计算机网络安全

第一章 ：

1 、什么是OSI 安全体系结构？

安全攻击  安全机制  安全服务

2 、被动和主动安全威胁之间有什么不同 ？

被动攻击的本质是窃听或监视数据传输；主动攻击包含数据流的改写和错误数据流的添加

3 列出并简要定义被动和主动安全攻击的分类 ？

被动攻击：小树内容泄漏和流量分析；主动攻击：假冒，重放，改写消息，拒绝服务

4 、列出并简要定义安全服务的分类？

认证，访问控制，数据机密性，数据完成性，不可抵赖性

5 、列出并简要定义安全机制的分类？

加密，数字签名，访问控制，数据完整性，可信功能，安全标签，事件检测，安全审计跟踪，认证交换，流量填充，路由控制，公证，安全恢复。

第二章：

1 、对称密码的基本因素是什么？

明文，加密算法，秘密密钥，密文，解密算法

2 、加密算法使用的两个基本功能是什么？

替换和转换

3 、两个人通过对称密码通信需要多少个密钥？

1 个

4 、分组密码和流密码的区别是什么？

流密码是一个比特一个比特的加密，分组密码是若干比特（定长）同时加密。比如des 是64 比特的明文一次性加密成密文。

密码分析方面有很多不同。比如流密码中，比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同。比如流密码通常是在特定硬件设备上实现。分组密码既可以在硬件实现，也方便在计算机上软件实现。

5 、攻击密码的两个通用方法是什么？

密钥搜索和夯举方法

6 、什么是三重加密？

在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重DES 的强度大约和112-bit 的密钥强度相当。三重DES 有四种模型。

（a ）使用三个不同密钥，顺序进行三次加密变换

（b ）使用三个不同密钥，依次进行加密- 解密- 加密变换

（c ）其中密钥K1=K3, 顺序进行三次加密变换

（d ）其中密钥K1=K3 ，依次进行加密- 解密- 加密变换

7 、为什么3DES 的中间部分是解密而不是加密？

3DES 加密过程中的第二步使用的解密没有密码方面的意义。它的唯一好处是让3DES 的使用者能够解密原来单重DES 使用者加密的数据

8 、链路层加密和端到端加密的区别是什么？

对于链路层加密，每条易受攻击的通信链路都在其两端装备加密设备。所以通信链路的所以通信都受到保护，提供了较高的安全性。

对于端到端加密，加密过程在两个端系统上实现。源主机和终端加密数据，该数据以加密过的形式，通过网络不可变更地传输到目的地终端或者主机。

10 、会话密钥和主密钥的区别是什么？

主密钥（Master?key ）是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥，客户端写密钥，服务器读密钥，服务器写密钥。主密钥能够被作为一个简单密钥块输出

会话密钥是指：当两个端系统希望通信，他们建立一条逻辑连接。在逻辑连接持续过程中，所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时，会话密钥被销毁。

11 、什么是密钥分发中心？

密钥分发中心判断那些系统允许相互通信。当两个系统被允许建立连接时，密钥分发中心就为这条连接提供一个一次会话密钥。

第三章：

1 、列举消息认证的三种方法

单向散列函数，消息认证码MAC ，利用常规加密的消息认证

2 、什么是MAC

一种认证技术利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。

3 、对于消息认证，散列函数必须具有什么性质才可以用

1 H 可使用于任意长度的数据块

2 H 能生成固定长度的输出

3 对于任意长度的x ，计算H （x ）相对容易，并且可以用软/ 硬件方式实现

4 对于任意给定值h, 找到满足H(x)=h 的x 在计算机上不可行。

5 对于任意给定的数据块x, 找到满足H （y ）=H(x) ，的y=!x 在计算机上是不可行的。

6 找到满足H （x ）=H(y) 的任意一对（x,y ）在计算机上是不可行的。

4 、对于散列函数的内容，压缩函数是什么

5 、公钥加密系统的基本组成元素是什么？

明文，加密算法，公钥和私钥，密文，解密算法

6 、列举并简要说明公钥加密系统的三种应用

加密/ 解密，数字签名，密钥交换

7 、私钥和密钥之间有什么区别

传统加密算法中使用的密钥被特别地称为密钥，用于公钥加密的两个密钥被称为公钥和私钥。私钥总是保密的，但仍然被称作私钥而不是密钥，这是为了避免与传统加密混淆。

8 、什么是数字签名

A 想给B 发送消息，b 收到密文时，她能够用a 的公钥进行解密，从而证明这条消息确实是A 加密的，因为没有其他人拥有A 的私钥，所以其任何人都不能创建由A 的公钥能够解密的密文。因此，整个加密的消息就成为一个数字签名。

9 、什么是公钥证书

公钥证书由公钥加上所有者的用户ID 以及可信的第三方签名的整个数据块组成。

10 、公钥加密如何用来分发密钥

1 准备消息

2 利用一次性传统会话密钥，使用传统加密方法加密消息

3 利用对方的公钥，使用公钥加密的方法加密会话密钥

4 把加密的会话密钥附在消息上，并且把他发送给对方

第四章：

1 、设计KERBEROS 是为了解决什么问题？

假设在一个开放的分布式环境中，工作站的用户希望访问分布在网络各处的服务器的服务。我们希望服务器能够将访问权限限制在授权用户范围内，并且能够认证服务请求。

2 、在网络或互联网上，与用户认证有关的三个威胁是什么？

1 ）、一个用户可能进入一个特定的工作站，并冒充使用那个工作站的其他用户

2 ）、一个用户可能改变一个工作站的网络地址，使得从此工作站发出的请求好像是从被伪装的工作站发出的

3 ）、一个用户可能窃听信息交换，并使用重放攻击来获取连接服务器，或者是破坏正常操作。

3 、列出在分布式环境下进行安全用户认证的三种方式

一，依靠每个用户工作站来确认用户或用户组，并依靠每个服务器通过给予每个用户身份的方法来强制实施安全方案

二，要求服务器对用户系统进行认证，在用户身份方面信任用户系统

三，需要用户对每个调用的服务证明自己的身份，也需要服务器向用户证明他们的身份

4 、对Kerberos 提出的四点要求是什么？

安全，可靠，透明，可伸缩

5 、一个提供全套kerberos 服务的环境由那些实体组成？

一台Kerberos 服务器，若干客户端和若干应用服务器

6 、在kerberos 环境下，域指什么？

一个提供全套服务的kerberos 环境被称为kerberos 域

7.kerberos 版本4 和版本5 的主要区别由那些？

版本5 要解决版本4 在两方面的局限：环境方面的不足和技术山的缺陷。

8 、X.509 标准的目的是什么？

1 、X.509 定义了一个使用X.500 目录向其用户提供认证服务的框架

2 、X.509 是一个重要的标准，因为、X.509 中定义的证书结构和认证协议在很大环境下都会使用。

3 、X.509 最初发布于、1988 年

4 、X.509 基于公钥加密体制和数字签名的使用。

9 、什么叫证书链？

10 怎样撤销X.509 证书？

每一个存放在目录中的证书撤销列表都由证书发放者签名，并且包括：发放者的名称，列表创建日期，下一个CRL 计划发放日期和每一个被撤销证书的入口。当用户从消息中得到证书时，必须要确定证书是否被撤销。用户可以在每次收到证书时检查目录。为了避免由目录搜索带来的延迟，用户可以维护一个记录证书和被撤销证书列表的本地缓存。

第五章：

1 、PGP 提供的5 种主要服务是什么？

  数字签名，消息加密，压缩，电子邮件兼容性分段

2 、分离签名的用途是什么？

分离签名可以与其签名的消息分开存储和传送，这在许多情况下都有用。

3 、PGP 为什么在压缩前生成签名？

A, 对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用；

B 即使有人想动态地对消息重新压缩后进行验证，用PGP 现有的压缩算法仍然会比较困难。

4 、什么是基-64 转换？

一组三个8 比特二进制数据映射为4 个ASCII 码字符。

5 、电子邮件应用为什么使用基-64 转换？

电子邮件工具通常限制消息的最大长度。未来适应这个限制，PGP 自动将长消息分段，使之可以通过电子邮件发送。分段在所以其他操作（包括基-64 转换）治好进行。因此，会话密钥和签名部分仅在第一个分段的开始出现。

6 、PGP 为什么需要分段和重组？

待定

7 、PGP 如何使用信任关系？

119 页

8 、RFC 822 是什么？

RFC 822 定义了一种电子邮件传输的文本消息格式，这是一种被广泛使用的基于互联网传递的文本邮件标准。

9 、MIME 是什么？

是指多用途网际邮件扩展是对RFC 822 框架的扩展，用于解决关于电子邮件的SMTP ，简单邮件传输或其他邮件传输协议和RFC 822 存在的一些问题和局限性。

10 、S/MIME 是什么？

是基于RSA 数据安全性，对互联网电子邮件格式标准MIME 的安全性增强。虽然PGP 和S/MIME 都基于IETF 标准，但S/MIME 侧重于适合商业和团体使用的工业标准.

第六章：

1 、举出一个应用IPSEC 的例子

143 页

2 、IPSEC 提供那些服务？

访问控制，无连接完整性，数据源认证，拒绝重返包，保密性，受限制的流量保密性

3 、那些参数表示了SA ，那些参数表现了一个特定SA 的本质？

序列号计数器，序列计数器溢出，反重放窗口，AH 信息，ESP 信息，此安全关联的生存期，IPSec 协议模式，最大传输单元路径，安全关联选择器

4 、传输模式与隧道模式有何区别？

传输模式是对IP 载荷和IP 包头的选中部分，IPV6 的扩展报头进行认证；隧道模式是对整个内部IP 包和外部IP 报头的选中部分，外部IPV6 的扩展报头进行认证

5 、什么是重放攻击？

6 、为什么ESP 包括一个填充域？

7 、捆绑SA 的基本方法是什么？

1 传输临界：这种方法指在没有激活隧道的情况下，对一个IP 包使用多个安全协议。

2 隧道迭代：指通过IP 隧道应用多层安全协议。

8 、Oakley 密钥确定协议和ISAKMP 在IPSec 中起到什么作用？

第七章：

1 、SSL 由那些协议组成？

SSL 记录协议，SSL 握手协议，SSL 密码变更规格协议，SSL 报警协议

2 、SSL 连接和SSL 会话之间的区别是什么？

连接是一种能够提供合适服务类型的传输。会话：SSL 会话是客户与服务器之间的一种关联。

3 、列出定义SSL 会话状态的参数，并简要给出各参数的定义

会话标识符，对等证书，密码规格，主密钥，可恢复性。

4 、列出定义SSL 会话连接的参数，并简要给出各参数的定义

服务器和客户端随机数，服务器写MAC 密钥，客户端写MAC 密钥，服务器写密钥，客户端写密钥，初始化向量，序列号。

5 、SSL 记录协议提供了那些服务

机密性和消息完整性

网络管理员和网络技术人员常用的网络命令 ccna第一学期末考试题目及答案