zhí)行階段10.4什么事數(shù)字免疫系統(tǒng)？數(shù)字免疫系統(tǒng)是一種全面而廣泛的病毒保護措施。10.5行為阻斷軟件的工作機理是什么？行為阻斷軟件與主機操作系統(tǒng)相結合，實時地監(jiān)控惡意的程序行為，在檢測到惡意的程序行為后，行為阻斷軟件將潛在的惡意行為對實際系統(tǒng)實施攻擊之前將其阻止。10.6通常來講，蠕蟲是怎樣傳播的？電子郵件工具，遠程執(zhí)行能力，遠程登陸能力10.7給出一些蠕蟲病毒的對策1基于簽名的蠕蟲掃描過濾2基于過濾器的蠕蟲防范3基于有效載荷分類的蠕蟲防范4闊值隨機漫步的掃描檢測5速率限制。6速率中斷10.8什么是DDOSDOS攻擊指試圖阻止某種服務的合法用戶使用該服務，如果這種攻擊是從某單一主機或者網(wǎng)點發(fā)起的，那么他就被稱為DOS攻擊，一個更為嚴重的網(wǎng)絡威脅就是DDOS.在DDOS攻擊中，攻擊者可以募集遍及整個互聯(lián)網(wǎng)的大量主機，在同一時間或者認協(xié)同發(fā)射方式對目標站點發(fā)起攻擊，試圖消耗目標設備的資源，使其不能提供服務。11.1列出防火墻的三個設計目標1所有入站和出站的網(wǎng)絡流量都必須通過防火墻。2只有經(jīng)過授權的網(wǎng)絡流量，防火墻才允許其通過。3防火墻本身不能被攻破，這意味著防火墻應該允許在有安全操作系統(tǒng)的可信系統(tǒng)上。11.2防火墻控制訪問及執(zhí)行安全策略四個技術:服務控制，方向控制，用戶控制，行為控制；11.3典型的句過濾路由使用了什么信息？源IP地址，目的IP地址，源端和自由端傳輸層地址，IP協(xié)議域，接口；11.4包過濾路由器有那些弱點？1.因為過濾防火墻不檢查更高層的數(shù)據(jù)，因此這種防火墻不能阻止利用了特定應用的漏洞或攻能所進行的攻擊2.因為防火墻可利用的信息有限，使得包過濾防火墻的日志記錄功能也有限3.大多數(shù)包過濾防火墻不支持高級的用戶認證機制4.包過濾防火墻不支持高級的用戶認證機制，包過濾防火墻對利用TCP/IP規(guī)范和協(xié)議棧存在的問題進行的攻擊沒有良好的應對措施5.包過濾防火墻只根據(jù)幾個變量進行訪問控制決策，不恰當?shù)脑O置會引起包過濾防火墻的安全性容易受到威脅。11.5包過濾路由器和狀態(tài)檢測防火墻的區(qū)別是什么？傳統(tǒng)的包過濾防火墻僅僅對單個數(shù)據(jù)包做過濾判斷，不考慮更高層的上下文信息，狀態(tài)檢測包過濾器通過建造了一個出站TCP鏈接目錄加強了TCP流量的規(guī)則，當前每個已建立的連接都有一個入口與之相對應。包過濾器僅當那些數(shù)據(jù)包符合這個目錄里面某個條目資料的時候，允許那些到達高端口的入站流量通過。11.6什么是應用層網(wǎng)關？應用層網(wǎng)關也稱作代理服務器，起到了應用層流量緩沖器的作用。11.7什么是鏈路