信息安全与保密技术复习试题与答案.doc

1、信息安全原理与技术试题与答案一、写出下面术语的中文名称Block Cipher 分组密码Ciphertext 密文 （密码：Cipher）Known-Plaintext Attack 已知明文攻击Encryption 加密 Non-Repudiation 不可否认性Key Distribution Center 秘钥分配中心Denial of Service 拒绝服务Data Integrity 数据完整性AES 高级加密标准（Advanced encryption Standards）Authorization 认证；授权Relpay Attack 重放攻击One-way Function

2、单向函数Brute Force Search 穷举攻击Stream Cipher 流密码Symmetric Encryption 对称加密Asymmetric Encryption 非对称密码体制Ciphertext-only Attack 唯密文攻击Known-Plaintext Attack 已知明文攻击Chosen-Plaintext Attack 选择明文攻击Man-in-the-Middle Attack 中间人攻击Message Authentication Code 消息认证码Hashed Message Authentication Code 散列消息认证码Digital Si

3、gnature 数字签名Secure Socket Layer 安全套接字层（SSL）二、选择题 1.如果m表示明文,c表示密文,E代表加密变换,D代表解密变换,则下列表达式中描述加密过程的是 ( A ) A、 c=E(m)B、 c=D(m) C、 m=E(c)D、 m=D(c)2.将获得的信息再次发送以在非授权情况下进行传输，这属于 （ D ）A 窃听 B篡改C 伪装 D 重放3. DES加密过程用以下形式交换，其中正确的是 ( B )A、Li-1=Ri-1Ri-1=Li-1f(R i,Ki) i=1,2,3,16B、Li=Ri-1 Ri=Li-1f(Ri-1,Ki)i=1,2,3,16C、

4、Li-1=Ri+1Ri=Li+1f(Ri-1,Ki)i=1,2,3,16D、Li-1=Ri-1Ri=Li+1f(Ri-1,Ki)i=0,1,2,3,154. 在不知道密钥的情况下，通过获取密文而恢复明文的方法是。（ C ） A、密钥管理 B、数据加密解密算法 C、密码分析 D、密码编码5. RSA属于（ B ） A、传统密码体制 B、非对称密码体制 C、现代密码体制 D、对称密码体制6.下面哪个加密算法被选为AES( B )A MARS B Rijndael C Twofish D E27. DES中子密钥的位数是 （ B ）、32、48、56 D、648. 如果使用两密钥的Triple-DE

5、S，则下面正确的是（ A ）A C = EK1DK2EK1P B C = EK1EK2EK1PC C = EK3DK2EK1P D C = EK1DK2DK1P9. DES中如果S盒输入为110011，则对应输入位置为（ B ）A、第2行第9列 B、第4行第10列C、第3行第10列D、第3行第11列10 每次加密一位或者一个字节是 （ B ）A、离散密码 B、流密码C、随机密码 D、分组密码11. 在下列密码体制中，加密密钥k1 解密密钥k2 是相同的。（ A ）A、传统密码体制 B、非对称密码体制 C、现代密码体制 D、公开密码体制12. DES用多少位密钥加密64位明文（ C ） 、16、

6、32、56 D、6413. 用公钥密码体制签名时，应该用什么加密消息 （ C ）、会话钥、公钥、私钥 D、共享钥14. 防止发送方否认的方法是 （ D ）、消息认证、保密、日志 D、数字签名15、一个数据包过滤系统被设计成允许你要求服务的数据包进入，而过滤掉不必要的服务。这属于（ A ）基本原则。 A、 最小特权 B、阻塞点 C、失效保护状态 D、防御多样化16、不属于安全策略所涉及的方面是（ D ）。 A、物理安全策略 B、访问控制策略 C、信息加密策略 D、防火墙策略17、（ D ）协议主要用于加密机制 A、HTTP B、FTP C、TELNET D、SSL18、不属于WEB服务器的安全措

7、施的是（ B ）A、保证注册帐户的时效性B、删除死帐户C、强制用户使用不易被破解的密码D、所有用户使用一次性密码19、为了防御网络监听，最常用的方法是（ B ）A、采用物理传输（非网络） B、信息加密 C、无线网 D、使用专线传输20、使网络服务器中充斥着大量要求回复的信息，消耗带宽，导致网络或系统停止正常服务，这属于（ A ）漏洞 A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用21、不属于计算机病毒防治的策略的是（ D ）A、确认您手头常备一张真正“干净”的引导盘 B、及时、可靠升级反病毒产品 C、新购置的计算机软件也要进行病毒检测D、整理磁盘22、关于RSA算法下列说法不正

8、确的是（ A ）A、RSA算法是一种对称加密算法。B、RSA算法的运算速度比DES慢。C、RSA算法可用于某种数字签名方案。D、RSA算法的安全性主要基于素因子分解的难度23、下列属于非对称加密技术的是（ C ）A、IDEA B、AES C、RSA D、DES24、黑客在程序中设置了后门，这体现了黑客的（ A ）目的。A、非法获取系统的访问权限 B、窃取信息C、篡改数据 D、利用有关资源25、软件驻留在用户计算机中，侦听目标计算机的操作，并可对目标计算机进行特定操作的黑客攻击手段是（ B ）A、缓冲区溢出 B、木马 C、拒绝服务 D、暴力破解 26.在防火墙技术中，内网这一概念通常指的是( A

9、 )A.受信网络 B.非受信网络C.防火墙内的网络 D.互联网27.信息安全技术的核心是( A )A.PKI B.SETC.SSL D.ECC28.通常为保证商务对象的认证性采用的手段是( C )A.信息加密和解密 B.信息隐匿C.数字签名和身份认证技术 D.数字水印29.关于Diffie-Hellman算法描述正确的是( B )A.它是一个安全的接入控制协议 B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息 D.它是由第三方来保证安全的30.以下哪一项不在证书数据的组成中? ( D )A.版本信息 B.有效使用期限C.签名算法 D.版权信息二、填空题：（每空2分，共20分）1、计

10、算机安全技术研究的内容包括硬件实体安全、软件安全、数据安全、网络安全、病毒防治、防计算机犯罪。2、美国国防部发表的评估计算机系统安全等级，计算机安全等级划分为4类8级，由高到低依次是即A2、A1、B3、B2、B1、C2、C1、D级，其中UNIX系统、XENIX、Novell、WindowsNT 属于C2级。在A级系统构成的部件来源必须有安全保证。我国计算机安全等级分五个等级从低到高依次是：用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级。我国先后出台了一系列信息安全保护条例，如中华人民共和国计算机信息系统安全保护条例等。3、常用的软件保护技术包括：系列号方式、时间限

11、制、NAG窗口、KEYFile 保护、功能限制的程序、CD-check。在进行软件的破解、解密工作中，一个首要的问题是对软件进行分析，常用的分析方法包括：静态分析技术、动态分析技术。4、凯撒密码加密是将密文字母相对明文字母循环左移了三位，I will wait you at the zoo afternoon.用凯撒密码加密后 l zloo zdlw arx dw wkh crr diwhvqrrq 。5、数字签名可保证数据的机密性、完整性和不可抵赖性。哈希函数可将任意长度的报文产生固定长度的比特串，其两个重要的特性是混肴特性和抗碰撞特性。6、数据库中并发控制不当会造成数据的不一致，其并发控制

12、是以事务为单位，通常使用封锁技术实现。7、计算机病毒的众多特征中，传染性、潜伏性、触发性和破坏性是它的基本特征。计算机完整的工作过程包括以下几个环节：传染源、传染介质、病毒触发、病毒表现、传染。8、病毒软件寄生在其它文件中，可以自我复制、可以感染其它文件，其目的是破坏文件和系统，可分为引导型病毒、文件型病毒、混合型病毒；黑客软件能寄生，不可复制和感染文件，黑客通过Email或冒充可供下载的文件被用户不经意下载运行。该用户的启动文件和注册表会被修改，黑客会通过网络找到它，盗取用户密码和监控系统。9、网络安全的目标：可靠性、可用性、保密性、完整性、不可抵赖性。实现的安全服务有鉴别服务、访问控制服务

13、、数据机密性服务、数据完整性服务、抗抵赖服务。常用的网络安全技术数据加密技术、防火墙技术、网络安全扫描技术、网络入侵检测技术、黑客诱骗技术、无线局域网安全技术；10、防火墙是设置在不同网络或网络安全域之间的一系列部件的组合。它通过检测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部信息、结构和运行情况，以此实现网络的保护。其对数据的处理方法大致分为两类：包过滤防火墙和代理防火墙。11 攻击UNIX的方法有：（ FTP攻击 ）、（ RPC攻击 ）和用Sendmail攻击。13、Web服务器是驻留在服务器上的一个程序，它和用户浏览器之间使用（ HTTP ）进行相互通信。14、根据检测方式

14、来分类，入侵检测系统可分为（异常检测）和（误用检测 ）15、（包过滤防火墙 ）是最简单的防火墙，只包括对源和目的IP地址及端口进行检查。16、（ 扫描器 ）是自动检测远程或本地主机安全性漏洞的程序包。17.MD-5散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( 512 )18.SHA的含义是( 安全散列算法 )19.阻止非法用户进入系统使用( 接入控制技术 )20.以下不是数据库加密方法的是( 信息隐藏 )三、计算题1. 用流密码加密二进制数据m=011001001 加密密钥为k=110011001（1）解密密钥是多少?（2）密文为多少？解：（1）流密码加密中加密解密密钥一样，

15、故解密密钥为：110011001（2）密文是密钥与明文的异或运算：1010100002.使用Playfair密码的加密明文good，密钥关键词是monarchy，计算加密后的密文。解：构成的密钥矩阵是： MONARCHYBDEFGI/JKLPQSTUVWXZ将明文按照两个字母分组：go od密文是：FN RH3.设密钥字是cipher, 使用维吉尼亚密码加密明文串是this cryptosystem is not secure, 求密文解：在明文下面重复写密钥字，组成密钥。 明文M： thiscryptosystemisnotsecure 密钥K： cipherciphercipherciph

16、ercip 将明文和密钥转化为数字 M=(19,7,8,18,2,17,24,15,19,14,18,24,18,19,4,12,8,18,13,14,19,18,4,2,20,17,4) K=(2,8,15,7,4,17,2,8,15,7,4,17,2,8,15,7,4,17,2,8,15,7,4,17,2,8,15) 对每个明文数字和对应的密钥数字，使用ci=(mi+ki )mod 26加密得到密文数字为：C=(21,15,23,25,6,8,0,23,8,21,22,15,21,1,19,19,12,9,15,22,8,25,8,19,22,25,19) 于是密文为：VPXZGIAXIV

17、WPUBTTMJPWIZITWZT4.利用RSA算法运算，如果p=11，q=13, e=103,对明文3进行加密.求d及密文 解：（n）=（p-1）*(q-1)=10*12=120 e*d1 mod（n），而 e=103 故可解出 d=7 n=p*q=11*13=143 c= me mod n=3103 mod 143=165. 在DifficeHellman密钥管理方法，计算A和B双方共同的密钥。设a=3，p=720，其中 A的秘密信息为Xa=6， B的秘密信息XB=11。解：YA=aXB mod p = 311 mod 720 = 9KB = YAXB mod p = 3776.下面是DE

18、S的一个S盒, 如果输入为011001，求输出。解： 输入六位数的第一位与最后一位组合所对应的十进制数确定行，剩余四位对应的十进制数确定列，因此确定输出数为2行13列交叉，对应十进制数为1，因此输出为：0001.7、在使用RSA的公钥体制中，已截获发给某用户的密文为C=10，该用户的公钥e = 5, n =35，那么明文M等于多少？解：n=p*q (p 和 q 都是素数)，n=35 故解出 p=5 ，q=7 ； （n）=（p-1）*(q-1)=24 ； 又因为 e*d1 mod（n），而 e=5 故可解出 d=5； m= cd mod n=105 mod 35=5 。8.在Diffie-Hel

19、lman方法中，公共素数p = 11，本原根 = 2(1). 如果用户A的公钥YA = 9，则A的私钥XA为多少？(2). 如果用户B的公钥YB = 3，则共享密钥K为多少？解：（1）YA=aXAmod p,则 XA=6； （2）K=YBXAmod p=36 mod 11=3。8.用列置换加密明文permutation cipher hide the message by rearranging the letter order。假如用密钥network。解：将明文按照密钥的长度一行一行地写成一个矩阵，然后按照密钥字母对应的数值从小到大，按照列读出即为密文 在密钥network中，字母对应的数

20、字从小到大排列是eknortw，按照这个顺序读出上面矩阵的列即是密文:EIEHGRGTRAPESEIEDPTHTAANTEUCIEYNEOTIDSRGLRROREERTE MNHMBAHR 四、分析题1. 看下图回答问题（1） 该图是什么结构图（2） 如果该图表示MD5，说明Y 和CV的长度（3） 图中哪个是输出的摘要值。解： （1）该图是迭代散列函数的一般结构图； （2）Y是512位，CV是128位； （3）CVL2. 如图是将hash码用于消息认证的一种方法，请回答下面的问题。 (1) 说出KRa ，H(M) ，K和 KUa表示的意思。 (2) hash码与MAC的区别是什么？ (3) 该

21、方法具有什么功能？解：(1)KRa：A的私钥 H(M)：散列值 K：共享密钥 KUaA的公钥(2)Hash函数不需要是用密钥，而MAC需要；(3)提供安全服务的保密性与认证性；3 在下图中，A和B互相知道对方的公钥，回答下面的问题：(1) 该协议最终目的是想解决什么问题(2) KUa, N，Ks表示什么(3) 协议的1，2步的目的是什么(4) 协议的2，3步的目的是什么 解：(1)使用公开加密算法分配对称密钥；(2)KUa：A的公钥 N：临时交换号 Ks：会话密钥(3)A认证对方是否是B；(4)AB双方相互认证身份；下图是一个密钥分配协议请回答下面问题：(1) 说出KDC，N， Ks ，Ka，

22、Kb的意思。(2) Ks由谁产生的？它的作用是什么？(3) 步骤4和步骤5的主要目的是什么？(4) 该协议存在潜在威胁，主要在哪个步骤？如何解决该问题？解：(1)KDC：密钥分配中心 N：临时交换号 Ks：临时会话密钥 Ka：A拥有的与KDC共享的主密钥 Kb：B拥有的与KDC共享的主密钥；(2)Ks是由密钥分配中心产生的；它的作用是对用户之间的通信进行保密，通信结束后Ks即刻被销毁；(3)目的是使B相信第三步收到的消息不是一个重放，并且双方进行了认证，这是典型的挑战/应答认证方式；(4)主要在步骤5；解决该问题需要将N2进行某种变换作为应答；四、名词解释 1、 防火墙在计算机网络中，“防火墙

23、”指一种将内部网和公众访问网分开的方法，实质是一门隔离技术。能增强内部网络的安全性。2、 拒绝服务指一种常见的恶作剧的攻击方式，它使服务器忙于处理一些乱七八糟的任务，消耗大量的处理时间，以至于服务器无暇顾及用户的请求。3、 黑客指利用通信软件，通过网络非法进入他人计算机系统，获取或篡改各种数据，危害信息安全的入侵者或入侵行为。4、 对称加密技术在对称加密技术中加密和解密过程采用同一把密钥，通信时双方必须都具备这把密钥，并保证密钥不被泄露。四、简答题：（每题6分共24分）1、 简述安全漏洞的类型：答：（1）允许拒绝服务的漏洞。（2）允许有限权限的本地用户提高其权限的漏洞。（3）允许外来团体未经授

24、权访问网络的漏洞。2 简述代理防火墙和包过滤防火墙的优缺点？答：包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。代理服务器是防火墙技术的发展方向，众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。3、如果你怀疑自己的计算机被黑客远程控制或被蠕虫感染，你计划采用哪些步骤检查自己的计算机？ 答：断网、进程查看、网络端

25、口查看、进程程序关联、自启动方式、查杀。4、ARP代表什么意思？有何用处？如何实施ARP欺骗？画出欺骗示意图，在图上标明欺骗步骤、各步骤的功能！答：(在每台装有tcp/ip协议的电脑里都有一个ARP缓存表，表里的ip地址与mac地址是一一对应的。 以主机A（192.168.1.5）向主机B（192.168.1.1）发送数据为例。当发送数据时，主机A会在自己的ARP缓存表中寻找是否有目标IP地址。如果找到了，也就知道了目标的mac地址，直接把目标的mac地址写入帧里面发送就可以了；如果在ARP缓存表里面没有目标的IP地址，主机A就会在网络上发送一个广播,目标mac地址是“ff-ff-ff-ff-

26、ff-ff”，这表示向同一网段的所有主机发出这样的询问：“192.168.1.1的mac地址是什么呀？”网络上的其他主机并不回应这一询问，只有主机B接受到这个帧时才向A作出回应：“192.168.1.1的mac地址是00-aa-0-62-c6-09。（如上表）”这样，主机A就知道了主机B的mac地址，就可以向主机B发送信息了。同时，它还更新了自己的ARP缓存表，下次再向B发送数据时，直接在ARP缓存表找就可以了。ARP缓存表采用老化的机制，在一段时间里表中的某一行没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询的速度。)ARP代表地址解析协议，用于完成IP地址和MAC地址的转

27、换。ARP欺骗是黑客常用的攻击手段之一，ARP欺骗分为二种，一种是对路由器ARP表的欺骗；另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是截获网关数据。它通知路由器一系列错误的内网MAC地址，并按照一定的频率不断进行，使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只能发送给错误的MAC地址，造成正常PC无法收到信息。第二种ARP欺骗的原理是伪造网关。它的原理是建立假网关，让被它欺骗的PC向假网关发数据，而不是通过正常的路由器途径上网。在PC看来，就是上不了网了，“网络掉线了”。 （一般来说，ARP欺骗攻击的后果非常严重，大多数情况下会造成大面积掉线。有些网管员对此不甚

28、了解，出现故障时，认为PC没有问题，交换机没掉线的“本事”，电信也不承认宽带故障。而且如果第一种ARP欺骗发生时，只要重启路由器，网络就能全面恢复，那问题一定是在路由器了。为此，宽带路由器背了不少“黑锅”。）5、为什么防火墙需要在进出两个方向上对数据包进行过滤？如果在某个方向上不进行过滤会有什么后果，举例说明！应用代理和分组过滤防火墙的各自优缺点是什么？答：在进入方向过滤是为了防止被人攻击，而在出口方向过滤则是为了防止自己成为攻击的源头或者跳板。应用代理工作在应用层，可以对分组内容进行安全检查和过滤。分组过滤防火墙工作在网络层，只能对网络层协议头或者链路层协议头进行过滤，功能稍微弱一点，但是速

29、度快，且对用户透明。6、IPSec包括几个子协议，各个子协议的用途？AH的两种工作模式是什么？及其封包格式？答：IPSec包括AH（认证头）、ESP（封装有效载荷）和IKE(密钥交换)三个子协议。AH可实现包括IP头中不变字段和IP包数据部分完整性认证，ESP可实现加密和完整性认证。7、分析填写包过滤防火墙路由表，过滤条件是双向允许ftp服务；ftp服务clientserver内部外部n 往内包的特性(用户操作信息) IP源是外部地址 目标地址为本地server TCP协议，目标端口23 源端口1023 连接的第一个包ACK=0，其他包ACK=1n 往外包的特性(显示信息) IP源是本地server 目标地址为外部地址 TCP协议，源端口23 目标端口1023 所有往内的包都是ACK=1服务方向包的方向源地址目的地址协议源端口目的端口ACK出出内部外部TP102323any出入外部内部TCP2310231入入外部内部TCP102323any入出内部外部TCP23102318、写出如下图所示两个安全网关之间数据包应用安全服务后，数据包的封包格式（两主机之间采用传输模式，两网关之间采用隧道模式）解：新IP报头AH原IP报头AH报头TCP/UD报头应用程序数据