网络安全基础应用与标准--习题——答案

一.

1、什么是OSI安全体系结构？

安全攻击安全机制安全服务

2、被动和主动安全威胁之间有什么不同？

被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加

3列出并简要定义被动和主动安全攻击的分类？

被动攻击：内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务

4、列出并简要定义安全服务的分类？

认证，访问控制，数据机密性，数据完成性，不可抵赖性

二.

1．黑客为什么可以成功实施ARP欺骗攻击？在实际中如何防止ARP欺骗攻击？

ARP欺骗的基本原理就是欺骗者利用ARP协议的安全漏洞，通过向目标终端大量发送伪造的ARP协议报文欺骗目标终端，使目标终端误以为是与期望主机通信，而实际上是与欺骗者进行通信。

•局域网内可采用静态ARP Cache

•ARP Cache设置超时

•主动查询

–在某个正常的时刻，做一个IP和MAC对应的数据库，以后定期检查当前的IP和MAC对应关系是否正常。

–同时定期检测交换机的流量列表,查看丢包率。

•使用ARP防护软件

•具有ARP防护功能的路由器

2. 什么是ICMP重定向攻击？如何防止此类攻击？

ICMP重定向报文是ICMP控制报文的一种。当默认路由器检测到某主机使用非优化路由的时候，它会向该主机发送一个ICMP重定向报文，请求主机改变路由。

TCP/IP体系不提供认证功能，攻击者可以冒充路由器向目标主机发送ICMP重定向报文，诱使目标主机更改寻径表，其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的路由器。

三.

1.防火墙可以提供哪些机制？

答：服务控制、方向控制、用户控制和行为控制。

2.防火墙有哪些局限性?

a)为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务,

给用户带来使用的不便。

b) 不能防止传送已感染病毒的软件或文件。

c) 防火墙对不通过它的连接无能为力，如拨号上网等。

d) 作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新

的威胁和攻击。

e) 不能防备内部人员的攻击行为等。

3.防火墙应满足的基本条件是什么？

作为网络间实施网间访问控制的一组组件的集合，防火墙应满足的基本条件如下：

(1) 内部网络和外部网络之间的所有数据流必须经过防火墙。

(2) 只有符合安全策略的数据流才能通过防火墙。

(3) 防火墙自身具有高可靠性，应对渗透(Penetration)免疫，即它本身是不可被侵入的。

四.

1. 对称密码的基本因素是什么？

明文，加密算法，秘密密钥，密文，解密算法

2. 两个人通过对称密码通信需要多少个密钥？(P24)

1个

4.攻击密码的两个通用方法是什么？

密钥搜索和穷举方法

5.分组密码的电子密码本模式有什么不足？如何解决？

电子密码本模式的缺点就是相同的明文产生相同的密文，对高度结构化消息是非常不安全的。

需要采用其它模式，目的就是为了即使明文相同，密文也不相同。

6.DES的密钥长度是56bits，如何使用DES，使得等效密钥长度为112bits或

168bits？

使用三个密钥对数据块进行三次加密，即采用三重DES加密模型。

（a）使用三个不同密钥K1, K2，K3，依次进行加密-解密-加密变换，等效密钥长度为168bits；

（b）其中密钥K1=K3，依次进行加密-解密-加密变换，等效密钥长度为112bits。

E（K1，D(K2，E(P,K1))）112bits

E（K3，D(K2，E(P,K1))） 168bits

五.

1、列举消息认证的三种方法：

单向散列函数，消息认证码MAC，利用常规加密的消息认证

2、什么是MAC：(P49)

一种认证技术。利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。

3、对于消息认证，散列函数H必须具有什么性质才可以用：(P51)

1 H可使用于任意长度的数据块

2 H能生成固定长度的输出

3 对于任意长度的x，计算H（x）相对容易，并且可以用软/硬件方式实现

4对于任意给定值h,找到满足H(x)=h的x在计算机上不可行。

5对于任意给定的数据块x,找到满足H（y）=H(x)，的y=!x在计算机上是不可行的。

6找到满足H（x）=H(y)的任意一对（x,y）在计算机上是不可行的。

4、公钥加密系统的基本组成元素是什么？

明文，加密算法，公钥和私钥，密文，解密算法

5、列举并简要说明公钥加密系统的三种应用：

加密/解密，数字签名，密钥交换

7.使用公钥加密和使用私钥加密有什么不同的作用？

使用对方公钥加密，可以保证信息的机密性；

使用自己的私钥加密，可以让接收方确认信息的来源。

8.如何使用公钥加密来分发共享密钥？

先获得对方数字证书，验证证书获得对方公钥，然后E PUB,(K AB)

9.简述针对Diffie-Hellman密钥交换的中间人攻击过程。P71

填空题

1.网络攻击分为主动攻击和被动攻击两大类。

2.流量分析和篡改消息分别属于被动攻击和主动攻击。

3.ARP的主要功能是将 IP 地址转换为物理地址地址。

4.Telnet服务的功能是实现远程登陆，它采用TCP的 23 号端口。

5.蔽主机体系结构防火墙主要由包过滤路由器和堡垒主机构成。

6.包过滤是通过包过滤路由器在网络层上实现的。

7.密码学包括密码编码学和密码分析学两个分支；

8.DES算法密钥是64位，其中密钥有效位是56位。

9.属于公钥加密技术的加密算法有RSA 、DSA 。

10.分组密码每次处理一个输入元素分组，并为每个输入分组产生一个输出分组；流密码连续处理输入元素，在运行过程中，一次产生一个输出元素。

11.DES、AES和RC4同属于对称加密技术，不同的是DES和AES属于分组密码加密技术，而RC4属于流密码加密技术。12.RSA和DSS同属于非对称加密技术，其中，RSA 可用于加密/解密、数字签名和密钥交换，而DSS 只用于数字签名。

13.数据完整性验证中MAC的中文名称是消息认证码。

14.MD5是将任意长的信息浓缩成128 位的消息摘要。

15.SHA-1是将任意长的信息浓缩成160 位的消息摘要。

9. 身份认证包括身份识别和身份验证 2个过程；

17.Diffie-Hellman技术主要用于密钥交换。