网络安全期末考试试题及答案.doc

分组密码体制应遵循什么原那么，以DES密码体制为例详细说明。

混乱原那么和扩散原那么

混乱原那么：为了防止密码分析者利用明文和密文之间的依赖关系进行破译，密码的设计因该保证这种依赖关系足够复杂。

扩散原那么：为防止密码分析者对密钥逐段破译，密码的设计因该保证密钥的每位数字能够影响密文中的多位数字

密钥置换算法的构造准那么

设计目标：子密钥的统计独立性和灵活性

实现简单

速度

不存在简单关系：(给定两个有某种关系的种子密钥,能预测它们轮子密钥之间的关系)

种子密钥的所有比特对每个子密钥比特的影响大致相同

从一些子密钥比特获得其他的子密钥比特在计算上是难的

没有弱密钥

分组长度足够长，防止明文穷举攻击，例如DES，分组块大小为64比特，

密钥量足够大，金额能消除弱密钥的使用，防止密钥穷举攻击，但是由于对称密码体制存在密钥管理问题，密钥也不能过大。

密钥变化够复杂

加密解密运算简单，易于软硬件高速实现

数据扩展足够小，一般无数据扩展。

过失传播尽可能小，加密或者解密某明文或密文分组出错，对后续密文解密影响尽可能

利用公钥密码算法实现认证时，一般是〔1〕C=EKRA〔M〕，发送方A用私钥加密后发送给B；〔2〕M=DKUA〔C〕：接收方B用A方的公钥进行解密。请问，在这个过程中，能否保证消息的保密性？假设不能，请你给出解决方案。

答：不能，在这个过程中，采用的是单次加密，而且接收方采用的是公钥解密，公钥是公开的，只要有人截获了密文，他就可以据此很容易地破译密文，故不能保证消息的保密性。

解决方案：可以采用两次运用公钥密码的方式，即：(1)C=EKUA(EKRA(M))(2)M=DKUA(DKRA(C))这样，发送方A首先用其私钥对消息进行加密，得到数字签名，然后再用A方的公钥加密，所得密文只有被拥有私钥的接收方解密，这样就可以既保证提供认证，又保证消息的保密性。

Ipsec有两种工作模式。请划出数据包的封装模式并加以说明，并指出各自的优缺点。

IPSec协议〔包括AH和ESP〕既可用来保护一个完整的IP载荷，亦可用来保护某个IP载荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的，如下图。其中，传送模式用来保护上层协议；而通道模式用来保护整个IP数据报。

在传送模式中，IPSec先对上层协议进行封装，增加一IPSec头，对上层协议的数据进行保护，然后才由IP协议对封装的数据进行处理，增加IP头；

而在通道模式中，IPSec对IP协议处理后的数据进行封装，增加一IPSec头，对IP数据报进行保护，然后再由IP协议对封装的数据进行处理，增加新IP头。

传送模式下，IPSec模块运行于通信的两个端主机。有如下优点：

〔1〕即使位于同一子网内的其他用户，也不能非法修改通信双方的数据内容。

〔2〕分担了平安网关的处理负荷。

但同时也具有以下缺点：

〔1〕每个需要实现传送模式的主机都必须安装并实现IPSec模块，因此端用户无法得到透明的平安效劳，并且端用户为获得AH效劳必须付出内存、处理时间等方面的代价。

〔2〕不能使用私有的IP地址，必须使用公有地址资源。

采用遂道模式，IPSec模块运行于平安网关或主机，IPSec具有以下优点：

1〕子网内部的各主机凭借平安网关的IPSec处理透明地得到平安效劳。

2〕可以在子网内部使用私有IP地址，无需占用公有地址资源。

但同时也具有以下缺点：

1〕增加了平安网关的处理负载。

2〕无法控制来自子网内部的攻击者。

在ssl协议中，会话是通过什么协议创立的？会话的创立实现了什么功能？

SSL会话是客户和效劳器之间的一种关联，会话是通过握手协议来创立的，会话定义了一个密码学意义的平安参数集合，这些参数可以在多个连接中共享，从而防止每建立一个连接都要进行的代价昂贵的重复协商。

vpn有哪些分类？各应用于什么场合？vpn有哪几个实现层次？各层次的代表协议和技术是什么？

根据VPN所起的作用，可以将VPN分为三类：VPDN、IntranetVPN和ExtranetVPN。

(1)VPDN(VirtualPrivateDialNetwork〕

在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN。实现过程如下：用户拨号NSP〔网络效劳提供商〕的网络访问效劳器NAS〔NetworkAccessServer〕，发出PPP连接请求，NAS收到呼叫后，在用户和NAS之间建立PPP链路，然后，NAS对用户进行身份验证，确定是合法用户，就启动VPDN功能，与公司总部内部连接，访问其内部资源。

(2)IntranetVPN

在公司远程分支机构的LAN和公司总部LAN之间的VPN。通过Internet这一公共网络将公司在各地分支机构的LAN连到公司总部的LAN，以便公