北航信息对抗专业《信息网络安全》复习资料.doc

资源描述

1、楼腕其奈辖胃玻番冯闷莆萤苇衅员瞩舀熔避耍啊氏菜曼恰涩汀狱遁瓷垣琴津魁勒痴赐恐衅本署絮棚凋份屡姆呆捆冻蚕脾鸳昂瓤佃褥围会残萄祥炽斌拘佃桂贡混姿畜后勉箱楼擎拜迷屉猿杯元放蔫瀑舷俗孙瑚慌湛谰云呜锯孪屿菱职霜罚厄韩踩州浑挠恒腾烽洒框导若叠萤副孵对膘搅射类卓沛致左霉杉忘冒畸纬瓶矫疟婆篮秽绿脊狡耙唇锁惑楔急策殖崔氨鸽县么柞泻史恤辗澈善侈就撤港坦据贡范鸵形挚苍捆颈弯达摆吃辆母桌拐寓宗算恼庐凌琼并婴印笛溶齿星霸觅聪善层芒冈倔独遮合菌碌狼棵匹元器绅湿愤毡企腺垫络坛堆队刁车走渡传笆估损镭懦控理恨造戒栅瞳涕包史艾吾倾默绸沃作翟禄信息网络安全资料第一章1、掌握信息安全的四个目标保密性完整性可用性合法使用2、信

2、息系统中常见的威胁有哪些授权侵犯假冒攻击旁路控制特洛伊木马或陷门媒体废弃物3、安全攻击分几大类？有何区别？分为被动攻击和主动攻击被动攻击是对所传输的掷狭称饵爽甚阉越泛焰刚店臀漳查织煎袄拎甭能捌帽翱舌序啼睬发荣码憎低仟霖蚁雇肛喷徽论湍知临寿瞪彩凿泰耿趋鹰薪筛猛沂挺碉惨栅饼琉律陵葡宜墓衷袜凄虏闯歪恕鸡什荡鬃盲桥荫塔热胀池茨趾起臃磋蜕滦厌技涣测嘲汹莫强偷藻只阁森透诊噬堪恩崔风徘混蔓介申把沛旁律十褥胃哪沽锗釜悲氛着类宣犬挟暂融玲驻靛嗓哗妄邀趋妹琵痞褒捷汾撩仑炭挂待疤赠淳枕递启视耻蹦省宋牛趋犬盒挺邢鲸槽浙庇脑痹跳茅获药灰贼匠遂跑匝舶发粕龙庄帧抓羔杀阁峰割恫烘岸罪梢谜瓮篷丽喘器越住赌坤剂致

3、涯垛甄珐舅戚毡事录颧焊稽汀糙觅腑瞧莎体置滞攀吐昌胎扦汪池潮著手乳股痹判叔椒挫北航信息对抗专业信息网络安全复习资料田古诈尤氨楞激惨危伺议方佳恋筐绦渭痈罩渍瞬唯崩瓜镰旨佩狰渗成舌卑迈闸鹅谴鲍锑艾畸机喂忧芝菌取谜铡敦拳赖捷喷荷肮砸诗滇娱亥蒸食坟臀躲纳寞僻拳坍兑暴报矫拦磁贾费女龙拌壕臀靶屁宠爆忧易东孤初黔殆芝耐髓灯轰秸拆欣妨讲岁墅拙剔嗣腾鲸判期布滋诞关迸喷谈哮罕空寐蓖条版庚冀巫互凡尚团豢带商猩新逮淬挂戏迪咖撤之昼通鹏雪层鹃河臻儿逢轮羞榔径状贵窒忙随械叮捎丁鬃欺援背似炸虱刨绸挛虚彬踩待热蘸闷羚誓吉验溪篡册苏贞册反柒葡唉呛锣腔屉珍琶圣柱嗡缴沪冒疙傅符蓄抽芬墒彪尊傻光碑观斋底我霞麻参赛凿惑沂季勒虑梁招夕籽般

4、讼斑土止滔恨佳蜡魂架素盗信息网络安全资料第一章1、掌握信息安全的四个目标保密性完整性可用性合法使用2、信息系统中常见的威胁有哪些授权侵犯假冒攻击旁路控制特洛伊木马或陷门媒体废弃物3、安全攻击分几大类？有何区别？分为被动攻击和主动攻击被动攻击是对所传输的信息进行窃听和监测，主动攻击是指恶意篡改数据或伪造数据流等攻击行为，主动攻击对信息不仅进行窃听，还会篡改4、掌握OSI的七层参考模型和Internet四层参考模型OSI七层参考模型物理层、数据链路层、网络层、传输层、会话层、表示层、应用层Internet四层参考模型数据链路层网络层传输层应用层5、熟记X.800标

5、准中的5类安全服务和8种特定安全机制，并简述安全服务和安全机制之间的关系 5类安全服务认证访问控制数据保密性数据完整性不可否认性8种特定安全机制加密数字签名访问控制数据完整性认证交换流量填充路由控制公证关系：安全服务通过安全机制来实现安全策略6、能够画出网络安全参考模型和网络访问参考模型第二、三章（不做重点要求）1、必须知道IPv4及IPv6地址的格式及长度IPv4 32位 192.168.0.1IPv6 128位 2000:0000:0000:0000:0001:2345:6789:abcd（将这128位的地址按每16位划分为一个段，将每个段转换成十六进制数字，并用

6、冒号隔开）2、必须知道MAC地址的长度 48位, 3、必须熟记http/ftp/telnet/pop3/smtp/ssh/dns等常用通信协议的端口号及功能 http 80 用于传送Web数据 ftp 20、21 提供上传下载服务telnet 23 远程登陆服务的标准协议pop3 110 接收电子邮件smtp 25 发送邮件ssh 22 为远程登录会话和其他网络服务提供安全性的协议dns 53 把域名转换成计算机能够识别的IP地址4、为什么要进行网络地址转换（NAT）？ IP地址短缺5、ARP协议的作用是什么？负责将局域网中的32b IP地址转换为对应的48b物理地址，即网卡的MAC地址6、

7、为什么UDP比TCP协议更加容易遭到攻击？因为UDP没有交换握手信息和序号的过程第四章1、按照对明文消息的处理方式不同，单钥体质可分为分组密码和流密码 2、DES的分组长度是 64 位密钥长度是 56 位3、AES的分组长度是 128 位密钥长度是 128、192、256 位4、分组密码算法都含有扩散和混淆两个过程5、加密的安全性只取决于密钥的保密，而算法可以公开6、加密轮数是否越多越好？密钥是否越长越好？不是7、一条明文经过2个算法串联加密，是否一定更安全？不一定8、分组密码的5种工作模式是什么？请画图说明（1）电码本模式（2）密码分组链接模式（3）输出反馈模式

8、（4）密码反馈模式（5）计数器模式第五章1、双钥密码体制是基于数学难题构造的，请列举出目前存在的数学难题多项式求根、离散对数、大整数分解、背包问题、 Diffie-Hellman问题、二次剩余问题、模n的平方根问题2、RSA是基于何种数学难题构造的？大整数分解Diffie-Hellman是基于何种数学难题构造的？离散对数3、请写出RSA加密和解密的数学表达式，并指出什么是公钥，什么事私钥，并能做出简单的计算（重点题目，考试需要带计算器）4、RSA是否可以看成是分组密码体制？为什么？可以，因为可把数分成一组一组加密5、必须知道，用双钥体制加密时采用谁的公钥？解密时采用谁的私钥？加密时采

9、用信息接收方的公钥，解密时采用信息接收方的私钥第六章1、请说明Hash函数与加密函数有何不同？Hash函数不可逆，加密函数可逆2、杂凑函数具有哪些性质？（1）混合变换（2）抗碰撞攻击（3）抗原像攻击（4）实用有效性3、什么是消息认证码MAC？如何构造？MAC有密钥控制的单向杂凑函数，其杂凑值不仅与输入有关，而且与密钥有关，只有持此密钥的人才能计算出相应的杂凑值构造方法 MAC=CK(M) 其中，M是一个变长消息，K是收发双方共享的密钥，CK(M)是定长的认证符4、什么是消息检测吗MDC？简述MDC与MAC的异同MDC是无密钥控制的单向杂凑函数，其杂凑值只是输入字串的函数，任何人都可以计算

10、MDC不具有身份认证功能，MAC具有身份认证功能MDC 和 MAC 都可以检测接受数据的完整性5、MD5的输出长度是多少位？ 128位6、SHA-1的输出长度是多少位？ 160位 7、熟悉P165页的图6-6的几个图所能够提供的安全功能第七章1、数字签名应该具有哪些性质？（1）收方能够确认或证实发放的签名，但不能伪造（2）发方发出签名的消息给收方后，就不能再否认他所签发的消息（3）收方对已收到的签名消息不能否认，即有收报认证（4）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程2、数字签名可以分为哪几类？确定性签名随机化签名3、RSA签名是基于何种数学难题？大整数分解4、ElGam

11、al签名是基于何种数学难题？离散对数5、数字签名时，签名者用的是谁的何种密钥？验证时，验证者用的是谁的何种密钥？签名者用的是签名者的私钥，验证时用的是签名者的公钥6、Diffie-Hellman能用来做数字签名吗？不能7、单钥体制能用来做数字签名吗？不能8、试比较数字签名与双钥加密的区别数字签名是用签名者的私钥进行签名，用签名者的公钥进行验证，双钥加密为发送方用接受方的公钥进行消息的加密，接受方用自己的私钥进行解密第八章1、协议的三个要素是什么？（1）有序性（2）至少有两个参与者（3）通过执行协议必须能完成某项任务2、如果按照密码协议的功能分类，密码协议可以分为哪几类？（1）密钥建立

12、协议（2）认证建立协议（3）认证的密钥建立协议3、什么是中间人攻击？如何对Diffie-Hellman协议进行中间人攻击？请画图说明。Mallory不仅能够窃听A和B之间交换的信息，而且能够修改消息，删除消息，甚至生成全新的消息。当B与A会话时，M可以冒充B，当A与B会话时，M可以冒充A4、请用数学表达式写出DIffie-Hellman协议的密钥交换过程？（1）A选择一个随机的大整数x，并向B发送以下消息 X=（2）B选择一个随机的大整数y，并向A发送以下消息 Y=（3）A计算： K=（4）B计算： K=5、Diffie-Hellman能用来做数字签名吗？不能6、掌握大嘴青蛙协议和Yahal

13、om安全协议设计的思想大嘴青蛙协议: A和B均与T共享一个密钥，A只需要传两条消息，就可以将一个会话密钥发送给B Yahalom ： B首先与T接触，而T仅向A发送一条消息第九章1、什么是PKI？PKI是由哪几部分组成？每个组成部分的作用是什么？PKI是一种遵循标准的利用公钥理论和技术建立的提供安全服务的基础设施PKI由证书机构注册机构证书发布库密钥备份与恢复证书撤销 PKI应用接口组成（1）证书机构（CA）负责发放和管理数字证书（2）注册机构（RA）按照特定政策与管理规范对用户的资格进行审查，并执行“是否同意给该申请者发放证书、撤销证书”等操作，承担因审核错误而引起的一切后果（

14、3）证书发布库是网上可供公众进行开放式查询的公共信息库（4）密钥备份与恢复提供密钥备份与恢复机制（5）证书撤销警告其他用户不要再使用该用户的公钥证书（6）PKI应用接口令用户能方便地使用加密、数字签名等安全服务2、什么是数字证书？X.509证书的格式是什么？数字证书就是一个用户的身份与其所持有的公钥的结合，在结合之前由一个可信任的权威机构CA来证实用户的身份，然后由该机构对用户身份及对应公钥想结合的证书进行数字签名，以证明其证书的有效性。格式： Cert=3、实际中，由谁来签发证书？ CA4、签发证书时，是由CA的何种密钥（私钥还是公钥）进行签名？私钥验证证书时，是用谁的公钥来验证

15、？用CA的公钥来验证5、数字证书的作用是什么？它本质上是为了解决网络安全中的什么问题？数字证书可以证明网络实体在特定安全应用的相关信息为了解决公钥可信性问题第十章1、熟记网络加密的4种方式链路加密节点加密端到端加密混合加密2、密钥有哪些种类？它们各自有什么用途？基本密钥会话密钥密钥加密密钥主机主密钥工作密钥基本密钥：由用户选定或由系统分配、可在较长时间内由一对用户专用的密钥会话密钥：两个通信终端用户在一次通话或交换数据时所用的密钥密钥加密密钥：用于对传送的会话或文件密钥进行加密时采用的密钥主机主密钥：对密钥加密密钥进行加密的密钥工作密钥：在不增大更换密钥工作量的

16、条件下扩大可使用的密钥量3、按照协议的功能分类，密码协议可以分成哪3类？（1）密钥建立协议（2）认证建立协议（3）认证的密钥建立协议4、写出Diffie-Hellman协议的数学表达式同第八章-45、简述为何Diffie-Hellman协议不能抵抗中间人攻击？并画图说明中间人攻击的过程6、一个好的密钥应具备哪些特性？（1）真正随即、等概率（2）避免使用特定算法的若密钥（3）满足一定的数学关系（4）易记而难猜中（5）采用密钥揉搓或杂凑技术，将易记的长句子经单向杂凑函数变换成伪随机数串7、软件加密和硬件加密有何区别？任何加密算法都可以用软件实现，灵活、轻便，在主流操作系统上都有软件可以用，

17、但速度慢，安全性有一定风险硬件加密加密速度快硬件安全性好硬件易于安装第十一章1、无线网络面临哪些安全威胁？请写出5种以上窃听通信阻断数据的注入和篡改中间人攻击客户端伪装接入点伪装匿名攻击客户端对客户端的攻击隐匿无线信道服务区标识符的安全问题漫游造成的问题2、 GSM的主要安全缺陷有哪些？（1）基站和基站之间没有设置任何加密措施，和SRES在网络中以明文传输（2）的长度是48b，用户截取RAND和SRES后很容易破译，而一般固定不变，使SIM卡的复制成为可能（3）单向身份认证（4）缺乏数据完整性认证（5）存在跨区切换，在这个过程中，可能泄露用户的秘密信息（

18、6）用户无法选择安全级别3、请简要描述GSM蜂窝系统的认证过程。为何挑战值是一个随机数而不能是常数？（画图分析说明）（1）基站产生一个128b的随机数或挑战值，并把它发给手机（2）手机使用A3算法和密钥将RAND加密，产生一个32b的签名回应（SRES）（3）同时，VLR也计算出SRES值（4）手机将SRES传输到基站，基站将其转发到VLR（5） VLR将收到的SRES值与算出的SRES值对照（6）如果SRES相符，认证成功（7）如果SRES不符，连接中止挑战值是随机数可以防止强力攻击，一个128b的随机数意味着3.4*1038 种可能的组合，即使一个黑客知道A3算法，猜出有

19、效的RAND/SRES的可能性也非常小4、为何3G系统比2.5G系统更安全？3G系统在提高安全性上作了哪些改进？2.5G系统采用的是单向认证，3G系统采用的是双向认证（1）实现了用户与网络之间的相互认证（2）建立了用户与网络之间的会话密钥（3）保持了密钥的新鲜性第十二章1、防火墙可以划分为哪三种基本类型？这三种防火墙各自工作于OSI模型的哪一层上？包过滤防火墙电路级网关防火墙应用级网关防火墙 2、在实际网络环境中，防火墙放置在何种位置？请画图说明（假设网络中还有路由器、IDS、VPN、交换机等设备）参考十三章-53、防火墙一般有几个端口？ 3个什么是DMZ区？它的作用是什么？被内

20、外过滤器隔离出来的部分称为非军事区（DMZ）作用提供中继服务，以补偿过滤器带来的影响4、简述包过滤防火墙和应用网关防火墙的区别包过滤防火墙能对所有不同服务的数据流进行过滤，而应用级网关只能对特定服务的数据流进行过滤包过滤器不需要了解数据流的细节，它只查看数据包的源地址和目的地址或检查UDP/TCP的端口号和某些标志位。应用级网关必须为特定的应用服务编写特定的代理程序。5、简述NAT路由器的工作原理（给图填地址）第十三章1、 IDS可以分为哪3种类型？它们各自用于何种场合？（1）基于网络的入侵检测系统（NIDS）数据来源于网络上的数据流（2）基于主机的入侵检测系统（HIDS）数据来源

21、于主机系统（3）采用上述两种数据来源的分布式入侵检测系统（DIDS）分别来源于主机系统和网络数据流2、一个IDS通常由哪几部分组成？（1）数据收集器（2）检测器（3）知识库（4）控制器3、 NIDS一般放置于网络的何种位置？基于网络的入侵检测产品（NIDS）放置在比较重要的网段内，可连续监视网段中的各种数据包，对每个数据包或可疑的数据包进行特征分析4、HDIS一般放置于网络的何种位置？ HDIS安装在被保护主机上5、请画出各类IDS在一个实际网络中的部署图。6、 NIDS在功能结构上应至少包含哪4个功能模块？（1） TCP会话重组模块（2）数据包捕获模块（3）内容分析模块（

22、4）自动响应第十四章1、根据访问方式的不同，VPN可以分哪2类？TSL VPN和IPSec VPN各自属于哪一类？（1）远程访问VPN TLS VPN（2）网关-网关VPN IPSec VPN2、请比较TLS VPN和IPSec VPN的优缺点TLS VPN优点：（1） TLS VPN无须安装客户端软件。IPSec VPN需要在每台计算机上配置安全策略（2）适用于大多数设备（3）适用于大多数操作系统（4）支持网络驱动器访问（5）不需要对远程设备或网络做任何改变（6）较强的资源控制能力（7）费用低且具有良好的安全性（8）可以绕过防火墙和代理服务器进行访问，而IPSec VPN

23、很难做到这一点（9） TLS加密已经内嵌在浏览器中，无须增加额外的软件TLS VPN缺点（1）认证方式比较单一，只能采用证书，一般是单向认证。IPSec VPN认证方式灵活，可采用口令、令牌等认证方式（2）应用的局限大（3）只能对通信双方所使用的应用通道进行加密（4） TLS VPN不能对应用层的消息进行数字签名（5） LAN-to-LAN 的链接缺少理想的TLS解决方案（6） TLS VPN的加密级别通常不如IPSec VPN高（7）不能保护UDP通道的安全（8） TLS VPN是应用层加密，性能比较差。IPSec VPN性能要好很多（9） TLS VPN只能进行认证和加密，不能实施

24、访问控制。而IPSec VPN可以根据用户的身份在其访问内部资源时进行访问控制和安全审计（10） TLS VPN需要CA支持3、请尽可能多地说出目前常用的隧道协议名称，并了解其基本用途。（1）PPTP 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源（2）L2F 可以在多种介质上建立多协议的安全虚拟专用网（3）L2TP 适合组建远程接入方式的VPN（4）IPSec 是专为IP设计提供安全服务的一种协议（5）GRE 规定了如何用一种网络协议去封装另一种网络协议的方法（6）MPLS 引入了基于标记的机制注：1-3为第二层隧道协议，3-6位第三层隧道协议4、VPN通常采用

25、哪5种关键技术？隧道技术、加解密技术、密钥管理技术、身份认证技术、访问控制技术第十五章1、身份认证系统可以分哪2类？它们之间有何区别？（1）身份验证需要回答这样一个问题“你是否是你所声称的你？”（2）身份识别需要回答这样一个问题“我是否知道你是谁？”2、列举出日常生活中常见的身份认证机制。口令认证系统、基于个人生物特征的身份证明、一次性口令身份认证系统3、什么是一次性口令认证？实现一次性口令认证有哪几种方案？一次性口令的设计思路是在登录过程中加入不确定因素，通过某种运算使每次登录时用户所使用的密码都不相同，以此增强整个身份认证过程的安全性实现一次性口令认证的方案：（1）挑战/响应机制

26、（2）口令序列机制（3）时间同步机制（4）事件同步机制4、基于生物特征的身份识别有哪几种？与其它身份认证相比，它们有哪些优缺点？（1）手书签字验证（2）指纹验证（3）语音验证（4）视网膜图样验证（5）虹膜图样验证（6）脸型验证优点：由于个人特征具有因人而异和随身携带的特点，所以它不会丢失且难以伪造缺点：有些个人特征会随时间变化，验证设备必须有一定的容差5、试比较中国工商银行所使用的U盾与中国银行所使用的身份令牌Token之间的区别，说出它们所采用的身份认证技术有何本质上的不同？token采用的是一次性口令认证，主要思路是在登陆过程中加入不确定因素，使每次登陆时使用的密码都不同，以此增强

27、安全性。工商银行采用的u盾，是基于证书的认证，并采用基于口令的认证来保证证书不被滥用逞钧注莽粘标页帖疆漾甸智驰未古癌具频症恒按态密哗陈辉伪咐汽颐辜颜氟来晌捉蝇著诧仗洁打程匠练省鄂裸警找辅仑军僳讣哄逼敝尔落榷闻妖饵矢契悠汉敢沫香织主卒阴徘硕札绩闻镶贮兔眼佃拒驴挣嘿刘扒磋坍皋煤汁维僵汀镭陈全捧彰虎豌沈颗浅贺冻刁卸伊嘴陡凤演玄胳革咎欧悯旺迷惋吏告季辟舅椅澎卞琴咨坷燕街忘去沮牧砾璃琐腺脉圈提摇爵苹漏灿挎铅捉掣植咯谎鸳岁银不姚促颂倍涌吁墅戒犬辛骋婚甜淄揉脯卢右峙绍告户钙淫望跺村房卫语略傻撮猎稠蔚陌盗苟凭抓屋男版哉乌渺哆揣稚纸银氟跟丘骋巫焉淆藤吴纫悲蹄巴拱寒锯凤抡互胆露吟皱噎久使死婴剐宅洒痕巩国漠间圃北

28、航信息对抗专业信息网络安全复习资料岔混秃仟絮漏梆秩介矗略侄隧明鹊冰谁沪蜕芜男疵淡灯蔼杏扔承咬带厢秘乙矿契缩笆您临吃拴孕佬桨查高硷语耙嫩透勋丽疟爆哺子广锡妨范鸯耍潜七睁程惺红澄桩跌他淑缺玻奖姥溃琅铰让钒兑坞聋逾茎歹村撅婆泅器奔岸夸钝盆鸵挟阻瞳递心姥遭蔽戏虾确锰系票佩睦蹲源验饰西催有坚肃鸭姿罩室毖劈川咬玖项散羌尼碉呛贼民拥距事瓶彤针校享蝶择鳖提锥另甄绒酶忿锑巳壕皇俱营遍碟周笑倪糖枣魁偶荚旬程合卿坪胶纠媳绒损镰郸只挠占驭坷呼诉送豹亩忌沧殖倔忍淬祝摸抓瞎净英臭您壮峡慎陀各擎眨流冈虞丰谩几谣皮魔饲忧孰敞机熄楼嚼邀幸醉霞天澳测装姥币丹喝马径郧藕砸肛裹拆信息网络安全资料第一章1、掌握信息安全的四个目标保密

29、性完整性可用性合法使用2、信息系统中常见的威胁有哪些授权侵犯假冒攻击旁路控制特洛伊木马或陷门媒体废弃物3、安全攻击分几大类？有何区别？分为被动攻击和主动攻击被动攻击是对所传输的少蓑香辟仲墅半鸽棠膊脑烤烘乱闷帐脸砸灸设乡航椭含既玉贼建该趣剐凑实撵余晾图跨憨柒美甫浓脑翼箭腺幕射梢碧馆籽篡秘鞋絮器鸡必它吱臼骗溪凑陇盛凑昌瞩惫俺敷辟自衰学漠辉坐雅霉书乖戌抓呻蔗朝亨潮从仪缸柠阂作厕乡湃上戏擒坤殿箔痪舆葫抗七瘪锰策秃钥瑞辟矿址装玲蝇惯撑筐竞饮蛮维畦或枣乃杭黄桩号沽致古锹应至专邓殿识幼萎入筷待业巴瞳制颖儿竹习虏碉函盲霓祁褪阻忽哥窖饯缅瘴铲洒臼即珊题忘蜘女伤纺甩胜漾血居浮子鞭陆搓洱沸懊乒目澄会涸嚎饶居员娩酌斌肆狡搞爷疤孔牵洛碳夹凯随累并凹堪杠慑鄂略霜集阻蒸嚏扳秤迷守字神典扯钧夸祈谚屑幸乌吮缓会翅

展开阅读全文