1、題庫一、選擇1.密碼學的目的是（。A.研究數據加密B.研究數據解密C.研究數據保密D.研究信息安全2.從攻擊方式區分攻擊類型，可分為被動攻擊和主動攻擊。被動攻擊難以（C）,然而（C）這些攻擊是可行的；主動攻擊難以（C）,然而（C）這些攻擊是可行的。C.檢測，阻止，阻止，檢測D.3.數據保密性安全服務的基礎是（A.數據完整性機制B.C.訪問控制機制D.4 .數字簽名要預先使用單向函數進行處理的原因是（C）oA.多一道加密工序使密文更難破譯B.提高密文的計算速度C.縮小簽名密文的長度，加快數字簽名和驗證簽名的運算速度D.保證密文能正確還原成明文5 .基于通信雙方共同擁有的但是不為別人知道的秘密，利

2、用計算機強大的計算能力，以該秘密作為加密和解密的密鑰的認證是（C）oA.公鑰認證B.零知識認證C.共享密鑰認證D.口令認證6.為了簡化管理，通常對訪問者（A）,以避免訪問控制表過于龐大。A.分類組織成組B.嚴格限制數量C.按訪問時間排序，刪除長期沒有訪問的用戶D.不作任何限制7 .管理對象不包括（A）。A.和口令B.證書C.密鑰D.證書撤消8 .下面不屬于組成部分的是（D）oA.證書主體B.使用證書的應用和系統C.證書權威機構D.9 .協商的第一階段可以采用（C）。A.主模式、快速模式B.快速模式、積極模式C.主模式、積極模式D.新組模式10 .協議和協議有（A）種工作模式。A.阻止，檢測，阻

3、止，檢測B.檢測,阻止，檢測，阻止上面3項都不是D）。數字簽名機制加密機制A.二B.三C.四D.五11.（C）屬于中使用的安全協議。A.、B.C.、D.12.包過濾型防火墻原理上是基于（C）進行分析的技術。A.物理層B.數據鏈路層C.網絡層D.應用層13.的加密手段為（C）。A.具有加密功能的防火墻B.具有加密功能的路由器C.內的各臺主機對各自的信息進行相應的加密D.單獨的加密設備14. （B）通過一個使用專用連接的共享基礎設施，連接企業總部、遠程辦事處和分支機構。A.B.C.D.15. （C）通過一個使用專用連接的共享基礎設施，將客戶、供應商、合作伙伴或感興趣的群體連接到企業內部網。A.B.

4、C.D.A.內存B.軟盤C.存儲介質D.網絡19 .攻擊者截獲并記錄了從A到B的數據，然后又從早些時候所截獲的數據中提取出信息重新發往B稱為（D）。A.中間人攻擊B.口令猜測器和字典攻擊C.強力攻擊D.回放攻擊20 .在定義的安全體系結構中，沒有規定（E）oA.對象認證服務B.數據保密性安全服務C.訪問控制安全服務D.數據完整性安全服務E.數據可用性安全服務21 .在請求訪問應用服務器之前，必須（A）。A.向服務器請求應用服務器B.向認證服務器發送要求獲得“證書”的請求C.請求獲得會話密鑰16.計算機病毒是計算機系統中一類隱藏在（C）上蓄意破壞的搗亂程序。17.“公開密鑰密碼體制”的含義是（A

5、.將所有密鑰公開B.保密C.將公開密鑰公開，私有密鑰保密18.“會話偵聽和劫持技術”是屬于（A.密碼分析還原B.C.應用漏洞分析與滲透D.C）。將私有密鑰公開，公開密鑰D.兩個密鑰相同B）的技術。協議漏洞滲透攻擊D.直接與應用服務器協商會話密鑰22 .下列對訪問控制影響不大的是（D）。A.主體身份B.客體身份C.訪問類型D.主體與客體的類型23 .的主要組成不包括（B）。A.證書授權B.C.注冊授權D.證書存儲庫24 .（A）協議必須提供驗證服務。A.B.C.D.以上皆是25 .下列選項中能夠用在網絡層的協議是（D）oA.B.C.D.26、（A）協議是一個用于提供數據報完整性、身份認證和可選的

6、抗重播保護的機制，但不提供數據機密性保護。A.協議B.協議C.協議D.協議27.協議中負責對數據報加密的部分是（A）。A.封裝安全負載（）B.鑒別包頭（）C.密鑰交換（）D.以上都不是28 .產生會話密鑰的方式是（C）。A.從密鑰管理數據庫中請求獲得B.每一臺客戶機分配一個密鑰的方式C.隨機由客戶機產生并加密后通知服務器D.由服務器產生并分配給客戶機29 .為了降低風險，不建議使用的服務是（D）oA.服務B.外部訪問內部系統C.內部訪問D.服務30 .火墻用于將和內部網絡隔離，（B）。A.是防止火災的硬件設施B.是網絡安全和信息安全的軟件和硬件設施C.是保護線路不受破壞的軟件和硬件設施D.是起

7、抗電磁干擾作用的硬件設施31 .屬于第二層的隧道協議有（B）A.B.D.以上皆不是32 .不屬于隧道協議的是（C）。A.B.L2C.D.33 .和L2最適合于（D）oA.局域網B.C.企業擴展虛擬網D.34 .A方有一對密鑰（公開，秘密），方向B方發送數字簽名M對信息M加密為：M=公開（秘密（M）方收到密文的解密方案是（C）。A.公開（秘密（M）B.公開（公開（M）C.公開（秘密（M）D.秘密（秘密（M）35 .從安全屬性對各種網絡攻擊進行分類，阻斷攻擊是針對（B）的攻擊。企業內部虛擬網遠程訪問虛擬專用網B方有一對密鑰（公開，秘密），A.機密性B.可用性C.完整性D.真實性11.攻擊者用傳輸數

8、據來沖擊網絡接口，使服務器過于繁忙以至于不能應答請求的攻擊方式是（A）。A.拒絕服務攻擊B.地址欺騙攻擊C.會話劫持D.信號包探測程序攻擊36.（D）不屬于安全體系結構的安全機制。A,通信業務填充機制B.訪問控制機制C.數字簽名機制D.審計機制E.公證機制37.屬于安全體系結構中定義的（D）。A.認證交換機制B.通信業務填充機制C.路由控制機制D.公證機制38.訪問控制是指確定（A）以及實施訪問權限的過程。A.用戶權限B.可給予哪些主體訪問權利C.可被用戶訪問的資源D.系統是否遭受入侵39.支持的服務不包括（D）。A.非對稱密鑰技術及證書管理B.目錄服務C.對稱密鑰的產生和分發D.訪問控制服務

9、40.協議中必須實現的驗證算法是（A）oA.5和1B.C.160D.以上皆是41 .對動態網絡地址交換（），不正確的說法是（B）A.將很多內部地址映射到單個真實地址B.外部網絡地址和內部地址一對一的映射C.最多可有64000個同時的動態連接D.每個連接使用一個端口42 .協議的乘客協議是（D）。A.B.C.D.上述皆可43.目前，使用了（A）技術保證了通信的安全性。隧道協議、身份認證和數據加密身份認證、數據加密隧道協議、身份認證隧道協議、數據加密44 .不太適合用于（C）。已知范圍的地址的網絡固定范圍的地址的網絡動態分配地址的網絡協議的網絡45.假設使用一種加密算法，它的加密方法很簡單：將每一

10、個字母加a加密成fo這種算法的密鑰就是5,那么它屬于（A）oA.對稱加密技術B.分組密碼技術5,即C.公鑰加密技術D.單向函數密碼技術46 .從安全屬性對各種網絡攻擊進行分類，截獲攻擊是針對（A）的攻擊。A,機密性B.可用性C.完整性D.真實性47 .最新的研究和統計表明，安全攻擊主要來自（B）oA.接入網B.企業內部網C.公用網D.個人網48 .用于實現身份鑒別的安全機制是（A）oA.加密機制和數字簽名機制B.加密機制和訪問控制機制C.數字簽名機制和路由控制機制D.訪問控制機制和路由控制機制49 .身份鑒別是安全服務中的重要一環，以下關于身份鑒別敘述不正確的是（B）。A.身份鑒別是授權控制的

11、基礎B.身份鑒別一般不用提供雙向的認證C.目前一般采用基于對稱密鑰加密或公開密鑰加密的方法D.數字簽名機制是實現身份鑒別的重要機制50能夠執行的功能是（A）和（C）。A.鑒別計算機消息的始發者B.C.保守消息的機密D.51.協議由（A）協議混合而成。A.、B.、C.L2、D.52 .一般而言，防火墻建立在一個網絡的（C）A.內部子網之間傳送信息的中樞B.每個子網的內部C.內部網絡與外部網絡的交叉點D.部分內部網絡與外部網絡的結合處53 .的英文全稱是（B）oA.B.C.D.54. L2隧道在兩端的服務器之間采用（A）來驗證對方的身份。A.口令握手協議B.C.D.數字證書55.信息安全的基本屬性

12、是（D）。A.機密性B.可用性C.完整性D.上面3項都是56.安全體系結構中的對象認證服務，使用（B）完成。A.加密機制B.數字簽名機制確認計算機的物理位置確認用戶具有的安全性特權以上皆不是C.訪問控制機制D.數據完整性機制57 .的設計目標不包括（B）。A.認證B.授權C.記賬D.審計58 .協議和（C）隧道協議處于同一層。A.B.L2C.D.以上皆是59.傳輸層保護的網絡采用的主要技術是建立在（A基礎上的（AoA.可靠的傳輸服務，安全套接字層協議B.不可靠的傳輸服務，協議C.可靠的傳輸服務，協議D.不可靠的傳輸服務，安全套接字層協議60 .以下（D）不是包過濾防火墻主要過濾的信息？A.源地

13、址B.目的地址C.源端口和目的端口D.時間61.將公司與外部供應商、客戶及其他利益相關群體相連接的是（B）。A.內聯網B.外聯網C.遠程接入D.無線62 .竊聽是一種（A）攻擊，攻擊者（A）將自己的系統插入到發送站和接收站之間。截獲是一種（A）攻擊，攻擊者（A）將自己的系統插入到發送站和接受站之間。A.被動，無須，主動，必須B.主動，必須，被動，無須C.主動，無須，被動，必須D.被動，必須，主動，無須63.（C）是一個對稱加密系統，它使用一個集中式的專鑰密碼功能，系統的核心是OA.B.C.D.64.下列協議中，（A）協議的數據可以受到的保護。A.、B.C.D.以上皆可以65、（D）協議主要由、

14、和協議組成。A.B.L2C.L2FD.66 .、L2和L2F隧道協議屬于（B）協議。A.第一層隧道B.第二層隧道C.第三層隧道D.第四層隧道67 .機密性服務提供信息的保密，機密性服務包括（D）oA.文件機密性B.信息傳輸機密性C.通信流的機密性D.以上3項都是68.不屬于的核心技術是（C）。A.隧道技術B.身份認證C.日志記錄D.訪問控制69.（A）通過一個擁有與專用網絡相同策略的共享基礎設施，提供對企業內部網或外部網的遠程訪問。A.B.C.D.70.拒絕服務攻擊的后果是（E）。A.信息不可用B.應用程序不可用C.系統宕機D.阻止通信E.上面幾項都是71.通常所說的移動是指（A）。A.B.C

15、.D,以上皆不是二、填空1.密碼系統包括以下4個方面：明文空間、密文空間、密鑰空間和密碼算法。2.解密算法D是加密算法E的（逆運算）。3.如果加密密鑰和解密密鑰（相同）,這種密碼體制稱為對稱密碼體制。4.算法密鑰是（64）位,其中密鑰有效位是（56）位。5.算法的安全是基于分解兩個大素數的積的函抵一6.公開密鑰加密算法的用途主要包括兩個方面：密鑰分配、數字簽名。7.消息認證是驗證信息的完整性，即驗證數據在傳送和存儲過程中是否被篡改、重放或延遲等。8.函數是可接受變殳數據輸入，弁生成定長數據輸出的函數。9.密鑰管理的主要內容包括密鑰的生成、分配、使用、存儲、備份、恢復和銷毀。10.密鑰生成形式有

16、兩種：一種是由中心集中生成，另一種是由個人分散生成。11.密鑰的分配是指產生弁使使用者獲得密鑰的過程。12.密鑰分配中心的英文縮寫是_o13.數字簽名是筆跡簽名的模擬，是一種包括防止源點或終點否認的認證技術。14.身份認證是驗證信息發送者是真的,而不是冒充的，包括信源、信宿等的認證和識別。15.訪問控制的目的是為了限制訪問主體對訪問客體的訪問權限。16.防火墻是位于兩個網絡之間，一端是內部網絡，另一端是外部網絡。17.防火墻系統的體系結構分為雙宿主機體系結構、屏蔽主機體系結構、屏蔽子網體系結構。18.的物理實現不同，按檢測的監控位置劃分，入侵檢測系統可分為基于主機的入侵檢測系統、基于網絡的入侵

17、檢測系統和分布式入侵檢測系統。19.計算機病毒的5個特征是：主動傳染性、破壞性、寄牛性（隱蔽性）、潛伏性、多態性。20.惡意代碼的基本形式還有后門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌。21.蠕蟲是通過網絡進行傳播的。22.計算機病毒的工作機制有潛伏機制、傳染機制、表現機制。三、問答題1.簡述主動攻擊與被動攻擊的特點，弁列舉主動攻擊與被動攻擊現象。主動攻擊是攻擊者通過網絡線路將虛假信息或計算機病毒傳入信息系統內部，破壞信息的真實性、完整性及系統服務的可用性，即通過中斷、偽造、篡改和重排信息內容造成信息破壞，使系統無法正常運行。被動攻擊是攻擊者非常截獲、竊取通信線路中的信息，使信息保密性遭到破壞，信

18、息泄露而無法察覺，給用戶帶來巨大的損失。2 .簡述對稱密鑰密碼體制的原理和特點。對稱密鑰密碼體制，對于大多數算法，解密算法是加密算法的逆運算，加密密鑰和解密密鑰相同，同屬一類的加密體制。它保密強度高但開放性差,要求發送者和接收者在安全通信之前，需要有可靠的密鑰信道傳遞密鑰，而此密鑰也必須妥善保管。4.什么是序列密碼和分組密碼？序列密碼是一種對明文中的單個位（有時對字節）運算的算法。分組密碼是把明文信息分割成塊結構，逐塊予以加密和解密。塊的長度由算法設計者預先確定。5 .簡述公開密鑰密碼機制的原理和特點？公開密鑰密碼體制是使用具有兩個密鑰的編碼解碼算法， 加密和解密的能力是分開的；這兩個密鑰一個

19、保密，另一個公開。根據應用的需要，發送方可以使用接收方的公開密鑰加密消息，或使用發送方的私有密鑰簽名消息，或兩個都使用，以完成某種類型的密碼編碼解碼功能。6.什么是5?消息摘要算法是由提出，是當前最為普遍的算法，5是第5個版本，該算法以一個任意長度的消息作為輸入，生成128位的消息摘要作為輸出,輸入消息是按512位的分組處理的。第二章安全問題概述、選擇題二、問答題1.請解釋5種“竊取機密攻擊”方式的含義。1）網絡踩點（）攻擊者事先匯集目標的信息，通常采用、等工具獲得目標的一些信息，如域名、地址、網絡拓撲結構、相關的用戶信息等，這往往是黑客入侵所做的第一步工作。2）掃描攻擊（）這里的掃描主要指端

20、口掃描，通常采用等各種端口掃描工具，可以獲得目標計算機的一些有用信息，比如機器上打開了哪些端口，這樣就知道開設了哪些網絡服務。黑客就可以利用這些服務的漏洞，進行進一步的入侵。這往往是黑客入侵所做的第二步工作。3）協議棧指紋（）鑒別（也稱操作系統探測）黑客對目標主機發出探測包，由于不同廠商的協議棧實現之間存在許多細微差別，因此每種都有其獨特的響應方法，黑客經常能夠確定目標主機所運行的。這往往也可以看作是掃描階段的一部分工作。4）信息流嗅探（）通過在共享局域網中將某主機網卡設置成混雜（）模式，或在各種局域網中某主機使用欺騙，該主機就會接收所有經過的數據包。基于這樣的原理，黑客可以使用一個嗅探器（軟

21、件或硬件）對網絡信息流進行監視，從而收集到帳號和口令等信息。這是黑客入侵的第三步工作。5）會話劫持（）所謂會話劫持，就是在一次正常的通信過程中，黑客作為第三方參與到其中，或者是在數據流里注射額外的信息， 或者是將雙方的通信模式暗中改變， 即從直接聯系變成交由黑客中轉。這種攻擊方式可認為是黑客入侵的第四步工作一一真正的攻擊中的一種。2.請解釋5種“非法訪問”攻擊方式的含義。1）口令破解攻擊者可以通過獲取口令文件然后運用口令破解工具進行字典攻擊或暴力攻擊來獲得口令，也可通過猜測或竊聽等方式獲取口令，從而進入系統進行非法訪問，選擇安全的口令非常重要。這也是黑客入侵中真正攻擊方式的一種。2）欺騙攻擊者

22、可通過偽裝成被信任源地址等方式來騙取目標主機的信任，這主要針對下建立起地址信任關系的主機實施欺騙。這也是黑客入侵中真正攻擊方式的一種。3）欺騙當服務器向另一個服務器發送某個解析請求（由域名解析出地址）時，因為不進行身份驗證， 這樣黑客就可以冒充被請求方， 向請求方返回一個被篡改了的應答（地址），將用戶引向黑客設定的主機。這也是黑客入侵中真正攻擊方式的一種。4）重放（）攻擊在消息沒有時間戳的情況下，攻擊者利用身份認證機制中的漏洞先把別人有用的消息記錄下來，過一段時間后再發送出去。5）特洛伊木馬（）把一個能幫助黑客完成某一特定動作的程序依附在某一合法用戶的正常程序中，而一旦用戶觸發正常程序， 黑客

23、代碼同時被激活， 這些代碼往往能完成黑客早已指定的任務 （如監聽某個不常用端口，假冒登錄界面獲取帳號和口令等）。4.了解下列各種攻擊方式：、電子郵件炸彈、緩沖區溢出攻擊、社交工程1）有些系統在安裝后，沒有對缺省配置進行必要的修改，使得一些容易遭受攻擊的服務端口對外敞開著。服務（7和7）對接收到的每個字符進行回送；（19和19）對每個接收到的數據包都返回一些隨機生成的字符（如果是與服務在19端口建立了連接，它會不斷返回亂字符直到連接中斷）。黑客一般會選擇兩個遠程目標，生成偽造的數據包，目的地是一臺主機的服務端口，來源地假冒為另一臺主機的服務端口。 這樣， 第一臺主機上的服務返回的隨機字符就發送給

24、第二臺主機的服務了，第二臺主機再回送收到的字符，如此反復，最終導致這兩臺主機應接不暇而拒絕服務，同時造成網絡帶寬的損耗。2）它對做了簡單的修改，使用的是應答消息而非。3）電子郵件炸彈黑客利用某個“無辜”的郵件服務器，持續不斷地向攻擊目標（郵件地址）發送垃圾郵件，很可能“撐破”用戶的信箱，導致正常郵件的丟失。4）緩沖區溢出攻擊十多年來應用非常廣泛的一種攻擊手段，近年來，許多著名的安全漏洞都與緩沖區溢出有關。所謂緩沖區溢出，就是由于填充數據越界而導致程序原有流程的改變，黑客借此精心構造填充數據，讓程序轉而執行特殊的代碼，最終獲得系統的控制權。5）社交工程（）一種低技術含量破壞網絡安全的有效方法，但

25、它其實是高級黑客技術的一種，往往使得處在看似嚴密防護下的網絡系統出現致命的突破口。 這種技術是利用說服或欺騙的方式，讓網絡內部的人（安全意識薄弱的職員）來提供必要的信息，從而獲得對信息系統的訪問。6.請解釋下列網絡信息安全的要素：保密性、完整性、可用性、可存活性近年來.學術界又開始嫌一個弱的安全概可存活性ZSTViVLhllityZSTViVLhllity）二晚來的某轆并沒有保證措施來抵抗各件系境錯誤和安全傷害,可存活的網絡系統就梏設計來在面對這些風險的時候仍嬤能雅存活.爐以可荏活性指的就是網珞汁尊機第統的這樣#能力，它跟在而附各種攻擊或得誤的情況F F熊輯提供核心的服隊而H H能等及時地恢復

26、全部的服務.這是一個新的融合計算機安全和曲立風險管理的裸題，它的點點不僅是對就計并機人檢者，ifif螯保證布各種網珞攻擊的情況下而止目飾得以無現卜羌舞的商業功能傅以保特.捱高對捋珞攻擊的星境可存活性.同時也提高了商業系統在而對一些并車肥塞的事故與故障的可存活性.保密性指網絡中的數據必須按照數據的擁有者的要求保證一定的秘密性，不會被未授權的第三方非法獲知。具有敏感性的秘密信息，只有得到擁有者的許可，其他人才能夠獲得該信息，網絡系統必須能夠笑止信息的非授權訪問或泄露.完整性指網珞中的信息安全、精確與有效.不因人為的因素而改變信息原有的內容、形式與流向，即不能為未授權的第三方修改，它包含數據完蹙性的

27、內涵即俁證數據不被非法地改動和儲毀，同樣還包含系統完整性的內髓，即保證系統以無害的方式按照預定的功他運行,不受有意的或者意外的北法操作所破壞口信息的完整性是信息安全的基本要求破仄信息的完整性是影響信息安全的常用手段.當前，運行于因特網上的分議(如TCP/IP)TCP/IP)等，能夠輸保信息在數據包級別的完整性,即做到了傳輸過程中不丟信息包,不重復接收信息包.但卻無法制止未授權第三方對信息包內部的修改.可用性就是襄保障網絡資源無論在利時，無論經過何種處理，只要需要即可使用，而不因系統故障或誤操作等使資源丟失或妨礙對資源的使用，使得嚴格時間要求的服務不能得到及時的響應*另外.阿洛可用性還包括具有在

28、某些不正常條件下繼續運行的能力。病毒就常常破壞信息的可用性,使系統不能正常運行，數據文件面目全非.第三章安全體系結構與模型一、選擇題三、問答題1.列舉弁解釋中定義的5種標準的安全服務。(1)鑒別用于鑒別實體的身份和對身份的證實，包括對等實體鑒別和數據原發鑒別兩種。(2)訪問控制提供對越權使用資源的防御措施。(3)數據機密性針對信息泄露而采取的防御措施。分為連接機密性、無連接機密性、選擇字段機密性、通信業務流機密性四種。(4)數據完整性防止非法篡改信息，如修改、復制、插入和刪除等。分為帶恢復的連接完整性、無恢復的連接完整性、選擇字段的連接完整性、無連接完整性、選擇字段無連接完整性五種。(5)抗否

29、認是針對對方否認的防范措施，用來證實發生過的操作。包括有數據原發證明的抗否認和有交付證明的抗否認兩種。2 .解釋六層網絡安全體系中各層安全性的含義。1.物理安全防止物理通路的損壞、竊聽和攻擊（干擾等），保證物理安全是整個網絡安全的前提，包括環境安全、設備安全和媒體安全三個方面。2 .鏈路安全保證通過網絡鏈路傳送的數據不被竊聽，主要針對公用信道的傳輸安全O在公共鏈路上采用一定的安全手段可以保證信息傳輸的安全，對抗通信鏈路上的竊聽、篡改、重放、流量分析等攻擊。3 .網絡級安全需要從網絡架構（路由正確）、網絡訪問控制（防火墻、安全網關、）、漏洞掃描、網絡監控與入侵檢測等多方面加以保證，形成主動性的網

30、絡防御體系。4 .信息安全包括信息傳輸安全（完整性、機密性、不可抵賴和可用性等）、信息存儲安全（數據備份和恢復、數據訪問控制措施、防病毒）和信息（內容）審計。5 .應用安全包括應用平臺（、數據庫服務器、服務器）的安全、應用程序的安全。6 .用戶安全用戶合法性，即用戶的身份認證和訪問控制。9.2000屬于哪個安全級別，為什么？2000屬于C2級。因為它有訪問控制、權限控制，可以避免非授權訪問，并通過注冊提供對用戶事件的跟蹤和審計。第八章密鑰分配與管理一、填空題二、問答題5.在密鑰分配過程中充當何種角色？在密鑰分配過程中充當可信任的第三方。保存有每個用戶和之間共享的唯一密鑰，以便進行分配。在密鑰分

31、配過程中，按照需要生成各對端用戶之間的會話密鑰，并由用戶和共享的密鑰進行加密，通過安全協議將會話密鑰安全地傳送給需要進行通信的雙方。第十章數字簽名與鑒別協議三、問答題1.數字簽名有什么作用？當通信雙方發生了下列情況時，數字簽名技術必須能夠解決引發的爭端:?否認，發送方不承認自己發送過某一報文。?偽造，接收方自己偽造一份報文，并聲稱它來自發送方。?冒充，網絡上的某個用戶冒充另一個用戶接收或發送報文。?篡改，接收方對收到的信息進行篡改。2,請說明數字簽名的主要流程。數字簽名通過如下的流程進行：(1)采用散列算法對原始報文進行運算，得到一個固定長度的數字串，稱為報文摘要()，不同的報文所得到的報文摘

32、要各異，但對相同的報文它的報文摘要卻是惟一的。在數學上保證，只要改動報文中任何一位，重新計算出的報文摘要值就會與原先的值不相符，這樣就保證了報文的不可更改性。(2)發送方用目己的私有密鑰對摘要進行加密來形成數字簽名。(3)這個數字簽名將作為報文的附件和報文一起發送給接收方。(4)接收方首先對接收到的原始報文用同樣的算法計算出新的報文摘要,再用發送方的公開密鑰對報文附件的數字簽名進行解密，比較兩個報文摘要，如果值相同，接收方就能確認該數字簽名是發送方的，否則就認為收到的報文是偽造的或者中途被篡改。3 .數字證書的原理是什么？數字證書采用公開密鑰體制(例如)。每個用戶設定一僅為本人所知的私有密鑰，

33、用它進行解密和簽名； 同時設定一公開密鑰， 為一組用戶所共享， 用于加密和驗證簽名。采用數字證書，能夠確認以下兩點：(1)保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認。(2)保證信息自簽發后到收到為止未曾做過任何修改，簽發的信息是真實信4 .報文鑒別有什么作用，公開密鑰加密算法相對于常規加密算法有什么優點？報文鑒別往往必須解決如下的問題：(1)報文是由確認的發送方產生的。(2)報文的內容是沒有被修改過的。(3)報文是按傳送時的相同順序收到的。(4)報文傳送給確定的對方。一種方法是發送方用自己的私鑰對報文簽名，簽名足以使任何人相信報文是可信的。另一種方法常規加密算法也提供了鑒別。但

34、有兩個問題，一是不容易進行常規密鑰的分發，二是接收方沒有辦法使第三方相信該報文就是從發送方送來的，而不是接收方自己偽造的。因此，一個完善的鑒別協議往往考慮到了報文源、報文宿、報文內容和報文時間性的鑒別。第十二章身份認證三、問答題1.解釋身份認證的基本概念。身份認證是指用戶必須提供他是誰的證明，這種證實客戶的真實身份與其所聲稱的身份是否相符的過程是為了限制非法用戶訪問網絡資源，它是其他安全機制的基礎。身份認證是安全系統中的第一道關卡，識別身份后，由訪問監視器根據用戶的身份和授權數據庫決定是否能夠訪問某個資源。一旦身份認證系統被攻破，系統的所有安全措施將形同虛設，黑客攻擊的目標往往就是身份認證系統

35、。2 .單機狀態下驗證用戶身份的三種因素是什么？(1)用戶所知道的東西：如口令、密碼。(2)用戶所擁有的東西：如智能卡、身份證。(3)用戶所具有的生物特征：如指紋、聲音、視網膜掃描、等。4.了解散列函數的基本性質。散列函數H必須具有性質：?H能用于任何長度的數據分組；?H產生定長的輸出；?對任何給定的x,H(x)要相對容易計算；?對任何給定的碼h,尋找x使得H(x)在計算上是不可行的，稱為單向性;?對任何給定的分組x,尋找不等于x的y,使得H(y)(x)在計算上是不可行的，稱為弱抗沖突()；?尋找對任何的()對，使得H(y)(x)在計算上是不可行的，稱為強抗沖突()。12.了解系統的優點。(1

36、)安全：網絡竊聽者不能獲得必要信息以假冒其他用戶，應足夠強壯以致于潛在的敵人無法找到它的弱點連接。(2)可靠：應高度可靠并且應借助于一個分布式服務器體系結構，使得一個系統能夠備份另一個系統。(3)透明：理想情況下用戶除了要求輸入口令以外應感覺不到認證的發生。(4)可伸縮：系統應能夠支持大數量的客戶和服務器，這意味著需要一個模塊化的分布式結構。第十三章授權與訪問控制三、問答題1.解釋訪問控制的基本概念。訪問控制是建立在身份認證基礎上的，通過限制對關鍵資源的訪問，防止非法用戶的侵入或因為合法用戶的不慎操作而造成的破壞。訪問控制的目的：限制主體對訪問客體的訪問權限（安全訪問策略），從而使計算機系統在合法范圍內使用。2 .訪問控制有幾種常用的實現方法？它們各有什么特點？1訪問控制矩陣行表示客體（各種資源），列表示主