专业信息安全工程师网站|培训机构|服务商(2021信息安全工程师学习QQ群:327677606,客服QQ:800184589)

软题库 培训课程
当前位置:信管网 >> 信息安全工程师 >> 每日一练 >> 文章内容
信息安全工程师案例分析每日一练试题(2020/12/21)
来源:信管网 2020年12月22日 【所有评论 分享到微信

信息安全工程师案例分析当天每日一练试题地址:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总:www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题(2020/12/21)在线测试:www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/12/21

点击查看:更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容(2020/12/21)

阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
认证又称鉴别或确认,它是证实某事是否名副其实或是否有效的一个过程。认证和加密的区别在于:加密用以确保数据的保密'性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
认证的基本思想是通过验证称谓者(人或事)的一个或多个参数的真实性和有效性,来达到验证称谓者是否名副其实的目的。这样,就要求验证的参数和被认证的对象之间存在严格的对应关系,理想情况下这种对应关系应是唯一的。其基本原理如下图所示。
                                       
认证原理

认证系统常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等。对于那些能在长时间内保持不变的参数(非时变参数)可采用在保密条件下预先产生并存储的位模式进行认证,而对于经常变化的参数则应适时地产生位模式,再对此进行认证。
【问题1】(3分)
认证和数字签名技术都是确保数据真实性的措施,请分析这两者之间的区别。
【问题2】(5分)
口令是接收双方预先约定的秘密数据,它用来验证用户知道什么。口令验证简单易行,因此口令验证是目前应用最为广泛的身份认证方法之一。在计算机系统中,操作系统、网络、数据库都采用了口令验证。在一些简单的系统中,用户的口令以口令表的形式存储。当用户要访问系统时,系统要求用户提供其口令,系统将用户提供的口令与口令表中存储的相应用户的口令进行比较,若相等则确认用户身份有效,否则确认用户身份无效,担绝访问。请分析在上述口令验证机制中会存在哪些问题?(3分)列举4种改进的口令验证机制。(2分)
【问题3】(7分)
在网络环境中,攻击者可进行以下攻击:
(1)冒充发送方发送一条报文;
(2)冒充接收方发送收到或未收到报文的应答;
(3)插入、删除或修改报文内容;
(4)修改报文顺序(插入报文、删除报文或重排序)议及延时或重播报文。
因此,报文认证必须使通信方能够验证每份报文的发送方、接收方、内容和时间性的真实性和完整性。也就是说,通信方能够确定:
(1)报文是由意定的发送方发出的;
(2) 报文传送给意定的接收方;
(3)报文内容有无篡改或发生错误;
(4) 报文按确定的次序接收。
报文认证的方式有报文源的认证、报文宿的认证及报文内容的认证,消息认证码MAC是属于哪种报文认证方式?(2分)其认证过程是怎样的?(5分)

信管网试题答案与解析:www.cnitpm.com/st/2806013036.html

信管网考友试题答案分享:

信管网cnitpm439753710:
【1】认证是基于收发双方保密的数据来验证对象的真实性;数字签名用来验证的数据是公开的 认证允许收发双发互相验证其真实性,不允许第三方;数字签名允许收发双方及第三方共同参与 数字签名具有发送方不能抵赖,接收方不能伪造,且具有公证人前的能力;认证则不具备 【2】攻击者可以从口令表中获取用户口令;口令在传输线路上以明文形式传输,易被攻击者截获;用户和系统的地位不平等,这里只有系统强制性的验证用户的身份,而用户无法验证系统的身份改进口令验证机制;改进措施:1、利用单向函数加密口令2、利用数字签名方法验证口令4、口令的双向验证5、一次性口令问题 【3】消息认证码mac是属于报文内容的认证

信管网cnitpm439753710:
【1】认证是基于收发双方保密的数据来验证对象的真实性;数字签名用来验证的数据是公开的 认证允许收发双发互相验证其真实性,不允许第三方;数字签名允许收发双方及第三方共同参与 数字签名具有发送方不能抵赖,接收方不能伪造,且具有公证人前的能力;认证则不具备 【2】口令是以明文形式存储 【3】消息认证码mac是属于报文源的认证

信管网cnitpm57427373058:
认证是通过共享保密密钥进行身份认证,而数字签名用于验证的密钥是公开的。<br>认证仅允许认证双方参与而不允许第三者参与。数字签名允许双方第三方参与。<br>数字签名具有发送者不可抵赖,接收者不可伪造和公证人面前解决纠纷的能力,而认证不一定拥有<br>1.用户的口令以明文的方式储存在系统列表中,系统管理员可以查看,攻击者可以通过系统漏洞攻击获取<br>2,用户在传输的过程中口令可能被攻击者截取<br>3,系统和用户的认证地位是不对等的,系统强制对用户进行验证,而用户不能验证系统身份<br>改进方法:1.使用单向函数加密口令2.使用一次性口令,3使用双向验证机制<br>内容认证

信管网cnitpm1475296114:
问题1 认证是对消息收发双方的身份的真实性和消息的完整性进行验证,数字签名是对消息的发送的不可否认性进行验证。 认证是基于消息收发双方共享的保密数据进行验证,它无法防止消息的否认和伪造,不允许第三方验证,不能进行公证。数字签名是由非对称算法进行验证,可以防止消息的否认和伪造,可以允许第三方验证,可以进行公证。 问题2 存在的问题主要有可能会遭到重放攻击,口令可能被泄露。改进的方案有,加入动态验证码、随机数等防重放攻击的参数。

信管网cnitpm439753710:
【问题1】两者的区别:认证常用的参数有口令、标识符、密钥、信物、智能卡、指纹、视网纹等;数字签字使用的为电子签名。 【问题2】弱口令,易被破解,导致非法用户验证成功从而进行访问;①增强口令复杂度、 【问题3】消息认证码mac属于报文源的认证;

信管网试题答案与解析:www.cnitpm.com/st/2806013036.html
扫码关注公众号

温馨提示:因考试政策、内容不断变化与调整,信管网网站提供的以上信息仅供参考,如有异议,请以权威部门公布的内容为准!

信管网致力于为广大信管从业人员、爱好者、大学生提供专业、高质量的课程和服务,解决其考试证书、技能提升和就业的需求。

信管网软考课程由信管网依托10年专业软考教研倾力打造,官方教材参编作者和资深讲师坐镇,通过深研历年考试出题规律与考试大纲,深挖核心知识与高频考点,为学员考试保驾护航。面授、直播&录播,多种班型灵活学习,满足不同学员考证需求,降低课程学习难度,使学习效果事半功倍。

相关内容

发表评论  查看完整评论  

推荐文章