試題信息安全考試題打印版

1、信息安全考試題庫、填空題1、網(wǎng)絡(luò)安全的定義是（指網(wǎng)絡(luò)信息系統(tǒng)的安全，其內(nèi)涵是網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的安全服務(wù)）2、安全協(xié)議的分類：?、?（認(rèn)證協(xié)議、密鑰管理協(xié)議、不可否認(rèn)協(xié)議、信息安全交換協(xié)議）3、安全協(xié)議的安全性質(zhì)?（認(rèn)證性、機密性、完整性和不可否認(rèn)性）4、IP協(xié)議是網(wǎng)絡(luò)層使用的最主要的通信協(xié)議，以下是IP數(shù)據(jù)包的格式，請?zhí)钊氡砀裰腥鄙俚脑匕姹臼撞块L度服務(wù)類型（TOS總長度標(biāo)識標(biāo)志片轉(zhuǎn)移生存時間TTL協(xié)議首部校驗和源IP地址目的IP地址長度可變的選項字段填充數(shù)據(jù),5、針對TCP/IP協(xié)議簇協(xié)議的主要的典型攻擊是:（SYNFlood攻擊，TCP序列號猜測，IP源地址欺騙，TCP會話劫持）6、對點

2、協(xié)議（ppp）是為而設(shè)計的鏈路層協(xié)議。（同等單元之間傳輸數(shù)據(jù)包）7、PPPB議的目的主要是用來通過建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網(wǎng)橋和路由器之間簡單連接的一種共同的解決方案。（撥號或?qū)＞€方式）8、 連接過程中的主要狀態(tài)填入下圖雙方協(xié)商1 23網(wǎng)絡(luò)4iUt569、 設(shè)計PPTPB議的目白是滿足（日益增多的內(nèi)部職員異地辦公的需求）10、在PA5口PNM間建立控制連接之前，必須建立一條（TCP連接*11、IPsec的設(shè)計目標(biāo)是（為IPv4和IPv6提供可互操作的，高質(zhì)量的，基于密碼學(xué)的安全性保護）12、IPsec協(xié)議【注：AH和ESP支持的工作模式有（）模式和（）模式。（傳輸、隧道）13

3、、IPsec傳輸模式的一個缺點是（內(nèi)網(wǎng)中的各個主機只能使用公有IP地址，而不能使用私有IP地址）14、IPsec隧道模式的一個優(yōu)點（可以保護子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)）15、IPsec主要由、以及組成。（AH協(xié)議、ESPB議、負(fù)責(zé)密鑰管理的IKE協(xié)議）16、IPsec工作在IP層，提供>>>、以及等安全服務(wù)。（訪問控制、無連接的完整性、數(shù)據(jù)源認(rèn)證、機密性保護、有限的數(shù)據(jù)流機密性保護、抗重放攻擊）17、可以為IP數(shù)據(jù)流提供高強度的密碼認(rèn)證，以確保被修改過的數(shù)據(jù)包可以被檢查出來。（AH）18、ESP提供和AH類似的安全服務(wù)，但增加了和等兩個額外的安全服務(wù)。（數(shù)據(jù)機密性保護、有限的流機密性

4、保護）19、客戶機與服務(wù)器交換數(shù)據(jù)前，先交換初始握手信息，在握手信息中采用了各種加密技術(shù)，以保證其和。（機密性、數(shù)據(jù)完整性）20、SSL維護數(shù)據(jù)完整性采用的兩種方法是口（散列函數(shù)、機密共享）21、握手協(xié)議中客戶機服務(wù)器之間建立連接的過程分為4個階段:（建立安全能力、服務(wù)器身份認(rèn)證和密鑰交換、客戶機認(rèn)證和密鑰交換、完成）22、SSL支持三種驗證方式：?（客戶和服務(wù)器都驗證、只驗證服務(wù)器、完全匿名）23、握手協(xié)議由一系列客戶機與服務(wù)器的交換消息組成，每個消息都有三個字段：?口（類型、長度、內(nèi)容）24、 SSL位于TCPIP層和應(yīng)用層之間，為應(yīng)用層提供安全的服務(wù)，其目標(biāo)是保證兩個應(yīng)用之間通信的和，可

5、以在服務(wù)器和客戶機兩端同時實現(xiàn)支持。（機密性、可靠性）25、 SSL協(xié)議分為兩層，低層是高層是（SSL記錄協(xié)議層、SSL握手協(xié)議層）26、 SSL協(xié)議全稱為（安全套接字協(xié)議）27、 SSL協(xié)議中采用的認(rèn)證算法是通過進行數(shù)字簽名來實現(xiàn)。（RSA1法）28、鑰交換的目的是創(chuàng)造一個通信雙方都知道但攻擊者不知道的預(yù)主秘密，預(yù)主秘密用于生成主秘密，主秘密用于產(chǎn)生>（Certificate_Verify消息、Finished消息、加密密鑰和MAC肖息）29、.安全電子郵件應(yīng)實現(xiàn)的功能有：?、?（機密性、完整性、認(rèn)證性、不可否認(rèn)性）30、SMTPJ、議的全稱為：（Simplemailtrasferpr

6、otocal簡單郵件傳輸協(xié)議）31、PGRt要提供的安全服務(wù)：?（數(shù)字簽字、機密性、壓縮、基數(shù)64位轉(zhuǎn)換）32、不僅是目前世界上使用最為廣泛的郵件加密軟件，而且也是在即時通信，文件下載等方面都站有一席之地。（PGP）33、目前，典型的電子商務(wù)安全協(xié)議有：口（安全套接層SSL協(xié)議、安全電子交易SET協(xié)議）34、SET的支付過程主要分為5個階段：?:（持卡人注冊、商家注冊、購買請求、支付授權(quán)平、支付捕獲）35、S-HTTP協(xié)議的全稱：安全超文本傳輸協(xié)議（Secure-HypertextTranferProtocal）36、S-HTTPMHTT的議的擴展,目的（保證商業(yè)貿(mào)易的傳輸安全，促進電子商務(wù)的

7、發(fā)展）37、NMPJ、議全稱是：（Simplenetworkmanagementprotocal簡單網(wǎng)絡(luò)管理協(xié)議）38、NMP的網(wǎng)絡(luò)管理模型包括4個部分，分別是、（管理站、管理代理、管理信息庫及管理協(xié)議）二、選擇題1 .下例哪一項不是電子商務(wù)系統(tǒng)的安全需求：（D）A機密性B完整性C有效性D真實性2 .S-HTT隈在（D）的HTTPB議A傳輸層B鏈路層C網(wǎng)絡(luò)層D應(yīng)用層3 .下例哪一項不是SET系統(tǒng)中的參與方：（B）A持卡人B發(fā)卡機構(gòu)C支付網(wǎng)關(guān)D商家4 .SNM卑期的版本提供的安全機制中沒有（D）A代理服務(wù)B認(rèn)證服務(wù)C訪問控制策略D安全服務(wù)5 .下列哪一項不是SSL所提供的服務(wù)：（D）A用戶和服務(wù)

8、器的合法認(rèn)證B加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)C維護數(shù)據(jù)完整性D保留通信雙方的通信時的基本信息6 .握手協(xié)議有（C）種消息類型：A8B9C10D117 .在密鑰管理方面，哪一項不是SSL題：（A）A數(shù)據(jù)的完整性未得到保護B客戶機和服務(wù)器互相發(fā)送自己能夠支持的加密算法時，是以明文傳送的存在被攻擊修改的可能CL為了兼容以前的版本，可能會降低安全性D所有的會話密鑰中都將生成主密鑰，握手協(xié)議的安全完全依賴于對主密鑰的保護8 .下列哪項說法是錯誤的（B）ASSL的密鑰交換包括匿名密鑰交換和非匿名密鑰交換兩種BSSL3.0使用AH作為消息驗證算法，可阻止重放攻擊和截斷連接攻擊CSSL支持3種驗證方式D當(dāng)服務(wù)器被

9、驗證時，就有減少完全匿名會話遭受中間人攻擊的可能9 .在ssl的認(rèn)證算法中，下列哪對密鑰是一個公/私鑰對（A）A服務(wù)器方的寫密鑰和客戶方的讀密鑰。B服務(wù)器方的寫密鑰和服務(wù)器方的讀密鑰。C服務(wù)器方的寫密鑰和客戶方的寫密鑰。D服務(wù)器方的讀密鑰和客戶方的讀密鑰。10 .CipherSuite字段中的第一個元素密鑰交換模式中，不支持的密鑰交換模式是哪個（D）A固定的Differ-HellmanB短暫的Differ-HellmanC匿名的Differ-HellmanD長期的Differ-Hellman11 .哪一項不是決定客戶機發(fā)送ClientKeyExchang消息的密鑰交換類型：（D）ARSAB固定

10、的Differ-HellmanCFortezzaD長期的Differ-Hellman12 .下列哪一項不是握手協(xié)議過程中服務(wù)器協(xié)議所實現(xiàn)的：（A）ACertificateRequestB客戶機發(fā)送證書C客戶機發(fā)送密鑰交換D客戶機可以發(fā)送證書驗證13 .下列哪種情況不是服務(wù)器需要發(fā)送Server-Key-Exchange消息的情況：（。A匿名的Differ-HellmanB短暫的Differ-HellmanC更改密碼組并完成握手協(xié)議DRSA密鑰交換14 .下列哪個不是SSL現(xiàn)有的版本（D）ASSL1.0BSSL2.0CSSL3.0DSSL4.015 .設(shè)計AH協(xié)議的主要目的是用來增加IP數(shù)據(jù)包（

11、B）的認(rèn)證機制。A.安全性B.完整性C.可靠性D.機密性16 .設(shè)計ESPB議的主要目的是提高IP數(shù)據(jù)包的（A）。A.安全性B.完整性C.可靠性D.機密性17 .ESP數(shù)據(jù)包由（）個固定長度的字段和（）個變長字段組成。正確選項是（D）A.4和2B.2和3C.3和4D.4和318 .AH頭由（）個固定長度字段和（）個變長字段組成。正確選項是（C）A.2和5B,1和2C,5和1D.2和119 .IPsec是為了彌補（B）協(xié)議簇的安全缺陷，為IP層及其上層協(xié)議提護而設(shè)計的。A.HTTPB.TCP/IPC.SNMPD.PPP20 .在ESP據(jù)包中，安全參數(shù)索引【SPU和序列號都是（C）位的整數(shù)。A.8

12、B.16C.32D.6421 .IKE包括（A）個交換階段，定義了（B）種交換模式。A.2B.4C.6D.822 .ISAKMP的全稱是（D）。A.鑒別頭協(xié)議B.封裝安全載荷協(xié)議C.Internet密鑰交換協(xié)議D.Internet安全關(guān)聯(lián)和密鑰管理協(xié)議23 .AH的外出處理過程包括：檢索（）；查找對應(yīng)的（）；構(gòu)造（）載荷；為載荷添加IP頭；其他處理。正確的選項是（A）。A.SPD,SAAHB.SA,SPDAHC.SPD,AH,SAD.SA,AH,SPD1.1 IKE的基礎(chǔ)是（C）等三個協(xié)議。A.ISAKMP,AH,ESPB.ISAKMP,Oakley,AHC.ISAKMP,Oakley,SKE

13、MED.ISAKMP,Oakley,ESP1.0- .下列哪種協(xié)議是為同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議。（D）ATCP/IP協(xié)議BSNMP協(xié)議CPPTP協(xié)議DPPP協(xié)議2.0- .下列哪個不是PP喳連接過程中的主要狀態(tài)。（C）A靜止B建立C配置D終止3.0- .目前應(yīng)用最為廣泛的第二層隧道協(xié)議是（B）APPP協(xié)議BPPTP協(xié)議CL2TP協(xié)議DSSL協(xié)議4.0- .協(xié)議兼容了PPTP協(xié)議和L2F協(xié)議。（B）APPP協(xié)議BL2TP協(xié)議CPAP協(xié)議DCHAP協(xié)議三、判斷題1.SMTF®定了14條命令和21條應(yīng)答信息。（對）.在PG葉，每個常規(guī)的密鑰不只使用一次。（錯）.在SET購物

14、流程中，不只用到了數(shù)字簽名技術(shù)，也用到了雙重簽名技術(shù)。（對）.SET優(yōu)點之一是對支持智能卡做了很多特別規(guī)定，解決了智能卡與電子商務(wù)的結(jié)合，并且在SSL上成功的實現(xiàn)了這樣的設(shè)計。（錯）.實現(xiàn)SET支付，持卡者、商家、支付網(wǎng)關(guān)各CA必須同日t支持SET因而各方建議和協(xié)調(diào)造成其互操作性差。（對）.網(wǎng)絡(luò)管理協(xié)議的一個關(guān)鍵功能Get是通過Get-Request、Get-Response和Get-Next-Request3種消息來實現(xiàn)的。（對）.網(wǎng)絡(luò)管理協(xié)議的關(guān)鍵功能包括：Get、Set和Trap.（對）8.S-HTTP不要求客戶公鑰認(rèn)證，因此它支持對稱密鑰操作模式。（對）9.是一個面向消息的安全通信協(xié)議

15、。（對）-HTTP除了提供機密性以外，還提供了對公鑰密碼及數(shù)字簽名的支持。（對）SSL是位于TCP/IP層和數(shù)據(jù)鏈路層的安全通信協(xié)議。（錯）（應(yīng)是位于TCP/IP和應(yīng)用層）SSL采用的加密技術(shù)既有對稱密鑰，也有公開密鑰。（對）MAC算法等同于散列函數(shù)，接收任意長度消息，生成一個固定長度輸出。（錯）（MACM法除接收一個消息外，還需要接收一個密鑰）SSL記錄協(xié)議允許服務(wù)器和客戶機相互驗證，協(xié)商加密和MACM法以及保密密鑰。（錯）（應(yīng)是SSL握手協(xié)議）SSL的客戶端使用散列函數(shù)獲得服務(wù)器的信息摘要，再用自己的私鑰加密形成數(shù)字簽名的目的是對服務(wù)器進行認(rèn)證。（錯）（應(yīng)是被服務(wù)器認(rèn)證）IPsec傳輸模式

16、具有優(yōu)點：即使是內(nèi)網(wǎng)中的其他用戶，也不能理解在主機A和主機B之間傳輸?shù)臄?shù)據(jù)的內(nèi)容。（對）17.IPsec傳輸模式中，各主機不能分擔(dān)IPsec處理負(fù)荷。（錯）18.IPsec傳輸模式不能實現(xiàn)對端用戶的透明服務(wù)。用戶為了獲得IPsec提供的安全服務(wù)，必須消耗內(nèi)存，花費處理時間。（對）19.IPsec傳輸模式不會暴露子網(wǎng)內(nèi)部的拓?fù)浣Y(jié)構(gòu)。（錯）20.IPsec隧道模式能夠保護子網(wǎng)內(nèi)部的所有用戶透明地享受安全網(wǎng)關(guān)提供的安全保護。（對）IPsec隧道模式中，IPsec主要集中在安全網(wǎng)關(guān)，增加了安全網(wǎng)關(guān)的處理負(fù)擔(dān)，容易造成通信瓶頸。（對）.L2TP有兩種實現(xiàn)方式：強制模式和自愿模式。（對）.消息的建立是1個

17、3次握手的過程。（對）.L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)上傳輸?shù)腜P網(wǎng)組。（錯）（L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PP吩組）.PPTP協(xié)議僅使用于IP網(wǎng)絡(luò)。（對）.L2TP協(xié)議利用AV睞構(gòu)造控制消息，比起PPTP固化的消息格式來說，L2TP的消息格式更靈活。（對）.L2TP是一種具有完善安全功能的協(xié)議。（錯）（不具有完善安全功能）.PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供機密性保護，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。（對）.在PACWPNS間PPTPB議為控制連接的建立過程、入站呼叫/出站呼叫的建立過程提供了認(rèn)證機制。（錯）（沒提供任何認(rèn)證機

18、制）四、名詞解釋1、安全協(xié)議答：安全協(xié)議是指通過信息的安全交換來實現(xiàn)某種安全目的所共同約定的邏輯操作規(guī)則。2、SYNFlood攻擊答：就是攻擊者偽造TCP對服務(wù)器的TP/IP棧大量連接請求，服務(wù)器端因為要處理這樣大量的請求并且識別，而無暇理睬客戶的正常請求，此時從正常的客戶的角度看來，服務(wù)器失去響應(yīng)，這種情況稱為服務(wù)器端受到了SYNFlood攻擊3、控制連接答：控制連接(controlconnection)：一個控制連接是PAC和PNS之間的一條TCP連接，用以建立、維護和關(guān)閉PPTP會話和控制連接本身，它支配隧道及分配給該隧道的會話的特征。4、呼叫答：呼叫(call):PSTN或ISDN網(wǎng)絡(luò)

19、中兩個終端用戶間的一次連接或連接企圖，例如，兩個調(diào)制解調(diào)器之間的電話呼叫。5、IPsec的含義答：IPsec是為了彌補TCP/IP協(xié)議簇的安全缺陷，為IP層及其上層協(xié)議提供保護而設(shè)計的。它是一組基于密碼學(xué)的安全的開放網(wǎng)絡(luò)安全協(xié)議，總稱IP安全(IPsecurity)體系結(jié)構(gòu)，簡稱IPsec。6、安全關(guān)聯(lián)(SA)的含義答：所謂SA是指通信對等方之間為了給需要受保護的數(shù)據(jù)流提供安全服務(wù)而對某些要素的一種協(xié)定。7、電子SPD的含義答：SPDM安全策略數(shù)據(jù)庫。SP可旨定了應(yīng)用在到達或者來自某特定主機或者網(wǎng)絡(luò)的數(shù)據(jù)流的策略。8、SAD勺含義答：SA混安全關(guān)聯(lián)數(shù)據(jù)庫。SADM含每一個SA的參數(shù)信息9、目的

20、IP地址答：可以是一個32位的IPv4地址或者128位的IPv6地址。10、路徑最大傳輸單元答：表明IP數(shù)據(jù)包從源主機到目的主機的過程中，無需分段的IP數(shù)據(jù)包的最大長度。11、電子商務(wù)答：電子商務(wù)是指買賣雙方利用簡單、快捷、成本低的電子通信方式，不謀面進行各種商貿(mào)活動。12、SNM哄同體名答：網(wǎng)絡(luò)設(shè)備上的SNM就理要求SNMPf理站在發(fā)送每個消息時都附帶一個特殊的口令，這樣SNM代理就可以驗證管理站是否有權(quán)訪問MIB信息，這個口令成為SNM哄同體名。五、簡述題1、安全協(xié)議的缺陷分類及含義答：(1)基本協(xié)議缺陷，基本協(xié)議缺陷是由于在安全協(xié)議的設(shè)計中沒有或很少防范攻擊者而引發(fā)的協(xié)議缺陷。(2)并行

21、會話缺陷，協(xié)議對并行會話攻擊缺乏防范，從而導(dǎo)致攻擊者通過交換適當(dāng)?shù)膮f(xié)議消息能夠獲得所需要的信息。(3)口令/密鑰猜測缺陷，這類缺陷主要是用戶選擇常用詞匯或通過一些隨即數(shù)生成算法制造密鑰，導(dǎo)致攻擊者能夠輕易恢復(fù)密鑰。(4)陳舊消息缺陷，陳舊消息缺陷是指協(xié)議設(shè)計中對消息的新鮮性沒有充分考慮，從而致使攻擊者能夠消息重放攻擊，包括消息愿的攻擊、消息目的的攻擊等。(5)內(nèi)部協(xié)議缺陷，協(xié)議的可達性存在問題，協(xié)議的參與者至少有一方不能完成所需要的動作而導(dǎo)致的缺陷。(6)密碼系統(tǒng)缺陷，協(xié)議中使用密碼算法和密碼協(xié)議導(dǎo)致協(xié)議不能完全滿足所需要的機密性、人證性等需求而產(chǎn)生的缺陷2、請寫出根據(jù)安全協(xié)議缺陷分類而歸納的

22、10條設(shè)計原則。答：(1)每條消息都應(yīng)該是清晰完整的(2)加密部分從文字形式上是可以區(qū)分的(3)如果一個參與者的標(biāo)識對于某條消息的內(nèi)容是重要的，那么最好在消息中明確地包含參與者的名字(4)如果同一個主體既需要簽名又需要加密，就在加密之前進行簽名(5)與消息的執(zhí)行相關(guān)的前提條件應(yīng)當(dāng)明確給出，并且其正確性與合理性應(yīng)能夠得到驗證(6)協(xié)議必須能夠保證“提問”具有方向性，而且可以進行區(qū)分(7)在認(rèn)證協(xié)議中加入兩個基本要求：一個是認(rèn)證服務(wù)器只響應(yīng)新鮮請求；另一個是認(rèn)證服務(wù)器只響應(yīng)可驗證的真實性(8)保證臨時值和會話密鑰等重要消息的新鮮性，盡量采用異步認(rèn)證方式，避免采用同步時鐘(時間戳)的認(rèn)證方式(9)使

23、用形式化驗證工具對協(xié)議進行驗證，檢測協(xié)議各種狀態(tài)的可達性，是否會出現(xiàn)死鎖或者死循環(huán)(10)盡可能使用健全的密碼體制，保護協(xié)議中敏感數(shù)據(jù)的機密性、認(rèn)證性和完整性等安全特性3、簡述TCP/IP協(xié)議簇協(xié)議存在的安全隱患答：傳輸層的協(xié)議的安全隱患、網(wǎng)絡(luò)層協(xié)議的安全隱患、連路層協(xié)議的安全隱患、應(yīng)用層協(xié)議的安全隱患。4、簡單論述控制連接的建立過程答：(1)在PAC和PNS之間建立控制連接之前，先建立一條TCP連接。(2)發(fā)送者通過SCCRQ告知應(yīng)答者將建立一條控制連接，SCCRQ中包括了對本地硬件環(huán)境的描述。(3)當(dāng)收到發(fā)起者發(fā)來的SCCRQ消息時，應(yīng)答者將對該消息中給出的版本號、載體能力等字段進行檢查，

24、若符合應(yīng)答者的通訊配置要求，則應(yīng)答者發(fā)回SCCRP作為回答。5、PPTP協(xié)議存在哪些安全風(fēng)險答:(1)在PAC與PNS之間PPTP協(xié)議沒有為控制連接的建立過程、入站呼叫/出站呼叫的建立過程提供任何認(rèn)證機制。因此一個合法用戶與總部建立的會話或控制連接都可能受到攻擊。PPTP協(xié)議對隧道上傳輸?shù)牡臄?shù)據(jù)不提供機密性保護，因此公共網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)信息或控制信息完全有可能被泄露。PPTP協(xié)議對傳輸于隧道間的數(shù)據(jù)不提供完整性的保護，因此攻擊者可能注入虛假控制信息或數(shù)據(jù)信息，還可以對傳輸?shù)臄?shù)據(jù)進行惡意的修改。6、PPTP相比較，L2TP主要在那些方面做了改進，L2TP自身存在哪些缺陷？答：改進：(1)在協(xié)議的

25、適用性方面，L2TP通過隧道技術(shù)實現(xiàn)在IP網(wǎng)絡(luò)或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組，而不是像PPTP協(xié)議一樣僅適用于IP網(wǎng)絡(luò)。(2)在消息的結(jié)構(gòu)方面，L2TP協(xié)議利用AVP來構(gòu)造控制信息，比起PPTP中固化的消息格式來說，L2TP的消息格式更為靈活。(3)在安全性方面，L2TP協(xié)議可以通過AVP的隱藏，使用戶可以在隧道中安全地傳輸一些敏感信息，例如用戶ID、口令等。L2TP協(xié)議中還包含了一種簡單的類似CHAP的隧道認(rèn)證機制，可以在控制連接的建立之時選擇性地進行身份認(rèn)證。缺陷：L2TP隧道的認(rèn)證機制只能提供LAC和LNS之間在隧道建立階段的認(rèn)證，而不能有效的保護控制連接和數(shù)據(jù)隧道中的報文。因此

26、,L2TP的認(rèn)證不能解決L2TP隧道易受攻擊的缺點。為了實現(xiàn)認(rèn)證，LAC和LNS對之間必須有一個共享密鑰，但L2TP不提供密鑰協(xié)商與共享的功能。7、簡述設(shè)計IKE【注：Internet密鑰交換協(xié)議】的目的答：用IPsec保護一個IP數(shù)據(jù)流之前，必須先建立一個SA。SA可以手工或動態(tài)創(chuàng)建。當(dāng)用戶數(shù)量不多，而且密鑰的更新頻率不高時，可以選擇使用手工建立的方式。但當(dāng)用戶較多，網(wǎng)絡(luò)規(guī)模較大時，就應(yīng)該選擇自動方式。IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護SA的協(xié)議。它包括兩個交換協(xié)議，定義了四種交換模式，允許使用四種認(rèn)證方法。8、簡述IPsec在支持VPN方面的缺陷答：不支持基于用戶的認(rèn)證；不支

27、持動態(tài)地址和多種VPN應(yīng)用模式；不支持多協(xié)議；關(guān)于IKE的問題；關(guān)于服務(wù)質(zhì)量保證問題。9、簡述IPsec的體系結(jié)構(gòu)。答：IPsec主要由鑒別頭（AH）協(xié)議，封裝安全載荷（ESP）協(xié)議以及負(fù)責(zé)密鑰管理的Internet密鑰交換（IKE）協(xié)議組成。各協(xié)議之間的關(guān)系【見課本P84圖】：IPsec體系。它包含一般概念，安全需求，定義和定義IPsec的技術(shù)機制。AH協(xié)議和ESP協(xié)議。它們是IPsec用于保護傳輸數(shù)據(jù)安全的兩個主要協(xié)議。解釋域DOI。通信雙方必須保持對消息相同的解釋規(guī)則，即應(yīng)持有相同的解釋域。加密算法和認(rèn)證算法。ESP涉及這兩種算法，AH涉及認(rèn)證算法。密鑰管理。IPsec密鑰管理主要由IK

28、E協(xié)議完成。策略。決定兩個實體之間能否通信及如何通信。10、SNM的臨的安全威脅。答：偽裝威脅、信息更改、信息泄露、消息流更改、拒絕服務(wù)、流量分析威脅11、簡述TCP,UDP,IP協(xié)議的主要功能及特征答：TC的議是一個面向連接的協(xié)議，使用TCPt立兩臺計算機間的通信，必須經(jīng)過握手過程和信息交互。它提供一種可靠的數(shù)據(jù)流傳輸服務(wù)。UDP協(xié)議是一個簡單的協(xié)議，提供給應(yīng)用程序的服務(wù)是一種不可靠的、無連接的分組傳輸服務(wù)。它是一種無狀態(tài)、不可靠的傳輸協(xié)議。IP協(xié)議詳見P1712、請寫出在TCP/IP協(xié)議體系結(jié)構(gòu)中，每層包含的協(xié)議及其英文全稱。1）鏈路層地址解析協(xié)議ARPaddressresolutionp

29、rotocol逆地址解析協(xié)議RARPreverseaddressresolutionprotocol2）網(wǎng)絡(luò)層因特網(wǎng)控制消息協(xié)議ICMPInternetcontrolmessageprotocol因特網(wǎng)組管理協(xié)議IGMPInternetgroupmanagemenprotocol3)傳輸層傳輸控制協(xié)議TCPtransfercontrolprotocol用戶數(shù)據(jù)報協(xié)議UDPuserdatagramprotocol4)應(yīng)用層協(xié)議文件傳輸協(xié)議FTPfiletransferprotocol超文本傳輸協(xié)議HTTPhypertexttransferprotocol簡單遠(yuǎn)程終端協(xié)議TELNETtelecom

30、municationnetworks簡單郵件傳輸協(xié)議SMTPsimplemailtransferprotocol簡單網(wǎng)絡(luò)管理協(xié)議SNMPsimplenetworkmanagementprotocol域名服務(wù)協(xié)議DNSdomainnameservice13、簡述TCP/IP的安全缺陷。答：由于TCP/IP協(xié)議簇早期的設(shè)計過程是以面向應(yīng)用為根本目的，未能全面考慮到安全性以及協(xié)議自身的脆弱性，不完備性等，導(dǎo)致網(wǎng)絡(luò)中存在著許多可能遭受攻擊的漏洞。這些潛在的隱患使得惡意者可以利用存在的漏洞來對相關(guān)目標(biāo)進行惡意連接、操作，從而可以達到獲取相關(guān)重要信息，提升相應(yīng)控制權(quán)限，耗盡資源甚至使主機癱瘓等目的。14、

31、SSL(TLS)協(xié)議提供服務(wù)可以歸納為那幾個方面。答：1、用戶和服務(wù)器的合法性認(rèn)證2、加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)3、維護數(shù)據(jù)的完整性15、請論述SSL握手協(xié)議的工作過程答：握手協(xié)議分為4個階段：1、建立安全能力。建立安全能力，包括協(xié)議版本、會話ID、密碼組、壓縮方法和初始隨機數(shù)字?？蛻魴C首先發(fā)送Client_Hello消息。之后，客戶機將等待包含與Client_Hello消息參數(shù)一樣的Server_Hello消息。2、服務(wù)器身份認(rèn)證和密鑰交換。服務(wù)器發(fā)送證書、密鑰交換和請求證書。服務(wù)器信號以Hello消息結(jié)束。3、客戶機認(rèn)證和密鑰交換。在接到服務(wù)器發(fā)送來的Server_Hello_Done消息

32、之后，如果需要，客戶機必須驗證服務(wù)器提供了正確的證書，并檢查Server_Hello消息參數(shù)是否可接受。如果這些都滿足，則客戶機向服務(wù)器發(fā)送消息?？蛻魴C發(fā)送證書，密鑰交換，發(fā)送證書驗證。4、完成客戶機發(fā)送Change_Cipher_Spec消息，客戶機立即在新算法密鑰和密碼下發(fā)送Finished消息。16、TSL握手協(xié)議使用那三種基本方式提供安全連接。答：1、對等實體間的認(rèn)證使用不對稱的或公鑰密碼體制2、共享密碼協(xié)商的安全性3、密碼協(xié)商時可靠性17、簡述S-HTTP與HTTPS勺異同點。答:共同點：設(shè)計目的都是用來提供Wetg5全的。不同點：S-HTTP應(yīng)用層對單個文件彳私用和簽名之分，SSL/TLS應(yīng)用于Wetge全主要是應(yīng)用在HTTFB議上的HTTPSHTTPSRJ用TLS保證HTTP1接的安全