网络安全认证证书

篇一：身份认证的发展--网络信息安全

滨江学院

网络信息安全 课程论文

题 目

院 系 计算机系

年级班级

学生姓名

学 号

学 期

任课教师

二Ｏ一四 年 十二 月 一 日

身份认证的发展

摘要

随着全球化经济模式的出现以及科学技术的高速发展，网络技术应用越来越广泛，网络普及范围也随着发展。身份认证是保障网络安全的关键，目前主要的身份认证技术包括:基于口令的认证技术、基于智能卡的技术、基于密码的技术及基于生物特征的技术。同时身份认证技术是信息安全的核心技术之一，其任务是识别、验证网络信息系统中用户身份的合法性和真实性。对认证技术作了简要介绍，并对新兴技术：基于量子的认证技术、基于身份的认证技术、思维认证、行为认证、自动认证作了详细的阐述。

1 引言

信息安全的发展大致分为三个阶段：数据安全、网络安全、交易安全。数据安全依赖的基本技术是密码技术，网络安全依赖的基本技术是防护技术，交易安全是网络交易时代的最基本的安全，要求是可信性，为交易提供可信计算环境、可信网络连接、交易可信性证明，交易安全的基本技术是认证技术，它以可信性为主实施自愿型安全策略。身份认证技术是信息安全的核心技术之一。在网络世界中，要保证交易通信的可信和可靠，必须得正确识别通信双方的身份，于是身份认证技术的发展程度直接决定了信息技术产业的发展程度。

身份认证技术是能够对信息的收发方进行真实身份鉴别的技术，是保护信息安全的第一道大门，他的任务是识别、验证网络信息系统中用户身份的合法性和真实性和抗抵赖性。

2 身份认证技术

2.1身份认证的概括

身份认证技术是证实被证对象是否属实或是否有效的一个过程，其基本思想是通过验证被认证对象的属性来达到被认证对象是否真实有效的目的。主要通过

三种方式来判别：一是根据你所知道的信息来证明你的身份；二是根据你所拥有的东西来证明你的身份；三是直接根据你独一无二的身体特征来证明你的身份。当然也可以综合利用这三种方式来判别。身份认证技术的发展，经历了从软件认证到硬件认证，从单因子认证到双（多）因子认证，从静态认证到动态认证的过程。

常见的身份认证方法有：基于口令的鉴别方法；基于智能卡、令牌的鉴别方法；基于ＰＫＩ数字证书的鉴别方法。基于生物特征的鉴别方法（指纹，掌纹，虹膜，视网膜，面容，语音，签名等）；基于组合因子的鉴别方法等。其中，口令认证是最常用的方式，包括静态口令和动态口令两种；智能卡、令牌是一种内置集成电路的芯片，用来保存和用户身份相关的数据；数字证书是利用可信第三方来证明用户身份；生物特征认证则以人体唯一的、可靠的、稳定的生物特征为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别；组合因子认证是综合利用多种认证技术的优点进行组合认证。

2.2身份认证的含义

身份认证技术简单意义上来讲就是对通讯双方进行真实身份鉴别，也是对网络信息资源安全进行保护的第一个防火墙，目的就是验证辨识网络信息使用用户的身份是否具有真实性和合法性，然后给予授权才能访问系统资源，不能通过识别用户就会阻止其访问。由此可知，身份认证在安全管理中是个重点，同时也是最基础的安全服务。

2.3基于网络的身份认证

身份认证系统在安全系统中非常重要，虽然它是最基础的安全服务，但是另外的安全服务都需要它才能完成，只要身份认证系统受到攻击入侵，就会导致系统里的安全措施都无法产生作用，而黑客入侵的首要目标一般都是先攻破身份认证系统。但是因为网络连接具有复杂性、流动性等特点，在复杂的网络环境中会导致身份认证也变得复杂，分析网络运行时的各类因素，可得出在网络环境中的身份认证具有以下特点：

1.虽然在网络中使用身份认证技术后，提高了网络的安全性，但是因为身份

认证技术需要使用加密算法来实施复杂计算，就会导致出现实时性变差，降低了网络通信率。

2.身份认真系统在处于单机状态下无法很好的实现。

3.入侵者往往会通过对用户的通信通道上窃听出身份认证信息，从而非法获得合法用户的身份信息，并使用这些截取的身份信息入网。

4.因为使用者一般具有不稳定性和流动性，所以进行身份认证就必须要考虑到相对应的方式，就是确认用户身份进行认证时具有唯一性、完整性，防止出现用户身份冒充、伪造等情况，在此基础上也需要考虑到认证系统是否会对系统流畅运行带来影响。

2.4非生物认证技术

非生物认证一般是采用口令的认证方式，而现在传统的身份认证技术就是使用口令认证。口令认证方法具有简单性、操作性等特点。认证者首先需要拥有用户使用账号，还需要保证使用账号在用户数据库里是唯一的。而主要一般是两种口令的认证方式：一种是使用动态口令，用户在使用网络安全系统的时候，所需要输入的口令都是变化的，不会固定，每次都有变化，就算这次输入的口令被他人获得，但是下次却不可以再次使用。另一种是静态口令，使用用户经过系统设定和保存后，在指定的时间内不会发生变化，一个口令能够长期使用，这种口令相比于动态口令虽然操作简单，但是却没有动态口令安全。

3 发展趋势

3.1基于量子密码的认证技术

量子密码技术是密码学与量子力学相结合的产物，采用量子态作为信息载体，经由量子通道在合法用户之间传递密钥。

量子密码的安全性是由量子力学原理所保证。“海森堡测不准原理”是量子力学的基本原理，指在同一时刻以相同精度测定量子的位置与动量是不可能的，只能精确测定两者之一。“单量子不可复制定理”是“海森堡(Heisenberg)测不

准原理”的推论，它指在不知道量子状态的情况下复制单个量子是不可能的，因为要复制单个量子就只能先作测量，而测量必然改变量子的状态。量子密码技术可达到经典密码学所无法达到的两个最终目的：一是合法的通信双方可察觉潜在的窃听者并采取相应的措施；二是使窃听者无法破解量子密码，无论企图破解者有多么强大的计算能力。将量子密码技术的不可窃听性和不可复制性用于认证技术则可以用来认证通信双方的身份，原则上提供了不可破译、不可窃听和大容量的保密通讯体系。真正做到了通信的绝对安全。主要有三类量子身份认证的实现方案：基于量子密钥的经典身份认证系统，基于经典密钥的量子身份认证系统，纯量子身份认证系统。

3.2IBE技术

IBE 是一种将用户公开的字符串信息(例如邮件地址，手机号码，身份证号码等) 用作公钥的公钥加密方式。1984年Adi Shamir首先提出了实现该方式的可能性。2001 年美国斯坦福大学的Dan Boneh 和加利弗尼亚大学戴维斯分校的Matt Franklin 共同提出了具有开创性意义的基于标识的IBE 算法。

在基于证书的PKI管理系统中，证书撤销、保存、发布和验证需要占用较多资源,且管理复杂.这就限制了 PKI 在实时和低带宽的环境中的应用，而在基于身份的公钥密码系统中，公钥直接从用户的身份信息中获取，不需要可信第三方，能非常容易的实现认证的直接性，只需保留少量的公用参数而不需要保留大量用户数据，不需要数据库的支持，不需要单独的目录服务器来存储公钥，也不需要公钥的管理和认证问题，大大减少了系统的复杂度。

3.3思维认证技术

思维认证是一种全新的身份认证方式，他是以脑—机接口技术为基础，有望替代传统的身份认证方式。

脑—机接口技术(Brain-Computer Interface，BCI) 通过实时记录人脑的脑电波，在一定程度上解读人的思维信号。其原理是：当受试主体的大脑产生某种动作意识之后或者受到外界刺激后，其神经系统的活动会发生相应的改变。

这种变化可以通过一定的手段检测出来，并作为意识发生的特征信号。最吸

篇二：信息网络安全专业人员认证

信息网络安全专业人员认证（INSPC）

信息网络安全专业人员认证（INSPC），由公安部第三研究所、国家反计算机入侵和防病毒研究中心（下简称国家中心）主办，根据人事部《专业技术人才知识更新工程（“653工程”）实施方案》的通知（下简称653工程），公安部、人事部“关于开展信息网络安全专业技术人员继续教育工作的通知（公信安[2006]526号）”，为推动全国各省、自治区、直辖市的公安网监部门的信息网络安全专业技术人员。

INSPC认证是由国家反计算机入侵和防病毒研究中心首先发起，联合行业厂商、用户及培训机构单位共同推动的信息网络安全专业人员认证体系，包括公共基础、专业认证等内容。

篇三：网络安全工程师认证模拟试题及答案

1-5 DCCDE 6-10 DDCBC 11-15 DCDAA 16-20 DDDAD

第一部分 模拟试题

第一题 单项选择题(在每小题列出的四个选项中只有一个选项是符合题目要求的，请将正确选项前的字母

填在题后的括号内)

1、网络安全的基本属性是( D)。

A、机密性 B、可用性 C、完整性 D、上面3项都是

2、计算机病毒是计算机系统中一类隐藏在(C )上蓄意破坏的捣乱程序。

A、内存 B、软盘 C、存储介质 D、网络

3、密码学的目的是(C )。

A、研究数据加密 B、研究数据解密 C、研究数据保密 D、研究信息安全

4、网络安全是在分布网络环境中对(D )提供安全保护。

A、信息载体 B、信息的处理、传输 C、信息的存储、访问 D、上面3项都是

5、拒绝服务攻击的后果是(E )。

A、信息不可用 B、应用程序不可用 C、系统宕机 D、阻止通信

E、上面几项都是

6、对目标的攻击威胁通常通过代理实现，而代理需要的特性包括(D )。

A、访问目标的能力 B、对目标发出威胁的动机

C、有关目标的知识 D、上面3项都是

7、威胁是一个可能破坏信息系统环境安全的动作或事件，威胁包括( D)。

A、目标 B、代理 C、事件 D、上面3项都是

8、风险是丢失需要保护的( C)的可能性，风险是( )和( )的综合结果。

A、资产，攻击目标，威胁事件 B、设备，威胁，漏洞

C、资产，威胁，漏洞 D、上面3项都不对

9、一个组织的固定网络连接是由某些类型的(B )接入的。

A、无线通信线路 B、固定通信线路 C、通信子网 D、以上说法均不正确

10、最低级别的信息应该是(C )。

A、不公开的 B、加敏感信息标志的 C、公开的 D、私有的

11、下列对访问控制影响不大的是( D)。

A、主体身份 B、客体身份 C、访问类型 D、主体与客体的类型

12、基于通信双方共同拥有但是不为别人知道的秘密，利用计算机强大的计算能力，以该秘密作为加密和解密的密钥的认证是( C)。

A、公钥认证 B、零知识认证 C、共享密钥认证 D、口令认证

13、下面不属于PKI(公钥基础设施)的组成部分的是(D )。

A、证书主体 B、使用证书的应用和系统

C、证书权威机构 D、AS

14、Kerberos在请求访问应用服务器之前，必须( A)。

A、向Ticket Granting服务器请求应用服务器ticket

B、向认证服务器发送要求获得“证书”的请求

C、请求获得会话密钥

D、直接与应用服务器协商会话密钥

15、选择开发策略的次序，取决于评估阶段对(A )。

A、风险的识别 B、信息资产价值分析

C、文本检查的结果 D、网络信息安全服务

16、在网络安全处理过程的评估阶段，需要从3个基本源搜集信息，即对组织的员工调查、文本检查( D)。

A、风险分析 B、网络检验 C、信息资产价值分析D、物理检验

17、数据保密性安全服务的基础理论是( D)。

A、数据完整性机制 B、数字签名机制 C、访问控制机制 D、加密机制

18、在ISO7498-2中说明了访问控制服务应该采用(D )安全机制。

A、加密 B、路由管制 C、数字签名 D、访问控制

19、数据完整性有两个方面：单个数据单元或字段的完整性和(A )。

A、数据单元流或字段流的完整性 B、无连接完整性

C、选择字段无连接完整性 D、带恢复的连接完整性

20、以下不属于数据完整性的是( D)。

A、带恢复的连接完整性 B、无恢复的连接完整性

C、连接字段的连接完整性 D、选择字段连接完整性

21-25 CADCB 26-30 CBAAB 31-35 DDABD 36-40 DABBC

21、( C)提供OSI用户服务，例如事务处理程序、文件传送协议和网络管理协议。

A、网络层 B、表示层 C、应用层 D、会话层

22、在开放系统互连环境中，两个N层实体进行通信，它们可能用到的服务是(A )。

A、N-1层提供的服务 B、N层提供的服务 C、N+1层提供的服务 D、以上3项都不是

23、可以被数据完整性机制防止的攻击方式是(D )。

A、假冒源地址或用户的地址欺骗攻击 B、抵赖做过信息的递交行为

C、数据中途被攻击者窃听获取 D、数据在途中被攻击者篡改或破坏

24、以下不属于OSI安全管理活动的有( C)。

A、系统安全管理 B、安全服务管理 C、路由管理 D、安全机制管理

25、在OSI安全体系结构中有交付证明的抗抵赖的配置位置在OSI七层中的(B )。

A、第三层 B、第七层 C、第六层 D、第五层

26、(C )属于WEB中使用的安全协议。

A、PEM、SSL B、S-HTTP、S/MIME C、SSL、S-HTTP D、S/MIME、SSL

27、根据ISO7498-2的安全体系，将选择字段连接完整性映射至TCP/IP协议集中的( B)。

A、网络接口 B、应用层 C、传输层 D、网络接口

28、以下说法正确的是( A)。

A、NAT是将一个或多个地址转化为另一组地址

B、NAT不提供安全功能

C、网络层防火墙是把NAT作为其功能的一部分

D、NAT能够提供安全的保护

29、以下关于的通用结构的描述不正确的是(A )。

A、路由器和防火墙是一种通用结构 B、单个防火墙是一种通用结构

C、双防火墙是一种通用结构 D、以上说法均不正确

30、Internet接入的方案不包括(B )。

A、单线接入 B、NETBEUI接入

C、多线接入多个ISP D、多线接入单个ISP

31、对非军事区DMZ而言，最准确的描述是(D )。

A、 DMZ是一个非真正可信网络部分

B、DMZ网络访问控制策略决定允许或禁止进入DMZ通信

C、允许外部用户访问DMZ系统上合适的服务

D、以上3项都是

32、下列服务中，Internet不提供的服务有(D )。

A、HTTP服务 B、Telnet服务 C、Web服务 D、远程控制协议

33、电路级网关也被称为线路级网关，它工作在( A)。

A、会话层 B、应用层 C、表示层 D、物理层

34、防火墙是一种(B )隔离部件。

A、物理 B、逻辑 C、物理及逻辑 D、以上说法均不正确

35、防火墙最基本的功能是(D )。

A、内容控制功能 B、集中管理功能 C、全面的日志功能 D、访问控制功能

36、以下有关数据包过滤局限性描述正确的是(D )。

A、能够进行内容级控制 B、数据包过滤规则指定比较简单

C、过滤规则不会存在冲突或漏洞 D、有些协议不适合包过滤

37、PPTP客户端使用( A)建立连接。

A、TCP协议 B、UDP协议 C、L2TP协议 D、以上皆不是

38、GRE协议( B)。

A、既封装，又加密 B、只封装，不加密

C、只加密，不封装 D、不封装，不加密

39、属于第二层VPN隧道协议的有( B)。

A、Insect B、PPTP C、GRE D、以上皆不是

40、IKE协商的第一阶段可以采用( C)。

A、主模式、快速模式 B、快速模式、积极模式

C、主模式、积极模式 D、新组模式

41-45 CADCB 46-50 AACBA 51-55 BDCAD 56-60 CCACA

41、Insect协议和( C)VPN隧道协议处于同一层。

A、PPTP B、L2TP C、GRE D、以上皆是

42、下列协议中，(A )协议的数据可以受到Insect的保护。

A、TCP、UDP、IP B、ARP C、RARP D、以上皆可以

43、密码猜测技术的原理主要是利用( D)的方法猜测可能的明文密码。

A、遴选 B、枚举 C、搜索 D、穷举

44、根据影响攻击脚本的因素，可以确认服务器攻击难度分为(C )。

A、3级 B、4级 C、5级 D、6级

45、( B)主要是漏洞攻击技术和社会工程学攻击技术的综合应用。

A、密码分析还原技术 B、病毒或后门攻击技术

C、拒绝服务攻击技术 D、协议漏洞渗透技术

46、查找防火墙最简便的方法是( A)。

A、对特定的默认端口执行扫描 B、使用trace route这样的路由工具

C、ping扫射 D、以上均不正确

47、(A )只需要向目标网络的网络地址和／或广播地址发送一两个回显请求，就能够收到目标网络中所有存活主机的ICMP回显应答。

A、广播ICMF B、TCP C、ICMP D、非回显ICMP

48、( C)是IP层的一个组成部分，用来传递差错报文和其他需要注意的信息。

A、UDP扫射 B、TCP扫射 C、ICMI D、非同显ICMP

49、黑客在真正入侵系统之前，通常都不会先进行(B )工作。

A、扫描 B、窃取 C、踩点 D、查点

50、以下不是网络堆栈特征探测技术的是(A )。

A、IP报文响应分析 B、ICMP响应分析

C、被动特征探测 D、TCP报文延时分析

51、( B)为应用层提供一种面向连接的、可靠的字节流服务。

A、UDP扫射 B、TCP C、ICMP D、非回显ICMP

52、( D)是指计算机系统具有的某种可能被入侵者恶意利用的属性。

A、操作系统系统检测 B、密码分析还原

C、IPSec D、计算机安全漏洞

53、端口扫描最基本的方法是(C )。

A、TCP ACK扫描 B、TCP FIN扫描

C、TCF connet()扫描 D、FTP反弹扫描

54、主机文件检测的检测对象不包括(A )。

A、数据库日志 B、系统日志 C、文件系统 D、进程记录

55、关于基于网络的入侵检测系统的优点描述不正确的是 ( D)。

A、可以提供实时的网络行为检测 B、可以同时保护多台网络主机

C、具有良好的隐蔽性 D、检测性能不受硬件条件限制

56、关于基于网络的入侵检测系统的特点的说明正确的是(C )。

A、防入侵欺骗的能力通常比较强 B、检测性能不受硬件条件限制

C、在交换式网络环境中难以配置 D、不能处理加密后的数据

57、目前病毒识别主要采用( C)和( )。

A、特征判定技术，静态判定技术 B、行为判定技术，动态判定错误

C、特征判定技术，行为判定技术 D、以上均不正确

58、传染条件的判断就是检测被攻击对象是否存在(A )。

A、感染标记 B、潜伏标记 C、表现标记 D、繁殖标记

59、计算机病毒主要由( C)等三种机制构成。

A、潜伏机制、检测机制、表现机制 B、潜伏机制、传染机制、检测机制

C、潜伏机制、传染机制、表现机制 D、检测机制、传染机制、表现机制

60、以下不属于UNIX系统安全管理的主要内容的是(A )。

A、扫描端口漏洞 B、防止未授权存取

C、防止泄密 D、防止丢失系统的完整性

61-65 CDDAB 66-70 DDBCA 71-75 DCDBA 76-80 DBDCA

61、(C )是指网络操作系统平台，即网上各计算机能方便而有效的共享网络资源，为网络用户提供所需的各种服务软件和有关规定的集合。

A、安全策略 B、漏洞分析机制

C、系统平台 D、软件防火墙

62、以下不属于网络系统平台的是( D)。

A、Netware B、UNIX C、Linux D、MaC 0S X

63、(D )是应用安全服务的信任基础，( )是应用安全服务的具体实现，( )应是

对PKI的全面理解。

A、Camas，Alas，CA B、Camas，CA，Alas

C、AAs，CA+AAs，CA D、CA，AAs，CA+AAs

64、(A )即非法用户利用合法用户的身份，访问系统资源。

A、身份假冒 B、信息窃取 C、数据篡改 D、越权访问

65、应用安全服务包括(B )、机密性服务、完整性服务、访问控制服务、抗否认服务、审计跟踪服务和安全管理服务。

A、连接机密性服务 B、鉴别服务

C、无连接完整性 D、有交付证明的抗抵赖服务

66、计算机系统的鉴别包括(D )。

A、用户标识认证 B、传输原发点的鉴别

C、内容鉴别及特征检测 D、以上3项都正确

67、技术安全需求集中在对( D)的控制上，而技术安全控制的主要目标是保护组织信息资产的( D )。

A、计算机系统，完整性 B、网络系统，可用性

C、应用程序，机密性 D、上面3项都是

68、( B)与( )能使企业在发生重大破坏事件时保持正常的经营业务的运行。

A、BIA，BCP B、BCP， DRP

C、BIA，DRP D、上面3项都是

69、安全威胁可分为外部安全威胁与内部安全威胁两类。由威胁引起的损失可分为直接损失与间接损失两类。根据美国CsI／FBI的统计资料，大部分严重的经济损失来自( C)安全威胁，而( )损失又占总损失的大部分。

A、外部，间接 B、内部，间接

C、内部，直接 D、外部，直接

70、在对一个大的企业定义安全需求时，首先应完成(A )，弄明白业务功能丢失或降低的影响。

A、BCP B、CIRT C、BIA D、DRP

71、安全基础设施的主要组成是( D)。

A、网络和平台 B、平台和物理设施

C、物理设施和处理过程 D、上面3项都是

72、KMI／Pal支持的服务不包括(B )。

A、非对称密钥技术及证书管理 B、对称密钥的产生和分发

C、访问控制服务 D、目录服务

73、安全设计是(D )，一个安全基础设施应提供很多安全组件的( )使用。

A、一门艺术，各种 B、一门科学，协同

C、一项工程，分别 D、艺术、科学和工程集成于一体，协同

74、PKI的主要组成不包括(C )。

A、证书授权CA B、SSL C、注册授权RA D、证书存储库CR

75、PKI管理对象不包括(A )。

A、ID和口令 B、证书 C、密钥 D、证书撤销列表

76、所有信息安全管理活动都应该在统一的(D )指导下进行。

A、风险评估原则 B、应急恢复原则 C、持续发展原则 D、策略

《网络安全认证证书》出自：百味书屋
链接地址：http://www.850500.com/news/132069.html
转载请保留,谢谢!