操作系統(tǒng)：第16章-安全

安全復(fù)習(xí)題：計算機安全的基礎(chǔ)要求是什么？答：機密性，完整性，可用性，可靠性。主動安全攻擊和被動安全攻擊有什么不同？答：被動攻擊在本質(zhì)上是對傳輸進行竊聽或監(jiān)視。對方的目標(biāo)是獲取正在傳輸?shù)男畔ⅰＶ鲃庸舭▽?shù)據(jù)或數(shù)據(jù)流的更改或者生成錯誤的數(shù)據(jù)或數(shù)據(jù)流。列出并簡單定義主動安全攻擊和被動安全攻擊的分類。答：被動攻擊：①釋放消息內(nèi)容：未被授權(quán)的人或程序了解了文件或消息的內(nèi)容；②通信分析：通過分析數(shù)據(jù)傳輸模式來獲取信息。主動攻擊：①偽裝：一個實體假裝成另一個不同的實體；②重放：被動地捕獲一個數(shù)據(jù)單元，然后再把它重發(fā)以產(chǎn)生未經(jīng)授權(quán)的結(jié)果；③更改消息：改變合法消息的某些部分，或者消息被延遲或記錄下來，產(chǎn)生未授權(quán)的結(jié)果；④拒絕服務(wù)：阻止或禁止對通信設(shè)施的正確使用或管理。大多數(shù)通用的用戶訪問控制技術(shù)都要求有哪些元素？答：在共享系統(tǒng)或服務(wù)器上，用戶訪問控制的最普遍的技術(shù)是用戶登錄，這需要一個用戶標(biāo)識符（ID）和一個口令。在訪問控制中，主體和對象有什么區(qū)別？答：主體（subject）：能夠訪問對象的實體。一般地，主體概念等同于進程。任何用戶或應(yīng)用程序獲取對一個對象的訪問，實際上是通過一個代表該用戶或應(yīng)用程序的進程。對象（object）：訪問控制所針對的一切。例如文件、文件的某些部分、程序、內(nèi)存段以及軟件對象。解釋圖16.6中salt的目的。答：salt有三方面的作用：⑴防止在口令文件中出現(xiàn)相同的口令。即使有兩個用戶選擇了相同的口令，那些口令也將被指定不同的時間，因此，兩個用戶的“擴展”口令是不同的。⑵有效地增加口令的長度，而不要求用戶記住那兩個額外的字符。因此，可能的口令個數(shù)增加了4096，從而增加了猜測口令的難度。⑶防止使用DES的硬件實現(xiàn)，硬件實現(xiàn)會使蠻力猜測攻擊變得容易。解釋統(tǒng)計異常入侵檢測和基于規(guī)則的入侵檢測有什么不同？答：統(tǒng)計異常檢測：包括收集在一段時間上與合法用戶的行為有關(guān)的數(shù)據(jù)。然后對觀察到的行為進行統(tǒng)計試驗，以高度的信心來確定該行為是否是合法用戶的行為?；谝?guī)則的檢測：包括定義一組規(guī)則的工作，該組規(guī)則用于決定一個已知的行為是否是入侵者的行為。1999年和2000年開發(fā)的電子郵件附件和電子郵件VBS惡意軟件（如Melissa、loveletter）稱為電子郵件病毒。請問用術(shù)語電子郵件蠕蟲是否更正確一些？答：這兩種術(shù)語都合適。術(shù)語電子郵件蠕蟲通常是一個獨立的程序而不是嵌入其他程序的一個程序塊，因此電子郵件病毒更正確一些。加密在病毒設(shè)計中扮演著什么角色？答：加密技術(shù)將以如下方式被使用：有一部分病毒，一般稱為變種引擎，它生成一個隨機的密鑰來加密病毒剩余的部分。該密鑰與病毒一起存儲，變種引擎自身卻改變了。當(dāng)受到感染的程序喚起執(zhí)行時，病毒使用這個存儲的隨機密鑰來解密病毒。當(dāng)病毒復(fù)制時，選擇另一個不同的隨機密鑰。攻擊常規(guī)加密方案的兩種通用方法什么？答：密碼分析：依靠算法的本質(zhì)和關(guān)于明文一般特點的知識，甚至一些“明文-密文對”來進行攻擊。這類攻擊利用算法的特性，試圖推導(dǎo)出具體的明文，或者推導(dǎo)出使用的密鑰。強力攻擊：它在一塊密文上嘗試每種可能的密鑰，直到轉(zhuǎn)換得到一個可理解的明文。什么是DES和三重DEA？答：DES是被NIST標(biāo)準化的一個廣泛應(yīng)用的傳統(tǒng)編碼標(biāo)準。最初的DES指定了一個數(shù)據(jù)編碼運算法則(DEA)。最近的標(biāo)準的版本也包括使用三重DEA的選擇項,用二或三個獨立的密鑰重復(fù)基本的DEA三次。AES是如何改進三重DEA的？答：AES被期望在軟件中運行得比TDEA更快。同時,AES使用更大的塊尺寸,這可以提高安全性。在評估AES候選者時，將使用什么評估原則？答：評估原則包括安全性、計算效率、需要的存儲量、硬件和軟件的適用性和靈活性。解釋常規(guī)加密和公鑰加密有什么不同。答：在傳統(tǒng)編碼中，編碼和解碼使用相同的密鑰。公鑰編碼中有一對密鑰,一個用于編碼而另一個用于解碼。這二個密鑰中只有一個需要被保留私用。術(shù)語公鑰、私鑰和密鑰的區(qū)別是什么？答：對稱加密中的密鑰通常稱為密鑰。公鑰加密中使用的兩個密鑰稱為公鑰和私鑰。私鑰總是保密的，之所以將它稱為私鑰，是為了避免與對稱加密中的密鑰混淆。習(xí)題：16.1、假設(shè)口令選自26個字母中4個字母的組合，并假設(shè)敵手以每秒一個口令的速度進行嘗試。a.假設(shè)直到每次嘗試都結(jié)束后才反饋給敵手，則發(fā)現(xiàn)正確的口令需要多長時間？b.假設(shè)每當(dāng)輸入一個不正確的字符后就反饋給敵手一個逐漸衰退的錯誤，則發(fā)現(xiàn)正確的口令需要多長時間？答案：a.秒=63.5小時b.每個數(shù)字需要嘗試13次。T=13×4=52秒。16.2、假設(shè)長度為k的源元素按某種統(tǒng)一的方式被映射到一個長度為p的目標(biāo)。如果每個數(shù)字可以從r個值中選用一個，則源元素的數(shù)目為rk，目標(biāo)元素的數(shù)目是一個比較小的數(shù)i。一個特定的源元素xi被映射到一個特定的目標(biāo)元素yi。a.敵手一次就選擇到正確的源元素的概率為多少？b.敵手用不同的源元素xk（xi≠xk）產(chǎn)生相同的目標(biāo)元素yi的概率是多少？c.敵手一次就產(chǎn)生了正確的目標(biāo)元素的概率為多少？答案：a.p=rkb.p=c.p=rp16.3、一個語音口令生成器為產(chǎn)生一個6字母口令隨機選擇兩段，每段的格式是CVC（輔音、元音、輔音），其中V=<a,e,i,o,u>，C=V。a.一共可以產(chǎn)生多少口令？b.敵手正確地猜出口令的概率是多少？答案：a.T=(21×5×21)2=4862025b.p=≈2×10-716.4、假設(shè)口令被局限于使用95個可打印的ASCII字符，并且所有的口令長度均為10個字符。假設(shè)一個口令黑客以每秒6.4個密碼的速度進行測試。在UNIX系統(tǒng)中，窮舉測試所有可能的口令需要多長時間？答案：口令的可能性有9510≈6×1019種。窮舉測試所有可能的口令需要時間：16.5、由于知道了UNIX口令系統(tǒng)的危險，SunOS-4.0文檔建議移動口令文件并替換成一個稱為/etc/publickey的公共可讀文件。該文件中用戶A的入口包括用戶標(biāo)識符IDA，該用戶的公鑰KUa，以及相應(yīng)的私鑰KRa。通過使用DES和從用戶的登錄口令Pa衍生的密鑰對公鑰進行加密。當(dāng)A登錄到系統(tǒng)時，通過解密EPa[KRa]得到KRa。Ex[a]表示使用密鑰x的加密或解密。a.該系統(tǒng)可以驗證提供的Pa是正確的，請問如何驗證？b.如何攻擊該系統(tǒng)？答案：a.因為公鑰KUa和私鑰KRa是互逆的，所以可以通過檢驗KRa的值來驗證提供的Pa是正確的：只要簡單地拿出一些任意的消息塊X，然后確認X=DKra[EKUa[X]]。b.因為文件/etc/publickey是公共可讀的，一個攻擊者可以通過猜測口令P（即P'）并且計算KRa'=DP'[EP[KUa]]。然后他任意地選擇一個任意的消息塊Y來驗證Y=DKRa[EKUa[Y]]是否正確。如果正確，那么極有可能P'=P成立。其他消息塊可以驗證這個等式的正確性。16.6、UNIX口令所使用的加密方案是單向的，不可能倒轉(zhuǎn)。因此，是否可以這樣說，這實際上是一個散列代碼，而不是對口令的加密？答案：是的。16.7、前面曾經(jīng)講述過，在UNIX口令方案中包含salt將猜出口令的難度增加了4096倍。但是salt是以明文的形式與密碼口令保存在同一項中的，因此，攻擊者可以知道這兩個字符而不需要猜測，那么為什么說salt可以增加安全性？答案：如果不使用salt，當(dāng)攻擊者猜測到口令并將其加密后，如果系統(tǒng)中每一個用戶都是使用的這個口令的話，攻擊者可以攻擊任何一個用戶。如果使用salt，攻擊者必須針對系統(tǒng)中的每一個用戶所使用的不同salt來進行猜測口令以及對口令加密。16.8、假設(shè)你已經(jīng)成功地回答了前面的問題并且理解salt的重要性，現(xiàn)在還有一個問題：通過動態(tài)地增加salt的長度，例如增加到24位或48位，是否可以完全阻擋所有的口令攻擊？答案：這有賴于用戶群的規(guī)模大小而非salt的規(guī)模大小，因為攻擊者可能已經(jīng)訪問過每一個用戶的salt文件了。更長salt的優(yōu)點是：salt越長，兩個用戶之間的salt越不可能相同。如果多個用戶使用一個相同的salt，那么攻擊者只需要給每個口令猜測做一次加密就可以測試出所有這些用戶。16.9、是否可以開發(fā)出一個程序，通過分析軟件的一部分來判斷它是否是病毒。假設(shè)下面的程序D可以完成這樣的功能。也就是說，對任意程序P，如果運行D（P），則結(jié)果返回TRUE或FALSE?，F(xiàn)在考慮如下過程：ProgramCV：={…main-program：={ifD（CV）thengotonext：Elseinfect-executable；}next：}在這個處理過程中，infect-executable是掃描執(zhí)行程序的內(nèi)存并將自己復(fù)制到該執(zhí)行程序中去的一個模塊。請確定一下，D是否能正確地判斷出CV是否是一個病毒。答案：D是用來判斷程序P是否是病毒的，如果是，則結(jié)果返回TRUE；如果不是，則結(jié)果返回FALSE。CV調(diào)用D，如果D判斷CV是病毒，CV將不感染可執(zhí)行程序；如果D判斷CV不是病毒，CV將感染可執(zhí)行程序。D的判斷總是錯誤，所以D不能正確地判斷出CV是否是一個病毒。16.10、在一個多級安全系統(tǒng)中，規(guī)則“不向上讀”的必要性是很顯然的，那么規(guī)則“不向下寫”的重要性是什么？答案：“不向下寫”規(guī)則即*屬性的目的是為了提出特洛伊木馬的問題。根據(jù)*屬性，通過木馬使用過的信息不能被妥善處理。在這個屬性之下，一個正在運行的程序代表著一個使用者不能給訪問安全級比它低的或者是和它斷層的使用者傳遞信息。16.11、圖16.11中，特洛伊木馬的復(fù)制并在以后觀察的鏈斷了。這時，Alice有兩種從其他角度進行攻擊的可能：Alice登錄并試圖直接讀取字符串，或者Alice指定對“back-pocket”文件敏感的安全級。請問基準監(jiān)視器是否可以阻攔這些攻擊？答案：Drake沒有被授權(quán)直接讀取字符串，因此不向上讀的規(guī)則禁止了這種企圖。同樣地，Drake沒有授權(quán)指定對“back-pocket”文件敏感的安全級，所以這種企圖也被禁止。16.12、假設(shè)有人提出了以下方