信息安全技术操作题

操作题第13套.请按要求完成下列有关数字签名的题目（共6分）。一个数字签名体制都要包括两个过程：签名和【71】（1分）。（2）假设用户A和用户B利用公开密钥密码进行数字签名，请用A-F回答下列题目（每空1分，共2分）：签名的时候，用户A将使用自己的【72】对明文数据M进行签名；用户B收到签名后，将使用用户A的【73】对签名进行验证。A.公开密钥B.公开密钥数据库C.私有密钥D.私有密钥数据库E.加密密钥F.加密密钥数据库（3）假设Alice的RSg钥为（e=3,n=33）,已知素数p=3,q=11,则Alice的私钥d=【74】（2分）。Alice要发送消息m=3合Bob）,并对该消息进行签名后得到的签名是【75］（1分）。2.请按要求完成下列有关数字签名的题目（共6分）。（1）实际应用中为了缩短签名的长度、提高签名的速度，而且为了更安全，常对信息的【76】进行签名。（1分）（2）假设用户A和用户B利用公开密钥密码进行数字签名，请用A-F回答下列题目：（每空1分，共2分）签名的时候，用户A将使用自己的【77】对明文数据M进行签名；用户B收到签名后，将使用用户A的【78】对签名进行验证。A.公开密钥B.公开密钥数据库C.私有密钥D.私有密钥数据库E.加密密钥F.加密密钥数据库（3）假设Alice的RSA£＞钥为（e=3,n=55）,已知素数p=5,q=11,则Alice的私钥d=【79】（2分）。Alice发送消息m=2合Bob）,则Alice对消息签名后得到的签名是【80］（1分）。3.文件系统安全是UNIX/Linux系统安全的核心，请按要求完成相关的下列题目（每空1分，共4分）：（1）当攻击者窜改文件时，他们经常因修改【81】设置而留下一个足印，该足印有时能用来作为搜索攻击者的证据（参考下列选项，请用A-C作答）：A.SocketsB.i节点C.GID（2）在上图中，表示用户命令的可执行文件（二进制）的目录文件是［82］c（3）每个文件和目录有三组权限与之相关：一组为文件的拥有者，一组为文件所属分组的成员，一组为其它所有用户（通常用“theworld”或“others”指代）。ls-l命令可以查看UNIX文件权限，如果$ls-1-rw-rw-rw-3jrandomalbion15Apr141998mbox则表示：mbox是一个【83】,分组成员有【84】权限（参考下列选项，请用A-F作答）：A.文件B.目录C.可读、不可写和可执行D.不可读、可写和可执行E.可读、可写F.可读、不可写4.文件系统安全是UNIX/Linux系统安全的核心，请按要求完成相关的下列题目（每空1分，共4分）：（1）当攻击者窜改文件时，他们经常因修改【85】设置而留下一个足印，该足印有时能用来作为搜索攻击者的证据（参考下列选项，请用A-C作答）：A.SocketsB.i节点C.GID（2）在图1中，表示系统执行文件/配置文件/管理文件的目录文件是【86】。（3）每个文件和目录有三组权限与之相关：一组为文件的拥有者，一组为文件所属分组的成员，一组为其它所有用户（通常用“theworld”或“others”指代）。ls-l命令可以查看UNIX文件权限，如果$ls-1drwxr-x---1jrandomhackers96Mar209:47backups则表示：backups是一个【87］，拥有者有【88】权限（参考下列选项，请用A-F作答）：A.文件B.目录C.可读、不可写和可执行D.不可读、可写和可执行E.可读、可写和可执行F.可读、可写和不可执行5.DoS攻击按照攻击所使用网络协议的层次种类来划分，主要分为以下几类的攻击方式：链路层协议攻击、网络层协议攻击、传输层协议攻击、应用层协议攻击。下面列出了10种常见的DoS攻击方式，请根据其所属的层次类别，在该攻击方式后面填写对应的协议层次：链路层、网络层、传输层、应用层。（每空1分，共10分）SYN-F100d属于［89］协议的攻击ICMP-Smurf属于【90】协议的攻击ScriptFlood属于【91】协议的攻击ACK-F100d属于【92】协议的攻击IGMP-F100d属于【93】协议的攻击FraggleDoSt击属于【94】协议的攻击Land攻击属于【95】协议的攻击(8)保持长时TCP1接的DoS攻击属于【96】协议的攻击UDP-F100d属于【97】协议的攻击PortConnectionFlood属于【98】协议的攻击2.答案一个数字签名体制要包括两个过程：签名和验证签名A和B使用公开密钥密码进行数字签名时，A首先使用自己的私有密钥对明文数据M进行签名，然后将签名发送给B,B收到签名后，使用A的公有密钥对签名进行验证(3)根据RSA算法，由p、q算出：())(n)=(p-1)*(q-1)=2*10=20,再由e*dmod。(n尸1可知：3*dmod20=1可求得私钥d=7若Alice发送消息m=3给Bob,并对消息m进行签名，所以需要使用Alice的私钥d签名，签名算法是mAdmodn=3A7mod33=9,所以Alice发送的签名是9(1)实际应用中为了缩短签名的长度，提高签名的速度和更安全，常对信息的摘要进行签名A和B使用公开密钥密码进行数字签名时，A首先使用自己的私有密钥对明文数据M进行签名，然后将签名发送给B,B收到签名后，使用A的公有密钥对签名进行验证(3)根据RSA算法，由p、q算出：())(n)=(p-1)*(q-1)=4*10=40,再由e*dmod())(n)=1可知：3*dmod40=1可求得私钥d=27若Alice发送消息m=2给Bob,并对消息m进行签名，所以需要使用Alice的私钥d签名，签名算法是mAdmodn=2A27mod55=18,所以Alice发送的签名是18UNIX文件系统每个文件都有一个唯一的i节点，i节点关注UNIX文件系统中所有的文件活动，UNIX文件系统安全就是基于i节点中3段关键信息：文件拥有者(UID)、文件所在分组(GID)、文件的权限设置(模式)，当攻击者篡改文件时，他们经常因修改i节点设置而留下一个足印。该足印有时能用来作为搜索攻击者的证据，即使他们试图掩盖痕迹(2)图1中，/bin目录下存放的是用户命令的可执行文件(二进制)UNIX系统中，使用lsT命令可以查看文件权P题意中第一列-rw-rw-rw-表示文件的模式位，第一个字符表示文件类型，题意中-表示这是一个普通文件，后面9位字符表示权限位，前3位rw-表示文件拥有者权限——可读(r)可写(w)不可执行(-),中间3位rw-表示文件拥有组权限可读(r)可写(w)不可执行(-),最后3位rw-表示其他用户权限——可读(r)可写(w)不可执行(-)(1)UNIX文件系统每个文件都有一个唯一的i节点，i节点关注UNIX文件系统中所有的文件活动，UNIX文件系统安全就是基于i节点中3段关键信息：文件拥有者(UID)、文件所在分组(GID)、文件的权限设置(模式)，当攻击者篡改文件时，他们经常因修改i节点设置而留下一个足印。该足印有时能用来作为搜索攻击者的证据，即使他们试图掩盖痕迹(2)图1中，/etc目录下存放的是系统执行文件、配置文件、管理文件等(3)UNIX系统中，使用lsT命令可以查看文件权限，题意中第一列drwxr-x---表示文件的模式位，第一个字符表示文件类型，其中d表示这是一个目录文件，后面9位字符表示权限位，前3位rwx表示文件拥有者权限可读(r)可写(w)可执行(x),中间3位r-x表示文件拥有组权限——可读(r)不可写(-)可执行(x),最后3位---表示其他用户权限不可t软(-)不可写(-)不可执行(-)4.(1)利用TCP协议的DoS攻击可分为两类，一类是利用TCP协议本身的缺陷实施的攻击，包才SYN-F100d和ACK-F100d攻击，另一类是利用TCP全连接发起的攻击(2)IP层协议攻击是DoS最低层次的攻击，攻击方法是利用发送ICMP协议和IGMP协议的请求数据包实现，smurf攻击就是利用IP层协议的一种攻击方法。(3)常见的应用层DoS攻击是脚本洪水攻击ScriptFlood(4)同(1),它属于传输层协议的DoS攻击(5)同(2),它属于网络层协议的DoS攻击FraggleDoS攻击，其原理和Smurf攻击原理相同，但是它所使用的是UDP数据包，所以也属于传输层协议的DoS攻击Land攻击也是利用了TCP＞议的握手过程，在发送SYN数据包给目标主机之前，将该数据包的源地址和目的地址都设置成目标主机的IP地址，导致目标主机向自己的IP地址响应SYN+ACKa据包，结果又向自己发送ACK消息并创建一个空连接，每个空连接都将保留至超时，直至系统资源耗尽。所以Land攻击也属于传输层协议的DoS攻击(8)保持长时间攻击的TCP连接洪水攻击，这种方法发起大量的攻击连接后，会始终保持连接状态，最终能让目标服务器的服务端口上存在大量established状态的连接，从而使目标主机的资源耗尽而完全崩溃，这种保持长时间攻击的TCP连接洪水攻击也属于传输层协议的DoS攻击UDP-F100d攻击是一种典型的带宽消耗型DoS攻击，攻击者制造出巨大流量的UDP数据包，发送到目标主机，从而完全占满目标主机的网络带宽，达到拒绝服务的效果，这种攻击属于传输层协议的DoS攻击PortConnectionFlood也称为TCP全连接DoS攻击，属于传输层协议的DoS攻击第12套.在网络通信环境中，可能有下述攻击：①泄密：将消息透露给没有合法密钥的任何人或程序。②传输分析：分析通信双方的通信模式。在面向连接的应用中，确定连接的频率和持续时间；在面向连接或无连接的环境中，确定双方的消息数量和长度。③伪装：欺诈源向网络中插入一条消息。如攻击者产生一条消息并声称这条消息是来自某合法实体，或者非消息接收方发送的关于收到或未收到消息的欺诈应答。④内容修改：对消息内容的修改，包括插入、删除、转换和修改。⑤顺序修改：对通信双方消息顺序的修改，包括插入、删除和重新排序。⑥计时修改：对消息的延时和重放。⑦发送方否认：发送方否认发送过某消息。⑧接收方否认：接收方否认接收到某消息。请回答下列题目(共6分)：防范前两种攻击的方法是；防范第3种到第6种攻击的方法一般称为【71】、【72】、【73]；防范第7种攻击的方法属于。（请以A、B、C、DE作答，每空1分）A、消息加密B、数字签名G哈希函数D消息认证E、身份认证在利用SHAJJ法产生消息密文的认证码时，认证码的长度为【74】位。（1（3）在加密消息时，假设某用户的RS心钥为（e=3,n=15）。Bob发送消息m=5给Alice,则Bob对消息加密后得到的密文是【75】。（2分）.请回答有关数据库自主存取控制的有关问题（每空1分，共4分）：（1）自主存取控制可以定义各个用户对不同数据对象的存取权限，向用户授予权限的SQL命令是【76]，如果指定了【77】子句，则获得某种权限的用户还可以把这种权限再授予其它的用户；向用户收回所授予权限的SQL命令是【78】。（2）对数据库模式的授权则由DBA在创建用户时实现，如果在CREATEUSER命令中没有指定创建的新用户的权限，默认该用户拥有【79】权限。.下图是TCP半连接扫描的原理图。图1为目标主机端口处于监听状态时，TCP半连接扫描的原理图；图2为目标主机端口未打开时，TCP半连接扫描的原理图。请根据TCP半连接扫描的原理，补全扫描过程中各数据包的标志位和状态值信息（每空1分，共10分）。图2目标主机端口未打开TC畔连接扫描原理图请在下表中输入【A】-【』代表的内容[A][80】[B][81】[C][82】[D][83】旧【84】[F1【85】[G!【86][H][87】[II【88】【』【89】4.SSLB议在连接过程中通常使用数字证书进行身份认证。如下图所示，SSL®务器在进行SSL®接之前，需要事先向CA申请数字证书，再进行SSLE务器和客户端之间的连接。请完成下列有关SSL＞议连接过程的题目（每空1分，共10分）：SSL＞议的连接过程，即建立SSL®务器和客户端之间安全通信的过程，共分六个阶段，具体连接过程如下：(1)SS导户端发送ClientHello请求，将它所支持的加密算法列表和一个用作产生密钥的随机数发送给服务器。(2)SSL®务器发送ServerHello消息，从算法列表中选择一种加密算法，将它发给客户端，同时发送Certificate将SSL®务器的【90】发送给SS咯户端；SSL＞务器同时还提供了一个用作产生密钥的随机数。(3)服务器可请求客户端提供证书。这个步骤是可选择的。SS留户端首先对SSL®务器的数字证书进行验证。数字证书的验证包括对下列三部分信息进行确认：验证【91】性，通过比较当前时间与数字证书截止时间来实现；验证【92】性，查看数字证书是否已废除，即查看数字证书是否已经在【93】中发布来判断是否已经废除；验证【94】性，即数字证书是否被篡改，SS咯户端需要下载【95】的数字证书，利用其数字证书中的【96】验证SSL＞务器数字证书中CA的【97】。接着，客户端再产生一个pre_master_secret随机密码用，并使用SSL＞务器数字证书中的【98】对其进行加密，并将加密后的信息发送给SSL®务器。SSLK务器禾I」用自己的【99】解密pre_master_secret随机密码用，然后SSL客户端与SSL＞务器端根据pre_master_secret以及汆户端与服务器的随机数值，各自独立计算出会话密钥和MAC密钥。最后，客户端和服务器彼此之间交换各自的握手完成信息。1、解析：题意中给出网络通信环境可能有的几种攻击，防范前两种攻击的方法属于消息保密范畴，使用消息加密的方法；防范第3到第6种攻击的方法一般称为消息认证；防范第7种方法属于数字签名；防范第8种攻击需要使用数字签名和为抗此种攻击而设计的协议；本题答案：A、D、BSHA算法输出的^^要长度为160位，所以利用SHA算法产生消息密文的认证码长度为160位本题答案：160RSAM法步骤：随机选择两个大素数p和q,计算n=pq,将n公开；计算小(n)=(p1)(q-1),小(n狠密随机选择一个正整数e,1＜E＜①(N)且E与①(N以素，将E公开，E和N就构成了用户的公钥；④根据edm1mod(|)(n)f算出d,d保密，d和n就构成了私钥；⑤加密运算为：C=Memodn,解密运算为：M=Cdmodn。本题中，e=3,n=15,m=5,所以加密后的密文C=53mod15=5密文为5。本题答案：52、解析：(1)自主存储控制主要通过SQL的GRANT语句和REVOKES旬来实现，GRANT语句向用户授予权限，如果指定了WITHGRANTOPTIO吁句，则获得某种权限的用户还可以把这种权限再授予其他用户；REVOKE®句收回授予的权限；本题答案：GRANTWITHGRANTOPTIONREVOKECREATEUSER令中如果没有指定创建的新用户权限，默认该用户拥有CONNECT^。本题答案：CONNECT3、解析：TCP协议通过三次握手建立连接的原理如下：①第一次握手：源主机给目标主机发送一个SYNB志位为1的数据包，希望与目标主机建立同步连接，在TCP数据包中设置了源主机和目标主机的IP和端口，假设此数据包的序号SEQ为X。②第二次握手：目标主机收到源主机的数据包后，目标主机返回数据包，表示同意建立连接，返回包中SYN和ACK标志位均为1,SEQ为Y,并将确认好设置为X+1。③第三次握手：源主机收到目标主机的返回包后，再向目标主机发送一个ACK标志位为1的应答包，表示连接建立。此数据包的序号SEQ为X+1,确认号为Y+1。以上就是TCP三次握手白原理；TCPSYNH描也称为TCP半连接扫描，它利用了TCP三次握手中的前两次握手，因为没有建立三次握手的全连接，只是利用了两次握手，所以称为半连接。其执行过程为：源主机向目标主机发送第一次握手的SYN标志位为1数据包，目标主机收到第一次握手的数据包后，返回第二次握手数据包，表示同意建立连接，返回包中SYN和ACK标志位均为1;如果能收到第二次握手的数据包，这就表示目标主机端口是开放的，此时源主机不必回应第三次握手的数据包，而是发送RSTB志位为1的数据包给目标主机，从而拒绝和目标主机建立TCP的全连接；如果远端目标主机的端口未开放，目标主机则会回应RST标志位为1的数据包给源主机，因此源主机可以根据目标主机回应的数据包判断目标主机的端口是否打开。本题答案：[A]SYN【B】1[C]SYN【D】ACK【日RST【F】ACK【G】SYN[H11[I]RST【』ACK4、解析：SSL＞议的连接过程，即建立SSLK务器和客户端之间安全通信的过程，共分6个阶段：①客户端发送ClientHello请求，将它所支持的加密算法列表和一个用作产生密钥的随机数发送给服务器。②服务器发送ServerHello消息，从算法列表中选择一种加密算法，将它发送给客户端。同时发送Certificate消息，将包含服务器公用密钥的证书发送给客户端。该证书还包含了用于认证的服务器标识，服务器同时还提供了一个用作产生密钥的随机数。③如果服务器请求客户端提供证书，则客户端将发送Certificate消息，将数字证书发送给服务器，服务器对客户端的数字证书进行验证，这一步骤可选。④服务证书发给客户端后，客户端对服务器的证书进行验证并抽取服务器的公钥。其中证书的验证需要对证书作以下3部分信息确认：验证有效性：通过比较当前时间与证书截止时间来确认；验证可用性：通过查看证书是否在证书黑名单CRL＞确认；验证真实性：即证书是否为可信任的证书认证机构CA签发，通过数字证书中的公钥验证SSUK务器数字证书中的数字签名来确认接着客户端再产生一个pre_master_secret随机密码用,使用服务器的公钥对其进行加密，并将加密后的信息发送给血务器。⑤SSL服务器利用自己的私钥解密pre_master_secret随机密码用,然后客户端与服务器根据pre_master_secret以及行户端与服务器的随机数值各自独立计算出会话密钥和MAC密钥。⑥客户端和服务器彼此之间交换各自的握手完成信息，客户端向服务器发送类型为Client_Finished的消息表示认证完成，服务器向客户端发送类型为Service_Finished的消息表示认证完成。本题答髭（2）证书有效可用、黑名单CRL真实、CA、公钥、数字签名（5）私钥第11套.计划构建一个基于密码机制的网络数据安全传输系统，假设数据收发两端的用户分别为Alice和Bobo请回答下述问题（共6分）：1）为了协商并保护数据传输密钥，一种简单有效的做法是采用公钥密钥体制：首先，Alice在发送数据前，随机生成一个对称密钥，然后使用Bob的【71】对该密钥进行加密，并发送给Bob;然后，Bob收到密文后，使用自己的【72】进行解密即可得到Alice生成的对称密钥。（每空1分，共2分）2）为了同时确保数据的完整性，可以利用MD5T生消息密文的认证码，该认证码的长度为【73】位。（1分）3）假设Alice的RSA公钥为（e=3,n=15）。Bob发送消息m=4给Alice,则Bob对消息加密后得到的密文是【74】。已知素数p=3,q=5,则Alice的私钥d=75】。（第1空1分，第2空2分）.文件系统安全是UNIX/Linux系统安全的核心，请按要求完成相关的下列题目（每空1分，共4分）：1）如图所示，树中的每项都由若干属性来描述，这些属性大多数保存在磁盘中一个称为“i节点（inode）”的数据结构中。UNIX文件系统安全就是基于i节点中三段关键信息：UID、GID和模式。其中，UID是指【76】、模式是指【77】（请从下列A-F选项中选择正确的序号作答）。A、文件拥有者B、文件创建者>C文件所在分组D文件所在盘符E、文件的权限设置F、文件的操作类型2)使用ls命令查看UNIX文件权限显示的结果为“-rw-rw-rw-"，其中第一个“-”表示【78】(请从下列A-D选项中选择正确的序号作答)。A、任何人无法写入该文件B、该文件是一个正规文件C、该文件不属于任何分组D该文件是一个二进制文件3)在图中，表示特殊设备文件的目录文件是[79]o.在一个基于公钥密码机制的安全应用系统中，假设用户Alice和Bob分别拥有自己的公钥和私钥。请回答下述问题：(每空1分，共6分)(1)在选择公钥密码RSAECC?口曰Gamal时，为了在相同安全性的基础上采用较短的密钥，应该选择其中的【80]，且应确保选取白参数规模大于【81】位。(2)为了获得两方安全通信时所需的密钥，应用系统采用了基于中心的密钥分发，利用可信第三方KDC^实施。图1所示的密钥分发模型是【82】模型，图2所示的密钥分发模型是【83】模型。—(3)为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名。Alice将使用自己的【84】对消息签名；而Bob可以使用Alice的【85】对签名进行验证。.为了增强数据库的安全性，请按操作要求补全SQL语句(每空1分，共4分)：(1)创建一个角色R1:【86】R1;(2)为角色R1分配Student表的INSERTUPDATESELECT^限：【87】INSERT,UPDATE,SELECTONTABLEStudentTOR1;(3)减少角色R1的SELECTS限：【88】SELECTONTABLEStudentFROMR1;(4)将角色R1授予王平，使其具有角色R1所包含的全部权限：[89]R1TO王.请完成下列各题(每空1分，共10分)：TCP全连接端口扫描技术是利用TCP的三次握手，探测目标主机的网络端口是否处于打开状态。下图是TCP三次握手的示意图，请补充完整相应的标志位和确认号。[11【90】[2]【91】【3】【92】[4]【93】【5】【94】[6]【95】TCPSYNB描也称为TCP的半连接扫描，其执行过程为：源主机向目标主机发送第一次握手的数据包，如果能收到目标主机返回的第二次握手的数据包，就可知目标主机的端口是开放的；源主机发送【96】标志位为【97】的数据包给目标主机，从而拒绝和目标主机建立TCP的全连接；如果远端目标主机的端口未开放，目标主机则会回应【98】标志位为【99】的数据包给本地主机。因此，源主机可以根据目标主机回应的数据包判断端口是否打开。1、解析：1)由于使用公钥密码体制传输密钥，所以Alice需要使用Bob的公钥对随机生成的对称密钥进行加密，并发送给Bob;当Bob收到密文后，使用自己的私钥进行机密即可获得Alice生成的随机对称密钥。2)消息摘要算法MD5可以对任意长度的明文产生128位的消息摘要，所以若使用MD5产生消息密文的认证码，那么认证码长度为12位。RSA算法步骤：(1)随机选择两个大素数p和q,计算n=pq,将n公开；(2)计算小(n)=(p1)(q-1),小(n加密(3)随机选择一个正整数e,1<E<D(N)且E与①(N以素，将E公开，E和N就构成了用户的公钥；(4)根据edm1mo3(n计算出d,d保密，d和n就构成了私钥；(5)加密运算为：C=Memodn,解密运算为：M=Cdmodn。本题中，e=3,n=15,m=4,所以加密后的密文C=43mod15=4由p=3,q=5,可知小(n)=8再由edmImo%(n),即3d三1mod8,可知d=3。2、解析：UNIX文件系统安全就是基于i节点中3段关键信息：UIDGID模式，其中UID表示文件拥有者、GID表示文件所在分组，模式表示文件的权限设置。ls命令查看UNIX文件权限的结果”-rw-rw-rw-"，其中第一个”，表示该文件的类型，属于一个普通正规文件。UNIX目录结构中，/dev表示特殊设备的目录文件。3、解析：1)对于公钥加密算法，同等安全性的基础上，RSM口ElGamel的密钥长度比ECC的密钥长度长，为了安全性，尽量将选取的EC%钥长度规模大于160位。2)基于中心的密钥分发利用可信任的第三方，进行密钥分发实质上是利用公开密钥密码体制分配传统密码的密钥，第三方在其中扮演两种角色：KDC或KTC基于中心的密钥分发有两种模型：拉模型和推模型，对于需要通信的Alice和Bob,拉模型是指Alice在通信前先从KDC获取一个密钥；推模型是指Alice首先与Bob建立联系，然后让Bob从KDC取得密钥。3)为了预防Alice抵赖，Bob要求Alice对其发送的消息进行签名，所以Alice需要使用自己的私钥对消息进行加密，Bob收到后使用Alice的公钥进行解密，以验证Alice的身份。4、解析：SQL中，创建角色使用CREATEROLE旬，本题答案为：CREATEROLESQL中，创建角色后，使用GRANTS句给角色授权。本题答案为：GRANT3)减少角色R1的SELEC权限，需要使用REVOKED令回收权限，本题答案为REVOKE4)同2),授予权限使用GRAN饰令，本题答案为GRANT5、解析：1)本题中，TCP*议通过三次握手建立连接的原理如下：(1)第一次握手：client给server发送一个SYNfe志位为1的数据包，希望与server建立同步连接，在TCP数据包中设置了client和server的IP和端口，假设此数据包的序号SEQ为X。(2)第二次握手：server收到client的数据包后，server返回数据包，表示同意建立连接，返回包中SY用口ACK标志位均为1,SEQ为Y,并将确认好设置为X+1。(3)第三次握手：client收到server的返回包后，再向server发送一个ACK标志位为1的应答包，表示连接建立。此数据包的序号SEQ为X+1,确认号为丫+1。第10套为了构建一个基于公有云的数据共享系统，要求：①数据加密之后上传到云服务器；②需要校验存储在云服务器数据的完整性；③数据加密密钥需要安全地发送给允许访问数据的用户。请根据题意完成下列各题。(每空1分，共6分)假设要构建的应用系统允许使用的密码学算法包括MD5SHA1AESRSAECC算法。(1)在数据上传之前，需要采用高效、安全的加密算法对数据进行加密，可采用的加密算法为【71】。(2)为了校验数据的完整性，需要计算所上传数据的消息摘要，为了获得更高的安全性，应该采用的密码学算法为【72】o(3)假设用户B的公钥为PUB私钥为PRI,为了将数据加密密钥发送给用户B,数据上传者将使用B的【73】对该密钥进彳T加密；用户B则使用自己的【74】进行解密。(4)消息摘要算法MD5寸任意长度的明文产生【75】位的消息摘要。(5)为了确保RSA®码的安全，模数n至少【76】位。(1)【答案】AES题目给出的算法中，MD5、SHA1都属于哈希函数，属于单向密码体制，从明文到密文是不可逆的映射，也就是说它们只有加密过程，没有解密过程；AES属于对称加密算法，RSA和ECC#法都属于公钥加密算法，对称加密算法的优点是加解密处理速度快、安全性高；公钥加密算法的优点是密钥分配方便，安全性高，但加解密效率低，题意要求数据上传前，对数据加密，上传到服务器后，还需要还原数据，且需要高效、安全的加密算法，所以可采用AES#法。本题答案为：AES(2)【答案】SHA1哈希函数算法可以用来校验数据的完整性，所以可以使用哈希函数算法对数据计算消息摘要，可选算法中有MD5和SHA1,MD5与SHA1相比：由于SHA1所产生的摘要比MD5长32位，所以通常SHA1比MD5更安全，为了获得更高的安全性，应该采用SHA1算法。本题答案为：SHA1(3)【答案】公钥PUB私钥PRI由于需要将数据加密密钥发送给用户B,而且数据加密密钥是需要高度保密的，所以数据上传者需要使用B的公钥PUB对数据加密密钥进行加密，这样就只有用户B才可以使用自己的私钥PRI解密，得到数据加密密钥。本题答案为：公钥PUB私钥PRI(4)【答案】128消息摘要算法MD5可以对任意长度的明文产生128位的消息摘要。本题答案为:128(5)【答案】1024为了保证RSA密码的安全，应当采用足够大的模数n,目前普遍认为，n至少应该取1024位，最好是2048位。本题答案为：1024为了增强UNIX/Linux系统的安全，请按要求完成下列相关的题目。(每空1分,共4分)(1)UNIX文件系统安全就是基于【71】中三段关键信息：UID、GID和模式。(2)查看UNIX文件权限的命令：$【72]-l。(3)为一个文件的拥有者授予可读和可写权限，给分组和其它用户只有可读权限，则权限位为“rw-r--r--"。将该权限位用八进制数表示为【73】。(4)如果要给文件foo的分组以读权限，则使用如下命令：$【74]g+rfoo。(1)【答案】i结点i结点是数据结构，一个文件系统中的每个i结点有一个唯一的数字，每个文件有不同的i结点。i结点关注UNIX文件系统中所有的文件活动，UNIX文件系统安全就是基于i结点中3段关键信息：UID、GID和模式。本题答案为：i结点(2)【答案】ls文件权限是UNIX文件系统安全的关键，使用ls-l命令可以查看UNIX文件权限。本题答案为：ls(3)【答案】644UNIX系统的每个文件和目录有3组权限与之相关：一组为文件的拥有者，一组为文件所属分组的成员，一组为其他用户，每组权限有3个权限控制位来控制可读(r)、可写(w)和可执行(x)权限，权限控制位还可以使用一个八进制数来表示，题意中的权限位为：“rwr—r--”对应的二进制为：110100100,每3位转换为一位八进制位：644。本题答案为：644(4)如果要给文件foo的分组以读权限，可以使用命令：chmodg+rfoo本题答案为：chmod请完成下列题目。(每空1分，共10分)IPSec协议是一组开放协议的总称，和SSL协议不同，IPSec协议对【71】层协议数据封装后进行传输，而SSL协议对【72】层协议数据进行加密后传输。IPSec协议包括网络安全协议和密钥协商协议两部分。其中，网络安全协议又包括两种协议。根据对数据包中封装内容的不同，这两种协议又分为两种封装模式。下面的图1至图4为两种协议不同模式下的封装格式示意图，请补充图中的内容。图1【73】协议【74】模式的封装格式图2【75】协议【76】模式的封装格式图3【77】协议【78】模式的封装格式图4【79】协议【80】模式的封装格式（1）【答案】网络应用IPSecB议是一组开放协议的总称，它包括网络安全协议和密钥协商协议两部分，和SSL＞议不同，IPSecB议对网络层协议数据封装后进行传输，而SSL＞议对应用层协议数据进行加密后传输。本题答案为：网络应用（2）【答案】安全载荷封装（ESP传输（安全载荷封装（ESP隧道）认证协议头（AH）传输（认证协议头（AH）隧道）IPSecB议包括网络安全协议和密钥协商协议两部分，网络安全协议又包括认证协议头（AH）协议和安全载荷封装（ESP协议根据ES叫装的内容不同，可将ES吩为传输模式和隧道模式两种模式：传输模式下，ESP寸于要彳^输的IP数据包中的IP有效数据载荷进行加密和认证，ESPfi头寸S在IP报头和IP有效数据载荷之间；ESPU证报尾提供了对前面ESPfi头、IP有效数据载荷和ESP艮尾的完整性校验，如本题中的图1所示。和传输模式不同的是，隧道模式下ESP首先对于要彳^输的整个IP数据包进行加密，包含原有的IP报头，然后在原有IP数据包外面再附加一个新的IP报头，在这个新的IP报头中，源IP地址为本地网关设备的IP地址，目标IP地址为远端VPN网关设备的IP地址。两个VPN网关设备之间通过其自身的IP地址实现网络寻址和路由，从而隐藏了原IP数据包中的IP地址信息。如本题中的图2所示。根据封装格式不同，AH协议也可分为传输模式和隧道模式两种模式传输模式：AH报头被插在IP数据包的IP头后，有效数据载荷之前，对整个新IP数据包进行完整性检验认证，如本题中的图3所示。索道模式：IP数据包格式不