答:( 1)发送者 A 可用自己的私用密钥 Kda 对明文 P 进行加密,得到密文 (2) ) A 再用 B 的公钥 Keb 对 DKda ( P)加密,得到 ( DKda ( P))后送 B 。
DKda ( P )。
EKeb
(3) ) B 收到后,先用私钥 Kdb 解密,得到 DKda ( EKeb (DKda ( P ))) =DKda ( P )。 (4) ) B 再用 A 的公钥 Kea
对 DKda ( P)解密,得到
EKeb ( DKda ( P)) =P。 10 .数字证明书的作用是什么?用一例来说明数字
证明书的申请、发放和使用过程。
答:数字证明书又称公钥证明书,用于证明通信请求者的身份。 数字证明书的申请、发放和使用过程如下:
(1) 用户 A 先向 CA 申请数字证明书, A 应提供身份证明和希望使用的公钥 (2) CA 收到 A 发来的申请报告后,若接受申请,便发给 钥
A 和 CA 发证者的签名等信息, 并对所有信息利用 CA 私钥加密(即对 CA 进行数字签名) 。 (3) 用户 A 在向 B 发送信息时, 由 A 用私钥对报文加密 (数字签名) ,连同证明书发给 B。 (4) 为能对收到的数字证明书解密,用户 B 的申请后,可决定将公钥
B 须向 CA 申请获得 CA 的公钥 B。CA 收到用户
A 。
A 一份数字证明书,其中包括公
B 发给用户 B。
(5) 用户 B 利用 CA 公钥 B 对数字证明书解密, 确认该数字证明书系原件, 并从数字证明书中获得公钥 A ,并且确认该公钥 A 系用户 A 的密钥。
(6) 用户 B 再利用公钥 A 对用户 A 发来的加密报文解密,得到用发来报文的真实明文。 11 .何谓链路加密?其主要特点是什么?
答:链路加密是对网络相邻节点间的通信线路上传输的数据的加密过程。特点是: (1 )相邻节点间的物理信道上传输的报文是密文,在所有中间节点上的报文则是明文。 (2 )对不同的链路分别采用不同的加密密钥。 12 .何谓端 -端加密?其主要特点是什么? 答:端-端加密是在源主机或前端机
FEP 高层(从传输层到应用层) 对传输数据进行的加密。
特点:( 1 )整个网络传输过程中的报文正文都是密文,信息到达目标主机后才译成明文。 (2 )不能对报头中的控制信息加密,否则中间结点无法得知目标地址和控制信息。 13. 可利用哪几种方式来确定用户身份的真实性?
答: ( 1)口令密码组合;( 2 )物理标志( 3)生物标志 ( 4)公开密钥14 .在基于口令机制的身份认证技术中,通常应满足哪些要求? 答:口令长度适中
、自动断开连接
、隐蔽回送显示 、记录和报告。
15. 基于物理标志的认证技术又可细分为哪几种? 答:主要有基于磁卡或
IC 卡的两种认证技术
。
16. 智能卡可分为哪几种类型?这些是否都可用于基于用户持有物的认证技术中?答:智能卡分为存储器卡、微处理器卡和密码卡等类型。
存储器卡没有安全功能,不能用于基于用户持有物的认证;微处理器卡和密码卡采用了加密措施,可以用于基于用户持有物的认证。
17. 被选用的人的生理标志应具有哪几个条件?请列举几种常用的生理标志。 答:被选用的生理标志应具有三个基本条件,即足够的可变性、稳定性好、不易伪装。常用的生理标志是指纹、视网膜组织、声音、手指长度等。
18 .对生物识别系统的要求有哪些?一个生物识别系统通常是有哪几部分组成的? 答:对生物识别系统的要求有:性能满足要求(抗欺骗和防伪防攻击)、能被用户接受、系统成本适当。
一个生物识别系统通常由注册和识别两部分组成。注册部分配有一张用户注册表,识别部分要对用户进行身份认证和生物特征识别。 19 .试详细说明 SSL 所提供的安全服务。
答:SSL 称为安全套接层协议, 用于提供 Internet 上的信息保密, 身份认证服务, 目前 SSL 已成为利用公开密钥进行身份认证的工业标准。 SSL 提供的安全服务有:申请数字证书(服务器申请数字证书、客户申请数字证书) 和 SSL 握手协议(身份认证、协商加密算法和协商加密密钥)。 20. 什么是保护域?进程与保护域之间存在着什么动态联系?
答:保护域是进程对一组对象访问权的集合,规定了进程能访问对象和执行的操作。 进程与保护域之间的动态联系是指进程的可用资源集在个生命周期中是变化的; 不同的阶段可以根据需要从一个保护域切换到另一个保护域。 21. 试举例说明具有域切换权的访问控制矩阵。
答:在访问矩阵中增加几个对象,分别作为访问矩阵中的几个域,当且仅当
switch 包含在
进程运行在
access(i,j) 时,才允许进程从域 i 切换到域 j。例如在下图中, 域 D1 和 D2 对应的项目中有 S, 故允许域 D1 中的进程切换到域 D2 中,在域 D2 和 D3 中也有 S ,表示 D2 域中进行的进程
可切换到域 D3 中,但不允许该进程再从域
D3 返回到域 D1 。
22. 如何利用拷贝权来扩散某种访问权?
答:如果域 i 具有对象 j 的某访问权 acess(i,j) 的拷贝权, 则运行在域 i 的进程可将其访问权 acess(i,j) 扩展到访问矩阵同一列中的其它域, 的同样访问( acess(i,j) )。
23. 如何利用拥有权来增删某种访问权?
答:如果域 i 具有关于对象 j 的所有权, 则运行在域 i 的进程可以增删在 j 列的任何项中的任何访问权。或该进程可以增删在任何其它域中运行的进程关于对象 24. 增加控制权的主要目的是什么?试举例说明控制权的应用。
答:控制权用于改变某个域中运行进程关于不同对象的访问权。若某域访问权 access(i,j) 中含有控制权 C ,则运行在 Di 域中的进程能改变运行在 Qj 域中的任何进程关于任何对象的任何访问权。
j 的任何访问权。
即为运行在其它域的进程也赋予关于同一对象
25 .什么是访问控制表?什么是访问权限表? 答:访问控制表是指对访问矩阵按列划分,
为每列建立一张访问控制表
ACL ,由有序对(域,
权集)组成,用来保证系统安全性的一种手段。
访问权限表是指对访问矩阵按行划分,由每行构成一张访问权限表。 26 .系统如何利用访问控制表和访问权限表来实现对文件的保护? 答:当进程第一次试图访问一个对象时,
必须先检查访问控制表, 查看是否有权访问该对象。
如果无则拒绝访问, 并构成一个例外异常事件;否则便允许访问, 并为之建立访问权限, 以便快速验证其访问的合法性。当进程不再访问该对象时便撤销该访问权限。 27 .什么是病毒?它有什么样的危害?
答:病毒是编制或者在计算机程序中插入的破坏计算机功能或数据, 影响计算机系统使用并
且能够自我复制的一组计算机计算机指令或程序代码。
计算机病毒的危害:占用系统空间、占用处理机时间、破坏文件、使机器运行异常。 28. 计算机病毒的特征是什么?它与一般的程序有何区别? 答:计算机病毒的特征是寄生性、传染性、隐蔽性和破坏性。
它与一般程序的区别是:病毒程序通常不是独立的程序,具有自我复制和迅速传播的传染性,想方设法隐藏自身,存在的基本目标就是破坏性。 29. 什么是文件型病毒?试说明文件型病毒对文件的感染方式。
答:文件型病毒是指采用寄生方式附着在正常程序里,病毒发作时原来程序仍能正常运行,以致用户不能及时发现而长期潜伏下来的病毒。
文件型病毒对文件的感染方式是主动攻击和执行时感染的方式。 30. 病毒设计者采取了哪几种隐藏方式来让病毒逃避检测? 答: (1) 隐藏于目录和注册表空间。 (2) 隐藏于程序的页内零头里。 (3) 更改用于磁盘分配的数据结构。 (4) 更改坏扇区列表。
31. 用户可采用哪些方法来预防病毒? 答: (1) 定期在外存备份重要软件和数据
(2) 使用安全性高的操作系统 (3) 使用正版软件 (4) 使用高性能反病毒软件 (5) 不轻易打开来历不明的电子邮件
(6) 定期检查外存并清除病毒
32. 试说明基于病毒数据库的病毒检测方法。 答: (1) 建立病毒数据库
(2) 扫描硬盘上的可执行文件
第十章
1. UNIX 系统具有哪些特征?
答:开放性、多用户多任务环境、功能强大高效、丰富网络功能、支持多处理器。 2.试说明 UNIX 系统的内核结构。
答: UNIX 内核结构分四层:最底层是硬件,次底层是 口
OS 核心,第二层是 OS 与用户接
shell 及 编 译 程 序 等 , 最 高 层 是 应 用 程 序 。3. UNIX 系统中的PCB 含哪几部分?用图说明各部分之间的关系。答: UNIX
系统中的 PCB 含进程表项、 U 区、系统区表、进程区表。
4.进程映像含哪几部分?其中系统级上、下文动态部分的作用是什么? 答:进程映像含用户上下文、寄存器上下文、系统级上下文。
系统级上下文动态部分的作用是当因中断或系统调用进入核心状态时,核心把一个寄存 器上下文压入核心栈,退出系统调用时,
核心又弹出寄存器上下文,在上下文切换时,
核心
将压入老进程的上下文,弹出新进程的上下文。
5.在 UNIX 系统中用于进程控制的主要系统调用有哪些?它们各自的主要功能是什么? 答:用于进程控制的主要系统调用有: (1) ) fork 系统调用:用于创建新进程 (2) ) exit 系统调用:实现进程自我终止 (3) ) exec 系统调用:改变进程原有代码
(4) ) wait 系统调用:将调用进程挂起并等待子进程终止 6.为创建一个新进程,须做哪些工作?
答:为新进程分配一个进程表项和进程标志符; 检查同时运行的进程数目; 拷贝进程表项中的数据;子进程继承父进程的所有文件;为子进程创建进程上下文;子进程执行。 7.为何要采取进程自我终止方式?如何实现
exit ?
Unix 内核用 exit 实现
答:为了及时回收进程占用的资源,在进程任务完成后应尽快撤销。
进程的自我终止。 父进程在创建子进程时, 应在子进程末尾安排 exit 使子进程能自我终止。实现 exit 的具体操作是:关闭软中断、回收资源、写记账信息和置进程为僵死状态。 8.在 UNIX 系统中采用了何种调度算法?如何确定进程的优先数? 答: UNIX 系统采用动态优先数轮转的进程调度算法。优先数确定公式:优先数 =(最近使用 CPU 的时间 /2 ) +基本用户优先数 9.在进入 sleep 过程后,内核应做哪些处理?
答:进入 sleep 过程后,核心首先保存进入睡眠时的处理机运行级,
提高处理机的运行优先
将该进程放入睡
级屏蔽所有中断, 将该进程置为睡眠状态, 将睡眠地址保存在进程表项中, 眠队列。如果进程的睡眠不可中断,
在进程上下文切换后,进程便安稳睡眠。当进程被唤醒
并被调度执行,将恢复处理机的运行级为进入睡眠时的值,此时允许中断处理机。 10 .试说明信号与中断两种机制间的异同处。
答:不同点 :中断有优先级,而信号没有,所有信号皆平等;信号处理程序在用户态运行,而中断处理程序是在核心态运行;还有中断响应及时,而信号响应通常都是延时的。
相同点:都采用异步通信方式;当检测出信号或中断请求时都暂停正在执行的程序而转去执行相应的处理程序;都在处理完毕返回到原来断点;对信号或中断都可进行屏蔽。 11 .扼要说明信号机制中信号的发送和对信号的处理功能。 答:信号发送是指由发送进程把信号送到目标进程的 对信号的处理功能:首先利用系统调用
proc 结构中信号域的某一位上。
signal (sig , func )预置对信号的处理方式,
func 为非 0 非 1 时, func
处理完毕再
func=1 时屏蔽该类信号; func=0 时,进程收到信号后终止自己;
值作为信号处理程序的指针, 系统从核心态转为用户态并执行相应的处理程序, 返回用户程序的断点处。
12 .什么是管道?无名管道和有名管道的主要差别是什么? 答:管道是指能连接写进程和读进程,
并允许它们以生产者消费者方式进行通信的一个共享
文件或 pipe 文件。无名管道是个临时文件,是利用系统调用
pipe ()建立起来的无路径名
文件,只有调用 pipe 的进程及其子孙进程才能识别此文件描述符而利用该文件(管道)进 行通信;有名管道是利用
mknod 系统调用建立的、可以在文件系统中长期存在的有路径名
文件,其它进程可以知道其存在,并利用该路径名访问的文件。 13 .在读、写管道时,应遵循哪些规则?答:( 1)对 pipe 文件大小的限制 (2 )进程互斥
(3 )进程写管道时在管道空间上满足生产者操作规则 (4 )进程读管道时在管道空间上满足消费者操作规则 14 .在消息机制中有哪些系统调用?说明它们的用途。 答:在消息机制中的系统调用是
msgctl( ) 、msgsnd( ) 、msgrcv( ) 。
msgctl( ) 系统调用于指定的消息队列进行操纵。 msgsnd( ) 系统调用来发送消息。
msgrcv( ) 系统调用从指定消息队列中读取一个消息。 15 .在共享存储机制中有哪些系统调用?扼要说明它们的用途 答:在共享存储机制中的系统调用有
shmget() 、shmctl() 、shmat() 。
shmget( ) 用于建立一块共享存储区,提供该区名字 key 和共享存储区长度 size 等参数。
shmctl( ) 系统调用于查询共享存储区的状态信息。
shmat( ) 系统调用于将该共享存储区附接到用户给定的某个进程虚地址 shmaddr 上,
并指定该存储区的访问属性是只读还是可读可写。 16 .核心在执行 shmget 系统调用时需完成哪些工作?
答:(1) 检查共享存储区表, 若找到 key 表项, 表明该区已建立, 返回共享区描述符 shmid ;(2) 若未找到指定 key 表项,而 flag 标志为 IPC_CREAT 且参数 size 值在系统限制值内,则分配一系统空闲区作为共享区的页表区,
分配相应的内存块, 将这些块号填入页表中;