《信息安全原理與技術(shù)》(第2版)習(xí)題答案

1郭亞軍，宋建華，李莉，董慧慧第1章答：被動(dòng)攻擊時(shí)系統(tǒng)的操作和狀態(tài)不會(huì)改變，因此被動(dòng)攻擊主要威脅信息的保密性。主動(dòng)攻擊則意在篡改或者偽造信息、也可以是改變系統(tǒng)的狀態(tài)和操作，因此主動(dòng)攻擊主要威脅答：常見的主動(dòng)攻擊：重放、拒絕服務(wù)、篡改、偽裝等常見的被動(dòng)攻擊：消息內(nèi)容的泄漏、流量分析等等。答：安全機(jī)制是阻止安全攻擊及恢復(fù)系統(tǒng)的機(jī)制加密機(jī)制：加密是提供數(shù)據(jù)保護(hù)最常用的方法，加密能夠提供數(shù)據(jù)的保密性，并能對(duì)數(shù)字簽名機(jī)制：數(shù)字簽名主要用來解決通信雙方發(fā)生否認(rèn)、偽造、篡改和冒充等問題。流量填充機(jī)制：指在數(shù)據(jù)流中填充一些額外數(shù)據(jù)，用于防止流量分析的機(jī)制。路由控制機(jī)制：發(fā)送信息者可以選擇特殊安全的線路發(fā)送信息。公證機(jī)制：在兩個(gè)或多個(gè)實(shí)體間進(jìn)行通信時(shí)，數(shù)據(jù)的完整性、來源、時(shí)間和目的地等答：安全服務(wù)是加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N服務(wù)，是指信息系統(tǒng)為其應(yīng)用提供的某些功能或者輔助業(yè)務(wù)。安全服務(wù)模型主要由三個(gè)部分組成：支撐服務(wù)，預(yù)防服支撐服務(wù)是其他服務(wù)的基礎(chǔ)，預(yù)防服務(wù)能夠阻止安全漏洞的發(fā)生，檢測(cè)與恢復(fù)服務(wù)主要是關(guān)于安全漏洞的檢測(cè)，以及采取行動(dòng)恢復(fù)或者降低這些安全漏洞產(chǎn)生的影響。答：見圖1.4,全部安全需求的實(shí)現(xiàn)才能達(dá)到安全目標(biāo)，安全需求和安全服務(wù)是多對(duì)多的關(guān)的組成要素。同樣，安全機(jī)制和安全服務(wù)也是多對(duì)多的關(guān)系，不同的安全機(jī)制聯(lián)合能夠完答：要保證網(wǎng)絡(luò)上信息的安全傳輸，常常依賴可信的第三方，如第三方負(fù)責(zé)將秘密信息分2配給通信雙方，或者當(dāng)通信的雙方就關(guān)于信息傳輸?shù)恼鎸?shí)性發(fā)生爭(zhēng)執(zhí)時(shí)，由第三方來仲裁。2.1、列出小于30的素?cái)?shù)。2.2、若a是大于1的整數(shù)，則a的大于1的最小因子一定是素?cái)?shù)。證明若a是素?cái)?shù)，顯然a的大于1的最小因子就是素?cái)?shù)a;若a是合數(shù)，則顯然除1和a外還有其它的因數(shù)，令b是這些正因數(shù)中最小者，可以證明b不是合數(shù)而是素?cái)?shù)，若其不然，b必有大于1且不等于b的因數(shù)c,于是由c|b和bje可知cla,即c是a的因數(shù)，又有1<c<b,這與假設(shè)b是a的大于1的最小因數(shù)相矛盾.故b不是合數(shù)而是素?cái)?shù).因此，a的大于1的最小因數(shù)b是素?cái)?shù).2.3、如果n(a-b),證明a=bmodn證明：由n/(a-b)可知存在正整數(shù)k,使得a=kn+b,其中b是1到n-1之間的正整數(shù)，所以有amodn=b,bmodn=b,可知a,b同余，即a=bmodn(1)(a+b)modm=((amodm)+(bmodm))modm=[(amodm)+(bmodm)]modm,(2)(a-b)modm=((amodm)-(bmodm))modm=[(amodm)-(bmodm)]modm,(3)(a×b)modm=((amodm)×(bmodm))modm證明：假設(shè)財(cái)?shù)靡讟?，。假dm=k,a=jm+t?,j∈Z.(4)(a×(b+c))modm=((a×b)modm)+((a×c)modm))mod=(((a×b)modm)+((a×c)modm))modm.得證。2.5、證明560-1是56的倍數(shù)。3證明：由于53=13mod56,5°mod56=(53×53)mod56=(13×13)mod56=1mod56,對(duì)同余式兩邊同時(shí)升到10次冪，即那么 5mod56=(5°mod56)×(5°mod 所以理的倍數(shù)2.6、對(duì)于整數(shù)39和63,回答下面問題(1)它們是否互素，解：由于gcd(39,63)=3,所以他們不互素。(2)用歐幾里德算法求它們的最大公因子；解：用歐幾里德算法的計(jì)算過程如下：所以39和63的最大公因子是3.解：由歐幾里德算法有：10=2×5+0,可知和的最大公因子是，即gcd(25,15)=51.屏以不互素那么251=xmod15無解。2.7、用歐幾里德算法求gcd(1997,57)和gcd(24140,16762)4解：對(duì)順經(jīng)用欲幾里德算法的過程如下：68=2×34+0,所以gcd(24140,16762)=342.8、用擴(kuò)展歐幾里德算法求下列乘法逆元循環(huán)次數(shù)Q 1001130l12143142442435131-1082=3239mod4321,所以逆元是3239循環(huán)次數(shù)Q10011101121123223433516279820根據(jù)擴(kuò)展歐幾里德算法沒有逆元。Q1001513011241431541551617138431根據(jù)擴(kuò)展歐幾里德算法逆元是5502.9、用快速指數(shù)模運(yùn)算方法計(jì)算mod77和mod772.11、計(jì)算下面歐拉函數(shù)；6解因?yàn)?3,29)=1,所以方程有惟一解。利用輾轉(zhuǎn)相除法求得使3x+29y=1成立的x、y為x=10,y=-1。于是3·10+29-(-1)=1,3·100+29·(-10)=10,所以x=100=13(mod解因?yàn)?40,6191)=1,所以方程有惟一解。利用輾轉(zhuǎn)相除法求得使40x+6191y=1成立的x、y為x=1393,y=-9。于是40-1393+6191(-9)=1,40-1393·191+6191(一9·191)=191,所以x=1393-191=6041(mod6191)解因?yàn)?258,348)=6,而6131,所以方程無解。證明(1)因?yàn)閍=b(modm),c=d(modm),所以m|(a-b),m|(c-d),于是m|((a-b)x+(c-d)v),即m|((ax+cy)-(bx+dv)),故ax+cy=(2)因?yàn)閍=b(modm),c=d(modm),所以m|(a-b),m|(c-d),于是m|((a-b)c+(c-d)b),即m|(ac—bd),故ac=bd(modm)。an-bn=(b+mq)n-bn=(bn+bn-l(mq)l+…+bl(mq)n-1+(mq)n)-bn=mp,其中p是一所以an=bn(modm)。解：令m?=5,m?=6,m?=7,m?=11,b?=1,b?=5,b?=4,b?=10。m=2310,M?=462,M?=385,M?=330,M則72.16、類似于表2.2,用表列出有限域GF(5)中的加法和乘法運(yùn)算0123400123411234022340133401244012301234000000101234202413303142404321aa001412333224142.17、對(duì)于系數(shù)在Zo上的取值的多項(xiàng)式運(yùn)算，分別計(jì)算b,(6x2+x+3)×(5x2+2)=(30x?+5x3+27x2+2x+6)mod(10x?+5x3+27xintmain(intargc,char*argv8printf("inputthesecondnumber:");printf("inputthethirdnumber:");}2.20、編寫實(shí)現(xiàn)擴(kuò)展歐幾里德算法求最大公因子和乘法逆元。cout<<"inputthefirstnumbercout<<"inputthesecondnumber."<<endl;9cout<<"m和d的最大公因子是"<<b[2<<","<<b[2}<<"沒有逆元!"<<endl;cout<<"m和d的最大公因子是"<<b[2]<<","<<b[2]<<"是d的逆元!"<<endl;3.1下式是仿射密碼的加密變換(1)該密碼的密鑰空間是多少(2)求出消息“hello”對(duì)應(yīng)的密文(3)寫出它的解密變換(4)試對(duì)密文進(jìn)行解密解：(2)hello五個(gè)字母對(duì)應(yīng)的數(shù)字分別是7,4,1,11,14分別加密如下：五個(gè)密文數(shù)字為0,17,12,12,21,對(duì)應(yīng)密文是ARMMV。(3)解密變換為五個(gè)字母對(duì)應(yīng)數(shù)字分別為0,17,12,12,21分別利用解密變換解密，解密后對(duì)應(yīng)數(shù)字為7,4,11,11,14所以得到明文為hello。3.2用Playfair密碼加密下面消息：ciphersusingsubstitutionsortranspositionscharacteristics.由密鑰可構(gòu)建如下的密鑰矩陣。THEPLAYFRCWSNVDBOGKMQUXZ在明文下面重復(fù)寫密鑰字，組成密鑰。密鑰K:encryptionencryptionencryptionencryptionencryptionencrypt將明文和密鑰轉(zhuǎn)化為數(shù)字明文=(18,24,12,12,4,19,17,8,2,18,2,7,,17,4,0,2,14,12,12,14,13,18,4,2,17,密鑰=(4,13,2,17,24,15,19,8,14,13,4,13,2,17,24,15,19,4,13,2,17,24,15,19,8,14,13,4,13,2,17,24,15,19C=(22,11,14,3,2,8,10,16,16,21,6,21,6,3,2,7,10,4,6,18,12,8,0,23,14,4,23,21,6,9,17,3,1,5,10,1,7,21,6,17,6,4,于是密文為WLODCIKQQVGVGDCHKMEHMEGSMIAXOEXQGJRDLPOEINEFKBHVG3.4Hill密碼不能抵抗已知明文攻擊，如果有足夠多的明文和密文對(duì)，就能破解Hill密碼。(1)攻擊者至少有多少個(gè)不同明文-密文對(duì)才能攻破該密碼?(2)描述這種攻擊方案。(1)破解一個(gè)Hillm密碼至少應(yīng)該有m個(gè)不同的明文-密文對(duì)。(2)攻擊方案為：假定攻擊者已經(jīng)確定了正在使用的m值，至少有m個(gè)不同的明-密文對(duì)y;=(Y?.y,y?,,,…ym,)則有矩陣方程Y=XK,其中m×m矩陣K是未知密鑰。假如矩陣X是可逆的，則攻擊者可以算出K=X-'Y,從而可以破譯Hill密碼(如果X不可逆，則必須重新選擇m個(gè)明并寫出從密文恢復(fù)明文的解密過程。經(jīng)計(jì)算設(shè)明文為Hill,則相應(yīng)的明文向量為(7,8)和(11,11)。于是，相應(yīng)的密文向量分別為因此，明文Hill的密文為XIYJ。3.6用一次一密加密消息“”,選定的密鑰是“”,試寫出密文。解：密文=明文④密鑰=3.7使用DES加密，假設(shè)明文和密鑰都為(ABCDEF)?6=()?(1)推導(dǎo)出第一輪的子密鑰K?(2)寫出R?和Lo(3)擴(kuò)展R?并計(jì)算E(Ro)田K?(4)將第(3)問的結(jié)果，輸入到8個(gè)S盒，求出加密函數(shù)F(5)推導(dǎo)出R?和Li(1)將密鑰K經(jīng)置換選擇1,得左移1位后經(jīng)置換選擇2輸出48為K?。L?=(3)用擴(kuò)展置換E將R,擴(kuò)展為48位后，與K,異或(4)經(jīng)過8個(gè)S盒輸出32位(5)由L?和R?計(jì)算出L?和R(87}田({02}●{6E})田({03}●{46})田{A6}={37}那么x·(x?+x?+x3+x2+x)=x因此{(lán)87}田({02}●{6E})田({03}●{46})田{A6}計(jì)算結(jié)果為由3.10采用AES加密，密鑰為2B7E151628AED2A6ABF7158809CF4F3C,明文為(1)寫出最初的State的值(2)寫出密鑰擴(kuò)展數(shù)組中的前8個(gè)字節(jié)(3)寫出初始輪密鑰加后State的值(4)寫出字節(jié)代換后State的值(5)寫出行移位后的State的值(6)寫出列混淆后State的值(1)最初的State的值為：密鑰擴(kuò)展數(shù)組中前8個(gè)字節(jié)為W?,W?,即2b7e151628aed2a6(3)根據(jù)W(4≤i≤7)的計(jì)算公式，分別計(jì)算出各式，然后計(jì)算出K?。W?=W?④W?=(28AED2A6)④(A0FAFE17)=W?=W?④Ws=(ABF71588)④(88542CB1)=W?=W?④W?=(09CF4F3C)④(23A33939)=所以，得到第一輪子密鑰K?為：初始輪密鑰加后，(4)經(jīng)過字節(jié)代換后，state的值為3.11對(duì)習(xí)題3.10的明文和密鑰不變，采用SMS4加密。(1)求出第一輪的輪密鑰rk?。(2)求第一輪加密后的明文輸出是什么?(1)SMS4加密算法的輪密鑰由加密密鑰通過密鑰擴(kuò)展算法生成，第一輪輪密鑰rk?的MK?=(2b7e1516),MK?=(28aed2a6),MK?=MK?=0010101101111110000101010FK?=1010001110110001101110101K?=0111111000000100111000011K?=11001100100010101000010000K?=1011101110111111011011011L(B)=00010101100110100111111(2)根據(jù)SMS4加密算法，首先將十六進(jìn)制明文3243f6ad885a308d313198a2e0數(shù)據(jù)。①進(jìn)行合成置換T運(yùn)算中間值A(chǔ)=(a?,aj,a?,a?)=X?④X?④X?④rk。=(11000100②將輸出結(jié)果A分為四組進(jìn)入S盒，通過查表，輸出中間值B的十六進(jìn)制為：bbb6③進(jìn)行線性變換C=L(B)=11110000101100011010④利用加密函數(shù)X??=F(X?-,,X?,X,X?rk_)=X,T(X,⑥XX;??rk;-),將③X?=(001100100100001I|011010101101)④(111|0000101100011010000010110011)=110000101111001001010110000111103.12有一個(gè)四級(jí)線性移位寄存器的反饋函數(shù)為faj,az,ag,a?)=a?④a?其中初態(tài)為(aj,az?,a?,a?)=(1000),求其則輸出序列的前12位。狀態(tài)(a?,a?,a?,輸出狀態(tài)(a?,a?,az,a?)輸出10010l001100所以，輸出序列的前12位是100010011010。3.13假如使用3位(從0到7)的RC4,其操作是對(duì)8取模(而不是對(duì)256取模),密鑰是(2)計(jì)算第1個(gè)密鑰字(1)數(shù)據(jù)表S只有8個(gè)元素。初始化為0123456732632632j=0;j=(j+S(i)+K(i)mod8;j=(0+S(0)+K(0))mod8=(0+0+3)mod8=331204567同樣i加1后，繼續(xù)執(zhí)行此過程，直到循環(huán)結(jié)束。最后數(shù)據(jù)表3052714630527146(2)從j=0和i=0開始，下面計(jì)算第一個(gè)密鑰字：j=(j+S(i)mod8=(0+S(1))mod8=(0+0)mod8=003527146t=(S(i)+S(j))mod8=(S(1)+S(0))(3)在(2)的基礎(chǔ)上重復(fù)(2)過程，此時(shí)i=1,j=0j=(j+S(i))mod8=(0+S(2)mod8=(0+5)mod8=5e*d=1modφ(n),而e=103故可解出d=7e*d=1modφ(n),而e=31故可解出d=3031。素?cái)?shù)p為2579,取g為101,選擇保密的私鑰x為237。解：(1)y=g'modp=mod2579=4:(2)選取…個(gè)r為853,計(jì)算密文為故密文為{1559,1358};(3)解密過程為：先計(jì)算w=(CA)·modp,再計(jì)算m=C?*wmodp。Xy06825334854687489974可以驗(yàn)證：該結(jié)果所代表的點(diǎn)在橢圓曲線上。A=(0,376),假設(shè)A選擇…個(gè)秘密整數(shù)k=7。求：(2)發(fā)送方B欲發(fā)送消息(562,201),選擇隨機(jī)數(shù)r=386.求密文。解：(1)設(shè)模數(shù)p=563,則B=kA=7A=(139,465),A的公開密鑰是(A,B);M=C?-7C?=(469,366)-7(458,314)=(469,366)4.10在Diffie-Hllman方法中，公共素?cái)?shù)p=11,本原根a=2(1)如果用戶A的公鑰YA=9,則A的私鑰X?為多少?(2)如果用戶B的公鑰Yg=3,則共享密鑰K為多少?4.11兩個(gè)用戶A和B使用Diffie-Hellman密鑰交換協(xié)議來交換密鑰，假設(shè)公共素?cái)?shù)p為71,本原根α為7。A和B分別選擇秘密數(shù)為5和12。求共享的密鑰。4.12編寫RSA加密和解密程序。解：intencrypt(intm,inte,intn)intdecryptintc,intd,intn)改變順序等手段改變數(shù)據(jù)。對(duì)于這些應(yīng)用中，僅提供保密性是遠(yuǎn)遠(yuǎn)不夠的。認(rèn)證則是防止主動(dòng)攻擊的重要技術(shù)。認(rèn)證的目的主要有兩個(gè)：第一，驗(yàn)證消息的發(fā)送者是合法的，不是冒充的，這稱為實(shí)體認(rèn)證，包括對(duì)信源、信宿等的認(rèn)證和識(shí)別：第二，驗(yàn)證信息本身的完整性，這稱為消息認(rèn)證，驗(yàn)證數(shù)據(jù)在傳送或存儲(chǔ)過程中沒有被篡改、重放或延遲5.2SHA中使用的基本算術(shù)和邏輯函數(shù)是什么?答：SHA-512中最核心的處理就是對(duì)單個(gè)512分組處理的80輪的每一輪的處理，其運(yùn)算f=eg=fh=gMaj(a,b,c)=(aANDb)田(aANDc)田(bANDc),函數(shù)為真僅當(dāng)變量的多數(shù)(2或3)為真。(E??l2e)=ROTRI*(e)ROTW:64位，從當(dāng)前的512位消息分組導(dǎo)出十：模24加5.3一個(gè)安全的散列函數(shù)需要滿足的特性有哪些?(2)對(duì)每一個(gè)給定的輸入m,計(jì)算H(m)是很容易的；(3)給定Hash函數(shù)的描述，對(duì)于給定的散列值h,找到滿足H(m)=h的m在計(jì)算上是(4)給定Hash函數(shù)的描述，對(duì)于給定的消息m,找到滿足m?m?且H(m?)=H(mj)的(5)找到任何滿足H(m)=H(m?)且m?≠m?的消息對(duì)(mj,m?)在計(jì)算上是不可行的。5.4什么是生日攻擊?答：生日攻擊方法沒有利用Hash函數(shù)的結(jié)構(gòu)和任何代數(shù)弱性質(zhì)，它只依賴于消息摘要的長度，即Hash值的長度。這種攻擊對(duì)Hash函數(shù)提出了一個(gè)必要的安全條件，即消息摘要(1)合法的簽名方對(duì)于其認(rèn)為合法的消息愿意使用自己的私鑰對(duì)該消息生成的m位的散簽名的消息，再產(chǎn)生出該消息的2m2種不同的變化，且每一種變化表達(dá)相同的意義(如：在文字中加入空格、換行字符)。然后，攻擊者再偽造一條具有不同意義的新的消息，并產(chǎn)生一條有效的消息和偽造的消息，并增加每組中的明文數(shù)目，直至成功為止。(4)攻擊者用第一組中找到的明文提供給簽名方要求簽名，這樣，這個(gè)簽名就可以被用來偽造第二組中找到的明文的數(shù)字簽名。這樣，即使攻擊者不知道簽名私鑰也能偽造簽名。5.5散列函數(shù)和消息認(rèn)證碼有什么區(qū)別?各自可以提供什么功能?答：消息認(rèn)證碼和散列函數(shù)都屬于認(rèn)證函數(shù)。簡(jiǎn)單來說，消息認(rèn)證碼是一種使用密鑰的認(rèn)證技術(shù)，它利用密鑰來生成一個(gè)固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。而散列函數(shù)是將任意長的消息映射為定長的hash值的函數(shù)，以該hash值作為認(rèn)證符。散列它們都可以提供消息認(rèn)證，認(rèn)證內(nèi)容包括：消息的源和宿：消息內(nèi)容是否曾受到偶然5.6數(shù)字簽名和散列函數(shù)的應(yīng)用有什么不同?答：散列函數(shù)可以被稱為是消息的“指紋”,它可以用來對(duì)于消息生成一個(gè)固定長度的短數(shù)據(jù)塊。它可以和數(shù)字簽名結(jié)合提供對(duì)消息的認(rèn)證。由于數(shù)字簽名算法在對(duì)長的消息進(jìn)行簽名的時(shí)候需要先分塊再分別簽名，速度很慢，所以采用對(duì)消息的散列值進(jìn)行簽名可以提供效率并提供認(rèn)證。數(shù)字簽名中需要使用私鑰，只有擁有私鑰的用戶才可以提供數(shù)字簽數(shù)字簽名可以解決的問題包括：否認(rèn)：發(fā)送方否認(rèn)發(fā)送過或簽名過某個(gè)消息；偽造：用戶A偽造一份消息，并聲稱該消息來自B;冒充：用戶A冒充其他用戶接收或發(fā)送報(bào)文；篡改：消息接收方對(duì)收到的消息進(jìn)行篡改。這些問題散列函數(shù)是單獨(dú)解決不了的。5.7數(shù)字簽名需要滿足哪些條件?[1]簽名的結(jié)果必須是與被簽名的消息相關(guān)的二進(jìn)制位串；[2]簽名必須使用發(fā)送方某些獨(dú)有的信息(發(fā)送者的私鑰),以防偽造和否認(rèn)；[3]產(chǎn)生數(shù)字簽名比較容易；[4]識(shí)別和驗(yàn)證簽名比較容易；和Schnorr簽名算法，其后面發(fā)布的最新版本還包括基于RSA和橢圓曲線密碼的數(shù)字簽名算法。這里給出的算法是最初的DSA算法。只提供數(shù)字簽名功能的算法，雖然它是一種公仲裁數(shù)字簽名：仲裁簽名中除了通信雙方外，還有一個(gè)仲裁方。發(fā)送方A發(fā)送給B的每條簽名的消息都先發(fā)送給仲裁者T,T對(duì)消息及其簽名進(jìn)行檢查以驗(yàn)證消息源及其內(nèi)容，檢查無誤后給消息加上日期再發(fā)送給B,同時(shí)指明該消息已通過仲裁者的檢驗(yàn)。因此，仲裁數(shù)字簽名實(shí)際上涉及到多余一步的處理，仲裁者的加入使得對(duì)于消息的驗(yàn)證具有了實(shí)時(shí)盲簽名：允許消息發(fā)送者先將消息盲化，而后讓簽名者對(duì)盲化的消息進(jìn)行簽名，最后消息擁有者對(duì)簽名除去盲因子，得到簽名者關(guān)于原消息的簽名。它除了滿足一般的數(shù)字簽名2.簽名消息不可追蹤，即當(dāng)簽名消息被公布后，簽名者無法知道這是他哪次的簽署的。答：身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過程。它用來防止計(jì)算機(jī)系統(tǒng)被非授權(quán)用戶或進(jìn)程侵入，保證以數(shù)字身份進(jìn)行操作的操作者就是這個(gè)數(shù)字身份合法的擁有者。答：口令認(rèn)證的優(yōu)點(diǎn)就是簡(jiǎn)單，易于實(shí)現(xiàn)?？诹钫J(rèn)證的不足之處是容易受到攻擊，主要的攻擊方式有竊聽、重放、中間人攻擊、口令猜測(cè)等。答：OpenID(OpenId協(xié)議，也是一個(gè)開放的標(biāo)準(zhǔn)。通過OpenID,任何人都能夠使用一個(gè)URL在互聯(lián)網(wǎng)上用統(tǒng)功能，用戶再無須進(jìn)行重復(fù)的注冊(cè)和登錄。OAuth(OpenAuthorization)協(xié)議是一個(gè)開放的授權(quán)協(xié)議，其目標(biāo)是為了授權(quán)第三方在可控范圍下訪問用戶資源。OAuth和OpenID的答：訪問控制規(guī)定了主體對(duì)客體訪問的限制，并在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對(duì)提出資源訪問的請(qǐng)求加以控制。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。6.5有哪幾種訪問控制策略?答：根據(jù)控制策略的不同，訪問控制可以劃分為自主訪問控制、強(qiáng)制訪問控制和基于角色6.6什么是強(qiáng)制訪問控制MAC策略?它的適用場(chǎng)合是什么?答：強(qiáng)制訪問控制是指計(jì)算機(jī)系統(tǒng)根據(jù)使用系統(tǒng)的機(jī)構(gòu)事先確定的安全策略，對(duì)用戶的訪問權(quán)限進(jìn)行強(qiáng)制性的控制。強(qiáng)制訪問控制進(jìn)行了很強(qiáng)的等級(jí)劃分，所以經(jīng)常用于軍事用途。6.7什么是自主訪問控制DAC策略?它的安全性如何?答：自主訪問控制是指對(duì)某個(gè)客體具有擁有權(quán)(或控制權(quán))的主體能夠?qū)?duì)該客體的一種訪問權(quán)或多種訪問權(quán)自主地授予其它主體，并在隨后的任何時(shí)刻將這些權(quán)限回收。它的安全性不高，權(quán)限的傳遞可能會(huì)給系統(tǒng)帶來安全隱患，無意間就可能泄露信息，而且不能防的主體權(quán)限違反安全策略，通過偽裝成有用的程序在進(jìn)程中泄露信息。阻止特洛伊木馬的策略是基于非循環(huán)信息流，所以在一個(gè)級(jí)別上讀信息的主體一定不能在另一個(gè)違反非循環(huán)規(guī)則的安全級(jí)別上寫，同樣，在一個(gè)安全級(jí)別上寫信息的主體一定不能在另一個(gè)違反非循環(huán)規(guī)則的安全級(jí)別上讀。由于MAC策略是通過梯度安全標(biāo)簽實(shí)現(xiàn)信息的單向流通，因而它答：基于角色的訪問控制是在用戶和訪問權(quán)限之間引入角色的概念，將用戶和角色聯(lián)系起第7章①用戶想要獲取訪問某一應(yīng)用服務(wù)器的許可證時(shí)，先以明文方式向認(rèn)證服務(wù)器AS發(fā)出②AS以證書(credential)作為響應(yīng)，證書包括訪問TGS的許可證和用戶與TGS間的③用戶解密得到TGS的響應(yīng)，然后利用TGS的許可證向TGS申請(qǐng)應(yīng)用服務(wù)器的許可證，該申請(qǐng)包括TGS的許可證和一個(gè)帶有時(shí)間戳的認(rèn)證符(authenticator)。認(rèn)證符以用戶與確定用戶的請(qǐng)求是否合法。TGS確認(rèn)用戶的合⑤用戶向應(yīng)用服務(wù)器提交應(yīng)用服務(wù)器的許可證和用戶新產(chǎn)生的帶時(shí)間戳的認(rèn)證符(認(rèn)⑥應(yīng)用服務(wù)器從許可證中取出會(huì)話密鑰、解密認(rèn)證符，取出時(shí)間戳并檢驗(yàn)有效性。然后向用戶返回一個(gè)帶時(shí)間戳的認(rèn)證符，該認(rèn)證符以用戶與應(yīng)用服務(wù)器之間的會(huì)話密鑰進(jìn)行加密。據(jù)此，用戶可以驗(yàn)證應(yīng)用服務(wù)器的合法性。服務(wù)器發(fā)出如下信息：①服務(wù)器證書，如果服務(wù)器需要被鑒別的話。②服務(wù)器密鑰交換信息，如果得不到證書或證書僅僅用作簽名的話。③證書請(qǐng)求，如果客戶要求被鑒別的話。第三步：客戶發(fā)送下列信息：①如果服務(wù)器發(fā)出了一個(gè)證書請(qǐng)求，那么客戶方必須發(fā)送一個(gè)證書或非證書信息。②如果服務(wù)器發(fā)送了一個(gè)服務(wù)器密鑰交換信息，那么客戶方就個(gè)證書，那么客戶方就需驗(yàn)證服務(wù)器方的證書并且發(fā)出一個(gè)證書驗(yàn)證信息指明結(jié)果。然后，客戶方發(fā)出一個(gè)結(jié)束信息，指出協(xié)商過程已經(jīng)完成?？蛻舴竭€發(fā)送一個(gè)修改密文規(guī)約信息來產(chǎn)生共享的常規(guī)密鑰。應(yīng)該注意這部分工作不是由握手協(xié)議控制，是由修改密文規(guī)約協(xié)第四步：服務(wù)器發(fā)出一個(gè)結(jié)束信息指出協(xié)商階段完成。然后服務(wù)器發(fā)出一個(gè)密文修改第五步：會(huì)話雙方分別產(chǎn)生一個(gè)加密密鑰，然后他們?cè)俑鶕?jù)這些密鑰導(dǎo)出會(huì)話主密鑰。握手協(xié)議改變狀態(tài)至連接狀態(tài)。所有從應(yīng)用層的來的數(shù)據(jù)傳輸作為特定信息傳輸給對(duì)方。括ESP載荷的格式、語義、取值以及對(duì)進(jìn)入分組和外出分組的處理過程等。ESP涉及到密7.4AH的傳輸模式與隧道模式有何區(qū)別?答：傳輸模式的AH中，封裝后的分組IP頭仍然是原IP頭、只是IP頭的協(xié)議字段由原來的值變?yōu)?1,表示IP頭后緊接的載荷為AH載荷。在隧道模式的AH中，不是將原始的IP協(xié)議頭移到最左邊然后插入AH協(xié)議頭，而是復(fù)制原始IP協(xié)議頭，并將復(fù)制的IP協(xié)議頭移到數(shù)據(jù)報(bào)最左邊作為新的IP協(xié)議頭。隨后在原始IP協(xié)議頭與IP協(xié)議頭的副本之間放置AH協(xié)議頭。原始IP協(xié)議頭保持原封不動(dòng)，并且整個(gè)原始IP協(xié)議頭都被認(rèn)證或由加密算法7.5ESP的傳輸模式與隧道模式有何區(qū)別?及ICV(完整性校驗(yàn)值，用于認(rèn)證)被附加在數(shù)據(jù)報(bào)末端。如果需要加密，僅對(duì)原始數(shù)據(jù)和新的ESP協(xié)議尾進(jìn)行加密。認(rèn)證從ESP協(xié)議頭一直延伸到ESP協(xié)議尾。在ESP隧道模式下，原數(shù)據(jù)包(包括原IP報(bào)頭和數(shù)據(jù))被封裝在ESP報(bào)頭和ESP報(bào)尾之間，外邊附上了新的IP報(bào)頭。在這種模式下，加密部分為原IP數(shù)據(jù)包和ESP報(bào)尾，完整性檢查部分為ESP報(bào)頭、原IP數(shù)據(jù)包以及ESP報(bào)尾。7.6電子郵件存在哪些安全性問題?及如何從服務(wù)器端防范和杜絕垃圾郵件、病毒郵件和釣魚郵件等，這些是電子郵件服務(wù)的基本要求；二是電子郵件內(nèi)容安全性的問題，即如何確保電子郵件用戶的電子郵件內(nèi)容不會(huì)被非法竊取、非法篡改、發(fā)信方和收信方不能否認(rèn)對(duì)郵件的發(fā)送和接收行為，以及如何防止非法用戶登錄合法用戶的電子郵件賬號(hào)等。7.7PGP加密電子郵件時(shí)，郵件的主題和附件是否被加密?答：PGP在進(jìn)行郵件加密時(shí)常常與郵件收發(fā)軟件一起使用，如OutlookExpress。時(shí)，郵件的主題不能加密，否則接收方不知道是哪個(gè)用戶傳的郵件，附件是被加密的。第8章8.1PKI的主要組成是什么?它們各自的功能各是什么?Authority,簡(jiǎn)稱CA)、注冊(cè)機(jī)構(gòu)(RegisterAuthority,簡(jiǎn)稱RA)、證書發(fā)布系統(tǒng)和PKI應(yīng)用接口等。結(jié)構(gòu)圖參考教材圖7.2和7.3。各自的功能如下：PKI安全策略建立和定義了一個(gè)信息安全方面的指導(dǎo)方針，同時(shí)也定義了密碼系統(tǒng)使證書機(jī)構(gòu)CA是PKI的信任基礎(chǔ)，它管理公鑰的整個(gè)生命周期，其作用包括：發(fā)放證書、規(guī)定證書的有效期和通過發(fā)布證書撤銷列表(CertificateRevocationLists,簡(jiǎn)稱CRL)注冊(cè)機(jī)構(gòu)RA提供用戶和CA之間的一個(gè)接口，它獲取并認(rèn)證用戶的身份，向CA提證書發(fā)布系統(tǒng)負(fù)責(zé)證書的發(fā)放，如可以通過用戶自己，或是通過目錄服務(wù)。目錄服務(wù)器可以是一個(gè)組織中現(xiàn)存的，也可以是PKI方案中提供的。PKI應(yīng)用接口是提供在PKI平臺(tái)之上為所有應(yīng)用提供一致、可信的使用公鑰證書及相一個(gè)PKI系統(tǒng)還必須包括相應(yīng)的證書庫存儲(chǔ)證書。證書存儲(chǔ)庫包括LDAP目錄服務(wù)器和普通數(shù)據(jù)庫，用于對(duì)用戶申請(qǐng)、證書、密鑰、CRL和日志等信息進(jìn)行存儲(chǔ)和管理，并提8.2什么是交叉認(rèn)證?請(qǐng)給出交叉認(rèn)證的過程。答：交叉認(rèn)證為屬于不同CA域的用戶提供一種互相認(rèn)可對(duì)方證書的機(jī)制，在原本沒有聯(lián)系的用戶證書。它是將這些以前無關(guān)的CA連接在一起的機(jī)制，從而使得在它們各自主體群之交叉認(rèn)證有兩個(gè)操作：首先在兩個(gè)域之間建立信任關(guān)系，這通常是一次性操作。在雙方交叉認(rèn)證的情況下，兩個(gè)CA安全地交換他們的驗(yàn)證密鑰。這些密鑰用于驗(yàn)證他們?cè)谧C書上的簽名。為了完成這個(gè)操作，每個(gè)CA簽發(fā)一張包含自己公鑰的證書，該證書稱為交叉證書。后續(xù)操作由客戶端軟件完成，這個(gè)操作包含了驗(yàn)證已由交叉認(rèn)證的CA簽發(fā)的用戶證書的有效性，這個(gè)操作需要經(jīng)常執(zhí)行。該操作被稱為跟蹤信任鏈，鏈指得是交叉證書認(rèn)證鏈表，沿著這個(gè)鏈表可以跟蹤所有驗(yàn)證用戶證書的CA密鑰。8.3PKI中有哪些常見的信任模型?各種的特點(diǎn)是什么?答：(1)層次模型：認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)可以描繪為一棵倒下面。在這棵倒轉(zhuǎn)的樹上，根代表一個(gè)對(duì)整個(gè)PKI域內(nèi)的所有實(shí)體都有特別意義的CA,通常被叫做根CA,作為信任的根或“信任錨”,也是信任的起點(diǎn)。在根CA的下面是零層或多層中間CA(也被稱作子CA,它們是從屬于根CA),這些CA由中間節(jié)點(diǎn)代表，從中(2)分布式信任模型：與嚴(yán)格層次結(jié)構(gòu)相反，分布式信任結(jié)構(gòu)把信任分散到的信任錨。因?yàn)檫@些CA的密鑰都作為信任錨，因此相應(yīng)的CA必須是整個(gè)PKI群體的一個(gè)子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根CA(CA1:是包括A在內(nèi)的層次結(jié)構(gòu)的根，CA2是包括B在內(nèi)的層次結(jié)構(gòu)的根)。在這種模型中，許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上。這些公鑰確定了一組瀏覽器用戶最初信任的CA。盡管這組根密鑰可以被用戶修改，然而幾乎沒有普通用戶對(duì)于PKI和安全問題能精通到可以進(jìn)行這種修改的程度。Web模型在方便性和簡(jiǎn)單互操作性方面有明(4)在一般被稱作以用戶為中心的信任模型中，每個(gè)用戶都對(duì)決定信賴哪個(gè)證書和拒絕哪個(gè)證書直接完全地負(fù)責(zé)。在這個(gè)信任模型中，沒有專門的CA中心，每個(gè)用戶可以向他所信任的人簽發(fā)公鑰證書，通過這樣的方式建立一個(gè)信任網(wǎng)。因?yàn)橐蕾囉谟脩糇陨淼男袨楹蜎Q策能力，因此以用戶為中心的模型在技術(shù)水平較高和利害關(guān)系高度一致的群體中是可行的，但是在一般的群體(其用戶有極少或者沒有安全及PKI的概念)中是不現(xiàn)實(shí)的。這種模型一般不適合用在貿(mào)易、金融或政府環(huán)境中，因?yàn)樵谶@些環(huán)境下，通常希望或需要對(duì)用戶的信任實(shí)行某種控制，顯然這樣的信任策略在以用戶為中心的模型中是不可能實(shí)現(xiàn)8.4PK1可以提供哪些安全服務(wù)?答：X.509是由國際電信聯(lián)盟制定的數(shù)字證書標(biāo)準(zhǔn)。在X.500確保用戶名稱唯一性的基礎(chǔ)答：通過發(fā)布證書撤銷列表(CertificateRevocationLists,簡(jiǎn)稱CRL)確保必要時(shí)可以撤銷證書。對(duì)證書撤銷信息的查詢，也可以使用在線查詢方式。在線證書狀態(tài)協(xié)議(OnlineCertificatestatusProtocol,簡(jiǎn)稱OCSP)是IETF頒布的用于檢查數(shù)字證書在某一8.7請(qǐng)具體描述給出PKI在網(wǎng)絡(luò)安全應(yīng)用中的位置及作用?基礎(chǔ)設(shè)施PKI需要提供的是基礎(chǔ)服務(wù)。安全基礎(chǔ)設(shè)施就是為整個(gè)應(yīng)用組織提供安全的基本框架，可以被組織中任何需要安全的應(yīng)用和對(duì)象使用。對(duì)于使用公鑰/私鑰和證書等應(yīng)用中，比如在電子商務(wù)中對(duì)用客戶與銀行之間的認(rèn)證和交易簽名、電子郵件簽名、Web網(wǎng)站認(rèn)證等。PKI提供和證書相關(guān)的“透明”“無縫”的服務(wù)。PKI可以為上層應(yīng)用提供認(rèn)證性、保密性、數(shù)據(jù)完整性、答：在兩個(gè)實(shí)體進(jìn)行通信之前，先要建立SSL連接，以此實(shí)現(xiàn)對(duì)應(yīng)用層透明的安全通信。器端通信時(shí)雙方可以通過數(shù)字證書的交互確認(rèn)對(duì)方的身份?；赑KI技術(shù)，結(jié)合SSL協(xié)議和數(shù)字證書，則可以保證Web交易多方面的安全需求，使Web上的交易和面對(duì)面的交易一基于B/S結(jié)構(gòu)的應(yīng)用系統(tǒng)，客戶端通過HTTP協(xié)議或SSL協(xié)議進(jìn)入WebServer,使用WebServer兼做SSLserver。用戶使用的證書交給后臺(tái)的應(yīng)用服務(wù)器進(jìn)行解析，由應(yīng)用服務(wù)器轉(zhuǎn)向CA的LDAP目錄進(jìn)行查詢，同時(shí)CRL也在應(yīng)用服務(wù)器中存儲(chǔ)和查詢，對(duì)用戶的簽名的驗(yàn)證也是在應(yīng)用服務(wù)器中完成。這樣的應(yīng)用適合用戶量較少的情況。答：防火墻是位于一個(gè)或多個(gè)安全的內(nèi)部網(wǎng)絡(luò)和非安全的外部網(wǎng)絡(luò)(如Internet)之間的進(jìn)行網(wǎng)絡(luò)訪問控制的網(wǎng)絡(luò)設(shè)備(或系統(tǒng))。防火墻的目的是防止不期望的或未授權(quán)的用戶和主機(jī)訪問內(nèi)部網(wǎng)絡(luò)，確保內(nèi)部網(wǎng)正常、安全地運(yùn)行。防火墻可以防病毒，但不能防所有的病答：防火墻的主要功能：①集中的安全管理。②安全警報(bào)。③重新部署網(wǎng)絡(luò)地址轉(zhuǎn)換。④審計(jì)和記錄網(wǎng)絡(luò)的訪問及使用情況。⑤向外發(fā)布信息。答：根據(jù)物理特性，防火墻可分為兩大類：軟件防火墻和硬件防火墻。從結(jié)構(gòu)上又可分為單一主機(jī)防火墻、路由集成式防火墻和分布式防火墻三種。按工作位置可分為邊界防火墻、個(gè)人防火墻和混合防火墻。按防火墻性能可分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類。從實(shí)現(xiàn)技術(shù)上分，防火墻可分為兩大類技術(shù)：數(shù)據(jù)包過濾技術(shù)和代理服務(wù)。答：防火墻的局限性主要表現(xiàn)在以下幾個(gè)方面：①防火墻不能防范不經(jīng)由防火墻的攻擊和威脅。②不能防御已經(jīng)授權(quán)的訪問，以及存在于網(wǎng)絡(luò)內(nèi)部系統(tǒng)間的攻擊，不能防御合法用戶惡意的攻擊以及社交攻擊等非預(yù)期的威脅。③防火墻不能防止感染了病毒的軟件或文件的傳輸。④防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。⑤不能修復(fù)脆弱的管理措施和存在問題的安9.5怎樣通過防火墻進(jìn)行數(shù)據(jù)包過濾?答：在大多數(shù)情況下，數(shù)據(jù)包過濾是用設(shè)置了過濾規(guī)則的路由器來實(shí)現(xiàn)的。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)了一個(gè)包過濾路由器，該路由器便從包首部截取特定信息，然后依據(jù)過濾規(guī)則判定該隧道)等。9.6代理服務(wù)器防火墻是如何實(shí)現(xiàn)的?答：代理服務(wù)器在網(wǎng)絡(luò)應(yīng)用層提供授權(quán)檢查及代理服務(wù)。當(dāng)代理服務(wù)器得到一個(gè)客戶的連接意圖時(shí)，它們將核實(shí)客戶請(qǐng)求，并經(jīng)過特定的安全化的Proxy應(yīng)用程序處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受該服務(wù)器的應(yīng)答，并做進(jìn)一步處理后，9.7假如一個(gè)公司希望實(shí)現(xiàn)一個(gè)高安全性能的防火墻來隔離用戶做出的內(nèi)部和外部請(qǐng)求，你將推薦哪種體系結(jié)構(gòu)的防火墻?答：屏蔽子網(wǎng)防火墻在所有不同類型的防火墻結(jié)構(gòu)中能夠提供最高級(jí)別的安全性能，所以第10章答：入侵檢測(cè)是指通過對(duì)行為、安全日志或?qū)徲?jì)數(shù)據(jù)或其它網(wǎng)絡(luò)上可以獲得的信息進(jìn)行操10.2一個(gè)入侵檢測(cè)系統(tǒng)(IDS)通常由哪幾個(gè)部分組成?10.3根據(jù)數(shù)據(jù)源的不同，入侵檢測(cè)系統(tǒng)可分為哪幾類?各有何特點(diǎn)?答：根據(jù)數(shù)據(jù)源的不同，通?？梢苑譃榛谥鳈C(jī)的入侵檢測(cè)系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)和分布式入侵檢測(cè)系統(tǒng)三種?；谥鳈C(jī)的入侵檢測(cè)通常從主機(jī)的審計(jì)記錄和日志文件中獲得所需的主要數(shù)據(jù)，并輔之以主機(jī)上的其他信息，例如文件系統(tǒng)屬性、進(jìn)程狀態(tài)等，在此基礎(chǔ)上完成檢測(cè)攻擊行為的任務(wù)?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)是通過監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包來獲得必要的數(shù)據(jù)來源，并通過協(xié)議分析、特征匹配、統(tǒng)計(jì)分析等手段發(fā)現(xiàn)當(dāng)前發(fā)生的攻擊行為的。分布式入侵檢測(cè)系統(tǒng)是能夠同時(shí)分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入答：在誤用檢測(cè)中，入侵過程模型及它在被觀察系統(tǒng)中留下的蹤跡是決策的基礎(chǔ)。通過事先定義某些特征的行為是非法的，然后將觀察對(duì)象與之進(jìn)行比較以做出判別。誤用檢測(cè)基于己知的系統(tǒng)缺陷和入侵模式，它能夠準(zhǔn)確地檢測(cè)到某些特征的攻擊，但卻過度依賴事先定義好的安全策略，所以無法檢測(cè)系統(tǒng)未知的攻擊行為，從而產(chǎn)觀察到的不是己知的入侵行為，而是所研究的通信過程中的異常現(xiàn)象，它通過檢測(cè)系統(tǒng)的行為或使用情況的變化來完成。通過建立正常輪廓，明確所觀察對(duì)象的正常情況，然后決定在何種程度上將一個(gè)行為標(biāo)為“異常”,并如何做出具體決策。異常檢測(cè)可以識(shí)別出那些與正常過程有較大偏差的行為，但無法知道具體的入侵情況。由于對(duì)各種網(wǎng)絡(luò)環(huán)境的適應(yīng)性不強(qiáng)，且缺乏精確的判定準(zhǔn)則，異常檢測(cè)經(jīng)常會(huì)出現(xiàn)虛警情況，但可以檢測(cè)到系統(tǒng)未知10.5基于數(shù)據(jù)挖掘的異常檢測(cè)方法的思想是什么?答：基于數(shù)據(jù)挖掘的異常檢測(cè)以數(shù)據(jù)為中心，把入侵檢測(cè)看成一個(gè)數(shù)據(jù)分析過程，利用數(shù)據(jù)挖掘的方法從審計(jì)數(shù)據(jù)或數(shù)據(jù)流中提取出感興趣的知識(shí)，這些知識(shí)是隱含的、事先未知的潛在有用信息，提取的知識(shí)表示為概念、規(guī)則、規(guī)律、模式等形式，并用這些知識(shí)去檢括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為，然后利用模式匹配、協(xié)議分析、統(tǒng)計(jì)分析和完整性分析等技術(shù)手段，由信號(hào)分析模塊對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息進(jìn)行分析；最后由反應(yīng)模塊對(duì)分析結(jié)果做出相應(yīng)的反應(yīng)。IPS與IDS主要的不同點(diǎn)有：(1)入侵檢測(cè)系統(tǒng)的功能是通過監(jiān)視網(wǎng)絡(luò)和系統(tǒng)中的數(shù)據(jù)流，檢測(cè)是否存在有違反安全策略的行為或企圖，若有則發(fā)出警IPS能夠提供主動(dòng)性的防御，在遇到攻擊時(shí)能夠檢測(cè)并嘗試阻止入侵。(2)IPS串聯(lián)在網(wǎng)絡(luò)上，利用了OSI參考模型的所有七層信息，對(duì)攻擊進(jìn)行過濾，提供了一種主動(dòng)的、積極的入侵防范。而IDS只是旁路并聯(lián)安裝，檢測(cè)入侵行為。(3)IDS使用非確定性的方法從現(xiàn)在和歷史的通信流中查找威脅或者潛在的威脅，包括執(zhí)行通信流、通信模式和異?；顒?dòng)的統(tǒng)計(jì)分析。IPS必須是確定性的，它所執(zhí)行的所有丟棄通信包的行為必須是正確的。答：IPS通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，數(shù)據(jù)流經(jīng)過IPS大規(guī)模并行深層檢測(cè)，檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，里面包含許多種類的過濾器，每種過濾器采用并行處理檢測(cè)和協(xié)議重組分析的工作方式，分析相對(duì)類型的數(shù)據(jù)包，深層檢查數(shù)據(jù)包的內(nèi)容。當(dāng)數(shù)據(jù)流進(jìn)入IPS引擎之后，第1步，首先對(duì)每個(gè)數(shù)據(jù)包進(jìn)行逐一字節(jié)地檢查，異常的數(shù)據(jù)包被丟棄，通過檢查的數(shù)據(jù)包依據(jù)報(bào)頭信息，如源IP地址、目的IP地址、端口號(hào)和應(yīng)用域等進(jìn)行分類，并記錄數(shù)據(jù)流的狀態(tài)信息。第2步，根據(jù)數(shù)據(jù)包的分類，相關(guān)的過濾器進(jìn)行篩選，若任何數(shù)據(jù)包符合匹配條件，則標(biāo)志為命中。第3步，標(biāo)志為“命中”的數(shù)據(jù)包會(huì)被丟棄，檢測(cè)安全的數(shù)據(jù)包可以繼續(xù)前進(jìn)。第4步，命中數(shù)據(jù)包丟棄時(shí)，與之相關(guān)的流狀態(tài)信息也會(huì)被更新，指示IPS丟棄該流中其余的所有11.1計(jì)算機(jī)病毒的特征有哪些?它基本分為哪些類型?答：根據(jù)分析計(jì)算機(jī)病毒的產(chǎn)生、傳播和破壞行為，可以將它的主要特征概括為：傳染性、潛伏性、隱蔽性、多態(tài)性和破壞性?；绢愋陀校焊腥疚募筒《尽⒏腥疽龑?dǎo)區(qū)型病毒、11.2計(jì)算機(jī)病毒的結(jié)構(gòu)包括哪些模塊?各個(gè)模塊是如何工作的?答：計(jì)算機(jī)病毒一般由三個(gè)模塊構(gòu)成：引導(dǎo)模塊、感染模塊和破壞模塊。引導(dǎo)模塊是計(jì)算機(jī)病毒的控制中心，當(dāng)程序開始工作時(shí)將病毒程序從外存引入內(nèi)存，使病毒的感染模塊和破壞模塊處于活動(dòng)狀態(tài)，當(dāng)觸發(fā)條件滿足時(shí)，病毒會(huì)按照設(shè)計(jì)