《2023年网络信息安全期末复习资料.doc》由会员分享,可在线阅读,更多相关《2023年网络信息安全期末复习资料.doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1、 IP欺骗的原理是什么?如何防范?IP地址欺骗是指行动产生的IP数据包伪造的源IP地址,以便冒充其他系统或保护发件人的身分。 欺骗也可以是指伪造或使用伪造的标题就以电子邮件或网络新闻-再次-保护发件人的身分和误导接受器或网络,以原产地和有效性发送数据。侵入过滤或包过滤传入的交通,从体制外的使用技术是一种有效方式,防IP地址欺骗,由于这种技术可以判断假如数据包是来自内部或外部的制度。 因此,出口过滤也可以阻止假冒IP地址的数据包从退出制度和发动袭击,对其他网络。欺骗袭击类型IP欺骗:公司使用其他计算机的IP地址来获得信息或者得到特权。电子信件欺骗:电子信件的发送方地址的欺骗。比如说,电子信件
2、看上去是来自TOM,但事实上TOM没有发信,是冒充TOM的人发的信。WEB欺骗:越来越多的电子上午使用互连网。为了运用网站做电子商务,人们不得不被鉴别并被授权来得到信任。在任何实体必须被信任的时候,欺骗的机会出现了。非技术类欺骗:这些类型的袭击是把经理集中在袭击袭击的人力因素上。它需要通过社会工程技术来实现。2、什么是包过滤防火墙?简述它的工作原理 包过滤防火墙也称分组过滤路由器,又叫网络层防火墙,由于它是工作在网络层。路由器便是一个网络层防火墙,由于包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过,有静态和动态两种过滤方式。 这种防火墙可以提
3、供内部信息以说明所通过的连接状态和一些数据流的内容,把判断的信息同规则表进行比较,在规则表中定义了各种规则来表白是否批准或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。假如没有一条规则能符合,防火墙就会使用默认规则(丢弃该包)。在制定数据包过滤规则时,一定要注意数据包是双向的。3、试比较分组密码与序列密码的不同之处? 序列密码是一种对明文中的单个位(有时对字节)运算的算法。分组密码是把明文信息分割成块结构,逐块予以加密和解密。块的长度由算法设计者预先拟定。4、公开密钥体制的重要特点是什么? 公开密钥密码体制是使用品有两个密钥的编码解码算法,加密和解密的能力是分开的;这
4、两个密钥一个保密,另一个公开。根据应用的需要,发送方可以使用接受方的公开密钥加密消息,或使用发送方的私有密钥署名消息,或两个都使用,以完毕某种类型的密码编码解码功能。5、什么叫入侵检测系统?入侵检测系统的工作原理是什么?入侵检测系统可以分为哪几类? 入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采用积极反映措施的网络安全设备. IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS,根据检测方法又可分为异常入侵检测和滥用入侵检测。根据检测对象的不同,入侵检测系统可分为主机型和网络型6、数字署名有什
5、么作用? 当通信双方发生了下列情况时,数字署名技术必须可以解决引发的争端:否认,发送方不认可自己发送过某一报文。 伪造,接受方自己伪造一份报文,并声称它来自发送方。 冒充,网络上的某个用户冒充另一个用户接受或发送报文。 篡改,接受方对收到的信息进行篡改。7、什么是数字证书?现有的数字证书由谁颁发,遵循什么标准,有什么特点?数字证书是一个经证书认证中心(CA)数字署名的包含公开密钥拥有者信息以及公开密钥的文献。认证中心(CA)作为权威的、可信赖的、公正的第三方机构,专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已
6、被广为接受。X.509证书已应用于许多网络安全,其中涉及IPSec(IP安全)、SSL、SET、S/MIME。8、简述IPSec的两种运营模式的性质和不同? 在隧道模式下,整个原数据包被当作有效载荷封装了起来,外面附上新的IP报头。其中内部IP报头(原IP报头)指定最终的信源和信宿地址,而外部IP报头(新IP报头)中包含的经常是做中间解决的安全网关地址。在隧道模式中,原IP地址被当作有效载荷的一部分受到IPSec的安全保护,此外,通过对数据加密,还可以将数据包目的地址隐藏起来,这样更有助于保护端对端隧道通信中数据的安全性。ESP隧道模式中署名部分(完整性检查和认证部分)和加密部分分别如图所示。
7、ESP的署名不涉及新IP头图5 ESP隧道模式 下图标示出了AH隧道模式中的署名部分。AH隧道模式为整个数据包提供完整性检查和认证,认证功能优于ESP。但在隧道技术中,AH协议很少单独实现,通常与ESP协议组合使用。图6 AH隧道模式 9、防火墙有哪些局限性? (1) 网络上有些袭击可以绕过防火墙(如拨号)。(2) 防火墙不能防范来自内部网络的袭击。(3) 防火墙不能对被病毒感染的程序和文献的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时,防火墙的作用会受到很大的限制。(6) 防火墙对用户不完全透明,也许带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能
8、防止数据驱动式袭击。有些表面无害的数据通过电子邮件或其他方式发送到主机上,一旦被执行就形成袭击(附件)。代理服务器有什么优缺陷? 代理服务技术的优点是:隐蔽内部网络拓扑信息;网关理解应用协议,可以实行更细粒度的访问控制;较强的数据流监控和报告功能。(主机认证和用户认证)缺陷是:对每一类应用都需要一个专门的代理,灵活性不够;每一种网络应用服务的安全问题各不相同,分析困难,因此实现困难。速度慢。什么是堡垒主机,它有什么功能? 堡垒主机(Bastion Host) 的硬件是一台普通的主机(其操作系统规定可靠性好、可配置性好),它使用软件配置应用网关程序,从而具有强大而完备的功能。它是内部网络和Int
9、ernet之间的通信桥梁,它中继(不允许转发)所有的网络通信服务,并具有认证、访问控制、日记记录、审计监控等功能。它作为内部网络上外界惟一可以访问的点,在整个防火墙系统中起着重要的作用,是整个系统的关键点。解释VPN的基本概念。 VPN(Virtual Private Network):虚拟专用网络,是一门网络新技术,为我们提供了一种通过公用网络安全地对公司内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的,如:Internet或I
10、ntranet。什么是第二层隧道协议和第三层隧道协议,两者有什么不同? 隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等
11、。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,拟定服务所使用密钥等服务,从而在IP层提供安全保障。 VPN有哪三种类型?它们的特点和应用场合分别是什么?VPN 有三种类型:(1)Access VPN (远程访问VPN)。适合用于公司内部人员流动频繁或远程办公的情况;(2)intranet VPN(公司内部VPN),用于进行公司内部异地分支机构的互联;(3)extranet VPN(公司扩展VPN),用于公司希望将客户、供应商、合作伙伴或爱好群体连接到内部网。什么是IDS,它有哪些基本功能? IDS是英文“Intrusion Detec
12、tion Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运营状况进行监视,尽也许发现各种袭击企图、袭击行为或者袭击结果,以保证网络系统资源的机密性、完整性和可用性。初期的IDS仅仅是一个监听系统,在这里,你可以把监听理解成窃听的意思。基于目前局网的工作方式,IDS可以将用户对位于与IDS同一互换机/HuB的服务器的访问、操作所有记录下来以供分析使用,跟我们常用的widnows操作系统的事件查看器类似。再后来,由于IDS的记录太多了,所以新一代的IDS提供了将记录的数据进行分析,仅仅列出有危险的一部分记录,这一点上跟目前windo
13、ws所用的策略审核上很象;目前新一代的IDS,更是增长了分析应用层数据的功能,使得其能力大大增长;而更新一代的IDS,配合上防火墙进行联动,将IDS分析出有敌意的地址阻止其访问。重要有哪些网络安全服务? 安全评估服务;安全优化服务;自动入侵监控服务什么是对称密码算法?什么是非对称密码算法?两者各有什么优缺陷? 对称密码算法是指加密解密用同一组密钥的算法;非对称密码算法指加密解密用不同密钥的算法;概括的来说:对称密码就是加密与解密用同样的密钥,它的速度快;非对称密码,加密用的与解密用的密钥不相同,比如A,B是一对密钥,加密用A那解密就要用B, ,它的速度慢; 对称加密算法:对称加密算法是应用较早
14、的加密算法,技术成熟。在对称加密算法中,数据发信方将明文(原始数据)和加密密钥一起通过特殊加密算法解决后,使其变成复杂的加密密文发送出去。收信方收到密文后,若想解读原文,则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密,才干使其恢复成可读明文。在对称加密算法中,使用的密钥只有一个,发收信双方都使用这个密钥对数据进行加密和解密,这就规定解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。局限性之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其别人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成
15、几何级数增长,密钥管理成为用户的承担。对称加密算法在分布式网络系统上使用较为困难,重要是由于密钥管理困难,使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙公钥和私钥。在使用不对称加密算法加密文献时,只有使用匹配的一对公钥和私钥,才干完毕对明文的加密和解密过程。加密明文时采用公钥加密,解密密文时使用私钥才干完毕,并且发信方(加密者)知道收信方的公钥,只有收信方(解密者)才是唯一知道自己私钥的人。不对称加密算法的基本原理是,假如发信方想发送只有收信方才干解读的加密信息,发信方必须一方面知道收信方
16、的公钥,然后运用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才干解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保存私钥。由于不对称算法拥有两个密钥,因而特别合用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。简述RSA和DES算法的工作原理 DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其
17、中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,其算法重要分为两步:1初始置换其功能是把输入的64位数据块按位重新组合,并把输出分为L0、R0两部分,每部分各长3 2位,其置换规则为将输入的第58位换到第一位,第50位换到第2位依此类推,最后一位是本来的第7位。L0、R0则是换位输出后的两部分,L0是输出的左32位,R0是右32位,例:设立换前的输入值为D1D2D3D64,则通过初始置换后的结果为:L0=D58
18、D50D8;R0=D57D49D7。2逆置换通过16次迭代运算后,得到L16、R16,将此作为输入,进行逆置换,逆置换正好是初始置换的逆运算,由此即得到密文输出。这种算法1978年就出现了,它是第一个既能用于数据加密也能用于数字署名的算法。它易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。 RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数( 大于 100个十进制位)的函数。据猜测,从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。哈希函数的特点: 哈希函
19、数有如下特点:输入数字串与输出数字串具有唯一的相应关系;输入数字串中任何变化会导致输出数字串也发生变化;从输出数字串不可以反求出输入数字串。哈希函数算法有多种,它受到广泛的应用,在信息安全领域,它是实现数字署名和认证的重要工具 HASH函数必须具有两个基本特性:单向性 和 碰撞约束。单向性是指其的操作方向的不可逆性,在HASH函数中是指 只能从输入推导出输出,而不能从输出计算出输入;碰撞约束是指 不能找到一个输入使其输出结果等于一个已知的输出结果 或者 不能同时找到两个不同的输入使其输出结果完全一致。一个函数只用同时严格的具有了这样的特性,我们才干认可这样的一个HASH。1密钥管理的重要内容涉
20、及密钥的 生成、分派、使用、存储、备份、恢复和销毁。2. 密钥生成形式有两种:一种是由 中心集中 生成,另一种是由 个人分散 生成。密钥的分派是指产生并使使用者获得 密钥 的过程。密钥分派中心的英文缩写是 KDC 。考试题型和例题:一、单项选择题(从下列各题四个或多个备选答案中选出一个对的答案,并将其代号写在各题的划线处。答案选错或未选者,该题不得分。每小题2分,共20分。)1.信息安全的发展大体经历了三个发展阶段,目前是处在 阶段。A.通信安全 B.信息保障 C.计算机安全 D.网络安全2.若 Bob 给 Alice 发送一封邮件,并想让 Alice 确信邮件是由 Bob 发出的,则 Bob
21、 应当选用 对邮件加密。A.Alice 的公钥 B.Alice 的私钥 C.Bob 的公钥 D.Bob 的私钥3.在 RSA 算法中,取 p=3,q=11,e=3,则 d 等于 。A.33 B.20 C.14 D.7 4.以下各种算法中属于双钥制算法的是 。A.DES B.Caesar C.Vigenere D.Diffie-Hellman5.关于摘要函数,叙述不对的的是 。 A.输入任意大小的消息,输出是一个长度固定的摘要 B.输入消息中的任何变动都会对输出摘要产生影响 C.输入消息中的任何变动都不会对输出摘要产生影响 D.可以防止消息被篡改 二、填空题(根据题意,将各题的对的答案填写在各题
22、的划线处。每空1分,共15分。) 1. _可以解决通信双方自身发生的袭击。3.三种常用的防火墙涉及_、 与电路层网关。3.分组密码的工作模式涉及 、 _、密文反馈、输出反馈和计数器,一个加密密钥的安全传输使用 工作模式。5.代换技术又分单表代换与多表代换,Vigenere属于_ _。三、判断题(判断以下论述的正误,认为对的的就在小题前面的括号内划“”,错误的划“”,判断对的方可得分。每小题1分,共10分。)( )1.网络安全应具有以下四个方面的特性:保密性,完整性,可用性,可查性。 ( )2.拒绝服务袭击属于被动袭击的一种。 ( )3.公开密钥密码体制比对称密钥密码体制更为安全。 ( )4.P
23、GP中允话用户拥有多个公钥私钥对。四、名词解释(每小题3分,共15分。)1.不可否认性:2.中间人袭击:五、简答题(回答要点,并简明扼要作解释。共30分。)1.什么是会话密钥与主密钥?两者的区别是什么?(5分) 2.简要说明四种公钥分派方法。(8分)3.简要说明用来产生消息认证符的函数类型。(6分)六、计算与分析题(计算题规定写出重要计算环节及结果。每小题10分,共10分。)1.在某网络上,每一个结点都分派了一个唯一的密钥K,用这个密钥来保证结点和可信任服务器之间的通信安全,即服务器上也存储了所有用户的密钥。用户A要想发送密文M给用户B,使用以下协议:(1) A服务器:A|B|E(Ka,R)
24、(2)服务器A: E(Kb,R) (3) AB:E(Kb,R) | E(R,M)(4)B解密E(Kb,R)得到R,然后用R解密得到消息M其中A,B 为通信双方的名字,R为A产生的一个随机数,Ka为结点A的唯一密钥。请描述该协议的含义和过程,该协议安全吗?需要改善吗?2.解决密钥分派问题的一个办法是使用收发双方都有的一本书中的某行文字作为密钥。如给定下列消息:SIDKL ABKDM,这段密文是用沉默的背后一书的第一句话和单表代换方法产生的,这句话是:The snow lay thick on the steps and the snowflakes driven by the wind looked black in the headlight of the cars.【1】加密算法是什么样的?【2】它的安全性怎么样?【3】为了使密钥分派问题简朴化,通信双方都批准使用一本书的第一句话或最后一句话作为密钥。要想改变密钥,只需更换一本书就行了。使用第一句话比使用最后一句话要好,为什么?