信息安全技術操作題

操作題第13套.請按要求完成下列有關數(shù)字簽名的題目（共6分）。一個數(shù)字簽名體制都要包括兩個過程：簽名和【71】（1分）。（2）假設用戶A和用戶B利用公開密鑰密碼進行數(shù)字簽名，請用A-F回答下列題目（每空1分，共2分）：簽名的時候，用戶A將使用自己的【72】對明文數(shù)據(jù)M進行簽名；用戶B收到簽名后，將使用用戶A的【73】對簽名進行驗證。A.公開密鑰B.公開密鑰數(shù)據(jù)庫C.私有密鑰D.私有密鑰數(shù)據(jù)庫E.加密密鑰F.加密密鑰數(shù)據(jù)庫（3）假設Alice的RSg鑰為（e=3,n=33）,已知素數(shù)p=3,q=11,則Alice的私鑰d=【74】（2分）。Alice要發(fā)送消息m=3合Bob）,并對該消息進行簽名后得到的簽名是【75］（1分）。2.請按要求完成下列有關數(shù)字簽名的題目（共6分）。（1）實際應用中為了縮短簽名的長度、提高簽名的速度，而且為了更安全，常對信息的【76】進行簽名。（1分）（2）假設用戶A和用戶B利用公開密鑰密碼進行數(shù)字簽名，請用A-F回答下列題目：（每空1分，共2分）簽名的時候，用戶A將使用自己的【77】對明文數(shù)據(jù)M進行簽名；用戶B收到簽名后，將使用用戶A的【78】對簽名進行驗證。A.公開密鑰B.公開密鑰數(shù)據(jù)庫C.私有密鑰D.私有密鑰數(shù)據(jù)庫E.加密密鑰F.加密密鑰數(shù)據(jù)庫（3）假設Alice的RSA￡＞鑰為（e=3,n=55）,已知素數(shù)p=5,q=11,則Alice的私鑰d=【79】（2分）。Alice發(fā)送消息m=2合Bob）,則Alice對消息簽名后得到的簽名是【80］（1分）。3.文件系統(tǒng)安全是UNIX/Linux系統(tǒng)安全的核心，請按要求完成相關的下列題目（每空1分，共4分）：（1）當攻擊者竄改文件時，他們經(jīng)常因修改【81】設置而留下一個足印，該足印有時能用來作為搜索攻擊者的證據(jù)（參考下列選項，請用A-C作答）：A.SocketsB.i節(jié)點C.GID（2）在上圖中，表示用戶命令的可執(zhí)行文件（二進制）的目錄文件是［82］c（3）每個文件和目錄有三組權限與之相關：一組為文件的擁有者，一組為文件所屬分組的成員，一組為其它所有用戶（通常用“theworld”或“others”指代）。ls-l命令可以查看UNIX文件權限，如果$ls-1-rw-rw-rw-3jrandomalbion15Apr141998mbox則表示：mbox是一個【83】,分組成員有【84】權限（參考下列選項，請用A-F作答）：A.文件B.目錄C.可讀、不可寫和可執(zhí)行D.不可讀、可寫和可執(zhí)行E.可讀、可寫F.可讀、不可寫4.文件系統(tǒng)安全是UNIX/Linux系統(tǒng)安全的核心，請按要求完成相關的下列題目（每空1分，共4分）：（1）當攻擊者竄改文件時，他們經(jīng)常因修改【85】設置而留下一個足印，該足印有時能用來作為搜索攻擊者的證據(jù)（參考下列選項，請用A-C作答）：A.SocketsB.i節(jié)點C.GID（2）在圖1中，表示系統(tǒng)執(zhí)行文件/配置文件/管理文件的目錄文件是【86】。（3）每個文件和目錄有三組權限與之相關：一組為文件的擁有者，一組為文件所屬分組的成員，一組為其它所有用戶（通常用“theworld”或“others”指代）。ls-l命令可以查看UNIX文件權限，如果$ls-1drwxr-x---1jrandomhackers96Mar209:47backups則表示：backups是一個【87］，擁有者有【88】權限（參考下列選項，請用A-F作答）：A.文件B.目錄C.可讀、不可寫和可執(zhí)行D.不可讀、可寫和可執(zhí)行E.可讀、可寫和可執(zhí)行F.可讀、可寫和不可執(zhí)行5.DoS攻擊按照攻擊所使用網(wǎng)絡協(xié)議的層次種類來劃分，主要分為以下幾類的攻擊方式：鏈路層協(xié)議攻擊、網(wǎng)絡層協(xié)議攻擊、傳輸層協(xié)議攻擊、應用層協(xié)議攻擊。下面列出了10種常見的DoS攻擊方式，請根據(jù)其所屬的層次類別，在該攻擊方式后面填寫對應的協(xié)議層次：鏈路層、網(wǎng)絡層、傳輸層、應用層。（每空1分，共10分）SYN-F100d屬于［89］協(xié)議的攻擊ICMP-Smurf屬于【90】協(xié)議的攻擊ScriptFlood屬于【91】協(xié)議的攻擊ACK-F100d屬于【92】協(xié)議的攻擊IGMP-F100d屬于【93】協(xié)議的攻擊FraggleDoSt擊屬于【94】協(xié)議的攻擊Land攻擊屬于【95】協(xié)議的攻擊(8)保持長時TCP1接的DoS攻擊屬于【96】協(xié)議的攻擊UDP-F100d屬于【97】協(xié)議的攻擊PortConnectionFlood屬于【98】協(xié)議的攻擊2.答案一個數(shù)字簽名體制要包括兩個過程：簽名和驗證簽名A和B使用公開密鑰密碼進行數(shù)字簽名時，A首先使用自己的私有密鑰對明文數(shù)據(jù)M進行簽名，然后將簽名發(fā)送給B,B收到簽名后，使用A的公有密鑰對簽名進行驗證(3)根據(jù)RSA算法，由p、q算出：())(n)=(p-1)*(q-1)=2*10=20,再由e*dmod。(n尸1可知：3*dmod20=1可求得私鑰d=7若Alice發(fā)送消息m=3給Bob,并對消息m進行簽名，所以需要使用Alice的私鑰d簽名，簽名算法是mAdmodn=3A7mod33=9,所以Alice發(fā)送的簽名是9(1)實際應用中為了縮短簽名的長度，提高簽名的速度和更安全，常對信息的摘要進行簽名A和B使用公開密鑰密碼進行數(shù)字簽名時，A首先使用自己的私有密鑰對明文數(shù)據(jù)M進行簽名，然后將簽名發(fā)送給B,B收到簽名后，使用A的公有密鑰對簽名進行驗證(3)根據(jù)RSA算法，由p、q算出：())(n)=(p-1)*(q-1)=4*10=40,再由e*dmod())(n)=1可知：3*dmod40=1可求得私鑰d=27若Alice發(fā)送消息m=2給Bob,并對消息m進行簽名，所以需要使用Alice的私鑰d簽名，簽名算法是mAdmodn=2A27mod55=18,所以Alice發(fā)送的簽名是18UNIX文件系統(tǒng)每個文件都有一個唯一的i節(jié)點，i節(jié)點關注UNIX文件系統(tǒng)中所有的文件活動，UNIX文件系統(tǒng)安全就是基于i節(jié)點中3段關鍵信息：文件擁有者(UID)、文件所在分組(GID)、文件的權限設置(模式)，當攻擊者篡改文件時，他們經(jīng)常因修改i節(jié)點設置而留下一個足印。該足印有時能用來作為搜索攻擊者的證據(jù)，即使他們試圖掩蓋痕跡(2)圖1中，/bin目錄下存放的是用戶命令的可執(zhí)行文件(二進制)UNIX系統(tǒng)中，使用lsT命令可以查看文件權P題意中第一列-rw-rw-rw-表示文件的模式位，第一個字符表示文件類型，題意中-表示這是一個普通文件，后面9位字符表示權限位，前3位rw-表示文件擁有者權限——可讀(r)可寫(w)不可執(zhí)行(-),中間3位rw-表示文件擁有組權限可讀(r)可寫(w)不可執(zhí)行(-),最后3位rw-表示其他用戶權限——可讀(r)可寫(w)不可執(zhí)行(-)(1)UNIX文件系統(tǒng)每個文件都有一個唯一的i節(jié)點，i節(jié)點關注UNIX文件系統(tǒng)中所有的文件活動，UNIX文件系統(tǒng)安全就是基于i節(jié)點中3段關鍵信息：文件擁有者(UID)、文件所在分組(GID)、文件的權限設置(模式)，當攻擊者篡改文件時，他們經(jīng)常因修改i節(jié)點設置而留下一個足印。該足印有時能用來作為搜索攻擊者的證據(jù)，即使他們試圖掩蓋痕跡(2)圖1中，/etc目錄下存放的是系統(tǒng)執(zhí)行文件、配置文件、管理文件等(3)UNIX系統(tǒng)中，使用lsT命令可以查看文件權限，題意中第一列drwxr-x---表示文件的模式位，第一個字符表示文件類型，其中d表示這是一個目錄文件，后面9位字符表示權限位，前3位rwx表示文件擁有者權限可讀(r)可寫(w)可執(zhí)行(x),中間3位r-x表示文件擁有組權限——可讀(r)不可寫(-)可執(zhí)行(x),最后3位---表示其他用戶權限不可t軟(-)不可寫(-)不可執(zhí)行(-)4.(1)利用TCP協(xié)議的DoS攻擊可分為兩類，一類是利用TCP協(xié)議本身的缺陷實施的攻擊，包才SYN-F100d和ACK-F100d攻擊，另一類是利用TCP全連接發(fā)起的攻擊(2)IP層協(xié)議攻擊是DoS最低層次的攻擊，攻擊方法是利用發(fā)送ICMP協(xié)議和IGMP協(xié)議的請求數(shù)據(jù)包實現(xiàn)，smurf攻擊就是利用IP層協(xié)議的一種攻擊方法。(3)常見的應用層DoS攻擊是腳本洪水攻擊ScriptFlood(4)同(1),它屬于傳輸層協(xié)議的DoS攻擊(5)同(2),它屬于網(wǎng)絡層協(xié)議的DoS攻擊FraggleDoS攻擊，其原理和Smurf攻擊原理相同，但是它所使用的是UDP數(shù)據(jù)包，所以也屬于傳輸層協(xié)議的DoS攻擊Land攻擊也是利用了TCP＞議的握手過程，在發(fā)送SYN數(shù)據(jù)包給目標主機之前，將該數(shù)據(jù)包的源地址和目的地址都設置成目標主機的IP地址，導致目標主機向自己的IP地址響應SYN+ACKa據(jù)包，結果又向自己發(fā)送ACK消息并創(chuàng)建一個空連接，每個空連接都將保留至超時，直至系統(tǒng)資源耗盡。所以Land攻擊也屬于傳輸層協(xié)議的DoS攻擊(8)保持長時間攻擊的TCP連接洪水攻擊，這種方法發(fā)起大量的攻擊連接后，會始終保持連接狀態(tài)，最終能讓目標服務器的服務端口上存在大量established狀態(tài)的連接，從而使目標主機的資源耗盡而完全崩潰，這種保持長時間攻擊的TCP連接洪水攻擊也屬于傳輸層協(xié)議的DoS攻擊UDP-F100d攻擊是一種典型的帶寬消耗型DoS攻擊，攻擊者制造出巨大流量的UDP數(shù)據(jù)包，發(fā)送到目標主機，從而完全占滿目標主機的網(wǎng)絡帶寬，達到拒絕服務的效果，這種攻擊屬于傳輸層協(xié)議的DoS攻擊PortConnectionFlood也稱為TCP全連接DoS攻擊，屬于傳輸層協(xié)議的DoS攻擊第12套.在網(wǎng)絡通信環(huán)境中，可能有下述攻擊：①泄密：將消息透露給沒有合法密鑰的任何人或程序。②傳輸分析：分析通信雙方的通信模式。在面向連接的應用中，確定連接的頻率和持續(xù)時間；在面向連接或無連接的環(huán)境中，確定雙方的消息數(shù)量和長度。③偽裝：欺詐源向網(wǎng)絡中插入一條消息。如攻擊者產(chǎn)生一條消息并聲稱這條消息是來自某合法實體，或者非消息接收方發(fā)送的關于收到或未收到消息的欺詐應答。④內容修改：對消息內容的修改，包括插入、刪除、轉換和修改。⑤順序修改：對通信雙方消息順序的修改，包括插入、刪除和重新排序。⑥計時修改：對消息的延時和重放。⑦發(fā)送方否認：發(fā)送方否認發(fā)送過某消息。⑧接收方否認：接收方否認接收到某消息。請回答下列題目(共6分)：防范前兩種攻擊的方法是；防范第3種到第6種攻擊的方法一般稱為【71】、【72】、【73]；防范第7種攻擊的方法屬于。（請以A、B、C、DE作答，每空1分）A、消息加密B、數(shù)字簽名G哈希函數(shù)D消息認證E、身份認證在利用SHAJJ法產(chǎn)生消息密文的認證碼時，認證碼的長度為【74】位。（1（3）在加密消息時，假設某用戶的RS心鑰為（e=3,n=15）。Bob發(fā)送消息m=5給Alice,則Bob對消息加密后得到的密文是【75】。（2分）.請回答有關數(shù)據(jù)庫自主存取控制的有關問題（每空1分，共4分）：（1）自主存取控制可以定義各個用戶對不同數(shù)據(jù)對象的存取權限，向用戶授予權限的SQL命令是【76]，如果指定了【77】子句，則獲得某種權限的用戶還可以把這種權限再授予其它的用戶；向用戶收回所授予權限的SQL命令是【78】。（2）對數(shù)據(jù)庫模式的授權則由DBA在創(chuàng)建用戶時實現(xiàn)，如果在CREATEUSER命令中沒有指定創(chuàng)建的新用戶的權限，默認該用戶擁有【79】權限。.下圖是TCP半連接掃描的原理圖。圖1為目標主機端口處于監(jiān)聽狀態(tài)時，TCP半連接掃描的原理圖；圖2為目標主機端口未打開時，TCP半連接掃描的原理圖。請根據(jù)TCP半連接掃描的原理，補全掃描過程中各數(shù)據(jù)包的標志位和狀態(tài)值信息（每空1分，共10分）。圖2目標主機端口未打開TC畔連接掃描原理圖請在下表中輸入【A】-【』代表的內容[A][80】[B][81】[C][82】[D][83】舊【84】[F1【85】[G!【86][H][87】[II【88】【』【89】4.SSLB議在連接過程中通常使用數(shù)字證書進行身份認證。如下圖所示，SSL?務器在進行SSL?接之前，需要事先向CA申請數(shù)字證書，再進行SSLE務器和客戶端之間的連接。請完成下列有關SSL＞議連接過程的題目（每空1分，共10分）：SSL＞議的連接過程，即建立SSL?務器和客戶端之間安全通信的過程，共分六個階段，具體連接過程如下：(1)SS導戶端發(fā)送ClientHello請求，將它所支持的加密算法列表和一個用作產(chǎn)生密鑰的隨機數(shù)發(fā)送給服務器。(2)SSL?務器發(fā)送ServerHello消息，從算法列表中選擇一種加密算法，將它發(fā)給客戶端，同時發(fā)送Certificate將SSL?務器的【90】發(fā)送給SS咯戶端；SSL＞務器同時還提供了一個用作產(chǎn)生密鑰的隨機數(shù)。(3)服務器可請求客戶端提供證書。這個步驟是可選擇的。SS留戶端首先對SSL?務器的數(shù)字證書進行驗證。數(shù)字證書的驗證包括對下列三部分信息進行確認：驗證【91】性，通過比較當前時間與數(shù)字證書截止時間來實現(xiàn)；驗證【92】性，查看數(shù)字證書是否已廢除，即查看數(shù)字證書是否已經(jīng)在【93】中發(fā)布來判斷是否已經(jīng)廢除；驗證【94】性，即數(shù)字證書是否被篡改，SS咯戶端需要下載【95】的數(shù)字證書，利用其數(shù)字證書中的【96】驗證SSL＞務器數(shù)字證書中CA的【97】。接著，客戶端再產(chǎn)生一個pre_master_secret隨機密碼用，并使用SSL＞務器數(shù)字證書中的【98】對其進行加密，并將加密后的信息發(fā)送給SSL?務器。SSLK務器禾I」用自己的【99】解密pre_master_secret隨機密碼用，然后SSL客戶端與SSL＞務器端根據(jù)pre_master_secret以及汆戶端與服務器的隨機數(shù)值，各自獨立計算出會話密鑰和MAC密鑰。最后，客戶端和服務器彼此之間交換各自的握手完成信息。1、解析：題意中給出網(wǎng)絡通信環(huán)境可能有的幾種攻擊，防范前兩種攻擊的方法屬于消息保密范疇，使用消息加密的方法；防范第3到第6種攻擊的方法一般稱為消息認證；防范第7種方法屬于數(shù)字簽名；防范第8種攻擊需要使用數(shù)字簽名和為抗此種攻擊而設計的協(xié)議；本題答案：A、D、BSHA算法輸出的^^要長度為160位，所以利用SHA算法產(chǎn)生消息密文的認證碼長度為160位本題答案：160RSAM法步驟：隨機選擇兩個大素數(shù)p和q,計算n=pq,將n公開；計算小(n)=(p1)(q-1),小(n狠密隨機選擇一個正整數(shù)e,1＜E＜①(N)且E與①(N以素，將E公開，E和N就構成了用戶的公鑰；④根據(jù)edm1mod(|)(n)f算出d,d保密，d和n就構成了私鑰；⑤加密運算為：C=Memodn,解密運算為：M=Cdmodn。本題中，e=3,n=15,m=5,所以加密后的密文C=53mod15=5密文為5。本題答案：52、解析：(1)自主存儲控制主要通過SQL的GRANT語句和REVOKES旬來實現(xiàn)，GRANT語句向用戶授予權限，如果指定了WITHGRANTOPTIO吁句，則獲得某種權限的用戶還可以把這種權限再授予其他用戶；REVOKE?句收回授予的權限；本題答案：GRANTWITHGRANTOPTIONREVOKECREATEUSER令中如果沒有指定創(chuàng)建的新用戶權限，默認該用戶擁有CONNECT^。本題答案：CONNECT3、解析：TCP協(xié)議通過三次握手建立連接的原理如下：①第一次握手：源主機給目標主機發(fā)送一個SYNB志位為1的數(shù)據(jù)包，希望與目標主機建立同步連接，在TCP數(shù)據(jù)包中設置了源主機和目標主機的IP和端口，假設此數(shù)據(jù)包的序號SEQ為X。②第二次握手：目標主機收到源主機的數(shù)據(jù)包后，目標主機返回數(shù)據(jù)包，表示同意建立連接，返回包中SYN和ACK標志位均為1,SEQ為Y,并將確認好設置為X+1。③第三次握手：源主機收到目標主機的返回包后，再向目標主機發(fā)送一個ACK標志位為1的應答包，表示連接建立。此數(shù)據(jù)包的序號SEQ為X+1,確認號為Y+1。以上就是TCP三次握手白原理；TCPSYNH描也稱為TCP半連接掃描，它利用了TCP三次握手中的前兩次握手，因為沒有建立三次握手的全連接，只是利用了兩次握手，所以稱為半連接。其執(zhí)行過程為：源主機向目標主機發(fā)送第一次握手的SYN標志位為1數(shù)據(jù)包，目標主機收到第一次握手的數(shù)據(jù)包后，返回第二次握手數(shù)據(jù)包，表示同意建立連接，返回包中SYN和ACK標志位均為1;如果能收到第二次握手的數(shù)據(jù)包，這就表示目標主機端口是開放的，此時源主機不必回應第三次握手的數(shù)據(jù)包，而是發(fā)送RSTB志位為1的數(shù)據(jù)包給目標主機，從而拒絕和目標主機建立TCP的全連接；如果遠端目標主機的端口未開放，目標主機則會回應RST標志位為1的數(shù)據(jù)包給源主機，因此源主機可以根據(jù)目標主機回應的數(shù)據(jù)包判斷目標主機的端口是否打開。本題答案：[A]SYN【B】1[C]SYN【D】ACK【日RST【F】ACK【G】SYN[H11[I]RST【』ACK4、解析：SSL＞議的連接過程，即建立SSLK務器和客戶端之間安全通信的過程，共分6個階段：①客戶端發(fā)送ClientHello請求，將它所支持的加密算法列表和一個用作產(chǎn)生密鑰的隨機數(shù)發(fā)送給服務器。②服務器發(fā)送ServerHello消息，從算法列表中選擇一種加密算法，將它發(fā)送給客戶端。同時發(fā)送Certificate消息，將包含服務器公用密鑰的證書發(fā)送給客戶端。該證書還包含了用于認證的服務器標識，服務器同時還提供了一個用作產(chǎn)生密鑰的隨機數(shù)。③如果服務器請求客戶端提供證書，則客戶端將發(fā)送Certificate消息，將數(shù)字證書發(fā)送給服務器，服務器對客戶端的數(shù)字證書進行驗證，這一步驟可選。④服務證書發(fā)給客戶端后，客戶端對服務器的證書進行驗證并抽取服務器的公鑰。其中證書的驗證需要對證書作以下3部分信息確認：驗證有效性：通過比較當前時間與證書截止時間來確認；驗證可用性：通過查看證書是否在證書黑名單CRL＞確認；驗證真實性：即證書是否為可信任的證書認證機構CA簽發(fā)，通過數(shù)字證書中的公鑰驗證SSUK務器數(shù)字證書中的數(shù)字簽名來確認接著客戶端再產(chǎn)生一個pre_master_secret隨機密碼用,使用服務器的公鑰對其進行加密，并將加密后的信息發(fā)送給血務器。⑤SSL服務器利用自己的私鑰解密pre_master_secret隨機密碼用,然后客戶端與服務器根據(jù)pre_master_secret以及行戶端與服務器的隨機數(shù)值各自獨立計算出會話密鑰和MAC密鑰。⑥客戶端和服務器彼此之間交換各自的握手完成信息，客戶端向服務器發(fā)送類型為Client_Finished的消息表示認證完成，服務器向客戶端發(fā)送類型為Service_Finished的消息表示認證完成。本題答髭（2）證書有效可用、黑名單CRL真實、CA、公鑰、數(shù)字簽名（5）私鑰第11套.計劃構建一個基于密碼機制的網(wǎng)絡數(shù)據(jù)安全傳輸系統(tǒng)，假設數(shù)據(jù)收發(fā)兩端的用戶分別為Alice和Bobo請回答下述問題（共6分）：1）為了協(xié)商并保護數(shù)據(jù)傳輸密鑰，一種簡單有效的做法是采用公鑰密鑰體制：首先，Alice在發(fā)送數(shù)據(jù)前，隨機生成一個對稱密鑰，然后使用Bob的【71】對該密鑰進行加密，并發(fā)送給Bob;然后，Bob收到密文后，使用自己的【72】進行解密即可得到Alice生成的對稱密鑰。（每空1分，共2分）2）為了同時確保數(shù)據(jù)的完整性，可以利用MD5T生消息密文的認證碼，該認證碼的長度為【73】位。（1分）3）假設Alice的RSA公鑰為（e=3,n=15）。Bob發(fā)送消息m=4給Alice,則Bob對消息加密后得到的密文是【74】。已知素數(shù)p=3,q=5,則Alice的私鑰d=75】。（第1空1分，第2空2分）.文件系統(tǒng)安全是UNIX/Linux系統(tǒng)安全的核心，請按要求完成相關的下列題目（每空1分，共4分）：1）如圖所示，樹中的每項都由若干屬性來描述，這些屬性大多數(shù)保存在磁盤中一個稱為“i節(jié)點（inode）”的數(shù)據(jù)結構中。UNIX文件系統(tǒng)安全就是基于i節(jié)點中三段關鍵信息：UID、GID和模式。其中，UID是指【76】、模式是指【77】（請從下列A-F選項中選擇正確的序號作答）。A、文件擁有者B、文件創(chuàng)建者>C文件所在分組D文件所在盤符E、文件的權限設置F、文件的操作類型2)使用ls命令查看UNIX文件權限顯示的結果為“-rw-rw-rw-"，其中第一個“-”表示【78】(請從下列A-D選項中選擇正確的序號作答)。A、任何人無法寫入該文件B、該文件是一個正規(guī)文件C、該文件不屬于任何分組D該文件是一個二進制文件3)在圖中，表示特殊設備文件的目錄文件是[79]o.在一個基于公鑰密碼機制的安全應用系統(tǒng)中，假設用戶Alice和Bob分別擁有自己的公鑰和私鑰。請回答下述問題：(每空1分，共6分)(1)在選擇公鑰密碼RSAECC?口曰Gamal時，為了在相同安全性的基礎上采用較短的密鑰，應該選擇其中的【80]，且應確保選取白參數(shù)規(guī)模大于【81】位。(2)為了獲得兩方安全通信時所需的密鑰，應用系統(tǒng)采用了基于中心的密鑰分發(fā)，利用可信第三方KDC^實施。圖1所示的密鑰分發(fā)模型是【82】模型，圖2所示的密鑰分發(fā)模型是【83】模型?！?3)為了預防Alice抵賴，Bob要求Alice對其發(fā)送的消息進行簽名。Alice將使用自己的【84】對消息簽名；而Bob可以使用Alice的【85】對簽名進行驗證。.為了增強數(shù)據(jù)庫的安全性，請按操作要求補全SQL語句(每空1分，共4分)：(1)創(chuàng)建一個角色R1:【86】R1;(2)為角色R1分配Student表的INSERTUPDATESELECT^限：【87】INSERT,UPDATE,SELECTONTABLEStudentTOR1;(3)減少角色R1的SELECTS限：【88】SELECTONTABLEStudentFROMR1;(4)將角色R1授予王平，使其具有角色R1所包含的全部權限：[89]R1TO王.請完成下列各題(每空1分，共10分)：TCP全連接端口掃描技術是利用TCP的三次握手，探測目標主機的網(wǎng)絡端口是否處于打開狀態(tài)。下圖是TCP三次握手的示意圖，請補充完整相應的標志位和確認號。[11【90】[2]【91】【3】【92】[4]【93】【5】【94】[6]【95】TCPSYNB描也稱為TCP的半連接掃描，其執(zhí)行過程為：源主機向目標主機發(fā)送第一次握手的數(shù)據(jù)包，如果能收到目標主機返回的第二次握手的數(shù)據(jù)包，就可知目標主機的端口是開放的；源主機發(fā)送【96】標志位為【97】的數(shù)據(jù)包給目標主機，從而拒絕和目標主機建立TCP的全連接；如果遠端目標主機的端口未開放，目標主機則會回應【98】標志位為【99】的數(shù)據(jù)包給本地主機。因此，源主機可以根據(jù)目標主機回應的數(shù)據(jù)包判斷端口是否打開。1、解析：1)由于使用公鑰密碼體制傳輸密鑰，所以Alice需要使用Bob的公鑰對隨機生成的對稱密鑰進行加密，并發(fā)送給Bob;當Bob收到密文后，使用自己的私鑰進行機密即可獲得Alice生成的隨機對稱密鑰。2)消息摘要算法MD5可以對任意長度的明文產(chǎn)生128位的消息摘要，所以若使用MD5產(chǎn)生消息密文的認證碼，那么認證碼長度為12位。RSA算法步驟：(1)隨機選擇兩個大素數(shù)p和q,計算n=pq,將n公開；(2)計算小(n)=(p1)(q-1),小(n加密(3)隨機選擇一個正整數(shù)e,1<E<D(N)且E與①(N以素，將E公開，E和N就構成了用戶的公鑰；(4)根據(jù)edm1mo3(n計算出d,d保密，d和n就構成了私鑰；(5)加密運算為：C=Memodn,解密運算為：M=Cdmodn。本題中，e=3,n=15,m=4,所以加密后的密文C=43mod15=4由p=3,q=5,可知小(n)=8再由edmImo%(n),即3d三1mod8,可知d=3。2、解析：UNIX文件系統(tǒng)安全就是基于i節(jié)點中3段關鍵信息：UIDGID模式，其中UID表示文件擁有者、GID表示文件所在分組，模式表示文件的權限設置。ls命令查看UNIX文件權限的結果”-rw-rw-rw-"，其中第一個”，表示該文件的類型，屬于一個普通正規(guī)文件。UNIX目錄結構中，/dev表示特殊設備的目錄文件。3、解析：1)對于公鑰加密算法，同等安全性的基礎上，RSM口ElGamel的密鑰長度比ECC的密鑰長度長，為了安全性，盡量將選取的EC%鑰長度規(guī)模大于160位。2)基于中心的密鑰分發(fā)利用可信任的第三方，進行密鑰分發(fā)實質上是利用公開密鑰密碼體制分配傳統(tǒng)密碼的密鑰，第三方在其中扮演兩種角色：KDC或KTC基于中心的密鑰分發(fā)有兩種模型：拉模型和推模型，對于需要通信的Alice和Bob,拉模型是指Alice在通信前先從KDC獲取一個密鑰；推模型是指Alice首先與Bob建立聯(lián)系，然后讓Bob從KDC取得密鑰。3)為了預防Alice抵賴，Bob要求Alice對其發(fā)送的消息進行簽名，所以Alice需要使用自己的私鑰對消息進行加密，Bob收到后使用Alice的公鑰進行解密，以驗證Alice的身份。4、解析：SQL中，創(chuàng)建角色使用CREATEROLE旬，本題答案為：CREATEROLESQL中，創(chuàng)建角色后，使用GRANTS句給角色授權。本題答案為：GRANT3)減少角色R1的SELEC權限，需要使用REVOKED令回收權限，本題答案為REVOKE4)同2),授予權限使用GRAN飾令，本題答案為GRANT5、解析：1)本題中，TCP*議通過三次握手建立連接的原理如下：(1)第一次握手：client給server發(fā)送一個SYNfe志位為1的數(shù)據(jù)包，希望與server建立同步連接，在TCP數(shù)據(jù)包中設置了client和server的IP和端口，假設此數(shù)據(jù)包的序號SEQ為X。(2)第二次握手：server收到client的數(shù)據(jù)包后，server返回數(shù)據(jù)包，表示同意建立連接，返回包中SY用口ACK標志位均為1,SEQ為Y,并將確認好設置為X+1。(3)第三次握手：client收到server的返回包后，再向server發(fā)送一個ACK標志位為1的應答包，表示連接建立。此數(shù)據(jù)包的序號SEQ為X+1,確認號為丫+1。第10套為了構建一個基于公有云的數(shù)據(jù)共享系統(tǒng)，要求：①數(shù)據(jù)加密之后上傳到云服務器；②需要校驗存儲在云服務器數(shù)據(jù)的完整性；③數(shù)據(jù)加密密鑰需要安全地發(fā)送給允許訪問數(shù)據(jù)的用戶。請根據(jù)題意完成下列各題。(每空1分，共6分)假設要構建的應用系統(tǒng)允許使用的密碼學算法包括MD5SHA1AESRSAECC算法。(1)在數(shù)據(jù)上傳之前，需要采用高效、安全的加密算法對數(shù)據(jù)進行加密，可采用的加密算法為【71】。(2)為了校驗數(shù)據(jù)的完整性，需要計算所上傳數(shù)據(jù)的消息摘要，為了獲得更高的安全性，應該采用的密碼學算法為【72】o(3)假設用戶B的公鑰為PUB私鑰為PRI,為了將數(shù)據(jù)加密密鑰發(fā)送給用戶B,數(shù)據(jù)上傳者將使用B的【73】對該密鑰進彳T加密；用戶B則使用自己的【74】進行解密。(4)消息摘要算法MD5寸任意長度的明文產(chǎn)生【75】位的消息摘要。(5)為了確保RSA?碼的安全，模數(shù)n至少【76】位。(1)【答案】AES題目給出的算法中，MD5、SHA1都屬于哈希函數(shù)，屬于單向密碼體制，從明文到密文是不可逆的映射，也就是說它們只有加密過程，沒有解密過程；AES屬于對稱加密算法，RSA和ECC#法都屬于公鑰加密算法，對稱加密算法的優(yōu)點是加解密處理速度快、安全性高；公鑰加密算法的優(yōu)點是密鑰分配方便，安全性高，但加解密效率低，題意要求數(shù)據(jù)上傳前，對數(shù)據(jù)加密，上傳到服務器后，還需要還原數(shù)據(jù)，且需要高效、安全的加密算法，所以可采用AES#法。本題答案為：AES(2)【答案】SHA1哈希函數(shù)算法可以用來校驗數(shù)據(jù)的完整性，所以可以使用哈希函數(shù)算法對數(shù)據(jù)計算消息摘要，可選算法中有MD5和SHA1,MD5與SHA1相比：由于SHA1所產(chǎn)生的摘要比MD5長32位，所以通常SHA1比MD5更安全，為了獲得更高的安全性，應該采用SHA1算法。本題答案為：SHA1(3)【答案】公鑰PUB私鑰PRI由于需要將數(shù)據(jù)加密密鑰發(fā)送給用戶B,而且數(shù)據(jù)加密密鑰是需要高度保密的，所以數(shù)據(jù)上傳者需要使用B的公鑰PUB對數(shù)據(jù)加密密鑰進行加密，這樣就只有用戶B才可以使用自己的私鑰PRI解密，得到數(shù)據(jù)加密密鑰。本題答案為：公鑰PUB私鑰PRI(4)【答案】128消息摘要算法MD5可以對任意長度的明文產(chǎn)生128位的消息摘要。本題答案為:128(5)【答案】1024為了保證RSA密碼的安全，應當采用足夠大的模數(shù)n,目前普遍認為，n至少應該取1024位，最好是2048位。本題答案為：1024為了增強UNIX/Linux系統(tǒng)的安全，請按要求完成下列相關的題目。(每空1分,共4分)(1)UNIX文件系統(tǒng)安全就是基于【71】中三段關鍵信息：UID、GID和模式。(2)查看UNIX文件權限的命令：$【72]-l。(3)為一個文件的擁有者授予可讀和可寫權限，給分組和其它用戶只有可讀權限，則權限位為“rw-r--r--"。將該權限位用八進制數(shù)表示為【73】。(4)如果要給文件foo的分組以讀權限，則使用如下命令：$【74]g+rfoo。(1)【答案】i結點i結點是數(shù)據(jù)結構，一個文件系統(tǒng)中的每個i結點有一個唯一的數(shù)字，每個文件有不同的i結點。i結點關注UNIX文件系統(tǒng)中所有的文件活動，UNIX文件系統(tǒng)安全就是基于i結點中3段關鍵信息：UID、GID和模式。本題答案為：i結點(2)【答案】ls文件權限是UNIX文件系統(tǒng)安全的關鍵，使用ls-l命令可以查看UNIX文件權限。本題答案為：ls(3)【答案】644UNIX系統(tǒng)的每個文件和目錄有3組權限與之相關：一組為文件的擁有者，一組為文件所屬分組的成員，一組為其他用戶，每組權限有3個權限控制位來控制可讀(r)、可寫(w)和可執(zhí)行(x)權限，權限控制位還可以使用一個八進制數(shù)來表示，題意中的權限位為：“rwr—r--”對應的二進制為：110100100,每3位轉換為一位八進制位：644。本題答案為：644(4)如果要給文件foo的分組以讀權限，可以使用命令：chmodg+rfoo本題答案為：chmod請完成下列題目。(每空1分，共10分)IPSec協(xié)議是一組開放協(xié)議的總稱，和SSL協(xié)議不同，IPSec協(xié)議對【71】層協(xié)議數(shù)據(jù)封裝后進行傳輸，而SSL協(xié)議對【72】層協(xié)議數(shù)據(jù)進行加密后傳輸。IPSec協(xié)議包括網(wǎng)絡安全協(xié)議和密鑰協(xié)商協(xié)議兩部分。其中，網(wǎng)絡安全協(xié)議又包括兩種協(xié)議。根據(jù)對數(shù)據(jù)包中封裝內容的不同，這兩種協(xié)議又分為兩種封裝模式。下面的圖1至圖4為兩種協(xié)議不同模式下的封裝格式示意圖，請補充圖中的內容。圖1【73】協(xié)議【74】模式的封裝格式圖2【75】協(xié)議【76】模式的封裝格式圖3【77】協(xié)議【78】模式的封裝格式圖4【79】協(xié)議【80】模式的封裝格式（1）【答案】網(wǎng)絡應用IPSecB議是一組開放協(xié)議的總稱，它包括網(wǎng)絡安全協(xié)議和密鑰協(xié)商協(xié)議兩部分，和SSL＞議不同，IPSecB議對網(wǎng)絡層協(xié)議數(shù)據(jù)封裝后進行傳輸，而SSL＞議對應用層協(xié)議數(shù)據(jù)進行加密后傳輸。本題答案為：網(wǎng)絡應用（2）【答案】安全載荷封裝（ESP傳輸（安全載荷封裝（ESP隧道）認證協(xié)議頭（AH）傳輸（認證協(xié)議頭（AH）隧道）IPSecB議包括網(wǎng)絡安全協(xié)議和密鑰協(xié)商協(xié)議兩部分，網(wǎng)絡安全協(xié)議又包括認證協(xié)議頭（AH）協(xié)議和安全載荷封裝（ESP協(xié)議根據(jù)ES叫裝的內容不同，可將ES吩為傳輸模式和隧道模式兩種模式：傳輸模式下，ESP寸于要彳^輸?shù)腎P數(shù)據(jù)包中的IP有效數(shù)據(jù)載荷進行加密和認證，ESPfi頭寸S在IP報頭和IP有效數(shù)據(jù)載荷之間；ESPU證報尾提供了對前面ESPfi頭、IP有效數(shù)據(jù)載荷和ESP艮尾的完整性校驗，如本題中的圖1所示。和傳輸模式不同的是，隧道模式下ESP首先對于要彳^輸?shù)恼麄€IP數(shù)據(jù)包進行加密，包含原有的IP報頭，然后在原有IP數(shù)據(jù)包外面再附加一個新的IP報頭，在這個新的IP報頭中，源IP地址為本地網(wǎng)關設備的IP地址，目標IP地址為遠端VPN網(wǎng)關設備的IP地址。兩個VPN網(wǎng)關設備之間通過其自身的IP地址實現(xiàn)網(wǎng)絡尋址和路由，從而隱藏了原IP數(shù)據(jù)包中的IP地址信息。如本題中的圖2所示。根據(jù)封裝格式不同，AH協(xié)議也可分為傳輸模式和隧道模式兩種模式傳輸模式：AH報頭被插在IP數(shù)據(jù)包的IP頭后，有效數(shù)據(jù)載荷之前，對整個新IP數(shù)據(jù)包進行完整性檢驗認證，如本題中的圖3所示。索道模式：IP數(shù)據(jù)包格式不