軟考網路工程師（八）

8.1 網路安全威脅分類和基本加密技術

網路威脅：

基本安全技術：

8.2 資訊加密技術

8.2.1概述

基本分類：

典型演算法：

8.2.2 典型對稱加密演算法（必考）

型別特性

金鑰長度

安全性des(data encryption standard)

速度較快

56會受窮舉法攻擊

3des

在des基礎上，用2個不同的金鑰進行3次加密

112軍事級

aes(advanced encrytion standard)

高階加密標準

128、192、256

安全級別高

idea(international data encrytion algorithm)

國際資料機密演算法

128能抵抗差分密碼分析地攻擊

注：上述四種對稱解密演算法地分組長度都是64

8.2.3 雜湊演算法

型別摘要長度

分組長度

速度md5

128512

快sha-1

162512

慢8.2.4 非對稱加密

rsa演算法：略

8.2.5 金鑰管理體系

kmi（key management infrastructure）：適用於內網

pki （public key infrastructure）：適用於外網

8.3 vpn

vpn(virtual private network)即虛擬專用網，就是建立在公用網上的，由某一組織或某一群使用者專用的通訊網路。

8.3.1 解決方案分類

8.3.2 第二層隧道協議——ppp協議

ppp(point-to-point protocol)即點對點協議，是資料鏈路層協議，包含三個子協議：

ppp通訊過程：

呼叫網路層協議

8.3.3 第二層隧道協議——pptp

pptp (point-to-point tunneling protocol)，包含兩個結構

8.3.4 第二層隧道協議——l2tp

l2tp(layer 2 tunneling protocol, l2tp) ，包含兩個結構

8.3.5 pptp與l2tp的比較

8.4 ipsec

8.4.1 特性

即（ip security），是用於增強ip網路的安全性的一組面向連線的、網路層協議，主要用來構建vpn，可以與pptp搭配使用彌補其不支援隧道驗證的不足，有以下特性：

8.4.2 功能

ipsec的功能可以劃分為以下3類：

8.4.3 模式

ipsec具有兩種模式：

8.5 ssl和tls

8.5.1 特性

ssl(secure socket layer)即安全套接層，tls(transport layer security)即傳輸層安全標準，tls是ssl的改進，通常寫成ssl/tls。

8.5.2 通訊過程（建議參考《自頂向下方法》）

注：下文的mac是message authentication code的縮寫

ssl連線的建立：

建立tcp連線（三次握手建立連線）

客戶端傳送它所支援的對稱加密演算法列表以及乙個隨機數（此步是明文傳輸）

伺服器端從中選擇一種對稱演算法，把選擇的結果連同它的ca證書和乙個隨機數一起返回（此步是明文傳輸）

客戶端驗證ca證書的正確性並提取公玥，然後生成乙個主金鑰，用伺服器的公玥加密這個主金鑰發給伺服器

客戶端和伺服器使用相同的金鑰匯出演算法從主金鑰中提取出四個金鑰（兩對對稱加密金鑰，兩對mac金鑰）

客戶端傳送所有握手報文的乙個mac

伺服器端傳送所有握手報文的乙個mac

注：第6第7步是為了防止前面的明文握手過程被篡改，第二步、第三步中的隨機數是為了防止重放攻擊（如果有重放的話，由於伺服器端返回的隨機數的不同會導致第6、7步中的mac不能通過校驗）

資料的傳輸（以客戶端向伺服器發資料舉例）：

ssl維護乙個序號計數器，從0開始

ssl將資料流分割成一段一段，每段對應乙個序號，這個序號不會出現在ssl，但是生成mac會將序號和資料一起計算。

將資料和mac一起用對稱加密金鑰加密之後附上型別字段、版本字段、長度欄位就形成了一條ssl記錄

將每條ssl記錄依序組合成新的資料流給傳輸層tcp處理

伺服器端對每條記錄先用對稱加密金鑰進行解密，然後將資料和其對應的序號進行mac校驗，校驗通過則同時表明資料的正確性以及順序的正確性

注：之所以要加上序號是因為當網路中存在中間人時，tcp的保序性是不能得到保證的，中間人可以通過修改tcp報文的序號，重新生成乙個校驗碼替換原先的校驗碼從而通過tcp的校驗，這會導致到達的ssl記錄變成亂序

8.6 shttp和https

8.7 pgp

pgp(pretty good privacy)

提供的服務：

使用的加密演算法：

8.8 s/mime

s/mime(secure/multipurpose internet mail extensions) 是rsa公司開發地軟體。

提供的服務：

8.9 set

set(secure electronic transaction)即安全的電子交易協議。

提供的服務：

8.10 kerberos

一項認證服務，提**用伺服器與使用者之間的相互認證服務

8.11 防火牆

8.11.1 定義

防火牆的定義：

8.11.2 功能

防火牆的功能：

附加功能：

8.11.3 侷限性

8.11.4 結構分類

從實現的功能和構成不見來劃分：

8.12 計算機病毒

常見的病毒可根據其行為特徵歸納為以下幾類：

8.13 ids

ids(instrusion decton system)即入侵監測系統，作為防火牆之後的第二道安全屏障，通過從計算機系統或網路中的若干關鍵點手機網路的安全日誌、使用者的行為、網路資料報和審計記錄等資訊對其進行分析，檢查是否有被入侵的跡象。

8.14 ips

ips(instusion prevention system)即如新防禦系統，是在ids的基礎上發展而來的，它不僅具有入侵系統檢測攻擊行為的能力，而且具有防火牆攔截攻擊並且阻斷攻擊的功能。

8.15 ips/ids與防火牆的區別習題

高階加密標準aes支援的三種金鑰長度不包括（a）

a. 56 b. 128 c. 192 d. 256

在報文摘要演算法md5中，首先要進行明文分組與填充，其中分組時明文報文摘要按照（c）位進行分組

a. 128 b. 256 c. 512 d. 1024

按rsa演算法，若選兩奇數p=5，q=3，公玥e=7，則金鑰為（）

a. 6 b. 7 c. 8 d. 9

甲和乙要進行通訊，甲對乙傳送的訊息附加了數字簽名，乙收到該訊息後利用（a）驗證該訊息的真實性。

a. 甲的公鑰 b. 甲的金鑰 c. 乙的公鑰 d. 乙的金鑰

某企業打算採用ipsec協議構建vpn，由於企業申請的全球ip位址不夠，企業內部網決定使用本地ip位址，這時在內外網間的路由器上應該採用（a），ipsec協議應該採用（b）

a. nat技術 b. 加密技術 c. 訊息鑑別技術 d. 數字簽名技術

a. 傳輸模式 b. 隧道模式 c. 傳輸和隧道混合模式 d. 傳輸和隧道巢狀模式

下列網路攻擊行為中，屬於ddos攻擊的是（b）

a. 特洛伊木馬攻擊 b. syn flooding攻擊 c. 埠欺騙攻擊 d. ip欺騙攻擊

https的安全機制工作在（b），而s-http安全機制工作在（c）

a. 網路層 b. 傳輸層 c. 應用層 d. 物理層

包過濾防火牆對通過防火牆的資料報進行檢查，只有滿足條件的資料報才能通過，對資料報的檢查內容一般不包括（d）。

a. 源位址 b. 目的位址 c. 協議 d. 有效荷載

在x.509標準中，不包含在數字證書中的資料域是（d）

a. 序列號 b. 簽名演算法 c. 認證機構的簽名 d. 金鑰

關於入侵檢測系統的描述，錯誤的是（b）

a. 監視分析使用者及系統活動

b. 發現並阻止一些未知的攻擊活動

c. 檢測違反安全策略的行為

d. 識別已知攻擊模式並報警

主動攻擊不包括（d）

a. 假冒 b. 重放 c. 修改資訊 d. 洩露資訊

軟考網路工程師（八）

軟考網路工程師心得

軟考網路工程師（一）

軟考網路工程師（三）

軟考網路工程師（八）

軟考網路工程師心得

軟考網路工程師（一）

軟考網路工程師（三）

相關推薦