【补考福利】信息安全技术试卷-复习用卷.doc

一、解释下列术语或略语）IP-VPN 2.防火墙 3.一次性口令 4. 5. 信息安全PDR IATF 鉴别交换机制 PKI PMI CA 公钥环 NIDS HIDS 二、判断题（10分，判断下列表述误，如果错误，请原因）6.客户端访问某Web网站时，Web网站能够向客户端出示自己的证书，所以实现了客户端 7.IP-VPN中采用IP协议作为隧道协议上层数据。.S/KEY系统中实现的身份认证是单向认证，不能保证认证服务器的真实性。9.强制访问控制比自主访问控制安全性更高，自主访问控制会逐步被。10.应用代理墙需要针对每一种应用层设置对应的代理程序，而且速度包过滤防火墙慢。 定义了安全服务，安全机制，一种服务可多种机制实现，一种机制多种服务。 A拥有B公钥证书，且证书验证成功，则可用中的公钥加密传输共享密钥。 所以验证者一定要事先知道证者的身份信息 S/KEY身份认证系统没有实现双向认证，所以会遭受小数攻击。 RSA SecurID时间作为动态变化因素，建立一次性口令机制。 是由证书中心CA签发的，所以只要证书中的签名验证成功，则证明证书中的公钥真实的。证书有效到期时，PKI需要撤销该证书。 为用户签发的公钥证书，既可用于验证签名，也可用于加密信息。 用于管理公钥证书，所以只提供认证认证功能。 希函数H(x)输入值X每发生bit变化，都会引起哈希值的变化，所以哈希函数作为消息完整性验证方法。 ）11. Kerberos系统对用户进行身份基于共享密钥认证还是基于公钥实现认证？是前者，用户与认证服务器之间如何建立共享密钥？是后者，服务器用户认证过程 12.异常检测技术是种重要的检测分析技术简述其工作原理，它的缺点。13.基于角色 14.PKI中X.509证书哪些主要内容 试从时间角度分析PDR技术体系信息系统安全的。 认证的实现途径有哪些？次银行电子交易中U盾钥匙）用户身份，分析认证过程中采了实现途径？ 强制访问控制策略 分析属性证书与公钥证书分离的原因。 、分析运用题）5.某用户C通浏览器访问Web服务器S，CA分别为C、S颁发了公钥证书Kpc]，Cert[Kps]，Kpc、Kps分别表示C、S的公钥，S分别安全地持有对应的私钥KrcKrs。C、S均支持AES、SHA、RSA算法并可生成算法的现在向S请求信息根据条件下列安全提供防护或方法。）期望保护信息M的机密性能够防止他人篡改，与S已经共享密钥Kab种方法M传输。 ）密钥Kab由C生成并交给S公钥证书设计一种密钥分发Kab的机密性 （3）共享密钥Kab时，期望验证Kab确实是C发送传输过程未被篡改，请给出方案Kab的完整性。 ）的公钥Kps只能用于验证签名，利用公钥证书Cert[Kps]共享密钥Kab安全地由C发给S。 17.如图所示，X包括：具有VPN功能主机主机B具有防火墙和VPN功能的网关GW1，的内部子网地址是私有地址（即该地址作为目标地址的话在Internet上无法路由）。下级单位Y包括：具有VPN功能的主机C，主机E，Web服务器F，具有过滤防火墙和VPN功能的网关GW2的内部子网地址也是私有地址。客户端Z支持VPN功能这些设备的IP配置如图所示，VPN选择IPSec VPN。 1）是IP-VPN其特征哪些？ （2）该部署图中包含了VPN的哪些应用模式？ （3）策略禁止外部地址冒充内部地址穿透防火墙上主访问单位Y的Web服务器F，GW2的访问控制规则。 （4）主机C被主机C中重要资料到F上，通过GW2包过滤进行控制可以，给出访问控制规则如果不可以，有什么其它进行控制。5）针对Web服务器F面临的SYN-Flood拒绝服务攻击(发送大量伪造的TCP连接请求，使得服务器资源耗尽)Y计划部署Snort系统进行检测什么技术，如何检查出该攻击？ ）如果检测到该攻击，如何更改防火墙2的规则攻击？ 图1 某单位X的网络图 Kerberos认证协议流程如上图所示协议报文-6，C为客户端，AS为认证服务器TGS为票据服务器，V为应用系统。分析： ）ASC签发的身份票据Tickettgs作用是什么，为什么用Ktgs票据中的TS2Lifetime2在安全性上什么作用？ ）TGS如何为C和V建立共享密钥？ ）能够正确Ticketv，说明获得了TGS签发的服务票据为什么在消息还要附加Authenticatorcv?附加信息可否省略，试分析原因。 ）认证协议实现对应用系统的认证？可以，试简述如果不可以，试对应用系统认证的消息报文。 单位PKI建立信任体系，CA关系如下图所示。3、CA5分别为用户A、B签发公钥证书，向A提交了一份工作报告，并通过RSA算法、SHA-1对报告进行数字签名，签名值Sign。 ）给出CA3用户A签发的证书CertA的数据结构。 号号算法者域算法）A