计算机网络安全第二版期末复习重点

1.1计算机网络安全的概念是什么？计算机网络安全网络安全有哪几个基本特征？各个特征的含义是什么？

概念：网络安全指网络系统的软件、硬件以及系统中存储和传输的数据受到保护，不因偶然的或者恶意的原因而遭到破坏、更改、泄露，网络系统连续可靠正常地运行，网络服务不中断。

网络安全的属性（特征）（CIA三角形）

机密性（Confidentiality ）

保证信息与信息系统不被非授权的用户、实体或过程所获取与使用

完整性（Integrity ）

信息在存贮或传输时不被修改、破坏，或不发生信息包丢失、乱序等

可用性（Availability））

信息与信息系统可被授权实体正常访问的特性，即授权实体当需要时能够存取所需信息。

可控性

对信息的存储于传播具有完全的控制能力，可以控制信息的流向和行为方式。

真实性

也就是可靠性，指信息的可用度，包括信息的完整性、准确性和发送人的身份证实等方面，它也是信息安全性的基本要素。

1.2 OSI安全体系结构涉及哪几个方面？

OSI安全体系结构主要关注：

安全性攻击

任何危及企业信息系统安全的活动。

安全机制

用来检测、阻止攻击或者从攻击状态恢复到正常状态的过程，或实现该过程的设备。

安全服务

加强数据处理系统和信息传输的安全性的一种处理过程或通信服务。其目的在于利用一种或多种安全机制进行反攻击。

1.3OSI的安全服务和安全机制都有哪几项？安全机制和安全服务之间是什么关系？

安全服务

OSI安全体系结构定义了5大类共14个安全服务：

1 鉴别服务who

鉴别服务与保证通信的真实性有关，提供对通信中对等实体和数据来源的鉴别。

1）对等实体鉴别：该服务在数据交换连接建立时提供，识别一个或多个连接实体的身份，证实参与数据交换的对等实体确实是所需的实体，防止假冒。

2）数据源鉴别：该服务对数据单元的来源提供确认，向接收方保证所接收到的数据单元来自所要求的源点。它不能防止重播或修改数据单元

2 访问控制服务

包括身份认证和权限验证，用于防治未授权用户非法使用系统资源。该服务可应用于对资源的各种访问类型(如通信资源的使用，信息资源的读、写和删除，进程资源的执行)或对资源的所有访问。

3 数据保密性服务

为防止网络各系统之间交换的数据被截获或被非法存取而泄密，提供机密保护。保密性是防止传输的数据遭到被动攻击。包括：

连接保密性

无连接保密性

选择字段不保密性

信息流保密性

4 数据完整性服务

用于防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。

带恢复的连接完整；不带恢复的连接完整；

选择字段的连接完整；无连接完整；

选择字段无连接完整

5 不可(抗)否认服务

用于防止发送方在发送数据后否认发送和接收方在收到数据后否认收到或伪造数据的行为。

具有源点证明的不能否认；

具有交付证明的不能否认。

为了实现安全服务，OSI安全体系结构还定义了安全机制。特定安全机制(8 在特定的协议层实现）

加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务填充机制、路由选择机制、公证机制

关系：

1.4简述网络安全策略的意义？它主要包括哪几个方面策略？

意义：网络安全系统的灵魂与核心，是在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则集合。网络安全策略的提出，是为了实现各种网络安全技术的有效集成，构建可靠的网络安全系统

网络安全策略包含5方面策略

物理安全策略

访问控制策略

防火墙控制

信息加密策略

网络安全管理策略

2.2根据各自所基于的数学原理，分析公钥密码体制与对称密码体制的改进？

公钥密码体制(n:1)--对称密码(1:1)

在用户数目比较多时，传统对称密码体制密钥产生、存储和分发是很大问题。

公钥密码体制用户只需掌握解密密钥，而将加密密钥和加密函数公开。改变了密钥分发方式，便利密钥管理。不仅用于加解密，还广泛用于消息鉴别、数字签名和身份认证

2.3与对称密码体制比较，公钥密码体制在应用中有哪些优点?

公钥密码体制最大优点适应网络的开放性要求。

密码管理比对称密码简单，又满足新的应用要求。

通信各方都可以访问公钥，私钥在通信方本地产生，不必进行分配。任何时刻都可以更改私

钥，只要修改相应的公钥替代原来的公钥。

2.4有哪些常见的密码分析攻击方法，各自什么特点？

惟密文攻击：仅知加密算法和密文，最易防范

已知明文攻击：知加密算法，待解密文，同一密钥加密的一个或多个明密文对或一段要解密的明文信息的格式，如标准化的文件头。

选择明文攻击：攻击者选择对其有利的明文，获取到了其相应的密文。

选择密文攻击：事先搜集一定数量的密文，获的对应的明文。

3.2什么是MAC？其实现的基本原理是什么？

MAC是消息鉴别码，又称密码校验和。

其实现的基本原理是用公开函数和密钥生成一个固定大小的小数据块，即MAC，并附加到消息后面传输，接收方利用与发送方共享的密钥进行鉴别。MAC提供消息完整性保护，可以在不安全的信道中传输，因为MAC的生成需要密钥。

3.3散列函数应该具有哪些安全特性？

（1）单向性：对于任意给定的散列码h，寻找x使得H(x)=h在计算上不可行。

（2）强对抗碰撞性：输入是任意长度的M；输出是固定长度的数值；给定h和M，h(M)容易计算；寻找任何的(M1,M2)使得H(M1)=h(M2) 在计算上不可行。

（3）弱对抗碰撞性：对于任意给定的分组M,寻找不等于M的M’，使得H(M’)=h(M)在计算上不可行。

3.4什么是数字签名？数字签名具有哪些特征？

数字签名是附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据和变换允许数据单元接收者用以确认数据单元来源和数据单元完整性，并保护数据，防止被人(如接收者)进行伪造。

数字签名的特征：

（1）可验证性：信息接收方必须能够验证发送方的签名是否真实有效。

（2）不可伪造性：除了签名人之外，任何人都不能伪造签名人的合法签名。

（3）不可否认性：发送方发送签名消息后，无法抵赖发送行为；接收方在收到消息后，也无法否认接收行为。