分享到微信
信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6
往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx
信息安全工程师案例分析每日一练试题(2020/9/12)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/9/12
点击查看:更多信息安全工程师习题与指导
信息安全工程师案例分析每日一练试题内容(2020/9/12)
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
认证又称鉴别或确认,它是证实某事是否名副其实或是否有效的一个过程。认证和加密的区别在于:加密用以确保数据的保密'性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性,来达到验证称谓者是否名副其实的目的。这样,就要求验证的参数和被认证的对象之间存在严格的对应关系,理想情况下这种对应关系应是唯一的。其基本原理如下图所示。
认证原理
认证系统常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等。对于那些能在长时间内保持不变的参数(非时变参数)可采用在保密条件下预先产生并存储的位模式进行认证,而对于经常变化的参数则应适时地产生位模式,再对此进行认证。
【问题1】(3分)
认证和数字签名技术都是确保数据真实性的措施,请分析这两者之间的区别。
【问题2】(5分)
口令是接收双方预先约定的秘密数据,它用来验证用户知道什么。口令验证简单易行,因此口令验证是目前应用最为广泛的身份认证方法之一。在计算机系统中,操作系统、网络、数据库都采用了口令验证。在一些简单的系统中,用户的口令以口令表的形式存储。当用户要访问系统时,系统要求用户提供其口令,系统将用户提供的口令与口令表中存储的相应用户的口令进行比较,若相等则确认用户身份有效,否则确认用户身份无效,担绝访问。请分析在上述口令验证机制中会存在哪些问题?(3分)列举4种改进的口令验证机制。(2分)
【问题3】(7分)
在网络环境中,攻击者可进行以下攻击:
(1)冒充发送方发送一条报文;
(2)冒充接收方发送收到或未收到报文的应答;
(3)插入、删除或修改报文内容;
(4)修改报文顺序(插入报文、删除报文或重排序)议及延时或重播报文。
因此,报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间性的真实性和完整性。也就是说,通信方能够确定:
(1)报文是由意定的发送方发出的;
(2) 报文传送给意定的接收方;
(3)报文内容有无篡改或发生错误;
(4) 报文按确定的次序接收。
报文认证的方式有报文源的认证、报文宿的认证及报文内容的认证,消息认证码MAC是属于哪种报文认证方式?(2分)其认证过程是怎样的?(5分)
信管网考友试题答案分享:
信管网cnitpm439753710:
【问题1】两者的区别:认证常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等;数字签字使用的为电子签名。
【问题2】弱口令,易被破解,导致非法用户验证成功从而进行访问;①增强口令复杂度、
【问题3】消息认证码mac属于报文源的认证;
信管网cnitpm5436332219:
问题1:(1)认证总是基于某种收发双方共享的保密数据来认证被鉴别对象的真实性,而数字签名中用于验证签名的数据是公开的(2)认证允许收发双方互相验证其真实性,不准许第三者验证,而数字签名允许双方和第三者都能验证(3)数字签名具有发送方不能抵赖、接收方不能伪造和具有在公证人前解决纠纷的能力。而认证则不一定具备。
问题2:(1)攻击者可能从口令表中获取用户口令。因为用户的口令以明文形式存储在系统中,系统管理员可以获得所有口令,攻击者也可以利用系统的漏洞来获得他人的口令(2)攻击者可能在传输线路上截获用户口令。因为用户的口令在用户终端到系统的线路上以明文形式传输,所以攻击者可在传输线路上截获用户口令(3)用户和系统的地位不平等。这里只有系统强制性的验证用户的身份,而用户无法验证系统的身份
改进的口令验证机制:1、利用单向函数加密口令2、利用数字签名方法验证口令3、口令的双向验证4、一次性口令
问题3:消息认真码mac属于报文内容的认证,认证过程详见教材p160
信管网haikong808:
问题1:认证是对报文的发送者和接受者的身份和报文的完整行进行认证的过程,数字签名是对报文的发送者进行签名,防止发送者抵赖。
问题2:口令已口令表的形式存贮,有被泄露的风险;口令有猜解的风险;口令有忘记口令的风险。
通过使用usbkey设备来进行口令验证;经常进行口令的更换;加强口令的复杂性。
问题3:
信管网yidao654:
问题1:认证是通信双方互相鉴别,数字签名允许双方和第三方鉴别;数字签名可以抗抵赖,认证不一定能
问题2:弱口令、空口令、默认口令,口令表泄露;限制登录尝试次数,限制生成弱口令,不允许空口令和默认口令,口令表加密
问题3:报文源的认证
扫码关注公众号
温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!
信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。
信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。
相关内容
| 发表评论 查看完整评论 | |
考试新手指南
学习计划攻略
精华备考资料
案例论文干货
章节模拟试题
免费试听课程
考试信息推送