综合作业(友情提示:最好能带上VPN技术)
一、单选题(本题满分20分,共含20道小题,每小题1分) 1. 下面哪个安全机制可以提供不可抵赖性的安全服务?( A )
A. 数字签名 B.路由控制
C. 访问控制 D.流量填充 2. 下面哪个安全机制可以提供流量机密性的安全服务?( D ) A. 数字签名 B.认证交换 C. 访问控制 D.流量填充 3. 下面哪种安全服务有可以提供对假冒攻击的防范?( D ) A. 可用性 B.机密性 C. 数据完整性 D.实体认证
4. 在安全协议的安全性质中,( B )是最重要的安全性质。所有其它安全性质的实现都依赖
于此性质的实现。 ------------P6(注这里与之前试卷的选项有稍微修改) A. 机密性 B. 认证性 C. 完整性 D. 可用性
5. 网络安全协议中的临时值,主要是为了防范何种攻击? (A )(不确定) A. 假冒攻击 B.改写攻击 C. 重放攻击 D.拒绝服务攻击
6. 每个X.509证书都包括( D ), 并由一个可信任的认证中心用私钥签名。----------P206 A. 用户的私钥 B. CA的公钥 C. CA的私钥 D. 用户的公钥
7. PGP 实际操作包括五种服务:认证、保密、( A )、电子邮件兼容性和分段。----------P158 A. 压缩 B.可用性 C.不可否认性 D. 传送
8. PGP 的基数-转换法是将 3个 8位字节映射为 4个 ASCII字符。这种变换将使消息长度扩展( A (4-3)/3=33%
A. 33% B. 43% C. 23% D. 38%
9. 对于对称密码, 假设网络中每个用户使用不同的密钥,对N个用户的网络需要( D )个密钥。 A. n-1 B. n
2
C. n(n-1) D. n(n-1)/2 10.在传输层上的安全协议是( A )。----------目录 A. SSL B. Kerberos C. IPsec D. PGP 11.在网络层上的安全协议是( B )。----------目录 A. PGP B. IPsec C. SET D. SSL
12. AH协议不能提供什么服务?( A )----------VPN技术P24,书本在P276 A. 有限流量机密性 B. 反数据包重放
共7页 第1页
。) C. 访问控制 D. 数据源认证
13. AH 认证算法和 ESP 加密算法都需要密钥,一个用于两个应用之间通信的典型安全保密协议 需要四( D )个密钥。 A. 一
B. 二
C. 三 D. 四
14. SNMPv3是具有安全功能的网络管理协议, 它是处于( D )上的协议。----------目录 A. 网络层 B. 链路层 C. 传输层 D. 应用层 15. SSL记录协议的操作主要包括( D )个过程?----------P124 A. 二 B.三 C. 四 D.五
16.针对信息资产特性可将攻击区分为:中断、截取、修改、( C ) 。----------PPT A. 被动攻击 B. 拒绝 C. 捏造 D. 主动攻击 17.
Oakley的目标是继承 Diffie-Hellman算法优点,同时克服了其弱点。 Oakley具有( C ) 个重要
特征。
A. 三 B. 四 C. 五 D. 六 18. SET没有提供哪种服务?( B )----------P194
A. 提供安全通信通道 B.保证商品的质量 C. 提供一种信任机制 D.保护隐私信息
19.在实际中,公开密钥算法不用来加密消息,而用来加密密钥。这是因为:a.公开密钥算法比对称算法( A );b.公开密钥算法对选择明文攻击是脆弱的。
A. 慢 B. 快
C. 难 D. 易
20. SNMP的网络管理模型由( A )部分构成 。----------P215 A. 四 B.二 C. 三 D.五
二、判断题(本题满分10分,共含10道小题,每小题1分)
1. OSI安全模型仅仅关注安全攻击。( X )
2. 认证性是最重要的安全性质。所有其它安全性质的实现都依赖于此性质的实现。( √ )----------P6 不确定
3. 协议是指两个或两个以上参与者为完成某项特定任务而采取的一系列步骤。( √ )----------P4 4. Dolev – Yao模型的重要原则是:永远不要低估攻击者的知识与能力。( √ )----------PPT 5. 安全协议是使用密码学完成某项特定任务并满足安全需要的协议,又称密码协议。( √ )----------P5 6. BAN逻辑只在抽象层次上讨论认证协议的安全性。它假设加密系统不是完善的。( X )----------PPT 7. X.509是一个重要标准, 因为X.509中定义的证书结构和认证协议在很多环境下都会使用。 (√ )
共7页 第2页
8. 基-转换的编码技术把任意二进制输入映射成为可打印字符。PGP和S/MIME都用到了这种技术。( √ )----------P161
9.在IPSEC中, AH和ESP都支持两种使用模式:传输模式和隧道模式。 其中传输模式对整个IP 包提供了保护。( X )----------P86
10.SNMPv3是一个可以用来取代SNMPv1或SNMPv2的协议。( X)----------P223
三、填空题(本题满分20分,共含10道小题,每小题2分)
1. 安全协议(Security Protocols), 又称密码学协议(Cryptographic Protocols),是以密码 学为基础的消息交换协议,其目的是在网络环境中提供各种( 安全服务 )。
2. Kerbero利用集中的认证服务器来实现用户对服务器的认证和服务器对用户的认证。Kerberos 仅依赖于( 传统加密方式 ),而不使用公钥加密。----------PPT
3. X.509方案的核心是与每个用户相关联的公钥证书。这些用户证书是由可信任的( 证书机构CA )创 建的 4. PGP提供了将原始8比特二进制流转换为可打印的ASCII码字符的功能。提供这一服务的模式 称为( ASCII外衣 (ASCII Armor) )----------P161
5. 在任何IP包中。安全关联由IPv4或IPv6报头的( SPI )唯一标识。----------P88 6. IPv4的缺乏对通信双方身份真实性的鉴别能力;缺乏对传输数据的( 完整性)和机密性保机制。
7. SSL使用TCP提供一种可靠的端对端的安全服务。SSL不是单个协议,它由二层协议组成。SSL中定义的较高层协议分别是:( 握手协议 )、密码变更规格协议和报警协议。----------P116
8. SNMPv1的缺陷分为三类: 缺少对分布式网络管理的支持;功能不足;( 安全缺陷 )。----------P214 9. USM(用户安全模型)为SNMP提供认证和隐私服务, 被专门设计成抵抗多种威胁,但它没有 特别考虑以下二种威胁:拒绝服务和( 通信分析 )。 ----------PPT
10.AH和ESP都支持使用传输模式和( 隧道模式 )这两个模式。----------P86
四、简答题(本题满分20分,共含5道小题,每小题4分)
1. 链路层加密和端到端加密的区别是什么?
答:链路层加密中每个节点都需要一套加密设备,端到端加密只需要在系统的两个终端执行加密和解密操作。 链路加密:加密是在每一条链路上发生的;意味着链路之间每次分组交换都必须被解密;要求设备多,
且需要成对密钥。
端到端加密:加密解密过程在两端系统中进行;
在两端需加密装置,源主机和目的主机共享密钥;
依然存在两弱点:不能对整个数据包加密,否则不能实现包路由 如果只对数据加密,信息头保持明文,则传输过程又不安全了。
2. 安全协议的性质之一认证性的含义是什么?P6
3. 请列出将密钥分发给通信双方的几种方法
共7页 第3页
答:①密钥由A选取并通过物理手段发送给B;
②密钥由第三方选取并通过物理手段发送给A和B;
③如果A,B事先已有一密钥,则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方; ④如果A和B与第三方C分别有一保密信道,则C为A,B选取密钥后,分别在两个保密信道上发送给A,B。
4.设计Kerberos是为了解决什么问题?
解1:VPN技术P58
解2: Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证
信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 Kerberos可以解决以下问题:
在开放的分布式环境中,用户希望访问网络中的服务器,而服务器则要求能够认证用户的访问请求并仅允许那些通过认证的用户访问服务器,以防未授权用户得到服务和数据。
5. 什么是重放攻击?
解1:PPT
解2: 重放攻击又称重播攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程。 这种攻击会不断恶意或欺诈性地重复一个有效的数据传输,重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。
五、分析题(本题满分30分,共含2道小题,每小题15分)
1.X.509包括三个认证过程。这三个认证过程都使用了公钥签名,并假定通信双方都知道对方的公钥。图1表示
其中一个认证过程,。请问:
(1)三个认证过程的名称分别是什么? (2)请指出三个认证过程有何重要区别?
(3)请分析图1中消息1和消息2中各符号的作用,以及它们可能完成的功能有哪些。 (4)请指出消息中的时间戳和临时值有何不同
图1 双向认证
答:(1):单句身份认证,双句身份认证,三句身份认证。
共7页 第4页
(2) 此题只打第二张图就可以了,防止老师换其他两种类型,所以都放上面了
消息从用户(A)到另一个(B)的单向传送,并确认: A的身份,消息是由A发出的 消息传送给B
消息的完整性(Integrity)和初始性(originality)。
共7页 第5页
除了前面的列出的三条外,还要确定以下元素: B的身份和由B生成的回应消息 要发给A的消息
回应消息的完整性和初始性
除上述消息外,包括了A到B的rB的签名。此种设计是为避开对时间戳的检查。当不能使用同步时钟时需要用此种方法。 (4)木有找到
2. 考虑下面的Web安全威胁,并说明下面安全威胁能否被SSL相应的特性所防范?请指出相应的 特性是什么。
(1)穷举密码分析攻击: (2)已知明文字典攻击 (3)重放攻击 (4)中间人攻击 (5)口令窃听
(6)IP地址假冒(使用伪造的IP地址欺骗主机接收伪造的数据)
(7)IP劫持(攻击者对一个正在进行的被认证过的连接进行攻击,并且取代其中一个主机) (8)SYN泛滥
此题没有标准答案,得深入了解各个攻击的内容然后联系SSL的特性后,才能答,下面举出几种书上没有的攻击的含义供大家参考.
共7页 第6页
穷举攻击法
穷举攻击法又称为强力或蛮力(Brute force)攻击。这种攻击方法是对截获到的密文尝试遍历所有可能的密钥,直到获得了一种从密文到明文的可理解的转换;或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止。
已知明文攻击
已知明文攻击是指密码分析者除了有截获的密文外,还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法,这种算法可以对用该密钥加密的任何新的消息进行解密。
中间人攻击
中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持” 口令窃听
这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如:利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。
共7页 第7页
