发布时间 : 星期四 文章网络安全技术与实践第二版课后答案更新完毕开始阅读
(5)证书的有效期; (6)证书所有人名称;
(7)证书所有人的公开密钥; (8)证书发行者对证书的签名;
4、简述撤销数字证书的原因?
答:(1) 数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);
(2) CA发现签发数字证书是出错;
(3) 证书持有者离职,而证书为其在职期间签发的。
10、攻击者A创建了一个证书,放置一个真实的组织名(假设为银行B)及攻击者自己的公钥。你在不知道是攻击者在发送的情形下,得到了该证书,误认为该证书来自银行B。请问如何防止该问题的产生? 答:
第10章 网络加密与密钥管理
一、填空题
1、网络加密方式有4种,它们分别是链路加密、节点加密、端到端加密和混合加密。
2、在通信网的数据加密中,密钥可分为基本密钥、会话密钥、密钥加密密钥、主机主密钥。
3、密钥分配的基本方法有利用安全信道实现密钥传输、利用双钥体制建立安全信道传递和利用特定的物理现象实现密钥传递等
4、在网络中,可信第三方TTP的角色可以由密钥服务器、密钥管理设备、密钥查阅服务和时戳代理 等来承担(请任意举出4个例子)
5、按照协议的功能分类,密码协议可以分为认证建立协议、密钥建立协议、认证的密钥建立协议。
6、Diffie-Hellman密钥交换协议不能抵抗中间人的攻击 7、Kerberos提供 A
A.加密 B.SSO C.远程登录 D.本地登陆
8、在Kerberos中,允许用户访问不同应用程序或服务器的服务器称为 A A.AS B.TGT C.TGS D.文件服务器
9、在Kerberos中, C 与系统中的每个用户共享唯一一个口令。 A.AS B.TGT C.TGS D.文件服务器
5
二、思考题
1、网络加密有哪几种方式?请比较它们的优缺点。
答:网络加密的方式有4种分别是链路加密、节点加密、端到端加密、混合加密。
链路加密的优点:(1) 加密对用户是透明的,通过链路发送的任何信 息在发送
前都先被加密。
(2) 每个链路只需要一对密钥。 (3) 提供了信号流安全机制。
缺点:数据在中间结点以明文形式出现,维护结点安全性的代价较
高。
节点加密的优点:(1)消息的加、解密在安全模块中进行,这使消息内容不会
被泄密
(2)加密对用户透明 缺点:(1)某些信息(如报头和路由信息)必须以明文形式传输
(2)因为所有节点都必须有密钥,密钥分发和管理变的困难
端到端加密的优点:①对两个终端之间的整个通信线路进行加密
②只需要2台加密机,1台在发端,1台在收端
③从发端到收端的传输过程中,报文始终以密文存在 ④消息报头(源/目的地址)不能加密,以明文传送 ⑤只需要2台加密机,1台在发端,1台在收端
⑥从发端到收端的传输过程中,报文始终以密文存在 ⑦比链路和节点加密更安全可靠,更容易设计和维护 缺点:不能防止业务流分析攻击。
混合加密的是链路和端到端混合加密组成。
优点:从成本、灵活性和安全性来看,一般端到端加密方式较有
吸引力。对于某些远程机构,链路加密可能更为合适。缺点信息的安全设计较复杂。
4、密钥有哪些种类?它们各自的用途是什么?请简述它们之间的关系?
答:种类:1、基本密钥或称初始密钥其用途是与会话密钥一起去启动和控制某
种算法所构造的密钥产生器,产生用于加密数据的密钥流。 2、会话密钥其用途是使人们可以不必繁琐的更换基本密钥,有利于密钥的安全和管理。 3、密钥加密密钥用途是用于对传送的会话或文件密钥进行加密时采用的密钥,也成为次主密钥、辅助密钥或密钥传送密钥。 4、主机主密钥作用是对密钥加密密钥进行加密的密钥,存储于主机处理器中。 5、双钥体制下的公开钥和秘密钥、签名密钥、证实密钥。关系如图:
6
7、密钥分配的基本模式有哪些?
(a)点对点密钥分配:由A直接将密钥送给B,利用A与B的共享基本密钥加密实现。
(b)密钥分配中心(KDC):A向KDC请求发送与B通信用的密钥,KDC生成k传给A,并通过A转递给B,利用A与KDC和B与KDC的共享密钥实现。
(c)密钥传递中心(KTC):A与KTC,B与KTC有共享基本密钥。
11、在密码系统中,密钥是如何进行保护、存储和备份的?
密钥的保护:将密钥按类型分成不同的等级。大量的数据通过少量的动态产生的初级密钥来保护。初级密钥用更少量的、相对不变的二级密钥或主密钥KM0来保护。二级密钥用主机主密钥KM1,KM2来保护。少量的主密钥以明文形式存储在专用的密码装置中,其余的密钥以密文形式存储在专用密码装置以外。这样,就把保护大量数据的问题简化为保护和使用少量数据的问题。
密钥的存储:密钥在多数时间处于静态,因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存,也可化为部分进行保存。密钥的硬件存储;使用门限方案的密钥保存 ;公钥在公用媒体中存储。
密钥的备份:交给安全人员放在安全的地方保管;采用共享密钥协议。
7
第12章 防火墙技术
一、填空题
1、防火墙应位于___C _ A、公司网络内部 B、公司网络外部 C、公司网络与外部网络 D、都不对 2、应用网关的安全性__ B __包过滤防火墙。
A、不如 B、超过 C、等于 D、都不对
3、防火墙可以分为静态包过滤、动态包过滤、电路级网关、应用级网关、状态检查包过滤、切换代理和空气隙7种类型。
4、静态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括:数据源地址、目的地址、应用或协议、源端口号、目的端口号。
5、动态包过滤防火墙工作于OSI模型的网络层上,他对数据包的某些特定域进行检查,这些特定域包括数据源地址、目的地址、应用或协议、源端口号、目的端口号。
6、电路级网关工作于OSI模型的会话层上,它检查数据包中的数据分别为源地址、目的地址、应用或协议、源端口号、目的端口号和握手信息及序列号。 7、应用级网关工作于OSI模型的应用层上,它可以对整个数据包进行检查,因此其安全性最高。
8、状态检测防火墙工作于OSI模型的网络层上,所以在理论上具有很高的安全性,但是现有的大多数状态检测防火墙只工作于网络层上,因此其安全性与包过滤防火墙相当。
9、切换代理在连接建立阶段工作于OSI模型的会话层上,当连接建立完成值后,再切换到动态包过滤模式,即工作于OSI模型的网络层上。
10、空气隙防火墙也称作安全网闸,它在外网和内网之间实现了真正的隔离。
二、思考题
1.防火墙一般有几个接口?什么是防火墙的非军事区(DMZ)?它的作用是什么?
答:防火墙一般有3个或3个以上的接口。网关所在的网络称为‘非军事区’(DZM)。网关的作用是提供中继服务,以补偿过滤器带来的影响。
2.为什么防火墙要具有NAT功能?在NAT中为什么要记录端口号?
答:使用NAT的防火墙具有另一个优点,它可以隐藏内部网络的拓扑结构,这在某种程度上提升了网络的安全性。在NAT中记录端口号是因为在实现端口地址转换功能时,两次NAT的数据包通过端口号加以区分。
9.应用级网关与电路级网关有何不同?简述应用级网关的优缺点。
8