專業信息安全工程師網站|培訓機構|服務商(2020信息安全工程師學習QQ群:327677606,客服QQ:270019001)

軟題庫 培訓課程
當前位置:信管網 >> 信息安全工程師 >> 每日一練 >> 文章內容
信息安全工程師案例分析每日一練試題(2020/6/18)
來源:信管網??2020年06月19日? 【信管網:信息安全工程師專業網站所有評論

信息安全工程師案例分析當天每日一練試題地址:www.snuwim.icu/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總:www.snuwim.icu/class27-6-1.aspx

信息安全工程師案例分析每日一練試題(2020/6/18)在線測試:www.snuwim.icu/exam/ExamDayAL.aspx?t1=6&day=2020/6/18

點擊查看:更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容(2020/6/18)

閱讀下列說明,回答問題1至問題3,將解答填入答題紙的對應欄內。
【說明】
認證又稱鑒別或確認,它是證實某事是否名副其實或是否有效的一個過程。認證和加密的區別在于:加密用以確保數據的保密'性,阻止對手的被動攻擊,如截取,竊聽等;而認證用以確保報文發送者和接收者的真實性以及報文的完整性,阻止對手的主動攻擊,如冒充、篡改、重播等。認證往往是許多應用系統中安全保護的第一道設防,因而極為重要。
認證的基本思想是通過驗證稱謂者(人或事)的一個或多個參數的真實性和有效性,來達到驗證稱謂者是否名副其實的目的。這樣,就要求驗證的參數和被認證的對象之間存在嚴格的對應關系,理想情況下這種對應關系應是唯一的。其基本原理如下圖所示。
                                       
認證原理

認證系統常用的參數有口令、標識符、密鑰、信物、智能卡、指紋、視網紋等。對于那些能在長時間內保持不變的參數(非時變參數)可采用在保密條件下預先產生并存儲的位模式進行認證,而對于經常變化的參數則應適時地產生位模式,再對此進行認證。
【問題1】(3分)
認證和數字簽名技術都是確保數據真實性的措施,請分析這兩者之間的區別。
【問題2】(5分)
口令是接收雙方預先約定的秘密數據,它用來驗證用戶知道什么。口令驗證簡單易行,因此口令驗證是目前應用最為廣泛的身份認證方法之一。在計算機系統中,操作系統、網絡、數據庫都采用了口令驗證。在一些簡單的系統中,用戶的口令以口令表的形式存儲。當用戶要訪問系統時,系統要求用戶提供其口令,系統將用戶提供的口令與口令表中存儲的相應用戶的口令進行比較,若相等則確認用戶身份有效,否則確認用戶身份無效,擔絕訪問。請分析在上述口令驗證機制中會存在哪些問題?(3分)列舉4種改進的口令驗證機制。(2分)
【問題3】(7分)
在網絡環境中,攻擊者可進行以下攻擊:
(1)冒充發送方發送一條報文;
(2)冒充接收方發送收到或未收到報文的應答;
(3)插入、刪除或修改報文內容;
(4)修改報文順序(插入報文、刪除報文或重排序)議及延時或重播報文。
因此,報文認證必須使通信方能夠驗證每份報文的發送方、接收方、內容和時間性的真實性和完整性。也就是說,通信方能夠確定:
(1)報文是由意定的發送方發出的;
(2) 報文傳送給意定的接收方;
(3)報文內容有無篡改或發生錯誤;
(4) 報文按確定的次序接收。
報文認證的方式有報文源的認證、報文宿的認證及報文內容的認證,消息認證碼MAC是屬于哪種報文認證方式?(2分)其認證過程是怎樣的?(5分)

信管網試題答案與解析:www.snuwim.icu/st/2806013036.html

信管網考友試題答案分享:

信管網haikong808:
問題1:認證是對報文的發送者和接受者的身份和報文的完整行進行認證的過程,數字簽名是對報文的發送者進行簽名,防止發送者抵賴。
問題2:口令已口令表的形式存貯,有被泄露的風險;口令有猜解的風險;口令有忘記口令的風險。
通過使用usbkey設備來進行口令驗證;經常進行口令的更換;加強口令的復雜性。
問題3:


信管網yidao654:
問題1:認證是通信雙方互相鑒別,數字簽名允許雙方和第三方鑒別;數字簽名可以抗抵賴,認證不一定能
問題2:弱口令、空口令、默認口令,口令表泄露;限制登錄嘗試次數,限制生成弱口令,不允許空口令和默認口令,口令表加密
問題3:報文源的認證

信管網krasscy:
1.認證與數字簽名技術都是保證數據真實性的措施,但兩者仍然有明顯區別。
1)認證總是基于某種收發雙方共享的保密數據來認證被鑒別對象的真實性,而數字簽名中用于驗證簽名的數據是公開的。
2)認證允許收發雙方互相驗證其真實性,不準第三者驗證,而數字簽名允許收發雙方及第三者都能驗證。
3)數字簽名具有不可抵賴性,接收方不能偽造和具有在公證人前解決糾紛的能力,而認證則不一定具備。
2.口令往往容易遭到攻擊,如網絡數據流竊聽、鑒別信息的截取/重放、字典攻擊、窮舉嘗試、窺探、社交、垃圾搜索等等。因此出現了改進的口令機制:一次性口令(動態口令)、usb-key、時間同步鑒別、基于生物特征的身份鑒別(如指紋分析、視網膜掃描)。
3.消息認證碼mac屬于報文內容的認證。假定通信雙方共享密鑰k,若發送方a向接收方b發送報文m,則a計算mac=c(m,k)并將報文m和mac發送給接收方:a->b:m||mac,接收方收到報文后用相同的密鑰k進行相同的計算算出新的mac,并將其進行比較,若二者相等,則報文未被修改且可以相信來自確定的發送方。

信管網小橋流水:
問題1
認證:
數字簽名:

問題2:
明文存儲----加密存儲
明文傳輸----加密傳輸
口令簡單----容易被破解
密碼輸入沒有要求----容易造成內存溢出

消息認證mac是屬于報文內容認證,認證過程是將消息內容通過hash函數做不可逆的運作,得到一個數值,根據傳送前后對比數值的變化來查看報文內容是否被修改

信管網試題答案與解析:www.snuwim.icu/st/2806013036.html


發表評論  查看完整評論  

相關內容

推薦文章
合作網站內容
官方下载捕鱼游戏 幸运快3大小单双 湖北30选5官网 11选5赚钱方法 pk10预测在线网页 十一运夺金开奖结果360 赛车pk10资讯app 江苏快三推荐和预测 k10五码三期必中 北京老时时彩开奖结果 pk10 成都股票配资公司 江苏11选5软件下载 北京pk拾稳赚技巧 排列五今晚上开的什么奖 快乐十分20选8号万能码 3d开奖号试机号走势图带连线