缺陷:L2TP隧道的认证机制只能提供LAC和LNS之间在隧道建立阶段的认证,而不能有效的保护控制连接和数据隧道中的报文。因此,L2TP的认证不能解决L2TP隧道易受攻击的缺点。为了实现认证,LAC和LNS对之间必须有一个共享密钥,但L2TP不提供密钥协商与共享的功能。
7、简述设计IKE【注:Internet密钥交换协议】的目的 答:
用IPsec保护一个IP数据流之前,必须先建立一个SA。SA可以手工或动态创建。当用户数量不多,而且密钥的更新频率不高时,可以选择使用手工建立的方式。但当用户较多,网络规模较大时,就应该选择自动方式。IKE就是IPsec规定的一种用于动态管理和维护SA的协议。它包括两个交换协议,定义了四种交换模式,允许使用四种认证方法。
8、简述IPsec在支持VPN方面的缺陷 答:
①不支持基于用户的认证;②不支持动态地址和多种VPN应用模式;③不支持多协议;④关于IKE的问题;⑤关于服务质量保证问题。 9、简述IPsec的体系结构。 答:
IPsec主要由鉴别头(AH)协议,封装安全载荷(ESP)协议以及负责密钥管理的Internet密钥交换(IKE)协议组成。各协议之间的关系【见课本P84图】:①IPsec体系。它包含一般概念,安全需求,定
义和定义IPsec的技术机制。②AH协议和ESP协议。它们是IPsec用于保护传输数据安全的两个主要协议。③解释域DOI。通信双方必须保持对消息相同的解释规则,即应持有相同的解释域。④加密算法和认证算法。ESP涉及这两种算法,AH涉及认证算法。⑤密钥管理。IPsec密钥管理主要由IKE协议完成。⑥策略。决定两个实体之间能否通信及如何通信。 10、SNMP面临的安全威胁。
答:伪装威胁、信息更改、信息泄露、消息流更改、拒绝服务、流量分析威胁
11、简述TCP,UDP,IP协议的主要功能及特征
答:TCP协议是一个面向连接的协议,使用TCP建立两台计算机间的通信,必须经过握手过程和信息交互。它提供一种可靠的数据流传输服务。
UDP协议是一个简单的协议,提供给应用程序的服务是一种不可靠的、无连接的分组传输服务。它是一种无状态、不可靠的传输协议。 IP协议详见P17
12、请写出在TCP/IP协议体系结构中,每层包含的协议及其英文全称。 1)链路层
地址解析协议 ARP address resolution protocol 逆地址解析协议 RARP reverse address resolution protocol
2)网络层
因特网控制消息协议 ICMP Internet control message protocol 因特网组管理协议 IGMP Internet group management protocol 3)传输层
传输控制协议 TCP transfer control protocol 用户数据报协议 UDP user datagram protocol 4)应用层协议
文件传输协议 FTP file transfer protocol 超文本传输协议 HTTP hypertext transfer protocol 简单远程终端协议 TELNET telecommunication networks 简单邮件传输协议 SMTP simple mail transfer protocol 简单网络管理协议 SNMP simple network management protocol 域名服务协议 DNS domain name service 13、简述TCP/IP的安全缺陷。
答:由于TCP/IP协议簇早期的设计过程是以面向应用为根本目的,未能全面考虑到安全性以及协议自身的脆弱性,不完备性等,导致网络中存在着许多可能遭受攻击的漏洞。这些潜在的隐患使得恶意者可以利用存在的漏洞来对相关目标进行恶意连接、操作,从而可以达到获取相关重要信息,提升相应控制权限,耗尽资源甚至使主机瘫痪等目的。
14、SSL(TLS)协议提供服务可以归纳为那几个方面。 答:1、用户和服务器的合法性认证
2、加密数据以隐藏被传送的数据 3、维护数据的完整性
15、请论述SSL握手协议的工作过程 答:握手协议分为4个阶段:
1、建立安全能力。 建立安全能力,包括协议版本、会话ID、密码组、压缩方法和初始随机数字。客户机首先发送Client_Hello消息。之后,客户机将等待包含与Client_Hello消息参数一样的Server_Hello消息。
2、服务器身份认证和密钥交换。 服务器发送证书、密钥交换和请求证书。服务器信号以Hello消息结束。
3、客户机认证和密钥交换。 在接到服务器发送来的Server_Hello_Done消息之后,如果需要,客户机必须验证服务器提供了正确的证书,并检查Server_Hello消息参数是否可接受。如果这些都满足,则客户机向服务器发送消息。客户机发送证书,密钥交换,发送证书验证。
4、完成 客户机发送Change_Cipher_Spec消息,客户机立即在新算法\\密钥和密码下发送Finished消息。
16、TSL握手协议使用那三种基本方式提供安全连接。 答:1、对等实体间的认证使用不对称的或公钥密码体制 2、共享密码协商的安全性 3、密码协商时可靠性
17、简述S-HTTP与HTTPS的异同点。 答:
共同点:设计目的都是用来提供Web安全的。
不同点:S-HTTP在应用层对单个文件作私用和签名之分,SSL/TLS应用于Web安全主要是应用在HTTP协议上的HTTPS,HTTPS利用TLS保证HTTP连接的安全;实现S-HTTP要比实现HTTPS困难的多,S-HTTP没有被广泛使用,而HTTPS是Web安全的主导协议。 18、简述PGP的作用以及数字签名和认证过程 答:
PGP Pretty Good Privacy,是一个 基于RSA公匙加密体系的邮件加密软件。
数字签名过程步骤如下: 1)、发送方创建消息。
2)、用SHA-1生成消息的160位散列值。
3)、用发送方的私钥的RSA加密散列值,将结果附在消息上。 验证步骤:
1)、接收方用发送方的公钥的RSA解密消息,恢复散列值。 2)、接收方生成消息的心散列值,并与解密的散列值相比较。如果两个相符合,则消息就是真实的。 注:上诉步骤详见书本159页图6.3 19、简述PGP中先签名后压缩的优点
答:1.有利于存储消息明文版本的签名2.便于第三方进行验证,如果
网络安全协议考试题
