【计算机类职业资格】网络工程师-网络安全及答案解析.doc

1、网络工程师-网络安全及答案解析(总分：54.00，做题时间：90 分钟)1.下列协议中，属于第三层 NPN协议的是 (46) 。（分数：1.00）A.TCPB.IPsecC.PPOED.SSL2. (20) 可用来保密个人信息。（分数：1.00）A.确保密码保密和安全B.确保该站点使用加密技术通过 Internet发送这些信息C.阅读每个站点上的“隐私策略”D.A、B 和 C3.数字签名(Digital Signature)：即是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。下列各项中， (1) 是数字签名不能保证的。（分数：1.00）A.接收者能够核实发送者对报文的

2、签名B.发送者事后不能抵赖对报文的签名C.接收者者不能伪造对报文的签名D.发送者能够保证只有接收者才能打开报文交换机的所有端口在缺省配置的情况下 (52) 。如果属于同一 VLAN的数据帧是连接在不同交换机上的，必须通过 (53) 传输。（分数：2.00）A.处于直通状态B.属于同一 VLANC.属于不同 VLAND.地址都相同A.服务器B.路由器C.Backbone链路D.Trunk链路DES加密算法是由 IBM研究在 1977年提出的，采用的密码技术是 (13) ，它采用 (14) bit 密钥对传输的数据进行加密，著名的网络安全系统 Kerberos采用的是 (15) 加密技术。公钥密码

3、是 (16) ，常用的公钥加密算法有 (17) ，它可以实现加密和数字签名。（分数：5.00）A.对称密钥密码技术B.公钥密码技术C.数字签名技术D.访问控制技术A.16B.128C.92D.64A.DESB.RSAC.HashD.IDEAA.对称密钥技术，有 1个密钥B.不对称密钥技术，有 2个密钥C.对称密钥技术，有 2个密钥D.不对称密钥技术，有 1个密钥A.RSAB.DESC.HashD.IDEASNMPv1是一个不安全的协议，管理站(Manager)与代理(Agent)之间通过 (8) 进行身份认证，由于认证信息没有加密，所以是不安全的。1998 年公布的 SNMPv3定义了基于用户

4、的安全模型 USM，其中的认证模型块结合 (9) 算法形成认证协议，产生了一个 96位的报文摘要。SNMPv3 还定义了基于视图的访问控制模型 VACM。在这个模型中，用户被分成组，属于同一组的用户可以有不同的安全级别，其中 (10) 是最高安全级别。RFC1757 定义的 RMON管理信息库是对 MIB-2的扩充，其中的统计组记录 (11) 的管理信息，而矩阵组则记录 (12) 的通信情况。（分数：5.00）A.团体名B.用户名 IDC.访问权限D.访问控制A.RC6和 SHAB.RC6和 MD5C.MD5和 RC6D.MD5和 SHAA.authPrivB.authNoPrivC.noAu

5、thNoPrivD.allA.局域网B.以太网C.令牌环网D.光纤网A.两个地区之间B.两个子网之间C.一对主机之间D.一个机器内部4.Internet的防火墙一般建立在网络的 (18) 。（分数：1.00）A.内部子网之间传送信息的中枢B.内部网与外部网的交叉点C.部分内部网络和外部网络的结合点D.每个子网的内部5.SSL(安全套接字层)通常使用下面哪个 TCP端口 (42) 。（分数：1.00）A.110B.1433C.443D.520在 ISO/OSI七层参考模型中，各个层都提供了自己的网络安全服务。其中，物理层采用 (26) 加强通信线路的安全；数据链路层采用 (27) 进行链路加密；

6、网络层采用 (28) 来处理信息内外网络边界流动和建立透明的安全加密信道；传输层主要解决进程到进程间的加密，最常见的传输层安全技术有 (29) ；为了将低层安全服务进行抽象和屏蔽，最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供 (30) 安全服务。（分数：5.00）A.防窃听技术B.防火墙技术C.防病毒技术D.防拒认技术A.公钥基础设施B.Kerberos鉴别C.通信保密机D.CA认证中心A.防窃听技术B.防火墙技术C.防病毒技术D.防拒认技术A.SETB.IPSecC.S-HTTPD.SSLA.身份认证B.访问控制C.身

7、份认证、访问控制和数据加密D.数据加密6.以下选项中， (41) 是最不安全的身份认证方案。（分数：1.00）A.用户发送口令，由通信对方指定共享密钥B.用户发送口令，由智能卡产生解密密钥C.用户从 KDC获取会话密钥D.用户从 CA获取数字证书RSA是一种基于 (31) 原理的公钥加密算法。PGP 协议采用 RSA和 IDEA两种加密算法组成链式加密体系，优点是 (32) ，还可以对电子邮件进行认证，认证机制是用 MD5算法产生 (33) 位的报文摘要，发送方用自己的 RSA私钥对 (34) 进行加密。如果发送方要向一个陌生人发送保密信息，但是没有对方的公钥，那么可以 (35) 。（分数：5

8、.00）A.大素数分解B.椭圆曲线C.背包问题D.离散对数A.两种算法互相取长补短，从而提高了信息的保密性B.可以组合成一种新的加密算法，从而避免专利技术的困扰C.既有 RSA体系的快捷性，又有 IDEA算法的保密性D.既有 RSA体系的保密性，又有 IDEA算法的快捷性A.256B.160C.128D.96A.邮件明文B.IDEA密钥C.邮件明文和报文摘要D.报文摘要A.向对方打电话索取公钥B.从权威认证机构获取对方的公钥C.制造一个公钥发给对方D.向对方发一个明文索取公钥SNMP是 TCP/IP网络中的使用的网管协议，其中，SNMPv1 是一个不安全的协议，管理站(Manager)与代理(

9、Agent)之间通过 (36) 进行身份认证，由于认证信息没有加密，所以是不安全的。 SNMPv3 定义了基于用户的安全模型 USM，其中的认证模块结合 (37) 算法形成认证协议，产生一个 96位的报文摘要。SNMPv3还定义了基于视图的访问控制模型 VACM。在这个模型中，用户被分成组，属于同一组的用户可以有不同的安全级别，其中 (38) 是最高安全级别。RPC1757 定义的 RMON 管理信息库是对 MIB-2的扩充，其中的统计组记录 (39) 的管理信息，而矩阵组则记录 (40) 的通信情况。（分数：5.00）A.团体名B.用户名 IDC.访问权限D.访问控制A.RC6和 SHAB.

10、RC6和 MD4C.MD5和 RC6D.MD5和 SHAA.authPrivB.authNOPrivC.noAuthNoPrivD.allA.局域网B.以太网C.令牌环网D.光纤网A.两个地区之间B.两个子网之间C.一对主机之间D.一个机器内部7.现在具有加密/解密功能的路由器使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网(Virtual Private Network，VPN)，下列各项属于 VPN所采用的加密手段的是 (7) 。（分数：1.00）A.具有加密功能的防火墙B.单独的加密设备C.具有加密功能的路由器D.VPN内的各台主机对各自的信息进行相应的加密8.为了

11、防止 (54) ，电子商务交易必须具备抗抵赖性。（分数：1.00）A.一个实体假装成另一个实体B.参与此交易的一方否认曾经发生过此次交易C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去。数字证书采用公钥体制进行加密和解密。对每个用户来说具有一个私钥和一个公钥，私钥用来进行 (47) ；公钥用于 (48) 。X.509 标准规定，数字证书的发放组织是 (49) 。X.509 数字证书中的签名字段是指 (40) 。如果用户 UA从 A地的发证机构取得了证书，用户 UB从 B地的发证机构取得了证书，那么 (51) 。（分数：5.00）A.解密和验证B.解密和签名C.加密和签名

12、D.加密和验证A.解密和验证B.解密和签名C.加密和签名D.加密和验证A.密钥分发中心B.证书授权中心C.国际电信联盟D.当地政府A.用户对自己证书的签名B.用户对发送报文的签名C.发证机构对用户证书的签名D.发证机构对发送报文的签名A.UA可使用自己的证书直接与 UB进行安全通信B.UA通过一个证书链可以与 UB进行安全通信C.UA和 UB还须向对方的发证机构申请证书，才能进行安全通信D.UA和 UB都要向国家发证机构申请证书，才能进行安全通信RSA是根据 (2) 原理得到的公钥加密算法。PGP 协议采用 RSA和 IDEA两种加密算法组成链式加密体系的优点是 (3) 。POP 可以对电子邮

13、件进行认证，认证机制是用 MD5算法产生 (4) 位的报文摘要，发送方用自己的 RSA私钥对 (5) 进行加密，附加在邮件中进行传送。如果发送方要向一个陌生人发送保密信息，又没有对方的公钥，那么他可以 (6) 。（分数：5.00）A.大素数分解B.椭圆曲线C.背包问题D.离散对数A.两种算法互相取长补短，从而提高了信息的保密性B.可以组合成一种新的加密算法，从而避免专利技术的困扰C.既有 RSA体系的快捷性，又有 IDEA算法的保密性D.既有 RSA体系的保密性，又有 IDEA算法的快捷性A.256B.142C.128D.96A.邮件明文B.IDEA密钥C.邮件明文和报文摘要D.报文摘要A.向

14、对方打电话索取公钥B.从权威认证机构获取对方的公钥C.制造一个公钥发给对方D.向对方发一个明文索取公钥公开密钥加密是一种 (43) 。常用的公钥加密算法有 (44) ，它的一个比较知名的应用是 (45) ，这种应用的协商层用公钥方式进行身份认证，记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。（分数：3.00）A.对称密钥技术，有 1个密钥B.不对称密钥技术，有 2个密钥C.对称密钥技术，有 2个密钥D.不对称密钥技术，有 1个密钥A.DESB.IDESC.三元 DESD.RSAA.SSLB.SOCK5C.安全 RPCD.MD59.Kerberos是一种对服务请求进行认证的方法，

15、下列 (19) 不是 Kerberos的设计目标。（分数：1.00）A.授权B.加密C.认证D.记账在采用公钥加密算法 RSA进行加密的前提下，主机 A向主机 B发送消息 P。如果使用公钥体制进行数字签名，设 E表示公钥，D 表示私钥，则主机 B要保留的证据是 (21) 。 (22) 是基于数论原理的 RSA算法的安全性建立的基础。MIT 为校园网设计的身份认证系统 Kerberos利用智能卡产生 (23) 密钥，可以防止窃听者捕获认证信息。为了防止会话劫持，Kerberos 提供了 (24) 机制，另外报文中还加入了 (25) ，用于防止重发攻击(replay attack)。（分数：5.0

16、0）A.EA(P)B.EB(P)C.DA(P)D.DB(P)A.大数难以分解因子B.大数容易分解因子C.容易获得公钥D.私钥容易保密A.私有B.加密C.一次性D.会话A.连续加密B.报文认证C.数字签名D.密钥分发A.伪随机数B.时间标记C.私有密钥D.数字签名网络工程师-网络安全答案解析(总分：54.00，做题时间：90 分钟)1.下列协议中，属于第三层 NPN协议的是 (46) 。（分数：1.00）A.TCPB.IPsec C.PPOED.SSL解析：解析 上述协议中，TCP 工作于第二层；IPsec 工作于第三层；PPOE 工作于第二层；SSL 介于第二层和第三层之间。2. (20) 可

17、用来保密个人信息。（分数：1.00）A.确保密码保密和安全B.确保该站点使用加密技术通过 Internet发送这些信息C.阅读每个站点上的“隐私策略”D.A、B 和 C 解析：解析 略3.数字签名(Digital Signature)：即是只有信息发送者使用公开密钥算法的主要技术产生的别人无法伪造的一段数字串。下列各项中， (1) 是数字签名不能保证的。（分数：1.00）A.接收者能够核实发送者对报文的签名B.发送者事后不能抵赖对报文的签名C.接收者者不能伪造对报文的签名D.发送者能够保证只有接收者才能打开报文 解析：解析 数字签名(Digital Signature)：即是只有信息发送者使用

18、公开密钥算法的主要技术产生的别人无法伪造的一段数字串。发送者用自己的私有密钥加密数据传给接收者，接收者用发送者的公钥解开数据后，就可确定消息来自于谁，同时也是对发送者发送的信息的真实性的一个证明发送者对所发信息不能抵赖。交换机的所有端口在缺省配置的情况下 (52) 。如果属于同一 VLAN的数据帧是连接在不同交换机上的，必须通过 (53) 传输。（分数：2.00）A.处于直通状态B.属于同一 VLAN C.属于不同 VLAND.地址都相同解析：A.服务器B.路由器C.Backbone链路D.Trunk链路 解析：解析 本题主要考查交换机的相关知识。交换机的端口，分为访问链接(Access Li

19、nk)和汇聚链接(Trunk Link)。其中，访问链接指的是“只属于一个 VLAN，且仅向该 VLAN转发数据帧”的端口。在大多数情况下，访问链接所连的是客户机。汇聚链接(Trunk Link)指的是能够转发多个不同 VLAN的通信的端口。DES加密算法是由 IBM研究在 1977年提出的，采用的密码技术是 (13) ，它采用 (14) bit 密钥对传输的数据进行加密，著名的网络安全系统 Kerberos采用的是 (15) 加密技术。公钥密码是 (16) ，常用的公钥加密算法有 (17) ，它可以实现加密和数字签名。（分数：5.00）A.对称密钥密码技术 B.公钥密码技术C.数字签名技术D

20、.访问控制技术解析：A.16B.128C.92D.64 解析：A.DES B.RSAC.HashD.IDEA解析：A.对称密钥技术，有 1个密钥B.不对称密钥技术，有 2个密钥 C.对称密钥技术，有 2个密钥D.不对称密钥技术，有 1个密钥解析：A.RSA B.DESC.HashD.IDEA解析：解析 DES 加密算法是由 IBM研究在 1977年提出的。使用 64位(bit)的数据进行加密和解密的，所用的密钥也是 64位。并被美国国家标准局宣布为数据加密标准 DES，主要用于非国家保密机关。DES 加密算法采用对称密钥密码技术，采用 DES的一个著名的网络安全系统是 Kerberos，它是网

21、络通信中身份认证的事实标准；公钥加密算法中使用最广的是 RSA，它于 1978年推出，比较知名的应是 SSL，在美国加拿大地区 SSL是 128位 RSA算法，由于出口的限制，其它地区通用的则是 40位版本。SNMPv1是一个不安全的协议，管理站(Manager)与代理(Agent)之间通过 (8) 进行身份认证，由于认证信息没有加密，所以是不安全的。1998 年公布的 SNMPv3定义了基于用户的安全模型 USM，其中的认证模型块结合 (9) 算法形成认证协议，产生了一个 96位的报文摘要。SNMPv3 还定义了基于视图的访问控制模型 VACM。在这个模型中，用户被分成组，属于同一组的用户可

22、以有不同的安全级别，其中 (10) 是最高安全级别。RFC1757 定义的 RMON管理信息库是对 MIB-2的扩充，其中的统计组记录 (11) 的管理信息，而矩阵组则记录 (12) 的通信情况。（分数：5.00）A.团体名 B.用户名 IDC.访问权限D.访问控制解析：A.RC6和 SHAB.RC6和 MD5C.MD5和 RC6D.MD5和 SHA 解析：A.authPriv B.authNoPrivC.noAuthNoPrivD.all解析：A.局域网B.以太网 C.令牌环网D.光纤网解析：A.两个地区之间B.两个子网之间 C.一对主机之间D.一个机器内部解析：解析 简单网络管理协议(Si

23、mple Network Management Protocol)是一个不安全的协议，管理站(Manager)与代理 (Agent)之间通过团体名进行身份认证。网络管理协议第一版(SNMPv1)已经事实上存在了很长一段时间，虽然在接下采的网络管理协议第二版(SNMPv2)中，第一版的许多问题得到了解决。尽管如此，在如此大的一个网络中，很多地方还是沿用着最初的第一版本，1998 年公布的 SNMPv3定义了基于用户的安全模型 USM，其中的认证模型块结合 MD5和 SHA算法形成认证协议，产生了一个 96位的报文摘要。SNMPv3 还定义了基于视图的访问控制模型 VACM。在这个模型中，用户被分

24、成组，属于同一组的用户可以有不同的安全级别，其中 authPriv是最高安全级别。RFC1757 定义的 RMON管理信息库是对 MIB-2的扩充，其中的统计组记录以太网的管理信息，而矩阵组则记录两个子网之间的通信情况。4.Internet的防火墙一般建立在网络的 (18) 。（分数：1.00）A.内部子网之间传送信息的中枢B.内部网与外部网的交叉点 C.部分内部网络和外部网络的结合点D.每个子网的内部解析：解析 防火墙是一种充当网络与外部世界之间保护屏障的安全系统。5.SSL(安全套接字层)通常使用下面哪个 TCP端口 (42) 。（分数：1.00）A.110B.1433C.443 D.52

25、0解析：解析 本题主要考查了 SSL的端口知识。安全套接字层(SSL)协议基于公钥加密技术在客户端和服务器之间提供加密的和经过验证的通信。为了发送加密的消息，发送者会使用接收者的公钥对该消息进行加密，接收者再使用接收者的私钥对该消息进行解密。只有具有私钥的接收者才能对消息进行解密。SSL 通常使用的 TCP端口是 443。在 ISO/OSI七层参考模型中，各个层都提供了自己的网络安全服务。其中，物理层采用 (26) 加强通信线路的安全；数据链路层采用 (27) 进行链路加密；网络层采用 (28) 来处理信息内外网络边界流动和建立透明的安全加密信道；传输层主要解决进程到进程间的加密，最常见的传输

26、层安全技术有 (29) ；为了将低层安全服务进行抽象和屏蔽，最有效的一类做法是可以在传输层和应用层之间建立中间件层次实现通用的安全服务功能，通过定义统一的安全服务接口向应用层提供 (30) 安全服务。（分数：5.00）A.防窃听技术 B.防火墙技术C.防病毒技术D.防拒认技术解析：A.公钥基础设施B.Kerberos鉴别C.通信保密机 D.CA认证中心解析：A.防窃听技术B.防火墙技术 C.防病毒技术D.防拒认技术解析：A.SETB.IPSecC.S-HTTPD.SSL 解析：A.身份认证B.访问控制C.身份认证、访问控制和数据加密 D.数据加密解析：解析 本题主要考查了 ISO/OSI七层参

27、考模型各个层次上的安全机制。1)物理层上，采用防窃听技术，这是一种通过将传输线封装在内含高压气体的密封管线中以有效的对付搭线窃听的安全机制。2)数据链路层上，采用链路加密机制，当分组离开一台机器的时候可以加密，当进入另一机器的时候可以解密。3)网络层上，可以通过安装防火墙来对分组进行过滤，让好的分组正常通过，坏的分组禁止出入。IPSec也是运行在这一层上。4)传输层上，整个连接可以采用端到端的加密，即从进程到进程的加密。其中一种重要机制是 SSL(安全套接字层)，它在两个套接字之间建立一个安全的连接。而它的进行标准化之后得到 TLS(传输层安全)。5)在应用层上，采用了用户认证等安全手段。6.

28、以下选项中， (41) 是最不安全的身份认证方案。（分数：1.00）A.用户发送口令，由通信对方指定共享密钥 B.用户发送口令，由智能卡产生解密密钥C.用户从 KDC获取会话密钥D.用户从 CA获取数字证书解析：解析 本题考查了网络安全方面的知识：在分布式环境中实现身份认证可以有多种方案，用户发送口令，由通信对方指定共享密钥是最不安全的身份认证方案式。RSA是一种基于 (31) 原理的公钥加密算法。PGP 协议采用 RSA和 IDEA两种加密算法组成链式加密体系，优点是 (32) ，还可以对电子邮件进行认证，认证机制是用 MD5算法产生 (33) 位的报文摘要，发送方用自己的 RSA私钥对 (

29、34) 进行加密。如果发送方要向一个陌生人发送保密信息，但是没有对方的公钥，那么可以 (35) 。（分数：5.00）A.大素数分解 B.椭圆曲线C.背包问题D.离散对数解析：A.两种算法互相取长补短，从而提高了信息的保密性B.可以组合成一种新的加密算法，从而避免专利技术的困扰C.既有 RSA体系的快捷性，又有 IDEA算法的保密性D.既有 RSA体系的保密性，又有 IDEA算法的快捷性 解析：A.256B.160C.128 D.96解析：A.邮件明文B.IDEA密钥C.邮件明文和报文摘要 D.报文摘要解析：A.向对方打电话索取公钥B.从权威认证机构获取对方的公钥 C.制造一个公钥发给对方D.向

30、对方发一个明文索取公钥解析：解析 本题主要测试了 RSA加密算法的相关内容：RSA算法是基于大数难以分解因子数论原理建立的。它所依据的原理是：根据数论，寻求两个素数比较简单，而将它们的乘积分解则极其困难。在此体制中，每个用户有两个密钥：加密密钥 PK=e,n和解密密钥 SK=d,n。PGP协议的加密算法采用 RSA和 IDEA两种加密算法；既有 RSA的保密性，又有 IDEA算法的快捷性；该协议的认证机制采用 MD5算法；可以产生 128位的报文摘要，然后发送方用自己的 RSA私钥对邮件明文和报文摘要进行加密。SNMP是 TCP/IP网络中的使用的网管协议，其中，SNMPv1 是一个不安全的协

31、议，管理站(Manager)与代理(Agent)之间通过 (36) 进行身份认证，由于认证信息没有加密，所以是不安全的。 SNMPv3 定义了基于用户的安全模型 USM，其中的认证模块结合 (37) 算法形成认证协议，产生一个 96位的报文摘要。SNMPv3还定义了基于视图的访问控制模型 VACM。在这个模型中，用户被分成组，属于同一组的用户可以有不同的安全级别，其中 (38) 是最高安全级别。RPC1757 定义的 RMON 管理信息库是对 MIB-2的扩充，其中的统计组记录 (39) 的管理信息，而矩阵组则记录 (40) 的通信情况。（分数：5.00）A.团体名 B.用户名 IDC.访问权

32、限D.访问控制解析：A.RC6和 SHAB.RC6和 MD4C.MD5和 RC6D.MD5和 SHA 解析：A.authPriv B.authNOPrivC.noAuthNoPrivD.all解析：A.局域网B.以太网 C.令牌环网D.光纤网解析：A.两个地区之间B.两个子网之间 C.一对主机之间D.一个机器内部解析：解析 本题考查 SNMP的相关知识：1)SNMP是 TCP/IP网络中的使用的网管协议，已经发展了几个版本。其中，SNMPv1 是一个不安全的协议，它的安全机制采用基于团体字符串认证方式，信息不进行加密。SNMPv3 提供了设备安全访问机制，是由认证和网络传输中数据包加密的组合方

33、式实现的，定义了基于用户的安全模型 USM，其中的认证模块结合MD5和 SHA算法形成认证协议。2)SNMPv3定义了安全等级，其中包括 noAuthNoPriv、authNoPriv、authPriv 三个级别，其中 authPriv是最高安全级别。3)RPC1757定义的 RMON管理信息库是对 MIB-2的扩充，其中的统计组记录以太网的管理信息，而矩阵组则记录两个子网之间的通信情况。7.现在具有加密/解密功能的路由器使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网(Virtual Private Network，VPN)，下列各项属于 VPN所采用的加密手段的是 (

34、7) 。（分数：1.00）A.具有加密功能的防火墙B.单独的加密设备C.具有加密功能的路由器D.VPN内的各台主机对各自的信息进行相应的加密 解析：解析 现在具有加密/解密功能的路由器使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网(Virtual Private Network，VPN)。当数据离开发送者所在的局域网时，该数据首先被用户端连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的 IAN中的用户就可以看到真正的信息了。8.为了防止 (54) ，电子商务交易必须具备抗抵赖性。（分

35、数：1.00）A.一个实体假装成另一个实体B.参与此交易的一方否认曾经发生过此次交易 C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去。解析：解析 本题考查了网络安全方面的知识：电子商务交易必须具备抗抵赖性，目的在于防止参与此交易的一方否认曾经发生过此次交易。数字证书采用公钥体制进行加密和解密。对每个用户来说具有一个私钥和一个公钥，私钥用来进行 (47) ；公钥用于 (48) 。X.509 标准规定，数字证书的发放组织是 (49) 。X.509 数字证书中的签名字段是指 (40) 。如果用户 UA从 A地的发证机构取得了证书，用户 UB从 B地的发证机构取得了证书，那么

36、 (51) 。（分数：5.00）A.解密和验证B.解密和签名 C.加密和签名D.加密和验证解析：A.解密和验证B.解密和签名C.加密和签名D.加密和验证 解析：A.密钥分发中心B.证书授权中心 C.国际电信联盟D.当地政府解析：A.用户对自己证书的签名B.用户对发送报文的签名C.发证机构对用户证书的签名 D.发证机构对发送报文的签名解析：A.UA可使用自己的证书直接与 UB进行安全通信B.UA通过一个证书链可以与 UB进行安全通信 C.UA和 UB还须向对方的发证机构申请证书，才能进行安全通信D.UA和 UB都要向国家发证机构申请证书，才能进行安全通信解析：解析 本题考查了网络安全方面的知识：

37、数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性，用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认性。数字证书是各类终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。数字证书是一个经证书认证中心(CA)数字签名的包含公开密钥拥有者信息以及公开密钥的文件。认证中心(CA)作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。认证中心颁发的数字证书均遵循 X.509V3标

38、准。X.509 标准在编排公共密钥密码格式方面已被广为接受。X.509 证书已应用于许多网络安全，其中包括 IPSec(IP安全)、SSL、SET、S/MIME。数字证书采用公钥体制进行加密和解密。私钥的作用是进行解密和签名；公钥的作用是，用于加密和验证。X.509标准规定，数字证书由证书授权中心发放；X.509 数字证书中的签名字段是指发证机构对用户证书的签名。如果用户 UA从 A地的发证机构取得了证书，用户 UB从 B地的发证机构取得了证书，那么 UA通过一个证书链可以与 UB进行安全通信。RSA是根据 (2) 原理得到的公钥加密算法。PGP 协议采用 RSA和 IDEA两种加密算法组成链

39、式加密体系的优点是 (3) 。POP 可以对电子邮件进行认证，认证机制是用 MD5算法产生 (4) 位的报文摘要，发送方用自己的 RSA私钥对 (5) 进行加密，附加在邮件中进行传送。如果发送方要向一个陌生人发送保密信息，又没有对方的公钥，那么他可以 (6) 。（分数：5.00）A.大素数分解 B.椭圆曲线C.背包问题D.离散对数解析：A.两种算法互相取长补短，从而提高了信息的保密性B.可以组合成一种新的加密算法，从而避免专利技术的困扰C.既有 RSA体系的快捷性，又有 IDEA算法的保密性D.既有 RSA体系的保密性，又有 IDEA算法的快捷性 解析：A.256B.142C.128 D.96

40、解析：A.邮件明文B.IDEA密钥C.邮件明文和报文摘要D.报文摘要 解析：A.向对方打电话索取公钥B.从权威认证机构获取对方的公钥 C.制造一个公钥发给对方D.向对方发一个明文索取公钥解析：解析 RSA(Rivest-Shamir-Adleman)算法是一种基于大数不可能质因数分解假设的公钥体系。简单地说，就是找两个很大的质数，一个公开给世界，称之为“公钥”，另一个不告诉任何人，称之为“私钥”。两把密钥互补用公钥加密的密文可以用私钥解密，反过来也一样。假设 A寄信给 B，他们知道对方的公钥。A 可用 B的公钥加密邮件寄出，B 收到后用自己的私钥解出 A的原文，这样就保证了邮件的安全性。PGP

41、是贴 A和传统加密的杂合算法。IDEA 的加(解)密速度比 RSA快得多，所以实际上 PGP是用一个随机生成密匙(每次加密不同)用 IDEA算法对明文加密，然后用贴 A算法对该密匙加密。这样收件人同样是用RSA解密出这个随机密匙，再用 IDEA解密邮件本身。这样的链式加密就做到了既有 RSA体系的保密性，又有 IDEA算法的快捷性。POP(Psot Office Protocol)，即邮局协议。目前用的是版本 3，所以人们通常将它称为 POP3，RFC 1939定义了这个协议。POP 和 SMTP一样，也是一种机制，Internet 上大多数人通过它得到邮件。该协议规定每个用户只能有一个邮箱的

42、支持。POP 还可以对电子邮件进行认证，认证机制是用 MD5算法产生 128位的报文摘要，发送方用自己的贴 A私钥对报文摘要进行加密，附加在邮件中进行传送。如果发送方要向一个陌生人发送保密信息。又没有对方的公钥，那么他可以从权威认证机构获取对方的公钥。公开密钥加密是一种 (43) 。常用的公钥加密算法有 (44) ，它的一个比较知名的应用是 (45) ，这种应用的协商层用公钥方式进行身份认证，记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。（分数：3.00）A.对称密钥技术，有 1个密钥B.不对称密钥技术，有 2个密钥 C.对称密钥技术，有 2个密钥D.不对称密钥技术，有 1个密

43、钥解析：A.DESB.IDESC.三元 DESD.RSA 解析：A.SSL B.SOCK5C.安全 RPCD.MD5解析：解析 本题主要考查了公开密钥加密的相关知识。目前，有两种加密技术：私有密钥加密和公开密钥加密。私有密钥加密方法被称为对称密钥加密，发送者和接受者的加密信息均具有私有密钥，公开密钥加密方法被称为非对称密钥加密，对于每一个使用者建立两个相关的但不同的加密与解密密钥。基本思想是设计一种新的加密算法，该算法拥有一对不同的加密密钥 E和解密密钥 D。使得 E和 D之间具有如下性质：(1)D(E(M)=M，即对数据 M用 E加密后再用 D解密，应当可以还原为 M；(2)E和 D都是易于

44、计算的；(3)从 E难以推导出 D的结构。常用的公钥加密算法有 RSA，它可以实现加密和数字签名，SSL 是它的一个比较知名的应用。9.Kerberos是一种对服务请求进行认证的方法，下列 (19) 不是 Kerberos的设计目标。（分数：1.00）A.授权B.加密 C.认证D.记账解析：解析 Kerberos 是一种对服务请求进行认证的方法。Kerberos 主要由 MIT的 Athena Project进行开发，它的名字取自一个希腊神话，Kerberos，是一个三个头的狗保护着 Hades的大门。Kerberos 要求用户请求一个从认证进程获得的“ticket”，使用这个东西可以向服务器

45、获得相应的服务。这样一来，用户的口令不必在网络上传输。对于它的实现，你可以从 MIT的网站上下载，也可以花点钱买一个商业产品。在采用公钥加密算法 RSA进行加密的前提下，主机 A向主机 B发送消息 P。如果使用公钥体制进行数字签名，设 E表示公钥，D 表示私钥，则主机 B要保留的证据是 (21) 。 (22) 是基于数论原理的 RSA算法的安全性建立的基础。MIT 为校园网设计的身份认证系统 Kerberos利用智能卡产生 (23) 密钥，可以防止窃听者捕获认证信息。为了防止会话劫持，Kerberos 提供了 (24) 机制，另外报文中还加入了 (25) ，用于防止重发攻击(replay at

46、tack)。（分数：5.00）A.EA(P)B.EB(P)C.DA(P) D.DB(P)解析：A.大数难以分解因子 B.大数容易分解因子C.容易获得公钥D.私钥容易保密解析：A.私有B.加密C.一次性 D.会话解析：A.连续加密 B.报文认证C.数字签名D.密钥分发解析：A.伪随机数B.时间标记 C.私有密钥D.数字签名解析：解析 本题考查公钥加密算法 RSA的相关知识以及 Kerberos的特点：基于数论中大数分解问题的 RSA体制是目前最著名的公开密钥密码体制，它所依据的原理是：根据数论，寻求两个素数比较简单，而将它们的乘积分解则极其困难。在此体制中，每个用户有两个密钥：加密密钥PK=e,n和解密密钥 SK=d,n。如果使用公钥体制进行数字签名，主机 A向主机 B发送消息 P，则主机 B要将 DA(P)作为证据保留下来，防止 A 否认向 B发送过数据。大数难以分解因子是基于数论原理的 BSA算法的安全性建立的基础。Kerberos系统利用智能卡产生一次性密钥，提供了连续加密机制，另外报文中还加入了时间标记，用于防止重发攻击(replay attack)。