西电21秋《网络安全》模拟试题三答案

奥鹏作业答案

一、名词解释（每题4分）
        1．端口扫描
        2．VPN
        3．身份认证
        4．NAT
        5．SSL
        6．IDS
        7．PKI
        8．DOS与DDOS
        9．对称密码算法与非对称密码算法

二、简答题（每题5分）
        1．简述网络安全的四大安全需求。
        2．简述TCP/IP协议族层次体系结构。
        3．简述包过滤型防火墙的工作原理。
        4．图示并解释IPSEC安全协议框架。
        5．通过图例说明基于RSA公钥密码算法的数字签名与验签过程。

三、综述应用题
        1．简述数字证书在证书认证体制中的作用。X.509证书格式中主要包含那些信息？描述验证X.509证书的过程。(10分)
        2．以ESP隧道模式构建的网络到网络IPSec VPN为例，说明ESP协议处理过程。(10分)
        3．综述入侵检测系统的组成与功能。(10分)
        4．给出SSL协议层次结构，并简述相应功能？列举常见SSL安全应用(9分)

参考答案
一、        名词解释（每题4分）
        1．SYN FLOOD
SYN FLOOD攻击就是向目标主机的特定TCP端口发送许多SYN请求，填满该端口所允许的并发连接请求队列，耗尽服务器资源，构成一阵拒绝服务攻击。
        2．VPN
虚拟专用网(Virtual private network)是指利用公共网络来发送专用信息，形成逻辑上的专用网络。
        3．身份认证
身份认证是指证实客户的真实身份与其所声称的身份是否相符的过程。
        4．NAT
网络地址翻译(Network Address Translation)，是用于将一个地址域（如专用Intranet）映射到另一个地址域（如Internet）的标准方法。
        5．SSL
安全套接层(secure socket layer)，SSL用来在可靠的传输层之上提供端到端的安全服务，为通讯实体提供机密性、完整性和身份验证。
        6．IDS
入侵检测系统(Intrusion Detection)是指对（网络）系统的运行状态进行监控，发现各种攻击企图、攻击行为或攻击结果，保证资源机密性、完整性、可用性的系统。
        7．PKI
公钥基础设施(Public Key Infrastructure)，是指用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施。
        8．DOS
拒绝服务（Denial of Service）指任何导致服务器不能正常提供服务的攻击。
        9．对称密码算法与非对称密码算法
对称密码算法又称传统密码算法，加密密钥和解密密钥相同或实质上等同。
非对称密码算法又称公开密钥算法，加密密钥和解密密钥不同，从一个很难推出另一个。

二、简答题（每题5分）
        1．简述网络安全的四大安全需求。
答：
保密性：使得只有授权的实体才可以看到消息的内容
完整性：确保消息未被篡改
不可否认性：防止实体先前进行的操作或者访问进行抵赖
可用性：保证用户在给定的时间内可以正确的对信息或者服务进行访问

2．简述TCP/IP协议族层次体系结构。
答：
TCP/IP协议族包括四层，从下往上分别为数据链路层（网络接口层）、网络层、传输层和应用层。
1．数据链路层：定义了各种介质的物理连接的特性，以及在不同介质上的信息帧格式；
2．网络层：具有路由能力，可以使数据经过Internet到达目的网络；
3．传输层：将数据流分段，格式化数据流，提供可靠传输可用性；
4．应用层：提供各种Internet的管理和应用服务的功能。

        3．简述包过滤型防火墙的工作原理。
答：
包过滤防火墙的基本思想是对所接收的每个数据包进行检查，根据过滤规则，决定转发或者丢弃该包。过滤规则基于IP包头信息：IP源地址、目的地址、TCP/UDP端口、ICMP类型等。过滤器往往建立一组规则，根据IP包是否匹配规则中指定的条件来决定，如果没有匹配，则按缺省策略。

        4．图示并解释IPSEC安全协议框架。
答：

IPSec结构的第一个主要部分是安全结构，ESP提供加密服务，AH提供数据认证服务，ESP和AH都有一个特定的算法和可选功能的支持集合。因特网安全关联和密钥管理协议ISAKMP支持IPSec的密钥管理需求。

        5．通过图例说明基于RSA公钥密码算法的数字签名与验签过程。
答：

在消息发送方，先将消息M进行Hash运算得到摘要，然后用RSA私钥对摘要进行签名，将签名附加在原始消息之后进行发送。
接收方收到消息后，将消息中的原始消息部分进行Hash运算取得摘要，再将消息中的摘要部分用发送方的公钥解密，将解密结果与上一步获得的摘要进行比较，若相同则说明信息是由真正的发送方发送，且没有被篡改。
       

三、综述应用题
        1．简述数字证书在证书认证体制中的作用。X.509证书格式中主要包含那些信息？描述验证X.509证书的过程。(10分)
答：
数字证书是持有者在网络上证明自己身份的凭证。一方面证书可以用来向系统中的其它实体证明自己的身份；另一方面，由于每份证书都携带着证书持有者的公钥，所以也起着分发密钥的作用。

X.509证书主要包括三部分：证书内容、签名算法和使用签名算法对证书内容所作的签名。其中：
(1)        版本号：目前定义了3个版本，V1,V2,V3。目前最为常用的是版本3。  
(2)        序列号：序列号是一个整数，和证书签发CA的名称一起唯一识别该证书。
(3)        签发算法标识：证书中计算签名时使用的算法，包括算法域以及该算法的可选参数。
(4)        签发者：签发该证书的CA的名称。
(5)        有效期：该域包含两个子域，分别为该证书开始生效的时间和失效的时间。
(6)        主体：证书持有者的名称。
(7)        主题公钥：包括算法名称、主要参数和公钥。
(8)        加密值：可能该域更应当被称为“签名”，这个域包含了以上所有域的数字签名。
(9)        扩展（extension）：这些扩展域只出现在X.509第三版中。
证书验证过程有以下几个步骤：
1.        用CA根证书验证客户证书的签名完整性；
2.        检查客户证书是否有效（当前时间在证书有效期内）；
3.        检查客户证书是否作废（ocsp方式或黑名单方式）；
4.        验证证书用途；
5.        如果以上验证都通过，说明是一个有效、可信的证书。

        2．以隧道模式为例，比较AH与ESP协议。(10分)
答：
（1）AH
原IP头        TCP/UDP头        Data
新IP头        AH头        原IP头        TCP/UDP头        Data






在隧道模式下，在原IP头前添加AH头，然后在其前边再添加新的IP头，AH验证的范围包括新的IP头。
（2）ESP
在隧道模式下，对整个IP 数据进行加密、封装，并附加一个新的IP头。

        3．综述入侵检测系统的组成与功能。(10分)
答：

入侵检测系统的组成如上图所示：
（1）事件产生器
事件产生器是入侵检测系统中负责原始数据采集的部分，它对数据流、日志等进行追踪，然后将搜集的原始数据转换为事件，并向系统的其它部分提供此事件。
（2）事件分析器
事件分析器接收事件信息，对它们进行分析，判断是否为入侵行为或异常现象，最后将判断结果转化为警告信息。
（3）事件数据库
事件数据库是存放各种中间和最终数据信息的地方。它从事件产生器或事件分析器接收数据，将数据进行较长时间的保存。
（4）响应单元
响应单元根据警告信息做出反映，可以为切断连接、改变文件属性等强烈反映，也可以是简单的报警。它是入侵检测系统中的主动武器。

        4．给出SSL协议层次结构，并简述相应功能？(9分)
答：
（1）        SSL协议分为两层，低层是记录协议,高层包括握手协议、警告协议、改变密码规格协议和应用数据协议。
（2）        记录协议是一个简单的封装协议。记录协议得到要发送的内容之后，将数据分成易于处理的数据分片，进行数据压缩（可选），计算数据分组的密码校验值MAC，加密数据，然后发送数据。
（3）        握手协议负责建立当前会话状态的参数，它允许通讯双方协商一个协议版本，选择密码算法，互相认证（不是必需的），并使用公钥加密技术并通过一系列交换的消息在客户端和服务器之间生成共享的秘密。
（4）        警告协议用于在传输发生错误时或两个主机之间的会话即将终止时，相互交换警告信息。
（5）        改变密码规格消息指示未来发送的消息将使用握手协议协商好的算法和密钥进行保护。