2022年商用密码应用安全性评估测试题(答案)

2022年商用密码应用安全性评估测试题

（完整答案）

第一部分：单择题（每小题2分，共60分）

1.密码是指采用对信息等进行加密保护、安全认证的技术、

产品和服务

A.数学变换的方法

B.移位变换的方法

C.特定变换的方法（正确答案）

D.点乘运算的方法

2.密码可以对信息实现保护。

A.机密性

B.数据完整性

C.真实性和不可否认行

D.以上都是（正确答案）

3.密评是指在采用商用密码技术、产品和服务集成建设的网络与信

息系统中，对其密码应用的进行评估

A.合规性

B.正确性

C.有效性

D.以上都是（正确答案）

4.在PDCA管理循环保证管理体系中，在计划（Plan）阶段，应详细

梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求,

并设计出具体的oA.密码应用安全需求

B.密码应用方案（正确答案）

C.密码应急方案

D.密评实施方案

5.下列不属于对称算法的是

A.SHAKE256（正确答案）

B.SM4

C.ZUC

D.RC4

6.SM2算法私钥长度是A.1024

B.256（正确答案）

C.128

D.512

7.SM4算法在进行密钥扩展过程中，总共会产生_____轮密钥。

A.16

B.32（正确答案）

C.8

D.64

8.以上分析密码的工作模式中，加密过程无法并行化。

A.CBC（正确答案）

B.ECB

C.CTR

D.BC

9.下列算法中，主要用于4G移动通信中移动用户设备和无线网络控制

设备之间的无线链路上通信信令和数据的加密和解密。

A.SM4

B.128-EEA3（正确答案）

C.AES

D.3DES

10.以下算法被国家密码管理局警示是有风险的算法。

A.MD5

B.SHA-1

C.DES

D.以上都是（正确答案）

11.关于密钥生命周期，以下说法错误的是

A.口令通过派生算法生成密钥，极大地降低了穷举搜索攻击的难度，因此这

种密钥仅在某些特定环境中使用。

B.通信双方在密钥协商过程中，可以使用DH、MQV等算法获得一个共享秘密,

该共材料利用KDF生成密钥。

C.在密钥导入和导出过程中，可以将密钥简单地截取成若干个分量，每个分

量单独

D.密钥备份与密钥存储非常类似，只不过备份的密钥处于不激活状态（不能

直接用

12.IPSECVPN协议中，在载荷中，协商了协议所使用的密码算法套件。

A.SA（正确答案）

B.Nonce

C.随机数

D.证书

13.IPSECVPN在主模式中会利用Nonce载荷等交换的数据生成基本密钥参数,

基本密钥参数不包括下列

A.用于产生会话密钥的密钥参数

B.用于验证完整性和数据源身份的工作密钥

C.用于加密的工作密钥

D.会话密钥（正确答案）

14.下列协议无法穿越NAT

A.AH协议（正确答案）

B.ESP协议

C.TCP协议

D.UDP协议

15.在SSLVPN协议中，实现了服务端和客户端之间的身份鉴别。

A.握手协议（正确答案）

B.密码规格变更协议

C.报警协议

D.记录层协议

16.以下技术可以实现信息的真实性保护

A.MAC

B.PIN码

C.动态口令

D.以上都是（正确答案）

17.密码法的中明确了的根本原则

A.依法行政

B.简政放权

C.党管密码（正确答案）

D.事前监管

18、在密码法实施前，”一部涉及规范多项密码管理工作的法律”是指

A.商用密码管理条例

B.电子签名法（正确答案）

C.网络安全法

D.网络安全等级保护条列

19.以下说法错误的是？

A.密码法中规定大众消费类产品所采用的商用密码不实行进口许可和出口管

制制度

B.商用密码工作是密码工作的重要组成部分，商用密码可以用于保护属于国

家秘密

C.商用密码应用安全性评估是商用密码检测认证体系建设的重要组成部分，

是衡量

D.国家密码管理部门负责全国的密码工作。县级以上地方各级密码管理部门

负责本

20.—人民政府应当将密码工作纳入本级国民经济和社会发展规划，

所需经费列入本级财政预算。

A.县级以上（正确答案）

B.市级以上

C.省级以上

D.部委

21.以下说法正确的是：

A.网络与信息系统责任单位即网络与信息系统建设、使用、管理单位，是商

用密码

B.测评机构是商用密码应用安全性评估的承担单位，应当按照有关法律法规

和标准

C.国家密码管理负责指导、监督和检查全国的商用密码应用安全性评估工作;

省本行业（系统）的商用密码应用安全性评估工作。

D.以上都正确。（正确答案）

22.以下标准中，不属于密码基础类标准的是

A.《SM4分组密码算法》

B.《密码术语》

C.《密码应用标识规范》

D.《密码设备应用接口规范》（正确答案）

23.以下说法错误的是

A.商用密码产品按照形态可以划分为：软件、芯片、模块、板卡、整机、系

统。

B.商用密码产品按照功能可划分为：密码算法类、数据加解密类、认证鉴别

类、证

C.密码产品检测检测机构按照《密码模块安全技术要求》对模块类产品实行

分级检

D.密钥管理类产品主要是指提供密钥产生、分发、更新、归档和恢复等功能

的产品

24.在IPSECVPN协议中，SM4分组密码算法的属性值是

A.128

B.129（正确答案）

C.20

D.2

25.下列服务器密码机的密码接口中，是指使用内部存储

的私钥进行签名

A.SDF」ntei7ialSign_ECC（正确答案）

B.SDF_OpenDevice

C.SDF_GenerateKeyWithEPK_ECC

D.SDF_Encrypt

26.下列说法错误的是

A.在数字证书认证系统中，CA可以提供数字证书生命周期管理服务。

B.RA负责用户证书申请、身份审核和证书下载。

C.GM/T0022-2014《IPsecVPN技术规范》规定签名证书和加密证书可以为同

一个证

D.在数字证书认证系统，应采取通信加密、安全通信协议等安全措施保障CA

各子

27.从一张数字证书无法得到信息。

A.证书用途

B.主体公钥信息

C.有效日期

D.证书签发机构公钥信息（正确答案）

28.下列说法不正确的是

A.证书更新后，内容与原证书基本一样，甚至可以沿用以前的公钥，不同之

处仅在

B.出于对私钥保密性的要求，用户私钥不可以在用户本地存储，只能存储在

CA的

C.目前我国的PKI系统中采用的是双证书体系。

D.数字证书不一定持续到失效日期，当用户个人信息发生变化或用户私钥丢

失、泄

29.IPSECVPN在以下哪个阶段使用到数字信封技术

A.算法套件协商过程

B.身份鉴别过程（正确答案）

C.协商内容确认过程

D.业务数据加密过程

30.《密码法》立法精神。

A.坚持党管密码和依法管理相统一

B.坚持创新发展和确保安全相统一

C.坚持简政放权和加强管理相统一

D.以上都是（正确答案）

第二部分：简答题（每小题5分，共40分）

1、简述密评测评过程可能对被测系统带来的风险，以及相应规避措

施［填空题］P300

测评工具可能影响系统正常运行，信息系统在测试时候可能泄露敏感信息，可

能影响信息系统的可用性，保密性和完整性。

措施：与被测信息系统签署保密协议，加强被测人员的保密意识，签署保密协

议

2,简述密码测评过程［填空题］

测评准备活动：项目启动，信息收集和分析，工具和表单准备

方案编制：测评对象确定，测评指标确定，测评检查点确定，测评内容，测评

方案编制。

现场测评活动：现场测评准备，现场测评和结果记录（确认整体密码部署是否

合规，实施检查密码配置是否正确，授权接入系统后确认密码使用是否有效）

分析与报告编制活动：单元测评结果判定，整体测评，风险分析，测评结论形

成，测评报告编制。

3、简述机构质量管理体系［填空题］

安全管理评测，

制度管理：应制定密码安全管理制度及操作规范。

人员管理：了解密码遵守密码相关法律法规，正确使用密码产品，密钥管理员

（四级信息系统要求）

4、简述密评实施过程中对VPN产品和安全认证网关测评方法P270

（1）利用端口扫描，探测IPSecVPN和SSLVPN端口是否开启IPSec服务对

应的UDP端口是500,4500,SSLVPN常用端口TCP445端口。

（2）利用通信协议分析工具：抓取IPSec协议IKE阶段，SSL协议握

手阶段的数据报文，解析密码算法和密码套件标识是否属于已发布标准的商用

密码算法。IPSec协议SM4算法标识为129,SM3标识20,SM2算法标识为

2（详细P206）。

（3）协议分工具导出证书，查看证书内容，检测证书是否合规

5、简述密评实施过程中对密码机的测评方法［填空题］P270

(1)利用协议分析工具，抓取应用系统调用密码机指令报文，验证

是否符合预期(如频率是否正常，调用的指令是否正确)

(2)管理员登陆密码机，查看相关系统配置，检查内部存储的密钥

是否对应合规的密码算法，密码算法计算是否正确

(3)管理员登陆密码机查看日志文件，检查密钥管理，密码计算相

关的日志记录是否完整合规

6、简述针对系统真实性的测评方法［填空题］P273

(1)如果信息系统使用外接密码产品，对密码产品的真实性进行鉴

别，如密码钥匙，安全认证网关，动态令牌

(2)对于不能复用的密码产品检测结果，查看实体鉴别协议是否符

合GB/T15843中的要求，特别对于挑战-响应鉴别协议，可以通过协

议抓包分析，验证每次挑战值得不同

(3)数字证书和静态口令

一、选择题

1.《中华人民共和国密码法》于2019年(C)通过，自2020年1月

1日起施行。

A.10月1日

B.10月25日

C.10月26日

D.11月27日

2.国家密码管理局于2021年发布了“无线局域网产品须使用的系列密码算

法”，其中规定密钥协商算法应使用的是(C)

A.DH

B.ECDSA

C.ECDH

D.CPK

3.(D)不属于对称加密算法

A.IDEA

B.DES

C.RC4

D.RSA

4.数字签名最常见的实现方法是建立在(C)的组合基础之上

A、公钥密码体制和对称密码体制

B、对称密码体制和MD5摘要算法

C、公钥密码体制和单向安全散列函数算法

D、公证系统和MD4摘要算法

5.以下关于数字证书的叙述中，错误的是(D)

A、证书通常有CA安全认证中心发放

B、证书携带持有者的公开密钥

C、证书的有效性可以通过验证持有者的签名

D、证书通常携带CA的公开密钥

6.信息通过网络进行传输的过程中，存在着被篡改的风险，为了解决这一

安全问题，通常采用的安全防护技术是(C)

A、加密技术

B、匿名技术

C、消息认证技术

D、数据备份技术

7.在PKI中，不属于CA的任务是(D)

A、证书的办法

B、证书的审改

C、证书的备份

D、证书的加密

8.SSL协议是对称密码和公钥密码技术相结合的协议，该协议不能提供的安

全服务是(B)

A.保密性

B.可用性

C.完整性

D.可认证性

9.密码分析的目的是(B)

A.发现加密算法

B.发现密钥或者密文对应的明文

C.发现解密算法

D.发现攻击者

10.X.509数字证书的内容不包括(C)

A、版本号

B、签名算法标识

C、加密算法标识

D、主体的公开密钥信息

11.1949年，(A)发表了题为《保密系统的通信理论》的文章，为密码

技术的研究奠定了理论基础，由此密码学成了一门科学。

A.Shannon

B.Diffie

C.Hellman

D.Shamir

12.一个密码系统如果用E表示加密运算，D表小解密运算，M表示明文,C

表示密文，则下面描述必然成立的是(B)o

A.E(E(M))=C

B.D(E(M))=M

C.D(E(M))=C

D.D(D(M))=M

13.以下选项中，不属于生物识别方法的是(B)

A.掌纹识别

B.个人标记号识别

C.人脸识别

D.指纹识别

14.Kerberos是一种常用的身份认证协议，它采用的加密算法是(B)。

A.Elgamal

B.DES

C.MD5

D.RSA

15.甲不但怀疑乙发给他的信遭人幕改，而且怀疑乙的公钥也是被人冒充的，为

了消除甲的疑虑，甲和乙需要找一个双方都信任的第三方来签发数字证书，这个

第三方是（C）。

A.注册中心RA

B.国家信息安全测评认证中心

C.认证中心CA

D.国际电信联盟ITU

16.关于祖冲之算法的安全性分析不正确的是（B）o

A.祖冲之算法输出序列的随机性好，周期足够大

B.祖冲之算法的输出具有良好的线性、混淆特性和扩散特性

C.祖冲之算法可以抵抗已知的序列密码分析方法

D.祖冲之算法可以抵抗弱密分析

17.以下关于IPSec协议的叙述中，正确的是（A）o

A.IPSec协议是IP协议安全问题的一种解决方案

B.IPSec协议不提供机密性保护机制

C.IPSec协议不提供认证功能

D.IPSec协议不提供完整性验证机制

18.SM3密码杂凑算法的消息分组长度为（C）比特。

A.64

B.128

C.512

D.1024

19.SM2算法是国家密码管理局于2021年12月17日发布的椭圆曲线公钥

密码算法，在我们国家商用密码体系中被用来替换（C）算法。

A.DES

B.MD5

C.RSA

D.IDEA

20.下列关于数字签名说法正确的是（B）o

A.数字签名不可信

B.数字签名不可改变

C.数字签名可以否认

D.数字签名易被伪造

二、多项选择

21.密码的安全属性都有哪些（ABCD）

A.保密性

B.完整性

C.真实性

D.不可否认性

22.以下属于对称密码算法的是（AD）

A.DES

B.SM3

C.SM2

D.AES

23.以下属于杂凑算法的有（BC）

A.ZUC

B.MD5

C.SHA

D.RSA

24.以下属于序列密码的有（BC）

A.AES

B.RC4

C.S0NW

D.TDEA

25.IPSec协议实际上是一套协议集合，它为网络层上的通信数据提供一整套

的安全体系，包括（ABCD）

A.IKE

B.AH

C.ESP

D.SA

26.按照密码边界划分方式的不同，密码模块可分为（ABCD）

A.硬件密码模块

B.软件密码模块

C.固件密码模块

D.混合密码模块

27.安全认证网关是采用数字证书为应用系统提供的功能有（ABCD）

A.用户管理B.身份鉴别C.传输加密D.访问控制

28.IPSec采用IPSec协议为公用网络中通信的数据提供的安全功能有（ABC）

A.加密

B.完整性校验

C.数据源身份鉴别

D.抗重放

29.数字证书认证系统包括（ABC）

A.证书认证中心（CA）

B.证书注册机构（RA）

C.密钥管理系统（KM）

D.仅有CA、KM

30.以下哪些商用密码算法已经正式成为IS0/IEC国际标准（ABCD）

A.SM2

B.SM3

C.SM4

D.ZUC

31.国家对密码实行分类管理，主要分为（ABC）

A.核心密码

B.普通密码

C.商用密码

D.民用密码

32.商用密码应用安全性评估是指对采用商用密码技术、产品和服务集成建设

的网络与信息系统密码应用的（ABC）进行评估

A.合规性

B.正确性

C.有效性

D.安全性

33.智能密码钥匙是一种具备密码运算、密码管理能力，可提供密码服务的

终端密码设备，其主要作用是（ABCD）

A.存储用户秘密信息和用户身份鉴别

B.完成数据加解密

C.数据完整性校验

D.数字签名

34.金融数据密码机主要用于金融领域内的数据安全保护，提供的金融业务相

关的功能有（ABCD）

A.PIN加密、PIN转加密

B.MAC产生、MAC校验

C.数据加解密.签名验证

D.密钥管理

35.SSL协议中定义了三个更高层协议为（ABC）

A.握手协议

B.密码规格变更协议

C.报警协议

D.记录层协议

36.认证鉴别类主要是指提供身份鉴别功能的产品，符合其功能的是（ACD）

A.认证网关

B.设备

C.加密硬盘

D.动态口令系统

37.密码防伪类产品主要是指提供密码防伪验证功能的产品，属于此类产品

的有（ABC）

A.电子印章系统B.支付密码器

C.数字水印系统D.服务器密码机

38.公钥基础设施（PKI）是基于公钥密码技术实施的具有普适性的基础设施,

可用于提供（ABCD）安全服务

A.信息的机密性

B.信息来源的真实性

C.数据的完整性

D.行为的不可否认性

39.电子签章的验证包括（ABCD）

A.电子签章格式的验证

B.电子签章签名的验证

C.签章人证书有效性验证

D.签章原文杂凑值验证

40.下列产品中运用到安全芯片的有（ABCD）

A.身份证

B.社保卡

C.银行卡

D.SIM卡

三、判断题（共20题，每题1分，共20分）

41.智能钥匙具备密码运算能力，能够完成密钥生成和安全存储、数据加密

和数字签名功能。（T）

42.安全芯片是指实现了一种或多种密码算法，直接或间接地使用密码技术来

保护密钥和敏感信息的集成电路芯片。（T）

43.IPSec协议工作在网络层（T）

44..商用密码产品认证机构是国家密码管理局（T）

45.CA系统中密钥安全的基本要求是：密钥的生成和使用必须在硬件密码设

备中（T）

46.Diffie-Hellman密钥交换协议只能提供建立会话密钥的功能。（F）

47.双证书体系中，分别为签名证书和加密证书，两个证书的私钥都由专门

的可信机（如密钥管理中心）生成。（T）

48.证书撤销状态的