信息安全工程師案例分析當天每日一練試題地址：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://m.xiexiliangjiufa.com/class27-2-1.aspx

信息安全工程師案例分析每日一練試題（2017/5/21）在線測試：http://m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2017/5/21

信息安全工程師案例分析每日一練試題內(nèi)容（2017/5/21）

閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)。
【說明】
認證又稱鑒別或確認，它是證實某事是否名副其實或是否有效的一個過程。認證和加密的區(qū)別在于:加密用以確保數(shù)據(jù)的保密'性，阻止對手的被動攻擊，如截取，竊聽等；而認證用以確保報文發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充、篡改、重播等。認證往往是許多應(yīng)用系統(tǒng)中安全保護的第一道設(shè)防，因而極為重要。
認證的基本思想是通過驗證稱謂者（人或事）的一個或多個參數(shù)的真實性和有效性，來達到驗證稱謂者是否名副其實的目的。這樣，就要求驗證的參數(shù)和被認證的對象之間存在嚴格的對應(yīng)關(guān)系，理想情況下這種對應(yīng)關(guān)系應(yīng)是唯一的。其基本原理如下圖所示。
                                       
認證原理

認證系統(tǒng)常用的參數(shù)有口令、標識符、密鑰、信物、智能卡、指紋、視網(wǎng)紋等。對于那些能在長時間內(nèi)保持不變的參數(shù)(非時變參數(shù))可采用在保密條件下預(yù)先產(chǎn)生并存儲的位模式進行認證，而對于經(jīng)常變化的參數(shù)則應(yīng)適時地產(chǎn)生位模式，再對此進行認證。
【問題1】（3分）
認證和數(shù)字簽名技術(shù)都是確保數(shù)據(jù)真實性的措施，請分析這兩者之間的區(qū)別。
【問題2】（5分）
口令是接收雙方預(yù)先約定的秘密數(shù)據(jù)，它用來驗證用戶知道什么。口令驗證簡單易行，因此口令驗證是目前應(yīng)用最為廣泛的身份認證方法之一。在計算機系統(tǒng)中，操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫都采用了口令驗證。在一些簡單的系統(tǒng)中，用戶的口令以口令表的形式存儲。當用戶要訪問系統(tǒng)時，系統(tǒng)要求用戶提供其口令，系統(tǒng)將用戶提供的口令與口令表中存儲的相應(yīng)用戶的口令進行比較，若相等則確認用戶身份有效，否則確認用戶身份無效，擔(dān)絕訪問。請分析在上述口令驗證機制中會存在哪些問題？（3分）列舉4種改進的口令驗證機制。（2分）
【問題3】（7分）
在網(wǎng)絡(luò)環(huán)境中，攻擊者可進行以下攻擊:
（1）冒充發(fā)送方發(fā)送一條報文；
（2）冒充接收方發(fā)送收到或未收到報文的應(yīng)答；
（3）插入、刪除或修改報文內(nèi)容；
（4）修改報文順序(插入報文、刪除報文或重排序)議及延時或重播報文。
因此，報文認證必須使通信方能夠驗證每份報文的發(fā)送方、接收方、內(nèi)容和時間性的真實性和完整性。也就是說，通信方能夠確定：
（1）報文是由意定的發(fā)送方發(fā)出的；
（2） 報文傳送給意定的接收方；
（3）報文內(nèi)容有無篡改或發(fā)生錯誤；
（4） 報文按確定的次序接收。
報文認證的方式有報文源的認證、報文宿的認證及報文內(nèi)容的認證，消息認證碼MAC是屬于哪種報文認證方式？（2分）其認證過程是怎樣的？（5分）

信管網(wǎng)haikong808：
問題1：認證是對報文的發(fā)送者和接受者的身份和報文的完整行進行認證的過程，數(shù)字簽名是對報文的發(fā)送者進行簽名，防止發(fā)送者抵賴。
問題2：口令已口令表的形式存貯，有被泄露的風(fēng)險；口令有猜解的風(fēng)險；口令有忘記口令的風(fēng)險。
通過使用usbkey設(shè)備來進行口令驗證；經(jīng)常進行口令的更換；加強口令的復(fù)雜性。
問題3：

信管網(wǎng)yidao654：
問題１：認證是通信雙方互相鑒別，數(shù)字簽名允許雙方和第三方鑒別；數(shù)字簽名可以抗抵賴，認證不一定能
問題２：弱口令、空口令、默認口令，口令表泄露；限制登錄嘗試次數(shù)，限制生成弱口令，不允許空口令和默認口令，口令表加密
問題３：報文源的認證

信管網(wǎng)krasscy：
1.認證與數(shù)字簽名技術(shù)都是保證數(shù)據(jù)真實性的措施，但兩者仍然有明顯區(qū)別。
1）認證總是基于某種收發(fā)雙方共享的保密數(shù)據(jù)來認證被鑒別對象的真實性，而數(shù)字簽名中用于驗證簽名的數(shù)據(jù)是公開的。
2）認證允許收發(fā)雙方互相驗證其真實性，不準第三者驗證，而數(shù)字簽名允許收發(fā)雙方及第三者都能驗證。
3）數(shù)字簽名具有不可抵賴性，接收方不能偽造和具有在公證人前解決糾紛的能力，而認證則不一定具備。
2.口令往往容易遭到攻擊，如網(wǎng)絡(luò)數(shù)據(jù)流竊聽、鑒別信息的截取/重放、字典攻擊、窮舉嘗試、窺探、社交、垃圾搜索等等。因此出現(xiàn)了改進的口令機制：一次性口令（動態(tài)口令）、usb-key、時間同步鑒別、基于生物特征的身份鑒別（如指紋分析、視網(wǎng)膜掃描）。
3.消息認證碼mac屬于報文內(nèi)容的認證。假定通信雙方共享密鑰k，若發(fā)送方a向接收方b發(fā)送報文m，則a計算mac=c（m，k）并將報文m和mac發(fā)送給接收方：a->b:m||mac，接收方收到報文后用相同的密鑰k進行相同的計算算出新的mac，并將其進行比較，若二者相等，則報文未被修改且可以相信來自確定的發(fā)送方。

信管網(wǎng)小橋流水：
問題1
認證：
數(shù)字簽名：

問題2：
明文存儲----加密存儲
明文傳輸----加密傳輸
口令簡單----容易被破解
密碼輸入沒有要求----容易造成內(nèi)存溢出

消息認證mac是屬于報文內(nèi)容認證，認證過程是將消息內(nèi)容通過hash函數(shù)做不可逆的運作，得到一個數(shù)值，根據(jù)傳送前后對比數(shù)值的變化來查看報文內(nèi)容是否被修改