信息安全技术课后题答案上课讲义.docx
《信息安全技术课后题答案上课讲义.docx》由会员分享,可在线阅读,更多相关《信息安全技术课后题答案上课讲义.docx(25页珍藏版)》请在冰豆网上搜索。
信息安全技术课后题答案上课讲义
第一章
一、
BA
二、
1.客户端和服务器进行通信之前,要通过三次握手过程建立TCP连接。
首先,客户端向服务器发送一个同步(SYN)数据包,然后,服务器响应一个ACK位和SYN位置位的数据包,最后,客户端响应一个ACK位置位的数据包。
当然,三次握手过程会存在着半打开(half-open)问题,由于服务器对之前发起握手的客户端存在信任关系,就会使端口一直处于打开状态以等待客户端的通信。
2.有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
保密性(Confidentiality)是指阻止非授权的主体阅读信息。
它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。
更通俗地讲,就是说未授权的用户不能够获取敏感信息。
对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。
而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。
也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。
完整性(Integrity)是指防止信息被XX的篡改。
它是保护信息保持原始的状态,使信息保持其真实性。
如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。
可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。
可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
第二章
一、
ACACDCC
二、
1.密码学技术主要有对称密码算法、非对称密码算法、数字签名技术、数字证书、信息隐藏技术等,密码学在现代的意义是非常广的,比如公钥密码技术用于数字签名,认证服务,没有它,大家常用的网上支付系统根本无法存在。
还有一些重要的用户登录系统啊,手机通信中的信息加密等等,密码学除了军事用途以外,更多地还是应用在金融,网络,通信等领域。
2.对称密码算法运算量小,加密速度快,加密效率高,但加密前双方必须共享密钥这一性质也造成对称密码算法存在一定的问题。
(1)用户使用对称加密算法时,需要共享密钥,使得用户所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。
(2)用户在通信之前,需要建立连接来产生和获取密钥。
这对拥有庞大用户数量的网络的通信空间提出了很高的要求。
(3)密钥不能被及时更换以保证信息的保密性。
(4)消息的接收者不能检查消息在接收之前是否经过更改,数据的完整性得不到保证。
(5)无法保证接收到的消息来自于声明的发送者,因此,发送者能够对发送行为进行否认,不可否认性得不到保证。
非对称密码算法解决了对称算法的密钥交换和消息否认问题,但仍存在一定问题。
非对称密码算法最大的问题就是速度问题。
因为在计算密钥时,需要对大整数进行幂运算。
例如,像RSA这样速度最快的非对称密码算法比任何一种对称密码算法都要慢很多。
因此,在对长消息进行加密时,非对称密码算法的速度就很难得到令人满意的结果。
另外,非对称密码算法还可能遭受中间人攻击。
3.RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。
RSA的算法涉及三个参数,n、e1、e2。
其中,n是两个大质数p、q的积,n的二进制表示时所占用的位数,就是所谓的密钥长度。
e1和e2是一对相关的值,e1可以任意取,但要求e1与(p-1)*(q-1)互质;再选择e2,要求(e2*e1)mod((p-1)*(q-1))=1。
(n,e1),(n,e2)就是密钥对。
其中(n,e1)为公钥,(n,e2)为私钥。
RSA加解密的算法完全相同,设A为明文,B为密文,则:
A=B^e1modn;B=A^e2modn;e1和e2可以互换使用,即:
A=B^e2modn;B=A^e1modn;
4.数字证书以加密解密为核心,它采用公钥体制,即利用一对互相匹配的密钥进行加密、解密。
每个用户自己设定一把私有密钥(即私钥,仅用户本人所知),然后用它进行解密和签名;同时,用户设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。
当发送方准备发送一份保密文件时,先使用接收方的公钥对数据文件进行加密,而接收方则使用自己的私钥对接收到的加密文件进行解密,这样信息就可以安全无误地到达目的地了。
通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。
根据数字证书的应用分类,数字证书可以分为电子邮件证书、服务器证书和客户端个人证书。
第三章
一、
CC
二、
1.一个认证系统由五部分组成:
用户或工作组,特征信息,认证机构,认证机制,访问控制单元。
用户或工作组:
指那些想要访问系统资源的用户或工作组。
特征信息:
指用户向认证机构提供的用于认证身份的信息。
认证机构:
指识别用户并指明用户是否被授权访问系统资源的组织或设备。
认证机制:
认证机制由三部分组成,分别是输入组件,传输系统和核实器。
访问控制单元:
用户身份信息经核实器分析计算的结果通过传输系统传输到访问控制单元。
2.S/Key口令。
这种口令认证基于MD4和MD5加密算法产生,采用客户-服务器模式。
客户端负责用hash函数产生每次登陆使用的口令,服务器端负责一次性口令的验证,并支持用户密钥的安全交换。
在认证的预处理过称,服务器将种子以明文形式发送给客户端,客户端将种子和密钥拼接在一起得到S。
然后,客户端对S进行hash运算得到一系列一次性口令。
也就是说,第一次口令是通过对S进行N次hash运算得到,下一次的口令是通过对S进行N-1次hash运算得到。
如果得到结果和存储的值一致,就验证了用户身份的正确性。
3.客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后AS的响应包含这些用客户端密钥加密的证书。
证书的构成为:
1)服务器“ticket”;2)一个临时加密密钥(又称为会话密钥“sessionkey”)。
客户机将ticket(包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。
会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
第四章
一、
CC
二、
1.
1)安全会话请求。
2)服务器的X509证书。
3)加密的会话密钥。
4)会话开始。
2.传输模式:
此模式用于主机与主机在不支持IPSec的网络中通讯的情况。
隧道模式:
在两个网络设备中建立一个虚拟的通道,并对它们之间的所有通讯数据进行加密。
3.在发送方有7个步骤:
获取邮件正文,检索收件人公钥,生成一次性会话密钥,用会话密钥加密邮件正文,用收件人公钥加密会话密钥,将会话密钥附加到加密邮件,发送邮件。
在接收方有6个步骤:
接受邮件,检索加密邮件正文和会话密钥,检索收件人私钥,用收件人私钥解密会话密钥,用解密的会话密钥解密邮件正文,将解密邮件返回给收件人。
4.在发送方有6个步骤:
捕获邮件正文,计算邮件的哈希值,检索发件人私钥,用发件人私钥加密哈希值,附加加密的哈希值,发送邮件。
在接受方有8个步骤:
接受邮件,检索加密的哈希值,检索邮件正文,计算邮件哈希值,检索发件人公钥,用发件人的公钥解密加密的哈希值,比较解密的哈希值和计算的哈希值,验证签名邮件。
5.PPP的工作流程主要包括:
(1)当用户拨号接入ISP时,路由器的调制解调器对拨号做出确认,并建立一条物理连接。
(2)PC机向路由器发送一系列的数据链路层协议(LCP)分组。
这些分组及其响应选择一些PPP参数,建立数据链路层。
之后,PPP进行网络层配置,网络控制协议(NCP)给新接入的PC机分配一个临时的IP地址,使PC机成为因特网上的一个主机。
(3)通信完毕时,NCP释放网络层连接,收回原来分配出去的IP地址。
(4)LCP释放数据链路层连接,最后释放物理层的连接。
6.1用户C请求票据许可票据.2AS发放票据许可票据和会话密钥。
3用户C请求服务器票据。
4TGS发放服务器票据和会话密钥。
5用户C请求服务.6服务器S提供服务器认证信息。
7.
(1)用户输入用户名和口令;
(2)RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。
(3)RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(Access-Accept)发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。
(4)RADIUS客户端根据接收到的认证结果接入/拒绝用户。
如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),status-type取值为start;
(5)RADIUS服务器返回计费开始响应包(Accounting-Response);
(6)RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),status-type取值为stop;
(7)RADIUS服务器返回计费结束响应包(Accounting-Response)。
8.
(1)持卡客户在网上商家看中商品后,和商家进行协商,然后发出请求购买信息。
(2)商家要求客户用电子银行付款。
(3)电子银行提示客户输入密码后与商家交换握手信息,确认商家和客户两端均合法。
(4)客户的电子银行形成一个包含订购信息与支付指令的报文发送给商家。
(5)商家将含有客户支付指令的信息发送给支付网关。
(6)支付网关在确认客户信用卡信息之后,向商家发送一个授权响应的报文。
(7)商家向客户的电子银行发送一个确认信息。
(8)将款项从客户帐号转到商家帐号,然后向顾客送货,交易结束。
9.整个VPN网络中任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台上,用户数据在逻辑链路中传输。
虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
第五章
一、
CD
二、
1.病毒是最为常见的一种恶意代码,一个病毒就是一个简单的程序,其目的在于寻找其他的程序,通过将自身的复件嵌入到程序的方式来感染其它程序,被感染的程序就叫做病毒宿主,当主程序运行时,病毒代码同样也会运行。
病毒需要一个用于感染的宿主,脱离宿主,病毒就不能自我复制。
从对计算机造成损害的意义上说,蠕虫也是一种病毒,具有病毒的传播性,隐蔽性,破坏性等特性。
但蠕虫与病毒在某些方面是不同的。
蠕虫不需要宿主程序,通过复制自身在互联网环境下进行传播。
同时,与病毒主要是破坏计算机内的文件系统不同,蠕虫的传染目标是互联网内的所有计算机。
如“红色代码”,“尼姆达”。
2.
(1)校验和计算:
根据待发送消息M的二进制码流通过CRC-32计算出完整性检验值ICVC(M),然后把C(M)附在原始明文M的尾部,组成完整的明文P=;
(2)密钥流生成:
选择一个24位的初始向量IV,由IV和40位的共享密钥K组成64位的密钥流种子,将64位的种子输入伪随机序列产生器PRNG,经过RC4算法生成密钥序列或称为密钥流,它是初始化向量IV和密钥K的函数,表示为RC4(IV,K);
(3)数据加密:
将明文P=和密钥流RC4(IV,K)相异或得到密文C,其
升级会员 