2026年工业身份认证管理试卷.docxVIP

2026年工业身份认证管理试卷

一、单项选择题（每题2分，共20分）

1.在2026年工业场景下，以下哪项技术最能抵御针对OT网络的中间人攻击？

A.基于MAC地址的白名单

B.基于IEC62351标准的数字证书双向认证

C.基于IPSec的隧道加密

D.基于VLAN的逻辑隔离

答案：B

解析：IEC62351第8部分明确规范了TLS-ECDHE_ECDSA双向认证流程，可在RTU与SCADA之间建立端到端可信通道，抵御中间人伪造证书攻击。MAC白名单与VLAN隔离均无法解决数据层面伪造问题，IPSec隧道缺少设备身份校验。

2.某智慧工厂采用“设备护照”机制，护照私钥最安全的存储载体是：

A.文件系统加密目录

B.TPM2.0的ECCNISTP-384密钥槽

C.云端HSM的虚拟密钥分区

D.固态硬盘的隐藏分区

答案：B

解析：TPM2.0提供硬件级防侧信道和防回滚机制，私钥不可导出，符合IEC62443-4-2SL-3要求；云端HSM虽安全，但工业现场离线场景需本地根信任；文件系统与隐藏分区均可能被物理绕过。

3.在零信任架构中，对一条工业机械臂的“动态信任评分”影响最小的因子是：

A.固件完整性度量值

B.当日生产计划API调用频次

C.机械臂关节电机电流的方差

D.控制器CPU温度瞬时值

答案：D

解析：CPU温度属于环境噪声，对身份与行为可信性贡献最低；其余三项分别对应静态身份、业务行为、物理行为异常检测。

4.某PLC支持OPCUA，并部署了GDS（GlobalDiscoveryServer），GDS的核心功能是：

A.为PLC提供时间同步

B.签发并撤销OPCUA应用实例证书

C.对PLC固件进行OTA升级

D.统计PLC的通信延迟

答案：B

解析：GDS依据OPCUAPart12，为所有注册应用签发DER格式的应用证书，并发布CRL，实现自动化PKI生命周期管理。

5.在2026年发布的ISO/IEC27554-2中，对“工业身份钱包”的互操作性要求规定钱包必须支持：

A.OAuth2.1

B.W3CDID-Core与VC-JWT

C.SAML2.0

D.KerberosV5

答案：B

解析：ISO/IEC27554-2明确将DID与可验证凭证作为跨域身份互操作最小集，SAML与Kerberos无法满足分布式可验证声明。

6.某边缘网关采用“一次一密”对称密钥进行MQTT通信，密钥衍生函数为KDF(K_master,dev_id||epoch)，若epoch周期为5min，dev_id长度为8B，则理论上重放攻击窗口为：

A.0s

B.5min

C.10min

D.无限长

答案：B

解析：epoch不变则密钥不变，攻击者可在同一epoch内重放；epoch滚动后密钥失效，故窗口等于epoch周期。

7.在工业区块链（IBC）身份链上，下列哪项字段不会出现在X.509v3的SubjectAlternativeName扩展中？

A.设备序列号

B.以太坊地址

C.制造商标识OID

D.操作员工号

答案：D

解析：操作员工号属于“人”的身份，应放在工人数字证书中；设备链证书只绑定设备、厂商、链上地址。

8.当使用IEEE802.1AR设备标识证书进行EAP-TLS认证时，交换机端口在认证通过前处于：

A.Forwarding

B.Learning

C.Blocking

D.802.1XControlledPortUnauthorized

答案：D

解析：802.1X标准定义ControlledPort在未授权状态下仅允许EAPOL帧通过，其余流量被丢弃。

9.某DCS系统采用“角色链”模型，工程师A拥有角色R1，R1继承R2，R2被赋予权限P，若实施“拒绝优先”策略，当R1显式拒绝P时，A的最终权限为：

A.拥有P

B.拒绝P

C.由审计员裁决

D.权限未定义

答案：B

解析：拒绝优先（Deny-Overrides）策略下，显式拒绝优先级高于继承允许。

10.在2026年NISTSP800-53Rev6草案中，新增的“OT-21”控制项主要针对：

A.工业控制远程访问多因素认证

B.工业传感器数据压缩

C.工业防火墙冗余

D.工业显示器色彩校准

答案：A

解析：OT-21标题为“Multi-factorAuthenticationforRemoteOTAccess”，要求使用硬件加密模块与基于风险的自适应因子。

二、多项选择题（每题3分，共15分）

11.以下哪些技术组合可在无公网环境下实现工业现场证书的自动更新？

A.