网络安全（基础知识）.docx

网络安全（基础知识）1. 以下关于网络安全设计原则的说法, 错误的是()。 (2009年上半年试题)单选题 充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测，是设计网络安全系统的必要前提条件强调安全防护、监测和应急恢复。要求在网络发生被攻击的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失考虑安全问题解决方案时无需考虑性能价格的平衡，强调安全与保密系统的设计应与网络设计相结合(正确答案)网络安全应以不能影响系统的正常运行和合法用户的操作活动为前提答案解析：网络安全设计是保证网络安全运行的基础, 基本的设计原则包括强调对信息均衡、全面地进行保护的木桶原则、良好的信息安全系统必备的等级划分制度, 网络信息安全的整体性原则、安全性评价与平衡原则等。在进行网络安全系统设计时应充分考虑现有网络结构以及性能价格的平衡, 安全与保密系统的设计应与网络设计相结合。2. Alice向Bob发送数字签名的消息M, 则不正确的说法是()。 (2009年上半年试题)单选题 Alice可以保证Bob收到消息M(正确答案)Alice不能否认发送过消息MBob不能编造或改变消息MBob可以验证消息M确实来源于Alice答案解析：本题考查数字签名的相关概念。数字签名设计为发送者不可否认、接收者可以验证但不能编造或篡改。所以选项B、C和D都是正确的。选项A显然是错误的。3. 安全散列算法SHA-1产生的摘要的位数是()。 (2009年上半年试题)单选题 64128160(正确答案)256答案解析：本题考查安全散列算法SHA-1的基础知识。安全散列算法SHA-1是SHA的改进版本, 此算法以最大长度不超过2M位的消息为输入, 生成160位的消息摘要输出, 用512为块来处理输入。4. 在X.509标准中, 不包含在数字证书中的数据域是()。 (2009年上半年试题)单选题 序列号签名算法认证机构的签名私钥(正确答案)答案解析：本题考查数字证书的基础知识。数字证书中包含用户的公钥, 而用户的私钥只能被用户拥有。所以选项D是不可能包含在数字证书中的。5. 两个公司希望通过Internet传输大量敏感数据, 从信息源到目的地之间的传输数据以密文形式出现, 而且不希望由于在传输节点使用特殊的安全单元而增加开支, 最合适的加密方式是()。 (2009年上半年试题)单选题 链路加密节点加密端-端加密(正确答案)混合加密答案解析：通过Internet传输数据, 报文在路由器间依据路由选择算法进行转发, 所经过的路径并不唯一, 故采用链路加密难以实现; 节点加密开支过大: 混合加密结合多种方式, 也不符合题意; 端-端加密在发送端与接收端之间进行加解密, 是最合适的加密方式。6. 两个公司希望通过Internet传输大量敏感数据, 从信息源到目的地之间的传输数据以密文形式出现, 而且不希望由于在传输节点使用特殊的安全单元而增加开支, 最合适的加密方式是端-端加密, 使用会话密钥算法效率最高的是()。 (2009年上半年试题) RSARC-5(正确答案)MD5ECC答案解析：在传输过程中采用对称密钥比非对称密钥效率要高, 故选择RC-5。7. 包过滤防火墙对通过防火墙的数据包进行检查, 只有满足条件的数据包才能通过, 对数据包的检查内容一般不包括()。 (2009年上半年试题)单选题 源地址目的地址协议有效载荷(正确答案)答案解析：本题考查包过滤防火墙的相关知识。防火墙的基本功能是包过滤, 能对进出防火墙的数据包包头(包括源地址、目的地址和协议)进行分析处理, 但对于数据包的有效载荷一般无法分析处理。所以答案是D。8. 下面关于ARP木马的描述中, 错误的是()。 (2009年上半年试题)单选题 ARP木马利用ARP协议漏洞实施破坏ARP木马发作时可导致网络不稳定甚至瘫痪ARP木马破坏网络的物理连接(正确答案)ARP木马把虚假的网关MAC地址发送给受害主机答案解析：本题考查计算机病毒的相关知识。ARP木马的工作原理是利用ARP协议漏洞, 把虚假的网关MAC地址发送给受害机, 造成局域网内出现大量的ARP消息从而造成网络拥塞。但并没有破坏网络的物理连通性。所以选项C是错误的9. 在Kerberos系统中, 使用一次性密钥和()来防止重放攻击。 (2009年下半年试题)单选题 时间戳(正确答案)数字签名序列号数字证书答案解析：本题考查Kerberos系统安全相关知识。一次性密钥、序列号和时间戳都是对付重放攻击的有效手段, Kerberos系统采用一次性密钥和时间戳来防止重放攻击。10. 在下面4种病毒中, ()可以远程控制网络中的计算机。 (2009年下半年试题)单选题 worm.Sasser.fWin32.CIHTrojan.qq3344(正确答案)Macro.Melissa答案解析：本题考查病毒相关知识。以上4种病毒中, worm是申蠕虫病毒, Win32.CIH是CIH病毒, Macro.Melissa是宏病毒, 这三种病毒都属于单机病毒; 而Trojan.qq3344是一种特洛伊木马, 通过网络实现对计算机的远程攻击。11. 某网站向CA申请了数字证书, 用户通过()来验证网站的真伪。 (2009年下半年试题)单选题 CA的签名(正确答案)证书中的公钥网站的私钥用户的公钥答案解析：本题考查数字证书相关知识点。数字证书是由权威机构CA证书擇权(Certificate Authority)中心发行的, 能提供在Internet上进行身份验证的一种权威性电子文档, 人们可以在因特网交往中用它来证明自己的身份和识别对方的身份。数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有CA的签名, 用户获取网站的数字证书后通过验证CA的签名来确认数字证书的有效性, 从而验证网站的真伪。在用户与网站进行安全通信时, 用户发送数据时使用网站的公钥(从数字证书中获得)加密, 收到数据时使用网站的公钥验证网站的数字签名; 网站利用自身的私钥对发送的消息签名和对收到的消息解密。12. 某网站向CA申请了数字证书, 用户通过CA的签名来验证网站的真伪。在用户与网站进行安全通信时, 用户可以通过()进行加密和验证。 (2009年下半年试题) CA的签名证书中的公钥(正确答案)网站的私钥用户的公钥答案解析：本题考查数字证书相关知识点。数字证书是由权威机构CA证书擇权(Certificate Authority)中心发行的, 能提供在Internet上进行身份验证的一种权威性电子文档, 人们可以在因特网交往中用它来证明自己的身份和识别对方的身份。数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有CA的签名, 用户获取网站的数字证书后通过验证CA的签名来确认数字证书的有效性, 从而验证网站的真伪。在用户与网站进行安全通信时, 用户发送数据时使用网站的公钥(从数字证书中获得)加密, 收到数据时使用网站的公钥验证网站的数字签名; 网站利用自身的私钥对发送的消息签名和对收到的消息解密。13. 某网站向CA申请了数字证书, 用户通过CA的签名来验证网站的真伪。在用户与网站进行安全通信时, 用户可以通过证书中的公钥进行加密和验证, 该网站通过()进行解密和签名。 (2009年下半年试题) CA的签名证书中的公钥网站的私钥(正确答案)用户的公钥答案解析：本题考查数字证书相关知识点。数字证书是由权威机构CA证书擇权(Certificate Authority)中心发行的, 能提供在Internet上进行身份验证的一种权威性电子文档, 人们可以在因特网交往中用它来证明自己的身份和识别对方的身份。数字证书包含版本、序列号、签名算法标识符、签发人姓名、有效期、主体名和主体公钥信息等并附有CA的签名, 用户获取网站的数字证书后通过验证CA的签名来确认数字证书的有效性, 从而验证网站的真伪。在用户与网站进行安全通信时, 用户发送数据时使用网站的公钥(从数字证书中获得)加密, 收到数据时使用网站的公钥验证网站的数字签名; 网站利用自身的私钥对发送的消息签名和对收到的消息解密。14. IPSec的加密和认证过程中所使用的密钥由()机制来生成和分发。 (2009年下半年试题)单选题 ESPIKE(正确答案)TGSAH答案解析：本题考查IPSec相关知识。IPSec密钥管理利用IKE(Internet密钥交换协议)机制实现, IKE解决了在不安全的网络环境(如Internet)中安全地建立或更新共享密钥的问题。15. SSL协议使用的默认端口是()。 (2009年下半年试题)单选题 804458080443(正确答案)答案解析：本题属于记忆题。80端口是Web服务默认端口: 8080端口一般用于局域网内部提供Web服务; 445端口和139端口一样, 用于局域网中共享文件夹或共享打印机。16. HTTPS采用()协议实现安全网站访问。 (2010年上半年试题)单选题 SSL(正确答案)IPSecPGPSET答案解析：本题考查网络安全方面关于安全协议的基础知识。IPSec(IP Security)是IETF定义的一组协议, 用于增强IP网络的安全性。IPSec是在网络层建立安全隧道, 适用于建立固定的虚拟专用网。PGP(Pretty Good Privacy)是Philip R.Zimmermann在1991年开发的电子邮件加密软件包, 如今PGP已经成为使用最广泛的电子邮件加密软件。SET(Secure Electronic Transaction)是一个安全协议和报文格式的集合, 它融合了Netscape的SSL、Microsoft的STT(Secure Transaction Technology)、Terisa的S-HTTP、以及PKI技术, 通过数字证书和数字签名机制, 使得客户可以与供应商进行安全的电子交易。SSL(Secure Socket Layer)是Netscape于1994年开发的传输层安全协议, 用于实现Web安全通信。SSL/TLS在Web安全通信中被称为HTTPS。所以答案是A。17. 杀毒软件报告发现病毒Macro.Melissa, 由该病毒名称可以推断出病毒类型是()。 (2010年上半年试题)单选题 文件型引导型目录型宏病毒(正确答案)答案解析：本题考查计算机病毒方面的基础知识。计算机病毒的分类方法有许多种, 按照最通用的区分方式, 即根据其感染的途径以及采用的技术区分, 计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。文件型计算机病毒感染可执行文件(包括EXE和COM文件)。引导型计算机病毒影响软盘或硬盘的引导扇区。目录型计算机病毒能够修改硬盘上存储的所有文件的地址。宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件, 从文件名可以看出Macro.Melissa是一种宏病毒。18. 杀毒软件报告发现病毒Macro.Melissa, 由该病毒名称可以推断出病毒类型是宏病毒, 这类病毒主要感染目标是()。 (2010年上半年试题) EXE或COM可执行文件Word或Excel文件(正确答案)DLL系统文件磁盘引导区答案解析：本题考查计算机病毒方面的基础知识。计算机病毒的分类方法有许多种, 按照最通用的区分方式, 即根据其感染的途径以及采用的技术区分, 计算机病毒可分为文件型计算机病毒、引导型计算机病毒、宏病毒和目录型计算机病毒。文件型计算机病毒感染可执行文件(包括EXE和COM文件)。引导型计算机病毒影响软盘或硬盘的引导扇区。目录型计算机病毒能够修改硬盘上存储的所有文件的地址。宏病毒感染的对象是使用某些程序创建的文本文档、数据库、电子表格等文件, 从文件名可以看出Macro.Melissa是一种宏病毒。19. 以下ACL语句中, 含义为"允许172.168.0.0/24网段所有PC访问10.1.0.10中的FTP服务"的是()。 (2010年上半年试题)单选题 access-list 101 deny tcp 172.168.0.0.0.0.0.255 host 10.1.0.10 eq ftpaccess-list 101 permit tcp 172.168.0.0.0.0.0.255 host 10.1.0.10 eq ftp(正确答案)access-list 101 deny tcp host 10.1.0.10 172.168.0.0.0.0.0.255 eq ftpaccess-list 101 permit tcp host 10.1.0.10 172.168.0.0.0.0.0.255 eq ftp答案解析：本题考查防火墙方面ACL配置的基础知识。题中四个选项给出的是4条扩展ACL语句, 扩展ACL语句的语法如下: access-list dynamic dynamic-name timeout minutes deny | permit tcp source wildcard-mask operator port destination wildcard-mask operator port precedence precedence tos tos log | log-input time-range time-range-name在ACL语句中, "172.168.0.0/24网段"表示为172.168.0.0 0.0.0.255, 目标主机10.1.0.10表示为host 10.1.0.10,并且源地址位于目标地址之前。所以, 正确的ACL语句应该是选项B。20. 以下关于加密算法的叙述中, 正确的是()。 (2010年上半年试题)单选题 DES算法采用128位的密钥进行加密DES算法采用两个不同的密钥进行加密三重DES算法采用3个不同的密钥进行加密三重DES算法采用2个不同的密钥进行加密(正确答案)答案解析：本题考查网络安全方面加密算法的基础知识。DES(Data Encryption Standard)明文被分成64位的块进行变换运算, 变换由56位的密钥的不同排列形式控制, 最后产生64位的密文块。三重DES(Triple-DES)是DES的改进算法, 它使用两把密钥对报文作三次DES加密, 第一层和第三层中使用相同的密钥, 产生一个有效长度为112位的密钥。所以正确答案是D。21. 按照RSA算法, 若选两奇数p=5, q=3, 公钥e=7,则私钥d为()。 (2010年下半年试题)单选题 67(正确答案)89答案解析：本题考查RSA的算法知识。RSA是一种公钥加密算法, 它按照下面的要求选择公钥和密钥: 1) 选择两个大素数p和q(大于10100)2) 令n=pq和z=(p-1)(q-1)3) 选择d与z互质4) 选择e, 使ed=1(mod z)从题中举例数据p=5、q=3、e=7可得: n=53=15;z=(5-1)(3-1)=8; 7d=1(mod 8); 将题中4个选项代入上式可知, 只有d=7满足要求。22. 下列隧道协议中工作在网络层的是()。 (2010年下半年试题)单选题 SSLL2TPIPSec(正确答案)PPTP答案解析：本题考查隧道协议的综合知识。隧道技术是VPN的基本技术, 它在公用网建立一条数据通道(隧道), 让数据包通过这条隧道传输。隧道是由隧道协议形成的, 分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中, 再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准, 由IETF融合PPTP与L2F而形成。第三层隧道协议是把各种网络协议直接装入隧道协议中, 形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec(IP Security)等。IPSec由一组RFC文档组成, 定义了一个系统来提供安全协议选择、安全算法、确定服务所使用密钥等服务, 从而在IP层(网络层)提供安全保障。23. 公钥体系中, 私钥用于()。 (2010年下半年试题)单选题 解密和签名(正确答案)加密和签名解密和认证加密和认证答案解析：本题考查公钥体系的理解和应用。1976年斯坦福大学的Diffie和Heilman提出了使用不同的密钥进行加密和解密的公钥加密算法。设P为明文, C为密文, E为公钥控制的加密算法, D为私钥控制的解密算法, 这些参数满足下列3个条件: (1) D (E (P) =P(2) 不能由E导出D(3) 选择明文攻击(选择任意明文-密文对以确定未知的密钥)不能破解E加密时计算C=E (P),解密时计算P=D (C)。加密和解密是互逆的。用公钥加密、私钥解密, 可实现保密通信; 用私钥加密、公钥解密, 可实现数字签名。24. 公钥体系中, 私钥用于解密和签名, 公钥用于()。 (2010年下半年试题) 解密和签名加密和签名解密和认证加密和认证(正确答案)答案解析：本题考查公钥体系的理解和应用。1976年斯坦福大学的Diffie和Heilman提出了使用不同的密钥进行加密和解密的公钥加密算法。设P为明文, C为密文, E为公钥控制的加密算法, D为私钥控制的解密算法, 这些参数满足下列3个条件: (1) D (E (P) =P(2) 不能由E导出D(3) 选择明文攻击(选择任意明文-密文对以确定未知的密钥)不能破解E加密时计算C=E (P),解密时计算P=D (C)。加密和解密是互逆的。用公钥加密、私钥解密, 可实现保密通信; 用私钥加密、公钥解密, 可实现数字签名。25. 下列选项中, 同属于报文摘要算法的是()。 (2011年上半年试题)单选题 DES和MD5MD5和SHA-1(正确答案)RSA和SHA-1DES和RSA答案解析：本题考查安全算法相关常识。数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理, 使其成为不可读的一段代码, 通常称为"密文", 从而使其只能在输入相应的密钥之后才能显示出本来内容, 通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。常见加密算法有: DESCData Encryption Standard)、3DES(Triple DES)、RC2和RC4、IDEA(International Data Encryption Algorithm)、RSA.报文摘要算法主要应用在"数字签名"领域, 作为明文的摘要算法。著名的摘要算法有RSA公司的MD5算法和SHA1算法及其大量的变体。26. 下图所示为一种数字签名方案, 网上传送的报文是()。 (2011年上半年试题)单选题 PDA(P)EB(DA(P)(正确答案)DA答案解析：本题考查数字签名的实现过程。题图中所示为一种利用公钥加密算法实现的数字签名方案, 发送方A要发送给接收方B的报文P经过A的私钥签名和B的公钥加密后形成报文EB(DA(P)发送给B, B利用自己的私钥DB和A的公钥EA对消息EB(DA(P)进行解密和认证后得到报文P, 并且保存经过A签名的消息DA(P)乍为防止A抵赖的证据。27. 下图所示为一种数字签名方案, 网上传送的报文是EB(DA(P), 防止A抵赖的证据是()。 (2011年上半年试题)单选题 PDA(P)(正确答案)EB(DA(P)DA答案解析：本题考查数字签名的实现过程。题图中所示为一种利用公钥加密算法实现的数字签名方案, 发送方A要发送给接收方B的报文P经过A的私钥签名和B的公钥加密后形成报文EB(DA(P)发送给B, B利用自己的私钥DB和A的公钥EA对消息EB(DA(P)进行解密和认证后得到报文P, 并且保存经过A签名的消息DA(P)乍为防止A抵赖的证据。28. 在Kerberos认证系统中, 用户首先向()申请初始票据。 (2011年上半年试题)单选题 域名服务器DNS认证服务器AS(正确答案)票据授予服务器TGS认证中心CA答案解析：本题考查Kerberos认证系统的基础知识。Kerberos认证系统的认证过程如下图所示。用户向认证服务器AS申请初始票据; 认证服务器AS向用户发放票据授予票据(TGT);用户向TGS请求会话票据; TGS验证用户身份后发放给用户会话票据Kav;用户向应用服务器请求登录; 应用服务器向用户验证时间戳。29. 在Kerberos认证系统中, 用户首先向认证服务器AS申请初始票据, 然后从()获得会话密钥。 (2011年上半年试题) 域名服务器DNS认证服务器AS票据授予服务器TGS(正确答案)认证中心CA答案解析：本题考查Kerberos认证系统的基础知识。Kerberos认证系统的认证过程如下图所示。用户向认证服务器AS申请初始票据; 认证服务器AS向用户发放票据授予票据(TGT);用户向TGS请求会话票据; TGS验证用户身份后发放给用户会话票据Kav;用户向应用服务器请求登录; 应用服务器向用户验证时间戳。30. HTTPS的安全机制工作在()。 (2011年上半年试题)单选题 网络层传输层(正确答案)应用层物理层答案解析：本题考查安全协议的概念。安全的超文本传输协议(Secure HTTP, S-HTTP)是一个面向报文的安全通信协议, 是HTTP协议的扩展, 位于应用层。SSL/TLS位于传输层, SSL/TLS在Web安全通信中被称为HTTPS。31. HTTPS的安全机制工作在传输层，而S-HTTP的安全机制工作在()。 (2011年上半年试题) 网络层传输层应用层(正确答案)物理层答案解析：本题考查安全协议的概念。安全的超文本传输协议(Secure HTTP, S-HTTP)是一个面向报文的安全通信协议, 是HTTP协议的扩展, 位于应用层。SSL/TLS位于传输层, SSL/TLS在Web安全通信中被称为HTTPS。32. 下面病毒中, 属于蠕虫病毒的是()。 (2011年上半年试题)单选题 Worm.Sasser病毒(正确答案)Trojan.QQPSW病毒Backdoor.IRCBot病毒Macro.Melissa病毒答案解析：本题考查计算机病毒的基础知识。病毒文件名称一般分为三部分, 第一部分表示病毒的类型, 如Worm表示蠕虫病毒, Trojan表示特洛伊木马, Backdoor表示后门病毒, Macro表示宏病毒等。33. 某报文的长度是1000字节, 利用MD5计算出来的报文摘要长度是()位。 (2011年下半年试题)单选题 64128(正确答案)256160答案解析：本题考查网络安全方面关于报文摘要算法的基础知识。报文摘要算法原理是用不定长的输入数据, 通过散列方法转换成定长的输出, 主要算法是MD5和SHA, MD5的输出长度是128位, SHA的输出是160位, 与报文本身的长度没有关系。34. 某报文的长度是1000字节, 利用MD5计算出来的报文摘要长度是128位, 利用SHA计算出来的报文摘要长度是()位。 (2011年下半年试题) 64128256160(正确答案)答案解析：本题考查网络安全方面关于报文摘要算法的基础知识。报文摘要算法原理是用不定长的输入数据, 通过散列方法转换成定长的输出, 主要算法是MD5和SHA, MD5的输出长度是128位, SHA的输出是160位, 与报文本身的长度没有关系。35. 以下安全协议中, 用来实现安全电子邮件的协议是()。 (2011年下半年试题)单选题 IPSecL2TPPGP(正确答案)PPTP答案解析：本题考查网络安全方面关于安全协议的基础知识。PGP(Pretty Good Privacy)是Philip R.Zimmermann在1991年开发的电子邮件加密软件包。PGP已经成为使用最广泛的电子邮件加密软件。36. Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成, 当用户A通过Kerberos向服务器V请求服务时, 认证过程如下图所示, 图中处为()。 (2011年下半年试题)单选题 KTGS(A,KS)(正确答案)KS(V,KAV)KV(A,KAV)KS(t)答案解析：本题考查网络安全方面关于安全协议的基础知识。Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成, 当用户A通过Kerberos向服务器V请求服务时, 认证过程如下图所示: 37. Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成, 当用户A通过Kerberos向服务器V请求服务时, 认证过程如下图所示, 图中处为KTGS(A,KS), 处为()。 (2011年下半年试题)单选题 KAV(t+1)KS(t+1)KStKAVt(正确答案)答案解析：本题考查网络安全方面关于安全协议的基础知识。Kerberos由认证服务器(AS)和票证授予服务器(TGS)两部分组成, 当用户A通过Kerberos向服务器V请求服务时, 认证过程如下图所示: 38. 公钥体系中, 用户甲发送给用户乙的数据要用()进行加密。 (2011年下半年试题)单选题 甲的公钥甲的私钥乙的公钥(正确答案)乙的私钥答案解析：本题考查网络安全方面公钥体系的基础知识。两个用户进行通信时, 发送方可以用自身的私钥对数据进行签名, 同时也可以用对方的公钥对数据进行加密, 接收方收到数据后, 用对方的公钥验证签名, 用自身的私钥解密数据。39. 以下关于钓鱼网站的说法中, 错误的是()。 (2012年上半年试题)单选题 钓鱼网站仿冒真实网站的URL地址钓鱼网站是一种网络游戏(正确答案)钓鱼网络用于窃取访问者的机密信息钓鱼网站可以通过Email传播网址答案解析：本题考查网络安全方面的知识。钓鱼网站是指一类仿冒真实网站的URL地址, 通过E-mail传播网址, 目的是窃取用户账号、密码等机密信息的网站。40. 支持安全Web服务的协议是()。 (2012年上半年试题)单选题 HTTPS(正确答案)WINSSOAPHTTP答案解析：本题考查网络安全方面的知识。Web服务的标准协议是HTTP协议, HTTPS对HTTP协议增加了一些安全特性。WINS是Windows系统的一种协议。SOAP是基于HTTP和XML, 用于Web Service的简单对象访问协议。41. 甲和乙要进行通信, 甲对发送的消息附加了数字签名, 乙收到该消息后利用()验证该消息的真实性。 (2012年上半年试题)单选题 甲的公钥(正确答案)甲的私钥乙的公钥乙的私钥答案解析：本题考查数字签名的概念。数字签名(Digital Signature)技术是不对称加密算法的典型应用: 数据源发送方使用自己的私钥对数据校验和(或)其他与数据内容有关的变量进行加密处理, 完成对数据的合法"签名", 数据接收方则利用对方的公钥来解读收到的"数字签名", 并将解读结果用于对数据完整性的检验, 以确认签名的合法性。数字签名主要的功能是保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。42. 下列算法中, ()属于摘要算法。 (2012年上半年试题)单选题 DESMD5(正确答案)Diffie-HellmanAES答案解析：本题考查安全算法方面的知识。题中的4个选项中, DES是一种经典的数据加密算法, AES是高级加密算法, Diffie- Hellman是一种密钥交换算法, MD5和SHA属于报文摘要算法。43. 所谓"代理ARP"是指由()假装目标主机回答源主机的ARP请求。 (2012年下半年试题)单选题 离源主机最近的交换机离源主机最近的路由器(正确答案)离目标主机最近的交换机离目标主机最近的路由器答案解析：当两个主机通过Internet通信时, 如果发送方主机不知道目标主机的MAC地址, 就要广播一个ARP请求分组, 这种分组的作用是由目标主机的IP地址求对应的MAC地址。收到这种请求分组的主机用自己的IP地址与目标结点协议地址字段比较, 若相符则发回一个ARP响应分组, 向发送方报告自己的硬件地址, 若不相符则不予回答。代理ARP如下图所示, 设子网A上的主机A(172.16.10.100)需要与子网B上的主机D(172.16.20.200)通信。当主机A需要与它直接连接的设备通信时, 它就向目标发送一个ARP请求。主机A在子网A上广播的ARP请求分组是: 这个请求的含义是要求主机D(172.16.20.200)回答它的MAC地址。ARP请求分组被包装在以太帧中, 其源地址是A的MAC地址, 而目标地址是广播地址(FFFF.FFFF.FFFF)。由于路由器不转发广播帧, 所以这个ARP请求只能在子网A中传播, 而到不了主机D。如果路由器知道目标地址(172.16.20.200)在另外一个子网中, 它就以自己的MAC地址回答主机A, 路由器发送的应答分组是: 这个应答分组包装在以太帧中, 以路由器的MAC地址为源地址, 以主机A的MAC地址为目标地址, ARP应答帧是单播传送的。在接收到ARP应答后, 主机A就更新它的ARP表: 此后主机A就把所有发送给主机D(172.16.20.200)的分组发送给MAC地址为00-00-0c-94-36-ab的主机, 这就是路由器的网卡地址。通过这种方式, 子网A中的ARP映像表都把路由器的MAC地址当作子网B中主机的MAC地址。例如主机A的ARP映像表如下所示: 多个IP地址被映像到一个MAC地址这一事实正是代理ARP的标志。44. 下列安全协议中, 与TLS功能相似的协议是()。 (2012年下半年试题)单选题 PGPSSL(正确答案)HTTPSIPSec答案解析：本题考查安全协议方面的基础知识。SSL(Secure Socket Layer,安全套接层)是Netscape于1994年开发的传输层安全协议, 用于实现Web安全通信。1996年发布的SSL 3.0协议草案已经成为一个事实上的Web安全标准。TLS(Transport Layer Security,传输层安全协议)是IETF制定的协议, 它建立在SSL3.0协议规范之上, 是SSL3.0的后续版本。45. 用户B收到用户A带数字签名的消息M, 为了验证M的真实性, 首先需要从CA获取用户A的数字证书, 并利用()验证该证书的真伪。 (2012年下半年试题)单选题 CA的公钥(正确答案)B的私钥A的公钥B的公钥答案解析：本题考查数字签名和数字证书方面的知识。基于公钥的数字签名系统如下图所示: A为了向B发送消息P, A用自己的私钥对P签名后再用B的公钥对签名后的数据加密, B收到消息后先用B的私钥解密后在用A的公钥认证A的签名以及消息的真伪。用户B收到用户A带数字签名的消息M, 为了验证M的真实性, 首先需要从CA获取用户A的数字证书, 验证证书的真伪需要用CA的公钥验证CA的签名, 验证M的真实性需要用用户A的公钥验证用户A的签名。46. 用户B收到用户A带数字签名的消息M, 为了验证M的真实性, 首先需要从CA获取用户A的数字证书, 并利用CA的公钥验证该证书的真伪, 然后利用()验证M的真实性。 (2012年下半年试题) CA的公钥B的私钥A的公钥(正确答案)B的公钥答案解析：本题考查数字签名和数字证书方面的知识。基于公钥的数字签名系统如下图所示: A为了向B发送消息P, A用自己的私钥对P签名后再用B的公钥对签名后的数据加密, B收到消息后先用B的私钥解密后在用A的公钥认证A的签名以及消息的真伪。用户B收到用户A带数字签名的消息M, 为了验证M的真实性, 首先需要从CA获取用户A的数字证书, 验证证书的真伪需要用CA的公钥验证CA的签名, 验证M的真实性需要用用户A的公钥验证用户A的签名。47. SDES是一种()算法。 (2012年下半年试题)单选题 共享密钥(正确答案)公开密钥报文摘要访问控制答案解析：本题考查加密方面的基础知识。SDES是DES的改进算法, 它使用两把密钥对报文作三次DES加密, 效果相当于将DES密钥的长度加倍了, 克服了DES密钥长度较短的缺点。SDES跟DES一样, 是一种共享密钥加密算法。48. IPSec中安全关联(Security Associations)三元组是()。 (2012年下半年试题)单选题 <安全参数索引SPI，目标IP地址，安全协议>(正确答案)<安全参数索引SPI，源IP地址，数字证书><安全参数索引SPI，目标IP地址，数字证书><安全参数索引SPI，源IP地址，安全协议>答案解析：本题考查IPSec方面的基础知识。安全关联(Security Association,简称SA)是IPsec的基础, 是两个应用IPsec系统(主机、路由器)间的一个单向逻辑连接, 是安全策略的具体化和实例化, 它提供了保护通信的具体细节。一个SA由一个三元组唯一标识, 该三元组是: 一个安全参数索引(SPI)、一个IP目的地址和一个安全协议(AH或ESP)标识符。49. 近年来, 我国出现的各类病毒中, ()病毒通过木马形式感染智能手机。 (2013年上半年试题)单选题 欢乐时光熊猫烧香X卧底(正确答案)CIH答案解析：本题考查病毒及其危害。欢乐时光及熊猫烧香均为蠕虫病毒, CIH则为系统病毒, 这3者均以感染台式机或服务器为主, 且产生较早;