商用密码应用安全性评估从业人员考核题库(1951-2000题)
1951.多项选择题 | 在GM/T 0121《密码卡检测规范》中,哪些不属于硬件板卡设备的功能()。
A. 自身安全防护
B. 密钥管理
C. 密码运算功能
D. DDoS
本题的正确答案是 D. DDoS
解析:
在GM/T 0121《密码卡检测规范》中,硬件板卡设备(密码卡)的核心功能包括自身安全防护、密钥管理和密码运算功能。
-
DDoS(分布式拒绝服务攻击)是一种网络攻击手段,并非密码卡的功能。
-
A、B、C选项均为密码卡的标准功能。
1952.多项选择题 | 在GM/T 0121《密码卡检测规范》中,密码卡检测项目可包括()。
A. 功能检测
B. 性能检测
C. 安全性检测
D. 虚拟化检测
本题的正确答案是 A. 功能检测、B. 性能检测、C. 安全性检测、D. 虚拟化检测
解析:
根据GM/T 0121《密码卡检测规范》,密码卡的检测项目全面覆盖了功能、性能、安全性及虚拟化等方面。
- 所有选项均属于密码卡检测的范畴。
1953.多项选择题 | 在GM/T 0121《密码卡检测规范》中,在初始状态下,密码卡可()。
A. 读取设备信息
B. 添加管理员、操作员
C. 生成设备密钥对和保护密钥
D. 恢复设备密钥对和保护密钥
本题的正确答案是 A. 读取设备信息、B. 添加管理员、操作员、C. 生成设备密钥对和保护密钥、D. 恢复设备密钥对和保护密钥
解析:
在GM/T 0121《密码卡检测规范》定义的初始状态下,密码卡支持读取设备信息、添加管理员和操作员、生成或恢复设备密钥对及保护密钥等操作。
- 所有选项均为初始状态下允许的操作。
1954.多项选择题 | 在GM/T 0121《密码卡检测规范》中,在就绪状态下,密码卡不能执行()操作。
A. 满足权限时,能够提供用户密钥管理和密码运算等功能
B. 通过删除操作员使密码卡进入初始状态
C. 生成设备密钥对和保护密钥的生成操作
D. 恢复设备密钥对和保护密钥的操作
本题的正确答案是 B. 通过删除操作员使密码卡进入初始状态、C. 生成设备密钥对和保护密钥的生成操作、D. 恢复设备密钥对和保护密钥的操作
解析:
在GM/T 0121《密码卡检测规范》定义的就绪状态下,密码卡的操作受到严格限制:
-
A选项是就绪状态下的正常功能。
-
B选项错误,删除操作员不能使密码卡恢复到初始状态,注释中也明确了这一点。
-
C、D选项错误,设备密钥对和保护密钥的生成与恢复操作只能在初始状态下进行,就绪状态下不允许执行。
1955.多项选择题 | 在GM/T 0121《密码卡检测规范》中,密码卡应采用加密等安全方式实现()导入。
A. 用户密钥的加密密钥对
B. 设备密钥的加密密钥对
C. 密钥加密密钥
D. 会话密钥
本题的正确答案是 A. 用户密钥的加密密钥对、B. 设备密钥的加密密钥对、C. 密钥加密密钥、D. 会话密钥
解析:
根据GM/T 0121《密码卡检测规范》,为保证密钥安全,用户密钥对、设备密钥对、密钥加密密钥和会话密钥的导入均应采用加密等安全方式。
- 所有选项均需通过加密方式导入。
1956.多项选择题 | 在GM/T 0121《密码卡检测规范》中,密码卡的随机数质量检测应满足()自检要求。
A. 上电/复位自检
B. 周期自检
C. 单次自检
D. 接受指令后的自检
本题的正确答案是 A. 上电/复位自检、B. 周期自检、C. 单次自检、D. 接受指令后的自检
解析:
在GM/T 0121《密码卡检测规范》中,密码卡的随机数质量检测需要支持多种自检方式,以确保其可靠性。
- 所有选项均为规范要求的自检方式。
1957.多项选择题 | 在GM/T 0121《密码卡检测规范》中,密码卡的性能检测应包括()。
A. 随机数产生性能
B. 密钥产生性能
C. 加解密、签名性能
D. 杂凑运算性能
本题的正确答案是 A. 随机数产生性能、B. 密钥产生性能、C. 加解密、签名性能、D. 杂凑运算性能
解析:
根据GM/T 0121《密码卡检测规范》,密码卡的性能检测全面覆盖了其核心运算能力,包括随机数、密钥、加解密/签名及杂凑运算的性能。
- 所有选项均属于性能检测的范畴。
1958.多项选择题 | 在GM/T 0121《密码卡检测规范》中,下列关于密码卡驱动程序检测要求描述正确的包括()。
A. 在指定的操作系统中应能够正确地安装和卸载
B. 宜支持多个密码卡设备同时使用和操作
C. 宜与密码卡具备安全绑定机制
D. 不可支持多个密码卡设备同时使用和操作
本题的正确答案是 A. 在指定的操作系统中应能够正确地安装和卸载、B. 宜支持多个密码卡设备同时使用和操作、C. 宜与密码卡具备安全绑定机制
解析:
在GM/T 0121《密码卡检测规范》中,对密码卡驱动程序的要求包括:
-
A选项,驱动程序必须能在指定操作系统中正确安装和卸载。
-
B选项,驱动程序宜支持多设备同时操作,而非不可支持,故D选项错误。
-
C选项,驱动程序宜与密码卡建立安全绑定机制。
1959.判断题 | 在GM/T 0121《密码卡检测规范》中,密码卡应支持至少一种密码杂凑算法,宜支持GB/T 15852.1规定的HMAC。杂凑函数采用SM3算法时,其实现应符合GB/T 32905要求。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述完全符合GM/T 0121《密码卡检测规范》中关于杂凑算法的要求。密码卡需支持至少一种杂凑算法,宜支持HMAC,且SM3算法的实现需符合对应国家标准。
1960.判断题 | 在GM/T 0121《密码卡检测规范》中,除用户私钥、设备私钥外,其他密钥可以以明文的形式出现在密码卡外部。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
根据GM/T 0121《密码卡检测规范》,所有密钥(包括用户私钥、设备私钥及其他密钥)均不得以明文形式出现在密码卡外部,以保证密钥安全。
- 该表述不符合规范要求。
1961.判断题 | 在GM/T 0121《密码卡检测规范》中,密码卡应支持产生自身的用户密钥对和设备密钥对的加密密钥对。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
在GM/T 0121《密码卡检测规范》中,设备密钥对通常在初始化时生成,而用户密钥对等可以由外部生成后导入,并非所有密钥对都由密码卡自身产生。
- 该表述过于绝对,不符合规范要求。
1962.判断题 | 在GM/T 0121《密码卡检测规范》中,应支持以密文等安全形式备份密码卡内部长期存储的用户密钥对和密钥加密密钥;应支持将备份的密钥恢复到密码卡;同厂商同型号的密码卡之间应支持互相备份恢复;备份恢复只能在密码卡内进行。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述准确描述了GM/T 0121《密码卡检测规范》中关于密钥备份与恢复的安全要求,包括以密文形式备份、同厂商同型号互备及操作范围限制。
1963.判断题 | 在GM/T 0121《密码卡检测规范》中,若密码卡采用微电保护措施存储密钥,应具备销毁密钥的触发装置,密码卡触发销毁后,应立即清除微电保护存储的所有密钥,采用微电保护的密钥可以不加密。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述符合GM/T 0121《密码卡检测规范》的要求。采用微电保护的密钥因有物理防护,可不加密,但必须具备销毁触发装置以应对安全事件。
1964.判断题 | 在GM/T 0121《密码卡检测规范》中,密码卡应支持权限配置、访问控制配置等管理功能。应至少支持管理员。各角色应持有表征身份信息的硬件装置。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述准确反映了GM/T 0121《密码卡检测规范》中关于权限管理和身份认证的要求,以确保操作安全可控。
1965.判断题 | 在GM/T 0121《密码卡检测规范》中,用户密钥对和设备密钥对的公钥不能被导出到密码卡外使用;会话密钥的导出应采用加密等安全方式实现。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
在GM/T 0121《密码卡检测规范》中,用户密钥对和设备密钥对的公钥是可以导出到密码卡外使用的,用于验证等场景。
- 该表述中关于公钥不能导出的部分是错误的。
1966.判断题 | 在GM/T 0121《密码卡检测规范》中,密码卡应至少具备PCI、PCI-E、Mini PCI-E、SATA/SAS或PCIe M.2等接口的一种,且物理接口能正常工作。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述符合GM/T 0121《密码卡检测规范》中对密码卡硬件接口的要求,确保其能与主流设备兼容。
1967.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,在IPSec VPN中,可以为用户数据提供加密功能的协议是()。
A. AH
B. ESP
C. SM3
D. ISAKMP
本题的正确答案是 B. ESP
解析:
在IPSec VPN技术规范中:
-
ESP(封装安全载荷)协议可以为IP数据报提供加密、完整性校验和身份认证等安全服务。
-
AH(认证头)协议只提供完整性校验和身份认证,不提供加密功能。
-
SM3是杂凑算法,ISAKMP是密钥交换框架,均不直接对用户数据加密。
1968.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN实现的安全技术不包括()。
A. 隧道技术
B. 加密技术
C. 身份认证技术
D. 入侵检测技术
本题的正确答案是 D. 入侵检测技术
解析:
IPSec VPN的核心安全技术包括隧道技术、加密技术和身份认证技术。
- 入侵检测技术(IDS)是一种独立的网络安全技术,不属于IPSec VPN本身实现的安全技术。
1969.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,以下关于IPSec VPN中的AH协议的功能说法错误的是()。
A. 支持数据完整性
B. 支持防报文重放
C. 支持报文的加密
D. 支持数据源验证
本题的正确答案是 C. 支持报文的加密
解析:
AH(认证头)协议在IPSec VPN中提供数据完整性、数据源验证和防重放功能,但不提供报文加密功能。
- 报文加密是ESP协议的功能。
1970.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,下列有关IPSec VPN中AH协议和ESP协议对NAT穿越支持的描述,错误的是()。
A. 在传输模式下AH协议不能穿越NAT网关
B. 在传输模式下ESP协议能否穿越NAT网关取决于原IP
C. 在隧道模式下AH协议不能穿越NAT网关
D. 在隧道模式下ESP协议不能穿越NAT网关
本题的正确答案是 D. 在隧道模式下ESP协议不能穿越NAT网关
解析:
在IPSec VPN中:
-
AH协议由于对整个IP包进行完整性校验,在传输和隧道模式下均不能穿越NAT网关。
-
ESP协议在隧道模式下是可以穿越NAT网关的,因此D选项的描述是错误的。
1971.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,完整的IPSecVPN密钥交换协议中,快速模式用来建立IPSec SA,对于快速模式的描述下面哪个是错误的()。
A. 基于一个ISAKMP SA的多个快速模式不能并行进行,否则会出现混乱
B. ISAKMP头中的MsgID唯一标识了一个正在进行中的快速模式的会话密钥协商过程
C. 快速模式的密钥交换ID缺省定义为对IPSec SA ID为对应的IP地址,并且没有强制规定允许的协议或端口号
D. 在通信双方之间有多条隧道同时存在的情况下,身份标识IPSec SA标识并规定通信数据流进入对应的隧道
本题的正确答案是 A. 基于一个ISAKMP SA的多个快速模式不能并行进行,否则会出现混乱
解析:
在IPSec VPN的密钥交换中,基于一个ISAKMP SA是可以并行进行多个快速模式的,以建立不同的IPSec SA。
-
A选项的描述是错误的。
-
B、C、D选项均为对快速模式的正确描述。
1972.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,关于IPSecVPN产品的密钥更新要求,以下说法错误的是()。
A. IPSec VPN产品应具有根据时间周期和报文流量两种条件进行工作密钥和会话密钥的更新功能
B. IPSec VPN产品必须同时实现根据报文流量和时间两种条件进行密钥更新的能力
C. 工作密钥的最大更新周期不大于24小时
D. 会话密钥的最大更新周期不大于1小时
本题的正确答案是 B. IPSec VPN产品必须同时实现根据报文流量和时间两种条件进行密钥更新的能力
解析:
根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN产品应支持根据时间周期和报文流量两种条件进行密钥更新,但并非必须同时实现这两种能力。
-
B选项的描述过于绝对,是错误的。
-
A、C、D选项均为规范中的正确要求。
1973.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,关于IPSecVPN实现的安全报文封装,以下说法错误的是()。
A. 安全报文封装协议包括AH协议和ESP协议
B. AH协议应与ESP协议套使用
C. 当AH与ESP协议套使用时,可以启用ESP协议中的验证操作
D. 当ESP协议单独使用时,可以协商采用可鉴别的GCM加密机制实现可鉴别能力
本题的正确答案是 C. 当AH与ESP协议套使用时,可以启用ESP协议中的验证操作
解析:
在IPSec VPN中,当AH与ESP协议套用时,应使用AH协议提供验证功能,而不应启用ESP协议中的验证操作,以避免功能重叠和安全隐患。
-
C选项的描述是错误的。
-
A、B、D选项均为规范中的正确描述。
1974.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,关于VPN产品密钥的配置,以下说法错误的是()。
A. VPN产品所使用的设备密钥是非对称密钥,包括签名密钥对和加密密钥对
B. VPN产品所使用的签名密钥对由IPSec VPN产品自身产生,其公钥证书由CA认证机构签发,并导入到VPN产品中
C. VPN产品所使用的加密密钥对可以由CA的密钥管理系统产生,也可以由设备自身产生
D. VPN产品所使用的加密密钥对应的公钥加密证书应由第三方CA认证机构签发,并导入到VPN产品中
本题的正确答案是 C. VPN产品所使用的加密密钥对可以由CA的密钥管理系统产生,也可以由设备自身产生
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,加密密钥对需要由外部密钥管理机构生成并导入,不能由设备自身产生。
-
C选项的描述是错误的。
-
A、B、D选项均为规范中的正确要求。
1975.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSEC VPN实现中,应支持以下哪种密码算法以实现对消息源的认证()。
A. IDEA
B. AES
C. SM3
D. DES
本题的正确答案是 C. SM3
解析:
在IPSec VPN中,消息源认证通常通过杂凑算法实现。
-
SM3是我国商用密码杂凑算法,可用于实现消息认证。
-
IDEA、AES、DES均为对称加密算法,主要用于数据加密,而非消息源认证。
1976.多项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,IPSec VPN安全协议栈中,包括以下哪些协议()。
A. GRE
B. ESP
C. IKE
D. AH
本题的正确答案是 B. ESP、C. IKE、D. AH
解析:
IPSec VPN的安全协议栈主要包括:
-
AH(认证头)和ESP(封装安全载荷):用于提供IP层的安全服务。
-
IKE(互联网密钥交换):用于协商和管理安全联盟(SA)及密钥。
-
GRE是通用路由封装协议,不属于IPSec安全协议栈。
1977.多项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSec中的AH协议和ESP协议,均支持以下哪些封装模式()。
A. 隧道模式
B. 交换模式
C. 传输模式
D. 路由模式
本题的正确答案是 A. 隧道模式、C. 传输模式
解析:
IPSec中的AH和ESP协议均支持两种封装模式:
-
传输模式:用于保护两台主机之间的端到端通信。
-
隧道模式:用于保护两个安全网关之间或网关与主机之间的通信,常用于VPN场景。
-
交换模式和路由模式并非IPSec的封装模式。
1978.单项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN在OSI模型的()层进行加密。
A. 网络层
B. 传输层
C. 应用层
D. 数据链路层
本题的正确答案是 A. 网络层
解析:
IPSec(互联网协议安全)是工作在OSI模型的**网络层(IP层)**的安全协议,用于为IP数据包提供安全保护。
1979.多项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,下列选项中,属于IPSec VPN的ESP协议所提供服务是()。
A. 无连接的数据完整性验证
B. 数据源身份认证
C. 数据报加密
D. 防重放攻击
本题的正确答案是 A. 无连接的数据完整性验证、B. 数据源身份认证、C. 数据报加密、D. 防重放攻击
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,ESP协议可以提供数据完整性验证、数据源认证、数据加密和防重放攻击等多种安全服务。
- 所有选项均为ESP协议提供的服务。
1980.多项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN实现支持下列哪些类别的密钥()。
A. 设备密钥
B. 工作密钥
C. 会话密钥
D. 用户密钥
本题的正确答案是 A. 设备密钥、B. 工作密钥、C. 会话密钥
解析:
在IPSec VPN中,主要涉及的密钥类别包括:
-
设备密钥:用于身份认证和签名。
-
工作密钥:用于保护IKE等密钥交换过程。
-
会话密钥:用于保护IPSec SA中的数据传输。
-
用户密钥并非IPSec VPN的标准密钥类别。
1981.多项选择题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN在协商NAT穿越时,需要完成以下工作:()。
A. 判断通信双方是否支持NAT穿越
B. 检测双方之间的路径上是否存在NAT
C. 决定如何使用UDP封装来处理NAT穿越
D. 协商NAT穿越时使用的UDP端口号
本题的正确答案是 A. 判断通信双方是否支持NAT穿越、B. 检测双方之间的路径上是否存在NAT、C. 决定如何使用UDP封装来处理NAT穿越
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,IPSec VPN在协商NAT穿越时,需要先判断双方是否支持,检测路径上是否存在NAT设备,然后决定如何使用UDP封装来处理穿越。
- 协商使用的UDP端口号(通常为4500或500)是标准规定,并非需要协商的内容,故D选项错误。
1982.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,在IPSecVPN的数据报报文传输阶段,AH封装协议可以单独使用。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,AH协议不能单独使用,通常需要与ESP协议配合,或在特定场景下使用。
- 该表述不符合规范要求。
1983.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSecVPN中,VPN设备的签名密钥对由设备自己生成。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,VPN设备的签名密钥对由IPSec VPN产品自身产生,其公钥证书由外部CA机构签发。
1984.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,IPSecVPN中,VPN设备的加密密钥对由VPN设备自己生成。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,加密密钥对需要由外部密钥管理机构产生并由外部认证机构签发证书,然后导入到VPN设备中,不能由设备自身生成。
1985.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,密钥交换协议的协议报文应使用UDP协议500或4500端口进行传输。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,密钥交换协议(如IKE)的报文使用UDP协议的500或4500端口进行传输。
1986.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,快速模式用于IPSecVPN密钥交换协议的第二阶段交换,实现通信双方IPSec安全联盟的协商,确定通信双方的IPSec安全策略及会话密钥。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述准确描述了IPSec VPN密钥交换协议中快速模式的作用,即第二阶段交换,用于协商IPSec SA和会话密钥。
1987.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,密钥交换协议消息由一个定长的消息头和固定数量的载荷组成。
A. 正确
B. 错误
本题的正确答案是 B. 错误
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,密钥交换协议消息由一个定长的消息头和不定数量的载荷组成,而非固定数量。
1988.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,NAT_DRD载荷用于检测两个密钥交换通信方之间是否存在NAT设备,以及检测NAT设备的确切位置。本载荷的类型值为20。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
该表述准确描述了NAT_DRD载荷的功能和类型值,符合GM/T 0022《IPSec VPN技术规范》的要求。
1989.判断题 | 根据GM/T 0022《IPSec VPN技术规范》,在第二阶段的密钥交换过程中,快速模式交换的信息由ISAKMP SA来保护,除了ISAKMP头以外,所有的载荷都处于加密状态。
A. 正确
B. 错误
本题的正确答案是 A. 正确
解析:
在第二阶段的快速模式交换中,所有载荷(除ISAKMP头外)都由第一阶段建立的ISAKMP SA进行加密保护,以确保交换信息的安全。
1990.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,()用于实现密钥协商。
A. AH协议
B. ESP协议
C. ISAKMP协议
D. SSL协议
本题的正确答案是 C. ISAKMP协议
解析:
在IPSec VPN中:
-
ISAKMP(互联网安全关联和密钥管理协议)是IKE协议的基础框架,用于实现密钥协商和安全联盟的管理。
-
AH和ESP协议用于数据保护,SSL协议属于应用层安全协议,与IPSec密钥协商无关。
1991.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,()模式用于IPSec协议的第一阶段交换。
A. 主模式
B. 快速模式
C. 主模式或快速模式
D. 以上都不对
本题的正确答案是 A. 主模式
解析:
在IPSec VPN的密钥交换中:
-
主模式用于第一阶段交换,实现通信双方的身份鉴别和密钥交换,得到工作密钥。
-
快速模式用于第二阶段交换,协商IPSec SA和会话密钥。
1992.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,()协议可用于提供机密性。
A. AH协议
B. ESP协议
C. IKE协议
D. 以上都可以
本题的正确答案是 B. ESP协议
解析:
在IPSec VPN中:
-
ESP协议可以提供数据加密,从而实现机密性。
-
AH协议不提供加密功能,IKE协议用于密钥协商,不直接提供数据机密性。
1993.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,应使用()非对称算法密钥对。
A. 加密密钥对
B. 签名密钥对
C. 加密密钥对和签名密钥对
D. 加密密钥对或签名密钥对
本题的正确答案是 C. 加密密钥对和签名密钥对
解析:
根据GM/T 0022《IPSec VPN技术规范》,IPSec VPN应同时使用加密密钥对和签名密钥对,分别用于实体验证、数字签名和数据加密等场景。
1994.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,()用于抵抗重放攻击。
A. 安全联盟SA
B. 安全参数索引SPI
C. 初始化向量IV
D. 序列号
本题的正确答案是 D. 序列号
解析:
在IPSec VPN中,序列号是一个无符号的32位单调递增计数器,发送方对使用该SA的每个数据报文进行计数,接收方必须检测这个字段来实现SA的抗重放攻击服务。
1995.多项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,IPSec VPN需要使用()密码算法。
A. 非对称密码算法
B. 对称密码算法
C. 密码杂凑算法
D. PRP算法
本题的正确答案是 A. 非对称密码算法、B. 对称密码算法、C. 密码杂凑算法、D. PRP算法
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,IPSec VPN使用国家密码管理主管部门批准的非对称密码算法、对称密码算法、密码杂凑算法、PRP算法和随机数生成算法。
- 所有选项均为IPSec VPN所需的密码算法类型。
1996.多项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,IPSec VPN需要使用()类型的密钥。
A. 设备密钥
B. 工作密钥
C. 会话密钥
D. 存储密钥
本题的正确答案是 A. 设备密钥、B. 工作密钥、C. 会话密钥
解析:
在IPSec VPN中,主要使用的密钥类型包括:
-
设备密钥:用于身份认证。
-
工作密钥:用于保护密钥交换过程。
-
会话密钥:用于保护数据传输。
-
存储密钥并非IPSec VPN的标准密钥类型。
1997.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,密钥交换协议使用()网络协议进行报文传输。
A. TCP协议
B. UDP协议
C. SSL协议
D. Http协议
本题的正确答案是 B. UDP协议
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,密钥交换协议(如IKE)的报文使用UDP协议进行传输,通常使用500或4500端口。
1998.多项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,AH协议可提供()安全服务。
A. 数据保密性
B. 数据完整性
C. 数据源鉴别
D. 抗重放攻击服务
本题的正确答案是 B. 数据完整性、C. 数据源鉴别、D. 抗重放攻击服务
解析:
根据GM/T 0022《IPSec VPN技术规范》及注释,AH协议是IPSec的一种协议,用于提供IP数据包的数据完整性、数据源鉴别以及抗重放攻击的功能,但不提供数据保密性(加密)功能。
- A选项数据保密性是ESP协议的功能。
1999.单项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,AH协议不提供()安全服务。
A. 数据机密性
B. 数据完整性
C. 数据源鉴别
D. 抗重放攻击服务
本题的正确答案是 A. 数据机密性
解析:
AH协议不提供数据加密功能,因此不提供数据机密性服务。
- B、C、D选项均为AH协议提供的安全服务。
2000.多项选择题 | 在GM/T 0022《IPSec VPN技术规范》中,安全联盟SA由一个三元组唯一标识,该三元组包括()。
A. 安全参数索引SPI
B. 源IP地址
C. 目的IP地址
D. 安全协议标识符
本题的正确答案是 A. 安全参数索引SPI、C. 目的IP地址、D. 安全协议标识符
解析:
在IPSec VPN中,一个安全联盟(SA)由三元组唯一标识:
-
安全参数索引(SPI):一个32位的值,用于标识SA。
-
目的IP地址:SA的终点地址。
-
安全协议标识符:标识该SA使用的是AH还是ESP协议。