选择题
1.下列不属于计算机网络的安全目标的是。A
A隐蔽性
B可用性
C不可否认性
D完整性
2.下列属于古典密码的是B
A分组密码
B仿射密码
C流密码
D不对称密码
3.对称密钥加密比非对称密钥加密C
A速度快
B速度相同
C速度快
D.通常较慢
4.RSA属于下列什么问题。D
A.椭圆曲线上的离散对数问题
B.背包问题
C.有限域的乘法群上的离散对数问题
D.大整数分解问题
5.三重 DES 和双密钥加密的方法,其用两个56位的密钥K1、K2,发送方用加密、解密,再使用___加密。D
A.K1 K2 K2
B.K2 K1 K1
C.K2 K2 K1
D.K1 K2 K1
6.下列哪个是非对称加密算法。C
A.IDEA
B.MD5
C.Diffie-Hellman
D.CRC
消息认证码是D
A.MD5
B.MD4
C.SHA-1
D.MAC
8.数字证书的申请及签发机关是A
A.CA B.PKI C.KGC D.Kerberos
9.确定用户身份称C
A.密码分析 B.加密 C.认证 D.数字签名
10.用于存储已签发的数字证书及公钥的是D
A.CA
B.密钥备份及恢复系统
C.证书作废系统
D.数字证书库
11.防火墙是指B
A.防止一切用户进入的硬件。
B.阻止侵犯进入和离开主机的通信硬件或软件
C.记录所有访问信息的服务器
D.处理出入主机的邮件的服务器
12.身份鉴别是安全服务中的重要一环,以下关于身份鉴别叙述不正确的是D
A.身份鉴别是授权控制的基础
B.数字签名机制是实现身份鉴别的重要机制
C.目前一般采用基于对称密钥加密或公开密钥加密的方法
D.身份鉴别一般不用提供双向的认证
13.下列不属于分组密码的工作模式的是C
A.电码本模式(ECB)
B.密码分组连接模式(CBC)
C.线形函数输出反馈(OFBNLF)
D.密码反馈模式(CFB)
14.椭圆曲线加密方法与RSA方法相比C
A.速度慢
B.速度相同
C.速度快
D.通常较慢
15.下列哪个是非对称加密算法.A
A.DES
B.AES
C.ECC
D.SHA
16.数字签名标准是指A
A.DSS
B.RSA
C.ECC
D.ECDSA
17.Kerbeors采用()加密。B
A.非对称
B.对称
C.MD5
D.SHA-1
18.一个基于网络的IDS应用程序利用()来检测攻击D
A.正确配置的DNS
B.特征库
C.攻击描述
D.信息包映探器
19.下列不属于防火墙技术的是A
A.IPSec技术
B.应用级网关
C.代理服务器
D.数据包过滤
20.数字签名要预先使用单向Hash函数进行处理的原因是。D
A.多一道加密工序使密文更难破译
B.提高密文的计算速度
C.保证密文能正确还原成明文
D.缩小签名密文的长度,加快数字签名和验证签名的运算速度
21.下列对子网系统的防火墙的描述错误的是D
A.控制对系统的访问
B.集中的安全管理
C.增强系统的保密性
D.防止内部和外部的威胁
22.针对数据包过滤和应用网关技术存在的缺点而引人的防火墙技术是C
A.包过滤型
B.应用级网关型
C.复合型防火墙
D.代理服务型
23.异常入侵检测系统利用被监控()的信息作为检测系统中入侵、异常活动的依据D
A.日志记录
B.网络通信包
C.正常行为
D.异常行为
填空题
1.移位和置换是密码技术的基础,如果采用移位算法,遵循以下规则:1-G、2-I、3-K、4-M、5-O、6-Q;则235经过移位转换之后的密文是IKQ
2.MD5算法生成的Hash值为128位。
3.DES是分组长度为56比特的分组密码算法。
4.ECC算法属于非对称体制加密算法。
5.两个通信终端用户在一次通话或交换数据时所使用的密钥称为会话密钥
6.Diffie-Hellman 密钥交换协议的安全性是基于计算大数的离散对数的困难。
7.防火墙的主要类型有、包过滤 应用代理和电路层网关。
8.SSL协议体系结构中最重要的两个协议是SSL记录协议和SSL握手协议。
9.密码体制从原理上可分为单密钥体制和双密钥体制两大类
10.分组密码的结构一般可以分为Feistel网络结构和S P网络结构两种。
11.一次一密机制主要有两种实现方式:采用请求/应答方式和采用时钟同步机制
12.PKI的基础技术包括、加密、数字签名、数据完整性机制、数字信封、双重数字签名等。
13.包过滤防火墙工作在TCPIP协议的网络层。
14.RSA算法属于非对称(填:对称密/对称)加密算法。
15.35的欧拉数即∮(35)= ?.
c语言跑一下
#include
#include
int eular(int n)
{
int ret=1,i;
for(i=2;i*i<=n;i++)
{
if(n%i==0)
{
n/=i,ret*=i-1;
while(n%i==0) n/=i,ret*=i;
}
}
if(n>1) ret*=n-1;
return ret;
}
int main ()
{
int n,s;
scanf("%d",&n);
s=eular(n);
printf("%d",s);//24
return 0;
}
16.密码系统的安全性取决于用户对于密钥的保护,实际应用中的密钥种类有很多,从密钥管理的角度可以分(初始密钥)、(会话密钥)、(密钥加密密钥)和(主密钥)。
17.DES是一个 分组密码 算法,它使用 56 位的密钥,以64位(一个分组)为单位对数据分组进行加/解密,密文与明文长度 相同均为64位 。DES是一个 对称密码体制 ,加/解密使用同一密钥,同时DES的加密与解密使用同一算法(这样,在硬件与软件实现时,有利于加密单元的重用)。DES的保密性依赖于密钥
18.AES是一种 对称 密码体制,其 明文分组 不变, 长度 可变。
19.DES有四种工作模式:电子密码本模式(ECB)、密文分组链接模式CBC)、密码反馈模式(CFB)和输出反馈模式(OFB)。
20.ECC是什么算法椭圆曲线密码算法
计算题
在RSA算法中,p=3,q=11,e=7,M=8,试对明文m进行加/解密,并比较计算结果。
在RSA算法中,p=3,q=11,e=7,M=3,试对明文m进行加/解密,并比较计算结果。
在RSA算法中,p=3,q=11,e=7,M=5,试对明文m进行加/解密,并比较计算结果。
设p=31,a=5,用户A选取随机数XA=4,用户B选取随机数XB-3。给出Diffie-Hellman密钥交换协议的执行过程,求用户A与用户B的共享密钥。
在使用RSA公钥系统中如果截取了发送给其他用户的密文C=10,若此用户的公钥为e=5,n=35,请问明文的内容是什么?
简单题
简要对比单密钥密码体制和双密钥密码体制
散列函数应该满足哪些性质?
解答:散列函数的目的是为了文件、消息或其他的分组数据产生“指纹”。用于消息认证的散列函数H必须满足如下性质:
(1)H能用于任何大小的数据分组,都能产生定长的输出。
(2)对于任何给定的x,H(x)要相对易于计算。
(3)对任何给定的散列码h,寻找x使得H(x)= h在计算上不可行(单向性)。
(4)对任何给定的分组x,寻找不等于x的y,使得H(x)=H(y)在计算上不可行(弱抗冲突)。
(5)寻找任何的(x,y),使得H(x)=H(y)在计算上不可行(强行冲突)。
公钥密码体制的三种应用
1)加密/解密
2)数字签名(身份认证)
3)密钥交换
请解释下列网络信息安全的要素:保密性、完整性、可用性
保密性
指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性,不会被未授权的第三方非法获知。具有敏感性的秘密信息,只有得到拥有者的许可,其他人才能够获得该信息,网络系统必须能够防止信息的非授权访问或泄露
完整性
指网络中的信息安全、精确与有效,不因人为的因素而改变信息原有的内容、形式与流问,即不能为未授权的第三方修改。它包含数据完整性的内涵,即保证数据不被非法地改动和销毁 同样还包含系统完整性的内涵,即保证系统以无害的方式按照预定的功能运行,不受有意的或者意外的非法操作所破坏。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于因特网上的协议(如TCP/IP)等,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息包内部的修改。
可用性
就是要保障网络资源无论在何时,无论经过何种处理,只要需要即可使用,而不因系统故障或误操作等使资源丢失或妨碍对资源的使用,使得严格时间要求的服务不能得到及时的响应。另外,网络可用性还包括具有在某些不正常条件下继续运行的能力。病毒就常常破坏信息的可用性,使系统不能正常运行,数据文件面目全非。
简述分组密码和流密码的异同。
解答:分组密码按一定的长度(如64字节、128字节等)对明文进行分组,然后以组为单位进行加/解密;
而流密码则不进行分组,而是按位进行加/解密码。他们之间最大的区别在于记忆性
简述零知识证明的原理及其满足的条件
解答:零知识证明是指一方(示证者p)为了试图向另一方(验证者v)证明自己知道某种某信息,使用有效的数字方法,使得另一方相信他掌握这一信息,却不泄露任何有用的信息。
零知识证明必须满足下列三个条件:
(1)p几乎不可能欺骗v:如果p知道证明,他可以使v以极大的概率相信他知道证明:如果p不知道证明,则他使得他知道证明的概率几乎为零。
(2)v几乎不可能知道证明的知识,特别是他不可能向别人重复证明过程。
(3)v无法从p那里得到任何有关证明的知识。
简述防火墙的功能?
解答:防火墙主要作用如下:
(1)防火墙对内部网实现了集中的安全管理,可以强化网络安全策略,比分散的主机管理更经济易行;
(2)防火墙能防止非授权用户进入内部网络;
(3)防火墙可以方便地监视网络的安全并及时报警;
(4)使用防火墙,可以实现网络地址转换,利用NAT技术,可以缓解地址资源的短缺,隐藏内部网的结构;
(5)利用防火墙对内部网络的划分,可以实现重点网段的分离,从而限制安全问题的扩散;
(6)所有的访问都经过防火墙,因此它是审计和记录网络的访问和使用的理想位置。
简述在安全审计分析中,日志分析的主要内容?
解答:日志分析就是在日志中寻找模式,主要内容如下:
(1)潜在侵害分析:日志分析应能用一些规则去监控审计事件,并根据规则发现潜在的入侵。这种规则可以是由己定义的可审计事件的子集所指示的潜在安全攻击的积累或组合,或者其他规则。
(2)基于异常检测的轮廓:日志分析应该确定用户正常行为的轮廓,当日志中的事件违反正常访问行为的轮廓,或超出正常轮廓一定的门限时,能指出将要发生的威胁。
(3)简单攻击探测;日志分析应对重大轮廓事件的特征有明确的描述,当这些攻击现象出现时,能及时指出。
(4)复杂攻击探测;要求高的日志分析系统还应能检测到多步入侵序列,当攻击序列出现时,能预测其发生的步骤。
简述静态包过滤防火墙的优缺点?
解答:包过滤防火墙的优点是:逻辑简单,对网络性能影响小,有较强的透明性。此外,它的工作和应用层无关,无须改动任何客户机和主机上的应用程序,易于安装和使用。
弱点是:配置基于包过滤方式的防火墙,需要对IP、TCP、UDP、ICMP等各种协议有深入了解,否则容易出现因配置不当带来的问题;过滤依据只有网络层和传输层的有限信息,各种安全要求不能得到充分满足;数据包的地址及端口号都在数据包的头部,不能彻底防止地址欺骗;允许外部客户和内部主机的直接联系;不提供用户的鉴别机制。
TCP/IP协议在安全性方面不够完善,请列举在TCP/IP协议各个层次可采取的安全措施,并加以简要说明。
答案要点:
网络层—IP安全性(IPSec)
传输层—SSL/TLS
应用层—S/MIME,PGP,PEM,SET,Kerberos,SHTTP,SSH
本来应对以上各要点展开论述,整体应描述清楚,结构完整。
哪8个安全服务和安全机制?
安全服务有:
同等实体认证、数据源认证、访问控制、保密性、流量保密性、数据完整性、不可否认性、可用性
安全机制有:
加密、数据签名、访问控制、数据完整性、认证交换、流量填充、路由控制、公证
论述题
试述数字签名基本原理,并说明数字签名的一般过程
解答:简单地说,数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码交换。这种数据或交换允许数据单元的接受者用以确认数据单元的来源或数据单元的完整性并保护数据,防止被人进行伪造。它是对电子形式的消息进行签名的一种方法
- 一般数字签名的过程为:始发者向接受者用明文发送消息m,为了让接受者确信m是始发者发送的,且没有被篡改过,始发者可在消息m的后面附上固定长度(比如60bit或128bit)的数码。接受者收到后,通过一系列的验证,对消息m进行确认或拒绝
在身份认证中,防止重放攻击的常用方式并试述他们的基本原理?在基于时间戳的认证中,当时钟不同步时,如何实现身份欺骗?怎样尽量避免出现此类问题?
解答:防止重放攻击的常用有时间戳攻击和提问/应答方式两种。
- 时间戳方式的基本思想是:A接受一个新消息当且仅当该消息包含一个时间戳,并且该时间戳在A看来是足够接近A所知道的当前时间。这种方法要求不同参与者之间的时钟同步。
- 提问/应答的基本原理是:A期望从B获得一个新消息,首先发给B一个临时值(challenge),并要求后续从B收到的消息(respnse)中都包含这个临时值或是由这个临时值进行某种实现约定的计算后的正确结果。
- 在基于时间戳的认证中,当时钟不同步时,当攻击者的时钟与合法发送方的时钟一致时,就可以冒充发送方的身份与被攻击者通信,从而获得有用信息.可以采用时间窗的方式来处理:一方面,时间窗应足够大,以包容网络延迟;另一方面,时间窗应足够小,最大限度地减少遭受攻击的机会。
描述数字签名的基本原理及过程
答:数字签名与加密不同,它的主要目的是保证数据的完整性和真实性,一般包括两部分:签名算法和验证算法,通常由公钥密码算法和杂凑函数(Hash算法)结合实现。假设发送方A要向接收方B发送一消息M,并对该消息进行数字签名,其具体的原理和过程如下:
①发送方A采用杂凑函数生成要发送消息M的消息摘要:Hash(M)
②发送方A采用自己的私钥Pra对消息M的消息摘要加密,实现签名:Epra(Hash(M)),并将签名与消息M并联形成最终要发送的消息:
M|| Epra(Hash(M)),然后发送该消息
③接收方B接收到消息后,采用发送方A的公钥Pua解密签名,恢复原始消息的摘要:
Hash(M)=Dpua(Epra(Hash(M)))
④接收方B采用杂凑函数,重新计算消息M的消息摘要:Hash(M),并与从发送方A接收到的消息摘要进行比较,若相等,则说明消息确实是发送方A发送的,并且消息的内容没有被修改过
数字签名技术对网络安全通信及各种电子交易系统的成功有重要的作用。
假定A和B已经通过某种方法获得了对方了的公钥交换,请利用公钥加密技术,设计个双向身份认证协议,并对你设计的协议做简要说明。
说明如下:
①在步骤1中,A告诉KDC他想与B建立安全连接,
②KDC将B的公钥证书的副本返回给A(步骤2)
③A通过B的公钥告诉B想与之通信,同时将临时交互号Na发送给B(步骤三)。
④在步骤4中,B向KDC所要A的公钥证书并请求会话密钥,由于B发送的消息中包含A的临时交互号,因此KDC可以用该临时交互号(在A产生的所有临时交互号中唯一)对会话密钥加戳,其中该临时交互号受KDC的公钥保护。
⑤在步骤5中,KDC将A的公钥证书的副本和消息{Na,Ks,,IDb)一起返回给B.这条消息说明,Ks是KDC为B产生的密钥,连接在Na职偶。Ks和Na的绑定是A确信Ks是新会话密钥,用KDC的私钥对三元组{Na,Ks,IDb)加密,使得B可以验证该三元组确实发自KDC;而且又用B的公钥对该三元组加密,因此其他各方均不能利用该三元组与A建立假冒链接.
⑥在步骤6中,三元组{Na,Ks,IDb)仍用KDC的私钥加密,再传给A并与B产生的Nb一同发送给A。
⑦A先解密得出会话密钥K,然后用Ks对Nb加密后发送给B,这样可使B确信A已经知道了会话密钥