Đang tải... (xem toàn văn)
Như đã biết, trong trường hợp người dùng thuộc về một phân hệ A muốn truy nhập vào server dịch vụ thuộc về một phân hệ B khác với A thì các bên liên quan bao gồm client C, server xác t[r]
(1)Thời gian : 120 phút Được phép tra cứu tất loại tài liệu Lớp INT3307 Không cho người khác mượn tài liệu hình thức
Đáp án đề thi số
An toàn an ninh mạng
(4 câu, trang, thang điểm 10)
1 Phân phối khóa xác thực người dùng (2,5 điểm)
a (1 điểm)
(a) Trao đổi với dịch vụ xác thực : để có thẻ cấp thẻ
(1) C AS : IDC ║ HệC ║ IDtgs ║ TS1
(2) AS C : EKC[KC,tgs ║ Hệtgs ║ IDtgs ║ TS2 ║ Hạn2 ║ Thẻtgs]
Thẻtgs = EKtgs[KC,tgs ║ HệC ║ IDC ║ ADC ║ IDtgs ║ TS2 ║ Hạn2]
(b) Trao đổi với dịch vụ cấp thẻ : để có thẻ dịch vụ
(3) C TGS : IDV ║ Thẻtgs ║ DấuC
(4) TGS C : EKC,tgs[KC,V ║ HệV ║ IDV ║ TS4 ║ ThẻV]
ThẻV = EKV[KC,V ║ HệC ║ IDC ║ ADC ║ IDV ║ TS4 ║ Hạn4] DấuC = EKC,tgs[HệC ║ IDC ║ ADC ║ TS3]
(c) Trao đổi xác thực client/server : để có dịch vụ
(5) C V : ThẻV ║ DấuC
(6) V C : EKC,V[TS5 + 1]
DấuC = EKC,V[HệC ║ IDC ║ ADC ║ TS5]
b (1,5 điểm)
(1) C AS : IDC ║ HệC ║ IDtgsrem ║ TS1
(2) AS C : EKC[KC,tgsrem ║ Hệtgsrem ║ IDtgsrem ║ TS2 ║ Hạn2 ║ Thẻtgsrem] Thẻtgsrem = EKtgsrem[KC,tgsrem ║ HệC ║ IDC ║ ADC ║ IDtgsrem ║ TS2 ║ Hạn2]
(3) C TGSrem : IDVrem ║ Thẻtgsrem ║ DấuC
(4) TGSrem C : EKC,tgsrem[KC,Vrem ║ HệVrem ║ IDVrem ║ TS4 ║ ThẻVrem] ThẻVrem = EKVrem[KC,Vrem ║ HệC ║ IDC ║ ADC ║ IDVrem ║ TS4 ║ Hạn4] DấuC = EKC,tgsrem[HệC ║ IDC ║ ADC ║ TS3]
(5) C Vrem : ThẻVrem ║ DấuC
(6) Vrem C : EKC,Vrem[TS5 + 1]
(2)TailieuVNU.com
ĐẠI HỌC QUỐC GIA HÀ NỘI Khoa Công nghệ Thông tin
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Học kỳ II, Năm học 2014 - 2015
2 An toàn mức giao vận (2,5 điểm)
a (1 điểm)
Sơ đồ hình 5.6 sách giáo trình (trang 168 slides giảng) với tất thông báo tùy chọn (0,5 điểm)
Thơng báo server_key_exchange cho phép client xác thực server (0,25 điểm) Thông báo certificate_verify cho phép server xác thực client (0,25 điểm)
b (1,5 điểm)
Thông báo certificate server gửi cho client chứa khóa cơng khai DSS có sẵn server (0,25 điểm)
Thơng báo server_key_exchange chứa khóa cơng khai RSA tức thời server tạo có tính mã hóa, khóa ký với khóa riêng DSS có sẵn server (0,25 điểm)
Thơng báo certificate_request chứa tham số giải thích trang 180 slides giảng (0,25 điểm)
Thông báo certificate client gửi cho server chứa khóa cơng khai DSS có sẵn client (0,25 điểm)
Thơng báo client_key_exchange chứa khóa phiên client tạo (pre_master_secret) mã hóa với khóa cơng khai RSA tức thời server (0,25 điểm)
Thông báo certificate_verify chứa giá trị băm dựa thơng báo trước (handshake_messages) master_secret ký với khóa riêng DSS có sẵn client (0,25 điểm)
3 An toàn thư điện tử (2,5 điểm)
Sơ đồ với vòng tròn tương ứng với ký hiệu từ A đến H, vịng trịn A, C, E, F tơ xám hồn tồn, vịng trịn D G tơ xám nửa, cịn vịng trịn cịn lại (B H) khơng tơ (0,5 điểm), vịng trịn A có viền kép, vịng trịn cịn lại có viền đơn (0,25 điểm), vẽ mũi tên từ B đến D, G I, từ C đến B D, từ D đến A, từ E đến A D, từ F đến C, từ G đến E, từ H đến F G, lưu ý I dấu hỏi chấm vòng tròn (0,75 điểm) Các vòng tròn A, B, D, E, G có dấu chấm giữa, vịng trịn cịn lại khơng có dấu chấm (1,00 điểm)
4 An toàn IP (2,5 điểm)
a (1 điểm)
Khn dạng hình 8.8.c IPv4 trang 286 sách giáo trình (0,75 điểm) Liên kết an ninh sử dụng chế độ đường hầm (0,25 điểm)
b (1,5 điểm)
(3)(4)TailieuVNU.com
ĐẠI HỌC QUỐC GIA HÀ NỘI Khoa Công nghệ Thông tin
(5)Lớp INT3307 Không cho người khác mượn tài liệu hình thức
Đề thi số
An toàn an ninh mạng
(4 câu, trang, thang điểm 10)
1 Phân phối khóa xác thực người dùng (2,5 điểm)
Xét hội thoại xác thực Kerberos Như biết, trường hợp người dùng thuộc phân hệ A muốn truy nhập vào server dịch vụ thuộc phân hệ B khác với A bên liên quan bao gồm client C, server xác thực AS phân hệ A, server cấp thẻ TGS phân hệ A, server cấp thẻ TGS phân hệ B server dịch vụ V phân hệ B phải trao đổi với tổng cộng thông báo (kể thông báo V gửi cho C để C xác thực V)
c (1 điểm)
Hãy thêm thông tin HệC, Hệtgs Hệv phân hệ người dùng, phân hệ
server cấp thẻ TGS phân hệ server dịch vụ V cách tương ứng vào chỗ thích hợp hội thoại xác thực Kerberos để tổng số thông báo trao đổi trường hợp truy nhập liên phân hệ giảm xuống Yêu cầu đặt giữ nguyên thông tin khác hội thoại Kerberos không thêm thông tin khác vào hội thoại ngồi thơng tin phân hệ nêu
d (1,5 điểm)
Viết hội thoại trao đổi liên phân hệ cho phép người dùng thuộc phân hệ truy nhập vào server dịch vụ thuộc phân hệ khác (ở xa)?
2 An toàn mức giao vận (2,5 điểm)
Trong ứng dụng Web, hai bên client server sử dụng giao thức Handshake chuỗi giao thức SSL để xác thực lẫn thỏa thuận tham số an ninh (các giải thuật khóa mật mã) Giả sử phương pháp trao đổi khóa client server thống nhất sử dụng sau trao đổi thông báo client_hello server_hello giai đoạn RSA Client có sẵn cặp khóa riêng khóa cơng khai DSS khóa cơng khai DSS chứng thực từ trước Server có sẵn cặp khóa riêng khóa cơng khai DSS khóa cơng khai DSS chứng thực từ trước
c (1 điểm)
Vẽ sơ đồ trao đổi thông báo giai đoạn client server giao thức Handshake SSL nêu theo cách thức cho phép hai bên xác thực lẫn Chỉ rõ thông báo cho phép client xác thực server ngược lại thông báo cho phép server xác thực client
d (1,5 điểm)
(6)ĐẠI HỌC QUỐC GIA HÀ NỘI Khoa Công nghệ Thơng tin
TRƯỜNG ĐẠI HỌC CƠNG NGHỆ Năm học 2014 - 2015
3 An toàn thư điện tử (2,5 điểm)
Chương trình PGP người dùng A lưu giữ vịng khóa cơng khai có trường
Public Key, User ID, Owner Trust, Signatures sau:
Public Key
PUA PUB PUC PUD PUE PUF PUG PUH
User ID A B C D E F G H
Owner Trust Tột bậc Khơng tin cậy Hồn tồn Một phần Hoàn toàn Hoàn toàn Một phần Không tin cậy
Signatures - D, G, I B, D A A, D C E F, G Tính hợp lệ khóa cơng khai (Key Legitimacy) PGP tính theo quy tắc sau:
Khóa cơng khai thân người dùng A hợp lệ
Nếu khóa cơng khai có chữ ký có độ tin cậy (Signature Trust)
bậc hợp lệ
Nếu khơng, tính hợp lệ khóa cơng khai tính tổng trọng số độ tin cậy của chữ ký Trọng số gán cho chữ ký có độ tin cậy hồn tồn Trọng số 1/2 gán cho chữ ký có độ tin cậy phần Nếu tổng trọng số đạt tới hoặc vượt ngưỡng khóa cơng khai xác định hợp lệ
Trong tất trường hợp cịn lại, khóa cơng khai coi khơng hợp lệ Vẽ mơ hình tin cậy PGP tương ứng
4 An toàn IP (2,5 điểm)
Xét gói tin IPv4 truyền từ nguồn ban đầu máy tính H1 mạng cục LAN1 đến đích cuối máy tính H2 mạng cục LAN2 qua cổng an ninh GW1 LAN1 GW2 LAN2 Các thiết bị H1, GW1, GW2 H2 có khả cung cấp dịch vụ IPSec Các gói tin IPSec truyền mạng Internet từ GW1 đến GW2 chống hình thức cơng phân tích lưu lượng hữu hạn giả mạo nguồn gốc liệu
a (1 điểm)
Vẽ khn dạng gói tin IPSec cho chúng áp dụng liên kết an ninh đáp ứng yêu cầu nêu Chế độ sử dụng liên kết an ninh có tên gọi (giao vận, đường hầm, kề với giao vận hay đường hầm nhiều bước)?
b (1,5 điểm)
TailieuVNU.com