【正文】 的公鑰。 任何想發(fā)放自己公鑰的用戶，可以去認證中心(CA)申請自己的證書。在PKI中，為了確保用戶及他所持有密鑰的正確性，公開密鑰系統(tǒng)需要一個值得信賴而且獨立的第三方機構(gòu)充當認證中心(CA)，來確認聲稱擁有公開密鑰的人的真正身份。公鑰密碼技術(shù)可以提供網(wǎng)絡中信息安全的全面解決方案。認證的目的有兩個：一個是驗證信息發(fā)送者的真實性，確認他沒有被冒充；另一個是驗證信息的完整性，確認被驗證的信息在傳遞或存儲過程中沒有被篡改、重組或延遲。 A. 證書主體 B. 使用證書的應用和系統(tǒng) C. 證書權(quán)威機構(gòu) D. ASPKI能夠執(zhí)行的功能是（A）和（C）。 A. 證書授權(quán)CA B. SSL C. 注冊授權(quán)RA D. 證書存儲庫CR3. PKI管理對象不包括（A）。PKI技術(shù)一、選擇題1. PKI支持的服務不包括（D）。4. 有哪幾種訪問控制策略？三種不同的訪問控制策略：自主訪問控制（DAC）、強制訪問控制（MAC）和基于角色的訪問控制（RBAC），前兩種屬于傳統(tǒng)的訪問控制策略，而RBAC是90年代后期出現(xiàn)的，有很大的優(yōu)勢，所以發(fā)展很快。ACL應用到規(guī)模大的企業(yè)內(nèi)部網(wǎng)時，有問題：（1）網(wǎng)絡資源很多，ACL需要設(shè)定大量的表項，而且修改起來比較困難，實現(xiàn)整個組織范圍內(nèi)一致的控制政策也比較困難。適合采用關(guān)系數(shù)據(jù)庫來實現(xiàn)。4 授權(quán)關(guān)系表 授權(quán)關(guān)系表（Authorization Relations）的每一行表示了主體和客體的一個授權(quán)關(guān)系。3 訪問控制表 也可以從客體（列）出發(fā)，表達矩陣某一列的信息，這就是訪問控制表（Access Control List）。但是要從訪問能力表獲得對某一特定客體有特定權(quán)限的所有主體就比較困難。為了減輕系統(tǒng)的開銷與浪費，我們可以從主體（行）出發(fā)，表達矩陣某一行的信息，這就是訪問能力表（Capabilities）。通常一個文件的Own權(quán)限表示可以授予（Authorize）或撤消（Revoke）其他用戶對該文件的訪問控制權(quán)限。 訪問控制的目的：限制主體對訪問客體的訪問權(quán)限（安全訪問策略），從而使計算機系統(tǒng)在合法范圍內(nèi)使用。三、問答題解釋訪問控制的基本概念。 A. 主體身份 B. 客體身份 C. 訪問類型 D. 主體與客體的類型3. 為了簡化管理，通常對訪問者（A），以避免訪問控制表過于龐大。生物捕捉系統(tǒng)捕捉到生物特征的樣品，唯一的特征將會被提取并且被轉(zhuǎn)化成數(shù)字符號，這些符號被存成那個人的特征摸板，人們同識別系統(tǒng)交互進行身份認證，以確定匹配或不匹配授權(quán)與訪問控制一、選擇題1. 訪問控制是指確定（A）以及實施訪問權(quán)限的過程。該技術(shù)具有很好的安全性、可靠性和有效性。智能卡提供硬件保護措施和加密算法，可以利用這些功能加強安全性能。進行認證時，用戶輸入PIN（個人身份識別碼），智能卡認證PIN，成功后，即可讀出智能卡中的秘密信息，進而利用該秘密信息與主機之間進行認證。6. 利用智能卡進行的雙因素的認證方式的原理是什么？智能卡具有硬件加密功能，有較高的安全性。5. 使用口令進行身份認證的優(yōu)缺點？優(yōu)點在于黑客即使得到了口令文件，通過散列值想要計算出原始口令在計算上也是不可能的，這就相對增加了安全性。2. Hash散列存儲口令 散列函數(shù)的目的是為文件、報文或其他分組數(shù)據(jù)產(chǎn)生“指紋”。3. 有哪兩種主要的存儲口令的方式，各是如何實現(xiàn)口令驗證的？1. 直接明文存儲口令 有很大風險，只要得到了存儲口令的數(shù)據(jù)庫，就可以得到全體人員的口令。（2）用戶所擁有的東西：如智能卡、身份證。一旦身份認證系統(tǒng)被攻破，系統(tǒng)的所有安全措施將形同虛設(shè)，黑客攻擊的目標往往就是身份認證系統(tǒng)。身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網(wǎng)絡資源，它是其他安全機制的基礎(chǔ)。A. TACACS B. RADIUS C. Kerberos D. PKI二、填空題身份認證是 驗證信息發(fā)送者是真的 ，而不是冒充的，包括信源、信宿等的認證和識別。 A. 身份鑒別是授權(quán)控制的基礎(chǔ) B. 身份鑒別一般不用提供雙向的認證 C. 目前一般采用基于對稱密鑰加密或公開密鑰加密的方法 D. 數(shù)字簽名機制是實現(xiàn)身份鑒別的重要機制3. 基于通信雙方共同擁有的但是不為別人知道的秘密，利用計算機強大的計算能力，以該秘密作為加密和解密的密鑰的認證是（C）。身份認證一、選擇題1. Kerberos的設(shè)計目標不包括（B）。 采用數(shù)字證書，能夠確認以下兩點：(1) 保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認。3. 數(shù)字證書的原理是什么？數(shù)字證書采用公開密鑰體制（例如RSA）。(3) 這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給接收方。在數(shù)學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不可更改性。2. 請說明數(shù)字簽名的主要流程。 冒充，網(wǎng)絡上的某個用戶冒充另一個用戶接收或發(fā)送報文。三、問答題1. 數(shù)字簽名有什么作用？當通信雙方發(fā)生了下列情況時，數(shù)字簽名技術(shù)必須能夠解決引發(fā)的爭端： 否認，發(fā)送方不承認自己發(fā)送過某一報文。 數(shù)字簽名與鑒別協(xié)議一、選擇題1. 數(shù)字簽名要預先使用單向Hash函數(shù)進行處理的原因是（C）。KDC保存有每個用戶和KDC之間共享的唯一密鑰，以便進行分配。偽隨機過程一般采用噪聲源技術(shù)，通過噪聲源的功能產(chǎn)生二進制的隨機序列或與之對應的隨機數(shù)。大部分密鑰生成算法采用隨機過程或者偽隨機過程來生成密鑰。這些密鑰產(chǎn)生程序都使得DES的攻擊難度比正常情況下低幾千倍。在某些實現(xiàn)中，僅允許用ASCII碼的密鑰，并強制每一字節(jié)的最高位為零。如果密鑰分配中心被第三方控制，那么所有依靠該密鑰分配中心分配會話密鑰進行進信的所有通信方之間的通信信息將被第三方竊聽到4. 密鑰的產(chǎn)生需要注意哪些問題?算法的安全性依賴于密鑰，如果用一個弱的密鑰產(chǎn)生方法，那么整個系統(tǒng)都將是弱的。2. 分散式密鑰分配方案 使用密鑰分配中心進行密鑰的分配要求密鑰分配中心是可信任的并且應該保護它免于被破壞。目前這方面主流技術(shù)是密鑰分配中心KDC技術(shù)。1. 集中式密鑰分配方案 由一個中心節(jié)點或者由一組節(jié)點組成層次結(jié)構(gòu)負責密鑰的產(chǎn)生并分配給通信的雙方，在這種方式下，用戶不需要保存大量的會話密鑰，只需要保存同中心節(jié)點的加密密鑰，用于安全傳送由中心節(jié)點產(chǎn)生的即將用于與第三方通信的會話密鑰。密鑰分配中心的英文縮寫是 KDC 。2. 密鑰生成形式有兩種：一種是由 中心集中 生成，另一種是由 個人分散 生成。8．TCP/IP協(xié)議的網(wǎng)絡安全體系結(jié)構(gòu)的基礎(chǔ)框架是什么？由于OSI參考模型與TCP/IP參考模型之間存在對應關(guān)系，因此可根據(jù)GB/T ，將各種安全機制和安全服務映射到TCP/IP的協(xié)議集中，從而形成一個基于TCP/IP協(xié)議層次的網(wǎng)絡安全體系結(jié)構(gòu)。（5）抗否認是針對對方否認的防范措施，用來證實發(fā)生過的操作。（4）數(shù)據(jù)完整性防止非法篡改信息，如修改、復制、插入和刪除等。（3）數(shù)據(jù)機密性 針對信息泄露而采取的防御措施。（1）鑒別 用于鑒別實體的身份和對身份的證實，包括對等實體鑒別和數(shù)據(jù)原發(fā)鑒別兩種。P2DR的含義是：策略、保護、探測、反應。 A. 數(shù)據(jù)完整性機制 B. 數(shù)字簽名機制 C. 訪問控制機制 D. 加密機制11. 可以被數(shù)據(jù)完整性機制防止的攻擊方式是（D）。 A. 加密機制 B. 數(shù)字簽名機制 C. 訪問控制機制 D. 數(shù)據(jù)完整性機制9. CA屬于ISO安全體系結(jié)構(gòu)中定義的（D）。 A. 4 B. 5 C. 6 D. 77. （D）不屬于ISO/OSI安全體系結(jié)構(gòu)的安全機制。 A. 加密機制和數(shù)字簽名機制 B. 加密機制和訪問控制機制 C. 數(shù)字簽名機制和路由控制機制 D. 訪問控制機制和路由控制機制5. 在ISO/OSI定義的安全體系結(jié)構(gòu)中，沒有規(guī)定（E）。 A. 身份鑒別 B. 數(shù)據(jù)報過濾 C. 授權(quán)控制 D. 數(shù)據(jù)完整性3. ISO 74982描述了8種特定的安全機制，以下不屬于這8種安全機制的是（A）。請解釋下列網(wǎng)絡信息安全的要素： 保密性、完整性、可用性、可存活性安全體系結(jié)構(gòu)與模型一、選擇題1. 網(wǎng)絡安全是在分布網(wǎng)絡環(huán)境中對（D）提供安全保護。4) 重放（Replay）攻擊 在消息沒有時間戳的情況下，攻擊者利用身份認證機制中的漏洞先把別人有用的消息記錄下來，過一段時間后再發(fā)送出去。3) DNS欺騙 當DNS服務器向另一個DNS服務器發(fā)送某個解析請求（由域名解析出IP地址）時，因為不進行身份驗證，這樣黑客就可以冒充被請求方，向請求方返回一個被篡改了的應答（IP地址），將用戶引向黑客設(shè)定的主機。2) IP欺騙 攻擊者可通過偽裝成被信任源IP地址等方式來騙取目標主機的信任，這主要針對Linux UNIX下建立起IP地址信任關(guān)系的主機實施欺騙。1）口令破解 攻擊者可以通過獲取口令文件然后運用口令破解工具進行字典攻擊或暴力攻擊來獲得口令，也可通過猜測或竊聽等方式獲取口令，從而進入系統(tǒng)進行非法訪問，選擇安全的口令非常重要。這種攻擊方式可認為是黑客入侵的第四步工作——真正的攻擊中的一種。這是黑客入侵的第三步工作。4）信息流嗅探（Sniffering） 通過在共享局域網(wǎng)中將某主機網(wǎng)卡設(shè)置成混雜（Promiscuous）模式，或在各種局域網(wǎng)中某主機使用ARP欺騙，該主機就會接收所有經(jīng)過的數(shù)據(jù)包。3）協(xié)議棧指紋（Stack Fingerprinting）鑒別（也稱操作系統(tǒng)探測） 黑客對目標主機發(fā)出探測包，由于不同OS廠商的IP協(xié)議棧實現(xiàn)之間存在許多細微差別，因此每種OS都有其獨特的響應方法，黑客經(jīng)常能夠確定目標主機所運行的OS。黑客就可以利用這些服務的漏洞，進行進一步的入侵。1）網(wǎng)絡踩點（Footprinting） 攻擊者事先匯集目標的信息，通常采用Whois、Finger、Nslookup、Ping等工具獲得目標的一些信息，如域名、IP地址、網(wǎng)絡拓撲結(jié)構(gòu)、相關(guān)的用戶信息等，這往往是黑客入侵所做的第一步工作。A. 拒絕服務攻擊 B. 地址欺騙攻擊C. 會話劫持 D. 信號包探測程序攻擊12．攻擊者截獲并記錄了從A到B的數(shù)據(jù)，然后又從早些時候所截獲的數(shù)據(jù)中提取出信息重新發(fā)往B稱為（D）。 A. 文件機密性 B. 信息傳輸機密性 C. 通信流的機密性 D. 以上3項都是10．最新的研究和統(tǒng)計表明，安全攻擊主要來自（B）。 A. 被動,無須,主動,必須 B. 主動,必須,被動,無須 C. 主動,無須,被動,必須 D. 被動,必須,主動,無須8. 拒絕服務攻擊的后果是（E）。 A. 阻止,檢測,阻止,檢測 B. 檢測,阻止,檢測,阻止 C. 檢測,阻止,阻止,檢測 D. 上面3項都不是7. 竊聽是一種（A）攻擊，攻擊者（A）將自己的系統(tǒng)插入到發(fā)送站和接收站之間。 A. 機密性 B. 可用性 C. 完整性 D. 真實性6. 從攻擊方式區(qū)分攻擊類型，可分為被動攻擊和主動攻擊。 A. 客觀性 B. 主觀性 C. 盲目性 D. 上面3項都不是4. 從安全屬性對各種網(wǎng)絡攻擊進行分類，阻斷攻擊是針對（B）的攻擊。 A. 機密性 B. 可用性 C. 完整性 D. 上面3項都是2. “會話偵聽和劫持技術(shù)”是屬于（B）的技術(shù)。什么是MD5？MD消息摘要算法是由Rivest提出，是當前最為普遍的Hash算法，MD5是第5個版本，該算法以一個任意長度的消息作為輸入，生成128位的消息摘要作為輸出，輸入消息是按512位的分組處理的。簡述公開密鑰密碼機制的原理和特點？公開密鑰密碼體制是使用具有兩個密鑰的編碼解碼算法，加密和解密的能力是分開的；這兩個密鑰一個保密，另一個公開。分組密碼是把明文信息分割成塊結(jié)構(gòu)，逐塊予以加密和解密。IDEA是對稱加密算法還是非對稱加密算法？加密密鑰是多少位？IDEA是一種對稱密鑰算法，加密密鑰是128位。無法滿足不相識的人之間私人談話的保密性要求。對稱密碼算法存在哪些問題？適用于封閉系統(tǒng)，其中的用戶是彼此相關(guān)并相互信任的，所要防范的是系統(tǒng)外攻擊。它保密強度高但開放性差，要求發(fā)送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。2．簡述對稱密鑰密碼體制的原理和特點。主動攻擊是攻擊者通過網(wǎng)絡線路將虛假信息或計算機病毒傳入信息系統(tǒng)內(nèi)部，破壞信息的真實性、完整性及系統(tǒng)服務的可用性，即通過中斷、偽造、篡改和重排信息內(nèi)容造成信息破壞，使系統(tǒng)無法正常運行。10．Hash函數(shù)是可接受 變長 數(shù)據(jù)輸入，并生成 定長 數(shù)據(jù)輸出的函數(shù)。消息認證是 驗證信息的完整性 ，即驗證數(shù)據(jù)在傳送和存儲過程中是否被篡改、重放或延遲等。RSA算法的安全是基于 分解兩個大素數(shù)的積 的困難。如果加密密鑰和解密密鑰