【正文】 2）對(duì)第i次（i=1，2，…，16）作：①對(duì)左右兩部分密鑰（各32位）的每部分都左移由一個(gè)十進(jìn)制數(shù)指明的若干位。②將移位后的兩部分拼接起來。③對(duì)拼接起來的56位進(jìn)行排列選擇替換得該次48位密鑰Ki。DES的保密性取決于對(duì)密鑰的保密。試述國(guó)際數(shù)據(jù)加密算法IDEA的加密過程。答：先將明文劃分成一個(gè)個(gè)64比特氏的數(shù)據(jù)分組，然后對(duì)每個(gè)分組經(jīng)過8次迭代和1次變換，得出64比特密文。對(duì)于每次的迭代，每一個(gè)輸出比特都與每—個(gè)輸入比特有關(guān)。出于IEDA使用128比特密鑰，因而更加不容易被攻破。 數(shù)字簽名的根據(jù)何在，如何實(shí)現(xiàn)數(shù)字簽名？答：數(shù)字簽名的根據(jù)是對(duì)所簽的名要能核實(shí)、不能抵賴、不能偽造，如同親筆簽名一樣，能證明其真實(shí)性。實(shí)現(xiàn)數(shù)字簽名的方法有多種，但公開密鑰算法比較容易實(shí)現(xiàn)數(shù)字簽名。發(fā)送者A用其秘密解密密鑰SKA對(duì)報(bào)文X進(jìn)行運(yùn)算，將結(jié)果DSKA（X）傳送給接收者B，B用A的公開加密密鑰PKA得出EPKA（DSKA（X））=X，由于除A外沒有別人具有A的解密密鑰SKA，所以只有A能產(chǎn)生密文DSKA（X），這樣報(bào)文X就被A簽名了。若A抵賴，B可將X及DSKA（X）出示給第三者，第三者可以用PKA去證實(shí)A確實(shí)發(fā)送信息X給B；若B將X偽造成X′，則B不敢向第三者出示DSKA（X′）。5兩種密鑰分配協(xié)議有哪些差別？答：常規(guī)密鑰分配協(xié)議和利用公開密鑰密碼體制的密鑰分配協(xié)議，都是通過密鑰分配中心KDC來完成會(huì)話密鑰（或工作密鑰）SK的分配，但二者有以下差別：（1）兩種協(xié)議證書的使用范圍不相同. 在常規(guī)密鑰分配協(xié)議中，用戶A與用戶B通信前，用戶A向KDC送明文（A，B）申請(qǐng)會(huì)話密鑰，KDC從主密鑰文件中找出用戶A和B的主密鑰KA和KB，同時(shí)產(chǎn)生A與B通信的會(huì)話密鑰SK，然后用KA，KB加密SK，并傳送信息：KDC→A：EKA（B，SK，T，EKB（A，SK，T））A→B：EKB（A，SK，T） T是當(dāng)前的日期時(shí)間（即時(shí)間戳），這兩個(gè)信息只有A或B解密。因此，用戶A和B便可用SK進(jìn)行保密通信。 由于KA和KB是KDC與用戶A，B共享的，故EKA（B，SK，T，EKB（A，SK，T））既可以用來分配密鑰，又可以用來作為用戶A向用戶B證明身份的證書。但是，KDC簽發(fā)給A的這一份證書，只能向網(wǎng)絡(luò)用戶B證明自己的身份。然而，對(duì)公開密鑰分配協(xié)議，KDC為了和其他用戶進(jìn)行保密通信需一對(duì)公開密鑰和秘密密鑰（PKKDC，SKKDC）。這樣，每個(gè)用戶都可以預(yù)先向KDC申請(qǐng)一個(gè)證書。例如，用戶A的證書CA=DSKDKC（A，PKA，TA），A為用戶名，PKA為用戶A的公開密鑰，TA為CA的時(shí)間戳。當(dāng)用戶A與用戶B進(jìn)行保密通信時(shí)，先交換證書A→B：CA ,B→A：CB，TokenBA=EPKA（DSKB（A，SK，TD））A→B：TokenAB=EPKB（DSKA（B，SK，TD））..SK是用戶A與B保密通信的工作密鑰，SKA，SKB為用戶A，B的秘密密鑰，TD為時(shí)間戳。然后，用戶A與B便可以用SK進(jìn)行保密通信。顯然，這里的證書可以向網(wǎng)絡(luò)中任何用戶證明自己的身份。（2）證書時(shí)間戳的有效期不相同在公開密鑰密碼體制下，由于不怕攻擊者得到公開密鑰，所以證書的有效期比常規(guī)密鑰體制下證書的有效期長(zhǎng)。不過Token用的時(shí)間標(biāo)記的有效期一般較短，要求每次都不一樣。（3）在兩種密鑰分配協(xié)議中，KDC起的作用不同在常規(guī)密鑰體制下，KDC參與了用戶的秘密信息活動(dòng)，而在公開密鑰密碼體制的協(xié)議中，KDC分配的是公開密鑰，不知道用戶的秘密。若KDC遭到破壞，對(duì)前者將危及用戶；對(duì)后者攻擊者仍無法竊聽用戶的信息。7國(guó)持網(wǎng)IP安全體系IPsec包括哪些主要內(nèi)容， 答：IPScc包括以下主要內(nèi)容：1)鑒別首部AH；提供源站鑒別和數(shù)據(jù)完整件，但不能保密。源站鑒別是指當(dāng)目的站收到IP數(shù)據(jù)報(bào)時(shí)，能確定該數(shù)據(jù)報(bào)是從數(shù)據(jù)報(bào)的源IP地址的主機(jī)發(fā)來的。(2)封裝安全有效載荷ESP：用ESP封裝的數(shù)據(jù)報(bào)，既有鑒別源站相檢查數(shù)據(jù)完整性的功能，又能提供保密。3)密鑰交換IKE協(xié)議：在使用IPsec之前，用于通信雙方建立安全關(guān)聯(lián)SA。*在組建Internet時(shí)，為什么要設(shè)置防火墻？防火墻的基本結(jié)構(gòu)是怎樣的？如何起“防火”作用？有哪幾種防火墻配置？答：（1）Intranet是利用Internet技術(shù)建立的企業(yè)內(nèi)部信息網(wǎng)絡(luò)。它的用戶界面與Internet用戶界面相同，不僅企業(yè)網(wǎng)內(nèi)部用戶可以很方便地訪問Internet，而且Internet用戶也能方便地訪問Internet。然而Internet內(nèi)部信息分保密和公開兩類，內(nèi)部保密信息是不允許外部用戶訪問的，而企業(yè)產(chǎn)品廣告等公開的信息，則希望社會(huì)上廣大用戶盡可能多地訪問。為了防止非法用戶竊取保密信息，抵抗各種進(jìn)攻和滲透，又保證合法通信的安全開放，需要在Intranet與Internet之間設(shè)置防火墻。（2）防火墻的基本結(jié)構(gòu)為分組（或包）過濾路由器、應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。分別采用網(wǎng)絡(luò)層防火墻技術(shù)和應(yīng)用層防火墻技術(shù)。（3）上述三種基本防火墻，其防火作用各不相同。網(wǎng)絡(luò)層防火墻保護(hù)整個(gè)網(wǎng)絡(luò)不受非法入侵，采用的是分配過濾技術(shù)，即利用IP數(shù)據(jù)報(bào)報(bào)頭的部分或全部信息來設(shè)置分組過濾規(guī)則，據(jù)此檢查進(jìn)入網(wǎng)絡(luò)的分組（或IP數(shù)據(jù)報(bào)），將不符合預(yù)先設(shè)定標(biāo)準(zhǔn)的分組丟掉，而讓符合標(biāo)準(zhǔn)的通過。應(yīng)用層網(wǎng)關(guān)防火墻則是控制對(duì)應(yīng)用程序的訪問，即允許訪問某些應(yīng)用程序而阻止訪問其他應(yīng)用程序。采用的方法是在應(yīng)用層網(wǎng)關(guān)上安裝代理軟件，每個(gè)代理模塊分別針對(duì)不同的應(yīng)用，管理員可以根據(jù)需要安裝相應(yīng)的代理，用以控制對(duì)應(yīng)應(yīng)用程序的訪問。管理員通過配置訪問控制表中的規(guī)則，決定內(nèi)、外部網(wǎng)絡(luò)的哪些用戶可以使用應(yīng)用層網(wǎng)關(guān)中的哪個(gè)代理模塊連接到哪個(gè)目的站點(diǎn)。代理工作時(shí)，用戶先與代理服務(wù)器建立連接，后將目的站點(diǎn)告知代理，對(duì)合法請(qǐng)求，代理以應(yīng)用網(wǎng)關(guān)的身份與目的站點(diǎn)建立連接，而代理則在這兩個(gè)連接上轉(zhuǎn)發(fā)數(shù)據(jù)。電路層網(wǎng)關(guān)防火墻，不關(guān)心任何應(yīng)用協(xié)議，只根據(jù)規(guī)則建立一個(gè)網(wǎng)絡(luò)到另一個(gè)網(wǎng)絡(luò)的連接，不作任何審查、過濾，只在內(nèi)部連接和外部連接之間來回拷貝數(shù)據(jù)，就像用電線連通一樣。（4）利用上述防火墻的基本結(jié)構(gòu)或部件，可以進(jìn)行不同配置，形成具有不同能力，不同類型的防火墻。通常有以下三種配置：①分組（或包）過濾路由器，這是最簡(jiǎn)單也是最常用的防火墻。②雙宿主網(wǎng)關(guān)。在雙宿主主機(jī)上安裝代理服務(wù)器軟件，即成為雙宿主網(wǎng)關(guān)。實(shí)際上雙宿主主機(jī)是一臺(tái)有兩塊接口卡（NIC）的計(jì)算機(jī)，每塊接口卡有一個(gè)IP地址。如果Internet上的一臺(tái)計(jì)算機(jī)要與Intranet上的一個(gè)工作站通信，必須先通過代理服務(wù)器軟件建立與對(duì)方網(wǎng)絡(luò)的連接。③主機(jī)過濾防火墻。它由分組過濾器和應(yīng)用網(wǎng)關(guān)組成。形成兩道安全屏障，既實(shí)現(xiàn)了網(wǎng)絡(luò)層安全，又實(shí)現(xiàn)了應(yīng)用層安全。④子網(wǎng)過濾防火墻。在主機(jī)過濾配置量上再加一個(gè)路由器，形成一個(gè)非軍事區(qū)的子網(wǎng)，建立三道防線。 何謂入侵檢測(cè)系統(tǒng)?入侵檢測(cè)分哪幾類?各種類的入侵檢測(cè)系統(tǒng)適用于什么場(chǎng)合?入侵檢測(cè)的方式有哪幾種? 答：(1)入侵檢測(cè)系統(tǒng)是一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告未授權(quán)或異?，F(xiàn)象的系統(tǒng)識(shí)別和響應(yīng)網(wǎng)絡(luò)外部的入侵行為，又能監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。 (2)入侵檢測(cè)分以下5類： ①基于網(wǎng)絡(luò)的入侵檢測(cè)；②基于主機(jī)的入侵檢測(cè)； ③基于應(yīng)用的入侵檢測(cè)；④文件完整性檢查器； ⑤密罐系統(tǒng)。(3)入侵檢測(cè)的方式主要有3種：①異常檢測(cè)；②特征檢測(cè)；③協(xié)議分析。