1、信息安全復習資料名詞解釋：1、信息安全 :一種保證信息在采集、存儲、傳遞、加工和訪問過程中保密性、完整性和可用 性的技術(shù)。 這是圍繞信息為核心的安全技術(shù)， 是密碼技術(shù)、通信安全、 計算機安全和網(wǎng)絡(luò)安 全的應用技術(shù)。2、計算機外部安全 :包括計算機設(shè)備的物理安全、 與信息安全有關(guān)的規(guī)章制度的建立和法律 法規(guī)的制定等。它是保證計算機設(shè)備的正常運行，確保系統(tǒng)信息安全的前提。3、計算機內(nèi)部安全 :計算機信息在存儲介質(zhì)上的安全，包括計算機軟件保護、軟件安全、數(shù) 據(jù)安全等。4、計算機網(wǎng)絡(luò)安全 :指信息在通過網(wǎng)絡(luò)系統(tǒng)交換數(shù)據(jù)時確保信息的完整性、可靠性和保密性。需要從邊界防衛(wèi)、入侵檢測和安全反應等環(huán)節(jié)著手建立

2、網(wǎng)絡(luò)安全保障體系。5、信息安全威脅 :指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法 使用所造成的危險。攻擊就是對安全威脅的具體體現(xiàn)。6、密碼學： 密碼學是研究信息系統(tǒng)安全保密的科學。7、被動出擊： 即非法從傳輸信道上截取信息，或從存儲載體上偷竊信息。8、主動出擊： 即對傳輸或存儲的數(shù)據(jù)進行惡意的刪除、修改等。9、序列算法： 序列密碼：也稱為流密碼，每次加密一位或一字節(jié)的明文。序列密碼使用盡 可能長的密鑰， 由于長的密鑰的存儲，分配都很困難，因此， 采用一個較短的密鑰來控制某 種算法來產(chǎn)生出長的密鑰。10、分組算法： 分組密碼：將明文分成固定長度的組，典型分組長度是 64 位

3、用同一密鑰和 算法對每一塊加密，輸出也是固定長度的密文，密鑰的位數(shù)和這個固定的位數(shù)大致相等。11、對稱密鑰算法（對稱算法） ： 在對稱算法中，加解密的密鑰是相同的。對稱算法要求發(fā) 送者和接收者在安全通信之前， 協(xié)商一個密鑰。 對稱算法的安全性依賴于密鑰， 泄漏密鑰就 意味著任何人都能對消息進行加解密。12、公開密鑰算法： 公開密鑰算法是加密密鑰公開，叫做公開密鑰（簡稱公鑰） ，解密密鑰 叫做私人密鑰（簡稱私鑰） 。13、 哈希函數(shù)： 哈希（Hash）函數(shù)也叫雜湊函數(shù)或散列函數(shù)。任意長度的信息m經(jīng)過哈希函數(shù)運算后，能轉(zhuǎn)換成一個固定長度（如64或128 bit）的數(shù)h。14、消息摘要： 消息摘要是

4、由 Hash 函數(shù)計算發(fā)送原文 （消息）產(chǎn)生，用于數(shù)據(jù)認證，以保證數(shù)據(jù)完整性 （即保證發(fā)送與接收的消息的一致性）。15、數(shù)字簽名： 數(shù)字簽名以電子方式存儲簽名信息，是在數(shù)字文檔上進行身份驗證的技術(shù)。（書上的解釋） 數(shù)字簽名的原理 是發(fā)送方利用 Hash 函數(shù)計算發(fā)送原文 （消息） ，產(chǎn)生消息摘要；再利用發(fā)送方的私鑰加密該消息摘要；將該加密的摘要與原文一起發(fā)送。（PPT 上找到的）16、身份識別技術(shù) :身份識別是指定用戶向系統(tǒng)出示自己身份的證明過程，通常是獲得系統(tǒng) 服務所必需的第一道關(guān)卡。 身份識別技術(shù)能使識別者識別到自己的真正身份， 確保識別者的 合法權(quán)益。1 7 、零知識身份識別協(xié)議： 證明

5、者使驗證者相信某個論斷是正確的，卻又不向驗證者提供任何有用的信息。（列子見第三章 PPT P13-P14幫助理解）18、密鑰的分散管理： 密鑰的分散管理就是把主密鑰拷貝給多個可靠的用戶保管，而且可以使每個持密鑰者具有不同的權(quán)力。 其中權(quán)力大的用戶可以持有幾個密鑰， 權(quán)力小的用戶只持 有一個密鑰。 也就是說密鑰分散地把主密鑰信息進行分割， 不同的密鑰持有者掌握其相應權(quán) 限的主密鑰信息。19、信息隱藏：廣義信息隱藏是指為了防止數(shù)據(jù)泄漏，將該數(shù)據(jù)嵌入某種載體中。20、PKI: PKI是一種利用公鑰加密技術(shù)，用于產(chǎn)生、發(fā)布和管理帶公鑰的數(shù)字證書的基礎(chǔ)設(shè) 施。21、數(shù)字證書：是事先由可信的第三方 CA為

6、用戶簽發(fā)的，用于通信中對方驗證證書持有者 的身份，并用于傳遞公鑰、數(shù)字簽名、數(shù)據(jù)加密與完整性驗證。22、 交互證書對： 交互證書對里包含了兩個CA互發(fā)之證書，兩個 CA之間可藉由彼此互發(fā)證書來建立信賴關(guān)系。通過交互證書對的建立，可以延伸信賴關(guān)系，讓兩個CA所簽發(fā)的證書彼此信賴。23、 證書鏈：證書鏈是由一系列 CA之間發(fā)出的證書序列，最終以根CA證書結(jié)束。24、CA根證書：是CA認證中心 給自己頒發(fā)的證書，是信任鏈的起始點。安裝根證書意味著 對這個CA認證中心的信任。25、 防火墻：防火墻是一種非常有效的網(wǎng)絡(luò)安全系統(tǒng)，通過它可以隔離風險區(qū)域與安全區(qū)域 (局域網(wǎng))的連接，同時不會妨礙安全區(qū)域?qū)︼L

7、險區(qū)域的訪問。26、 入侵檢測系統(tǒng)：入侵檢測系統(tǒng)IDS指的是一種硬件或者軟件系統(tǒng)，該系統(tǒng)對系統(tǒng)資源的 非授權(quán)使用能夠做出及時的判斷、記錄和報警。它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中若干關(guān)鍵點收集信息，并對收集到的信息進行分析，從而判斷網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和系統(tǒng)被攻擊的征兆。27、IPSec協(xié)議：一套用于保護IP通信的IP安全協(xié)議28、SA：安全關(guān)聯(lián)(SA)是兩個IPSec實體之間經(jīng)過協(xié)商建立起來的一種協(xié)定。29、 SPD安全關(guān)聯(lián)庫用于存放IPSec協(xié)議用來保障數(shù)據(jù)安全的 SA。30、SAD:安全策略數(shù)據(jù)庫31、IKE協(xié)議：IKE基于ISAKMP, Oakley和SKEME是一種“混

8、合型”協(xié)議，它建立在由ISAKMP 定義的一個框架上，同時實現(xiàn)了 Oakley和SKEME協(xié)議的一部分。它沿用了 ISAKMP的基礎(chǔ)、 Oakley的模式以及SKEME的共享和密鑰更新技術(shù)。32、 虛擬專用網(wǎng) VPN：虛擬專用網(wǎng) (Virtual Private Network，VPN)指通過一個公用網(wǎng)絡(luò) (通 常是因特網(wǎng))建立一個臨時的、安全的連接，是一條穿過公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，是對企業(yè)內(nèi)部網(wǎng)的擴展。33、 SSL協(xié)議：SSL是Netscape公司在網(wǎng)絡(luò)傳輸層之上提供的一種基于RSA和保密密鑰的安 全連接技術(shù)。34、 操作系統(tǒng)安全：操作系統(tǒng)安全是指該系統(tǒng)能夠控制外部對系統(tǒng)信息的訪問，

9、即只有經(jīng)過授權(quán)的用戶或進程才能對信息資源進行相應的讀、寫、創(chuàng)建和刪除等操作， 以保護合法用戶對授權(quán)資源的正常使用，防止非法入侵者對系統(tǒng)資源的侵占和破壞。35、活動目錄：活動目錄是一種包含服務功能的目錄，它可以做到“由此及彼”的聯(lián)想、映 射。如找到了一個用戶名，可以聯(lián)想到該用戶的賬號等，提高了系統(tǒng)資源的利用效率。36、 惡意代碼：惡意代碼就是經(jīng)過存儲介質(zhì)和網(wǎng)絡(luò)進行傳播，從一臺計算機系統(tǒng)到另外一臺 計算機系統(tǒng)，未經(jīng)授權(quán)認證破壞計算機系統(tǒng)完整性的程序或代碼。37、網(wǎng)絡(luò)蠕蟲：網(wǎng)絡(luò)蠕蟲是一種智能化、自動化的計算機程序，綜合了網(wǎng)絡(luò)攻擊、密碼學和計算機病毒等技術(shù)，是一種無需計算機使用者干預即可運行的攻擊程序

10、或代碼，它會掃描和攻擊網(wǎng)絡(luò)上存在系統(tǒng)漏洞的節(jié)點主機，通過局域網(wǎng)或者國際互聯(lián)網(wǎng)從一個節(jié)點傳播到另外一個節(jié)點。簡答題：1信息安全的基本特性有哪些？ 完整性，可用性，保密性或機密性，不可否認性，可控性2信息安全威脅的種類及含義。1) 信息泄露：信息被泄露或透露給某個非授權(quán)的實體。2) 破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進行增刪、修改或破壞而受到損失。3) 拒絕服務：對信息或其它資源的合法訪問被無條件地阻止。4) 非法使用(非授權(quán)訪問) ：某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。5) 竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信 線路中傳輸?shù)男盘栠M行搭線監(jiān)聽， 或

11、者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有 用信息等。6) 業(yè)務流分析：通過對系統(tǒng)進行長期監(jiān)聽，利用統(tǒng)計分析方法對諸如通信頻度、通信的信 息流向、通信總量的變化等參數(shù)進行研究，從而發(fā)現(xiàn)有價值的信息和規(guī)律。7) 假冒：通過欺騙通信系統(tǒng)(或用戶)達到非法用戶冒充成為合法用戶，或者特權(quán)小的用 戶冒充成為特權(quán)大的用戶的目的。黑客大多是采用假冒攻擊。8) 旁路控制： 攻擊者利用系統(tǒng)的安全缺陷或安全性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。 例如， 攻擊者通過各種攻擊手段發(fā)現(xiàn)原本應保密， 但是卻又暴露出來的一些系統(tǒng) “特性”。 利用這些“特性” ，攻擊者可以繞過防線守衛(wèi)者侵入系統(tǒng)的內(nèi)部。9) 授權(quán)侵犯：被

12、授權(quán)以某一目的使用某一系統(tǒng)或資源的某個人，卻將此權(quán)限用于其它非授 權(quán)的目的，也稱作“內(nèi)部攻擊” 。10) 特洛伊木馬：軟件中含有一個察覺不出的或者無害的程序段，當它被執(zhí)行時，會破壞用 戶的安全。這種應用程序稱為特洛伊木馬。11) 陷阱門：在某個系統(tǒng)或某個部件中設(shè)置的“機關(guān)” ，使得當提供特定的輸入數(shù)據(jù)時，允 許違反安全策略。12) 抵賴：這是一種來自用戶的攻擊，比如：否認自己曾經(jīng)發(fā)布過的某消息、偽造一份對方 來信等。13) 重放：所截獲的某次合法的通信數(shù)據(jù)拷貝，出于非法的目的而被重新發(fā)送。14) 計算機病毒： 所謂計算機病毒， 是一種在計算機系統(tǒng)運行過程中能夠?qū)崿F(xiàn)傳染和侵害的 功能程序。 一種

13、病毒通常含有兩種功能： 一種功能是對其它程序產(chǎn)生“感染” ；另外一種 或者是引發(fā)損壞功能，或者是一種植入攻擊的能力。15) 人員不慎：一個授權(quán)的人為了錢或利益，或由于粗心，將信息泄露給一個非授權(quán)的人。16) 媒體廢棄：信息被從廢棄的磁的或打印過的存儲介質(zhì)中獲得。17) 物理侵入：侵入者通過繞過物理控制而獲得對系統(tǒng)的訪問。18) 竊取：重要的安全物品，如令牌或身份卡被盜。19) 業(yè)務欺騙：某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息。3. 常見的信息安全技術(shù)及作用1) 、信息加密： 使有用的信息變?yōu)榭瓷先o用的亂碼， 攻擊者無法讀懂信息的內(nèi)容從而保護信息。作用：是保障信息安全的最基

14、本、最核心的技術(shù)措施和理論基礎(chǔ)。信息加密 也是現(xiàn)代密碼學主要組成部分。2) 、數(shù)字簽名：其機制決定于兩個過程：A、簽名過程：利用簽名者的私有信息作為秘鑰，或?qū)?shù)據(jù)單元進行加密或產(chǎn)生該數(shù)據(jù) 單元的密碼校驗值。B、驗證過程：利用公開的規(guī)程和信息來確定簽名是否是利用該簽名者的私有信息產(chǎn)生 的。作用：能與被簽的文件在物理上不可分割、簽名者不能否認自己的簽名、簽名不能被偽 造、容易被驗證3）、數(shù)據(jù)完整性： 數(shù)據(jù)完整性保護用于防止非法篡改，利用密碼理論的完整性保護能夠很好地對付非 法篡改。 完整性的另一用途是提供不可抵賴服務， 當信息源的完整性可以被驗證卻無法 模仿時，收到信息的一方可以認定信息的發(fā)送者，

15、數(shù)字簽名就可以提供這種手段。4）、身份鑒別： 鑒別是信息安全的基本機制，通信的雙方之間應互相認證對方的身份，以保證賦予 正確的操作權(quán)力和數(shù)據(jù)的存取控制。 網(wǎng)絡(luò)也必須認證用戶的身份， 以保證合法的用戶進 行正確的操作并進行正確的審計。通常有三種方法驗證主體身份。1）只有該主體了解的秘密，如口令、密鑰；2）主體攜帶的物品，如智能卡和令牌卡；3）只有該主題具有的獨一無二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等5）、訪問控制：訪問控制的目的是防止對信息資源的非授權(quán)訪問和非授權(quán)使用信息資源。它允許用 戶對其常用的信息庫進行適當權(quán)利的訪問， 限制他隨意刪除、 修改或拷貝信息文件。 訪 問控制技術(shù)還可以使

16、系統(tǒng)管理員跟蹤用戶在網(wǎng)絡(luò)中的活動， 及時發(fā)現(xiàn)并拒絕 “黑客” 的 入侵。6）、安全數(shù)據(jù)庫： 安全數(shù)據(jù)庫包括：數(shù)據(jù)庫的完整性（物理上的完整性、邏輯上的完整性和庫中元素的完 整性）、數(shù)據(jù)的保密性（用戶身份識別、訪問控制和可審計性） 、數(shù)據(jù)庫的可用性（用戶 界面友好，在授權(quán)范圍內(nèi)用戶可以簡便地訪問數(shù)據(jù)） 。7）、網(wǎng)絡(luò)控制技術(shù)：A、防火墻技術(shù)：是一種允許接入外部網(wǎng)絡(luò)，但同時又能夠識別和抵抗非授權(quán)訪問的安全技術(shù)。防火墻扮演的是網(wǎng)絡(luò)中“交通警察”角色，指揮網(wǎng)上信息合理有序地安全流動，同時也處理網(wǎng)上的各類“交通事故” 。防火墻可分為外部防 火墻和內(nèi)部防火墻。B、入侵檢測技術(shù)：掃描當前網(wǎng)絡(luò)的活動，監(jiān)視和記錄網(wǎng)

17、絡(luò)的流量，根據(jù)定義好的規(guī)則來過濾從主機網(wǎng)卡到網(wǎng)線上的流量， 提供實時報警。 大多數(shù)的入侵監(jiān)測系 統(tǒng)可以提供關(guān)于網(wǎng)絡(luò)流量非常詳盡的分析。C、 安全協(xié)議：整個網(wǎng)絡(luò)系統(tǒng)的安全強度實際上取決于所使用的安全協(xié)議的安全性。安全協(xié)議的設(shè)計和改進有兩種方式：對現(xiàn)有網(wǎng)絡(luò)協(xié)議（如 TCP/IP進行修改和補充； 在網(wǎng)絡(luò)應用層和傳輸層之間增加安全子層，如安全協(xié)議套 接字層（SSL,安全超文本傳輸協(xié)議（S-HTTP和專用通信協(xié)議（PGP）。 安全協(xié)議實現(xiàn)身份鑒別、 密鑰分配、 數(shù)據(jù)加密、 防止信息重傳和不可否認 等安全機制。8）、反病毒技術(shù)： 由于計算機機病毒具有傳染的泛濫性、 病毒侵害的主動性、病毒程序外形檢測的難以

18、確定性、病毒行為判定的難以確定性、非法性與隱蔽性、衍生 性、衍生體的不等性和可激發(fā)性等特性, 所以必須花大力氣認真加以對付。9）、安全審計：防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ),通過對一些重要的事件進行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。安全審計是一種很有價值的安全機制, 可以通過事后的安全審計來檢測和查 安全策略執(zhí)行的情況以及安全遭到破壞的情況。10）、業(yè)務填充： 在業(yè)務閑時發(fā)送無用的隨機數(shù)據(jù), 增加攻擊者通過通信流量獲得信息的困難,是一種制造假的通信、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生數(shù)據(jù) 的 安全機制。 該機制可用于提供對各種等級的保護，用來防止對業(yè)務進行

19、分析，同時也 增加了密碼通訊的破譯難度。發(fā)送的隨機數(shù)據(jù)應具有良好的模擬性能，能 夠以假亂真。11）、路由控制機制：路由控制機制可使信息發(fā)送者選擇特殊的路由，以保證連接、傳輸?shù)?安全。其基本功能為：1）路由選擇：路由可以動態(tài)選擇，也可以預定義，以便只用物理上安 全的子網(wǎng)、中繼或鏈路進行連接或傳輸；2）路由連接：在監(jiān)測到持續(xù)的操作攻擊時，端系統(tǒng)可能同意網(wǎng)絡(luò)服務 提供者另選路由，建立連接；3）安全策略：攜帶某些安全標簽的數(shù)據(jù)可能被安全策略禁止通過某些 子網(wǎng)、中繼或鏈路。連接的發(fā)起者可以提出有關(guān)路由選擇的警告，要 求回避某些特定的子網(wǎng)、中繼或鏈路進行連接或傳輸。4. 信息安全問題根源有哪些？1）物理安

20、全問題 物理設(shè)備本身問題、 設(shè)備的位置安全、 物理環(huán)境安全2）方案設(shè)計的缺陷 網(wǎng)絡(luò)的結(jié)構(gòu)比較復雜：給網(wǎng)絡(luò)管理、拓撲設(shè)計帶來問題； 異構(gòu)網(wǎng)絡(luò)間的開放性：犧牲一些安全機制； 不同環(huán)境下的不同方案：往往存在不少漏洞。3）系統(tǒng)的安全漏洞操作系統(tǒng)漏洞：非法文件訪問、遠程獲得root權(quán)限、系統(tǒng)后門、Fin ger漏洞、RPC遠程過程調(diào)用漏洞。網(wǎng)絡(luò)系統(tǒng)漏洞：路由器 / 交換機的漏洞。應用系統(tǒng)漏洞：Mail、WWW、FTP、DNS服務器的漏洞。4）TCP/IP協(xié)議的安全問題最初設(shè)計 TCP/IP 協(xié)議時基本沒有考慮安全問題，最主要的是對數(shù)據(jù)包中的源主機IP地址不進行檢查，容易遭受兩類攻擊：DoS和會話劫持。5

21、）人的因素 人為的無意失誤：配置不當、口令不安全。人為的惡意攻擊： 主動攻擊和被動攻擊 （嗅探） ，網(wǎng)上有現(xiàn)成工具， 自動攻擊并非難事。 管理上的因素：管理的缺陷5. 個人特征的身份證明技術(shù)主要包括哪些？1）手寫簽名識別技術(shù)； 2）指紋識別技術(shù)； 3）語音識別技術(shù)； 4）視網(wǎng)膜圖樣識別技術(shù)； 5）虹膜圖樣識別技術(shù)； 6）臉型識別。6. 請簡述在基于中心的密鑰分發(fā)中，拉模式工作原理。拉模式原理： A用明文（A,B）送會話密鑰請求t KDC KDC將 Eka（B,SK,T,EB（A,SK,T） tA A 將 EKB（A,SK,T） tB說明：KA： KDC與A共享的密鑰；KB： KDC與B共享的密

22、鑰；SK被傳送的會話密鑰；T:時間戳Ekb（A,SK,T是 KDC簽發(fā)給A用于向B證明其真實身份的證書。7. kerbero 認證與密鑰分發(fā)的基本思想。Keberos是為TCP/IP網(wǎng)絡(luò)系統(tǒng)設(shè)計的基于中心身份認證協(xié)議和基于中心的對稱密鑰產(chǎn)生與分發(fā)協(xié)議。 Keberos 是一個廣泛應用的認證協(xié)議， Windows2003 的域管理模式就支持 該協(xié)議，并應用在企業(yè)內(nèi)聯(lián)網(wǎng) （Intranet） 和外聯(lián)網(wǎng) （Extranet） 中的用戶身份認證。其思想是：1）用戶向認證服務器提出身份認證請求；2）認證服務器認證通過后發(fā)放 “身份證 ”；3） 用戶憑 “身份證”向票據(jù)服務器申請訪問某應用服務器的“票據(jù)”

23、；4）票據(jù)服務器在驗證用戶 “身份證 ”及有效期合格后發(fā)放訪問該應用服務器 的 “票據(jù) ”；5）用戶用此 “票據(jù) ”訪問該應用服務器；6）服務請求響應。至于用戶是否有權(quán)訪問以及訪問的權(quán)限，由應用服務器 決定。8. 信息隱藏的主要研究分支。 信息隱藏的主要研究分支包括：1. 隱寫術(shù)偽裝式保密通信；2. 數(shù)字水印數(shù)字產(chǎn)品版權(quán)保護；3. 隱蔽信道計算機系統(tǒng)中的一些通道；4. 信息分存可視密碼。9. 請簡述 CPU 卡對讀寫設(shè)備的密鑰認證過程。1）讀寫設(shè)備向CPU卡發(fā)送取隨機數(shù)”指令。2）CPU卡向讀寫設(shè)備返回隨機數(shù)。3）讀寫設(shè)備用存儲的密鑰 （私鑰 ）對隨機數(shù)進行加密運算，生成加密結(jié)果即密文。4）讀

24、寫設(shè)備發(fā)送密文到 CPU卡。5）CPU 卡用存儲的密鑰 （公鑰 ）對密文進行解密運算，并將解密隨機數(shù)與自己產(chǎn)生的隨機 數(shù)進行比較，若相同則認為讀寫設(shè)備是合法設(shè)備。10. 請簡述對較長報文的數(shù)字簽名過程。1）2）3）4）5）報文發(fā)送方 A 從報文中使用單向散列函數(shù)生成一個的散列值（或報文摘要 digest）。A 接著用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名； 然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方 報文接收方 B 首先從接收到的原始報文中計算出散列值（或報文摘要） 的公鑰來對報文附加的數(shù)字簽名進行解密。如果兩個散列值相同， 那么接收方 B 就能確認該數(shù)字簽名

25、是發(fā)送方的， 能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性。如圖下所示。MessageB；，接著再用 A通過數(shù)字簽名11. 請簡述 CA 證書的撤消過程。證書的撤銷包括5個步驟：1 ）由用戶提出申請 2）登記中心同意證書撤消 3） CA撤消 證書 4）登記中心轉(zhuǎn)發(fā)證書撤消列表5）其他用戶得到 CRL12請簡述CA證書的申請和頒發(fā)過程。CA證書的申請和頒發(fā)有五個過程：1）用戶申請2）登記中心同意申請 3）CA發(fā)行證書4）登記中心轉(zhuǎn)發(fā)證書 5）用戶獲取數(shù)字證書13請簡述CA證書的作用與分類。作用： 1 傳遞公鑰 2身份認證 3機密性 4完整性與不可否認（數(shù)字簽名）證分類： 計算機證書：服務器和客戶端 用戶

26、證書：個人與機構(gòu)的身份，郵件圖章等證書 14請簡述CA證書的驗證過程。 拆封證書，證書鏈的驗證，序列號驗證，有效期驗證, 證書作廢止列表查詢，證書使用策略的認證15請簡述CA認證中心的基本功能（9點）。1）接收驗證最終用戶數(shù)字證書的申請2）確定是否接受最終用戶數(shù)字證書的申請-證書的審批。 3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的簽發(fā)。 4）接收、處理最終用戶的數(shù)字證書更新請求 -證書的更新。 5）接收最終用戶數(shù)字證書的查詢、撤銷。6）產(chǎn)生和發(fā)布證書廢止列表（ CRL）。 7）數(shù)字證書的歸檔 8）密鑰管理。 9 ）歷史數(shù)據(jù)歸檔。16. 防火墻的分類以及常見防火墻系統(tǒng)模型。防火墻分類：分組過濾（

27、Packet Filtering）:作用在協(xié)議組的網(wǎng)絡(luò)層和傳輸層，根據(jù)分組包頭源地址、目 的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過，只有滿足過濾邏輯 的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應的目的地的出口端，其余的數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。應用代理 （Application Proxy） :也叫應用網(wǎng)關(guān)，它作用在應用層，其特點是完全“阻隔”通信 （子網(wǎng) ）流，通過對每種應用服務編制專門的代理程序，并分別與不同客戶端和服務 器端建立TCP連接，對數(shù)據(jù)包的數(shù)據(jù)區(qū)進行分析，并以此判斷數(shù)據(jù)是否允許通過。狀態(tài)檢測（Status Detection）:工作于鏈路層與網(wǎng)絡(luò)層之間，是從TCP連接的建立到終止全過程跟蹤

28、檢測異常應用服務的技術(shù)。 在網(wǎng)絡(luò)層攔截輸入包， 由用戶定義的訪問控制列 表（ACL決定允許建立哪些會話，只有與活躍會話相關(guān)聯(lián)的數(shù)據(jù)才能穿過防火墻。常見防火墻系統(tǒng)一般按照四種模型構(gòu)建:篩選路由器模型，單宿主堡壘主機模型， 雙宿主堡壘主機模型，屏蔽子網(wǎng)模型。17. 請簡述創(chuàng)建防火墻的步驟。 第一步:制定安全策略，第二步:搭建安全體系結(jié)構(gòu)，第三步:制定規(guī)則次序， 第四步:落實規(guī)則集，第五步:注意更換控制，第六步:做好審計工作。18. 入侵檢測的工作步驟。 信息收集 數(shù)據(jù)分析 響應19. IPSec策略下節(jié)點（主機和路由器）對流出/流入數(shù)據(jù)包的處理過程。對于流出數(shù)據(jù)包：要先查詢SPD,確定為數(shù)據(jù)包應使

29、用的安全策略。1）如果是繞過IPSec處理，則直接發(fā)送；2）如果是丟棄，則按要求丟棄；3） 如果檢索到的數(shù)據(jù)策略是應用IPSec,再查詢SAD（每個SPD的元組都有指針指向相關(guān)的SAD的元組），確定是否存在有效的 SA=a. 若存在有效的 SA則取出相應的參數(shù)，將數(shù)據(jù)包封裝（包括加密、驗證，添加IPSec頭和IP頭等），然后發(fā)送。b. 若尚未建立SA,則啟動或觸發(fā)IKE協(xié)商，動態(tài)地創(chuàng)建SA,協(xié)商成功后按3）中步驟處理， 不成功則應將數(shù)據(jù)包丟棄，并記錄出錯信息。c. 存在SA但無效，將此信息向IKE通告，請求協(xié)商新的SA，（協(xié)商成功后按3）中的步驟處 理，不成功則應將數(shù)據(jù)包丟棄，并記錄出錯信息。

30、對于流入數(shù)據(jù)包：要先查詢 SPD,確定為數(shù)據(jù)包應使用的安全策略。驗證為該數(shù)據(jù)包提供的 安全保護是否與策略配置的相符。如不相符，則將數(shù)據(jù)包丟棄，并記錄出錯信息。如相 符則：1. 如果是繞過IPSec處理，則直接接收；2. 如果是丟棄，則按要求丟棄；3. 如果檢索到的數(shù)據(jù)策略是應用IPSec，再查詢SAD（每個SPD的元組都有指針指向相關(guān)的SAD的元組），確定是否存在有效的 SA=a. 若存在有效的SA則取出相應的參數(shù)，將數(shù)據(jù)包解封（還原），然后將還原后的數(shù)據(jù)包交給TCP層或轉(zhuǎn)發(fā)。b. 若尚未建立SA,則將數(shù)據(jù)包丟棄，并記錄出錯信息。c. 存在SA但無效，則將數(shù)據(jù)包丟棄，并記錄出錯信息。20. 請

31、簡述VPN常見的隧道協(xié)議有哪些？其分別封裝的對象是什么？ VPN 常見的隧道協(xié)議有：1） PPTP協(xié)議：用于主機與路由器或兩部路由器之間，能對PPP幀用“I咲+PPTP頭”進行安全封裝，保護整個PPP幀，在IP網(wǎng)（如Internetlntranet）上 點-點安全傳輸。注意： PPP幀內(nèi)的IP頭的源、目地址一般是指通過隧道傳送信息的站點，外部IP頭的源、目地址一般是指隧道的起始、結(jié)束站點，它們最多有一個站點重合。對于使用隧道的PPP幀， 基于PPTP的隧道模式相當于是為它建立了一個點-點”的安全的物理鏈路”。它能實現(xiàn)包括口令、挑戰(zhàn)握手和 CA證書在內(nèi)的多種身份認證；數(shù)據(jù)加密以及數(shù)據(jù)完整性驗證。2） L2TP協(xié)議：與PPTP協(xié)議功能相似，而且它除了支持被封裝信息在IP網(wǎng)上傳輸，還 支持在幀中繼網(wǎng)、 ATM網(wǎng)和X.25網(wǎng)等廣域網(wǎng)上的傳輸。3） 基于虛電路的 VPN:通過在公共的路由來傳送IP包的服務。電信運營商或者電信部門就是采用這種方法,直接利用其現(xiàn)有的幀交換或信元交換（如ATM 網(wǎng)）基礎(chǔ)設(shè)施提供IP VPN服務。但是它的路由功能不夠靈活，構(gòu)建的相對費用比IP隧道技術(shù)高，而且還缺少IP的多業(yè)務能力，比如：VOIP （ Voice Over IP）。4） IPSec協(xié)議的隧道模式：實現(xiàn)了對IP包的安全封裝，在 點-點”的隧道中傳輸。21