網(wǎng)絡安全協(xié)議考試題庫

..填空題1.網(wǎng)絡平安的定義是指網(wǎng)絡信息系統(tǒng)的平安，其涵是網(wǎng)絡平安體系構(gòu)造中的平安效勞。2.平安協(xié)議的分類認證協(xié)議、密鑰管理協(xié)議、不可否認協(xié)議、信息平安交換協(xié)議。3.平安協(xié)議的平安性質(zhì)認證性、性、完整性和不可否認性。4.IP協(xié)議是網(wǎng)絡層使用的最主要的通信協(xié)議，以下是IP數(shù)據(jù)包的格式，請?zhí)钊氡砀裰腥鄙俚脑?.對點協(xié)議〔ppp〕是為同等單元之間傳輸數(shù)據(jù)包而設計的鏈路層協(xié)議。6.PPP協(xié)議的目的主要是用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網(wǎng)橋和路由器之間簡單連接的一種共同的解決方案。7.連接過程中的主要狀態(tài)填入以下圖1建立2認證3網(wǎng)絡4翻開5終止6靜止8.IPsec的設計目標是為IPv4和IPv6提供可互操作的，高質(zhì)量的，基于密碼學的平安性傳輸IPsec協(xié)議【AH和ESP】支持的工作模式有傳輸模式和隧道模式。9.IPsec傳輸模式的一個缺點是網(wǎng)中的各個主機只能使用公有IP地址，而不能使用私有IP地址。10.IPsec隧道模式的一個優(yōu)點可以保護子網(wǎng)部的拓撲構(gòu)造。11.IPsec主要由AH協(xié)議、ESP協(xié)議、負責密鑰管理的IKE協(xié)議組成。12.IPsec工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認證、性保護、有限的數(shù)據(jù)流性保護、抗重放攻擊等平安效勞。13.AH可以為IP數(shù)據(jù)流提供高強度的密碼認證，以確保被修改正的數(shù)據(jù)包可以被檢查出來。14.ESP提供和AH類似的平安效勞，但增加了數(shù)據(jù)性保護、有限的流性保護等兩個額外的平安效勞。15.客戶機與效勞器交換數(shù)據(jù)前，先交換初始握手信息，在握手信息中采用了各種加密技術(shù)，以保證其性、數(shù)據(jù)完整性。16.SSL維護數(shù)據(jù)完整性采用的兩種方法是散列函數(shù)、共享。17.握手協(xié)議中客戶機效勞器之間建立連接的過程分為4個階段：建立平安能力、效勞器身份認證和密鑰交換、客戶機認證和密鑰交換、完成。18.SSL支持三種驗證方式：客戶和效勞器都驗證、只驗證效勞器、完全匿名。19.SSL提供的平安措施能夠抵御重放攻擊／中間人攻擊／局部流量分析／synflooding攻擊等攻擊方法20.握手協(xié)議由一系列客戶機與效勞器的交換消息組成，每個消息都有三個字段：類型、長度、容。21.SSL位于TCP\IP層和應用層之間，為應用層提供平安的效勞，其目標是保證兩個應用之間通信的性、可靠性,可以在效勞器和客戶機兩端同時實現(xiàn)支持。22.SSL協(xié)議分為兩層，低層SSL記錄協(xié)議層高層是SSL握手協(xié)議層。23.SSL協(xié)議全稱為平安套接字協(xié)議。24.SSL協(xié)議中采用的認證算法是通過RSA算法進展數(shù)字簽名來實現(xiàn)。25.密鑰交換的目的是創(chuàng)造一個通信雙方都知道但攻擊者不知道的預主秘密，預主秘密用于生成主秘密，主秘密用于產(chǎn)生Certificate_Verify消息、Finished消息、加密密鑰和MAC消息。選擇題1．S-HTTP是在〔應用層〕的HTTP協(xié)議2.以下哪一項不是SSL所提供的效勞：〔D〕A用戶和效勞器的合法認證B加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)C維護數(shù)據(jù)完整性D保存通信雙方的通信時的根本信息3.SSL握手協(xié)議有〔10〕種消息類型：4.在密鑰管理方面，哪一項不是SSL題：〔Ａ〕Ａ數(shù)據(jù)的完整性未得到保護Ｂ客戶機和效勞器互相發(fā)送自己能夠支持的加密算法時，是以明文傳送的存在被攻擊修改的可能Ｃ為了兼容以前的版本，可能會降低平安性Ｄ所有的會話密鑰中都將生成主密鑰，握手協(xié)議的平安完全依賴于對主密鑰的保護5.以下哪項說法是錯誤的〔Ｂ〕ＡSSL的密鑰交換包括匿名密鑰交換和非匿名密鑰交換兩種BSSL3.0使用AH作為消息驗證算法，可阻止重放攻擊和截斷連接攻擊CSSL支持3種驗證方式D當效勞器被驗證時，就有減少完全匿名會話遭受中間人攻擊的可能6．在ssl的認證算法中，以下哪對密鑰是一個公/私鑰對〔A〕A效勞器方的寫密鑰和客戶方的讀密鑰。B效勞器方的寫密鑰和效勞器方的讀密鑰。C效勞器方的寫密鑰和客戶方的寫密鑰。D效勞器方的讀密鑰和客戶方的讀密鑰。7.CipherSuite字段中的第一個元素密鑰交換模式中，不支持的密鑰交換模式是哪個〔D〕A固定的Differ—HellmanB短暫的Differ—HellmanC匿名的Differ—HellmanD長期的Differ—Hellman8.哪一項不是決定客戶機發(fā)送Client—Key—Exchang消息的密鑰交換類型：〔長期的Differ—Hellman〕9.以下哪種情況不是效勞器需要發(fā)送Server—Key—Exchange消息的情況：〔C〕A匿名的Differ—HellmanB短暫的Differ—HellmanC更改密碼組并完成握手協(xié)議DRSA密鑰交換10.以下哪個不是SSL現(xiàn)有的版本〔D〕ASSL1.0BSSL2.0CSSL3.0DSSL4.011.設計AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)包〔完整性〕的認證機制。12.設計ESP協(xié)議的主要目的是提高IP數(shù)據(jù)包的〔平安性〕。13.ESP數(shù)據(jù)包由〔4〕個固定長度的字段和〔3〕個變長字段組成。14.AH頭由〔5〕個固定長度字段和〔1〕個變長字段組成。15.IPsec是為了彌補〔TCP/IP〕協(xié)議簇的平安缺陷，為IP層及其上層協(xié)議提護而設計的。16.在ESP數(shù)據(jù)包中，平安參數(shù)索引【SPI】和序列號都是〔32〕位的整數(shù)。17.IKE包括〔2〕個交換階段，定義了〔4〕種交換模式。18.ISAKMP的全稱是〔Internet平安關聯(lián)和密鑰管理協(xié)議〕。19.AH的外出處理過程包括：①檢索〔〕；②查找對應的〔〕；③構(gòu)造〔〕載荷；④為載荷添加IP頭；⑤其他處理。正確的選項是〔SPD，SA，AH〕。20.IKE的根底是〔ISAKMP，Oakley，SKEM〕等三個協(xié)議。21.以下哪種協(xié)議是為同等單元之間傳輸數(shù)據(jù)包而設計的鏈路層協(xié)議〔PPP協(xié)議〕22.以下哪個不是PPP在連接過程中的主要狀態(tài)?！睠〕A靜止B建立C配置D終止23.目前應用最為廣泛的第二層隧道協(xié)議是〔PPTP協(xié)議〕24.___協(xié)議兼容了PPTP協(xié)議和L2F協(xié)議?！睱2TP協(xié)議〕判斷題1.SSL是位于TCP/IP層和數(shù)據(jù)鏈路層的平安通信協(xié)議?！插e〕〔應是位于TCP/IP和應用層〕2.SSL采用的加密技術(shù)既有對稱密鑰，也有公開密鑰?！矊Α?.MAC算法等同于散列函數(shù)，接收任意長度消息，生成一個固定長度輸出?！插e〕〔MAC算法除接收一個消息外，還需要接收一個密鑰〕4.SSL記錄協(xié)議允許效勞器和客戶機相互驗證，協(xié)商加密和MAC算法以及密鑰?！插e〕〔應是SSL握手協(xié)議〕5.SSL的客戶端使用散列函數(shù)獲得效勞器的信息摘要，再用自己的私鑰加密形成數(shù)字簽名的目的是對效勞器進展認證?！插e〕〔應是被效勞器認證〕6.IPsec傳輸模式具有優(yōu)點：即使是網(wǎng)中的其他用戶，也不能理解在主機A和主機B之間傳輸?shù)臄?shù)據(jù)的容?！矊Α?.IPsec傳輸模式中，各主機不能分擔IPsec處理負荷。〔錯〕8.IPsec傳輸模式不能實現(xiàn)對端用戶的透明效勞。用戶為了獲得IPsec提供的平安效勞，必須消耗存，花費處理時間?！矊Α?.IPsec傳輸模式不會暴露子網(wǎng)部的拓撲構(gòu)造?！插e〕10.IPsec隧道模式能夠保護子網(wǎng)部的所有用戶透明地享受平安網(wǎng)關提供的平安保護?！矊Α?1.IPsec隧道模式中，IPsec主要集中在平安網(wǎng)關，增加了平安網(wǎng)關的處理負擔，容易造成通信瓶頸。〔對〕12.L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡上傳輸?shù)腜PP分組。〔錯〕〔L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡或非IP網(wǎng)絡的公共網(wǎng)絡上傳輸PPP分組〕13.L2TP協(xié)議利用AVP來構(gòu)造控制消息，比起PPTP中固化的消息格式來說，L2TP的消息格式更靈活?！矊Α?4.L2TP是一種具有完善平安功能的協(xié)議?！插e〕〔不具有完善平安功能〕15.PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供性保護，因此公共網(wǎng)絡上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露?！矊Α趁~解釋1、IPsec的含義答：IPsec是為了彌補TCP/IP協(xié)議簇的平安缺陷，為IP層及其上層協(xié)議提供保護而設計的。它是一組基于密碼學的平安的開放網(wǎng)絡平安協(xié)議，總稱IP平安〔IPsecurity〕體系構(gòu)造，簡稱IPsec。2、平安關聯(lián)〔SA〕的含義答：所謂SA是指通信對等方之間為了給需要受保護的數(shù)據(jù)流提供平安效勞而對某些要素的一種協(xié)定。3、電子SPD的含義答：SPD是平安策略數(shù)據(jù)庫。SPD指定了應用在到達或者來自某特定主機或者網(wǎng)絡的數(shù)據(jù)流的策略。4、SAD的含義答：SAD是平安關聯(lián)數(shù)據(jù)庫。SAD包含每一個SA的參數(shù)信息5、目的IP地址答：可以是一個32位的IPv4地址或者128位的IPv6地址。6、路徑最大傳輸單元答：說明IP數(shù)據(jù)包從源主機到目的主機的過程中，無需分段的IP數(shù)據(jù)包的最大長度。簡述題1、平安協(xié)議的缺陷分類及含義答：〔1〕根本協(xié)議缺陷，根本協(xié)議缺陷是由于在平安協(xié)議的設計中沒有或很少防攻擊者而引發(fā)的協(xié)議缺陷?！?〕并行會話缺陷，協(xié)議對并行會話攻擊缺乏防，從而導致攻擊者通過交換適當?shù)膮f(xié)議消息能夠獲得所需要的信息?！?〕口令/密鑰猜想缺陷，這類缺陷主要是用戶選擇常用詞匯或通過一些隨即數(shù)生成算法制造密鑰，導致攻擊者能夠輕易恢復密鑰?！?〕舊消息缺陷，舊消息缺陷是指協(xié)議設計中對消息的新鮮性沒有充分考慮，從而致使攻擊者能夠消息重放攻擊，包括消息愿的攻擊、消息目的的攻擊等。〔5〕部協(xié)議缺陷，協(xié)議的可達性存在問題，協(xié)議的參與者至少有一方不能完成所需要的動作而導致的缺陷?！?〕密碼系統(tǒng)缺陷，協(xié)議中使用密碼算法和密碼協(xié)議導致協(xié)議不能完全滿足所需要的性、人證性等需求而產(chǎn)生的缺陷2、請寫出根據(jù)平安協(xié)議缺陷分類而歸納的10條設計原那么。答：每條消息都應該是清晰完整的加密局部從文字形式上是可以區(qū)分的如果一個參與者的標識對于某條消息的容是重要的，那么最好在消息中明確地包含參與者的名字如果同一個主體既需要簽名又需要加密，就在加密之前進展簽名與消息的執(zhí)行相關的前提條件應當明確給出，并且其正確性與合理性應能夠得到驗證3、協(xié)議必須能夠保證"提問〞具有方向性，而且可以進展區(qū)分答：在認證協(xié)議中參加兩個根本要求：一個是認證效勞器只響應新鮮請求；另一個是認證效勞器只響應可驗證的真實性保證臨時值和會話密鑰等重要消息的新鮮性，盡量采用異步認證方式，防止采用同步時鐘〔時間戳〕的認證方式使用形式化驗證工具對協(xié)議進展驗證，檢測協(xié)議各種狀態(tài)的可達性，是否會出現(xiàn)死鎖或者死循環(huán)盡可能使用健全的密碼體制，保護協(xié)議中敏感數(shù)據(jù)的性、認證性和完整性等平安特性4、簡述TCP/IP協(xié)議簇協(xié)議存在的平安隱患答：傳輸層的協(xié)議的平安隱患、網(wǎng)絡層協(xié)議的平安隱患、連路層協(xié)議的平安隱患、應用層協(xié)議的平安隱患。5、簡單論述控制連接的建立過程答：〔1〕在PAC和PNS之間建立控制連接之前，先建立一條TCP連接?！?〕發(fā)送者通過SCCRQ告知應答者將建立一條控制連接，SCCRQ中包括了對本地硬件環(huán)境的描述?！?〕當收到發(fā)起者發(fā)來的SCCRQ消息時，應答者將對該消息中給出的版本號、載體能力等字段進展檢查，假設符合應答者的通訊配置要求，那么應答者發(fā)回SCCRP作為答復。6、PPTP協(xié)議存在哪些平安風險答：〔1〕在PAC與PNS之間PPTP協(xié)議沒有為控制連接的建立過程、入站呼叫/出站呼叫的建立過程提供任何認證機制。因此一個合法用戶與總部建立的會話或控制連接都可能受到攻擊。〔2〕PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供性保護，因此公共網(wǎng)絡上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露?！?〕PPTP協(xié)議對傳輸于隧道間的數(shù)據(jù)不提供完整性的保護，因此攻擊者可能注入虛假控制信息或數(shù)據(jù)信息，還可以對傳輸?shù)臄?shù)據(jù)進展惡意的修改。7、PPTP相比擬，L2TP主要在那些方面做了改良，L2TP自身存在哪些缺陷？答：改良：〔1〕在協(xié)議的適用性方面，L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡或非IP網(wǎng)絡的公共網(wǎng)絡上傳輸PPP分組，而不是像PPTP協(xié)議一樣僅適用于IP網(wǎng)絡?！?〕在消息的構(gòu)造方面，L2TP協(xié)議利用AVP來構(gòu)造控制信息，比起PPTP中固化的消息格式來說，L2TP的消息格式更為靈活?！?〕在平安性方面，L2TP協(xié)議可以通過AVP的隱藏，使用戶可以在隧道中平安地傳輸一些敏感信息，例如用戶ID、口令等。L2TP協(xié)議中還包含了一種簡單的類似CHAP的隧道認證機制，可以在控制連接的建立之時選擇性地進展身份認證。缺陷：L2TP隧道的認證機制只能提供LAC和LNS之間在隧道建立階段的認證，而不能有效的保護控制連接和數(shù)據(jù)隧道中的報文。因此，L2TP的認證不能解決L2TP隧道易受攻擊的缺點。為了實現(xiàn)認證，LAC和LNS對之間必須有一個共享密鑰，但L2TP不提供密鑰協(xié)商與共享的功能。8、簡述設計IKE【注：Internet密鑰交換協(xié)議】的目的答：用IPsec保護一個IP數(shù)據(jù)流之前，必須先建立一個SA。SA可以手工或動態(tài)創(chuàng)立。當用戶數(shù)量不多，而且密鑰的更新頻率不高時，可以選擇使用手工建立的方式。但當用戶較多，網(wǎng)絡規(guī)模較大時，就應該選擇自動方式。IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護SA的協(xié)議。它包括兩個交換協(xié)議，定義了四種交換模式，允許使用四種認證方法。9、簡述IPsec在支持VPN方面的缺陷答：①不支持基于用戶的認證；②不支持動態(tài)地址和多種VPN應用模式；③不支持多協(xié)議；④關于IKE的問題；⑤關于效勞質(zhì)量保證問題。10、簡述IPsec的體系構(gòu)造。答：IPsec主要由鑒別頭〔AH〕協(xié)議，封裝平安載荷〔ESP〕協(xié)議以及負責密鑰管理的Internet密鑰交換〔IKE〕協(xié)議組成。各協(xié)議之間的關系【見課本P84圖】：①IPsec體系。它包含一般概念，平安需求，定義和定義IPsec的技術(shù)機制。②AH協(xié)議和ESP協(xié)議。它們是IPsec用于保護傳輸數(shù)據(jù)平安的兩個主要協(xié)議。③解釋域DOI。通信雙方必須保持對消息一樣的解釋規(guī)那么，即應持有一樣的解釋域。④加密算法和認證算法。ESP涉及這兩種算法，AH涉及認證算法。⑤密鑰管理。IPsec密鑰管理主要由IKE協(xié)議完成。⑥策略。決定兩個實體之間能否通信及如何通信。11、SSL〔TLS〕協(xié)議提供效勞可以歸納為那幾個方面。答：1、用戶和效勞器的合法性認2、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)3、維護數(shù)據(jù)的完整性12、請論述SSL握手協(xié)議的工作過程答：握手協(xié)議分為4個階段：建立平安能力。建立平安能力，包括協(xié)議版本、會話ID、密碼組