(5)【解析】基于USB Key的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术,它可以存储用户的密钥或数字证书,利用内置的密码算法实现对用户身份的认证。故【10】应填入:USB Key 2)【解题思路】
本题主要考察Linux下主要命令的熟悉程度。 【参考答案】
(1) 【解析】ls?-l?命令查看一个目录下的文件和子目录的详悉信息;故【1】应填入:ls -l (2) 【解析】chmod用于改变文件或目录的访问权限。用户用它控制文件或目录的访问权限。
语法:chmod [who] [+ | - | =] [mode] 文件名 命令中各选项的含义为:
操作对象who可是下述字母中的任一个或者它们的组合:
u 表示\用户(user)\,即文件或目录的所有者。
g 表示\同组(group)用户\,即与文件属主有相同组ID的所有用户。 o 表示\其他(others)用户\。
a 表示\所有(all)用户\。它是系统默认值。
操作符号可以是:
+ 添加某个权限。 - 取消某个权限。
= 赋予给定权限并取消其他所有权限(如果有的话)。
设置 mode 所表示的权限可用下述字母的任意组合:
r 可读。 w 可写。
?? x 可执行。
X 只有目标文件对某些用户是可执行的或该目标文件是目录时才追加x 属性。 s 在文件执行时把进程的属主或组ID置为该文件的文件属主。
?????? 方式\+s\设置文件的用户ID位,\+s\设置组ID位。 t 保存程序的文本到交换设备上。 u 与文件属主拥有一样的权限。
g 与和文件属主同组的用户拥有一样的权限。 o 与其他用户拥有一样的权限。
故【2】应填入:chmod
(3) 【解析】who:显示目前登入系统的用户信息;因此【3】应填入:who (4) 【解析】last(选项)(参数) wang
17
选项:-a:把从何处登入系统的主机名称或ip地址,显示在最后一行; -d:将IP地址转换成主机名称; -f <记录文件>:指定记录文件。
-n <显示列数>或-<显示列数>:设置列出名单的显示列数; -R:不显示登入系统的主机名称或IP地址;
-x:显示系统关机,重新开机,以及执行等级的改变等信息。 参数: 用户名:显示用户登录列表;
终端:显示从指定终端的登录列表。
故【4】应填入:last wang
(5) 【解析】users命令用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。故 【5】应填入:users。
3)【解题思路】
本题主要考察SSL协议连接过程以及数字证书和数字签名。 【参考答案】
【解析】服务器启动SSL握手第2阶段,是本阶段所有消息的唯一发送方,客户机是所有消息的唯一接收方。该阶段分为4步:
(a)证书:服务器将数字证书和到根CA整个链发给客户端,使客户端能用服务器证书中的服务器公钥认证服务器。 (b)服务器密钥交换(可选):这里视密钥交换算法而定 (c)证书请求:服务端可能会要求客户自身进行验证。
(d)服务器握手完成:第二阶段的结束,第三阶段开始的信号,故【1】应填入:数字证书; 【解析】比较当前时间与数字证书截止时间,确认信息是否失效,故【2】应填入:有效性
【解析】查看数字证书是否已废除确认信息是否可用,而废除的数字证书都存放在证书黑名单中;故【3】应填入:可用;【4】应填入:证书黑名单。
【解析】数字证书是否被篡改,是其真假,需要利用CA的数字证书对其签名进行判断。加密是用公钥,解密用私钥。故【5】应填入:真实;【6】应填入:CA;【7】应填入:公钥;【8】应填入:数字签名;【9】应填入公钥。 【解析】解密是用私钥,故【10】填入:私钥。
4 )【解题思路】
本题主要考察各种漏洞防范技术的了解熟悉程度,及其具体作用。 【参考答案】 【解析】
(1) 【解析】
GS(缓冲区安全检查)检测某些改写返回地址的缓冲区溢出,这是一种利用不强制缓冲区大小限制的代码的常用技术。编译器在包含本地字符串缓冲区的函数中或(在 x86 上)包含异常处理功能的函数中插入检查。字符串缓冲区被定义为元素大小为一两个字节的数组(整个数组的大小至少为五个字节),或定义为使用?_alloca?分配的任何缓冲区。在所有的平台上,编译器都插入一个 Cookie,以便在函数具有本地字符串缓冲区时保护函数的返回地址。在以下情况下检查此 Cookie:在退出函数时;在 64 位操作系统或 x86 上针对具有某种异常处理的函数展开帧的过程中。在 x86 上,编译器还插入一个 Cookie 以保护函数的异常处理程序的地址。在展开帧的过程中会检查此 Cookie。
18
因此【1】应填入:GS
(2) 【解析】
数据执行保护技术是一项设置内存堆栈区的代码为不可执行的状态,从而防范溢出后代码执行的技术。数据执行保护有助于防止电脑遭受病毒和其他安全威胁的侵害,与防病毒程序不同,硬件和软件实施 DEp 技术的目的并不是防止在计算机上安装有害程序。 而是监视您的已安装程序,帮助确定它们是否正在安全地使用系统内存。 为监视您的程序,硬件实施 DEp 将跟踪已指定为\不可执行\的内存区域。 如果已将内存指定为\不可执行\,但是某个程序试图通过内存执行代码,Windows 将关闭该程序以防止恶意代码。 无论代码是不是恶意,都会执行此操作。 因此【2】处应填入:数据执行保护。
(3) 【解析】
地址空间分布随机化技术是一项通过将系统关键地址随机化,从而使攻击者无法获得需要跳转的精确地址的技术。ASLR(Address space layout randomization)是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的。据研究表明ASLR可以有效的降低缓冲区溢出攻击的成功率,如今Linux、FreeBSD、Windows等主流操作系统都已采用了该技术。
因此【3】处应填入:地址空间分布随机化。
(4) 【解析】SEH是Windows异常处理机制所采用的重要数据结构链表,而SafeSEH就是一项保护SEH函数不被非法利用的技术。因此【4】处应填入:SafeSEH。
【解析】结构化异常处理覆盖保护(SEHOP)是微软公司针对SEH攻击提出的一种安全防护方案,即保护SEH不被非法利用。因此【5】处应填入:结构化异常处理覆盖保护。
试题四1、在一个基于公钥密码机制的安全应用系统中,假设用户Alice和Bob分别拥有自己的公钥和私钥。请回答下述问题。(共10分)
19
(1)在产生Alice和Bob的密钥时,如果采用RSA算法,选取的模数n至少要有____【1】______位,如果采用椭圆曲线密码,选取的参数p的规模应大于_____【2】______位。(每空1分)
(2)基于公钥证书的密钥分发方法是目前广泛流行的密钥分发机制,用户可将自己的公钥通过证书发给另一用户,接收方可用证书管理机构的_____【3】______对证书加以验证。(1分)
(3)为了预防Alice抵赖,Bob要求Alice对其发送的消息进行签名。Alice将使用自己的_____【4】______对消息签名;如果要求对消息保密传输,Alice将使用Bob的____【5】_______对消息加密。(每空1分)
(4)实际应用中为了缩短签名的长度、提高签名的速度,而且为了更安全,常对信息的_____【6】______进行签名。(1分)
(5)实际应用中,通常需要进行身份认证。基于口令的认证协议非常简单,但是很不安全,两种改进的口令验证机制是:利用_____【7】______加密口令和一次性口令。(1分) (6)基于公钥密码也可以实现身份认证,假定Alice和Bob已经知道对方的公钥,Alice为了认证Bob的身份:
首先,Alice发送给Bob一个随机数a,即 Alice → Bob:a;
然后,Bob产生一个随机数b,并将b及通过其私钥所产生的签名信息发送给Alice, 假设用SignB表示用Bob的私钥产生数字签名的算法,即 Bob → Alice :b || SignB( a||b );
20
