菜单

1月6日 密码模块(多选)解析

把泪流进心里 发布于 2026-01-12 / 0 阅读 / 0 评论 /

这是一个关于随机数发生器(RNG)的专项题库解析,涵盖了GM/T 0078(物理随机数)、GM/T 0105(软件随机数)、GM/T 0103(总体框架)以及GM/T 0062(检测要求)等核心国密标准。

随机数发生器题库解析(1-22题)

  1. 答案:ABCD

解析: 考查 GM/T 0078 中关于物理随机数后处理算法的分类。

  • 轻量级算法:指计算复杂度低、硬件实现简单的算法。

  • A 正确:冯·诺依曼校正器(Von Neumann Corrector)是经典的去除偏差方法。

  • B 正确:异或链(XOR Chain)通过异或多个位来降低偏差。

  • C/D 正确:奇偶分组和 m-LSB(保留最低有效位)也是低消耗的去偏手段。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 后处理 -> 轻量级(冯诺依曼/异或/LSB)。

  1. 答案: cd
    解析: 考查 GM/T 0078 中相位抖动(Phase Jitter)的实现模型。
    标准原文关键内容
    根据GM/T 0078标准原文:
    “基于相位抖动产生物理随机源,主要包括两种方式:>
    一种是慢速时钟信号采样带抖动快速振荡信号,根据采样时刻振荡信号相位的不确定性来产生随机比特序列;
    一种是带抖动慢速的时钟信号采样快速振荡信号,该方式产生的物理随机源的随机性主要决定于慢速时钟信号抖动的范围和分布情况。”
    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 物理熵源 -> 相位抖动(采样模型)。
  1. 答案:ABCD

解析: 考查 GM/T 0105 中确定性随机数发生器(DRNG)的输入参数。

  • 个性化字符串(Personalization String):用于区分不同实例或用户,确保即使种子相同,输出序列也不相同。

  • A/B/C/D 正确:设备序列号、公钥信息、用户标识、网络地址(IP/MAC)都是具有唯一性标识特征的数据,适合作为个性化输入。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> DRNG -> 输入参数(个性化字符串)。

  1. 答案:ABCD

解析: 考查 GM/T 0105 中软件随机数发生器常用的通用熵源。

  • A 正确:系统时间(时间戳、CPU 周期计数)。

  • B 正确:中断事件(键盘、鼠标、网络中断的时间间隔)。

  • C 正确:磁盘状态(寻道时间、读写延迟)。

  • D 正确:人机交互(鼠标轨迹、按键节奏)。

  • 这些都是计算机系统中不可预测的事件源。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 熵源类型 -> 通用熵源(时间/中断/交互)。

  1. 答案:ABCD

解析: 考查 GM/T 0078 中异或链后处理的具体特性。

  • 正确答案:A、B、C、D(全选)

    根据GM/T 0078标准 9.3.2 异或链方法 的原文:

    A. 异或链方法通过将物理随机源输出序列经过多级触发器组合得到内部输出序列 ✓

    原文:“异或链方法通过将物理随机源输出序列经过多级触发器组合得到内部输出序列。”

    完全正确,与标准原文一致。

    B. 该方法需要异或链的级数与物理随机源序列偏差大小正相关 ✓

    原文:“该方法需要异或链的级数与物理随机源序列偏差大小正相关。”

    完全正确,与标准原文一致。

    C. 异或链级数越多,产生随机数效率越低 ✓

    原文:“异或链级数越多,则产生随机数的效率越低,因此需要保证随机数生成模块的速率。”

    完全正确,与标准原文一致。

    D. 在实际应用中,至少8级以上的异或链才能清除随机源序列的偏差 ✓

    原文:“应用中需要至少8级以上的异或链才能有效清除随机机序列中存在的偏差。”

    完全正确,与标准原文一致。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 后处理 -> 异或链特性。

  1. 答案:AB

解析: 考查 GM/T 0105 对不同安全等级(一级 vs 二级)的要求差异。

6.2GB/T 37092安全等级一级
在 GB/T 37092-2018 安全等级一级的密码模块中,对于 DRNG每一组新输人的熵(通过初始化或种子更新获得),当以下任意条件满足时,需要对 DRNG 执行重播种操作:a) 距离上一次 DRNG 重播种时间超过 600 s(即,重播种时间阈值为 600 s):
b)输出函数已被调用 2^20次(即,重播种计数器阈值为 2^20)。
6.3GB/T 37092 安全等级二级
在 GB/T 37092-2018 安全等级二级的密码模块中,对于 DRNG每一组新输人的熵(通过初始化或种子更新获得),当以下任意条件满足时,需要对 DRNG 执行重播种操作:
a) 距离上一次 DRNG 重播种时间超过了 60 s(即,重播种时间阈值为 60 s);输出函数已被调用 2^10次(即,重播种计数器阈值为 2^10)。h)

  • 核心区别:安全二级要求更高的安全性,因此重播种(Reseed)频率更高

  • A 正确:重播种时间间隔(二级更短)。

  • B 正确:输出函数被调用次数(二级允许的次数更少,即更早触发重播种)。

  • C/D 排除:健康测试和熵源通常是基础要求,不同等级可能程度不同,但 A 和 B 是直接对应 GB/T 37092 等级参数的量化指标。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 安全等级 -> 重播种策略(时间/流量)。

  1. 答案:AB

解析: 考查 GM/T 0103 中基于密码算法的后处理方法。

  • 密码后处理:利用密码算法的雪崩效应和单向性来优化随机性。

  • A 正确基于分组密码(如 SM4 的 CBC-MAC 结构)。

  • B 正确基于杂凑函数(如 SM3)。

  • C 排除:基于公钥密码速度太慢,通常不用于后处理;

  • D 正确:基于 利用长度为K的m 序列实现后处理,通常采用线性反馈移位寄存器或非线性反馈移位寄存器。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 后处理 -> 密码函数(分组/杂凑)。

  1. 答案:AC

解析: 考查 GM/T 0103 检测模块的功能。

  • A 正确失效检验(Health Test),检测熵源是否发生故障(如产生全 0 或全 1)。

  • C 正确随机性检验(Randomness Test),利用统计学方法检测序列的质量。

  • 注:部分题库可能包含“稳定性检验”,但在 GM/T 0103 标准原文的检测模块功能描述中,主要强调的是失效(报警)和随机性(质量)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 检测模块 -> 失效/随机性。

  1. 答案:ABCD

解析: 考查 GM/T 0103 中量子随机数发生器(QRNG)的物理机制。

  • A 正确:单光子路径选择(分束器原理)。

  • B 正确:相邻光子间时间间隔(到达时间泊松分布)。

  • C 正确:激光相位噪声(相位波动)。

  • D 正确:放大自发辐射噪声(ASE,真空涨落放大)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 物理熵源 -> 量子机制(光子/相位/噪声)。

  1. 答案:CD

解析: 考查 GM/T 0105 针对安全二级的具体重播种阈值(参考 GB/T 37092)。

  • 原文如下

  • 在 GB/T 37092-2018 安全等级二级的密码模块中,对于 DRNG每一组新输人的熵(通过初始化或种子更新获得),当以下任意条件满足时,需要对 DRNG 执行重播种操作:
    a) 距离上一次 DRNG 重播种时间超过了 60 s(即,重播种时间阈值为 60 s);输出函数已被调用 2^10次(即,重播种计数器阈值为 2^10)。h)

      📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 安全等级 -> 阈值参数(600s/2^20)。
  1. 答案:AD

解析: 考查 GM/T 0105 规定的合规 DRNG 算法。

  • 国密算法

    • A 正确:基于 SM3 的 Hash_DRBG。

    • D 正确:基于 SM4 的 CTR_DRBG。

  • B/C 错误:SM2 和 SM9 是非对称算法,用于签名加密,不直接用于构建 DRNG 引擎。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> DRNG -> 核心算法(SM3/SM4)。

  1. 答案:ABCD

解析: 考查 DRNG 的种子生成输入(Seed Construction)。

  • 组成:熵输入(必须) + Nonce(必须) + 个性化字符串(可选/建议) + 额外输入(调用时提供)。

  • 设备序列号属于“个性化字符串”的一种具体实例。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> DRNG -> 种子输入(熵/Nonce/个性化/额外)。

  1. 答案:ABC

解析: 考查关键安全参数(CSP)的定义。

  • CSP:泄露会影响安全性的数据。

  • A 正确:熵源产生的原始熵

  • B 正确:DRNG 的内部状态(V、C、Key 等)。

  • C 正确:DRNG 的熵输入(种子)。

  • D 错误:重播种计数器阈值(如 $2^{20}$)是公开的配置参数,不属于保密信息。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 安全管理 -> CSP(熵/状态/种子)。

  1. 答案:BCD

解析: 考查熵源的独占性(Exclusivity)保护,防止侧信道攻击或预测。

  • A 错误:允许多个应用同时访问会导致竞争条件,可能使不同应用获得相关的熵,这是不安全的。

  • B 正确:拒绝机制(锁)。

  • C 正确:互斥锁(Mutex)。

  • D 正确:软件自身机制管控。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 安全机制 -> 独占性访问。

  1. 答案:AB

解析: 考查 GM/T 0105 强制要求的健康测试类型。

  • 合规要求:任何合规的 RNG 必须确保启动时正常,运行时不失效。

  • A 正确上电健康测试(启动时必做)。

  • B 正确连续健康测试(运行时实时监控,如重复计数测试)。

  • D 排除按需健康测试(管理员或模块调用时触发)不是必做的。

  • C 排除:周期测试通常针对物理熵源的老化,在软件 RNG 指南中,连续测试通常覆盖了周期性的需求,或者“周期”不是强制术语。

  • 原文:上述三种健康测试方法中,上电健康测试和连续健康测试是应做的。附录D给出了连续健康测试

    方法,包含2个测试算法:重复计数测试和自适应比例测试。除了附录D中的两种算法外,设计者也可

    以遵循如下两个要求,根据具体设计提出其他的连续健康测试方法

📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 健康测试 -> 强制类型(上电/连续/按需)。
  1. 答案:BCD

解析: 同上题,考查健康测试的分类。

  • 分类:上电、连续、按需。

  • A 错误:“随意健康测试”不是标准术语。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 健康测试 -> 类型名称。

  1. 答案:ABCD

解析: 考查 GM/T 0078 中影响相位抖动熵源质量的物理参数。

  • 影响因子

    • A/C 正确:两个时钟的频率(频率差影响采样点分布)。

    • B/D 正确:信号的抖动标准差(抖动越大,熵越高)。

      📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 物理熵源 -> 质量因子(频率/抖动)。

  1. 答案:ABCD

解析: 考查 GM/T 0103 中列举的物理熵源设计原理。

  • A 正确:相位抖动(数字电路常用)。

  • B 正确:热噪声(电阻/二极管)。

  • C 正确:混沌振荡(非线性电路)。

  • D 正确:量子随机过程(光量子)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 物理熵源 -> 原理分类(全选)。

  1. 答案:ABCD

解析: 考查 GM/T 0062 对随机数检测产品的分类(A/B/C/D 类)。

  • A 正确A类(核心模块/芯片),需嵌入其他设备使用。

  • B 正确B类(用时上电,严格响应速度),如智能卡、USB Key。

  • C 正确C类(用时上电,不严格响应速度),如某些启动较慢的终端。

  • D 正确:D类(长期加电),如服务器密码机、VPN 网关。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 随机数检测 -> 产品分类(A/B/C/D)。

  1. 答案:CD

解析: 考查 GM/T 0062 中哪类产品需要做周期检测。

  • 逻辑:只有长期运行的设备,才需要担心熵源老化或环境变化导致质量下降,因此需要周期性(如每 24 小时)检测。

  • A/B 排除:用时上电(一次性使用),每次上电做检测即可,无需周期检测。

  • C 正确:虽然 C 类定义是“用时上电”,但在某些扩展定义或特定场景下,若运行时间较长也可能涉及,但主要是 D 类。不过题库中通常将 C 和 D(或者 D 和 E)作为长效运行的代表。需注意:标准原文中 D 类(长期加电)必须周期检测。若选项有 E(通常指系统级),也选。若 C 类也可能长期运行(定义模糊时),也选。

  • 标准校准:GM/T 0062 规定 D类E类(应用系统)需进行周期检测。

  • 注:本题选项若为 ABCD 组合,优先选长期运行的 D 和 E(如有)。若仅有 CD,则可能是指 C 类在特定条件下或题库默认归类。在此依据常规逻辑选 CD(假设 C 类也可长期在线)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 随机数检测 -> 检测策略 -> 周期检测(长期加电)。

  1. 答案:AB

解析: 考查 GM/T 0103 熵源的顶层分类。

  • 分类

    • A 正确物理熵源(硬件噪声)。

    • B 正确非物理熵源(软件事件、计算复杂性)。

  • C/D 错误:数字/模拟是物理熵源的实现方式,属于 A 的子类。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 熵源分类 -> 物理vs非物理。

  1. 答案:ABC

解析: 考查 GM/T 0078 中混沌电路的模型组成。

  • 组成

    • A 正确内部状态电路(产生混沌行为的核心)。

    • B 正确反馈电路(维持非线性迭代)。

    • C 正确采样电路(将模拟混沌信号数字化)。

  • D 排除:振荡源是相位抖动的核心,混沌主要强调“状态+反馈”。虽然物理实现可能用到振荡器,但在模型描述上,ABC 是混沌特有的功能模块。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.1 基础概念 -> 随机数 -> 物理熵源 -> 混沌模型(状态/反馈/采样)。

这是为您整理的 GM/T 0035.2《射频识别系统密码应用技术要求 第2部分:电子标签芯片密码应用技术要求》 题库(1-6题)的详细解析。

  1. 答案:AC

解析: 考查电子标签芯片数据传输的机密性保护技术手段。

  • A 正确流加密(序列密码)算法具有软硬件实现资源小、速度快的特点,非常适合计算能力受限的电子标签芯片用于通信链路加密。

  • C 正确分组加密(如 SM4、SM7)是商用密码体系中的核心加密手段,用于对数据块进行加密,保护传输明文。

  • B 错误非对称加密(如 SM2)运算复杂,功耗和时间开销大,通常用于身份鉴别密钥协商,而不直接用于大批量数据的传输加密。

  • D 错误:杂凑(Hash)算法(如 SM3)是单向函数,不可逆,用于完整性校验,不能用于机密性加密(无法还原数据)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 机密性保护(流/分组)。

  1. 答案:ABC

解析: 考查电子标签存储数据完整性校验的覆盖范围。

  • 概念:完整性校验(如 MAC 或 数字签名)旨在确保数据未被非授权地改变。

  • A 正确篡改(修改数据内容),导致校验值不匹配。

  • B 正确删除(移除数据记录),导致数据缺失,可通过校验机制发现。

  • C 正确插入(非法添加数据),导致数据结构变化,可通过校验机制发现。

  • D 错误:复制(Copy)是指攻击者读取了数据并由自己保存一份。在这个过程中,原电子标签内的存储数据本身没有发生任何变化,因此单纯的完整性校验机制无法发现“数据被复制”这一被动攻击行为(这属于机密性范畴)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 完整性校验 -> 威胁类型(篡改/删/插)。

  1. 答案:ABC

解析: 考查电子标签芯片内部的密钥管理全生命周期要求。

  • A 正确密钥注入。在标签初始化或发行阶段,需在安全环境下将密钥写入芯片。

  • B 正确密钥存储。芯片必须具备安全存储区(如 EEPROM/Flash 的安全域),确保密钥不被读取或物理探测。

  • C 正确密钥使用。芯片内部逻辑调用密钥进行加解密运算,确保密钥不出现在总线上。

  • D 错误:密钥导出。根据 GM/T 0035.2 及通用安全设计原则,私钥和敏感对称密钥严禁以明文形式导出芯片。允许导出密钥违反了“密钥不落地/不离片”的安全原则。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 密钥管理 -> 禁止导出。

  1. 答案:ABCD

解析: 考查电子标签芯片作为硬件安全载体需具备的抗攻击能力(侧信道与物理安全)。

  • A 正确抗功耗分析(DPA/SPA)。防止攻击者通过分析芯片加密时的功耗波动反推密钥。

  • B 正确抗电磁分析(SEMA)。防止通过捕捉芯片运行时的电磁辐射泄露信息。

  • C 正确抗故障分析(DFA)。防止攻击者通过电压毛刺、时钟干扰诱导芯片计算出错,利用错误结果破解密钥。

  • D 正确:抗物理攻击。包括抗探针探测、抗线路修改、抗去层拍照等侵入式攻击。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 物理安全 -> 抗攻击能力(侧信道/物理)。

  1. 答案:ABD

解析: 考查 GM/T 0035.2 定义的电子标签核心密码安全要素。

  • A 正确机密性(Confidentiality)。

  • B 正确完整性(Integrity)。

  • D 正确抗抵赖(Non-repudiation,也称不可否认性)。

  • 其他要素:还包括身份鉴别、访问控制等。

  • C 错误:防冲突(Anti-collision)是 RFID 空中接口通信协议层的功能(如 ALOHA 或 二进制树搜索算法),用于解决多个标签同时向读写器发送信号时的干扰问题,属于通信机制,不属于密码安全要素。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 安全要素 -> 排除防冲突。

  1. 答案:BC

解析: 考查抗抵赖服务在 RFID 系统中的具体实体对象。

  • 定义:抗抵赖是指防止参与交易的实体否认其已执行的操作。

  • B 正确抗电子标签抵赖。防止标签否认其发送过的数据(例如标签发送了扣款确认,事后不能抵赖,通常通过标签产生的 MAC 或签名证明)。

  • C 正确抗读写器抵赖。防止读写器否认其发送过的指令或写入的数据(例如读写器发出了充值指令,事后不能抵赖,通常通过读写器的认证数据证明)。

  • A 错误:“抗通信系统抵赖”说法不准确,通信系统是传输介质,不具备法律主体资格。

  • D 错误:“抗电子标签原发抵赖”虽在学术上成立,但在该标准的分类体系中,通常直接对应“抗电子标签抵赖”和“抗读写器抵赖”这一对互操作实体。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> RFID电子标签 -> 抗抵赖 -> 双向抵赖(标签/读写器)。

这是一个关于**安全芯片(GM/T 0008)对称密钥管理系统(GM/T 0051)**的专业题库解析。

安全芯片(GM/T 0008)题库解析

  1. 答案:ABC

解析: 考查安全芯片对故障攻击(Fault Injection)的防护要求。

  • A 正确:安全芯片应能检测到电压、频率、温度等异常变化(这些是导致故障的典型环境参数),并采取报警或复位等防护措施。

  • B 正确:在检测准则中,对于安全等级2,通常要求送检单位提供文档说明防护机制。

  • C 正确:防护措施的有效性必须通过检测

  • D 错误:安全芯片须具有对光攻击的抵抗能 力,并能够采取相应的防护措施保护密钥和敏感信息不泄露。 三级的要求

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 攻击防护 -> 故障攻击(环境监测)。

  1. 答案:ABCD

解析: 考查安全等级3对电磁分析攻击(SEMA)的高标准要求。

  • A 正确:要求芯片具有抗电磁分析措施,确保电磁辐射特征与密钥无明显相关性(防止DPA/SEMA)。

  • B 正确:送检单位必须提供文档描述防护措施。

  • C 正确:在安全等级3中,防护措施的有效性必须通过检测(即实验室会真的拿着探头去测电磁信号,试图破解密钥)。

  • D 正确:送检单位必须通过文档或其他方式对相应的防护措施及其有效性进行证明。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 攻击防护 -> 电磁分析(3级实测)。

  1. 答案:ABC

解析: 考查安全等级2对能量分析攻击(DPA/SPA)的要求。

  • A 正确:要求具有抗能量分析措施(如掩码、随机等待),降低能量消耗与密钥的相关性。

  • B 正确:送检单位需提供文档描述。

  • C 正确:防护措施的有效性必须通过检测

  • D 错误:同上,证明非强制项,且标准术语通常为描述说明。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 攻击防护 -> 能量分析(2级文档)。

  1. 答案:ABC

解析: 考查安全芯片的唯一标识(UID)要求。

  • A 正确:必须具有唯一标识(就像身份证号)。

  • B 正确:唯一标识是可校验的(可以通过指令读出并验证)。

  • C 正确:必须有机制保证标识不被更改(写保护/一次性编程)。

  • D 错误:既然叫“唯一标识”,自然不能重复。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 生命周期 -> 唯一标识(不可改)。

  1. 答案:ABCD

解析: 考查敏感信息的全生命周期保护。

  • A 正确存储保护(加密存储)。

  • B 正确清除保护(使用后清除内存,废弃时销毁)。

  • C 正确运算保护(防止侧信道泄露)。

  • D 错误:GM/T 0008《安全芯片密码检测准则》主要关注芯片内部的安全机制。虽然数据传输也是安全环节,但在该标准的“敏感信息保护”章节中,重点是芯片内部的存储、清除和运算状态。传输安全通常归类在通信接口或系统级要求中,或者作为“接口”章节的内容。注:若题目语境宽泛,D可能可选,但在GM/T 0008的标准结构中,前三者是针对敏感信息本身在片内处理的核心要求。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 数据保护 -> 存/算/清。

  1. 答案:ABC

解析: 考查固件(COS/Firmware)的安全要求。

  • A 正确:固件的存储(完整性校验,防篡改)。

  • B 正确:固件的执行(安全启动,防代码注入)。

  • C 正确:固件的导入(下载更新时的签名验证)。

  • D 错误:备份通常是系统级运维策略,不是芯片内部固件安全机制的核心检测项(芯片内部通常只存一份运行代码,或者双区备份用于防变砖,但不如前三者核心)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 固件安全 -> 存/执/更。

  1. 答案:AC

解析: 考查安全芯片的接口分类。

  • A 正确逻辑接口(指令集,如APDU)。

  • C 正确物理接口(引脚,如ISO 7816触点、I2C、SPI)。

  • B 错误:软件接口通常指驱动层API,属于系统级,不属于芯片本身的接口分类。

  • D 错误:隐式接口不是标准分类。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 接口分类 -> 物理/逻辑。

  1. 答案:AC

解析: 考查密钥生成的随机性与安全性要求。

  • A 正确不可预测(随机性好)。

  • B 错误:标准表述是“密钥生成过程中需使用非确定性数据,则须使用随机数”——这是条件性要求,不是“密钥必须保证的属性”。

  • C 正确不可逆推(前向安全性)。

  • D 错误:安全芯片必须使用内部生成的随机数(RNG模块),严禁依赖外部输入的随机数生成内部主密钥,因为外部源不可控且易被截获。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.5 检测认证 -> 安全芯片 -> 密钥生成 -> 内部RNG/不可预测。

对称密钥管理产品(GM/T 0051)题库解析

  1. 答案:ABCD

解析: 考查密钥管理系统(KMS)的顶层设计原则。

  • A 正确标准化、模块化(易于扩展)。

  • B 正确模块间通信安全(机密性、完整性、防重放等)。

  • C 正确多租户/多业务支持(服务化能力)。

  • D 正确:安全通信协议(基于身份验证,如SSL/TLS或私有安全协议)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 设计原则 -> 标准/安全/服务。

  1. 答案:AB

解析: 考查KMS的管理对象(被管设备)。

  • 范围:GM/T 0051 规范覆盖了从大型设备到小型终端的各类载体。

  • 典型被管密码设备只有密码机、密码卡,剩下那两个只能叫密码载体。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 管理对象 -> 全类型设备。

  1. 答案:AB CD

解析: 考查密钥管理协议数据单元(PDU)的指令类型。

  • 在 GM/T 0051-2016 的 7.2.3.2(密钥管理指令 PDU 类型/命令码列表)中,给出了密钥管理指令的命令码(如 0xB0~0xB9 等),并且从后续 7.2.4~7.2.7 的结构可以看出这组命令覆盖了四个关键管理动作:

    • 分发保护密钥协商 & 密钥分发
    • 密钥销毁
    • 密钥启用
    • 密钥申请
      这些命令类型在 7.2.3.2 的列表以及紧随其后的 7.2.4~7.2.7 的分节中被逐个展开说明。
📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 协议指令 -> 分发/销毁。
  1. 答案:ABC

解析: 考查密钥产生的全流程接口。

  • A 正确密钥生成装置接口(源头产生密钥)。

  • B 正确应用指令发送接口(KMS向设备发指令)。

  • C 正确被管设备接口(设备端接收指令)。

  • D 错误:标准强调的是标准化接口,而非自定义接口。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 接口体系 -> 生成/发送/接收。

  1. 答案:ABC D

解析: 考查在线密钥管理的业务流。

  • GM/T 0051 的在线密钥管理总体思路是:
    1)密钥管理中心调用通用密钥生成装置按模板生成原子密钥,并通过会话密钥保护传输(接口输出 AtomKey/CipheredSKey 等);
    2)密钥分发依赖设备管理平台安全通道 API(引用 GM/T0050 SecTunnelSendData),按标准PDU格式封装并根据策略分发至被管设备;
    3)被管设备侧由设备管理代理获取指令,并由密钥管理代理解析处理密钥管理PDU;
    4)由于体系依赖在线安全通道,因此本标准不支持离线设备密钥管理。

    因此选项 A、B、C、D 均正确

📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 在线流程 -> 生/发/收。
  1. 答案:ABCD

解析: 考查密钥管理系统的审计合规性。

对密钥生成、存储、分发、主控管理、身份认证、密码服务模块进行事件审计/统计/分析

记录用户主动运行事件(用户名、内容、时间、结果等)

记录模块中间运行事件

记录服务器状态

记录系统策略设置

审计记录不可修改、可导出备份、保证完整性

📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 审计范围 -> 事件/操作/状态。

  1. 答案:AC

解析: 考查原子密钥(原始密钥)的来源。

  • GM/T 0051 第3章术语里明确给出:

    • 3.12 专用密钥生成装置(Customized key generator)
      用于本对称密钥管理系统/分发保护密钥相关的密钥生成装置(专用/定制)。
    • 3.13 通用密钥生成装置(General key generator)
      通用的密码产生装置,用于生成/填充所需随机数形成密钥。

    也就是说,标准从术语层面就限定:原子密钥生成可由“专用”或“通用”密钥生成装置来完成

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 密钥来源 -> 专用装置/协商。

  1. 答案:ABCD

解析: 考查被管设备(终端)需要具备的能力。

  • A 正确代理机制(Agent处理指令)。

  • B 正确状态上报(缺密钥了主动申请)。

  • C 正确标准协议支持(能听懂标准指令)。

  • D 正确:兼容性(对于老旧设备,支持协议转换适配)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 终端能力 -> 代理/上报/适配。

  1. 答案:ABCD

解析: 考查KMS系统的功能模块组成。

  • A 正确主控管理(大脑)。

  • B 正确密钥生命周期管理(核心业务:生/封/存/发)。

  • C 正确灾备管理(备份/恢复)。

  • D 正确:密管代理(部署在被管设备上的触手)。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 系统组成 -> 管/业务/备/代理。

  1. 答案:ABCD

解析: 考查密钥生成模块(KGM)的安全要求。

A. 为多个系统提供业务密钥

原文要求之一是:密钥生成模块要能支持业务需求(即支持业务系统所需密钥的生成与供应),其中写到其能力要覆盖业务场景/系统密钥供应。
对应段落中“密钥生成模块需满足功能要求”里包含对业务密钥/密钥生成支撑的要求。 GM-T 0051-2016 密码设备管理 对称密钥管理技术规范

简单理解:
密钥生成模块不是只给单一系统用,它是密钥管理体系里的“统一密钥生产工厂”,要能给多个系统供钥。

B. 密钥生成装置为硬件设备,随机数质量满足 GB/T 32915

标准正文在术语/引用文件处明确引用了 GB/T 32915,并在对密钥生成装置的要求里强调随机数质量需要满足相关国家标准的要求。 GM-T 0051-2016 密码设备管理 对称密钥管理技术规范

理解:
密钥安全性核心来自随机性,所以标准强调必须使用满足国家随机性检测标准的随机源。

C. 支持外部密钥的导入

标准在密钥管理系统的功能模块描述中提到:密钥管理中心/平台支持通过接口导入密钥材料(例如外部生成或外部提供的密钥)。这与“支持外部密钥导入”的要求一致。 GM-T 0051-2016 密码设备管理 对称密钥管理技术规范

理解:
不是所有密钥都必须在本系统生成,有些是外部机构/设备生成的,也需要纳入生命周期管理,因此必须支持导入。

D. 支持密钥以密文方式导出,明文密钥不可出硬件设备

标准在密钥生成与后续分发过程描述中强调:密钥生成后用于分发/传输时必须以加密方式封装;密钥生成装置/硬件不应输出明文密钥。
你可以看到标准明确把密钥生成、封装传输与安全通道结合,并强调保护机制。

  • A 正确服务化(支持多系统)。

  • B 正确合规硬件(必须是硬件,且随机数质量达标 GB/T 32915)。

  • D 正确密钥不落地(明文不出硬件,导出必密文)。

  • C 错误:密钥生成模块的核心职责是自己产生高质量密钥,通常不支持从外部导入明文密钥作为根源(破坏了随机性信任根)。虽然某些场景允许导入,但在强调“生成模块设计要求”时,核心是自主生成和输出保护。注:若题目特指“分发模块”可能支持导入,但“生成模块”强调Generate。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 生成模块 -> 硬件/随机性/不落地。

  1. 答案:ABC

解析: 考查管理策略的细粒度。

  • A 正确生成策略(造什么样的密钥)。

  • B 正确分发策略(怎么给,在线还是离线)。

  • C 正确封装策略(包成什么样,怎么导入)。

  • D 错误:设备属性信息是配置数据或资产数据,不是“管理策略”(规则)。策略是指指导系统如何动作的规则集合。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 策略类型 -> 生/发/封。

  1. 答案:AB

解析: 考查合规的密钥生成装置类型。

  • A 正确通用密钥生成装置(符合规范的通用型硬件)。

  • B 正确专用密钥生成装置(针对特定行业的专用硬件)。

  • C 错误:自定义装置通常意味着非标、未过检,不符合GM/T 0051的标准化要求。

  • D 错误:排除C。

    📥 放入图谱: 分支2: 商用密码应用 -> 2.3 应用场景 -> 密钥管理 -> 装置类型 -> 通用/专用(合规)。

这是一个关于**证书认证系统(CA/PKI)**的专业题库解析,主要涉及 GM/T 0014(协议规范)GM/T 0034(技术规范)GM/T 0037(检测规范) 三大核心标准。

证书认证系统题库解析(1-33题)

1. 答案:ABC
解析: 考查密钥管理中心(KM)的职责。

  • A/B/C 正确:KM 负责密钥的全生命周期管理,包括生成、存储、备份、恢复、撤销等。CA 向 KM 发起这些请求。
  • D 错误:发布证书和 CRL 是 CA 的职责(通常推送到 LDAP),或者由目录服务子系统完成,不是 KM 的直接功能。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> KM功能 -> 密钥全生命周期(申请/恢复/撤销)。

2. 答案:ABCD
解析: 考查 OCSP 请求报文结构。

  • A 正确:协议版本(Version)。
  • B 正确:服务请求(requestList,包含一个或多个请求)。
  • C 正确:目标证书标识(CertID,在请求列表中)。
  • D 正确:可选扩展(singleRequestExtensions)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 协议规范 -> OCSP请求结构。

3. 答案:AB
解析: 考查用户申请证书时的提交内容。

  • A 正确:用户信息(DN,如姓名、单位)。
  • B 正确:用户签名公钥(用于证明用户持有私钥,POP验证)。
  • C/D 错误:对于加密证书,其私钥和公钥通常由 KM 生成并经 CA 签发后分发给用户(双证书机制),而不是用户自己生成提交。即使用户自己生成加密公钥提交(单证书),也不能提交私钥。在国密双证书体系下,用户主要提交签名公钥。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 证书申请 -> 提交信息(身份+签名公钥)。

4. 答案:ABCD
解析: 考查 CA 与 KM 交互的请求数据格式。

  • A 正确:协议版本。
  • B 正确:CA 标识符(表明是谁在请求)。
  • C 正确:扩展的请求信息(如密钥长度、算法类型)。
  • D 正确:请求信息的签名(CA 对请求签名,确保完整性和真实性)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 协议规范 -> CA-KM交互。

5. 答案:CD
解析: 考查运营系统的网络/物理区域划分与设备部署(注意选错误项)。

GM/T 0037 的证书认证服务运营系统按“核心区/服务区/管理区”等分区部署:

  • 防火墙用于区域边界隔离(A正确);
  • RA 注册管理属于业务服务支撑,放服务区合理(B正确);
  • 入侵检测控制台属于安全管理设备,应放管理区而非核心区(C错误);
  • LDAP 查询服务器属于目录查询服务,应放服务区而非管理区(D错误)。

📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 区域部署 -> 错误案例(控制台进核心区)。

6. 答案:ABCD
解析: 考查 KM 对 CA 请求的响应报文。

  • A 正确:协议版本。
  • B 正确:KM 标识符。
  • C 正确:响应信息(生成的公钥、私钥密文等)。
  • D 正确:响应信息的签名(KM 对响应签名)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 协议规范 -> KM响应结构。

7. 答案:ACD
解析: 考查正确的设备区域部署。

  • A 正确CRL 发布服务器面向公众下载,放在服务区(DMZ)。
  • B 错误LDAP 查询服务器(若指对外服务)在服务区
  • C 正确CRL 生成与签发是 CA 核心功能,必须在核心区
  • 防火墙用于区域边界隔离(A正确);
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 区域部署 -> 正确布局(发布在服务区/核心在核心区)。

8. 答案:BCD
解析: 考查 OCSP 协议定义的证书状态值。

  • 状态值

  • good(D 良好/有效)。

  • revoked(B 已撤销)。

  • unknown(C 未知,CA 不知道这个证书)。

  • A 错误:“已冻结”(Certificate Hold)是 CRL 中的一种撤销原因(Reason Code),但在 OCSP 的顶层状态(CertStatus)定义中,通常只返回 good、revoked(包含冻结原因)、unknown 三种状态。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 协议规范 -> OCSP状态(好/撤/不知)。

9. 答案:CD
解析: 考查双证书体系下的证书分类。

  • 国密/双证书体系

  • D 正确签名证书(用于身份鉴别、抗抵赖)。

  • C 正确加密证书(用于数据加密、密钥交换)。

  • A/B 错误:设备/人员证书是按持有者对象分类,不是按功能/密钥用途分类。GM/T 0034 强调的是功能分类(签名 vs 加密)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 证书分类 -> 功能(签名/加密)。

10. 答案:AB
解析: 考查证书状态查询的标准方式。

  • A 正确OCSP(在线证书状态协议,实时)。
  • B 正确CRL(证书撤销列表,定期发布)。
  • C/D 错误:Email 和官网查询不是标准的 PKI 协议查询方式,虽然人工可以查,但不是系统级服务接口。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 状态查询 -> 协议方式(OCSP/CRL)。

11. 答案:ABCD
解析: 考查安全审计日志的要素。

  • 要素:谁(User)、什么时间(Time)、做了什么(Project)、结果如何(Result)。
  • A/B/C/D 正确:操作项目、起始时间、终止时间、操作结果都是必须记录的字段。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 安全审计 -> 日志要素。

12. 答案:ABCD
解析: 考查密钥生成模块(KGM)的功能。

  • A 正确:生成非对称密钥对(RSA/SM2)。
  • B 正确:生成对称密钥(SM4,用于保护数据或作为会话密钥)。
  • C 正确:生成随机数(作为种子)。
  • D 正确自动补充(密钥池管理,当备用密钥不足时自动生产)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 密钥生成 -> 功能(非对称/对称/随机/缓冲)。

13. 答案:ABCD
解析: 考查 CA 系统的网络分段(区域划分)。

  • A/B/C/D 正确:标准要求划分为公共区(互联网接入)、服务区(DMZ)、管理区(运维)、核心区(CA/KM 核心)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 网络划分 -> 四大区域。

14. 答案:ABCD
解析: 考查证书全生命周期管理环节。

  • 环节:申请 -> 审核 -> 签发(A) -> 发布(B) -> 使用 -> 更新(C,包括密钥更新/证书更新) -> 挂失/冻结 -> 撤销(D) -> 归档。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 生命周期 -> 签/发/更/撤。

15. 答案:ABCD
解析: 考查证书认证系统的设计原则。

  • A 正确标准化、模块化
  • B 正确功能独立、安全连接
  • C 正确身份鉴别通信(模块间通信需认证)。
  • D 正确硬件运算(核心密码运算必须在密码设备中完成,不能软实现)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 设计原则 -> 模块化/硬件运算。

16. 答案:ACD
解析: 考查证书管理的安全要求。

  • A 正确身份验证(鉴别申请人)。
  • C/D 正确审计跟踪(全流程记录)。
  • B 错误:RA(注册机构)的功能是审核录入信息,没有签发证书的权限。证书必须由 CA(认证机构)签发。RA 只是“前台”,CA 才是“制证中心”。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 管理安全 -> RA审核/CA签发。

17. 答案:ABD
解析: 考查 CA 向 KM 发送的请求类型。

  • A 正确申请(生成新密钥)。
  • B 正确恢复(私钥丢失后恢复,仅限加密证书)。
  • D 正确撤销(销毁密钥)。
  • C 错误:通常不叫“查询密钥对”,而是获取或下载。在标准协议指令中,核心动作是生、恢、撤。若有“归档”也算。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> KM服务 -> 申/恢/撤。

18. 答案:AC
解析: 考查 LDAP(轻量级目录访问协议)的存储内容。

  • A 正确证书(用户公钥证书,公开供下载)。
  • C 正确CRL(证书撤销列表)。
  • B/D 错误:虽然证书包含公钥和签名,但 LDAP 存的是证书实体CRL实体。单独存放“签名”或“公钥”不是目录服务的典型用法(它们封装在证书里)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 目录服务 -> 存证书/CRL。

19. 答案:ABC
解析: 考查 CA 系统的逻辑分层。

  • 逻辑层级

  • A 核心层(CA 引擎、KM、数据库)。

  • B 管理层(RA、安全管理、审计)。

  • C 服务层(LDAP、OCSP、Web 接口)。

  • D 错误:“公共层”不是标准的逻辑分层术语,虽然有公共网络区。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 逻辑架构 -> 核心/管理/服务。

20. 答案:AB C
解析: 考查 RA(注册机构)的功能。

这题考的是 GM/T 0037-2014《证书认证系统检测规范》里 RA(注册机构/注册管理)应具备的功能
根据标准在功能测试项中对 RA 业务办理与管理能力 的要求,RA 的典型职责是:受理/录入申请信息、对申请信息进行审核(或按流程进行初审/复核)、并向用户提供证书获取/下载等服务;而证书类型及内容定义属于 CA 的策略/证书模板管理范畴,不是 RA 的功能。

📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> RA功能 -> 录入/审核。

21. 答案:BC
解析: 考查管理层的组成组件。

GM/T 0034-2014 第5.1 明确规定:

  • 核心层:由 密钥管理中心(KMC)、证书/CRL生成与签发系统、证书/CRL存储发布系统构成
  • 管理层:由 证书管理系统安全管理系统 构成
  • 服务层:由 证书注册管理系统(含远程用户注册管理系统) 和证书查询系统构成

这一句直接给出答案:管理层只包括 证书管理系统 + 安全管理系统

📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 管理层 -> RA/CMS/审计。

22. 答案:ABCD
解析: 考查 CA 系统的产品组件。

  • A 正确签发系统(CA Server)。
  • B 正确注册系统(RA Server)。
  • C 正确LDAP Server(目录服务)。
  • D 正确OCSP Server(在线查询)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 产品组件 -> CA/RA/LDAP/OCSP。

23. 答案:ABD
解析: 同上,考查产品组成。

✅ RA服务器、密码机、OCSP服务器 → 属于证书认证系统产品本体组成

❌ KM服务器 → 属于密钥管理中心系统(KMC/KM),不作为“证书认证系统产品”组成项

📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 产品组成 -> 软硬件全家桶。

24. 答案:ACD
解析: (重复题)同第16题。

  • RA 不签发证书,只审核。证书由 CA 签发。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 管理安全 -> RA权限限制。

25. 答案:ABCD
解析: (重复题)同第12题。

  • 生成非对称、对称、随机数、自动补充。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 密钥生成 -> 全功能。

26. 答案:BCD
解析: 考查 GM/T 0014 协议规范的覆盖范围。

标准明确写到:

“这些协议包括 用户终端同 RA 之间的安全协议;RA 同 CA 之间的安全协议;CA 同 KM 之间的安全协议;CA 同 LDAP 服务之间的安全协议;…用户同 LDAP 服务之间的安全协议;用户同 OCSP 服务之间的安全协议等。”

  • GM/T 0014 在 5.1.1 明确规定本标准涉及的协议包括 RA-CA、CA-KM、用户-LDAP 等互联互通协议,而用户侧是 用户终端-RA,并未将“用户-CA”作为标准化协议内容列出,因此选 BCD
  • “用户与 CA 的交互由 RA 代办,故标准不直接规定用户-CA协议。”
  • 📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 协议范围 -> 内部+外部接口。

27. 答案:ABC
解析: 考查 CA 的核心职责(双证书机制)。

  • A 正确:CA 向 KM 申请加密密钥对(加密私钥由 KM 生成并托管)。
  • B 正确:CA 签发签名证书(用户生成签名公钥,CA 签名)。
  • C 正确:CA 签发加密证书(KM 生成加密公钥,CA 签名)。
  • D 错误:CA 不生成加密密钥对,这是 KM 的职责。CA 只负责“发证(签名)”,KM 负责“造钥匙”。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> CA职责 -> 签发/申请密钥(不生成)。

28. 答案:ABCD
解析: 考查网络配置安全检测内容。

  • A/B/C/D 正确:防火墙策略、入侵检测配置、漏洞扫描报告、病毒防护软件,都是网络安全基线检测的标配。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 网络检测 -> 基线安全。

29. 答案:ABCD
解析: 考查物理区域划分。

  • A/B/C/D 正确:公共、服务、管理、核心。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 区域划分 -> 标准四区。

30. 答案:ABCD
解析: 考查 RA 系统录入功能的检测点。

  • A 正确:界面友好(录入/修改)。
  • B 正确:参数可选(算法/长度)。
  • C 正确:批量处理(效率)。
  • D 正确操作员签名(抗抵赖,谁录入谁负责)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> RA检测 -> 录入功能。

31. 答案:ABCD
解析: 考查三权分立与岗位设置。

  • A/B:业务线(管理员/操作员)。
  • C/D:审计线(审计管理员/审计员)。
  • 此外还有系统管理员、安全保密员等。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 岗位设置 -> 业务+审计。

32. 答案:ABCD
解析: 考查物理场地检测方法。

  • A 正确门禁测试(闯入测试)。
  • B 正确区域查看(物理隔离)。
  • C 正确监控查看(无死角)。
  • D 正确屏蔽效能(电磁屏蔽)。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 场地检测 -> 门禁/监控/屏蔽。

33. 答案:ABCD
解析: 考查日志记录的完整性。

  • A/B/C/D 正确:时间、人物、事件(类型)、结果。
    📥 放入图谱: 分支2: 商用密码应用 -> 2.2 电子认证 -> CA系统 -> 日志检测 -> 四要素。
上一篇: 1月7日 密码模块(多选)
下一篇: 1月8日 密码应用基本要求(多选) 解析
是否对你有帮助?

评论