信息安全管理和技术试题答案(8)
(3)接入服务器收到访问接受/拒绝包时,首先要判断包中的签名是否正确,如果不正确将认为收到一个非法的包。如果签名正确,那么接入服务器会接受用户的上网请求,并用收到的信息对用户进行配置、授权(收到了访问接受包);或者是拒绝该用户的上网请求(收到了访问拒绝包)。
12. 了解Kerberos系统的优点。
(1) 安全:网络窃听者不能获得必要信息以假冒其他用户,Kerberos应足够强壮以致于潜在的敌人无法找到它的弱点连接。
(2) 可靠:Kerberos应高度可靠并且应借助于—个分布式服务器体系结构,使得一个系统能够备份另一个系统。
(3) 透明:理想情况下用户除了要求输入口令以外应感觉不到认证的发生。
(4) 可伸缩:系统应能够支持大数量的客户和服务器,这意味着需要一个模块化的分布式结构。
13. 掌握一个简单的鉴别对话过程以及它所存在的问题。
在一个不受保护的网络环境中,最大的安全威胁是冒充。为了防止这种威胁,服务器必须能够证实请求服务的用户的身份。
在这里我们使用一个鉴别服务器(AS),它知道每个用户的口令并将这些口令存储在一个集中的数据库中。另外,AS与每个服务器共享一个惟一的密钥,这些密钥已经通过安全的方式进行分发。认证过程如下:
PPP
IP
19
服务器能支持
(1) 一用户登录一个工作站,请求访问服务器V。客户模块C运行在用户的工作站中,它
要求用户输入口令,然后向AS服务器发送一个报文,里面有用户ID、服务器ID、用 户的口令。
(2) AS检查它的数据库、验证用户的口令是否与用户的ID匹配,以及该用户是否被允许访
问该数据库。若两项测试都通过,AS认为该用户是可信的,为了要让服务器V确信 该用户是可信的,AS生成一张加密过的票据,内含用户1D、用户网络地址、服务器
ID。因为是加密过的,它不会被C或对手更改。(3) C向V发送含有用户ID和票据的报文。V对票据进行解密,验证票据中的用户ID与未
加密的用户ID是否一致。如果匹配,则通过身份验证。 上面的对话没有解决两个问题: (1) 希望用户输入的口令次数最少。 (2) 前而的对话涉及口令的明文传输。
14. 掌握一个更安全的鉴别对话过程。为了解决这些问题,我们引入一个所谓的票据许可服务器认证过程如下:
(1) 用户通过向AS发送用户(2) AS发回一张加密过的票据,加密密钥是由用户的口令导出的。当响应抵达客户端时,客户端提示用户输入口今,由此产生密钥,并试图对收到的报文解密。若口令正确,票据就能正确恢复。因为只有合法的用户才能恢复该票据,这样,我们使用口令获得Kerberos的信任而无需传递明文口令。票据含有时间戳和生存期是防止对手的如下攻击:对手截获该票据,并等待用户退出在工作站的登录。对手既可以访问那个工作站,也可以将他的工作站的网络地址设为被攻击的工作站的网络地址。这样,对手就能重用截获的票据向戳和生存期,就能说明票据的有效时间长度。(3) 客户代表用户请求一张服务许可票据。(4) TGS对收到的票据进行解密,通过检查检查生存期,确保票据没有过期。然后比较用户的息是否一致。如果允许用户访问(5) 客户代表用户请求获得某项服务。客户向服务器传送一个包含用户的报文,服务器通过票据的内容进行鉴别。
15. 阐述Kerberos提供的在不同辖区间进行鉴别的机制。一个完整的Kerberos求:
(1) Kerberos服务器必须在其数据库中拥有所有参与用户的户均在Kerberos服务器上注册。(2) Kerberos服务器必须与每一个服务器之间共享一个保密密钥,所有服务器均在服务器上注册。
这样的环境被视为一个辖区 Kerberos提供了一种支持不同辖区间鉴别的机制:每一个辖区的Kerberos服务器之间共享一个保密密钥,两个这个方法存在的—个问题是对于大量辖区之间的认证,N(N一1)/2个安全密钥交换,以便使每个
16.阐述Single Sign on技术产生的背景和优点。背景
? 随着用户需要登录系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就相应降低。? 如果用户忘记口令,就需要管理员的帮助,并等待进入系统,造成了系统和安全管理资
(TGS)的新的服务器。 ID、TGS ID来请求一张代表该用户的票据许可票据。
TGS证明。有了时间
TGS的1D是否存在来验证解密是否成功。然后
ID和网络地址与收到鉴别用户的信 V,TGS就返回一张访问请求服务的许可票据。
ID和服务许可票据
Kerberos服务器,一组工作站和一组应用服务器,满足下列要ID(UID)和口令散列表,所有用
Kerberos (Realm)。
Kerberos服务器与其他辖区内的Kerberos服务器互相注册。
可扩缩性不好。如果有N个辖区,那么需要Kerberos能够与其他所有的Kerberos辖区进行互操作。
20
环境包括一个
源的开销,降低了生产效率。
? 如果用户因此简化密码,或多个系统中使用相同口令,都会危害公司信息的保密性。
需求:网络用户可以基于最初访问网络时的一次身份验证,对所有被授权的网络资源进行无缝的访问。从而提高网络用户的工作效率,降低网络操作的费用,并且是在不降低网络的安全性和操作的简便性的基础上实现的。
把认证功能和帐号管理功能集成起来为不同域的登录提供一致的界面有如下好处: ? 减少了用户在不同子域中登录操作的时间; ? 用户可以不必记住一大堆认证的信息;
? 减少了管理员增加和删除用户帐号的操作时间以及降低修改用户的权限的复杂度; ? 管理员容易禁止或删除用户对所有域的访问权限而不破坏一致性。
17. 比较Single Sign on技术和传统系统中的跨域操作的不同,以及SSO技术的实现原理。
用户在传统系统中的跨域操作:分布式系统是由独立的子域组成的,这些子域往往由不同的不同的应用程序组成的。在每个子域里的操作可以保证较高的安全性。终端用户想要登录到一个子域中去,如先登录主域,再登录其他子域)在持用户在未来的某个时候可以在任何一个潜在的子域中的认证。可能在以下这几个方面被用来作为用户在子域登录和操作的依据:? 在主域中提供的信息被直接用于登录子域;? 在主域中提供的信息被用来获取另一套认证信息,这套信息存储在数据库中,用来登录子域;
? 在登录主域同时,立即与子域联系,建立对话,这意味着与子域中应用程序的联系在主域操作的同时就已经建立。——18.了解Windows NT安全子系统的各个组成部分。Windows NT的安全子系统主要由本地安全授权等组成。
(1)本地安全授权部分提供了许多服务程序,保障用户获得存取系统的许可权。它产生令牌、执行本地安全管理、提供交互式登录认证服务、控制安全审查策略和由的审查记录信息。
(2)安全帐户管理部分保存安全帐户数据库,该数据库包含所有组和用户的信息。提供用户登录认证,负责对用户在信息对比,并为用户输入一个安全标识符((3)安全参考监视器负责访问控制和审查策略,由录等)的存取权限,检查主体(用户帐户等)的权限,产生必要的审查信息。客体的安全属性由安全控制项ACEACL的客体意味着任何主体都可访问。而有ACE,从而决定主体的访问是否允许。(4)Windows NT有一 …… 此处隐藏:2057字,全部文档内容请下载后查看。喜欢就下载吧 ……
相关推荐:
- [实用模板]第八章:法国“新浪潮”与“左岸派”
- [实用模板]2021年北京上半年临床医学检验技师生物
- [实用模板]SAP GUI 7.10客户端安装配置文档
- [实用模板]2001年临床执业医师资格考试综合笔试试
- [实用模板]36机场工作实用英语词汇总结
- [实用模板](一)社会保险稽核通知书
- [实用模板]安全教育主题班会材料
- [实用模板]濉溪县春季呼吸道传染病防控应急演练方
- [实用模板]长沙房地产市场周报(1.30-2.3)
- [实用模板]六年级数学上册典中点 - 图文
- [实用模板]C程序设计(红皮书)习题官方参考答案
- [实用模板]中国证监会第一届创业板发行审核委员会
- [实用模板]桥梁工程复习题
- [实用模板]2011学而思数学及答案
- [实用模板]初中病句修改专项练习
- [实用模板]监理学习知识1 - 图文
- [实用模板]小机灵杯四年级试题
- [实用模板]国贸专业毕业论文模板
- [实用模板]教育学概论考试练习题-判断题4
- [实用模板]2015届高考英语一轮复习精品资料(译林
- 00Nkmhe_市场营销学工商管理_电子商务_
- 事业单位考试法律常识
- 诚信教育实施方案
- 吉大小天鹅食品安全检测箱方案(高中低
- 房地产销售培训资料
- 高一地理必修1复习提纲
- 新概念英语第二册lesson_1_练习题
- 证券公司内部培训资料
- 小学英语时间介词专项练习
- 新世纪英语专业综合教程(第二版)第1册U
- 【新课标】浙教版最新2018年八年级数学
- 工程建设管理纲要
- 外研版 必修一Module 4 A Social Surve
- Adobe认证考试 AE复习资料
- 基于H.264AVC与AVS标准的帧内预测技术
- 《食品检验机构资质认定管理办法》(质
- ABB变频器培训课件
- (完整版)小学说明文阅读练习题及答案
- 深思洛克(SenseLock) 深思IV,深思4,深
- 弟子规全文带拼音




