信息安全期末考试题库及复习资料

1、题库一、选择1.密码学的目的是（。A.研究数据加密B.研究数据解密C.研究数据保密D.研究信息安全2.从攻击方式区分攻击类型，可分为被动攻击和主动攻击。被动攻击难以（C）,然而（C）这些攻击是可行的；主动攻击难以（C）,然而（C）这些攻击是可行的。C.检测，阻止，阻止，检测D.3.数据保密性安全服务的基础是（A.数据完整性机制B.C.访问控制机制D.4 .数字签名要预先使用单向函数进行处理的原因是（C）oA.多一道加密工序使密文更难破译B.提高密文的计算速度C.缩小签名密文的长度，加快数字签名和验证签名的运算速度D.保证密文能正确还原成明文5 .基于通信双方共同拥有的但是不为别人知道的秘密，利

2、用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是（C）oA.公钥认证B.零知识认证C.共享密钥认证D.口令认证6.为了简化管理，通常对访问者（A）,以避免访问控制表过于庞大。A.分类组织成组B.严格限制数量C.按访问时间排序，删除长期没有访问的用户D.不作任何限制7 .管理对象不包括（A）。A.和口令B.证书C.密钥D.证书撤消8 .下面不属于组成部分的是（D）oA.证书主体B.使用证书的应用和系统C.证书权威机构D.9 .协商的第一阶段可以采用（C）。A.主模式、快速模式B.快速模式、积极模式C.主模式、积极模式D.新组模式10 .协议和协议有（A）种工作模式。A.阻止，检测，阻

3、止，检测B.检测,阻止，检测，阻止上面3项都不是D）。数字签名机制加密机制A.二B.三C.四D.五11.（C）属于中使用的安全协议。A.、B.C.、D.12.包过滤型防火墙原理上是基于（C）进行分析的技术。A.物理层B.数据链路层C.网络层D.应用层13.的加密手段为（C）。A.具有加密功能的防火墙B.具有加密功能的路由器C.内的各台主机对各自的信息进行相应的加密D.单独的加密设备14. （B）通过一个使用专用连接的共享基础设施，连接企业总部、远程办事处和分支机构。A.B.C.D.15. （C）通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或感兴趣的群体连接到企业内部网。A.B.

4、C.D.A.内存B.软盘C.存储介质D.网络19 .攻击者截获并记录了从A到B的数据，然后又从早些时候所截获的数据中提取出信息重新发往B称为（D）。A.中间人攻击B.口令猜测器和字典攻击C.强力攻击D.回放攻击20 .在定义的安全体系结构中，没有规定（E）oA.对象认证服务B.数据保密性安全服务C.访问控制安全服务D.数据完整性安全服务E.数据可用性安全服务21 .在请求访问应用服务器之前，必须（A）。A.向服务器请求应用服务器B.向认证服务器发送要求获得“证书”的请求C.请求获得会话密钥16.计算机病毒是计算机系统中一类隐藏在（C）上蓄意破坏的捣乱程序。17.“公开密钥密码体制”的含义是（A

5、.将所有密钥公开B.保密C.将公开密钥公开，私有密钥保密18.“会话侦听和劫持技术”是属于（A.密码分析还原B.C.应用漏洞分析与渗透D.C）。将私有密钥公开，公开密钥D.两个密钥相同B）的技术。协议漏洞渗透攻击D.直接与应用服务器协商会话密钥22 .下列对访问控制影响不大的是（D）。A.主体身份B.客体身份C.访问类型D.主体与客体的类型23 .的主要组成不包括（B）。A.证书授权B.C.注册授权D.证书存储库24 .（A）协议必须提供验证服务。A.B.C.D.以上皆是25 .下列选项中能够用在网络层的协议是（D）oA.B.C.D.26、（A）协议是一个用于提供数据报完整性、身份认证和可选的

6、抗重播保护的机制，但不提供数据机密性保护。A.协议B.协议C.协议D.协议27.协议中负责对数据报加密的部分是（A）。A.封装安全负载（）B.鉴别包头（）C.密钥交换（）D.以上都不是28 .产生会话密钥的方式是（C）。A.从密钥管理数据库中请求获得B.每一台客户机分配一个密钥的方式C.随机由客户机产生并加密后通知服务器D.由服务器产生并分配给客户机29 .为了降低风险，不建议使用的服务是（D）oA.服务B.外部访问内部系统C.内部访问D.服务30 .火墙用于将和内部网络隔离，（B）。A.是防止火灾的硬件设施B.是网络安全和信息安全的软件和硬件设施C.是保护线路不受破坏的软件和硬件设施D.是起

7、抗电磁干扰作用的硬件设施31 .属于第二层的隧道协议有（B）A.B.D.以上皆不是32 .不属于隧道协议的是（C）。A.B.L2C.D.33 .和L2最适合于（D）oA.局域网B.C.企业扩展虚拟网D.34 .A方有一对密钥（公开，秘密），方向B方发送数字签名M对信息M加密为：M=公开（秘密（M）方收到密文的解密方案是（C）。A.公开（秘密（M）B.公开（公开（M）C.公开（秘密（M）D.秘密（秘密（M）35 .从安全属性对各种网络攻击进行分类，阻断攻击是针对（B）的攻击。企业内部虚拟网远程访问虚拟专用网B方有一对密钥（公开，秘密），A.机密性B.可用性C.完整性D.真实性11.攻击者用传输数

8、据来冲击网络接口，使服务器过于繁忙以至于不能应答请求的攻击方式是（A）。A.拒绝服务攻击B.地址欺骗攻击C.会话劫持D.信号包探测程序攻击36.（D）不属于安全体系结构的安全机制。A,通信业务填充机制B.访问控制机制C.数字签名机制D.审计机制E.公证机制37.属于安全体系结构中定义的（D）。A.认证交换机制B.通信业务填充机制C.路由控制机制D.公证机制38.访问控制是指确定（A）以及实施访问权限的过程。A.用户权限B.可给予哪些主体访问权利C.可被用户访问的资源D.系统是否遭受入侵39.支持的服务不包括（D）。A.非对称密钥技术及证书管理B.目录服务C.对称密钥的产生和分发D.访问控制服务

9、40.协议中必须实现的验证算法是（A）oA.5和1B.C.160D.以上皆是41 .对动态网络地址交换（），不正确的说法是（B）A.将很多内部地址映射到单个真实地址B.外部网络地址和内部地址一对一的映射C.最多可有64000个同时的动态连接D.每个连接使用一个端口42 .协议的乘客协议是（D）。A.B.C.D.上述皆可43.目前，使用了（A）技术保证了通信的安全性。隧道协议、身份认证和数据加密身份认证、数据加密隧道协议、身份认证隧道协议、数据加密44 .不太适合用于（C）。已知范围的地址的网络固定范围的地址的网络动态分配地址的网络协议的网络45.假设使用一种加密算法，它的加密方法很简单：将每一

10、个字母加a加密成fo这种算法的密钥就是5,那么它属于（A）oA.对称加密技术B.分组密码技术5,即C.公钥加密技术D.单向函数密码技术46 .从安全属性对各种网络攻击进行分类，截获攻击是针对（A）的攻击。A,机密性B.可用性C.完整性D.真实性47 .最新的研究和统计表明，安全攻击主要来自（B）oA.接入网B.企业内部网C.公用网D.个人网48 .用于实现身份鉴别的安全机制是（A）oA.加密机制和数字签名机制B.加密机制和访问控制机制C.数字签名机制和路由控制机制D.访问控制机制和路由控制机制49 .身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是（B）。A.身份鉴别是授权控制的

11、基础B.身份鉴别一般不用提供双向的认证C.目前一般采用基于对称密钥加密或公开密钥加密的方法D.数字签名机制是实现身份鉴别的重要机制50能够执行的功能是（A）和（C）。A.鉴别计算机消息的始发者B.C.保守消息的机密D.51.协议由（A）协议混合而成。A.、B.、C.L2、D.52 .一般而言，防火墙建立在一个网络的（C）A.内部子网之间传送信息的中枢B.每个子网的内部C.内部网络与外部网络的交叉点D.部分内部网络与外部网络的结合处53 .的英文全称是（B）oA.B.C.D.54. L2隧道在两端的服务器之间采用（A）来验证对方的身份。A.口令握手协议B.C.D.数字证书55.信息安全的基本属性

12、是（D）。A.机密性B.可用性C.完整性D.上面3项都是56.安全体系结构中的对象认证服务，使用（B）完成。A.加密机制B.数字签名机制确认计算机的物理位置确认用户具有的安全性特权以上皆不是C.访问控制机制D.数据完整性机制57 .的设计目标不包括（B）。A.认证B.授权C.记账D.审计58 .协议和（C）隧道协议处于同一层。A.B.L2C.D.以上皆是59.传输层保护的网络采用的主要技术是建立在（A基础上的（AoA.可靠的传输服务，安全套接字层协议B.不可靠的传输服务，协议C.可靠的传输服务，协议D.不可靠的传输服务，安全套接字层协议60 .以下（D）不是包过滤防火墙主要过滤的信息？A.源地

13、址B.目的地址C.源端口和目的端口D.时间61.将公司与外部供应商、客户及其他利益相关群体相连接的是（B）。A.内联网B.外联网C.远程接入D.无线62 .窃听是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接收站之间。截获是一种（A）攻击，攻击者（A）将自己的系统插入到发送站和接受站之间。A.被动，无须，主动，必须B.主动，必须，被动，无须C.主动，无须，被动，必须D.被动，必须，主动，无须63.（C）是一个对称加密系统，它使用一个集中式的专钥密码功能，系统的核心是OA.B.C.D.64.下列协议中，（A）协议的数据可以受到的保护。A.、B.C.D.以上皆可以65、（D）协议主要由、

14、和协议组成。A.B.L2C.L2FD.66 .、L2和L2F隧道协议属于（B）协议。A.第一层隧道B.第二层隧道C.第三层隧道D.第四层隧道67 .机密性服务提供信息的保密，机密性服务包括（D）oA.文件机密性B.信息传输机密性C.通信流的机密性D.以上3项都是68.不属于的核心技术是（C）。A.隧道技术B.身份认证C.日志记录D.访问控制69.（A）通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。A.B.C.D.70.拒绝服务攻击的后果是（E）。A.信息不可用B.应用程序不可用C.系统宕机D.阻止通信E.上面几项都是71.通常所说的移动是指（A）。A.B.C

15、.D,以上皆不是二、填空1.密码系统包括以下4个方面：明文空间、密文空间、密钥空间和密码算法。2.解密算法D是加密算法E的（逆运算）。3.如果加密密钥和解密密钥（相同）,这种密码体制称为对称密码体制。4.算法密钥是（64）位,其中密钥有效位是（56）位。5.算法的安全是基于分解两个大素数的积的函抵一6.公开密钥加密算法的用途主要包括两个方面：密钥分配、数字签名。7.消息认证是验证信息的完整性，即验证数据在传送和存储过程中是否被篡改、重放或延迟等。8.函数是可接受变殳数据输入，弁生成定长数据输出的函数。9.密钥管理的主要内容包括密钥的生成、分配、使用、存储、备份、恢复和销毁。10.密钥生成形式有

16、两种：一种是由中心集中生成，另一种是由个人分散生成。11.密钥的分配是指产生弁使使用者获得密钥的过程。12.密钥分配中心的英文缩写是_o13.数字签名是笔迹签名的模拟，是一种包括防止源点或终点否认的认证技术。14.身份认证是验证信息发送者是真的,而不是冒充的，包括信源、信宿等的认证和识别。15.访问控制的目的是为了限制访问主体对访问客体的访问权限。16.防火墙是位于两个网络之间，一端是内部网络，另一端是外部网络。17.防火墙系统的体系结构分为双宿主机体系结构、屏蔽主机体系结构、屏蔽子网体系结构。18.的物理实现不同，按检测的监控位置划分，入侵检测系统可分为基于主机的入侵检测系统、基于网络的入侵

17、检测系统和分布式入侵检测系统。19.计算机病毒的5个特征是：主动传染性、破坏性、寄牛性（隐蔽性）、潜伏性、多态性。20.恶意代码的基本形式还有后门、逻辑炸弹、特洛伊木马、蠕虫、细菌。21.蠕虫是通过网络进行传播的。22.计算机病毒的工作机制有潜伏机制、传染机制、表现机制。三、问答题1.简述主动攻击与被动攻击的特点，弁列举主动攻击与被动攻击现象。主动攻击是攻击者通过网络线路将虚假信息或计算机病毒传入信息系统内部，破坏信息的真实性、完整性及系统服务的可用性，即通过中断、伪造、篡改和重排信息内容造成信息破坏，使系统无法正常运行。被动攻击是攻击者非常截获、窃取通信线路中的信息，使信息保密性遭到破坏，信

18、息泄露而无法察觉，给用户带来巨大的损失。2 .简述对称密钥密码体制的原理和特点。对称密钥密码体制，对于大多数算法，解密算法是加密算法的逆运算，加密密钥和解密密钥相同，同属一类的加密体制。它保密强度高但开放性差,要求发送者和接收者在安全通信之前，需要有可靠的密钥信道传递密钥，而此密钥也必须妥善保管。4.什么是序列密码和分组密码？序列密码是一种对明文中的单个位（有时对字节）运算的算法。分组密码是把明文信息分割成块结构，逐块予以加密和解密。块的长度由算法设计者预先确定。5 .简述公开密钥密码机制的原理和特点？公开密钥密码体制是使用具有两个密钥的编码解码算法， 加密和解密的能力是分开的；这两个密钥一个

19、保密，另一个公开。根据应用的需要，发送方可以使用接收方的公开密钥加密消息，或使用发送方的私有密钥签名消息，或两个都使用，以完成某种类型的密码编码解码功能。6.什么是5?消息摘要算法是由提出，是当前最为普遍的算法，5是第5个版本，该算法以一个任意长度的消息作为输入，生成128位的消息摘要作为输出,输入消息是按512位的分组处理的。第二章安全问题概述、选择题二、问答题1.请解释5种“窃取机密攻击”方式的含义。1）网络踩点（）攻击者事先汇集目标的信息，通常采用、等工具获得目标的一些信息，如域名、地址、网络拓扑结构、相关的用户信息等，这往往是黑客入侵所做的第一步工作。2）扫描攻击（）这里的扫描主要指端

20、口扫描，通常采用等各种端口扫描工具，可以获得目标计算机的一些有用信息，比如机器上打开了哪些端口，这样就知道开设了哪些网络服务。黑客就可以利用这些服务的漏洞，进行进一步的入侵。这往往是黑客入侵所做的第二步工作。3）协议栈指纹（）鉴别（也称操作系统探测）黑客对目标主机发出探测包，由于不同厂商的协议栈实现之间存在许多细微差别，因此每种都有其独特的响应方法，黑客经常能够确定目标主机所运行的。这往往也可以看作是扫描阶段的一部分工作。4）信息流嗅探（）通过在共享局域网中将某主机网卡设置成混杂（）模式，或在各种局域网中某主机使用欺骗，该主机就会接收所有经过的数据包。基于这样的原理，黑客可以使用一个嗅探器（软

21、件或硬件）对网络信息流进行监视，从而收集到帐号和口令等信息。这是黑客入侵的第三步工作。5）会话劫持（）所谓会话劫持，就是在一次正常的通信过程中，黑客作为第三方参与到其中，或者是在数据流里注射额外的信息， 或者是将双方的通信模式暗中改变， 即从直接联系变成交由黑客中转。这种攻击方式可认为是黑客入侵的第四步工作一一真正的攻击中的一种。2.请解释5种“非法访问”攻击方式的含义。1）口令破解攻击者可以通过获取口令文件然后运用口令破解工具进行字典攻击或暴力攻击来获得口令，也可通过猜测或窃听等方式获取口令，从而进入系统进行非法访问，选择安全的口令非常重要。这也是黑客入侵中真正攻击方式的一种。2）欺骗攻击者

22、可通过伪装成被信任源地址等方式来骗取目标主机的信任，这主要针对下建立起地址信任关系的主机实施欺骗。这也是黑客入侵中真正攻击方式的一种。3）欺骗当服务器向另一个服务器发送某个解析请求（由域名解析出地址）时，因为不进行身份验证， 这样黑客就可以冒充被请求方， 向请求方返回一个被篡改了的应答（地址），将用户引向黑客设定的主机。这也是黑客入侵中真正攻击方式的一种。4）重放（）攻击在消息没有时间戳的情况下，攻击者利用身份认证机制中的漏洞先把别人有用的消息记录下来，过一段时间后再发送出去。5）特洛伊木马（）把一个能帮助黑客完成某一特定动作的程序依附在某一合法用户的正常程序中，而一旦用户触发正常程序， 黑客

23、代码同时被激活， 这些代码往往能完成黑客早已指定的任务 （如监听某个不常用端口，假冒登录界面获取帐号和口令等）。4.了解下列各种攻击方式：、电子邮件炸弹、缓冲区溢出攻击、社交工程1）有些系统在安装后，没有对缺省配置进行必要的修改，使得一些容易遭受攻击的服务端口对外敞开着。服务（7和7）对接收到的每个字符进行回送；（19和19）对每个接收到的数据包都返回一些随机生成的字符（如果是与服务在19端口建立了连接，它会不断返回乱字符直到连接中断）。黑客一般会选择两个远程目标，生成伪造的数据包，目的地是一台主机的服务端口，来源地假冒为另一台主机的服务端口。 这样， 第一台主机上的服务返回的随机字符就发送给

24、第二台主机的服务了，第二台主机再回送收到的字符，如此反复，最终导致这两台主机应接不暇而拒绝服务，同时造成网络带宽的损耗。2）它对做了简单的修改，使用的是应答消息而非。3）电子邮件炸弹黑客利用某个“无辜”的邮件服务器，持续不断地向攻击目标（邮件地址）发送垃圾邮件，很可能“撑破”用户的信箱，导致正常邮件的丢失。4）缓冲区溢出攻击十多年来应用非常广泛的一种攻击手段，近年来，许多著名的安全漏洞都与缓冲区溢出有关。所谓缓冲区溢出，就是由于填充数据越界而导致程序原有流程的改变，黑客借此精心构造填充数据，让程序转而执行特殊的代码，最终获得系统的控制权。5）社交工程（）一种低技术含量破坏网络安全的有效方法，但

25、它其实是高级黑客技术的一种，往往使得处在看似严密防护下的网络系统出现致命的突破口。 这种技术是利用说服或欺骗的方式，让网络内部的人（安全意识薄弱的职员）来提供必要的信息，从而获得对信息系统的访问。6.请解释下列网络信息安全的要素：保密性、完整性、可用性、可存活性近年来.学术界又开始嫌一个弱的安全概可存活性ZSTViVLhllityZSTViVLhllity）二晚来的某辘并没有保证措施来抵抗各件系境错误和安全伤害,可存活的网络系统就梏设计来在面对这些风险的时候仍嬷能雅存活.炉以可荏活性指的就是网珞汁尊机第统的这样#能力，它跟在而附各种攻击或得误的情况F F熊辑提供核心的服队而H H能等及时地恢复

26、全部的服务.这是一个新的融合计算机安全和曲立风险管理的裸题，它的点点不仅是对就计并机人检者，ifif螯保证布各种网珞攻击的情况下而止目饰得以无现卜羌舞的商业功能傅以保特.捱高对捋珞攻击的星境可存活性.同时也提高了商业系统在而对一些并车肥塞的事故与故障的可存活性.保密性指网络中的数据必须按照数据的拥有者的要求保证一定的秘密性，不会被未授权的第三方非法获知。具有敏感性的秘密信息，只有得到拥有者的许可，其他人才能够获得该信息，网络系统必须能够笑止信息的非授权访问或泄露.完整性指网珞中的信息安全、精确与有效.不因人为的因素而改变信息原有的内容、形式与流向，即不能为未授权的第三方修改，它包含数据完蹙性的

27、内涵即俣证数据不被非法地改动和储毁，同样还包含系统完整性的内髓，即保证系统以无害的方式按照预定的功他运行,不受有意的或者意外的北法操作所破坏口信息的完整性是信息安全的基本要求破仄信息的完整性是影响信息安全的常用手段.当前，运行于因特网上的分议(如TCP/IP)TCP/IP)等，能够输保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包.但却无法制止未授权第三方对信息包内部的修改.可用性就是襄保障网络资源无论在利时，无论经过何种处理，只要需要即可使用，而不因系统故障或误操作等使资源丢失或妨碍对资源的使用，使得严格时间要求的服务不能得到及时的响应*另外.阿洛可用性还包括具有在

28、某些不正常条件下继续运行的能力。病毒就常常破坏信息的可用性,使系统不能正常运行，数据文件面目全非.第三章安全体系结构与模型一、选择题三、问答题1.列举弁解释中定义的5种标准的安全服务。(1)鉴别用于鉴别实体的身份和对身份的证实，包括对等实体鉴别和数据原发鉴别两种。(2)访问控制提供对越权使用资源的防御措施。(3)数据机密性针对信息泄露而采取的防御措施。分为连接机密性、无连接机密性、选择字段机密性、通信业务流机密性四种。(4)数据完整性防止非法篡改信息，如修改、复制、插入和删除等。分为带恢复的连接完整性、无恢复的连接完整性、选择字段的连接完整性、无连接完整性、选择字段无连接完整性五种。(5)抗否

29、认是针对对方否认的防范措施，用来证实发生过的操作。包括有数据原发证明的抗否认和有交付证明的抗否认两种。2 .解释六层网络安全体系中各层安全性的含义。1.物理安全防止物理通路的损坏、窃听和攻击（干扰等），保证物理安全是整个网络安全的前提，包括环境安全、设备安全和媒体安全三个方面。2 .链路安全保证通过网络链路传送的数据不被窃听，主要针对公用信道的传输安全O在公共链路上采用一定的安全手段可以保证信息传输的安全，对抗通信链路上的窃听、篡改、重放、流量分析等攻击。3 .网络级安全需要从网络架构（路由正确）、网络访问控制（防火墙、安全网关、）、漏洞扫描、网络监控与入侵检测等多方面加以保证，形成主动性的网

30、络防御体系。4 .信息安全包括信息传输安全（完整性、机密性、不可抵赖和可用性等）、信息存储安全（数据备份和恢复、数据访问控制措施、防病毒）和信息（内容）审计。5 .应用安全包括应用平台（、数据库服务器、服务器）的安全、应用程序的安全。6 .用户安全用户合法性，即用户的身份认证和访问控制。9.2000属于哪个安全级别，为什么？2000属于C2级。因为它有访问控制、权限控制，可以避免非授权访问，并通过注册提供对用户事件的跟踪和审计。第八章密钥分配与管理一、填空题二、问答题5.在密钥分配过程中充当何种角色？在密钥分配过程中充当可信任的第三方。保存有每个用户和之间共享的唯一密钥，以便进行分配。在密钥分

31、配过程中，按照需要生成各对端用户之间的会话密钥，并由用户和共享的密钥进行加密，通过安全协议将会话密钥安全地传送给需要进行通信的双方。第十章数字签名与鉴别协议三、问答题1.数字签名有什么作用？当通信双方发生了下列情况时，数字签名技术必须能够解决引发的争端:?否认，发送方不承认自己发送过某一报文。?伪造，接收方自己伪造一份报文，并声称它来自发送方。?冒充，网络上的某个用户冒充另一个用户接收或发送报文。?篡改，接收方对收到的信息进行篡改。2,请说明数字签名的主要流程。数字签名通过如下的流程进行：(1)采用散列算法对原始报文进行运算，得到一个固定长度的数字串，称为报文摘要()，不同的报文所得到的报文摘

32、要各异，但对相同的报文它的报文摘要却是惟一的。在数学上保证，只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符，这样就保证了报文的不可更改性。(2)发送方用目己的私有密钥对摘要进行加密来形成数字签名。(3)这个数字签名将作为报文的附件和报文一起发送给接收方。(4)接收方首先对接收到的原始报文用同样的算法计算出新的报文摘要,再用发送方的公开密钥对报文附件的数字签名进行解密，比较两个报文摘要，如果值相同，接收方就能确认该数字签名是发送方的，否则就认为收到的报文是伪造的或者中途被篡改。3 .数字证书的原理是什么？数字证书采用公开密钥体制(例如)。每个用户设定一仅为本人所知的私有密钥，

33、用它进行解密和签名； 同时设定一公开密钥， 为一组用户所共享， 用于加密和验证签名。采用数字证书，能够确认以下两点：(1)保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。(2)保证信息自签发后到收到为止未曾做过任何修改，签发的信息是真实信4 .报文鉴别有什么作用，公开密钥加密算法相对于常规加密算法有什么优点？报文鉴别往往必须解决如下的问题：(1)报文是由确认的发送方产生的。(2)报文的内容是没有被修改过的。(3)报文是按传送时的相同顺序收到的。(4)报文传送给确定的对方。一种方法是发送方用自己的私钥对报文签名，签名足以使任何人相信报文是可信的。另一种方法常规加密算法也提供了鉴别。但

34、有两个问题，一是不容易进行常规密钥的分发，二是接收方没有办法使第三方相信该报文就是从发送方送来的，而不是接收方自己伪造的。因此，一个完善的鉴别协议往往考虑到了报文源、报文宿、报文内容和报文时间性的鉴别。第十二章身份认证三、问答题1.解释身份认证的基本概念。身份认证是指用户必须提供他是谁的证明，这种证实客户的真实身份与其所声称的身份是否相符的过程是为了限制非法用户访问网络资源，它是其他安全机制的基础。身份认证是安全系统中的第一道关卡，识别身份后，由访问监视器根据用户的身份和授权数据库决定是否能够访问某个资源。一旦身份认证系统被攻破，系统的所有安全措施将形同虚设，黑客攻击的目标往往就是身份认证系统

35、。2 .单机状态下验证用户身份的三种因素是什么？(1)用户所知道的东西：如口令、密码。(2)用户所拥有的东西：如智能卡、身份证。(3)用户所具有的生物特征：如指纹、声音、视网膜扫描、等。4.了解散列函数的基本性质。散列函数H必须具有性质：?H能用于任何长度的数据分组；?H产生定长的输出；?对任何给定的x,H(x)要相对容易计算；?对任何给定的码h,寻找x使得H(x)在计算上是不可行的，称为单向性;?对任何给定的分组x,寻找不等于x的y,使得H(y)(x)在计算上是不可行的，称为弱抗冲突()；?寻找对任何的()对，使得H(y)(x)在计算上是不可行的，称为强抗冲突()。12.了解系统的优点。(1

36、)安全：网络窃听者不能获得必要信息以假冒其他用户，应足够强壮以致于潜在的敌人无法找到它的弱点连接。(2)可靠：应高度可靠并且应借助于一个分布式服务器体系结构，使得一个系统能够备份另一个系统。(3)透明：理想情况下用户除了要求输入口令以外应感觉不到认证的发生。(4)可伸缩：系统应能够支持大数量的客户和服务器，这意味着需要一个模块化的分布式结构。第十三章授权与访问控制三、问答题1.解释访问控制的基本概念。访问控制是建立在身份认证基础上的，通过限制对关键资源的访问，防止非法用户的侵入或因为合法用户的不慎操作而造成的破坏。访问控制的目的：限制主体对访问客体的访问权限（安全访问策略），从而使计算机系统在合法范围内使用。2 .访问控制有几种常用的实现方法？它们各有什么特点？1访问控制矩阵行表示客体（各种资源），列表示主