《电子商务安全》作业2一、选择题1. 现代密码学的密码体制不包括_______。

A、对称密码体制B、公钥密码体制C、分组密码体制D、量子密码体制2. 密码系统的基本原则不包括_______。

A、简单实用原则B、抗攻击性原则C、算法公开原则D、永久保密原则3. 在AES 中，明文或密文分组长度以及密钥长度是可变的，其分组长度不包括_______。

A、64位B、128位C、192位D、256位4. 密码学的主要目的是_______。

A. 研究数据加密B. 研究数据解密C. 研究数据保密D. 研究信息安全5. 假设使用一种加密算法，它的加密方法很简单：将每一个字母加3，即a加密成d。

这种算法的密钥就是3，那么它属于_______。

A. 对称加密技术B. 分组密码技术C. 公钥加密技术D. 单向函数密码技术6．A方有一对密钥（K A公开，K A秘密），B方有一对密钥（K B公开，K B秘密），A方向B方发送数字签名M，对信息M加密为：M’= K B公开（K A秘密（M））。

B方收到密文的解密方案是_______。

A. K B公开（K A秘密（M’））B. K A公开（K A公开（M’））C. K A公开（K B秘密（M’））D. K B秘密（K A秘密（M’））7. “公开密钥密码体制”的含义是_______。

A. 将所有密钥公开B. 将私有密钥公开，公开密钥保密C. 将公开密钥公开，私有密钥保密D. 两个密钥相同8. 研究隐藏信息的方法称为_______。

A、密码分析学B、密码体制C、密码系统D、密码编码学9. 基于数学上的大数因子分解困难问题的密码算法是_______。

A、DESB、AESC、RSAD、IDES10. 密钥长度是56比特的密码算法是_______。

A、DESB、AESC、RSAD、IDES二、判断题1. 在非对称密码体制中，消息的发送者和消息的接收者使用不同的密钥处理报文信息。

2. 非对称密码体制主要依赖“置换”与“替代”两种方法，实现保护信息的目的。

3. 经典的DES 密码算法就是基于数学上的大数因子分解困难问题。

4. 可以将公钥密码体制与对称密码体制有效结合，公钥密码体制用于加密对称密码体制所使用的共享会话密钥，对称密码体制用于加密实际传输的信息。

5. 密码分析学主要研究信息编码的方法从而实现隐藏信息的一门学问。

6. 将明文信息分成组，每组具有固定的长度，然后将一个分组作为整体通过加密算法产生对应密文的处理方式称为序列密码。

7. 置换运算是改变明文中各元素的内容表示，但是并不改变各元素的位置。

8. 在DES 算法中，置换矩阵的置换规则:将原先处在第 50 个位置的比特置换后放在第 1 个位置，把第 7 个位置的比特置换后放在第 64 个位置。

9. DES 算法加密过程需要 16 轮迭代处理，每一轮迭代处理步骤是一样的，只是输入的信息和控制密钥不同。

10.在密码系统中，通过一系列的变换、替代或其他各种方法将密文恢复为明文的方法称为加密算法。

三、填空题1. 公钥密码体制的用途主要包括两个方面：加解密信息和_______。

2. 密码学是研究如何保护信息安全性的一门科学，它包含两个分支:______和______。

______研究的是破解隐藏信息的方法。

3. 对密码系统的攻击分为被动攻击和______。

______是指通过窃取密文试图了解明文或者密钥的内容；______是指篡改和伪造密文，以达到修改或者伪造明文的目的。

4. ______通过对明文元素重新排列组合来达到隐藏明文原始内容所表达含义的加密方法。

5. DES 将明文信息按______比特大小分组，密钥长度是______比特，但是实际使用过程中密钥长度是______比特，另外______比特用作奇偶校验位。

6. 公钥密码体制依赖于某类数学问题求解困难性；量子密码体制依赖量子物理学的______。

7. 密码系统主要包括的基本要素:明文、______、______、______和解密算法。

8. 在密码系统中，明文指的是希望得到保密的原始信息，______是经过加密处理后得到的隐藏信息。

______是指通过一系列的变换、替代或其他各种方式将明文信息转化为密文的方法；______则通过一系列的变换、替代或其他各种方法将密文恢复为明文的方法。

9. 对称密码机制下，密码系统只有一个______，加密算法和______使用同样的一个密钥，拥有密钥的用户既可以加密信息也可以解密信息。

10. 抗攻击性原则是在现有的计算环境下，能够抵抗各种______攻击，例如，已知密文，如果不知道密钥，则无法从密文推出密钥和明文。

四、应用题1. 利用分组逆序加密算法对信息“electronic commerce security technology”进行加密。

2. 已知密钥“test”,M=“electronic commerce”，利用维吉尼亚加密算法进行加密。

3. 设密钥为5，利用凯撒加密算法，对信息“electronic commerce”进行加密。

4. 设密钥为5，利用圆柱换位加密算法，对信息“计算机网络技术和信息技术以及电子商务安全技术”进行加密。

5. 设密钥为right，利用圆柱换位加密算法，对信息“计算机网络技术和信息技术以及电子商务安全技术”进行加密。

6. 设p=5,q=11，利用RSA算法，对信息“ec”进行加密运算和解密运算。

7. 设p=7,q=11，利用RSA算法，对信息“eb”进行加密运算和解密运算。

CDACA CCDCAV X X V X X X X V X1数字签名2密码编辑学密码分析学3主动攻击被动攻击主动攻击4置换5 64 64 56 86物理定理7加密算法密钥8密文加密算法解密算法9密钥解密算法10密码分析1利用分组逆序加密算法对信息“electronic commerce security technology”进行加密。

1）按k=4分组：elec tron icco mmer2）对每组逆排序：cele nort occi remm3)按逆序组合成密文：C=remmoccinortcele2已知密钥“test”,M=“electronic commerce”，利用维吉尼亚加密算法进行加密。

解答：1）将A~Z数字化处理3)加密计算：Ci=(Mi+Ki)mod 26 ,计算过程及结果见上表4）得到密文：C=yqxw3设密钥为5，利用凯撒加密算法，对信息“electronic commerce”进行加密。

4设密钥为5，利用圆柱换位加密算法，对信息“计算机网络技术和信息技术以及电子商务安全技术”进行加密。

5设密钥为right，利用圆柱换位加密算法，对信息“计算机网络技术和信息技术以及电子商务安全技术”进行加密。

6设p=5,q=11，利用RSA算法，对信息“ec”进行加密运算和解密运算。

解答：1）利用RSA计算公钥和私钥（1）n=p*q=55(2)t=(p-1)*(q-1)=40(3)取随机数e ,1<e<40且gcd(e,40)=1。

所以取e=3（4）计算D：d=(40k+1)/3=27因此，公钥（3,55）私钥（27,55）2）对信息“ec”加密、解密（1）数字化处理e→5 c→3(2)对e进行加密：c1=5^3 mod 55 =15对c进行加密：c2=3^3 mod 55 =27(3)对c1进行解密：m1=15^27 mod 55 =5对c2进行解密：m2=27^27 mod 55 =37设p=7,q=11，利用RSA算法，对信息“eb”进行加密运算和解密运算。

典型的非恶意程序漏洞有哪几种形式？它们可能造成哪些安全隐患？答：典型的非恶意程序漏洞有缓冲区溢出、不完全输入验证、检查时刻到使用时刻漏洞缓冲区溢出漏洞：是指不加限制地向数据缓冲区中存入数据，结果造成存入的数据的长度超过缓冲区的边界，不仅可能破坏其他变量区，而且可能破坏用户堆栈区甚至是系统堆栈区。

缓冲区溢出安全隐患：造成系统运行中断，攻击者可以设法执行自己的攻击程序，达到攻击系统的目的。

不完全输入验证：当程序接受到被认为不可能出现的输入时,程序将可能会出现故障。

安全隐患：1）将导致严重安全危害的漏洞,很容易被攻击者利用。

2）不完全输入验证攻击发生在参数值的传递过程中,特别是当参数被提交到Internet 的Web服务器上时。

检查时刻到使用时刻：程序在t1时刻检查运行参数或访问文件的有效性，并计划在t2时刻使用。

主要隐患：可能造成非法入侵对运行参数或访问文件进行篡改，导致程序无法运行或非法访问。

访问控制策略有哪些？分析各自的特点及优缺点。

答：访问控制策略包括：自主访问控制策略、强制访问控制策略、基于角色访问控制策略等自主访问控制是根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控制策略。

优点：简单、灵活，其自主性为用户提供了极大的灵活性；自主访问控制的安全级别较低；在一定程度上实现多用户环境下权限隔离和资源保护，易于扩展和理解，从而使之适合于许多系统和应用。

缺点：不能抵御特洛伊木马的攻击；难以限制访问权限的传递；容易产生安全隐患。

强制访问控制依据主体和客体的安全级别来决定主体是否有对客体的访问权。

在MAC中，所有的主体和客体都有一个安全等级，它只能由安全管理员赋值，普通用户不能改变。

优点：由于MAC策略是通过梯度安全属性实现信息的单向流通，从而很好地阻止特洛伊木马的泄漏，也因此而避免了在自主访问控制中的敏感信息泄漏的情况。

缺点：限制了高安全级别用户向非敏感客体写数据的合理要求，降低了系统的可用性。

“向上写”的策略使得低安全级别的主体篡改敏感数据成为可能，破坏了系统的数据完整性。

强制访问控制MAC由于过于偏重保密性，造成实现工作量太大，管理不便，灵活性差。

基于角色访问控制：通过对角色的授权来控制用户对系统资源的访问。

优点：方便系统管理员的授权操作，具有较强的灵活性、可操作性和可管理性，非常适合大型多用户的管理信息系统的授权管理，还容易实施最小特权原则缺点：有时难以确定用户角色，角色与用的关联不好掌握。

访问控制矩阵有几种现实方法？画出各方法的示意图并分析其特点。

数据库的安全需求主要包括哪些内容？答：数据库的安全需求主要包括的内容，分析如下表：防火墙的主要功能有哪些？防火墙有哪些局限性？答：1）防火墙的主要功能包括：(1) 网络隔离：隔离不同的网络，限制安全问题的扩散，对安全集中管理，简化了安全管理的复杂程度。

(2) 智能监控：防火墙可以方便地记录网络上的各种非法活动，监视网络的安全性，遇到紧急情况报警。

(3) NAT功能：防火墙可以作为部署NA T的地点，利用NA T技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来隐藏内部网络的结构。