公職王歷屆試題 （108 國安局特考）

共 5 頁 第 1 頁 全國最大公教職網站 http://www.public.com.tw

108 年公務人員特種考試國家安全局國家安全情報人

員考試試題

考 試 別：國家安全情報人員 等 別：三等考試 類 科 組：資訊組 科 目：網路應用與安全 一、何謂 P2P（Peer to Peer）網路？P2P 網路相較於傳統主從式（Clinet/Server）網路有那些優

點？其帶來的安全隱憂為何？請說明之。（20 分） 【擬答】： 點對點架構（peer-to-peer, P2P）是一種資源共享的架構，通過 Ad Hoc 方式來連接節點，

讓所有的客戶端都能提供包括頻寬，存儲空間和計算能力等資源。同時資源分散在網路上

的許多機器，提高了防止故障的健壯性，即使某一節點發生問題，其餘網路照樣運作。

P2P 架構目前用在電子會議、檔案分享、即時通訊、網格運算、聊天室、線上群體遊戲

等。 P2P 網路相較於傳統主從式（Clinet/Server）網路的優點 非集中化：將以伺服器為中心的服務分散到各個節點，避免出現伺服器性能瓶頸。 擴展性：隨著更多的用戶加入，網路整體資源和服務得到了提升和擴充。 健壯穩定性：網路節點各自組織管理，即使某一節點或局部網路出現問題對整個網路不

會有很大的影響。 P2P 網路的安全威脅 可能作為阻斷服務攻擊（Denial of Services）的跳板。 免費搭乘者（Free Riders）問題 損壞資料片段傳輸 資料竄改 隱私權的侵害

二、請先說明 DNS（Domain Name Service）的功用及工作原理，然後解釋何謂 DNS 的 fast flux

技術並說明駭客為何要使用此技術？（20 分） 【擬答】：

DNS 系統可在領域名稱與 IP 地址之間進行轉換。由於 IP 地址太難記憶，因此將之對應成

一個類似地址的名稱，就是所謂的領域名稱，各領域名稱與 IP 地址的對應由各地的領域名

稱伺服器（Domain name server）負責維護，由各領域自行控制其下的領域的命名。 DNS 進行時，主機向本地域名伺服器的查詢一般都是採用遞歸查詢。如果主機所詢問的本

地域名伺服器不知道被查詢域名的 IP 地址，那麼本地域名伺服器就以 DNS 客戶的身

份，向其他根伺服器繼續發出查詢請求報文。本地域名伺服器向根伺服器的查詢通常是採

用反覆運算查詢。當根伺服器收到本地域名伺服器的反覆運算查詢請求報文時，要麼給出

所要查詢的 IP 地址，要麼告訴本地域名伺服器：“你下一步應當向哪一個域名伺服器進

行查詢”。然後讓本地域名伺服器進行後續的查詢。 Fast-Flux 是於 DNS Resource Record（RR）上設定非常短的 TTL（Time To Live），並以

循序（Round-robin）的方式於一群 IP 中做替換，而這群 IP 則扮演了流量導向（Proxy）的

角色。 對於駭客來說，使用 Fast-Flux 的好處是惡意網站受到保護使其不易被追查，因此延長了惡

意網站的壽命。以釣魚網站為例，過去靠著各國 CERT 或資安組織的協助，一個釣魚網站

的存活時間平均為 3~4 天[4]，隨著 Fast-Flux 技術的流行，則拉長了釣魚網站的存活時

間。對於事件處裡人員來說，Fast-Flux 增加了追蹤與分析的困難度，因為這些 IP 散布於世

公職王歷屆試題 （108 國安局特考）

共 5 頁 第 2 頁 全國最大公教職網站 http://www.public.com.tw

界各地，而且並沒有惡意內容存留於這些機器上。

三、雲端運算可分為基礎設施即服務（Infrastructure as a Service, IaaS）、平臺即服務（Platform as a Service, PaaS）以及軟體即服務（Software as a Service, SaaS）等三類。請先說明此三類的區

別，然後解釋虛擬機逃逸（Virtual Machine escape）這種雲端運算安全威脅的意義。（20分）

【擬答】：

雲端運算提供服務 基礎設施即服務（IaaS）

是提供消費者處理、儲存、網路以及各種基礎運算資源，以部署與執行作業系統或應用

程式等各種軟體。客戶端無須購買伺服器、軟體等網路設備，即可任意部署和運行處

理、存儲、網絡和其它基本的計算資源，不能控管或控制底層的基礎設施，但是可以控

制作業系統、儲存裝置、已部署的應用程式，有時也可以有限度地控制特定的網路元

件，像是主機端防火牆。IaaS 是雲服務的最底層，主要提供一些基礎資源。 平台即服務（PaaS） 提供使用者將雲端基礎設施部署與建立至用戶端，或者藉此獲得使用程式語言、程式庫

與服務。使用者不需要管理與控制雲端基礎設施（包含網路、伺服器、作業系統或儲

存），但需要控制上層的應用程式部署與應用代管的環境。PaaS 將軟體研發的平台做為

一種服務，以軟體即服務（SaaS）模式交付給用戶。因此，PaaS 也是 SaaS 模式的一種

應用。但是，PaaS 的出現可以加快 SaaS 的發展，尤其是加快 SaaS 應用的開發速度。

PaaS 提供軟體部署平台（runtime），抽象掉了硬體和作業系統細節，可以無縫地擴充

（scaling）。開發者只需要關注自己的業務邏輯，不需要關注底層。 軟體即服務（SaaS）

是一種軟體交付模式，在這種交付模式中雲端集中代管軟體及其相關的資料，軟體僅需透過

網際網路，而不須透過安裝即可使用。用戶通常使用精簡用戶端經由一個網頁瀏覽器來存取

軟體即服務。SaaS 最大的特色在於軟體本身並沒有被下載到用戶的硬碟，而是儲存在提供

商的雲端或者伺服器。對比傳統軟體需要花錢購買，下載。軟體即服務只需要用戶租用軟

體，在線使用，不僅大大減少了用戶購買風險也無需下載軟體本身，無裝置要求的限制。 在電腦安全中，虛擬機逃逸（Virtual Machine escape）是突破虛擬機並與主機操作系統互

動，其中的虛擬機是“在正常主機操作系統內完全隔離的客戶操作系統安裝”，接著駭客

即可存取原本無法存取的資源或進行其他操作。

四、數位簽章（Digital Signature）在當今網路應用日益普遍。請先說明數位簽章的工作原理，然

後解釋為何數位簽章的運用需要用到公開金鑰基礎建設（Public Key Infrastructure）？（20分）

【擬答】：

數位簽章是一種類似寫在紙上的普通的實體簽名，但使用了公鑰加密領域的技術來實現，

用於鑑別數位訊息的方法。一套數位簽章通常定義兩種互補的運算，一個用於簽名，另一

個用於驗證。數位簽章的文件的完整性是很容易驗證的，而且數位簽章具有不可否認性。 數位簽章製作及驗證流程如下圖，必須用到公開金鑰基礎建設中的 CA 配合，分述如下： 產生 RSA 鍵對 在進行數位簽章處理之前，簽署者必須先向認證中心（Certificate authority, CA）提出申

請，CA 產生一對 RSA 鍵對與數位憑證（Certificate），並把其中公開鍵與數位憑證保存

於 CA 以供後續驗證，而將秘密鍵與數位憑證回覆給申請的簽署者。 計算資料摘要並在加密後傳送 在文件簽署之時，簽署者先把所要簽署的文件內容，經由一雜湊函數（Hash function）的運算，以得到與原文資料完全相關的資料摘要（Message digest），之後再對這資料摘

要以簽署者所獨自擁有的秘密鍵做加密運算，所得到的結果即為原文資料的數位簽章。

簽署者並把這一數位簽章、原文資料、與數位憑證一起傳送出去。

公職王歷屆試題 （108 國安局特考）

共 5 頁 第 3 頁 全國最大公教職網站 http://www.public.com.tw

接收端驗證 驗證的一方在接到上述資料之後，首先把原文資料以相同的雜湊函數重新做運算，以得

到一資料摘要。此外，驗證者也把所收到的數位憑證向 CA 查詢取得公開鍵，將數位簽

章用此公開鍵做解密運算，而得到另一資料摘要。最後比對這兩個資料摘要是否相同，

如果是，則表示所收到的資料確實是簽署者所簽署的文件資料。

提出申請

Certificate祕密鍵

Certificate公開鍵

Certificate

Certificate

公開鍵

原文

Hashing

訊息

摘要

數位

簽章

原文

數位簽章

秘密

鍵

原文 訊息

摘要Hashing

訊息

摘要

數位

簽章 公開

鍵

比

對

傳送端 接收端

CA

五、Kerberos 是發展已久的重要網路協定，請詳細說明其功用及工作原理。 【擬答】：

Kerberos 是一種電腦網路認證協定，它允許某實體在非安全網路環境下通信，向另一個實

體以一種安全的方式證明自己的身份，主要針對 Client/Server 架構，並提供了一系列交互

認證，讓用戶和伺服器都能驗證對方的身份，Kerberos 協議可以保護網路實體免受竊聽和

重複攻擊。Kerberos 協議基於對稱密碼學，並需要一個值得信賴的第三方。 Kerberos 將參與工作的成員稱呼為『主角』（Principal），每個成員都擁有自己的『主密

鑰』（Master Secret）。但基本上，它還是屬於主從式（Client/Server）架構的應用系統，

其成員主要由下列四種實體（使用者或設備）所扮演而成： 客戶端（Client）：在網路欲存取資源的使用者。 服務伺服器（Service Server）：在網路上提供資源服務者。對每一個使用者要求服務

時，必須能夠確定是當事人而非他人冒充，傳遞資源時必須作相當的加密動作，避免他

人偷竊。這個加密用的秘密鑰匙只有和使用者之間擁有（由 TGS 伺服器提供），而且用

完一次便拋棄，下次連線時再建立新鑰匙。 認證伺服器（Authentication Server, AS）：相當於『鑰匙分配中心』（KDC）。管理每

一個使用者的主密鑰（或稱共享密鑰）。欲加入的使用者都必須向 AS 伺服器申請帳戶

並取得主密鑰。網路上任何一個使用者登入系統時，都會向認證中心取得通行證（Pass Book 或 TGT 票），有了通行證便可以在網路上索取所要的資源。

門票核准伺服器（Ticket-Granting Server, TGS）：TGS 伺服器管理網路上所有服務伺服

器，並紀錄所有服務伺服器的秘密鑰匙。當有新的伺服器加入或退出時，都必須向 TGS伺服器申請。而且某一秘密鑰匙也只有 TGS 伺服器和該服務伺服器兩者所擁有，因此

TGS 伺服器必須管理網路上所有伺服器的秘密鑰匙。使用者如要存取服務伺服器上資源

時，必須向 TGS 提出它的身份證明，即 TGT 門票。TGT 門票是經過 TGS 伺服器的秘密

鑰匙加密，因此只有 TGS 伺服器能觀察門票的內容，別人無法仿冒。TGS 伺服器驗證

完使用者的通行證後，再發給使用者有關使用者本身和所欲要求的服務伺服器的『服務

門票』（Service Ticket, ST）。有了 ST 門票之後，使用者才可以到服務伺服器上存取資

源，ST 門票同時包含了會議鑰匙。 就門票的類別可區分為下列兩大類： 門票核准票（Ticket-Granting Ticket, TGT）：此票是由 AS 伺服器發給客戶端的身分

證明使用；使用者可以持此票向 TGS 伺服器申請通往某一伺服器的請求。

公職王歷屆試題 （108 國安局特考）

共 5 頁 第 4 頁 全國最大公教職網站 http://www.public.com.tw

服務門票（Service Ticket, ST）：當使用者出示 TGT 門票，向 TGS 伺服器要求前往

某一伺服器；如果 TGS 伺服器同意其要求時，則發給所要求伺服器的 ST 門票給使

用者，使用者持此票即可要求該伺服器提供服務。 Kerberos 運作過程： 登錄 當使用者（假設 Alice）想要進入系統參與工作時，它必須進入 Kerberos 所管轄的範圍

內，並由 Kerberos 認證身份。首先，Alice 傳送本身識別碼與希望取得 TGS 伺服器門票

的識別碼給 AS 伺服器，其中已加入預防重播攻擊的時間戳記。AS 確認 Alice 的身份識

別無誤後，便利用 Alice 主密鑰傳送通往 TGS 的 TGT 門票、以及 Alice 與 TGS 伺服器

之間的會議鑰匙給 Alice，到達 Alice 工作站時，工作站會要求 Alice 輸入密碼，並由輸

入的密碼產生 Alice 的主密鑰（KA），再利用主密鑰解開加密，同時取得相關訊息。由

此可見，TGT 門票是利用 Alice 的主密鑰加密著，他人不易觀察裡面的內容。 取票

lice 經由 AS 確認身份，並取得通往 TGS 的 TGT 門票之後，它便成為 Kerberos 系統下的

成員之一。在該門票的有效期間內，它都可以向 TGS 伺服器要求其它伺服器的門票。 要求服務

Alice 由 TGS 伺服器上取得通往 Bob 的 ST 門票之後，在該門票的有效期間內都可以向

Bob 要求服務。

公職王歷屆試題 （108 國安局特考）

共 5 頁 第 5 頁 全國最大公教職網站 http://www.public.com.tw