第一章
问题:信息安全的目标是什么?
答:信息安全的目标是保护信息的 机密性,完整性、抗否认性、和可用性
- 机密性:保护信息不被非授权访问
- 完整性:维护信息的一致性
- 抗否认性:保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为
- 可用性:保障信息资源随时可以提供服务的特性
第二章
- 加密:对需要保护的信息进行编码的过程
- 加密算法:编码的规则
- 明文:指需要加密的消息
- 密文:指明文加密后的形式
- 解密:将密文恢复出明文的过程
- 解密算法:解密的规则
- 加密算法和解密算法通常在一对密钥控制下进行,分别成为加密密钥和解密密钥
多表代换密码中最著名的一种密码称之为 维吉尼亚(Vigenere)密码 (p14)
第四章
主要是两个算法 RSA算法 和椭圆曲线密码算法
RSA算法
解密公式:M = C^d mod n
加密公式:C = M^e mod n
例子:a mod b=c,表明a除以b,余数为c
计算步骤:
选取两个素数 p 和 q
计算乘积 n = p * q 和 欧拉函数φ(n) = (p - 1)*(q - 1)
任意选择一个数字 e(1<e<φ(n) )
计算e*d % φ(n) = 1 e*d的结果对φ(n) 取余 等于1
那么
公钥:(n,e)
私钥:(n,d)
- 以上为个人理解,如果理解有误,请各位大佬及时指正
椭圆曲线密码算法不会,各位随缘
第五章
问题:散列函数应该满足那些性质 (p63)
答:散列函数的目的是为文件、消息或其他的分组数据产生“指纹”,用户消息认证的散列函数H必须满足如下性质:
1、H能用于任何大小的数据分组,能产生定长的输出
2、对于任何给定的x,H(x) 要相对易于计算
3、对于任何给定的散列码h,寻找x使得H(x)= h 在计算上不可行(单向性)
4、对任何给定的分组x,寻找不等于x的y,使得H(x)=H(y) 在计算上不可行(弱抗冲突)
5、寻找任何的(x,y),使得H(x)=H(y) 在计算上不可行(弱抗冲突)
第六章
问题:说明CA 层次模型中的信任建立模型过程 ( P94 )
答:
1、CA 的严格层次结构是一个树形结构;
2、每个实体都新人根CA,因此都必须拥有根CA 的公钥;
3、在这个结构中,根CA 将它的权利授给多个子CA ,这些子CA再将它们的权利授给它们的子CA,这个过程直至某个CA实际颁发了某一证书。
第七章
问题:试说明零知识的原理 (P99)
答:用P表示示证者,用V表示验证者,,P试图向V证明自己知道某信息;P几乎不可能欺骗V:如果P知道证明,他可以向使V以极大的概率相信他知道证明;如果P不知道证明,则它使得V相信他知道证明的概率几乎为零
第八章
问题:Bell-LaPadula模型能否同时保证机密性和完整性?为什么? (P118)
答:不能;在Bell-LaPadula模型中,信息的完整性和保密性是分别考虑的,因而对读写的方向进行了反向规定。
1、为了保障信息的完整性,低级别的主体可以读高级别客体的信息(不保密),但是低级别的主体不能写高级别的客体(保障性信息),因而采用的是上读/下写策略
2、为了保障信息的保密性,与保障完整性策略相反,低级别的主体不可以读高级别的信息(保密),但是低级别的主体可以写高级别的客体(完整性可能被破坏),因而采用的是下读/上写的策略。
第九章
全开扫描(open scan,TCP connect)
- 全开扫描技术通过直接同目标主机通过一次完整的3次TCP/IP握手过程,建立标准TCP连接来检查目标主机的相应端口是否打开。
- 标准TCP/IP连接建立过程如下,如果sevice端口是打开的,在client和service间的TCP数据包将包括以下握手过程:
client -> SYN
service -> SYN|ACK
client -> ACK
而如果service的端口没有打开,上述流程如下:
client -> SYN
service -> RST|ACK
client -> RST
半开扫描(SYN扫描) (P153)
- “半开”是指client端在TCP 3次握手尚未完成就单方面中止了连接过程;在第三步时不时发送ACK包,而代之以RST包要求中止连接。
- 对于打开的端口,SYN扫描流程如下所示
client -> SYN
service -> SYN|ACK
client -> RST
- 对于关闭的端口,流程同全开扫描相同,只是这时不需要发送第三个包了;
client -> SYN
service -> SYN|ACK
第十二章
问题: 配置一个防火墙的规则,实现允许Email通过,拒绝来自162.105.0.0网段的FTP请求,允许除主机202.112.9.7外的WWW服务
答:配置如下,顺序不可更改