網(wǎng)絡(luò)安全協(xié)議考試題庫

..填空題1.網(wǎng)絡(luò)平安的定義是指網(wǎng)絡(luò)信息系統(tǒng)的平安，其涵是網(wǎng)絡(luò)平安體系構(gòu)造中的平安效勞。2.平安協(xié)議的分類認(rèn)證協(xié)議、密鑰管理協(xié)議、不可否認(rèn)協(xié)議、信息平安交換協(xié)議。3.平安協(xié)議的平安性質(zhì)認(rèn)證性、性、完整性和不可否認(rèn)性。4.IP協(xié)議是網(wǎng)絡(luò)層使用的最主要的通信協(xié)議，以下是IP數(shù)據(jù)包的格式，請?zhí)钊氡砀裰腥鄙俚脑?.對點協(xié)議〔ppp〕是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議。6.PPP協(xié)議的目的主要是用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機(jī)、網(wǎng)橋和路由器之間簡單連接的一種共同的解決方案。7.連接過程中的主要狀態(tài)填入以下圖1建立2認(rèn)證3網(wǎng)絡(luò)4翻開5終止6靜止8.IPsec的設(shè)計目標(biāo)是為IPv4和IPv6提供可互操作的，高質(zhì)量的，基于密碼學(xué)的平安性傳輸IPsec協(xié)議【AH和ESP】支持的工作模式有傳輸模式和隧道模式。9.IPsec傳輸模式的一個缺點是網(wǎng)中的各個主機(jī)只能使用公有IP地址，而不能使用私有IP地址。10.IPsec隧道模式的一個優(yōu)點可以保護(hù)子網(wǎng)部的拓?fù)錁?gòu)造。11.IPsec主要由AH協(xié)議、ESP協(xié)議、負(fù)責(zé)密鑰管理的IKE協(xié)議組成。12.IPsec工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、性保護(hù)、有限的數(shù)據(jù)流性保護(hù)、抗重放攻擊等平安效勞。13.AH可以為IP數(shù)據(jù)流提供高強(qiáng)度的密碼認(rèn)證，以確保被修改正的數(shù)據(jù)包可以被檢查出來。14.ESP提供和AH類似的平安效勞，但增加了數(shù)據(jù)性保護(hù)、有限的流性保護(hù)等兩個額外的平安效勞。15.客戶機(jī)與效勞器交換數(shù)據(jù)前，先交換初始握手信息，在握手信息中采用了各種加密技術(shù)，以保證其性、數(shù)據(jù)完整性。16.SSL維護(hù)數(shù)據(jù)完整性采用的兩種方法是散列函數(shù)、共享。17.握手協(xié)議中客戶機(jī)效勞器之間建立連接的過程分為4個階段：建立平安能力、效勞器身份認(rèn)證和密鑰交換、客戶機(jī)認(rèn)證和密鑰交換、完成。18.SSL支持三種驗證方式：客戶和效勞器都驗證、只驗證效勞器、完全匿名。19.SSL提供的平安措施能夠抵御重放攻擊／中間人攻擊／局部流量分析／synflooding攻擊等攻擊方法20.握手協(xié)議由一系列客戶機(jī)與效勞器的交換消息組成，每個消息都有三個字段：類型、長度、容。21.SSL位于TCP\IP層和應(yīng)用層之間，為應(yīng)用層提供平安的效勞，其目標(biāo)是保證兩個應(yīng)用之間通信的性、可靠性,可以在效勞器和客戶機(jī)兩端同時實現(xiàn)支持。22.SSL協(xié)議分為兩層，低層SSL記錄協(xié)議層高層是SSL握手協(xié)議層。23.SSL協(xié)議全稱為平安套接字協(xié)議。24.SSL協(xié)議中采用的認(rèn)證算法是通過RSA算法進(jìn)展數(shù)字簽名來實現(xiàn)。25.密鑰交換的目的是創(chuàng)造一個通信雙方都知道但攻擊者不知道的預(yù)主秘密，預(yù)主秘密用于生成主秘密，主秘密用于產(chǎn)生Certificate_Verify消息、Finished消息、加密密鑰和MAC消息。選擇題1．S-HTTP是在〔應(yīng)用層〕的HTTP協(xié)議2.以下哪一項不是SSL所提供的效勞：〔D〕A用戶和效勞器的合法認(rèn)證B加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)C維護(hù)數(shù)據(jù)完整性D保存通信雙方的通信時的根本信息3.SSL握手協(xié)議有〔10〕種消息類型：4.在密鑰管理方面，哪一項不是SSL題：〔Ａ〕Ａ數(shù)據(jù)的完整性未得到保護(hù)Ｂ客戶機(jī)和效勞器互相發(fā)送自己能夠支持的加密算法時，是以明文傳送的存在被攻擊修改的可能Ｃ為了兼容以前的版本，可能會降低平安性Ｄ所有的會話密鑰中都將生成主密鑰，握手協(xié)議的平安完全依賴于對主密鑰的保護(hù)5.以下哪項說法是錯誤的〔Ｂ〕ＡSSL的密鑰交換包括匿名密鑰交換和非匿名密鑰交換兩種BSSL3.0使用AH作為消息驗證算法，可阻止重放攻擊和截斷連接攻擊CSSL支持3種驗證方式D當(dāng)效勞器被驗證時，就有減少完全匿名會話遭受中間人攻擊的可能6．在ssl的認(rèn)證算法中，以下哪對密鑰是一個公/私鑰對〔A〕A效勞器方的寫密鑰和客戶方的讀密鑰。B效勞器方的寫密鑰和效勞器方的讀密鑰。C效勞器方的寫密鑰和客戶方的寫密鑰。D效勞器方的讀密鑰和客戶方的讀密鑰。7.CipherSuite字段中的第一個元素密鑰交換模式中，不支持的密鑰交換模式是哪個〔D〕A固定的Differ—HellmanB短暫的Differ—HellmanC匿名的Differ—HellmanD長期的Differ—Hellman8.哪一項不是決定客戶機(jī)發(fā)送Client—Key—Exchang消息的密鑰交換類型：〔長期的Differ—Hellman〕9.以下哪種情況不是效勞器需要發(fā)送Server—Key—Exchange消息的情況：〔C〕A匿名的Differ—HellmanB短暫的Differ—HellmanC更改密碼組并完成握手協(xié)議DRSA密鑰交換10.以下哪個不是SSL現(xiàn)有的版本〔D〕ASSL1.0BSSL2.0CSSL3.0DSSL4.011.設(shè)計AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)包〔完整性〕的認(rèn)證機(jī)制。12.設(shè)計ESP協(xié)議的主要目的是提高IP數(shù)據(jù)包的〔平安性〕。13.ESP數(shù)據(jù)包由〔4〕個固定長度的字段和〔3〕個變長字段組成。14.AH頭由〔5〕個固定長度字段和〔1〕個變長字段組成。15.IPsec是為了彌補(bǔ)〔TCP/IP〕協(xié)議簇的平安缺陷，為IP層及其上層協(xié)議提護(hù)而設(shè)計的。16.在ESP數(shù)據(jù)包中，平安參數(shù)索引【SPI】和序列號都是〔32〕位的整數(shù)。17.IKE包括〔2〕個交換階段，定義了〔4〕種交換模式。18.ISAKMP的全稱是〔Internet平安關(guān)聯(lián)和密鑰管理協(xié)議〕。19.AH的外出處理過程包括：①檢索〔〕；②查找對應(yīng)的〔〕；③構(gòu)造〔〕載荷；④為載荷添加IP頭；⑤其他處理。正確的選項是〔SPD，SA，AH〕。20.IKE的根底是〔ISAKMP，Oakley，SKEM〕等三個協(xié)議。21.以下哪種協(xié)議是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議〔PPP協(xié)議〕22.以下哪個不是PPP在連接過程中的主要狀態(tài)。〔C〕A靜止B建立C配置D終止23.目前應(yīng)用最為廣泛的第二層隧道協(xié)議是〔PPTP協(xié)議〕24.___協(xié)議兼容了PPTP協(xié)議和L2F協(xié)議?！睱2TP協(xié)議〕判斷題1.SSL是位于TCP/IP層和數(shù)據(jù)鏈路層的平安通信協(xié)議?！插e〕〔應(yīng)是位于TCP/IP和應(yīng)用層〕2.SSL采用的加密技術(shù)既有對稱密鑰，也有公開密鑰?！矊Α?.MAC算法等同于散列函數(shù)，接收任意長度消息，生成一個固定長度輸出?！插e〕〔MAC算法除接收一個消息外，還需要接收一個密鑰〕4.SSL記錄協(xié)議允許效勞器和客戶機(jī)相互驗證，協(xié)商加密和MAC算法以及密鑰?！插e〕〔應(yīng)是SSL握手協(xié)議〕5.SSL的客戶端使用散列函數(shù)獲得效勞器的信息摘要，再用自己的私鑰加密形成數(shù)字簽名的目的是對效勞器進(jìn)展認(rèn)證。〔錯〕〔應(yīng)是被效勞器認(rèn)證〕6.IPsec傳輸模式具有優(yōu)點：即使是網(wǎng)中的其他用戶，也不能理解在主機(jī)A和主機(jī)B之間傳輸?shù)臄?shù)據(jù)的容?！矊Α?.IPsec傳輸模式中，各主機(jī)不能分擔(dān)IPsec處理負(fù)荷?！插e〕8.IPsec傳輸模式不能實現(xiàn)對端用戶的透明效勞。用戶為了獲得IPsec提供的平安效勞，必須消耗存，花費處理時間。〔對〕9.IPsec傳輸模式不會暴露子網(wǎng)部的拓?fù)錁?gòu)造。〔錯〕10.IPsec隧道模式能夠保護(hù)子網(wǎng)部的所有用戶透明地享受平安網(wǎng)關(guān)提供的平安保護(hù)?！矊Α?1.IPsec隧道模式中，IPsec主要集中在平安網(wǎng)關(guān)，增加了平安網(wǎng)關(guān)的處理負(fù)擔(dān)，容易造成通信瓶頸?！矊Α?2.L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)上傳輸?shù)腜PP分組?！插e〕〔L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組〕13.L2TP協(xié)議利用AVP來構(gòu)造控制消息，比起PPTP中固化的消息格式來說，L2TP的消息格式更靈活。〔對〕14.L2TP是一種具有完善平安功能的協(xié)議?！插e〕〔不具有完善平安功能〕15.PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供性保護(hù)，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。〔對〕名詞解釋1、IPsec的含義答：IPsec是為了彌補(bǔ)TCP/IP協(xié)議簇的平安缺陷，為IP層及其上層協(xié)議提供保護(hù)而設(shè)計的。它是一組基于密碼學(xué)的平安的開放網(wǎng)絡(luò)平安協(xié)議，總稱IP平安〔IPsecurity〕體系構(gòu)造，簡稱IPsec。2、平安關(guān)聯(lián)〔SA〕的含義答：所謂SA是指通信對等方之間為了給需要受保護(hù)的數(shù)據(jù)流提供平安效勞而對某些要素的一種協(xié)定。3、電子SPD的含義答：SPD是平安策略數(shù)據(jù)庫。SPD指定了應(yīng)用在到達(dá)或者來自某特定主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)流的策略。4、SAD的含義答：SAD是平安關(guān)聯(lián)數(shù)據(jù)庫。SAD包含每一個SA的參數(shù)信息5、目的IP地址答：可以是一個32位的IPv4地址或者128位的IPv6地址。6、路徑最大傳輸單元答：說明IP數(shù)據(jù)包從源主機(jī)到目的主機(jī)的過程中，無需分段的IP數(shù)據(jù)包的最大長度。簡述題1、平安協(xié)議的缺陷分類及含義答：〔1〕根本協(xié)議缺陷，根本協(xié)議缺陷是由于在平安協(xié)議的設(shè)計中沒有或很少防攻擊者而引發(fā)的協(xié)議缺陷。〔2〕并行會話缺陷，協(xié)議對并行會話攻擊缺乏防，從而導(dǎo)致攻擊者通過交換適當(dāng)?shù)膮f(xié)議消息能夠獲得所需要的信息。〔3〕口令/密鑰猜想缺陷，這類缺陷主要是用戶選擇常用詞匯或通過一些隨即數(shù)生成算法制造密鑰，導(dǎo)致攻擊者能夠輕易恢復(fù)密鑰。〔4〕舊消息缺陷，舊消息缺陷是指協(xié)議設(shè)計中對消息的新鮮性沒有充分考慮，從而致使攻擊者能夠消息重放攻擊，包括消息愿的攻擊、消息目的的攻擊等?！?〕部協(xié)議缺陷，協(xié)議的可達(dá)性存在問題，協(xié)議的參與者至少有一方不能完成所需要的動作而導(dǎo)致的缺陷?！?〕密碼系統(tǒng)缺陷，協(xié)議中使用密碼算法和密碼協(xié)議導(dǎo)致協(xié)議不能完全滿足所需要的性、人證性等需求而產(chǎn)生的缺陷2、請寫出根據(jù)平安協(xié)議缺陷分類而歸納的10條設(shè)計原那么。答：每條消息都應(yīng)該是清晰完整的加密局部從文字形式上是可以區(qū)分的如果一個參與者的標(biāo)識對于某條消息的容是重要的，那么最好在消息中明確地包含參與者的名字如果同一個主體既需要簽名又需要加密，就在加密之前進(jìn)展簽名與消息的執(zhí)行相關(guān)的前提條件應(yīng)當(dāng)明確給出，并且其正確性與合理性應(yīng)能夠得到驗證3、協(xié)議必須能夠保證"提問〞具有方向性，而且可以進(jìn)展區(qū)分答：在認(rèn)證協(xié)議中參加兩個根本要求：一個是認(rèn)證效勞器只響應(yīng)新鮮請求；另一個是認(rèn)證效勞器只響應(yīng)可驗證的真實性保證臨時值和會話密鑰等重要消息的新鮮性，盡量采用異步認(rèn)證方式，防止采用同步時鐘〔時間戳〕的認(rèn)證方式使用形式化驗證工具對協(xié)議進(jìn)展驗證，檢測協(xié)議各種狀態(tài)的可達(dá)性，是否會出現(xiàn)死鎖或者死循環(huán)盡可能使用健全的密碼體制，保護(hù)協(xié)議中敏感數(shù)據(jù)的性、認(rèn)證性和完整性等平安特性4、簡述TCP/IP協(xié)議簇協(xié)議存在的平安隱患答：傳輸層的協(xié)議的平安隱患、網(wǎng)絡(luò)層協(xié)議的平安隱患、連路層協(xié)議的平安隱患、應(yīng)用層協(xié)議的平安隱患。5、簡單論述控制連接的建立過程答：〔1〕在PAC和PNS之間建立控制連接之前，先建立一條TCP連接。〔2〕發(fā)送者通過SCCRQ告知應(yīng)答者將建立一條控制連接，SCCRQ中包括了對本地硬件環(huán)境的描述?！?〕當(dāng)收到發(fā)起者發(fā)來的SCCRQ消息時，應(yīng)答者將對該消息中給出的版本號、載體能力等字段進(jìn)展檢查，假設(shè)符合應(yīng)答者的通訊配置要求，那么應(yīng)答者發(fā)回SCCRP作為答復(fù)。6、PPTP協(xié)議存在哪些平安風(fēng)險答：〔1〕在PAC與PNS之間PPTP協(xié)議沒有為控制連接的建立過程、入站呼叫/出站呼叫的建立過程提供任何認(rèn)證機(jī)制。因此一個合法用戶與總部建立的會話或控制連接都可能受到攻擊?！?〕PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供性保護(hù)，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。〔3〕PPTP協(xié)議對傳輸于隧道間的數(shù)據(jù)不提供完整性的保護(hù)，因此攻擊者可能注入虛假控制信息或數(shù)據(jù)信息，還可以對傳輸?shù)臄?shù)據(jù)進(jìn)展惡意的修改。7、PPTP相比擬，L2TP主要在那些方面做了改良，L2TP自身存在哪些缺陷？答：改良：〔1〕在協(xié)議的適用性方面，L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組，而不是像PPTP協(xié)議一樣僅適用于IP網(wǎng)絡(luò)?！?〕在消息的構(gòu)造方面，L2TP協(xié)議利用AVP來構(gòu)造控制信息，比起PPTP中固化的消息格式來說，L2TP的消息格式更為靈活?！?〕在平安性方面，L2TP協(xié)議可以通過AVP的隱藏，使用戶可以在隧道中平安地傳輸一些敏感信息，例如用戶ID、口令等。L2TP協(xié)議中還包含了一種簡單的類似CHAP的隧道認(rèn)證機(jī)制，可以在控制連接的建立之時選擇性地進(jìn)展身份認(rèn)證。缺陷：L2TP隧道的認(rèn)證機(jī)制只能提供LAC和LNS之間在隧道建立階段的認(rèn)證，而不能有效的保護(hù)控制連接和數(shù)據(jù)隧道中的報文。因此，L2TP的認(rèn)證不能解決L2TP隧道易受攻擊的缺點。為了實現(xiàn)認(rèn)證，LAC和LNS對之間必須有一個共享密鑰，但L2TP不提供密鑰協(xié)商與共享的功能。8、簡述設(shè)計IKE【注：Internet密鑰交換協(xié)議】的目的答：用IPsec保護(hù)一個IP數(shù)據(jù)流之前，必須先建立一個SA。SA可以手工或動態(tài)創(chuàng)立。當(dāng)用戶數(shù)量不多，而且密鑰的更新頻率不高時，可以選擇使用手工建立的方式。但當(dāng)用戶較多，網(wǎng)絡(luò)規(guī)模較大時，就應(yīng)該選擇自動方式。IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護(hù)SA的協(xié)議。它包括兩個交換協(xié)議，定義了四種交換模式，允許使用四種認(rèn)證方法。9、簡述IPsec在支持VPN方面的缺陷答：①不支持基于用戶的認(rèn)證；②不支持動態(tài)地址和多種VPN應(yīng)用模式；③不支持多協(xié)議；④關(guān)于IKE的問題；⑤關(guān)于效勞質(zhì)量保證問題。10、簡述IPsec的體系構(gòu)造。答：IPsec主要由鑒別頭〔AH〕協(xié)議，封裝平安載荷〔ESP〕協(xié)議以及負(fù)責(zé)密鑰管理的Internet密鑰交換〔IKE〕協(xié)議組成。各協(xié)議之間的關(guān)系【見課本P84圖】：①IPsec體系。它包含一般概念，平安需求，定義和定義IPsec的技術(shù)機(jī)制。②AH協(xié)議和ESP協(xié)議。它們是IPsec用于保護(hù)傳輸數(shù)據(jù)平安的兩個主要協(xié)議。③解釋域DOI。通信雙方必須保持對消息一樣的解釋規(guī)那么，即應(yīng)持有一樣的解釋域。④加密算法和認(rèn)證算法。ESP涉及這兩種算法，AH涉及認(rèn)證算法。⑤密鑰管理。IPsec密鑰管理主要由IKE協(xié)議完成。⑥策略。決定兩個實體之間能否通信及如何通信。11、SSL〔TLS〕協(xié)議提供效勞可以歸納為那幾個方面。答：1、用戶和效勞器的合法性認(rèn)2、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)3、維護(hù)數(shù)據(jù)的完整性12、請論述SSL握手協(xié)議的工作過程答：握手協(xié)議分為4個階段：建立平安能力。建立平安能力，包括協(xié)議版本、會話ID、密碼組