第7章 7-1 计算机网络中的安全威胁都有哪些?它们的目的是什么?计算机网络所需要的最基本的安全服务是什么? 解答: 计算机网络所面临的安全威胁主要来自两大类攻击,即被动攻击和主动攻击。这两类攻击中四种最基本的形式是: (1)中断是以可用性作为攻击目标,它毁坏系统资源,如切断通信线路; (2)截获是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问,如搭线窃听,非法拷贝等; (3)篡改是是以完整性作为攻击目标,非授权用户不仅获得对系统资源的访问,而且对文件进行修改,如改变文件中的数据; (4)伪造是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常的系统中,如在网上散步的一些虚假信息等。 截获信息的攻击称为被动攻击,而更改信息和阻止用户使用资源的攻击称为主动攻击,即中断、篡改和伪造。 计算机网络需要的最基本的安全服务是:机密性、报文完整性。 7-2 对称密钥密码体制与公钥密码体制的特点各如何?各有何优缺点? 解答:对称密钥密码体制是一种加密密钥与解密密钥相同的密码体制。在对称钥密系统中,两个参与者要共享同一个秘密密钥,这给密钥的管理和更换都带来了极大的不便,通常需要使用复杂的密钥分发中心KDC (Key Distribution Center)来解决该问题。然而采用公钥密码体制可以比较容易地解决这个问题。 公钥密码体制使用不同的加密密钥与解密密钥,加密密钥(即公钥)PK是公开信息,而解密密钥(即私钥)SK是需要保密的,因此私钥也叫做秘密密钥。由于加密密钥不能用来解密,并且从加密密钥不能推导出解密密钥,因此加密密钥可以公开。例如,参与者A可以在报纸上公布自己的加密密钥(即公钥),而解密密钥(即私钥)自己秘密保存。任何参与者都可以获得该公钥并用来加密发送给参与者A的信息,而该信息只能由A解密。可见采用公钥密码体制更易解决密钥分发的问题。 公钥密码体制有许多很好的特性,使得它不仅可以用于加密,还可以很方便地用于鉴别和数字签名。但是,公钥密码算法比对称密码算法要慢好几个数量级。因此,对称密码被用于绝大部分加密,而公钥密码则通常用于会话密钥的建立。 7-3 考虑n个用户两两间的秘密通信问题。如果使用对称密钥密码体制,需要多少密钥?若使用公钥密码体制,则需要多少对密钥? 解答:使用对称密钥密码体制,需要的密钥数是n(n – 1)/2个。使用公钥密码体制,则需要n对密钥。 7-4 在对称密钥系统中,通信双方要共享同一秘密密钥,需要通过安全通道分发密钥。而在公钥系统中,公钥无需保密,是否就不存在密钥分发的问题?试举一例说明原因。 解答:不是,设想用户A要欺骗用户B。A可以向B发送一份伪造是C发送的报文。A用自己的私钥进行数字签名,并附上A自己的公钥,谎称这公钥是C的。B如何知道这个公钥不是C的呢?因此,在公钥系统中也存在密钥分发的问题,通常需要有一个值得信赖的机构来将公钥与其对应的实体(人或机器)进行绑定(binding),这样的机构就叫作认证中心CA (Certification Authority)。 7-5 比较对称密钥密码体制与公钥密码体制中密钥分发的异同。 解答:其共同点是都需要一个可信的机构。目前常用的对称密钥分发方式是设立密钥分发中心KDC。KDC是一个大家都信任的机构,其任务就是给需要进行秘密通信的用户临时分发一个会话密钥。而在公钥系统中,通常需要有一个值得信赖的机构即认证中心CA (Certification Authority)来将公钥与其对应的实体(人或机器)进行绑定(binding)。 7-6 为什么需要进行报文鉴别?报文的保密性与完整性有何区别?什么是MD5? 解答:有时,通信双方并不关心通信的内容是否会被人窃听,而只关心通信的内容是否被人篡改或伪造,这就需要进行报文鉴别,既鉴别报文的真伪。 报文的机密性是确保报文中的信息不会泄漏给非授权用户。而报文完整性是确保报文中的信息不被非授权用户篡改或伪造。MD5是一种报文摘要算法,用来进行报文鉴别。 7-7 什么是数字签名?数字签名的三个要件是什么? 解答:数字签名指的是利用一套规则或参数,对数字通信的内容进行签名,来核实通信双方身份和数据完整性的技术。 对计算机网络中传送的电文进行数字签名必须保证以下三点: (1)接收方能够确认数据是指定的发送方送来的,而不是冒充者送来的; (2)发送方事后不能抵赖对数据的签名; (3)接收方不能伪造对数据的签名。 7-8 比较数字签名与报文鉴别码技术的异同。 解答:报文鉴别码和数字签名都能用来保证报文的完整性。 但由于数字签名是产生者用自己的私钥对报文进行加密运算,验证者用产生者的公钥对加密的报文进行验证。报文鉴别码由于双方共享鉴别密钥,因此不能防止鉴别方伪造报文,而数字签名由于使用私钥给报文签名,其他任何人都无法伪造报文。但数字签名计算量比较大。 7-9 试述防火墙的基本工作原理和所提供的功能。 解答:防火墙是把一个组织的内部网络与其他网络(通常就是因特网)隔离开的软件和硬件的组合。根据访问控制策略,它允许一些分组通过,而禁止另一些分组通过。访问控制策略由使用防火墙的组织根据自己的安全需要自行制订。防火墙作为一种访问控制技术,通过严格控制进出网络边界的分组,禁止任何不必要的通信,从而减少潜在入侵的发生,尽可能降低内网遭受外网攻击的安全风险。 7-10 有了防火墙为什么还需要入侵监测系统? 解答:防火墙试图在入侵行为发生之前阻止所有可疑的通信。但事实是不可能阻止所有的入侵行为,因此需要使用入侵检测系统在入侵已经开始,但还没有造成危害或在造成更大危害前,及时检测到入侵,以便尽快阻止入侵,把危害降低到最小。IDS对进入网络的分组执行深度分组检查,当观察到可疑分组时,向网络管理员发出告警或执行阻断操作(由于IDS的“误报”率通常较高,多数情况不执行自动阻断)。IDS能用于检测多种网络攻击,包括网络映射、端口扫描、DoS攻击、蠕虫和病毒、系统漏洞攻击等。 7-11 入侵检测方法一般可以分为哪两种?它们之间的区别是什么? 解答:入侵检测方法一般可以分为基于特征的入侵检测和基于异常的入侵检测两种。 基于特征的IDS维护一个所有已知攻击标志性特征的数据库。每个特征是一个与某种入侵活动相关联的规则集,这些规则可能基于单个分组的首部字段值或数据中特定比特串,或者与一系列分组有关。当发现有与某种攻击特征匹配的分组或分组序列时,则认为可能检测到某种入侵行为。这些特征和规则通常由网络安全专家生成,机构的网络管理员定制并将其加入到数据库中。 基于特征的IDS只能检测已知攻击,对于未知攻击则束手无策。基于异常的IDS通过观察正常运行的网络流量,学习正常流量的统计特性和规律,当检测到网络中流量某种统计规律不符合正常情况时,则认为可能发生了入侵行为。 7-12 DDoS是如何产生巨量攻击流量的?为什么难以防范? 解答:在分布式DoS攻击中,攻击者先通过非法入侵手段控制因特网上的许多主机(例如,通过嗅探口令、漏洞渗透、木马等方式),然后控制这些主机同时向攻击目标系统发起DoS攻击。很多DDoS攻击还结合反射攻击技术进一步将攻击流量进行放大,甚至进行多次反射来产生超巨量的攻击流量。 由于很难区分哪些是恶意分组哪些是正常分组,而且通常参与DDoS攻击的分组使用的源IP地址都是假冒的,又来找因特网上不同的被控主机,很难追溯到攻击源。因此DDoS难以防范。 本文来源:https://www.wddqw.com/doc/f7e4686826284b73f242336c1eb91a37f11132b3.html