软题库 移动APP 扫码下载APP 随时随地移动学习 培训课程
当前位置:信管网 >> 在线考试中心 >> 信息安全工程师题库 >> 试题查看
试卷年份2018年上半年
试题题型【分析简答题】
试题内容

1.阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
认证又称鉴别或确认,它是证实某事是否名副其实或是否有效的一个过程。认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性,来达到验证称谓者是否名副其实的目的。这样,就要求验证的参数和被认证的对象之间存在严格的对应关系,理想情况下这种对应关系应是唯一的。其基本原理如下图所示。

认证原理

认证系统常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等。对于那些能在长时间内保持不变的参数(非时变参数)可采用在保密条件下预先产生并存储的位模式进行认证,而对于经常变化的参数则应适时地产生位模式,再对此进行认证。
【问题1】(3分)
认证和数字签名技术都是确保数据真实性的措施,请分析这两者之间的区别。
【问题2】(5分)
口令是接收双方预先约定的秘密数据,它用来验证用户知道什么。口令验证简单易行,因此口令验证是目前应用最为广泛的身份认证方法之一。在计算机系统中,操作系统、网络、数据库都采用了口令验证。在一些简单的系统中,用户的口令以口令表的形式存储。当用户要访问系统时,系统要求用户提供其口令,系统将用户提供的口令与口令表中存储的相应用户的口令进行比较,若相等则确认用户身份有效,否则确认用户身份无效,担绝访问。请分析在上述口令验证机制中会存在哪些问题?(P154)(3分)列举4种改进的口令验证机制。(2分)
【问题3】(7分)
在网络环境中,攻击者可进行以下攻击:
(1)冒充发送方发送一条报文;
(2)冒充接收方发送收到或未收到报文的应答;
(3)插入、删除或修改报文内容;
(4)修改报文顺序(插入报文、删除报文或重排序)议及延时或重播报文。
因此,报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间性的真实性和完整性。也就是说,通信方能够确定:
(1)报文是由意定的发送方发出的;
(2) 报文传送给意定的接收方;
(3)报文内容有无篡改或发生错误;
(4) 报文按确定的次序接收。
报文认证的方式有报文源的认证、报文宿的认证及报文内容的认证,消息认证码MAC是属于哪种报文认证方式?(2分)其认证过程是怎样的?(5分)


相关试题

推荐文章
合作网站内容