1、计算机网络(计算机网络的安全)模拟试卷 2 及答案与解析一、单项选择题1 常用的秘密密钥(对称密钥)加密算法有( ) 。(A)DES(B) SED(C) RSA(D)RAS2 对付网上黑客进入自己计算机的最有效手段是( )。(A)选择上网人少时上网(B)设置防火墙(C)向 ISP 要求提供保护(D)设置安全密码3 经典加密方法所使用的加密技术不包括( )。(A)替换加密(B)换位加密(C)一次性填充(D)DES4 在企业内部网与外部网之间,用来检查网络请求分组是否合法,保护网络资源不被非法使用的技术是( ) 。(A)防病毒技术(B)防火墙技术(C)差错控制技术(D)流量控制技术二、填空题5 在
2、( )攻击中,攻击者只是观察通过某一个协议数据单元 PDU,而不干扰信息流。6 所谓( ) 密码体制,即加密密钥与解密密钥是相同的密码体制。7 所谓( ) 密码体制,就是使用不同的加密密钥与解密密钥,是一种由已知加密密钥推导出解密密钥在计算上是不可行的密码体制。8 网络为用户提供的安全服务应包括( )、( ) 、( )、( )和( )。9 系统安全的策略有( ) 和( )三、简答题10 简述常规密钥密码体制中替代密码和置换密码的原理。11 常用密钥分配方法有哪些?12 简述 Novell NetWarc 对文件服务器的共享硬盘提供的 5 级可靠性措施。13 计算机网络都面临哪几种威胁?主动攻击
3、和被动攻击的区别是什么? 对于计算机网络的安全措施都有哪些?14 为什么说计算机网络的安全不仅仅局限于保密性?试举例说明。仅具有保密性的计算机网络不一定是安全的。15 “无条件安全的密码体制” 和“在计算上是安全的密码体制”有什么区别?16 对称密钥体制与公钥密码体制的特点各如何?各有何优、缺点?17 公钥密码体制下的加密和解密过程是怎么的?为什么公钥可以公开? 如果不公开是否可以提高安全性?18 为什么需要进行报文鉴别?鉴别和保密、授权有什么不同? 报文鉴别和实体鉴别有什么区别?19 什么是重放攻击? 怎样防止重放攻击 ?20 试讨论 Kerberos 协议的优、缺点。21 试简述 SSL
4、和 SET 的工作过程。22 试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙?计算机网络(计算机网络的安全)模拟试卷 2 答案与解析一、单项选择题1 【正确答案】 A【试题解析】 常用的秘密密钥(对称密钥)加密算法有 DES 算法、3DES 算法、TDEA 算法、Blowfish 算法、RC5 算法和 IDEA 算法。【知识模块】 计算机网络的安全2 【正确答案】 C【知识模块】 计算机网络的安全3 【正确答案】 D【试题解析】 经典加密方法所使用的加密技术有替换加密、换位加密和一次性填充。【知识模块】 计算机网络的安全4 【正确答案】 B【试题解析】 防火墙技术,最初
5、是针对 Internet 网络不安全因素所采取的一种保护措施。防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问政策、验证工具、包过滤和应用网关 4 个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少,只有国防部等才用,因为它价格昂【知识模块】 计算机网络的安全二、填空题5 【正确答案】 被动【知识模块】 计算机网络的安全
6、6 【正确答案】 常规密钥【知识模块】 计算机网络的安全7 【正确答案】 公开密钥【知识模块】 计算机网络的安全8 【正确答案】 身份认证,访问控制,数据保密,数据完整,不可否认【知识模块】 计算机网络的安全9 【正确答案】 防火墙,入侵检测【知识模块】 计算机网络的安全三、简答题10 【正确答案】 替代密码的原理可用一个例子来说明。例如,将字母a,b,c,d,w,x,y,z 的自然顺序保持不变,但使之与D,E, F,G,X,A,B,C 分别对应(即相差 3 个字符)。由于英文字母中各字母出现的频度早已有人进行过统计,所以替代密码容易被破译。目前替代密码只是作为复杂编码过程中的一个中间步骤。置
7、换密码是按照某一规则重新排列消息中的比特或字符的顺序。例如,以 CIPHER这个字作为密钥。注意到,在此密钥中的英文字母顺序,C 为第 1,E 为第2,R 为第 6。于是得出密钥的顺序为 145326。这就表示在形成密文时,首先读取第 1 列的字符,然后读取第 5 列、第 4 列、第 2 列、第 3 列和第 6 列。明文也以 6 个字符为一组写在密钥下,密钥为 CIPHER,密钥的顺序为 145326,明文为attack begin at two 这样得到密文为 abacnwaittcttgkm。接收者按密钥中的字母顺序按列写下按行读出,即得到明文。这种密码很容易破译,同样是作为加密过程中的中
8、间步骤。【知识模块】 计算机网络的安全11 【正确答案】 密钥分配是密铜管理中最大的问题。密钥必须通过最安全的通路进行分配,密钥的分配分为两种:(1)网外分配方式:即派非常客可靠的信使携带密钥分配给互相通信的各用户。但随着用户的增多和通信量的增大,密钥更换频繁,派信使的方法将小再适用,这时应采用网内分配方式。(2)网内分配方式:即对密钥自动分配。它又可分为两种:一种是在用户之间直接实现分配。另一种分配方法是设立一个密钥分配中心 KDC,通过 KDC 来分配密钥。【知识模块】 计算机网络的安全12 【正确答案】 第一级:对硬微盘目录和文件分配表(FAT)的保护;第二级:对硬盘表面损坏时的数据保护
9、;第三级:采用磁盘镜像的方法实现对磁盘驱动器损坏的保护;第四级:采用磁盘双工,对磁盘通道或磁盘驱动器损坏起到保护作用。第五级:采用事务跟踪系统 TTS 的附加容错功能。【知识模块】 计算机网络的安全13 【正确答案】 计算机网络面临以下的四种威胁:截获(Intercetion)、中断(Interruption)、篡改(Modification)、伪造(Fabrication)。网络安全的威胁可以分为两大类:即被动攻击和主动攻击。主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。如有选择地更改、删除、延迟这些 PDU,甚至还可将合成的或伪造的 PDU 送入一个连接中去。主动攻击又可进一
10、步划分为三种,即更改报文流、拒绝报文服务、伪造连接初始化。被动攻击是指观察和分析某一个协议数据单元 PDU 而不干扰信息流。即使这些数据对攻击者米说是不易理解的,它也可通过观察 PDU 的协议控制信息部分,了解正在通信的协议实体的地址和身份,研究 PDU 的长度和传输的频度,以便了解所交换的数据的性质。这种被动攻击又称为通信量分析。还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多,对网络安全威胁较大的主要有以下几种:计算机病毒、计算机蠕虫、特洛伊木马及逻辑炸弹。对付被动攻击可采用各种数据加密技术,而对付主动攻击则需加密技术与适当的鉴别技术相结合。【知识模块】 计算机网络的安全14 【
11、正确答案】 计算机网络安全不仅仪局限于保密性,但不能提供保密件的网络肯定是不安仝的。网络的安全性机制除为用户提供保密通信以外,也是许多其他安全机制的基础。例如,存取控制中登录口令的设计。安全通信协议的设计及数字签名的设汁等都离不开密码机制。【知识模块】 计算机网络的安全15 【正确答案】 如果不论截取者获得了多少密文,但在密文中都没有足够的信息来唯一地确定出对应的明文,则这密码体制称为无条件安全的,或称为理论上是不可破的。如果密码体制中的密码不能被可使用的计算资源破译,则这一密码体制称为在计算上是安全的。【知识模块】 计算机网络的安全16 【正确答案】 在对称密钥体制中,它的加密密钥与解密密钥
12、的密码体制是相同的,且收发双方必须共享密钥,对称密码的密钥是保密的,没有密钥,解密就不可行,知道算法和若干密文不足以确定密钥。公钥密码体制中,它使用不同的加密密钥和解密密钥,且加密密钥是向公众公开的,而解密密钥是需要保密的,发送方拥有加密或者解密密钥,而接收方拥有另一个密钥。两个密钥之一也是保密的,无解密密钥,解密不可行,知道算法和其中一个密钥以及若干密文不能确定另一个密钥。优点:对称密码技术的优点在于效率高,算法简单,系统开销小,适合加密大量数据。对称密钥算法具有加密处理简单,加解密速度快,密钥较短,发展历史悠久等优点。缺点:对称密码技术进行安全通信前需要以安全方式进行密钥交换,且它的规模复
13、杂。公钥密钥算法具有加解密速度慢,密钥尺寸大,发展历史较短等特点。【知识模块】 计算机网络的安全17 【正确答案】 加密和解密过程如下:(1)密钥对产生器产生出接收者的一对密钥,即加密密钥和解密密钥。(2)发送者用接收者的公钥加密密钥通过加密运算对明文进行加密,得出密文,发送给接收者;接收者用自己的私钥解密密钥通过解密运算进行解密,恢复出明文。因为无解密密钥,解密是不可行的,所以公钥可以公开,知道算法和其中一个密钥以及若干密文不能确定另一个密钥。【知识模块】 计算机网络的安全18 【正确答案】 (1)使用报义鉴别是为了对付主动攻击中的篡改和伪造。当报义加密的时候就可以达到报文鉴别的目的,但是当
14、传送不需要加密报文时,接收者应该能用简单的方法来鉴别报文的真伪。(2)鉴别和保密并不相同。鉴别是要验证通信对方的确是自己所需通信的对象,而小是其他的冒充者,鉴别分为报文鉴别和实体鉴别。授权涉及的问题是:所进行的过程是否被允许(如是 KAB 对 RA 加密后发回给 A,同时也给出了自己的不重数RB。最后, A 再响应 B 的查问,用共享的密钥 KAB 对 RB 加密后发回给 B。由于不重数不能重复使用,所以 C 在进行重放攻击时无法重复使用截获的不重数。【知识模块】 计算机网络的安全19 【正确答案】 (1)入侵者 C 可以从网络上截获 A 发给 B 的报文。C 并不需要破译这个报文(因为这可能
15、花很多时间)而可以直接把这个由 A 加密的报文发送给 B,使 B 误认为 C 就是 A。然后 B 就向伪装是 A 的 C 发送许多本来应当发送给 A 的报文。这就叫做重放攻击。(2)为了对付重放攻击,可以使用不重数。不重数就是一个不重复使用的大随机数,即“一次一数 ”。【知识模块】 计算机网络的安全20 【正确答案】 Kerberos 协议主要用于计算机网络的身份鉴别 (Anthentication),其特点是朋户只需输入一次身份验证信息就可以凭借此验证获得的票据(Ticket-Granting Ticket)访问多个服务,即 SSO(Single Sign On)。由于在每个客户和服务器之间
16、建立了共享密钥,使得该协议具有相当的安全性。概括起来说,Kerberos 协议主要做了两件事: Ticket。的安全传递;Session Key 的安全发布。再加上时问戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用 Session Key,在通过鉴别之后客户和服务器之间传递的消息也可以获得 Confidentiality(机密性)、 Integrity(完整性)的保证。不过由于没有使用非对称密钥,自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言,它比 X509PKI 的身份鉴别方式文施起来要简单多了。【知识模块】 计算机网络的安全21 【正确答案】 首先举例说明 SSL 的工
17、作过程。假定 A 有一个使用 SSL 的安全网页,B 上网时用鼠标点击到这个安全网页的链接。接着,服务器和浏览器就进行握手。其主要过程如下。(1)浏览器向服务器发送浏览器的 SSL 版本号和密码编码的参数选择。(2)服务器向浏览器发送服务器的 SSL 版本号、密码编码的参数选择及服务器的证书。证书包括服务器的 RSA 分开密钥。此证书用某个认证中心的秘密密钥加密。(3)浏览器有一个可信赖的 CA 表,表中有每一个 CA 的分开密钥。当浏览器收到服务器发来的证书时,就检查此证书是否在自己的可信赖的 CA 表中。如不在,则后来的加密和鉴别连接就不能进行下去;如在,浏览器就使用 CA 的公开密钥对证
18、书解密,这样就得到了代服务器的公开密钥。(4)浏览器随机地产生一个对称会话密钥。并用服务器的分开密钥加密,然后将加密的会话密钥发送给服务器。(5)浏览器向服务器发送一个报文,说明以后浏览器将使用此会话密钥进行加密。然后浏览器再向服务器发送一个单独的加密报文,表明浏览器端的握手过程已经完成。(6)服务器也向浏览器发送一个报文,说明以后服务器将使用此会话密钥进行加密。然后服务器再向浏览器发送一个单独的加密报文,表明服务器端的握手过程已经完成。(7)SSL 的握手过程到此已经完成,下面就可开始 SSL 的会话过程。下面再以顾客 B 到公司 A 用 SET 购买物品为例来说明 SET 的工作过程。这里
19、涉及两个银行,即 A 的银行(公司 A 的支付银行)和 B 的银行(给 B 发出信用卡的银行)。(1)B 告诉 A 他想用信用卡购买公司 A 的物品。(2)A 将物品清单和一个唯一的交易标识符发送给 B。(3)A 将其商家的证书,包括商家的公开密钥发送给 B。A 还向 B 发送其银行的证书,包括银行的公开密钥。这两个证书都用一个认证中心 CA 的秘密密钥进行加密。(4)B 使用认证中心 CA 的公开密钥对这两个证书解密。(5)B 生成两个数据包:给 A 用的定货信息 OI 和给 A 的银行用的购买指令 PI。(6)A 生成对信用卡支付请求的授权请求,它包括交易标识符。(7)A 用银行的公开密钥
20、将一个报文加密发送给银行,此报文包括授权请求、从 B发过来的 PI 数据包及 A 的证书。(8)A 的银行收到此报文,将其解密。A 的银行要检查此报文有无被篡改,以及检查在授权请求中的交易标识符是否与 B 的 PI 数据包给出的一致。(9)A 的银行通过传统的银行信用卡信道向 B 的银行发送请求支付授权的报文。(10)一旦 B 的银行准许支付,A 的银行就向 A 发送响应(加密的)。此响应包括交易标识符。(11)若此次交易被批准, A 就向 B 发送响应报文。【知识模块】 计算机网络的安全22 【正确答案】 防火墙的工作原理:防火墙中的分组过滤路由器检查进出被保护网络的分组数据,按照系统管理员事先设置好的防火墙规则来与分组进行匹配,符合条件的分组就能通过,否则就丢弃。防火墙提供的功能有两个:一个是阻止;另一个是允许。阻止就是阻止某种类型的通信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是阻止。网络级防火墙:主要是用来防止整个网络出现外来非法的入侵,属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合事先制定好的一套准则的数据,而后者则是检查用户的登录是否合法。应用级防火墙:从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分各种应用。【知识模块】 计算机网络的安全
