网络安全技术与实践第二版课后答案

网络安全期末复习题型：1、选择、判断、简答（45%）2、分析题（55%）注：如有发现错误，希望能够提出来。第一章引言一、填空题1、信息安全的3个基本目标是：保密性、完整性和可用性。此外，还有一个不可忽视的目标是：合法使用。2、网络中存在的4种基本安全威胁有：信息泄漏、完整性破坏、拒绝服务和非法使用。3、访问控制策略可以划分为：强制性访问控制策略和自主性访问控制策略。4、安全性攻击可以划分为：被动攻击和主动攻击o5、X.800定义的5类安全服务是：认证、访问控制、数据保密性、数据完整性、不可否认性。6、X.800定义的8种特定的安全机制是：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制和公证。7、X.800定义的5种普遍的安全机制是：可信功能度、安全标志、事件检测、安全审计跟踪禾口安全恢复。二、思考题2、基本的安全威胁有哪些？主要的渗入类型威胁是什么？主要的植入类型威胁时什么？请列出几种最主要的威胁。答：基本的安全威胁有：信息泄露、完整性破坏、拒绝服务、非法使用。主要的渗入类型威胁有：假冒、旁路、授权侵犯。主要的植入威胁有：特洛伊木马、陷门最主要安全威胁：（1）授权侵犯（2）假冒攻击（3）旁路控制（4）特洛伊木马或陷阱（5）媒体废弃物（出现的频率有高到低）4.什么是安全策略？安全策略有几个不同的等级？答：安全策略：是指在某个安全区域内，施加给所有与安全相关活动的一套规则。安全策略的等级：1安全策略目标；2机构安全策略；3系统安全策略。6.主动攻击和被动攻击的区别是什么？请举例说明。答：区别：被动攻击时系统的操作和状态不会改变，因此被动攻击主要威胁信息的保密性。主动攻击则意在篡改或者伪造信息、也可以是改变系统的状态和操作，因此主动攻击主要威胁信息的完整性、可用性和真实性。主动攻击的例子：伪装攻击、重放攻击、消息篡改、拒绝服务。被动攻击的例子：消息泄漏、流量分析。9、请画出一个通用的网络安全模式，并说明每个功能实体的作用网络安全模式如下：Hi产皓妒…盘厲忡栽者、奩密鴿的分私）网络安全模型由六个功能实体组成：消息的发送方（信源）、消息的接收方（信宿）、安全变换、信息通道、可信的第三方和攻击者。第二章低层协议的安全性一、填空题1主机的IPv4的长度为32b，主机的MAC地址长度为48b。IPv6的地址长度为128b02、ARP的主要功能是将巴地址转换成为物理地址3、NAT的主要功能是实现网络地址和JP地址之间的转换，它解决了IPv4地址短缺的问题。4、DNS服务使用53号端口，它用来实现域名到IP地址或IP地址到域名的映射。二、思考题1、简述以太网上一次TCP会话所经历的步骤和涉及的协议。答：步骤：开放TCP连接是一个3步握手过程：在服务器收到初始的SYN数据包后，该连接处于半开放状态。此后，服务器返回自己的序号，并等待确认。最后，客户机发送第3个数据包使TCP连接开放，在客户机和服务器之间建立连接。协议:路由协议、Internet协议、TCP/IP协议2、在TCP连接建立的3步握手阶段，攻击者为什么可以成功实施SYNFlood攻击？在实际中，如何防范此类攻击？答：当TCP处于半开放状态时，攻击者可以成功利用SYNFlood对服务器发动攻击。攻击者使用第一个数据包对服务器进行大流量冲击，使服务器一直处于半开放连接状态，导致服务器无法实现3步握手协议。防范SYNFlood攻击，一类是通过防火墙、路由器等过滤网关防护；另一类是通过加固TCP/IP协议栈防范。4、为什么UDP比BGP的主要区别。答：由于UDP自身缺少流控制特性，所以采用UDP进行大流量的数据传输时，就可能造成堵塞主机或路由器，并导致大量的数据包丢失；UDP没有电路概念，所以发往给定端口的数据包都被发送给同一个进程，而忽略了源地址和源端口号；UDP没有交换握手信息和序号的过程，所以采用UDP欺骗要比使用TCP更容易。9、通过DNS劫持会对目标系统产生什么样的影响？如何避免？答：通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址。避免DNS劫持:暴露的主机不要采用基于名称的认证；不要把秘密的信息放在主机名中；进行数字签名14、判断下列情况是否可能存在？为什么？（1）通过ICMP数据包封装数据，与远程主机进行类似UDP的通信。（2）通过特意构造的TCP数据包，中断两台机器之间指定的一个TCP会话。答：（1）不存在。TCP/UDP是传输层（四层）的协议，只能为其上层提供服务，而ICMP是网络互联层（三层）的协议，怎么可能反过来用四层协议来为比它还低层的数据包来服务呢。（2）如果攻击者能够预测目标主机选择的起始序号，他就可能欺骗该目标主机，使目标主机相信自己正在与一台可信的主机会话。第4章单（私）钥加密体制一、填空题1、密码体制的语法定义由以下六部分构成：明文消息空间、密文消息空间、加密密钥空间、密钥生成算法、加密算法、解密算法。2、单（私）钥加密体制的特点是：通信双方采用的密钥相同所以人们通常也称其为对称加密体制。第9章数字证书与公钥基础设施一、选择题1.数字证书将用户与其B相联系。A.私钥B.公钥C.护照D.驾照2.用户的B不能出现在数字证书中。A.公钥B.私钥C.组织名D.人名3.A可以签发数字证书。A.CAB.政府C.小店主D.银行4.D标准定义数字证书结构。A.X.500B.TCP/IPC.ASN.1D.X.5095.RAA签发数字证书。A.可以B.不必C.必须D.不能6.CA使用D签名数字证书。二、思考题1、数字证书的典型内容什么？答：数字证书的概念：一个用户的身份与其所持有的公钥的结合，由一个可信任的权威机构CA来证实用户的身份，然后由该机构对该用户身份及对应公钥相结合的证书进行数字签名，以证明其证书的有效性。一般包括：(1)证书的版本信息；(2)证书的序列号，每个证书都有一个唯一的证书序列号；(3)证书所使用的签名算法；(4)证书的发型机构名称；(5)证书的有效期；(6)证书所有人名称；(7)证书所有人的公开密钥；（8）证书发行者对证书的签名;4、简述撤销数字证书的原因？答：（1）数字证书持有者报告该证书中指定公钥对应的私钥被破解（被盗）；（2）CA发现签发数字证书是出错；A.‘公钥B.自签名证书C.数字证书D.数8.CRL是C的。A.‘联机B.联机和脱机C.脱机D.未定义9.OCSP是A的。A.'联机B.联机和脱机C.脱机D.未定义10.最高权威的CA称为C。A.RCAB.RAC.SOAD.ARA0A.用户的公钥B.用户的私钥C.自己的公钥D.自己的私钥7.要解决信任问题，需使用C（3）证书持有者离职，而证书为其在职期间签发的。10、攻击者A创建了一个证书，放置一个真实的组织名（假设为银行B）及攻击者自己的公钥。你在不知道是攻击者在发送的情形下，得到了该证书，误认为该证书来自银行B。请问如何防止该问题的产生？答：第10章网络加密与密钥管理一、填空题1、网络加密方式有4种，它们分别是链路加密、节点加密、端到端加密和混合加密。2、在通信网的数据加密中，密钥可分为基本密钥、会话密钥、密钥加密密钥、主机主密钥。3、密钥分配的基本方法有利用安全信道实现密钥传输、利用双钥体制建立安全信道传递和利用特定的物理现象实现密钥传递等4、在网络中，可信第三方TTP的角色可以由密钥服务器、密钥管理设备、密钥查阅服务和时戳代理等来承担（请任意举出4个例子）5、按照协议的功能分类，密码协议可以分为认证建立协议、密钥建立协议、认证的密钥建立协议。6、Diffie-Hellman密钥交换协议不能抵抗中间人的攻击7、Kerberos提供AA.加密B.SSOC.远程登录D.本地登陆&在Kerberos中，允许用户访问不同应用程序或服务器的服务器称为AA.ASB.TGTC.TGSD.文件服务器9、在Kerberos中，C与系统中的每个用户共享唯-------个口令。A.ASB.TGTC.TGSD.文件服务器二、思考题1、网络加密有哪几种方式？请比较它们的优缺点。答：网络加密的方式有4种分别是链路加密、节点加密、端到端加密、混合加密。链路加密的优点：（1）加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密。（2）每个链路只需要一对密钥。（3）提供了信号流安全机制。缺点：数据在中间结点以明文形式出现，维护结点安全性的代价较高。节点加密的优点：（1）消息的加、解密在安全模块中进行，这使消息内容不会被泄密（2）加密对用户透明缺点：（1）某些信息（如报头和路由信息）必须以明文形式传输（2）因为所有节点都必须有密钥，密钥分发和管理变的困难端到端加密的优点：①对两个终端之间的整个通信线路进行加密②只需要2台加密机，1台在发端，1台在收端③从发端到收端的传输过程中，报文始终以密文存在④消息报头（源/目的地址）不能加密，以明文传送⑤只需要2台加密机，1台在发端，1台在收端⑥从发端到收端的传输过程中，报文始终以密文存在⑦比链路和节点加密更安全可靠，更容易设计和维护缺点：不能防止业务流分析攻击。混合加密的是链路和端到端混合加密组成。优点：从成本、灵活性和安全性来看，一般端到端加密方式较有吸引力。对于某些远程机构，链路加密可能更为合适。缺点信息的安全设计较复杂。4、密钥有哪些种类？它们各自的用途是什么？请简述它们之间的关系？答：种类：1、基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某种算法所构造的密钥产生器，产生用于加密数据的密钥流。2、会话密钥其用途是使人们可以不必繁琐的更换基本密钥，有利于密钥的安全和管理。3、密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密钥，也成为次主密钥、辅助密钥或密钥传送密钥。4、主机主密钥作用是对密钥加密密钥进行加密的密钥，存储于主机处理器中。5、双钥体制下的公开钥和秘密钥、签名密钥、证实密钥。关系如图：会话密钥ks卩基本密钥血.混合器“密钥产绸密钥加密4■7、密钥分配的基本模式有哪些？(a)点对点密钥分配：由A直接将密钥送给B，利用A与B的共享基本密钥加密实现。(b)密钥分配中心(KDC):A向KDC请求发送与B通信用的密钥，KDC生成k传给A,并通过A转递给B，利用A与KDC和B与KDC的共享密钥实现。(c)密钥传递中心(KTC):A与KTC,B与KTC有共享基本密钥11、在密码系统中，密钥是如何进行保护、存储和备份的？密钥的保护：将密钥按类型分成不同的等级。大量的数据通过少量的动态产生的初级密钥来保护。初级密钥用更少量的、相对不变的二级密钥或主密钥KM0来保护。二级密钥用主机主密钥KM1,KM2来保护。少量的主密钥以明文形式存储在专用的密码装置中，其余的密钥以密文形式存储在专用密码装置以外。这样，就把保护大量数据的问题简化为保护和使用少量数据的问题。密钥的存储：密钥在多数时间处于静态，因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存，也可化为部分进行保存。密钥的硬件存储；使用门限方案的密钥保存；公钥在公用媒体中存储。密钥的备份：交给安全人员放在安全的地方保管；采用共享密钥协议。第12章防火墙技术一、填空题1、防火墙应位于—一C_A、公司网络内部B、公司网络外部C、公司网络与外部网络D、都不对2、应用网关的安全性—B―包过滤防火墙。A、不如B、超过C、等于D、都不对3、防火墙可以分为静态包过滤、动态包过滤、电路级网关、应用级网关、状—态检查包过滤、切换代理和空气隙7种类型。4、静态包过滤防火墙工作于OSI模型的网络层上，他对数据包的某些特定域进行检查，这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号5、动态包过滤防火墙工作于OSI模型的网络层上，他对数据包的某些特定域进行检查，这些特定域包括数据源地址、目的地址、应用或协议、源端口号、目的端口号。6、电路级网关工作于OSI模型的会话层上，它检杳数据包中的数据分别为源地址、目的地址、应用或协议、源端口号