北航信息对抗专业信息网络安全复习资料

《北航信息对抗专业信息网络安全复习资料》由会员分享，可在线阅读，更多相关《北航信息对抗专业信息网络安全复习资料（51页珍藏版）》请在装配图网上搜索。

1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date北航信息对抗专业信息网络安全复习资料北航信息对抗专业信息网络安全复习资料信息网络安全资料第一章1、掌握信息安全的四个目标 保密性 完整性 可用性 合法使用2、信息系统中常见的威胁有哪些 授权侵犯 假冒攻击 旁路控制 特洛伊木马或陷门 媒体废弃物3、安全攻击分几大类？有何区别？分为 被动攻击 和 主动攻击被动攻击是对所传输的信息进行窃听和监测，主动攻击是指恶意篡改数据或

2、伪造数据流等攻击行为，主动攻击对信息不仅进行窃听，还会篡改4、掌握OSI的七层参考模型和Internet四层参考模型OSI七层参考模型 物理层、数据链路层、网络层、传输层、会话层、表示层、应用层Internet四层参考模型 数据链路层 网络层 传输层 应用层5、熟记X.800标准中的5类安全服务和8种特定安全机制，并简述安全服务和安全机制之间的关系 5类安全服务 认证 访问控制 数据保密性 数据完整性 不可否认性8种特定安全机制 加密 数字签名 访问控制 数据完整性 认证交换 流量填充 路由控制 公证关系：安全服务通过安全机制来实现安全策略6、能够画出网络安全参考模型和网络访问参考模型第二、三

3、章（不做重点要求）1、必须知道IPv4及IPv6地址的格式及长度IPv4 32位 192.168.0.1IPv6 128位 2000:0000:0000:0000:0001:2345:6789:abcd（将这128位的地址按每16位划分为一个段，将每个段转换成十六进制数字，并用冒号隔开）2、必须知道MAC地址的长度 48位, 3、必须熟记http/ftp/telnet/pop3/smtp/ssh/dns等常用通信协议的端口号及功能 http 80 用于传送Web数据 ftp 20、21 提供上传下载服务telnet 23 远程登陆服务的标准协议pop3 110 接收电子邮件smtp 25 发送

4、邮件ssh 22 为远程登录会话和其他网络服务提供安全性的协议dns 53 把域名转换成计算机能够识别的IP地址4、为什么要进行网络地址转换（NAT）？ IP地址短缺5、ARP协议的作用是什么？ 负责将局域网中的32b IP地址转换为对应的48b物理地址，即网卡的MAC地址6、为什么UDP比TCP协议更加容易遭到攻击？ 因为UDP没有交换握手信息和序号的过程第四章1、按照对明文消息的处理方式不同，单钥体质可分为 分组密码 和 流密码 2、DES的分组长度是 64 位 密钥长度是 56 位3、AES的分组长度是 128 位 密钥长度是 128、192、256 位4、分组密码算法都含有 扩散 和

5、混淆 两个过程5、加密的安全性只取决于 密钥的保密 ，而算法可以 公开6、加密轮数是否越多越好？密钥是否越长越好？ 不是7、一条明文经过2个算法串联加密，是否一定更安全？ 不一定8、分组密码的5种工作模式是什么？请画图说明（1）电码本模式（2）密码分组链接模式（3）输出反馈模式（4）密码反馈模式（5）计数器模式第五章1、双钥密码体制是基于数学难题构造的，请列举出目前存在的数学难题多项式求根、 离散对数、 大整数分解、 背包问题、 Diffie-Hellman问题、 二次剩余问题、 模n的平方根问题2、RSA是基于何种数学难题构造的？大整数分解Diffie-Hellman是基于何种数学难题构造的

6、？离散对数3、请写出RSA加密和解密的数学表达式，并指出什么是公钥，什么事私钥，并能做出简单的计算（重点题目，考试需要带计算器）4、RSA是否可以看成是分组密码体制？为什么？可以，因为可把数分成一组一组加密5、必须知道，用双钥体制加密时采用谁的公钥？解密时采用谁的私钥？加密时采用信息接收方的公钥，解密时采用信息接收方的私钥第六章1、请说明Hash函数与加密函数有何不同？Hash函数不可逆，加密函数可逆2、杂凑函数具有哪些性质？（1）混合变换 （2）抗碰撞攻击 （3）抗原像攻击 （4）实用有效性3、什么是消息认证码MAC？如何构造？MAC有密钥控制的单向杂凑函数，其杂凑值不仅与输入有关，而且与密

7、钥有关，只有持此密钥的人才能计算出相应的杂凑值构造方法 MAC=CK(M) 其中，M是一个变长消息，K是收发双方共享的密钥，CK(M)是定长的认证符4、什么是消息检测吗MDC？简述MDC与MAC的异同MDC是无密钥控制的单向杂凑函数，其杂凑值只是输入字串的函数，任何人都可以计算MDC不具有身份认证功能，MAC具有身份认证功能MDC 和 MAC 都可以检测接受数据的完整性5、MD5的输出长度是多少位？ 128位6、SHA-1的输出长度是多少位？ 160位 7、熟悉P165页的图6-6的几个图所能够提供的安全功能第七章1、数字签名应该具有哪些性质？（1）收方能够确认或证实发放的签名，但不能伪造（2

8、）发方发出签名的消息给收方后，就不能再否认他所签发的消息（3）收方对已收到的签名消息不能否认，即有收报认证（4）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程2、数字签名可以分为哪几类？确定性签名 随机化签名3、RSA签名是基于何种数学难题？ 大整数分解4、ElGamal签名是基于何种数学难题？ 离散对数5、数字签名时，签名者用的是谁的何种密钥？验证时，验证者用的是谁的何种密钥？签名者用的是签名者的私钥，验证时用的是签名者的公钥6、Diffie-Hellman能用来做数字签名吗？ 不能7、单钥体制能用来做数字签名吗？ 不能8、试比较数字签名与双钥加密的区别数字签名是用签名者的私钥进行

9、签名，用签名者的公钥进行验证，双钥加密为发送方用接受方的公钥进行消息的加密，接受方用自己的私钥进行解密第八章1、协议的三个要素是什么？（1）有序性 （2）至少有两个参与者 （3）通过执行协议必须能完成某项任务2、如果按照密码协议的功能分类，密码协议可以分为哪几类？（1）密钥建立协议（2）认证建立协议（3）认证的密钥建立协议3、什么是中间人攻击？如何对Diffie-Hellman协议进行中间人攻击？请画图说明。Mallory不仅能够窃听A和B之间交换的信息，而且能够修改消息，删除消息，甚至生成全新的消息。当B与A会话时，M可以冒充B，当A与B会话时，M可以冒充A4、请用数学表达式写出DIffie

10、-Hellman协议的密钥交换过程？（1）A选择一个随机的大整数x，并向B发送以下消息 X=（2）B选择一个随机的大整数y，并向A发送以下消息 Y=（3）A计算： K=（4）B计算： K=5、Diffie-Hellman能用来做数字签名吗？ 不能6、掌握大嘴青蛙协议和Yahalom安全协议设计的思想 大嘴青蛙协议: A和B均与T共享一个密钥，A只需要传两条消息，就可以将一个会话密钥发送给B Yahalom ： B首先与T接触，而T仅向A发送一条消息第九章1、什么是PKI？PKI是由哪几部分组成？每个组成部分的作用是什么？PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施PKI

11、由 证书机构 注册机构 证书发布库 密钥备份与恢复 证书撤销 PKI应用接口 组成（1）证书机构（CA）负责发放和管理数字证书（2）注册机构（RA）按照特定政策与管理规范对用户的资格进行审查，并执行“是否同意给该申请者发放证书、撤销证书”等操作，承担因审核错误而引起的一切后果（3）证书发布库 是网上可供公众进行开放式查询的公共信息库（4）密钥备份与恢复 提供密钥备份与恢复机制（5）证书撤销 警告其他用户不要再使用该用户的公钥证书（6）PKI应用接口 令用户能方便地使用加密、数字签名等安全服务2、什么是数字证书？X.509证书的格式是什么？数字证书就是一个用户的身份与其所持有的公钥的结合，在结合

12、之前由一个可信任的权威机构CA来证实用户的身份，然后由该机构对用户身份及对应公钥想结合的证书进行数字签名，以证明其证书的有效性。格式： Cert=3、实际中，由谁来签发证书？ CA4、签发证书时，是由CA的何种密钥（私钥还是公钥）进行签名？ 私钥 验证证书时，是用谁的公钥来验证？ 用CA的公钥来验证5、数字证书的作用是什么？它本质上是为了解决网络安全中的什么问题？ 数字证书可以证明网络实体在特定安全应用的相关信息为了解决公钥可信性问题第十章1、熟记网络加密的4种方式 链路加密 节点加密 端到端加密 混合加密2、密钥有哪些种类？它们各自有什么用途？ 基本密钥 会话密钥 密钥加密密钥 主机主密钥

13、工作密钥 基本密钥：由用户选定或由系统分配、可在较长时间内由一对用户专用的密钥 会话密钥：两个通信终端用户在一次通话或交换数据时所用的密钥 密钥加密密钥：用于对传送的会话或文件密钥进行加密时采用的密钥 主机主密钥：对密钥加密密钥进行加密的密钥 工作密钥：在不增大更换密钥工作量的条件下扩大可使用的密钥量3、按照协议的功能分类，密码协议可以分成哪3类？ （1）密钥建立协议（2）认证建立协议（3）认证的密钥建立协议4、写出Diffie-Hellman协议的数学表达式 同 第八章-45、简述为何Diffie-Hellman协议不能抵抗中间人攻击？并画图说明中间人攻击的过程6、一个好的密钥应具备哪些特性

14、？（1）真正随即、等概率（2）避免使用特定算法的若密钥（3）满足一定的数学关系（4）易记而难猜中（5）采用密钥揉搓或杂凑技术，将易记的长句子经单向杂凑函数变换成伪随机数串7、软件加密和硬件加密有何区别？ 任何加密算法都可以用软件实现，灵活、轻便，在主流操作系统上都有软件可以用，但速度慢，安全性有一定风险 硬件加密 加密速度快 硬件安全性好 硬件易于安装第十一章1、 无线网络面临哪些安全威胁？请写出5种以上窃听 通信阻断 数据的注入和篡改 中间人攻击 客户端伪装 接入点伪装 匿名攻击 客户端对客户端的攻击 隐匿无线信道 服务区标识符的安全问题 漫游造成的问题2、 GSM的主要安全缺陷有哪些？（1

15、） 基站和基站之间没有设置任何加密措施，和SRES在网络中以明文传输（2） 的长度是48b，用户截取RAND和SRES后很容易破译，而一般固定不变，使SIM卡的复制成为可能（3） 单向身份认证（4） 缺乏数据完整性认证（5） 存在跨区切换，在这个过程中，可能泄露用户的秘密信息（6） 用户无法选择安全级别3、 请简要描述GSM蜂窝系统的认证过程。为何挑战值是一个随机数而不能是常数？（画图分析说明）（1） 基站产生一个128b的随机数或挑战值，并把它发给手机（2） 手机使用A3算法和密钥将RAND加密，产生一个32b的签名回应（SRES）（3） 同时，VLR也计算出SRES值（4） 手机将SRES

16、传输到基站，基站将其转发到VLR（5） VLR将收到的SRES值与算出的SRES值对照（6） 如果SRES相符，认证成功（7） 如果SRES不符，连接中止 挑战值是随机数可以防止强力攻击，一个128b的随机数意味着3.4*1038 种可能的组合，即使一个黑客知道A3算法，猜出有效的RAND/SRES的可能性也非常小4、 为何3G系统比2.5G系统更安全？3G系统在提高安全性上作了哪些改进？2.5G系统采用的是单向认证，3G系统采用的是双向认证（1）实现了用户与网络之间的相互认证（2）建立了用户与网络之间的会话密钥（3）保持了密钥的新鲜性第十二章1、 防火墙可以划分为哪三种基本类型？这三种防火墙

17、各自工作于OSI模型的哪一层上？包过滤防火墙 电路级网关防火墙 应用级网关防火墙 2、 在实际网络环境中，防火墙放置在何种位置？请画图说明（假设网络中还有路由器、IDS、VPN、交换机等设备）参考十三章-53、 防火墙一般有几个端口？ 3个什么是DMZ区？它的作用是什么？ 被内外过滤器隔离出来的部分称为非军事区（DMZ）作用提供中继服务，以补偿过滤器带来的影响4、 简述包过滤防火墙和应用网关防火墙的区别包过滤防火墙能对所有不同服务的数据流进行过滤，而应用级网关只能对特定服务的数据流进行过滤包过滤器不需要了解数据流的细节，它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。

18、应用级网关必须为特定的应用服务编写特定的代理程序。5、 简述NAT路由器的工作原理（给图填地址）第十三章1、 IDS可以分为哪3种类型？它们各自用于何种场合？（1） 基于网络的入侵检测系统（NIDS） 数据来源于网络上的数据流（2） 基于主机的入侵检测系统（HIDS） 数据来源于主机系统（3） 采用上述两种数据来源的分布式入侵检测系统（DIDS） 分别来源于主机系统 和网络数据流2、 一个IDS通常由哪几部分组成？（1） 数据收集器（2） 检测器（3） 知识库（4） 控制器3、 NIDS一般放置于网络的何种位置？基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，可连续监视网段中的各种数

19、据包，对每个数据包或可疑的数据包进行特征分析4、HDIS一般放置于网络的何种位置？ HDIS安装在被保护主机上5、请画出各类IDS在一个实际网络中的部署图。6、 NIDS在功能结构上应至少包含哪4个功能模块？（1） TCP会话重组模块（2） 数据包捕获模块（3） 内容分析模块（4） 自动响应第十四章1、 根据访问方式的不同，VPN可以分哪2类？TSL VPN和IPSec VPN各自属于哪一类？（1）远程访问VPN TLS VPN（2）网关-网关VPN IPSec VPN2、 请比较TLS VPN和IPSec VPN的优缺点TLS VPN优点：（1） TLS VPN无须安装客户端软件。IPSec

20、 VPN需要在每台计算机上配置安全策略（2） 适用于大多数设备（3） 适用于大多数操作系统（4） 支持网络驱动器访问（5） 不需要对远程设备或网络做任何改变（6） 较强的资源控制能力（7） 费用低且具有良好的安全性（8） 可以绕过防火墙和代理服务器进行访问，而IPSec VPN很难做到这一点（9） TLS加密已经内嵌在浏览器中，无须增加额外的软件TLS VPN缺点（1） 认证方式比较单一，只能采用证书，一般是单向认证。IPSec VPN认证方式灵活，可采用口令、令牌等认证方式（2） 应用的局限大（3） 只能对通信双方所使用的应用通道进行加密（4） TLS VPN不能对应用层的消息进行数字签名（

21、5） LAN-to-LAN 的链接缺少理想的TLS解决方案（6） TLS VPN的加密级别通常不如IPSec VPN高（7） 不能保护UDP通道的安全（8） TLS VPN是应用层加密，性能比较差。IPSec VPN性能要好很多（9） TLS VPN只能进行认证和加密，不能实施访问控制。而IPSec VPN可以根据用户的身份在其访问内部资源时进行访问控制和安全审计（10） TLS VPN需要CA支持3、请尽可能多地说出目前常用的隧道协议名称，并了解其基本用途。（1）PPTP 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源（2）L2F 可以在多种介质上建立多协议的安

22、全虚拟专用网（3）L2TP 适合组建远程接入方式的VPN（4）IPSec 是专为IP设计提供安全服务的一种协议（5）GRE 规定了如何用一种网络协议去封装另一种网络协议的方法（6）MPLS 引入了基于标记的机制注：1-3为第二层隧道协议，3-6位第三层隧道协议4、VPN通常采用哪5种关键技术？ 隧道技术、加解密技术、密钥管理技术、身份认证技术、访问控制技术第十五章1、身份认证系统可以分哪2类？它们之间有何区别？（1）身份验证 需要回答这样一个问题“你是否是你所声称的你？”（2）身份识别 需要回答这样一个问题“我是否知道你是谁？”2、列举出日常生活中常见的身份认证机制。口令认证系统、基于个人生物

23、特征的身份证明、一次性口令身份认证系统3、 什么是一次性口令认证？实现一次性口令认证有哪几种方案？一次性口令的设计思路是在登录过程中加入不确定因素，通过某种运算使每次登录时用户所使用的密码都不相同，以此增强整个身份认证过程的安全性实现一次性口令认证的方案：（1） 挑战/响应机制（2） 口令序列机制（3） 时间同步机制（4） 事件同步机制4、基于生物特征的身份识别有哪几种？与其它身份认证相比，它们有哪些优缺点？ （1）手书签字验证（2）指纹验证（3）语音验证（4）视网膜图样验证（5）虹膜图样验证（6）脸型验证优点：由于个人特征具有因人而异和随身携带的特点，所以它不会丢失且难以伪造缺点：有些个人特征会随时间变化，验证设备必须有一定的容差5、试比较中国工商银行所使用的U盾与中国银行所使用的身份令牌Token之间的区别，说出它们所采用的身份认证技术有何本质上的不同？token采用的是一次性口令认证，主要思路是在登陆过程中加入不确定因素，使每次登陆时使用的密码都不同，以此增强安全性。 工商银行采用的u盾，是基于证书的认证，并采用基于口令的认证来保证证书不被滥用-