数据加密与PKI技术
一、判断题
1、数字签名技术是网络环境中进行公文签发、项目审批等流程必不可少的技术手段。对3、身份认证的目的是进行权限的控制,从而在网络环境中建立起按级别划分的行政管理
制度。对
2、数据加密技术可以通过对电子文档进行数字签名,来保证文档不被篡改,一旦被篡改,
可以马上检查出来。错
4、对文件进行数字签名和验证签名一方面可以确认文件发送者的身份,另一方面也可以
保证文件的完整性且不被篡改。对
6、USB-KEY在设计中采用了独特的安全性设计,使得证书的私钥不会从USB-KEY中读出
造成泄密,因此保证了密钥的安全,也进一步保存了证书的安全性。对
5、VPN技术是一种密钥管理平台,它能够为网络应用提供加密和数字签名等安全服务以
及所必需的密钥和证书管理体系。错
7、VPN是一种架构在公用通信基础设施上的专用数据通信网络,利用网络层安全协议(尤
其是IPSec)和建立在PKI上的加密与签名技术来获得机密性保护。对
8、PPTP/L2TP是IETF(Internet Engineer Task Force)完善的安全标准,它把几种安
全技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。错
10、CA认证作为信息安全基础设施之一,为互联网上用户身份的鉴别提供了重要手段。对9、Stunnel是一个可以用SSL对任意TCP 连接加密的程序。对
二、单选题
1、古典密码的代表密码体制主要有:
A、单表代替密码
B、Caesar密码
C、Vigenere密码
D、Hill密码 A
2、1977年1月,美国政府决定采纳哪个公司的设计的方案作为非机密数据的正式数据加密
标准。
A、DELL
B、微软
C、IBM
D、SUN C
3、IDEA算法用来加密的密钥有多少位?
A、24
B、56
C、64
D、128 D
4、DES算法用来加密的密钥有多少位?
A、24
B、56
C、64
D、128 B
5、NIST将3-DES指定为过渡的加密标准的时间是:
A、1997年
B、1998年
C、1999年
D、2000年 C
6、在3DES算法中,密钥最高可以达到多少位?
A、96
B、128
C、168
D、200 C
7、3DES在EDE工作模式的情况下时,它的有效密钥为多少位?
A、168
B、112
C、64
D、56 B
8、以下哪个算法是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS (DigitalSignature Standard)。
A、DSA
B、RSA
C、Triple-DES
D、3DES A
9、非对称密码技术的缺点有哪些?
A、密钥持有量减少
B、加/解密速度慢
C、耗用资源较少
D、以上都是 B
10、一下那种算法是由MIT Laboratory for Computer Science和RSA Data Security Inc的
Ronald L. Rivest在90年代初开发出来的?
A、MD1
B、MD2
C、MD4
D、MD5 D
11、以下哪项算法是由美国国家标准和技术局发布的?
A、MD5
B、HMAC
C、SHA
D、RSA C
12、以下关于Rijndael的优点错误的说法是:
A、在设计上,回合的转换是可平行处理的
B、加密法采用算术运算,但不会因为不同处理器架构而有所偏差
C、加密法紧凑,不易藏入暗门等程序代码
D、安全度不建立在一些分析不够明确的算术运算之上 B
13、EFS加密可以用于以下哪些操作系统?
A、windows98/2000
B、windows2000
C、DOS
D、linux B
14、EFS加密原理是利用每个用户都有唯一的标志来确定,这个唯一的标志是:
A、SID
B、IP
C、MAC
D、用户名 A
15、以下哪些软件是用于加密的软件?
A、PGP
B、SHA
C、EFS
D、DES A
16、CA的作用包括以下哪些方面?
A、提供IP地址
B、保护内部网络的安全
C、负责签发和管理数字证书
D、加密功能 C
17、数字证书包括以下哪些类型?
A、X.509
B、BS17799
C、PKI
D、CRL A
18、X.509证书的类型有哪几种形式?
A、自颁发证书
B、自签名证书
C、交叉证书
D、最终实体证书 D
19、SET的主要目的是什么?
A、加密网络层
B、加密信息传输的链路
C、解决信用卡电子付款的安全保障性问题
D、进行数字签名 C
20、当CA颁发证书时,有哪几种发放证书的方法?
A、资料库发布
B、在线发布
C、离线发布
D、隐性发布 A
21、CRL(证书撤销列表)的发布方式有哪几种?
A、增量CRL方式
B、差异CRL方式
C、在线CRL方式
D、移动CRL方式 A
22、下列各项中不属于现在主流的VPN协议标准类型的是?
A、MSCD;
B、IPSec;
C、MLPS;
D、SSL A
23、()最适合用于客户端远程访问虚拟专用网,作为安全要求高的企业信息,与明
文传送的差别不大,也不适合向Ipv6的转移。
A、PPTP/L2TP;
B、PPTP/IPSec ;
C、PPTP/MLPS;
D、MLPS/SSL A
24、请从下列各项中选出不是Hash函数算法的一项。
A、MD5算法;
B、SHA算法;
C、HMAC算法;
D、MMAC算法 D
25、()是IETF(Internet Engineer Task Force)完善的安全标准,它把几种安全
技术结合在一起形成一个较为完整的体系,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。
A、MSCD;
B、IPSec;
C、MLPS;
D、SSL B
公钥基础设施(PKI)的原理与应用 作者:数计系计科本091班林玉兰 指导老师:龙启平 摘要: 安全是网络活动最重要的保障,随着Internet的发展,网络安全问题越来越受到人们的关注。网络交易活动面临着诸如黑客窃听、篡改、伪造等行为的威胁,对重要的信息传递和控制也非常困难,交易安全无法得到保障,一旦受到攻击,就很难辨别所收到的信息是否由某个确定实体发出的以及在信息的传递过程中是否被非法篡改过。而PKI技术是当前解决网络安全的主要方式之一,本文以PKI技术为基础,详细列举了公钥基础设施基本组成,PKI系统组件和PKI所提供的服务,并介绍了PKI技术特点与应用举例。 关键词:PKI,公钥,认证,网络安全。 一:什么叫公钥基础设施(PKI)? 公钥基础设施(PKI)是当前解决网络安全的主要方式之一。PKI技术是一种遵循既定标准的密钥管理平台,它的基础是加密技术,核心是证书服务,支持集中自动的密钥管理和密钥分配,能够为所有的网络应用提供加密和数字签名等密码服务及所需要的密钥和证书管理体系。简单来说PKI就是利用公开密钥理论和技术建立提供安全服务的、具有通用性的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件集合体,PKI可以用来建立不同实体间的“信任”关系,她是目前网络安全建设的基础与核心。 在通过计算机网络进行的各种数据处理、事务处理和商务活动中,涉及业务活动的双方能否以某种方式建立相互信任关系并确定彼此的身份是至关重要的。而PKI就是一个用于建立和管理这种相互信任关系的安全工具。它既能满足电子商务、电子政务和电子事务等应用的安全需求,又可以有效地解决网络应用中信息的保密性、真实性、完整性、不可否认性和访问控制等安全问题。 二:公钥基础设施(PKI)系统的组成 PKI一般包括以下十个功能组件: 1、认证中心(CA) 认证中心(CA)是PKI的核心组成部分,是证书签发的机构,是PKI应用中权威的、可信任的、公正的第三方机构。CA向主体发行证书,该主体成为证书的持有者。通过CA在数字证书上的数字签名来声明证书特有的身份。CA是信任的起点,各个终端实体必须对CA高度信任,因为他们要通过CA 来保证其它主体。 认证中心又由6部分组成:
CISO 信息化安全培训认证管理中心 选择题(单选,每题2分) 1、PKI是指() A、公共密钥基础结构, B、 Public Key Infrastructure, C、上述都对 2、在PKI中利用:私钥加密,公钥解密;这实现的是()。 A、数据加密, B、数字信封, C、数字签名 3、证书颁发机构CA的功能包括()。 A、颁发证书, B、吊销证书, C、发布证书吊销列表CRL, D、上述都对 4、根CA的证书是由()颁发的。 A、父CA, B、企业CA, C、独立CA, D、自己 5、子CA的父CA必须是() A、根CA, B、子CA, C、二者均可 6、基于Web向CA提交证书申请时,在IE中输入的URL,下列哪个是正确的?() A、http://证书服务器/cert, B、http://证书服务器/certsrv C、https://证书服务器/cert, D、https://证书服务器/certsrv 7、一般安装在CA之前,需要首先安装() A、DNS, B、DHCP, C、活动目录, D、IIS 8、在Windows中,我们可以为下列哪些组件申请证书?() A、计算机, B、服务, C、用户, D、上述都对 9、IPSec可用于加密下列那种类型的数据包。() A、广播, B、多播, C、Kerberos, D、IP, E、上述都对 10、IPSec工作在()层,可以为这一层及以上提供透明的加密保护,而SSL 工作在应用层,只能对具体的应用加密。 A、物理层, B、数据链路层, C、网络层, D、传输层, E、会话层, F、表示层 11、在IPSec安全策略的规则中,身份验证方法可以是:证书、Kerberos、预共享密钥。其中()实现的IPSec,安全级别最高,安全性最好。 A、证书, B、Kerberos, C、预共享密钥, D、安全性都一样好 12、在IPSec安全策略中,默认的三条策略中,()不允许不加密的非安全通信。 A、客户端(仅响应), B、服务器(请求安全), C、安全服务器(需
范文 2020年网络安全知识竞赛培训试题库【附答案】 1/ 17
2020 年网络安全知识竞赛培训试题库【附答案】单选题 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A) A、拒绝服务 B、文件共享 C、BIND 漏洞 D、远程过程调用 2.为了防御网络监听,最常用的方法是 (B) A、采用物理传输(非网络) B、信息加密 C、无线网
D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听 C、拒绝服务 D、IP 欺骗 4.主要用于加密机制的协议是(D) A、HTTP B、FTP C、TELNET D、SSL 3/ 17
5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? (B) A、缓存溢出攻击; B、钓鱼攻击 C、暗门攻击; D、DDOS 攻击 6.Windows NT 和 Windows 2000 系统能设置为在几次无效登录后锁定帐号,这可以防止(B) A、木马; B、暴力攻击; C、IP 欺骗; D、缓存溢出攻击
7.在以下认证方式中,最常用的认证方式是:(A) A 基于账户名/口令认证 B 基于摘要算法认证 ; C 基于 PKI 认证 ; D 基于数据库认证 8.以下哪项不属于防止口令猜测的措施? (B) A、严格限定从一个给定的终端进行非法认证的次数; B、确保口令不在终端上再现; C、防止用户使用太短的口令; D、使用机器产生的口令 9.下列不属于系统安全的技术是(B) 5/ 17
1.一个完整的PKI应用系统包含哪几个部分? 证书签发机构CA 证书注册机构RA 证书库 密钥备份及恢复系统 证书废除处理系统 应用系统接口 2.简述SSL的组成和基本功能。 SSL 协议指定了一种在应用程序协议(如HTTP 、Telenet 、NMTP 和FTP 等)和TCP/IP 协议之间提供数据安全性分层的机制,它为TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。 1)认证用户和服务器,确保数据发送到正确的客户机和服务器; 2)加密数据以防止数据中途被窃取; 3)维护数据的完整性,确保数据在传输过程中不被改变。 SSL协议的工作流程: 3.数字签名的原理是什么?有哪些数字签名的方法? 1) 在网络环境下,发送方不承认自己发送过某一报文;接收方自己伪造一份报文,并声称它来自发送方;网络上的某个用户冒充另一个用户接收或发送报文;接收方对收到的信息进行篡改。 数字签名技术可以解决上述情况引发的争端。 数字签名离不开公钥密码学,在公钥密码学中,密钥由公开密钥和私有密钥组成。 数字签名包含两个过程:使用私有密钥进行加密(称为签名过程),接受方或验证方用公开密钥进行解密(称为验证过程)。 由于从公开密钥不能推算出私有密钥,所以公开密钥不会损害私有密钥的安全;公开密钥无须保密,可以公开传播,而私有密钥必须保密。因此,当某人用其私有密钥加密消息,能够用他的公开密钥正确解密,就可肯定该消息是某人签名的。因为其他人的公开密钥不可能正确解密该加密过的消息,其他人也不可能拥有该人的私有密钥而制造出该加密过的消息,这就是数字签名的原理。 从技术上来讲,数字签名其实就是通过一个单向函数对要传送的报文(或消息)进行处理产生别人无法识别的一段数字串,这个数字串用来证明报文的来源并核实报文是否发生了变化。在数字签名中,私有密钥是某个人知道的秘密值,与之配对的唯一公开密钥存放在数字证书或公共数据库中,用签名人掌握的秘密值签署文件,用对应的数字证书进行验证 2) RSA数字签名Schnorr数字签名DSA数字签名特殊数字签名
网络及安全培训考试 一、单项选择题(本大题共30小题,每小题2分,共60分) 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A ) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2、主要用于加密机制的协议是( D ) A、HTTP B、FTP C、TELNET D、SSL 3、用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段?( B ) A、缓存溢出攻击; B、钓鱼攻击; C、暗门攻击; D、DDOS攻击 4、在以下认证方式中,最常用的认证方式是:( A ) A基于账户名/口令认证;B基于摘要算法认证;C基于PKI认证;D基于数据库认证 5、抵御电子邮箱入侵措施中,不正确的是(D ) A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 6、不属于常见的危险密码是( D ) A、跟用户名相同的密码 B、使用生日作为密码 C、只有4位数的密码 D、10位的综合型密码 7、以下关于DOS攻击的描述,哪句话是正确的?( C ) (A)不需要侵入受攻击的系统(B)以窃取目标系统上的机密信息为目的 (C)导致目标系统无法处理正常用户的请求(D)如果目标系统没有漏洞,远程攻击就不可能成功 8、口令攻击的主要目的是( B ) (A)获取口令破坏系统(B)获取口令进入系统(C)仅获取口令没有用途 9、计算机病毒是_____(A) (A)计算机程序(B)数据(C)临时文件(D)应用软件 10、边界防范的根本作用是(C)
(A)对系统工作情况进行检验与控制,防止外部非法入侵 (B)对网络运行状况进行检验与控制,防止外部非法入侵 (C)对访问合法性进行检验与控制,防止外部非法入侵 11、路由设置是边界防范的(A) (A)基本手段之一(B)根本手段(C)无效手段 12、VPN是指(A) (A)虚拟的专用网络(B)虚拟的协议网络(C)虚拟的包过滤网络 13、NAT 是指(B) (A)网络地址传输(B)网络地址转换(C)网络地址跟踪 14、VPN通常用于建立____之间的安全通道(A) (A)总部与分支机构、与合作伙伴、与移动办公用户 (B)客户与客户、与合作伙伴、与远程用户 (C)总部与分支机构、与外部网站、与移动办公用户 15、在安全区域划分中DMZ 区通常用做(B) (A)数据区(B)对外服务区(C)重要业务区 16、目前用户局域网内部区域划分通常通过____实现(B) (A)物理隔离(B)Vlan 划分(C)防火墙防范 17、防火墙的部署(B) (A)只需要在与Internet 相连接的出入口设置 (B)在需要保护局域网络的所有出入口设置 (C)需要在出入口和网段之间进行部署 18、目前的防火墙防范主要是(B) (A)主动防范(B)被动防范(C)不一定 19、现代主动安全防御的主要手段是(A) A>探测、预警、监视、警报 B>嘹望、烟火、巡更、敲梆 C>调查、报告、分析、警报 20、计算机病毒是指:(C ) A .带细菌的磁盘 B. 已损坏的磁盘C. 具有破坏性的特制程序 D.被破坏了
《网络安全与管理》试题一 一.单项选择题 1.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A.数据篡改及破坏 B.数据窃听 C.数据流分析 D.非法访问 2.数据完整性指的是( C ) A.保护网络中各系统之间交换的数据,防止因数据被截获而造成泄密 B.提供连接实体身份的鉴别 C.防止非法实体对用户的主动攻击,保证数据接受方收到的信息与发送方发送的信息完全一致 D.确保数据数据是由合法实体发出的 3.以下算法中属于非对称算法的是( B ) A.DES B.RSA算法 C.IDEA D.三重DES 4.在混合加密方式下,真正用来加解密通信过程中所传输数据(明文)的密钥是( B ) A.非对称算法的公钥 B.对称算法的密钥 C.非对称算法的私钥 D.CA中心的公钥 5.以下不属于代理服务技术优点的是( D ) A.可以实现身份认证 B.内部地址的屏蔽和转换功能 C.可以实现访问控制 D.可以防范数据驱动侵袭 6.包过滤技术与代理服务技术相比较( B ) A.包过滤技术安全性较弱、但会对网络性能产生明显影响 B.包过滤技术对应用和用户是绝对透明的 C.代理服务技术安全性较高、但不会对网络性能产生明显影响 D.代理服务技术安全性高,对应用和用户透明度也很高 7."DES是一种数据分组的加密算法, DES它将数据分成长度为多少位的数据块,其中一部分用作奇偶校验,剩余部分作为 密码的长度?" ( B ) A.56位 B.64位 C.112位 D.128位 8.黑客利用IP地址进行攻击的方法有:(A ) A.IP欺骗 B.解密 C.窃取口令 D.发送病毒 9.防止用户被冒名所欺骗的方法是:(A ) A.对信息源发方进行身份验证
CISSP课程大纲 时间内容 9:30~12:00 一、安全管理实践(Security Management Practices) 知识内容: 什么是信息?什么是信息安全?信息安全管理和计划 信息安全CIA目标,重要的概念 风险管理概念和关系模型,定量和定性风险评估,风险消减和处理安全策略、标准、指南和程序 安全管理角色和责任 数据分类 雇用策略和实务 安全意识(认知)、培训和教育 实验演练与案例分析: 信息安全管理体系建立案例分析 大中型企事业信息安全难点探讨 考点强化 12:00~13:00 午餐第一天 13:00~17:00 二、电信与网络安全(Telecommunications, Network, and Internet Security) 知识内容: 开放系统互连参考模型 网络通信基础 物理连接技术与特性,重要的电缆类型 局域网技术:传输方式,介质访问控制方式,拓扑,设备 广域网技术:链路类型,广域网交换,协议,设备 网络通信协议:TCP/IP,隧道技术 远程访问安全与管理 网络传输数据的安全保护:防火墙、IDS等 容错和数据恢复 网络攻击手段与对策 实验演练与案例分析: TCP/IP动画复习 ARP攻击与防御 网络踩点与攻击防范 绕过防火墙入侵与防御 VPN技术演练与应用难点分析 考点强化
9:30~12:00 三、访问控制(Access Control System and Methodology)知识内容: 什么是访问控制?访问控制的功能和分类 身份识别与认证技术:口令、一次性口令、生物识别、SSO等访问控制技术,MAC、DAC、基于角色AC等 访问控制模型:状态机模型,BLP模型,Biba模型等 访问控制实施方法:集中式与分散式 访问控制管理:账号管理,权限管理,跟踪审计 攻击手段:口令攻击,拒绝服务,欺骗攻击 入侵检测,HIDS和NIDS 渗透测试 实验演练与案例分析: 内网入侵渗透测试演练与防范 大中型企业 考点强化 12:00~13:00 午餐第二天 13:00~16:30 四、密码学(Cryptography) 知识内容: 密码学的定义、作用和应用 密码学的发展历史 密码学的方法:流密码、对称算法、非对称算法等消息完整性,散列函数,数字签名 公钥基础设施PKI,CA证书 密钥管理:生成、交换、撤销、恢复 Email安全 各种应用于Internet的安全标准和协议 密码分析学和攻击手段 政府介入,密钥托管 实验演练与案例分析: PGP原理与实用指南 PKI架构部署与演示分析 解密与字典优化技术 各类密码破解在攻防中的流程 考点强化
2012-2013学年第1学期期中考试试题课程名称《PKI技术及其应用》 考试方式(开)卷适用专业09计科 考试时间( 120 )分钟 一、名词解释(20分,每小题4分) 1.公钥基础设施 2. 数字证书 3. 信任关系 4.证书生命周期 5.认证惯例陈述 二、选择题(10分,每题2分) 1.数字证书不包括( ) A. 证书所有人公钥 B.证书有效期 C. 证书所有人私钥 D. 认证机构名 2.中国PKI论坛成立于( ) A. 1980 年 B. 1990年 C. 1998年 D. 2001年3.RA与CA功能的一个主要不同点在于() A.注册、注销以及批准或拒绝对用户证书属性的变更要求B.对证书申请人进行合法性确认 C.发放证书 D.向有权拥有身份标记的人当面分发标记或恢复旧标记 4. 以下哪种形式不是简单鉴别( ) A.刮刮卡 B. 口令+ID以明文方式传输 C.随机数加密保护 D.三向认证鉴别 5.下列哪种方式不是PKI管理的传输方式()A.基于TCP的管理协议 B.基于文件大小的协议 C.通过电邮的管理协议D.通过HTTP的管理协议 三、简答题( 共30分,每题10分) 1.PKI的核心服务有哪些? 2. CA如何对证书进行更新? 3. 信任模型是什么?有哪几种典型的信任模型? 四、分析题( 共40分,每题20分) 1.试详细描述DES算法,并描述加密和解密的过程。 2. 试分析CA系统在网络基础上实施的安全性。
《PKI技术及其应用》标准答案 1. 公钥基础设施:是一个用非对称密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施。 2. 数字证书:又叫“数字身份证”、“网络身份证”,是由认证中心发放并经认证中心数字签名的,包含公开密钥拥有者以及公开密钥相关信息的一种电子文件,可以用来证明数字证书持有者的真实身份。 3. 信任关系:当两个认证机构中的一方给对方的公钥或双方给对方的公钥颁发证书时,二者之间就建立了这种信任关系。 4. 证书生命周期:证书申请、证书生成、证书存储、证书发布、证书废止这一过程就是证书的生命周期。 5.认证惯例陈述:一种认证惯例陈述可采取CA宣布的形式,包括它的信任系统详细情况及它在操作中和在支持颁发证书中采用的惯例,或者它可以是一种适用于CA的条令或规则和相似的主题。它也可以是CA和签署者之间的部分契约。一种认证惯例陈述也可由多份文档、公共法律组合、私人合同或声明组成。 二、选择题(10分,每题2分) 1. C 2. D 3.C 4.D 5.B 三、简答题( 共30分,每题10分) 1. (1)PKI服务的认证性:使得实体甲可以用自己的私钥加密一段挑战 信息,乙收到信息后用甲的公钥(如果乙不知道甲的公钥可以到公开的网站或机构去查明)对信息进行解密,从而确定甲就是甲所声明的实体本身。 (2)PKI服务的保密性:采用了类似于完整性服务的机制,具体如下: a.甲生成一个对称密钥(使用密钥协商协议)。 b. 用对称密钥加密数据(使用对称分组密码)。 c.将加密后的数据发送给对方。 (3)不可否认性服务是指从技术上保证实体对他们的行为的诚实性。最受关注的是对数据来源的不可抵赖,即用户不可能否认敏感消息或文件。此外,还包括其他类型的不可否认性,如传输的不可否认性、创建的不可否认性以及同意的不可否认性等。 2.这个过程依赖于CA,使用它先前的密钥签名新证书,并且使用新密钥签名旧证书。结果是根CA经历一次密钥更新创建了4个证书。这4个证书是: 旧用旧证书原始自签名证书,此时先前的CA私钥被用来签名CA证书中先前的公开密钥。 旧用新证书用新CA私钥签名的CA证书中的原始公开密钥。 新用旧证书用先前的CA私钥签名的CA证书中的新的公开密钥。 新用新证书用新CA私钥签名的CA证书中的新的公开密钥。 先前的CA证书(旧用旧证书)在密钥更新事件发生时由所有依赖方拥有。新用旧证书允许新产生的CA公开密钥由先前的、可信的密钥证实。一旦新密钥是可信的,依赖方获得的新CA证书(新用新证书)将能够信任它,此时旧用旧证书和新用旧证书对于依赖方不再是必要的。新用旧证书的有效期限从新CA密钥的密钥产生时间开始,在所有依赖方转移到承认新密钥的适当日期结束。最后的可能时间是先前的密钥的过期期限。旧用新证书实现旧密钥对向新密钥对的平滑转换,其有效期从先前的密钥对产生的日期开始,到旧用旧证书过期的日期结束。在CA新旧证书交迭时期,旧证书
汉中中南技能培训学校 《电子商务》技能培训考试题 姓名:成绩: 一、填空题(每题4分,共40分) 1、电子商务的特点主要包括高效性、、虚拟性、、技术依赖性、安全敏感性、协作性和动态性等。 2、电子商务的应用框架分为四个层次和两个支柱。四个层次分别为、多媒体内容与网络发布基础、消息与信息传输基础和。 3、电子商务的收益可大体分为以下三个方面:、对消费者的收益和。 4、我们通常讲的网络互联技术分为、和Intert技术。 5、目前计算机网络传输介质有双绞线、、和空间介质(卫星网)。 6、数字证书主要由以下三部分信息组成:、用户身份信息和CA 签名。 7、PKI主要由以下三部分组成:、和管理功能。 8、电子商务的最基本要求是实现、、商流和物流的畅通和一致。 9、电子商务的分类按参与主体可分为、和C2C三种主要模式 10、电子银行一般认为可分为三个阶段:电话银行、和。 二、选择题(每题4分,共40分) 1、保证实现安全电子商务所面临的任务中不包括( )。 A.数据的完整性 B.信息的保密 C.操作的正确性 D.身份认证的真实 性 2、ARPANET网络成功的最主要原因是其采用后来被称为互联网“通用语言”的( )。 A. 安全套接层(SSL)协议 B. CCITTX.509国际标准化协议 C. TCP/IP标准网络协议 D. 文件传输FTP协议 3、电子商务活动的直接参与者通常不包括( )。 A. 用户 B. 商家 C. 金融机构 D. 政府机构 4、一般认为:( )是最早出现的真正意义上的电子商务。
A. Spread Sheet B EDI C.. EDP D:SSL 5、HTTP、FTP、SMTP、TELNET等协议属于( )的协议。 A. 物理层 B. 传输层 C. 会话层 D. 应用层 6、实施电子商务项目时,项目团队一般不包含下列哪类人员()。 A. 业务经理 B. 系统管理员 C. 数据库管理员 D. 公关人员 7、IP地址与域名的关系,以下叙述正确的是()。 A. IP地址与域名一一对应 B. 一个IP地址可对应多个域名 C. 一个域名可对应多个IP地址 D. IP地址与域名是多对多的对应关 8、电子商务安全协议SET主要用于()。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付 9、现阶段网络银行成功的发展模式为()。 A. 传统银行提供网络银行服务 B. 建设纯网络银行 C. Internet银行与电话银行结合 D. Internet银行与PC银行结合 10、电子商务的应用框架分为()。 A. 两个层次和四个支柱 B. 四个层次和两个支柱 C. 信息发布和信息服务 D. 信息发布和商品销售。 三、判断题(判断正误,并在括号内填“√”或“X”,每题2分,共20分) 1、()物流是电子商务系统的重要组成部分,不能独立于电子商务系统单独存在。 2、()所有通过计算机传递的商务信息 都属于网络商务信息的。 3、()企业只有建立自己的网站平台 才能够开展网络营销活动。 4、()IP 地址与域名是表示主机的两种符号系统,一个IP 地址可以对应多个域名,但一个域名只能对应一个IP 地址。 5、()自建网站,注册域名很有必要,为便于营销和客户使用,可申请多个域名用于同一个网站。 6、()企业建网上商场,可以选用的方法是自建网站、租用服务器空间或实行服务器托管。 7、()网络营销不等于电子商务。 8、()网络营销可以实现全程营销的互动性。 9、()在线问卷法是属于间接的市场调研。 10、()直接电子商务,是指有形货物的电子订货,仍然需要利用传统渠道如邮政服务和商业快递车送货。
公钥基础设施PKI及其应用 PKI-公钥基础设施 对称加密算法 相同的密钥做加密和解密 DES,3-DES,CAST,RC4,IDEA,SSF33,AES 加解密速度快,适合大量数据的加密,极强的安全性,增加密钥长度增强密文安 全 缺点用户难以安全的分享密钥,扩展性差,密钥更新困难,不能用以数字签名,故不能用以身份认证 非对称加密算法——公钥算法 公私钥对 公钥是公开的 私钥是由持有者安全地保管 用公私钥对中的一个进行加密,用另一个进行解密 用公钥加密,私钥解密 用私钥签名,公钥验证 公钥不能导出私钥 发送方用接受方的公钥加密 接受方用其私钥解密 我国已发布了中国数字签名法 签名原理 发送方用其私钥进行数字签名 接受方用发送方的公钥验证签名 RSA,DSA,ECC,Diffie-Hellman 优点 参与方不用共享密钥 扩展性很好 实现数字签名 缺点 慢,不适合大量数据的加解密
解决:结合对称密钥算法 RSA,ECC同时支持加密和签名 密钥和证书管理 生命周期 X509证书格式,DN,serial,valid date,CRL,public key,extensions,CA digital signature 数字证书的验证 证书黑名单CRL 双证书 签名证书 密钥只作签名用 私钥用户自己保管 加密证书 密钥做数据加密用 私钥应由PKI统一管理 CA安全管理 证书管理中心 策略批准 证书签发 证书撤消 证书发布 证书归档 密钥管理中心 生成 恢复 更新 备份托管 证书生命周期 申请产生发放查询撤消 CA交叉验证 应用及证书种类 email证书,SET证书,模块签名
PKI(Public Key Infrastructure )即"公钥基础设施",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。 PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。PKI综述 PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。这个定义涵盖的内容比较宽,是一个被很多人接受的概念。这个定义说明,任何以公钥技术为基础的安全基础设施都是PKI。当然,没有好的非对称算法和好的密钥管理就不可能提供完善的安全服务,也就不能叫做PKI。也就是说,该定义中已经隐含了必须具有的密钥管理功能。 X.509标准中,为了区别于权限管理基础设施(Privilege Management Infrastructure,简称PMI),将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施]。这个概念与第一个概念相比,不仅仅叙述PKI能提供的安全服务,更强调PKI 必须支持公开密钥的管理。也就是说,仅仅使用公钥技术还不能叫做PKI,还应该提供公开密钥的管理。因为PMI仅仅使用公钥技术但并不管理公开密钥,所以,PMI就可以单独进行描述了而不至于跟公钥证书等概念混淆。X.509中从概念上分清PKI和PMI有利于标准的叙述。然而,由于PMI使用了公钥技术,PMI的使用和建立必须先有PKI的密钥管理支持。也就是说,PMI不得不把自己与PKI绑定在一起。当我们把两者合二为一时,PMI+PKI 就完全落在X.509标准定义的PKI范畴内。根据X.509的定义,PMI+PKI仍旧可以叫做PKI,而PMI完全可以看成PKI的一个部分。 美国国家审计总署在2001年[iii]和2003年的报告中都把PKI定义为由硬件、软件、策略和人构成的系统,当完善实施后,能够为敏感通信和交易提供一套信息安全保障,包括保密性、完整性、真实性和不可否认。尽管这个定义没有提到公开密钥技术,但到目前为止,满足上述条件的也只有公钥技术构成的基础设施,也就是说,只有第一个定义符合这个PKI 的定义。所以这个定义与第一个定义并不矛盾。 综上所述,我们认为:PKI是用公钥概念和技术实施的,支持公开密钥的管理并提供真实性、保密性、完整性以及可追究性安全服务的具有普适性的安全基础设施。 PKI的基本组成: 完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。 PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。一个典型、完整、有效的PKI应用系统至少应具有以下部分:
-2014 信息安全管理练习题判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列( C )不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的( A )安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是( C )的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是( D )。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是( B )。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国( A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是( A )。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为( A )。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范 应当具有至少10. 互联网服务提供者和联网使用单位落实的记录留存技术措施,
PKI笔试题 一、选择题(15X4,共60分) 1.下列那个算法属于非对称算法()。 A.SSF33 B.DES C.SM3 D.ECC 2.下列哪项不是对称算法的缺点()。 A.在多人通信加密情况下,需要使用的密钥对数过于庞大 B.共享密钥的传输过程不能有效加密传输 C.不能解决防抵赖的问题 D.加密运算复杂,不适合于大数据加密 3.对于非对称算法在签名应用中的下列描述,那个是正确的描述() A.私钥签名公钥验签。 B.公钥签名私钥验签。 C.私钥签名私钥验签。 D.公钥签名公钥验签。 4.关于PKI技术所能解决的问题,以下所列错误的是() A.通过加密解密技术来解决信息的保密性问题。 B.通过签名技术来解决信息的不可抵赖性。 C.能解决信息的完整性不被破坏。 D.能提高大并发下的WEB服务器性能。 5.CA指的是:() A.证书注册中心; B. 密钥管理中心; C.安全管理中心; D.证书认证中心; 6.关于双证书,下面描述错误的是() A. 加密证书私钥由KM托管; B. 双证书是2张证书,签名证书和加密证书; C. 签名证书私钥由证书载体生成; D. 签名证书私钥可以被导出; 7.可以用来签发证书的介质,以下所列那个是错误的() A. 智能卡 B. USB-KEY C. 微软的CSP容器 D. U盘 8.下列不属于PKI应用的是() A. 电子签章技术 B. 数据挖掘技术 C. 时间戳技术 D. SSl通讯技术 9.PKI体系不包括() A.CA B. RA C. KM D. DB 10.非对称算法在保密中的应用,下面描述正确的是()。 A. 公钥加密私钥解密 B. 公钥解密私钥加密 C. 公钥加密公钥解密 D.私钥加密私钥解密 11、负责产生、分配并管理PKI结构下所有用户的机构是() A.LDAP目录服务器B.业务受理点
信息安全管理练习题-2014 判断题: 1. 信息安全保障阶段中,安全策略是核心,对事先保护、事发检测和响应、事后恢复起到了统一指导作用。(×) 注释:在统一安全策略的指导下,安全事件的事先预防(保护),事发处理(检测Detection和响应Reaction)、事后恢复(恢复Restoration)四个主要环节相互配合,构成一个完整的保障体系,在这里安全策略只是指导作用,而非核心。 2. 一旦发现计算机违法犯罪案件,信息系统所有者应当在2天内迅速向当地公安机关报案,并配合公安机关的取证和调查。(×) 注释:应在24小时内报案 3. 我国刑法中有关计算机犯罪的规定,定义了3种新的犯罪类型(×) 注释:共3种计算机犯罪,但只有2种新的犯罪类型。 单选题: 1. 信息安全经历了三个发展阶段,以下( B )不属于这三个发展阶段。 A. 通信保密阶段 B. 加密机阶段 C. 信息安全阶段 D. 安全保障阶段 2. 信息安全阶段将研究领域扩展到三个基本属性,下列(C)不属于这三个基本属性。 A. 保密性 B. 完整性 C. 不可否认性 D. 可用性 3. 下面所列的(A)安全机制不属于信息安全保障体系中的事先保护环节。 A. 杀毒软件 B. 数字证书认证 C. 防火墙 D. 数据库加密 4. 《信息安全国家学说》是(C)的信息安全基本纲领性文件。 A. 法国 B. 美国 C. 俄罗斯 D. 英国 注:美国在2003年公布了《确保网络空间安全的国家战略》。 5. 信息安全领域内最关键和最薄弱的环节是(D)。 A. 技术 B. 策略 C. 管理制度 D. 人 6. 信息安全管理领域权威的标准是(B)。 A. ISO 15408 B. ISO 17799/ISO 27001(英) C. ISO 9001 D. ISO 14001 7. 《计算机信息系统安全保护条例》是由中华人民共和国(A )第147号发布的。 A. 国务院令 B. 全国人民代表大会令 C. 公安部令 D. 国家安全部令 8. 在PDR安全模型中最核心的组件是(A)。 A. 策略 B. 保护措施 C. 检测措施 D. 响应措施 9. 在完成了大部分策略的编制工作后,需要对其进行总结和提炼,产生的结果文档被称为(A)。 A. 可接受使用策略AUP B. 安全方针 C. 适用性声明 D. 操作规范
2020年网络安全法知识竞赛培训试题【附答案】 单选题 1.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属于什么攻击类型? (A) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 2.为了防御网络监听,最常用的方法是(B) A、采用物理传输(非网络) B、信息加密 C、无线网
D、使用专线传输 3.向有限的空间输入超长的字符串是哪一种攻击手段?(A) A、缓冲区溢出; B、网络监听 C、拒绝服务 D、IP欺骗 4.主要用于加密机制的协议是(D) A、HTTP B、FTP C、TELNET D、SSL
5.用户收到了一封可疑的电子邮件,要求用户提供银行账户及密码,这是属于何种攻击手段? (B) A、缓存溢出攻击; B、钓鱼攻击 C、暗门攻击; D、DDOS攻击 6.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定帐号,这可以防止(B) A、木马; B、暴力攻击; C、IP欺骗; D、缓存溢出攻击
7.在以下认证方式中,最常用的认证方式是:(A) A基于账户名/口令认证 B基于摘要算法认证; C基于PKI认证; D基于数据库认证 8.以下哪项不属于防止口令猜测的措施? (B) A、严格限定从一个给定的终端进行非法认证的次数; B、确保口令不在终端上再现; C、防止用户使用太短的口令; D、使用机器产生的口令 9.下列不属于系统安全的技术是(B)
A、防火墙 B、加密狗 C、认证 D、防病毒 10.抵御电子邮箱入侵措施中,不正确的是( D ) A、不用生日做密码 B、不要使用少于5位的密码 C、不要使用纯数字 D、自己做服务器 11.不属于常见的危险密码是( D ) A、跟用户名相同的密码
PKI在电子商务中的应用(一) 摘要]网络已经渗透到社会的各个领域,其安全性越显重要。本文主要介绍了保障电子商务中安全的PKI(PubicKeyInfrastructure)技术,在文章的开始首先提出了PKI的组成,随后介绍了PKI原理,并在文章的最后提出了PKI在应用中存在的问题。 关键词]PKICAHash密钥数字指纹 一、引言 随着Internet的发展,网络已经渗透到了人们生活的各个方面,并改变了人们的生活方式。电子商务作为一种新的营销模式因具有传统商务所不具有的特点被越来越多人们所重视,并得到了迅猛的发展。由于Internet开放性的特点,其安全性一直受到人们的关注,致使很多人不愿在Internet上进行商务活动。为解决电子商务的安全问题,PKI(PublicKeyInfrastructure)技术作为一种有效安全解决方案被引入到了电子商务中来。本文主要从PKI的组成、原理和PKI的应用等方面进行简单的介绍。 二、PKI组成 PKI主要以非对称加密算法为基础,采用证书管理公钥,通过第三方的可信任机构──认证中心CA(CertificateAuthority),把用户的公钥和用户的其他标识信息(如身份证号)捆绑在一起,在Internet上对用户进行身份验证。目前,通用的办法是采用基于PKI结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,签名保证身份的真实性和不可否认性。完整的PKI系统包括CA、数字证书库、密钥备份及恢复系统、证书作废系统、应用程序接口(API)五部分组成。 1.认证机构(CA),即数字证书的申请和颁发机构,是PKI的核心执行机构,把用户的公钥和用户的其他信息捆绑在一起,向用户签发数字证书,具有权威性,为用户所信任。 2.数字证书库,用于存储已颁发的数字证书及公钥,并向所有用户开放(以WEB服务的形式出现)。用户可通过标准的LDAP协议查询自己或其他人的证书和下载黑名单信息。 3.密钥备份及恢复系统,防制解密密钥丢失。 4.证书作废系统,证书由于某种原因需要作废,终止使用,可向证书作废系统提出调销申请。 5.应用接口系统,为所有应用提供统一的安全、可靠的接口,确保所建立的网络环境安全可信。 三、PKI工作原理 使用PKI进行数据传输时,首先要对数据加密以保证安全性。目前,加密算法分为对称加密和非对称加密算法两大类。 对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥。对称加密算法使用起来简单快捷,可以很容易用硬件实现,但密钥管理难度比较大,必需用一种安全的途径来交换密钥,而这难于实现;而且无法完成数据完整性和不可否认性验证,无法适用于数据签名。主要有DES和IDEA等算法。 1976年,美国学者W.Diffe和N.E.Hellman在其《密码学的新方向》一文中提出了一种新的密钥交换协议,允许在不安全的媒体上的通讯双方交换信息,安全地达成一致的密钥,这就是“公开密钥系统”,实现了加密密钥和解秘密钥的分离。相对于“对称加密算法”这种方法也叫做“非对称加密算法”。与对称加密算法不同,非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。非对称加密算法实现机密信息交换的基本过程如下:A生成一对密钥并将其中的一把作为公用密钥向其他方公开;得到该公用密钥的B使用该密钥对机密信息进行加密后再发送给A;A再用自己保存的另一把专用密钥对加密后的信息进行解密。A 只能用其专用密钥解密由其公用密钥加密后的任何信息。通过上述过程可以看出非对称加密对数据传输具有保密性、完整性和不可否认性等特点,但加密和解密速度慢,难以用硬件实
试题以word形式上传,形如2008001张三.doc的文件,编程题代码直接写在题目下方,结果以抓图形式粘贴在该word文档中。 一、论述题(40分): 以文件网络传输的安全性分析为例,阐述pki系统产生的必要性与基本技术特点分析。 (不得少于400字)。 随着网络的发展,信息安全已成为焦点问题之一,尤其是网上支付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的电子商务活动,公开密钥基础设施(PKI, Public Key Infrastructure)逐步在国内外得到广泛应用。 pki系统基本技术特点分析 1. 采用公开密钥密码技术,能够支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。这种可追究的服务也为原发数据完整性提供了更高级别的担保。 2、由于密码技术的采用,保护机密性是PKI最得天独厚的优点。 3、由于数字证书可以由用户独立验证,不需要在线查询,原理上能够保证服务范围的无限制地扩张,这使得PKI能够成为一种服务巨大用户群的基础设施。 4、PKI提供了证书的撤销机制,从而使得其应用领域不受具体应用的限制。 5、PKI具有极强的互联能力。不论是上下级的领导关系,还是平等的第三方信任关系,PKI 都能够按照人类世界的信任方式进行多种形式的互联互通,从而使PKI能够很好地服务于符合人类习惯的大型网络信息系统。 二、编程题(60分,代码占40分,结果20分): 利用openssl,结合activeperl环境搭建,用vc++实现对原文pki exam的16位秘文的生成。#include