网络安全协议考试题.docx
《网络安全协议考试题.docx》由会员分享,可在线阅读,更多相关《网络安全协议考试题.docx(17页珍藏版)》请在冰豆网上搜索。
网络安全协议考试题
信息安全考试题库
一、填空题
1、网络安全的定义是_______________________________________
(指网络信息系统的安全,其内涵是网络安全体系结构中的安全服务)
2、安全协议的分类:
________、_________、_______、________
(认证协议、密钥管理协议、不可否认协议、信息安全交换协议)
3、安全协议的安全性质_________、_______、__________、__________
(认证性、机密性、完整性和不可否认性)
4、IP协议是网络层使用的最主要的通信协议,以下是IP数据包的格式,请填入表格中缺少的元素
版本
首部长度
服务类型(TOS)
总长度
标识
标志
片转移
生存时间TTL
协议
首部校验和
源IP地址
目的IP地址
长度可变的选项字段
填充
数据
…
5、针对TCP/IP协议簇协议的主要的典型攻击是:
______________、________________、__________、_________
(SYNFlood攻击,TCP序列号猜测,IP源地址欺骗,TCP会话劫持)
6、对点协议(ppp)是为______________而设计的链路层协议.
(同等单元之间传输数据包)
7、PPP协议的目的主要是用来通过_____________建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共同的解决方案。
(拨号或专线方式)
8、连接过程中的主要状态填入下图
1建立2认证3网络4打开5终止6静止
9、设计PPTP协议的目的是满足_________________________
(日益增多的内部职员异地办公的需求)
10、在PAC和PNS之间建立控制连接之前,必须建立一条_________
(TCP连接)
11、IPsec的设计目标是_______________________________________
(为IPv4和IPv6提供可互操作的,高质量的,基于密码学的安全性保护)
12、IPsec协议【注:
AH和ESP】支持的工作模式有()模式和()模式。
(传输、隧道)
13、IPsec传输模式的一个缺点是_______________________________(内网中的各个主机只能使用公有IP地址,而不能使用私有IP地址)
14、IPsec隧道模式的一个优点______________________________
(可以保护子网内部的拓扑结构)
15、IPsec主要由_______、________以及_________组成。
(AH协议、ESP协议、负责密钥管理的IKE协议)
16、IPsec工作在IP层,提供_______、______、______、_____、_________以及_________等安全服务.
(访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护、抗重放攻击)
17、____可以为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。
(AH)
18、ESP提供和AH类似的安全服务,但增加了___________和_________等两个额外的安全服务.(数据机密性保护、有限的流机密性保护)
19、客户机与服务器交换数据前,先交换初始握手信息,在握手信息中采用了各种加密技术,以保证其_____和______。
(机密性、数据完整性)
20、SSL维护数据完整性采用的两种方法是_________和________(散列函数、机密共享)
21、握手协议中客户机服务器之间建立连接的过程分为4个阶段:
_________、_____________、_________、________
(建立安全能力、服务器身份认证和密钥交换、客户机认证和密钥交换、完成)
22、SSL支持三种验证方式:
__________、________、________
(客户和服务器都验证、只验证服务器、完全匿名)
23、握手协议由一系列客户机与服务器的交换消息组成,每个消息都有三个字段:
________、________和__________
(类型、长度、内容)
24、SSL位于TCP\IP层和应用层之间,为应用层提供安全的服务,其目标是保证两个应用之间通信的______和_______,可以在服务器和客户机两端同时实现支持。
(机密性、可靠性)
25、SSL协议分为两层,低层是__________高层是___________.(SSL记录协议层、SSL握手协议层)
26、SSL协议全称为_____________(安全套接字协议)
27、SSL协议中采用的认证算法是通过_____________进行数字签名来实现。
(RSA算法)
28、钥交换的目的是创造一个通信双方都知道但攻击者不知道的预主秘密,预主秘密用于生成主秘密,主秘密用于产生_______、__________、___________、_____________
(Certificate_Verify消息、Finished消息、加密密钥和MAC消息)
29、.安全电子邮件应实现的功能有:
________、_________、________、_________(机密性、完整性、认证性、不可否认性)
30、SMTP协议的全称为:
________________________________
(Simplemailtrasferprotocal简单邮件传输协议)
31、PGP主要提供的安全服务:
________、________、_______、______(数字签字、机密性、压缩、基数64位转换)
32、__________不仅是目前世界上使用最为广泛的邮件加密软件,而且也是在即时通信,文件下载等方面都站有一席之地.(PGP)
33、目前,典型的电子商务安全协议有:
_________和____________(安全套接层SSL协议、安全电子交易SET协议)
34、SET的支付过程主要分为5个阶段:
_______、________、________、__________、_________(持卡人注册、商家注册、购买请求、支付授权平、支付捕获)
35、S-HTTP协议的全称:
____________________________________安全超文本传输协议(Secure—HypertextTranferProtocal)
36、S—HTTP是HTTP协议的扩展,目的_________________________
(保证商业贸易的传输安全,促进电子商务的发展)
37、NMP协议全称是:
_________________________
(Simplenetworkmanagementprotocal简单网络管理协议)
38、NMP的网络管理模型包括4个部分,分别是__________、______________、____________、____________
(管理站、管理代理、管理信息库及管理协议)
二、选择题
1.下例哪一项不是电子商务系统的安全需求:
(D)
A机密性B完整性C有效性D真实性
2.S—HTTP是在(D)的HTTP协议
A传输层B链路层C网络层D应用层
3.下例哪一项不是SET系统中的参与方:
(B)
A持卡人B发卡机构C支付网关D商家
4.SNMP早期的版本提供的安全机制中没有(D)
A代理服务B认证服务C访问控制策略D安全服务
5。
下列哪一项不是SSL所提供的服务:
(D)
A用户和服务器的合法认证B加密数据以隐藏被传送的数据
C维护数据完整性D保留通信双方的通信时的基本信息
6。
握手协议有(C)种消息类型:
A 8B 9 C 10 D11
7.在密钥管理方面,哪一项不是SSL题:
(A)
A 数据的完整性未得到保护
B 客户机和服务器互相发送自己能够支持的加密算法时,是以明文传送的存在被攻击修改的可能
CL为了兼容以前的版本,可能会降低安全性
D所有的会话密钥中都将生成主密钥,握手协议的安全完全依赖于对主密钥的保护
8.下列哪项说法是错误的(B)
ASSL的密钥交换包括匿名密钥交换和非匿名密钥交换两种
BSSL3.0使用AH作为消息验证算法,可阻止重放攻击和截断连接攻击
CSSL支持3种验证方式
D当服务器被验证时,就有减少完全匿名会话遭受中间人攻击的可能
9.在ssl的认证算法中,下列哪对密钥是一个公/私钥对(A)
A服务器方的写密钥和客户方的读密钥。
B服务器方的写密钥和服务器方的读密钥.
C服务器方的写密钥和客户方的写密钥.
D服务器方的读密钥和客户方的读密钥。
10.CipherSuite字段中的第一个元素密钥交换模式中,不支持的密钥交换模式是哪个(D)
A固定的Differ—HellmanB短暂的Differ—Hellman
C匿名的Differ-HellmanD长期的Differ—Hellman
11.哪一项不是决定客户机发送Client—Key—Exchang消息的密钥交换类型:
(D)
ARSAB固定的Differ—Hellman
CFortezzaD长期的Differ—Hellman
12.下列哪一项不是握手协议过程中服务器协议所实现的:
(A)
ACertificate-RequestB客户机发送证书
C客户机发送密钥交换D客户机可以发送证书验证
13.下列哪种情况不是服务器需要发送Server-Key—Exchange消息的情况:
(C)
A匿名的Differ-HellmanB短暂的Differ-Hellman
C更改密码组并完成握手协议DRSA密钥交换
14。
下列哪个不是SSL现有的版本(D)
ASSL1。
0BSSL2。
0CSSL3.0DSSL4.0
15.设计AH协议的主要目的是用来增加IP数据包(B)的认证机制.
A。
安全性B。
完整性C.可靠性D。
机密性
16.设计ESP协议的主要目的是提高IP数据包的(A)。
A.安全性B.完整性C。
可靠性D。
机密性
17。
ESP数据包由()个固定长度的字段和()个变长字段组成。
正确选项是(D)
A.4和2B.2和3C.3和4D。
4和3
18.AH头由()个固定长度字段和()个变长字段组成。
正确选项是(C)
A。
2和5B.1和2C.5和1D。
2和1
19.IPsec是为了弥补(B)协议簇的安全缺陷,为IP层及其上层协议提护而设计的。
A.HTTPB。
TCP/IPC。
SNMPD。
PPP
20.在ESP数据包中,安全参数索引【SPI】和序列号都是(C)位的整数。
A.8B。
16C。
32D.64
21。
IKE包括(A)个交换阶段,定义了(B)种交换模式.
A。
2B.4C。
6D.8
22。
ISAKMP的全称是(D)。
A。
鉴别头协议B。
封装安全载荷协议
C.Internet密钥交换协议D。
Internet安全关联和密钥管理协议
23。
AH的外出处理过程包括:
检索();
查找对应的();
构造()载荷;
为载荷添加IP头;
其他处理.
正确的选项是(A).
A。
SPD,SA,AHB。
SA,SPD,AH
C。
SPD,AH,SAD.SA,AH,SPD
24。
IKE的基础是(C)等三个协议.
A。
ISAKMP,AH,ESPB.ISAKMP,Oakley,AH
C.ISAKMP,Oakley,SKEMED。
ISAKMP,Oakley,ESP
25.下列哪种协议是为同等单元之间传输数据包而设计的链路层协议.(D)
ATCP/IP协议BSNMP协议CPPTP协议DPPP协议
26。
下列哪个不是PPP在连接过程中的主要状态。
(C)
A静止B建立C配置D终止
27.目前应用最为广泛的第二层隧道协议是(B)
APPP协议BPPTP协议CL2TP协议DSSL协议
28.___协议兼容了PPTP协议和L2F协议.(B)
APPP协议BL2TP协议CPAP协议DCHAP协议
三、判断题
1.SMTP规定了14条命令和21条应答信息。
(对)
2。
在PGP中,每个常规的密钥不只使用一次.(错)
3。
在SET购物流程中,不只用到了数字签名技术,也用到了双重签名技术。
(对)
4.SET优点之一是对支持智能卡做了很多特别规定,解决了智能卡与电子商务的结合,并且在SSL上成功的实现了这样的设计。
(错)
5.实现SET支付,持卡者、商家、支付网关各CA必须同时支持SET,因而各方建议和协调造成其互操作性差。
(对)
6。
网络管理协议的一个关键功能Get是通过Get—Request、Get—Response和Get-Next-Request3种消息来实现的。
(对)
7。
网络管理协议的关键功能包括:
Get、Set和Trap.(对)
8。
S-HTTP不要求客户公钥认证,因此它支持对称密钥操作模式.(对)
9.是一个面向消息的安全通信协议.(对)
10。
S-HTTP除了提供机密性以外,还提供了对公钥密码及数字签名的支持.(对)
11。
SSL是位于TCP/IP层和数据链路层的安全通信协议。
(错)(应是位于TCP/IP和应用层)
12。
SSL采用的加密技术既有对称密钥,也有公开密钥。
(对)
13。
MAC算法等同于散列函数,接收任意长度消息,生成一个固定长度输出.
(错)(MAC算法除接收一个消息外,还需要接收一个密钥)
14.SSL记录协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥。
(错)(应是SSL握手协议)
15.SSL的客户端使用散列函数获得服务器的信息摘要,再用自己的私钥加密形成数字签名的目的是对服务器进行认证.(错)(应是被服务器认证)
16。
IPsec传输模式具有优点:
即使是内网中的其他用户,也不能理解在主机A和主机B之间传输的数据的内容。
(对)
17。
IPsec传输模式中,各主机不能分担IPsec处理负荷。
(错)
18。
IPsec传输模式不能实现对端用户的透明服务。
用户为了获得IPsec提供的安全服务,必须消耗内存,花费处理时间。
(对)
19.IPsec传输模式不会暴露子网内部的拓扑结构。
(错)
20.IPsec隧道模式能够保护子网内部的所有用户透明地享受安全网关提供的安全保护.(对)
21.IPsec隧道模式中,IPsec主要集中在安全网关,增加了安全网关的处理负担,容易造成通信瓶颈.(对)
22。
L2TP有两种实现方式:
强制模式和自愿模式.(对)
23。
消息的建立是1个3次握手的过程。
(对)
24.L2TP通过隧道技术实现在IP网络上传输的PPP分组。
(错)
(L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组)
25.PPTP协议仅使用于IP网络。
(对)
26.L2TP协议利用AVP来构造控制消息,比起PPTP中固化的消息格式来说,L2TP的消息格式更灵活.(对)
27。
L2TP是一种具有完善安全功能的协议。
(错)(不具有完善安全功能)
28。
PPTP协议对隧道上传输的的数据不提供机密性保护,因此公共网络上传输的数据信息或控制信息完全有可能被泄露。
(对)
29。
在PAC与PNS之间PPTP协议为控制连接的建立过程、入站呼叫/出站呼叫的建立过程提供了认证机制。
(错)
(没提供任何认证机制)
四、名词解释
1、安全协议
答:
安全协议是指通过信息的安全交换来实现某种安全目的所共同约定的逻辑操作规则.
2、SYNFlood攻击
答:
就是攻击者伪造TCP对服务器的TP/IP栈大量连接请求,服务器端因为要处理这样大量的请求并且识别,而无暇理睬客户的正常请求,此时从正常的客户的角度看来,服务器失去响应,这种情况称为服务器端受到了SYNFlood攻击
3、控制连接
答:
控制连接(controlconnection):
一个控制连接是PAC和PNS之间的一条TCP连接,用以建立、维护和关闭PPTP会话和控制连接本身,它支配隧道及分配给该隧道的会话的特征.
4、呼叫
答:
呼叫(call):
PSTN或ISDN网络中两个终端用户间的一次连接或连接企图,例如,两个调制解调器之间的电话呼叫。
5、IPsec的含义
答:
IPsec是为了弥补TCP/IP协议簇的安全缺陷,为IP层及其上层协议提供保护而设计的。
它是一组基于密码学的安全的开放网络安全协议,总称IP安全(IPsecurity)体系结构,简称IPsec.
6、安全关联(SA)的含义
答:
所谓SA是指通信对等方之间为了给需要受保护的数据流提供安全服务而对某些要素的一种协定。
7、电子SPD的含义
答:
SPD是安全策略数据库。
SPD指定了应用在到达或者来自某特定主机或者网络的数据流的策略。
8、SAD的含义
答:
SAD是安全关联数据库。
SAD包含每一个SA的参数信息
9、目的IP地址
答:
可以是一个32位的IPv4地址或者128位的IPv6地址。
10、路径最大传输单元
答:
表明IP数据包从源主机到目的主机的过程中,无需分段的IP数据包的最大长度.
11、电子商务
答:
电子商务是指买卖双方利用简单、快捷、成本低的电子通信方式,不谋面进行各种商贸活动。
12、SNMP共同体名
答:
网络设备上的SNMP代理要求SNMP管理站在发送每个消息时都附带一个特殊的口令,这样SNMP代理就可以验证管理站是否有权访问MIB信息,这个口令成为SNMP共同体名。
五、简述题
1、安全协议的缺陷分类及含义
答:
(1)基本协议缺陷,基本协议缺陷是由于在安全协议的设计中没有或很少防范攻击者而引发的协议缺陷。
(2)并行会话缺陷,协议对并行会话攻击缺乏防范,从而导致攻击者通过交换适当的协议消息能够获得所需要的信息。
(3)口令/密钥猜测缺陷,这类缺陷主要是用户选择常用词汇或通过一些随即数生成算法制造密钥,导致攻击者能够轻易恢复密钥。
(4)陈旧消息缺陷,陈旧消息缺陷是指协议设计中对消息的新鲜性没有充分考虑,从而致使攻击者能够消息重放攻击,包括消息愿的攻击、消息目的的攻击等。
(5)内部协议缺陷,协议的可达性存在问题,协议的参与者至少有一方不能完成所需要的动作而导致的缺陷.
(6)密码系统缺陷,协议中使用密码算法和密码协议导致协议不能完全满足所需要的机密性、人证性等需求而产生的缺陷
2、请写出根据安全协议缺陷分类而归纳的10条设计原则。
答:
(1)每条消息都应该是清晰完整的
(2)加密部分从文字形式上是可以区分的
(3)如果一个参与者的标识对于某条消息的内容是重要的,那么最好在消息中明确地包含参与者的名字
(4)如果同一个主体既需要签名又需要加密,就在加密之前进行签名
(5)与消息的执行相关的前提条件应当明确给出,并且其正确性与合理性应能够得到验证
(6)协议必须能够保证“提问”具有方向性,而且可以进行区分
(7)在认证协议中加入两个基本要求:
一个是认证服务器只响应新鲜请求;另一个是认证服务器只响应可验证的真实性
(8)保证临时值和会话密钥等重要消息的新鲜性,尽量采用异步认证方式,避免采用同步时钟(时间戳)的认证方式
(9)使用形式化验证工具对协议进行验证,检测协议各种状态的可达性,是否会出现死锁或者死循环
(10)尽可能使用健全的密码体制,保护协议中敏感数据的机密性、认证性和完整性等安全特性
3、简述TCP/IP协议簇协议存在的安全隐患
答:
传输层的协议的安全隐患、网络层协议的安全隐患、连路层协议的安全隐患、应用层协议的安全隐患。
4、简单论述控制连接的建立过程
答:
(1)在PAC和PNS之间建立控制连接之前,先建立一条TCP连接。
(2)发送者通过SCCRQ告知应答者将建立一条控制连接,SCCRQ中包括了对本地硬件环境的描述。
(3)当收到发起者发来的SCCRQ消息时,应答者将对该消息中给出的版本号、载体能力等字段进行检查,若符合应答者的通讯配置要求,则应答者发回SCCRP作为回答.
5、PPTP协议存在哪些安全风险
答:
(1)在PAC与PNS之间PPTP协议没有为控制连接的建立过程、入站呼叫/出站呼叫的建立过程提供任何认证机制。
因此一个合法用户与总部建立的会话或控制连接都可能受到攻击。
(2)PPTP协议对隧道上传输的的数据不提供机密性保护,因此公共网络上传输的数据信息或控制信息完全有可能被泄露。
(3)PPTP协议对传输于隧道间的数据不提供完整性的保护,因此攻击者可能注入虚假控制信息或数据信息,还可以对传输的数据进行恶意的修改。
6、PPTP相比较,L2TP主要在那些方面做了改进,L2TP自身存在哪些缺陷?
答:
改进:
(1)在协议的适用性方面,L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组,而不是像PPTP协议一样仅适用于IP网络。
(2)在消息的结构方面,L2TP协议利用AVP来构造控制信息,比起PPTP中固化的消息格式来说,L2TP的消息格式更为灵活。
(3)在安全性方面,L2TP协议可以通过AVP的隐藏,使用户可以在隧道中安全地传输一些敏感信息,例如用户ID、口令等。
L2TP协议中还包含了一种简单的类似CHAP的隧道认证机制,可以在控制连接的建立之时选择性地进行身份认证。
缺陷:
L2TP隧道的认证机制只能提供LAC和LNS之间在隧道建立阶段的认证,而不能有效的保护控制连接和数据隧道中的报文。
因此,L2TP的认证不能解决L2TP隧道易受攻击的缺点.为了实现认证,LAC和LNS对之间必须有一个共享密钥,但L2TP不提供密钥协商与共享的功能。
7、简述设计IKE【注:
Internet密钥交换协议】的目的
答:
用IPsec保护一个IP数据流之前,必须先建立一个SA。
SA可以手工或动态创建。
当用户数量不多,而且密钥的更新频率不高时,可以选择使用手工建立的方式.但当用户较多,网络规模较大时,就应该选择自动方式。
IKE就是IPsec规定的一种用于动态管理和维护SA的协议。
它包括两个交换协议,定义了四种交换模式,允许使用四种认证方法。
8、简述IPsec在支持VPN方面的缺陷
答:
不支持基于用户的认证;
不支持动态地址和多种VPN应用模式;
不支持多协议;
关于IKE的问题;
关于服务质量保证问题。
9、简述IPsec的体系结构。
答:
IPsec主要由鉴别头(AH)协议,封装安全载荷(ESP)协议以及负责密钥管理的Internet密钥交换(IKE)协议组成。
各协议之间的关系【见课本P84图】:
IPsec体系。
它包含一般概念,安全需求,定义和定义IPsec的技术机制。
AH协议和ESP协议.它们是IPsec用于保护传输数据安全的两个主要协议。
解释域DOI.通信双方必须保持对消息相同的解释规则,即应持有相同的解释域。
加密算法和认证算法。
ESP涉及这两种算法,AH涉及认证算法。
密钥管理。
IPsec密钥管理主要由IKE协议完成。
策略。
决定两个实体之间能否通信及如何通信.
10、SNMP面临的安全威胁。
答:
伪装威胁、信息更改、信息泄露、消息流更改