当前位置: 首页 > 文章教程  > 考试与认证 > 软考

信息系统项目管理师考试计算机网络与信息安全试题5(2005年上半年试题64~65)

8/24/2020 9:56:52 PM 人评论

信息系统项目管理师考试计算机网络与信息安全试题5(2005年上半年试题64~65)

试题5(2005年上半年试题64~65)

关于Kerberos和PKI两种认证协议的叙述中正确的是 (64) ,在使用Kerberos认证时,首先向密钥分发中心发送初始票据 (65) 来请求会话票据,以便获取服务器提供的服务。

(64)A.Kerberos和PKI都是对称密钥
B.Kerberos和PKI都是非对称密钥
C.Kerberos是对称密钥,而PKI是非对称密钥
D.Kerberos是非对称密钥,而PKI是对称密钥

(65)A.RSA
B.TGT
C.DES
D.LSA

试题5分析

Kerberos是由MIT发明的,为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否是合法的用户;如果是合法的用户,再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲,其验证是建立在对称加密的基础上的。它采用可信任的第三方,密钥分配中心(KDC)保存与所有密钥持有者通信的保密密钥,其认证过程颇为复杂,下面简化叙述之。

首先客户(C)向KDC发送初始票据TGT,申请访问服务器(S)的许可证。KDC确认合法客户后,临时生成一个C与S通信时用的保密密钥Kcs,并用C的密钥Kc加密Kcs后传给C,并附上用S的密钥Ks加密的“访问S的许可证Ts,内含Kcs”。当C收到上述两信件后,用他的Kc解密获得Kcs,而把Ts原封不动地传给S,并附上用Kcs加密的客户身份和时间。当S收到这两信件后,先用他的Ks解密Ts获得其中的Kcs,然后用这Kcs解密获得客户身份和时间,告之客户成功。之后C和S用Kcs加密通信信息。

Kerberos系统在分布式计算环境中得到了广泛的应用是因为它具有以下的特点。

(1)安全性高:Kerberos系统对用户的口令进行加密后作为用户的私钥,从而避免了用户的口令在网络上显示传输,使得窃听者难以在网络上取得相应的口令信息;

(2)透明性高:用户在使用过程中,仅在登录时要求输入口令,与平常的操作完全一样,Kerberos的存在对于合法用户来说是透明的;

(3)可扩展性好:Kerberos为每一个服务提供认证,确保应用的安全。

Kerberos系统和看电影的过程有些相似,不同的是只有事先在Kerberos系统中登录的客户才可以申请服务,并且Kerberos要求申请到入场券的客户就是到TGS(入场券分配服务器)去要求得到最终服务的客户。

Kerberos有其优点,同时也有其缺点,主要是:

(1)Kerberos服务器与用户共享的秘密是用户的口令字,服务器在回应时不验证用户的真实性,假设只有合法用户拥有口令字。如攻击者记录申请回答报文,就易形成代码本攻击。

(2)AS和TGS是集中式管理,容易形成瓶颈,系统的性能和安全也严重依赖于AS和TGS的性能和安全。在AS和TGS前应该有访问控制,以增强AS和TGS的安全;

(3)随用户数增加,密钥管理较复杂。Kerberos拥有每个用户的口令字的散列值,AS与TGS负责用户间通信密钥的分配。当N个用户想同时通信时,仍需要NN-1)/2个密钥。

PKI(Public Key Infrastructure,公共密钥基础设施)是CA安全认证体系的基础,为安全认证体系进行密钥管理提供了一个平台,它是一种新的网络安全技术和安全规范。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI包括认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。

PKI可以实现CA和证书的管理;密钥的备份与恢复;证书、密钥对的自动更换;交叉认证;加密密钥和签名密钥的分隔;支持对数字签名的不可抵赖性;密钥历史的管理等功能。PKI技术的应用可以对认证、机密性、完整性和抗抵赖性方面发挥出重要的作用。

(1)认证:是指对网络中信息传递的双方进行身份的确认。

(2)机密性:是指保证信息不泄露给未经授权的用户或不供其利用。

(3)完整性:是指防止信息被未经授权的人篡改,保证真实的信息从真实的信源无失真地传到真实的信宿。

(4)抗抵赖性:是指保证信息行为人不能够否认自己的行为。

而PKI技术实现以上这些方面的功能主要是借助“数字签名”技术,数字签名是维护网络信息安全的一种重要方法和手段,在身份认证、数据完整性、抗抵赖性方面都有重要应用,特别是在大型网络安全通信中的密钥分配、认证,以及电子商务、电子政务系统中有重要作用。它是通过密码技术对电子文档进行电子形式的签名,是实现认证的重要工具。数字签名是只有信息发送方才能够进行的签名,是任何他人无法伪造的一段数字串,这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。

签名是确认文件的一种手段,一般书面手工签名的作用有两个:一是因为自己的签名难以否认,从而确认了文件已签署的这一事实;二是因为签名不易仿冒,从而确认了文件是真实的这一事实。采用数字签名也能够确认以下两点:一是信息是由签名者发送的;二是信息自签发到收为止,没做任何修改。

数字签名的特点是它代表了文件的特征。文件如果发生变化,数字签名的值也将发生变化,不同的文件将得到不同的数字签名。数字签名是通过Hash函数与公开密钥算法来实现的,其原理是:

(1)发送者首先将原文用Hash函数生成128位的数字摘要;

(2)发送者用自己的私钥对摘要再加密,形成数字签名,把加密后的数字签名附加在要发送的原文后面;

(3)发送者将原文和数字签名同时传给对方;

(4)接收者对收到的信息用Hash函数生成新的摘要,同时用发送者的公开密钥对信息摘要进行解密;

(5)将解密后的摘要与新摘要对比,如两者一致,则说明传送过程中信息没有被破坏或篡改。

如果第三方冒充发送方发送了一个文件,因为接收方在对数字签名进行解密时使用的是发送方的公开密钥,只要第三方不知道发送方的私用密钥,解密出来的数字摘要与计算机计算出来的新摘要必然是不同的。这就提供了一个安全的确认发送方身份的方法。

数字签名有两种,一种对整体信息的签名,它是指经过密码变换的被签名信息整体;另一种是对压缩信息的签名,它是附加在被签名信息之后或某一特定位置上的一段签名图样。若按照明、密文的对应关系划分,每一种又可以分为两个子类,一类是确定性数字签名,即明文与密文一一对应,它对一个特定信息的签名不变化,如RSA签名;另一类是随机化或概率化数字签名,它对同一信息的签名是随机变化的,取决于签名算法中的随机参数的取值。一个明文可能有多个合法数字签名。

一个签名体制一般包含两个组成部分:签名算法和验证算法。签名算法或签名密钥是秘密的,只有签名人掌握。验证算法是公开的,以便他人进行验证。

信息签名和信息加密有所不同,信息加密和解密可能是一次性的,它要求在解密之前是安全的。而一条签名的信息可能作为一个法律上的文件,如合同,很可能在对信息签署多年之后才验证其签名,且可能需要多次验证此签名。因此,签名的安全性和防伪造的要求更高些,并且要求证实速度比签名速度还要快些,特别是联机在线实时验证。随着计算机网络的发展,过去依赖于手书签名的各种业务都可用电子数字签名代替,它是实现电子政务、电子商务、电子出版等系统安全的重要保证。

另外,基于PKI如果要实现数据的保密性,可以在将“原文+数字签名”所构成的信息包用对方的公钥进行加密,这样就可以保证对方只能够使用自己的私钥才能够解密,从而达到保密性要求。

试题5答案

(64)C

(65)B

相关教程

共有条评论 网友评论

验证码: 看不清楚?