软考vpn技术分析

2004年下半年试题五（15分）阅读以下说明，回答问题1至问题2，将解答填入答题纸对应的解答栏内。【说明】二层隧道协议L2TP（Layer2TunnelingProtocol）是一种基于点对点协议PPP的二层隧道协议。某网络结构如图5-1所示，采用L2TP来实现网络安全。【问题1】（6分）在由L2TP构建的VPN中，主要由①和②两种类型的服务器构成。1、将图5-1中①和②处空缺名称填写在答题纸的相应位置。2、简要说明两种服务器的主要作用。答案：1、①LAC（L2TPAccessConcentrator或L2TP访问集中器）（1分）②LNS（L2TPNetworkServer或L2TP网络服务器）（1分）2、LAC是附属在网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务（2分）LNS是PPP端系统上用于处理L2TP协议服务器端部分的软件。（2分）【问题2】（9分）某路由器（在图5-1中没有标出）的部分配置信息如下所示，请解释其中标有下划线部分的含义。…!usernamesp_lacpassword7104D000A0618usernameBobpassword7060506324F41!vpdnenable第（1）处（1分）!vpdn-group1第（2）处（1分）acceptdialinl2tpvirtual-template1remotesp_lac第（3）处（2分）localnameBob第（4）处（1分）!lcprenegotiationalways第（5）处（2分）！nol2tptunnelauthentication第（6）处（2分）…答案：（1）启用VPDN功能（1分）（2）创建VPDN组1，并进入VPDN组1配置模式（1分）（3）接受L2TP通道连接请求，并根据virtual-template1创建virtual-access接口，远端主机为sp_lac。（2分）（4）指定隧道本端名称为Bob（1分）（5）LNS与client之间重新协商（2分）（6）取消L2TP通道验证功能（2分）2005年上半年试题三（15分）阅读以下说明，回答问题1～5，将解答填入答题纸的对应栏内。【说明】SSL（SecureSocketLayer）是目前解决传输层安全问题的一个主要协议，其设计的初衷是基于TCP协议之上提供可靠的端到端安全服务，SSL的实施对于上层的应用程序是透明的。应用SSL协议最广泛的是HTTPS，它为客户浏览器和Web服务器之间交换信息提供安全通信支持，如图C2-3-1所示。图C2-3-2给出了IIS5.0Web服务器软件中启用HTTPS服务之后的默认配置。图C2-3-1图C2-3-2【问题1】（3分）SSL协议使用（1）密钥体制进行密钥协商。在IIS5.0中，Web服务器管理员必须首先安装Web站点数字证书，然后Web服务器才能支持SSL会话，数字证书的格式遵循ITU-T（2）标准。通常情况下，数字证书需要由（3）颁发。答案：（1）“公钥”或“非对称”（2）X.509（3）“第三方证书颁发机构（CA）”或“证书认证机构”【问题2】（3分）如果管理员希望Web服务器既可以接收http请求，也可以接收https请求，并且Web服务器要求客户端提供数字证书，在图C2-3-2中如何进行配置?答案：不选择“要求安全通道（SSL）”复选框，选择“接收客户证书”单选框。【问题3】（3分）如果Web服务器管理员希望Web服务器只接收https请求，并要求在客户IE和Web服务器之间实现128位加密，并且不要求客户端提供数字证书，在图C2-3-2中如何进行配置?答案：选择“要求安全通道（SSL）”复选框，选择“要求128位加密”复选框，选择“忽略客户证书”单选框。【问题4】（3分）如果Web服务器管理员希望Web服务器对客户端证书进行强制认证，在图C2-3-2如何进行配置?答案：选择“要求安全通道（SSL）”复选框，选择“要求客户证书”单选框。【问题5】（3分）如果Web服务器管理员准备预先设置一些受信任的客户端证书，在图C2-3-2中如何进行配置?答案：选择“启用证书信任列表”复选框，添加相应受信任的客户端证书。2005年下半年阅读以下说明，回答问题1到问题5。将答案填入答题纸对应的解答栏内。【说明】某企业采用Windows2000操作系统部署企业虚拟专用网（VPN），将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows2000操作系统当中对IPSec具备完善的支持，下图给出了基于Windows2000系统部署IPSecVPN的网络结构图。图C3-3-1【问题1】（2分）IPSec是IETE以RFC形式公布的一组安全协议集，它包括AH与ESP两个安全机制，其中（1）不支持保密服务。答案：（1）AH【问题2】（4分）IPSec的密钥管理包括密钥的确定和分发。IpSec支持（2）和（3）两种密钥管理方式。试比较这两种方式的优缺点。答案：（2）自动密钥分配（3）手动密钥分配手动密钥分配的优点是简单，缺点是安全性低【问题3】（4分）如果按照图中所示网络结构配置IPSecVPN，安全机制选择的是ESP，那么IPSec工作在隧道模式。一般情况下，在图中所标注的四个网络接口中，将（4）和（5）配置为公网IP，将（6）和（7）配置为内网IP。答案：（4）NIC2或NIC3（5）NIC3或NIC2，但是和（4）不能相同（6）NIC1或NIC4（7）NIC4或NIC1，但是和（6）不能相同【问题4】（3分）在Internet上捕获并分析两个内部网络经由Internet通信的IP包，在下列三个选项中选择正确选项填写到图3-2中相应空缺处。（a）ESP头（b）封装后的IP包头（c）封装前的IP头图C3-3-2答案：（8）b（9）a（10）c【问题5】（2分）IpSecVPN与L2TPVPN分别工作在OSI/RM的哪个协议层？答案：IPSecVPN工作在第三层（IP层），L2TPVPN工作在第二层（数据链路层）。2006年上半年试题四（15分）阅读下列说明，回答问题1至问题6，将解答填入答题纸对应的解答栏内。【说明】某公司的业务员甲与客户乙通过Internet交换商业电子邮件。为保障邮件内容的安全，采用安全电子邮件技术对邮件内容进行加密和数字签名。安全电子邮件技术的实现原理如图C4-4-1所示。图C4-4-1【问题1】（4分）为图C4-4-1中（1）～（4）出选择合适的答案。（1）～（4）的备选答案如下：A．DES算法B．MD5算法C．会话密钥D．数字证书E．甲的共钥F．甲的私钥G．乙的共钥H．乙的私钥试题解析：邮件安全技术通过加密和数字签名保证邮件的安全、保密和真实性。首先发送方甲生成会话密钥K，利用密钥K对邮件明文使用加密算法E1进行加密，得到密文E1K（M），并使用接收方的公钥PB加密会话密钥K得到E2PB（K），同时对明文用MD5算法产生报文摘要R作为数字签名，再使用甲的私钥TA加密报文摘要，得到ETB（R）。接着向接收方传输被加密的会话密钥EPB（K）、密文E1K（M）和被加密的摘要ETB（R）。接收方乙收到传输的文件之后，首先利用自己的私钥解密EPB（K）得到会话密钥K，再用K解密密文，得到邮件明文M，为了验证邮件的发出者的真实性，接收方使用发出者的公钥解密报文摘要，再用同样的算法对邮件明文M产生报文摘要，对比两个摘要，如果相等就可确认邮件发送方的身份。答案：（1）C（2）B（3）F（4）E【问题2】（2分）以下关于报文摘要的说法中正确的有（5）、（6）。（5）和（6）的备选答案如下：A．不同的邮件很可能生成相同的摘要B．由邮件计算出其摘要的时间非常短C．由邮件计算出其摘要的时间非常长D．摘要的长度比输入邮件的长度长E．不同输入邮件计算出的摘要长度相同F．仅根据摘要很容易还原出原邮件试题解析：报文摘要主要使用单向散列函数，要求计算量小，速度快。单向散列函数H(M)作用于一个任意长度的数据M，它返回一个固定长度的散列h，其中h的长度为m，h称为数据M的摘要。单向散列函数有以下特点：给定M，很容易计算h；给定h，无法推算出M；一个最简单的单向散列函数是把数据分成等长的若干段，然后进行异或加法计算，取最后的计算结果。散列函数对发送和接收数据的双方都是公开的。除了单向性的特点外，消息摘要还要求散列函数具有“防碰撞性”的特点：给定M，很难找到另一个数据N，满足H(M)=H(N)。答案：（5）、（6）回答B、E或E、B均可【问题3】（2分）甲使用OutlookExpress撰写发送给乙的邮件，他应该使用（7）的数字证书来添加数字签名，而使用（8）的数字证书来对邮件加密。（7）和（8）的备选答案如下：A．甲B．乙C．第三方D．CA认证中心试题解析：OutlookExpress中，需要使用发送方的数字证书添加数字签名，而使用接收方的数字证书来加密邮件。答案：（7）A（8）B【问题4】（2分）为了在OutlookExpress中使用安全电子邮件技术必须安装和配置数字证书。甲在图C4-4-2所示的对话框中如何配置，方能在他发送的所有电子邮件中均添加数字签名？答案：选中对话框下方的“在所有待发邮件中添加数字签名”选项，单击确定按钮。【问题5】（2分）乙收到了地址为甲的含数字签名的邮件，他可以通过验证数字签名来确认的信息有（9）、（10）。（9）和（10）的备选答案如下：A．邮件在传送过程中是否加密B．邮件中是否含病毒C．邮件是否被篡改D．邮件的发送者是否是甲答案：（9）、（10）回答C、D或D、C均可【问题6】（3分）当乙需要将接收到的邮件中附带的数字证书自动保存到本地时，他应该在图C4-4-3所示的对话框中如何配置？答案：选中对话框中的“将发件人的证书添加到我的通讯薄中”选项，单击确定按钮。试题五（15分）阅读下列说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】图C4-5-1是某公司利用Internet建立的VPN。图C4-5-1【问题1】（3分）使用VPN技术，是为了保证内部数据通过Internet安全传输，VPN技术主要采用哪些技术来保证数据安全？答案：隧道技术（Tunneling）、加解密技术（Encrypyion&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）（各1分）。【问题2】（3分）分部1采用DDN通过一台路由器接入Inernet。阅读下面的路由配置信息，将（1）～（3）处标识的语句进行解释？Routeren（进入特权模式）Router#configterminal（进入全局配置模式）Router(config)#enablesecretcisco（设置特权口令）Router(config)#linevty04Router(config-line)#passwordgoodbad（1）Router(config-line)#exitRouter(config)#interfaceeth0/0（进入以太网接口配置模式）Router(config-if)#ipaddress211.117.1.1255.255.255.0（设置IP地址和掩码）Router(config-if)#noshutdown（启动以太网接口）Router(config-if)#exitRouter(config)#interfaceserial0/0（进入串口配置模式）Router(config-if)#ipaddress211.175.132.10255.255.255.252（设置IP地址和掩码）Router(config-if)#bandwidth256（指定带宽为256k）Router(config-if)#encapsulationppp（2）Router(config-if)#nocdpenable（3）Router(config-if)#noshutdown（启用