阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 ?【说明】 用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据 的安全保密极及其重要。以下过程给出了实现用户B对用户A身份的认证过程。 ?A->B:A?2.B->A:{B,Nb}Pk(A)?3.A->B:h(Nb) ? 此处A和B是认证的实体,Nb是一个随机值,pk(A)表示实体A的公钥,{B,Nb}pk(A)表示用A的公钥对消息B进行加密处理,h(Nb)表示用哈希算法h对Nb计算哈希值。 【问题1】(5分) 认证与加密有哪些区别?【问题2】(6分) ?(1)包含在消息2中的“Nb”起什么作用? ?(2)“Nb“的选择应满足什么条件? 【问题3】(3分) ? 为什么消息3中的Nb要计算哈希值? 【问题4】(4分) ?上述协议存在什么安全缺陷?请给出相应的的解决思路。
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。 ?【说明】 用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据 的安全保密极及其重要。以下过程给出了实现用户B对用户A身份的认证过程。 ?
A->B:A
?2.B->A:{B,Nb}Pk(A)?3.A->B:h(Nb) ? 此处A和B是认证的实体,Nb是一个随机值,pk(A)表示实体A的公钥,{B,Nb}pk(A)表示用A的公钥对消息B进行加密处理,h(Nb)表示用哈希算法h对Nb计算哈希值。 【问题1】(5分) 认证与加密有哪些区别?【问题2】(6分) ?(1)包含在消息2中的“Nb”起什么作用? ?(2)“Nb“的选择应满足什么条件? 【问题3】(3分) ? 为什么消息3中的Nb要计算哈希值? 【问题4】(4分) ?上述协议存在什么安全缺陷?请给出相应的的解决思路。
A->B:A
?2.B->A:{B,Nb}Pk(A)?3.A->B:h(Nb) ? 此处A和B是认证的实体,Nb是一个随机值,pk(A)表示实体A的公钥,{B,Nb}pk(A)表示用A的公钥对消息B进行加密处理,h(Nb)表示用哈希算法h对Nb计算哈希值。 【问题1】(5分) 认证与加密有哪些区别?【问题2】(6分) ?(1)包含在消息2中的“Nb”起什么作用? ?(2)“Nb“的选择应满足什么条件? 【问题3】(3分) ? 为什么消息3中的Nb要计算哈希值? 【问题4】(4分) ?上述协议存在什么安全缺陷?请给出相应的的解决思路。
参考解析
解析:【问题1】加密用于确保数据的机密性,阻止信息泄露;
认证用于确保报文发送者和接收者身份的真实性以及报文的完整性,阻止如冒充、篡改等攻击。【问题2】(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。
(2)应具备随机性,不易被猜测。【问题3】哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。
【问题4】攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。
解决方案:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行hash运算,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份被冒充。
认证用于确保报文发送者和接收者身份的真实性以及报文的完整性,阻止如冒充、篡改等攻击。【问题2】(1)Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。
(2)应具备随机性,不易被猜测。【问题3】哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。
【问题4】攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。
解决方案:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行hash运算,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份被冒充。
相关考题:
阅读下列说明,回答问题1至问题4,将解答填入对应栏内。【说明】提高操作系统的安全性是保障计算机和网络安全的重要内容之一,回答与Windows Server 2008安全管理相关的问题。刚刚安装完成的Windows Server 2008存在安全漏洞,应该如何解决?
认真阅读下列有关移动用户身份认证技术的说明,根据要求回答问题1至问题4。【说明】随着无线局域网技术、3G移动通信技术的不断发展,网络资源得到了更广泛的利用。由于移动环境下的通信链路比较容易受到恶意攻击或窃听,因此在移动节点与本地代理1之间交换的登录信息需要进行较强的安全认证。图5-15示意了面向3G移动电话的电子商务网站中对用户身份进行认证的过程。由于面向3G移动电话的电子商务网站看不到用户进行销售服务,因此,对用户身份进行认证是必要。通常,在Internet中进行电子签名的认证过程如下:①文件的发送者将要发送的文件生成(1);②用发送者的(2)对摘要加密后,将其添加到文件中;③接收方利用发送者的(3)对接收到的报文进行解密,得到的(4);④接着将此摘要与所接收文件的原始摘要进行比较,从而验证此文件的电子签名是否真实、可靠。随着利用移动电话进行商务活动的普及,要求移动电话必须具备移动认证功能。通常移动身份认证分为分阶段的身份认证模型和端到端的身份认证模型。对于图5-15所示的用户身份的认证过程属于(5)身份认证模型。
阅读下列说明,回答问题1至问题4,将解答填入答题纸的对应栏内。[说明]下面是用小王用Dreamweaver MX编写的一个网页,如图12-2所示。从这个图片上,我们可以看出小王使用了Dreamweaver MX的哪些功能?
阅读以下说明,回答问题1至问题4,将解答填入对应的解答栏内。[说明]在Windows Server 2003系统中,经常采用系统自带组件进行邮件服务器的配置。某邮件服务器部分信息如表2-1所示。要求采用域用户来代替独立的用户,通过组策略赋予或限制一定的用户使用某应用系统或数据资源的权限。图2-1是邮件服务器配置中POP3服务身份认证和邮件域名配置窗口;图2-2是POP3服务常规属性窗口。客户端电子邮件服务器配置窗口如图2-3所示。邮件服务器的配置有以下几个步骤,正确的安装顺序为:(1)。A.设置邮件服务器端口、邮箱根目录、认证方式B.邮件服务器中添加域、用户C.在邮件客户端软件中配置用户邮箱D.利用“配置您的服务器向导”安装相关组件
阅读下面的说明,回答问题1~问题4,将解答填入答题纸对应的解答栏内。[说明]阅读以下说明,回答问题1~问题4,将解答填入答题纸对应的解答栏内。windows Server 2003是一个多任务多用户的操作系统,能够以集中或分布的方式实现各种应用服务器角色,是目前应用比较广的操作系统之一。Windows内置许多应用服务功能,将下表中(1)~(5)处空缺的服务器名称填写在答题纸对应的解答栏内。(1)
“一站式”电子政务应用系统的实现流程是( )。A.身份认证、服务请求、服务调度及处理B.用户登录、身份认证、服务调度及处理C.身份认证、安全认证、服务调度及处理D.用户登录、服务请求、服务调度及处理
试题四(共15 分)阅读以下说明,回答问题1至问题4,将解答填入答题纸对应的解答栏内。【说明】在Windows Server 2003系统中,用户分为本地用户和域用户,本地用户的安全策略用“本地安全策略”设置,域用户的安全策略通过活动目录管理。【问题1】(2 分)在“本地安全设置”中启用了“密码必须符合复杂性要求”功能,如图 4-1 所示,则用户“ABC”可以采用的密码是 (1) 。(1)备选答案:A.ABC007 B.deE#3 C.Test123 D.adsjfs
阅读下列说明和图,回答问题1至问题2,将解答填入答题纸的对应栏内。【说明】访问控制是对信息系统资源进行保护的重要措施,适当的访问控制能够阻止未经授权的用户有意或者无意地获取资源。访问控制一般是在操作系统的控制下,按照事先确定的规则决定是否允许用户对资源的访问。图2-1给出了某系统对客体traceroute.mpg实施的访问控制规则。【问题1】针对信息系统的访问控制包含哪些基本要素?【问题2】分别写出图2-1中用户Administrator对应三种访问控制实现方法,即能力表、访问控制表、访问控制矩阵下的访问控制规则。
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。【说明】用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。1.B–B:A2.B–A:{B,Nb}pk(A)3.A–B:b(Nb)此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。【问题1】认证和加密有哪些区别?【问题2】(1)包含在消息2中的“Nb”起什么作用?(2)“Nb”的选择应满足什么条件?【问题3】为什么消息3中的Nb要计算哈希值?【问题4】上述协议存在什么安全缺陷?请给出相应的解决思路。
阅读下列说明,回答问题l至问题3,将解答填入答题纸的对应栏内。【说明】某大型教育培训机构近期上线了在线网络学校系统,该系统拓扑结构如图4-1所示。企业信息中心目前拟对该系统用户认证机制进行详细的安全性测试,系统注册用户分为网校学员、教师及管理员三类,其中网校学员采用用户名/口令机制进行认证,教师及管理员采用基于公钥的认证机制。【问题1】(8分)为防止针对网校学员的口令攻击,请从口令的强度、传输存储及管理等方面,说明可采取哪些安全防护措施。相应地,对于网校学员所采用的口令认证机制进行测试时,请说明从用户名称及用户口令两个方面开展测试时应包含哪些基本的测试点。【问题2】(6分)为提高系统认证环节安全性,系统在网校教师及管理员登录认证时引入了USB Key,请说明对公钥认证客户端进行安全测试时,USB Key的功能与性能测试应包含哪些基本的测试点。【问题3】(6分)系统证书服务器主要提供证书审核注册管理及证书认证两项功能,根据系统实际情况,目前只设置人员证书,请说明针对证书服务器的功能与性能测试应包含哪些基本的测试点。
阅读下列说明,回答问题1至问题2,将解答填入答题纸的对应栏内。[说明]某省政府根据整体战略规划部署,拟建设统一身份认证系统。该系统为用户提供注册、实名验证、身份鉴别等服务,实现可信注册、实名验证以及安全登录等功能,支撑政务服务的有序运行。完成开发任务后,项目进入系统测试阶段。[问题1](5分)请判断如下说法是否正确(填写在答题纸的对应栏内,正确的选项填写“√”,不正确的选项填写“×”)。(1)监理单位在测试阶段检查了承建单位是否按照设计中制定的规范与计划进行测试。(? )(2)监理单位组织进行了单元测试、集成测试,并取代了开发方的内部测试。(? )(3)可与客户和最终用户一同参与开发和评审测试准则。(? )(4)每当被测试软件或软件环境发生变化时,则在各有关的测试级别上适当进行回归测试。(? )(5)由软件开发小组兼职系统测试工作,计划和准备所需的测试用例和测试规程。(? )[问题2](5分)请简述系统测试阶段监理的主要活动。
阅读以下说明,回答问题1至问题2,将解答填入答题纸对应的解答栏内。【说明】某公司为推广洗涤新产品,需要进行用户体检调查。图4-1为调查表填写页面,表4-1所示为利用Microsoft Access创建的数据库,它将记录被调查用户的姓名、性别、年龄、了解产品方式和评价等信息。
阅读下列说明,回答问题1 和问题2,将解答填入答题纸的对应栏内。【说明】某公司用ASP+Access 数据库开发了学生管理系统,用户登录界面如图4-1 所示:【问题1】(每空1 分,共11 分)下面是该系统用户登录界面login.asp 的部分代码,其中验证码使用verycode.asp 文件生成。请根据题目说明,补充完成。 【问题2】(每空2 分,共4 分)下面是登录系统中check.asp 文件的部分代码,请根据login.asp 代码将其补充完整。 "&username&"用户名或密码错误,请重新输入!"else…省略…session("user_name")=request("usre_name")response. (13) "index.asp"end if…省略…%>
阅读以下说明,回答问题 1至问题 4,将解答填入答题纸对应的解答栏内。【说明】政府部门网络用户包括有线网络用户、无线网络用户和有线摄像头若干,组网拓扑如图 1-1 所示。访客通过无线网络接入互联网,不能访问办公网络及管理网络,摄像头只能跟DMZ区域服务器互访。
阅读下列说明,回答问题1和问题2,将解答写在答题纸的对应栏内。?【说明】在公钥体制中,每一用户 U 都有自己的公开密钥 PKu 和私钥 SKu 。如果任意两个用户 A 和 B 按以下方式通信:A 发给 B 消息 [EpKB (m),A] 。其中 Ek(m)代表用密钥 K 对消息 m 进行加密。B收到以后,自动向A返回消息【EPkA(m),B】,以使A 知道B确实收到消息m。【问题 1】 (4分)用户 C 怎样通过攻击手段获取用户 A 发送给用户 B 的消息 m。【问题 2】 (6 分)若通信格式变为:A 给 B 发消息:EPKB(ESKA(m),m ,A)B 给 A 发消息: EpKA(EsKN (m),m,B)这时的安全性如何?请分析 A,B 此时是如何相互认证并传递消息的。阅读下列说明,回答问题 1 至问题 4 ,将解答写在答题纸的对 应栏内。
阅读下列说明,回答问题1至问题5, 将解答填入答题纸的对应栏内。【说明】假设用户A和用户B为了互相验证对方的身份,设计了如下通信协议:其中:是随机数,是双方事先约定并共享的口令,“||”表示连接操作,f是哈希函数。【问题1】(2分)身份认征可以通过用户知道什么,用户有什么和用户的生理特征等方法来验证。请问上述通信协议是采用哪种方法实现的?【问题2】(2分)根据身份的互相验证需求,补充协议第3 步的空白内容【问题3】(2分)通常哈希函数f需要满足下列性质:单向性,抗弱碰撞性,抗强碰撞性,如果哈希函数具备:找到任何定满足f(x)=f(y)的偶对(x,y)在计算上是不可行的,请说明满足哪条性质。【问题4】(2分)上述协议不能防止重放攻击。以下哪种改进方式能使其防止重放攻击?(1)在发送消息加上时间参量。(2)在发送消息加上随机数。【问题5】(4分)如果将哈希函数替换成对称加密函数,是否可以提高该协议的安全性?为什么?
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某企业为防止自身信息资源的非授权访问,建立了如下图所示的访问控制系统。该系统提供的主要安全机制包括:(1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制;(2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策;(3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷, 提出安全改进建议。【问题1】(6分)对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面?每个方面具体的测试内容又有哪些?【问题2】(3分) 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说明模拟攻击的基本原理。【问题3】(6分)对该系统安全审计功能设计的测试点应包括哪些?
阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某公司要开发一个网站。网页上包含有声音、图片、Flash动画等多媒体信息,采用Audition、Photoshop、Flash等软件完成网页素材的制作,采用Dreamweaver进行网页制作和系统集成。当用户使用浏览器软件打开公司主页时会自动播放背景音乐,系统可能件会提示用户需要安装插件,什么是浏览插件?在什么情况下系统会提示用户安装插件?
柜员指纹分散应用是指在柜员指纹认证系统统一采集指纹后,柜员指纹认证系统验证各系统用户身份后,系统依据()实现其用户在该系统中的角色定位。A、用户柜员号B、用户身份证号码C、用户姓名D、用户指纹
问答题阅读以下说明,回答问题1至问题3,将解答填入答题纸的对应栏内。【说明】某公司要开发一个网站。网页上包含有声音、图片、Flash动画等多媒体信息,采用Audition、Photoshop、Flash等软件完成网页素材的制作,采用Dreamweaver进行网页制作和系统集成。当用户使用浏览器软件打开公司主页时会自动播放背景音乐,系统可能件会提示用户需要安装插件,什么是浏览插件?在什么情况下系统会提示用户安装插件?