网络安全协议复习题及答案

PAGE1-复习题及答案判断题：一个不安全的安全协议可以使入侵者不用攻破密码而得到信息或产生假冒。（√）安全协议如果不被正确的配置和使用，仍然可能带来安全隐患。（√）安全协议的安全性不仅依赖于所采用的密码算法的强度，而且与算法的应用环境密切相关。（√）安全协议的安全性不依赖于所采用的的密码算法的强度，与算法的应用环境没有任何关系。（×）密码和安全协议是网络安全的核心。（√）安全协议是面向应用的通信协议，只与通信双方交互消息有关，不涉及密码技术的使用。（×）IP协议不能为数据提供完整性、机密性保护，缺少基于IP地址的身份认证功能，容易遭到IP地址欺骗攻击。（√）TCP/IP协议簇提供了非常完善的安全机制，可抵御各种形式的攻击。（×）完整性的目的是保护协议消息不会泄露给非授权拥有此信息的人。（×）认证性的目的是为了保护信息传输过程中不被监听。（×）加密不能防止重放攻击。（√）序列号和随机数可以防止重放攻击。（√）L2TP有两种实现方式：强制模式和自愿模式。（√）L2TP有两种实现方式：隧道模式和传输模式。（×）设计AH协议的主要目的是用来增加IP数据包完整性的认证机制。（√）设计AH协议的主要目的是用来增加IP数据包机密性的认证机制。（×）IPsec传输模式不会暴露子网内部的拓扑结构。（×）IPsec隧道模式会暴露子网内部的拓扑结构。（×）IPsec在隧道模式下把数据封装到一个IP包传输以隐藏路由信息。（√）IPsec在传输模式下把数据封装到一个IP包传输以隐藏路由信息。（×）IPsec协议可以为用户发放数字证书。（×）IPsec协议没有为用户分发公钥证书和管理用户公钥的功能。（√）IPSec协议中负责对IP数据包加密的部分是封装安全载荷(ESP)协议。（√）IPSec协议中负责对IP数据包加密的部分是认证头(AH)协议。（×）IPsec是为了弥补TCP/IP协议簇的安全缺陷，为IP层及其上层协议提供保护而设计的。（√）IPsec是为了弥补PPP协议簇的安全缺陷，为IP层及其上层协议提供保护而设计的。（×）SSL握手协议是位于SSL记录协议之上的最重要的子协议，也是SSL协议中最复杂的部分。（√）SSL消息记录协议是位于SSL记录协议之上的最重要的子协议，也是SSL协议中最复杂的部分。（×）SSL是位于传输层的安全协议。（√）SSL是位于应用层的安全协议。（×）SSL采用的加密技术既有对称密钥，也有公开密钥。（√）SSL仅使用了公钥密码技术，不涉及到对称密码的使用。（×）PGP是位于传输层的安全协议。（×）PGP是位于应用层的安全协议。（√）PGP协议使用公钥环管理其他用户的公钥。（√）PGP协议使用公钥证书管理其他用户的公钥。（×）PGP是PrettyGoodPrivacy的英文简写。（√）PGP主要提供了数字签名、机密性、压缩、基数64转换等安全服务。（√）PGP最初设计主要用于邮件加密，现在已经发展到可加密整个硬盘、分区、文件、文件夹、集成到邮件软件进行邮件加密等。（√）PGP的公钥管理机制采用与MIME相同的树状结构，公钥保存在数字证书中，并必须由CA签发。（×）简答题：什么是安全协议？安全协议的目标主要包括哪几个方面？答：安全协议：基于密码技术，由两个或者两个以上的参与者为完成某项特定的安全任务而采取的一系列步骤。其目的是在网络环境中提供各种安全服务。安全协议的目标：机密性、完整性、可用性、认证性、不可否认性、访问控制等。计算机网络存在安全方面的脆弱性，请列举至少五类产生网络安全威胁原因。答：微机的安全结构过于简单；网络协议的弱点；网络操作系统的漏洞；应用系统设计的漏洞；恶意攻击；来自合法用户的攻击；人为的原因造成潜在的安全隐患。简述CHAP(challenge-handshakeauthenticationprotocol，呼叫握手认证协议)的工作过程。答：工作过程：S->U:R（随机数）U->S:H(PW||R)（口令PW与R进行Hash）S->U:合法用户|非法用户（计算H(PW||R),比较是否相等）简述CHAP(challenge-handshakeauthenticationprotocol，呼叫握手认证协议)的缺点。答：缺点如下；服务器端口令明文存放单向认证，不能认证服务器假冒重复呼叫周期过长则容易受攻击，过短则增加双方计算量简述L2TP协议的缺陷。答：L2TP隧道的认证机制只能提供LAC和LNS之间在隧道建立阶段的认证，而不能有效的保护控制连接和数据隧道中的报文。因此，L2TP的认证不能解决L2TP隧道易受攻击的缺点。为了实现认证，LAC和LNS对之间必须有一个共享密钥，但L2TP不提供密钥协商与共享的功能。画图说明IPsec的体系结构答：试解释下列协议各消息含义。答：A向S发送A、B的身份以及随机数。S选择A、B通信的会话密钥，使用S、B之间共享的秘密密钥加密会话密钥以及A的身份，该密文连同B的身份和会话密钥使用S、A之间共享的秘密密钥加密发送给A，A解密或获得会话密钥，将其中使用S、B共享密钥加密的部分发送给B，B解密得到会话密钥后使用该密钥加密随机数作为挑战值发送给A，A返回随机数的变化值作为应答，完成双方身份认证。简述SSL（TLS）协议提供了哪些安全服务。答：用户和服务器的合法性认证、加密数据以隐藏被传送的数据、维护数据的完整性。简述SSL记录协议提供的安全服务及其操作过程。答：SSL记录协议提供的安全服务:保密性和消息完整性。SSL记录协议操作过程：对应用层数据进行分段；对每个分段进行压缩；在压缩分段后添加消息认证码MAC；对压缩数据和MAC进行加密；在加密的数据前添加SSL记录头。何谓安全关联（securityassociation，SA）？SA主要包括哪些内容？IKE与SA有何关系？答：securityassociation（SA）是构成IPSec的基础。SA是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定。内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法等。IKE：因特网密钥交换协议，是一个以受保护的方式动态协商和维护SA的协议。请将各安全协议与其所属的协议分层划线连接（连错或者多连不得分）（5分）答：TLS协议应用层IPSEC协议传输层PPTP协议数据链路层PGP协议网络层用图示方法说明IPSEC隧道中的数据包结构；该隧道传输模式有何优缺点？答：优点：保护子网内的所有用户都可透明的享受安全网关提供的安全保护；保护了子网内部的拓扑结构；子网内部的各主机可以使用私有IP地址，而无需公有IP地址。缺点：因为子网内部通信都以明文的方式进行通信，所以无法控制内部发生的安全问题；IPSEC主要集中在安全网关，增加了安全网关的负担，容易造成通信瓶颈。密钥交换协议的主要目的是什么?答：密钥交换协议的目的是使通信双方共同拥有这个秘密密钥,同时实现秘密性、完整性和可用性。以IPv4为代表的TCP/IP协议簇存在哪些安全缺陷?答：IP协议没有数据源认证机制（攻击者通过IP地址伪造就可以进行冒充）。IP协议没有为数据提供强的完整性保护机制（蓄意攻击者可以修改分组和重新计算校验和）。IP协议没有为数据提供任何形式的机密性保护（网络上任何信息都以明文传输）。协议本身的设计存在安全漏洞。IPsec有几种工作模式，分析比较其不同。答：传输模式和隧道模式。传输模式：IPSEC头插在原IP头之后，不改变原有IP头。隧道模式：IPSEC头插在原IP头之前，并建立新的IP头。隧道模式和传输模式的区别有哪些？答：传输模式：IPSEC头插在原IP头之后，不改变原有IP头。隧道模式：IPSEC头插在原IP头之前，并建立新的IP头。AH提供什么安全功能？能对抗什么攻击？如何实现这些功能？答：AH协议为IP通信提供数据源认证、数据完整性和抗重放保证，AH本身其实并不支持任何形式的加密。能保护通信免受篡改(使用消息认证码MAC对IP进行认证)，但不能防窃听，适用于传输非机密数据。工作原理是在每个数据包上添加一个身份验证报头。此报头包含一个带密钥的hash散列（可以将其当作数字签名，只是它不使用证书），此hash散列在整个数据包中计算，因此对数据的任何更改将致使散列无效--这样就提供了完整性保护.安全电子邮件系统应实现哪些安全功能？答：运用各种安全模块来保障邮件在传输过程中的安全性，应实现以下功能：保密性：只有接收方能阅读邮件。完整性：在传输过程中不被修改。认证性：发件人不是冒名顶替的。不可否认性：确使发件人无法否认其发过电子邮件与PPTP协议相比较，L2TP在哪些方面做了改进？在协议的适用性方面，L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组，而不是像PPTP协议一样仅适用于IP网络。在消息的构造方面，L2TP协议利用AVP来构造控制消息，比起PPTP中固化的消息格式来说，L2TP的消息格式更为灵活。在安全性方面，L2TP协议可以通过AVP的隐藏，使用户可以在隧道中安全地传输一些敏感信息。L2TP还包含了一种简单的类似CHAP的隧道认证机制，可以在控制连接的建立之时选择性地进行身份认证。列举至少三种安全目标或安全性质，解释其意义。答：机密性：保护消息不被未授权的访问。认证性：消息来源或身份的认证。完整性：消息发送和接收的一致。不可否认性：不能否认自己的行为。简述SSL提供的四方面的服务。答：（1）用户和服务器的合法性认证（2）加密数据以隐藏被传送的数据（3）保护数据的完整性（4）协商会话密钥简述IPsec传输模式的优缺点。答：优点：即使内网中的其他用户，也不能理解主机A与主机B之间传输的数据的内容；各主机分担了IPsec处理负荷，避免了IPsec处理的瓶颈问题。缺点：内网中的各个主机只能使用公有的IP地址，而不能使用私有IP地址；由于每个需要实验传输模式的主机都必须安装并实现IPsec协议，因此不能实现对端用户的透明服务。用户为了获得IPsec提供的安全服务，必须消耗内存、花费处理时间；暴露了子网内部的拓扑结构。简述IPsec隧道模式的优缺点。答：优点：保护子网内的所有用户都可以透明的享受安全网关提供的安全保护；保护了子网内部的拓扑结构；子网内部的各个主机可以使用私有的IP地址，而无需公有的IP地址。缺点：子网内部通信以明文方式进行，无法控制内部发生的安全问题；IPsec主要集中在安全网关，增加了安全网关的处理负担，容易造成通信瓶颈。简述IKE协议的主要功能答：IKE的主要功能对使用的协议、加密算法和密钥进行协商；交换公共密钥；在交换后对密钥进行管理。论述题：论述SSL握手协议的工作过程。答：握手协议中客户机和服务器之间建立连接的过程分为4个阶段：建立安全能力，服务器身份认证和密钥交换，客户机认证和密钥交换，完成。1、建立安全能力，包括协议版本、会话ID、密码组、压缩方法和初始随机数字。客户机首先发送Client_Hello消息。之后，客户机将等待包含与Client_Hello消息参数一样的Server_Hello消息。

2、服务器身份认证和密钥交换。

服务器发送证书、密钥交换和请求证书。服务器信号以Hello消息结束。3、客户机认证和密钥交换。

在接到服务器发送来的Server_Hello_Done消息之后，如果需要，客户机必须验证服务器提供了正确的证书，并检查Server_Hello消息参数是否可接受。如果这些都满足，则客户机向服务器发送消息。客户机发送证书，密钥交换，发送证书验证。

4、完成。客户机发送Change_Cipher_Spec消息，客户机立即在新算法\密钥和密码下发送Finished消息。简述SSL的协议的体系结构（组成、各组成部分的功能、各组成部分的关系）。答：SSL由多个协议组成，采用两层协议体系结构。底层：SSL记录协议。上层：SSL握手协议、SSL密码变化协议、SSL警告协议。SSL记录协议规定了数据传输格式，SSL握手协议使得服务器和客户能够相互认证对方的身份，协商加密和MAC算法以及用来保护SSL记录中发送的数据的加密密钥。SSL改变密码规范协议：改变密码规范协议用于从一种加密算法转变为另外一种加密算法。SSL警告协议：客户机和服务器发现错误时，向对方发送一个警报消息。根据下图简述PGP中使用密钥环进行安全电子邮件发送的完整过程。答：发送方A根据自己的身份ID在私钥环中选择加密的私钥，用口令字哈希值对该加密的私钥进行获得私钥进行常规解密得到A的私钥。对明文M做Hash得到消息摘要，使用私钥对该