【正文】 種子產(chǎn)生一次性密鑰，然后在進(jìn)行數(shù)據(jù)和4字節(jié)完整性檢驗(yàn)者和一次性密鑰異或運(yùn)算后構(gòu)成密文。首先鑒別用戶身份，鑒別用戶身份的過(guò)程就是判斷用戶提供的用戶標(biāo)識(shí)信息是否與鑒別數(shù)據(jù)庫(kù)中與該用戶綁定的用戶標(biāo)識(shí)信息相同。完整性檢測(cè)：WEP采用循環(huán)冗余校驗(yàn)(CRC)碼作為消息驗(yàn)證碼進(jìn)行完整性檢測(cè)，它首先檢測(cè)在WEP幀結(jié)構(gòu)中FCS字段的CRC碼數(shù)據(jù)序列包含MAC幀的各個(gè)字段，看是否發(fā)生錯(cuò)誤；還檢測(cè)ICV加密運(yùn)算之后生成的密文在傳輸過(guò)程中是否被更改。它的安全意義一是為重要終端間通信選擇安全傳輸路徑，如避開位于不安全的路由器等；二是繞過(guò)有黑客通過(guò)實(shí)施路由欺騙攻擊而生成的錯(cuò)誤傳輸路徑；三是可以避開黑客的拒絕服務(wù)攻擊。由于對(duì)稱密鑰的安全分發(fā)、存儲(chǔ)比較困難，并且用公開密鑰加密算法加密數(shù)據(jù)解密數(shù)據(jù)的計(jì)算量太大，因此，常用的鑒別接收端機(jī)制是第二種。 列出接收端身份鑒別機(jī)制并比較它們的特點(diǎn)。通過(guò)身份鑒別后，為該用戶分配臨時(shí)密鑰TK，并將TK與用戶使用的終端的MAC地址綁定在一起，以后一律用該TK加密解密與該MAC地址標(biāo)識(shí)的終端交換的數(shù)據(jù)。？ 答：鑒別服務(wù)器建立鑒別數(shù)據(jù)庫(kù)，鑒別數(shù)據(jù)庫(kù)中給出授權(quán)用戶名與用戶標(biāo)識(shí)信息的綁定跪下。 NAT的安全性如何體現(xiàn)？答：在內(nèi)部網(wǎng)絡(luò)中的終端發(fā)起某個(gè)會(huì)話前，外部網(wǎng)絡(luò)中的終端是無(wú)法訪問(wèn)到內(nèi)部網(wǎng)絡(luò)中的終端的，因此，也無(wú)法發(fā)起對(duì)內(nèi)部網(wǎng)絡(luò)中的終端的攻擊。 什么是策略路由？它有何安全意義？答：策略路由是為特點(diǎn)IP分組選擇特殊的傳輸路徑，特定IP分組由分類條件確定，通過(guò)人工指定下一跳地址，確定特殊的傳輸路徑。答：接收端身份鑒別機(jī)制是保證只有授權(quán)接收端接收數(shù)據(jù)，一是發(fā)送端和接收端之間共享某個(gè)對(duì)稱密鑰，發(fā)送端用該對(duì)稱密鑰加密數(shù)據(jù)，這樣，只有擁有該對(duì)稱密鑰的接收端才能解密數(shù)據(jù)；二是發(fā)送端產(chǎn)生一個(gè)隨機(jī)數(shù)作為對(duì)稱密鑰，用其加密數(shù)據(jù)，但用接收端的公鑰加密該作為對(duì)稱密鑰的隨機(jī)數(shù)，并把加密密鑰后產(chǎn)生的密文連同數(shù)據(jù)密文一起發(fā)生給接收端，接收端必須用私鑰解密處對(duì)稱密鑰，然后，再用對(duì)稱密鑰解密出數(shù)據(jù)；三是發(fā)送端直接用接收端的公鑰加密數(shù)據(jù)。WEP安全缺陷：①一次性密鑰字典②完整性檢測(cè)缺陷③靜態(tài)密鑰管理缺陷Socks5：是一個(gè)代理協(xié)議，它在使用TCP/IP協(xié)議通訊的前端機(jī)器和服務(wù)器機(jī)器之間扮演一個(gè)中介角色，使通訊更加安全。答：一是建立發(fā)送端和某個(gè)對(duì)稱密鑰之間的綁定，傳輸信息中嵌入該對(duì)稱密鑰（或是用該對(duì)稱密鑰加密傳輸?shù)臄?shù)據(jù)，或是用該對(duì)稱密鑰加密數(shù)據(jù)的報(bào)文摘要）；二是發(fā)送端對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)字簽名，前提是接收端擁有與該發(fā)送端綁定的公鑰。Dsk(MD(P))可以對(duì)報(bào)文P的數(shù)字簽名，其中D是RSA解密算法，SK是RSA私鑰。答：發(fā)送端身份鑒別首先需要在鑒別者建立發(fā)送端和某個(gè)標(biāo)識(shí)符之間的綁定關(guān)系，然后通過(guò)判斷該發(fā)送端是否擁有或知道該標(biāo)識(shí)符來(lái)確定是否是與該與該標(biāo)識(shí)符綁定的發(fā)送端。加密通信的各方都需要擁有對(duì)稱密鑰，只能用對(duì)稱密鑰來(lái)鑒別用戶是否授權(quán)參與加密通信。機(jī)制：1：聚集擁塞控制（ACC）2：基于異常防范，監(jiān)測(cè)源IP地址防范3：基于源防范，出口過(guò)濾，路由過(guò)濾，IP跟蹤4：包過(guò)濾和限速 如何防止重復(fù)攻擊？答：用序號(hào)和時(shí)間戳防御重放攻擊，為了防御重放攻擊，要求接收端能夠檢測(cè)出被黑客終端重復(fù)傳輸?shù)南⒑脱舆t轉(zhuǎn)發(fā)的消息。通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。 DDos攻擊的基本思路是什么？試給出反制機(jī)制。由于對(duì)稱密鑰的安全分發(fā)、存儲(chǔ)比較難以實(shí)現(xiàn)，因此，第二種是比較常用的發(fā)送端身份鑒別機(jī)制。 列出發(fā)送端身份鑒別機(jī)制并比較它們的特點(diǎn)。數(shù)字簽名當(dāng)然可以用于發(fā)送端身份鑒別，但是數(shù)字簽名的主要用途是用于證明發(fā)送端確實(shí)發(fā)送過(guò)它數(shù)字簽名的報(bào)文。 什么是數(shù)字簽名？它和發(fā)送端身份鑒別有什么區(qū)別？試給出用RSA實(shí)現(xiàn)數(shù)字簽名的方法。 RSA私鑰和對(duì)稱密鑰加密算法中的密鑰有什么不同?答：只有本人擁有RSA私鑰，因此，可以用是否擁有私鑰來(lái)鑒別用戶身份。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。答：直接DDoS攻擊和間接DDoS攻擊，通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。 簡(jiǎn)述基于行為特征的病毒檢測(cè)機(jī)制的原理和缺陷。蠕蟲病毒屬于廣義病毒，它的特征是自我復(fù)制和自動(dòng)激活。一般情況下，病毒感染的文件往往是可執(zhí)行文件或設(shè)備驅(qū)動(dòng)程序。即病毒不是完整的一個(gè)程序。答：拒絕服務(wù)攻擊一般不違反訪問(wèn)授權(quán)，因此，很難通過(guò)接入控制、訪問(wèn)控制策略等安全技術(shù)加以解決，但發(fā)生拒絕服務(wù)攻擊時(shí)，通往攻擊目標(biāo)鏈路的信息流模式，尤其是以攻擊目標(biāo)為目的地的信息流模式會(huì)發(fā)生重大變化，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)中各段鏈路的信息流模式的變化過(guò)程，可以發(fā)現(xiàn)拒絕服務(wù)攻擊，通過(guò)控制信息流模式的變化過(guò)程對(duì)拒絕服務(wù)攻擊進(jìn)行抑制。異同：數(shù)字簽名完全可以實(shí)現(xiàn)源端身份鑒別，但是實(shí)現(xiàn)源端身份鑒別未必要求數(shù)字簽名。答：基于行為的檢測(cè)技術(shù)可以檢測(cè)出變形病毒和未知病毒，但是在執(zhí)行過(guò)程中檢測(cè)病毒，有可能因?yàn)橐呀?jīng)執(zhí)行部分病毒代碼而對(duì)系統(tǒng)造成危害，并且由于很難區(qū)分正常和非正常的資源訪問(wèn)操作，無(wú)法為用戶精確配置資源訪問(wèn)權(quán)限，常常發(fā)生漏報(bào)和誤報(bào)病毒的情況。：簡(jiǎn)述基于代碼特征的病毒檢測(cè)機(jī)制的原理和缺陷 答：需要建立病毒特征庫(kù)，通過(guò)分析已發(fā)現(xiàn)的病毒提取出沒一種病毒有別于正常代碼或文本的病毒特征，然后根據(jù)病毒特征庫(kù)在掃描的文件中進(jìn)行匹配操作。廣義的病毒特征是自我復(fù)制能力，自我復(fù)制和感染不同，由于廣義病毒可以是完整的程序，自我復(fù)制指的是將該病毒程序從一個(gè)系統(tǒng)自動(dòng)復(fù)制到另一個(gè)系統(tǒng)中，廣義病毒程序可以作為一個(gè)獨(dú)立文件存在。而是嵌入某個(gè)文件中的一段代碼，病毒發(fā)作時(shí)可以將這一段代碼嵌入系統(tǒng)的其他文件中。 狹義病毒的特征是什么？廣義病毒特征是什么？蠕蟲病毒的特征是什么？答：狹義病毒的特征是寄生和感染。 拒絕服務(wù)攻擊為什么難以解決？服務(wù)器能自己解決SYN泛洪攻擊嗎？試給出網(wǎng)絡(luò)解決拒絕服務(wù)攻擊的方法。第一篇：計(jì)算機(jī)網(wǎng)絡(luò)安全 復(fù)習(xí)題 數(shù)字簽名有效的前提是什么？鑒別數(shù)字發(fā)送者身份和數(shù)字簽名有什么異同？答：一是數(shù)字簽名是唯一的，即只有簽名者唯一能夠產(chǎn)生數(shù)字簽名；二是和報(bào)文關(guān)聯(lián)，是針對(duì)特定報(bào)文的數(shù)字簽名；三是數(shù)字簽名的唯一和與特定報(bào)文關(guān)聯(lián)的兩種特性可以由第三方證明。異同：數(shù)字簽名完全可以實(shí)現(xiàn)源端身份鑒別，但是實(shí)現(xiàn)源端身份鑒別未必要求數(shù)字簽名。答：拒絕服務(wù)攻擊一般不違反訪問(wèn)授權(quán)，因此，很難通過(guò)接入控制、訪問(wèn)控制策略等安全技術(shù)加以解決，但發(fā)生拒絕服務(wù)攻擊時(shí)，通往攻擊目標(biāo)鏈路的信息流模式，尤其是以攻擊目標(biāo)為目的地的信息流模式會(huì)發(fā)生重大變化，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)中各段鏈路的信息流模式的變化過(guò)程，可以發(fā)現(xiàn)拒絕服務(wù)攻擊，通過(guò)控制信息流模式的變化過(guò)程對(duì)拒絕服務(wù)攻擊進(jìn)行抑制。即病毒不是完整的一個(gè)程序。一般情況下，病毒感染的文件往往是可執(zhí)行文件或設(shè)備驅(qū)動(dòng)程序。蠕蟲病毒屬于廣義病毒，它的特征是自我復(fù)制和自動(dòng)激活。 簡(jiǎn)述基于行為特征的病毒檢測(cè)機(jī)制的原理和缺陷。 數(shù)字簽名有效的前提是什么？鑒別數(shù)字發(fā)送者身份和數(shù)字簽名有什么異同？答：一是數(shù)字簽名是唯一的，即只有簽名者唯一能夠產(chǎn)生數(shù)字簽名；二是和報(bào)文關(guān)聯(lián)，是針對(duì)特定報(bào)文的數(shù)字簽名；三是數(shù)字簽名的唯一和與特定報(bào)文關(guān)聯(lián)的兩種特性可以由第三方證明。 拒絕服務(wù)攻擊為什么難以解決？服務(wù)器能自己解決SYN泛洪攻擊嗎？試給出網(wǎng)絡(luò)解決拒絕服務(wù)攻擊的方法。 狹義病毒的特征是什么？廣義病毒特征是什么？蠕蟲病毒的特征是什么？答：狹義病毒的特征是寄生和感染。而是嵌入某個(gè)文件中的一段代碼，病毒發(fā)作時(shí)可以將這一段代碼嵌入系統(tǒng)的其他文件中。廣義的病毒特征是自我復(fù)制能力，自我復(fù)制和感染不同，由于廣義病毒可以是完整的程序，自我復(fù)制指的是將該病毒程序從一個(gè)系統(tǒng)自動(dòng)復(fù)制到另一個(gè)系統(tǒng)中，廣義病毒程序可以作為一個(gè)獨(dú)立文件存在。：簡(jiǎn)述基于代碼特征的病毒檢測(cè)機(jī)制的原理和缺陷 答：需要建立病毒特征庫(kù)，通過(guò)分析已發(fā)現(xiàn)的病毒提取出沒一種病毒有別于正常代碼或文本的病毒特征，然后根據(jù)病毒特征庫(kù)在掃描的文件中進(jìn)行匹配操作。答：基于行為的檢測(cè)技術(shù)可以檢測(cè)出變形病毒和未知病毒，但是在執(zhí)行過(guò)程中檢測(cè)病毒，有可能因?yàn)橐呀?jīng)執(zhí)行部分病毒代碼而對(duì)系統(tǒng)造成危害，并且由于很難區(qū)分正常和非正常的資源訪問(wèn)操作，無(wú)法為用戶精確 DDos攻擊的基本思路是什么？試給出反制機(jī)制。通過(guò)向服務(wù)器提交大量請(qǐng)求，使服務(wù)器超負(fù)荷。機(jī)制：1：聚集擁塞控制（ACC）2：基于異常防范，監(jiān)測(cè)源IP地址防范3：基于源防范，出口過(guò)濾，路由過(guò)濾，IP跟蹤4：包過(guò)濾和限速 如何防止重復(fù)攻擊？答：用序號(hào)和時(shí)間戳防御重放攻擊，為了防御重放攻擊，要求接收端能夠檢測(cè)出被黑客終端重復(fù)傳輸?shù)南⒑脱舆t轉(zhuǎn)發(fā)的消息。加密通信的各方都需要擁有對(duì)稱密鑰，只能用對(duì)稱密鑰來(lái)鑒別用戶是否授權(quán)參與加密通信。答：發(fā)送端身份鑒別首先需要在鑒別者建立發(fā)送端和某個(gè)標(biāo)識(shí)符之間的綁定關(guān)系，然后通過(guò)判斷該發(fā)送端是否擁有或知道該標(biāo)識(shí)符來(lái)確定是否是與該與該標(biāo)識(shí)符綁定的發(fā)送端。Dsk(MD(P))可以對(duì)報(bào)文P的數(shù)字簽名，其中D是RSA解密算法，SK是RSA私鑰。答：一是建立發(fā)送端和某個(gè)對(duì)稱密鑰之間的綁定，傳輸信息中嵌入該對(duì)稱密鑰（或是用該對(duì)稱密鑰加密傳輸?shù)臄?shù)據(jù)，或是用該對(duì)稱密鑰加密數(shù)據(jù)的報(bào)文摘要）；二是發(fā)送端對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)字簽名，前提是接收端擁有與該發(fā)送端綁定的公鑰。WEP安全缺陷：①一次性密鑰字典②完整性檢測(cè)缺陷③靜態(tài)密鑰管理缺陷Socks5：是一個(gè)代理協(xié)議，它在使用TCP/IP協(xié)議通訊的前端機(jī)器和服務(wù)器機(jī)器之間扮演一個(gè)中介角色，使通訊更加安全。答：直接DDoS攻擊和間接DDoS攻擊，通過(guò)使網(wǎng)絡(luò)過(guò)載來(lái)干擾甚至阻斷正常的網(wǎng)絡(luò)通訊。阻斷某一用戶訪問(wèn)服務(wù)器阻斷某服務(wù)與特定系統(tǒng)或個(gè)人的通訊。 RSA私鑰和對(duì)稱密鑰加密算法中的密鑰有什么不同?答：只有本人擁有RSA私鑰，因此，可以用是否擁有私鑰來(lái)鑒別用戶身份。 什么是數(shù)字簽名？它和發(fā)送端身份鑒別有什么區(qū)別？試給出用RSA實(shí)現(xiàn)數(shù)字簽名的方法。數(shù)字簽名當(dāng)然可以用于發(fā)送端身份鑒別，但是數(shù)字簽名的主要用途是用于證明發(fā)送端確實(shí)發(fā)送過(guò)它數(shù)字簽名的報(bào)文。 列出發(fā)送端身份鑒別機(jī)制并比較它們的特點(diǎn)。由于對(duì)稱密鑰的安全分發(fā)、存儲(chǔ)比較難以實(shí)現(xiàn)，因此，第二種是比較常用的發(fā)送端身份鑒別機(jī)制。 列出接收端身份鑒別機(jī)制并比較它們的特點(diǎn)。由于對(duì)稱密鑰的安全分發(fā)、存儲(chǔ)比較困難，并且用公開密鑰加密算法加密數(shù)據(jù)解密數(shù)據(jù)的計(jì)算量太大，因此，常用的鑒別接收端機(jī)制是第二種。它的安全意義一是為重要終端間通信選擇安全傳輸路徑，如避開位于不安全的路由器等；二是繞過(guò)有黑客通過(guò)實(shí)施路由欺騙攻擊而生成的錯(cuò)誤傳輸路徑；三是可以避開黑客的拒絕服務(wù)攻擊。完整性檢測(cè)：WEP采用循環(huán)冗余校驗(yàn)(CRC)碼作為消息驗(yàn)證碼進(jìn)行完整性檢測(cè)，它首先檢測(cè)在WEP幀結(jié)構(gòu)中FCS字段的CRC碼數(shù)據(jù)序列包含MAC幀的各個(gè)字段，看是否發(fā)生錯(cuò)誤；還檢測(cè)ICV加密運(yùn)算之后生成的密文在傳輸過(guò)程中是否被更改。首先鑒別用戶身份，鑒別用戶身份的過(guò)程就是判斷用戶提供的用戶標(biāo)識(shí)信息是否與鑒別數(shù)據(jù)庫(kù)中與該用戶綁定的用戶標(biāo)識(shí)信息相同。？答：WEP加密機(jī)制：將40位密鑰（也可以是104位密鑰）和24位初始向量(IV)串接在一起，構(gòu)成64位隨機(jī)種子，接收端和發(fā)送端同步隨機(jī)數(shù)種子，偽隨機(jī)數(shù)生成器(PRNG)根據(jù)隨機(jī)數(shù)種子產(chǎn)生一次性密鑰，然后在進(jìn)行數(shù)據(jù)和4字節(jié)完整性檢驗(yàn)者和一次性密鑰異或運(yùn)算后構(gòu)成密文。答：接收端身份鑒別機(jī)制是保證只有授權(quán)接收端接收數(shù)據(jù)，一是發(fā)送端和接收端之間共享某個(gè)對(duì)稱密鑰，發(fā)送端用該對(duì)稱密鑰加密數(shù)據(jù)，這樣，只有擁有該對(duì)稱密鑰的接收端才能解密數(shù)據(jù)；二是發(fā)送端產(chǎn)生一個(gè)隨機(jī)數(shù)作為對(duì)稱密鑰，用其加密數(shù)據(jù)，但用接收端的公鑰加密該作為對(duì)稱密鑰的隨機(jī)數(shù)，并把加密密鑰后產(chǎn)生的密文連同數(shù)據(jù)密文一起發(fā)生給接收端，接收端必須用私鑰解密處對(duì)稱密鑰，然后，再用對(duì)稱密鑰解密出數(shù)據(jù)；三是發(fā)送端直接用接收端的公鑰加密數(shù)據(jù)。 什么是策略路由？它有何安全意義？答：策略路由是為特點(diǎn)IP分組選擇特殊的傳輸路徑，特定IP分組由分類條件確定，通過(guò)人工指定下一跳地址，確定特殊的傳輸路徑。 NAT的安全性如何體現(xiàn)？答：在內(nèi)部網(wǎng)絡(luò)中的終端發(fā)起某個(gè)會(huì)話前，外部網(wǎng)絡(luò)中的終端是無(wú)法訪問(wèn)到內(nèi)部網(wǎng)絡(luò)中的終端的，因此，也無(wú)法發(fā)起對(duì)內(nèi)部網(wǎng)絡(luò)中的終端的攻擊。？ 答：鑒別服務(wù)器建立鑒別數(shù)據(jù)庫(kù)，鑒別數(shù)據(jù)庫(kù)中給出授權(quán)用戶名與用戶標(biāo)識(shí)信息的綁定跪下。通過(guò)身份鑒別后，為該用戶分配臨時(shí)密鑰TK，并將TK與用戶使用的終端的MAC地址綁定在一起，以后一律用該TK加密解密與該MAC地址標(biāo)識(shí)的終端交換的數(shù)據(jù)。 什么是VPN?采用VPN的主要原因是什么？ 答：VPN(虛擬專用網(wǎng))是指保持專用網(wǎng)絡(luò)資源獨(dú)享和安全傳輸特性，且又通過(guò)公共分組交換網(wǎng)絡(luò)實(shí)現(xiàn)子網(wǎng)間互連的網(wǎng)絡(luò)結(jié)構(gòu)。只供內(nèi)部網(wǎng)絡(luò)終端訪問(wèn)的內(nèi)部網(wǎng)絡(luò)資源，安全傳輸是指保證內(nèi)部各個(gè)子網(wǎng)間交