信息安全期末问题和答案

1.在认证过程中，标识和鉴别各自解决什么问题？标识。标识用来代表实体的身份，确保实体在系统中的惟一性和可辨认性，一般用名称和标识符(ID)来表示。鉴别。鉴别是指对实体身份的真实性进行识别。2．在认证过程中，鉴别信息有哪几种类型？(1)所知道的秘密，如用户口令、PIN(PersonalIdentificationNumber)。(2)所拥有的实物，一般是不可伪造的设备，如智能卡、磁卡等。(3)生物特征信息，如指纹、声音、视网膜等。(4)上下文信息，就是认证实体所处的环境信息、地理位置、时间等，例如IP地址等。3．简述Kerberos的基本工作步骤。第一步，Kerberos客户向认证服务器AS申请票据TGT第二步，当认证服务器AS收到Kerberos客户发来的消息后，AS在认证数据库检查、确认Kerberos客户，并产生一个会话密钥，同时使用Kerberos客户的秘密密钥对会话密钥进行加密，然后生成一个票据TGT。TGT由Kerberos客户实体名、地址、时间戳、限制时间及会话密钥组成。AS生成TGT后，把TGT发送给Kerberos客户。第三步，Kerberos客户收到AS发来的TGT后，使用自己的秘密密钥进行解密，得到会话密钥，然后利用解密的信息重新构造认证请求单，向TGS发送请求，申请访问应用服务器AP所需要的票据(Ticket)。第四步，TGS使用其秘密密钥对TGT进行解密，同时使用TGT中的会话密钥对Kerberos客户的请求认证单信息进行解密，并将解密后的认证单信息与TGT中的信息进行比较。然后，TGS生成新的会话密钥以供Kerberos客户和应用服务器使用，并利用各自的秘密密钥加密会话密钥。最后，生成一个票据，它由Kerberos客户实体名、地址、时间戳、限制时间、会话密钥组成。TGS生成TGT完毕后，把TGT发送给Kerberos客户。第五步，Kerberos客户收到TGS的响应后，将获得与应用服务器共享的会话密钥。与此同时，Kerberos客户生成一个新的用于访问应用服务器的认证单，并用与应用服务器共享的会话密钥加密，然后与TGS发送来的票据一并传送到应用服务器。第六步，应用服务器确认请求。4．认证技术方法有哪些？口令认证技术智能卡技术基于生物特征认证5．认证类型有哪几种？分别进行简述。单向认证单向认证是指在网络服务认证过程中，服务方对客户方进行单方面的鉴别，而客户方不需要识别服务方的身份。双向认证双向认证是指在网络服务认证过程中，不仅服务方对客户方要进行鉴别，而且客户方也要鉴别服务方的身份。第三方认证第三方认证是指在网络服务认证过程中，服务方和客户方的身份鉴别通过第三方来实现。6．试分析口令认证的安全性，并提出安全解决方法。口令认证的优点就是简单，易于实现。但是，口令认证的不足之处是容易受到攻击，主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此，要实现口令认证的安全，应至少做到以下几点：*口令信息要安全加密存储；*口令信息要安全传输；*口令认证协议要抵抗攻击，符合安全协议设计要求；*口令选择要求做到避免弱口令。针对口令猜测攻击，一般要求用户选择复杂的口令，即口令的安全选取至少符合下列要求：*口令的长度应至少为8个字符以上；*口令字符应由大小写英文字母、数字、特殊字符组合而成；*口令不能与帐号名称相同；*不能用生日、电话号码、手机号、门牌号等作为口令；*所选口令不能包含在黑客攻击的字典库中。同时，在口令认证管理上，应采取以下防范措施：(1)限制帐号登录次数，建议为3次。(2)禁止共享帐号和口令。(3)口令文件应加密存放，并只有超级用户才能读取。(4)禁止以明文形式在网络上传递口令。(5)口令应有时效机制，保证经常更改，至少两周更新一次，并禁止重用口令。(6)对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。(7)必须更换系统默认口令，避免使用默认口令。7．公钥基础设施(PKI)是什么？PKI由哪几个基本功能组成?公钥基础设施就是有关创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施，通常简称为PKI(PublicKeyInfrastructure)。一般来说，PKI涉及到多个实体之间的协商和操作，主要实体包括CA、RA、终端实体(EndEntity)、客户、目录服务器。8．以Linux系统为例，试分析认证机制和实现技术方法。Linux系统是一个多用户、多进程的操作系统，并且，它提供了众多的系统和网络服务给用户使用。因此，从应用角度来说，它不可避免地需要对大量的应用及其用户进行安全认证，只有通过了安全认证的用户才能合理、合法地使用相应的系统和网络服务。PAM机制是一个非常成熟的安全认证机制，可以为Linux多种应用提供安全、可靠的认证服务。嵌入式认证模块(PAM)机制采用模块化设计和插件功能，使得我们可以轻易地在应用程序中插入新的鉴别模块或替换原先的组件，而不必对应用程序做任何修改，从而使软件的定制、维持和升级更加轻松，因为鉴别机制与应用程序之间相对独立。应用程序可以通过PAMAPI方便的使用PAM提供的各种鉴别功能，而不必了解太多的底层细节。此外，PAM的易用性也较强，主要表现在它对上层屏蔽了鉴别的具体细节，所以用户不必被迫学习各种各样的鉴别方式，也不必记住多个口令;又由于它实现了多鉴别机制的集成问题，所以单个程序可以轻易集成多种鉴别机制如Kerberos鉴别机制和Diffie-Hellman鉴别机制等，但用户仍可以用同一个口令登录而感觉不到采取了各种不同鉴别方法。9．试分析Windows2000系统认证机制。Windows2000是目前应用广泛的操作系统,核心技术之一是它的认证机制,Windows环境中,操作系统对用户身份的认证分为两种:①交互式登录,②非交互式登录。10．以Apache系统为例，分析Web站点的认证机制和实现方法。1．配置指令Apache实现访问控制的配置指令包括如下三种order指令：用于指定执行允许访问控制规则或者拒绝访问控制规则的顺序。allow指令：指明允许访问的地址或地址序列。如allowfromall指令表明允许所有IP来的访问请求。deny指令：指明禁止访问的地址或地址序列。如denyfromall指令表明禁止所有IP来的访问请求。2.使用.htaccess文件进行访问控制(1)启用并控制对.htaccess文件的使用(2)在.htaccess文件中使用指令进行控制11．如何利用认证技术解决网站假冒攻击？利用Kerberos，Kerberos的基本原理是利用对称密码技术，使用可信的第三方来认证服务器的用户身份，并在用户和服务器之间建立安全信道。Kerberos认证系统可以用来对网络上通信的实体进行相互身份认证，并且能够阻止旁听和重放等攻击。