09-10年第二学期信息安全试卷计科用卷答案

安阳工学院试卷参考答案及评分标准安阳工学院2009～2010学年第二学期__《信息安全》_试卷(□AB■)参考答案及评分标准考试方式：闭卷（开卷、闭卷、其他）系（院）：计算机科学与信息工程系年级：07级专业：计算机科学与技术……………………………………………………………………………………………..注：标准答案、参考答案要点及评分标准须写清题号、每小题得分、共得分等。此格式为题头，如本页不够，后面请附相同规格（A4）的纸张。……………………………………………………………………………………………..一、选择题（每题1分，共30分）1、A2、A3、C4、A5、AB6、A7、C8、D9、A10、B11、AB12、D13、C14、A15、C16、A17、B18、B19、A20、C21、A22、B23、A24、D25、B26、C27、B28、D29、C30、C二、翻译题（每题2分，共20分）1、PointtoPointTunnelProtocol，点对点隧道协议。2、InternetKeyExchange,因特网密钥交换3、KeyTranslationCenter，密钥转换中心4、MandatoryAccessControlModel强制访问控制模型5、InternetKeyManagementProtocol互联网密钥管理协议6、ChallengeHandshakeAuthenticationProtocol挑战握手认证协议7、AccessControlList访问控制表8、DistributeDenialofService分布式拒绝服务攻击9、NetworkIntrusionDetectSystem网络入侵检测系统10、PublicKeyInfrastructures公钥基础设施三、简答题（每题2分，共20分）1、利用公共网络来构建私用专用网络称为虚拟专用网，简称VPN(VirtualPrivateNetwork)。用于构建VPN的公共网络包括Internet、帧中继、ATM等。2、VPN分为三种类型：企业内部虚拟网(IntranetVPN)、远程访问虚拟网(accessVPN)和企业扩展虚拟网(extranetVPN)。这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的extranet相对应。3、口令验证、通行证验证和人类特征验证。4、计算机病毒是一个程序，一段可执行码,对计算机的正常使用进行破坏，使得电脑无法正常使用甚至整个操作系统或者电脑硬盘损坏。就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。这种程序不是独立存在的，它隐蔽在其他可执行的程序之中，既有破坏性，又有传染性和潜伏性。轻则影响机器运行速度，使机器不能正常运行；重则使机器处于瘫痪，会给用户带来不可估量的损失。通常就把这种具有破坏作用的程序称为计算机病毒。5、入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。6、防火墙（Firewall）是一个系统（或一组系统），位于可信内网与不可信外网之间，它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的特定的服务，以及哪些外部资源可以被内部人员访问。7、信息隐藏将在未来网络中保护信息不受破坏方面起到重要作用,信息隐藏是把机密信息隐藏在大量信息中不让对手发觉的一种方法。信息隐藏的方法主要有隐写术、数字水印、可视密码、潜信道、隐匿协议等。8、就是把任意长的输入消息串变化成固定长的输出串的一种函数。这个输出串称为该消息的杂凑值。一个安全的杂凑函数应该至少满足以下几个条件；①输入长度是任意的;②输出长度是固定的,根据目前的计算技术应至少取128bits长,以便抵抗生日攻击;③对每一个给定的输入,计算输出即杂凑值是很容易的p④给定杂凑函数的描述,找到两个不同的输入消息杂凑到同一个值是计算上不可行的,或给定杂凑函数的描述和一个随机选择的消息,找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。Hash函数主要用于完整性校验和提高数字签名的有效性。9、是指主体依据某些控制策略或权限对客体本身或是资源进行的不同授权访问。10、D、C（C1、C2）、B（B1、B2、B3）、A4。四、问答题（每题6分，共30分）1、假设Peggy知道一部分信息而且这个信息是一个难题的解法，基本的零知识协议由下面几轮组成。（1）Peggy用她的信息和一个随机数将这个难题转变成另一难题，新的难题和原来的难题同构。然后她用她的信息和这个随机数解这个新的难题。（2）Peggy利用比特约定方案提交这个新的难题的解法。（3）Peggy向Victor透露这个新难题。Victor不能用这个新难题得到关于原难题或其解法的任何信息。（4）Victor要求Peggy或者：（a）向他证明新旧难题是同构的（即两个相关问题的两种不同解法）。（b）公开她在步骤（2）提交的解法并证明是新难题的解法。（5）Peggy同意。（6）Peggy和Victor重复步骤（1）至（5）n次。2、区别：目标不同：加密仅仅隐藏了信息的内容；信息隐藏既隐藏了信息内容，还掩盖了信息的存在。实现方式不同：加密依靠数学运算；而信息隐藏充分运用载体的冗余空间。应用场合不同：加密只关注加密内容的安全，而信息隐藏还关注载体与隐藏信息的关系。联系：理论上相互借用，应用上互补。信息先加密，再隐藏3、VPN隧道技术有以下几种：在网络层实现数据封装的协议叫第三层隧道协议，IPSec就属于这种协议类型；在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有PPTP、L2TP等。此外还有两种VPN的解决方案：在链路层上基于虚拟电路的VPN技术和SOCKS同SSL（SecureSocketLayer）协议配合使用在应用层上构造VPN，其中SOCKS有SOCKv4和SOCKv5两个版本。基于虚拟电路的VPN通过在公共的路由来传送IP服务。它的QoS能力由CIR（CommittedInformationRate）和ATM的QoS来确保，另外它具有虚拟电路拓扑的弹性。但是它的路由功能不够灵活，构建的相对费用比IP隧道技术高，而且还缺少IP的多业务能力。SOCKv5优势在于访问控制适合安全性较高的VPN，但是其性能往往较差。PPTP/L2TP优点支持其他网络协议，同时支持流浪控制，通过减少丢弃包来改善网络性能。缺点是仅仅对隧道的终端实体进行身份验证，无法抵抗插入攻击、地址欺骗攻击等没有针对数据报文的完整性校验，可能受到拒绝服务攻击。4、自主访问控制模型（DiscretionaryAccessControlModel，DACModel）是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其它用户。其特点是授权的实施主体（可以授权的主体、管理授权的客体、授权组）自主负责赋予和回收其他主体对客体资源的访问权限。强制访问控制模型（MandatoryAccessControlModel,MACModel）在DAC访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。其特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。区别：在DAC访问控制中，用户和客体资源都被赋予一定的安全级别，用户不能改变自身和客体的安全级别，只有管理员才能够确定用户和组的访问权限。MAC是一种多级访问控制策略，它的主要特点是系统对访问主体和受控对象实行强制访问控制，系统事先给访问主体和受控对象分配不同的安全级别属性，在实施访问控制时，系统先对访问主体和受控对象的安全级别属性进行比较，再决定访问主体能否访问该受控对象。5、P=7,Q=5,n=35,Ф(n)=24,E=11,D*EmodФ(n)=1,11Dmod24=1,D=11,C=M^Emodn=8^11mod35=8589934592mod35=22