发布时间 : 星期六 文章网络安全技术与实践第二版课后答案更新完毕开始阅读
11、ICMP泛洪攻击:黑客能够用ICMP对消息进行重定向。只要黑客能够篡改你到达目的地的正确路由,他就有可能攻破你的计算机。一般来说,重定向消息应该仅由主机执行,而不是由路由器来执行。仅当消息直接来自路由器时,才由路由器执行重定向。然而,有时网管员有可能使用ICMP创建通往目的地的新路由。这种非常不谨慎的行为最终会导致非常严重的网络安全问题。
12、TCP连接的三次握手过程:
用三次握手建立 TCP 连接,如图所示:A 的 TCP 向 B 发出连接请求报文段,其首部中的同步位 SYN = 1,并选择序号 seq = x,表明传送数据时的第一个数据字节的序号是 x。B 的 TCP 收到连接请求报文段后,如同意,则发回确认。 B 在确认报文段中应使 SYN = 1 ,使 ACK = 1 ,其确认号ack = x+1 ,自己选择的序号 seq = y。A 收到此报文段后向 B 给出确认,其 ACK = 1 ,确认号 ack == y+1 。 A 的TCP 通知上层应用进程,连接已经建立。B 的 TCP 收到主机 A 的确认后,也通知其上层应用进程:TCP 连接已经建立。
13、TCP SYN洪泛攻击:攻击者利用TCP连接的半开放状态发动攻击。攻击者使用第一个数据包对服务器进行大流量冲击,使服务器一直处于半开放连接状态,从而无法完成3步握手协议。
14、DHCP、DNS服务器功能:域名DHCP用来分配IP地址,并提供启动计算机(或唤醒一个新网络)的其他信息,它是BOOTP的扩展。域名系统DNS是一个分布式数据库系统,用来实现“域名—IP地址”,或“IP地址—域名”的影射。
15、网络地址转换NAT:NAT的主要作用是解决当前IPv4地址空间缺乏的问题。从概念上讲,NAT非常简单:它们监听使用了所谓专用地址空间的内部接口,并对外出的数据包重写其源地址和端口号。外出数据包的源地址使用了ISP为外部接口分配的Internet静态IP地址。对于返回的数据包,它们执行相反的操作。NAT存在的价值在于IPv4的短缺。协议的复杂性使NAT变得很不可靠。在这种情况下,我们在网络中必须使用真正意义的防火墙,并希望IPv6的应用尽快得到普及。
第二部分 密码学
16、密码体制构成的五个要素:明文空间M、密文空间C、密钥空间K、加密算法E、解密算法D。
17、双钥密码体制的基本概念及各自的密钥的功能和作用:基本概念是公钥密码技术又称非对称密码技术或双钥密码技术,其加密和解密数据使用不同的密钥。公开密钥
13
(public-key),可以被任何人知道,用于加密或验证签名。私钥( private-key),只能被消息的接收者或签名者知道,用于解密或签名。
18、数字签名的基本概念:收方能够确认或证实发方的签名,但不能伪造,简记为R1-条件;发方发出签名的消息给收方后,就不能再否认他所签发的消息,简记为S-条件;收方对已收到的签名消息不能否认,即有收报认证,简记为R2-条件;第三者可以确认收发双方之间的消息传送,但不能伪造这一过程,简记为T-条件。
第九章 公钥基础设施
19、PKI定义及主要任务
1)定义:PKI公钥基础设施,是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施。其目的是解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。
2)主要任务:确立可信任的数字身份。
20、PKI体系组成部分:证书机构、注册机构、证书发布库、密钥备份与恢复、证书撤销、PKI应用接口
21、CA系统功能:证书生成、证书颁布、证书撤销、证书更新、证书归档、CA自身管理、日志审计、密钥恢复。
22、RA系统功能:填写用户注册信息、提交用户注册信息、审核、发送生成证书申请、发放证书、登记黑名单、证书撤销列表管理、日志审计、自身安全保证.
23、证书发布库的作用:用于集中存放CA颁发证书和证书撤销列表;支持分布式存放,以提高查询效率;LDAP目录服务支持分布式存放,是大规模PKI系统成功实施的关键,也是创建高效的认证机构的关键技术 24、PKI提供的主要服务:认证服务、数据完整性服务、数据保密性服务、不可否认服务、、公证服务。
25、数字证书的典型内容:证书拥有者的姓名、证书拥有者的公钥、公钥的有限期、颁发数字证书的单位、颁发数字证书单位的数字签名、数字证书的序列号 26、SSL工作层次、协议构成及功能:(详见课件“PKI补充材料.PPT”) 1)工作层次:介于TCP/IP模型应用层与传输层之间 2)协议分成两部分:
SSL握手协议:通信双方互相验证身份、以及安全协商会话密钥 SSL记录协议:定义了传输的格式,对上层传来的数据加密后传输. 3)功能:
a鉴别机制:确保网站的合法性;b保护隐私:采用加密机制;c信息完整性:确保传输的信息不被篡改. 27、数字证书的验证方法
RA验证用户材料,以明确是否接受用户注册。 检查私钥的拥有证明(POP,Proof of possession)。 RA要求用户采用私钥对证书签名请求进行数字签名。
RA生成随机数挑战信息,用该用户公钥加密,并将加密后的挑战值发送给用户。若用
14
户能用其私钥解密,则验证通过。
RA将数字证书采用用户公钥加密后,发送给用户。用户需要用与公钥匹配的私钥解密 方可取得明文证书。
28、数字证书撤销的原因及方法
1)原因:a)数字证书持有者报告该证书中指定公钥对应的私钥被破解(被盗);b)CA发现签发数字证书时出错;c)证书持有者离职,而证书为其在职期间签发的。
2)方法:发生第一种情形需由证书持有者进行证书撤销申请;发生第二种情形时,CA启动证书撤销;发生第三种情形时需由组织提出证书撤销申请。 29、PMI的定义、PMI与PKI的关系
定义:权限管理基础设施或授权管理基础设施,是属性证书、属性权威、属性证书框架等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。
第十章 网络加密与密钥管理
30、网络加密方式及特点
1)链路加密:a )不同结点对之间的密码机和密钥不一定相同;b )在每个中间节点上,消息先解密,后加密;c )报文和报头可同时进行加密;d )在结点内部,消息以明文的方式存在;e )在链路加密中,密钥分配存在困难;f )随着结点增多,保密机的需求数量很大。
2)节点加密:a) 在中间节点先对消息进行解密,然后进行加密吧b)在通信链路上所 传输的消息为密文;c) 加密过程对用户是透明;d) 消息在节点以明文形式存在; e) 加解密过程在结点上的一个安全模块中进行;f) 要求报头和路由信息以明文 形式传送。 3)端到端加密:a )对两个终端之间的整个通信线路进行加密;b )只需要2台加密机,1台在发端,1台在收端;c )从发端到收端的传输过程中,报文始终以密文存在;d )消息报头(源/目的地址)不能加密,以明文传送;e ) 只需要2台加密机,1台在发端,1台在收端;f ) 从发端到收端的传输过程中,报文始终以密文存在;g ) 比链路和节点加密更安全可靠,更容易设计和维护。
15
4)混合加密: 链路加密+端到端加密 31、软件加密和硬件的特点:
1)硬件加密的特点:加密速度快、硬件安全性好、硬件易于安装。
2)软件加密的特点:速度慢、灵活、轻便、可安装于多种机器上、可将几个软件组合成一个系统.。
32、文件删除方法:真正从存储器中消除所存储的内容需用物理上的重复写入方法。 33、密钥管理的功能及目的:
A)密钥管理是处理密钥从产生到最终销毁的整个过程中的有关问题,包括系统的初始化及密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、撤销和销毁等内容。
B)目的:是维持系统中各实体之间的密钥关系,以抗击各种可能的威胁,如:1)密钥的泄露 2)密钥或公开钥的确证性的丧失,确证性包括共享或关于一个密钥的实体身份的知识或可证性。3)密钥或公开钥未经授权使用,如使用失效的密钥或违例使用密钥。 34、密钥的种类及各类密钥的有效期
1)基本密钥:是由用户选定或由系统分配给他的、可在较长时间)内由一对用户所专用的秘密钥。记为kp
2)会话密钥:两个通信终端用户在一次通话或交换数据时所用的密钥。记为ks
3)密钥加密密钥:用于对所传送的会话或文件密钥进行加密的密钥,也称次主密钥。记为ke
4)主机密钥:它是对密钥加密钥进行加密的密钥,存储于主机处理器中。记为km 5)数据加密密钥:也称为工作密钥。
6)在双钥体制下,有公钥和私钥、签名密钥和证实密钥之分 35、密钥的分级保护管理法:
如图所示,从图中可以清楚看出各类密钥的作用和相互关系。由此可见,大量数据可以通过少量动态产生的数据加密密钥(初级密钥)进行保护;而数据加密密钥又可由少量的、相对不变(使用期较长)的密钥(二级)或主机主密钥0来保护;其他主机主密钥(1 和 2)用来保护三级密钥。这样,只有极少数密钥以明文形式存储在有严密物理保护的主机密码器件中,其他密钥则以加密后的密文形式存于密码器之外的存储器中,因而大大简化了密钥管理,并改了密钥的安全性。
16