第3章身份认证与访问控制.docVIP

第 3 章 身份认证与访问控制 3.1 第 3 章知识提要 本章主要介绍了身份认证和数字签名，基于生物特征、静态口令、动态口令、密钥分 发、数字证书的身份认证， 以及采用非对称密码体制的数字签名。 为了保证消息的完整性， 还需要采用消息认证或报文摘要法。常见的国际数字证书标准 X.509 以及以公开密钥加密 法为中心的密钥管理体系结构 PKI 、Kerberos 体制的数字认证， 为了对合法用户进行权限划分，还介绍了自主、强制、基于角色的访问控制策略。从访问者的角度把系统分为主体和客体两部分，涉及访问控制矩阵、授权关系表、访问能力表、访问控制表等形式。 3.2 第 3 章习题和答案详解 一、选择题（答案： BBCCA DADBA DACB ） 1. 用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指 ________。 A. 接入控制 B. 数字认证 C. 数字签名 D. 防火墙 答案： B 解答 ：只有 B的定义与题中的描述相符。 身份鉴别是安全服务中的重要一环， 以下关于身份鉴别的叙述中， 不正确的是 ________。 身份鉴别是授权控制的基础 身份鉴别一般不用提供双向的认证 目前一般采用基于对称密钥加密或公开密钥加密的方法 数字签名机制是实现身份鉴别的重要机制 答案： B 解答 ：身份鉴别包括采用双向认证的方法，因此选择 B 。 3. 以下关于 CA 认证中心说法正确的是 ________。 CA 认证是使用对称密钥机制的认证方法 CA 认证中心只负责签名，不负责证书的产生 CA 认证中心负责证书的颁发和管理，并依靠证书证明一个用户的身份 ·61· D. CA 认证中心不用保持中立，可以随便找一个用户作为 CA 认证中心 答案： C 解答 ：CA （认证中心）负责证书的颁发和管理，并依靠证书证明一个用户的身份。 Kerberos 的设计目标不包括 ________。 认证 授权 记账 审计 答案： C 解答 ：Kerberos的设计目标不包括记账。 访问控制是指确定 ________以及实施访问权限的过程。 用户权限 可给予哪些主体访问权利 可被用户访问的资源 系统是否遭受入侵 答案： A 解答 ：访问控制是指确定用户权限以及实施访问权限的过程。 下列对访问控制影响不大的是 ________。 主体身份 客体身份 访问类型 主体与客体的类型 答案： D 解答 ：对访问控制影响不大的是主体与客体的类型。 为了简化管理，通常对访问者 ________，以避免访问控制表过于庞大。 分类组织成组 严格限制数量 按访问时间排序，删除长期没有访问的用户 不作任何限制 答案： A 解答 ：为了简化管理，通常对访问者分类组织成组，以避免访问控制表过于庞大。 PKI 支持的服务不包括 ________。 A. 非对称密钥技术及证书管理 · 62· 目录服务 对称密钥的产生和分发 访问控制服务 答案： D 解答 ：PKI 服务不包括访问控制。 PKI 的主要组成不包括 ________。 证书授权 CA SSL 注册授权 RA 证书存储库 CR 答案： B 解答 ：PKI 的主要组成不包括 SSL。 PKI 管理对象不包括 ________。 ID 和口令 证书 密钥 证书撤销 答案： A 解答 ：PKI 管理对象不包括 ID 和口令。 下面不属于 PKI 组成部分的是 ________。 证书主体 使用证书的应用和系统 证书权威机构 AS 答案： D 解答 ：PKI 的组成部分包括政策批准结构（ Policy Acception Authority ， PAA ），政策认证机 构（ Policy Certification Authority ， PCA），认证机构（ Certification Authority ， CA ），在线注册机构（ Online Registration Authority ， ORA ），不包括 AS 。 PKI 能够执行的功能是 ________和 ________。 鉴别计算机消息的始发者 确认计算机的物理位置 保守消息的机密 确认用户具有的安全性特权 答案： AC ·63· 解答 ：PKI 能够执行的功能是鉴别计算机消息的始发者和保守消息的机密。 PKI 的主要理论基础是 ________。 对称密码算法 公钥密码算法 量子密码 摘要算法 答案： B 解答 ：PKI 的主要理论基础是公钥密码算法。 二、填空题 答案： 1. 身份认证，信源，信宿 访问控制，访问权限 数字证书，认证中心 身份认证是验证信息发送者是真的，而不是冒充的，包括信源、信宿等的认证和识别。 访问控制的目的是为了限制访问主体对访问客体的访问权限。 数字证书是 PKI