【正文】 下圖表示的是P2DR2動態(tài)安全模型，請從信息安全安全角度分析此模型？答：(主要理解一下黑體字部分，然后按照這個思路自由發(fā)揮)P2DR2動態(tài)安全模型研究的是基于企業(yè)網(wǎng)對象、依時間及策略特征的（Policy， Protection， Detection，Response，Restore）動態(tài)安全模型結(jié)構(gòu)，由策略、防護(hù)、檢測、響應(yīng)和恢復(fù)等要素構(gòu)成，是一種基于閉環(huán)控制、主動防御的動態(tài)安全模型。(5) 當(dāng)使用端到端的加密時，防火墻的作用會受到很大的限制。 防火墻存在的局限性主要有以下七個方面(1) 網(wǎng)絡(luò)上有些攻擊可以繞過防火墻（如撥號）。當(dāng)客戶購買到此件商品并撥打電話查詢時，系統(tǒng)將客戶輸入的編碼(即密文)解密，并將所得的明文與存儲在系統(tǒng)中的明文比較，若匹配則提示客戶商品是真貨，并從系統(tǒng)中刪了此明文；若不匹配則提示客戶商品是假貨。由于S沒有把公鑰和公鑰持有人捆綁在一起，A就無法確定它所收到的公鑰是不是B的，即B的公鑰有可能被偽造。 解：令101101的第1位和最后1位表示的二進(jìn)制數(shù)為i，則i=(11)2=(3)10 令101101的中間4位表示的二進(jìn)制數(shù)為j，則j=(0110)2=(6)10 查S3盒的第3行第6列的交叉處即為8，從而輸出為1000 S函數(shù)的作用是將6位的輸入變?yōu)?位的輸出3．求963和657的最大公約數(shù)(963, 657)，并表示成963，657的線性組合。8．?dāng)?shù)字簽名是筆跡簽名的模擬，是一種包括防止源點(diǎn)或終點(diǎn)否認(rèn)的認(rèn)證技術(shù)。5．密鑰管理的主要內(nèi)容包括密鑰的生成、分配、使用、存儲、備份、恢復(fù)和銷毀。在實(shí)際應(yīng)用中，對稱密碼算法與非對稱密碼算法總是結(jié)合起來的，對稱密碼算法用于加密，而非對稱算法用于保護(hù)對稱算法的密鑰。 A．保密性 可用性 B．可用性 保密性 C．保密性 完整性 D．完整性 保密性二、 填空題（每空1分，共20分）1．ISO 74982確定了五大類安全服務(wù)，即鑒別、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性和不可否認(rèn)。A. 是防止Internet火災(zāi)的硬件設(shè)施B. 是網(wǎng)絡(luò)安全和信息安全的軟件和硬件設(shè)施C. 是保護(hù)線路不受破壞的軟件和硬件設(shè)施D. 是起抗電磁干擾作用的硬件設(shè)施8．PKI支持的服務(wù)不包括＿＿＿。B方收到密文的解密方案是＿＿＿。 A. 保密性 C. 可用性、可控性、可靠性 D. A，B，C都是2．假設(shè)使用一種加密算法，它的加密方法很簡單：將每一個字母加5，即a加密成f。這種算法的密鑰就是5，那么它屬于＿＿＿。A. KB公開（KA秘密（M’）） B. KA公開（KA公開（M’））C. KA公開（KB秘密（M’）） D. KB秘密（KA秘密（M’））5．?dāng)?shù)字簽名要預(yù)先使用單向Hash函數(shù)進(jìn)行處理的原因是＿＿＿。 A. 非對稱密鑰技術(shù)及證書管理 B. 目錄服務(wù) C. 對稱密鑰的產(chǎn)生和分發(fā) D. 訪問控制服務(wù)9．設(shè)哈希函數(shù)H有128個可能的輸出(即輸出長度為128位)，則k約等于＿＿。同時，ISO 74982也確定了八類安全機(jī)制，即加密機(jī)制、數(shù)據(jù)簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證交換、業(yè)務(wù)填充機(jī)制、路由控制機(jī)制和公證機(jī)制。3．根據(jù)使用密碼體制的不同可將數(shù)字簽名分為 基于對稱密碼體制的數(shù)字簽名 和 基于公鑰密碼體制的數(shù)字簽名 ，根據(jù)其實(shí)現(xiàn)目的的不同，一般又可將其分為 直接數(shù)字簽名 和 可仲裁數(shù)字簽名 。密鑰生成形式有兩種：一種是由中心集中生成，另一種是由個人分散生成。三、 計(jì)算題（每小題8分，共24分）1． 用置換矩陣Ek=〔〕對明文Now we are having a test加密，并給出其解密矩陣及求出可能的解密矩陣總數(shù)。解：運(yùn)用廣義歐幾里得除法，有 963=1*657+306657=2*306+45306=6*45+3645=1*36+936=4*9+0 （根據(jù)給出的最后一個定理）則(963, 657)=9 從廣義歐幾里得除法逐次消去r(n1),r(n2), …,r(3),r(2)，即 9=451*36 =45（3066*45） =7*45306 =7*（6572*306）306 =7*6573*306 =7*6573*（963657） =22*65715*963 所以此線性組合為 9=22*65715*963四、 問答題（每小題7分，共21分）1．S擁有所有用戶的公開密鑰,用戶A使用協(xié)議A → S：A || B || RaS → A: S || Ss(S || A || Ra || Kb)其中Ss( )表示S利用私有密鑰簽名向S申請B的公開密鑰Kb。如果攻擊者截獲A發(fā)給S的信息，并將協(xié)議改成A → S：A || C || RaS收到消息后，則又會按協(xié)議S → A: S || Ss(S || A || Ra || Kc)將Kc發(fā)送給A，A收到信息后會認(rèn)為他收到的是Kb ，而實(shí)際上收到的是Kc ，但是A會把它當(dāng)作Kb ，因?yàn)樗麩o法確認(rèn)。 (2)首先，系統(tǒng)給彩票編好碼，習(xí)慣稱之為條形碼；然后，將條形碼通過MD5運(yùn)算，得到相應(yīng)的消息摘要；接著，對消息摘要進(jìn)行加密，得到相應(yīng)密文；最后，系統(tǒng)將條形碼與密文綁定在一起并存儲，若需要查詢時只要查看條形碼與密文是否相關(guān)聯(lián)即可。(2) 防火墻不能防范來自內(nèi)部網(wǎng)絡(luò)的攻擊。(6) 防火墻對用戶不完全透明，可能帶來傳輸延遲、瓶頸以及單點(diǎn)失效等問題。通過區(qū)域網(wǎng)絡(luò)的路由及安全策略分析與制定，在網(wǎng)絡(luò)內(nèi)部及邊界建立實(shí)時檢測、監(jiān)測和審計(jì)機(jī)制，采取實(shí)時、快速動態(tài)響應(yīng)安全手段，應(yīng)用多樣性系統(tǒng)災(zāi)難備份恢復(fù)、關(guān)鍵系統(tǒng)冗余設(shè)計(jì)等方法，構(gòu)造多層次、全方位和立體的區(qū)域網(wǎng)絡(luò)安全環(huán)境。作為一個防御保護(hù)體系，當(dāng)網(wǎng)絡(luò)遭遇入侵攻擊時，系統(tǒng)每一步的安全分析與舉措均需花費(fèi)時間。Et=Dt+Rt （如果Pt=0） 公式（2）成立的前提是假設(shè)防護(hù)時間為0，這種假設(shè)對Web Server這樣的系統(tǒng)可以成立。在P2DR2動態(tài)安全模型中，采用的加密、訪問控制等安全技術(shù)都是靜態(tài)防御技術(shù)，這些技術(shù)本身也易受攻擊或存在問題。實(shí)體集合可包括網(wǎng)絡(luò)通信實(shí)體集、通信業(yè)務(wù)類型集和通信交互時間集。通信交互時間集則包含了通信事件發(fā)生的時間區(qū)域集。大規(guī)模信息系統(tǒng)安全必須依賴統(tǒng)一的安全策略管理、動態(tài)維護(hù)和管理各類安全服務(wù)。每個信任域或?qū)嶓w元素根據(jù)安全策略分別實(shí)現(xiàn)身份驗(yàn)證、訪問控制、安全通信、安全分析、安全恢復(fù)和響應(yīng)的機(jī)制選擇。 數(shù)字證書：是指各實(shí)體（持卡人、個人、商戶、企業(yè)、網(wǎng)關(guān)、銀行等）在網(wǎng)上信息交流及交易活動中的身份證明。信息安全的實(shí)現(xiàn)可以通過物理安全技術(shù)，系統(tǒng)安全技術(shù)，網(wǎng)絡(luò)安全技術(shù)，應(yīng)用安全技術(shù)，數(shù)據(jù)加密技術(shù)，認(rèn)證授權(quán)技術(shù)，訪問控制技術(shù)，審計(jì)跟蹤技術(shù)，防病毒技術(shù)，災(zāi)難恢復(fù)和備份技術(shù)2，什么是密碼分析，其攻擊類型有哪些？DES算法中S盒的作用是什么？答：密碼分析是指研究在不知道密鑰的情況下來恢復(fù)明文的科學(xué)。3，試畫圖說明kerberos認(rèn)證原理4，用戶A需要通過計(jì)算機(jī)網(wǎng)絡(luò)安全地將一份機(jī)密文件傳送給用戶B，請問如何實(shí)現(xiàn)？如果這份機(jī)密文件數(shù)據(jù)量非常大，B希望A今后對該份機(jī)密文件無法抵賴，請問如何實(shí)現(xiàn)，試畫圖說明。(2)假定通信雙方分別為Alice和BobAlice和Bob選用一個公開密鑰密碼系統(tǒng)Bob將他的公開密鑰傳送給Alice(2)假定通信雙方分別為Alice和BobAlice和Bob選用一個公開密鑰密碼系統(tǒng)Bob將他的公開密鑰傳送給AliceAlice用Bob的公開密鑰加密她的消息，然后傳送給BobBob用他的私人密鑰解密Alice的消息。CA、首先將 DES 算法所接受的輸入密鑰 K（64 位），去除奇偶校驗(yàn)位，得到56位密鑰（即經(jīng)過PC1置換，得到56位密鑰）B、在計(jì)算第i輪迭代所需的子密鑰時，首先進(jìn)行循環(huán)左移，循環(huán)左移的位數(shù)取決于i的值，這些經(jīng)過循環(huán)移位的值作為下一次循環(huán)左移的輸入C、在計(jì)算第i輪迭代所需的子密鑰時，首先進(jìn)行循環(huán)左移，每輪循環(huán)左移的位數(shù)都相同，這些經(jīng)過循環(huán)移位的值作為下一次循環(huán)左移的輸入D、然后將每輪循環(huán)移位后的值經(jīng)PC2置換，所得到的置換結(jié)果即為第i輪所需的子密鑰Ki2000年10月2日，NIST正式宣布將（ B ）候選算法作為高級數(shù)據(jù)加密標(biāo)準(zhǔn)，該算法是由兩位比利時密碼學(xué)者提出的。A、加密 B、解密 C、簽名 D、保密傳輸除了（ D ）以外，下列都屬于公鑰的分配方法。密碼技術(shù)的分類有很多種，根據(jù)加密和解密所使用的密鑰是否相同，可以將加密算法分為：對稱密碼體制和（非對稱密碼體制），其中對稱密碼體制又可分為兩類，按字符逐位加密的（序列密碼）和按固定數(shù)據(jù)塊大小加密的（分組密碼）。1976年，美國兩位密碼學(xué)者Diffe和Hellman在該年度的美國計(jì)算機(jī)會議上提交了一篇論文，提出了（公鑰密碼體制）的新思想，它為解決傳統(tǒng)密碼中的諸多難題提出了一種新思路。 得分評卷人三、簡述題（每小題8分，共40分） 古典密碼體制中代換密碼有哪幾種，各有什么特點(diǎn)？ 描述說明DES算法的加解密過程（也可以畫圖說明）。 RSA算法中，選擇p=7,q=17,e=13,計(jì)算其公鑰與私鑰，并采用快速模乘（反復(fù)平方乘）方法，加密明文m=（19）10。④多表代替密碼（1分），使用從明文字母到密文字母的多個映射，每個映射像簡單代替密碼中的一一對應(yīng)，比簡單代替密碼更安全一些，例如，維吉尼亞密碼等（1分）。③16輪（）輪變換，每輪（第i輪）操作如下：在輪子密鑰Ki的控制下，由輪函數(shù)f對當(dāng)前輪輸入數(shù)據(jù)的右半部分Ri1進(jìn)行加密：第一步，將Ri1經(jīng)過E盒置換擴(kuò)展成48位（），第二步，將Ri1與48位的輪子密鑰Ki逐比特異或（），第三步，對Ri1進(jìn)行S盒壓縮代換，將其壓縮為32位（），第四步，對Ri1進(jìn)行P盒置換（）。對于DES算法來說，其解密過程與加密過程是同一過程，只不過使用子密鑰的順序相反（1分）。④對于接收方來說，加密明文的一個比特錯誤，只會影響對應(yīng)明文塊所產(chǎn)生的密文的正常解密，其他數(shù)據(jù)塊可以正常準(zhǔn)確地解密（2分）。答：數(shù)字簽名與加密不同，它的主要目的是保證數(shù)據(jù)的完整性和真實(shí)性，一般包括兩部分：簽名算法和驗(yàn)證算法，通常由公鑰密碼算法和雜湊函數(shù)（Hash算法）結(jié)合實(shí)現(xiàn)。 解：①密鑰的生成：● 模數(shù)n=pq=717=119，f(n)=（p1）（q1）=616=96（）；● 因?yàn)榧用苤笖?shù)e和私密鑰d滿足：ed mod f(n) =1,所以d=e1 mod f(n) ,私鑰d的計(jì)算過程如下（1分）：QA1A2A3B1B2B3——109601137011317521752153121533222132225371由以上計(jì)算可知私密鑰d=37。參考答案：對 由于傳輸?shù)牟煌?，電力線可以與網(wǎng)絡(luò)線同槽鋪設(shè)。參考答案：對 如果系統(tǒng)在一段時間內(nèi)沒有出現(xiàn)問題，就可以不用再進(jìn)行容災(zāi)了。參考答案：對 PKI是利用公開密鑰技術(shù)所構(gòu)建的、解決網(wǎng)絡(luò)安全問題的、普遍適用的一種基礎(chǔ)設(shè)施。參考答案：對 1Web站點(diǎn)訪問者實(shí)際登錄的是該Web服務(wù)器的安全系統(tǒng)，“匿名”Web訪問者都是以IUSR帳號身份登錄的。參考答案：錯 1防火墻安全策略一旦設(shè)定，就不能再做任何改變。參考答案：對 2防火墻規(guī)則集應(yīng)該盡可能的簡單，規(guī)則集越簡單，錯誤配置的可能性就越小，系統(tǒng)就越安全參考答案：對 2與入侵檢測系統(tǒng)不同，入侵防御系統(tǒng)采用在線（inline）方式運(yùn)行。參考答案：錯 2如果采用正確的用戶名和口令成功登錄網(wǎng)站，則證明這個網(wǎng)站不是仿冒的。參考答案：錯 安全管理的合規(guī)性，主要是指在有章可循的基礎(chǔ)上，確保信息安全工作符合國家法律、法規(guī)、行業(yè)標(biāo)準(zhǔn)、機(jī)構(gòu)內(nèi)部的方針和規(guī)定。參考答案：對 3經(jīng)營國際聯(lián)網(wǎng)業(yè)務(wù)的單位，有違法行為的，公安機(jī)關(guān)可以吊銷其經(jīng)營許可證或者取消其聯(lián)網(wǎng)資格。A、未經(jīng)允許重裝系統(tǒng)B、故意卸載應(yīng)用程序C、在互聯(lián)網(wǎng)上長時間聊天的D、故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行參考答案：D 公然侮辱他人或者捏造事實(shí)誹謗他人的，處（ ）。A、PROB、RTOC、NROD、SDO參考答案：A 1代表了當(dāng)災(zāi)難發(fā)生后，數(shù)據(jù)的恢復(fù)時間的指標(biāo)是_______。A、五B、六C、七D、八參考答案： B 1容災(zāi)項(xiàng)目實(shí)施過程的分析階段，需要_______進(jìn)行。A、本地帳號B、域帳號C、來賓帳號D、局部帳號參考答案：A 2有編輯/etc/passwd文件能力的攻擊者可以通過把UID變?yōu)開______就可以成為特權(quán)用戶。A、文件/etc/passwd