信息安全工程師案例分析當(dāng)天每日一練試題地址：http://www.xomuzic.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://www.xomuzic.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2017/6/18）在線測(cè)試：http://www.xomuzic.com/exam/ExamDayAL.aspx?t1=6&day=2017/6/18

信息安全工程師案例分析每日一練試題內(nèi)容（2017/6/18）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對(duì)消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對(duì)Nb計(jì)算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請(qǐng)給出相應(yīng)的解決思路。

信管網(wǎng)wwxxaq2017：
問題1： 認(rèn)證防御主動(dòng)攻擊，如仿冒、篡改；加密防御被動(dòng)攻擊，如竊聽、流量分析 認(rèn)證側(cè)重于身份驗(yàn)證，消息完整性驗(yàn)證；加密側(cè)重于數(shù)據(jù)保密 問題2： 抗重放攻擊 隨機(jī)性 問題3：

信管網(wǎng)融意：
1.加密是對(duì)數(shù)據(jù)的隱蔽性處理，認(rèn)證是對(duì)訪問用戶的身份認(rèn)證 2.nb是防止別的用戶仿冒用戶進(jìn)行訪問，一個(gè)會(huì)話一個(gè)隨機(jī)數(shù) nb應(yīng)保證隨機(jī)性 3.保證數(shù)據(jù)的完整性，不被篡改 4.a未收到b的認(rèn)證應(yīng)答，b應(yīng)給a一個(gè)值為nb+1的應(yīng)答

信管網(wǎng)uuu：
1.認(rèn)證確保接收者和發(fā)送者的真實(shí)性和數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改，重放，冒充。加密是確保數(shù)據(jù)的保密性，防止被竊聽和截取 2.抗重放攻擊 滿足隨機(jī)性，不易被猜測(cè) 3.哈希函數(shù)具有單向性，計(jì)算出來的哈希值不會(huì)被攻擊者破解。 4.缺陷：攻擊者通過截取h（nb）冒充用戶a給用戶b發(fā)送h（nb） 解決思路：用戶a將標(biāo)識(shí)a和nb經(jīng)過哈希運(yùn)算得到h（a，nb）發(fā)送給用戶b，而用戶b將保存的a標(biāo)識(shí)和nb進(jìn)行哈希運(yùn)算加密，再將兩者比較，觀察是否一致。

信管網(wǎng)hutuyes：
問題1：認(rèn)證保證資源的真實(shí)性和完整性，防止主動(dòng)攻擊，加密保證資源的保密性，防止被動(dòng)攻擊 問題2： 1.防止抗重放攻擊 2.隨機(jī)值，不易被猜測(cè) 問題3： 問題4：

信管網(wǎng)mr.holden：
1.認(rèn)證確保接受者和發(fā)送者的真實(shí)性和數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改，重放.
加密是確保數(shù)據(jù)的安全性，防止被竊聽和截取.
2.抗重放攻擊作用.
滿足隨機(jī)性的條件，不易被猜測(cè).
3.哈希函數(shù)具有單向性，計(jì)算出來的哈希值不會(huì)被攻擊者破解.
4.缺陷：攻擊者通過截取h（nb）冒充用戶a給用戶b發(fā)送h（nb）.
解決思路：用戶a將標(biāo)識(shí)a和nb經(jīng)過哈希運(yùn)算得到的哈希值h（a,nb）發(fā)送給用戶b,而用戶b將保存的a標(biāo)識(shí)與nb進(jìn)行哈希運(yùn)算加密，再將兩者比較，觀察是否一致.