补考福利信息安全技术试复习用.doc

一、解释下列术语或缩略语（10分）1.IP-VPN2.防火墙3.一次性口令认证4.5. 信息安全PDRIATF鉴别交换机制PKIPMICA公钥环私钥环NIDSHIDS二、判断题（10分，判断下列表述是否有误，如果错误，请解释原因）6.客户端访问某Web网站时，Web网站能够向客户端出示自己的证书，所以实现了客户端对Web网站的身份认证。7.IP-VPN中采用IP协议作为隧道协议封装上层数据。8.S/KEY系统中实现的身份认证是单向认证，不能保证认证服务器的真实性。9.强制访问控制比自主访问控制安全性更高，所以自主访问控制会逐步被淘汰。10.应用代理防火墙需要针对每一种应用层协议设置对应的代理程序，而且处理速度比包过滤防火墙慢。ISO7498-2定义的网络安全体系结构中，定义了5种安全服务，8种安全机制，每一种服务可以由多种机制实现，每一种机制都能够实现多种服务。站点A拥有B公钥证书，且证书验证成功，则A可用B证书中的公钥加密传输共享密钥。身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程，所以验证者一定要事先知道示证者的身份信息。S/KEY身份认证系统没有实现双向认证，所以会遭受小数攻击。RSA SecurID利用时间作为动态变化因素，建立一次性口令认证机制。证书是由证书中心CA签发的，所以只要证书中的签名验证成功，则可证明证书中的公钥是真实的。当证书有效时间到期时，PKI需要撤销该证书。CA为用户签发的公钥证书，既可用于验证签名，也可用于加密信息。PKI用于管理公钥证书，所以只提供实体认证、消息认证功能。哈希函数H(x)，输入值X每发生1个bit变化，都会引起哈希值的变化，所以可将哈希函数直接作为消息完整性验证的方法。三、简答题（16分）11. Kerberos系统对用户进行身份认证，是基于共享密钥认证，还是基于公钥实现认证？如果是前者，用户与认证服务器之间如何建立共享密钥？如果是后者，简述认证服务器对用户认证的过程。 12.异常检测技术是一种重要的检测分析技术，简述其工作原理，并分析它的优缺点。13.基于角色访问控制中，在主体和客体间引入“角色”的作用是什么？14.PKI中X.509数字证书包括哪些主要内容。试从时间角度分析PDR技术体系对信息系统安全的防御能力。身份认证的实现途径有哪些？某次网上银行电子交易中通过“U盾”（电子钥匙）验证用户身份，试分析该认证过程中采用了哪些实现途径？如何利用强制访问控制策略阻止特洛伊木马攻击？分析属性证书与公钥证书分离的原因。四、分析运用题（64分）15.某用户C通过浏览器访问Web服务器S，可信CA分别为C、S颁发了公钥证书CertKpc，CertKps，Kpc、Kps分别表示C、S的RSA公钥，C、S分别安全地持有对应的私钥Krc、Krs。C、S均支持AES、SHA、RSA算法，并可生成密码算法所需的密钥。现在C向S发送请求信息M，请根据已给条件为下列安全需求提供防护措施或方法。（1）C期望保护信息M的机密性，并且能够防止他人篡改，假设C与S已经共享密钥Kab，请设计一种方法保护M传输。（2）假设共享密钥Kab由C生成并交给S，利用公钥证书设计一种密钥分发方案保护Kab的机密性。（3）当S收到共享密钥Kab时，期望能够验证Kab确实是C发送且传输过程中未被篡改，请给出方案保护Kab的完整性。（4）假设S的公钥Kps只能用于验证签名，如何利用公钥证书CertKps保护共享密钥Kab安全地由C发给S。17.如图1所示，单位X包括：具有VPN功能的主机A、主机B、具有防火墙和VPN功能的网关GW1，单位X的内部子网地址是私有地址（即该地址作为目标地址的话在Internet上无法路由）。单位X的下级单位Y包括：具有VPN功能的主机C，主机D、E，Web服务器F，具有包过滤防火墙和VPN功能的网关GW2，单位Y的内部子网地址也是私有地址。远程客户端Z支持VPN功能。这些设备的IP配置如图所示，VPN选择IPSec VPN。 （1）什么是IP-VPN，其基本特征有哪些？ （2）该部署图中包含了VPN的哪些应用模式？ （3）安全策略规定：禁止外部地址冒充内部地址穿透防火墙；允许Internet上主机访问单位Y的Web服务器F，请给出防火墙GW2的访问控制规则。 （4）如果主机C被植入病毒程序，该病毒将主机C中重要资料通过某应用程序上传到服务器F上，能否通过设置GW2包过滤规则进行控制？如果可以，给出访问控制规则；如果不可以，有什么其它方法进行控制。（5）针对Web服务器F面临的SYN-Flood拒绝服务攻击(发送大量伪造的TCP连接请求，使得服务器资源耗尽)，单位Y计划部署Snort系统进行检测，它采用什么检测技术，如何检查出该攻击？（6）如果检测到该攻击，如何更改防火墙GW2的规则以阻止攻击？ 图1 某单位X的网络部署图Kerberos认证协议流程如上图所示，协议报文1-6，C为客户端，AS为认证服务器，TGS为票据授权服务器，V为应用系统。试分析：（1）AS为C签发的身份票据Tickettgs的作用是什么，为什么用Ktgs加密，票据中的TS2和Lifetime2在安全性上有什么作用？（2）TGS如何为C和V建立共享密钥？（3）如果C能够正确向V提交Ticketv，说明C已经获得了TGS签发的服务票据，为什么在消息5中还要附加Authenticatorcv?该附加信息可否省略，试分析原因。（4）Kerberos认证协议能否实现对应用系统的认证？如果可以，试简述过程；如果不可以，试增加对应用系统认证的消息报文。某单位通过PKI建立其信任体系，CA之间关系如下图所示。CA3、CA5分别为用户A、B签发公钥证书， 现在B向A提交了一份工作报告M，并通过RSA算法、SHA-1算法对报告进行数字签名，签名值为Sign。（1）试给出CA3为用户A签发的证书CertA的数据结构。版本号序列号签名算法标识颁发者主体扩展域签名算法（2）设计用户A验证工作报告M完整性的流程。（3）在验证证书之前，应首先检查证书是否超期、是否被撤销等，如何检查主机或网关IP地址A192.168.0.2B192.168.0.3C192.168.1.2D192.168.1.3VPN1外网卡25.20.200.100内网卡192.168.0.1VPN2外网卡25.20.200.200内网卡192.168.1.1（1）分析序列号的作用，如何发现攻击者篡改序列号？（2）分析增加填充数据的原因。（3）请指出该报文中哪些字段被加密，哪些字段可被认证？（4）如果（5）VPN1与VPN2之间通过ESP隧道保证IP的机密性，现在主机AC之间希望实现安全互联，不希望它们之间的数据包信息被B、D获取。试利用给出一种安全方案满足上述安全需求。（6）假设A向C发送某一个IP包，试给出由A经过VPN1、VPN2到C过程中IP包组成结构的变化情况。某终端安装Windows 7（Windows NT内核）操作系统，同时有两个用户Administrator（高级管理员）、User1（普通用户）登录，访问文件File1，用户登录操作系统成功后，会被分配一个访问令牌，该访问令牌中包括用户SID、组SID、默认DACL和特权等信息。文件的访问控制列表、用户访问令牌如下所示。（1）根据TCSEC标准，该终端操作系统达到哪级安全标准，可实现哪些基本安全机制？（2）用户Administrator、User1登录后希望写（Write）文件File1，依据已定义的安全策略，分析访问能否成功，并简要分析原因。（3）在某次操作中，用户User1试图修改系统当前时间失败，Administrator通过管理工具为用户User1分配修改系统时间的特权信息。试判断此时User1再次修改系统时间能否成功，并分析原因。（4）管理员Administrator希望对各用户访问文件File1的过程进行记录，应该在操作系统中如何设置，请给出设置方案的主要步骤。两终端A和B期望通过互联网传递文件F，根据下列条件设计一个文件安全传输软件的方案。软件支持AES、RSA算法和SHA-1哈希算法，且具备生成密码算法所需密钥的能力。（1）假设A已经拥有B的RSA公钥（可用于信息加密），要求防止文件从A发送到B的过程中被窃取， A、B端软件应对文件F实施哪