网络安全---基础应用与标准(第二版)复习题答案

复习题答案

1、什么是OSI安全体系结构？（P6）

安全攻击:任何可能会危及机构的信息安全的行为

安全机制：用来检测、防范安全攻击并从中恢复系统的机制

安全服务：一种用了增强机构的数据处理系统安全性和信息传递安全性的服务。这些服务是用来防范安全攻击的，它们利用了一种或多种安全机制来提供服务。

2、被动和主动安全威胁之间有什么不同？(p6)

被动攻击的本质是窃听或监视数据传输,被动攻击非常难以检测，因为它们根本不改变数据，因此，对付被动攻击的重点是防范而不是检测；主动攻击包含数据流的改写和错误数据流的添加

3列出并简要定义被动和主动安全攻击的分类？(p6)

被动攻击：小树内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务

4、列出并简要定义安全服务的分类？（p9）

认证:确保通信实体就是它所声称的那个实体

访问控制：防止对资源的非授权使用

数据机密性：防止非授权数据的泄露

数据完整性：确保被认证实体发送的数据与接收到的数据完全相同

不可抵赖性：提供对被全程参与或部分参与通信实体之一拒绝的防范

5、列出并简要定义安全机制的分类？(p11-12)

加密：使用数学算法将数据转换为不可轻易理解的形式。这种转换和随后的数据恢复都依赖与算法本身以及零个或者更多的加密密钥

数字签名：为了允许数据单元接收方证明数据源和数据单元的完整性，并且防止数据伪造而追加到数据源中的数据或者是以上数据单元的密码转换访问控制

访问控制：强制执行对源的访问权限的各种机制

数据完整性：确保数据单元或者数据单元流完整性的各种机制

可信功能：相对应某个标准而言正确的功能（例如，由安全策略建立的标准）

安全标签：绑定在资源（可能是数据单元）上的记号，用来命名或者指定该资源的安全属性事件检测：与安全相关的事件的检测

安全审计跟踪：收集可能对安全审计有用的数据，它对系统记录和活动记录进行单独的检查和分析

认证交换：通过信息交换以确保一个实体身份的一种机制

流量填充：通过填充数据流空余位的方式来干扰流量分析

路由控制：支持对某些数据的特定物理安全通道的选择，并且允许路由改变，特别是当安全性受到威胁时

公证：使用可信的第三方以确保某种数据交换的属性

安全恢复：处理来自机制的请求，例如事件处理和管理功能，并且采取恢复措施。

第二章：

1、对称密码的基本因素是什么？（p23）

明文，加密算法，秘密密钥，密文，解密算法

2、加密算法使用的两个基本功能是什么？p24

替换和转换

3、两个人通过对称密码通信需要多少个密钥？p24

1个

4、分组密码和流密码的区别是什么？p33

流密码是一个比特一个比特的加密，分组密码是若干比特（定长）同时加密。比如des是64比特的明文一次性加密成密文。

密码分析方面有很多不同。比如流密码中，比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现，也方便在计算机上软件实现。

5、攻击密码的两个通用方法是什么？

密钥搜索和夯举方法

6、什么是三重加密？p28

在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重DES的强度大约和112-bit 的密钥强度相当。三重DES有四种模型。

（a）使用三个不同密钥，顺序进行三次加密变换

（b）使用三个不同密钥，依次进行加密-解密-加密变换

（c）其中密钥K1=K3,顺序进行三次加密变换

（d）其中密钥K1=K3，依次进行加密-解密-加密变换

7、为什么3DES的中间部分是解密而不是加密？p29

3DES加密过程中的第二步使用的解密没有密码方面的意义。它的唯一好处是让3DES的使用者能够解密原来单重DES使用者加密的数据

8、链路层加密和端到端加密的区别是什么？p41

对于链路层加密，每条易受攻击的通信链路都在其两端装备加密设备。所以通信链路的所以通信都受到保护，提供了较高的安全性。

对于端到端加密，加密过程在两个端系统上实现。源主机和终端加密数据，该数据以加密过的形式，通过网络不可变更地传输到目的地终端或者主机。

9列出将密钥分发给通信双方的方法。P42

1.通过物理方法传递。

2.依靠第三方通过物理方式传递给通信双方。

3.一方用旧密钥加密新密钥传递给另一方。

4.采用“密钥分发中心KDC”通过加密链路传递给通信双方。

10、会话密钥和主密钥的区别是什么？p42,p312

主密钥（Master key）是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥，客户端写密钥，服务器读密钥，服务器写密钥。主密钥能够被作为一个简单密钥块输出

会话密钥是指：当两个端系统希望通信，他们建立一条逻辑连接。在逻辑连接持续过程中，所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时，会话密钥被销毁。

11、什么是密钥分发中心？p43

密钥分发中心判断那些系统允许相互通信。当两个系统被允许建立连接时，密钥分发中心就为这条连接提供一个一次会话密钥。

第三章：

1、列举消息认证的三种方法p48

单向散列函数，消息认证码MAC，利用常规加密的消息认证

2、什么是MAC.p49

一种认证技术利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。

3.简述图3.2所示的三种方案：p50

A.使用传统加密

B．使用公钥加密

C．使用秘密值：是一种使用了散列函数但是没有使用加密的消息认证技术。这一技术假设通