第八章 網(wǎng)絡(luò)安全基礎(chǔ) 課后習(xí)題答案

1.網(wǎng)絡(luò)安全的基本屬性都有哪些？主要含義是什么？ P270

1）機(jī)密性：只有發(fā)送方與預(yù)訂接收方能理解報(bào)文內(nèi)容。機(jī)密性是網(wǎng)絡(luò)信息不被泄露給非授權(quán)的用戶、實(shí)體，或供其利用的特性，即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)用戶使用的特性。機(jī)密性是保障網(wǎng)絡(luò)信息安全的重要手段。

2）消息完整性：發(fā)送方與接收方能夠與發(fā)送方相互篡改，發(fā)生篡改一定會(huì)被檢測(cè)到。完整性是網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意的刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性是一種面向消息的安全性，它要求保持消息的完全性，即消息的正確生成，存儲(chǔ)和傳輸。

3）可訪問與可用性：可訪問與可用性是網(wǎng)絡(luò)信息可被授權(quán)實(shí)體訪問并按需求使用的特性，即網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，允許授權(quán)用戶或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性?？稍L問與可用性是網(wǎng)絡(luò)信息系統(tǒng)面向用戶的安全性能。

4）身份認(rèn)證：發(fā)送方與接收方希望確認(rèn)彼此的真實(shí)身份。身份認(rèn)證是對(duì)數(shù)據(jù)的來源進(jìn)行確認(rèn)，比如用戶A和用戶B通過網(wǎng)絡(luò)傳輸數(shù)據(jù)，他們都希望自己收到的數(shù)據(jù)是來自B和A，而不是由其他人偽造的。

?

2.網(wǎng)絡(luò)安全典型威脅有哪些？ P271

1）報(bào)文傳輸方面：竊聽、插入、假冒、劫持

2）拒絕服務(wù)DoS以及分布式拒絕服務(wù)DDoS

3）映射：探路，端口掃描

4）嗅探：混雜模式網(wǎng)絡(luò)接口卡

5）IP欺騙

?

3.? P273

答：

?

4.利用k=4的凱撒密碼加密明文“Bob. I love you. Alice”，得到的密文是什么？? P273

答：

?

5.如果采用密鑰為cake的列置換密碼加密明文“Alice, I love you. Bob”，得到的密文是什么？P273

K=cake，密鑰長度為4，密鑰字母順序?yàn)椋?/span>2，1，4，3），即密鑰規(guī)定的列輸出順序?yàn)榈诙?，第一列，第四列，第三列?/span>

明文排列的矩陣為：
Alic
eilo
veyo
ubob
依據(jù)密鑰規(guī)定的列輸出順序輸出各列：lieb Aevu coob ilyo

?

6.典型的對(duì)稱密鑰密碼有哪些？安全如何？ P274

（1）DES加密算法：目前DES已被證實(shí)不是很安全了。
（2）三重DES：具有足夠的安全性。
（3）AES加密算法：安全、高效、快速。
（4）IDEA加密算法：安全性高，對(duì)密碼分析具有很強(qiáng)的抵抗能力。

?

7.請(qǐng)繪制公開密鑰密碼的加密/解密過程，并說明公鑰/私鑰對(duì)滿足的基本特性。? P276

（1）

（2）

?

8.加密算法AES、RSA、DES、3DES中，計(jì)算量最大的是哪個(gè)？ P276

RSA。

解析：RSA算法是目前應(yīng)用比較廣泛的公開密鑰算法，算法安全性高，但是計(jì)算量非常大，因此通常RSA會(huì)與對(duì)稱密鑰密碼（如DES或AES）結(jié)合使用。例如，利用DES加密/解密報(bào)文，利用RSA分發(fā)DES密鑰。

?

9.什么是消息完整性？如何檢驗(yàn)消息的完整性？校驗(yàn)消息完整性的意義是什么？P276

1）定義：報(bào)文/消息完整性，也成為報(bào)文/消息認(rèn)證（或報(bào)文鑒別）。

2）方法：利用密碼散列函數(shù)檢驗(yàn)（MD5、SHA-1）

3）意義：證明報(bào)文確實(shí)來自聲稱的發(fā)送方；驗(yàn)證報(bào)文在傳輸過程中沒有被篡改；預(yù)防報(bào)文的時(shí)間、順序被篡改；預(yù)防報(bào)文持有期被篡改；預(yù)防抵賴。

?

10.分析密碼散列函數(shù)的功能，并舉例說明密碼散列函數(shù)的應(yīng)用，比較不同類型密碼散列函數(shù)的輸入、輸出特性。 P277

（1）功能：實(shí)現(xiàn)消息完整性檢測(cè)

（2）應(yīng)用：

　　1）文件校驗(yàn)
　　我們比較熟悉的校驗(yàn)算法有奇偶校驗(yàn)和CRC校驗(yàn)，這2種校驗(yàn)并沒有抗數(shù)據(jù)篡改的能力，它們一定程度上能檢測(cè)并糾正數(shù)據(jù)傳輸中的信道誤碼，但卻不能防止對(duì)數(shù)據(jù)的惡意破壞。
　　MD5 Hash算法的"數(shù)字指紋"特性，使它成為目前應(yīng)用最廣泛的一種文件完整性校驗(yàn)和（Checksum）算法，不少Unix系統(tǒng)有提供計(jì)算md5 checksum的命令。
　　2）數(shù)字簽名
　　Hash 算法也是現(xiàn)代密碼體系中的一個(gè)重要組成部分。由于非對(duì)稱算法的運(yùn)算速度較慢，所以在數(shù)字簽名協(xié)議中，單向散列函數(shù)扮演了一個(gè)重要的角色。對(duì) Hash 值，又稱"數(shù)字摘要"進(jìn)行數(shù)字簽名，在統(tǒng)計(jì)上可以認(rèn)為與對(duì)文件本身進(jìn)行數(shù)字簽名是等效的。而且這樣的協(xié)議還有其他的優(yōu)點(diǎn)。
　　3）鑒權(quán)協(xié)議
　　如下的鑒權(quán)協(xié)議又被稱作"挑戰(zhàn)--認(rèn)證模式：在傳輸信道是可被偵聽，但不可被篡改的情況下，這是一種簡(jiǎn)單而安全的方法。

（3）特性

MD5：

1.壓縮性：任意長度的數(shù)據(jù)，算出的MD5值的長度都是固定的

2.容易計(jì)算：從原數(shù)據(jù)計(jì)算出MD5值很容易

3.抗修改性：對(duì)原數(shù)據(jù)進(jìn)行任何改動(dòng)，修改一個(gè)字節(jié)生成的MD5值區(qū)別也會(huì)很大

4.強(qiáng)抗碰撞：已知原數(shù)據(jù)和MD5，想找到一個(gè)具有相同MD5值的數(shù)據(jù)（即偽造數(shù)據(jù)）是非常困難的。

SHA-1：

不可以從消息摘要中復(fù)原信息；兩個(gè)不同的消息不會(huì)產(chǎn)生同樣的消息摘要。

?

11.簡(jiǎn)述數(shù)字簽名的原理，分析簡(jiǎn)單數(shù)字簽名，簽名報(bào)文摘要技術(shù)的相同和不同。 P279

（1）

?

（2）

?

相同

不同

簡(jiǎn)單數(shù)字簽名

利用數(shù)字簽名，驗(yàn)證信息

計(jì)算量大，運(yùn)行效率低，拓展報(bào)文數(shù)據(jù)量大，直接對(duì)報(bào)文加密

簽名報(bào)文摘要

?

對(duì)報(bào)文摘要簽名

?

?

?

?

12.簡(jiǎn)述數(shù)字簽名和信息鑒別的區(qū)別和聯(lián)系，分析不同消息鑒別方法的優(yōu)缺點(diǎn)。 P279

?

13.請(qǐng)?jiān)O(shè)計(jì)一個(gè)協(xié)議，使得A、B雙方相互發(fā)送消息，協(xié)議能夠保證消息的機(jī)密性、不可否認(rèn)性、消息的完整性和身份認(rèn)證，并畫出示意圖。??P280

解析：

?

14.KDC和CA的作用是什么？? P283 P285

1）KDC：解決對(duì)稱密鑰的安全可靠分發(fā)問題。

2）CA：證實(shí)一個(gè)實(shí)體的真實(shí)身份；生成一個(gè)把其身份和實(shí)體的公鑰綁定起來的證書，并由CA對(duì)證書進(jìn)行數(shù)字簽名。

?

15.什么是消息認(rèn)證碼MAC？說明其在信息安全中的作用和局限性。 P278

?

?

16.防火墻有哪幾種分類？不同分類的特點(diǎn)是什么？ P286

1）無狀態(tài)分組過濾器

特點(diǎn)：是典型的部署在內(nèi)部往來邊緣路由器上的防火墻。有分組過濾的功能，路由器逐個(gè)檢查數(shù)據(jù)報(bào)，然后基于特定的規(guī)則對(duì)分組是通過還是丟棄進(jìn)行決策。

2）有狀態(tài)分組過濾器

特點(diǎn)：有狀態(tài)分組過濾器會(huì)使用連接表跟蹤每個(gè)TCP連接。分組過濾器跟蹤連接建立（SYN），拆除（FIN），根據(jù)狀態(tài)確定是否放行進(jìn)入或者外出的分組。對(duì)于超時(shí)的非活動(dòng)連接，則不允許分組通過。

3）應(yīng)用網(wǎng)關(guān)

特點(diǎn)：鑒別用戶身份或針對(duì)授權(quán)用戶開放特定服務(wù)。

?

17.假設(shè)Alice想給Bob發(fā)送一封郵件；Bob擁有公鑰/私鑰對(duì)，Alice有Bob的證書，但是Alice沒有公鑰/私鑰對(duì)；Alice和Bob共享相同的散列函數(shù)請(qǐng)回答下列問題。? ?P277

1）在這種情況下，能否設(shè)計(jì)一個(gè)方案使得Bob可以核實(shí)郵件消息是由Alice創(chuàng)建的？

2）能否設(shè)計(jì)一個(gè)方案，支持Alice向Bob發(fā)送機(jī)密性郵件？如果能，請(qǐng)繪制方案框圖；如果不能，請(qǐng)簡(jiǎn)單解釋原因

答：

1）不能，Alice只持有bob的公鑰，沒有自己和bob所獨(dú)有的一段報(bào)文認(rèn)證密鑰s1，也沒有自己的公鑰私鑰對(duì)，無法證明自己是Alice

2）可以，只要Alice的報(bào)文經(jīng)過Bob的公鑰KB+加密，就可以實(shí)現(xiàn)機(jī)密傳輸，Bob收到之后可以用私鑰解密。

如圖所示：

?

18.SSL握手協(xié)議、更改密碼協(xié)議、警告協(xié)議各自完成什么功能？ P294

1）SSL握手協(xié)議：協(xié)商密碼組和建立密鑰，協(xié)商確認(rèn)后，才能進(jìn)行密鑰的導(dǎo)出等操作。握手協(xié)議也會(huì)進(jìn)行服務(wù)器認(rèn)證與鑒別和客戶認(rèn)證與鑒別。

2）SSL更改密碼規(guī)格協(xié)議：用于通信過程，通信雙方修改密碼組，標(biāo)志著加密策略的改變。

3）SSL警告協(xié)議：用于在握手過程或者加密等出錯(cuò)或異常時(shí)，為對(duì)等實(shí)體傳遞SSL警告或者終止當(dāng)前連接。

?

19.簡(jiǎn)述SSL的握手過程。? P295

?

20.IPSec有哪些傳輸模式？不同傳輸模式數(shù)據(jù)報(bào)結(jié)構(gòu)有什么不同？? P297

?

21.IPSec的核心協(xié)議有哪些？分別能提供什么安全服務(wù)？? P298

（1）IPSec是網(wǎng)絡(luò)層安全協(xié)議，核心協(xié)議是AH協(xié)議和ESP協(xié)議。

（2）AH協(xié)議可以提供源認(rèn)證和鑒別、數(shù)據(jù)完整性檢驗(yàn)；

? ? ? ? ? ESP可以提供源認(rèn)證和鑒別、數(shù)據(jù)完整性檢驗(yàn)以及機(jī)密性。

?

22.IPSec在建立安全關(guān)聯(lián)SA過程中一般會(huì)使用哪兩個(gè)安全數(shù)據(jù)庫？它們的作用分別是什么？? P297

1）安全關(guān)聯(lián)數(shù)據(jù)庫SAD：一般來說，IPSec端點(diǎn)會(huì)將SA狀態(tài)保存在SAD中，在處理IPSec數(shù)據(jù)報(bào)時(shí)，會(huì)定位這些信息。

2）安全策略數(shù)據(jù)庫SPD：定義了針對(duì)數(shù)據(jù)流實(shí)施怎樣的安全處理，主要分為3類：應(yīng)用IPSec、普通IP數(shù)據(jù)報(bào)繞過IPSec、丟棄違背安全策略的數(shù)據(jù)報(bào)。安全策略組成了SPD，每個(gè)記錄就是一條SP。
?