信息安全考试题库.docx
信息安全考试题库 一、填空题 1、网络安全的定义是_______________________________________ 指网络信息系统的安全,其内涵是网络安全体系结构中的安全服务 2、安全协议的分类________、_________、_______、________ (认证协议、密钥管理协议、不可否认协议、信息安全交换协议) 3、安全协议的安全性质_________、_______、__________、__________ 认证性、机密性、完整性和不可否认性 4、IP协议是网络层使用的最主要的通信协议,以下是IP数据包的格式,请填入表格中缺少的元素 对点协议(ppp)是为______________而设计的链路层协议。 (同等单元之间传输数据包) 7、PPP协议的目的主要是用来通过_____________建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共同的解决方案。拨号或专线方式 8、 连接过程中的主要状态填入下图 1建立 2认证 3网络 4 打开 5终止 6静止 11、IPsec的设计目标是_______________________________________ 为IPv4和IPv6提供可互操作的,高质量的,基于密码学的安全性传输 IPsec协议【注AH和ESP】支持的工作模式有( )模式和( )模式。(传输、隧道) 13、IPsec传输模式的一个缺点是_______________________________(内网中的各个主机只能使用公有IP地址,而不能使用私有IP地址) 14、IPsec隧道模式的一个优点______________________________ 可以保护子网内部的拓扑结构 15、IPsec主要由_______、________以及_________组成。 (AH协议、ESP协议、负责密钥管理的IKE协议) 16、IPsec工作在IP层,提供_______、______、______、_____、_________以及_________等安全服务。 (访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护、抗重放攻击) 17、____可以为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。(AH) 18、ESP提供和AH类似的安全服务,但增加了___________和_________等两个额外的安全服务。(数据机密性保护、 有限的流机密性保护) 19、客户机与服务器交换数据前,先交换初始握手信息,在握手信息中采用了各种加密技术,以保证其_____和______。(机密性、数据完整性) 20、 SSL维护数据完整性采用的两种方法是_________和________ 散列函数、机密共享) 21、 握手协议中客户机服务器之间建立连接的过程分为4个阶段 _________、_____________、_________、________ (建立安全能力、服务器身份认证和密钥交换、客户机认证和密钥交换、完成) 22、 SSL支持三种验证方式__________、________、________ (客户和服务器都验证、只验证服务器、完全匿名) SSL提供的安全措施能够抵御 等攻击方法 (重放攻击/中间人攻击/部分流量分析/syn flooding攻击) 23、 握手协议由一系列客户机与服务器的交换消息组成,每个消息 都有三个字段________、________和__________ (类型、长度、内容) 24、 SSL位于TCP\IP层和应用层之间,为应用层提供安全的服务, 其目标是保证两个应用之间通信的______和_______,可以在服务器和客户机两端同时实现支持。(机密性、可靠性) 25、 SSL协议分为两层,低层是__________高层是___________。 (SSL记录协议层、SSL握手协议层) 26、 SSL协议全称为_____________安全套接字协议 27、 SSL协议中采用的认证算法是通过_____________进行数字签名来实现。(RSA算法) 28、 密钥交换的目的是创造一个通信双方都知道但攻击者不知道的预主秘密,预主秘密用于生成主秘密,主秘密用于产生_______、__________、___________、_____________ (Certificate_Verify消息、Finished消息、加密密钥和MAC消息) 二、选择题 2.S-HTTP是在(D)的HTTP协议 A 传输层 B 链路层 C 网络层 D应用层 5.下列哪一项不是SSL所提供的服务(D ) A 用户和服务器的合法认证 B 加密数据以隐藏被传送的数据 C 维护数据完整性 D 保留通信双方的通信时的基本信息 6.SSL握手协议有(C)种消息类型 A 8 B 9 C 10 D11 7.在密钥管理方面,哪一项不是SSL题(A) A 数据的完整性未得到保护 B 客户机和服务器互相发送自己能够支持的加密算法时,是以明 文传送的存在被攻击修改的可能 C 为了兼容以前的版本,可能会降低安全性 D 所有的会话密钥中都将生成主密钥,握手协议的安全完全依赖于对主密钥的保护 8.下列哪项说法是错误的(B) A SSL的密钥交换包括匿名密钥交换和非匿名密钥交换两种 B SSL3.0使用AH作为消息验证算法,可阻止重放攻击和截断连接攻击 C SSL支持3种验证方式 D 当服务器被验证时,就有减少完全匿名会话遭受中间人攻击的可能 9.在ssl的认证算法中,下列哪对密钥是一个公/私钥对( A ) A 服务器方的写密钥和客户方的读密钥。 B服务器方的写密钥和服务器方的读密钥。 C 服务器方的写密钥和客户方的写密钥。 D服务器方的读密钥和客户方的读密钥。 10.CipherSuite字段中的第一个元素密钥交换模式中,不支持的密钥交换模式是哪个( D ) A 固定的DifferHellman B 短暂的DifferHellman C 匿名的DifferHellman D长期的DifferHellman 11.哪一项不是决定客户机发送ClientKeyExchang消息的密钥交换类型(D) A RSA B 固定的DifferHellman C Fortezza D 长期的DifferHellman 13.下列哪种情况不是服务器需要发送ServerKeyExchange消息的情况(C) A 匿名的DifferHellman B 短暂的DifferHellman C 更改密码组并完成握手协议 D RSA密钥交换 14 .下列哪个不是SSL现有的版本(D) A SSL 1.0 B SSL 2.0 C SSL 3.0 D SSL 4.0 15.设计AH协议的主要目的是用来增加IP数据包( B )的认证机制。 A.安全性 B.完整性 C.可靠性 D.机密性 16. 设计ESP协议的主要目的是提高IP数据包的( A )。 A. 安全性 B.完整性 C.可靠性 D.机密性 17. ESP数据包由()个固定长度的字段和()个变长字段组成。 正确选项是(D) A.4和 2 B.2和3 C.3和4 D.4和3 18.AH头由()个固定长度字段和()个变长字段组成。 正确选项是(C) A.2和5 B. 1和2 C.5 和1 D.2和1 19. IPsec是为了弥补( B )协议簇的安全缺陷,为IP层及其上层协议提护而设计的。 A.HTTP B.TCP/IP C.SNMP D.PPP 20.在ESP数据包中,安全参数索引【SPI】和序列号都是( C )位的整数。 A.8 B.16 C.32 D.64 21. IKE包括( A )个交换阶段,定义了( B )种交换模式。 A.2 B.4 C.6 D.8 22. ISAKMP的全称是( D )。 A.鉴别头协议 B.封装安全载荷协议 C.Internet密钥交换协议 D.Internet安全关联和密钥管理协议 23. AH的外出处理过程包括①检索( ); ②查找对应的( ); ③构造( )载荷; ④为载荷添加IP头; ⑤其他处理。 正确的选项是( A )。 A.SPD,SA,AH B.SA,SPD,AH C.SPD,AH,SA D.SA,AH,SPD 24.IKE的基础是( C )等三个协议。 A.ISAKMP,AH,ESP B.ISAKMP,Oakley,AH C.ISAKMP,Oakley,SKEME D. ISAKMP,Oakley,ESP 25.下列哪种协议是为同等单元之间传输数据包而设计的链路层协议。(D) A TCP/IP协议 B SNMP协议 C PPTP协议 D PPP协议 26. 下列哪个不是PPP在连接过程中的主要状态。( C ) A 静止 B 建立 C 配置 D 终止 27.目前应用最为广泛的第二层隧道协议是(B ) A PPP 协议 B PPTP 协议 C L2TP协议 D SSL协议 28.___协议兼容了 PPTP协议和L2F协议。(B ) A PPP协议 B L2TP协议 C PAP协议 D CHAP协议 三、判断题 11. SSL是位于TCP/IP层和数据链路层的安全通信协议。 (错)(应是位于TCP/IP和应用层) 12. SSL采用的加密技术既有对称密钥,也有公开密钥。(对) 13. MAC算法等同于散列函数,接收任意长度消息,生成一个固定长度输出。 (错)(MAC算法除接收一个消息外,还需要接收一个密钥) 14. SSL记录协议允许服务器和客户机相互验证,协商加密和MAC算法以及保密密钥。 (错)(应是SSL握手协议) 15. SSL的客户端使用散列函数获得服务器的信息摘要,再用自己的私钥加密形成数字签名的目的是对服务器进行认证。(错)(应是被服务器认证) 16. IPsec传输模式具有优点即使是内网中的其他用户,也不能理 解在主机A和主机B之间传输的数据的内容。 (对) 17.IPsec传输模式中,各主机不能分担IPsec处理负荷。 (错) 18.IPsec传输模式不能实现对端用户的透明服务。用户为了获得IPsec提供的安全服务,必须消耗内存,花费处理时间。 (对) 19.IPsec传输模式不会暴露子网内部的拓扑结构。 (错) 20.IPsec隧道模式能够保护子网内部的所有用户透明地享受安全网关提供的安全保护。 (对) 21.IPsec隧道模式中,IPsec主要集中在安全网关,增加了安全网关的处理负担,容易造成通信瓶颈。 (对) 24.L2TP通过隧道技术实现在IP网络上传输的PPP分组。 (错) (L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组) 26.L2TP协议利用AVP来构造控制消息,比起PPTP中固化的消息格式来说,L2TP的消息格式更灵活。(对) 27.L2TP是一种具有完善安全功能的协议。 (错)(不具有完善安全功能) 28.PPTP协议对隧道上传输的的数据不提供机密性保护,因此公共网络上传输的数据信息或控制信息完全有可能被泄露。(对) 四、名词解释 5、IPsec的含义 答IPsec是为了弥补TCP/IP协议簇的安全缺陷,为IP层及其上层协议提供保护而设计的。它是一组基于密码学的安全的开放网络安全协议,总称IP安全(IP security)体系结构,简称IPsec。 6、安全关联(SA)的含义 答所谓SA是指通信对等方之间为了给需要受保护的数据流提供安全服务而对某些要素的一种协定。 7、电子SPD的含义 答SPD是安全策略数据库。SPD指定了应用在到达或者来自某特定主机或者网络的数据流的策略。 8、SAD的含义 答SAD是安全关联数据库。SAD包含每一个SA的参数信息 9、目的IP地址 答可以是一个32位的IPv4地址或者128位的IPv6地址。 10、路径最大传输单元 答表明IP数据包从源主机到目的主机的过程中,无需分段的IP数据包的最大长度。 五、简述题 1 、安全协议的缺陷分类及含义 答 (1)基本协议缺陷,基本协议缺陷是由于在安全协议的设计中没有或很少防范攻击者而引发的协议缺陷。 (2)并行会话缺陷,协议对并行会话攻击缺乏防范,从而导致攻击者通过交换适当的协议消息能够获得所需要的信息。 (3)口令/密钥猜测缺陷,这类缺陷主要是用户选择常用词汇或通过一些随即数生成算法制造密钥,导致攻击者能够轻易恢复密钥。 (4)陈旧消息缺陷,陈旧消息缺陷是指协议设计中对消息的新鲜性没有充分考虑,从而致使攻击者能够消息重放攻击,包括消息愿的攻击、消息目的的攻击等。 (5)内部协议缺陷,协议的可达性存在问题,协议的参与者至少有一方不能完成所需要的动作而导致的缺陷。 (6)密码系统缺陷,协议中使用密码算法和密码协议导致协议不能完全满足所需要的机密性、人证性等需求而产生的缺陷 2、请写出根据安全协议缺陷分类而归纳的10条设计原则。 答 (1) 每条消息都应该是清晰完整的 (2) 加密部分从文字形式上是可以区分的 (3) 如果一个参与者的标识对于某条消息的内容是重要的,那么最 好在消息中明确地包含参与者的名字 (4) 如果同一个主体既需要签名又需要加密,就在加密之前进行签 名 (5) 与消息的执行相关的前提条件应当明确给出,并且其正确性与 合理性应能够得到验证 (6) 协议必须能够保证“提问”具有方向性,而且可以进行区分 7) 在认证协议中加入两个基本要求一个是认证服务器只响应新 鲜请求;另一个是认证服务器只响应可验证的真实性 (8) 保证临时值和会话密钥等重要消息的新鲜性,尽量采用异步认 证方式,避免采用同步时钟(时间戳)的认证方式 (9) 使用形式化验证工具对协议进行验证,检测协议各种状态的可 达性,是否会出现死锁或者死循环 (10) 尽可能使用健全的密码体制,保护协议中敏感数据的机密 性、认证性和完整性等安全特性 3、简述TCP/IP协议簇协议存在的安全隐患 答 传输层的协议的安全隐患、网络层协议的安全隐患、连路层协议的安全隐患、应用层协议的安全隐患。 4、简单论述控制连接的建立过程 答 (1)在PAC和PNS之间建立控制连接之前,先建立一条TCP连接。 (2)发送者通过SCCRQ告知应答者将建立一条控制连接,SCCRQ中包括了对本地硬件环境的描述。 (3)当收到发起者发来的SCCRQ消息时,应答者将对该消息中给出的版本号、载体能力等字段进行检查,若符合应答者的通讯配置要求,则应答者发回SCCRP作为回答。 5、PPTP协议存在哪些安全风险 答 (1)在PAC与PNS之间PPTP协议没有为控制连接的建立过程、入站呼叫/出站呼叫的建立过程提供任何认证机制。因此一个合法用户与总部建立的会话或控制连接都可能受到攻击。 (2)PPTP协议对隧道上传输的的数据不提供机密性保护,因此公共网络上传输的数据信息或控制信息完全有可能被泄露。 (3)PPTP协议对传输于隧道间的数据不提供完整性的保护,因此攻击者可能注入虚假控制信息或数据信息,还可以对传输的数据进行恶意的修改。 6、PPTP相比较,L2TP主要在那些方面做了改进,L2TP自身存在哪些缺陷 答 改进(1)在协议的适用性方面,L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组,而不是像PPTP协议一样仅适用于IP网络。 (2)在消息的结构方面,L2TP协议利用AVP来构造控制信息,比起PPTP中固化的消息格式来说,L2TP的消息格式更为灵活。 (3)在安全性方面,L2TP协议可以通过AVP的隐藏,使用户可以在隧道中安全地传输一些敏感信息,例如用户ID、口令等。L2TP协议中还包含了一种简单的类似CHAP的隧道认证机制,可以在控制连接的建立之时选择性地进行身份认证。 缺陷L2TP隧道的认证机制只能提供LAC和LNS之间在隧道建立阶段的认证,而不能有效的保护控制连接和数据隧道中的报文。因此,L2TP的认 证不能解决L2TP隧道易受攻击的缺点。为了实现认证,LAC和LNS对之间必须有一个共享密钥,但L2TP不提供密钥协商与共享的功能。 7、简述设计IKE【注Internet密钥交换协议】的目的 答 用IPsec保护一个IP数据流之前,必须先建立一个SA。SA可以手工或动态创建。当用户数量不多,而且密钥的更新频率不高时,可以选择使用手工 建立的方式。但当用户较多,网络规模较大时,就应该选择自动方式。IKE就是IPsec规定的一种用于动态管理和维护SA的协议。它包括两个交换协议,定 义了四种交换模式,允许使用四种认证方法。 8、简述IPsec在支持VPN方面的缺陷 答 ①不支持基于用户的认证;②不支持动态地址和多种VPN应用模式;③不支持多协议;④关于IKE的问题;⑤关于服务质量保证问题。 9、简述IPsec的体系结构。 答 IPsec主要由鉴别头(AH)协议,封装安全载荷(ESP)协议以及负责密钥管理的Internet密钥交换(IKE)协议组成。各协议之间的关系【见课本P84图】①IPsec体系。它包含一般概念,安全需求,定义和定义IPsec的技术机制。②AH协议和ESP协议。它们是IPsec用于保护传输数据安全的两个主要协议。③解释域DOI。通信双方必须保持 对消息相同的解释规则,即应持有相同的解释域。④加密算法和认证算法。ESP涉及这两种算法,AH涉及认证算法。⑤密钥管理。IPsec密钥管理主要由 IKE协议完成。⑥策略。决定两个实体之间能否通信及如何通信。 14、SSL(TLS)协议提供服务可以归纳为那几个方面。 答1、用户和服务器的合法性认 、加密数据以隐藏被传送的数据 3、维护数据的完整性 15、请论述SSL握手协议的工作过程 答握手协议分为4个阶段 1、建立安全能力。 建立安全能力,包括协议版本、会话ID、密码组、压缩方法和初始随机数字。客户机首先发送Client_Hello消息。之后,客户机将等待包含与Client_Hello消息参数一样的Server_Hello消息。 2、服务器身份认证和密钥交换。 服务器发送证书、密钥交换和请求证书。服务器信号以Hello消息结束。 3、客户机认证和密钥交换。 在接到服务器发送来的Server_Hello_Done消息之后,如果需要,客户机必须验证服务器提供了正确的证书,并检查Server_Hello消 息参数是否可接受。如果这些都满足,则客户机向服务器发送消息。客户机发送证书,密钥交换,发送证书验证。 4、完成 客户机发送Change_Cipher_Spec消息,客户机立即在新算法\密钥和密码下发送Finished消息。 16、TSL握手协议使用那三种基本方式提供安全连接。 答1、对等实体间的认证使用不对称的或公钥密码体制 2、共享密码协商的安全性 3、密码协商时可靠性 证书的概念是一个经证书授权中心数字签名的、包含公开密钥拥有者信息以及公开密钥的文件。 证书的作用用来向系统中其他实体证明自己的身份;分发公钥。 证书的获取方式 1发送者发送签名信息时附加发送证书; 2单独发送证书信息; 3访问证书发布的目录 服务器; 4 从证书相关实体获得。 证书的验证过程 1将客户端发来的数据解密; 2将解密后的数据分解成原始数据、签名数据、客户证书 3部分; 3 用 CA 根证书验证客户证书的签名完整性; 4 检查客户证书是否有效; 5 检查客户证 书是否作废; 6 验证客户证书结构中的证书用途; 7 客户证书验证原始数据的签名完整性; 8 如以上各项均验证通过,则接收该数据