2024年信息安全工程師考試記憶點(diǎn)總結(jié)

試題一(共20分)

【闡明】

密碼編碼學(xué)是研究把信息(明文)變換成沒(méi)有密鑰就不能解讀或很難解讀的I密文的措施,

密碼分析學(xué)曰勺任務(wù)是破譯需碼或偽造認(rèn)證密碼。

【問(wèn)題1](10分)

一般一種密碼系統(tǒng)簡(jiǎn)稱密碼體制，請(qǐng)簡(jiǎn)述密碼體制口勺構(gòu)成。

密碼體制由如下五個(gè)部分構(gòu)成：

(1)明文空間M:全體明文的集合。

(2)密文空間C:全體密文日勺集合。

(3)加密算法E：一組明文M到密文C曰勺加密變換。

(4)解密算法D：一組密文C到明文M的)加密變換。

(5)密鑰空間K:包括加密密鑰(和解密密鑰的全體密鑰集合。

【問(wèn)題2】(3分)

根據(jù)所基于的數(shù)學(xué)基礎(chǔ)的不同樣，非對(duì)稱密碼體制一般分為(1)、(2)、(3)o

(1)基于因子分解。

(2)基于離散對(duì)數(shù)。

(3)基于橢圓曲線離散對(duì)數(shù)。

【問(wèn)題3](2分)

根據(jù)密文數(shù)據(jù)段與否與明文數(shù)據(jù)段在整個(gè)明文中的位置有關(guān),可以將密碼體制分為(4)

體制和(5)體制。

(4)分組密碼。

(5)序列密碼。

【問(wèn)題4](5分)

在下圖給出的加密過(guò)程中,m(i=1,2，…,n)體現(xiàn)明文分組，c.(i=l,2，…,n)體現(xiàn)密文分組，K

體現(xiàn)密鑰，E體現(xiàn)分組加密過(guò)程。該分組加密過(guò)程屬于哪種工作模式?這種分組密碼的工作

模式有什么缺陷？

該加密過(guò)程屬于CBC的密文鏈接方式。

CBC的密文鏈接方式下:加密會(huì)引起錯(cuò)誤傳播無(wú)界解密弓1起錯(cuò)誤傳播有界°CBC不利于并行

計(jì)算。

拓展:密碼分組鏈接模式(CBC)可以分為密文鏈接方式和明密文鏈接方式。

(1)CBC的密文鏈接方式。

密文鏈接方式中,輸入是目前明文組與前一密文組的異或。CBC的密文鏈接方式下:加密會(huì)

引起錯(cuò)誤傳播無(wú)界,解密弓I起錯(cuò)誤傳播有界，CBC不利于并行計(jì)算。

(2)CBC日勺明密文鏈接方式。

明密文鏈接方式中，輸入是前一組密文和前一組明文異或之后，再與目前明文組異或。CB

C的明密文鏈接方式下:加密和解密均會(huì)引起錯(cuò)誤傳播無(wú)界。

試題二(共15分)

【闡明】

RSA是經(jīng)典日勺非對(duì)稱加密算法該算法基于大素?cái)?shù)分解。關(guān)鍵是模騫運(yùn)算。運(yùn)用RSA密

碼可以同步實(shí)現(xiàn)數(shù)字簽名和數(shù)據(jù)加密。

【問(wèn)題1】(3分)

簡(jiǎn)述RSA日勺密鑰生成過(guò)程。

選出兩個(gè)大質(zhì)數(shù)p和q,使得pKq

計(jì)算pxq=n

計(jì)算(p(n)=(p-l)x(q-1)

選擇e,使得l<e<e-l)x(q-i),并且e和(p-1)x(q-l)互為質(zhì)數(shù)

計(jì)算解密密鑰，使得ed=1mod(p-1)x(q-1)

公鑰二e,n

私鑰=d,n

公開(kāi)n參數(shù)，n又稱為模

消除原始質(zhì)數(shù)p和q

【問(wèn)題2](4分)

簡(jiǎn)述RSA的加密和解密過(guò)程。

設(shè)定C為密文，M為明文：

加密：

C二modn

解密：

M=C"mOdn

【問(wèn)題3](4分)

簡(jiǎn)述RSA的數(shù)字簽名過(guò)程。

設(shè)M為明文,M的簽名過(guò)程為:

簽名:M"modn

驗(yàn)證簽名：(M')emodn

【問(wèn)題4](4分)

在RSA中，已獲取顧客密文C=10,該顧客的公鑰e=5,n=35,求明文

M=5

解:已知n=35,得到p和q分別為5和7；

計(jì)算(P(n)=(p-1)x(q-i)=24

已知公鑰e=5,又由于私鑰d滿足ed=lmod(p-l)x(q-l),因此d=5

明文M二C'modn=10!mod35=5

試題三(英10分)

【闡明】

閱讀下面程序，回答'可題1至問(wèn)題3。

voidfunctiofl(char*str)

(

charbuffa[16]r

$trcpy(bufifei,str),

)

voidmain()

(

intL

charbuflferll28],

6?0=0?1<127,1升)

buffe[i]—A',

bq啊]2N

fimction(buffer),

pxinU^Thisisatest\nw),

i

J

【問(wèn)題1】(3分)

上述代碼能否輸出“Thisisatest”?上述代碼存在什么類型口勺隱患？

不能。(1分)

代碼存在緩沖區(qū)溢出錯(cuò)誤,(2分)

【問(wèn)題2](4分)

導(dǎo)致上述隱患日勺原因是？

(1)function()函數(shù)將長(zhǎng)度為128字節(jié)日勺字符串拷貝到只有16字節(jié)的緩沖區(qū)中去。(2

(2)strcpy()函數(shù)進(jìn)行字符串拷貝時(shí),沒(méi)有進(jìn)行緩沖區(qū)越界險(xiǎn)查。(2分)

【問(wèn)題3】(3分)

給出消除該安全隱患的I思緒。

防備緩沖溢出日勺方略有:

?系統(tǒng)管理防備方略:關(guān)閉不必要的特權(quán)程序、及時(shí)打好系統(tǒng)補(bǔ)丁。（1分）

軟件開(kāi)發(fā)的防備方略對(duì)的編寫代碼、緩沖區(qū)不可執(zhí)行、改寫C語(yǔ)言函數(shù)庫(kù)、程序指針完整

性檢查、堆棧向高地址方句增長(zhǎng)等。（2分）

試題分析

C語(yǔ)言程序在內(nèi)存中分為三個(gè)部分：程序段、數(shù)據(jù)段和堆棧。程序段里寄存程序的機(jī)器碼和

只讀數(shù)據(jù);數(shù)據(jù)段寄存程序中的靜態(tài)數(shù)據(jù);動(dòng)態(tài)數(shù)據(jù)則通過(guò)堆棧來(lái)寄存。在內(nèi)存中，它們的位置

如下圖所示。

內(nèi)存高位

堆棧

數(shù)據(jù)段

程序段

內(nèi)存低位

Function。函數(shù)將長(zhǎng)度為128字節(jié)的字符串拷貝到只有16字節(jié)的緩沖區(qū)中去；而調(diào)用

strcpy（）函數(shù)進(jìn)行字符串拷貝時(shí)，沒(méi)有進(jìn)行緩沖區(qū)越界檢查。

下圖中可以看到執(zhí)行tunctlon（）函數(shù)前后H勺堆棧狀況。

程序執(zhí)行function。函數(shù)完畢時(shí)，由于緩沖區(qū)溢子程序的返回地址被覆蓋，變成

了0x41414141（AAAA的ASCII碼體現(xiàn),A日勺ASCI碼為0x41）。因此無(wú)法執(zhí)行prin

tf'Thisisatest\n"）語(yǔ)句。此時(shí)，返回地址已經(jīng)不正常，也無(wú)法估計(jì)會(huì)執(zhí)行什么指令。

內(nèi)存高位…

壓入堆棧中

A

的參數(shù)

???

返回地址AAAA

少最緩存在此向上共256個(gè)A

緩存16個(gè)A

16字節(jié)空間內(nèi)存低位

執(zhí)行strcpyO能執(zhí)行strcpyf)后

試題四(送15分)

【闡明】

某企業(yè)通過(guò)PIX防火墻接入Internet,網(wǎng)絡(luò)拓?fù)淙缦聢D所示。

在防火墻上運(yùn)用show命令查詢目前配置信息如下：

PIX#showconfig

nameifeth0outsidesecurity0

nameifethlinsidesecurity100

nameifeth2dmzsecurity40

fixupp「otoco1ft321(1)

fixupprotocol80

ipaddressoutside61.144.51.42255.255.255.248

ipaddressins1de192.168.0.1255.255.255.0

ipaddressdmz10.10.0.1255.255.255.0

globa1(outside)161.14<>4.51.46

nat(inside)10。.0.0.00.0.0.0

【問(wèn)題1】（4分）

解釋（1）、（2）處畫線語(yǔ)句曰勺含義。

（1）啟用FTP服務(wù)（2分）

（2）設(shè)置ethO口的默認(rèn)路由，指向61.144.51.45,且跳步數(shù)為1（2分）

【問(wèn)題2］（6分）

根據(jù)配置信息填寫如下表格。

習(xí)題用表

域名稱接口名稱IP地址IP地址掩碼

1nsideEthl(3)2

OutsideEthO6⑷

Dmz(5)(6)2

(3)(1.5^)

(4)255.255.255.248(1.5分)

(5)eth2(L5分)

(6)10.10.0.1(1.5分)

【問(wèn)題3】(2分)

根據(jù)所顯示的配置信息，由inside域發(fā)往Internet的IIP分組在抵達(dá)路由器RI時(shí)的源

IP地址是(7)o

(

【問(wèn)題4】(3分)

假如需要dmz域日勺服務(wù)器(IP地址為10.10.0.1C0)對(duì)Internet顧客提供Web服

務(wù)(對(duì)外公開(kāi)IP地址為61.144.51.43),請(qǐng)補(bǔ)充完畢下列配置命令。

PIX(conf1g)#static(dmz,outs1de)⑻⑼

P1X(contig)#conduitpermittcphost(10)eqany

(8)61.144.51.43(1分)

(9)10.10.0.100(1分)

(10)61.144.51.43(1分)

試題分析

Fixup命令可以啟用或者嚴(yán)禁特定的)服務(wù)、協(xié)議。

題干出現(xiàn)口勺PIX配置語(yǔ)句含義解釋如下：

PIX#showconfig

nameifeth0outsidesecurity。。//ethO接口命名為outside,安全級(jí)別設(shè)置為0

nameifeth1insidesecurity100〃eth1接口命名為inside,安全級(jí)別設(shè)置為

100

nameifeth2dmzsecurity40//eth2接口命名為dm乙安全級(jí)別設(shè)置為40

fixupprotocolftp21。//啟動(dòng)FTP協(xié)議，容許21端口日勺數(shù)據(jù)通過(guò)

fixupprotocol80。//啟動(dòng)協(xié)議，容許80端口日勺數(shù)據(jù)通過(guò)

//配置outside接口IP地址與掩碼

ipaddressin。//配置inside接口IP地址與掩碼

//配置dmz接口IP地址與掩碼

global(outside)1。61.144.51.46。。//經(jīng)outside接.46,全局地址池標(biāo)志為1,因

此由inside域發(fā)往Internet日勺IP分組，在抵達(dá)路由器R1時(shí)的源IP地址是61.144.51.46

nat(inside)1。〃所有地址按地址池1定義進(jìn)行地址轉(zhuǎn)換

routeoutside000.0OOO.061,144.51.451。//設(shè)定默認(rèn)路由，所

有數(shù)據(jù)通過(guò)61.144.51.45轉(zhuǎn)發(fā)

使用static命令配置靜態(tài)地址映射，使得內(nèi)外部地址一一對(duì)應(yīng)。

Firewall(config)#static(1nternaIJnterface_name,external_mterfac

e_name)outside_1p_addressinsideJp_address

其中internal_interface_name體現(xiàn)內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高，如inside;

external_interface_name體現(xiàn)外部網(wǎng)絡(luò)接口，安全級(jí)別較低，如outside;

outside_ip_address體現(xiàn)共有IP地址:inside_ip_address體現(xiàn)被轉(zhuǎn)換的IP地址。

假如需要dmz域的服務(wù)器(IP地址為10.10.0.100)對(duì)Intemet顧客提供Web服

務(wù)(對(duì)外公I(xiàn)TIP地址為61.144.51.43),就需要完畢兩步工作：

①將10.10.0.100和61,144.51.43建立映射關(guān)系。

PIX(config)#static(dmz.outs1de)61.144.51.4310.10.0.100可以完

畢這種映射。

②防火墻上放開(kāi)外網(wǎng)地址曰勺80端口。

PIX(config)#conduitpermittcphost61.144.51.43eqany可以完畢

端口放開(kāi)日勺任務(wù)。

試題五（站15分）

【闡明】

某企業(yè)在企業(yè)總部和分部之間采用兩臺(tái)WindowsServer2023服務(wù)器布署企業(yè)

IPSecVPN,將總部和分部口勺兩個(gè)子網(wǎng)通過(guò)Internet互連，如下圖所示。

Internet

【問(wèn)題1】（3分）

隧道技術(shù)是VPN的基本技術(shù),隧道是由隧道協(xié)議形成日勺，常見(jiàn)隧道協(xié)議有IPSec、PPT

P和L2TP,其中（1）和（2）屬于第二層隧道協(xié)議，（3）屬于第三層隧遣協(xié)議。

（1）PPTP

（2）L2TP（1.2次序可調(diào)換）

(3)IPSec

【問(wèn)題2](3分)

IPSec安全體系構(gòu)造包括AH,ESP和ISAKMP/。ak■|ey等協(xié)議。其中，(4)為IP

包提供

信息源驗(yàn)證和報(bào)文完整性驗(yàn)證，但不支持加密服務(wù);(5)提供加密服務(wù)；(6)提供密鑰管理服務(wù)。

(4)AH

(5)ESP

(6)ISAKMP/Oakley

【問(wèn)題3】(6分)

設(shè)置ServerA和ServerB之間通信日勺“篩選器屬性”界面如圖1所示，在Serv

erA的IPSec安全方略配置過(guò)程中，當(dāng)源地址和目的地址均設(shè)置為“一種特定的IP子網(wǎng)”

時(shí),源子網(wǎng)IP地址應(yīng)設(shè)為⑺，目的子網(wǎng)IP地址應(yīng)設(shè)為⑻。如圖2所示的隧道設(shè)置中的隧道

終點(diǎn)IP地址應(yīng)設(shè)為(9)。

圖1“締選器屬性”對(duì)話框圖2"編輯規(guī)劃屬性”對(duì)話框

【問(wèn)題4](3分)

在ServerA曰勺IPSec安全方略配置過(guò)程中,ServerA和ServerB之間通信的IPSec篩選

器“許可”屬性設(shè)置為“協(xié)商安全”，并且安全措施為"加密并保持完整性”，如圖3所示。

根據(jù)上述安全方略填寫圖4中口勺空格，體現(xiàn)完整的IPSec數(shù)據(jù)包格式。

r

t-

三芝」

二--I

rMTMatfHi.JJ

r金夕tENFHte，。

■U?L-1*,■**?*?a**?**,-?■<一■?—?I

CMJ-Jwj.a」

?一\?*^M****>-------------------------------------_--i9?

圖3“許可屬性”對(duì)話框

新IP頭皿-Ill)TCP頭數(shù)據(jù)(12)

圖10-4數(shù)據(jù)包格式

(10)-(12)備選答案:

A.AH頭。。B.ESP頭。C.舊

IP頭D.新TCP頭

E.AH尾。F.ESP尾G.舊IP尾。H.新TCP尾

(10)B或ESP頭

(11)C或舊IP頭

(12)F或ESP尾

試題分析

【問(wèn)題1】（3分名1分）

常見(jiàn)的隧道協(xié)議

數(shù)據(jù)鏈路層：L2TP、PPTP.L2F

網(wǎng)絡(luò)層：IPsec

傳播層與應(yīng)用層之間SSL

【問(wèn)題2】（3分，各1分）

IPSec安全體系構(gòu)造包括AH、ESP和ISAKMP/Oakley等協(xié)議。其中,AH為IP包提

供信息源驗(yàn)證和報(bào)文完整性驗(yàn)證,但不支持加密服務(wù);ESP提供加密服務(wù)；ISAKM。

akley提供密鑰管理服務(wù)。

【問(wèn)題3】（6分,各2分）

“篩選器屬性”界面配置源子網(wǎng)IP地址（內(nèi)網(wǎng)地址）和目的子網(wǎng)IP地址（內(nèi)網(wǎng)地址）。

針對(duì)ServerA,源子網(wǎng)IP地址（內(nèi)網(wǎng)地址）為192.168.1.2/32,因此“篩選器屬性”

界面源子網(wǎng)IP地址應(yīng)設(shè)為192.168.1。目曰勺子網(wǎng)IP地址（內(nèi)網(wǎng)地址）為192168.1.2/32,

因此“篩選器屬性"界面目的子網(wǎng)IP地址應(yīng)設(shè)為192.168.2.0。

“編輯規(guī)則屬性”界面日勺隧道地址應(yīng)當(dāng)配置隧道對(duì)端（公網(wǎng)地址）。

針對(duì)ServerA隧道對(duì)端（公網(wǎng)地址）為202.113.111.1,因此隧道設(shè)置中的隧道終點(diǎn)I

P地址應(yīng)設(shè)為202.113.111.1o

【問(wèn)題4】（3分,各1分:

本題規(guī)定“加密并保持完整性”，由于AH協(xié)議不支持加密，因此采用ESP封裝。前面題

目給出了總企業(yè)與子企業(yè)通信建立了隧道，因此采用隧道模式。詳細(xì)如下圖所示。

這里IP數(shù)據(jù)加密后，密文可以看作舊IP頭，ESP摘要可以看作ESP尾。

2023年下六個(gè)月信息安全工程師考試真題（下午

題）

試題一（共20分）

閱讀下列闡明和圖，回答問(wèn)題1至問(wèn)題3,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【闡明】

研究密碼編碼的科學(xué)稱為密碼編碼學(xué)，研究密碼破譯的科學(xué)稱為密碼分析學(xué)，密碼編

碼學(xué)和密碼分析學(xué)共同構(gòu)成密碼學(xué)"密碼學(xué)作為信息安仝的關(guān)鍵技術(shù)，在信息安仝領(lǐng)域有

著廣泛的應(yīng)用。

【問(wèn)題1】（9分）

密碼學(xué)的安全目的至少包括哪三個(gè)方面？詳細(xì)內(nèi)涵是什么？

（1）保密性：保密性是保證信息僅被合法顧客訪問(wèn)，而不被泄露給非授權(quán)的顧客、實(shí)體或過(guò)

程，或供其運(yùn)用的特性。卻防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w,信息只為授權(quán)顧客使用的特

性。

(2)完整性：完整性是指所有資源只能由授權(quán)方或以授權(quán)的J方式進(jìn)行修改，即信息未經(jīng)授權(quán)

不能進(jìn)行變化H勺特性。信息在存儲(chǔ)或傳播過(guò)程中保持不被偶爾或蓄意地刪除、修改、偽

造、亂序、重放、插入等破壞和丟失H勺特性。

(3)可用性：可用性是指所有資源在合適的時(shí)候可以由授權(quán)方訪問(wèn)，即信息可被授權(quán)實(shí)體訪

問(wèn)并按需求使用的特性。信息服務(wù)在需要時(shí)，容許授權(quán)顧客或?qū)嶓w使用的特性，或者是網(wǎng)絡(luò)

部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)顧客提供有效服務(wù)的特性。

【問(wèn)題2】(3分)

對(duì)下列違規(guī)安全事件，指出各個(gè)事件分別違反了安全目的中的哪些項(xiàng)？

(1)小明抄襲了小麗日勺家庭作業(yè)。

(2)小明私自修改了自己的成績(jī)。

(3)小李竊取了小劉日勺學(xué)位證號(hào)碼、登錄口令信息、并通過(guò)學(xué)位信息系統(tǒng)更改了

小劉的學(xué)位信息記錄和登陸口令，將系統(tǒng)中小劉的學(xué)位信息用一份偽造日勺信息替代,導(dǎo)致小

劉無(wú)法訪問(wèn)學(xué)位信息系統(tǒng)，

(1)保密性

(2)完整性

(3)可用性

【問(wèn)題3】(3分)

現(xiàn)代密碼體制的安全性一般取決于密鑰的安全，為了保證密鑰的安全,密鑰管理包括

哪些技術(shù)問(wèn)題？

密鑰管理包括密鑰的I產(chǎn)生、存儲(chǔ)、分派、組織、使用、停用、更換、銷毀等一系列技術(shù)問(wèn)

【問(wèn)題4]（5分）

在圖1T給出H勺加密過(guò)程中，Mi,i=L2,…，n體現(xiàn)明文分組,Cbi=l,2,…,n體現(xiàn)

密文分組，Z體現(xiàn)初始序列，K體現(xiàn)密鑰，E體現(xiàn)分組加密過(guò)程。該分組加密過(guò)程屬于哪種

工作模式？這種分組密碼的工作模式有什么缺陷？

明密文鏈接模式。

缺陷：當(dāng)小或G中發(fā)生一位錯(cuò)誤時(shí)，自此后來(lái)的密文全都發(fā)生錯(cuò)誤，即具有錯(cuò)誤傳播

無(wú)界的特性，不利于磁盤文獻(xiàn)加密。并且規(guī)定數(shù)據(jù)的長(zhǎng)度是密碼分組長(zhǎng)度的整數(shù)倍，否則最

終一種數(shù)據(jù)塊將是短塊，這時(shí)需要特殊處理。

試題二（共10分）

閱讀下列闡明和圖，回答問(wèn)題1至問(wèn)題2,將解答填入答題紙日勺對(duì)應(yīng)欄內(nèi)。

【闡明】

訪問(wèn)控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施1今適『、J訪問(wèn)控制可以制止未經(jīng)授權(quán)

的顧客故意或者無(wú)意地獲取資源。訪問(wèn)控制一般是在操作系統(tǒng)的控制下，?按照事先確定的

規(guī)則決定與否容許顧客對(duì)資源的訪問(wèn)。圖2—1給出了某系統(tǒng)對(duì)客體tracer。ute.mpg實(shí)

行的訪問(wèn)控制規(guī)則。

□□

n□

Q□

Q□

n

口

【問(wèn)題1】（3分）

針對(duì)信息系統(tǒng)的訪問(wèn)控制包括哪些基本要素？

主體、客體、授權(quán)訪問(wèn)

【問(wèn)題2】（7分）

分別寫出圖2-1中顧客Administrator對(duì)應(yīng)三種訪問(wèn)控制實(shí)現(xiàn)措施，即能力表、訪

問(wèn)控制表和訪問(wèn)控制矩碎卜密訪問(wèn)控制規(guī)則。

能力表：

（主體）Administrator<（客體）traceroute.mpg：讀取，運(yùn)行）

訪問(wèn)控制表：

（客體）Iraceroule.mpg〈（主體）Adminislralor：讀取，運(yùn)行〉

訪問(wèn)控制矩陣:

（客體）traceroute.mpg

（主體）Administrator讀取，運(yùn)行

試題三（共19分）

閱讀下列闡明和圖，回答問(wèn)題I至問(wèn)題3,將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。

【闡明】

防火墻是一種廣泛應(yīng)用廿勺網(wǎng)絡(luò)安全防御技術(shù)，它阻擋對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和不安全的數(shù)

據(jù)傳遞，保護(hù)當(dāng)?shù)叵到y(tǒng)和網(wǎng)絡(luò)免于受到安全威脅。

圖3T給出了一種防火墻的體系構(gòu)造。

圖3-1

【問(wèn)題1】（6分）

防火墻的體系構(gòu)造重要有：

（1）雙重宿主主機(jī)體系構(gòu)造；

（2）（被）屏蔽主機(jī)體系構(gòu)造;

（3）（被）屏蔽子網(wǎng)體系構(gòu)造:

請(qǐng)簡(jiǎn)要闡明這三種體系構(gòu)造H勺特點(diǎn)。

雙重宿主主機(jī)體系構(gòu)造:雙重宿主主機(jī)體系構(gòu)造是指以一臺(tái)雙重宿主主機(jī)作為防火墻系

統(tǒng)的主體,執(zhí)行分離外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的任務(wù)。

被屏蔽主機(jī)體系構(gòu)造:被屏蔽主機(jī)體系構(gòu)造是指通過(guò)一種單獨(dú)H勺路由器和內(nèi)部網(wǎng)絡(luò)上的

堡東主機(jī)共同構(gòu)成防火墻.重要通過(guò)數(shù)據(jù)包過(guò)濾實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)的隔離和對(duì)內(nèi)網(wǎng)的保護(hù)。

被屏蔽子網(wǎng)體系構(gòu)造:被屏蔽子網(wǎng)體系構(gòu)造將防火墻的概念擴(kuò)充至一種由兩臺(tái)路由器包

圍起來(lái)的周圍網(wǎng)絡(luò),并且招?輕易受到襲擊的堡壘主機(jī)都置于這個(gè)周圍網(wǎng)絡(luò)中。其重要由四個(gè)

部件構(gòu)成,分別為:周圍網(wǎng)絡(luò)、外部路由器、內(nèi)部路由器以及堡壘主機(jī)。

拓展：

雙重宿主主機(jī)體系結(jié)構(gòu)

外部網(wǎng)絡(luò)

被屏前主機(jī)體系結(jié)構(gòu)

內(nèi)部M絡(luò)f)

56&&曲

被屏蔽于網(wǎng)體系結(jié)構(gòu)

【問(wèn)題2](5分)

(1)圖3T描述的是哪一種防火墻的體系構(gòu)造?

(2)其中內(nèi)部包過(guò)濾器和外部包過(guò)濾器的作用分別是什么？

(1)屏蔽子網(wǎng)體系構(gòu)造。

(2)內(nèi)部路由器：內(nèi)部路由器用于隔離周圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)，是屏蔽子網(wǎng)體系構(gòu)

造的第二道屏障。在其上設(shè)置了針對(duì)內(nèi)部顧客的訪問(wèn)過(guò)濾規(guī)劃，對(duì)內(nèi)部顧客訪問(wèn)周圍網(wǎng)絡(luò)

和外部網(wǎng)絡(luò)進(jìn)行限制。

外部路由器:外部路由器I向重要作用在于保護(hù)周圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò),是屏蔽子網(wǎng)體系構(gòu)

造的第一道屏障。在其上設(shè)置r對(duì)周圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)進(jìn)行訪問(wèn)的過(guò)濾規(guī)則，該規(guī)則重要

針對(duì)外網(wǎng)顧客。

【問(wèn)題3】(8分)

設(shè)圖。

有關(guān)包過(guò)濾器,規(guī)定實(shí)現(xiàn)如下功能，不容許內(nèi)部網(wǎng)絡(luò)顧客訪問(wèn)外網(wǎng)和DMZ,外部網(wǎng)絡(luò)顧

客只容許訪問(wèn)DMZ中的Web服務(wù)器和SMTP服務(wù)器。內(nèi)部包過(guò)濾器規(guī)則如表3-1所示，請(qǐng)

完畢外部包過(guò)濾器規(guī)則表3—2,將對(duì)應(yīng)空缺表項(xiàng)口勺答案填入答題紙對(duì)應(yīng)欄內(nèi)。

表3—1內(nèi)部包過(guò)濾器規(guī)則表

規(guī)則號(hào)協(xié)議源地址目的地址源端口目的端口動(dòng)作方向

]■拒絕

表3-2外部包過(guò)濾］器規(guī)則表

規(guī)則號(hào)協(xié)議源地址目的地址源端口目的端口動(dòng)作方向

1TCP■>102480允許入

2TCP■80>1024允許出

3TCP(2)>102425允許入

4TCPAll.⑷25>1024允許出

5⑸⑹)102453允許入

6(7)(8)53)1024允許出

?

7■■■拒絕■

(1)*

(2)10.20.100.8

(3)10.20.100.8

(4)*

(5)UDP

(6)10.20.100.3

(7)UDP

試題四(共18分)

閱讀下列闡明，回答問(wèn)題1至問(wèn)題4,將解答填入答題紙時(shí)對(duì)應(yīng)欄內(nèi)。

【闡明】

顧客的身份認(rèn)證是途多應(yīng)用系統(tǒng)的第一道防線，身份識(shí)別對(duì)保證系統(tǒng)和數(shù)據(jù)的安全保

密極其重要。如下過(guò)程給出了實(shí)現(xiàn)顧客B對(duì)顧客A身份H勺認(rèn)證過(guò)程。

1.A->B:A

2.B->A：{B,Nb}pk(A)

3.A->B：h(Nb)

此處A和B是認(rèn)證的實(shí)體，Nb是一種隨機(jī)值，pk6)體現(xiàn)實(shí)體人的公鑰，{8,1'a51;

(A)體現(xiàn)用A的公鑰對(duì)消息B進(jìn)行加密處理，h(Nb)體現(xiàn)用哈希算法h對(duì)Nb計(jì)算哈希

值。

【問(wèn)題1](5分)

認(rèn)證馬加密有哪些區(qū)別？

認(rèn)證和加密口勺區(qū)別在于:加密用以保證數(shù)據(jù)口勺保密性,制止黑客的被動(dòng)襲擊,如截取，竊聽(tīng)

等;而認(rèn)證用以保證報(bào)文發(fā)送者和接受者的真實(shí)性以及報(bào)文的完整性，制止黑客的積極襲

擊，如冒充、篡改、重播等。

【問(wèn)題2】(6分)

(1)包括在消息2中的“Nb”起什么作用?

(2)“Nb”的選擇應(yīng)滿足什么條件？

(1)Nb是一種隨機(jī)值，只有發(fā)送方B和A懂得,起到抗重放襲擊作用。

(2)應(yīng)具有隨機(jī)性，不易被猜測(cè)。

【問(wèn)題3】(3分)

為何消息3中依JNb要計(jì)算哈希值？

哈希算法具有單向性，通過(guò)哈希值運(yùn)算之后的隨機(jī)數(shù),雖然被襲擊者截獲也無(wú)法對(duì)該隨機(jī)數(shù)

進(jìn)行還原，獲取該隨機(jī)數(shù)Nb的產(chǎn)生信息。

【問(wèn)題4】(4分)

上述協(xié)議存在什么安全缺陷?請(qǐng)給出對(duì)應(yīng)的處理思緒。

襲擊者可以通過(guò)截獲h(Nb)冒充顧客AH勺身份給顧客B發(fā)送h(Nb)。

處理思緒：顧客A通過(guò)將AH勺標(biāo)識(shí)和隨機(jī)數(shù)Nb進(jìn)行哈希運(yùn)算，將其哈希值h(A,Nb)

發(fā)送給顧客B,顧客B接受后,運(yùn)用哈希函數(shù)對(duì)自己保留的顧客標(biāo)識(shí)A和隨機(jī)數(shù)Nb進(jìn)行加

密,并與接受到的h(A,Nb)進(jìn)行比較。若兩者相等,則顧客B確認(rèn)顧客A的身份是真實(shí)R勺，

否則認(rèn)為顧客A的身份是不真實(shí)日勺。

試題五(共8分)

閱讀下列闡明和代碼，回答問(wèn)題1和問(wèn)題2,將解答寫在答題紙口勺對(duì)應(yīng)欄內(nèi)。

【闡明】

某當(dāng)?shù)乜诹铗?yàn)證函數(shù)(C語(yǔ)言環(huán)境，X8632指令集)包括如下關(guān)鍵代碼;某顧客的

口令保留在字符數(shù)組origPassword中，顧客輸入的口令保留在字符數(shù)組userPasswor

d中，假如兩個(gè)數(shù)組中的內(nèi)容相似則容許進(jìn)入系統(tǒng)。

[...]

CharorigPassword[l2]=M1Secretw

CharorigPassword[12]；

Gets(userPassword);/*讀取顧客輸入F、J口令*/

[...]

If(strncmp(origPassword,userPassword,12)!=0)

(

Printf1"Password,doesn,tmatch!/nn);

Exit(-1)；

)

[...]

/*口令認(rèn)證通過(guò)時(shí)容許顧客訪問(wèn)*/

【問(wèn)題1】（4分）

顧客在調(diào)用get5（）函數(shù)時(shí)輸入什么樣式的字符串，可以在不懂得的J原始口令“Se

eret”的狀況下繞過(guò)該口令驗(yàn)證函數(shù)的限制？

只要輸入長(zhǎng)度為24的字符串，其前12個(gè)字符和后12個(gè)字符同樣即可。

【問(wèn)題2】（4分）

上述代碼存在什么類型I）勺安全隱患？請(qǐng)給山消除該安全隱患的思緒。

gets（）函數(shù)必須保證輸入長(zhǎng)度不會(huì)超過(guò)緩沖區(qū)，一旦輸入不不大于12個(gè)字符的口

令就會(huì)導(dǎo)致緩沖區(qū)溢出。

處理思緒:使用安全函數(shù)來(lái)替代gets。函數(shù)，或者對(duì)顧客輸入進(jìn)行檢查和校

對(duì)，可通過(guò)if條件語(yǔ)句判斷顧客輸入與否越界。

2023年上六個(gè)月信息安全工程師考試真題（下午題）

第1題

閱讀下列闡明，回答問(wèn)題1至問(wèn)題3,將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。

【闡明】

安全目的的關(guān)鍵是實(shí)現(xiàn)安全的三大要素:機(jī)密性、完整性和可用性。對(duì)于一-般性的信

息類型的安全分類有如卜體現(xiàn)形式：

（（機(jī)密性，影響等級(jí)），（完整性，影響等級(jí)），（可用性，影響等級(jí)）｝

在上述體現(xiàn)式中，“影響等級(jí)”時(shí)值可以取為低（L）、中（M）、高（H）三級(jí)以及不

合用（NA）O

【問(wèn)題1］（6分）

請(qǐng)簡(jiǎn)要闡明機(jī)密性、完整性和可用性的含義。

（1）機(jī)密性:維護(hù)對(duì)信息訪問(wèn)和公開(kāi)經(jīng)授權(quán)日勺限制J,包括保護(hù)個(gè)人隱私和私有的信息。

（2）完整性:防止信息不合適H勺修改和毀壞,包括保證信息H勺不可抵賴性和真實(shí)性。

（3）可用性：保證信息及時(shí)且可靠H勺訪問(wèn)和使用。

解析：1、機(jī)密性機(jī)密性是保證信息僅被合法顧客訪問(wèn)，而不被泄露給非授權(quán)的顧客實(shí)

體或過(guò)程,或供其運(yùn)用的特性。即防止信息泄漏給非授權(quán)個(gè)人或?qū)嶓w，信息只為授權(quán)顧客使

用的特性。這里的"訪問(wèn),'是指不僅可以讀，還能瀏覽、打印或簡(jiǎn)樸理解某些特殊資源與否

存在。常用日勺保密技術(shù)包括:防偵收（使對(duì)手偵收不到有用口勺信息）、防輻射（防止有用信息

以多種途徑輻射出去）、數(shù)據(jù)加密（在密鑰時(shí)控制下，用加密算法對(duì)信息進(jìn)行加密處理。雖

然對(duì)手得到了加密后的信息也會(huì)由于沒(méi)有密鑰而無(wú)法讀懂有效信息）、物理保密（運(yùn)用多種

物理措施，如限制、隔離、掩蔽、控制等措施,保護(hù)信息不被地露）等。

2、完整性完整性是指所有資源只能由授權(quán)方或以授權(quán)的方式進(jìn)行修改，即信息未經(jīng)授

權(quán)不能進(jìn)行變化口勺特性。信息在存儲(chǔ)或傳播過(guò)程中保持不被偶爾或蓄意地刪除、修改、偽

造、亂序、重放、插入等破壞和丟失口勺特性。完整性是一種面向信患口勺安全性，它規(guī)定保持

信息的原樣，即信息的對(duì)的生成和對(duì)H勺存儲(chǔ)和傳播。完整性與保密性不同樣，保密性規(guī)定

信息不被泄露給未授權(quán)的人，而完整性則規(guī)定信息不致受到多種原因的破壞。影響網(wǎng)絡(luò)信

息完整性的主要原因有:設(shè)備故隙、誤碼（傳播、處理和存儲(chǔ)過(guò)程中產(chǎn)生的誤碼，定時(shí)

的穩(wěn)定度和精度減少導(dǎo)致的誤碼，多種干擾源導(dǎo)致的誤碼）、人為襲擊、計(jì)算機(jī)病毒等。

3、可用性可用性是指所有資源在合適的時(shí)候可以由授權(quán)方訪問(wèn)，即信息可被授權(quán)實(shí)體

訪問(wèn)并按需求使用日勺特性，信息服務(wù)在需要時(shí)，容許授權(quán)顧客或?qū)嶓w使用H勺特性,或者是網(wǎng)

絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)顧客提供有效服務(wù)的特性?？捎眯允切畔⑾到y(tǒng)

面向顧客的安全性能。信息系統(tǒng)最基本日勺功能是向顧客提供服務(wù)，而顧客的需求是隨機(jī)

的、多方面的、有時(shí)尚有時(shí)間規(guī)定?？捎眯砸话阌孟到y(tǒng)王常使用時(shí)間和整個(gè)工作時(shí)間之

比來(lái)度量?？捎眯赃€應(yīng)當(dāng)滿足如下規(guī)定：身份識(shí)別與確認(rèn)、訪問(wèn)控制（對(duì)顧客H勺權(quán)限進(jìn)行控

制，只能訪問(wèn)對(duì)應(yīng)權(quán)限的資源，防止或限制經(jīng)隱蔽通道H勺非法訪問(wèn)）。

【問(wèn)題2]（2分）

對(duì)于影響等級(jí)"不合用"一般只針對(duì)哪個(gè)安全要素？

"不合用”一般只針對(duì)機(jī)密性

【問(wèn)題3]（3分）

假如一種一般人在它的個(gè)人Web服務(wù)器上管理其公開(kāi)信息。請(qǐng)問(wèn)這種公開(kāi)信息的安

全分類是什么？

｛（機(jī)密性，NA）,（完整性,M）,（可用性，M）｝

第2題

閱讀下列闡明，回答問(wèn)題1和問(wèn)題2,將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。

【闡明】

Windows系統(tǒng)的顧客管理配置中，有多項(xiàng)安全設(shè)置，如圖2-1所示。

圖2-1Windows本地安全策略

【問(wèn)題1]（3分）

請(qǐng)問(wèn)密碼和賬戶鎖定安全選項(xiàng)設(shè)置屬于圖中安全設(shè)置口勺哪一項(xiàng)？

賬戶方略中包括密碼方略和賬戶鎖定方略兩種安仝設(shè)置。

拓展:密碼方略為密碼復(fù)雜程度和密碼規(guī)則"勺修改提供了一種原則U勺手段，以便滿足高安全

性環(huán)境中對(duì)密碼U勺規(guī)定。賬戶鎖定方略可以跟蹤失敗的登錄，并且在必要時(shí)可以鎖定對(duì)應(yīng)

賬戶。

【問(wèn)題2】（3分）

Windows的密碼方略有?項(xiàng)安全方略就是規(guī)定密碼必須符合復(fù)雜性規(guī)定，假如啟用此方

略，那么請(qǐng)問(wèn)：顧客Administrator擬選用時(shí)如下六個(gè)密碼中的哪些符合此方略？

123456Adminl23Abed321Admin@tes

tl23!123@host

密碼必須符合復(fù)雜性規(guī)定:啟用該項(xiàng)后，將對(duì)所有口勺新密碼進(jìn)行檢查，保證滿足密碼復(fù)雜性

的基本規(guī)定。假如啟用此方略，密碼必須符合下列最低規(guī)定:不能包括顧客的賬戶名，不能

包括顧客姓名中超過(guò)兩個(gè)持續(xù)字符H勺部分，至少有六個(gè)字符長(zhǎng)，包括如下四類字符中的三

類字符:英文大寫字母（A到Z）、英文小寫字母（a到z）、10個(gè)基本數(shù)字（0至

9）、非字母字符（例如！、$、#、%）。

Abed3218test123!123@hosl

第3題

【闡明】

掃描技術(shù)是網(wǎng)絡(luò)攻防的一種重要手段，在攻和防當(dāng)中均有其重要意義。nmap是一種開(kāi)

放源碼的網(wǎng)絡(luò)掃描工具,可以查看網(wǎng)絡(luò)系統(tǒng)中有哪些主機(jī)在運(yùn)行以及哪時(shí)服務(wù)是開(kāi)放II勺。na

mp工具的命令選項(xiàng)：sS用于實(shí)現(xiàn)SYN掃描，該掃描類型是通過(guò)觀測(cè)開(kāi)放端口和關(guān)閉

端口對(duì)探測(cè)分組H勺響應(yīng)來(lái)實(shí)現(xiàn)端口掃描的。請(qǐng)根據(jù)圖3-1回答下列問(wèn)題。

【問(wèn)題1]（2分）

本次掃描日勺目的主機(jī)的IP地址是多少?

nmap-sn/24

主機(jī)發(fā)現(xiàn)0@

nmap-sS-pl-100074

端口掃描十

-

nmap-O74

系統(tǒng)掃描-0

nmap-sV74

版本掃描

-*

nmap-A74

綜合掃描

拓展：.----------?

【問(wèn)題2]（2分）

SYN掃描采用的傳播層協(xié)議名字是什么？

TCP（TransmissionControlProtocol傳播控制協(xié)議）是一種面向連接

的、可靠時(shí)、基于字節(jié)流的傳播層通信協(xié)議，由IETF/<JRFC793定義。

拓展:顧客數(shù)據(jù)報(bào)協(xié)議（UDP）是同一層內(nèi)另一種重要的傳播協(xié)議。在因特網(wǎng)協(xié)議族（Inter

netprotocolsuite）中，TCP層是位于IP層之上，應(yīng)用層之下『與中間層。不同樣主

機(jī)歐J應(yīng)用層之間常常需要可靠的、像管道同樣的連接,不過(guò)IP層不提供這樣日勺流機(jī)制,而是

提供不可靠口勺包互換。

【問(wèn)題3]（2分）

SYN的含義是什么？

SYN（synchronous）是TCP/IP建立連接時(shí)使用的1握手信號(hào)。

TCP是因特網(wǎng)中的傳播層協(xié)議，使用三次握手協(xié)議建立連接。當(dāng)積極方發(fā)出SYN連接

祈求后，等待對(duì)方回答SYN+ACK,并最終對(duì)對(duì)方的SYN執(zhí)行ACK確認(rèn)。這種建立連接

的措施可以防止產(chǎn)生錯(cuò)誤的連接，ICP使用的流量控制協(xié)議是可變大小H勺滑動(dòng)窗口協(xié)議。

TCP三次握手口勺過(guò)程如下：客戶端發(fā)送SYN(SEQ=x)報(bào)文給服務(wù)器端，進(jìn)入SYN_SEND狀

態(tài)。服務(wù)器端接受到SYN報(bào)文，回應(yīng)一種SYN(SEQ=y)ACK(ACK=x+l)報(bào)文,進(jìn)入

SYN_RECV狀態(tài)?？蛻舳耸盏椒?wù)器端H勺SYN報(bào)文，回應(yīng)一種ACK(ACK=y+l)報(bào)文，進(jìn)入Est

ablished狀態(tài)。三次握手完畢，TCP客戶端和服務(wù)器端成功地建立連接，可以開(kāi)始傳播數(shù)

據(jù)了。

0

【問(wèn)題4]（4分）

目的主機(jī)開(kāi)放了哪幾種端口？簡(jiǎn)要闡明判斷根據(jù)。

目的主機(jī)開(kāi)放了135、139端口判斷根據(jù)：假如端口開(kāi)放，目的主機(jī)會(huì)向掃描端

發(fā)送SYN+ACK連接祈求；假如端口關(guān)閉，則向掃描主機(jī)發(fā)送RST響應(yīng)。

【問(wèn)題5](3分)

每次掃描有無(wú)完畢完整的三次握手?這樣做H勺目的是什么？

都沒(méi)有完畢三次握手過(guò)程,尤其是最終的ACK報(bào)文沒(méi)有。

TcpSYNScan(sS)這是一種基本口勺掃描方式，它被稱為半開(kāi)放掃描，由于這種技

術(shù)使得Nmap不需要通過(guò)完整口勺握手，就能獲得遠(yuǎn)程主機(jī)的信息。Nmap發(fā)送SYN包到遠(yuǎn)

程主機(jī)，不過(guò)它不會(huì)產(chǎn)生任何會(huì)話。因此不會(huì)在目的主機(jī)上產(chǎn)生任何日志記錄，由于沒(méi)有形

成會(huì)話。這個(gè)就是SYN掃描的優(yōu)勢(shì)。假如Nmap命令中沒(méi)有指出掃描類型，默認(rèn)H勺就是Tc

pSYNo不過(guò)它需要root/administrator權(quán)限。

【問(wèn)題6](5分)

補(bǔ)全表3-1所示的防火墻過(guò)濾器規(guī)則的空(1)-(5),抵達(dá)防火墻嚴(yán)禁此類掃描流

量進(jìn)入和處出網(wǎng)絡(luò)，同步又能容許網(wǎng)內(nèi)顧客訪問(wèn)外部網(wǎng)頁(yè)務(wù)器口勺目的。

表3-1防火墻過(guò)濾器規(guī)則表

(1)UDP

⑵*

(3)80

(4)0

(5)1

解析:第1條規(guī)則，拒絕從外網(wǎng)往內(nèi)網(wǎng)發(fā)送日勺祈求連接信息，因此ACK=0;

第2、3、4條規(guī)則，配置容許內(nèi)網(wǎng)顧客訪問(wèn)外部網(wǎng)頁(yè)服務(wù)器。

第2條規(guī)則，容許內(nèi)網(wǎng)往外網(wǎng)服務(wù)器80端口發(fā)送日勺祈求連接和應(yīng)答信息，因此

目小弦需口為80；

第3條規(guī)則，容許內(nèi)網(wǎng)向外網(wǎng)域名服務(wù)器發(fā)送的祈求連接和應(yīng)答信息，因此協(xié)

議為UDP;

第4條規(guī)則，容許外網(wǎng)域名服務(wù)器發(fā)往內(nèi)網(wǎng)的應(yīng)答信息，因此ACK=1；

第5條規(guī)則，其他流量一律不容許進(jìn)出內(nèi)外部網(wǎng)絡(luò)，因此協(xié)議為*。

【問(wèn)題7】（2分）

簡(jiǎn)要闡明為何防火墻需要在進(jìn)出兩個(gè)方向上對(duì)據(jù)數(shù)據(jù)包進(jìn)行過(guò)漉。

在進(jìn)入方向進(jìn)行過(guò)濾是為了防止外部的襲擊行為進(jìn)入內(nèi)部網(wǎng)絡(luò)。在出口方向過(guò)濾是為

了防止自己內(nèi)網(wǎng)主機(jī)被控制，成為肉雞，變?yōu)橐u擊的源頭或者跳板。

第4題

【闡明】

DES是一種分組密碼，己知DES加密算法的某個(gè)S盒如表4-1所示。

請(qǐng)補(bǔ)全該S盒，彌補(bǔ)其中的空（1）一（4）,招解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。

S盒有一種選擇矩陣,規(guī)定了其輸出與輸入的選擇規(guī)則。選擇矩陣有4行16歹（每行都是

0到15這16個(gè)數(shù)字，但每行的數(shù)字排列都不同樣，并且8個(gè)選擇矩陣被此也不同樣。

（1）10

(2)6

(3)1

（4）11

【問(wèn)題2】（2分）

假如該S盒口勺輸入為110011,請(qǐng)計(jì)算其二進(jìn)制輸出。

每個(gè)S盒有6位輸入，產(chǎn)生4位時(shí)輸出。選擇規(guī)則是S盒的6位輸入中的第1位

和第6位數(shù)字構(gòu)成的二進(jìn)制數(shù)值代表選中的行號(hào)，其他4位數(shù)字所構(gòu)成的二進(jìn)制數(shù)值代

表選中的列號(hào)，而處在被選中的行號(hào)和列號(hào)交點(diǎn)處的數(shù)字便是S盒的輸出（以二進(jìn)制形式

輸出）。

11為行號(hào)，即為3

1001為列號(hào)，即為9

3行與9列的交差值,即為輸出4,轉(zhuǎn)化為二進(jìn)制即為0100

【問(wèn)題3】（6分）

DES加密時(shí)初始置換表如下:

[2L.504234261810

4i

'60524436282012

625446383022146

1645648403224168

t--

5749413325179i

595!43352719113

615345372921135i

6355473931231571

置換時(shí)，從左上角的第一種元素開(kāi)始，體現(xiàn)輸入的明文的第58位置換成輸出的第

1位,輸入明文H勺第50位置換成輸出的第2位，從左至右，從上往下，依次類推。

DES加密時(shí),對(duì)輸入的64位明文首先進(jìn)行初始置換操作。若置換輸入的明文M=ABC

DEF（16進(jìn)制），請(qǐng)計(jì)算其輸出（16進(jìn)制體現(xiàn)）。

M=ABCDEF（16進(jìn)制）

轉(zhuǎn)化為二進(jìn)制為

00000001001000110100010101100111100010011010101111001101

11101111

根據(jù)置換規(guī)則進(jìn)行置換

M=110011000000000011001100111111111111000010101010111100001

0101010

轉(zhuǎn)化為16進(jìn)制為CC00CCFFF0AAF0AA

【問(wèn)題4】（2分）

假如有簡(jiǎn)化的DES版本,其明文輸入為8比特,初始置換表IP如下：

IP：26314857

請(qǐng)給出其逆初始置換表。

41357286

解析：逆初始置換是在初始置換的基礎(chǔ)上進(jìn)行逆置換;例如原始數(shù)據(jù)次序?yàn)?2345678；

通過(guò)初始置換之后變成：26314857：則逆初始置換是要將另一方面序進(jìn)行還原，例如，原始

數(shù)據(jù)中第一位數(shù)據(jù)經(jīng)初始置換之后放到了第4位，那么逆初始置換就要將初始置換后的第

4位放到第1位，即逆初始置換表第?位為4：原始數(shù)據(jù)中第二位數(shù)據(jù)經(jīng)初始置換之后放

到了第1位，那么逆初始置換就要將初始置換后日勺第1位放到第2位，即逆初始置換表第

二位為1；其他依次類推,得出該逆初始置換表為41357286。

【問(wèn)題5】(2分)

DES加密算法存在某些弱點(diǎn)和局限性，重要有密鑰太短和存在弱密鑰。請(qǐng)問(wèn)，弱密

鑰的定義是什么？

弱密鑰不受任何循環(huán)移位的影響，并且只能得到相似的子密鑰，由全0或全1構(gòu)成的密鑰

顯然是弱密鑰，子密鑰生成過(guò)程中被分割的兩部分分別為全?；蛉?時(shí)也是弱密鑰。CES

算法中存在弱密鑰和半弱密鑰。

解析:弱密鑰K:即K1=K2-=K16;弱密鑰不受任何循環(huán)移位的影響，并且只能得到相似的I

子密鑰，由全?；蛉?構(gòu)成的密鑰顯然是弱密鑰,子密鑰生成過(guò)程中被分割的兩部分分別為

全0或全1時(shí)也是弱密鑰，并且存在4個(gè)弱密鑰。半弱密鑰K:有些種子密鑰只能生成兩個(gè)

不同樣的子密鑰，這樣的種子密鑰K稱為半弱密鑰，DES至少存在12個(gè)半弱密鑰。半弱密

鑰將導(dǎo)致把明文加密成相似。

口勺密文。第5題

【闡明】在公鑰體制中，每一顧客U均有自己的公開(kāi)密鑰PKu和私鑰SKu。假如任意兩

個(gè)顧客A和B按如下方式通信：

voidChallenge(char*str)

(

chartemp[9]={0)；

strncpy(temp,str,8);

printf("temp=%s\n”,temp):

if(strcmpCtemp^Please!@")=0)(

printf("KEY:****")；

)

}

intmain(intargc,char*argv[])

{

charbuf2[16]；

intcheck=l;

charbuf[8];

strcpy(buf2,“givemekey!!")；

strepy(buf.argv[1]);

if(check=65)(

Chailonge(buf);

}

e1se{

printf("Checkisnot65(%d)\nProgrante

rminated!!\n",check)；

)

return0;

)

A發(fā)給B消息[EpKB(m),A]o

其中Ek(m)代表用密鑰K對(duì)消息m進(jìn)行加密。

B收到后來(lái)，自動(dòng)向A返回消息【EPkA(m),B],以使A懂得B確實(shí)收到消息

m