信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/9/14）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/9/14

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/9/14）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)cnitpm1482935986：
1、認(rèn)證主要是對確保報文發(fā)送者和接收者的身份的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充、篡改、重播等。 加密用以確保數(shù)據(jù)的機密性，阻止對手的被動攻擊，如截獲、竊聽 2、（1）nb的作用：是一個隨機值，抗重放攻擊 （2）nb選擇的條件：隨機性、不易被猜測 3、哈希算法具有單向性，經(jīng)過哈希運算之后的隨機值，即使被攻擊者截獲，也無法對該隨機值進行還原。 4、存在重放攻擊和中間人攻擊 針對重放攻擊，建議加入時間戳 針對中間人攻擊，加入針對身份的雙向驗證。

信管網(wǎng)abc15135143401：
1、認(rèn)證：網(wǎng)絡(luò)信息在發(fā)送者到達接收者過程中進行授權(quán)，屬于主動攻擊 加密：網(wǎng)絡(luò)信息在發(fā)送者到達接收者過程中對數(shù)據(jù)進行保密，屬于被動攻擊。 2、nb作用啟到確保數(shù)據(jù)的機密性 nb滿足條件 3、確保數(shù)據(jù)的機密性和完整性，通過nb計算哈希值防止非授權(quán)用戶入侵 4、存在安全缺陷，數(shù)據(jù)在傳輸過程中應(yīng)加入驗證碼或者時間戳

信管網(wǎng)hellotiantianxiangshang：
認(rèn)證：防止數(shù)據(jù)的發(fā)送方不被篡改 加密：對數(shù)據(jù)進行加密，防止數(shù)據(jù)被篡改 加鹽 隨機性，不可預(yù)測性 防止nb被猜測

信管網(wǎng)abc15135143401：
1、加密用于確保數(shù)據(jù)的機密性，阻止對手的被動攻擊，如截取、竊聽等。 認(rèn)證用于確保報文的發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充，篡改，重播等。 2、身份認(rèn)證， 3、對a的公鑰進行解密。 4、

信管網(wǎng)abc15135143401：
1、加密用于確保數(shù)據(jù)的機密性，阻止對手的被動攻擊，如截取、竊聽等。 認(rèn)證用于確保報文的發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊，如冒充，篡改，重播等。 2、身份認(rèn)證， 3、對a的公鑰進行解密。 4、