信息安全工程師案例分析當天每日一練試題地址：www.xomuzic.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.xomuzic.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/11/11）在線測試：www.xomuzic.com/exam/ExamDayAL.aspx?t1=6&day=2021/11/11

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內(nèi)容（2021/11/11）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內(nèi)。
【說明】
用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。

信管網(wǎng)9abc123：
認證是對用戶身份信息的檢查核對，達到保密性的安全要求；加密是對信息的轉(zhuǎn)化處理，達到保密性和完整性的安全要求。 nb起到隨機數(shù)的作用，達到抗重放攻擊的作用。 nb的選擇應盡量隨機、不易被猜測。 nb計算哈希值是為了避免被截取，避免重放攻擊。 存在重放攻擊的安全缺陷。 改進驗證機制，實現(xiàn)ab雙向驗證和信息加密。

信管網(wǎng)cnitpm464475332462：
1.認證是為了確保用戶是合法的，加密是為了確保數(shù)據(jù)在傳輸過程中的安全性 2.加鹽，為了防止他人截獲消息 3.為了確保消息沒有被篡改 4.

信管網(wǎng)cnitpm479344739299：
問題1 認證 確認信息的有效性和來源的可靠性 加密 確保信息不被非法訪問和破壞 問題2 生成數(shù)字證書，使a在接到消息后，可以進行確認，該消息為b所發(fā)生的 隨機性夠強 問題3 計算哈希值，與原值進行比對，確保該消息的真實性 問題4

信管網(wǎng)cnitpm472621274377：
問題1：認證和加密的區(qū)別在于，加密用以確保數(shù)據(jù)的保密性，阻止對手的被動攻擊：而確認用以確保報文發(fā)送者和接受者的真實性以及報文的完整性，阻止對手的主動攻擊。 問題2：nb是一個隨機值，只有發(fā)送方b和a知道，起到抗重放攻擊的作用。 nb的取值應當隨機和不可預測 問題3：計算哈希值是為了使中間人無法知道nb的產(chǎn)生信息。 問題4 ：存在重放攻擊和中間人攻擊。針對重放攻擊可以家人時間戳和驗證碼。針對中間人可以加入針對身份的雙向驗證。

信管網(wǎng)ipａｎｄa：
加密--保護機密性，防止對方被動攻擊，竊聽 認證--保護完整性，防止對方主動攻擊，冒充 nb 隨機值，只有ab知道，起到抗重放攻擊作用 隨機，不容易猜到 計算哈希值是為了中間人不知道nb產(chǎn)生的信息 存在抗重放攻擊，中間人攻擊，可以冒充 加入時間戳，驗證等，進行雙向驗證