《计算机网络应用基础》

中国石油大学（北京）远程教育学院计算机网络应用基础期末复习题一、选择题1. 属于计算机网络安全的特征的是（A. 保密性、完整性、可控性B.C. 真实性、保密性、机密性D.2. 数据完整性指的是（A）A. 保护网络中各系统之间交换的数据,B. 提供连接实体身份的鉴别A）可用性、可控性、可选性完整性、真正性、可控性防止因数据被截获而造成泄密防止非法实体对用户的主动攻击，保证数据接受方收到的信息与发送方发送的信息完全一致PPDR模型由四个主要部分组成：（C）、保护、检测和响应A. 安全机制B.身份认证C.安全策略D.加密ISO/OSI参考模型共有（D）层。A. 以下关于对称密钥加密说法正确的是：（C）A. 加密方和解密方可以使用不同的算法加密密钥和解密密钥可以是不同的B. 加密密钥和解密密钥必须是相同的密钥的管理非常简单3. 以下关于非对称密钥加密说法正确的是:A. 加密方和解密方使用的是不同的算法加密密钥和解密密钥是不同的B. 加密密钥和解密密钥匙相同的加密密钥和解密密钥没有任何关系4. 不属于数据流加密的常用方法的是（D）。A.链路加密B.节点加密C.端对端加密D.网络加密以下算法中属于非对称算法的是（B）。A. DESB.RSA算法C.IDEAD.三重DES以下选项中属于常见的身份认证形式的是（A）。A.动态口令牌B.IP卡C.物理识别技术D.单因素身份认证数字签名利用的是（A）的公钥密码机制。A. D.IDS（B）机制的本质特征是：该签名只有使用签名者的私有信息才能产生出来。A.标记B.签名C.完整性D.检测以下关于数字签名说法正确的是：（D）A.数字签名是在所传输的数据后附加上一段和传输数据毫无关系的数字信息B. 数字签名能够解决数据的加密传输，即安全传输问题数字签名一般采用对称加密机制C. 数字签名能够解决篡改、伪造等安全性问题数字签名常用的算法有（B）。A、DES算法B、RSA算法C、DSA算法D、AES算法下列算法中属于Hash算法的是（C）。A、DESB、IDEAC、SHAD、RSA不属于入侵检测的一般过程的是（C）。A.采集信息B.信息分析C.信息分类D.入侵检测响应入侵检测系统的第一步是：（B）A.信息分析B.信息采集C.信息分类D.数据包检查入侵检测响应的（B）响应可对入侵者和被入侵区域进行有效控制A. 被动B.主动C.信息D.控制以下哪一项不属于入侵检测系统的功能：（D）A. 监视网络上的通信数据流捕捉可疑的网络活动B. 提供安全审计报告过滤非法的数据包5. 不属于常用端口扫描技术的是（B）。A. TCPconnect请求B.TCPSZN请求C.IP分段请求D.FTP反射请求6. 基于主机的扫描器是运行在被检测的（A）上的。A.主机B.服务器C.浏览器D.显示器特洛伊木马（简称木马）是一种（C）结构的网络应用程序A. 堆栈B.队列C.协议D.端口23. 堆栈是一个（A）的队列。A.后进先出B.后进后出C.先进后出D.先进先出DOS是以停止（D）的网络服务为目的。A.目标服务器B.目标浏览器C.目标协议D.目标主机正常情况下，建立一个TCP连接需要一个三方握手的过程，即需要进行（C）次包交换。A.一B.二C.三D.四对付网络监听最有效的方法是（B）。A.解密B.加密C.扫描D.检测TCP序列号欺骗是通过TCP的（C）次握手过程，推测服务器的响应序列号而实现的。A.一B.二C.三D.四以下不属于入侵检测方法的是（C）。A.模式识别B.概率统计分析C.密文分析D.协议分析基于主机的入侵检测系统用于防止对（D）节点的入侵。A.多机B.网络C.对称D.单机现在的Firewall多是基于（A）技术。A.自适应代理B.加密C.入侵检测D.PKI不属于Firewall的功能的是（C）。A网络安全的屏障B.强化网络安全策略C.对网络存取和访问进行加速C.对网络存取和访问进行加速D防止内部信息的外泄目前Firewall一般采用（B）NAT。A.单向B.双向C.多向D.网络防火墙中地址转换的主要作用是：（B）A.提供代理服务B.隐藏内部网络地址C.进行入侵检测D.防止病毒入侵24. 包过滤Firewall工作在（C）层上。A.物理B.会话C.网络D.传输代理Firewall通过编制的专门软件来弄清用户（D）层的信息流量，并能在用户层和应用协议层间提供访问控制。A.物理B.会话C.网络D.应用代理Firewall工作在（B）上,使用代理软件来完成对数据报的检测判断，最后决定其能否穿过Firewall。A.物理、应用B.会话、应用C.网络、会话D.应用、传输仅设立防火墙系统，而没有（C），防火墙就形同虚设。A.管理员B.安全操作系统C.安全策略D.防毒系统Web浏览器通过（A）与服务器建立起TCP/IP连接。A.三次握手B.四次握手C.三次挥手D.四次挥手SSL提供了一种介于（D）之间的数据安全套接层协议机制。A.物理、应用B.会话、应用C.网络、会话D.应用、传输SSL握手协议的一个连接需要（D）个密钥。A.B.C.D.25. WWW服务中，（B）。A. CGI程序和Javaapplet程序都可对服务器端和客户端产生安全隐患CGI程序可对服务器端产生安全隐患，Javaapplet可对客户端产生安全隐患B. CGI程序和Javaapplet都不能对服务器端和客户端产生安全隐患C. Javaapplet程序可对服务器端产生安全隐患，CGI程序可对客户端产生安全隐患不属于VPDN使用的隧道协议的是（D）。A.第二层转发协议B.点到点的隧道协议C.第二层隧道协议D.网到网的通信协议26. 基本的PKI系统不包括以下哪项内容（B）。A.CAB.BAC.SAD.KCA27. 公钥基础设施是基于（B）密码技术的。A.对称B.非对称C.公约D.数字不属于PKI可以为用户提供的基本安全服务的是（D）。A.认证服务B.数据完整性服务C.数据保密性服务D.公平服务D. 不可否认性服务目前，采用PKI技术保护电子邮件安全的协议主要有（B）和S/MIME协议D.BSB28. （A）是指虚拟专用网络。D.VSN（D）密码技术用于初始化SSL连接。A.入侵B.检测C.数字D.公钥IMS是（A）系统。A.入侵检测系统B.自动加密系统C.入侵管理系统D.网络安全系统29. 身份认证机制一般包括三项内容：（B）、授权和审计。A.登陆B.认证C.检测D.校验不属于网络安全的三种机制的是（D）。A.加密机制B.控制机制C.监督机制D.检测机制52.根据检测原理可将检测系统分为3类，以下选项不正确的是（D）A.异常检测B.滥用监测C.混合检测D.入侵检测53.关于堡垒主机的配置，叙述不正确的是（D）。A.堡垒主机上所有不必需的服务、协议、程序和网络接口都应删除或禁用B.堡垒主机上记录所有安全事件的安全日志都应该启动C.堡垒主机上所有用户的账号和密码应该被加密保存D堡垒主机的速度应尽可能快54.（D）协议主要用于加密机制A、HTTPB、FTPC、TELNETD、SSL3DES算法是哪种算法？（A）。A、对称密钥加密B、非对称密钥加密C、哈希算法D、流加密CA指的是（A）。A、认证机构B、加密认证C、虚拟专用网D、安全套接层55. Kerberos算法是一个（B）。A、面向访问的保护系统B、面向票据的保护系统C、面向列表的保护系统D、面向门与锁的保护系统56. Kerberos是为TCP/IP网络设计的基于（B）的可信第三方鉴别协议，负责在网络上进行仲裁及会话密钥的分配。A、非对称密钥体系B、对称密钥体系C、公钥体系D、私钥体系57. 数字证书的颁发阶段不包括（D）。A、证书检索B、证书验证C、密钥恢复D、证书撤销一般证书采用哪个标准？（D）A、ISO/IEC15408B、ISO/IEC仃799C、BS7799D、X.509V3二、多选题1.利用密码技术，可以实现网络安全所要求的（ABCD）。A、数据保密性B、数据完整性C、数据可用性D、身份验证2.公钥密码体质的应用主要在于（AC)B、保密性D、使该人与文件内容发生关系。B、加密D、建立尽可能少的信任关系）。B、安全审计AC）B、链路状态入侵检测系统D、数据包过滤入侵检测系统ABCD）。B、邮件冒名欺骗D、打开邮件的附件A、数字签名B、加密C、密钥管理D、哈希函数3. 数字签名的作用是（ACD）。A、确定一个人的身份C、肯定是该人自己的签字4 .对付网络监听的方法有（BCD）A、扫描网络C、使用网桥或路由器进行网络分段入侵检测的内容主要包括：（BCA、独占资源、恶意使用C、试图闯入或成功闯入、冒充其他用户D、违反安全策略、合法用户的泄露6、入侵检测系统包括以下哪些类型？（A、主机入侵检测系统C、网络入侵检测系统7以下属于木马入侵的常见方法的是（A、捆绑欺骗C、危险下载8在保证密码安全中，应该采取的正确措施有（ABC）。A、不用生日做密码B、不要使用少于5位的密码C、不要使用纯数字D、将密码设得非常复杂并保证在20位以上9、数字签名可以解决的鉴别问题有（BCDE）A、发送者伪造B、发送者否认C、接收方篡改D、第三方冒充E、接收方伪造10、网络安全应具有的特征包括（ABCD）。A、保密性B、完整性C、可用性D、可控性11、互联网连接防火墙设备的安全策略配置要求包括哪几点？（ABCD）A、远程登录是否禁止telnet方式B、最后一条策略是否是拒绝一切流量C、是否存在允许anytoany的策略D、是否设置了管理IP，设备只能从管理IP登录维护12、防火墙的主要功能有哪些？（ABCD）A、过滤进、出网络的数据B、管理进、出网络的访问行为C、封堵某些禁止的业务，对网络攻击进行检测和报警D、记录通过防火墙的信息内容和活动13、防火墙的作用主要有（ABCD）。A、实现一个公司的安全策略B、创建一个阻塞点C、记录Internet活动D、限制网络暴露14、以下对于代理防火墙的描述正确的有（ABCD）。A、能够理解应用层上的协议B、时延较高，吞吐量低C、能做复杂一些的访问控制，并做精细的认证和审核D、可伸缩性较差15、在防火墙的“访问控制”应用中，内网、外网、DMZ三者的访问17、防火墙不能防止以下哪些攻击行为？（A、内部网络用户的攻击C、外部网络用户的IP地址欺骗18、在SSL握手协议的第一阶段需要用到哪些密钥？（A、客户方的读密钥B、客户方的写密钥关系为：（ABD）A、内网可以访问外网C、DMZ区可以访问内网16、防火墙主要有哪几种类型（A、包过滤防火墙C、双宿主主机防火墙B、内网可以访问DMZ区D、外网可以访问DMZ区ABC）。B、代理防火墙D、单宿主主机防火墙ABD）B、传送已感染病毒的软件和文件D、数据驱动型的攻击ABCD）C、服务器方的读密钥D、服务器方的写密钥19、下列哪些是Web浏览器面临的威胁？（ACD）A、浏览器的自动调用B、CGI漏洞C、重定向漏洞D、缓冲区溢出漏洞20、针对浏览器面临的威胁应该采取相应的安全策略，下面哪些是可采用的安全策略？（ABC）A、不要随便地增加外部程序B、取消对IE的非法限制C、尽量避免运行脚本和ActiveX选项D、使用RAS的回拨功能21、VPDN的应用形式（ABD）有A、LAN-LANB、WAN-LANC、WAN-WAND、VPDN22、VPN提供的功能包括（ABCD）A、防火墙功能B、认证C、加密D、隧道化23、下面关于GRE协议描述正确的是（BCD）。A、GRE协议是二层VPN协议B、GRE是对某些网络层协议（如：IP，IPX等）的数据报文进行封装，使这些被封装的数据报文能够在另一个网络层协议（如：IP）中传输C、GRE协议实际上是一种承载协议D、GRE提供了将一种协议的报文封装在另一种协议报文中的机制，使报文能够在异种网络中传输，异种报文传输的通道称为tunnel24、局域网间VPN技术可以在网络协议体系的各层上实现，主要包括（ABD）。A、链路层VPNB、网络层VPNC、传输层VPND、应用层VPN25、下列不属于CA认证中心的作用的是（AB）。A、加密数据B、安全管理C、证书发放D、证书管理26、下面是网络安全技术的有：（ABC）A、防火墙B、防病毒C、PKID、UPS27、一个典型的PKI应用系统包括（ABCD）实体。A、认证机构CAB、注册机构RAC、密钥和证书管理KCAD、用户端软件28、我国规定的计算机系统安全保护等级包括哪些？（ABC）A、用户自主保护级A、用户自主保护级B、系统审计保护级D、强制保护级D、强制保护级C、访问验证保护级29、信息安全的目标CIA指的是（ABD）。A、机密性B、完整性C、可靠性D、可用性30、下面属于常用安全产品的有（ABCD）。A、防火墙B、防病毒C、身份认证D、传输加密三、填空题1. 计算机网络安全的威胁主要包括以下3种类型：（非授权访问）、（信息泄露）、（拒绝服务）。2. 网络安全=事前（检查）+事中（防护）、（监测）、（控制）+事后（取证）。3. TBAC模型一般用五元组（S，O,P，L，AS）来表示，其中S表示（主体），0表示（客体），P表示（许可），L表示（生命期），AS表示（授权步）。4. RSA签名采用（公开）密钥算法，生成一对（公钥）和（私钥）。5. 常用的扫描方法有利用（网络命令）、（端口扫描）和（漏洞扫描）三种。6. 进程空间是由（正文段）、（数据段）、（用户态堆栈）、（核心态堆栈）、（进程的核心态空间）组成。7. 堆栈具有这样的特性，即最后一个入栈的元素，将是（最先）出栈的元素。新入栈的元素将总是放在当前的（栈顶）。不管什么时候，需要出栈时，总是从当前的（栈顶）取走一个元素。8.常见的拒绝服务攻击方法包括（广播风暴）、（SYN淹没）、（IP分段攻击）、（QoB攻击）、（分布式攻击）、（IIS上传攻击）9. Firewall就是位于内部网或Web站点与Internet之间的一个一个（路由器）和一台（计算机）。10. Firewall包括：（主机系统）、（路由器）、（网络安全策略）、（用于网络安全控制与管理的软硬件系统）等。11. 防火墙的体系结构：（双宿/多宿主机模式）、（屏蔽主机模式）（屏蔽子网模式）。12. Web是由（服务器）、（Web浏览器）、（通信协议）三个部分组成的开放式应用系统。13. 安全套接层协议（SSL）包括：（服务器认证）、（客户认证（可选）、（SSL链路上的数据机密性）、（SSL链路上的数据完整性）。14. Web服务器的安全结构包括：（基础设施区）、（网络协议区）、（服务区）、（应用区）、（操作系统区）。15. 目前流行的PKI信任模型主要有四种：（认证机构的严格层次结构）、（分布式信任结构）、（Web模型）、（以用户为中心的信任）典型的PKI系统应包括（支持PKI系统运行的软硬件系统）、（PKI策略）、（认证中心）、（注册机构）、（证书颁发机构）、（PKI应用接口系统）、（PKI应用）等基本内容。仃.在SSL中，分别采用了（对称密码）、（公钥密码）、（公钥密码中的数字签名技术）。18. 入栈和出栈操作由（CPU）执行（PUSH）和（POP）指令来实现特洛伊木马的服务器端程序可以驻留在（目标主机）上并以（后台）方式自动运行。19. 根据体系结构可将检测系统分为：（集中式）、（等级式）、（协作式）。20. VPN技术是一项利用公共网络来构建（虚拟专用网）的技术。21. 根据VPN的应用特点，可以将VPN划分为三种形式：（局域网与局域网间的VPN（LAN-LANVPN）、（局域网与广域网间的VPN（LAN-WANVPN）和（远程局域网访问的虚拟专用拨号网络VPDN(RAS-LANVPN)链路层上的VPN主要包括（覆盖）技术和（隧道）技术两种22. 将VPN体系结构的两种基本方法使用网络层路由结构并且每个分组都进行交换的方法，以及使用链路层电路并且每次流量都进行交换的方法，结合起来形成一种混合体系结构，这种混合体系结构叫做（多协议标签交换（MPLS）。25网络层的隧道技术主要包括（通用路由封装（GRE）和（隧道模式的IPSec）。26. GRE隧道通常配置在（源路由器）和（目的路由器）之间。27. VPDN使用的隧道协议有（第二层转发协议（L2F）、（点到点的隧道协议（PPTP）和（第二层隧道协议（L2TP）三种。28. 实现ExtranetVPN的典型技术是（SOCKSv5）。29. VPDN的设计基于两种基本结构:一种是由（客户端）发起的VPDN;四、判断题1. 链路加密是对网络层加密。（X）所有的身份认证机制都必须是双向认证。（X）2. 使用实体的特征或占有物可以用于交换认证。（V）UDP请求不属于常用的端口扫描技术。（X）3. 扫描器只能扫描到已被发现的漏洞，那些未被发现的漏洞是不能通过扫描器找到的。（V）缓冲区溢出是将一个超过缓冲区长度的字串拷贝到缓冲区的结果。超过缓冲区空间的字串覆盖了与缓冲区相邻的内存区域。（V）4. 经常检查当前正在运行的程序列表、可疑的日志文件、网卡的工作模式可以防止网络被监听。（V）5. IP欺骗是利用可信任服务器的IP地址向服务器发起攻击的。（X）主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。（V）静态包过滤在所有通信层上对包的地址、端口等信息进行判定控制。（X）6. SNAT用于对外部网络地址进行转换，对外部网络隐藏内部网络的结构，使得对内部的攻击更加困难；并可以节省IP资源，有利于降低成本。（X）SSL有三个子协议：握手协议、记录协议和警报协议。（V）7. 不能用SSL/TLS协议来访问网页。（X）8. 特权管理基础设施（PMI）不支持全面授权服务。（X）CA的功能有：证书发放、证书更新、证书撤销和证书验证。（V）9. PKI认证系统的客户端软件中，客户需要考虑证书的过期时间，并及时手动更新。（X）仃.广域网间VPN主要技术包括链路层VPN、网络层VPN、会话层VPN、应用层VPN技术。（X）SSL记录协议包括了记录头和记录数据格式的规定。（V）18. 根据Firewall所采用的技术特点可将其分为三种类型：包过滤技术Firewall、代理技术Firewall和检测技术Firewall（x）19. IMS的目标是将入侵检测、脆弱性分析，以及入侵防御等多种功能集成到一个平台上进行统一管理。（V）采用拒绝服务攻击方法时，攻击者需要获取目标主机的操作权限，才能对目标主机进行攻击。（X）20. 如果发现异常程序，只需要在文件中删除它们即可。（X）基于网络的扫描器则是用于检测其他主机的，它通过网络来检测其他主机上存在的漏洞现象。（V）入侵检测响应分主动响应和被动响应。（V）第三章第一节P6521. 认证主要用在执行有关操作时对操作者的身份进行证明。（V）篡改影响了数据的真实性。（X）22. 计算机网络安全的威胁主要是非授权访问和信息泄露。（X）美国TCSEC标准将安全等级分为4类8个级别。（V）23. 我国强制实施的计算机信息系统安全保护等级划分准测把计算机系统安全保护等级分为四级。(X)30.SSL安全协议用到了对称密钥加密技术和非对称密钥加密技术。(V)五、简答题1. 简述安全的Web服务需要保证的5项安全性要求。答：安全的Web服务需要保证以下的5项安全性要求。(1) 认证：提供某个实体(人或者系统)的身份的保证。(2)授权：保护资源以免对其进行非法的使用和操纵。(3) 机密性：保护信息不被泄漏或暴露给未授权的实体。(4) 完整性：保护数据以防止未授权的改变、删除或替代。(5)不可否认性：防止参与某次通信交换的一方事后否认本次交换曾经发生过2. 一个较为理想的入侵检测系统应具备的特征有哪些?答：一个较为理想的入侵检测系统应具备以下特征(1) 准确性。检测系统对发现的攻击行为不应出现误报和漏报现象。(2) 可靠性。一个检测系统对管理员应该是透明的,并且能在无人监控的情况下正确运行,只有这样才可以运行在被检测的系统环境中。(3) 容错性。检测系统必须具有良好的容错性,不论所监控的系统处于何种状态,检测系统本身必须具备完整性，保证检测用的知识库系统不会受到干扰和破坏。可用性。检测系统的整体性能不应受系统状态的变化而产生较大波动或严重降低（5）可验证性。检测系统必须允许管理员适时监视攻击行为。（6）安全性。检测系统应能保护自身安全和具有较强的抗欺骗攻击的能力。（7）可适应性。检测系统可随时跟踪系统环境的变化和及时调整检测策略。（8）灵活性。检测系统可根据具体情况，定制不同的且与防御机制相适应的使用模式。3. 简述网络监听软件的一般功能。答：网络监听软件有很多，但一般都包含以下功能：（1）选择源或目的IP地址，或者是IP地址的集合。（2）选择监听的端口号。（3）选择协议。（4）选择网络接口或网络设备。（5）对监听的数据包进行分析。4. 简述访问控制的功能。答：访问控制的功能主要有以下几项：（1）防止非法的主体进入受保护的网络资源。（2）允许合法用户访问受保护的网络资源。（3）防止合法的用户对受保护的网络资源进行非授权的访问。5. 根据自己的理解简述网络安全的含义。答：网络安全的含义就是通过各种计算机、网络、密码技术和信息安全技术、保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容具有控制能力。网络安全的结构层次包括物理安全、安全控制和安全服务6. 数据完整性机制的作用答：数据完整性机制有两个作用：一是用来保护单个数据单元的完整性；二是既保护单个数据单元的完整性，又保护一个连接的整个数据单元流序列的完整性。在一次连接上，连接开始时使用对等实体认证服务，并在连接的存活期使用数据完整性服务就可以为在此连接上传送的所有数据单一的来源提供认证，同时也为这些数据单元的完整性提供认证。另外使用标记（如顺序号）还可以检测数据单元的重复问题。7. Hash算法的工作方式。答：Hash算法的工作方式类似通信协议中的校验和：发信方将一个数据包的所有字节加起来，将和添加在包上；收信方执行同样的运算并比较两个和，以确定是否被正确地传输。8. 简述IMS技术的管理过程。答：IMS的目标是将入侵检测、脆弱性分析以及入侵防御等多种功能集成到一个平台上进行统一管理。IMS技术是一个管理过程，在未发生攻击时，IMS主要考虑网络中的漏洞信息，评估和判断可能形成的攻击和将面临的威胁；在发生攻击或即将发生攻击时，不仅要检测出入侵行为，还要主动响应和防御入侵行为；在受到攻击后，还要深入分析入侵行为，并通过关联分析来判断可能出现的下一个攻击行为。9. Firewall主要实现的功能有哪些。答：防火墙主要实现的功能有包过滤、审计和报警机制、远程管理、网络地址转换、代理、MAC地址与IP地址的绑定、流量控制（带宽管理）、统计分析、流量计费、VPN等。10. 简述Web服务的协议栈的结构。答：Web服务的协议栈结构包括服务发现：用来发现Web服务，由UDDI来处理的。服务描述：对Web服务进行自我描述。使用WSDL来进行服务描述服务调用：这一层的实质是基于XML的消息传递当前基于XML消息递的行业标准是简单对象访问协议（SimpleobjectAccessProtocol,SOAP）。SOAP是一种简单的轻量级的基于XML的机制，用来在应用程序之间进行结构化数据交换。SOAP可以和各种网络协议相结合使用。传输层：用来传送客户端和服务器之间的消息。这一层使用的协议通常是HTTP协议。理论上，我们可以使用任何网络协议，如FTP,SMTP,IIOP等，但目前使用最广泛的是HTTP协议。11. 包过滤Firewall的原理是什么？代理Firewall的原理是什么？这两种Firewall有什么区别？答：包过滤Firewall又称分组过滤路由器或网络级Firewall，它工作在网络层，数据包从源发地发出并需要穿过Firewall时，一般通过检查单个包的源地址、目的地址、所封装的协议（TCP和UDP等）、端口、ICMP包的类型、输入/输出接口等信息来决定是否允许此数据包穿过Firewall。代理Firewall又称网关，它通过编制的专门软件（代理软件）来弄清用户应用层的信息流量，并能在用户层和应用协议层间提供访问控制，还可用来保存一个所有应用程序使用的记录制，还可用来保存一个所有应用程序使用的记录代理Firewall后决定其能否穿过Firewall。12. SSL的工作过程？答：SSL安全协议用到了对称密钥加密技术和非对称密钥加密技术。它在服务器与客户通信过程中是按下面的步骤工作的：（1）客户采用建立在SSL安全协议之上的安全连接协议浏览安全网站。（2）Web服务器自动将服务器的公钥发送给客户端的浏览器，以让客户认证网站的真实身份。（3）客户的浏览器将产生唯一的对称密钥，用于加密和网站之间交流的所有信息。（4）客户浏览器先利用服务器提供的公钥将对称密钥进行加密，发送给服务器，这样只有服务器端的私钥才能将其解密。（5）至此一个加密的安全连接就建立了。建立的过程只需几秒钟，而且不需要客户进行任何操作，不同的浏览器在建立安全连接后有不同的标示，如果使用MicrosoftIE浏览器，在安全连接建立后，浏览器窗口的右下角将出现一把小锁。（6）在通信双方都有了对称密钥后，双方传输的所有数据都以对称密钥进行加密和解密。这样客户端和服务器端就建立了唯一的安全通道13. 什么是VPN?根据应用特点，可将VPN划分为哪三种形式？答：VPN即虚拟专用网络，是一项利用公共网络来构建虚拟专用网技术，用于构建VPN的公共网络可以是Internet，也可以是帧中继或ATM等。VPN被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。根据应用特点，分为局域网与局域网间的VPN、局域网与广域网间的VPN和远程局域网访问的虚拟专用拨号网络VPDN。14. 简单介绍PKI系统的基本架构。答：公钥基础设施（PKI）是一种建立在公钥密码理论、目录服务和数字证书技术基础上的具有通用性的安全服务框架。PKI是电子商务技术得以迅速发展和应用的关键，现已成为计算机信息安全技术的核心。基本的PKI系统至少包括以下内容：（1）认证机构（CA）（2）注册机构（RA）（3）策略管理（SA）（4）密钥和证书管理（KCA）15. CA是PKI的核心部分，它的功能是什么？它由哪几部分组成？答：概括的说CA的功能有：证书发放、证书更新、证书撤销和证书验证。CA为了实现其功能，主要由注册服务器、证书申请受理和审核机构、认证中心服务器三部分组成。专业资料可修改可编辑范文范例可行性研究报告指导范文