網絡安全技術及應用實踐教程 習題集 第5章

1、第5章 身份認證與訪問控制1.選擇題（1）在常用的身份認證方式中，（）是采用軟硬件相結合、一次一密的強雙因子認證 模式，具有平安性、移動性和使用的方便性。A.智能卡認證B.動態(tài)令牌認證C. USB KeyD.用戶名及密碼方式認證（2）以下（）屬于生物識別中的次級生物識別技術。A.網膜識別B.DNAC.語音識別D.指紋識別（3）數據簽名的（）功能是指簽名可以證明是簽字者而不是其他人在文件上簽字。A.簽名不可偽造B.簽名不可變更C.簽名不可抵賴D.簽名是可信的（4）在綜合訪問控制策略中，系統(tǒng)管理員權限、讀/寫權限、修改權限屬于（）oA.網絡的權限控制B.屬性平安控制C.網絡服務平安控制D.目錄級平

2、安控制（5）以下（）不屬于AAA系統(tǒng)提供的服務類型。A.認證B.鑒權C.訪問D.審計解答：（1） B （2） C （3） A （4） D （5） C2.填空題（1）身份認證是計算機網絡系統(tǒng)的用戶在進入系統(tǒng)或訪問不同 的系統(tǒng)資源時，系統(tǒng)確認該用戶的身份是否、和 的過程。解答：（1）保護級別、真實、合法、唯一（2）數字簽名是指用戶用自己的 對原始數據進行 所得到，專門用于保證信息來源的、數據傳輸的 和 o（2）私鑰加密、特殊數字串、真實性、完整性、防抵賴性（3）訪問控制包括三個要素，即、和 o訪問控制的主要內容包括、和 三個方面。（3）主體 客體、控制策略、認證、控制策略實現、審計（4）訪問控制模

3、式有三種模式，即、和。(4)自主訪問控制DAC、強制訪問控制MAC、基本角色的訪問控制RBAC(5)計算機網絡平安審計是通過一定的,利用 系統(tǒng)活動和用戶活動的歷史操作事件，按照順序、和 每個事件的環(huán)境及活動,是對和的要補充和完善。(5)平安策略、記錄及分析、檢查、審查、檢驗、防火墻技術、入侵檢測技術解答：(1)保護級別、真實、合法、唯一(2)私鑰加密、特殊數字串、真實性、完整性、防抵賴性(3)主體 客體、控制策略、認證、控制策略實現、審計(4)自主訪問控制DAC、強制訪問控制MAC、基本角色的訪問控制RBAC(5)平安策略、記錄及分析、檢查、審查、檢驗、防火墻技術、入侵檢測技術3.簡答題(1)

4、簡述數字簽名技術的實現過程?對一個電子文件進行數字簽名并在網上傳輸，通常需要的技術實現過程包括：網上身份 認證、進行簽名和對簽名的驗證。.身份認證的實現過程PKI提供的服務首先是認證，即身份識別與鑒別，就是確認實體即為自己所聲明的實 體。認證的前提是甲、乙雙方都具有第三方CA所簽發(fā)的證書。認證分單向認證和雙向認 證。1)單向認證，單向認證是甲、乙雙方在網上通信時，甲只需要認證乙的身份。 這時甲需要獲取乙的證書，獲取的方式有兩種，一種是在通信時乙直接將證書傳送給甲，另 一種是甲向CA的目錄服務器查詢索取。甲獲得乙的證書后，首先用CA的根證書公鑰驗證 該證書的簽名，驗證通過說明該證書是第三方CA簽

5、發(fā)的有效證書。然后檢查證書的有效期 及檢查該證書是否已被作廢(LRC檢查)而進入黑名單。2)雙向認證。甲乙雙方在網上查詢對方證書的有效性及黑名單時，采用LDAP 協(xié)議(Light Directory Access Protocol),它是一種輕型目錄訪問協(xié)議，過程如下圖。網上通信的雙方，在互相認證身份之后，即可發(fā)送簽名的數據電文。.數字簽名與對簽名的驗證實現過程數字簽名的全過程分兩大局部，即簽名與驗證。數字簽名過程分兩局部：左側為簽名過程，右側為驗證過程。即發(fā)方將原文用哈希算法 求得數字摘要，用簽名私鑰對數字摘要加密求得數字簽名，然后將原文與數字簽名一起發(fā)送 給收方；收方驗證簽名，即用發(fā)方公鑰

6、解密數字簽名，得出數字摘要；收方將原文采用同樣 哈希算法又得一新的數字摘要，將兩個數字摘要進行比擬，如果兩者匹配，說明經數字簽名 的電子文件傳輸成功。如圖5-5所示。簽名過程驗證過程圖5-5數字簽名原理.原文保密的數據簽名的實現方法上述數字簽名中定義的對原文做數字摘要及簽名并傳輸原文，實際上在很多場合傳輸的 原文要求保密，不許別人接觸。要求對原文進行加密的數字簽名方法的實現涉及到“數字信 封”的問題,這個處理過程稍微復雜一些，但數字簽名的基本原理仍是相同的，其簽名過程 如圖5-8所示。數字簽名簽名驗證0D松息卜0D松息卜PVAI數字與名F二 |PBa Sca p/ ?方人的證 PBb Scb

7、skMD信息摘要信息加密信息、且E+DE密 有 息DS數字簽名DS故？簽名Hash1加密信息DE、1數？信封有息 摘要PVB 一B-MD 砸 摘要口信息H數字簽名圖5-8原文加密的數字簽名實現方法這是一個典型的“數字信封”處理過程。其基本原理是將原文用對稱密鑰加密傳輸，而將 對稱密鑰用收方公鑰加密發(fā)送給對方。如同將對稱密鑰放在同一個數字信封，收方收到數字 信封，用自己的私鑰解密信封，取出對稱密鑰解密得原文。原文加密的數字簽名的過程：(1)發(fā)方A將原文信息進行哈希(Hash)運算，得到一哈希值，即數字摘要MD。(2)發(fā)方A用自己的私鑰PVa,采用非對稱RSA算法對數字摘要MD進行加密，即得 數字

8、簽名DS。(3)發(fā)方A用對稱算法DES的對稱密鑰SK對原文信息、數字簽名DS及發(fā)方A證書 的公鑰PBa采用對稱算法加密，得加密信息E。(4)發(fā)方用收方B的公鑰PBb,采用RSA算法對對稱密鑰SK加密，形成數字信封DE, 就好像將對稱密鑰SK裝到了一個用收方公鑰加密的信封里。(5)發(fā)方A將加密信息E和數字信封DE 一起發(fā)送給收方B。(6)收方B接收到數字信封DE后，首先用自己的私鑰PVb解密數字信封，取出對稱密 鑰SK。(7)收方B用對稱密鑰SK通過DES算法解密加密信息E,還原出原文信息、數字簽名 DS及發(fā)方A證書的公鑰PBa。(8)收方B驗證數字簽名，先用發(fā)方A的公鑰解密數字簽名得數字摘要M

9、D。(9)收方B同時將原文信息用同樣的哈希運算，求得一個新的數字摘要MD，。(10)將兩個數字摘要MD和MD進行比擬，驗證原文是否被修改，如果二者相等，說明 數據沒有被篡改，是保密傳輸的，簽名是真實的，否那么拒絕該簽名。這樣就做到了敏感信息 在數字簽名的傳輸中不被篡改，其他沒經認證和授權的人看不見或讀不懂原數據，起到了在 數字簽名傳輸中對敏感數據的保密作用。以上就是現行電子簽名中普遍被使用而又具有可操 作性的、平安的、數字簽名的技術實現原理和全部過程。(2)試述訪問控制的平安策略以及實施原那么？.基于身份的規(guī)那么的平安策略建立基于身份平安策略和基于規(guī)那么平安策略的基礎是授權行為。(1)基于身份

10、的平安策略是過濾對數據或資源的訪問，只有能通過認證的那些主體才有 可能正常使用客體的資源。基于身份的平安策略包括基于個人的策略和基于組的策略，主要 有兩種基本的實現方法，分別為能力表和訪問控制表。基于個人的策略?；趥€人的策略是指以用戶個人為中心建立的一種策略，由一些列表 組成。這些列表針對特定的客體，限定了哪些用戶可以實現何種平安策略的操作行為。 基于組的策略。基于組的策略是基于個人的策略的擴充，指一些用戶被允許使用同樣的訪問 控制規(guī)那么訪問同樣的客體。(2)基于規(guī)那么的平安策略基于規(guī)那么的平安策略中的授權通常依賴于敏感性。在一個平安系統(tǒng)中，數據或資源應該標注 平安標記。代表用戶進行活動的進

11、程可以得到與其原發(fā)者相應的平安標記。在實現上，由系 統(tǒng)通過比擬用戶的平安級別和客體資源的平安級別來判斷是否允許用戶進行訪問。.綜合訪問控制策略訪問控制技術的目標是防止對任何資源的非法訪問。從應用方面的訪問控制策略包括以 下幾個方面。(1)入網訪問控制(2)網絡的權限控制(3)目錄級平安控制(4)屬性平安控制(5)網絡服務器平安控制(6)網絡監(jiān)測和鎖定控制(7)網絡端口和節(jié)點的平安控制(8)防火墻控制.平安策略實施原那么平安策略實施原那么：訪問控制平安策略的實施原那么圍繞主體、客體和平安控制規(guī)那么集三 者之間的關系展開。(1)最小特權原那么。是指主體執(zhí)行操作時，按照主體所需權利的最小化原那么分配

12、給主體 權力。最小特權原那么的優(yōu)點是最大限度地限制了主體實施授權行為，可以防止來自突發(fā)事件、 錯誤和未授權主體的危險。也就是說，為了到達一定目的，主體必須執(zhí)行一定操作，但他只 能做他所被允許做的，其他除外。(2)最小泄漏原那么。是指主體執(zhí)行任務時，按照主體所需要知道的信息最小化的原那么分 配給主體權力。(3)多級平安策略。是指主體和客體間的數據流向和權限控制按照平安級別的絕密 (TS)、秘密(S)、機密(C)、限制(RS)和無級別(U) 5級來劃分。多級平安策略的優(yōu) 點是防止敏感信息的擴散。具有平安級別的信息資源，只有平安級別比它高的主體才能夠訪 問。(3)簡述平安審計的目的和類型？目的和意義

13、在于：(1)對潛在的攻擊者起到重大震懾和警告的作用；(2)測試系統(tǒng)的控制是否恰當，以便于進行調整，保證與既定平安策略和操作能夠協(xié)調 一致。(3)對于已經發(fā)生的系統(tǒng)破壞行為，作出損害評估并提供有效的災難恢復依據和追究責 任的證據；(4)對系統(tǒng)控制、平安策略與規(guī)程中特定的改變作出評價和反應，便于修訂決策和部署。(5)為系統(tǒng)管理員提供有價值的系統(tǒng)使用日志，幫助系統(tǒng)管理員及時發(fā)現系統(tǒng)入侵行為 或潛在的系統(tǒng)漏洞。平安審計有三種類型：(1)系統(tǒng)級審計(2)應用級審計(3)用戶級審計(4)簡述Windows NT的平安模型及訪問控制過程？Windows NT的平安模型Windows NT采用的是微內核(Mi

14、crokernel)結構和模塊化的系統(tǒng)設計。有的模塊運行 在底層的內核模式上，有的模塊那么運行在受內核保護的用戶模式上。Windows NT的平安模型由4局部構成(1)登錄過程(Logon Process, LP)：接受本地用戶或者遠程用戶的登錄請求，處理用戶 信息，為用戶做一些初始化工作。(2)本地平安授權機構(Local Security Authority, LSA)：根據平安賬號管理器中的數據 處理本地或者遠程用戶的登錄信息，并控制審計和日志。這是整個平安子系統(tǒng)的核心。(3)平安賬號管理器(Security Account Manager, SAM)：維護賬號的平安性管理的數據 庫。(

15、4)平安引用監(jiān)視器(Security Reference Monitor, SRM)：檢查存取合法性，防止非法存 取和修改。這4局部在訪問控制的不同階段發(fā)揮各自不同的作用。Windows NT的訪問控制過程(1)創(chuàng)立賬號。當一個賬號被創(chuàng)立時，Windows NT系統(tǒng)為它分配一個平安標識(SID)。 平安標識和賬號惟一對應，在賬號創(chuàng)立時創(chuàng)立，賬號刪除時刪除，而且永不再用。平安標識 與對應的用戶和組的賬號信息一起存儲在SAM數據庫里。(2)登錄過程(LP)控制。每次用戶登錄時，用戶應輸入用戶名、口令和用戶希望登 錄的服務器/域等信息，登錄主機把這些信息傳送給系統(tǒng)的平安賬號管理器，平安賬號管理 器將

16、這些信息與SAM數據庫中的信息進行比擬，如果匹配，服務器發(fā)給客戶機或工作站允 許訪問的信息，記錄用戶賬號的特權、主目錄位置、工作站參數等信息，并返回用戶的平安 標識和用戶所在組的平安標識。工作站為用戶生成一個進程。(3)創(chuàng)立訪問令牌。當用戶登錄成功后，本地平安授權機構(LSA)為用戶創(chuàng)立一個訪 問令牌，包括用戶名、所在組、平安標識等信息。以后用戶每新建一個進程，都將訪問并復 制令牌作為該進程的訪問令牌。(4)訪問對象控制。當用戶或者用戶生成的進程要訪問某個對象時，平安引用監(jiān)視器 (SRM)將用戶/進程的訪問令牌中的平安標識(SID)與對象平安描述符(是NT為共享資 源創(chuàng)立的一組平安屬性，包括所

17、有者平安標識、組平安標識、自主訪問控制表、系統(tǒng)訪問控 制表和訪問控制項)中的自主訪問控制表進行比擬，從而決定用戶是否有權訪問該對象。 在這個過程中應該注意：平安標識(SID)對應賬號的整個有效期，而訪問令牌只對應某一 次賬號登錄。(5)用戶認證與認證授權的目標是什么？用戶認證與認證授權管理目標包括以下7個方面：(1)目錄服務系統(tǒng)是架構的基礎模塊(2)身份管理系統(tǒng)是實現不同應用的身份存儲統(tǒng)一管理的基礎。(3)認證管理系統(tǒng)并非必須，各系統(tǒng)往往自帶認證模塊。(4)訪問管理系統(tǒng)因為系統(tǒng)資源的多樣性呈現多種，目前最為成熟的是對Web 資源的訪問管理(稱為WebSSO)(5)集成平臺(門戶服務器、應用服務

18、器或EAI平臺)提供統(tǒng)一入口管理，建議 認證管理系統(tǒng)和訪問管理系統(tǒng)施加在集成平臺上以實現統(tǒng)一認證和授權管理。(6)監(jiān)控服務可以附加在各類平臺(集成平臺、認證管理系統(tǒng)、訪問管理系統(tǒng)等) 中，也可以是獨立的產品。(7)采用以上架構，可以提供身份信息的統(tǒng)一存儲和統(tǒng)一管理，并實現身份認證 及資源訪問的集成管理，同時最大程度地保護我行現有的IT投資。(6)身份認證的技術方法有哪些？特點是什么？目前，計算機及網絡系統(tǒng)中常用的身份認證方式主要有以下兒種：.用戶名及密碼方式用戶名及密碼方式是最簡單也是最常用的身份認證方法，由用戶自己設定，只有用戶本 人知道。只要能夠正確輸入密碼，計算機就認為操作者就是合法用戶。.智能卡認證智能卡是一種內置集成的電路芯片，芯片中存有與用戶身份相關的數據，智能卡由專門 的廠商通過專門的設備生產，是不可復制的硬件。智能卡由合法用戶隨身攜帶，登錄時必須將智能卡插入專用的讀卡器讀取其中的信息、, 以驗證用戶的身份。.動態(tài)令牌認證動態(tài)口令技術是一種讓用戶密碼按照時間或使用次數不斷變化、每個密碼只能使用一次 的技術。它采用一種動態(tài)令牌的專用硬件，內