选择题

1． 以下不属于数据加密算法的有（C）。

A. RSA B. ECC C. SET D. DES

2． 以下不属于数据加密算法的有（D）。

A. MD5 B. SHA C. RSA D. AES

3. 下面是Feistal结构对称密码算法的是（D）。

A. RSA B. SHARK C. AES D. DES

4. 当执行典型的公钥操作时，处理器时间的用量通常由多到少的顺序是（C）。

A. 乘法、约简、平方和模逆 B. 平方、 乘法、约简和模逆

C. 约简、乘法、平方和模逆 D. 模逆、约简、乘法和平方

5. 以下不属于哈希函数的是（B）。

A. SHA B. ECC C. RIPEMD D. MD5

6. 当密钥长度为n比特时，有（B）个可能的穷举对象。

A. n B. 2^n C. n x n D. n^2

7. 在现在的计算能力范围内，长度在（C）比特以上的密钥是安全的。

A. 32 B. 64 C. 128 D. 256

8. 从网络应用来分，密钥分为基本密钥、会话密钥、密钥加密密钥和（D）。

A. 公钥 B. 主机密钥 C. 私钥 D. 口令

9. 在身份认证中，（D）属于用户的特征。

A. 密钥 B. 密钥盘 C. 身份证 D. 声音

10. 属于计算机内部威胁的是（A）。

A. 操作系统存在缺陷 B. 内部泄密

C. 计算机病毒 D. 电子谍报

11. 防火墙能够（B）。

A. 防范恶意的知情者 B. 防范通过它的恶意连接

C. 防范新的网络安全问题 D. 完全防止传送已被病毒感染的软件和文件

12. 某设备机构有12个人，任意两人之间可以进行密钥对话，且任意两人间用不同密钥，则需要的密钥个数为（B）。

A. 45 B. 66 C. 90 D. 132

13. 以下哪个最好的描述了数字证书（A）。

A. 等同于在网络上证明个人和公司身份的身份证

B. 浏览器的一标准特性，它使得黑客不能得知用户的身份

C. 网站要求用户使用用户名和密码登陆的安全机制

D. 伴随在线交易证明购买的收据

14. 入侵检测系统从所监测对象分为（B）。

A. 分布入侵检测系统和集中入侵检测系统

B. 基于主机的入侵检测系统和基于网络的入侵检测系统DCBA

C. 硬件入侵检测系统和软件入侵检测系统

D. B/S架构入侵检测系统和C/S架构入侵检测系统

15. 计算机病毒通常是（D）。

A. 一条命令 B. 一个文件

C. 一个标记 D. 一段程序代码

16. 根据加解密密钥是否相同可以将加密算法分为（A）。

A. 非对称型密码体制和对称型密码体制

B. 单向函数密码体制和双向函数密码体制

C. 分组密码体制和序列函数密码体制

D. 不可逆密码体制和双钥数密码体制

17. ASE属于（A）。

A. 分组加密算法 B. 序列密码算法

C. 公钥加密算法 D. hash摘要算法

18. 描述数字信息的接收方能够准确的验证发送方身份的技术术语是（D）。

A. 加密 B. 解密

C. 对称加密 D. 数字签名

19. 双密钥体制又称非对称密码体制个公开密钥密码体制，它有两个密钥，一个是公开的密钥，用K1表示，谁都可以使用；另一个是私人密钥，用K2表示，只由采用此体制的人自己掌握，两个密钥的关系是（D）。

A. K1和K2相同 B. 利用K1容易推出K2

C. K1和K2没有任何联系 D. 从K1推不出K2

20. 密码分析学是研究在不知道（A）的情况下恢复出明文的科学。

A. 密钥 B. 密文 C. 加密算法规则 D. 解密算法规则

21. 当密钥长度为8比特时，有（B）个可能的穷举对象。

A. 64 B. 256 C. 128 D. 8！

22. 在计算机的计算能力范围内，长度在（C）比特以上的密钥是安全的。

A. 32 B. 64 C. 128 D. 256

23. 根据攻击者掌握的信息来进行密码分析时，困难程度最大的是（C）。

A. 已知明文攻击 B. 选择密文攻击

C. 唯密文攻击 D. 选择明文攻击

24. 下列属安全的口令类型的是（B）。

A. 用户名的变形 B. 数字和字母的随意组合

C. 电话号码 D. 生日

填空题

1.数字签名技术能使数字信息的接受方准确的验证发送方的身份。

2.密码学的两个分支分别是密码编码学和密码分析学。

3.时间戳方式和提问/应答方式都可以有效防止重放攻击。

4.一般来说，产生认证符的方法可以分为信息加密MAC和散列函数。

5.流密码也称序列密码。

6.利用公钥加密算法或安全信道可以实现对称密码的密钥分配。

7.访问控制的目的是为了限制访问主体对访问客体的访问权限，从而是计算机系统在合法的范围内使用。

8.入侵者大致上可以分为假冒用户、违法用户和秘密用户。

9.防火墙的类型包括包过滤器、应用级网关和应用层网关。

10.IPSec既有加密也有认证功能。

11.密文反馈模式可以将任意分组密码转化为流密码。

12.密码学的两个分支分别是：密码编码学和密码分析学。

13.消息认证码可以鉴定消息完整性，消息是否来自其他共享秘钥的发送者。

14.PKI是公钥基础设施的英文缩写。

15.PGP是位于TCP/IP协议栈的应用层。

判断题

1. 通过数字签名可以保护信息的抗否认性（✔）。

2. MD5属于公钥加密算法（X）。

3. 双密钥体制又称为非对称密码体制，从它公开的密钥推不出私人密钥（X）。

4. DES属于Feistel结构的密码算法（✔）。

5. 安全性相当的情况下对称加密算法的计算代价大于非对称加密算法（X）。

6. RSA密码体制的困难性是基于离散对数（X）。

7. 安全性相当的情况下ECC比使用RSA计算代价要大（X）。

8. 散列函数能将指定长度的消息映射为固定长度的散列值，即消息摘要（✔）。

9. 访问控制：是在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制（✔）。

10. 防火墙对内部网起到了很好的保护作用，并且它是坚不可摧的（X）。

11. 密码学的目标之一是为了保护信息的完整性（✔）。

12. 通过计算数据的信息摘要可以检测信息的完整性（✔）。

13. 在1978年提出RSA公钥加密算法的人是Diffie和Hellman（X）。

14. RSA密码体制的数学基础是初等数学论证中的Euler定理，它是基于大整数分因子的困难性（✔）。

15. 安全性相当的情况下ECC比RSA计算代价要大（X）。

16. 常用数字签名算法有：ElGamal、RSA和DSA（✔）。

17. 入侵检测系统可以不满足实时性要求（X）。

18. 防火墙不仅可以阻断攻击，还能消灭攻击源（X）。

19. 防火墙对内部网起了很好的保护作用，并且它是坚不可摧的（X）。

20. ECC属于公钥加密算法（✔）。

解答题

第1章（16页）

1.3列出并简要定义被动和主动安全攻击的分类？

被动攻击：消息内容泄漏和流量分析。

主动攻击：假冒，重放，改写消息和拒绝服务。

1.4列出并简要定义安全服务的分类

认证，访问控制，数据机密性，数据完整性，不可抵赖性。

1.5列出并简要定义安全机制的分类。

特定安全机制：为提供osi安全服务，可能并到适当的协议层中。加密，数字签名，访问控制，数据完整性, 认证交换，流量填充，路由控制，公证。

普通安全机制：没有特定osi安全服务或者协议层的机制。可信功能，安全标签，事件检测，安全审计跟踪，安全恢复。

第2章（42页）

2.1对称密码的基本因素是什么？

明文，加密算法，秘密密钥，密文，解密算法。

2.4分组密码和流密码区别是什么？

流密码是一个比特一个比特的加密，分组时若干比特同时加密。比如DES是64bit的明文一次性加密成密文。

密码分析方面有很多不同。比如说密码中，比特流的很多统计特性影响到算法的安全性。

密码实现方面有很多不同，比如流密码通常是在特定硬件设备上实现。分组密码可以在硬件实现，也可以在计算机软件上实现。

2.7什么是三重加密？

在这种方式里，使用三个不同的密钥对数据块进行三次加密，三重DES的强度大约和112-bit的密钥强度相当。三重DES有四种模型。 

（a）使用三个不同密钥，顺序进行三次加密变换 

（b）使用三个不同密钥，依次进行加密-解密-加密变换 

（c）其中密钥K1=K3,顺序进行三次加密变换 

（d）其中密钥K1=K3，依次进行加密-解密-加密变换

第3章（71页）

3.1消息认证的三种方法：

利用常规加密的消息认证、消息认证码、单向散列函数

3.2什么是MAC：

一种认证技术。利用私钥产出一小块数据，并将其附到消息上。这种技术称为消息验证码。

3.4对于消息认证，散列函数必须具有什么性质才可以用

1 H 可使用于任意长度的数据块

2 H 能生成固定长度的输出

3 对于任意长度的x ，计算H （x ）相对容易，并且可以用软/ 硬件方式实现

4 对于任意给定值h, 找到满足H(x)=h 的x 在计算机上不可行

5 对于任意给定的数据块x, 找到满足H （y）=H(x) ，的y=!x 在计算机上是不可行的。

6 找到满足H （x）=H(y) 的任意一对（x,y）在计算机上是不可行的。

3.6公钥加密系统的基本组成元素是什么？

明文，加密算法，公钥和私钥，密文，解密算法

3.9什么是数字签名：

A想给B发送消息，b收到密文时，她能够用a的公钥进行解密，从而证明这条消息确实是A加密的，因为没有其他人拥有A的私钥，所以其任何人都不能创建由A的公钥能够解密的密文。因此，整个加密的消息就成为一个数字签名。

第4章（108页）

4.1列举三种可以把私密秘钥分发给通信双方的方法

（1）通过物理方法传递

（2）依靠第三方通过物理方式传递

（3）一方用旧密钥加密新密钥传递给另一方

4.2会话密钥和主密钥的区别是什么？ 

主密钥是被客户机和服务器用于产生会话密钥的一个密钥。这个主密钥被用于产生客户端读密钥，客户端写密钥，服务器读密钥，服务器写密钥。主密钥能够被作为一个简单密钥块输出 

会话密钥是指：当两个端系统希望通信，他们建立一条逻辑连接。在逻辑连接持续过程中，所以用户数据都使用一个一次性的会话密钥加密。在会话和连接结束时，会话密钥被销毁。 

4.3什么是密钥分发中心？

密钥分发中心（KDC）是一种运行在物理安全服务器上的服务。KDC维护着领域中（与Windows中的域相当）所有安全主体（Security Principal）账户信息数据库。

4.7什么是随机数？

随机数是专门的随机试验的结果。

4.10什么是公钥证书？

公钥证书由公钥、公钥所有者的用户id和可信的第三方（用户团体所信任的认证中心CA）签名的整数数据块组成，用户可通过安全渠道把它的公钥提交给ca，获得证书。

4.13什么叫证书链？

在多个CA认证中心之间需要相互认证各自的用户时，由各个CA认证中心相互认证的证书，形成一个证书链，通信双方通过这个证书链取得相互信任。

第6章（160页）

6.2 SSL由那些协议组成？

SSL记录协议，SSL握手协议，SSL密码变更规格协议，SSL报警协议。

6.3 SSL记录协议提供了那些服务：

机密性和消息完整性。

6.8 HTTPS的目的是什么？

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。它的应用依赖于网络服务器是否支持HTTPS通信，用于安全的HTTP数据传输。

第8章（210页）

8.1PGP提供的5种主要服务是什么？

认证（用数字签名），保密（消息加密），压缩（用ZIP），电子邮件兼容性（基-64转换）和分段

第9章（237页）

9.2IPsec提供哪些服务？

访问控制，无连接完整性，数据源认证；拒绝重放包，保密性，受限制的流量保密性。

9.4传输模式和隧道模式有什么区别？

传输模式下的ESP加密和认证ip载荷，但不包括ip报头，AH认证，IP载荷和IP报头的选中部分；隧道模式下的ESP加密和认证包括内部ip报头的整个内部ip包，AH认证整个内部ip包和外部ip报头被选中的部分。

9.5什么是重放攻击？

一个攻击者得到一个经过认证的副本，稍后又将其传送到其被传送的目站点的攻击，重复的接受经过认证的ip包可能会以某种方式中断服务或产生一些不希望出现的结果

第10章（269页）

10.1恶意软件用于传播的三种主要机制是什么？

1.病毒感染已存在的可执行或解释执行的内容，随后传播到其他系统；

2.蠕虫或者下载驱动病毒利用本地或者网络上软件漏洞从而使恶意软件得以复制；

3.劝说用户绕开安全机制从而安装特洛伊木马程序或者对网络钓鱼攻击做出应答的社会工程攻击。

10.6通常来讲，蠕虫是怎样传播的？

电子邮件工具，远程执行能力，远程登陆能力

10.7什么是逻辑炸弹？

逻辑炸弹实际上是嵌入到恶意软件中的代码段，当遇到某些特定条件时，它便会“爆发”。

第11章（290页）

11.1列出并简要定义三类入侵者。

（1）假冒用户：为授权使用计算机的个体，或潜入系统的访问控制来获得合法用户的账户

（2）违法用户：系统的合法用户访问未授权的数据，程序或者资源或者授权者误用其权限

（3）隐秘用户：通过某些方法夺取系统的管理控制权限，并使用这种控制权躲避审计机制的访问控制，或者取消审计集合的个体。

11.2、用于保护口令文件的两种通用技术是什么？

单向函数，和访问控制

11.8在unix口令管理的context中，salt是指什么？

用一个12比特随机数“salt”对DES算法进行修改，salt和用户输入的口令作为加密程序的输入。

11.9列出简要定义四种用于防止口令猜测的技术

1.用户教育：可以引导用户认识到选择难于猜测的口令的重要性，也可以提供一些具体选择口令的指导原则。

2.由计算机生成口令：用户被提供一个由计算机生成的口令。

3.后验口令检测：系统周期性地运行它自身的口令破解程序来检验易于猜测的口令，对易于猜测的口令，系统将通告用户并删除该口令。

4前验口令检验;该方案允许用户选择自己的口令，但在选择之初，系统会检测口令是否难认猜测，如果不是，那么将拒绝该口令。

第12章（315页）

12.1列出防火墙的三个设计目标

1所有入站和出站的网络流量都必须通过防火墙。2只有经过授权的网络流量，防火墙才允许其通过。3防火墙本身不能被攻破，这意味着防火墙应该允许在有安全操作系统的可信系统上。

12.2 防火墙控制访问及执行安全策略四个技术:

服务控制，方向控制，用户控制，行为控制；