東南大學(xué)研究生網(wǎng)絡(luò)安全往年考題

1、往年考題1999年1. 網(wǎng)絡(luò)安全管理分為哪幾個方面，它們的作用分別是什么？請簡述一下你的看法。202. 在使用idea算法進(jìn)行數(shù)據(jù)的加密/解密時，設(shè)加密操作所使用的加密子密鑰分別為k1,k2,.,k52，請寫出用于對應(yīng)解密操作的解密子密鑰序列，其中子密鑰ki的逆元用ki-1表示。153. 設(shè)某公司一部門有20名員工，彼此的工資并不相同，且互不知道。請問這20個人如何在信道不安全的網(wǎng)絡(luò)環(huán)境中共同進(jìn)行一次平均工資的計算，同時又不暴露自己的工資情況？154. 網(wǎng)絡(luò)防火墻有哪幾種類型，它們的作用分別是什么？請簡單討論防火墻技術(shù)的優(yōu)點和缺點。205. 設(shè)a是一個提供匿名密鑰服務(wù)的kdc：用戶可以向申請公

2、鑰/私鑰對，但它并不能知道用戶的真實身份，這樣密鑰持有者可用匿名的方式進(jìn)行安全操作，同時又可以讓a證明密鑰的真實性。請設(shè)計a的工作機(jī)制，以實現(xiàn)密鑰的匿名分配和真實性確認(rèn)（這既要求a在分配密鑰前能確認(rèn)用戶的身份，又無法將分配的密鑰與具體的用戶聯(lián)系起來）。302000年一、 是非題1. rsa算法是一種零知識證明系統(tǒng)。對2. 可信系統(tǒng)是安全的，不會出現(xiàn)安全問題。錯3. 有害代碼是一種計算機(jī)病毒。錯4. 安全的密鑰體制是不可破譯的。錯5. 使用會話密鑰可以增加主密鑰的安全性。對6. 用hash函數(shù)產(chǎn)生的明文信息摘錄是該明文信息完整性的依據(jù)。對7. dns也可以用來傳遞密鑰。對8. 訪問控制可以同時對

3、用戶和系統(tǒng)資源進(jìn)行定義。對9. 網(wǎng)絡(luò)入侵就是指攻擊者非法登陸到用戶系統(tǒng)中。錯10. 防火墻本質(zhì)是一種信息過濾設(shè)施。對二、 簡述數(shù)字簽名的安全性應(yīng)該表現(xiàn)在哪些方面？（1） 對報文的簽名不會引起密鑰的泄露（2） 若不知道系統(tǒng)的私鑰s，無人能夠?qū)o定的報文產(chǎn)生簽名。（3） 無人能夠產(chǎn)生匹配給定簽名的報文。（4） 無人能夠修改報文而還使原有的簽名依然有效。三、 假設(shè)一個銀行要為其用戶提供ca服務(wù)，這時有兩種密鑰管理方式的選擇（1） 由用戶瀏覽器產(chǎn)生密鑰對并將相應(yīng)的公鑰證書交給ca服務(wù)器簽名；或者（2） 由用戶向ca服務(wù)器提交請求，由ca服務(wù)器產(chǎn)生密鑰對和相應(yīng)公鑰證書并設(shè)法交給用戶。請討論這兩種方法的密

4、鑰管理優(yōu)勢（1） 私鑰不直接傳輸。（2） 安全強(qiáng)度有保證。四、 試設(shè)計一個針對idea加密算法的密鑰窮舉破譯（brute force）算法，需給出具體算法流程。1. 建立字典，由于idea采用128位的密鑰，所以每次從字典取16個字符（168bit）作為待選加密密鑰。2. 已知明文/密文對，將密鑰擴(kuò)展，按加密算法對明文加密，然后與已知的密文比對，確認(rèn)加密密鑰。3. 只知密文，將密鑰擴(kuò)展，得到對應(yīng)的解密循環(huán)密鑰，用解密循環(huán)密鑰按加密算法對密文加密，從而得到待定的明文，分析明文。五、 a公司通過內(nèi)部網(wǎng)將內(nèi)部的所有計算機(jī)系統(tǒng)和應(yīng)用系統(tǒng)集成起來，并通過internet找自己所需的系統(tǒng)文檔，而這些文檔由

5、于是技術(shù)機(jī)密，所以在公司的內(nèi)部網(wǎng)上也不是隨便可以看的。請為a公司設(shè)計一個安全解決方案，使其能夠滿足公司在數(shù)據(jù)安全性和訪問控制方面的安全管理需要和張三的工作需要，要求給出系統(tǒng)的基本結(jié)構(gòu)框圖和張三訪問所需數(shù)據(jù)的工作流程，說明各安全功能的作用。分為兩個方面：1. 張三要存取公司內(nèi)部網(wǎng)（采用隧道方式，l2tp或pptp）2. 文檔的保密要求。2001年1. 簡述網(wǎng)絡(luò)安全管理包含哪些內(nèi)容，以及網(wǎng)安時間響應(yīng)工作小組（csirt）在網(wǎng)絡(luò)安全管理中的作用。2. 非對稱密鑰是一種零知識證明系統(tǒng)嗎？為什么？是。用私鑰加密，用公鑰解密，證明擁有私鑰而不泄露秘密。3. 離散對數(shù)方法中要求選用模數(shù)p的本原元a作為底數(shù)，

6、為什么？基于本原元的概念，使得任意兩個用戶，各使用一個與p互質(zhì)且小于p的整數(shù)ki作為秘密保存的密鑰，可以保證對應(yīng)生成的公開密鑰互不相同。且1,2,.p-1每種狀態(tài)只出現(xiàn)一次。4. 試比較在internet中使用acl進(jìn)行訪問控制和使用防火墻進(jìn)行訪問控制的不同，并討論他們的優(yōu)缺點。acl在域內(nèi)對資源使用進(jìn)行分組限制。防火墻是隔離兩個不同域之間通信，按安全政策來分析系統(tǒng)流動。acl控制的主機(jī)之間仍然存在直接ip交互，是一種包過濾防火墻，效率較高，但無法針對特定用戶或特定服務(wù)請求進(jìn)行過濾。防火墻訪問控制策略靈活，但效率較低。往往是internet的瓶頸。5. 增強(qiáng)的dns和安全的dns信息動態(tài)更新的

7、目的分別是什么？他們的技術(shù)重點又分別是什么？6. 設(shè)有一個基于組傳播通信機(jī)制（一點發(fā)送多點同時接收）的遠(yuǎn)程教學(xué)系統(tǒng)，內(nèi)容用密文形式傳送，因此只對合法的注冊用戶開放，試設(shè)計一個基于kdc的群密鑰分配方法，使得在通信時任何確認(rèn)身份的用戶均可注冊加入。（1） 使用cbt（core based tree）這種基于共享樹群路由技術(shù)，把核心路由器(core)作為共享樹的根，每個群只有一個核心，而每個核心可為多個群服務(wù)，核心的分配可以是動態(tài)或靜態(tài)的。源點發(fā)出的組播報文先送到核心路由器，然后再沿著這個共享樹轉(zhuǎn)發(fā)至各個群成員。cbt不允許接收方從共享樹轉(zhuǎn)移到源點樹，從控制網(wǎng)絡(luò)中轉(zhuǎn)發(fā)樹的數(shù)量。（2） 核心路由器定

8、義一個群訪問報文、包含源點組播密鑰、kek、以及安全傳輸所需的安全聯(lián)系信息。cbt中的所有群路由器同時者陽組播密鑰中心（gkdc），他們可以向發(fā)出igmp報文以申請加入這個群的成員主機(jī)發(fā)送群訪問報文，將組播密鑰分配給它。（3） 直接接入這個主機(jī)的群路由器對該主機(jī)發(fā)出的igmp報文進(jìn)行身份認(rèn)證，如果允許訪問，則將群訪問報文作為響應(yīng)的一部分返回給該主機(jī)。如果群路由器還不是cbt的一部分，則它要從能夠路由的概念上離cbt最近的一個臨近點發(fā)出加入請求。如果允許，則將這個請求繼續(xù)向cbt轉(zhuǎn)發(fā)，直到這個請求到達(dá)cbt的某個節(jié)點。如果這個請求最終被cbt的某個節(jié)點批準(zhǔn)，則不僅該主機(jī)加入了這個群，并獲得了相應(yīng)

9、的組播密鑰，而且所有這次申請涉及的非cbt節(jié)點，同時成為gkdc。2002年二、設(shè)a和b之間共享對稱密鑰x，并采用如下的方法來確認(rèn)對方擁有x。1.a產(chǎn)生與x等長的隨機(jī)數(shù)r，并計算y=xr，將y發(fā)送給b。2.b計算zyx并將結(jié)果返回給a。雖然a和b都可以使用這種方法發(fā)起身份認(rèn)證，且不需要在網(wǎng)絡(luò)中傳輸x，但這種方法存在哪些安全閘？存在橋接攻擊。設(shè)有c，分別截獲a和b的數(shù)據(jù)，則可通過以下算法獲取x。r=x or z x=y xor r三、試比較在internet中使用acl進(jìn)行訪問控制和使用防火墻進(jìn)行訪問控制的不同。并討論它們的優(yōu)缺點。四、試給出用diffie-hellman的密鑰交換機(jī)制在a、b、

10、c三方建立共同的對稱密鑰的方法。密鑰ak1b1=ak1mod p(0b1設(shè)計安全級別的網(wǎng)絡(luò)。vpn，ids，防火墻2005年一、某大學(xué)的學(xué)生在校園網(wǎng)上通過與投票服務(wù)器的交互投票選舉本年度最受歡迎的教師和最不受歡迎的教師。這兩種選舉分別用兩張選票實現(xiàn)，且要求投票是匿名的。每個學(xué)生對于這兩個選舉分別最多只能投一張票，請具體設(shè)計滿足上述要求的投票控制方法。二、什么叫“回放”攻擊？防范“回放”攻擊的基本方法是什么？請說明擴(kuò)展的needham-schroeder方法的每一步的目的。三、某甲基于fiat-schamir的三次握手原理設(shè)計了一個無須交換密鑰的對稱加密系統(tǒng)如下：1.a和b各自獨立生成一個密鑰k

11、a和kb，并按如下順序交換數(shù)據(jù)2.a發(fā)mka給b3.b發(fā)mkakb給a4.a發(fā)mkakb/kamkb給b5.b計算mkb/kbm請問：這個系統(tǒng)存在哪些安全威脅？四、請簡述ids和burglar alarm system的用途和它們的區(qū)別。2006年（回憶）一、 a想把一個很大的文件通過組播服務(wù)發(fā)給b、，且已知他們的公鑰。而僅希望對該文件加密一次并同時發(fā)送給人。請設(shè)計一個方案?？赡艽鸢福嚎捎靡粋€對稱密鑰加密（des或idea）文件,再用rsa公鑰來加密對稱密鑰即可二、 ek(m)+h(ek(m)可否保證全性和完整性？可能答案：有安全性、無完整性（ek(m)可被任意修改再計算摘錄值）三、 為dc-net設(shè)計一個匿名發(fā)送權(quán)預(yù)約機(jī)制。可能答案：要發(fā)數(shù)據(jù)的人用非0隨機(jī)數(shù)和其他所有密鑰做異或，不發(fā)的人僅對其他所有密鑰做異或，網(wǎng)關(guān)做總異或，若為0則表明“基本上”沒有人預(yù)約，否則將此值廣播回去，各自核對，若一致則表明“基本上”輪到我發(fā)，不一致則表明預(yù)約沖突，可采用csma/cd的回避機(jī)制延遲預(yù)約。兩個“基本上”是該算法存在的問題：第一個問題沒有本質(zhì)影響，若干次隨機(jī)后總能解決；第二個問題有較大影