北航39系《网络安全》课程考核复习重点 刘建伟老师课程

第1章 引言

1. 掌握信息安全的四个目标？
   保密性、完整性、可用性、合法使用。

2. 信息系统中常见的威胁有哪些？
   信息泄露、完整性破坏、拒绝服务、非法使用。

3. 什么是安全策略？安全策略分几个等级？
   安全策略：某个安全域内施加给所有与安全相关活动的一套规则。
   安全策略分为3个等级：安全策略目标、机构安全策略、系统安全策略。

4. 什么是访问控制策略？它分为哪两类？有何不同？
   访问控制策略属于系统级安全策略，它迫使计算机系统和网络自动执行授权。
   分为两类：
   强制访问策略（MAC）：由安全域中的权威机构强制实施，任何人都不能回避（常见于军事和政府机构）。
   自主访问策略（MDC）：为一些特定的用户提供了访问资源的权限，此后可以利用此权限控制这些用户对资源的进一步访问。

5. 安全攻击分几大类？常见的攻击形式有哪些？
   安全攻击分类：主动攻击（伪装、重放、消息篡改、拒绝服务）和被动攻击（信息泄露、流量分析）。
   常见的攻击形式（8种）：口令窃取、欺骗攻击、缺陷和后门攻击、认证失效、协议缺陷、信息泄露、指数攻击、拒绝服务攻击。

6. 熟记X.800标准中的5类安全服务和8种特定安全机制，并简述安全服务和安全机制之间的关系。
   安全服务：认证、访问控制、数据保密性、数据完整性、不可否认性；
   安全机制：加密、数字签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证；
   安全服务和安全机制的关系：

7. 能够理解并画出网络安全模型和网络访问模型。

网络安全模型

网络访问安全模型

第2章 计算机网络基础

1. 熟记OSI的七层参考模型、TCP/IP的四层模型。
   OSI七层参考模型：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
   TCP/IP四层模型：网际接口层、网络层、传输层、应用层。

2. 什么是面向连接的服务？什么是无连接的服务？
   面向连接的服务要求通信双方在传输数据之前首先建立连接，数据传输过程包括建立连接、传输数据、释放连接三个阶段。
   无连接的服务不要求通信双方在传输数据之前建立连接，是“尽力传递”的服务，它尽最大努力是传输数据到达目标。

3. 必须知道IPv4及IPv6地址的格式及长度。
   IPv4格式 = <网络号net-id> <主机号host-id>
   IPv4长度：32bit
   IPv6格式 = <站点前缀> <子网ID><接口ID>
   IPv6长度：128bit

4. 必须知道MAC地址的长度。
   48bit

5. IP地址与MAC地址转换靠哪个网络协议？
   ARP协议

6. IPv4的地址分类有哪几种？给定一个IP地址，要能够分析判断出该地址属于哪一类地址。

7. 给定一个IPv4地址和子网掩码，要求能够计算出网络地址。
   IPv4格式 = <网络号net-id> <主机号host-id>

8. 熟悉CIDR的表示方式，如：128.14.32.0/20表示的地址块范围和子网掩码是什么？
   子网掩码：255.255.240.0
   地址块范围128.14.32.1 - 128.14.47.254

9. 什么是端口号？端口号在网络通信中起什么作用？
   端口号是按照应用进程的功能对应用进程实行的标识。（端口号长度为16bit）

第3章 Internet 协议的安全性
1．熟记 http / ftp / telnet /pop3/smtp/ imap / ssh / dns 等常用通信协议的功能
协议名称 端口号 功能
http TCP80 超文本传输协议，是一个客户端和服务端请求和应答的标准，是互联网应用最广泛的一种网络协议。
ftp TCP20
TCP21 文件传输协议，是Internet文件传送的基础。数据端口为20，控制端口为21.
telnet TCP23 远程登陆协议，是Internet远程登录服务的标准协议和主要方式。
pop3 TCP110 邮局协议，是一个邮件协议，规定了如何将个人计算机连接到遵循POP3协议的接收邮件服务器并下载邮件，是Internet第一个离线电子邮件协议标准。
smtp TCP25 简单邮件传输协议，一组用于由源地址到目的地址传送邮件的规则。
imap TCP143
TCP993 消息访问协议，一个邮件获取协议，从邮件服务器上获取邮件信息并下载邮件。相比POP3，IMAP对邮件有更强大的访问控制能力。
端口143 - IMAP的标准端口：这是IMAP协议的默认非加密端口。当使用端口143时，通信不是自动加密的。因此，如果需要安全性，必须通过其他方法（如STARTTLS命令）来启动TLS加密。使用端口143的IMAP连接通常是在“明文”下开始，然后可能升级到加密连接，这取决于客户端和服务器的配置。
端口993 - IMAP的加密端口：这是IMAP协议的默认加密端口，通常用于IMAPS（IMAP over SSL/TLS）。
当通过端口993连接时，从一开始就采用SSL/TLS加密，确保所有传输的数据在客户端与服务器之间都是加密的。使用端口993的连接被认为是更安全的，因为所有数据（包括用户认证信息）都是在加密通道中传输。
总结来说，端口143用于标准的、可能未加密的IMAP连接，而端口993用于从一开始就加密的IMAP连接。在考虑安全性和隐私时，通常推荐使用端口993。
ssh TCP22 安全壳协议，是一种在不安全的网络上建立安全的远程登录或其他安全网络服务的协议。
dns UDP53 域名系统，是一个分布式数据库系统，用来实现域名和IP地址之间的映射。
2．熟记一些常用网络协议的端口号。
见上表
3．网际层协议有哪些？传输层协议有哪些？应用层协议有哪些？
协议种类 协议名称
网际层协议 IP、ARP、ICMP、IGMP、OSPF、BGP
传输层协议 TCP、UDP
应用层协议 HHTP、TELNET、SSH、FTP、RIP、SMTP、DNS、POP3等

4．为什么要进行网络地址转换(NAT)?
NAT是一种实现内网地址与外网地址相互转换的技术。IPv4地址仅有32位，不足以为全球所有的计算机提供IP地址，且当用户真实的IP地址暴露后，易遭到恶意敌手的网络攻击，NAT有效解决了IP地址不足的问题，而且还能有效地避免来自网络外部的入侵，隐藏并保护网络内部的计算机。
5．ARP协议的作用是什么？
实现IP地址到MAC地址的映射。
6．为什么 UDP 比 TCP 协议更加容易遭到攻击？
UDP协议是无连接、不可靠的传输协议，它没有错误校验、重传机制和拥塞控制等功能。由于UDP协议不具备TCP协议的错误校验和重传机制等功能，因此在网络中传输的数据包很容易被篡改或伪造，从而导致攻击者利用UDP协议进行DDoS攻击（分布式拒绝服务攻击）或其他网络攻击。例如，攻击者可以通过UDP协议发送大量伪造的数据包到目标主机，使目标主机无法正常处理合法的请求。
7．IMAP协议与POP3协议相比，它的安全性有哪些提升？
IMAP4采用“挑战/响应”机制实现用户认证，支持用户对服务器的远程加密访问。
8．SSH 协议与 Telnet 协议相比，它的安全性有哪些提升？
SSH支持身份认证和数据加密，对所有传输的数据进行加密处理，并采用“挑战/响应”机制代替传统的主机名和口令认证。它既可以代替Telnet作为安全的远程登录方式，又可以为FTP、POP等服务提供一个安全的“隧道”，能够有效防止中间人攻击。
9．什么是 ICMP 重定向攻击？如何防止此类攻击？
重定向攻击：ICMP可以用来对主机之间的消息进行重定向，同样黑客也能够使用ICMP对消息进行重定向，进而使得目标机器遭受连接劫持和拒绝服务等攻击。一般来说，重定向消息应该仅由主机执行，而不是由路由器执行。仅当消息直接来自路由器时，才由路由器执行重定向。
在正常情况下，当一个路由器发现一个更好（通常是更短或者更快）的路由到达特定目标时，它会发送一个ICMP重定向消息给发送数据包的主机，告诉它更新路由表信息，以便将未来的数据包发送到更佳路由。攻击者可以利用ICMP重定向消息来进行攻击，方法是发送伪造的ICMP重定向消息给目标主机，以误导它将数据包发送到攻击者控制的机器。
防止重定向攻击的措施：①在内部主机和路由器上禁用对ICMP重定向消息的相应；②使用防火墙过滤不必要的ICMP重定向消息；③加强IDS，确保IDS能够识别和防御针对ICMP的异常行为和攻击尝试；④加密通信，通过VPN或其他加密手段确保数据传输的安全，即攻击者无法伪造重定向消息。
10．在网络中，为什么不能仅仅靠识别数据包的 IP 地址，来判断一个数据包就是来自该 IP 地址的主机？
①NAT：NAT设备允许多个设备共享同一个公共IP地址。这意味着来自NAT后面的任何私有地址的数据包在传送到外部网络之前都会被替换为相同的公共IP地址，从而使得外部网络无法区分哪个内部设备实际上发送了该数据包；
②移动性：在移动IP环境中，当设备在网络之间漫游时，其IP地址可能会发生改变，这意味着相同的物理设备可以在不同时间使用不同的IP地址；
③路由器和代理：数据包经过路由器或代理服务器时，可能会改变数据包的源或目的IP地址。例如，代理服务器可能会更改源地址以匿名用户请求，或者进行内容分发网络（CDN）的请求分发；
④IP欺骗：攻击者可以伪造数据包的源IP地址，使得这些数据包看起来像是从另一个主机发送的。这种技术常被用于发动反射型分布式拒绝服务（DDoS）攻击，其中攻击者向多个反射服务器发送伪造源地址的查询，导致服务器响应泛滥至被伪造地址的目标。
 
第4章单钥密码体制
1．按照对明文消息的处理方式不同，单钥体制可分为哪两类？
流密码和分组密码。
2．古典密码中的两个常用的变换是什么？
代换和置换。
3．什么是理论上安全？什么是计算上安全？理论上安全的密码算法有几个？理论上安全的密码是什么密码？
理论上安全：理论上安全意味着即使攻击者拥有无限的计算资源，他们也无法破解加密，因为密文不包含足够的信息来确定唯一的明文。换句话说，没有任何计算上的方法可以用来破解密码，这种安全是绝对的。
计算上安全：计算上安全是指破解加密所需的计算资源如此巨大，以至于在实际时间内完成解密是不切实际的。换句话说，攻击者可能在理论上能够破解加密，但由于需要非常长的时间，实际上是不可行的。
理论上安全的密码有1个，一次一密密码。
4．什么是同步流密码、自同步流密码？流密码的安全性取决于什么？
同步流密码：密钥流生成器内部状态与明文消息无关，即密钥流独立于明文。
自同步流密码：密钥流生成器内部状态与明文消息有关。
流密码的安全性完全依赖于伪随机数的强度。
5．DES分组长度、密钥长度、轮数是多少？1轮加密包括哪些变换？ DES 中的非线性变换是什么变换？
分组长度为64比特、密钥长度为56比特、轮数为16轮，1轮加密包括交换运算、异或运算、S盒代换，DES中的非线性变换是S盒代换。
6．AES分组长度、密钥长度、轮数是多少？1轮加密包括哪些变换？ AES 中包含的非线性变换是什么变换？
分组长度为128比特，密钥长度包括128比特、192比特、256比特三种，对应的轮数分别为10轮、12轮、14轮，1轮加密包括字节代换、行移位、列混淆、轮密钥加，非线性变换是字节代换。
7．加密轮数是否越多越好？密钥是否越长越好？将2个算法串联对数据加密，是否一定更安全？
加密轮数不是越多越好，密钥也不是越长越好，加密轮数和密钥长度的增加确实可以提升加密算法的安全性，但必须在保证效率的前提下进行，轮数增多会导致性能下降，且当超过某个阈值，增加轮数的边际安全效益递减，密钥增长会影响加解密的速度，特别是在硬件资源有限的情况下。
将两个或更多加密算法串联使用，理论上可以提高安全性，因为攻击者需要分别破解每个算法。然而，如果这些算法实现不当，这可能会降低整体安全性。例如，如果两个算法中的一个存在严重的安全漏洞，那么它可能减弱另一个算法的安全性。此外，错误的密钥管理或者配置错误也可能减少所增加的安全性。级联加密还会显著增加计算成本，这在资源有限的环境下可能是不可接受的。
8．分组密码的5种工作模式是什么？能画出5种工作模式的原理框图。
电码本模式（ECB）、密码分组链接模式（CBC）、密码反馈模式（CFB）、输出反馈模式（OFB）和计数器模式（CTR）。
原理框图略，可以进行简单记忆：
ECB：明文与密钥直接进行加密

CBC：引入向量IV，IV先与明文异或，再与密钥进行加密运算，密文分组为新IV。（输出是n-bit密码分组的一个序列，这些密码分组链接在一起使得每个密码分组不仅依赖于所对应的明文分组，而且依赖于所有以前的数据分组。）

CFB：引入向量IV，IV先与密钥加密，再与明文进行异或运算，密文分组为新IV
（输出的密码分组反馈至移位寄存器，作为分组密码算法的输入，经分组加密算法加密后形成密钥流分组，再与输入明文分组相异或。）

OFB：引入向量IV，IV先与密钥加密，再与明文进行异或运算，加密后的IV为新IV（将分组密码的输出分组反馈回去，这些反馈分组加密后输出一个密钥流分组，再将密钥流分组与明文分组相异或。）

CTR：与CEB类似，引入计数器CTRi，先与密钥加密，再与明文分组异或

9．分析5种加密模式中，哪些加密模式没有误码扩展？哪些有误码扩展？如果有误码扩展，会影响多少个分组？
（1）无误码扩展的加密模式：
OFB（输出反馈模式）在OFB模式中，一个错误仅影响对应的输出位，不会传播到其他部分。
CTR（计数器模式）CTR模式下，错误也仅限于影响相应的输出位，不会扩展到其他数据块。
（2）有误码扩展的加密模式：
ECB（电子密码本模式）ECB模式实际上没有误码扩展，因为每个数据块独立加密。错误仅影响错误数据块的解密。
CBC（密码块链接模式）在CBC模式中，一个错误影响两个连续的明文块：错误的密文块会产生错误的明文块，而这个错误的密文块也会影响下一个明文块的解密。
CFB（密码反馈模式）在CFB模式下，一个密文中的错误会影响当前段的解密输出，并且会传播到下一个段。但是，错误不会再传播到更远的段。
ECB：1个分组，当前分组（1比特错误扩展至多比特）
CBC：2个分组，当前分组与下个分组
CFB：2个分组，当前分组与下个分组
综上，OFB和CTR模式在解密时没有误码扩展，而ECB模式虽然每个块独立加密，但也没有误码扩展。相比之下，CBC和CFB模式则存在误码扩展现象，其中CBC模式的错误影响两个明文块，而CFB模式的错误影响到当前段和下一个段

10．了解中国商用分组密码算法SM4，知道它的分组长度、密钥长度和加密轮数。
分组长度为128比特，密钥长度为128比特，32轮迭代。

第5章 双钥密码体制

1. 双钥密码体制是基于数学难题构造的，请列举出目前存在的数学难题。用双钥体制加密时采用谁的公钥？解密时采用谁的公钥？
   多项式求根，大整数分解，离散对数，背包问题，DH问题，二次剩余问题，模n的平方根问题。
   加密时用解密者的公钥，解密时用解密者的私钥。

2. RSA是基于何种数学难题构造的？Diffie-Hellman是基于何种数学难题构造的？
   RSA是基于模n大整数分解的困难性构造的。
   Diffie-Hellman是基于Diffie-Hellman问题构造的。离散对数问题

3. 请写出RSA加密和解密的数学表达式，并指出什么是公钥，什么是私钥？并能做简单的加密和解密计算
   RSA加密：m->c: m^e mod n
   解密：c->m: c^d mod n
   公钥为n,e，私钥为d。
   计算过程：取大素数p、q，计算n=p*q;
   计算欧拉函数
   取随机整数e,计算私钥
   加解密：m->c: m^e mod n 、 c->m: c^d mod n

4. RSA在各种参数选择上有哪些原则和限制？为什么？
    n模数足够大（大于1024bit），p , q为大素数，因为RSA的安全性取决于模n 分解的困难性。
    p−1， q−1有大的素因子，p + 1、q + 1也要有大的素因子，因为p和q是强素数。
    p和q之差要大，因为当差值很小时可以通过解平方数试验出p和q的值。
    e满足1 ≤ e < ϕ ( n )，gcd(ϕ(n),e)=1，因为需要满足求逆的条件。
    e不能太小，因为明文小时可能未取模，可以开e次方求明文，且容易受到低加密指数攻击。
    d要大于n^{1/4，因为d过小会导致已知明文攻击可以试验d的值，也会面临系统攻击法。

5. 写出ELGamal密码体制是基于何种数学难题？请写出他的加密表达式和解密表达式？
   离散对数问题。

6. ECC公钥密码体制是基于何种数学难题？请写出他的加密表达式和解密表达式？
   椭圆曲线上的离散对数问题。

7. 写出基于ECC的Diffie-Hellman密钥交换协议。

8. RSA和ECC公钥密码算法在加密、解密速度上有何差异？请查阅资料，比较它们分别采用硬件和软件实现时的加密和解密速度。
   在达到同等安全性需求时，ECC具有更短的密钥长度，虽然计算更复杂，但加密速度更快。

9. 对公钥密码的攻击有哪些常见的攻击方式？它们各有什么特点？
   选择明文攻击（CPA）。攻击者选择明文消息并得到解密服务，产生相应的明文，攻击者通过得到的明密文对来降低目标密码体制的安全性。
   选择密文攻击（CCA）。攻击者选择密文消息并得到解密服务，产生相应的明文。攻击者用所得到的明密文对来降低目标密码体制的安全性。在解密服务停止后，即在得到目标密文之后，解密服务立即停止。如果攻击者能够从“目标密文”中得到保密明文的信息，则就说攻击是成功的。
   适应性选择明文攻击（CCA2）。这是一种CCA，而且除了对“目标密文”解密外，永远能够得到解密服务。

10. 了解中国的商用公钥密码算法SM2。
    一组基于椭圆曲线的公钥密码算法
    包含加解密算法、数字签名算法和密钥交换协议
    采取了检错措施，提高了系统的数据完整性和可靠性
    推荐使用256位素数域上的椭圆曲线
    涉及3类辅助函数：杂凑函数、密钥派生函数、随机数发生器

RSA 大整数分解困难问题
Diffie-Hellman 离散对数问题
Elgamal 离散对数问题
ECC 椭圆曲线的离散对数问题
SM2 椭圆曲线的公钥密码算法

第6章消息认证与杂凑函数
1.请说明 Hash 函数与加密函数有何不同？
Hash函数不可逆，加密函数可逆。
2.杂凑函数具有哪些性质？
单向性。
任意长度输入产生定长输出。
抗原像攻击
抗碰撞攻击
3.什么是消息认证码 MAC ？如何构造？
MAC是有密钥参与杂凑运算的算法，也称密码校验和。
构造方法：MAC=H( m||k ) （其中，m是一个变长的消息，k是收发双方
共享的密钥，H( m||k )是定长的认证符。
4.在不知道密钥的情况下，如何对 MAC 算法成功实施攻击？(167页）
穷举、构造、碰撞、差分分析、密码分析
5.如何采用 Hash 函数和分组加密算法构造 MAC ?
Hash函数构造方法：MAC=H(m||k)
分组加密算法构造方法：对消息m进行分组并填充为n个组，设C_0 = IV为随机初始向量，发送者用CBC加密：C_i  E_k(m_i⊕C_ i−1 )，数值对( IV , C_n )作为M的MAC。
6.什么是消息检测码（或消息摘要） MDC ？简述 MDC 与 MAC 的异同。
MDC是无密钥控制的单向杂凑函数，其杂凑值只是输入字串的函数，任何人都可以计算。
不同点：MDC无密钥控制，不具有身份认证功能；MAC有密钥控制，具有身份认证功能。
相同点：MDC 和MAC都可以检测接收数据的完整性
7.熟悉迭代杂凑函数的构造方法。

8.MD5的明文输入分组长度、字长、输出长度是多少位？
9. SHA -1的明文输入分组长度、字长、输出长度是多少位？

10.掌握应用杂凑函数的基本方式，熟悉图6-1、6-2、6-5、6-6所能够提供的安全功能。
既提供保密性，又提供消息认证：

仅仅提供消息认证：

既提供消息认证，又提供数字签名:

既提供保密性，又提供消息认证和数字签名

仅提供消息认证

既提供保密性，又提供消息认证：

11.熟悉中国商用杂凑函数SM3的构造。
SM3是一种采用MerkleDamgard结构的杂凑函数。

12．掌握迭代杂凑函数的构造方法。（P171）
迭代杂凑函数的构造方法包括Rabin法，密码分组链接（CBC）法，密码反馈（CFB）法，组合明/密文链接法，修正Daveis-Meyer法。

第7章数字签名
1.数字签名应该具有哪些性质？
 R1–收方能够确认或证实发放的签名，但不能伪造
 S–发方发出签名的消息给收方后，就不能再否认他所签发的消息
 R2–收方对已收到的签名消息不能否认，即有收报认证
 T–第三者可以确认收发双方之间的消息传送，但不能伪造这一过程
2.数字签名可以分为哪几类？

3.RSA签名是基于何种数学难题？
大整数分解难题。
4.ElGamal 签名是基于何种数学难题？请写出 EIGamal 的签名方程。
基于离散对数难题。

5.Schnorr签名与 ElGamal 签名有何不同？请比较两者的异同。

相同点：都是基于离散对数难题构造，都是随机化数字签名。
6.请写出 DSS 的签名方程，并比较它与 ElGamal 、 Schnorm 的异同。

不同点：
相同点：都是基于离散对数难题构造，都是随机化数字签名
7.在以上三种签名方案中，每次签名时，用户都要选择一个随机数 k 。若将随机数 k 替换成为常数，会出现什么安全问题？请加以分析。
可以通过2个使用相同随机数的签名解密出私钥。
Diffie - Hellman 能用来做数字签名吗？
不能，密钥交换算法。
8.单钥体制能用来做数字签名吗？
不能。
9.试比较数字签名在密钥的使用上，与公钥加密算法存在的区别。

10.请列举具有特殊功能的数字签名体制有哪些？它们各有什么用途？
不可否认签名：这类签名要求在签名者合作下才能验证签名。如果无签名者合作，这类签名不可验证，从而可以防止恶意的攻击者随意复制和散布签名者所签的文件。这一性质可以用于知识产权的保护等。
防失败签名：是一种强安全性的数字签名，可防范有充足计算资源的攻击者。在分析出私钥的情况下，攻击者也难以伪造Alice的签名。签名者也难以对自己的签名进行抵赖。
盲签名：签名者对一个文件做数字签名，但文件所有者不想让签名者知道文件的内容。可用于选举投票、数字货币协议、电子商务系统。
群签名：只有群中的成员才能代表该群体进行数字签名。接收方用公钥验证群签名，但无法知道由群体中的哪个成员所签。发生争议时，由群体中的成员或可信赖机构识别群签名的签名者。可以用于项目投标。
代理签名：代理签名就是委托人授权某个代理人进行的签名，在委托签名时，
签名密钥不交给代理人。
指定证实人签名：在一个机构中，指定一个人负责证实所有人的签名。任何成员的签名都具有不可否认性，但证实工作均由指定人完成。
一次性数字签名：签名者至多只能对一个消息进行签名，否则签名就可能被伪造。
11.了解中国商用数字签名算法SM2。（P197）
基于椭圆曲线上的离散对数难题。

第8章 密码协议

1. 构成协议的三个主要特征（含义）是什么？
   有序性
   至少有两个参与者
   通过执行协议必须能完成某项任务
   注：网络协议的三要素：语法、语义、同步。
2. 什么是仲裁协议？什么是裁决协议？什么是自执行协议？
   仲裁协议：存在公正的、各方均信赖的第三方作为仲裁者，帮助两个互不信赖的实体完成协议。
   裁决协议：可信赖第三方不直接参与协议，只有发生纠纷时，裁决人才执行协议。
   自执行协议：协议本身保证公平性，如果协议中一方试图欺骗，另一方能够立刻检测到欺骗的发生，并停止执行协议。
3. 如果按照密码协议的功能分类，密码协议可以分为哪几类？
   密钥建立协议
   认证建立协议
   认证的密钥建立协议
4. 什么是中间人攻击？如何对Diffie-Hellman协议进行中间人攻击？请用画图分析对Diffie-Hellman协议进行中间人攻击的详细过程。
   攻击者拦截正常的网络通信数据，选择性的进行数据篡改和转发，而通信双发却毫不知情。
   Mallory不仅能够窃听A和B之间交换的信息，而且能够修改消息，删除消息，甚至生成全新的消息。当B与A会话时，M可以冒充B，当A与B会话时，M可以冒充A。
5. DH协议不能抵抗中间人攻击的本质原因是什么？如何改造DH协议，可以抵抗中间人攻击？
   DH不抵抗中间人攻击的本质原因：通信双方没有进行实体认证。
   改造DH：将公钥向CA请求证书，将证书发送给对方。
6. Diffie-Hellman能用来做数字签名吗？
   不能。
7. 掌握大嘴青蛙协议、Yahalom、Kerberos协议安全协议设计的思想。
   大嘴青蛙协议：A和B均与T共享一个密钥，只需要传两条消息，就可以将一个会话密钥发送给B。

Yahalom ：B首先与T接触，而T仅向A发送一条消息。

Kerberos ：A和B均与T共享一个密钥，采用时戳。会话密钥由A生成。

8.请画图分析第218页的SKID协议为什么不能抵抗中间人攻击？如何改造这个协议，可以有效抵抗中间人攻击？

（本题的意思最开始并不理解，实际上协议的目的在密钥协商后进行认证。假设已经攻击成功，希望这一协议能够发现受到攻击，当然在题目中是不行的）
假设中间人已经实施了攻击，通过与A、B的密钥进行加密和解密，可以伪造出消息，A、B仍不知情。
（假如两方满足课本中的“涉及某种秘密”，如共享密钥或时钟，就可以引入秘密，但不包含在消息中，那么就攻击者因为缺少秘密信息就无法重构消息）
解决方法：数字签名，数字证书。

9. 对密码协议的攻击方法有哪些？
    已知明文攻击
    选择密文攻击
    预言者会话攻击
    并行会话攻击
10. 密码协议的安全性分析的常用方法有哪些？
     攻击检验方法
     形式语言逻辑证明
     可证明安全分析
     
    第9章数字证书与公钥基础设施
    1．什么是 PKI ? PKI 由哪几部分组成？每个组成部分的作用是什么？
    PKI的定义：
    PKI：公钥基础设施，它基于公钥密码理论，可为信息系统提供安全服务，是一种普适性的安全基础设施。
    PKI的组成部分及作用：
     证书机构CA，①负责签发和管理数字证书。 ②提供网络身份认证、负责证书签发及证书的管理，包括（跟踪证书状态，在证书需要撤销时发布证书撤销通知）。 ③维护证书档案和证书相关的审计
     注册机构RA，是数字证书注册审批机构，是认证 中心的延伸。RA按照政策与管理规范对用户的资格进行 审查，并执行“是否同意给该申请者发放证书、撤销证书”等操作。
     证书撤销，警告其他用户不要再使用该用户的公私钥。
     证书发布库，用于集中存放 CA颁发证书和 证书撤销列表。
     密钥备份与恢复，备份和恢复用户的加密/解密密钥。
     PKI应用接口，令用户能方便地使用加密、数字签名等安全服务。
    2．什么是数字证书？一个数字证书包含哪些内容？
    数字证书的概念：将用户身份ID与其所持有的公钥PK 绑定，再由CA对该用户身份及对应公钥的组合{ID||PK} 进行数字签名得到S，然后将{签名S||身份ID||公钥PK}加以存储，即数字证书。
    数字证书包含的内容：主体名、公钥、序号、有效期、签发者名
    3．了解X .509标准规定的数字证书的格式。

4．实际中，由谁来签发证书？签发证书时，是由谁的何种密钥（私钥还是公钥）进行签名？验证证书时，是用谁的何种密钥来验证？
实际中，由CA来签发证书，签发证书时使用CA的私钥进行签名，验证证书时使用CA的公钥进行验证。
5．数字证书的作用是什么？它本质上是为解决网络安全中的何种问题？
数字证书将用户身份和所持公钥进行绑定，可以证明网络实体在特定安全应用的相关信息。为了解决公钥可信性问题。
6．在实际应用中，若采用层次化的 CA 架构，如何实现两个位于不同子 CA 中的用户之间的数字证书验证？
需要获取验证的证书的证书链，依次获取上一级证书的公钥验证证书的签名，直到可信任的根CA。

7．什么是交叉证书？
交叉证书可以让不同PKI域的根CA进行交叉认证，从而解决根CA不同的信任问题。

8．如何实现数字证书的撤销？如何实现数字证书的在线查询？

9.什么是漫游证书？简述其基本工作原理。
漫游证书：通过第三方软件提供的，允许用户访问自己的公私钥对。
基本原理：
 将数字证书和私钥存储于安全的中央服务器；
 用户需要数字证书时，可向该服务器认证自己；
 认证成功后，该服务器将证书和私钥发给用户；
 当用户完成工作后，该软件自动删除证书和私钥。
10．一个 PKI / CA 数字证书系统由哪几部分构成？
签发系统、注册系统、密钥管理中心、在线证书状态查询系统、证书发布系统。

第10章网络加密与密钥管理
1.什么是链路加密？有什么优缺点？
链路加密是对网络中两个相邻节点之间传输的数据进行加密保护；
优点：①加密对用户是透明的，通过链路发送的任何信息在发送前都先被加密；②每个链路只需要一对密钥；③提供了信号流安全机制。
缺点：①数据在中间的网络结点上以明文形式出现，维护结点安全性的代价较高；②密钥分配存在困难；③随着节点增多，密码机的需求数量很大。
2.什么是节点加密？有什么优缺点？
节点加密指在节点处采用一个与节点设备相连的密码装置，消息在该装置中被加解密的数据加密手段；
优点：①消息的加、解密在安全模块中进行，这使消息内容不会被泄露；②加解密对用户透明；
缺点：①某些信息（如报头和路由信息）必须以明文形式传输，可能遭到流量分析攻击；②因为所有节点都必须有密钥，密钥分发和管理变的困难。
3.什么是端到端加密？有什么优缺点？
端到端加密是对一对用户之间的数据连续地提供保护；
优点：①对两个终端之间的整个通信线路进行加密；②只需要2台加密机，1台在发端，1台在收端；③从发端到收端的传输过程中，报文始终以密文存在；④比链路和节点加密更安全可靠，更容易设计和维护。
缺点：①不能防止业务流分析攻击。
4.什么是混合加密？有什么优缺点？
混合加密是端到端加密和链路加密组合而成的加密方式；
优点：①从成本、灵活性和安全性来看，一般端到端加密方式较有吸引力；②报文被两次加密，保护了报头的敏感信息，不会被业务流分析攻击。
缺点：①信息的安全设计较复杂，成本高，系统开销大；②有些远端设备的设计或管理方法不支持端到端加密方式。
5.什么是密钥管理？它包括哪些方面的管理？
密钥管理是处理密钥从产生到最终销毁的整个过程中的有关问题，包括系统的初始化及密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、撤销和销毁等内容。
6.密钥有哪些种类？它们各自有什么用途？
①基本密钥或称初始密钥：是由用户选定或由系统分配、可在较长时间内由一对用户专用的密钥。其用途是与会话密钥一起去启动和控制某种算法所构造的密钥产生器，产生用于加密数据的密钥流。
②主机主密钥：作用是对密钥加密密钥进行加密的密钥，存储于主机处理器中。
③密钥加密密钥：用于对传送的会话或文件密钥进行加密时采用的密钥，也称为次主密钥、辅助密钥或密钥传送密钥。
④会话密钥：是两个通信终端用户在一次通话或交换数据时所用的密钥。
⑤数据加密密钥：也称工作密钥，在不增大更换密钥工作量的条件下扩大可使用的密钥量。
7.有哪些密钥分配的基本方法？
①利用安全信道实现密钥传递；②利用双钥体制建立安全信道传递；③利用量子技术实现密钥传递。
8. 在用密钥枪注入密钥时，如何验证密钥注入的正确性？
①密钥枪将一随机数𝑅N注入保密机；
②保密机用主密钥𝐾𝑚加密：𝐸𝐾𝑚(𝑅𝑁)；
③保密机计算𝐾𝑚的杂凑函数值：ℎ(𝐾𝑚)；
④保密机将𝐸𝐾𝑚(𝑅𝑁)和ℎ(𝐾𝑚)回送到密钥枪；
⑤密钥枪检验ℎ(𝐾𝑚)值，并检验解密的𝑅N。
9．密钥管理为什么要将密钥划分成不同的层次？
（1）书中答案：
保证极少数密钥以明文形式存储在有严密物理保护的主机密码器件中，其他密钥则以加密后的密文形式存于密码器之外的存储器中，因而大大简化了密钥管理，并增强了密钥的安全性。
（2）网络答案：
①提高安全性：高层密钥具有更高的权限，可以管理和控制低层密钥的生成、分配、更新和撤销，这种分层管理可以降低密钥被攻击或泄露的风险；
②密钥的独立性：低层密钥具有相对独立性，它们的生成方式、结构、内容可以根据某种协议不断变换。即使某个低层密钥被破解，也不会影响到上级密钥的安全；
③提高效率：每个层次都有专门的密钥管理系统进行操作，如此可以提高密钥管理的效率，减少操作错误和混乱。
④自动化管理：例如，只有高层密钥需要人工装入，其他各级密钥均可以由密钥管理系统按照某些协议进行自动地分配、更换、撤销等。如此可以提高管理效率，减少人为错误和干预，同时也可以提高安全性。
10．一个密钥管理系统由哪几部分构成？
①密钥生成器：用于生成密钥的硬件或软件设备，可以根据特定的算法生成密钥，确保密钥的随机性和唯一性；
②密钥存储器：用于存储密钥的设备，可以是硬件设备，如智能卡、USB密钥等，也可以是软件设备，如加密文件或数据库；
③密钥分发器：用于将密钥分发给用户或设备的系统。密钥分发器可以通过安全的方式将密钥发送给需要它的用户或设备，确保密钥的安全性和正确性；
④密钥注册和撤销系统：用于注册和撤销用户或设备的密钥的系统。密钥注册系统可以接受用户或设备的注册请求，为其分配一个唯一的密钥，并将其存储在密钥存储器中。密钥撤销系统可以接受用户的撤销请求，将该用户的密钥从密钥存储器中删除，以确保密钥的安全性；
⑤密钥使用和审计系统：用于使用和审计密钥的系统。密钥使用系统可以接受用户的加密或解密请求，使用相应的密钥进行加密或解密操作。审计系统可以对密钥的使用情况进行审计，确保密钥的安全性和正确性。
11．密钥的生存期分哪四个阶段？了解密钥管理的12个工作步骤。
①四个阶段：预运行阶段；运行阶段；后运行阶段；报废阶段。
②12个工作步骤：用户注册、用户初始化、密钥生成、密钥输入、密钥注册、正常使用、密钥备份、密钥更新、密钥档案、密钥注销与销毁、密钥恢复、密钥吊销
12．查找资料，了解一个好的密钥应具备哪些数学特性？
①真正随机、等概率；②避免使用特定算法的弱密钥；③满足一定的数学关系；④一般会选伪随机数，循环周期应尽可能大；⑤为便于记忆，密钥不能选得过长，要选用易记而难猜中的密钥；⑥采用密钥揉搓或杂凑技术，变换成伪随机数串。

第11章无线网络安全
1．无线网络面临哪些主要安全威胁？要能识别哪些是主动攻击，哪些是被动攻击。
①被动攻击：通话窃听，服务区标识符泄露；
②主动攻击：通信阻断，数据的注入和篡改，中间人攻击，客户端假冒，接入点伪装，匿名攻击，端对端攻击，隐匿无线信道，重放攻击。
2.GSM系统有哪些主要安全缺陷？
①首次开机时泄漏IMSI信息，可能导致用户身份泄露；
②基站对用户实施单向认证，伪基站向用户发送欺诈信息；
③骨干网数据传输无加密，中间节点可截获会话密钥；
④无数据完整性验证机制，不能检测数据是否被篡改；
⑤K直接参与认证与加密，存在泄露主密钥的风险；
⑥主密钥K存在SIM卡中，有复制SIM卡的风险。
3.3G系统有哪些安全功能？有哪些主要安全缺陷？与2G相比，3G作出了哪些安全性改进？
3G系统安全功能：
实现了用户网络间的双向认证，建立了用户网络间的会话密钥，保持了会话密钥的新鲜性，增加了数据完整性验证功能；
主要安全缺陷：
①首次开机时泄漏IMSI信息，可能导致用户身份泄露；
②骨干网数据传输无加密，中间节点可截获会话密钥；
③K直接参与认证与加密，主密钥缺少层次化保护；
④𝑪𝑲和𝑰𝑲直接传输存在被窃听的风险；
⑤主密钥K存在SIM卡中，有复制SIM卡的风险；
⑥采用10种安全算法f1~f10，算法过多存在被攻破的风险。
相比2G作出的安全性改进：
采用了更加先进的加密算法和协议，实现了用户网络间的双向认证，增加了数据完整性验证功能，对已知的安全漏洞进行了修复和加强。
4.4G系统有哪些安全功能？有哪些主要安全缺陷？与3G相比，4G作出了哪些安全性改进？
4G系统安全功能：
实现了用户网络间的双向认证，建立了用户网络间的会话密钥，增加了数据完整性验证，实现了层次化密钥管理，隐藏了加密密钥CK和完整性验证密钥IK；
主要安全缺陷：
①首次开机时泄漏IMSI信息 可能导致用户身份泄露；
②骨干网数据传输无加密 中间节点可截获会话密钥；
相比3G作出的安全性改进：
实现了层次化密钥管理，隐藏了加密密钥CK和完整性验证密钥IK，采用了更加安全的网络架构和协议，如SSL/TLS协议、IPSec协议等，采用了更加安全的操作系统和软件栈，减少了设备被攻击的风险。
5．请画图分析 GSM 蜂窝系统保密与认证协议的工作过程，指出三元组认证向量中的每个元素所发挥的安全性作用。

安全三元组：RAND、SRES、Kc RAND用于用户认证和会话密钥的产生时的挑战值； SRES用于VLR进行用户认证时与用户传输的认证响应SRES比较；
Kc为会话密钥，用于加密会话数据。

6．请画图分析3G蜂窝系统保密与认证协议的工作过程，指出五元组认证向量中的每个元素所发挥的安全性作用。

五元组认证向量：RAND、XRES、CK、IK、AUTN
RAND用于用户和网络双向认证和会话密钥的产生；
XRES用于网络对用户的认证；
CK用于数据加密；
IK用于完整性验证；
AUTN用于用户对网络的认证。
7．为何2G/3G/4G系统的挑战值 RAND 是一个随机数而不能是常数？如果挑战值 RAND 为常数，会产生何种安全问题？请加以分析。
常数存在安全问题，随机数可以保持密钥的新鲜性。挑战值是随机数可以防止强力攻击，一个128b的随机数意味着3.4*1038 种可能的组合，即使一个黑客知道A3算法，猜出有效的RAND/SRES的可能性也非常小。
如果挑战值RAND为常数，可能会遇到重放攻击，会话密钥的攻破，设备的伪装等等。
8.与2G/3G/4G相比，5G在哪些方面提升了安全性？
增加了用户身份标识保护（相对来说，只增加了此项）。实现了用户网络间的双向认证，建立了用户网络间的会话密钥和数据完整性验证密钥，实现了层次化密钥管理，隐藏了加密密钥CK和完整性验证密钥IK。