西南大学网络与继续教育学院课程考试试题卷课程名称【编号】： 信息安全 【0836】 B 卷大作业 满分：100 分一、大作业题目1．假如你要给你的合作伙伴发送一封机密邮件，试从信息安全内涵的角度来分析这其中可能遇到的安全威胁，并讨论应采取的防范措施。答：1）保密性威胁：文件内容被其他未授权人阅读，可采取加密机制来保障；2）完整性威胁：文件被他人篡改后重新发送给 B，而 B 无法判断文件是否被篡改，可采取哈希函数结合数字签名技术来保障；3）源鉴别问题：其他未授权人伪造一份假文件，冒充 A 将文件发送给 C，即 C 无法判断文件的真实来源，可采取数字签名技术来保障；4）否认性威胁：A 否认曾发送给 B 这一机密文件，或 B 伪造一份假文件却声称是 A发送的，可采取数字签名技术来防范。5）密钥传送问题：A 和 B 在进行密钥交换过程中，存在密钥泄露威胁，对对称密钥的传送可使用数字信封技术来保障，对非对称密钥的传送可采用公钥证书技术来保障。2．所谓“道高一尺，魔高一丈”，针对各类安全威胁，相应的安全技术也应运而生 ，请列举不少于 5 种安全技术或产品，并阐述这些技术能解决的安全问题，其原理是什么。3．防火墙是目前几乎所有企业网络都会采用的一种安全技术，请全面分析防火墙的技术种类，其优势与不足。防火墙有很多种形式，有以软件形式运行在普通计算机之上的，也有以固件形式设计在路由器之中的。但总体来讲可分为三大类：分组过滤型防火墙、应用代理型防火墙以及状态检测防火墙。细分则还可包括电路中继型、复合型、及加密路由型号等。1.分组过滤型防火墙分组过滤或包过滤（Packet filtering）：通常在路由器上实现，是一种通用、廉价、有效的安全手段，能很大程度地满足企业的安全要求。分组过滤作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。（1）分组过滤型防火墙的优点1).透明的防火墙系统。设置只须在包过滤路由器上进行，网络用户不知道它的存在。2).与应用程序无关。因其工作在网络层和传输层，所以无须对客户机和主机上的应用程序作任何改动，提高网络的性能。3).易于配置。配置简单。（2）分组过滤型防火墙的缺点- 1 - 1).有限的信息过滤。只能对网络层和传输层的有限信息进行有过滤。2).不能过滤所有的协议。如对 UDP、RPC 协议不能进行有效的过滤。3).缺少审计和报警机制。大多数过滤器中缺少审计和报警机制。4). 过滤规则不宜过多。随着过滤规则数目的增加，防火墙本身的性能会受到影响。2.应用代理型防火墙应用代理（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全"阻隔"了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层的通信流。实际中的应用网关通常由一台专用服务器实现。 要注意的是，代理服务只有在需要严格控制内部与外部主机直接连接的场合才是一个比较有效的机制。而双宿主主机与包过滤也是具有这种特性的另外两种机制。如果内外部主机能够直接相互通信，那么用户就没有必要使用代理服务，在这种情况下，代理服务也不可能起作用。而这种由旁路的拓扑与网络的信息安全是相悖的.代理服务器并非将用户的全部网络服务请求提交给互联网络上的真正的服务器，因为服务器能依据安全规则和用户的请求做出判断是否代理执行该请求，所以它能控制用户的请求。有些请求可能会被否决，比如：FTP 代理就可能拒绝用户把文件往远程主机上送。或者它只允许用户将某些特定的外部站点的文件下载。（1）应用代理型防火的特点1).透明性。代理服务给用户的假象是其是直接与真正的服务器相连的；而在服务器端代理服务给出的假象是其是直接面对连在代理服务器上的用户。2).在网络连接建立之前可以对用户身份进行认证。在代理软件中可以设置对用户进行身份验证，这样确保只有合法用户才能对网络资源进行访问。3).丰富的审记和报警功能。应用代理型防火墙对通过的信息流可以以多种格式进行记录和保存，并可对特定事件向管理员进行报警。4).灵活的安全机制。代理服务可对于不同的主机、用户及应用程序执行不同的安全规则，而不对所有对象执行同一标准。（2）应用代理型防火墙的缺点1).对每种类型的服务都需要一个代理。由于对各种类型的服务和应用都需要一个代理，所以有时在服务器端需进行较为复杂的配置。2).网络性能有所下降。同过滤防火相比，服务器的性能和网络性能有所下降。3).客户应用可能需要修改。由于代理软件分为服务器端软件和客户端软件，故客户机需安装相应软件或作相应的网络设置。3.状态检测防火墙网关防火墙的一个挑战就是吞吐量，开发状态检测功能是为了让规则能够运用到会话发起过程，从而在大为提高安全防范能力的同时也改进了流量处理速度。同时，状态检测防火墙也摒弃了包过滤防火墙仅考查数据包的 IP 地址等有限几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，并利用状态表跟踪每一个会话状态，因此提供了完整的对传输层的控制能力。由于状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。无论何时，当防火墙接收到一个初始化 TCP 连接的 SYN 包，这个带有 SYN 的数据- 2 - 包被防火墙的规则库检查。该包在规则库里依次序比较。如果在检查了所有的规则后，该包都没有被接受，那么拒绝该次连接，一个 RST 的数据包发送到远端的机器。如果该包被接受，那么本次会话被记录到位于内核模式中的状态监测表里，这时需要设置一个时间溢出值。随后的数据包（没有带有一个 SYN 标志）就和该状态监测表的内容进行比较。如果会话是在状态表内，而且该数据包是会话的一部分，该数据包被接受。如果不是会话的一部分，该数据包被丢弃。这种方式提高了系统的性能，因为每一个数据包不是和规则库比较，而是和状态监测表比较。只有在 SYN 的数据包到来时才和规则库比较。所有的数据包与状态检测表的比较都在内核模式下进行所以应该很快。在连接被通讯双方关闭后，状态监测表中的连接应该被维护一段时间。当状态监测模块监测到一个 FIN 或一个 RST 包的时候，减少时间溢出值从缺省设定的值 3600 秒减少到 50 秒。如果在这个周期内没有数据包交换，这个状态检测表项将会被删除，如果有数据包交换，这个周期会被重新设置到 50 秒。如果继续通讯，这个连接状态会被继续地以50 秒的周期维持下去。这种设计方式可以避免一些 DOS***，例如，一些人有意地发送一些 FIN 或 RST 包来试图阻断这些连接。4．CA 是 PKI 的核心机构，请全面总结 CA 的主要职能和作用。5．试论述密码技术在实际生活中的主要应用场景，以及能解决的现实问题。加密技术通常分为两大类：“对称式加密”和“非对称式加密”。对称式加密就是加密和解密使用同一个密钥，通常称之为“SessionKey”，这种加密技术目前被广泛采用，如美国政府所采用的 DES 加密标准就是一种典型的“对称式”加密法，它的 SessionKey 长度为 56Bim。DES 使用 56 位密钥对“位的数据块进行加密，并对“位的数据块进行 16 轮编码。与每轮编码时，一个 48 位的“每轮”密钥值由 56 位的完整密钥得出来。DES 用软件进行解码需用很长时间，而用硬件解码速度非常快。当时 DES 被认为是一种十分强大的加密方法。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别窃听到。而非对称武的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件入解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。非常著名的非对称式加密算法就是 RSA 了，RSA 算法是基于大数不可能被质因数分解假设的公钥体系。一个对外公开的为“公钥”(Publickey)，另一个不告诉任何人，称为“私钥”(Privatekey)。这两个密钥是互补的，也就是说用公钥加密的密文可以用私钥解密，反过来也一样。假设用户甲要寄信给用户乙，他们互相知道对方的公钥。甲就用乙的公钥加密邮件寄出，乙收到后就可以用自己的私钥解密出甲的原文。由于别人不知道乙的私钥，所以即使是甲本人也无法解密那封信，这就解决了信件保密的问题。另一方面，由于每个人都知道乙的公钥，他们都可以给乙发信，那么乙怎么确信是不是甲的来信呢?那就要用到基于加密技术的数字签名了。甲用自己的私钥将签名内容加- 3 - 密，附加在邮件后，再用乙的公钥将整个邮件加密。这样这份密文被乙收到以后，乙用自己的私钥将邮件解密，得到甲的原文和数字签名，然后用甲的公钥解密签名，这样一来就可以确保两方面的安全了。加密技术的应用是多方面的，但最为广泛的还是在电子商务和 VPN 上的应用，下面就分别讲述一下。(1)加密技术在电子商务方面的应用电子商务要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。人们开始用 BSA 的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。NETSCAPE 公司是 Intemet 商业中领先技术的提供者，该公司提供了一种基于 RSA和 保 密 密 钥 的 应 用 于 因 特 网 的 技 术 ， 被 称 为 安 全 插 座 层(SecureSocketsLayer，SSL)。SsL3．O 用一种电子证书(electriccertificate)来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个 SessionKey，然后客户用服务器端的公钥将 SessionKey 进行加密，再传给服务器端，在双方都知道SessionKey 后，传输的数据都是以 SessionKey 进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。基于 SSL3．0 提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，即安全又方便。(2)加密技术在 VPN 中的应用现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网 LAN(LOCalArea Network)，但在当今的网络社会人们的要求不仅如此，用户希望将这些 LAN 连结在一起组成一个公司的广域网，这个在现在巳不是什么难事了。现在已经有了加密／解密功能的路由器，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网(VirtIlalPrivateNetwork，VPN)。当数据离开发送者所在的局域网时，该数据首先被用户端连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的。当达到目的 LAN 的路由器时，该路由器就会对数据进行解密，这样目的 LAN 中的用户就可以看到真正的信息了。二、大作业要求大作业共需要完成三道题：第 1-2 题选作一题，满分 30 分；第 3-4 题选作一题，满分 30 分；第 5 题必做，满分 40 分。- 4 -