2011年《网络安全技术》试题及答案

欺骗原理：

（1）信任关系（2）Rlogin(3）TCP 序列号预测（4）序列编号、确认和其它标志信息;    防范措施：（1）抛弃基于地址的信任策略（2）进行包过滤（3）使用加密方法（4）使用随机化的初始序列号

常见的DoS有哪些？如何防范？

DoS具有代表性的攻击手段包括Ping of Death、TearDrop、UDP flood 、SYN flood、Land Attack、IP Spoofing DoS等

1．软件弱点是包含在操作系统或应用程序中与安全相关的系统缺陷，这些缺陷大多是由于错误的程序编制，粗心的源代码审核，无心的副效应或一些不适当的绑定所造成的。由于使用的软件几乎完全依赖于开发商，所以对于由软件引起的漏洞只能依*打补丁，安装hot fixes和Service packs来弥补。当某个应用程序被发现有漏洞存在，开发商会立即发布一个更新的版本来修正这个漏洞。由于开发协议固有的缺陷导致的DoS攻击，可以通过简单的补丁来弥补系统缺陷。 

2．错误配置也会成为系统的安全隐患。这些错误配置通常发生在硬件装置，系统或者应用程序中，大多是由于一些没经验的，无责任员工或者错误的理论所导致的。如果对网络中的路由器，防火墙，交换机以及其他网络连接设备都进行正确的配置会减小这些错误发生的可能性。如果发现了这种漏洞应当请教专业的技术人员来修理这些问题。 

3．重复请求导致过载的拒绝服务攻击。当对资源的重复请求大大超过资源的支付能力时就会造成拒绝服务攻击（例如，对已经满载的Web服务器进行过多的请求使其过载）。 

要避免系统免受DoS攻击，从前两点来看，网络管理员要积极谨慎地维护系统，确保无安全隐患和漏洞；而针对第三点的恶意攻击方式则需要安装防火墙等安全设备过滤DoS攻击，同时强烈建议网络管理员应当定期查看安全设备的日志，及时发现对系统的安全威胁行为。

Kerberos（V4）协议有哪些缺陷？针对这些缺陷，Kerberos（V5）协议是如何改进的？

Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务，即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。

1．不存在拒绝服务(Denial of service)攻击.Kerberos不能解决拒绝服务(Denial of 

service)攻击,在该协议的很多环节中,攻击者都可以阻断正常的认证步骤.这类攻击只能

由管理员和用户来检测和解决. 

(2)主体必须保证他们的私钥的安全.如果一个入侵者通过某种方法窃取了主体的私

钥,他就能冒充身份. 

(3)Kerberos无法应付口令猜测(Password guessing)攻击.如果一个用户选择了弱口令,

那么攻击都就有可能成功地用口令字典破解掉,继而获得那些由源自于用户口令加密(由用

户口令形成的加密链)的所有消息. 

(4)网络上每个主机的时钟必须是松散同步的(loosely synchronized).这种同步可以

减少应用服务器进行重放攻击检测时所记录的数据.松散程度可以以一个服务器为准进行配

置.时钟同步协议必须保证自身的安全,才能保证时钟在网上同步. 

(5)主体的标识不能频繁地循环使用.由于访问控制的典型模式是使用访问控制列表

(ACLs)来对主体进行授权.如果一个旧的ACL还保存着已被删除主体的入口,那么攻击者

可以重新使用这些被删除的用户标识,就会获得旧ACL中所说明的访问权限.

2.提出了利用公开密钥加密进行对称加密密钥分配的方法。该方法是在通信双方通过公开密钥证书得到对方的公开密钥的基础上实现的。

基于ECC＋AES的数据传输加密的Kerberos改进方案

　　在Kerberos认证协议中，全都采用公开密钥密码传送机密信息是不够安全的。在传送机密信息的Client/Server双方，如果使用某个对称密钥密码并同时使用不对称密钥密码传送对称密钥密码的密钥，就可以综合发挥两种密码的优点，即对称密钥密码的高速性、简便性和不对称密钥密码的密钥管理的方便性、安全性。

什么是VPN？如何对VPN进行分类？

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，但是它并不需要真正的去铺设光缆之类的物理线路.

针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。

什么是包过滤防火墙？简述它的工作原理

     包过滤防火墙也称分组过滤路由器，又叫网络层防火墙，因为它是工作在网络层。路由器便是一个网络层防火墙，因为包过滤是路由器的固有属性。它一般是通过检查单个包的地址、协议、端口等信息来决定是否允许此数据包通过，有静态和动态两种过滤方式。   这种防火墙可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则（丢弃该包）。在制定数据包过滤规则时，一定要注意数据包是双向的。

试比较分组密码与序列密码的不同之处？

     序列密码是一种对明文中的单个位（有时对字节）运算的算法。分组密码是把明文信息分割成块结构，逐块予以加密和解密。块的长度由算法设计者预先确定。

公开密钥的主要特点是什么？

     公开密钥密码是使用具有两个密钥的编码解码算法，加密和解密的能力是分开的；这两个密钥一个保密，另一个公开。根据应用的需要，发送方可以使用接收方的公开密钥加密消息，或使用发送方的私有密钥签名消息，或两个都使用，以完成某种类型的密码编码解码功能。

什么叫入侵检测系统？入侵检测系统的工作原理是什么？入侵检测系统可以分为哪几类？

      入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备. IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类。根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和滥用入侵检测。　根据检测对象的不同，入侵检测系统可分为主机型和网络型

具有N个节点的网络如果使用公开密钥密码算法，每个节点的密钥有多少？网络中的密钥共有多少？

     每个节点的密钥是2个，网络中的密钥共有2N个 

数字签名有什么作用？

     当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端：否认，发送方不承认自己发送过某一报文。 伪造，接收方自己伪造一份报文，并声称它来自发送方。 冒充，网络上的某个用户冒充另一个用户接收或发送报文。 篡改，接收方对收到的信息进行篡改。

请说明数字签名的主要流程？   

(1) 采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要(Message Digest)，不同的报文所得到的报文摘要各异，但对相同的报文它的报文摘要却是惟一的。在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性。(2) 发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3) 这个数字签名将作为报文的附件和报文一起发送给接收方。(4) 接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要，再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。

什么是数字证书？现有的数字证书由谁颁发，遵循什么标准，有什么特点？

数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循X.509 V3标准。X.509标准在编排公共密钥密码格式方面已被广为接受。X.509证书已应用于许多网络安全，其中包括IPSec(IP安全)、SSL、SET、S/MIME。

CA有哪些具体的职责？

     验证并标识证书申请者的身份。 确保CA用于签名证书的非对称密钥的质量。 确保整个签证过程的安全性，确保签名私钥的安全性。证书材料信息(包括公钥证书序列号、CA标识等)的管理。确定并检查证书的有效期限。 确保证书主体标识的惟一性，防止重名。 发布并维护作废证书表（CRL）。对整个证书签发过程做日志记录。 向申请人发通知。 其中最为重要的是CA自己的一对密钥的管理，它必须确保高度的机密性，防止他方伪造证书。

IPSec包含了哪2个最重要的协议？简述这2个协议的主要功能？

包含Esp和ah协议； AH协议为IP通信提供数据源认证、数据完整性和反重播保证，它能保护通信免受篡改；　ESP为IP数据包提供完整性检查、认证和加密，可以看作是"超级 AH"， 因为它提供机密性并可防止篡改。

简述IPSec的两种运行模式的性质和不同？

     在隧道模式下，整个原数据包被当作有效载荷封装了起来，外面附上新的IP报头。其中"内部"IP报头（原IP报头）指定最终的信源和信宿地址，而"外部"IP报头（新IP报头）中包含的常常是做中间处理的安全网关地址。在隧道模式中，原IP地址被当作有效载荷的一部分受到IPSec的安全保护，另外，通过对数据加密，还可以将数据包目的地址隐藏起来，这样更有助于保护端对端隧道通信中数据的安全性。

ESP隧道模式中签名部分（完整性检查和认证部分）和加密部分分别如图所示。ESP的签名不包括新IP头

　　图5 ESP隧道模式 

　　下图标示出了AH隧道模式中的签名部分。AH隧道模式为整个数据包提供完整性检查和认证，认证功能优于ESP。但在隧道技术中，AH协议很少单独实现，通常与ESP协议组合使用。

　　图6 AH隧道模式 

SA的概念、作用和所包含的内容？

     AH和ESP都使用安全联盟(SA)来保护通信，而IKE的主要功能就是在通信双方协商SA。SA是两个IPSec实体（主机/安全网关）之间经过协商建立起来的一种协定，内容包括采用何种IPSec协议、运行模式、验证算法、加密算法、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定保护什么、如何保护以及谁来保护。SA是构成IPSec的基础。

SA是单向的，每个通信方必须有两种SA（进入/外出SA），这两个SA构成一个SA束(Bundle)。 

防火墙有哪些局限性？

  (1) 网络上有些攻击可以绕过防火墙（如拨号）。(2) 防火墙不能防范来自内部网络的攻击。(3) 防火墙不能对被病毒感染的程序和文件的传输提供保护。(4) 防火墙不能防范全新的网络威胁。(5) 当使用端到端的加密时，防火墙的作用会受到很大的。(6) 防火墙对用户不完全透明，可能带来传输延迟、瓶颈以及单点失效等问题。(7) 防火墙不能防止数据驱动式攻击。有些表面无害的数据通过电子邮件或其他方式发送到主机上，一旦被执行就形成攻击（附件）。

比较一下AH和ESP不同，各有什么优缺点？

   1、AH没有ESP的加密特性

　　 2、AH的authtication是对整个数据包做出的，包括IP头部分，因为IP头部分包含很多变量，比如      type of service（TOS），flags，fragment offset，TTL以及header checksum.所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。相反，ESP是对部分数据包做authentication，不包括IP头部分。 

列举出静态包过滤的过滤的几个判断依据。

  只考虑IP包： 数据包协议类型TCP、UDP、ICMP、IGMP等。 源/目的IP地址。源/目的端口FTP、HTTP、DNS等。 IP选项：源路由、记录路由等。TCP选项SYN、ACK、FIN、RST等。 其他协议选项ICMP ECHO、ICMP REPLY等。 数据包流向in或out。 数据包流经网络接口eth0、ethl。

代理服务器有什么优缺点？

  代理服务技术的优点是：隐蔽内部网络拓扑信息；网关理解应用协议，可以实施更细粒度的访问控制；较强的数据流监控和报告功能。（主机认证和用户认证）缺点是：对每一类应用都需要一个专门的代理，灵活性不够；每一种网络应用服务的安全问题各不相同，分析困难，因此实现困难。速度慢。

什么是堡垒主机，它有什么功能？

    堡垒主机(Bastion Host) 的硬件是一台普通的主机（其操作系统要求可靠性好、可配置性好），它使用软件配置应用网关程序，从而具有强大而完备的功能。它是内部网络和Internet之间的通信桥梁，它中继（不允许转发）所有的网络通信服务，并具有认证、访问控制、日志记录、审计监控等功能。它作为内部网络上外界惟一可以访问的点，在整个防火墙系统中起着重要的作用，是整个系统的关键点。

解释VPN的基本概念。

     VPN（Virtual Private Network）：虚拟专用网络，是一门网络新技术，为我们提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。我们知道一个网络连接通常由三个部分组成：客户机、传输介质和服务器。VPN同样也由这三部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如：Internet或Intranet。

什么是第二层隧道协议和第三层隧道协议，两者有什么不同？

     隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。 第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。 

VPN有哪三种类型？它们的特点和应用场合分别是什么？

VPN 有三种类型：（1）Access VPN (远程访问VPN)。适合用于企业内部人员流动频繁或远程办公的情况；（2）intranet VPN（企业内部VPN），用于进行企业内部异地分支机构的互联；（3）

extranet VPN（企业扩展VPN），用于企业希望将客户、供应商、合作伙伴或兴趣群体连接到内部网。

什么是IDS，它有哪些基本功能？

     IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

　早期的IDS仅仅是一个监听系统，在这里，你可以把监听理解成窃听的意思。基于目前局网的工作方式，IDS可以将用户对位于与IDS同一交换机/HuB的服务器的访问、操作全部记录下来以供分析使用，跟我们常用的widnows操作系统的事件查看器类似。再后来，由于IDS的记录太多了，所以新一代的IDS提供了将记录的数据进行分析，仅仅列出有危险的一部分记录，这一点上跟目前windows所用的策略审核上很象；目前新一代的IDS，更是增加了分析应用层数据的功能，使得其能力大大增加；而更新一代的IDS，配合上防火墙进行联动，将IDS分析出有敌意的地址阻止其访问。

主要有哪些网络安全服务？

    安全评估服务；　安全优化服务；自动入侵监控服务

什么是对称密码算法？什么是非对称密码算法？两者各有什么优缺点？

  对称密码算法是指加密解密用同一组密钥的算法；非对称密码算法指加密解密用不同密钥的算法；概括的来说:对称密码就是加密与解密用同样的密钥,它的速度快；非对称密码,加密用的与解密用的密钥不相同,比如A,B是一对密钥,加密用A那解密就要用B, ,它的速度慢； 对称加密算法：对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据发信方将明文（原始数据）和加密密钥一起经过特殊加密算法处理后，使其变成复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级数增长，密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用的对称加密算法有DES、IDEA和AES。不对称加密算法 不对称加密算法使用两把完全不同但又是完全匹配的一对钥匙—公钥和私钥。在使用不对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥才能完成，而且发信方（加密者）知道收信方的公钥，只有收信方（解密者）才是唯一知道自己私钥的人。不对称加密算法的基本原理是，如果发信方想发送只有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。显然，采用不对称加密算法，收发信双方在通信之前，收信方必须将自己早已随机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因而特别适用于分布式系统中的数据加密。广泛应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA。以不对称加密算法为基础的加密技术应用非常广泛。

简述RSA和DES算法的工作原理

   DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共位,是DES算法的工作密钥;Data也为8个字节位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。

DES算法把位的明文输入块变为位的密文输出块,它所使用的密钥也是位，其算法主要分为两步：

1 初始置换

其功能是把输入的位数据块按位重新组合,并把输出分为L0、R0两部分,每部分各长3 2位,其置换规则为将输入的第58位换到第一位,第50位换到第2位……依此类推,最后一位是原来的第7位。L0、R0则是换位输出后的两部分，L0是输出的左32位,R0是右32位,例:设置换前的输入值为D1D2D3……D,则经过初始置换后的结果为:L0=D58D50……D8;R0=D57D49……D7。

2 逆置换

经过16次迭代运算后,得到L16、R16,将此作为输入,进行逆置换,逆置换正好是初始置换的逆运算，由此即得到密文输出。

这种算法1978年就出现了，它是第一个既能用于数据加密也能用于数字签名的算法。它易于理解和操作，也很流行。算法的名字以发明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。 

RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数（ 大于 100个十进制位）的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。

哈希函数的特点:

  哈希函数有如下特点：输入数字串与输出数字串具有唯一的对应关系；输入数字串中任何变化会导致输出数字串也发生变化；从输出数字串不能够反求出输入数字串。哈希函数算法有多种，它受到广泛的应用，在信息安全领域，它是实现数字签名和认证的重要工具

  HASH函数必须具备两个基本特征：单向性 和 碰撞约束。单向性是指其的操作方向的不可逆性，在HASH函数中是指 只能从输入推导出输出，而不能从输出计算出输入；碰撞约束是指 不能找到一个输入使其输出结果等于一个已知的输出结果 或者 不能同时找到两个不同的输入使其输出结果完全一致。一个函数只用同时严格的具备了这样的特性，我们才能认可这样的一个HASH。

1．密钥管理的主要内容包括密钥的 生成、分配、使用、存储、备份、恢复和销毁。

2. 密钥生成形式有两种：一种是由 中心集中 生成，另一种是由 个人分散 生成。

密钥的分配是指产生并使使用者获得 密钥 的过程。

密钥分配中心的英文缩写是 KDC 。