加密技术不能提供下列

‘壹’ 根据加密的数据形式，可将密钥加密技术分为

主要有两种方式：“对称式”和“非对称式”。对称式加密就是加密和解密使用同一个密钥，通常称之为“SessionKey”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的SessionKey长度为56Bits。非对称式加密就是加密和解密所使用的不是同一个密钥，通常有两个密钥，称为“公钥”和“私钥”，它们两个必需配对使用，否则不能打开加密文件。这里的“公钥”是指可以对外公布的，“私钥”则不能，只能由持有人一个人知道。它的优越性就在这里，因为对称式的加密方法如果是在网络上传输加密文件就很难把密钥告诉对方，不管用什么方法都有可能被别窃听到。而非对称式的加密方法有两个密钥，且其中的“公钥”是可以公开的，也就不怕别人知道，收件人解密时只要用自己的私钥即可以，这样就很好地避免了密钥的传输安全性问题。一般的数据加密可以在通信的三个层次来实现:链路加密、节点加密和端到端加密。（3）链路加密对于在两个网络节点间的某一次通信链路,链路加密能为网上传输的数据提供安全证。对于链路加密(又称在线加密),所有消息在被传输之前进行加密,在每一个节点对接收到消息进行解密,然后先使用下一个链路的密钥对消息进行加密,再进行传输。在到达目的地之前,一条消息可能要经过许多通信链路的传输。由于在每一个中间传输节点消息均被解密后重新进行加密,因此,包括路由信息在内的链路上的所有数据均以密文形式出现。这样,链路加密就掩盖了被传输消息的源点与终点。由于填充技术的使用以及填充字符在不需要传输数据的情况下就可以进行加密,这使得消息的频率和长度特性得以掩盖,从而可以防止对通信业务进行分析。尽管链路加密在计算机网络环境中使用得相当普遍,但它并非没有问题。链路加密通常用在点对点的同步或异步线路上,它要求先对在链路两端的加密设备进行同步,然后使用一种链模式对链路上传输的数据进行加密。这就给网络的性能和可管理性带来了副作用。在线路/信号经常不通的海外或卫星网络中,链路上的加密设备需要频繁地进行同步,带来的后果是数据丢失或重传。另一方面,即使仅一小部分数据需要进行加密,也会使得所有传输数据被加密。在一个网络节点,链路加密仅在通信链路上提供安全性,消息以明文形式存在,因此所有节点在物理上必须是安全的,否则就会泄漏明文内容。然而保证每一个节点的安全性需要较高的费用,为每一个节点提供加密硬件设备和一个安全的物理环境所需要的费用由以下几部分组成:保护节点物理安全的雇员开销,为确保安全策略和程序的正确执行而进行审计时的费用,以及为防止安全性被破坏时带来损失而参加保险的费用。在传统的加密算法中,用于解密消息的密钥与用于加密的密钥是相同的,该密钥必须被秘密保存,并按一定规则进行变化。这样,密钥分配在链路加密系统中就成了一个问题,因为每一个节点必须存储与其相连接的所有链路的加密密钥,这就需要对密钥进行物理传送或者建立专用网络设施。而网络节点地理分布的广阔性使得这一过程变得复杂,同时增加了密钥连续分配时的费用。节点加密尽管节点加密能给网络数据提供较高的安全性,但它在操作方式上与链路加密是类似的:两者均在通信链路上为传输的消息提供安全性;都在中间节点先对消息进行解密,然后进行加密。因为要对所有传输的数据进行加密,所以加密过程对用户是透明的。然而,与链路加密不同,节点加密不允许消息在网络节点以明文形式存在,它先把收到的消息进行解密,然后采用另一个不同的密钥进行加密,这一过程是在节点上的一个安全模块中进行。节点加密要求报头和路由信息以明文形式传输,以便中间节点能得到如何处理消息的信息。因此这种方法对于防止攻击者分析通信业务是脆弱的。端到端加密端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密,消息在被传输时到达终点之前不进行解密,因为消息在整个传输过程中均受到保护,所以即使有节点被损坏也不会使消息泄露。端到端加密系统的价格便宜些,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端到端加密还避免了其它加密系统所固有的同步问题,因为每个报文包均是独立被加密的,所以一个报文包所发生的传输错误不会影响后续的报文包。此外,从用户对安全需求的直觉上讲,端到端加密更自然些。单个用户可能会选用这种加密方法,以便不影响网络上的其他用户,此方法只需要源和目的节点是保密的即可。端到端加密系统通常不允许对消息的目的地址进行加密,这是因为每一个消息所经过的节点都要用此地址来确定如何传输消息。由于这种加密方法不能掩盖被传输消息的源点与终点,因此它对于防止攻击者分析通信业务是脆弱的。

‘贰’ 网络安全知识竞赛部分题目及答案

33、应对计算机领域中后门的做法正确的是_______。（解题技能：）

A、预留的后门要及时删除

B、系统定期杀毒

C、系统定期升级病毒库

D、以上说法都不对

正确答案：B

答题耗时：1秒

34、关于肉鸡以下哪种说法正确_______（解题技能：）

A、发起主动攻击的机器

B、被黑客植入木马的机器，黑客通过木马控制端控制肉鸡参与攻击

C、用户通常自愿成为肉鸡

D、肉鸡不能发动攻击

正确答案：B

答题耗时：5秒

35、关于分布式拒绝服务攻击不正确的是_______（解题技能：）

A、攻击者一般发送合理的服务请求

B、攻击者可以利用肉鸡协同攻击

C、攻击者通过发送病毒攻击目标

D、攻击者的攻击方式包括DOS、DDOS

正确答案：C

答题耗时：1秒

36、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于什么攻击类型？_______（解题技能：）

A、拒绝服务

B、文件共享

C、BIND漏洞

D、远程过程调用

正确答案：A

答题耗时：2秒

37、关于如何防范摆渡攻击以下哪种说法正确_______（解题技能：）

A、安装杀毒软件

B、安装防火墙

C、禁止在两个信息系统之间交叉使用U盘

D、加密

正确答案：C

答题耗时：2秒

38、下列哪个不是缓冲区溢出漏洞的防范措施_______（解题技能：）

A、程序员编写程序时，养成安全编程的习惯

B、实时监控软件运行

C、改变编译器设置

D、加大内存容量

正确答案：D

答题耗时：2秒

39、摆渡攻击通常利用什么来窃取资料_______（解题技能：）

A、从外网入侵内网

B、利用系统后门窃取资料

C、利用移动载体作为“渡船”

D、利用零日攻击

正确答案：C

答题耗时：2秒

40、对于零日攻击不正确的是_______（解题技能：）

A、零日攻击几乎攻无不克

B、零日攻击非常少

C、零日攻击可以多次利用

D、零日攻击具有突发性

正确答案：C

答题耗时：1秒

41、黑客主要用社会工程学来_______（解题技能：）

A、进行TCP连接

B、进行DDOS攻击

C、进行ARP攻击

D、获取口令

正确答案：D

答题耗时：1秒

42、能采用撞库获得敏感数据的主要原因是_______（解题技能：）

A、数据库没有采用安全防护措施

B、用户在不同网站设置相同的用户名和密码

C、数据库安全防护措施弱

D、利益驱使

正确答案：B

答题耗时：2秒

43、下面_______是QQ中毒的症状（解题技能：）

A、QQ老掉线，提示异地登录

B、QQ空间存在垃圾广告日志

C、自动给好友发送垃圾消息

D、以上都是

正确答案：D

答题耗时：1秒

44、以下哪项属于钓鱼网站的表现形式_______（解题技能：）

A、公司周年庆

B、幸运观众

C、兑换积分

D、以上全部

答题耗时：1秒

45、热点是_______（解题技能：）

A、无线接入点

B、有线通信协议

C、加密通信协议

D、解密通信协议

正确答案：A

答题耗时：2秒

46、二维码中存储的是_______信息。（解题技能：）

A、用户账户

B、银行信息

C、网址

D、以上都不对

正确答案：C

答题耗时：4秒

47、在使用苹果公司产品时，如果想获得root权限，很多用户采取违反法律的手段，这个手段通常被称为_______（解题技能：）

A、借壳

B、开源

C、免费

D、越狱

正确答案：D

答题耗时：4秒

48、下列对垃圾邮件说法错误的是_______（解题技能：）

A、用户减少电子邮件的使用完全是因为垃圾邮件的影响

B、降低了用户对Email的信任

C、邮件服务商可以对垃圾邮件进行屏蔽

D、有价值的信息淹没在大量的垃圾邮件中，很容易被误删

正确答案：A

答题耗时：3秒

49、为了防范垃圾电子邮件，互联网电子邮件服务提供者应当按照信息产业部制定的技术标准建设互联网电子邮件服务系统，电子邮件服务器_______匿名转发功能。（解题技能：）

A、使用

B、开启

C、关闭

正确答案：C

答题耗时：12秒

50、在网络安全中，中断指攻击者破坏网络系统的资源，使之变成无效的或无用的。这是对_______。（解题技能：）

A、可用性的攻击

B、保密性的攻击

C、完整性的攻击

D、真实性的攻击

答题耗时：2秒

51、以下对信息安全问题产生的`根源描述最准确的是：_______（解题技能：）

A、信息安全问题是由于信息技术的不断发展造成的

B、信息安全问题是由于黑客组织和犯罪集团追求名和利造成的

C、信息安全问题是由于信息系统的设计和开发过程中的疏忽造成的

D、信息安全问题产生的内因是信息系统的复杂性，外因是对手的威胁与破坏

正确答案：D

答题耗时：2秒

52、风险评估的方法主要有_______。（解题技能：）

A、定性

B、定量

C、定性和定量相结合

D、以上都是

正确答案：D

答题耗时：7秒

53、信息网络安全（风险）评估的方法_______（解题技能：）

A、定性评估与定量评估相结合

B、定性评估

C、定量评估

D、定点评估

正确答案：A

答题耗时：1秒

54、桔皮书定义了4个安全层次，从D层（最低保护层）到A层（验证性保护层），属于D级的系统是不安全的，以下操作系统中不属于C级的是_______。（解题技能：）

A、UNIX系统

B、LINUX系统

C、WINDOWS2000

D、WINDOWS98

正确答案：D

答题耗时：1秒

55、为什么需要密码学_______（解题技能：）

A、保密信息

B、好玩

C、打电话

D、发短信

正确答案：A

答题耗时：2秒

56、在公钥体系中，公钥用于_______（解题技能：）

A、解密和签名

B、加密和签名

C、解密和认证

D、加密和认证

正确答案：D

答题耗时：11秒

57、假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于_______。（解题技能：）

A、对称加密技术

B、分组密码技术

C、公钥加密技术

D、单向函数密码技术

正确答案：A

答题耗时：3秒

58、下面有关DES的描述，正确的是_______。（解题技能：）

A、是由IBM、Sun等公司共同提出的

B、其算法不公开而密钥公开

C、其结构完全遵循复杂结构网络

D、是目前应用最为广泛的一种分组密码算法

正确答案：D

答题耗时：1秒

59、“公开密钥密码体制”的含义是_______。（解题技能：）

A、将所有密钥公开

B、将私有密钥公开，公开密钥保密

C、将公开密钥公开，私有密钥保密

D、两个密钥相同

正确答案：C

答题耗时：5秒

60、PGP加密技术是一个基于_______体系的邮件加密软件。（解题技能：）

A、RSA公钥加密

B、DES对称密钥

C、MD5数字签名

D、MD5加密

正确答案：A

答题耗时：3秒

61、PKI的主要理论基础是____。（解题技能：）

A、对称密码算法

B、公钥密码算法

C、量子密码

D、摘要算法

正确答案：B

答题耗时：1秒

62、_______在CA体系中提供目录浏览服务。（解题技能：）

A、安全服务器

B、CA服务器

C、注册机构RA

D、LDAP服务器

正确答案：D

答题耗时：2秒

‘叁’ 加密技术不能实现

加密技术不能实现基于ip头信息的包过滤。

现代对称密钥加密技术可以分为流密码加密和分组密码加密两种。流密码加密技术推广了一次性密码本的方案，只是为了密钥的可管理性牺牲了可证明的安全性。

分组密码加密技术从某种意义上看是经典的电报密码本方案的推广。在分组密码加密方案中，密钥决定了密码本，只要密钥保持不变，就意味着使用同一个密码本。反过来当密钥改变时，就相当于选择了一个不同的密码本。

(3)加密技术不能提供下列扩展阅读：

加密技术介绍如下：

加密算法的加密需要符合机密性：保证数据即使被盗取，小偷也不知道是啥。保证数据在传输过程中即使被劫持修改，接收方能够发现信息已被截取，而选择换掉。保证加密算法的开销、复杂度都在可用范围。

结合上述诉求，加密算法的发展主要经历了古典密码和现代密码两个重要时期。标志着加密算法的重心转移往应用数学上的转移。于是，逐渐衍生出了当今重要的三类加密算法：非对称加密、对称加密以及哈希算法。

‘肆’ 【密码学笔记】第3部分 对称密码

跟诸位大牛相比，笔者阅历尚浅、经验不足，笔记中若有错误，还需继续修正与增删。欢迎大家的批评与指正。

查看上一篇请点击以下链接： 【密码学笔记】第2部分 历史上的密码

1. XOR运算

2. 一次性密码本

3. 对称密码算法

    3.1 DES

    3.2 三重DES

    3.3 AES

    3.4 Rijndael

4. 对称密码的选择

5. 对称密码的评价

参考书目

XOR运算，又称为 异或 运算，运算结果是 同0异1 。

对同一个比特序列进行两次XOR之后就会回到最初的状态，因此XOR运算可用于对称密码的加密和解密。

一次性密码本（又称为 维纳密码 ）是一种非常简单的密码，它的原理是“ 将明文与一串随机的比特序列进行XOR运算 ”。

一次性密码本是无法破译的。 这是因为在对它尝试解密的过程中，所有的排列组合都会出现，既会包含规则字符串，也会包含英文单词，还会包含乱码。由于明文中所有可能的排列组合都会出现，因此 我们无法判断其中哪一个才是正确的明文 。

一次性密码本是一种非常不实用的密码。 原因如下：

a. 密钥的配送 。（ 最大的问题 ）如果能够有一种方法将密钥安全地发送出去，那么就可以用同样的方法安全地发送明文。

b. 密钥的保存 。 密钥的长度必须和明文的长度相等。 如果能够有办法安全保存与明文一样长的密钥，那就有办法安全保存明文本身。

c. 密钥的重用 。在一次性密码本中绝对不能重用过去用过的随机比特序列，因为作为密钥的比特序列一旦泄露，过去所有的机密通信内容将全部被解密。

d. 密钥的同步 。在通信过程中，发送者和接收者的密钥的比特序列不允许有任何错位，否则错位的比特后的所有信息都将无法解密。

e. 密钥的生成 。一次性密码本需要生成大量的随机数，这里的随机数并不是通过计算机程序生成的伪随机数，而必须是无重现性的真正随机数。

DES是一种将64比特的明文加密成64比特的密文的对称密码算法，它的密钥长度是56比特。

DES是以64比特的明文（比特序列）为一个单位来进行加密的，这个64比特的单位称为 分组 。以分组为单位进行处理的密码算法称为 分组密码 。

DES每次只能加密64比特的数据，如果要加密的明文比较长，就需要对DES加密进行迭代，而迭代的具体方式就称为 模式(mode) 。

DES的基本结构又称为 Feistel网络 ，这一结构不仅被用于DES，在其他很多密码算法中也有应用。在Feistel网络中，加密的各个步骤称为 轮(round) ，整个加密过程就是进行若干次轮的循环。下图展现的是Feistel网络中一轮的计算流程。DES是一种16轮循环的Feistel网络。

一轮的具体计算步骤 如下：

a. 将输入的数据等分为左右两部分；

b. 将输入的右侧直接发送到输出的右侧；

c. 将输入的右侧发送到轮函数；

d. 轮函数根据右侧数据和子密钥，计算出一串看上去是随机的比特序列；

e. 将上一步得到的比特序列与左侧数据进行XOR运算，并将结果作为加密后的左侧。

我们需要用不同的子密钥对一轮的处理重复若干次，并在每两轮处理之间将左侧和右侧的数据对调。

Feistel网络的解密操作只要按照相反的顺序来使用子密钥就可以完成了。

Feistel网络的性质 ：

a. 轮数可以任意增加；

b. 加密时无论使用任何函数作为轮函数都可以正确解密（即使该函数不存在反函数）；

c. 加密和解密可以用完全相同的结构来实现。

综上所述，无论是任何轮数、任何轮函数，Feistel网络都可以 用相同的结构实现加密和解密 ，且加密的结果必定能够正确解密。

三重DES是为了增加DES的强度，将DES重复3次所得到的一种密码算法，也称为 TDEA ，通常缩写为 3DES 。

明文经过三次DES处理才能变成最后的密文，由于DES密钥的长度实质上是56比特，因此三重DES的密钥长度就是168比特。

三重DES并不是进行三次DES加密，而是 加密→解密→加密 的过程，目的是 让三重DES能够兼容普通的DES ，当所有密钥都相同时，三重DES也就等同于普通的DES。

尽管三重DES目前还被银行等机构使用，但其处理速度不高，除了特别重视向下兼容性的情况以外，很少被用于新的用途。

AES是取代其前任标准(DES)而成为新标准的一种对称密码算法。全世界的企业和密码学家提交了多个对称密码算法作为AES的候选，最终选出了一种名为 Rijndael 的对称密码算法，并将其确定为AES。

AES的选拔并不仅仅考虑一种算法是否存在弱点，算法的速度、实现的容易性等也都在考虑范围内。此外，这种算法还必须能够在各种平台上有效工作。

Rijndael是由比利时密码学家设计的 分组密码算法 ，被选为新一代的标准密码算法——AES。

和DES一样，Rijndael算法也是由多个 轮 构成的，其中每一轮分为 SubBytes 、 ShiftRows 、 MixColumns 和 AddRoundKey 共4个步骤。DES使用Feistel网络作为其基本结构，而Rijndael使用的是 SPN结构 。

加密过程 ：

a. 首先，需要 逐个字节 地对16字节的输入数据进行SubBytes处理，即以每个字节的值（0~255）为索引，从一张拥有256个值的 替换表 (S-Box)中查找出对应值（ 类似于简单替换密码 ）。

b. 进行ShiftRows处理，即以4字节为单位的 行(row) 按照一定的规则向左平移，且每一行平移的字节数是不同的。

c. 进行MixColumns处理，即对一个4字节的值进行比特运算，将其变为另外一个4字节值。

d. 最后，将MixColumns的输出与轮密钥进行 XOR ，即进行AddRoundKey处理。至此，Rijndael的一轮就结束了。实际上，在Rijndael中需要重复进行10~14轮计算。

在SPN结构中， 输入的所有比特在一轮中都会被加密 。和每一轮都只加密一半输入的比特的Feistel网络相比，这种方式的优势在于 加密所需要的轮数更少 。此外，这种方式还有一个优势，即 SubBytes、ShiftRows和MixColumns可以分别以字节、行和列为单位进行并行计算 。

在Rijndael的 加密 过程中，每一轮所进行的处理为：

SubBytes→ShiftRows→MixColumns→AddRoundKey

而在 解密 时，则是按照相反的顺序来进行的，即：

AddRoundKey→InvMixColumns→InvShiftRows→InvSubBytes

解密过程 ：

Rijndael算法背后有着 严谨的数学结构 ，即从明文到密文的计算过程可以全部用公式来表达，这是以前任何密码算法都不具备的性质。如果Rijndael的公式能够通过数学运算来求解，那也就意味着Rijndael能够通过数学方法进行破译，这也为新的攻击方式的产生提供了可能。

(1) 因为现在用暴力破解法已经能够在现实的时间内完成对DES的破译， DES不应再用于任何新的用途 。但是也需要保持与旧版本软件的兼容性。

(2) 尽管在一些重视兼容性的环境中会使用三重DES，但 我们也没有理由将三重DES用于新的用途 ，它会逐渐被AES所取代。

(3) 现在应该使用的算法是AES(Rijndael) ，因为它安全、快速，而且能够在各种平台上工作。

(4) AES最终候选算法应该可以作为AES的备份 ，因为这些密码算法也都经过了严格的测试，且没有发现任何弱点。

(5) 一般来说， 我们不应该使用任何自制的密码算法 ，而是应该使用AES。

优点 ：

使用一种密钥空间巨大，且在算法上没有弱点的对称密码，就可以通过密文来确保明文的机密性。 巨大的密钥空间能够抵御暴力破解，算法上没有弱点可以抵御其他类型的攻击。

不足 ：

a. 用对称密码进行通信时，还会出现 密钥的配送问题 ，即如何将密钥安全地发送给接受者。为了解决密钥配送问题，需要 公钥密码技术 。

b. 尽管使用对称密码可以确保机密性，但仅凭这一点还并不能完全放心。 例如发送者可能发送伪造的密文，并利用解密时返回的错误来盗取信息。

衷心感谢您的阅读。

查看下一篇请点击以下链接： 【密码学笔记】第4部分 分组密码的模式