16.下列对Kerberos协议特点描述不正确的是:
A.协议采用单点登录技术,无法实现分布式网络环境下的认证
B.协议与授权机制相结合,支持双向的身份认证
C.只要用户拿到了TGT并且该TGT没有过期,就可以使用该TGT通过TGS完成到任一个服务器的认证而不必重新输入密码
D. AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS 和TGS的性能和安全
解析:Kerberos:网络认证协议
(Kerberos: Network Authentication Protocol)
Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos 作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
认证过程具体如下:客户机向认证服务器(AS)发送请求,要求得到某服务器的证书,然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为: 1) 服务器 “ticket” ; 2) 一个临时加密密钥(又称为会话密钥 “session key”) 。客户机将 ticket (包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝)传送到服务器上。会话密钥可以(现已经由客户机和服务器共享)用来认证客户机或认证服务器,也可用来为通信双方以后的通讯提供加密服务,或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。
上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时,数据库中的记录必须进行修改,如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器(Kerberos 管理器 KADM)间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝,这可以认为是执行过程中的细节问题,并且会不断改变以适应各种不同数据库技术。
Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止replay攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。Kerberos的扩展产品也使用公开密钥加密方法进行认证。
17..TACACS+协议提供了下列哪一种访问控制机制?
A.强制访问控制
B.自主访问控制
C.分布式访问控制
D.集中式访问控制
解析:百度百科
18.令牌(Tokens),智能卡及生物检测设备同时用于识别和鉴别,依据的是以下哪个原则?
A.多因素鉴别原则
B.双因素鉴别原则
C.强制性鉴别原则
D.自主性鉴别原则
19.下列对密网功能描述不正确的是:
A.可以吸引或转移攻击者的注意力,延缓他们对真正目标的攻击
B.吸引入侵者来嗅探、攻击,同时不被觉察地将入侵者的活动记录下来
C.可以进行攻击检测和实时报警
D.可以对攻击活动进行监视、检测和分析
20.路由器的标准访问控制列表以什么作为判别条件
A.数据包的大小
B.数据包的源地址
C.数据包的端口号
D.数据包的目的地址
21.安全审计是对系统活动和记录的独立检查和验证,以下哪一项不是审计系统的作用:
A.辅助辨识和分析未经授权的活动或攻击
B.对与已建立的安全策略的一致性进行核查
C.及时阻断违反安全策略的访问
D.帮助发现需要改进的安全控制措施
22.UDP 需要使用_地址,来给相应的应用程序发送用户数据报。
A.端口
B.应用程序
C.因特网
D.物理
23.下面对 WAPI 描述不正确的是:
A.安全机制由 WAI 和 WPI 两部分组成
B. WAI 实现对用户身份的鉴别
C. WPI 实现对传输的数据加密
D. WAI 实现对传输的数据加密
24.通常在设计 VLAN 时,以下哪一项不是 VLAN 的规划的方法?
A.基于交换机端口
B.基于网络层协议
C.基于 MAC 地址
D.基于数字证书
25.某个客户的网络现在可以正常访问 Internet 互联网,共有 200 台终端 PC 但此客户从 ISP(互
联网络服务提供商)里只获得了 16 个公有的 IPv4 地址, 最多也只有 16 台 PC 可以访问互联网,
要想让全部 200 台终端 PC 访问 Internet 互联网最好采取什么方法或技术:
A.花更多的钱向 ISP 申请更多的 IP 地址
B.在网络的出口路由器上做源 NAT
C.在网络的出口路由器上做目的 NAT
D.在网络的出口处增加一定数量的路由器