网络安全中基于传统对称密码体制的密钥管理

摘要

本文主要介绍了基于传统对称密码体制下的一种密钥分配方案。它将整个系统中的密钥从低到高分成三个等级——初级密钥、二级密钥和主机主密钥。低级密要不会以明文的形式出现，而是以受高级密钥加密的形式传输和保存。高级密钥存放在一种专有密码装置（硬件）的工作寄存器中（该寄存器的内容只能设置不能访问），并且相关的密码转换操作均在专有密码装置中进行，这样便保证了密钥装置内之外永不一明文的形式出现。从而较好的提供了一种安全的密钥管理方案。

1．介绍

根据近代密码学的观点，密码系统的安全应只取决于密钥的安全，而不取决于对算法的保密。在计算机网络环境中，由于用户和节点很多，需要使用大量的密钥。密钥的数量如此之大，而且又要经常更换，其产生、存贮、分配是极大的问题。如无一套妥善的管理方法，其困难性和危险性是可想而知的。

以下的讨论基于这样一个事实：计算机网络中的各个节点或者是主机或者是终端。

为了简化密钥的管理工作，我们采用密钥分级策略。我们将密钥分成初级密钥、二级密钥和主机主密钥三个级别。

1）初级密钥

用于加解密数据的密钥称为初级密钥，记为K。初级密钥可由系统应用实体请求通过硬件或软件方式自动产生，也可以由用户自己提供。初级密钥仅在两个应用实体交换数据时才存在，它的生存周期很短，通常只有几分钟。

为了安全，初级密钥必须受更高一级的密钥的保护，直至它的生存周期结束为止。

一般而言，初级密钥为相互通信的两个进程所共享，在主机或终端上会同时存在多个初级密钥。

2）二级密钥

二级密钥用以加密保护初级密钥，记作KN。二级密钥的生存周期一般

较长，它在较长时间里保持不变。

3）主机主密钥

主机主密钥是这一管理方案中的最高机密钥，记作KM，用于对主机系

统的初级密钥和二级密钥提供保护。主机主密钥的生存周期很长。

在一个网络系统中由主机和终端等多种需要使用密钥的实体，只有针对

不同性质的实体配备不同的密钥，并对不同的密钥采取不同的保护才能

方便密钥的管理。我们可以采用下面的密钥配置方案。

2．密钥的配置和保护

我们所要达到的目标是要确保除了在保密条件下，密钥永不以明文的形式出现。假定网络的拓扑结构是多个终端连到一台主机上，然后主机在与其他主机相连。如下图所示：

一般情况下，当用户要在某一个通信信道上进行通信时，要用初级密钥KS 对所要传输的数据进行加密，并且连同KS一起传送给接收方。如果KS被敌方

所截获，这不能保证数据的保密性。于是可以用该通道上的二级密钥对KS进行加密后再传送，便可以保证数据的保密性。但是，二级密钥不能以明文的方式出现，否则同样会被敌方所利用。

为了很好的解决这些问题，我们对密钥进行如下分配：

1）终端每一个终端配置唯一的一个二级通信密钥KN(称其为终端的主要密钥（KMT）),并由密钥安装人员装入终端的专用密码装置，终端接收用户自己提供的初级密码。

2）主机如果一个接有m个终端的主机与其余n个主机相连，那么它需要2n+m个二级密钥，其中2n个二级密钥对其余n个主机的两个通信方向进行隔离保护，剩下的m个对终端通信进行隔离保护。实行加密隔离的好处是即使某一密钥被泄露二不会暴露其它密钥，是损失降至最小。

为了对初级密钥和二级密钥的两个传输方向之间进行加密隔离，在主机中采用三个主机主密钥：KM0,KM1,KM2。KM0用来加密保护主机中的初级密钥，KM1和KM2分别用来加密通信的两个方向上的二级密钥。

其中KM1和KM2可以由KM0导出。例如，对KM0的某些位取反分别产生KM1和KM2，这样在主机中只需将KM0以明文的形式保存到专用密码装置中。

3．密钥数据库（CKDB）

CKDB用以存贮备足记住密钥加密的二级密钥。一种可行的CKDB的文件记录格式如下：

密钥名通常使用密钥的资源名命名，密钥1字段放置KM1加密的密钥，密钥2字段放置KM2加密的密钥，类型1表示本主机上的终端上的主密钥，类型2表示与其他主机通信的二级密钥。举例如下：

本地终端主密钥：

与其他主机通信的二级密钥

其中，E(K,M)表示用密钥K加密信息M的结果。

4.专用密码装置

专用密码装置是一种专用的具有高安全性和可靠性的保密工具，它用硬件实现，由一个强的密码算法、密钥存贮器、数据存贮器以及控制器和接口电路组成，如下图所示：

采取物理的和逻辑的存取控制方法，确保只有授权的合法操作才能对专用密码装置进行操作。专用密码装置的安全关系到整个密码系统的安全，必须采取各种技术的和行政的措施予以确保。

专用的密码装置的基本功能是存贮密钥、加解密数据和密钥变换。用于终端和主机的专用密码装置的操作和功能是不同的。

1）终端专用密码装置的操作

a. LKD:{K} 直接装入初级密钥K

因为终端允许用户自己提供初级密钥，故设此操作予以支持。此命令把用户自己提供的初级密钥有数据输入端直接送入工作密钥寄存器。注意：当初级密钥由系统自动产生时不需要此操作。不存在用于读出工作密钥的逆操作。

b.WMK:{KN} 写二级密钥

此命令的功能是把分配给终端的二级密钥写入主密钥寄存器。并因此称KN 为终端的主密钥，记为KMT。注意：此操作无逆操作，且仅在特许状态下才能进行。

c.DECK:{E(KN,K)} 转入初级密钥

驰名淋巴从数据输入端输入的被KN加密的初级密钥K的密文解密，恢复出K并送入工作密钥寄存器。

d.ENC:{M}-->E(K,M) 加密数据

此命令用工作密钥寄存器中的初级密钥K加密有数据输入端输入的数据，并将密文输出。

e.DEC:{E(K,M)}→M 解密数据

此命令用工作密钥寄存器中的初级密钥K解密由数据输入端输入的密文，并将明文输出。

2）主机专用密码装置的操作主机专用密码装置的操作比终端的复杂

a.ECPH:{E(KM0,K),M}→E(K,M) 加密数据

此操作的功能是，输入初级密钥的密文形式E(KM0,K)，解密出K,将K存入工作密钥寄存器，再用K加密输入的数据M，输出密文E(K,M).

b.DCPH:{E(KM0,K),E(K,M)}→M 解密数据

此操作的功能是，输入E(KM0,K)，解密出K，将K存入工作密钥寄存器，再用K解密输入的密文E(K,M),输出明文M.

c.SMK:{KM0} 置入主密钥

此操作的功能是由密钥安装人员手工置入主密钥KM0.注意：此操作仅在特许状态下才允许进行，而且无逆操作。

d.EMK:{K}→E(KM0,K) 加密初级密钥

此操作的功能使用主密钥KM0加密初级密钥K。本操作支持用户自己提供的初级密钥，而且无逆操作。

e.RFMK:{E(KM1,KN),E(KM0,K)}→E(KN,K) 密钥变换

此操作的功能是把用KM0加密的初级密钥K，转换成用二级密钥KN加密的形式。

执行过程为，输入E(KM1,KN),用KM1解密得到KN，并将KN存入工作密钥寄存器，其中的KM1由KM0产生。再输入E(KM0,K),用KM0解密得到K,并将K存入数据寄存器。最后用KN加密K,输出E(KN,K).

f.RTMK:{E(KM2,KN),E(EN,K)}→E(KM0,K) 密钥变换

此操作的功能是，把用KN加密的初级密钥转换成为用KM0加密的形式。

此操作的执行过程与RFMK类似。

注意：如果KM1=KM2,这操作RFMK和RTMK便成为互逆操作。为了避免这种情况，采用KM0≠KM1≠KM2.

应该指出，以上介绍的专用密码装置的操作，均是基本操作，直接编程仍然不方便，同时也为了与系统借口，通常还要利用这些基本操作形成功能更强、使用更方便的宏指令与系统接口。

5．实例介绍

为了避免自己产生明文的初级密钥，采用动态产生伪随机数RN，并以RN 作为被主密钥加密的形式RN=E(KM0,KS)

这样做的优点是，密钥一产生就以密文形式出现，而且可以直接用于数据的加密和解密。

1）同一主机上的两个终端的通信

设T1,12是同一主机上的两个终端，T1的用户A要和T2的用户B进行保密通信的过程如下：

a)A向主机申请与用户B会话。

b)主机响应后，产生一个RN=E(KM0,KS),从CKDB中取出E(KM1,KMT1)

和E(KM1,KMT2),并进行密钥转换：

RFMK:{E(KM1,KMT1),RN}→{E(KMT1,KS)},

RFMK:{E(KM1,KMT2),RN}→{E(KMT2,KS)},

将E(KMT1,KS)发给T1,将E(KMT2,KS)发给T2。

c)T1和T2各自利用自己的终端密码装置解密出KS,并置入工作密钥寄存器：

T1:DECK:{E(KMT1,KS)} T2:DECK:{E(KMT2,KS)}

至此，T1和T2已共享相同的会话密钥KS。

d)A利用终端密码装置加密会话数据并发给B，ENC:{M}→{E(KS,M)}

e)B利用终端密码装置解密：DEC:{E(KS,M)}→M

上述密码操作仅涉及主机主密钥KM0,KM1。整个通信过程的加解密全部在

专用密码装置中进行。除了初始化时制作E(KM1,KMT)时外，其余操作均不需要明文形式的密钥，从而避免了密钥在密码装置外以明文形式出现。

2）不同主机上的两个终端的通信

设i,j代表两个主机节点，它们的主机主密钥分别是KM0i和KM0j。为了实现I和j之间的保密通信，必须使I和j能够建立共享的会话密钥KS。

KMTi 主机i 上的一个终端

KMTj 主机j上的一个终端

KNij 由主机节点i和j共享，用于保护由主机i产生的会话密钥，这一会话密钥要送给主机j.

KNji 由主机节点i和j共享，用于保护由主机j产生的会话密钥，这一会话密钥要送给主机i.

在主机节点I,Knij由KM1I加密保护，Knji由KM2I加密保护，并存入CKDBi.

在主机节点J,Knji由KM1j加密保护，Knij由KM2j加密保护，并存入CKDBj.

主机I的终端Ti1的用户A和主机j的终端Tj2的用户B的保密通信如下：

a)A通过Ti1向主机I申请与B通信。

b)主机I响应后，调用密钥管理程序产生一个随机数RN，并以此作为受

KM0I保密的会话密钥，RN=E(KM0i,KS).调用RFMK操作将RN转变为由KMTi1加密KS的形式。

RFMK:{E(KM1I,KMTi1),RN}→{E(KMTi1,KS)}

并将E(KMTi1,KS)发给A.调用RFMK操作将RN转变为由Knij加密KS的形式。RFMK:{E(KM1I,Knij),RN}→{E(Knij,KS)}

并将E(KNij,KS)发给主机j.

c)主机j收到E(KNij,KS)后，调用RTMK操作将E(KNij,KS)转变为

E(KM0j,KS):

RTMK:{E(KM2j,Knij), E(KNij,KS)}→{E(KM0j,KS)}

调用RFMK操作将E(KM0j,KS)转变为E(KMTj2,KS):

RFMK:{E(KM1j,KMTj2), E(KM0j,KS)}→{E(KMj2,KS)} 并将E(KMj2,KS)发送给Tj2的B.

d)A和B已共享会话密钥KS，他们可进行保密通信。于是，A利用KS加

密会话数据M并发给B

ENC:{M}→{E(KS,M)}

e)B收到后进行解密：DEC:{E(KS,M)}→{M}

6．结论

综上所述，大量的数据通过少量的动态产生的初级密要来保护，初级密钥又用更少量的、相对不变的二级密钥或主机主密钥KM0来保护，而二级密钥又用主机主密钥KM1和KM2来保护。这样，不仅是密钥的数量大大减少，而且只需少量的密钥以明文形式存贮在专用密码装置中，其余的密钥均以密文形式存贮在专用密码装置以外，从而大大的方便了密钥管理而且提高了安全性。

网络安全试题及答案

网络安全复习题一．单项选择题 1.在以下人为的恶意攻击行为中，属于主动攻击的是（） A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是（） A.保护网络中各系统之间交换的数据，防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是（） A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下，真正用来加解密通信过程中所传输数据（明文）的密钥是（） A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是（） A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较（） A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高，对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为密码的长度？" （） A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有：（） A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是：（）

A.对信息源发方进行身份验证 B.进行数据加密 C.对访问网络的流量进行过滤和保护 D.采用防火墙 10.屏蔽路由器型防火墙采用的技术是基于：（） A.数据包过滤技术 B.应用网关技术 C.代理服务技术 D.三种技术的结合 11.以下关于防火墙的设计原则说法正确的是：（） A.保持设计的简单性 B.不单单要提供防火墙的功能，还要尽量使用较大的组件 C.保留尽可能多的服务和守护进程，从而能提供更多的网络服务 D.一套防火墙就可以保护全部的网络 12.SSL指的是：（） A.加密认证协议 B.安全套接层协议 C.授权认证协议 D.安全通道协议 13.CA指的是：（） A.证书授权 B.加密认证 C.虚拟专用网 D.安全套接层 14.在安全审计的风险评估阶段，通常是按什么顺序来进行的：（） A.侦查阶段、渗透阶段、控制阶段 B.渗透阶段、侦查阶段、控制阶段 C.控制阶段、侦查阶段、渗透阶段 D.侦查阶段、控制阶段、渗透阶段 15.以下哪一项不属于入侵检测系统的功能：（） A.监视网络上的通信数据流 B.捕捉可疑的网络活动 C.提供安全审计报告 D.过滤非法的数据包 16.入侵检测系统的第一步是：（） A.信号分析 B.信息收集 C.数据包过滤 D.数据包检查 17.以下哪一项不是入侵检测系统利用的信息：（） A.系统和网络日志文件 B.目录和文件中的不期望的改变 C.数据包头信息 D.程序执行中的不期望行为 18.入侵检测系统在进行信号分析时，一般通过三种常用的技术手段，以下哪一种不属于通常的三种技术手段：（）

信息安全综合习题

综合习题一、选择题 1. 计算机网络是地理上分散的多台（C）遵循约定的通信协议，通过软硬件互联的系统。 A. 计算机 B. 主从计算机 C. 自主计算机 D. 数字设备 2. 密码学的目的是（C）。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 3. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于（A）。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 4. 网络安全最终是一个折衷的方案，即安全强度和安全操作代价的折衷，除增加安全设施投资外，还应考虑（D）。 A. 用户的方便性 B. 管理的复杂性 C. 对现有系统的影响及对不同平台的支持 D. 上面3项都是 5．A方有一对密钥（KA公开，KA秘密），B方有一对密钥（KB公开，KB秘密），A方向B方发送数字签名M，对信息M加密为：M’= KB公开（KA秘密（M））。B方收到密文的解密方案是（C）。 A. KB公开（KA秘密（M’）） B. KA公开（KA公开（M’）） C. KA公开（KB秘密（M’）） D. KB秘密（KA秘密（M’）） 6. “公开密钥密码体制”的含义是（C）。 A. 将所有密钥公开 B. 将私有密钥公开，公开密钥保密 C. 将公开密钥公开，私有密钥保密 D. 两个密钥相同二、填空题密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。解密算法D是加密算法E的逆运算。常规密钥密码体制又称为对称密钥密码体制，是在公开密钥密码体制以前使用的密码体制。如果加密密钥和解密密钥相同，这种密码体制称为对称密码体制。 DES算法密钥是64 位，其中密钥有效位是56 位。 RSA算法的安全是基于分解两个大素数的积的困难。公开密钥加密算法的用途主要包括两个方面：密钥分配、数字签名。消息认证是验证信息的完整性，即验证数据在传送和存储过程中是否被篡改、重放或延迟等。 MAC函数类似于加密，它于加密的区别是MAC函数不可逆。 10．Hash函数是可接受变长数据输入，并生成定长数据输出的函数。三、问答题 1．简述主动攻击与被动攻击的特点，并列举主动攻击与被动攻击现象。主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容造成信息破坏，

3344信息与网络安全管理复习资料(1)

网络安全复习资料第1-2章 1、计算机网络定义:是指地理上分散的多台自主计算机互联的集合这些计算机遵守约定的通信协议与通信设备、通信链路和网络软件共同实现信息互换资源共享协调工作和在线处理等功能。 2、网络安全的五个属性：可用性、机密性、完整性、可靠性和不可抵赖性。 3、网络安全威胁定义：是指某个个体对某一网络资源的机密性、完整性、可用性和可靠性等可能造成的危害。也分为故意和偶然威胁两类，如对信息通信威胁包括中断、截获、篡改和伪造；对信息存储威胁、对信息处理威胁。 4、哪种威胁是被动威胁：只对信息进行监听而不对其修改和破坏。 5、构成威胁的因素：环境和灾害、人为、系统自身因素。 6、安全威胁的主要表现形式：授权侵犯、旁路控制、拒绝服务、窃听、电磁泄漏、非法使用、信息泄漏、完整性破坏、假冒、物理入侵、重放、否认、资源耗尽、业务流分析、特洛伊木马、陷门和人员疏忽。 7、什么是重放：出于非法目的而重新发送截获合法通信数据的拷贝。 8、什么是陷门：在某个系统或文件中预先设置机关使得当提供特定输入时允许违反安全策略。 9、网络安全策略包括哪4方面：物理策略、访问控制策略（入网访问控制、网络授权控制、目录级安全控制、属性安全控制、网络服务安全控制、网络监测和锁定控制、网络端口和节点安全控制、防火墙控制）、信息加密策略和安全管理策略。 10、安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。 11、P2DR模型的4部分：策略 poicy、保护protection、检测detection和响应 response。它的基本思想：一个系统的安全应该在一个统一安全策略控制和指导下综合运用各种安全技术对系统进行保护同时利用检测工具来监视和评估系统安全状态并通过适当响应机制来将系统调整到相对最安全和风险最低状态。 12、网络安全管理策略包括：确定安全管理等级和安全管理范围；制定有关网络操作使用规程和人员入机房管理制度；制定网络系统维护制度和应急措施。 13、PDRR模型的4部分：防护、检测、响应和恢复。14、TCP/IP参考模型，各层的名称、作用、主要协议：从上之下为应用层、传输层、网络层和网络接口层。 1.应用层：大致对应OSI 表示、会话和应用层，面向用户和各种软件是用户访问界面包括一些向用户提供常用应用程序和在传输层之上建立自己应用程序；2.传输层：负责实现源主机和目的主机之上通信，提供可靠面向连接服务和无连接数据报服务； 3.网络层：负责数据包路由选择保证数据顺利到达指定目的。 15、常用网络服务有哪些，它们的作用。1.telnet：因特网远程终端访问服务，能够以字符方式模仿远程终端登录远程服务器访问服务器上资源；2.FTP：让用户连接上一个远程计算机查看远程计算机文件，端口为21；3.E-mail：方便用户编辑阅读处理信件等； 4.WWW：使用HTTP端口为80，用户通过浏览器访问web网页；5.DNS：域名服务器用于实现域名解释寻找Internet域名并将其转化IP地址。 16、安全访问策略就是一组用于确认主体是否对客体具有访问权限的规则。 17、IP头结构：有一个20字节固定长度部分和一个可选任意长度部分包括字段有版本、头长度、服务类型和封包总长度。 18、TCP头结构：包括字段有源端口16、目的端口、顺序号、确认号、头长度等。 19、ping 指令的功能：用于检测当前主机与目的主机之间连同情况通过当前主机向目的主机发送ICMP包并接受应答信息来确定两台计算机之间网络是否联通并可显示icmp包到达对方时间。可以了解网络状况、进行网络配置、测试网络连通性、使用网络服务等功能。 20、ftp命令中上传和下载指令分别是什么：put和get。 21、怎么利用Tracert指令来确定从一个主机到其他主机的路由：通过向目标发送不同IP生存时间TTL值的 ICMP数据包，其诊断程序确定到目标采取路由。路径上每个路由器在转发数据包之前至少将数据包上 TTL递减1，数据包上TTL 为0时路由器应该将ICMP 已超时的消息发回源系统。Tracert发送ttl为1的回应数据包并在随后每次发送过程将TTL递减1直到目标响应或TTL达到最大值从而确定路由。第3-4章 22、什么是基于密钥的算法:密码体制的加密解密算法是公开的，算法可变参数是保密的，密码系统安全性仅依赖与密钥安全性。基于密钥算法两类即对称加密和非对称加密。密码算法是用于加密和解密的数学函数。而密码算法安全性可以通过信息纶方法和计算复杂性理论两种方法研究。 23、什么是对称加密算法、非对称加密算法：1.称为传统密码算法其加密密钥与解密密钥相同或很容易互相推算出来，这样算法要求通信双方在进行安全管理通信之前协商一个密钥用该密钥对数据加密和解密；分为序列密码算法和分组密码算法。2.称为公开密钥算法，把信息加密密钥和解密密钥分离通信一方都拥有这样一对密钥。其核心是一种特殊数学函数即单向陷门函数。其最大优点是不需要对密钥通信进行保密所需传输只有公开密钥。 24、公开密钥体制主要有三个不同方面用途：数据加解密、数字签名（发送方用自己私有密钥对要发送消息加密，一般对该消息摘要加密，接收方用发送方的公钥认证消息的真实性和来源）和密钥交换。RSA 算法用于三个用途， Diffie-Hellman仅用于密钥交换，DSS仅用于数字签名。 25、对DES、三重DES进行穷举攻击，各需要多少次。（P68）2/64次和2/112次。 26、给定p、q、e、M，设计一个RSA算法，求公钥、私钥，并利用RSA进行加密和解密（P74） 27、使用对称加密和仲裁者实现数字签名的步骤：假设A 与仲裁者共享一个秘密密钥KAC，B与仲裁者共享一个秘密密钥KBC，首先 A用KAC加密准备发给B 消息M并将其发给仲裁者，仲裁者用KAC解密消息，仲裁者把这个解密消息及自己证明S用KAC加密，仲裁者把加密消息发给B，B用仲裁者共享密钥 KBC解密消息就可以看到来自与A消息M和来自仲裁者证明S。 28、使用公开密钥体制进行数字签名的步骤：不需要第三方去签名和验证，首先A 用他私人密钥加密信息从而对文件签名,A将签名消息发给B，B用A公开密钥解消息从而验证签名. 29、使用公开密钥体制与单向散列函数进行数字签名的步骤:利用单向散列函数产生消息指纹用公开密钥算法对指纹加密形成数字签名，首先A使消息M通过单向散列函数H产生散列值即消息指纹，A使用私人密钥对散列值进行加密形

网络与信息安全技术期末考试题库及答案

网络与信息安全技术A卷一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’））5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施 C. 是保护线路不受破坏的软件和硬件设施 D. 是起抗电磁干扰作用的硬件设施 8．PKI支持的服务不包括＿＿＿。 A. 非对称密钥技术及证书管理 B. 目录服务 C. 对称密钥的产生和分发 D. 访问控制服务 9．设哈希函数H有128个可能的输出(即输出长度为128位)，如果H的k个随机输入中至少有两个产生相同输出的概率大于0.5，则k约等于＿＿。 A．2128B．264 C．232 D．2256 10．Bell-LaPadula模型的出发点是维护系统的＿＿＿，而Biba模型与Bell-LaPadula模型完全对立，它修正了Bell-LaPadula模型所忽略的信

1信息与网络安全管理(03344)复习资料

1．网络安全定义。P2 是指保护网络系统中的软件、硬件及信息资源，使之免受偶然或者恶意的破坏、篡改和泄密，保证网络系统的正常运行、网络服务不中断。 2．网络安全属性有机密性、完整性、可用性、可靠性及不可抵赖性。P2 3.属于对信息通信的威胁有哪些：中断、截获，篡改、伪造。P3 在理解的基础上能识别各种攻击。如：用户之间发送信息的过程中，其信息被其他人插入一些欺骗性的内容，则这类攻击属于篡改攻击。 4.主要的渗入威肋有假冒、旁路、授权侵犯.等。而常见的主动攻击行为是数据篡改及破坏。P4 5.信息系统存在的主要威胁有3个因素，即环境和灾害因素、人为因素和系统自身因素。P5 6．信息系统的安全策略主要有四个大的方面：分别是物理安全策略、访问控制策略、信息加密策略和安全管理策略。P6 7.网络安全策略中的访问控制策略常见的有网络监测和锁定控制。P7 8. P2DR的4个主要组成部分。P8 Policy——策略、Protection——保护、Detection——检测、Response——响应 9. 国际标准化组织定义的基本安全服务有以下几个：认证服务、访问控制、数据机密性服务、数据完整性服务、不可否认服务。P14 10.TCP/IP模型各层的功能分别是。P17 应用层：是面向用户的各种应用软件，是用户访问网络的界面。传输层：实现源主机和目的主机上的实体之间的通信。网络层：负责数据包的路由选择功能网络接口层：负责接收IP数据包并通过网络传输介质发送数据包。 11. IPV6在IP层提供了两种安全机制，即在报文头部包含两个独立的扩展报头：认证头（AH）和封装安全负荷（EPS）。P18 12. SSL分为两层，上面是SSL握手层，负责协商通信参数，下面是SSL记录层，负责数据的分段，压缩和加密等。P19 13.《可信计算机系统评估准则》中，定义的最高安全级别是A级，最低级别是D级。其中提供访问控制保护的安全级别是C2等级。P27 第二章 1.IP数据包的首部包含一个20字节的固定长度部分和一个可选任意长度部分，其数据包结构中，服务类型字段的长度是8bit．P31 2. 发送和接收方TCP是以数据段的形式交换数据。P32 3．常见的协议分析工具有Ethereal、Sniffer、netxray等。P36 4．ping命令是用于检测当前主机与目标主机之间的网络连通情况。P41 5. ipconfig命令是显示TCP/IP配置信息、刷新动态主机配置协议和域名系统配置。P42 6. netstat命令是用来显示当前的TCP/IP连接、Ethernet统计信息、路由表等的.P43 7. 在FTP匿名登录中的用户名是anonymous 。P48 8. telnet 端口是23，www网页浏览服务的端口是80. P49. 9. ICMP--即因特网控制报文协议。 10．DNS--域名解析服务第三章 P53。按照密钥方式划分：对称式和非对称式。 P54.对称加密算法：要求加密和解密的密钥相同，非对称加密算法，加密和解密的密钥不同。 P55公开密钥体制主要用途是数据的加/解密、数字签名、密钥交换。 P55从窃取者角度来看，破译密码主要有穷尽搜索和密码分析两种方法。

信息安全试题(卷)与答案解析

信息安全试题（1/共3）一、单项选择题（每小题2分，共20分） 1．信息安全的基本属性是＿＿＿。 A. 保密性 B.完整性 C. 可用性、可控性、可靠性 D. A，B，C都是 2．假设使用一种加密算法，它的加密方法很简单：将每一个字母加5，即a加密成f。这种算法的密钥就是5，那么它属于＿＿＿。 A. 对称加密技术 B. 分组密码技术 C. 公钥加密技术 D. 单向函数密码技术 3．密码学的目的是＿＿＿。 A. 研究数据加密 B. 研究数据解密 C. 研究数据保密 D. 研究信息安全 4．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B公开（K A秘密（M））。B方收到密文的解密方案是＿＿＿。 A. K B公开（K A秘密（M’）） B. K A公开（K A公开（M’）） C. K A公开（K B秘密（M’）） D. K B秘密（K A秘密（M’）） 5．数字签名要预先使用单向Hash函数进行处理的原因是＿＿＿。 A. 多一道加密工序使密文更难破译 B. 提高密文的计算速度 C. 缩小签名密文的长度，加快数字签名和验证签名的运算速度 D. 保证密文能正确还原成明文 6．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是＿＿。 A. 身份鉴别是授权控制的基础 B. 身份鉴别一般不用提供双向的认证 C. 目前一般采用基于对称密钥加密或公开密钥加密的方法 D. 数字签名机制是实现身份鉴别的重要机制 7．防火墙用于将Internet和内部网络隔离＿＿＿。 A. 是防止Internet火灾的硬件设施 B. 是网络安全和信息安全的软件和硬件设施

2019信息网络安全专业技术人员继续教育(信息安全技术)习题及答案

信息安全技术第一章概述第二章基础技术一、判断题 1.加密技术和数字签名技术是实现所有安全服务的重要基础。（对） 2.对称密码体制的特征是:加密密钥和解密密钥完全相同,或者一个密钥很容易从另ー个密钥中导出。（对） 3.对称密钥体制的对称中心服务结构解决了体制中未知实体通信困难的问题。（错） 4.公钥密码体制算法用一个密钥进行加密,!而用另一个不同但是有关的密钥进行解密。（对） 5.公钥密码体制有两种基本的模型:一种是加密模型,另一种是解密模型（错） 6.Rabin体制是基于大整数因子分解问题的,是公钥系统最具典型意义的方法。（错） 7.对称密码体制较之于公钥密码体制具有密钥分发役有安全信道的限制,可实现数字签名和认证的优点。（错） 8.国密算法包括SM2,SM3和SM4. （对）

9.信息的防篡改、防删除、防插入的特性称为数据完整性保护。（对） 10.Hash函数的输人可以是任意大小的消息，其输出是一个长度随输入变化的消息摘要。（错） 11.数字签名要求签名只能由签名者自己产生。（对） 12、自主访问控制(DAC)是基于对客体安全级别与主体安全级别的比较来进行访问控制的。（错） 13.基于角色的访问控制(RBAC)是基于主体在系统中承担的角色进行访问控制，而不是基于主体的身份。（对）二、多选题 1.公钥密码体制与以前方法的区别在于()。 A.基于数学函数而不是替代和置换B、基于替代和置换 C.是非对称的，有两个不同密钥 D.是对称的，使用一个密钥 2.公钥密码的优势体现在()方面。 A.密钥交换 B.未知实体间通信 C.保密服务 D.认证服务 3.以下属于非对称算法的是()。 A.RSA B.DSA C.AES D.ECC 4.密钥生命周期过程包括( )

计算机网络安全与应用技术期末复习资料

计算机网络安全技术信息安全：广义的：防止信息财产的泄露、破坏等，即取保信息的保密性、可用性、完整性和可控性狭义的：网络安全。一般可以认为网络安全包括物理安全、运行安全和数据安全三个层次，它们涵盖的范围如图1-1所示。网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。课程知识体系

一、基本概念信息安全，网络安全，黑客，密码技术，防火墙，入侵检测系统(IDS)，密钥，数字签名，识别（辨认;辨别;区分,分辨），验证（主要指模型的输出和观察值是否相符)，漏洞(广义的漏洞：非法用户未经授权获的访问或提高其访问层次的硬件或软件特征)，计算机病毒（能够实现自我复制且借助一定的载体存在的，具有潜伏性，传染性，和破坏性的程序），木马，端口扫描，电子商务安全，Internet安全。 DES，CIH，VPN，RSA ，CA，DDoS ，ActiveX 1、信息安全广义的：防止信息财产的泄露、破坏等，即取保信息的保密性、可用性、完整性和可控性。狭义的：网络安全。 2．网络安全的含义是指通过各种计算机、网络、密码技术和信息安全技术、网络控制技术，保护网络中传输、交换、处理和存储的信息的机密性、完整性、可用性、真实性、抗否认性和可控性。 3.黑客: “黑客”是一个精通计算机技术的特殊群体。可分为3类：“侠客（Hackers ）”，他们多是好奇者和爱出风头者；“骇客（Crackers）”，他们是一些不负责的恶作剧者；“入侵者（Intruder），他们是有目的的破坏者。 4.密码技术是保护信息安全的主要手段之一。他不仅有数字签名.身份验证.秘密分存.系统安全等功能。所以密码技术不仅可以保证信息的机密性，而且可以保证信息的完整性和正确性，防止信息被篡改.伪造或假冒。 5.防火墙：是一个或一组在两个网络之间执行访问控制策略的系统，包括硬件和软件，目的是保护网络不被可疑人侵扰。 6.入侵检测系统是一种能够通过分析系统安全相关数据来检测入侵活动的系统。 7、数字签名（Digital Signature）是数字世界中的一种信息认证技术，它利用数据加密技术、数据变换技术，根据某种协议来产生一个反映被签署文件的特征和签署人特征，以保证文件的真实性和有效性的数字技术，同时也可用来核实接收

《网络安全》西北工业大学2020年4月机考参考答案

西工大2020年4月《网络安全》作业机考参考答案试卷总分:100 得分:90分以上本作业每次试题内容相同，只是题目和选项顺序是随机调整的，大家可放心下载使用一、单选题 (共 50 道试题,共 100 分) 1.在网络备份系统中，（）是执行备份或恢复任务的系统，它提供了一个集中管理和控制平台，管理员可以利用该平台区配置整个网络备份系统。 A.目标 B.工具 C.通道 D.存储设备正确答案:C 2.计算机宏病毒是利用（）编制的。 A.WorD提供的 B.ASIC宏语言 C.PASCAL语言 D.汇编语言 E.机器指令正确答案:A 3.Dos攻击的后果是（）。 A.被攻击服务器资源耗尽 B.无法提供正常的网络服务 C.被攻击者系统崩溃 D.A、B、C都有可能正确答案:D 4.CA中心不具有（）功能。 A.证书的颁发 B.证书的申请 C.证书的查询 D.证书的归档正确答案:B 5.在大多数情况下，病毒侵入计算机系统以后（）。 A.病毒程序将立即破坏整个计算机软件系统 B.计算机系统将立即不能执行我们的各项任务 C.病毒程序将迅速损坏计算机的键盘、鼠标等操作部件 D.一般并不立即发作，等到满足某种条件的时候，才会出来捣乱或破坏正确答案:D 6.通过取消TCP/IP上的（）协议绑定，WinDows NT管理员可以阻止非法用户对特定网络服务的入侵。 https://www.360docs.net/doc/b219151517.html,BIOS B.SMTP C.ICMP

D.EIGRP 正确答案:A 7.具有读写权的用户不能对只读属性的文件进行写操作，这是属于（）访问控制措施。 A.权限访问控制 B.身份验证 C.属性访问控制 D.网络端口和节点的访问控制正确答案:C 8.计算机感染病毒的可能途径之一是（）。 A.从键盘上输入数据 B.所使用的软盘表面不清洁 C.随意运行外来的、未经消病毒软件严格审查的软盘上的软件 D.电源不稳定正确答案:C 9.计算机病毒最重要的特点是（）。 A.可执行 B.可传染 C.可保存 D.可潜伏正确答案:B 10.在RSA算法中，设p=3，q=5，取公开密钥e=7，则保密密钥D.=（）。 A.7 B.11 C.15 D.9 正确答案:C 11.Internet使用的是TCP/IP模型，该模型按层次分为（）。 A.7层 B.4层 C.5层 D.3层正确答案:B 12.Linux是一种与UNIX操作系统兼容的网络操作系统，安全级别达到TCSEC的安全级（）。 A.C1 B.B1 C.A D.C2 正确答案:D

信息安全试题

一、填空题 1. 网络安全主要包括两大部分，一是网络系统安全，二是网络上的。（信息安全） 2. 网络安全涉及法律，管理和技术等诸多因素，技术是基础，人员的是核心。（网络安全意识和安全素质） 3. 一个可称为安全的网络应该具有_________ ,_________ , ________ , ________ 和___________ 。（保密性，完整性，可用性，不可否认性，可控性） 4. 从实现技术上，入侵检测系统分为基于____________________________ 入侵检测技术和基于 ________________ 入侵检测技术。 5. ____________ 是数据库系统的核心和基础。（数据模型） 6. ________________________________________________________________ 由于人为因素，有时可能会误删除整个设备数据，所以需要定期 _________________ 。（备份数据） 7. _______ 的目的是为了限制访问主体对访问客体的访问权限。（访问控制） 8. ___________ 是笔迹签名的模拟，是一种包括防止源点或终点否认的认证技术。（数字签名） 9. 按照密钥数量，密钥体制可分为对称密钥体制和_______________ 密钥体制。（非对称） 10. _________________________ 防火墙是一个架构在和之间的保护装置。（可信网络，不可信网络） 11. 身份认证技术是基于_______ 的技术，它的作用就是用来确定用户是否是真实的。（加密） 12. ___________ 是对计算机系统或其他网络设备进行与安全相关的检测，找出安全隐患和可被黑客利用的漏洞。（漏洞扫描） 13. ______ 是计算机病毒的一种，利用计算机网络和安全漏洞来复制自身的一段代码。（蠕虫） 14. _______ 只是一个程序，它驻留在目标计算机中，随计算机启动而自动启动，并且在某一端口进行监听，对接收到的数据进行识别，然后对目标计算机执行相应的操作。（特洛伊木马） 15. _______ 被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的通道（VPN） 16. 数据库系统分为数据库和____________ 。（数据库管理系统） 17. 常用的数据库备份方法有冷备份、热备份和________ 。（逻辑备份） 18. ___________________________________________ D Dos 的攻击形式主要有：流量攻击和 ________________________________________ 。（资源耗尽攻击） 19. _______ 是可以管理Web修改主页内容等的权限，如果要修改别人的主页，一般都需要这个权限，上传漏洞要得到的也是这个权限。（webshell ） 20. ______ 是指在发生灾难性事故时，能够利用已备份的数据或其他手段，及时对原系统进行恢复，以保证数据的安全性以及业务的连续性。（容灾） 21. 网络防御技术分为两大类：包括_______________ 技术和_______________ 。（主动防御技术和被动防御技术） 22. 字典攻击是最常用的密码暴力破解攻击，所以要求我们需要对应用系统设置以减少暴力暴力破解的概率。（足够强的密码）

信息安全概论复习题

信息安全概论复习题名词解释题 1.PKI：PKI是一种标准的密钥管理平台，它为网络应用透明地提供加密和数字签名等密码服务所必须的密钥和证书管理。它由证书颁发机构CA、注册认证机构RA、证书库、密钥备份及恢复系统、证书作废系统、PKI应用接口系统等组成. 2.访问控制：访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。访问控制包括三个要素，即：主体、客体和控制策略。 3.密钥托管：密钥托管是指用户在向CA申请数据加密证书之前，必须把自己的密钥分成t份交给可信赖的t个托管人。任何一位托管人都无法通过自己存储的部分用户密钥恢复完整的用户密码。只有这t个人存储的密钥合在一起才能得到用户的完整密钥. 4.入侵检测:入侵检测是指对入侵行为的发觉。它从计算机网络或计算机系统的若干关键点收集信息并进行分析，从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统则是是完成入侵检测功能的软件、硬件及其组合它试图检测、识别和隔离“入侵"企图或计算机的不恰当未授权使用。 5.防火墙:一般是指在两个网络间执行访问控制策略的一个或一组系统，是一种广泛应用的网络安全技术,它用来控制两个不同安全策略的网络之间互访，从而防止不同安全域之间的相互危害。 6.数字签名：是以电子签名形式存储消息的方法，所签名的消息能够在通信网络中传输,它能提供不可否认、防抵赖、防仿造、可自行验证或由第三方验证的机制,从而保证签名的有效性. 7.RBAC:（Role Based Access Control,RBAC)是基于角色的访问控制模式，用户是以一定的角色访问系统，不同的角色被赋予不同的访问权限，系统的访问控制只看到角色而看不到用户。 8.IPSec：是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务,保护 TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。选择题 1.美国国防部安全标准定义了4个安全级别，其中最高安全级提供了最全面的安全支持，它是（ A ) A 。a级 B。b级 C.c级 D.级 2.基于网络低层协议、利用协议或操作系统实现时的漏洞来达到攻击目的，这种攻击方式称为（ B ) A.服务攻击 B.拒绝服务攻击 C。被动攻击 D.非服务攻击 3.特洛伊木马攻击的威胁类型属于( B ） A.授权侵犯威胁B。植入威胁C。渗入威胁D.旁路控制威胁 4.如果发送方使用的加密密钥和接收方使用的解密密钥不相同，从其中一个密钥难以推出另一个密钥，这样的系统称为（ C ) A.常规加密系统 B.单密钥加密系统C。公钥加密系统D.对称加密系统 5。用户a通过计算机网络向用户b发消息，表示自己同意签订某个合同,随后用户a 反悔，不承认自己发过该条消息。为了防止这种情况发生，应采用(A）

全国计算机等级考试三级信息安全技术知识点总结

第一章信息安全保障概述 1。1信息安全保障背景 1。1.1信息技术及其发展阶段信息技术两个方面：生产：信息技术产业；应用：信息技术扩散信息技术核心：微电子技术，通信技术，计算机技术，网络技术第一阶段,电讯技术的发明;第二阶段,计算机技术的发展;第三阶段,互联网的使用 1。1.2信息技术的影响积极:社会发展，科技进步,人类生活消极：信息泛滥，信息污染,信息犯罪 1。2信息安全保障基础 1.2.1信息安全发展阶段通信保密阶段（20世纪四十年代）:机密性,密码学计算机安全阶段（20世纪六十和七十年代)：机密性、访问控制与认证，公钥密码学(Diffie Hellman，DES)，计算机安全标准化(安全评估标准）信息安全保障阶段：信息安全保障体系（IA），PDRR模型:保护（protection）、检测（detection）、响应（response)、恢复(restore），我国PWDRRC模型：保护、预警（warning)、监测、应急、恢复、反击(counter-attack）,BS/ISO 7799标准(有代表性的信息安全管理体系标准）：信息安全管理实施细则、信息安全管理体系规范 1.2。2信息安全的含义一是运行系统的安全，二是系统信息的安全：口令鉴别、用户存取权限控制、数据存取权限方式控制、审计跟踪、数据加密等信息安全的基本属性：完整性、机密性、可用性、可控制性、不可否认性 1。2。3信息系统面临的安全风险 1。2。4信息安全问题产生的根源：信息系统的复杂性，人为和环境的威胁 1。2。5信息安全的地位和作用 1。2。6信息安全技术核心基础安全技术：密码技术安全基础设施技术：标识与认证技术，授权与访问控制技术基础设施安全技术:主机系统安全技术,网络系统安全技术应用安全技术:网络与系统安全攻击技术,网络与系统安全防护与响应技术,安全审计与责任认定技术，恶意代码监测与防护技术支撑安全技术：信息安全评测技术，信息安全管理技术 1.3信息安全保障体系 1。3。1信息安全保障体系框架生命周期:规划组织，开发采购,实施交付，运行维护,废弃保障要素：技术，管理，工程，人员安全特征：机密性,完整性，可用性 1.3。2信息系统安全模型与技术框架 P2DR安全模型：策略（policy），防护，检测，响应；防护时间大于检测时间加上响应时间,安全目标暴露时间=检测时间+响应时间,越小越好；提高系统防护时间，降低检测时间和响应时间信息保障技术框架（IATF):纵深防御策略（):人员，技术，操作；技术框架焦点域：保护本地计算机,保护区域边界，保护网络及基础设施，保护支撑性基础设施 1。4信息安全保障基本实践

无线传感器网络的密钥管理

无线传感器网络的密钥管理无线传感器网络是由大量无处不在的、具有无线通信与计算能力的微小传感器节点构成的自组织分布式网络系统，能根据环境自主完成指定任务。此种网络以应用为驱动，集成了成千上万的低能耗、低成本、小体积的微型传感器件。这些微小的器件由数字硬件及软件组成，具备高度的无线互连与协同处理能力。它综合了传感器技术、嵌入式计算技术、微机电系统(MEMS)技术、现代网络及无线通信技术、分布式信息处理技术等等。一、无线传感器网络安全框架——SPINS SPINS安全协议是传感器网络安全框架之一，是由Adrian Perrig等人提出的一种基本的安全协议，它建立在对称密钥体系的基础之上，包括SNEP(Secure Network Encryption Protocol ) 和€%eTESLA ( micro Timed Efficient Streaming Loss-tolerant Authentication Protocol) 两个部分。前者用于实现点到点通信的机密性、完整性和新鲜性，后者实现网络广播消息的验证。下面对SNEP和€%eTESLA 进行简单的介绍。 1.安全网络加密协议SNEP。SNEP协议提供网络所需的数据机密性、认证性、完整性和新鲜性。SNEP 本身只描述安全实施的协议过程，并不规定实际使用的算法,具体的算法在具体实现时考虑。SNEP 协议采用预共享主密钥的安全引导模型,假设每个节点都和基站之间共享一对主密钥，其他密钥都是从主密钥衍生出来的。SNEP 协议的各种安全机制是通过信任基站完成的。 2.基于时间的高效的容忍丢包的流认证协议€%eTESLA 协议。SNEP协议可以较好的完成点对点的通信，但是对于广播消息的验证却有一定的困难。因为发送方和每一个接收者都采用的不同的对称密钥，发送方无法产生多个接收方都可以验证的消息验证码。为了实现广播消息的认证，SPINS提供€%eTESLA 协议。 €%eTESLA协议是基于时间的高效的容忍丢包的流认证协议，该协议的主要思想是先广播一个通过密钥Kmac认证的数据包，然后公布密钥Kmac。这样就保证了在密钥Kmac公布之前，没有人能够得到认证密钥的任何信息,也就没有办法在广播包正确认证之前伪造出正确的广播数据包。这样的协议过程恰好满足流认证广播的安全条件。三、密钥管理方案

北邮《网络与信息安全》期末复习题(含答案)

《网络与信息安全》综合练习题一．选择题 1．以下对网络安全管理的描述中，正确的是（D)。 D) 安全管理的目标是保证重要的信息不被未授权的用户访问. 2．以下有关网络管理功能的描述中,错误的是(D). D）安全管理是使网络性能维持在较好水平。 3．有些计算机系统的安全性不高，不对用户进行验证，这类系统的安全级别是（A）.A）D1 4．Windows NT操作系统能够达到的最高安全级别是(B）。B）C2 5．下面操作系统能够达到C2安全级别的是（D）。D）Ⅲ和ⅣⅢ。Windows NT Ⅳ.NetWare3。x 6．计算机系统处理敏感信息需要的最低安全级别是（C).C）C2 7．计算机系统具有不同的安全级别,其中Windows 98的安全等级是(D）。D）D1 8.计算机系统具有不同的安全等级，其中Windows NT的安全等级是（C）。C)C2 9。网络安全的基本目标是实现信息的机密性、合法性、完整性和_可用性__。10．网络安全的基本目标是保证信息的机密性、可用性、合法性和__完整性_。11．某种网络安全威胁是通过非法手段取得对数据的使用权,并对数据进行恶意添加和修改。这种安全威胁属于（B）.B）破坏数据完整性 12．以下方法不能用于计算机病毒检测的是（B)。B)加密可执行程序 13．若每次打开Word程序编辑文当时,计算机都会把文档传送到另一FTP服务器，那么可以怀疑Word程序被黑客植入（B）。B）特洛伊木马 14．网络安全的基本目标是实现信息的机密性、可用性、完整性和_完整性____。 15．当信息从信源向信宿流动时可能会受到攻击。其中中断攻击是破坏系统资源，这是对网络__可用_性的攻击。 16．有一类攻击可以确定通信的位置和通信主机的身份，还可以观察交换信息的频度和长度。这类攻击称为_通信量分析_。 17．下面攻击方法属于被动攻击的是（C).C)通信量分析攻击 18．下面攻击属于非服务攻击的是（C）。C)Ⅱ和ⅢⅡ。源路由攻击Ⅲ。地址欺骗攻击 19．下面（)攻击属于服务攻击.D）Ⅰ和ⅣⅠ。邮件炸弹攻击Ⅳ。DOS 攻击 20．通信量分析攻击可以确定通信的位置和通信主机的身份,还可以观察交换信息的频度和长度.这类安全攻击属于_被动性_攻击。 21．从信源向信宿流动过程中,信息被插入一些欺骗性的消息，这类攻击属于（B）。B)截取攻击 22．网络安全攻击方法可以分为服务攻击与_非服务_攻击。 23．关于RC5加密算法的描述中，正确的是（D）。D）分组和密钥长度都可变24．下面不属于对称加密的是(D）。D）RSA 25．DES是一种常用的对称加密算法，其一般的分组长度为(C）.C）64位26．关于RC5加密技术的描述中,正确的是（C)。C)它的密钥长度可变27．对称加密机制的安全性取决于_密钥_的保密性。 28．以下关于公钥密码体制的描述中，错误的是（C）。C)一定比常规加密更安全 29．以下关于公钥分发的描述中，错误的是(D)。D)公钥的分发比较简单30．张三从CA得到了李四的数字证书，张三可以从该数字证书中得到李四的(D)。D)公钥 31．在认证过程中,如果明文由A发送到B,那么对明文进行签名的密钥为(B）。 B）A的私钥 32．为了确定信息在网络传输过程中是否被他人篡改，一般采用的技术是（C). C）消息认证技术 33．MD5是一种常用的摘要算法，它产生的消息摘要长度是（C）。C）128位34．用户张三给文件服务器发命令,要求将文件“张三。doc”删除。文件服务器上的认证机制需要确定的主要问题是(C).C）该命令是否是张三发出的35．防止口令猜测的措施之一是严格地限制从一个终端进行连续不成功登陆的_次数_。 36．以下关于数字签名的描述中，错误的事（B）。B）数字签名可以保证消息内容的机密性 37．数字签名最常用的实现方法建立在公钥密码体制和安全单向_散列_函数的基础之上。 38．关于数字签名的描述中，错误的是（C）。C)可以保证消息内容的机密性39．Kerberos是一种网络认证协议，它采用的加密算法是（C）。C）DES 40．IPSec不能提供(D）服务。D）文件加密 41．下面关于IPSec的说法错误的是（D）。D）它只能在IPv4环境下使用

网络安全填空题

测试1 1、计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术、信息论等多学科的综合性学科。 2、应用层安全分解成网络层、操作系统、数据库的安全,利用TCP/IP各种协议运行和管理。 3、OSI/RM安全管理包括系统安全管理、安全服务管理和安全体制管理其处理的管理信息存储在数据表或文件中。 4、黑客的“攻击五部曲”是隐藏IP、踩点扫描、获得特权、种植后门、隐身退出。 5、身份认证是计算机网络系统的用户在进入系统或访问不同保护级别的系统资源时,系统确认该用户的身份是否真实、合法和唯一的过程。 6、在加密系统中，原有的信息被称为明文，由明文变为密文的过程称为加密,由密文还原成明文的过程称为解密。 7、数据库系统是指具有数据管理功能的计算机系统,它是一个实际可运行的、存储、维护和应用系统提供数据支持的系统。测试2 1、网络安全的五大要素和技术特征，分别是保密性、完整性、可用性、可控性、不可否认佳。 2、安全套接层SSL协议是在网络传输构成中，提供通信双方网络信息的保密性和可靠性，由SSL己录协议禾口SSLB手协议两层组成。 3、网络安全管理功能包括计算机网络的运行—处里维拉、服务提供等所需要的各种活动。 ISO定义的开放系统的计算机网络管理的功能包括故障管理功能、配置管理功能、性能管理功能、安全管理功能、计费管理功能。 4、端口扫描的防范也称为系统加固.主要有关闭闲置及危险端口和屏蔽出现扫描症状的端旦两种方法。 5、数字签名是指用户用自己的私钥对原始数据进行加密所得到特殊数字串，专门给用于保证信息来源的真实性、数据传输的完整性和抗抵赖性。 6、防火墙是一种被动安全策略执行设备，即对于新的未知攻击或者策略配置有误，防火墙就无能为力。测试3 1、计算机网络安全所涉及的内容包括实体安全、运行安全、系统安全、应用安全、管理安金等五个方面。 2、OSI/RM开放式系统互连参考模型的七层协议是物理层、数据链路层、传输层、网络层、会话层、表示层、应用层。 3、信息安全菅理他系是信息安全保障体系的一个重要组成部分，按照多层防护的思想，为实现信息安全战略而搭建。一般来说防护体系包括认知宣传教育、组织管理控制和审计— 监督三层防护结构。 4、密码攻击一般有网络监听非法得到用户密码、密码破解和放置特洛伊木马程序三种方法。其中密码破解有蛮力攻击和字典攻击两种方式。 5、一个完整的整的商务安全体系由网络基础结构层、PKI体系结构的、安—协议层、应用— 6、对称密码体制加密解密使用相同的密钥；非对称密码体制的加密及解密使用不相同的密钥，而且加密密钥和解密密钥要求无法互指推算。测试4 1、网络信息安全保障包括信息安全策略、信息安全管理、信息安全运作和信息安全技术四个方面。