【补考福利】信息安全技术试卷-复习用卷

1、一、 解释以下术语或缩略语10分1.IP-VPN2. 防火墙3. 一次性口令认证4.5.信息平安PDRIATF鉴别交换机制PKIPMICA公钥环私钥环NIDSHIDS二、判断题10分，判断以下表述是否有误，如果错误，请解释原因4. 客户端访问某Web网站时，Web网站能够向客户端岀示自己的证书，所以实现了客户端对Web网站的身份认证。7.IP-VPN中采用IP协议作为隧道协议封装上层数据。8.S/KEY系统中实现的身份认证是单向认证，不能保证认证效劳器的真实性。9. 强制访问控制比自主访问控制平安性更高，所以自主访问控制会逐步被淘汰。10. 应用代理防火墙需要针对每一种应用层协议设置对应的代理

2、程序，而且处理速度比包过滤防火墙 慢。ISO7498-2定义的网络平安体系结构中，定义了 5种平安效劳，8种平安机制，每一种效劳可以由多种机制实现，每一种机制都能够实现多种效劳。站点A拥有B公钥证书，且证书验证成功，那么A可用B证书中的公钥加密传输共享密钥。身份认证是指证实主体的真实身份与其所声称的身份是否相符的过程，所以验证者一定要事先知道示 证者的身份信息。S/KEY身份认证系统没有实现双向认证，所以会遭受小数攻击。RSA SecurID利用时间作为动态变化因素，建立一次性口令认证机制。证书是由证书中心 CA签发的，所以只要证书中的签名验证成功，那么可证明证书中的公钥是真实的。当证书有效时

3、间到期时，PKI需要撤销该证书。CA为用户签发的公钥证书，既可用于验证签名，也可用于加密信息。PKI用于管理公钥证书，所以只提供实体认证、消息认证功能。哈希函数Hx，输入值X每发生1个bit变化，都会引起哈希值的变化，所以可将哈希函数直接作为消息完整性验证的方法。三、简答题16分11. Kerberos系统对用户进行身份认证，是基于共享密钥认证，还是基于公钥实现认证？如果是前者,用户与认证效劳器之间如何建立共享密钥？如果是后者，简述认证效劳器对用户认证的过程。12. 异常检测技术是一种重要的检测分析技术，简述其工作原理，并分析它的优缺点。13. 基于角色访问控制中，在主体和客体间引入“角色的作

4、用是什么？14. PKI中X.509数字证书包括哪些主要内容。试从时间角度分析PDR技术体系对信息系统平安的防御能力。身份认证的实现途径有哪些？某次网上银行电子交易中通过“U盾电子钥匙验证用户身份，试分析该认证过程中采用了哪些实现途径？如何利用强制访问控制策略阻止特洛伊木马攻击？分析属性证书与公钥证书别离的原因。四、分析运用题64分15. 某用户C通过浏览器访问 Web效劳器S,可信CA分别为C、S颁发了公钥证书 CertKpc ,CertKps， Kpc、Kps分别表示C、S的RSA公钥，C、S分别平安地持有对应的私钥Krc、Krs。C、S均支持AES SHARSA算法，并可生成密码算法所需

5、的密钥。现在C向S发送请求信息 M,请根据已给条件为以下平安需求提供防护措施或方法。1 C期望保护信息 M的机密性，并且能够防止他人篡改，假设C与S已经共享密钥 Kab，请设计一 种方法保护M传输。2 假设共享密钥 Kab由C生成并交给S,利用公钥证书设计一种密钥分发方案保护Kab的机密性。3 当S收到共享密钥 Kab时，期望能够验证 Kab确实是C发送且传输过程中未被篡改，请给岀方 案保护Kab的完整性。4 假设S的公钥Kps只能用于验证签名，如何利用公钥证书 CertKps保护共享密钥 Kab平安地由 C发给So17.如图1所示，单位 X包括：具有 VPN功能的主机 A、主机B、具有防火墙

6、和 VPN功能的网关 GW1 单位X的内部子网地址是私有地址即该地址作为目标地址的话在In ter net 上无法路由。单位X的下级单位丫包括：具有 VPN功能的主机C,主机D、E, Web效劳器F,具有包过滤防火墙和VPN功能的网关 GW2单位丫的内部子网地址也是私有地址。远程客户端Z支持VPN功能。这些设备的IP配置如下图，VPN选择 IPSec VPN o1什么是IP-VPN，其根本特征有哪些？2 该部署图中包含了 VPN的哪些应用模式？3 平安策略规定：禁止外部地址冒充内部地址穿透防火墙；允许In ternet 上主机访问单位 丫的Web 效劳器F,请给岀防火墙 GW2的访问控制规那么

7、。4 如果主机C被植入病毒程序，该病毒将主机C中重要资料通过某应用程序上传到效劳器F上，能否通过设置 GW2包过滤规那么进行控制？如果可以，给岀访问控制规那么；如果不可以，有什么其它方法进行控制。5 针对 Web效劳器F面临的SYN-Flood拒绝效劳攻击发送大量伪造的 TCP连接请求，使得效劳器 资源耗尽，单位丫方案部署Snort系统进行检测，它采用什么检测技术，如何检查岀该攻击？6 如果检测到该攻击，如何更改防火墙GW2的规那么以阻止攻击？外外X外外外外 外外X外外外外外YIn ternetJjr外外外外外ZIP:25.20.200.2外外 1 外 外外 2外 外外 3外 GW2外外外夕卜

8、外!外外2J外外3图1某单位X的网络部署图KorberwsL C-AS: IDc2 AS-C: E心區飞 TicketJD TS： Lijetime：3. C-TGS:Tickeus.4utlieimcatorc4. TGS-C： &諒耳|7k*盛 |囚対75. CV： Ticket Authenticator6. V-C:1J7k辰如之柚屁/|Z氏IHDJQ胡理戈腔创叱37M创产耳,K/|ZZCD亡|/D州75扌胚旌疔側宀 Authenticator EIDc-iDc闻 Auihenticator EIDcUDc |7SKerberos认证协议流程如上图所示，协议报文1-6, C为客户端，A

9、S为认证效劳器，TGS为票据授权效劳器，V为应用系统。试分析：1 AS为C签发的身份票据 Tickets的作用是什么，为什么用Ktgs加密，票据中的TS2和Lifetime2 在平安性上有什么作用？2TGS如何为C和V建立共享密钥？3 如果C能够正确向V提交Ticketv，说明C已经获得了 TGS签发的效劳票据，为什么在消息 5中还要附加 Authenticatorev?该附加信息可否省略，试分析原因。4Kerberos认证协议能否实现对应用系统的认证？如果可以，试简述过程；如果不可以，试 增加对应用系统认证的消息报文。CA3、CA5分别为用户A、B签发某单位通过PKI建立其信任体系，CA之间

10、关系如以下图所示。根CACA20162432CVPN2BD(2)设计用户A验证工作报告 M完整性的流程。CA1CA3CA4CA5用户A用户B(3 )在验证证书之前，应首先检查证书是否超期、是否被撤销等，如何检查SPI序列号ESF载荷A:VFN1公钥证书，现在B向A提交了一份工作报告 M,并通过RSA算法、SHA-1算法对报告进行数字签名，签名值为Sign。(1)试给出CA3为用户A签发的证书CertA的数据结构。填充长度下一个头认证数据版本号序列号签名算法标识 颁发者 主体扩展域签名算法主机或网关IP地址ABCDVPN1外网卡 内网卡 VPN2外网卡 内网卡 (1) 分析序列号的作用，如何发现

11、攻击者篡改序列号？(2) 分析增加填充数据的原因。(3) 请指出该报文中哪些字段被加密，哪些字段可被认证？(4) 如果(5) VPN1与VPN2之间通过ESP隧道保证IP的机密性，现在主机AC之间希望实现平安互联，不希望它们之间的数据包信息被B、 D获取。试利用给出一种平安方案满足上述平安需求。(6) 假设A向C发送某一个IP包，试给出由A经过VPN1、VPN2到C过程中IP包组成结构 的变化情况。某终端安装 Windows 7 ( Windows NT内核)操作系统，同时有两个用户Administrator (高级管理员)、User1 (普通用户)登录，访问文件 File1，用户登录操作系统

12、成功后，会被分配一个访问令牌，该 访问令牌中包括用户 SID、组SID、默认DACL和特权等信息。 文件的访问控制列表、用户访问令牌如下 所示。(1) 根据TCSEC标准，该终端操作系统到达哪级平安标准，可实现哪些根本平安机制？(2) 用户Administrator、User1登录后希望写(Write)文件File1，依据已定义的平安策略，分析 访问能否成功，并简要分析原因。(3) 在某次操作中，用户User1试图修改系统当前时间失败，Administrator通过管理工具为用户User1分配修改系统时间的特权信息。试判断此时User1再次修改系统时间能否成功，并分析原因。(4) 管理员Administrator希望对各用户访问文件File1的过程进行记录，应该在操作系统中如何设 置，请给出设置方案的主要步骤。两终端A和B期望通过互联网传递文件F，根据以下条件设计一个文件平安传输软件的方案。软件支持AES RSA算法和SHA-1哈希算法，且具备生成密码算法所需密钥的能力。(1) 假设A已经拥有B的RSA公钥(可用于信息加密)，要求防止文件从 A发送到B的过程中被窃取, A、B端软件