职业认证指导-安全

网络工程师专题系列

网络安全篇专题2--网络安全2.1网络安全的基本概念2.2信息加密技术2.3认证技术2.4虚拟专用网2.5应用层安全协议2.6入侵检测技术与防火墙2.7病毒防护考频统计

年份试题分布分值考核要点2009年下41-42、44-487Kerberos认证、病毒、数字证书、Ipsec、SSL2009年上43-49、67-689数字签名、安全散列算法、数字证书、数据加密、包过滤防火墙、木马、安全审计、网络隔离技术2010年下41、45-507RSA、MD5\、隧道协议、IEEE802.11i、公钥加密体系2012年上42-454数字签名，HTTPS，md5摘要算法2012年下41-455IPSec，3DES，CA，TLS，SSL1.信息安全技术简介计算机安全是指一个组织机构本身的安全，包括计算机设备、存储介质、软件和计算机数据免受毁坏和泄露。网络安全是指网络上的信息安全，所涉及的范围和领域要更广：运行系统的安全网络上信息的安全计算机系统的本身的弱点计算机系统的设计对信息安全考虑不周，计算机系统自然在安全方面存在弱点。网络操作系统提供的远程过程调用（RPC）服务以及它所安排的无口令入口也是黑客的通道。当前计算机网络系统都使用的TCP／IP协议以及FTP、E-mail、NFS等都包含着许多影响网络安全的因素，存在许多漏洞。计算机系统管理的脆弱性，存在超级用户，如果入侵者得到了超级用户口令，整个系统将完全受控于入侵者。计算机可能会因硬件或软件故障而停止运转，或被入侵者利用并造成损失。黑客通常采用Sock、TCP预测或使用远程访问（RPC）进行直接扫描等方法对防火墙进行攻击。常见的攻击(1)截获——从网络上窃听他人的通信内容。

(2)中断——有意中断他人在网络上的通信。

(3)篡改——故意篡改网络上传送的报文。

(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。对网络的被动攻击和主动攻击截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站被动攻击和主动攻击在被动攻击中，攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。更改报文流拒绝报文服务伪造连接初始化

对付被动攻击的方法：各种数据加密技术对付主动攻击：加密技术与适当的鉴别技术(1)计算机病毒——会“传染”其他程序的程序，“传染”是通过修改其他程序来把自身或其变种复制进去完成的。(2)计算机蠕虫——通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。(3)特洛伊木马——一种程序，它执行的功能超出所声称的功能。(4)逻辑炸弹——一种当运行环境满足某种特定条件时执行其他特殊功能的程序。恶意程序(rogueprogram)2.信息加密技术为了保证因特网上传输的信息不被窃听和修改，必须采用信息加密技术。物理层：可以在通信线路上采用某些防窃听技术使得搭线窃听变得不可能；数据链路层：点对点的链路可以采用硬件实现方案，使用通信保密机进行加密和解密；网络层：防火墙技术可以确定来自哪些地址的信息允许或禁止访问；传输层：端到端的加密SSL等技术。2.1一般的数据加密模型明文X

截获密文Y加密密钥K明文X密文Y截取者篡改ABE

运算加密算法D运算解密算法因特网解密密钥K一般的数据加密模型欲加密的数据称为明文明文经某种加密算法的作用后转换成密文加密算法中使用的参数称为加密密钥密文经解密算法作用后形成明文输出，解密算法也有一个密钥，它和加密密钥可以相同也可以不同。公式Y=Ek（X）表示明文X经加密算法E和加密密钥k作用后转换成密文Y；解密：DK(Y)=DK(EK(X))=X2.2几种加密方法

替代密码-凯撒密码替代密码就用一组密文字母来代替一组明文字母以隐藏明文，但保持明文字母的位置不变。凯撒密码，它用D表示a，用E表示b，用F表示c，……，用C表示z，也就是说密文字母相对明文字母左移了3位。计法约定：用小写表示明文，用大写表示密文这样明文的“cipher”就变成了密文的“FLSKHU”。更一般地，可以让密文字母相对明文字母左移k位，这样k就成了加密和解密的密钥。容易破译，因为最多只需尝试25次（k=1～25）即可轻松破译密码。替代密码-单字母表替换使明文字母和密文字母之间的映射关系没有规律可循，比如将26个英文字母随意映射到其他字母上破译者只要拥有很少一点密文，利用自然语言的统计特征，很容易就可破译密码。破译的关键在于找出各种字母或字母组合出现的频率比如经统计发现，英文中字母e出现的频率最高，其次是t、o、a、n、i最常见的两字母组合依次为th、in、er、re和an，最常见的三字母组合依次为the、ing、and和ion。因此破译者首先可将密文中出现频率最高的字母定为e，频率次高的字母定为t，……；然后猜测最常见的两字母组、三字母组，比如密文中经常出现tXe，就可以推测X很可能就是h，如经常出现thYt，则Y很可能就是a等。替代密码-多张密码字母表对明文中不同位置上的字母用不同的密码字母表来加密。比如任意选择26张不同的单字母密码表，相互间排定一个顺序，然后选择一个简短易记的单词或短语作为密钥;在加密一条明文时，将密钥重复写在明文的上面，则每个明文字母上的密钥字母即指出该明文字母用哪一张单字母密码表来加密。举例比如要加密明文“pleaseexecutethelatestscheme”，密钥为“computer”，则将“computer”重复写在报文上面于是第1个明文字母p用第3张（假设a～z分别表示顺序1～26）单字母密码表加密，第2个明文字母l用第12张单字母密码表加密，……。显然，同一个明文字母因位置不同而在密文中可能用不同的字母来表示，从而消除了各种字母出现的频率特征。换位密码换位有时也称为排列，它不对明文字母进行变换，只是将明文字母的次序进行重新排列。下图是一种常用的换位密码，它的密钥必须是一个不含重复字母的单词或短语，加密时将明文按密钥长度截成若干行排在密钥下面，按照密钥字母在英文字母表中的先后顺序给各列进行编号，然后按照编好的序号按列输出明文即成密文。2.3两类密码体制2.3.1对称密钥密码体制:常规密钥密码体制DES/IDEA2.3.2公钥密码体制:RSA

2.3.1对称密钥密码体制

所谓常规密钥密码体制，即加密解密所用的密钥是相同的或类似的，即由加密密码很容易推导出解密密码，反之亦然。这种加密系统又称为对称密钥系统。DES

保密性仅取决于对密钥的保密，而算法是公开的。密钥为56位DES是世界上第一个公认的实用密码算法标准，它曾对密码学的发展做出了重大贡献。DES算法简介DataEncryptionStandardDES算法是1972年美国IBM公司研制的对称密码体制加密算法。其密钥长度为56位，明文按64位进行分组，将分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。

DES加密算法特点：分组比较短、密钥太短、密码生命周期短、运算速度较慢。

后有改进型的IDEA(InternationalDataEncryptionAlgorithm)国际数据加密算法，密钥为128位。2.3.2公钥密码体制公钥密码体制使用不同的加密密钥与解密密钥，是一种“由已知加密密钥推导出解密密钥在计算上是不可行的”密码体制。不需要分发密钥的额外信道。公钥密码体制的产生主要是因为两个方面的原因，一是由于常规密钥密码体制的密钥分配问题，另一是由于对数字签名的需求。现有最著名的公钥密码体制是RSA体制；它可以实现加密和数字签名，它的一个比较知名的应用是SSL安全套接字（传输层协议）。RSA算法简介该算法利用了数论领域的一个事实，那就是虽然把两个大质数相乘生成一个合数是件十分容易的事情，但要把一个合数分解为两个质数却十分困难。RSA的算法涉及三个参数，n、e、ｄ。

先找两个足够大的质数，n的二进制表示时所占用的位数，就是密钥长度。n=p*qz=(p-1)*(q-1)z是不大于n，并且与n互质的所有数的个数例如n=2*3,则z=2（即不大于6并于6互质的，是1和5两个）n的二进制表示时所占用的位数，就是所谓的密钥长度。

再找一个数e和d，要求e与z互质e可以任意取，但要求e与z互质；再选择d，要求(e*d)mod(z)=1。

(n及e),(n及d)就是密钥对。

n和e是公钥,d是私钥n=p*q，p与q互质Z=（p-1）*（q-1）找一个数e与z互质，能得出ed-zy=1ed=1+zy=1+(p-1)(q-1)y公钥.n，e私钥.dxe（modn）

=y(其中x为明文，y为密文)yd（modn）=x私钥持有者可以将密文转为明文RSA加解密的算法完全相同,设A为明文，B为密文，则：A=B^emodn；B=A^dmodn；

e和d可以互换使用，即：

A=B^emodn；B=A^dmodn；例题:p=3,q=11,e=7,明文x=5，密文为y

计算过程如下：n=p*q=33;z=(p-1)*(q-1)=20;加密：y=x^emodn=5^7mod33=14;解密：x=y^dmodn;e*dmodz=1(7*d)mod20=1所以d=3;所以x=y^dmodn=14^3mod33=5;解完加密由5~14，解密由14~5，实现了RSA算法的加密解密过程。公钥密码体制加密实例（1）现假设有A公司的老板名叫Bob，B公司的老板名叫Alice，现Bob想传输一个文件FileBS给Alice，这个文件是有关于一个合作项目标书议案，属公司机密，为了防止其他公司或人截取标书议案，实现安全传输，可以采用以下步骤:公钥密码体制加密实例（1）1、首先Alice把自己的公钥(设为PublicKeyA)通过网络传给Bob;2、Bob用Alice的公钥(PublicKey)给标书议案文件FileBS加密;3、Bob把经过加密的文件传给Alice;4、Alice收到Bob传来的FileBS后再用自己的私钥(设为PrivateKey)来解密。公钥密码体制密文Y

E

运算加密算法D运算解密算法加密解密明文X明文X

ABB的私钥SKB密文Y

因特网B的公钥PKB公钥密码体制加密实例（2）两种加密算法的比较：RSA:算法能够解决大量网络用户密钥管理的难题，但是RSA密钥长，加密速度慢；DES:加密速度比RSA快，适合加密较长的报文。2.4数字签名为了防止对网络的破坏、攻击，对在网络上传输的重要信息必须加以保护。通过数据认证、信息加密、和基于公开密钥体制的RSA、数字签名等身份认证技术，可以有效地阻止安全漏洞的产生，提高网络的安全性。数字签名数字签名必须保证以下三点：(1)报文鉴别——接收者能够核实发送者对报文的签名；(2)报文的完整性——发送者事后不能抵赖对报文的签名；(3)不可否认——接收者不能伪造对报文的签名。现在已有多种实现各种数字签名的方法。但采用公钥算法更容易实现。三个条件是必需假设一个股民委托他的股票经纪人代为炒股，并指令当他所持的股票达到某个价位时，立即全部抛出。股票经纪人首先必须认证该指令确实是由该客户发出的，而不是其他什么人在伪造指令，这就需要第一个条件。假定股票刚一卖出，股价立即猛升，该客户后悔不己，如果该客户是不诚实的，他可能会控告股票经纪人，宣称他从未发出过任何卖出股票的指令，这时股票经纪人可以拿出有他自己签名的委托书作为最有力的证据，所以第二个条件也是必需的。另一种可能是股票经纪人玩忽职守，当股票价位合适时没有立即抛出，不料此后股价一路下跌，客户损失惨重，为了推卸责任，股票经纪人可能试图修改委托书，修改成客户要求在某一个更高价位上（实际上该价位不可能达到）卖出股票，否则不卖等等，为了保障客户的权益，需要第三个条件。密文签名的实现D运算明文X明文

X

ABA的私钥

SKA因特网签名核实签名E运算密文A的公钥PKA数字签名的实现因为除A外没有别人能具有A的私钥，所以除A外没有别人能产生这个密文。因此B相信报文X

是A签名发送的。若A要抵赖曾发送报文给B，B可将明文和对应的密文出示给第三者。第三者很容易用A的公钥去证实A确实发送X给B。反之，若B将X

伪造成X‘，则B不能在第三者前出示对应的密文。这样就证明了B伪造了报文。具有保密性的数字签名核实签名解密加密签名E

运算D运算明文X明文X

ABA的私钥SKA因特网E

运算B的私钥SKBD运算加密与解密签名与核实签名B的公钥PKBA的公钥PKA密文目的：为了防范主动攻击；发送方：发送方在发送端将可变长的报文经过报文摘要算法运算后产生固定长度的报文摘要，然后对报文摘要进行加密把加密后的报文摘要和报文一起发送；接收方：先对报文摘要解密；再对接收的报文进行运算，产生报文摘要；然后把接收的报文摘要和新产生的报文摘要进行比较，以验证接收的报文是否被篡改。好处：仅对短的定长报文摘要进行加密，这样比对整个报文加密简单，但是对于报文鉴别（认证）来说效果是一样的。消息摘要（报文摘要）消息摘要（报文摘要）散列函数算法：MD5(128消息摘要)SHA(160位消息摘要)数字签名过程公钥基础设施PKIPKI采用证书管理公钥，通过第三方的可信任机构认证中心，把用户的公钥和用户的其他标识信息捆绑在一起，在Internet上验证用户身份。目前通用的办法：采用基于PKI结构结合数字证书，通过把要传输的数字信息进行加密，保证信息传输的保密性、完整性，保证身份的真实性和抗抵赖。PKI的内容

一个完整的PKI系统必须具备:权威认证机构（CA）、数字证书库、密钥备份及恢复系统、证书作废系统和应用接口（API）等基本组成部分。

1.数字证书库数字证书库：在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。证书是公开密钥体制的一种密钥管理媒介。它是一种权威性的电子文档，形同网络环境中的一种身份证，用于证明某一主体的身份以及其公开密钥的合法性2、权威认证机构（CertificateAuthority）：权威认证机构简称CA，是PKI的核心组成部分，也称作认证中心。它是数字证书的签发机构。CA是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。如果用户想得到一份属于自己的证书，他应先向CA提出申请。在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给那个用户（申请者）。如果一个用户想鉴别另一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证,一经验证通过，该证书就被认为是有效的。3、密钥备份及恢复系统：如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制。

4、证书作废系统：有时因为用户身份变更或者密钥遗失，需要将证书停止使用，所以提供证书作废机制。

5、PKI应用接口系统：PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。没有PKI应用接口系统，PKI就无法有效地提供服务。

整个PKI系统中，只有CA会和普通用户发生联系，其他所有部分对用户来说都是透明的。

3.3.1链路加密与端到端加密在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥。

D1E2明文X结点1D2E3明文X结点2Dn明文X用户BE1明文X用户A

E1(X)链路1

E2(X)链路2

En(X)链路n

E3(X)密文密文密文密文相邻结点之间具有相同的密钥，因而密钥管理易于实现。链路加密对用户来说是透明的，因为加密的功能是由通信子网提供的。

3.非法入侵和病毒的防护——3.3安全协议链路加密由于报文是以明文形式在各结点内加密的，所以结点本身必须是安全的。所有的中间结点(包括可能经过的路由器)未必都是安全的。链路加密的最大缺点是在中间结点暴露了信息的内容。在网络互连的情况下，仅采用链路加密是不能实现通信安全的。2.端到端加密端到端加密是在源结点和目的结点中对传送的PDU进行加密和解密，报文的安全性不会因中间结点的不可靠而受到影响。结点1结点2DK明文X结点nEK明文X结点0

EK(X)链路1

EK(X)链路2

EK(X)

链路n端到端链路传送的都是密文在端到端加密的情况下，PDU的控制信息部分(如源结点地址、目的结点地址、路由信息等)不能被加密，否则中间结点就不能正确选择路由。3.3.2网络层安全协议为了能在IP网上获得安全通信保证，IETFIPsec工作组于1998年制定了一组基于密码学的安全的开放网络安全协议IPsec体系结构。网络层的安全：IP数据报的加密网络层的身份认证其中IPsec是一个协议包，在IP层提供数据源验证、数据完整性、数据保密性。IPSec体系结构包括认证首部（AH）、封装的安全有效负载（ESP），以及Internet密钥交换IKE等：鉴别首部AH(AuthenticationHeader)：AH进行身份认证和检查数据完整性，但不能保密。封装安全有效载荷ESP(EncapsulationSecurityPayload)：ESP比AH复杂得多，它鉴别源点、检查数据完整性、身份认证和私密性。SA:安全协议对于AH和ESP协议，源主机在向目的主机发送安全数据报之前，源主机和网络主机进行握手并且建立网络层逻辑连接。这个逻辑连接称为安全协定（SASecurityAgreement）。因特网传统的无连接网络层称为了有逻辑连接的层次。SA是单向的。AH：鉴别首部特定源主机向目的主机发送数据时，先建立SA；建立SA后，源主机向目的主机发送数据报数据报包含AH头；AH头包含的域：相邻头部字段：充当普通数据报的协议字段，表明后面的是UDP还是TCP；安全参数索引：与目的IP地址唯一标识了数据报的SA；顺序号字段：数据报的顺序号；身份认证数据字段：变长字段，包含数据报的签名消息摘要（数字签名）ESP协议不但提供源主机身份认证，而且提供网络层保密性。首先源主机同目的主机建立SA；源主机向目的主机发送安全数据报；AHESPAH与ESP结合AH与ESP结合IPSec的一个最基本的优点是它可以在共享网络访问设备，甚至是所有的主机和服务器上完全实现，这很大程度避免了升级任何网络相关资源的需要。在客户端，IPSec架构允许使用在远程访问介入路由器或基于纯软件方式使用普通MODEM的PC机和工作站。通过两种模式在应用上提供更多的弹性：传送（Transport）模式隧道（Tunnel）模式AH和ESP都支持这两种模式：IPsec的工作模式IPSec的优点

IPSec在传输层之下，对于应用程序来说是透明的。当在路由器或防火墙上安装IPSec时，无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec，应用程序一类的上层软件也不会被影响。IPSec对终端用户来说是透明的，因此不必对用户进行安全机制的培训。

如果需要的话，IPSec可以为个体用户提供安全保障，这样做就可以保护企业内部的敏感信息。

IPsec的应用：VPN3.3.3运输层安全协议

例：网上交易的安全性Bob来到Alice网站购买商品Bob填写数量、信用卡卡号，单击提交Bob期望收到商品如果网络是不安全的，可能会出现什么情况？入侵者截获订单，得到Bob的支付卡，入侵者用Bob的钱购买商品。如何解决？最先由Netscape发展的协议，用来为web客户端和web服务器提供数据加密和身份认证。首先进行握手，协商加密算法和密钥；客户端对服务器进行认证；服务器对客户端进行认证（可选）；握手完成后，开始应用程序数据传输，所有的数据都用会话密钥进行加密。SSL不仅被所有常用的浏览器和万维网服务器所支持，而且也是运输层安全协议TLS(TransportLayerSecurity)的基础。安全套接层SSLSSL的位置TCP应用层SSL运输层HTTPIMAPSSL功能标准套接字在发送方，SSL接收应用层的数据（如HTTP或IMAP报文），对数据进行加密，然后把加了密的数据送往TCP套接字。在接收方，SSL从TCP套接字读取数据，解密后把数据交给应用层。电子商务应用中SSL的不足SSL不是专门为支付卡交易设计的，所以SSL缺少电子商务协议中要求的许多特征。比如：虽然Bob和Alice能够进行交易，SSL能够证明确实是和Alice交易，但是不能表明Alice的公司是否被授权接受支付卡买卖，是否可靠。在网上购物的环境中，持卡人希望在交易中保密自己的帐户信息，使之不被人盗用；商家则希望客户的定单不可抵赖，并且，在交易过程中，交易各方都希望验明其他方的身份，以防止被欺骗。针对这种情况，由美国Visa和MasterCard两大信用卡组织联合国际上多家科技机构共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准，“这就是“安全电子交易”（SecureElectronicTransaction，简称SET）。它采用公钥密码体制和X.509数字证书标准，主要应用于保障网上购物信息的安全性。使用SET的电子商务SET的优点可以加密特定种类的与支付卡相关的消息；SET涉及了三方：消费者、商人、商业银行，三方的数据传送都进行加密；三方都需要有证书；SET定义了每一方正数的法律涵义以及同交易相联系的责任协议。SET不会暴露送给商人的信用卡号。SET交易的三个软件组成：浏览器钱包商务服务器Acquirer网关：处理商业支付卡交易的授权和付款。3.3.4应用层安全协议安全电子邮件原理例：Alice想给Bob发送电子邮件，tom想进行干预。思考：电子邮件系统最需要的安全特征秘密性，不希望tom阅读对发送者身份的认证对接收者身份的认证消息的完整性秘密性的解决：对称密钥还是公钥？对称密钥：如何传输密钥？公钥体制：效率低，较长消息加密慢解决办法：使用会话密钥步骤：Alice随意选取一个对称密钥Ks，使用Ks加密消息m；Alice用Bob的公共密钥eB加密对称密钥将加密的消息m和加密的对称密钥一起形成一个包发送给BobBob收到后，用私钥得到对称密钥用对称密钥解密得到消息m如何解决发送者身份认证和消息完整性验证？Alice使用哈希函数H得到消息m的消息摘要Alice用她的私钥dA加密哈希函数的结果得到数字签名将原有消息和数字签名产生包，发给Bob；Bob收到包，该如何处理？用公钥解密数字签名，得到消息摘要将运算结果和哈希函数的结果进行比较如果相同，意味着未被篡改及发送着确实是AlicePGP简介(PrettyGoodPrivacy)PGP加密技术的创始人是美国的PhilZimmermann。他的创造性把把RSA公钥体系和传统加密体系的结合起来，PGP成为目前几乎最流行的公钥加密软件包。PGP使用MD5和SHA计算消息摘要；使用CAST/三层des或IDEA的对称密钥加密；使用RSA公共密钥加密；还能够提供数据压缩功能。3.5硬件安全性机房的地理环境选择远离有害气体、腐蚀品、易燃易爆品，为避免电磁场的干扰，应远离高压线、雷达站、无线电发射台和微波中继站机房的物理环境选择温度、湿度、洁净度电气环境不间断电源UPS防火防盗措施4.可用性

文件的备份和恢复最简单的可用性服务，是指对重要的信息制作一份拷贝，并将其存储在安全的地方。数据备份操作有三种：全盘备份：所有文件写入备份介质；增量备份：只备份上次备份之后更改过的文件；差分备份：备份上次全盘备份之后更改过的所有文件。备份技术分为：冷备份：不在线备份下载的备份存放到安全的存储媒介中，这种媒介与正在运行的整个计算机系统和网络没有直接联系。热备份：在线备份磁盘镜像、磁盘阵列在线恢复在线恢复提供信息和能力的重构。带有在线恢复配置的系统能检测出故障，并重建诸如处理、信息访问、通信等能力。通过冗余硬件来自动处理。磁盘系统冗余：热插拔硬盘以及RAID系统电源系统冗余：热插拔冗余电源网络系统冗余：自动控制的冗余网卡冷却系统冗余：自动切换的冗余风扇系统冗余：双机热备份高可用系统HA，切换时间仅需1~2分钟灾难恢复灾难恢复是针对大的灾难来保护系统、信息和能力。全盘恢复个别文件恢复重定向恢复需要做好详细的灾难恢复计划，同时定期进行灾难演练。2001年度网络工程师级上午试题

公钥密码是___(45)___。常用的公钥加密算法有___(46)___，它可以实现加密和数字签名，它的一个比较知名的应用是___(47)___，这种应用的协商层用公钥方式进行身份认证，记录层涉及到对应用程序提供的信息的分段、压缩、数据认证和加密。(45)：A.对称密钥技术，有1个密钥B.不对称密钥技术，有2个密钥

C.对称密钥技术，有2个密钥D.不对称密钥技术，有1个密钥

(46)：A.DES

B.IDES

C.三元DES

D.RSA

(47)：A.SSL

B.SOCK5

C.安全RPC

D.MD5BDARSA是一种基于__（31）__原理的公钥加密算法。网络上广泛使用的PGP协议采用RSA和IDEA两种加密算法组成链式加密体系，这种方案的优点式__（32）__。PGP还可以对电子邮件进行认证，认证机制式用MD5算法产生__（33）__位的报文摘要，发送方用自己的RSA私钥对__（34）__进行加密，附加在邮件中进行传送。如果发送方要向一个陌生人发送保密信息，又没有对方的公钥，那么他可以__（35）__。

（31）A.大素数分解B.椭圆曲线C.背包问题D.离散对数

（32）A.两种算法互相取长补短，从而提高了信息的保密性

B.可以组合成一种新的加密算法，从而避免专利技术的困扰

C.既有RSA体系的快捷性，又有IDEA算法的保密性

D.既有RSA体系的保密性，又有IDEA算法的快捷性

（33）A.256

B.160

C.128

D.96

(34)

A.邮件明文B.IDEA密钥

C.邮件明文和报文摘要D.报文摘要

（35）A.向对方打电话索取公钥B.从权威认证机构获取对方的公钥

C.制造一个公钥发给对方D.向对方发一个明文索取公钥ADCDB电子商务交易必须具备抗抵赖性，目的在于防止__(19)__。

(19)A.一个实体假装成另一个实体B.参与交易的一方否认曾经发生过此次交易

C.他人对数据进行非授权的修改、破坏D.信息从被监视的通信过程中泄漏出去B2005年11月窃取是对（31）的攻击，DDos攻击破坏了（32）。

（31）A.可用性B.保密性C.完整性D.真实性

（32）A.可用性B.保密性C.完整性D.真实性

BA2005年11月●数据加密标准（DES）是一种分组密码，将明文分成大小（33）