免费智能真题库 > 历年试卷 > 信息安全工程师 > 2016年下半年 信息安全工程师 上午试卷 综合知识
  第5题      
  知识点:   口令认证技术   认证
  章/节:   认证技术方法       

 
面向身份信息的认证应用中,最常用的认证方式是(5)。
 
 
  A.  基于数据库认证
 
  B.  基于摘要算法认证
 
  C.  基于PKI认证
 
  D.  基于账户名和口令认证
 
 
 

 
  第7题    2018年上半年  
   40%
S/key口令是一种一次性口令生成方案,它可以对抗( )。
  第23题    2022年下半年  
   0%
目前,计算机及网络系统中常用的身份认证技术主要有:口令认证技术、智能卡技术、基于生物特征的认证技术等。其中不属于生物特征的..
  第19题    2017年上半年  
   33%
在使用复杂度不高的口令时,容易产生弱口令的安全脆弱性,被攻击者利用,从而破解用户账户,下列设置的口令中,( )具有最好的口..
   知识点讲解    
   · 口令认证技术    · 认证
 
       口令认证技术
        口令认证是基于用户所知道的秘密而进行的认证技术,是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证技术。例如,Windows2000系统、UNIX系统、BBS、电子邮件、Web服务、FTP服务都用到了口令认证。口令认证一般要求参与认证的双方按照事先约定的规则,用户发起服务请求,然后用户被要求向服务实体提供用户标识和用户口令,服务实体验证其正确性,若验证通过,则允许用户访问。
        设用户A的标识为UA,口令为PA,服务方实体为B,则认证过程描述如下:
        第一步,用户A发送消息(UAPA)到服务方B。
        第二步,B收到(UAPA)消息后,检查UAPA的正确性。若正确,则通过用户A的认证。
        第三步,B回复用户A验证结果消息。
        目前,服务方实体B通常会存储用户A的口令信息。一般安全要求把口令进行加密变换后存储,口令非明文传输。
        口令认证的优点是简单,易于实现。当用户要访问系统时,要求用户输入“用户名和口令”即可。例如,当使用者以超级管理员身份访问Solaris操作系统时,要求输入root用户名和root的口令信息,如下图所示。
        
        Solaris的口令认证示意图
        但是,口令认证的不足是容易受到攻击,主要攻击方式有窃听、重放、中间人攻击、口令猜测等。因此,要实现口令认证的安全,应至少满足以下条件:
        . 口令信息要安全加密存储;
        . 口令信息要安全传输;
        . 口令认证协议要抵抗攻击,符合安全协议设计要求;
        . 口令选择要求做到避免弱口令。
        目前,为了保证口令认证安全,网络服务提供商要求用户遵循口令生成安全策略,即口令设置要符合口令安全组成规则,同时对生成的口令进行安全强度评测,从而促使用户选择安全强度较高的口令。如下图所示,某系统要求用户的口令设置符合安全规则,同时进行口令安全强度检查。
        
        口令安全生成示意图
 
       认证
        认证又分为实体认证和消息认证两种。实体认证是识别通信对方的身份,防止假冒,可以使用数字签名的方法。消息认证是验证消息在传送或存储过程中有没有被篡改,通常使用报文摘要的方法。
               基于共享密钥的认证
               如果通信双方有一个共享的密钥,则可以确认对方的真实身份。这种算法依赖于一个双方都信赖的密钥分发中心(Key Distribution Center,KDC),如下图所示,其中的A和B分别代表发送者和接收者,KAKB分别表示A、B与KDC之间的共享密钥。
               
               基于共享密钥的认证协议
               认证过程如下:A向KDC发出消息{A,KA(B,KS)},说明自己要与B通信,并指定了与B会话的密钥KS。注意,这个消息中的一部分(B,KS)是用KA加密的,所以第三者不能了解消息的内容。KDC知道了A的意图后就构造了一个消息{KB(A,KS)}发给B。B用KB解密后就得到了A和KS,然后就可以与A用KS会话了。
               然而,主动攻击者对这种认证方式可能进行重放攻击。例如A代表雇主,B代表银行。第三者C为A工作,通过银行转账取得报酬。如果C为A工作了一次,得到了一次报酬,并偷听和复制了A和B之间就转账问题交换的报文,那么贪婪的C就可以按照原来的次序向银行重发报文2,冒充A与B之间的会话,以便得到第二次、第三次……报酬。在重放攻击中攻击者不需要知道会话密钥KS,只要能猜测密文的内容对自己有利或是无利就可以达到攻击的目的。
               基于公钥的认证
               这种认证协议如下图所示。A向B发出EB(A,RA),该报文用B的公钥加密。B返回EARARBKS),用A的公钥加密。这两个报文中分别有A和B指定的随机数RARB,因此能排除重放的可能性。通信双方都用对方的公钥加密,用各自的私钥解密,所以应答比较简单。其中的KS是B指定的会话键。这个协议的缺陷是假定双方都知道对方的公钥。
               
               基于公钥的认证协议
   题号导航      2016年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第5题    在手机中做本题