浙江大学远程教育学院《信息系统安全》课程作业姓名:方武贤学号:716060242007年级:16年秋学习中心:深圳学习中心—————————————————————————————第一次作业一、判断题提示:此题为客观题,进入“在线”完成。二、选择题提示:此题为客观题,进入“在线”完成。三、简答题1、SIM卡是(SubscriberIdentityModel客户识别模块)的缩写,也称为智能卡、用户身份识别卡,GSM数字移动电话机必须装上此卡方能使用。一般SIM卡的IC芯片中,有8kB的存储容量,可供储存以下信息:(1)100组电话号码及其对应的姓名文字。(2)15组短信息(ShortMessage)。(3)5组以上最近拨出的号码。(4)4位SIM卡密码(PIN)。SIM卡有两个PIN码:PIN1码和PIN2码。通常讲的PIN码就是指PIN1码,它用来保护SIM卡的安全,加密SIM卡中的数据,是属于SIM卡的密码。PIN2码跟网络的计费(如储值卡的扣费等)和SIM卡内部资料的修改有关。某间谍被国家安全部门抓获,将手机SIM卡咬碎成几个部分。国家安全部门将SIM卡的各部分数据恢复整合,获得部分联系人信息。问国家安全部门需要进行哪些流程。(视频教学内容第13、14章)答:1)SIM被咬碎成几个部分,首先需要把每个部分存储的IC芯片中的数据读出2)根据咬碎几个部分的几何位置,恢复原SIM卡中8KB数据3)恢复的8KB数据是加密过的数据,属于密文4)需要破解PIN1码,PIN码只有4位,可以穷举从0000到9999。5)用PIN1码解密获得电话号码、短信、最近拨出的号码。6)容易出错地方:PIN2可以不解密。根据题意,PIN2与计费有关和SIM卡内部资料的修改,不用来加密数据2、银行卡复制器是一种金融入侵工具,安装在银行的柜员机的磁卡入口处,只要卡插入后账户资料就被磁卡采集器读取,同时需要偷看用户的密码。然后可以将窃取到的信息写入空白磁卡。之后在提款机上利用假卡与密码,将账户内存款全数提走。问如何防范。(视频教学内容第13、14章)答:1.防止信用卡信息被盗用,需要防止磁卡刷卡处增加安装设备2.输入密码时加遮挡,以免后面的其他人员查看,或被对面街道的高清摄像机拍摄3.还可以将信用卡从磁卡改成IC卡3、张三的网游被黑,其道具被盗走,张三向网管投诉。网管调查发现,张三的账户密码为123456。该密码属于世界上最常见密码之一,包括:123456、12345、123456789、Password、iloveyou、princess、rockyou、1234567、12345678、abc123。密码强度指一个密码被非认证的用户或计算机破译的难度。密码强度通常用“弱”或“强”来形容。高强度的密码应该是:包括大小写字母、数字和符号,且长度不宜过短,最好不少于10位;不包含生日、手机号码等易被猜出的信息。请问在该事件中,能吸取哪些教训。(教材第3、4章)答:a)低强度的密码,容易被字典共计b)张三应该设置一个高强度的密码,同时网游应该检测用户的密码强度是否够强c)张三应该定期修改密码,同时网游应该提醒用户定期修改四、设计题1、阅读以下材料:(教材第3章)网络数据流窃听(Sniffer)由于认证信息要通过网络传递,并且很多认证系统的口令是未经加密的明文,攻击者通过窃听网络数据,就很容易分辨出某种特定系统的认证数据,并提取出用户名和口令。认证信息截取/重放(Record/Replay)有的系统会将认证信息进行简单加密后进行传输,如果攻击者无法用第一种方式推算出密码,可以使用截取/重放方式。一次性口令(OTP:OneTimePassword)的密码体制,在登录过程中加入不确定因素,使每次登录过程中传送的信息都不相同,以提高登录过程安全性。这些不确定因子选择方式可以是:挑战/回答(CRYPTOCard):用户要求登录时,系统产生一个随机数发送给用户。用户用某种单向算法将自己的秘密口令和随机数混合起来发送给系统,系统用同样的方法做验算即可验证用户身份。问题:已知需要设计一个网上登录界面,依据上述资料,需要防止窃听攻击、重放攻击,已知每个用户有一个手机且不会丢失,请设计一个安全的登录方法。答:登录界面包括:用户名,密码;密码输入验证是正确用户,如果不是,退出;计算机系统将动态生成的密码,通过短信发给用户;用户使...
