计算机网络安全教程第6章课后练习题及答案

课后练习

一、填空

1．常用身份认证技术，主要有（）、（）、（）、（）、（）。

2．RADIUS是一种（）结构的协议，它的客户端最初是（），认证机制灵活，可以采用PAP，CHAP或（）等多种方式。

3．DCE/Kerberos是一种被证明为非常安全的（）认证技术。

4．访问控制的主要目标包括：机密性要求、（）、（）、（）。

5．目前的主流访问控制技术有：（）、（）、（）。

二、选择

1．区分以下的口令：( )好口令，( )是坏口令：

A. Mary

B.ga2work

C. cat&dog

D.3.1515pi

2．以下认证技术，属于身份认证范畴的是（）。

A. IC卡认证

B.生物特征认证

B KEY认证

D.动态口令/动态密码

3．目前的主流访问控制技术有（）：

A. 基于角色的访问控制

B. 强制访问控制

C. 自主访问控制

D. Kerberos

4．验证一个人身份的手段，大体可以分为三种，包括：（）。

A. what you know

B. what you have

C. what is your name

D. who are you

5．现实生活中我们遇到的短信密码确认方式，属于（）

A. 动态口令牌

B. 电子签名

C. 静态密码

D. 动态密码

三、简答

1．简单列举现实生活中运用到IC卡认证技术的场合，说明此种方式的优点和不足。

2．简单描述基于公钥密码的认证体制的主要原理。

3．访问控制主要包括哪几个要素？它们之间的关系是怎样的？

4．自主访问控制可以分成哪两类？该机制存在的问题是什么？5．浅谈生物特征认证技术的优缺点。

课后练习答案

一、填空

1．用户名/密码方式IC卡认证生物特征认证 USB KEY认证动态口令/动态密码数字签名

2．CLIENT/SERVER NAS UNIX登录认证

3．用户认证

4．完整性要求可审计性可用性

5．DAC MAC RBAC

二、选择

1．D A

2．A B C D

3．A B C

4．A B D

5．D

三、简答

1. 略。

2. 基于公共密钥的安全策略进行身份认证，具体而言，使用符合X.509的身份证明。使用这种方法必须有一个第三方的证明授权（CA）中心为客户签发身份证明。客户和服务器各自从CA获取证明，并且信任该证明授权中心。在会话和通讯时首先交换身份证明，其中包含了将各自的公钥交给对方，然后才使用对方的公钥验证对方的数字签名、交换通讯的加密密钥等。在确定是否接受对方的身份证明时，还需检查有关服务器，以确认该证明是否有效。

与“传统密码体制”相对应的“非对称密钥密码体制”，即“公开密钥密码体制”。其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用；而解密密钥只有解密人自己知道。这两个密钥分别称为“公开密钥”（Public Key），和“秘密密钥”（Private Key）。

3. 访问控制的主要目标，访问控制的基本要素，访问控制的实现，详见6.2.2。

4. 自主访问控制可以分为以下两类。

（1）基于个人的策略：根据哪些用户可对一个目标实施哪一种行为的列表来表示，等于用一个目标的访问矩阵的列来描述。

（2）基于组的策略：一组用户对于一个目标具有同样的访问许可，是基于身份策

略的另一种情形，相当于把访问矩阵中的多个行压缩为一个列。实际使用时，应先定义组的成员，对用户组授权，同一个组可以被重复使用，可以改变组的成员。

自主访问控制存在的问题是配置的粒度小，配置的工作量大，效率上有一些低。

5. 生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术。常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，不同的人具有相同生物特征的可能性可以忽略不计，因此几乎不可能被仿冒。

生物特征认证基于生物特征识别技术，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性。首先，生物特征识别的准确性和稳定性还有待提高，特别是如果用户身体受到伤病或污渍的影响，往往导致无法正常识别，造成合法用户无法登录的情况。其次，由于研发投入较大和产量较小的原因，生物特征认证系统的成本非常高，目前只适合于一些安全性要求非常高的场合如银行、部队等使用，还无法做到大面积推广。