安全协议参考答案(附带部分答案和答案出处)

综合作业（友情提示：最好能带上VPN技术）一、单选题（本题满分20分，共含20道小题，每小题1分）1.下面哪个安全机制可以提供不可抵赖性的安全服务？（A）A.数字签名B.路由控制C.访问控制D.流量填充2.下面哪个安全机制可以提供流量机密性的安全服务？（D）A.数字签名B.认证交换C.访问控制D.流量填充3.下面哪种安全服务有可以提供对假冒攻击的防范？（D）A.可用性B.机密性C.数据完整性D.实体认证4.在安全的安全性质中，（B）是最重要的安全性质。所有其它安全性质的实现都依赖于此性质的实现。------------P6（注这里与之前试卷的选项有稍微修改）A.机密性B.认证性C.完整性D.可用性5.网络安全协议中的临时值，主要是为了防范何种攻击？（A）（不确定）A.假冒攻击B.改写攻击C.重放攻击D.拒绝服务攻击6.每个X.509证书都包括(D),并由一个可信任的认证中心用私钥签名。----------P206A.用户的私钥B.CA的公钥C.CA的私钥D.用户的公钥7.PGP实际操作包括五种服务：认证、保密、（A）、电子邮件兼容性和分段。----------P158A.压缩B.可用性C.不可否认性D.传送8.PGP的基数-64转换法是将3个8位字节映射为4个ASCII字符。这种变换将使消息长度扩展（A）。（4-3）/3=33%A.33%B.43%C.23%D.38%9.对于对称密码体制，假设网络中每个用户使用不同的密钥，对N个用户的网络需要（D）个密钥。A.n-1B.n2C.n(n-1)D.n(n-1)/210.在传输层上的安全协议是（A）。----------目录A.SSLB.KerberosC.IPsecD.PGP11.在网络层上的安全协议是（B）。----------目录A.PGPB.IPsecC.SETD.SSL12.AH协议不能提供什么服务？（A）----------VPN技术P24，书本在P276A.有限流量机密性B.反数据包重放C.访问控制D.数据源认证13.AH认证算法和ESP加密算法都需要密钥，一个用于两个应用之间通信的典型安全保密协议需要四（D）个密钥。A.一B.二C.三D.四14.SNMPv3是具有安全功能的网络管理协议，它是处于（D）上的协议。----------目录A.网络层B.链路层C.传输层D.应用层15.SSL记录协议的操作主要包括（D）个过程？----------P124A.二B.三C.四D.五16.针对信息资产特性可将攻击区分为：中断、截取、修改、（C）。----------pptA.被动攻击B.拒绝C.捏造D.主动攻击17.Oakley的目标是继承Diffie-Hellman算法优点，同时克服了其弱点。Oakley具有（C）个重要特征。A.三B.四C.五D.六18.SET没有提供哪种服务？（B）----------P194A.提供安全通信通道B.保证商品的质量C.提供一种信任机制D.保护隐私信息19.在实际中，公开密钥算法不用来加密消息，而用来加密密钥。这是因为：a.公开密钥算法比对称算法(A);b.公开密钥算法对选择明文攻击是脆弱的。A.慢B.快C.难D.易20.SNMP的网络管理模型由（A）部分构成。----------P215A.四B.二C.三D.五二、判断题（本题满分10分，共含10道小题，每小题1分）1.OSI安全模型仅仅关注安全攻击。（X）2.认证性是最重要的安全性质。所有其它安全性质的实现都依赖于此性质的实现。（√）----------P6不确定3.协议是指两个或两个以上参与者为完成某项特定任务而采取的一系列步骤。（√）----------P44.Dolev–Yao模型的重要原则是：永远不要低估攻击者的知识与能力。（√）----------PPT5.安全协议是使用密码学完成某项特定任务并满足安全需要的协议，又称密码协议。（√）----------P56.BAN逻辑只在抽象层次上讨论认证协议的安全性。它假设加密系统不是完善的。（X）----------PPT7.X.509是一个重要，因为X.509中定义的证书结构和认证协议在很多环境下都会使用。（√）8.基-64转换的编码技术把任意二进制输入映射成为可打印字符。PGP和S/MIME都用到了这种技术。（√）----------P1619.在IPSEC中，AH和ESP都支持两种使用模式：传输模式和隧道模式。其中传输模式对整个IP包提供了保护。（X）----------P8610.SNMPv3是一个可以用来取代SNMPv1或SNMPv2的独立协议。（X）----------P223三、填空题（本题满分20分，共含10道小题，每小题2分）1.安全协议（SecurityProtocols）,又称密码学协议（CryptographicProtocols）,是以密码学为基础的消息交换协议，其目的是在网络环境中提供各种（安全服务）。2.Kerbero利用集中的认证服务器来实现用户对服务器的认证和服务器对用户的认证。Kerberos仅依赖于（传统加密方式）体制，而不使用公钥加密体制。----------PPT3.X.509的核心是与每个用户相关联的公钥证书。这些用户证书是由可信任的(证书机构CA)创建的4.PGP提供了将原始8比特二进制流转换为可打印的ASCII码字符的功能。提供这一服务的模式称为（ASCII外衣（ASCIIArmor））----------P1615.在任何IP包中。安全关联由IPv4或IPv6报头的（SPI）唯一标识。----------P886.IPv4的缺乏对通信双方身份真实性的鉴别能力；缺乏对传输数据的（完整性）和机密性保机制。7.SSL使用TCP提供一种可靠的端对端的安全服务。SSL不是单个协议，它由二层协议组成。SSL中定义的较高层协议分别是：（握手协议）、密码变更规格协议和报警协议。----------P1168.SNMPv1的缺陷分为三类：缺少对分布式网络管理的支持；功能不足；（安全缺陷）。----------P2149.USM（用户安全模型）为SNMP提供认证和隐私服务，被专门设计成抵抗多种威胁，但它没有特别考虑以下二种威胁：拒绝服务和（通信）。----------PPT10.AH和ESP都支持使用传输模式和（隧道模式）这两个模式。----------P86四、简答题（本题满分20分，共含5道小题，每小题4分）1.链路层加密和端到端加密的区别是什么？答：链路层加密中每个节点都需要一套加密设备，端到端加密只需要在系统的两个终端执行加密和解密操作。链路加密：加密是在每一条链路上独立发生的；意味着链路之间每次分组交换都必须被解密；要求设备多，且需要成对密钥。端到端加密：加密解密过程在两端系统中进行；在两端需加密装置，源主机和目的主机共享密钥；依然存在两弱点：不能对整个数据包加密，否则不能实现包路由如果只对数据加密，信息头保持明文，则传输过程又不安全了。2.安全协议的性质之一认证性的含义是什么？P63.请列出将密钥分发给通信双方的几种答：①密钥由A选取并通过物理手段发送给B；②密钥由第三方选取并通过物理手段发送给A和B；③如果A，B事先已有一密钥，则其中一方选取新密钥后，用已有的密钥加密新密钥并发送给另一方；④如果A和B与第三方C分别有一保密信道，则C为A，B选取密钥后，分别在两个保密信道上发送给A，B。4.设计Kerberos是为了解决什么问题？解1:VPN技术P58解2:Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-grantingticket)访问多个服务，即SSO(SingleSignOn)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。Kerberos可以解决以下问题：在开放的分布式环境中，用户希望访问网络中的服务器，而服务器则要求能够认证用户的访问请求并仅允许那些通过认证的用户访问服务器，以防未授权用户得到服务和数据。5.什么是重放攻击？解1:PPT解2:重放攻击又称重播攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输，重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证HYPERLINK"http://baike.baidu.com/view/899.htm"\t"_blank"服务器。五、分析题（本题满分30分，共含2道小题，每小题15分）1.X.509包括三个认证过程。这三个认证过程都使用了公钥签名，并假定通信双方都知道对方的公钥。图1表示其中一个认证过程，。请问：（1）三个认证过程的名称分别是什么？（2）请指出三个认证过程有何重要区别？（3）请分析图1中消息1和消息2中各符号的作用，以及它们可能完成的功能有哪些。（4）请指出消息中的时间戳和临时值有何不同图1双向认证答：（1）：单句身份认证，双句身份认证，三句身份认证。(2)此题只打第二张图就可以了,防止老师换其他两种类型,所以都放上面了消息从用户(A)到另一个(B)的单向传送，并确认：A的身份，消息是由A发出的消息传送给B消息的完整性(Integrity)和初始性(originality)。除了前面的列出的三条外，还要确定以下元素：B的身份和由B生成的回应消息要发给A的消息回应消息的完整性和初始性除上述消息外，包括了A到B的rB的签名。此种设计是为避开对时间戳的检查。当不能使用同步时钟时需要用此种方法。(4)木有找到2.考虑下面的Web安全威胁，并说明下面安全威胁能否被SSL相应的特性所防范？请指出相应的特性是什么。（1）穷举密码分析攻击：（2）已知明文字典攻击（3）重放攻击（4）中间人攻击（5）口令窃听（6）IP地址假冒（使用伪造的IP地址欺骗主机接收伪造的数据）（7）IP劫持（攻击者对一个正在进行的被认证过的连接进行攻击，并且取代其中一个主机）（8）SYN泛滥此题没有标准答案,得深入了解各个攻击的内容然后联系SSL的特性后,才能答,下面举出几种书上没有的攻击的含义供大家参考.穷举攻击法　　穷举攻击法又称为强力或蛮力（Bruteforce）攻击。这种攻击方法是对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的可理解的转换；或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止。已知明文攻击　　　　已知明文攻击是指密码分析者除了有截获的密文外，还有一些已知的“明文—密文对”来破译密码。密码分析者的任务目标是推出用来加密的密钥或某种算法，这种算法可以对用该密钥加密的任何新的消息进行解密。中间人攻击中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台HYPERLINK"http://baike.baidu.com/view/3314.htm"\t"_blank"计算机虚拟放置在HYPERLINK"http://baike.baidu.com/view/3487.htm"\t"_blank"网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息，然而两个原始计算机用户却认为他们是在互相通信。通常，这种“HYPERLINK"http://baike.baidu.com/view/278161.htm"\t"_blank"拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”口令窃听这种方法的前提是必须先得到该主机上的某个合法用户的帐号，然后再进行合法用户口令的破译。获得普通用户帐号的方法很多，如：利用目标主机的Finger功能：当用Finger命令查询时，主机系统会将保存的用户资料（如用户名、登录时间等）显示在终端或计算机上；利用目标主机的X.500服务：有些主机没有关闭X.500的目录查询服务，也给攻击者提供了获得信息的一条简易途径；从电子邮件地址中收集：有些用户电子邮件地址常会透露其在目标主机上的帐号；查看主机是否有习惯性的帐号：有经验的用户都知道，很多系统会使用一些习惯性的帐号，造成帐号的泄露。