1、计算机网络与信息安全练习试卷 2及答案与解析 1 3DES在 DES的基础上,使用两个 56位的密钥 K1和 K2,发送方用 K1加密,K2解密,再用 K1加密。接受方用 K1解密, K2加密,再用 K1解密,这相当于使用 _倍于 DES的密钥长度的加密效果。 A 1 B 2 C 3 D 6 2 某业务员需要在出差期间能够访问公司局域网中的数据,与局域网中的其他机器进行通信,并且保障通信的机密性。但是为了安全,公司禁止 Internet上的机器随意访问公司局域网。虚拟专用网使用 _协议可以解决这一需求。 A PPTP B RC-5 C UDP D Telnet 3 根据统计显示, 80%的网络
2、攻击源于内部网络,因此,必须加强对内部网络的安全控制和防护。下面的措施中,无助于提高同一局域网内安全性的措施是 _。 A使用防病毒软件 B使用日志审计系统 C使用入侵检测系统 D使用防火墙防止内部攻击 4 在计算机信息安全保护等级划分准则中,确定了五个安全保护等级,其中最高一级是 _。 A用户自主保护级 B结构化保护级 C访问验证保护级 D系统审计保护级 5 CA安全认证中心 可以 _。 A用于在电子商务交易中实现身份认证 B完成数据加密,保护内部关键信息 C支持在线销售和在线谈判,实现订单认证 D提供用户接入线路,保证线路的安全性 6 CA是一个受信任的机构,为了当前和以后的事务处理, CA
3、给个人、计算机设备和组织机构颁发证书,以证实其身份,并为其使用证书的一切行为提供信誉的担保。而 CA本身并不涉及商务数据加密、订单认证过程以及线路安全。 7 若某计算机系统是由 1000个元器件构成的串联系统,且每个元器件的失效率均为 10-7/h,在不考虑其他因素对可靠性的影 响时,该计算机系统的平均故障间隔时间为 _小时。 A 1104 B 5104 C 1105 D 5105 8 在信息安全保障系统的 S-MIS体系架构中, “安全措施和安全防范设备 ”层不涉及 _。 A防黑客 B应用系统安全 C网闸 D漏洞扫描 9 要成功实施信息系统安全管理并进行维护,应首先对系统的 _进行评估鉴定。
4、 A风险 B资产 C威胁 D脆弱性 10 比较先进的电子政务网站提供基于 _的用户认证机制用于保障网上办公的信息安全和不可抵赖性。 A数字证书 B用户名和密码 C电子邮件地址 D SSL 11 关于网络安全服务的叙述中, _是错误的。 A应提供访问控制服务以防止用户否认已接收的信息 B应提供认证服务以保证用户身份的真实性 C应提供数据完整性服务以防止信息在传输过程中被删除 D应提供保密性服务以防止传输的数据被截获或篡改 12 网络安全设计是保证网络安全运行的基础,以下关于网络安全设计原则的描述,错误的是 _。 A网络安全系统应该以不影响系统正常运行为前提 B把网络进行分层,不同的层次采用不同的
5、 安全策略 C网络安全系统设计应独立进行,不需要考虑网络结构 D网络安全的 “木桶原则 ”强调对信息均衡、全面地进行保护 13 为了对计算机信息系统的安全威胁有更全面、更深刻的认识,信息应用系统安全威胁的分类方法一般用 _三种 “综合分类 ”方法。 A高、中、低 B对象的价值、实施的手段、影响 (结果 ) C按风险性质、按风险结果、按风险源 D自然事件、人为事件、系统薄弱环节 14 “消息 ”是我们所关心的实际数据,经常也称为 “明文 ”,用 M表示。经过加密的消息是 “密文 ”,用 C表示。如果用 C=E(M)表示加密, M=D(C)表示解密。那么从数学角度讲,加密只是一种从 M_的函数变换
6、,解密正好是对加密的反函数变换。 A公钥到私钥 B变量域到 C函数域 C定义域到 C函数域 D定义域到 C值域 15 基于角色的访问控制中,角色定义、角色成员的增减、角色分配都是由 _实施的,用户只能被动接受授权规定,不能自主地决定,用户也不能自主地将访问权限传给他人,这是一种非自主型访问控制。 A CSO B安全管理员 C稽查员或审计员 D应用系统的管理员 16 以下关于入侵检测系统的描述中 ,说法错误的是 _。 A入侵检测系统能够对网络活动进行监视 B入侵检测能简化管理员的工作,保证网络安全地运行 C入侵检测是一种主动保护网络免受攻击的安全技术 D入侵检测是一种被动保护网络免受攻击的安全技
7、术 17 信息安全策略的设计与实施步骤是 _。 A定义活动目录角色、确定组策略管理安全性、身份验证、访问控制和管理委派 B确定标准性、规范性、可控性、整体性、最小影响、保密性原则,确定公钥基本结构 C确定安全需求、制定可实现的安全目标、制订安全规划、制订系统的日常维护计划 D确定安全需求、确定安全需求的范围、制订安全规划、制订系统的日常维护计划 17 关于 Kerberos和 PKI两种认证协议的叙述中正确的是 1._ ,在使用Kerberos认证时,首先向密钥分发中心发送初始票据 2._ 来请求会话票据,以便获取服务器提供的服务。 18 1._ A Kerberos和 PKI都是对称密钥 B
8、 Kerberos和 PKI都是非对称密钥 C Kerberos是对称密钥,而 PKI是非对称密钥 D Kerberos是非对称密钥,而 PKI是对称密钥 19 2._ A RSA B TGT C DES D LSA 19 为了保障数据的存储和传输安全,需要对一些重要数据进行加密。由于对称密码算法 1._ ,所以特别适合对大量的数据进行加密。国际数据加密算法 IDEA的密钥长度是 2._ 位。 20 1._ A比非对称密码算法更安全 B比非对称密码算法密钥长度更长 C比非对称密码算法效率更高 D还能同时用于身份认证 21 2._ A 56 B 64 C 128 D 256 计算机网络与信息安全
9、练习试卷 2答案与解 析 1 【正确答案】 B 【知识模块】 计算机网络与信息安全 2 【正确答案】 A 【试题解析】 VPN是在公共 Internet之上为政府、企业构筑安全可靠、方便快捷的私有网络,并可节省资金。 VPN技术是广域网建设的最佳解决方案,它不仅会大大节省广域网的建设和运行维护费用,而且增强了网络的可靠性和安全性,同时会加快网络的建设步伐,使得政府、企业不仅仅只是建设内部局域网,而且能够很快地把各分支机构的局域网联起来,从而真正发挥整个网络的作用。 VPN具体实现是采用隧道技术,将内部网的数据 封装在隧道中,通过 Internet进行传输。因此, VPN技术的复杂性首先建立在隧
10、道协议复杂性的基础之上。现有的隧道协议中最典型的有 GRE、 IPSec、 L2TP、 PFTP、 L2F等。其中,GRE、 IPSec:属于第三层隧道协议, L2TP、 PFTP、 L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的 IP数据包是被封装在何种数据包中在隧道中传输的。在众多 VPN相关协议中,最引人注目的是 L2TP与 IPSec。其中, IPSec已完成了标准化的工作。 VPN系统使分布在不同地方的专用网络在不可信 任的公共网络上安全地进行通信。它采用复杂的算法来加密传输信息,使得敏感的数据不会被窃取。 VPN网络的特性使一些专用的私有网络的建设者可以完全不
11、依赖 ISP而通过公网来实现 VPN。正是因为 VPN技术根据需要为特定安全需求的用户提供保障,所以, VPN技术应该有相当广阔的前景。 考生对试题中的 UDP和 Telnet应该都比较熟悉,下面我们简单介绍一下 RC-5和 PPTP。 RC-5是一种对称密码算法,使用可变参数的分组迭代密码体制,其中可变的参数为分组长 (为 2倍字长 w位 )、密钥长 (按字节数计 b)和迭 代轮数 r(以 RC-5-w/r/b)。它面向字结构,便于软件和硬件的快速实现,适用于不同字长的微处理器。通过字长、密钥长和迭代轮数三个参数的配合,可以在安全性和速度上进行灵活的折中选择。 RC-5加密效率高,适合于加密
12、大量的数据。 RC-5由 R.Rivest设计,是 RSA实验室的一个产品。 RC-5还引入了一种新的密码基本变换数据相依旋转 (Data-DependentRotations)方法,即一个中间的字是另一个中间的低位所决定的循环移位结果,以提高密码强度,这也是 RC-5的新颖之处。 PPTP是由 多家公司专门为支持 VPN而开发的一种技术。 PPTP是一种通过现有的 TCP/IP连接 (称为隧道 )来传送网络数据包的方法。 VPN要求客户端和服务器之间存在有效的互联网连接。一般服务器需要与互联网建立永久性连接,而客户端则通过 ISP连接互联网,并且通过拨号网 (Dial-UpNetworkin
13、g, DUN)入口与PPTP服务器建立服从 PPTP协议的连接。这种连接需要访问身份证明 (如用户名、口令和域名等 )和遵从的验证协议。 RRAS为在服务器之间建立基于 PPTP的连接及永久性连接提供了可能。 只有当 PPTP服务器验 证客户身份之后,服务器和客户端的连接才算建立起来了。 PPTP会话的作用就如同服务器和客户端之间的一条隧道,网络数据包由一端流向另一边。数据包在起点处 (服务器或客户端 )被加密为密文,在隧道内传送,在终点将数据解密还原。因为网络通信是在隧道内进行,所以数据对外而言是不可见的。隧道中的加密形式更增加了通信的安全级别。一旦建立了 VPN连接,远程的用户可以浏览公司
14、局域网 LAN,连接共享资源,收发电子邮件,就像本地用户一样。 【知识模块】 计算机网络与信息安全 3 【正确答案】 D 【试题解析】 病毒 是指一段可执行的程序代码,通过对其他程序进行修改,可以感染这些程序使其含有该病毒的一个复制,并且可以在特定的条件下进行破坏行为。因此,在其整个生命周期中包括潜伏、繁殖 (也就是复制、感染阶段 )、触发、执行四个阶段。对于病毒的防护而言,最彻底的是不允许其进入系统,但这是很困难的,因此,大多数情况下,采用的是 “检测一标识一清除 ”的策略来应对。使用防病毒软件可以防止病毒程序在内部网络的复制和破坏,保障网络和计算机的安全。 日志文件是包含关于系统消息的文件
15、,这些消息通常来自于操作系统内核、运行的服务,以及在系统 上运行的应用程序。它包括系统日志、安全日志、应用日志等不同类别。现在不管是 Windows还是 UNIX(包括 Linux),都提供了较完善的日志系统。而日志审计系统则是通过一些特定的、预先定义的规则来发现日志中潜在的问题,它可以用来事后亡羊补牢,也可以用来对网络安全攻击进行取证。显然这是一种被动式、事后的防护或事中跟踪的手段,很难在事前发挥作用。 入侵检测是指监视或者在可能的情况下,阻止入侵者试图控制自己的系统或者网络资源的那种努力。它是用于检测任何损害或企业损害系统的机密性、完整性或可用性行为的一种网络 安全技术。它通过监视受保护系
16、统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。 防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的,而外部网络 (通常是。 Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术,它假设了网络边界和服务,因此,对内部的非法访问难以有效地进行控制。 【知识模块】 计算 机网络与信息安全 4 【正确答案】 C 【知识模块】 计算机网络与信息安全 5 【正确答案】 A 【试题解析】 CA是一个受
17、信任的机构,为了当前和以后的事务处理, CA给个人、计算机设备和组织机构颁发证书,以证实其身份,并为其使用证书的一切行为提供信誉的担保。而 CA本身并不涉及商务数据加密、订单认证过程以及线路安全。 【知识模块】 计算机网络与信息安全 6 【正确答案】 A 【知识模块】 计算机网络与信息安全 7 【正确答案】 A 【知识模块】 计算机网络与信息安 全 8 【正确答案】 B 【知识模块】 计算机网络与信息安全 9 【正确答案】 D 【试题解析】 威胁可以看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的
18、伤害,但威胁可以利用脆弱性发挥作用。而且,系统本身的脆弱性仍然会带来一些风险。 【知识模块】 计算机网络与信息安全 10 【正确答案】 A 【知识模块】 计算机网络与信息安全 11 【正确答案】 A 【试题解析】 五大网络安全服务如下: (1)鉴别服务 (Authentication):对对方实体的合法性、真实性进行确认,以防假冒。这里的实体可以是用户或进程。 (2)访问控制服务 (AccessControl):用于防止未授权用户非法使用系统资源。它包括用户身份认证、用户的权限确认。这种保护服务可提供给用户组。 (3)数据完整性服务 (Integrity):阻止非法实体对交换数据的修改、插入、
19、删除。 (4)数据保密服务 (Confidentiality):为了防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密,提供密码加密保护。 (5)抗抵赖性服务:防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据。由两种服务组成:一是不得否认发送,二是不得否认接收 (通过签名确认 )。 【知识模块】 计算机网络与信息安全 12 【正确答案】 C 【试题解析】 根据防范安全攻击的安全需求、需要达到的安全目标、对应安全机制所需的安全服务等因素, 参照 SSE-CMM(系统安全工程能力成熟模型 )和ISO17799(信息安全管理标准 )等国际标准
20、,综合考虑可实施性、可管理性、可扩展性、综合完备性、系统均衡性等方面,网络安全防范体系在整体设计过程中应遵循以下九项原则。 (1)网络信息安全的木桶原则。网络信息安全的木桶原则是指对信息进行均衡、全面的保护。 “木桶的最大容积取决于最短的一块木板 ”。网络信息系统是一个复杂的计算机系统,它本身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不 胜防。攻击者使用的 “最易渗透原则 ”,必然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测 (包括模拟攻击 )是设计信息安全系统
21、的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用的攻击手段,根本目的是提高整个系统的 “安全最低点 ”的安全性能。 (2)网络信息安全的整体性原则。要求在网络发生被攻击、破坏事件的情况下,必须尽可能地快速恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括安全防护机制、安全检测机制和安全恢复机制。安全防护机制是根据 具体系统存在的各种安全威胁采取的相应的防护措施,避免非法攻击的进行。安全检测机制是检测系统的运行情况,及时发现和制止对系统进行的各种攻击。安全恢复机制是在安全防护机制失效的情况下,进行应急处理和尽量、及时地恢复信息,减少供给的破坏程度。 (3)安全性评价与平衡原
22、则。对任何网络,绝对安全难以达到,也不一定是必要的,所以,需要建立合理、实用的安全性,以及用户需求评价和平衡体系。安全体系设计要正确处理需求、风险与代价的关系,做到安全性与可用性相容,做到组织上可执行。评价信息是否安全,没有绝对的评判标准和衡量 指标,只能决定于系统的用户需求和具体的应用环境,具体取决于系统的规模和范围,系统的性质和信息的重要程度。 (4)标准化与一致性原则。系统是一个庞大的系统工程,其安全体系的设计必须遵循一系列的标准,这样才能确保各个分系统的一致性,使整个系统安全地互联互通、信息共享。 (5)技术与管理相结合原则。安全体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠
23、技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。 (6)统筹规划,分步实 施原则。由于政策规定、服务需求的不明朗,环境、条件、时间的变化,攻击手段的进步,安全防护不可能一步到位,可在一个比较全面的安全规划下,根据网络的实际需要,先建立基本的安全体系,保证基本的、必需的安全性。今后随着网络规模的扩大及应用的增加,网络应用和复杂程度的变化,网络脆弱性也会不断增加,调整或增强安全防护力度,保证整个网络最根本的安全需求。 (7)等级性原则。等级性原则是指安全层次和安全级别。良好的信息安全系统必然是分为不同等级的,包括对信息保密程度分级
24、、对用户操作权限分级、对网络安全程度分级 (安全子 网和安全区域 )、对系统实现结构的分级 (应用层、网络层、链路层等 ),从而针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。 (8)动态发展原则。要根据网络安全的变化不断地调整安全措施,适应新的网络环境,满足新的网络安全需求。 (9)易操作性原则。首先,安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。其次,措施的采用不能影响系统的正常运行。 【知识模块】 计算机网络与信息安全 13 【正确答案】 C 【试题 解析】 风险是在考虑事件发生的可能性及其可能造成的影响下,
25、脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响。残余风险是指采取了安全防护措施,提高了防护能力后,仍然可能存在的风险。 为了对计算机信息系统的安全威胁有更全面、更深刻的认识,信息应用系统安全威胁的分类方法一般用按风险性质、按风险结果、按风险源三种 “综合分类 ”方法。 【知识模块】 计算机网络与信息安全 14 【正确答案】 D 【试题解析 】 “消息 ”是我们所关心的实际数据,经常也称为 “明文 ”,用 M表示。经过加密的消息是 “密文 ”,用 C表示。如果用 C=E(M)表示加密, M=D(C)表
26、示解密。那么从数学角度讲,加密只是一种从 M定义域到 C值域的函数变换,解密正好是对加密的反函数变换。 【知识模块】 计算机网络与信息安全 15 【正确答案】 D 【试题解析】 当今最著名的美国计算机安全标准是可信计算机系统评估标准(TCSEC)。其中一个内容就是要阻止未被授权而浏览机密信息。 TCSEC规定了两个访问控制类型:自主访问控制 (DAC)和强制 访问控制 (MAC)。 DAC是指主体可以自主地将访问权限或者访问权限的某个子集授予其他主体。主要是某些用户 (特定客体的用户或具有指定特权的用户 )规定别的用户能以怎样的方式访问客体。它主要满足商业和政府的安全需要,以及单级军事应用。但
27、是由于它的控制是自主的,所以也可能会因为权限的传递而泄漏信息。另外,如果合法用户可以任意运行一个程序来修改他拥有的文件存取控制信息,而操作系统无法区分这种修改是用户自己的操作,还是恶意程序的非法操作,解决办法就是通过强加一些不可逾越的访问限制。因此,又提出了一种更强有力的访问控制手 段,即强制访问控制(MAC),但是它主要用于多级安全军事应用,很少用于其他方面。现今人们在MAC基础上提出基于角色的访问控制 (RBAC),它是一种强制访问控制形式,但它不是基于多级安全需求,其策略是根据用户在组织内部的角色制定的,用户不能任意将访问权限传递给其他用户。这是 RBAC和 DAC之间最基本的不同。 基
28、于角色访问控制 (RBAC)模型是目前国际上流行的先进的安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。安全管理人员根据需要定义各种角色,并设置合适的访问权限 ,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。 由于实现了用户与访问权限的逻辑分离,基于角色的策略极大地方便了权限管理。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务或新任务的角色即可。研究表明,角色 /权限之间的变化比角色 /用户关系之间的变化相对要慢得
29、多,并且给用户分配角色不需要很多技术,可以由行政管理人员来执行,而给角色配置权限的工作比较复杂,需要一定的技术 ,可以由专门的技术人员来承担,但是不给他们给用户分配角色的权限,这与现实中的情况正好一致。 基于角色访问控制可以很好地描述角色层次关系,实现最小特权原则和职责分离原则。 【知识模块】 计算机网络与信息安全 16 【正确答案】 D 【试题解析】 入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性的行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。 入侵检测系统要解 决的
30、最基本的两个问题是:如何充分并可靠地提取描述行为特征的数据,以及如何根据特征数据,高效并准确地判断行为的性质。由系统的构成来说,通常包括数据源 (原始数据 )、分析引擎 (通过异常检测或误用检测进行分析 )、响应 (对分析结果采用必要和适当的措施 )三个模块。 【知识模块】 计算机网络与信息安全 17 【正确答案】 C 【试题解析】 信息安全策略的设计与实施步骤如下: (1)确定安全需求:包括确定安全需求的范围、评估面临的风险。 (2)制定可实现的安全目标。 (3)制定安全规划:包 括本地网络、远程网络、 Internet。 (4)制定系统的日常维护计划。 【知识模块】 计算机网络与信息安全
31、【知识模块】 计算机网络与信息安全 18 【正确答案】 C 【知识模块】 计算机网络与信息安全 19 【正确答案】 B 【试题解析】 Kerberos是由 MIT发明的,为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如果是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问 。从加密算法上来讲,其验证是建立在对称加密的基础上的。它采用可信任的第三方,密钥分配中心 (KDC)保存与所有密钥持有者通信的保密密钥,其认证过程颇为复杂,下面简化叙述之。 首先,客户 (C)向 KDC发送初始票据 TGT,申请访问
32、服务器 (S)的许可证。 KDC确认是合法客户后,临时生成一个 C与 S通信时用的保密密钥 Kcs,并用 C的密钥 Kc加密 Kcs后传给 C,并附上用 S的密钥 Ks加密的 “访问 S的许可证 Ts,内含 Kcs”。当 C收到上述两封信件后,用他的 Kc解密获得 Kcs,而把 Ts原封不动地传给 S,并附上用 Kcs加密 的客户身份和时间。当 S收到这两封信件后,先用他的 Ks解密 Ts获得其中的 Kcs,然后用这 Kcs解密获得客户身份和时间,告之客户成功。之后, C和 S用 Kcs加密通信信息。 Kerberos系统在分布式计算环境中得到了广泛的应用,是因为它具有以下特点。 (1)安全性
33、高: Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息。 (2)透明性高:用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样, Kerberos的存在对于合法用户来说是透明的。 (3)可扩展性好: Kerberos为每一个服务提供认证,确保应用的安全。 Kerberos系统和看电影的过程有些相似,不同的是,只有事先在 Kerberos系统中登录的客户才可以申请服务,并且: Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器 )去要求得到最终服务的客户。 Kerberos有其优点
34、,同时也有其缺点,主要是: (1)Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法 用户拥有口令字,如攻击者记录申请回答报文,就易形成代码本攻击。 (2)AS和 TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和 TGS的性能和安全。在 AS和 TGS前应该有访问控制,以增强 AS和 TGS的安全。 (3)随用户数增加,密钥管理会更复杂。 Kerberos拥有每个用户的口令字的散列值, AS与 TGS负责用户间通信密钥的分配。当 N个用户想同时通信时,仍需要N(1)/2个密钥。 【知识模块】 计算机网络与信息安全 【知识模块
35、】 计算机网络与信息安全 20 【正确 答案】 C 【知识模块】 计算机网络与信息安全 21 【正确答案】 C 【试题解析】 数据加密即是对明文 (未经加密的数据 )按照某种加密算法 (数据的变换算法 )进行处理,形成难以理解的密文 (经加密后的数据 )。即使是密文被截获,截获方也无法或难以解码,从而防止泄露信息。 在对称密码体制中,加密和解密采用相同的密钥。因为其加密速度快,通常用来加密大批量的数据。典型的方法有 IDEA和 DES。 DES算法的密钥长度一般为 56位。为了加速 DES算法和 RSA算法的执行过程,可以用硬件电路来实现加密和解密 。 IDEA算法的密钥长度为 128位。 在非对称密码体制中,其加密和解密使用不同的密钥,其中一个密钥是公开的,另一个密钥是保密的。由于加密速度较慢,所以,往往用在少量数据的通信中。典型的方法有 RSA、 ECC(EllipticCurveCryptography,椭圆曲线密码 )等。 RSA算法的密钥长度为 512位。 RSA算法的保密性取决于数学上将一个大数分解为两个素数的问题的难度,根据已有的数学方法,其计算量极大,破解很难,但是加密 /解密时要进行大指数模运算。因此,加密 /解密速度很慢,主要用在数字签名中。 【知识模块】 计算机网络与信息安全
