计算机网络安全第二版期末复习重点.doc

1.1计算机网络安全的概念是什么？计算机网络安全网络安全有哪几个基本特征？各个特征的含义是什么？概念：网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，网络系统连续可靠正常地运行，网络服务不中断网络安全的属性（特征）（CIA三角形）性（Confidentiality ）保证信息与信息系统不被非授权的用户、实体或过程所获取与使用完整性（ Integrity ）信息在存贮或传输时不被修改、破坏，或不发生信息包丢失、乱序等可用性（Availability））信息与信息系统可被授权实体正常访问的特性，即授权实体当需要时能够存取所需信息可控性对信息的存储于传播具有完全的控制能力，可以控制信息的流向和行为方式真实性也就是可靠性，指信息的可用度，包括信息的完整性、准确性和发送人的实等方面，它也是信息安全性的基本要素1.2 OSI安全体系结构涉及哪几个方面？OSI安全体系结构主要关注：安全性攻击任何危及企业信息系统安全的活动安全机制用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程，或实现该过程的设备安全服务加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。

其目的在于利用一种或多种安全机制进行反攻击1.3OSI的安全服务和安全机制都有哪几项？安全机制和安全服务之间是什么关系？安全服务OSI安全体系结构定义了5大类共14个安全服务：1 鉴别服务 who鉴别服务与保证通信的真实性有关，提供对通信中对等实体和数据来源的鉴别1）对等实体鉴别：该服务在数据交换连接建立时提供，识别一个或多个连接实体的身份，证实参与数据交换的对等实体确实是所需的实体，防止假冒2）数据源鉴别：该服务对数据单元的来源提供确认，向接收方保证所接收到的数据单元来自所要求的源点它不能防止重播或修改数据单元2 访问控制服务包括身份认证和权限验证，用于防治未授权用户非法使用系统资源该服务可应用于对资源的各种访问类型(如通信资源的使用，信息资源的读、写和删除，进程资源的执行)或对资源的所有访问3 数据性服务为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供保护性是防止传输的数据遭到被动攻击包括：连接性无连接性选择字段不性信息流性4 数据完整性服务用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失带恢复的连接完整；不带恢复的连接完整；选择字段的连接完整；无连接完整；选择字段无连接完整5 不可(抗)否认服务用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

具有源点证明的不能否认；具有交付证明的不能否认为了实现安全服务，OSI安全体系结构还定义了安全机制特定安全机制 (8 在特定的协议层实现）加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制关系：服务机制加密数字签名访问控制教据完整性认证交换流量填充路由控制公证同等实体认证YYY数据源认证YY访问控制Y性YY流量性YYY数据完整性YYY不可否认性YYY可用性YY1.4简述网络安全策略的意义？它主要包括哪几个方面策略？意义：网络安全系统的灵魂与核心，是在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则集合网络安全策略的提出，是为了实现各种网络安全技术的有效集成，构建可靠的网络安全系统网络安全策略包含5方面策略物理安全策略访问控制策略防火墙控制信息加密策略网络安全管理策略2.2根据各自所基于的数学原理，分析公钥密码体制与对称密码体制的改进？公钥密码体制(n:1)--对称密码(1:1)在用户数目比较多时，传统对称密码体制密钥产生、存储和分发是很大问题公钥密码体制用户只需掌握解密密钥，而将加密密钥和加密函数公开改变了密钥分发方式，便利密钥管理。

不仅用于加解密，还广泛用于消息鉴别、数字签名和身份认证2.3与对称密码体制比较，公钥密码体制在应用中有哪些优点?公钥密码体制最大优点适应网络的开放性要求密码管理比对称密码简单，又满足新的应用要求通信各方都可以访问公钥，私钥在通信方本地产生，不必进行分配任何时刻都可以更改私钥，只要修改相应的公钥替代原来的公钥2.4有哪些常见的密码分析攻击方法，各自什么特点？惟密文攻击：仅知加密算法和密文，最易防已知明文攻击：知加密算法，待解密文，同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式，如标准化的文件头选择明文攻击：攻击者选择对其有利的明文，获取到了其相应的密文选择密文攻击：事先搜集一定数量的密文，获的对应的明文3.2什么是MAC？其实现的基本原理是什么？MAC是消息鉴别码，又称密码校验和其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块，即MAC，并附加到消息后面传输，接收方利用与发送方共享的密钥进行鉴别MAC提供消息完整性保护，可以在不安全的信道中传输，因为MAC的生成需要密钥3.3散列函数应该具有哪些安全特性？（1）单向性：对于任意给定的散列码h，寻找x使得H(x)=h在计算上不可行。

2）强对抗碰撞性：输入是任意长度的M；输出是固定长度的数值；给定h和M，h(M)容易计算；寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行3）弱对抗碰撞性：对于任意给定的分组M,寻找不等于M的M’，使得H(M’)=h(M)在计算上不可行3.4什么是数字签名？数字签名具有哪些特征？数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性，并保护数据，防止被人(如接收者)进行伪造数字签名的特征：（1）可验证性：信息接收方必须能够验证发送方的签名是否真实有效2）不可伪造性：除了签名人之外，任何人都不能伪造签名人的合法签名3）不可否认性：发送方发送签名消息后，无法抵赖发送行为；接收方在收到消息后，也无法否认接收行为4）数据完整性：发送方能够对消息的完整性进行校验，具有消息鉴别的作用4.1用户认证的主要方法有哪些？各自具有什么特点？基于口令的认证、基于智能卡的认证、基于生物特征的认证基于口令的认证最简单，最易实现，最容易理解和接受基于智能卡的认证的特点：双因子认证、带有安全存储空间、硬件实现加密算法、便于携带，安全可靠。

基于生物特征的认证不易遗忘或丢失；防伪性能好，不易伪造或被盗；“随身携带”，方便使用；但成本高，只适用于安全级别比较高的场所4.2简述X.509证书包含的信息版本号、序列号、签名算法标识、签发者、有效期、证书主体名、证书主体的公钥信息、签发者唯一标识、证书主体唯一标识、扩展、签名4.3一个完整的PKI应用系统包括那些组成部分？各自具有什么功能？一个完整的PKI应用系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征；数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥；密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失为避免这种情况，PKI提供备份与恢复密钥的机制但须注意，密钥的备份与恢复必须由可信的机构来完成并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份证书作废系统：证书作废处理系统是PKI的一个必备的组件与日常生活中的各种件一样,证书有效期以也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。

为实现这一点,PKI必须提供作废证书的一系列机制应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性4.4简述CA的基本职责1）制定并发布本地CA策略；（2）对下属各成员进行身份认证和鉴别；（3）发布本CA的证书，或者代替上级CA发布证书；（4）产生和管理下属成员的证书；（5）证实RA的证书申请，返回证书制作的确认信息，或返回已制作的证书；（6）接受和认证对所签发证书的撤销申请；（7）产生和发布所签发证书和CRL；（8）保存证书、CRL信息、审计信息和所制定的策略第五章 1. 简述针对主机的ARP欺骗的机制中间人C冒充B，响应A以虚假的IPB—MACC，扰乱A的ARP列表，A发给B的数据发给了C 2. IPsec中传输模式和隧道模式有何区别？ ESP在隧道模式中加密和认证（可选）整个部IP包，包括部IP报头AH在隧道模式中认证整个部IP包和外部IP头中的选中部分当IPsec被用于端到端的应用时，传输模式更合理一些。

在防火墙到防火墙或者主机到防火墙这类数据仅在两个终端节点之间的部分链路上受保护的应用中，通常采用隧道模式；而且，传输模式并不是必需的，因为隧道模式可以完全替代传输模式但是隧道模式下的IP数据包有两个IP头，处理开销相对较大3. AH协议和ESP协议各自提供哪些安全服务？ AH协议为IP数据包提供数据完整性校验和身份认证，还有可选择的抗重放攻击保护，但不提供数据加密服务；ESP协议为IP数据包提供数据完整性校验、身份认证和数据加密，以及可选择的抗重放攻击保护，即除AH提供的所有服务外，ESP还提供数据服务，服务包括报文容和流量限制第六章 1. 恶意代码生存技术主要包括哪几个方面？分别简述其原理1）反跟踪技术：反跟踪技术可以提高恶意代码的伪装能力和防破译能力，增加检测与清除的难度反动态跟踪：禁止跟踪中断、封锁键盘输入和屏幕显示、检测（调试器）跟踪法、其他反跟踪技术反静态跟踪：对恶意程序代码分块加密执行，伪指令法2）加密技术：加密技术是恶意代码自我保护的一种有效手段，通过与反跟踪技术相配合，可以使分析者无常调试和阅读恶意代码，不能掌握恶意代码的工作原理，也无法抽取恶意代码的特征串从加密容划分，加密手段分为信息加密、数据加密和程序代码加密三种。

3）模糊变换技术：恶意代码每次感染一个对象时，嵌入宿主的代码都不相同4）自动生产技术：计算机病毒生产器使得对计算机病毒一无所知的普通用户，也能组合出功能各异的计算机病毒 2. 蠕虫代码包括哪些模块分别具有什么功能？蠕虫代码的功能模块至少需要包含扫描模块、攻击模块和复制模块三个部分蠕虫的扫描功能模块负责探测网络中存在漏洞的主机攻击模块针对扫描到的目标主机的漏洞或缺陷，采取相应的技术攻击主机，直到获得主机的管理员权限，并获得一个shell攻击成功后，复制模块就负责将蠕虫代码自身复制并传输给目标主机第七章 1.列出并简要定义防火墙根据具体实现技术的分类1）从工作原理的角度看，防火墙技术主要可分为网络层防火墙技术和应用层防火墙技术2）根据防火墙。