网络安全4

第五章1.公钥密码技术中CA的作用是（D）A保护用户的密钥不被获取B检验公钥是否易被攻击C同意管理某一地区内的所有用户密钥D验证发布公钥的用户身份，提供可信任的用户公钥2.如果认证安全服务使用RSA公钥算法，那么较为安全的公钥发布机制应该为（C）A国家机构性质的CA提供者B大型Internet服务商提供的CA服务器C该机构总部建置的CA服务器D包括总部与分支机构在内的各地区CA服务器组成的分布式认证服务3.某web网站想CA申请了数字证书。用户登录该网站时，通过验证（3.1），可确认该数字证书的有效性，从而（3.2）。（3.1）A.CA的签名B.网站的签名C.会话密钥D.DES密码（3.2）A.想网站确认自己的身份B.获取访问网站的权限C.和网站进行双向认证D.验证该网站的真伪4.密钥贾环问题的最终方案是使用（C）A.护照B.数字信封C.数字证书D.消息摘要5.（A）可以签发数字证书A.CAB.政府C.小店主D.银行6.（D）标准定义数字证书结构A.X.500B.TCP/IPC.ASN.1D.X.5097.RA（D）签发数字证书A.可以B.可以或不可以C.必须D.不能8.CA用（D）签名数字证书A.用户的公钥B.用户的私钥C.自己的公钥D.自己的私钥9.要解决信任问题，使用（C）A.公钥B..自签名证书C.数字证书D.数字签名10.以下关于安全服务的说法不正确的是（C）A.身份鉴别是授权控制的基础，必须做到准确无二地将对方辨别出来，同时还提供双向的认证B.授权控制是控制不同主体对信息资源访问权限C.目前的数据加密技术主要有两大类：一种使基于对称密钥加密的算法，也称公钥算法；另一种是基于非对称密钥的加密算法，也称私钥算法D.防止否认是指接收方在接收到发送方发送的信息后，发送方无法否认自己的发送行为11.身份鉴别是安全服务的重要一环，以下关于身份鉴别的叙述不正确的是（B）A.身份鉴别黑丝授权控制的基础B.身份鉴别一般不用提供双向的认证C.目前一般采用对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制12.下面关于鉴别和加密的说法正确的是（C）A.加密用来确保数据的可用性B.鉴别用来确保数据的秘密性C.鉴别用来确保数据的真实性D.加密用来确保数据的真实性13.确定用户身份称为（A）A.鉴别B.保密C.授权D.访问控制14.C（）是最常用的鉴别机制A.智能卡B.PINC.生物D.口令15.（C）是鉴别令牌随机性的基础A口令B用户名C种子D消息摘要16.基于口令鉴别是（A）鉴别A.单因子B.双因子C.三银子D.四银子17.基于时间令牌中的可变因子是（C）A.种子B.随机挑战C.时间D.口令18.基于数字证书鉴别中，用户要输入访问（B）的口令A.公钥文件B.私钥文件C.种子D.随机挑战19.生物鉴别基于（A）A.人的特性B.口令C.智能卡D.PIN20.用户鉴别方法不包括（C）A.根据用户知道什么来判断B.根据用户拥有什么来判断C.根据用户地址来判断D.根据用户是什么来判断21.Pkl体系数字证书所遵循的国际标准是（B）A.ISO1779B.ISOX..509C.ISO15408D.ISOX.90522.网络黑客威力非法闯入一个网络系统，（）是其攻击的主要目标A.口令B.电子邮件C.病毒D.可以作为支持身份、完整性、机密性和不可否认性的技术基础2.目前数字证书的结构标准的名称是x..5093.数字证书将用户与其g公钥相联系4.CA工作量可能很大，可以讲部分任务交给注册机构（RA）5.证书生成的验证包括两方面的内容，一是要验证用户的身份和材料是否真实可靠，另一个是要验证用户自己持有的私钥跟注册提供的公钥是否相对应。6.信任数字证书是因为证书机构用自己的私钥签名这个数字证书7.使用证书时要解决两个问题：一是这个横竖是否是发送者的，二是这个证书是否有效8.常用的额鉴别机制有口令的鉴别，口令导出形式的鉴别，基于随机挑战的鉴别，鉴别令牌，基于数字证书的鉴别，和生物鉴别9.采用随机挑战的鉴别方式，可以防止重放攻击。10.鉴别令牌是双因子鉴别，因为既要知道PIN，又要拥有鉴别令牌11.多音字鉴别中最常见的三银子鉴别，即知道的东西；所拥有的东西；所具有的东西12.鉴别令牌分为基于挑战/响应令牌和基于时间的令牌，其中基于时间令牌更常用，更加自动化13.基于随机挑战鉴别的安全性表现为：用户数据库存储口令摘要，防止数据库攻击；随机挑战防止重放攻击；网络不传输口令，防止截获。二．简答题2、数字证书的典型内容是什么？最简单的证书至少包括三项基本内容：1).公钥2).用户名（主体名）3).证书机构的签名4、列出生成数字证书的5个关键步骤。1)生成密钥。主体要取得证书，可使用两种方法生成密钥对：一是主体使用某个软件自己生成公钥/私钥，二是注册机构可以为主体生成密钥对。2)主体注册。用户首先填写数字证书申请表，其次提供证明材料。)验证。一是验证用户的身份和材料是否真实可靠，二是验证用户持有的私钥和提供给注册机构的公钥是否对应。3)数字证书的生成。若前三步成功，RA把用户的所有细节传递给CA。CA进行必要的验证，将这些信息转换为X.509标准格式。4)数字证书的发放。CA将证书发放给用户，同时保留一份证书的记录。6、在生成数字证书时，RA如何验证用户的公钥与私钥的一致性？法一：RA要求用户用私钥对注册的申请内容进行数字签名，若RA可以用该用户的公钥验证签名，则用户的公钥/私钥一致。法二：RA对用户生成一个不能直接使用的哑证书，并使用用户的公钥加密，将其发给用户，若用户可以解密这个加密证书才能取得明文证书。7、简述数字证书的作用。1)防止中间人攻击。攻击者没有CA的私钥，无法再次使用CA的私钥加密改变后的消息。2)防止冒名CA发布数字证书。攻击者没有CA的私钥，不能使用CA的私钥加密消息，接受方也不能用CA的公钥解密消息。3)防止CA抵赖。数字证书经CA签名，而数字签名具有抗抵赖性。4)确保数字证书中用户身份的真实性。用户的身份经过RA对用户的身份等资料进行审查。5)确保用数字证书的公钥加密消息一定可以用该用户的私钥进行解密。因为RA对私钥/公钥进行了匹配验证。8、用户如何验证接受到数字证书的真实性？用户信任数字证书是因为证书机构对证书的内容进行了验证，并用自己的私钥签名这个数字证书，而用户是信任证书机构的。只要成功验证证书机构的签名，就可以认为证书是有效的。1)用户将数字证书中除了最后一个字段以外的所有字段传入消息摘要算法。2）消息摘要算法计算数字证书中出最后一个字段以外的所有字段的消息摘要MD13）用户从证书中取出CA的数字签名（证书最后一个字段）。4）用户用CA的公钥解密签名，并得到消息摘要MD25）用户比较求出的MD1和MD2，若MD1=MD2，可以肯定数字证书是CA用私钥签名的。13、三因子鉴别的3个方面是什么？用户所知道的东西（whatyouknow）用户所拥有的东西（whatyouhave）用户所具有的东西（whatyouare）。15、基于数字证书鉴别的基本步骤有哪些？1)CA对每个用户生成数字证书，并将其发给相应的用户，同时将证书存放在鉴别服务器的用户数据库。2)用户在客户端只需输入用户名，不输入口令。3)服务器检查用户名是否有效。4)服务器生成随机挑战（随机数），保留随机挑战并发给用户。5)用户输入私密密钥打开私钥文件，然后从文件取得私钥。6)用户用私钥签名随机挑战，并将签名结果发给服务器。7)服务器从用户数据库取得用户的公钥，用公钥解密用户发来的签名结果。8)服务器比较发出的随机挑战与解密后的随机挑战，若成功，返回鉴别成功消息。16、基于生物特征的用户身份鉴别机制有哪些优点和缺点？优点：1)随身性。生物特征是人体固有的特征，与人体是唯一绑定的。2)安全性。人体特征本身就是个人身份的最好证明，满足更高的安全需求。3)唯一性。每个人拥有的生物特征各不相同。4)稳定性。生物特征不会随时间等条件的变化而变化。5)广泛性。每个人都具有这个特征。6)方便性。生物特征鉴别技术不需记忆密码与携带使用特殊工具，不会遗失。7)可采集性。选择生物特征易于测量。缺点：由于用户的物理特征可能因为某些原因而改变，每次鉴别产生的样本可能稍有不同。因此，在用户注册时，生成用户生物数据的多个样本，并把它们的组合和平均值存放在用户数据库，使实际鉴别期间的各种用户样本能映射这个平均样本。任何生物鉴别系统都要定义两个可配置参数：假接受率（FAR）、假拒绝率（FRR）。