格式: Cert=
3、实际中,由谁来签发证书? CA
4、签发证书时,是由CA的何种密钥(私钥还是公钥)进行签名? 私钥 验证证书时,是用谁的公钥来验证? 用CA的公钥来验证
5、数字证书的作用是什么?它本质上是为了解决网络安全中的什么问题? 数字证书可以证明网络实体在特定安全应用的相关信息 为了解决公钥可信性问题
第十章
1、熟记网络加密的4种方式 链路加密 节点加密 端到端加密 混合加密 2、密钥有哪些种类?它们各自有什么用途?
基本密钥 会话密钥 密钥加密密钥 主机主密钥 工作密钥
基本密钥:由用户选定或由系统分配、可在较长时间内由一对用户专用的密钥 会话密钥:两个通信终端用户在一次通话或交换数据时所用的密钥 密钥加密密钥:用于对传送的会话或文件密钥进行加密时采用的密钥 主机主密钥:对密钥加密密钥进行加密的密钥
工作密钥:在不增大更换密钥工作量的条件下扩大可使用的密钥量 3、按照协议的功能分类,密码协议可以分成哪3类? (1)密钥建立协议 (2)认证建立协议 (3)认证的密钥建立协议
4、写出Diffie-Hellman协议的数学表达式 同 第八章-4
5、简述为何Diffie-Hellman协议不能抵抗中间人攻击?并画图说明中间人攻击的过程
6、一个好的密钥应具备哪些特性? (1)真正随即、等概率
(2)避免使用特定算法的若密钥 (3)满足一定的数学关系 (4)易记而难猜中
(5)采用密钥揉搓或杂凑技术,将易记的长句子经单向杂凑函数变换成伪随机数串 7、软件加密和硬件加密有何区别?
任何加密算法都可以用软件实现,灵活、轻便,在主流操作系统上都有软件可以用,但速度慢,安全性有一定风险
硬件加密 加密速度快 硬件安全性好 硬件易于安装
第十一章
1、 无线网络面临哪些安全威胁?请写出5种以上
窃听 通信阻断 数据的注入和篡改 中间人攻击 客户端伪装 接入点伪装 匿名攻击 客户端对客户端的攻击 隐匿无线信道 服务区标识符的安全问题 漫游造成的问题 2、 GSM的主要安全缺陷有哪些?
(1) 基站和基站之间没有设置任何加密措施,(2)
和SRES在网络中以明文传输
的长度是48b,用户截取RAND和SRES后很容易破译,而一般固定不变,
使SIM卡的复制成为可能
(3) 单向身份认证
(4) 缺乏数据完整性认证
(5) 存在跨区切换,在这个过程中,可能泄露用户的秘密信息 (6) 用户无法选择安全级别
3、 请简要描述GSM蜂窝系统的认证过程。为何挑战值是一个随机数而不能是常数?(画
图分析说明)
(1) 基站产生一个128b的随机数或挑战值,并把它发给手机
(2) 手机使用A3算法和密钥将RAND加密,产生一个32b的签名回应(SRES) (3) 同时,VLR也计算出SRES值
(4) 手机将SRES传输到基站,基站将其转发到VLR (5) VLR将收到的SRES值与算出的SRES值对照 (6) 如果SRES相符,认证成功 (7) 如果SRES不符,连接中止
挑战值是随机数可以防止强力攻击,一个128b的随机数意味着3.4*1038 种可能的组合,即使一个黑客知道A3算法,猜出有效的RAND/SRES的可能性也非常小
4、 为何3G系统比2.5G系统更安全?3G系统在提高安全性上作了哪些改进?
2.5G系统采用的是单向认证,3G系统采用的是双向认证 (1)实现了用户与网络之间的相互认证 (2)建立了用户与网络之间的会话密钥 (3)保持了密钥的新鲜性
第十二章
1、 防火墙可以划分为哪三种基本类型?这三种防火墙各自工作于OSI模型的哪一层上?
包过滤防火墙 电路级网关防火墙 应用级网关防火墙
2、 在实际网络环境中,防火墙放置在何种位置?请画图说明(假设网络中还有路由器、IDS、
VPN、交换机等设备) 参考十三章-5
3、 防火墙一般有几个端口? 3个
什么是DMZ区?它的作用是什么?
被内外过滤器隔离出来的部分称为非军事区(DMZ) 作用提供中继服务,以补偿过滤器带来的影响 4、 简述包过滤防火墙和应用网关防火墙的区别
包过滤防火墙能对所有不同服务的数据流进行过滤,而应用级网关只能对特定服务的数据流进行过滤
包过滤器不需要了解数据流的细节,它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。应用级网关必须为特定的应用服务编写特定的代理程序。
5、 简述NAT路由器的工作原理(给图填地址)
第十三章
1、 IDS可以分为哪3种类型?它们各自用于何种场合?
(1) 基于网络的入侵检测系统(NIDS) 数据来源于网络上的数据流 (2) 基于主机的入侵检测系统(HIDS) 数据来源于主机系统
(3) 采用上述两种数据来源的分布式入侵检测系统(DIDS) 分别来源于主机系统
和网络数据流
2、 一个IDS通常由哪几部分组成?
(1) 数据收集器 (2) 检测器 (3) 知识库 (4) 控制器
3、 NIDS一般放置于网络的何种位置?
基于网络的入侵检测产品(NIDS)放置在比较重要的网段内,可连续监视网段中的各种数据包,对每个数据包或可疑的数据包进行特征分析 4、HDIS一般放置于网络的何种位置? HDIS安装在被保护主机上
5、请画出各类IDS在一个实际网络中的部署图。
6、 NIDS在功能结构上应至少包含哪4个功能模块?
(1) TCP会话重组模块 (2) 数据包捕获模块 (3) 内容分析模块 (4) 自动响应
第十四章
1、 根据访问方式的不同,VPN可以分哪2类?TSL VPN和IPSec VPN各自属于哪一类?
(1)远程访问VPN TLS VPN (2)网关-网关VPN IPSec VPN 2、 请比较TLS VPN和IPSec VPN的优缺点