【期末复习】带着问题看网络信息安全

网络信息安全需求包含哪六个基本方面？分别简单说明它们的含义。

机密性：防止未授权用户非法获得保密信息。
完整性：在未经许可的情况下，保证数据不会被他人删除或修改（至少能发现被修改过）。
身份认证：用户要向系统证明他就是他所声称的那个人，目的是为了防止非法用户访问系统和网络资源。
访问控制：限制主体对访问客体的访问权限，从而使计算机系统在合法范围内使用。
不可否认：通信方必须对自己行为负责，而不能也无法事后否认，其他人也无法假冒通信方成功。。
可用性：计算机或网络能够在我们期望它以我们所期望的方式运行的时候运行。

什么是PPDR安全模型？它包含哪几个部分的含义？（可配合图形描述）作为一种安全模型，它有哪几个方面的特点？

这样一个动态的自适应网络安全模型。

特点：可量化、可由数学证明、且基于时间特性——攻击时间Pt、检测时间Dt、响应时间Rt和系统暴露时间Et=Dt+Rt-Pt。

TCSEC又叫什么？严格说它是一个计算机安全标准还是网络安全标准？

商用操作系统一般是哪些安全级别？它们采用哪种访问控制策略？

军用或实验室操作系统一般是哪些安全级别？它们采用哪种访问控制策略？

现行的Windows和UNIX操作系统分别达到哪个安全级别？

现有的商用操作系统是否是“安全的操作系统”？

TCSEC又叫可信计算机系统评价准则、安全橙皮书。因为TCSEC这一准则是在本机上进行检测，所以严格来说它是一个计算机安全标准。

在安全级别方面，商用计算机一般使用C级作为安全级别，采用的是DAC——自主访问控制策略；军方、实验时则采用B级作为安全级别，采用的是强制访问控制策略。现行的Windows和Unix他们都是C2级别，苹果机属于C1级别。

现有的商业操作系统因为重心是在于功能实现，一切安全策略都要在保证功能的基础上进行，因此不是安全操作系统，只能称为带安全机制的操作系统。事实上B级和C级是一条不可跨越的鸿沟。

什么是最小权限原则？

给予用户能够将工作完成的最小权限，能够将攻击者对系统造成的危害降低到最低程度。

传统密码学和现代密码学最主要的区别是什么？为什么要求现代密码学的加密算法必须公开？

传统密码学的算法和密钥都要保密，在我的理解就是算法本身就是传统密码学加密中的密钥。而现代密码学是使用数学的基础上，是穷举计算具有在空间或时间上的无法企及，因此算法可以公开，所有的奥秘都在密钥身上。

实际上，算法也保密自然更加安全。但我们更相信真金不怕火炼，人们普遍相信只有算法越久公开，其安全性月具有说服力，越有理由说服人们去使用。不公开没有被攻击过的算法可能并不是一个合格的算法。

现代密码学主要分为哪两种加密算法？对称密码加密算法又分为哪两种？

主要分为对称加密算法和公开加密算法。对称加密算法氛围流密码和分组密码。

密码系统包括以下4个方面：明文、密文、加解密算法和密钥。

举出四种最主要的分组加密算法？哪一种最经典？哪一种最安全且灵活？

分别是DES、3DES、AES、IDEA 。其中DES最经典，AES最安全且灵活。

实际上在信息安全中提起密码学，我们更应关注它们在实际应用中的使用方式，并不是一味的学习算法。当然一切需要在了解算法的基础上。

衡量算法可以参考密码算法本身的安全性（质变）；密钥的长度（量变）；随机数发生器的随机性（熵）。熵是不确定性的量度，如密钥空间为2^128，但并不意味着生成的熵128可以在实际中实现，因为熵为128只能说明破解密钥的最大工作量，丝毫不能说明最小量，一切的基础是即使用硬件生成的随机数也无法完全随机。

Kerckhoff原则：不依赖于算法的保密，而依赖于密钥。

DES因密钥位数、迭代次数少，S盒和关键部分技术细节的保密增加了人们的质疑，出现了诸多安全问题。

单一性距离：可在其他事物中测定出所需的只含有合理明文的加密文本的数量。计算公式 K/6.8个字符，可知DES：8.2个字节 IDEA：19个字节。一次一密中，K趋向无穷大，单一性距离非常大，越大所以越难破解。

IDEA使用的是128bit密钥，IDEA不使用S盒子，而且IDEA依赖于3种不同的数学运算：XOR、16位整数的二进制加法、16位整数的二进制乘法。

IDEA算法有如下优点：加密速度快、密钥产生简单、用软硬件都能实现。

IDEA安全性体现在：1）穷举搜索破译，要求进行2^128约为1038次尝试，对每秒完成100万次加密的机器，需要1013年； 2）能抗差分分析和相关分析攻击； 3）没有DES意义下的弱密钥，但仍然有2^51个弱密钥。

使用公式说明三重DES算法的实现过程？在什么情况下它的密钥是168位，什么情况下是112位？为什么三重DES的第二阶段用解密而不是加密？

三重DES使用3个密钥，执行3次DES算法。加密过程为加密-解密-加密（EDE），可表示为如下的公式：C=EK3(DK2(EK1(M)))。为了避免三重DES使用3个密钥进行三阶段加密带来的密钥过长的缺点（168bit）， Tuchman提出使用两个密钥的三重加密方法，这个方法只要求112bit密钥，即令其K1=K3：C=EK1(DK2(EK1(M)))。

因密钥三次不同，解密就是反向的加密，也是加密过程。但是不用加密的缘故是为了当三个密钥都相同时，可以化简为一重DES，这样可以实现向后兼容。

高级加密标准AES：AES的基本要求是，比三重DES快而且至少和三重DES一样安全。 2）AES分组长度为128bit，密钥长度为128/192/ 256bit。

举出四种最主要的公开加密算法？哪一种只能用于密钥交换？哪一种只能用于数字签名？哪一种功能最全面且最常用？哪一种是未来的发展方向？

公钥密码技术是在试图解决常规加密面临的两个最突出问题：密钥分配和数字签名的过程中发展起来的。

四种最主要的公开加密算法分别是RSA、D-H、椭圆曲线、数字签名标准DSS

其中D-H只用于数据交换、DSS只用于数字签名、RSA功能最全面也最常用，椭圆曲线是公开加密算法未来的发展方向。

D-H算法：

算法本身局限于密钥交换用途，而不能实现加密和数字签名。安全性依赖于计算离散对数的困难性。

特点： 1）只在需要时才计算出对称密钥，对称密钥不需保存，也不会泄密。 2）密钥交换只需要约定全局参数——第一次提出不需要保密信道来安全分发对称密钥 3）不需要PKI的支持，目前SSL、IPSec等都使用D-H密钥交换算法。

原理：

D-H算法中的计算公式都是单向函数，其逆运算就是求解离散对数问题，所以具有难解性。

但也有不足：1）没有提供通信双方的身份信息，所以不能鉴别双方身份，容易遭受中间人攻击。 2）是密集型计算，容易遭受拒绝服务攻击，即攻击者请求大量密钥，被攻击者花费大量计算资源求解无用的幂系数。 3）无法防止重放攻击。

D-H密钥分配方案中有无KDC？D-H本身是对称加密算法还是公开加密算法？分配得到的会话密钥K是对称加密密钥还是公开加密密钥？该方案有无鉴别通信双方的功能，所以容易遭受什么类型的攻击？

无KDC；公开加密算法；分配得到的是对称加密的密钥。在D-H算法中没有把通信双方的身份加进去，这样导致无法鉴别双方的身份，所以非常容易遭受中间人攻击。

不需要PKI的支持，目前SSL、IPSec等都使用D-H密钥交换算法。

RSA公钥密码算法是目前因特网上进行保密通信和数字签名的最有效的安全算法之一。RSA算法的安全性基于数论中大素数分解的困难性，所以RSA需采用足够大的素数。因子分解越困难，密码就越难破译，安全强度越高。统计数据表明，在重要应用中，需要采用1024bit 的密钥，在SET协议中要采用2048bit的密钥。但是RSA加密比DES加密至少要慢100倍，即加密大文件提倡用对称加密。

如果要用公开加密算法（如RSA）实现A将数据机密性地发送给B，该如何实现？该如何实现发送方不可否认（进行数字签名）？如果要同时满足机密性和数字签名，该如何使用RSA算法？

A使用B的公钥加密，B使用自己的私钥解密，实现数据机密性地由A到B；
A用自己的私钥加密进行签名，B使用A的公钥解密，实现对A的身份验证和不可否认。
同时实现则A先用自己的私钥签名，再用B的公钥加密；接收方B先用自己的私钥解密，再用A的公钥解密。

这样一套流程的原因都是因为只有真正的主人才有自己的私钥。

现有的一般情况下，多少位的RSA加密算法才是安全的？SET协议和CA中心使用多少位RSA密钥才非常安全？

1024位，SET中2048位，CA中2048位。

椭圆曲线密码技术ECC， ECC的依据就是定义在椭圆曲线点群上的离散对数问题的难解性。椭圆曲线公钥系统是替代RSA的强有力的竞争者。椭圆曲线加密方法与RSA方法相比，有下述优点：安全性能更高，计算量小，处理速度快（密钥短得多），存储空间占用小和带宽要求低等。ECC的这些特点使它必然取代RSA，成为通用的公钥加密算法。比如，SET协议的制定者已把它作为下一代SET协议中缺省的公钥密码算法。

公钥密码、对称密码技术比较中：

对称密码技术特点优点：运算简单、易于实现，占用资源少，加密速度快。缺点：1）进行安全通信前要以安全方式进行密钥交换，这在互联网环境下非常困难。 2）密钥规模非常大：N个用户两两进行相互通信，对每个用户需要维护N-1个密钥，总共需要(N-1)N/2个密钥。密钥管理困难。

公开密码技术特点优点：1）通信双方事先不需要通过保密信道交换密钥。 2）密钥持有量大大减少。N个用户两两相互通信只需要拥有N对密钥（每个用户一对密钥）。 3）公开密码技术还提供了对称密码技术无法或很难提供的服务，如与Hash函数联合运行可生成数字签名。缺点：大量的浮点运算致使计算量大，加密/ 解密速度慢，需占用较多资源，对于电子商务活动尤为突出。

在实际应用中，并不直接使用公开加密算法加密明文，而仅用它保护实际用于加密明文的对称密钥，即所谓的数字信封技术。

使用什么安全机制可以防止通信双方的“相互攻击”？在理论上，数字签名是用发送方的私钥签名消息的明文，但实际上这种方法有什么缺点？实际系统中一般如何实现数字签名？这种改进的算法除了能实现数字签名，还能实现什么安全功能？

数字签名。如果明文过长，签名的速度很慢。在实际中对明文的散列值使用发送方的私钥进行机密以实现签名的功能，与此同时还实现了完整性。

因为散列值与明文是对应的，因此用来代替明文合情合理。

可以预计，哪种密码学将最终取代现有的对称加密算法和公开加密算法？

量子密码学。

系统中有N个人需要两两保密通信，若使用对称加密算法，每个人需要保存多少个密钥，系统中一共有多少个密钥？若使用公开加密算法，每个人需要保存多少个密钥，系统中一共有多少个密钥？

	算法数量	每人保存	总密钥
对称加密	1	N-1	N（N-1）/2
公开加密	1	2	2N

在管理上，对称密钥和公开加密系统中的私钥存在最主要的威胁是什么？

密钥泄露，在网络中传递时存在安全隐患。

在管理上，公开加密系统中的公钥存在最主要的威胁是什么？列举一个方案说明如何防范这种威胁？

公钥最主要的威胁是假冒伪造。可在CA处获得公钥，CA用自己的私钥加密A的公钥，使用者使用众所周知的CA的公钥解密即可证明所得的是A真正的公钥。

使用什么算法可以最简单实现数据在存储和传输中的完整性？这种算法是公开的吗？如何使用它保证数据在传输过程中完整性？

散列算法；公开；接收方使用Hash算法对接收到的消息进行加密，与接受的MAC值进行比对，相同则可验证完整。

消息加密：以整个消息的密文作为它的验证码。消息验证码(MAC)：以一个公开函数和一个密钥作用于消息，产生一个定长数据分组，即消息验证码，并将其附加在报文中。散列函数：一个将任意长度的消息映射为定长的散列值的公开函数，以散列值作为验证码。

散列算法的要求：H能用于任何长度的数据分组； H产生定长的输出；对任何给定的x，H(x)要相对容易计算；对任何给定的码h，寻找x使得H(x)=h在计算上是不可行的，称为单向性；对任何给定的分组x，寻找不等于x的y，使得 H(y)=H(x)在计算上是不可行的，称为弱抗冲突（Weak Collision Resistance）；寻找对任何的(x,y)对，使得H(y)=H(x)在计算上是不可行的，称为强抗冲突（Strong Collision Resistance）。(抗生日攻击)

对散列函数最直接攻击是字典(蛮力)匹配攻击和彩虹表攻击。

MD5和SHA1散列值各是多少位？哪一种散列值更难破解得到明文？

SHA-1（160位）摘要比MD5（128位）摘要长32位， SHA-1要比 MD5安全。

什么是消息的“消息摘要（MD）”？为什么又把它叫做消息的“数字指纹”？

消息摘要就是消息的散列值。因为不同明文对应不同的散列值，明文的一点改变会使散列值产生很大的改变。

因对称加密、公开加密和散列函数加密的特点，数字信封技术不只是简单的拼揍，而是一种思想的迸发。由此我们引入了PGP标准。

电子邮件的安全需求： 1）机密性——只有真正的接收方才能阅读邮件 2）完整性——电子邮件在传输过程中不被修改 3）认证性——信息的发送者不被假冒 4）不可否认性——发信人无法否认发过电子邮件

PGP创造性结合公钥加密的方便和对称加密的高速度，数字签名和密钥管理机制设计巧妙。所用算法被证实为非常安全： 1）公钥加密算法RSA、DSS和Diffie-Hellman 2）对称加密算法IDEA、3DES和CAST-128 3）散列算法SHA-1。特点如下：

1）使用散列函数对邮件内容签名，保证信件内容不被篡改； 2）使用公钥和对称加密保证邮件内容机密且不可否认； 3）公钥的权威性由收发双方所信任的第三方签名认证； 4）事先不需要任何保密信道来传递对称的会话密钥。

PGP中任意两方对等，整个信任关系构成网状结构——信任网。

用图形说明PGP加密系统的工作原理。并用文字说明接收方用PGP对密文的解密过程？PGP能实现六种网络信息安全需求中的哪几种？

发送方A ★ 求明文散列值 ★ 进行数字签名 ★ 压缩明文与签名拼接的报文 ★ 生成随机的KS，用IDEA加密压缩的明文 ★ 用PUB加密KS，与密文拼接，编码后发送

实现了完整性、机密性和不可否认性。

接收方B ★ 解编码 ★ 用自己私钥解密获得KS ★ 用KS解密密文 ★ 解压缩 ★ 匹配消息散列值分析消息是否具有完整性

在PGP中，哪几个算法实际上都起到对明文P的“混淆”作用？

RSA、IDEA、MD5、ZIP和Base64

在PGP中，为什么要先压缩后加密，反之有何不好？

先压缩，后加密 • 减少了网络传输时间和磁盘空间 • 压缩实际上也是一种“混淆” • 先加密后压缩，压缩效果较差

MAC函数类似于加密，它与加密的区别是MAC函数不可逆，加密可逆。（MAC函数无密钥）

名词辨析：数字签名、数字证书、数字信封、数字指纹

数字签名：发送方用自己私钥对消息（或消息散列值）加密就是该用户对该消息的数字签名，可以保证发送方不可否认。
数字证书：数字证书是一个经认证中心CA数字签名的包含公钥拥有者信息及其公钥的文件。
数字信封：在实际应用中，并不直接使用公开加密算法加密明文，而仅用它保护实际用于加密明文的对称密钥。
数字指纹：消息的散列值（或MAC值），即消息摘要。

如上，我们看到，密钥的安全分配实属困难，由此有了鉴别和密钥分配协议的学习。

鉴别能正确识别信息发送方身份，且对信息内容的任何修改都可被检测出来。

对加密明文的保密主要依赖于密钥的保密： 1）密钥管理涉及密钥生成、分配、使用、存储、备份、恢复以及销毁 2）如何分配已生成密钥是密码学领域的难点问题。

鉴别：实体之间建立身份认证的过程，包括通信实体鉴别和通信内容鉴别。鉴别易受重放攻击：攻击者发送一个目的主机已接收的包，来达到欺骗目的主机目的。最坏情况下：冒充合法方；其他情况下：扰乱正常操作。

鉴别消息中增加一项：现时（仅使用一次）： 1）随机数：不可猜测，性质最好，但不适合无连接应用。 2）时间戳：需要时钟同步，协议必须能容错。 3）序列号：每一方都要记住其它各方与其通信时的最后一个序列号，难以实现；还要求系统抗毁。4）生存期/有效期

双向鉴别：能够正确鉴别出通信对方的身份，同时可以交换会话密钥，用于保证信息的安全传输。

Needham-Schroeder协议实现双向鉴别和密钥分配： • 采用对称加密体制和密钥分配中心KDC技术 • 后来很多鉴别协议（如Kerberos）都基于N-S协议。

密钥名称

共享关系

产生和分发方法

安全性质

主密钥

Ka、Kb

通信方和KDC共享

通过带外方法分发，保护会话密钥的传输

使用次数少

暴露机会少

会话密钥

通信双方之间共享

由KDC产生(每次不同)，

用主密钥保护分发，

保护消息本身的传输

加密报文数量多，但只使用有限时间

N-S算法可以实现哪两种功能？它有无KDC？它本身是一个对称加密算法还是公开加密算法？分配得到的会话密钥KS是对称加密密钥还是公开加密密钥？

可以实现双向鉴别和密钥分配的功能，有KDC。它本身是是一个两层对称加密算法；分配得到的Ks是用于本次A、B双方通信的对称加密密钥。

以类似于N-S和Kerberos中消息的形式化表达方式，PGP对明文M的加密结果应如何表示？

$E(PU_{B})||E(K_{S},[M||E(PR_{A},H(M))])$

在集中式的密钥分配方案中，因为通信量大，繁重的任务量是的单个KDC易形成瓶颈。因此可以使用存在层次关系的多个KDC，同时还可以防止单点失效的问题。思想在于化整为零，分散式密钥方案的极致就是每个通信方都成为KDC，互相验证，但这样密钥的数量很多。

事实上，公开加密密钥的分配方案有四种途径：

公开密钥的公开宣布 PGP用户可将自己公钥附加到消息上发送出去 ——公钥很容易被冒充。
公开可用目录由可信任组织维护一个公开目录，为每个参与者维护一个目录项{用户名，用户的公开密钥}——公钥很容易被冒充。
公开密钥管理机构 CA对通信双方进行认证，每个通信方都有CA公钥并通过CA获得其他任何通信方的公钥——每一用户想与他人联系需求助CA，CA易成瓶颈。
公开密钥证书 CA事先为用户颁发数字证书，用户通信时只需下载并验证对方证书得到对方公钥，无需再联系CA。

由此，我们进入CA的研究中。

CA的公钥是被权威机构声明的，因此可以用CA的私钥为每个人的公钥及其身份进行认证，颁发数字证书。有了数字证书证明的公钥就具有了可信度。利用数字证书分配公开密钥的过程如下：

现有的公开密钥分配方案中，我们常用的是在公开密钥管理机构方式下，用CA颁发数字证书的方案。为什么说这个方案中CA相对KDC来说不容易形成瓶颈？

CA事先为用户颁发数字证书；
用户通信时只需下载并验证对方证书得到对方公钥，无需再联系CA，这样CA就不具有实时通信的压力，相对KDC不易形成瓶颈；
浏览器可以实现下载别人的证书。

身份认证就是向系统证明他就是他所声称的那个人，包括识别身份和验证身份两步。作用：（1）限制非法用户访问网络资源。（2）安全系统中的第一道关卡，是其他安全机制基础。（3）一旦被攻破，其他安全措施将形同虚设。

一般来说，单机环境下的身份认证有哪几种方法可以验证用户身份？

基于口令的认证方式，基于智能卡的认证方式，基于生物特征的认证方式

为什么一般说来基于智能卡的认证方式比基于口令的认证方式要安全？

基于智能卡的认证方式是一种双因素的认证方式；
智能卡具有硬件加密功能，比基于口令的认证方式有更高的安全性。

在网络环境下的身份认证方案中，假设服务器要对客户进行身份认证，服务器端直接存储用户口令明文是否安全？为什么？应该怎样存储？

不安全，因为可能会被黑客入侵主机。应当使用加盐的Hash散列存储口令进行存储。

从网络上直接传送用户的口令明文是否安全？应该如何传送才相对安全？传送用户口令的散列是否一定安全？该方案容易遭受什么攻击？如何实现这种攻击？

不安全，使用散列值进行传输。不一定安全。容易遭受重放攻击。实现攻击的方法是嗅探后获得用户散列值，使用编程得到的工具，向客户端发送散列值。

网络环境下身份认证的困难性： 1）明文口令：易被嗅探，也容易受到字典攻击。 2）口令散列：直接“重放” 就可以假冒合法用户登录，并不需要解密得到口令本身。 ——不能使用静态口令，而必须使用一次性口令。

一次性口令中变动的原因是因为一部分是变动的。一般使用双运算因子：固定因子为用户的口令散列（双方共享），变动因子为产生变动的一次性口令。一次性口令分为三种：基于时间同步认证技术、基于事件同步认证技术、挑战/应答方式的认证技术（由认证服务器产生的随机序列Challenge，不需要同步）。

S/KEY是一种一次性口令技术，它是基于时间同步或事件同步的认证技术吗？那它是哪种认证技术？它能实现双向鉴别还是单向鉴别？是哪方对哪方的鉴别？

不是，是挑战/应答式的认证技术，能够实现单向鉴别，是服务器对用户的鉴别。

S/KEY中的“挑战”是客户还是服务器发出的？由谁进行“应答”？本方案中有没有直接在网上传递用户的口令散列？那它传递的是什么？与用户的口令散列有何关系？

服务器发出挑战，客户进行应答。没有直接传递散列值，而是传递了seq次（seed+用户口令散列值）的Hash值。

Kerberos系统的前身（基础）是哪个协议？kerberos中有KDC吗？在Kerberos中KDC的具体名称是什么？

Kerberos以N-S密钥分配和双向鉴别协议为基础发展起来，并引入时间戳。基于可信第三方KDC，提供不安全分布式环境下的双向用户实时认证。它的认证和数据保密传输使用对称加密DES，后来也可用其他算法的独立加密模块。

Kerberos实现AAA：认证（Authentication）、授权（Authorization）、审计（Audit）。

Kerberos协议的基本思想：用户只需输入一次身份验证信息就可凭此信息获得票据（ticket）来访问多个服务，即SSO（Single Sign On，单点登录）。

Kerberos是采用对称加密算法还是采用公开加密算法实现认证（鉴别）？它能否实现客户和服务器之间的双向（相互）鉴别，还是只能实现单向鉴别？它能否实现用户级鉴别，还是只能实现主机级鉴别？

对称加密，双向鉴别，用户级鉴别。

在一个更安全的Kerberos鉴别对话中，除了客户C之外，系统中还有哪些主体（对象）？几者之间是如何共享哪些密钥的？试用一个简单的图形说明Kerberos系统中的这几个主体之间的关系（如如何共享密钥的）。再用带序号的箭头说明Kerberos的五步鉴别过程是如何实现的（只需要说明实现顺序，而不需要写出具体发送的消息内容）。

TGS，票据许可服务器；

AS和客户端共享Kc，AS和TGS共享Ktgs，V和TGS共享Kv。

在一个更安全的Kerberos对话中，鉴别服务器AS是如何认证用户C的，使得既间接使用用户的口令进行认证，又不需要在网上直接传输用户的明文口令或口令散列？

依照上图可知，使用C的主密钥加密票据，C若能想TGS转发票据服务票据，则说明他是另一个拥有Kc主密钥进行解密的一方，即他成功证明了自己是C。

访问控制（Access Control）或授权（Authorization）表示ISO五大服务中的访问控制服务。访问控制建立在身份认证基础上，通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。访问控制目的：限制主体对客体的访问权限，从而使计算机系统在合法范围内使用。

访问控制常用的实现方法：访问控制矩阵列表示客体（各种资源），行表示主体（用户），交叉点表示主体对客体的访问权限。通常文件的Own权限表示可授予（Authorize）或撤消（Revoke）其他用户对该文件访问权限；

访问能力表：只有当主体对某个客体拥有访问能力时，它才能访问这个客体。但要从访问能力表获得对某一特定客体有特定权限的所有主体就比较困难。

在安全系统中，正是客体需要得到可靠保护，访问控制服务应该能够控制访问某一客体的主体集合，便出现客体为中心的实现方式——ACL（访问控制表）。

授权关系表：每一行表示了主体和客体的一个授权关系。对表按客体进行排序，可以得到访问控制表的优势；对表按主体进行排序，可以得到访问能力表的优势。适合采用关系数据库来实现。

有哪三种主要的访问控制策略？TCSEC中的C级操作系统要求至少具有何种访问控制策略？B级以上操作系统要求具有何种访问控制策略？

自主访问控制（DAC）、强制访问控制（MAC）和基于角色的访问控制（RBAC）。自主访问控制。强制访问控制。

什么是MAC？它有阻止特洛伊木马的能力吗？MAC是通过“梯度安全标签”实现信息的单向还是双向流通来达到上述目的的？

强制访问控制。有。单向信息流通。

MAC中有两个主要的访问控制模型：实现数据机密性的是哪个安全模型？它必须采用哪种读写规则？从而保证信息流只能以何种方向流动？实现数据完整性的是哪个安全模型？它必须采用哪种读写规则？MAC有哪些缺点？

实现数据机密性的是BLP模型，使用下读/上写：保证数据机密性，保证信息流只能由低级别流向高级别。实现数据完整性的是Biba模型，上读/下写：保证数据完整性。

MAC的缺点：实现工作量太大，管理不便，不够灵活，且过于偏重保密性。

PKI（Public Key Infrastructure，公钥基础设施）是以数字证书为基础，利用公钥理论和技术建立的提供信息安全服务的基础设施。

用户公钥可被篡改是公开加密体系面临的最大挑战。值得信赖且独立的第三方充当认证中心（CA），来确认声称拥有某个公开密钥的人的真正身份。

在PKI技术中，如何使用CA确认某个人的真正公钥？（说明什么是数字证书以及如何通过颁发和验证数字证书以确认某个人真正公钥的整个过程）PKI中CA颁发的数字证书必须遵循什么标准？

数字证书的创建和使用：① 要发布自己公钥的用户A申请证书，CA核实身份后颁发证书（CA的主要职责）：

$CA=E(PR_{CA}, [Time1||ID_{A}||PU_{A}])$

② 其他用户B得到CA，并用已得到的CA的真实公钥PUCA验证该证书是真实的：

$D(PU_{CA}, E(PR_{CA}, [Time1||ID_{A}||PU_{A}]))$

就可以得到A的真实公钥PUA。

证书格式采用X.509 v3标准：IPSec、SSL、SET。

目前有哪四种常用的信任模型？在这些信任模型中哪些通过建立信任树进行认证？哪些通过建信任网进行认证？

建立信任树的有三类：严格层次结构模型、分布式信任结构模型、Web模型；

建立信任网的有一类：以用户为中心的信任模型。

在使用PKI时，用户在CA处生成自己的公钥时有哪两种具体的方式？有什么主要区别？

终端实体（用户）的密钥对有两种产生方式：

产生方法

分发方法

优点

缺点

对应证书类型

适用

场合

用户自己生成

将自己公钥以安全方式传送给CA

CA也不知道用户私钥

密钥对安全强度可能不高

由浏览器产生的普通证书和测试证书

不适合比较重要的网络交易

CA 替用户生成

将用户私钥以安全方式传送给用户

密钥对安全强度比较高

CA必须销毁自己保存的用户私钥

商家证书和服务器证书

重要的应用场合

为什么在实际使用PKI技术时，每个用户需要生成两个公钥/私钥对？这两对密钥各有什么功能？举例说明在管理这些密钥（如其中的两个私钥）有什么主要区别？

支持服务

两个密钥对

本人用的

私钥的管理

他人用的

公钥的管理

一

个

用

户

不可

否认

签名私钥/

验证公钥对

（生存期长）

签名私钥不能

备份和存档

验证公钥需

备份和存档

(即密钥档案)

机密

性

加密公钥/

解密私钥对

（生存期短）

解密私钥需

备份和存档

(即密钥历史)

加密公钥不需

备份和存档

使用两对密钥可以解决机密性和不可否认性对公私钥对要求上的矛盾。

详细解释VPN中的‘V’和‘P’的具体含义？VPN使用哪三类主要的技术？其中哪一类是最根本的？

虚拟专用网（Virtual Private Network）：在两台计算机之间建立一条专用连接 • 通过隧道技术、加密和密钥管理、认证和访问控制等实现与专用网类似的安全性能。从而达到在Internet上安全传输机密数据的目的任意两个节点之间没有端到端的物理链路，而是架构在Internet上的逻辑网络。

使用的三类技术是：隧道技术、加密和密钥管理、认证和访问控制技术。隧道（封装）技术是最根本的。

从所处层次的角度看有哪两种主要的隧道协议？各有什么具体的代表协议？

第二层和第三层。第二层有PPTP、L2F、L2TP，第三层有IPSec。

IPSec安全体系结构是IETF IPSec工作组设计的端到端的IP层安全通信的机制。不是一个单独的协议，而是一组协议。在IPv6中是必须的，在IPv4中可选。最主要应用是作为第三层隧道协议实现VPN通信，为IP网络通信提供透明的安全服务。

IPSec包含哪三个最重要的协议？

AH、ESP、IKE。

AH协议为IP数据包提供哪几种安全服务？简单说明它们分别是如何实现的？

数据完整性验证：Hash函数产生的验证码
数据源身份认证：计算验证码时加入共享会话密钥
防重放攻击：在AH报头中加入序列号

ESP协议为IP数据包提供哪几种安全服务？简单说明它们分别是如何实现的？

数据完整性验证：Hash函数产生的验证码
数据源身份认证：计算验证码时加入共享会话密钥
防重放攻击：在ESP报头中加入序列号
数据机密性：使用对称加密算法实现

IKE协议的作用是什么？它与AH和ESP协议有什么关系？

负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。

IKE协议的协商结果决定了怎样使用AH和ESP，并供AH和ESP通信使用。

IPSec有哪两种运行模式？它们分别适用于什么样的安全通信场合？画出示意图说明：在两种模式下，IPSec协议分别对原有的IP数据包进行怎样修改来实现安全通信的？

传输模式是用于两台主机间的安全通信；只要一方为网关，则需要使用隧道模式。

什么是自愿隧道？什么是强制隧道？两者有何区别？

自愿隧道：客户端计算机自愿地发送VPN请求配置一条隧道；

强制隧道：由支持VPN的拨号接入服务器强制进行配置和创建隧道。

区别在于是否有自愿连接，出现网关作为通信一方的情况即需要建立强制隧道。

Web服务越强大，包含安全漏洞概率就越高。 HTTP服务可在不同权限下运行： 1）高权限下提供更大灵活性，允许程序执行所有指令，并不受限制地访问系统高敏感的特权区域； 2）低权限下在所运行程序周围设置逻辑栅栏，只允许它运行部分指令和访问系统中不敏感的数据区。

监听程序会威胁通信信道中所传输信息的机密性
伪造、篡改、重放会威胁所传输信息的完整性
缺乏身份认证使得冒充他人身份进行中间人攻击
缺乏数字签名机制使得通信双方能相互攻击
拒绝服务攻击使得通信信道不能保证可用性

基于网络层实现Web安全：IPSec提供端到端的安全机制，是一个通用解决方案。各种应用程序不需修改就可享用IPSec提供的安全机制，也减少了安全漏洞的产生。

基于传输层实现Web安全：SSL或TLS可作为基础协议栈的组成部分，对应用透明；也可直接嵌入到浏览器中使用。使用SSL或TLS后，传送的应用层数据会被加密，从而保证通信的安全。

基于应用层实现Web安全：特定安全服务为特定应用定制体现，将安全服务直接嵌入在应用程序中。

Secure Socket Layer，安全套接层协议，会话层，由Netscape推出。主要实现Web服务器和浏览器之间的安全通信。在应用层协议和TCP/IP 协议之间提供机密性、完整性、服务器认证及可选的客户机认证的机制。介于HTTP与TCP之间的一个可选层，绝大多数应用层协议可直接建立在SSL之上。 SSL不是一个单独的协议，而是两层协议：SSL握手协议和SSL记录协议。

SSL握手协议：用公开加密算法验证服务器身份，并传递客户端产生的对称的会话密钥（先） SSL记录协议：用会话密钥来加/解密数据（后）

实现：机密性：SSL 客户机和服务器之间传送加密数据。完整性：SSL 可避免服务器和客户机之间的信息被破坏。认证性：SSL 握手时要求交换证书，通过验证证书来保证对方身份的合法性。

握手过程：

从理论上说，SSL协议可以实现对客户机的用户和服务器的双向鉴别，但在实际使用中一般只能实现哪方对哪方的鉴别？是采用何种机制实现的？SSL协议处于七层OSI模型的哪个层次上？

虽然理论上SSL协议可以实现双向鉴别，但是用户大多是没有数字证书的，所以实际来说只能实现客户端对服务器的鉴别，使用SSL握手机制。SSL处于会话层。

在SSL协议保证Web浏览器和Web服务器的通信安全时，是如何对客户机的用户进行鉴别的？该鉴别机制是在OSI模型的哪个层次上实现的？为什么不能使用公开密钥证书机制实现对用户的鉴别？

用户通过账号、口令登录的操作，供服务器端鉴别客户端使用。是在应用层上实现的。理由是大多数用户没有属于自己的数字证书。

用图形和配以文字简单说明SSL握手协议的实现过程。在SSL的整个握手过程中需要CA中心的直接参与吗？

用户使用公开加密算法验证服务器身份，并传递客户端产生的对称会话密钥。

用户必须首先得到服务器的证书，提取出其中的公钥。CA未直接参与，且并不需要实时查询证书库。

SSL的鉴别过程采用公开加密算法还是对称加密算法？鉴别成功后，采用公开加密算法还是对称加密算法实现双方数据的安全传输？用于加密所传输数据的会话密钥是如何在双方之间安全分发的？SSL是否能实现对所发送数据的不可否认性？为什么？

鉴别中使用公开加密算法，鉴别成功后使用对称加密算法进行安全传输。会话密钥在客户端产生，使用服务器的公钥进行加密分发。不能实现数据的不可否认性，因为客户端没有属于自己的公私钥对，无法进行签名过程。

防火墙是一种装置：由软件/硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问Internet的权限。防火墙隔离安全可信的内部网络和不安全可信的外部网络，是一个网络边界安全系统。

防火墙的原则是在保证网络畅通的情况下，尽可能保证内部网络的安全。它是一种被动的技术，是一种静态安全部件。

第一种类型：包过滤防火墙

最基本、最早期的防火墙技术（静态）——不检查数据包的数据内容，只检查包头中的地址、协议、端口等信息来决定是否允许此数据包通过。

过滤规则设置的默认原则：（1）默认拒绝：规则允许的数据包才可以通过防火墙，其他都不能通过，是安全实用的方法。（2）默认允许：规则拒绝的数据包才不可通过防火墙，其他都可以通过，是灵活的方法。

第二种类型：状态检测性防火墙。1）状态检测是一种相当于4、5层的过滤技术； 2）采用一种基于连接的状态检测机制，在防火墙的核心部分建立数据包的连接状态表，将属于同一个连接的所有包作为一个会话整体看待； 3）可以收集并检查许多状态信息，过滤更加准确； 4）提供比包过滤防火墙更高的安全性和更灵活的处理，几乎支持所有服务，且比应用层网关速度快。

第三种类型：应用层网关。

第四种类型：代理服务器。

防火墙产品的规则设置的两条基本默认原则是什么？从安全的角度来看，实施那一个默认原则更安全？

某人拒绝和默认允许。默认拒绝更加安全。

包过滤型防火墙工作在哪一层？哪种网络设备就是一种最简单的包过滤防火墙？举例说明静态包过滤的几个主要的判断（过滤）依据。

包过滤防火墙工作在第3层——网络层。路由器就是一种最简单的包过滤路由器。

静态包过滤的判断依据：

数据包协议类型TCP、UDP、ICMP、IGMP等。
源/目的IP地址。
源/目的端口FTP、HTTP、DNS等。
IP选项：源路由、记录路由等。
TCP选项SYN、ACK、FIN、RST等。
其他协议选项ICMP ECHO、ICMP REPLY等。
数据包流向in或out。
数据包流经网络接口eth0、eth1

使用动态包过滤的防火墙又叫什么类型的防火墙？以TCP连接的三次握手为例说明该种防火墙相对静态包过滤防火墙的优越性。

状态检测性防火墙。静态包过滤防火墙一定允许，容易被DoS攻击，而动态包过滤防火墙则会查看有无准确的IP和端口有向外的SYN请求。

按检测的监控位置划分，IDS可以分为哪三种类型？简单说明每一种的含义？

基于主机的IDS：通过监视和分析所在主机的审计记录检测入侵。

基于网络的IDS：通过在共享网段上对主机之间的通信数据进行侦听，分析可疑现象。

分布式IDS：分布式IDS的数据分析在很多位置进行，和被监视主机的数量成比例。

最著名的开放源代码入侵检测工具叫什么？“轻量级”的含义是什么？它是一个HIDS还是一个NIDS？为什么是？从检测模式上看，它是异常检测还是误用检测？为什么是？

Snort。影响小、配置简单……。

NIDS：通过在共享网段上对主机之间的通信数据进行侦听，分析可疑现象。

（而HIDS：通过监视和分析所在主机的审计记录检测入侵。）

误用检测技术：假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式，如果符合则视为可疑行为。

（而异常检测（Anomaly detection）系统：假定所有的入侵行为都与正常行为不同，建立正常活动的描述，当主体活动违反其统计规律时，则将其视为可疑行为。）

IDS有哪两种主要的分析方法？它们各自的原理是什么？简单说明各自的优缺？

异常检测（Anomaly detection）系统：假定所有的入侵行为都与正常行为不同，建立正常活动的描述，当主体活动违反其统计规律时，则将其视为可疑行为。可以在一定程度上检测新的攻击，但误报率高，且无法对新的攻击行为进行定性。

误用检测（Misuse detection）系统：假定所有入侵行为和手段（及其变种）都能够表达为一种模式或特征，系统的目标就是检测主体活动是否符合这些模式，如果符合则视为可疑行为。能够较为准确的对检测的异常情况进行定性分析，但是容易漏报，无法检测新的攻击手段，

从入侵检测的角度说明，什么是误报？什么是漏报？

误报：假阳性，发现异常情况过度敏感进行报警，容易对合法用户的异常行为进行报警。

漏报：假阴性，因检测规则不完善等原因，入侵未被系统检测到。