声电商信息安全与管理课后习题答案

1、基础应用与标准书后思考题第一章：1、什么是 OSI 安全体系结构？(P6)一、2 安全安全机制 安全服务2、和主动安全威胁之间有什么不同？(P6)的本质是或监视数据传输；主动包含数据流的改写和错误数据流的添加 3列出并简要定义和主动安全的分类？(P6)：内容泄漏和流量分析；主动简要定义安全服务的分类？(P9)：，重放，改写消息，服务 4、列出并认证，控制，数据性，数据完，不可抵赖性 5、列出并简要定义安全机制的分类？(P11-12)加密，数字签名，控制，数据完整性，功能，安全，事件检测，安全审计，认证交换，流量填充，路由控制，第二章：，安全恢复。1、对称的基本是什么？(P23)密钥，密文，明文

2、，加密算法，(P24) 替换和重排3、两个人通过对称算法 2、加密算法使用的两个基本功能是什么？通信需要多少个密钥？(P24)的区别是什么？(P33)一、3 1 个4、分组和流流是一个比特一个比特的加密，分组是若干比特（定长）同时加密。比如 des 是64 比特的明文加密成密文。分析方面有很多不同。比如流中，比特流的很多统计特性影响到算法的安全性。密码实现方面有很多不同。比如流通常是在特定硬件设备上实现。分组既可以在硬件实现，也方便在计算机上软件实现。5、方法的两个通用方法是什么？ 密钥搜索和穷举7、什么是三重加密？(P28) 在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重 DES

3、 的强度大约和 112-bit 的密钥强度相当。三重 DES 有四种模型。使用三个不同密钥，顺序进行三次加密变换使用三个不同密钥，依次进行加密-加密变换（c）其中密钥 K1=K3,顺序进行三次加密变换（d）其中密钥 K1=K3，依次进行加密-不是加密？(P29)-加密变换 8、为什么 3DES 的中间部分是而3DES 加密过程中的第二步使用的没有方面的意义。它的唯一好处是让 3DES 的使用者能够原来单重 DES 使用者加密的数据9、链路层加密和端到端加密的区别是什么？(P41)对于链路层加密，每条易受的通信链路都在其两端装备加密设备。所以通信链路的所有通信都受到保护，提供了较高的安全性。对于

4、端到端加密，加密过程在两个端系统上实现。源主机和终端加密数据，该数据以加密过的形式，通过网络不可变更地传输到目的地终端或者主机。 10、列出将密钥分发给通信双方的方法。(P42)1.通过物理方法传递。2.依靠第通过物理方式传递给通信双方。3.一方用旧密钥加密新密钥传递给另一方。4.采用“密钥分发中心 KDC”通过加密链路传递给通信双方。11、会话密钥和主密钥的区别是什么？(P42,P312)主密钥（Master key）是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥，客户端写密钥，服务器读密钥，服务器写密钥。主密钥能够被作为一个简单密钥块输出会话密钥是指：当两个

5、端系统希望通信，他们建立一条逻辑连接。在逻辑连接持续过程中，所以用户数据都使用一个的会话密钥加密。在会话和连接结束时，会话密钥被销毁。 12、什么是密钥分发中心？(P43)密钥分发中心判断那些系统允许相互通信。当两个系统被允许建立连接时，密钥分发中心就为这条连接提供一个一次会话密钥。第三章：1、列举消息认证的三种方法：(P48)单向散列函数，消息认证码 MAC，利用常规加密的消息认证2、什么是 MAC：(P49)一种认证技术。利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息。3、简述图 3.2 所示的三种方案：(P50)一、6 A使用传统加密。B.使用公钥加密。C.使用值。4、对于消

6、息认证，散列函数 H 必须具有什么性质才可以用：(P51)1 H 可使用于任意长度的数据块 2 H 能生成固定长度的输出3 对于任意长度的 x，计算 H（x）相对容易，并且可以用软/硬件方式实现 4 对于任意给定值 h,找到满足 H(x)=h 的x 在计算机上不可行。5 对于任意给定的数据块 x,找到满足 H（y）=H(x)，的 y=!x 在计算机上是不可行的。 6 找到满足 H（x）=H(y)的任意一对（x,y）在计算机上是不可行的。5、对于散列函数的内容，压缩函数是什么：(P56)压缩函数也具有散列函数的特征，具有抗碰撞能力的压缩函数可以被用来设计成消息认证方法。Whirlpool 算法就

7、是采用 AES 分组加密方法使用于压缩函数。6、公钥加密系统的基本组成元素是什么？(P59) 明文，加密算法，公钥和私钥，密文，解密算法7、列举并简要说明公钥加密系统的三种应用：(P60)加密/，数字签名，密钥交换8、私钥和密钥之间有什么区别：(P60)传统加密算法中使用的密钥被特别地称为密钥，用于公钥加密的两个密钥被称为公钥和私钥。私钥总是的，但仍然被称作私钥而不是密钥，这是为了避免与传统加密。9、什么加密的，因为没有其他人拥有 A 的私钥，所以其任何人都不能创建由 A 的公钥能够的密文。因此，整个加密的消息就成为一个数字签名。10、什么是公钥：(P67)公钥由公钥加上所有者的用户 ID 以

8、及的第签名的整个数据块组成。11、公钥加密如何用来分发密钥：(P69)1 准备消息 2 利用传统会话密钥，使用传统加密方法加密消息 3 利用对方的公钥，使用公钥加密的方法加密会话密钥 4 把加密的会话密钥附在消息上，并且把他发送给对方第四章：1、设计 KERBEROS 是为了解决什么问题？(P78) 一、11假设在一个开放的分布式环境中，工作站的用户希望分布在网络各处的服务器的服务。希望服务器能够将权限限制在用户范围内，并且能够认证服务请求。2、在网络或互联网上，与用户认证有关的三个威胁是什么？(P78) 1）、一个用户可能进入一个特定的工作站，并冒充使用那个工作站的其他用户 2）、一个用户可

9、能改变一个工作站的网络地址，使得从此工作站发出的请求好像是从被的工作站发出的 3）、一个用户可能信息交换，并使用重放来获取连接服务器，或者是破坏正常操作。3、列出在分布式环境下进行安全用户认证的三种方式：(P79)依靠每个用户工作站来确认用户或用户组，并依靠每个服务器通过给予每个用户的方法来强制实施安全方案要求服务器对用户系统进行认证，在用户方面信任用户系统3.需要用户对每个调用的服务证明自己的，也需要服务器向用户证明他们的4、对 Kerberos四点要求是什么？(P79) 安全，可靠，透明，可伸缩5、一个kerberos 服务的环境由那些实体组成？(P86) 一台 Kerberos 服务器，

10、若干客户端和若干应用服务器6、在 kerberos 环境下，域指什么？(P86) 一个服务的 Kerberos 环境，包括一台Kerberos 服务器、若干台客户端和若干应用服务器的这种环境被称为 Kerberos 域。7.kerberos 版本 4 和版本 5 的主要区别由那些？(P88) 版本 5 要解决版本 4 在两方面的局限：环境上有 6 个方面的不足和技术上有 5 个方面的缺陷。(请例举)。8、X.509 标准的目的是什么？(P93)1、X.509 定义了一个使用 X.500 目录向其用户提供认证服务的框架2、X.509 是一个重要的标准，因为、X.509 中定义的使用。3、X.50

11、9 最初发布于、1988 年4、X.509 基于公钥加密体制和数字签名的使用。结构和认证协议在很大环境下都会9、什么叫链？（P95-P96）在多个 CA 认证中心之间需要相互认证各自的用户时，由各个 CA 认证中心相互认证的，形成一个链，通信双方通过这个链取得相互信任。10 怎样撤销 X.509每一个存放在目录中的？(P97)撤销列表都由者签名，并且包括：者的名称，列表创建日期，下一个 CRL 计划日期和每一个被撤销的。当用户从消息中得到时，必须要确定是否被撤销。用户可以在每次收到时检查目录。为了避免由目录搜列表的本地缓存。索带来的延迟，用户可以一个和被撤销第五章：1、PGP 提供的 5 种主

12、要服务是什么？(P109)认证(数字签名)，(消息加密)，压缩，电子邮件兼容和分段。2、分离签名的用途是什么？(P110)分离签名可以与其签名的消息分开防止；3 可以多方签名。和传送，这在许多情况下都有用：1 用户的要求；23、PGP 为什么在压缩前生成签名？(P111)1.对未压缩的消息进行签名可以保存未压缩的消息和签名供未来验证时使用； 2.即使有人想动态地对消息重新压缩后进行验证，用 PGP现有的压缩算法仍然会比较。4、什么是基-64 转换？(P112)将一组三个 8 比特二进制数据时加上 CRC 校验以检测传送错误。为 4 个 ASCII 码字符，同5、电子邮件应用为什么使用基-64

13、转换？(P112) 使用 PGP 时，要对数据进行加密。加密得到的数据可能是由任意的 8 比特字节流组成。然而许多电子邮件系统仅仅允许使用由 ASCII码组成的数据块。为适应这个限制，PGP 提供了将 8 比特二进制流转换为可打印的 ASCII 码字符的功能。6、PGP 为什么需要分段和重组？(P113) 电子邮件工具通常限制消息的最大长度。未来适应这个限制，PGP 自动将长消息分段，使之可以通过电子邮件发送。分段在所以其他操作（包括基-64 转换）治好进行。因此，会话密钥和签名部分仅在第一个分段的开始出现。7、PGP 如何使用信任关系？(P119) PGP 的信任关系由 “密钥域”、“签名信

14、任域”、“所有者信任域”这三个域获得一致性。经过三步流程(写出三个流程的过程)，周期性的处理公钥8、RFC 822 是什么？(P121)RFC 822 定义了一种电子邮件传输的文本消息格式，这是一种被广泛使用的基于互联网传递的文本邮件标准。包括信封和内容两部分(写出这两部分内容)。9、MIME 是什么？(P122)是指多用途网际邮件扩展是对 RFC 822 框架的扩展，用于解决关于电子邮件的 SMTP，简单邮件传输或其他邮件传输协议和 RFC 822 存在的一些问题和局限性。10、S/MIME 是什么？(P121)是基于 RSA 数据安全性，对互联网电子邮件格式标准 MIME 的安全性增强。虽

15、然 PGP 和S/MIME 都基于 IETF 标准，但 S/MIME 侧重于适合商业和团体使用的工业标准.第六章：1、举出一个应用 IPSEC 的例子：(P143)1.路由器广播；2.邻居广播；3.重定向报文；4.路由更新未被。(详细写出一个即可)2、IPSEC 提供那些服务？(P145)控制，无连接完整性，数据源认证，包，性，受限制的流量性3、那些参数表示了 SA，那些参数表现了一个特定 SA 的本质？(P146)由安全参数索引、IP 目的地址、安全协议标识三个参数确定一个 SA。由“序列号计数器，序列计数器溢出，反重放窗口，AH 信息，ESP 信息，此安全关联的生存期，IPSec 协议模式

16、，最大传输单元路径”等参数表示一个特定的 SA。4、传输模式与隧道模式有何区别？(P148)传输模式是对 IP 数据包的载荷(上层协议)、IPV6 报头的扩展部分进行保护和认证；隧道模式是对整个内部 IP 包、IPV6 报头的扩展部分进行保护和认证。5、什么是重放？(P149)者得到了一个经过认证的包的副本，稍后又将其传送到其希望被传送。重放就是一个到的目的的站点的6、为什么 ESP 包括一个填充域？(P153)ESP 格式要求填充长度和邻接报头域为右对齐的 32 比特的字，同样，密文也是 32 比特的整数倍，填充域用来保证这样的排列。7、SA 的基本方法是什么？(P156)1.传输邻接：这种

17、方法指在没有激活隧道的情况下，对一个 IP 包使用多个安全协议。 2.隧道迭代：指通过 IP 隧道应用多层安全协议。8、Oakley 密钥确定协议和 ISAKMP 在 IPSec 中起到什么作用？(P158)IPSec 的密钥管理部分包括密钥的确定和分发。分手动密钥管理和自动密钥管理两种类型。Oakley 和 ISAKMP 就是 IPSec 的自动密钥管理协议。第七章：1、图 7.1 给出的三种方法的各自优点是什么？(P177)采用 IPSec 方法的优势是在网络层上实现安全，对于终端用户和应用是透明的，用户和应用程序不必考虑安全机制。采用 SSL/TLS 方式的优势是在传输层上实现安全传输，

18、在 Web 拂去其和Web 客户端嵌入该安全方法，就能够保证互联网上实现且安全的。而采用诸如PGP、SET 等方法的优势是可以针对特定的需求和应用，定制特别的安全机制。该机制是在应用层上实现安全。2、SSL 由那些协议组成？(P178 图 7.2) SSL协议，SSL 握手协议，SSL变更规格协议，SSL协议。(详细写出)3、SSL 连接和 SSL 会话之间的区别是什么？(P178)连接是一种能够提供合适服务类型的传输。会话：SSL 会话是客户与服务器之间的一种关联。4、列出定义 SSL 会话状态的参数，并简要给出各参数的定义：(P179) 会话标识符，对等证书，规格，主密钥，可恢复性。(要写

19、出定义)5、列出定义 SSL 会话连接的参数，并简要给出各参数的定义：(P179)服务器和客户端随机数，服务器写 MAC 密钥，客户端写 MAC 密钥，服务器写密钥，客户端写密钥，初始化向量，序列号。(要写出定义)6、SSL协议提供了那些服务：(P179-180)性和消息完整性。(要写出定义)7、SSL协议执行过程中涉及到那些步骤？(P180)先将数据分段成可操作的块，然后选择压缩或不压缩数据，再生成 MAC，加密，添加头并将最后的结构作为一个 TCP 分组送出。8、列出 SET 的主要参与者，并简要给出他们的定义：(P194-195)持卡者：在待腻子环境下，消费者与公司客户是通过互联网上的个

20、人计算机与商家发生联系的。 商家：商家是能够售卖货物或服务给持卡者的个人或组织。发卡机构：发卡机构是能够为持卡者提供支付卡的金融机构。商：商是为了商家建立帐户并处理支付卡认证与支付事物的金融机构。支付网关：是商或指定第的专门处理商家支付信息的功能设施认证机构：是一个为持卡者，商家和支付网关签发 X.509V3 公钥的实体。9、什么是双重签名？其目的是什么？(P196)双重签名是 SET 协议中，保证发出的订单信息 OI 与相对应的致富信息 PI 是唯一对应的。消费者使用签名：DS=E（PRc,H(H(PI)|H(OI)）； 商家使用签名：H(PIMD|HOI);D(PUc,DS)；验证签名：H

21、(HPI|OIMD);D(PUc,DS)。这样都可以证明该项交易真实性。第八章：1、把网络管理体系结构视为一个整体的意义是什么？(P205)网络管理系统将整个网络视为一个的体系结构，并为系统中的各个点分配地址和，为系统所知的每个部件和链路分配特定的属性。网络中的主动部件会定期的将其状态信息反馈给网络控制中心。2、SNMP 模型中的关键元素是什么? (P205-206)一、20 管理站，管理网络管理协议，管理信息库，3、什么是 MIB？(P206)为了管理网络中的资源，SNMP 使用客体来描述每个资源。客体的本质是数据变量，它描述管理在某一个方面的属性的集合了 MIB,MIB 的功能是作为管理站

22、在上的点集合。4、SNMPV1 提供那些基本功能和命令？(P206)GET, SET, Notify5、SNMP 委托的功能是什么？(P207-208)对于没有安装 SNMP 的设备进行网络管理，称之为“委托”。是采用“管理站查询”“委托转发”“设备应答”“委托设陷井告知管理站”的流程工作的。6、简要解释 SNMPV1 的概念？(P211)是一个 SNMP理特性。和一组 SNMP 管理器之间的关系，定义了认证，控制和委托代7、SNMPV1,SNMPV2 和 SNMPV3 之间的关系是什么？(P205、P209、P213)SNMPv1 是具备网络管理的基本功能；SNMPv2 增强了 v1 版的功

23、能，如可以管理分布式网络、支持用非 TCP/IP 协议簇的其他协议、支持本地做了增强。协议关系等等；SNMPv3 则在安全性能上8、USM 模型用来预防什么威胁？(P221) 信息更改，消息流泄漏9、引擎与非引擎之间的区别是什么？(P222)能接受包含需要应答的载荷的 SNMP 消息包的接受者为擎；能发送不需要应答的载荷的 SNMP 消息包的发送者为擎。引擎；不能接受者为非引擎；不能发送者为非引引10、什么是密钥本地化？(P225)为用户和(P228)的 SNMP 引擎之间共享的密钥。11、列出并简要定义VACM 的元素？主体，安全级别，安全模型，客体实例，类型。第九章：1、列出并简要定义三类

24、者？(P237)用户，违法用户，隐秘用户2、用于保护口令文件的两种通用技术是什么？(P239)单向函数，和控制3、防御系统可以带来那三个好处？(P240) 1、如果足够快地检测到行为，就可以在检测系统是者危害系统或者数据安全之前将其鉴别并出系统。 2 有效的一种威慑力量，能够起到防护者的作用。 3检测可以收集技术信息，这些信息可以用于增强防护系统的防护能力。4、统计异常检测和基于规则的检测之间有那些区别？(P243, P245) “统计异常检测”是依据对正常/合法的行为进行检测，当检测到超出正常范围时就认为发生了行为；而“基于规则的检测”则是对行为进行检测，发现的行为即认为发生坏了行为。5、对于基于行为曲线的检测来说，采用什么尺度是有益的？(P243) 可以按照“计数器”、“计量器”、“间隔计时器”、“资源使用情况”这几个尺度来衡量行为。6、基于规则的异常检测和基于规则的渗透检测之间有什么不同？(P245)异常检测是建立