第2章网络安全技术基础学习资料
网络安全复习资料.doc
网络安全复习资料
第1-2章
1、计算机网络定义(P1)
答:凡将地理位置不同的具有独立功能的计算机系统通过学习设备和通信线路连接起来,在网络软件支持下进行数据通信,资源共享和协同工作的系统。
2、网络安全的五个属性(P2)
答:1、可用性。可用性是指得到授权的尸体在需要时可以使用所需要的网络资源和服务。
2、机密性。机密性是指网络中的信息不被非授权实体(包括用户和进程等)获取与使用。
3、完整性。完整性是指网络真实可信性,即网络中的信息不会被偶然或者蓄意地进行删除、修改、伪造、插入等破坏,保证授权用户得到的信息是真实的。
4、可靠性。可靠性是指系统在规定的条件下和规定的时间内,完成规定功能的概率。
5、不可抵赖性。不可抵赖性也称为不可否认性。是指通信的双方在通信过程中,对于自己所发送或接受的消息不可抵赖。
3、网络安全威胁定义(P2)
答:所谓网络安全威胁是指某个实体(人、时间、程序等)对某一网络资源的机密性、完整性、可用性及可靠性等可能造成的危害。
4、哪种威胁是被动威胁(P3)
答:被动威胁只对信息进行监听,而不对其修改和破坏。
5、安全威胁的主要表现形式(P4)
答:授权侵犯:为某一特定目标的被授权使用某个系统的人,将该系统用作其他未授权的目的。
旁路控制:攻击者发掘系统的缺陷或占全弱点,从而渗入系统。
拒绝服务:合法访问被无条件拒绝和推迟。
窃听:在监视通信的过程中获得信息。
电磁泄露:信息泄露给未授权实体。
完整性破坏:对数据的未授权创建、修改或破坏造成数据一致性损害。
假冒:一个实体假装成另外一个实体。
物理入侵:入侵者绕过物理控制而获得对系统的访问权。
网络信息安全基础第二章习题答案
网络信息安全基础第二章习题答案
第2 章
1 为什么密码的安全性应该基于密钥的保密,而不能基于算法细节的保密?
如果密码的安全性是基于保持算法的秘密,这种密码算法就称为受限制的算法。受限制的算法在历史上起过作用,但按现代密码学的标准,它们的安全性已远远不够。这是因为保密的算法只在一个很小的范围内设计和研究,少数人的智慧总是有限的。算法的步骤和细节与密钥空间比总是非常有限的。只有那些公开的、经过多年让众多的学者和黑客去研究仍不能被破解的算法才是真正安全的。安全的加密体制中,密钥空间总是很大,相对于对算法细节保密,对密钥保密更安全。
2 密码的安全准则是什么?
密码的安全性应该基于密钥的保密,而不是基于算法细节的保密。
3 什么是雪崩准则?
雪崩准则就是要求算法具有良好的雪崩效应,输入当中的一个比特发生变化都应当使输
网络安全实用技术复习资料
选择题部分:
第一章:
(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。A.保密性
(2)网络安全的实质和关键是保护网络的安全。 C.信息
(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。 D.网络的系统安全
(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。C.可用性
(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备与资源进行非正常使用属于。B.非授权访问
(6)计算机网络安全是一门涉与计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。A.信息安全学科
(7)实体安全包括。B.环境安全、设备安全和媒体安全
(8)在网络安全中,常用的关键技术可以归纳为三大类。D.预防保护、检测跟踪、响应恢复
第二章:
(1)加密安全机制提供了数据的.保密性和完整性
(2).协议是之间实现加密传输协议。A.传输层和应用层
(3)实际应用时一般利用加密技术进行密钥的协商和交换.利用加密技术进行用户数据的加密。B.非对称对称
(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。 B.数据保密性服务
(5)传输层由于可以提供真正的端到端链接,因此最适宜提供
安全服务。D.数据保密性与以上各项
(6)的实现技术包括。D.身份认证与以上技术
第三章:
(1)网络安全保障包括信息安全策略和。D.上述三点
物联网安全技术 第2章 物联网安全基础
由于物联网中的终端设备大多处于无人值守的环境中, 且终端节点数量巨大,感知节点具有组群化、低移动性等特 点,物联网应用对运营商的通信网络提出了更高的要求。由 于物联网具有区别于传统通信网络的不同特点,物联网不仅 面临现有的移动网络中所具有的网络威胁,还将面临与其网 络特点相关的特殊安全威胁。
(4)伪造。无线传感网络内部的恶意节点可能伪造虚假 的路由信息,并把这些信息插入到正常的协议分组中,对网 络造成的破坏。
3.数据一致性威胁 由于感知网络中的数据发送通常是通过广播、多播等方 式发送的,这将导致同一份数据可能通过不同的路径传输时 产生多个副本;此外,由于感知节点的数据处理需要和功能 限制,很可能无法对数据进行完整性保护,那么在其中某个 副本数据产生错误时,数据接收节点将无法判断数据是否可 靠有效。而当数据汇聚节点在处理来自同一份数据的不同副 本时,则无法判断数据的真伪。 4.手动恶意攻击威胁 由于感知节点功能简单,安全能力差,发送方式为广播 和多播,且缺乏中心控制点,那么攻击者可以在控制某个感 知节点的基础上利用这种方式扩散和传播蠕虫病毒等恶意代 码,在较短的时间内将恶意代码扩散到整个感知网络中。而 且,由于缺乏中心控制点的控制管理能力,使得无法有效地 查找到攻击的发起地点。
第二章 物联网安全基础
网络信息安全-第2章 网络信息安全基础(1)
TCP/IP与OSI对应
TCP/IP协议栈主流协议
北京邮电大学信息安全中心
TCP/IP数据封装
北京邮电大学信息安全中心
TCP/IP数据封装
Application Layer:User Data
Data
TCP Header
TCP or UDP or ICMP Layer
UDP Header
ICMP Header
❖ 很多厂商生产的适配器上就仅装有 MAC 协议而没有 LLC 协议。
数据链路层-以太网协议
❖CSMA/CD 协议 (载波监听多点接入/碰撞检测)
❖ CSMA/CD 表示 Carrier Sense Multiple Access with Collision Detection。
❖ 1、“多点接入”表示许多计算机以多点接入的方 式连接在一根总线上。
▪ 提高了系统的可靠性、可用性和生存性。
数据链路层-以太网协议
❖ 局域网的拓扑
集线器
星形网
总线网
匹配电阻
干线耦合器
环形网
树形网
数据链路层-以太网协议
❖ 局域网具有的一些主要优点:
1、DIX Ethernet V2 是世界上第一个局域网产品 (以太网)的规约。
2、IEEE 的 802.3 标准。 ❖ DIX Ethernet V2 标准与 IEEE 的 802.3 标准
第2章网络安全技术基础
第2章网络安全技术基础
1. 选择题
(1)SSL协议是()之间实现加密传输的协议。
A.物理层和网络层
B.网络层和系统层
C.传输层和应用层
D.物理层和数据层
(2)加密安全机制提供了数据的()。
A.可靠性和安全性
B.保密性和可控性
C.完整性和安全性
D.保密性和完整性
(3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。
A.物理层
B.网络层
C. 传输层
D.应用层
(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。
A.认证服务
B.数据保密性服务
C.数据完整性服务
D.访问控制服务
(5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。
A.数据保密性
B.数据完整性
C.访问控制服务
D.认证服务
解答:(1)C (2)D (3)D (4)B (5)B
2. 填空题
(1)应用层安全分解成、、的安全,利用各种协议运行和管理。
解答:(1)网络层、操作系统、数据库、TCP/IP
(2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。
(2)保密性、可靠性、SSL 记录协议、SSL握手协议
(3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。
物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
(4)ISO对OSI规定了、、、、五种级别的安全服务。
对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)一个VPN连接由、和三部分组成。一个高效、成功的VPN具有、、、四个特点。
客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性
网络信息安全基础课件(第二章)
整理ppt
19
2.2.2 数据加密算法(续1)
1. DES加密算法 2. RSA算法 3. Ralph Merkle猜谜法 4. Diffie-Hellman指数密钥交换加密算法 5. Merkle-Hellman背包算法
整理ppt
20
2.3 加密技术的发展
2.3.1 密码专用芯片集成 2.3.2 量子加密技术的研究
整理ppt
22
2.3.2 量子加密技术的研究
量子技术在密码学上的应用分为两类: 一,是利用量子计算机对传统密码体制的分析; 二,是利用单光子的测不准原理在光纤一级实现 密钥管理和信息加密,即量子密码学。量子计算 机是一种传统意义上的超大规模并行计算系统, 利用量子计算机可以在几秒钟内分解RSA129的公 钥。
• 模拟型密码 • 数字型密码
5,按编制原理划分
可分为移位、代替和置换三种以及它们的组合形式。
整理ppt
15
2.2 数据加密
2.2.1 数据加密技术 2.2.2 数据加密算法
整理ppt
16
数据加密过程就是通过加密系统把原始的数字信 息(明文),按照加密算法变换成与明文完全不同的数字
信息(密文)的过程,如图所示。
整理ppt
10
2.1.3 数据安全的组成(续1)
数据传输安全则类似于信道编码学中的信道 编码,数据量通常大于原始数据,这样才能为数 据传输过程中的数据安全性、完整性和不可篡改 性提供必要的冗余数据。
网络安全基础第三版课后完整答案
网络安全基础第三版课后完整答案
加油计算机网络安全
第一章:
1、什么是OSI安全体系结构?
安全攻击安全机制安全服务
2、被动和主动安全威胁之间有什么不同?
被动攻击的本质是窃听或监视数据传输;主动攻击包含数据流的改写和错误数据流的添加
3列出并简要定义被动和主动安全攻击的分类?
被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务
4、列出并简要定义安全服务的分类?
认证,访问控制,数据机密性,数据完成性,不可抵赖性
5、列出并简要定义安全机制的分类?
加密,数字签名,访问控制,数据完整性,可信功能,安全标签,事件检测,安全审计跟踪,认证交换,流量填充,路由控制,公证,安全恢复。
第二章:
1、对称密码的基本因素是什么?
明文,加密算法,秘密密钥,密文,解密算法
2、加密算法使用的两个基本功能是什么?
替换和转换
3、两个人通过对称密码通信需要多少个密钥?
1个
4、分组密码和流密码的区别是什么?
流密码是一个比特一个比特的加密,分组密码是若干比特(定长)同时加密。比如des是64比特的明文一次性加密成密文。
密码分析方面有很多不同。比如流密码中,比特流的很多统计特性影响到算法的安全性。
密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现,也方便在计算机上软件实现。
5、攻击密码的两个通用方法是什么?
密钥搜索和夯举方法
6、什么是三重加密?
在这种方式里,使用三个不同的密钥对数据块进行三次加密,三重DES 的强度大约和112-bit的密钥强度相当。三重DES有四种模型。
(a)使用三个不同密钥,顺序进行三次加密变换
网络安全技术 习题及答案 第2章 网络攻击与防范
第2章网络攻击与防范
练习题
1。单项选择题
(1)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了( C )。
A.机密性B.完整性
C.可用性D.可控性
(2)有意避开系统访问控制机制,对网络设备及资源进行非正常使用属于( B ).
A.破环数据完整性B.非授权访问
C.信息泄漏D.拒绝服务攻击(3)( A )利用以太网的特点,将设备网卡设置为“混杂模式”,从而能够接受到整个以太网内的网络数据信息。
A.嗅探程序B.木马程序
C.拒绝服务攻击D.缓冲区溢出攻击(4)字典攻击被用于( D )。
A.用户欺骗B.远程登录
C.网络嗅探D.破解密码
(5)ARP属于( A )协议.
A.网络层B.数据链路层
C.传输层D.以上都不是
(6)使用FTP协议进行文件下载时( A ).
A.包括用户名和口令在内,所有传输的数据都不会被自动加密
B.包括用户名和口令在内,所有传输的数据都会被自动加密
C.用户名和口令是加密传输的,而其它数据则以文明方式传输
D.用户名和口令是不加密传输的,其它数据则以加密传输的
(7)在下面4种病毒中,( C )可以远程控制网络中的计算机.
A.worm.Sasser。f B.Win32。CIH
C.Trojan。qq3344 D.Macro。Melissa
2. 填空题
(1)在以太网中,所有的通信都是____广播____________的。
(2)网卡一般有4种接收模式:单播、_____组播___________、_______广播_________、______混杂__________。
网络安全 教案 第2章_
2.1.2 常用网络服务
3.E-mail 简单邮件传输协议SMTP,占用25端口, 用于发送邮件; 邮局协议POP,占用110端口,用来接收 邮件 安全方面的缺陷 明码传输 邮件病毒和垃圾邮件
20
2.1.2 常用网络服务
4.WWW
HTTP协议,默认端口为80 ; Windows下一般使用IIS作为Web服务器 ;
源IP地址: 目的IP地址:
可选项:
9
2.1.1 常用网络协议
10
TCP:传输控制协议 IP协议只保证计算机能发送和接收分组 资料,而TCP协议则可提供一个可靠的、可 流控的、全双工的信息流传输服务。 传输控制协议TCP协议利用重发技术和 拥塞控制机制,向应用程序提供可靠的通信 连接,使它能够自动适应网上的各种变化。 即使在 Internet 暂时出现堵塞的情况下, TCP也能够保证通信的可靠。
50
2.3.6 nbtstat
显示另一台计算机的物理地址和名字列表
51
2.3.7 ftp
52
2.3.7 ftp
ftp服务器上的文件列表
53
2.3.8 telnet
远程登录命令 方法一:telnet 主机名(IP) 方法二:首先键入telnet,按回车;然后 在提示符下键入open IP,这时就出现了 登陆窗口,让用户输入合法的用户名和密 码
网络安全期末备考必备——填空题 打印
第1章网络安全概论
(1) 计算机网络安全是一门涉及、、、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。
答案: 计算机科学、网络技术、信息安全技术
(2) 网络安全的 5 大要素和技术特征,分别是 ______、______、______、______、______。
答案: 机密性、完整性、可用性、可控性、不可否认性
(3) 计算机网络安全所涉及的内容包括是、、、、
等五个方面。
答案: 实体安全、运行安全、系统安全、应用安全、管理安全
(4) 网络信息安全保障包括、、和四个方面。
(5) 网络安全关键技术分为、、、、、、和
八大类。
(6) 网络安全技术的发展具有、、、的特点。
(7) TCSEC是可信计算系统评价准则的缩写,又称网络安全橙皮书,将安全分为、、和文档四个方面。
(8)通过对计算机网络系统进行全面、充分、有效的安全评测,能够快速查出、、。
答案:
(4) 信息安全策略、信息安全管理、信息安全运作和信息安全技术
(5) 身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备
份恢复
(6) 多维主动、综合性、智能化、全方位防御
(7) 安全政策、可说明性、安全保障
(8) 网络安全隐患、安全漏洞、网络系统的抗攻击能力
第2章网络安全技术基础
2. 填空题
(1)应用层安全分解成、、的安全,利用各
种协议运行和管理。
解答:(1)网络层、操作系统、数据库、TCP/IP
(2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性
和性,由和两层组成。
解答:(2)保密性、可靠性、SSL 记录协议、SSL握手协议
网络安全技术与实训第2章-网络攻击与防范
(2)netstat命令
它可以显示当前正在活动的网络连接 的详细信息,如采用的协议类型、当前主 机与远端相连主机(一个或多个)的IP地 址以及它们之间的连接状态等。
netstat命令的使用格式: netstat [-a] [-e] [-n] [-s] [-p proto] [-r] [interval]
第2章 网络攻击与防范
2.1
黑客概述
2.2
常见的网络攻击
2.3
攻击步骤 网络攻击的实施 留后门与清痕迹的防范方法
2.4
2.5
2.1 黑 客 概 述
2.1.1 黑客的由来
研究计算机程序并以此增长自身技 巧的人。 对编程有无穷兴趣和热忱的人。
能快速编程的人。 某专门系统的专家,如“UNIX系统 黑客”。 恶意闯入他人计算机或系统,意图 盗取敏感信息的人。
参数说明: -a 显示所有主机的端口号; -e 显示以太网统计信息,该 参数可以与-s选项结合使用;
-n 和端口; -p proto 用信息; -r
以数字表格形式显示地址
显示特定的协议的具体使 显示本机路由表的内容;
-s 显示每个协议的使用状态 (包括TCP、UDP、IP); interval 重新显示所选的状态,每 次显示之间的间隔数(单位秒);
-RR 重新释放并刷新通过WINS注册 的本地计算机的NetBIOS名称; -s 显示NetBIOS客户和服务器 会话,并试图将目标IP地址转化为名称; -S 显示NetBIOS客户和服务器 会话,只通过IP地址列出远程计算机;
网络安全第2章黑客与攻击技术
一个ACK的返回信息表示端口处于侦听状 态;一个RST返回,表示端口没有处于侦 听态。
(2)TCP SYN扫描
正常过程
客户端
服务器端
Fra Baidu bibliotek
SYN SYN/ACK
ACK
半开连接
客户端
服务器端
SYN SYN/ACK SYN/ACK
(3)网络监听。使用监听工具对网络数据包 进行监听,以获得口令等敏感信息。
3.欺骗型攻击
通常利用实体之间的信任关系而进行的一种 攻击方式,主要形式有:
(1)IP欺骗。使用其它主机的IP地址来获得 信息或者得到特权。
(2)Web欺骗。通过主机间的信任关系,以 Web形式实施的一种欺骗行为。
(3)邮件欺骗。用冒充的Email地址进行欺 骗。
从早期的以军事敌对为目标向民用目标转变,民用 计算机受到越来越多的攻击,公司甚至个人的电脑 都成为了攻击目标。
更多的职业化黑客的出现,使网络攻击更加有目的 性。
黑客们已经不再满足于简单、虚无飘渺的名誉追求, 更多的攻击背后是丰厚的经济利益。
(5)攻击行为越来越隐密
攻击者已经具备了反侦破、动态行为、 攻击工具更加成熟等特点。
新发现的各种系统与网络安全漏洞每年 都要增加一倍,每年都会发现安全漏洞的新 类型,网络管理员需要不断用最新的软件补 丁修补这些漏洞。黑客经常能够抢在厂商修 补这些漏洞前发现这些漏洞并发起攻击。
网络安全——技术与实践(第二版)参考答案
第一篇网络安全基础 (1)
第一章引言 (1)
第二章低层协议的安全性 (4)
第三章高层协议的安全性 (4)
第一篇密码学基础 (4)
第四章单(私)钥密码体制 (4)
第五章双(公)钥密码体制 (4)
第六章消息认证与杂凑函数 (4)
第七章数字签名 (4)
第八章密码协议 (4)
第二篇网络安全技术与运用 (4)
第九章数字证书与公钥基础设施 (4)
第十章网络加密与密钥管理 (4)
第十一章无线网络安全 (4)
第十二章防火墙技术 (4)
第十三章入侵坚持技术 (4)
第十四章VPN技术 (4)
第十五章身份认证技术 (5)
第一篇网络安全基础
第一章引言
一、填空题
1.信息安全的3个基本目标是:保密性、完整性和可用性。此外,还有一个
不可忽视的目标是:合法使用。
2.网络中存在的4种基本安全威胁有:信息泄漏、完整性破坏、拒绝服务和非
法使用。
3.访问控制策略可以划分为:强制性访问控制策略和自主性访问控制策略。
4.安全性攻击可以划分为:被动攻击和主动攻击。
5.X.800定义的5类安全服务是:认证、访问控制、数据保密性、数据完整
性和不可否认性。
6.X.800定义的8种特定的安全机制是:加密、数字签名、访问控制、数据
完整性、认证交换、流量填充、路由控制和公证。
7.X.800定义的5种普遍的安全机制是:可信功能度、安全标志、事件检测、
安全审计跟踪和安全恢复。
二、思考题
1.请简述通信安全、计算机安全和网络安全之间的联系和区别。
答:通信安全是对通信过程中所传输的信息施加保护;计算机安全则是对计算机
系统中的信息施加保护,包括操作系统安全和数据库安全两个子类;网络安全就
第2章 信息安全数学基础(数论)计算机系统与网络安全技术课件
同余
1.定义
设a,b∈Z, m∈Z+, 如果a和b被m除所得余数相同,则 称a和b关于模数m同余,记为a≡b (mod m).
2.定理
设a,b∈Z, m∈Z+, 则
a≡b (mod m) m|(a-b).
证明: 必要性:设a≡b (mod m),
a=mp+r, b=mq+r, 0≤r<m a-b=m(p-q), m|(a-b). 充分性:设m|(a-b), a=mp+r, b=mq+s, 0≤r, s<m a-b=m(p-q)+(r-s) m|(r-s) 2020/10/3 0≤|r-s|<m, ∴ r=s, a≡b (mod m). 证毕
201653电子科技大学计算机科学与工程学院computersystemnetworksecurity201653本原根本原根模的幂运算模的幂运算中国剩余定理中国剩余定理基本概念基本概念有限域有限域模模nn平方根平方根模模nn逆矩阵逆矩阵201653本原根本原根模的幂运算模的幂运算中国剩余定理中国剩余定理基本概念基本概念有限域有限域模模nn平方根平方根模nn逆矩阵逆矩阵201653子夏曰
求解2x+7=3(mod 17)
解:2x=3-7
→ 2x=-4 x=-2
计算成立的原因:gcd(2,17)=1
第02章_3网络信息安全理论基础
3
2.2 密码学的基本概念
密码学(Cryptology):研究信息系统安全保密的科学。它 包含两个分支。
密码编码学(Cryptography),对信息进行编码实现隐 蔽信息的一门学问 密码分析学(Cryptanalytics),研究分析破译密码的 学问。
4
2.2 密码学的基本概念
明文(消息)(Plaintext):被隐蔽消息。
M m
c Ek1 (m)
c Ek1 (m)
Dk2 (c) m
C c
Dk2 (c) m
12
保密系统应当满足的要求
系统即使达不到理论上是不可破的,即 pr{m’=m}=0 , 也应当为实际上不可破的。就是说,从截获的密文或 某些已知明文密文对,要决定密钥或任意明文在计算 上是不可行的。 系统的保密性不依赖于对加密体制或算法的保密,而 依赖于密钥。这是著名的Kerckhoff原则。
18
2.3 密码系统模型和密码体制
非对称密码体制(asymmetric cryptosystem) 双钥、公钥 (two-key, public key)密码体制 k1k2 或 k1不能k2 公钥: k1=pk; 私钥: k2=sk
查找B的公开密钥
pk B
使用自己的秘密密钥 sk B
用户A
明文 m
2.3 密码系统模型和密码体制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第2章网络安全技术基础
1. 选择题
(1)SSL协议是()之间实现加密传输的协议。
A.物理层和网络层
B.网络层和系统层
C.传输层和应用层
D.物理层和数据层
(2)加密安全机制提供了数据的()。
A.可靠性和安全性
B.保密性和可控性
C.完整性和安全性
D.保密性和完整性
(3)抗抵赖性服务对证明信息的管理与具体服务项目和公证机制密切相关,通常都建立在()层之上。
A.物理层
B.网络层
C. 传输层
D.应用层
(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务的是()。
A.认证服务
B.数据保密性服务
C.数据完整性服务
D.访问控制服务
(5)传输层由于可以提供真正的端到端的连接,最适宜提供()安全服务。
A.数据保密性
B.数据完整性
C.访问控制服务
D.认证服务
解答:(1)C (2)D (3)D (4)B (5)B
2. 填空题
(1)应用层安全分解成、、的安全,利用各种协议运行和管理。
解答:(1)网络层、操作系统、数据库、TCP/IP
(2)安全套层SSL协议是在网络传输过程中,提供通信双方网络信息的性和性,由和两层组成。
(2)保密性、可靠性、SSL 记录协议、SSL握手协议
(3)OSI/RM开放式系统互连参考模型七层协议是、、、、、、。
物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
(4)ISO对OSI规定了、、、、五种级别的安全服务。
对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)一个VPN连接由、和三部分组成。一个高效、成功的VPN具有、、、四个特点。
客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性
解答:(1)网络层、操作系统、数据库、TCP/IP
(2)保密性、可靠性、SSL 记录协议、SSL握手协议
(3)物理层、数据链路层、网络层、传输层、会话层、表示层、应用层
(4)对象认证、访问控制、数据保密性、数据完整性、防抵赖
(5)客户机、隧道、服务器、安全保障、服务质量保证、可扩充和灵活性、可管理性
3.简答题
(1)TCP/IP的四层协议与OSI参考模型七层协议的对应关系是什么?
Internet现在使用的协议是TCP/IP协议。TCP/IP协议是一个四层结构的协议族,这四层协议分别是:物理网络接口层协议、网际层协议、传输层协议和应用层协议。TCP/IP 组的4层协议与OSI参考模型7层协议和常用协议的对应关系如下图所示。
(2)简述IPV6协议的基本特征及与IPV4的IP报头格式的区别?
TCP/IP的所有协议的数据都以IP数据报的形式传输,TCP/IP协议簇有两种IP版本:IPv4和IPv6。
IPv4的IP地址是TCP/IP网络中唯一指定主机的32位地址,一个IP包头占20字节包括IP版本号、长度、服务类型和其他配置信息及控制字段。IPv4在设计之初没有考虑安全性,IP包本身并不具有任何安全特性。
IPv6简化了IP头,其数据报更加灵活,同时IPv6还增加了对安全性的设计。IPv6协议相对于IPv4协议有许多重要的改进,具有以下基本特征:
(1)扩展地址空间:IPv6将IPv4的IP地址从32位扩充到128位,这使得网络的规模可以得到充分扩展,连接所有可能的装置和设备,并使用唯一的全局网络地址。
(2)简化报头:IPv4有许多域和选项,由于报头长度不固定,不利于高效地处理,也不便于扩展。I P v6针对这种实际情况,对报头进行了重新设计,由一个简化的长度固定的基本报头和多个可选的扩展报头组成。这样既加快了路由速度,又能灵活地支持多种应用,还便于以后扩展新的应用。IPv4及IPV6基本报头如图2-8和图2-9所示。
图2-8 IPV4的IP报头图2-9 IPV6基本报头
(3)更好支持服务质量QoS (Quality of Service):为上层特殊应用的传送信息流可以用流标签来识别,便于专门的处理。
(4)改善路由性能:层次化的地址分配便于实现路由聚合,进而减少路由表的表项,而简化的IP分组头部也减少了路由器的处理负载。
(5)内嵌的安全机制:要求强制实现IPSec,提供了支持数据源发认证、完整性和保密性的能力,同时可以抗重放攻击。IPv6内嵌的安全机制主要由以下两个扩展报头来实现:认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulation Security Payload)。
◆其中认证头AH可以实现以下三个功能:保护数据完整性(即不被非法篡改);
数据源发认证(即防止源地址假冒)和抗重放(Replay)攻击。
◆封装安全载荷ESP则在AH所实现的安全功能基础上,还增加了对数据保密性
的支持。
◆AH和ESP都有两种使用方式:传输模式和隧道模式。传输模式只应用于主机
实现,并只提供对上层协议的保护,而不保护IP报头。隧道模式(一种以隐
含形式把数据包封装到隧道协议中传输数据的方法,将在2.4.2介绍)可用于
主机或安全网关。在隧道模式中,内部的IP报头带有最终的源和目的地址,
而外面的IP报头可能包含性质不同的IP地址,如安全网关地址。
(3)概述IPSec的实现方式?
IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。
(1) 传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec 头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。如图2-14所示。