第一章1.简述五大网络安全服务。

答：（1）鉴别服务是对对方实体的合法性、真实性进行确认，以防假冒。

这里的实体可以是用户或代表用户的进程。

（2）访问控制服务是用于防止未授权用户非法使用系统资源。

它包括用户身份认证，用户权限确认。

（3）数据完整性服务是阻止非法实体对交换数据的修改、插入、删除。

（4）数据保密性服务是防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密，提供加密服务。

（5）抗抵赖性服务是防止发送方在发送数据后否认自己发过此数据，接收方在收到数据后否认自己收到过此数据或伪造接收数据。

2.简述八大安全机制。

答：（1）加密机制。

提供信息保密的核心方法，分为对称秘钥加密和非对称秘钥加密。

（2）访问控制机制。

通过对访问者的有关信息进行检查来限制或者禁止访问者使用资源的技术。

（3）数字完整性机制。

指数据不被增删改，通常把文件用哈希函数产生一个标记，接受者在收到文件后也用相同的哈希函数处理一遍，看看产生的两个标记是否相同可知道数据是否完整。

（4）数字签名机制。

设A为发送方。

B为接收方，发送方用自己的私钥加密，接收方用对方发送的公钥解密。

（5）交换鉴别机制。

通过互相交换信息的方式来确定彼此身份，常用技术有口令、密码技术、指纹、声音频谱等。

（6）公证机制。

通过公证机构中转双方的交换信息，并提取必要的的证据，日后一旦发生纠纷，就可据此作出仲裁。

（7）流量填充机制。

提供针对流量分析的保护，流量填充机制能够保持流量基本恒定，因此观测者不能获取任何信息。

方法：随即生成数据对其进行加密，再通过网络发送。

（8）路由控制机制。

可以指定通过网络发送数据的路径。

可以选择可信的网络节点，从而保护数据不会暴露在安全攻击之下。

3.简述网络安全内容的4各方面。

答：（1）物理实体安全①.设备安全。

包括防盗、防毁、防电磁信息辐射泄漏、防线路截获、抗电磁干扰及电源安全。

②.存储介质安全保护存储在存储介质上的信息，包括存储介质数据的安全及存储介质本身的安全。

③.环境安全。

对系统所在环境安全保护，可按照国家标准GB50173-2008和GB/T 2887-2011对网络环境进行安全设置。

（2）软件安全，①.软件本身安全。

软件本身是安全的，不会发生软件故障或即使发生软件故障也不是危险的。

由于软件安全漏洞带来的各种危害随着软件应用发展日益严重，因此，能有效发现并消除漏洞的软件安全漏洞发现技术日益受到人们重视。

②.指保护网络系统中的系统软件与应用软件不被非法复制、篡改和不受病毒的侵害等。

（3）数据安全。

指保护网络中的数据不被非法存取和破坏，确保其完整性和机密性。

（4）安全管理以保护网络安全技术为基础，配以行政手段的管理活动。

6.试简述网络安全的主要特性。

答：（1）网络的可靠性。

提供正确服务的连续性。

（2）网络的可用性。

提供正确服务的能力，是可靠性与可维护性的综合描述，系统可靠性越高，可维护性越好则可用性越高。

（3）网络的可维护性。

指网络失效后在规定时间内可修复到规定功能的能力。

（4）网络访问的可控性。

控制网络信息的流向以及用户行为的方式，是对所管辖的网络、主机、和资源的访问行为进行有效的控制和管理。

（5）数据的保密性。

在网络安全性中，系统信息等不被未授权的用户获知。

（6）数据的完整性。

在网络安全性中，阻止非法实体对交换数据的修改、插入和删除。

（7）用户身份的可鉴别性。

对用户身份的合法性、真实性进行确认，以防假冒。

（8）用户的不可抵赖性。

防止发送方在发送数据后抵赖自己曾经发送过此数据，或者接收方在收到数据后抵赖自己曾经收到过此数据。

（9）用户行为的可信性。

用户的身份是真实的、可鉴别的，但用户的行为不一定可信。

第三章1.简述数字签名作用答：数字签名是附加在数据单元上的一些数据，或是对数据单元所做的密码交换，这种数据单元的接受者用于确认数据的来源和数据单元的完整性，并保护数据，防止被他人伪造。

其主要作用有不可抵赖，身份认证，防假冒，防篡改等。

2.简述基于RSA签名的基本原理。

答：A为发送方，B为接收方，A向B发送消息M，用自己的私钥加密消息M并发送给B，B用A的公钥解密，如果解密成功，则表示消息M一定是A发送的。

3.为什么通常将数据的完整性和数组签名二者结合？简述具有数据完整性的数字签名。

答：在实际的数字签名算法中，并不是对原消息直接签名，因为非对称密钥体制机密的速度慢，实用性差，通常都是对消息进行签名，因此必须要先计算消息摘要，而消息摘要主要是数据完整性验证的指标，故不可抵赖性通常是与完整性验证机制合并在一起实现的。

A为发送方，B为接收方，A向B发送消息，先要通过消息摘要算法计算消息摘要，A用自己的私钥加密消息摘要，这个过程的输出就是A的数字签名。

A 将消息和数字签名一起发给B。

B收到消息后，分为消息和数字签名两部分。

首先先用A的公钥解密数字签名得到接收到的消息摘要。

B用与A同样的消息摘要算法对收到的消息再次计算得到另一个消息摘要，将两个摘要比较，相等则表明B收到的是A发送的未经篡改的消息。

第五章2.数字证书的典型内容是什么？答：数字证书至少包括三项基本内容：公钥、用户名（主体名）、证书机构的数字签名。

一般数字证书还包括序号、起始日期、终止日期、签发者名等信息。

4.列出生成数字证书的5个关键步骤。

答：（1）)密钥生成：（主体用户或组织）可以使用某些软件自己生成或者由注册机构为主体生成；（2）主体注册：用户提供相关信息和证明材料填写数字证书申请表；（3）验证：由RA完成，一是验证用户的身份和材料是否真实可靠，二是验证用户自己持有的私钥跟向注册机构提供的公钥是否相对应；（4）数字证书的生成：RA将用户所有细节传给CA，CA进行必要的验证，并将这些信息转换成 X.509标准格式；（5）数字证书的分发：用户可以从目录服务或者数字证书数据库下载数字证书，如接收方的电子邮件地址等。

6.在生成数字证书时，RA如何验证用户的公钥和私钥的一致性。

答：（1）RA要求用户用私钥对注册的申请内容进行数字签名，如果RA 可以用这个用户的公钥验证签名，则可以相信这个用户拥有该私钥；（2）RA对用户生成一个不能直接使用的哑证书，用该用户的公钥加密，将其发给用户。

用户只有解密这个加密证书才能取得明文证书；（3）RA生成随机数挑战信息，用该用户公钥加密，并将加密后的挑战值发送给用户，用户能用起私钥解密，则验证通过。

7.简述数字证书的作用。

答：（1）防止中间人攻击（2）防止冒名CA发布数字证书（3）防止CA的抵赖（4）确保数字证书中用户身份的真实性（5）确保用数字证书的公钥加密可以用该用户的私钥解密8.用户如何验证接收到数字证书的真实性？答：（1）用户将数字证书中除最后一个字段以外的所有字段传入消息摘要算法。

这个算法与CA数字签名时时用的算法相同。

CA在证书中指定签名所用算法，使用户知道用哪个算法；（2）消息摘要算法计算数字证书中除最后一个字段以外所有的字段的消息摘要。

（3）用户从证书中取出CA的数字签名（即证书中最后一个字段）；（4）用户用CA的公钥解密签名，假设签名得到另一个消息摘要；（5）用户比较自己求出的摘要与用CA公钥解密签名得到的消息，如果两者相符，则可以肯定，数字证书是是CA用其私钥加密签名，否则用户不信任这个证书，将其拒绝。

13.三因子鉴别的3方面是什么？答：三因子：（1）用户所知道的东西：如口令和密码等；（2）用户所拥有的东西：信用卡和U盾等；（3）用户所具有的东西：声音、指纹、视网膜、签字或者笔迹等。

15.基于数字证书鉴别的基本步骤有哪些？答：（1）CA对每个用户生成数字证时并将其发给相应的用户，并将这些证书同时存放在鉴别服务器的用户数据库中，以便进行鉴别；（2）用户在客户端只输入自己的用户名，不输入口令；（3）服务器检查用户名是否有效，如果无效则向用户返回相应的错误信息，结束鉴别过程。

若有效进行下一步；（4）服务器生成一个随机挑战，保留这个随机挑战并通过网络传递到用户（5）用户首先输入私钥密钥打开私钥文件，然后从文件中取得私钥；（6）用户用自己的私钥签名随机挑战，并将签名的结果发送给服务器；（7）服务器从用户数据库取得用户的公钥，并用公钥解密第六步结果；（8）服务器比较第六步和第四步两个随机挑战，如果相等，服务器向用户返回鉴别成功，否则返回失败的信息。

16.基于生物特征的用户身份鉴别机制有哪些优点和缺点？答：优点：随身性（与人体唯一绑定）、安全性（个人特征本身是个人身份的最好证明）、唯一性（每个人拥有的生物特征）、稳定性（生物特征不会随时间等条件的的变化而变化）、广泛性（每个人都具有这种特征）、方便性（不需要记忆密码或者特殊工具），可采集性（选择的生物特征易于测量）。

缺点：生物鉴别的重要思想是每次鉴别产生的样本可能稍有不同，，因为用户的物理特征可能因为某些原因而改变。

第六章简述4种防火墙体系结构答：1、包过滤型防火墙优点：（1）处理数据包的速度较快（与代理服务器相比）；（2）实现包过滤几乎不再需要费用；（3）包过滤路由器对用户和应用来说是透明的。

缺点：（1）包过滤防火墙的维护较困难；（2）只能阻止一种类型的IP欺骗；（3）任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险，一些包过滤路由器不支持有效的用户认证，仅通过IP地址来判断是不安全的；（4）不能提供有用的日者或者根本不能提供日志；（5）随着过滤器数目的增加，路由器的吞吐量会下降；（6）IP包过滤器可能无法对网络上流动的信息提供全面的控制。

2、双宿/多宿主机防火墙优点：（1）可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；（2）可用于实施较强的数据流监控、过滤、记录和报告等。

缺点：（1）使访问速度变慢；（2）提供服务相对滞后或者无法提供。

3、被屏蔽主机防火墙优点：（1）其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全（包过滤）和应用层安全（代理服务）；（2）入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统；（3）安全性更高。

缺点：路由器不被正常路由。

4、被屏蔽子网防火墙优点：安全性高，若入侵者试图破坏防火墙，他必须重新配置连接三个网的路由，既不切断连接，同时又不使自己被发现，难度系数高。

缺点：（1）不能防御内部攻击者，来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不通过防火墙；（2）不能防御绕过防火墙的攻击；（3）不能防御完全新的威胁：防火墙被用来防备已知的威胁；（4）不能防御数据驱动的攻击：防火墙不能防御基于数据驱动的攻击。

防火墙有哪些不足之处1、无法检测加密的Web流量。

2、普通应用程序加密后，也能轻易躲过防火墙的检测。

3、对于Web应用程序，防范能力不足。

由于体系结构的原因，即使是最先进的网络防火墙，在防范Web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。