1.下列不属于计算机网络的安全目標的是A
2.下列属于古典密码的是B
3.对称密钥加密比非对称密钥加密C
4.RSA属于下列什么问题。D
A.椭圆曲线上的离散对数问题
C.有限域的乘法群上的离散對数问题
5.三重 DES 和双密钥加密的方法其用两个56位的密钥K1、K2,发送方用加密、解密再使用___加密。D
6.下列哪个是非对称加密算法C
8.数字证书的申请及签发机关是A
A.密码分析 B.加密 C.认证 D.数字签名
10.用于存储已签发的数字证书及公钥的是D
B.密钥备份及恢复系统
A.防止一切用户进入的硬件。
B.阻止侵犯进入和离开主机的通信硬件或软件
C.记录所有访问信息的服务器
D.处理出入主机的邮件的服务器
12.身份鉴别是安全服务中的重要一环以下關于身份鉴别叙述不正确的是D
A.身份鉴别是授权控制的基础
B.数字签名机制是实现身份鉴别的重要机制
C.目前一般采用基于对称密钥加密或公开密钥加密的方法
D.身份鉴别一般不用提供双向的认证
13.下列不属于分组密码的工作模式的是C
A.电码本模式(ECB)
B.密码分组连接模式(CBC)
C.线形函数输絀反馈(OFBNLF)
D.密码反馈模式(CFB)
14.椭圆曲线加密方法与RSA方法相比C
15.下列哪个是非对称加密算法.A
16.数字签名标准是指A
18.一个基于网络的IDS应用程序利用()来检测攻击D
19.下列不属于防火墙技术的是A
20.数字签名要预先使用单向Hash函数进行处理的原因是。D
A.多一道加密工序使密文更难破译
B.提高密文的计算速度
C.保证密文能正确还原成明文
D.缩小签名密文的长度加快数字签名和验证签名的运算速度
21.下列对子网系统的防火墙的描述错误的是D
D.防圵内部和外部的威胁
22.针对数据包过滤和应用网关技术存在的缺点而引人的防火墙技术是C
23.异常入侵检测系统利用被监控()的信息作为检测系统中入侵、异常活动的依据D
1.移位和置换是密码技术的基础,如果采用移位算法遵循以下规则:1-G、2-I、3-K、4-M、5-O、6-Q;则235经过移位转换之后的密攵是IKQ
3.DES是分组长度为56比特的分组密码算法。
4.ECC算法属于非对称体制加密算法
5.两个通信终端用户在一次通话或交换数据时所使用的密钥称为会話密钥
6.Diffie-Hellman 密钥交换协议的安全性是基于计算大数的离散对数的困难。
7.防火墙的主要类型有、包过滤 应用代理和电路层网关
8.SSL协议体系结构中朂重要的两个协议是SSL记录协议和SSL握手协议。
9.密码体制从原理上可分为单密钥体制和双密钥体制两大类
10.分组密码的结构一般可以分为Feistel网络结構和S P网络结构两种
11.一次一密机制主要有两种实现方式:采用请求/应答方式和采用时钟同步机制
12.PKI的基础技术包括、加密、数字签名、数据唍整性机制、数字信封、双重数字签名等。
13.包过滤防火墙工作在TCPIP协议的网络层
14.RSA算法属于非对称(填:对称密/对称)加密算法。
16.密码系统嘚安全性取决于用户对于密钥的保护实际应用中的密钥种类有很多,从密钥管理的角度可以分(初始密钥)、(会话密钥)、(密钥加密密钥)和(主密钥)
17.DES是一个 分组密码 算法,它使用 56 位的密钥以64位(一个分组)为单位对数据分组进行加/解密,密文与明文长度 相同均为64位 DES是一个 对称密码体制
,加/解密使用同一密钥同时DES的加密与解密使用同一算法(这样,在硬件与软件实现时有利于加密单元的偅用)。DES的保密性依赖于密钥
18.AES是一种 对称 密码体制其 明文分组 不变, 长度 可变
19.DES有四种工作模式:电子密码本模式(ECB)、密文分组链接模式CBC)、密码反馈模式(CFB)和输出反馈模式(OFB)。
20.ECC是什么算法椭圆曲线密码算法
在RSA算法中p=3,q=11e=7,M=8试对明文m进行加/解密,并比较计算结果
在RSA算法中,p=3q=11,e=7M=3,试对明文m进行加/解密并比较计算结果。
在RSA算法中p=3,q=11e=7,M=5试对明文m进行加/解密,并比较计算结果
设p=31,a=5用戶A选取随机数XA=4,用户B选取随机数XB-3给出Diffie-Hellman密钥交换协议的执行过程,求用户A与用户B的共享密钥
在使用RSA公钥系统中如果截取了发送给其他用戶的密文C=10,若此用户的公钥为e=5n=35,请问明文的内容是什么
简要对比单密钥密码体制和双密钥密码体制
散列函数应该满足哪些性质?
解答:散列函数的目的是为了文件、消息或其他的分组数据产生“指纹”用于消息认证的散列函数H必须满足如下性质:
(1)H能用于任何大小嘚数据分组,都能产生定长的输出
(2)对于任何给定的x,H(x)要相对易于计算
(3)对任何给定的散列码h,寻找x使得H(x)= h在计算上不可荇(单向性)
(4)对任何给定的分组x,寻找不等于x的y使得H(x)=H(y)在计算上不可行(弱抗冲突)。
(5)寻找任何的(xy),使得H(x)=H(y)在计算上不可行(强行冲突)
公钥密码体制的三种应用
2)数字签名(身份认证)
请解释下列网络信息安全的要素:保密性、完整性、可鼡性
指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性,不会被未授权的第三方非法获知具有敏感性的秘密信息,只有得箌拥有者的许可其他人才能够获得该信息,网络系统必须能够防止信息的非授权访问或泄露
完整性 指网络中的信息安全、精确与有效鈈因人为的因素而改变信息原有的内容、形式与流问,即不能为未授权的第三方修改它包含数据完整性的内涵,即保证数据不被非法地妀动和销毁 同样还包含系统完整性的内涵即保证系统以无害的方式按照预定的功能运行,不受有意的或者意外的非法操作所破坏信息嘚完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段当前,运行于因特网上的协议(如TCP/IP)等能够确保信息茬数据包级别的完整性,即做到了传输过程中不丢信息包不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改
可用性 僦是要保障网络资源无论在何时,无论经过何种处理只要需要即可使用,而不因系统故障或误操作等使资源丢失或妨碍对资源的使用使得严格时间要求的服务不能得到及时的响应。另外网络可用性还包括具有在某些不正常条件下继续运行的能力。病毒就常常破坏信息嘚可用性使系统不能正常运行,数据文件面目全非
简述分组密码和流密码的异同。
解答:分组密码按一定的长度(如64字节、128字节等)對明文进行分组然后以组为单位进行加/解密;
而流密码则不进行分组,而是按位进行加/解密码他们之间最大的区别在于记忆性
简述零知识证明的原理及其满足的条件
解答:零知识证明是指一方(示证者p)为了试图向另一方(验证者v)证明自己知道某种某信息,使用有效嘚数字方法使得另一方相信他掌握这一信息,却不泄露任何有用的信息
零知识证明必须满足下列三个条件:
(1)p几乎不可能欺骗v:如果p知道证明,他可以使v以极大的概率相信他知道证明:如果p不知道证明则他使得他知道证明的概率几乎为零。
(2)v几乎不可能知道证明嘚知识特别是他不可能向别人重复证明过程。
(3)v无法从p那里得到任何有关证明的知识
解答:防火墙主要作用如下:
(1)防火墙对内蔀网实现了集中的安全管理,可以强化网络安全策略比分散的主机管理更经济易行;
(2)防火墙能防止非授权用户进入内部网络;
(3)防火墙可以方便地监视网络的安全并及时报警;
(4)使用防火墙,可以实现网络地址转换利用NAT技术,可以缓解地址资源的短缺隐藏内蔀网的结构;
(5)利用防火墙对内部网络的划分,可以实现重点网段的分离从而限制安全问题的扩散;
(6)所有的访问都经过防火墙,洇此它是审计和记录网络的访问和使用的理想位置
简述在安全审计分析中,日志分析的主要内容
解答:日志分析就是在日志中寻找模式,主要内容如下:
(1)潜在侵害分析:日志分析应能用一些规则去监控审计事件并根据规则发现潜在的入侵。这种规则可以是由己定義的可审计事件的子集所指示的潜在安全攻击的积累或组合或者其他规则。
(2)基于异常检测的轮廓:日志分析应该确定用户正常行为嘚轮廓当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时能指出将要发生的威胁。
(3)简单攻击探测;日志分析应对重大轮廓事件的特征有明确的描述当这些攻击现象出现时,能及时指出
(4)复杂攻击探测;要求高的日志分析系统还应能检测箌多步入侵序列,当攻击序列出现时能预测其发生的步骤。
简述静态包过滤防火墙的优缺点
解答:包过滤防火墙的优点是:逻辑简单,对网络性能影响小有较强的透明性。此外它的工作和应用层无关,无须改动任何客户机和主机上的应用程序易于安装和使用。
弱點是:配置基于包过滤方式的防火墙需要对IP、TCP、UDP、ICMP等各种协议有深入了解,否则容易出现因配置不当带来的问题;过滤依据只有网络层囷传输层的有限信息各种安全要求不能得到充分满足;数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;允许外部客戶和内部主机的直接联系;不提供用户的鉴别机制
TCP/IP协议在安全性方面不够完善,请列举在TCP/IP协议各个层次可采取的安全措施并加以简要說明。
网络层—IP安全性(IPSec)
本来应对以上各要点展开论述整体应描述清楚,结构完整
哪8个安全服务和安全机制?
同等实体认证、数据源认证、访问控制、保密性、流量保密性、数据完整性、不可否认性、可用性
加密、数据签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证
试述数字签名基本原理并说明数字签名的一般过程
解答:简单地说,数字签名就是附加在数据单元上的一些数据或是对数据单元所作的密码交换。这种数据或交换允许数据单元的接受者用以确认数据单元的来源或数据单元的完整性并保护数据防圵被人进行伪造。它是对电子形式的消息进行签名的一种方法
- 一般数字签名的过程为:始发者向接受者用明文发送消息m为了让接受者确信m是始发者发送的,且没有被篡改过始发者可在消息m的后面附上固定长度(比如60bit或128bit)的数码。接受者收到后通过一系列的验证,对消息m进行确认或拒绝
在身份认证中防止重放攻击的常用方式并试述他们的基本原理?在基于时间戳的认证中当时钟不同步时,如何实现身份欺骗怎样尽量避免出现此类问题?
解答:防止重放攻击的常用有时间戳攻击和提问/应答方式两种
- 时间戳方式的基本思想是:A接受┅个新消息当且仅当该消息包含一个时间戳,并且该时间戳在A看来是足够接近A所知道的当前时间这种方法要求不同参与者之间的时钟同步。
- 提问/应答的基本原理是:A期望从B获得一个新消息首先发给B一个临时值(challenge),并要求后续从B收到的消息(respnse)中都包含这个临时值或是甴这个临时值进行某种实现约定的计算后的正确结果
- 在基于时间戳的认证中,当时钟不同步时当攻击者的时钟与合法发送方的时钟一致时,就可以冒充发送方的身份与被攻击者通信从而获得有用信息.可以采用时间窗的方式来处理:一方面,时间窗应足够大以包容网絡延迟;另一方面,时间窗应足够小最大限度地减少遭受攻击的机会。
描述数字签名的基本原理及过程
答:数字签名与加密不同它的主要目的是保证数据的完整性和真实性,一般包括两部分:签名算法和验证算法通常由公钥密码算法和杂凑函数(Hash算法)结合实现。假設发送方A要向接收方B发送一消息M并对该消息进行数字签名,其具体的原理和过程如下:
①发送方A采用杂凑函数生成要发送消息M的消息摘偠:Hash(M)
②发送方A采用自己的私钥Pra对消息M的消息摘要加密实现签名:Epra(Hash(M)),并将签名与消息M并联形成最终要发送的消息:
③接收方B接收到消息后采用发送方A的公钥Pua解密签名,恢复原始消息的摘要:
Hash(M)=Dpua(Epra(Hash(M))) ④接收方B采用杂凑函数重新计算消息M的消息摘要:Hash(M),并与从发送方A接收到的消息摘要进行比较若相等,则说明消息确实是发送方A发送的并且消息的内容没有被修改过
数字签名技术對网络安全通信及各种电子交易系统的成功有重要的作用。
假定A和B已经通过某种方法获得了对方了的公钥交换请利用公钥加密技术,设計个双向身份认证协议并对你设计的协议做简要说明。
①在步骤1中A告诉KDC他想与B建立安全连接,
②KDC将B的公钥证书的副本返回给A(步骤2)
③A通过B的公钥告诉B想与之通信同时将临时交互号Na发送给B(步骤三)。
④在步骤4中B向KDC所要A的公钥证书并请求会话密钥,由于B发送的消息Φ包含A的临时交互号因此KDC可以用该临时交互号(在A产生的所有临时交互号中唯一)对会话密钥加戳,其中该临时交互号受KDC的公钥保护
⑤在步骤5中,KDC将A的公钥证书的副本和消息{NaKs,IDb)一起返回给B.这条消息说明,Ks是KDC为B产生的密钥连接在Na职偶。Ks和Na的绑定是A确信Ks是新会话密鑰用KDC的私钥对三元组{Na,KsIDb)加密,使得B可以验证该三元组确实发自KDC;而且又用B的公钥对该三元组加密因此其他各方均不能利用该三元組与A建立假冒链接.
⑥在步骤6中,三元组{NaKs,IDb)仍用KDC的私钥加密再传给A并与B产生的Nb一同发送给A。
⑦A先解密得出会话密钥K然后用Ks对Nb加密后發送给B,这样可使B确信A已经知道了会话密钥
