计算机信息安全易错题目整理3

为了构建一个简单、安全的“客户机/服务器”模式的应用系统,要求:①能安全存储用户的口令(无须解密),且对网络传输中的口令进行保护;②使用第三方权威证书管理机构CA来对每个用户的公钥进行分配。
假设要构建的应用系统只允许使用MD5、AES、RSA算法。请回答下述问题(每空1分,共6分):
(1)为了安全存储用户的口令,服务器需要将每个用户的口令采用【71】算法运算后存储。为了能通过用户名和口令实现身份认证,用户将采用相同的算法对口令运算后发送给服务器。
(2)SHA算法的消息摘要长度为)【72】位。
(3)用户可将自己的公钥通过【73】证书发给另一用户,接收方可用证书管理机构的对证书加以验证。
(4)要实现消息认证,产生认证码的函数类型有三类:消息加密、消息认证码和【74】。
(5)为了确保RSA密码的安全,必须认真选择公钥参数(n,e):模数n至少【75】 位;为了使加密速度快,根据“反复平方乘”算法,e的二进制表示中应当含有尽量少的【76】 。


题中给出的MD5、AES、RSA算法,分别属于哈希函数密码体制、对称加密算法和非对称加密算法。
(1)【答案】MD5
典型的哈希函数有两类:消息摘要算法(Message Digest Algorithm,MD5)和安全散列算法(Secure Hash Algorithm,SHA),它的应用有:消息认证、数字签名、口令的安全性、数据完整性。对于口令的完全性,由于哈希函数具有单向性的特征,因此在口令保护中应用非常广泛。通常,仅将口令的哈希值进行保存,进行口令校验的时候比对哈希值即可,即使攻击者获得了保存的哈希值,也无法计算出口令。
(2)【答案】160
安全散列算法(Secure Hash Algorithm,SHA),它的消息摘要长度比MD5长32位,为160位。

(3)【答案】公钥(公有密钥或公开密钥)
公钥证书方式是指用户通过公钥证书交换自己的公钥而无须与公钥管理机构联系,公钥证书和证书管理机构(Certification Authority,CA)为用户建立。用户可将自己的公开密钥通过公钥证书发给另一用户,接收方可用CA的公钥对证书加以验证。

(4)【答案】哈希函数
消息认证是指验证所收到的消息确实来自真正的发送方,并且未被篡改的过程。要实现消息认证,产生认证码的函数类型有三类:消息加密、消息认证码(Message Authentication Code, MAC)和哈希函数。

(5)【答案】1024    1
为了确保RSA密码的安全,必须认真选择RSA的密码参数,要应用RSA密码,应当采用足够大的整数n,普遍认为,n至少应取1024位,最好是2048位;为了使加密速度快,根据反复平方乘算法,e的二进制表示中应当含有尽量少的1。
本题答案为:1024    1


为了增强数据库的安全性,请按要求完成下列题目(每空1分,共4分):
1)数据库渗透测试的对象主要是数据库的身份验证系统和服务【71】系统。
2)通常情况下,SQL注入攻击所针对的数据信道包括【72】和Web应用程序输入【73】。

3)事务处理是一种机制,用来管理必须成批执行的SQL操作,以保证数据库不包含不完整的操作结果。在INSERT、UPDATE、CREATE和DELETE语句中,不能回退的语句是【74】语句。

【解析】
1)【答案】(1)监听
数据库安全检测具有3个不同的层次、按照检测的目的划分,由外及内,分别是端口扫描、渗透测试和内部安全检测。其中渗透测试是对数据库服务器进行黑盒式的安全检测,渗透测试的对象主要是数据库的身份验证系统和服务监听系统。

2)【答案】(2)存储过程(3)参数
SQL注入是利用程序对用户输入数据的检查不足或程序自身对变量处理不当,把额外的SQL语句附加到中间层往后台数据库提交的语句中,轻则可以获得敏感信息,重则能够控制服务器。在SQL注入攻击中,入侵者通常将未经授权的数据库语句插入或注入有漏洞的SQL数据信道中。通常情况下,攻击所针对的数据信道包括存储过程和Web应用程序输入参数。

3)【答案】CREATE
事务处理是一种机制,用来管理必须成批执行的SQL操作,以保证数据库不包含不完整的操作结果。事务处理的术语包括:
事务(Transcaction):指一组SQL语句
回退(Rollback):指撤销指定的SQL语句的过程
提交(Commit):指将未存储的SQL语句结果写入数据库表
保留点(Savepoint):指事务处理中设置的临时占位符,可以对它发布回退
可以回退的语句包括事务管理用来管理INSERT、UPDATE和DELETE语句,不能回退SELECT语句也不能回退CREATE语句和DROP语句

posted @ 2018-08-16 23:10  霊梦  阅读(342)  评论(0编辑  收藏  举报