試題一（共20分）

閱讀下列說明和圖，回答試題1至問題3，將解答填入答題紙的對應欄內

【說明】研究密碼編碼的科學稱為密碼編碼學，研究密碼破譯的科學稱為密碼分析學，密碼編碼學和密碼分析學共同組成密碼學。密碼學作為信息安全的關鍵技術，在信息安全領域有著廣泛的應用。

【問題1】（9分）

密碼學的安全目標至少包括哪三個萬面？具體內涵是什么？

【問題2】（3分）

對下列違規安全事件，指出各個事件分別違反了安全目標中的哪些項？

(1)小明抄襲了小麗的家庭作業。

(2)小明私自修改了自己的成績。

(3)小李竊取了小劉的學位證號碼、登錄口書信息、并通過學位信息系統更改了小劉的學位信息記錄和登陸口令，將系統中小劉的學位信息用一份偽造的信息替代，造成小劉無法訪問學位信息系統。

【問題3】（3分）

現代密碼體制的安全性通常取決于密鑰的安全，文了保證密鑰的安全，密鑰管理包括哪些技術問題？

【問題4】（5分）

在圖1-1給出的加密過程中，  ，表示明文分組， 表示密文分組，Z表示初始序列，K表示密鑰，E表示分組加密過程。該分組加密過程屬于哪種工作模式？這種分組密碼的工作模式有什么缺點？

參考答案：

【問題一】

（1）保密住：保密性是確保信息僅被合法用戶訪問，而不被地露給非授權的用戶、實體或過程，或供其利用的特性。即防止信息泄露給非授權個人或實體，信息只為授權用戶使用的特性。

（2）完整性：完整性是指所有資源只能由授權或以授權的方式進項修改，即信息未經授權不能進行改變的特性。信息存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。

(3)可用性：可用性是指所有資源在適當的時候可以由授權方訪問，即信息可被授權實體訪問并按需求使用的特性。信息服務在需要時，允許授根用戶或實體使用的特性，或者是網絡部分受損或需要降級使用時，仍能為授權用戶提供有效服務的特性。

【問題二】

（1）保密性  （2）完整性  （3）可用性

【問題三】

答：密鑰管理包括蜜鑰的產生、存儲、分配、組織、使用、停用、更換、銷毀等一系列技術問題。

【問題四】

明密文鏈接模式。

缺點：當Mi或Ci中發生一位錯誤時，自此以后的密文全都發生錯誤，即具有錯誤傳播無界的特性，不利于磁盤文件加密。并且要求數據的長度是密碼分組長度的整數倍，否則最后一個數據塊將是短塊，這時需要特殊處理。

試題二：

閱讀下列說明和圖，回答問題1至問題2，將解答填入答題紙的對應欄內。

【說明】 訪問控制是對信息系統資源進行保護的重要措施，適當的訪問控制能夠阻止未經授權的用戶有意或者無意地獲取資源。訪問控制一般是在操作系統的控制下，按照事先確定的規則決定是否允許用戶對資源的訪問。圖2-1給出了某系統對客體traceroute.mpg實施的訪問控制規則。

【問題1】（3分） 

針對信息系統的訪問控制包含哪些基本要素？ 

【問題2】（7分） 

分別寫出圖2-1中用戶Administrator對應三種訪問控制實現方法，即能力表、訪問控制表、訪問控制矩陣下的訪問控制規則。

參考答案：

【問題1】 主體、客體、授權訪問 

【問題二】 

能力表： （主體）Administrator <（客體）traceroute.mpg：讀取，運行> 

訪問控制表： （客體）traceroute.mpg<（主體）Administrator ：讀取，運行> 

訪問控制矩陣： 

試題三（共19分） 

閱讀下列說明和圖，回答問題1至問題3，將解答填入答題紙的對應欄內。 

【說明】 防火墻是一種廣泛應用的網絡安全防御技術，它阻擋對網絡的非法訪問和不安全的數據傳遞，保護本地系統和網絡免于受到安全威脅。 圖3-1改出了一種防火墻的體系結構。 

【問題1】（6分） 

防火墻的體系結構主要有： 

（1）雙重宿主主機體系結構； 

（2）（被）屏蔽主機體系結構； 

（3）（被）屏蔽子網體系結構； 

請簡要說明這三種體系結構的特點。 

【問題2】（5分） 

（1）圖3-1描述的是哪一種防火墻的體系結構？ 

（2）其中內部包過濾器和外部包過濾器的作用分別是什么？ 

【問題3】（8分） 

設圖3-1中外部包過濾器的外部IP地址為10.20.100.1，內部IP地址為10.20.100.2，內部包過濾器的外部IP地址為10.20.100.3，內部IP地址為192.168.0.1，DMZ中Web服務器IP為10.20.100.6，SMTP服務器IP為10.20.100.8. 

關于包過濾器，要求實現以下功能，不允許內部網絡用戶訪問外網和DMZ，外部網絡用戶只允許訪問DMZ中的Web服務器和SMTP服務器。內部包過濾器規則如表3-1所示。請完成外部包過濾器規則表3-2，將對應空缺表項的答案填入答題紙對應欄內。 

參考答案：

【問題一】雙重宿主主機體系結構：雙重宿主主機體系結構是指以一臺雙重宿主主機作為防火墻系統的主體，執行分離外部網絡與內部網絡的任務。 

被屏蔽主機體系結構：被屏蔽主機體系結構是指通過一個單獨的路由器和內部網絡上的堡壘主機共同構成防火墻，主要通過數據包過濾實現內外網絡的隔離和對內網的保護。 

被屏蔽子網體系結構：被屏蔽子網體系結構將防火墻的概念擴充至一個由兩臺路由器包圍起來的周邊網絡，并且將容易受到攻擊的堡壘主機都置于這個周邊網絡中。其主要由四個部件構成，分別為:周邊網絡、外部路由器、內部路由器以及堡壘主機。 

【問題二】 

（1） 屏蔽子網體系結構。 

（2） 內部路由器：內部路由器用于隔離周邊網絡和內部網絡，是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃，對內部用戶訪問周邊網絡和外部網絡進行限制。 

外部路由器：外部路由器的主要作用在于保護周邊網絡和內部網絡，是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則，該規則主要針對外網用戶。 

【問題三】 

（1）* （2）10.20.100.8 （3）10.20.100.8 

（4）* （5）UDP （6）10.20.100.3 

（7）UDP （8）10.20.100.3

試題四（共18分） 

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內。 

【說明】 

用戶的身份認證是許多應用系統的第一道防線、身份識別對確保系統和數據的安全保密及其重要，以下過程給出了實現用戶B對用戶A身份的認證過程。 

1.B –> B：A 

2.B –> A：{B，Nb}pk（A） 

3.A –> B：b（Nb） 

此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。 

【問題1】（5分） 

認證和加密有哪些區別？ 

【問題2】（6分） 

（1）包含在消息2中的“Nb”起什么作用？ 

（2）“Nb”的選擇應滿足什么條件？ 

【問題3】（3分） 

為什么消息3中的Nb要計算哈希值？ 

【問題4】（4分） 

上述協議存在什么安全缺陷？請給出相應的解決思路。

參考答案：

【問題一】 

認證和加密的區別在于：加密用以確保數據的保密性，阻止對手的被動攻擊，如截取，竊聽等；而認證用以確保報文發送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充、篡改、重播等。 

【問題二】 

（1） Nb是一個隨機值，只有發送方B和A知道，起到抗重放攻擊作用。 

（2） 應具備隨機性，不易被猜測。 

【問題三】 

哈希算法具有單向性，經過哈希值運算之后的隨機數，即使被攻擊者截獲也無法對該隨機數進行還原，獲取該隨機數Nb的產生信息。 

【問題四】 

攻擊者可以通過截獲h（Nb）冒充用戶A的身份給用戶B發送h（Nb）。 

解決思路：用戶A通過將A的標識和隨機數Nb進行哈希運算，將其哈希值h（A，Nb）發送給用戶B，用戶B接收后，利用哈希函數對自己保存的用戶標識A和隨機數Nb進行加密，并與接收到的h（A，Nb）進行比較。若兩者相等，則用戶B確認用戶A的身份是真實的，否則認為用戶A的身份是不真實的。

試題五（共8分） 

閱讀下列說明和代碼，回答問題1和問題2，將解答卸載答題紙的對應欄內。 

【說明】 某一本地口令驗證函數（C語言環境，X86_32指令集）包含如下關鍵代碼：某用戶的口令保存在字符數組origPassword中，用戶輸入的口令保存在字符數組userPassword中，如果兩個數組中的內容相同則允許進入系統。 

【問題1】（4分） 

用戶在調用gets()函數時輸入什么樣式的字符串，可以在不知道原始口令“Secret”的情況下繞過該口令驗證函數的限制？ 

【問題2】（4分） 

上述代碼存在什么類型的安全隱患？請給出消除該安全隱患的思路。

參考答案：

【問題一】 只要輸入長度為24的字符串，其前12個字符和后12個字符一樣即可。 

【問題二】 gets（）函數必須保證輸入長度不會超過緩沖區，一旦輸入大于12個字符的口令就會造成緩沖區溢出。 

解決思路：使用安全函數來代替gets（）函數，或者對用戶輸入進行檢查和校對，可通過if條件語句判斷用戶輸入是否越界。