第3章 认证技术

第三章产品认证方案制定和实施与管理3.1产品认证方案制定●制定产品认证方案是实施产品认证的关键过程之一。

——在根据实际需要对某类产品实施认证时，首先是建立产品认证制度或制定产品认证方案，或者建立某一领城产品认证制度，再依据产品认证制度制定更有可操作性的具体的产品类别实施方案。

产品认证方案是指针对特定的产品，适用相同的规定要求、具体规则和程序的认证制度。

●产品认证方案规定了实施产品认证的规则、程序和管理要求。

●产品认证方案执行附录A中的合格评定功能法。

3.1.1方案策划与准备●在实施产品认证前需要有相应的认证方案。

每个认证方案有一个所有者。

➢方案所有者类型●方案所有者:是指负责制定和完善特定认证方案的个人或组织。

可以是:——产品认证机构——政府和监管部门——采购机构——非政府组织——行业和零售协会——认证机构团体——消费者组织。

➢方案所有者类型方案所有者类型有:——认证机构，其制定的产品认证方案仅供自己客户使用;——非认证机构的组织(例如:管理部门、贸易组织、行业协会或其他社会组织)，其制定的产品认证方案由一个或多个认证机构参与实施。

➢方案所有者类型●认证方案可能有不同的体现形式:——一个认证机构可制定一个仅供机构为其客户实施认证使用的认证方案;——一个组织(如监管部门或贸易组织等)制定的认证方案，可能邀请一个或多个认证机构运作其方案——一些认证机构联合体(可能来自不同国家)可能共同建立一项认证方案——一个生产组织可建立其产品认证方案，包括检测、检查和审核，以及发布符合性声明➢方案所有者类型●如果认为有必要运行几个使用同样规则、程序和管理的方案，方案所有者可将共同的程序和管理手段整合到一个产品认证制度中，在该产品制度下，可执行不同的方案，不需要针对每个方案重复设置管理组织。

在这种情况下，方案所有者将成为制度所有者并负责制度的管理以及在制度内运行的各方案的管理。

➢方案所有者的职责和责任.产品认证方案所有者应为法人实体，政府性质的方案所有者因其具有政府职能，可视为法人实体。

电子商务安全课后选择题答案及复习资料唐四薪一、课后选择题答案第一章电子商务安全的概述1.关于电子商务安全，下列说法中错误的是D决定电子商务安全级别的最重要因素是技术 2.网上交易中订货数量发生改变，则破坏了安全需求中的()。

C/完整性; 3.()原则保证只有发送方和接收方才能访问消息内容。

D.访问控制; 4.电子商务安全中涉及的3种因素，没有()。

C设备5.在PDRR模型中，()是静态防护转为动态的关键，是动态响应的依据。

B检测;6.在电子商务交易中，消费者面临的威胁不包括()D非授权访问;7.B截获C伪造A篡改D中断第二章密码学基础1.棋盘密码属于()A单表替代密码;2.()攻击不能修改信息内容;A.被动;3.在RSA中，若两个质数p=7,q=13，则欧拉函数的值为()B。

72 解p-1=6.q-1=12;4.RSA算法理论基础()。

B大数分解;5.数字信封技术克服了()。

D公钥密码技术加密速度慢6.生成数字信封，我们用()加密()。

D接收方公钥、一次性会话秘钥7.如果发送方用自己的私钥加密信息，则可以实现()。

D鉴别 8.如果A和B安全通信，则B 不需要知道()A。

A的私钥 9.通常使用()验证消息的完整性。

A。

消息摘要10.两个不同的消息摘要具有相同散列值，称为()B。

冲突11.()可以保证信息的完整性和用户身份的确定性》C。

数字签名 12.与对称秘钥加密技术相比，公钥加密技术特点()。

D可以实现数字签名第三章认证技术1.确定用户的身份称为()。

A，身份认证2.下列技术不能对付重放攻击的是()。

A.线路加密3.D重放攻击;第四章数字证书和PKI1.关于认证机构CA，下列说法错误的是()。

B、CA有着严格的层次，其中根CA要求在线并且实时保护。

2.密钥交换最终方案是()。

C.数字证书3.CA用()签发数字证书。

D自己的私钥4.以下设施常处于在线状态的是()B。

OCSP C.RA5.数字证书将用户的共要与其()联系在一起。

三、AC认证技术⼀、认证⽅式Dkey认证（数字密钥认证）1）免认证key，形同usb，插⼊即通过认证2）免审计key，也是上⽹不被记录审计。

单点登录登录了某点，其他点都能访问；例如登录了⽀付宝淘宝就不⽤登录了。

1.1 ⽆认证实验第⼀章节11min做透明认证（⽆认证）是不需要创建⽤户的，⼀般以IP地址计算机名或MAC地址作为⽤户名1.2 IP/MAC绑定认证SNMP简单⽹络管理协议，C/S架构MIB库：被管理对象的集合，定义了被管理对象的属性。

名称，ip，⽇志等每个OID都对应⼀个唯⼀的对象，获取了他就能获取IP跟MAC地址对应关系OID值，可以去设备⼚商官⽹查询，不同的⼚商不同的OID值⼯作原理实验第⼀章节26minAC端1）创建组2）新增认证策略-不需要认证-⾃动录⼊绑定关系-⾃动录⼊IP和MAC绑定关系3）认证⾼级选项-跨三层取MAC-新增SNMP服务器4）继续-排除三层交换机的MAC地址（与AC直连的端⼝MAC）AF端1）⽹络配置-⾼级⽹络配置-SNMP2）⽹络配置-接⼝/区域-互联⽹区-勾选SNMP1.3 密码认证AD域认证,LDAP服务器认证实验55minAD服务器端1）登录AD域服务器2）⼯具-AD⽤户和计算机3）新建组织单位4）新建⽤户AC端1）认证服务器-新增LDAP服务器2）新增认证策略-密码认证-认证服务器勾选-认证后处理中选择组1.4 ⽤户和⽤户组管理免认证实验1h27m2020年2⽉26⽇速度看到第五天AC⽤户认证策略1h31m2020年2⽉27⽇回顾完昨⽇内容并完善笔记，看完第五天AC⽤户认证策略2020年2⽉28⽇回顾第五天第⼀章节AC⽤户认证策略，看第⼆章节HTTP。

3.1 电子商务系统的安全要求3.2 数据加密技术3.3 认证技术3.4 电子商务的安全交易标准目录第3章电子商务安全单元14 数字摘要与数字签名技术3.3.1身份认证3.3.2认证中心3.3.3数字证书3.3.4数字摘要3.3.5数字签名3.3.6数字时间戳认证技术是保证电子商务交易安全的一项重要技术。

主要包括身份认证和信息认证身份认证用于鉴别用户身份。

信息认证用于保证通信双方的不可抵赖性以及信息的完整性。

3.3.4 数字摘要数字摘要是用来保证信息完整性的一项技术。

它是一种单向加密算法。

2002年图灵奖得主---RSA和MD5的创始人Ronald L. RivestProfessor Rivest is the Professor ofElectrical Engineering and ComputerScience in MIT's Department ofElectrical Engineering and ComputerScience. He is a founder of RSA Data Security (now merged with Security Dynamics to form RSA Security). Professor Rivest has research interests in cryptography, computer and network security, electronic voting, and algorithms.所谓数字摘要，是指通过单向Hash函数，将需加密的明文“摘要”成一串固定长度(如128bit)的密文，不同的明文摘要成的密文其结果总是不相同，同样的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

数字摘要的使用过程①对原文使用Hash算法得到数字摘要；②将数字摘要与原文一起发送；③接收方将收到的原文应用单向Hash函数产生一个新的数字摘要；④将新数字摘要与发送方数字摘要进行比较。

选择题部分：第一章：(1)计算机网络安全是指利用计算机网络管理控制和技术措施，保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A．保密性(2)网络安全的实质和关键是保护网络的安全。

C．信息(3)实际上，网络的安全问题包括两方面的内容：一是，二是网络的信息安全。

D．网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求，导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C．可用性(5)如果访问者有意避开系统的访问控制机制，则该访问者对网络设备及资源进行非正常使用属于。

B．非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科，是的重要组成部分。

A．信息安全学科(7)实体安全包括。

B．环境安全、设备安全和媒体安全(8)在网络安全中，常用的关键技术可以归纳为三大类。

D．预防保护、检测跟踪、响应恢复第二章：(1)加密安全机制提供了数据的______.D．保密性和完整性(2)SSI．协议是______之间实现加密传输协议。

A．传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换．利用_____加密技术进行用户数据的加密。

B．非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B．数据保密性服务(5)传输层由于可以提供真正的端到端链接，因此最适宜提供安全服务。

D．数据保密性及以上各项(6)VPN的实现技术包括。

D．身份认证及以上技术第三章：(1)网络安全保障包括信息安全策略和。

D．上述三点(2)网络安全保障体系框架的外围是。

D．上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C．CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A．持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

第三章质量认证原则及认证机构#见光碟（二）、主管部门：国家质量技术监督局（三）、认可机构：3C CQC CB1、中国强制认证（CCC）认证对涉及到的产品执行国家强制的安全认证。

主要内容概括起来有以下几个方面：(1). 按照世贸有关协议和国际通行规则，国家依法对涉及人类健康安全、动植物生命安全和健康，以及环境保护和公共安全的产品实行统一的强制性产品认证制度。

国家认证认可监督管理委员会统一负责国家强制性产品认证制度的管理和组织实施工作。

(2). 国家强制性产品认证制度的主要特点是，国家公布统一的目录，确定统一适用的国家标准、技术规则和实施程序，制定统一的标志标识，规定统一的收费标准。

凡列入强制性产品认证目录内的产品，必须经国家指定的认证机构认证合格，取得相关证书并加施认证标志后，方能出厂、进口、销售和在经营服务场所使用。

(3). 根据我国入世承诺和体现国民待遇的原则，这次公布的《第一批实施强制性产品认证的产品目录》覆盖的产品是以原来的进口安全质量许可制度和强制性安全认证及电磁兼容认证产品为基础，做了适量增减。

原来两种制度覆盖的产品有138种，此次公布的《目录》删去了原来列入强制性认证管理的医用超声诊断和治疗设备等16种产品，增加了建筑用安全玻璃等10种产品，实际列入《目录》的强制性认证产品共有132种。

(4). 国家对强制性产品认证使用统一的“CCC”标志。

中国强制认证标志实施以后，将逐步取代原来实行的“长城”标志和“CCIB”标志。

(5). 国家统一确定强制性产品认证收费项目及标准。

新的收费项目和收费标准的制定，将根据不以营利为目的和体现国民待遇的原则，综合考虑现行收费情况，并参照境外同类认证收费项目和收费标准。

(6). 新的强制性产品认证制度于2002年5月1日起实施，有关认证机构正式开始受理申请。

为保证新、旧制度顺利过渡，原有的产品安全认证制度和进口安全质量许可制度自2003年8月1日起废止。

《网络安全等级保护条例》网络安全等级保护条例第一章总则第一条为了规范网络安全等级保护工作，加强网络安全保护工作，防范网络安全风险，保障国家网络安全，制定本条例。

第二条本条例适用于中华人民共和国境内的网络安全等级保护工作。

第三条网络安全等级保护工作应当坚持依法依规、分类分级的原则。

第四条网络安全等级保护工作涉及的等级划分、评估认证、监测检测、防护应急等内容，应当按照国家相关的规定进行。

第五条国家、地方和相关部门应当加强网络安全等级保护工作的组织领导，推动网络安全等级保护工作的开展。

第六条国家网络安全主管部门应当负责网络安全等级保护工作的组织协调、规划指导、技术支持和监督检查。

第二章等级划分第七条网络安全等级划分应当依据国家网络安全等级保护基本要求和网络安全保护需求，结合信息系统和网络实际情况进行。

第八条网络安全等级划分应当从保护对象、危害程度、系统复杂性等方面进行综合评估。

第九条网络安全等级划分共分为国家安全等级、重大安全等级、一般安全等级和基础安全等级四个级别。

第十条国家安全等级适用于涉及国家安全、国家经济、国家信息等重要领域的网络和信息系统。

第十一条重大安全等级适用于涉及重要行业、关键信息基础设施等重要区域的网络和信息系统。

第十二条一般安全等级适用于一般企事业单位、社会组织等的网络和信息系统。

第十三条基础安全等级适用于个人、家庭等的网络和信息系统。

第三章评估认证第十四条网络安全等级的评估认证机构应当依据网络安全等级划分的要求，采用科学、公正、客观的原则进行评估认证。

第十五条网络安全等级的评估认证应当定期开展，涵盖对信息系统和网络的整体安全性、漏洞和风险评估等。

第十六条网络安全等级的评估认证结果应当及时通报评估对象，并纳入网络安全管理和监督检查中。

第四章监测检测第十七条网络安全等级的监测检测应当及时发现、防范和处置网络安全事件，确保信息系统和网络的安全运行。

第十八条网络安全等级的监测检测应当针对各个等级的网络和信息系统进行不同的监测方法和手段。

中华人民共和国认证认可条例（2020年修订）文章属性•【制定机关】国务院•【公布日期】2020.11.29•【文号】中华人民共和国国务院令第732号•【施行日期】2020.11.29•【效力等级】行政法规•【时效性】现行有效•【主题分类】认证认可正文中华人民共和国认证认可条例（2003年9月3日中华人民共和国国务院令第390号公布根据2016年2月6日《国务院关于修改部分行政法规的决定》第一次修订根据2020年11月29日《国务院关于修改和废止部分行政法规的决定》第二次修订）第一章总则第一条为了规范认证认可活动，提高产品、服务的质量和管理水平，促进经济和社会的发展，制定本条例。

第二条本条例所称认证，是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。

本条例所称认可，是指由认可机构对认证机构、检查机构、实验室以及从事评审、审核等认证活动人员的能力和执业资格，予以承认的合格评定活动。

第三条在中华人民共和国境内从事认证认可活动，应当遵守本条例。

第四条国家实行统一的认证认可监督管理制度。

国家对认证认可工作实行在国务院认证认可监督管理部门统一管理、监督和综合协调下，各有关方面共同实施的工作机制。

第五条国务院认证认可监督管理部门应当依法对认证培训机构、认证咨询机构的活动加强监督管理。

第六条认证认可活动应当遵循客观独立、公开公正、诚实信用的原则。

第七条国家鼓励平等互利地开展认证认可国际互认活动。

认证认可国际互认活动不得损害国家安全和社会公共利益。

第八条从事认证认可活动的机构及其人员，对其所知悉的国家秘密和商业秘密负有保密义务。

第二章认证机构第九条取得认证机构资质，应当经国务院认证认可监督管理部门批准，并在批准范围内从事认证活动。

未经批准，任何单位和个人不得从事认证活动。

第十条取得认证机构资质，应当符合下列条件：（一）取得法人资格；（二）有固定的场所和必要的设施；（三）有符合认证认可要求的管理制度；（四）注册资本不得少于人民币300万元；（五）有10名以上相应领域的专职认证人员。

计算机信息安全技术课后习题答案第一章计算机信息安全技术概述1、计算机信息系统安全的威胁因素主要有哪些?(1)人为无意失误(2)人为恶意攻击(3)计算机软件的漏洞和后门2、从技术角度分析引起计算机信息系统安全问题的根本原因。

(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全3、信息安全的CIA指的是什么?Confidenciality 隐私性,也可称为机密性,是指只有授权的用户才能获取信息Integrity 完整性,是指信息在传输过程中,不被非法授权和破坏,保证数据的一致性Availability 可用性,是指信息的可靠度4、简述PPDR安全模型的构成要素及运作方式PPDR由安全策略,防护,检测和响应构成运作方式:PPDR模型在整体的安全策略的控制和指导下,综合运用防护工具的同时,利用检测工具了解和评估系统的安全状态,通过适当的安全响应将系统调整在一个相对安全的状态。

防护,检测和响应构成一个完整的、动态的安全循环。

5、计算机信息安全研究的主要内容有哪些?(1)计算机外部安全(2)信息在计算机系统存储介质上的安全(3)信息在传输过程中的安全6、计算机信息安全的定义是什么?计算机信息安全是研究在特定的应用环境下,依据特定的安全策略,对信息及信息系统实施防护,检测和恢复的科学7、信息安全系统中,人、制度和技术之间的关系如何?在信息安全系统中,人是核心。

任何安全系统的核心都是人。

而技术是信息安全系统发展的动力,技术的发展推动着信息安全系统的不断完善。

信息安全系统不仅要靠人和技术,还应该建立相应的制度以起到规范的作用。

只有三者的完美结合,才有安全的信息安全系统第二章密码技术一、选择题1．下列（RSA算法）算法属于公开密钥算法。

2.下列（天书密码）算法属于置换密码。

3.DES加密过程中，需要进行（16）轮交换。

二、填空题1.给定密钥K=10010011，若明文为P=11001100，则采用异或加密的方法得到的密文为 01011111 。

第3章信息认证技术本章学习目标本章介绍认证的概念、认证模式与认证方式、数字签名及一些认证的方法和技术。

认证的方法从两个方面进行介绍：身份认证和消息认证。

通过本章的学习，应该达到如下目标： 掌握：数字签名的基本原理，哈希函数的基本概念。

理解：认证的概念与作用，消息认证和身份认证的基本原理。

了解：认证模式与认证方式，常用的数字签名体制和身份认证机制。

任务提出设有A公司的老板名叫Alice，B公司的老板名叫Bob，现Alice想传送一份标书File BS 给Bob，而公司C的老板想要假冒Alice的名义发另一份标书给Bob，以达到破坏A公司中标的目的。

怎样做才能使Bob确认标书的来源，并且在传输过程中未被修改过？3.1 认证概述在信息安全领域中，一方面是保证信息的保密性，防止通信中的机密信息被窃取和破译，防止对系统进行被动攻击；另一方面是保证信息的完整性、有效性，即要确认与之通信的对方身份的真实性，信息在传输过程中是否被篡改、伪装和抵赖，防止对系统进行主动攻击。

认证（Authentication）是防止对信息系统进行主动攻击（如伪造、篡改信息等）的重要技术，对于保证开放环境中各种信息系统的安全性有重要作用。

认证的目的有两个方面：一是验证信息发送者是合法的，而不是冒充的，即实体验证，包括信源、信宿等的认证和识别；二是验证信息的完整性以及数据在传输或存储过程中是否被篡改、重放或延迟等。

图3-1 纯认证系统模型·2·信息安全技术认证不能自动地提供保密性，而保密也不能自然地提供认证功能。

一个纯认证系统的模型如图3-1所示。

在这个系统中发送者通过一个公开信道将信息传送给接收者，接收者不仅想收到消息本身，还要通过认证编码器和认证译码器验证消息是否来自合法的发送者及消息是否被篡改。

系统中的密码分析者不仅可截获和分析信道中传送的密文，而且可伪造密文送给接收者进行欺诈，他不再像保密系统中的分析者那样始终出于被动地位，而是可发动主动攻击，因此常称为系统的串扰者（tamper）。

网络信息安全技术概论第三版答案第一章概论1、谈谈你对信息的理解.答：信息是事物运动的状态和状态变化的方式。

2、什么是信息技术?答：笼统地说，信息技术是能够延长或扩展人的信息能力的手段和方法。

本书中，信息技术是指在计算机和通信技术支持下，用以获取、加工、存储、变换、显示和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。

也有人认为信息技术简单地说就是3C：Computer＋Communication＋Control。

3、信息安全的基本属性主要表现在哪几个方面?答：（1）完整性（Integrity）（2）保密性（Confidentiality）（3）可用性（Availability）（4）不可否认性（Non-repudiation）（5）可控性（Controllability）4、信息安全的威胁主要有哪些?答：（1）信息泄露（2）破坏信息的完整性（3）拒绝服务（4）非法使用（非授权访问）（5）窃听（6）业务流分析（7）假冒（8）旁路控制（9）授权侵犯（10）特洛伊木马（11）陷阱门（12）抵赖（13）重放（14）计算机病毒（15）人员不慎（16）媒体废弃（17）物理侵入（18）窃取（19）业务欺骗等5、怎样实现信息安全?答：信息安全主要通过以下三个方面：A 信息安全技术：信息加密、数字签名、数据完整性、身份鉴别、访问控制、安全数据库、网络控制技术、反病毒技术、安全审计、业务填充、路由控制机制、公证机制等；B 信息安全管理：安全管理是信息安全中具有能动性的组成部分。

大多数安全事件和安全隐患的发生，并非完全是技术上的原因，而往往是由于管理不善而造成的。

安全管理包括：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理、密码和密钥管理等。

C 信息安全相关的法律。

法律可以使人们了解在信息安全的管理和应用中什么是违法行为，自觉遵守法律而不进行违法活动。