网络安全总结.docx

1 .选择题1 .数字证书将用户与其公钥相联系。2 .用户的私钥不能出现在数字证书中。3 .CA可以签发数字证书。准定义了数字证书结构。5 .RA不能签发数字证书。6 .CA使用自己的私钥签名数字数字证书。7 .要解决信任问题，需使用数字签名°8 .CRL是脱机的;OCSP是联机的。9 .Kerberos提供加密。10 .防火墙应位于公司网络与外部网络之间.11.应用网关的安全性高于包过滤防火墙。12 .确定用户身份的技术成为13 .口令认证是最常用的认证机制。14 .基于口令的认证是单因子认证。15 .基于时间的令牌中的可变因子是当前的时间。16 .基于事件的令牌中可变的因子是计数器值.17 .生物认证基于人的特征°18 .在单向认证中,只有一方认证另一方。19 .防火墙可以分为静态包过滤防火墙、动态包过滤防火墙、电路级网关、应用级网关、状态检测防火墙、切换代理和空气隙防火墙。20 .静态包过滤防火墙工作于OSl模型的网络层上,它对数据包的某些特定域进行检查，这些特定域包拈数据源地址,目的地址,应用或协议,源端口号,且的端口号一21 .动态包过滤防火墙工作于OSi模型的网络层/传输匕它对数据包的某些特定域进行检查，这些特定域包括：数据源地址,目的地址,应用或协议,源端口号,目的端口号二22 .电路级网关工作于OSl模型的会量层上，它检查数据包中的数据分别为遮捶址，目的地址,应用或协议,源端口号,目的端口号，握手信息及序列号.23 .应用级网关工作于OSl模型的应用一层上,它可以对整个数据包进行检查，因此安全性最高。24 .状态检测防火墙工作于OSl模型的底用层上,但现在大部分工作在Lo25 .切换代理在连接建立过程中处于OSl模型的仝量层上，当连接建立完成后再切换至动态包过滤，相当于在网络层C26 .空气隙防火墙也称为安全网闸,它在内外网之间实现了真正的C.27 .分组过滤的三大操作：（1）接收到每个到达的数据包（2）对数据包采用过漉规则，对数据包的IP头和传输字段内容进行检查。如果匹配，根据规则确定是丢弃还是转发（3）如果没有规则与数据包头信息匹配，则对数据包施加默认规则28 名词解释CRL：证书撤销列表OCSP：联机证书状态协议LCP：链路控制协议NCP：网络控制协议DMZ：非军事区NAT：网络地址转换PKI：公开密钥基础设施TTP：可信第三方KDC：密钥分配中心0SI：开放系统互连LDAP:轻量级目录访问协议防火墙：由软件和硬件组成的系统，处于安全的网络和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤。PKI:一个用公钥理论和技术来实施和提供安全服务的安全基础设施.能够透明地为所有网络应用提供采用加密和数字签名等密码服务所需要的密钥和证书管.数字证书:是一个经过证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。MOD运算(l)-9mod7(2)-9llmod7(3)llx3mod71)选择素数p=353,它的一个本源根a=3,A和B分别选择自己的密钥Xa=97,Xb=233,并计算相应的公钥。A计算：YA=397mod353=40B计算：Y=3233mod353=248A和B交换公钥后，双方可计算出共享密钥A计算：K=(Yb)xamod353=24897mod353=160B计算：K=(Ya)xamod353=40233mod353=16029 简答题1 .开放系统互联安全体系结构中X800的安全服务和安全机制？5类服务:认证(确保通信实体就是他们所声称的实体，包括同等实体认证和数据源认证)访问控制，数据保密性，数据完整性，不可否认性(源点不可否认性和信宿不可否认性)8个机制:加密，数字签名，访问控制，数据完整性，认证交换，流量填充(在数据流空隙插入若干位以防止流量分析)，路由控制(能够为某些数据动态的或预定选取路由，确保只选用物理上安全的子网络、中继站或链路)和公证(利用可信的第三方来保证数据交换的某些性质)02 .设置防火墙过滤规则(P136) 第一条规则：主机10.1.1.1任何端口访问任何主机的任何端口，基于TCP协议的数据包都允许通过。 第二条规则：任何主机的20端口访问主机10.L1.1的任何端口，基于TCP协议的数据包允许通过。 第三条规则：任何主机的20端口访问主机10.1.1.1小于1024的端口，如果基于TCP协议的数据包都禁止通过。组序号动作iSlP目的IP薄端口H的端口协议类型I允许10.1.1.1*.TCP2允许.10.1.1.120.TCP3禁止10.1.1.120<1024TCP3 .什么是ICMP重定向攻击，如何防止ICMP重定向攻击TCP/IP体系不提供认证功能，攻击者可以冒充初始网关向目标主机发送ICMP重定向报文，诱使目标主机更改寻径表，其结果是到达某一IP子网的报文全部丢失或都经过一个攻击者能控制的网关。严格限制ICMP重定向报文的应用范围,它应与某个已存在的特定连接绑定使用，即如果主机目前没有数据要发送到相应站点，就不按照收到的重定向报文改变自己的路由表；主机与其他路由器的全局路由表也不能以重定向报文为依据修改等ARP攻击原理及防范措施攻击者假冒网关，以广播方式向目标主机发送ARP请求，则将自己的MAC地址映射到目标主机上；攻击者假冒目标主机，向网关发送ARP请求，则将错误的MAC地址映射的网关上；以后目标主机与网关之间发送的数据都可以被攻击者收到。防范：建立正确的ARP映射关系，检测并过滤伪造的ARP报文；4 .AH能穿越过NAT吗？如何解决在传输模式下，经过AH协议认证过的数据不能通过NAT在隧道模式下，经过AH认证的数据可以通过NAT原因：在传输模式下，经过AH认证的数据IP头标发生改变，在计算摘要信息时发生错误。解决方案：将传输数据模式改为网关到网关5Kerberos协议流程1 .用户登陆工作站请求主机服务2 .AS在数据库中验证用户的访问权限，生成票据许可票据和会话密钥，它们用由用户口令导出的密钥进行加密3 .工作站提示用户输入口令来对收到的报文进行解密，然后将票据许可票据以及包含用户名称、网络地址和时间的鉴别符发往TGS4 .TGS对票据和兼备符进行解密，验证请求，然后生成请求服务许可票据5 .工作站将票据和鉴别符发给服务器6 .服务器验证票据和鉴别符中的匹配，然后许可访问服务。如果需要双向鉴别,服务器及返回一个鉴别符6.SSI工作流程：（1）建立起安全协商（2）服务器认证和密钥交换（3）客户鉴别和密钥交换（4）建立起安全连接7 .数字证书的生成：第一步：密钥生成；第二步：注册；第三步：验证（RA要验证用户材料，确保证书拥有者拥有相应的私钥）；第四步：证书生成数字证书验证：（1）用户将数字证书中除最后一个字段外的所有字段输入消息摘要算法，该算法与CA签发证书时的算法相同，CA会在证书中指定签名算法及杂凑算法；（2）由消息摘要算法算出数字证书中除最后一个字段外其他字段的消息摘要MD1；（3）用户从证书中取出CA的数字签名（4）用户用CA的公钥对CA的数字签名信息进行解密（5）解密运算获得CA签名所使用的消息摘要，设为MD2；（6）如果MDl=MD2,则可以肯定数字证书已由CA的密钥签名，否则不信任该证书，拒绝接受数字证书的撤销原因（1）数字证书持有者报告该证书中指定公钥对应的私钥被破解或被盗【证书持有者进行证书撤销申请】（2）CA发现签发数字证书时出错CA在接到证书撤销请求后，认证证书撤销请求，然后接受请求，CA启动证书撤销】（3）证书持有者离职，而证书在其任职期间签发【组织提出证书撤销申请】8 .链路加密与端到端加密的区别链路加密对网络中两个相邻节点之间传输的数据进行加密保护；端到端加密可对一对用户之间的数据连续地提供保护。链路加密处于物理层或链路层。端到端加密处于的最低层次可以是网络层。链路加密在中间传输节点上是明文，端到端加密在传输过程中始终是密文。链路加密对用户是透明的，端到端加密是用户应用加密。9 .PPP：（CHAP）挑战握手协议流程：（1）请求上网.用户,返回ChalIenge,CHAP,ID号，主机名NASSecretpassword=MD5（CHAPID+password+challenge）（2） NAS根据用户查找本地数据库，得到与用户名相同加密所用的PaSSWOrd,用同样的方法计算SeCretPaSSWOrd,比较用户返回值与NAS计算是否相同PAP：口令验证协议：用明文将用户名、密码发送.用户若正确，将验证结果发回<NAS查本地数据库t验证10.Needham密钥分配方案(1) A向KDC发出会话密钥请求。表示请求的消息由两个数据项组成，第1项是A和B的身份，第2项是这次业务的惟一识别符Nl,称Nl为一次性随机数，可以是时戳、计数器或随机数。每次请求所用的N都应不同，且为防止假冒，应使敌手对Nl难以猜测。因此用随机数作为这个识别符最为合适。(2) KDC为A的请求发出应答。应答是由KA加密的消息，因此只有A才能成功地对这一消息解密，并且A可相信这一消息的确是由KDC发出的。(3) A存储会话密钥，并向B转发EKBIksidaL因为转发的是由KB加密后的密文，B收到后，可得到会话密钥KS,并从IDA知道另一方是A,(4) B用会话密钥KS加密另一个一次性随机数N2,并将加密结果发送给A(5) A以f(N2)作为对B的应答，其中f是对N2进行某种变换的函数，并将应答用会话密钥后发送给B