PKI 第9、10章 习题(含答案)

第9章课后习题

9-1简单认证采用用户ID、口令的形式提供使用者在系统中的身份认证，在简单认证中一般不使用加密作为认证的手段，但在网络上存在侦听的入侵者时，如何保证入侵者不能使用重放攻击？

答：为了防止入侵者使用重放攻击，需要采用复杂的技术，如单向散列技术，把需要散列的数据通过单向函数以近似随机的方式映射到一个固定长度的序列。但这种方案也存在缺陷，入侵者可以直接用登录程序去掉用户名与密码散列的过程，将在网络上捕获的散列值直接作为结果使用，发往服务器。这时，服务器无法分辨是用户还是入侵者在进行登录。

解决办法有：第一种方法是，验证开始，服务器首先生成一随机数，送往客户端，客户端对用户ID、密码散列的结果与随机数再散列，然后发往服务器方。服务器从用户ID、密码的散列库中取出该用户ID与密码的散列值与原先产生的随机数再散列，然后与用户传过来的散列值比较，如果相同，则通过服务器验证并对用户授予相应权限。

第二种方法是在客户端生成一个时间标记，直接与客户的ID与密码散列后传送到服务器端，省去了服务器到客户的随机数回送。这里存在时钟同步问题，验证时由于时钟不同步，系统会拒绝通过。解决方法是在验证服务器上进行多次试探验证，在一个时间范围内试探，如果成功则在服务器上存储时钟的偏移量，以便下次登录时验证。

9-2基于口令的认证技术中，何谓加盐操作？其作用又是什么？

答：基于口令的认证技术中，对通信的口令根据系统生成的随机比特数进行交换置换，该随机数就称为盐，也存储在口令文件中，该操作也可称为加盐操作。对口令的“加盐操作”放大了口令的空间，从口令的字典变成了某个随机的非对称密钥空间，能有效防止字典攻击。

9-3试编写一个简单认证的程序,利用用户名、口令的散列值加密一个服务器方传送的随机数进行用户的登录认证，可以使用相应的软件包来进行散列、加密运算。

9-4利用令牌来进行验证在目前的应用系统验证中使用得越来越普遍，使用令牌进行认证主要是解决强认证系统中的什么问题？目前通常使用的有哪几种令牌？都有些什么特点？并试提出改良方案？

答：在使用令牌进行验证的系统中，进行验证的密钥存储在令牌当中，对密钥的访问用口令

进行控制，令牌是一个如IC卡一样可以加密存储并运行相应的加密算法的设备，通过令牌，可以完成对用户必须拥有某物的验证，令牌的实现分为质询响应令牌与时戳令牌，当前使用较多的是时戳令牌。

质询响应令牌的工作原理是，在进行身份认证时，认证服务器首先发送一个随机数，到客户的登录程序，用户将这个随机数读出，并输入令牌，输入令牌的PIN码，完成对令牌的访问，令牌对输入的随机数用存储的密钥进行加密，并把加密的结果用Base64编码，输出到令牌。令牌显示的并不一定是随机数加密后的全部Base64编码，可能只是前几位，用户把令牌的输入输出到客户的验证程序中，数据传输到认证的服务器端，在服务器端存储着用户的密钥，可以用该密钥对先产生的随机数加密，从而得到相应的加密结果，同样对该加密结果进行Base64编码，与从客户端传过来的数据进行比较，以确定是否允许客户通过登录认证。

基于质询响应令牌的特点：系统的安全强度将会大大增加，系统的安全性取决于密钥的长度，密钥采用令牌来存储可以随身携带，而且令牌有pin码保护，对令牌的非法访问超过一定的次数后，令牌会死锁。但该方法最大的缺陷是用户使用起来极不方便，需要3次正确地输入相关的随机数、密码、加密结果，任何一次的输入错误都会造成登录失败。

时戳令牌是一个利用时间代替上面的随机数而产生登录数据的形式，时戳令牌每时每刻都在工作，一般每分钟产生一个登录的数据信号，用户只需输入pin码，登录的数据被传送到认证的服务器端，服务器端对当前时间进行相应的加密运算，并将生成的结果与从令牌传送的数据对比，完成用户的登录过程。

时间不能准确地同步是时间令牌经常发生的现象。典型地,认证服务器通过以服务器时钟为中心点,加上或减少几分钟的滑动窗口来尝试和查找认证通行码.服务器会记录令牌与服务器的时间偏移,下次认证时就用它为认证通行码.这样服务器就能跟踪每个令牌的时钟偏移.

改良方案略。

9-5如何利用PKI认证技术防范重放攻击和中间人攻击，罗列其中2至3种方法？

答：1在口令认证技术中采用单向散列技术；2采用智能卡或基于声音认证的生物认证技术等

9-6基于生物特征的认证技术有那几种？各有什么特点？

答:于生物识别技术的认证，主要是根据认证者的图像、指纹、气味、声音等来做使用者的认

证。由于认证者的物理特性是惟一的，如果存储的认证者的信息被泄密，该用户的生物认证信息将不能再用作认证。实际的使用一般是将认证者的信息与一个模版合并作为密钥，这样可以对用户的生物认证信息进行保密。基于图像、指纹等生物认证技术使用方便，但容易受到欺骗

攻击或重放攻击，图片可能会由于时间久远而发生颜色蜕变，指纹也有可能会遇到磨损或结出很厚的茧等问题。基于声音和虹膜的认证技术中加入了质询/响应，就可以防止欺骗攻击和重放攻击。但也会遇到喧闹的环境中难以工作，由于眼睛或隐性眼镜反射存在的问题。因此，目前还没有绝对安全的生物认证技术，但它可以和智能卡，PIN等组成3-因素认证，加强认证系统的安全性。

9-7在进行人体特征认证时,可以利用指纹、图像、气味、声音等进行认证,如果在不同的系统中都采用该特征进行认证,则在不同的认证中使用了同一个特征,如何保证一个系统中的安全问题不影响另一个系统安全性的使用?

答：基于用户知道什么（口令）、拥有什么（令牌）、是什么（生物特征），三因素认证是目前强认证中（通过基于密钥的认证）中使用最多的手段。在安全性要求较高的系统中，认证必须能对用户进行身份鉴定。把用户知道什么、拥有什么、是什么结合起来，对认证用的密钥进行保护。用户知道什么，决定了用户在使用时的保护；用户拥有什么（令牌），对用户使用的密钥进行了物理的保护；用户是什么，直接对用户的身份进行了鉴定。认证的安全强度取决于密钥的长度，可以根据不同的安全要求情况决定适当的密钥长度。目前在安全要求较高的系统中一般使用多因素验证，以增加对认证密钥的保护力度，并对用户进行身份鉴定。虽然在不同的系统在中使用相同的生物特征，但只要令牌/智能卡，口令认证这2个因素在各个系统中是不相同的。这样就能有效地保证一个系统中的安全问题不影响另一个系统安全性的使用

9-8简述智能卡的构造，并分析如何将智能卡应用到PKI认证系统？答：智能卡是由单一集成电路组成，微处理器芯片被粘在金属触点后面，电源一般是5V,时钟一般是3-5MHZ,通信都是连续和双半工,一般限制在9600b/s之内;智能卡读卡器通过触点提供电源,时钟和I/O。

智能卡一般可以支持2个以上的密钥，其中一个可用于数字签名，另一个用于解密。具体的工作过程如下图