信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/10/8）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2021/10/8

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2021/10/8）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實(shí)現(xiàn)用戶B對用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對Nb計(jì)算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)ding2jd：
認(rèn)證是確認(rèn)授權(quán)人員訪問資源保護(hù)資源的完整性和保密性，加密是保護(hù)數(shù)據(jù)不被非授權(quán)人員和傳輸過程被偷窺，保護(hù)機(jī)密性 nb是隨機(jī)數(shù)，防止被猜測發(fā)現(xiàn) 隨機(jī)，不會(huì)被輕易猜測發(fā)現(xiàn) 哈希保證數(shù)據(jù)在傳輸過程不會(huì)被截取破解獲取隨機(jī)數(shù) 存在重放風(fēng)險(xiǎn) 可以加入時(shí)間戳或者序列號

信管網(wǎng)chenyuntao：
問題1：加密用于確保數(shù)據(jù)的機(jī)密性，阻止信息泄露。＜br＞認(rèn)證用于確認(rèn)報(bào)文發(fā)送者和接受者的身份真實(shí)性及報(bào)文的完整性，阻止冒充、篡改。＜br＞問題2：（1）nb是一個(gè)隨機(jī)數(shù)，只有a和b知道，起到防重放作用。＜br＞（2）應(yīng)具備隨機(jī)性，不易被猜測。＜br＞問題3：哈希算法具有單向性，對nb計(jì)算哈希值后即使被截獲也推算不出來。＜br＞問題4：存在重放攻擊和中間人攻擊缺陷。對重放攻擊可以加入時(shí)間戳，中間人攻擊可以加入雙向身份驗(yàn)證。

信管網(wǎng)dgjdyyh：
（1）加密是為了保證數(shù)據(jù)的機(jī)密性，組織其他人截取、竊聽、盜取，認(rèn)證是信息安全的第一個(gè)大門，確保發(fā)送方和接收方身份的真實(shí)性及報(bào)文的完整性，阻止他人的主動(dòng)攻擊。 （2）nb的作用是利用隨機(jī)數(shù)防止重放攻擊。nb的選擇應(yīng)滿足隨機(jī)性。 （3）防止對面獲取到隨機(jī)數(shù)

信管網(wǎng)cnitpm28151895373：
1.認(rèn)證確保報(bào)文發(fā)送者和接受者的真實(shí)性以及報(bào)文的完整性，防止主動(dòng)攻擊。加密確保數(shù)據(jù)的保密性，防止被動(dòng)攻擊。＜br＞2.nb是一個(gè)隨機(jī)值，具有抗重放攻擊的作用。＜br＞    nb必須具有隨機(jī)性＜br＞3.hash具有單向性＜br＞4.

信管網(wǎng)ding2jd：
認(rèn)證是確認(rèn)對方的身份，保證通訊另一方是他自己宣稱的對象。加密只是對數(shù)據(jù)進(jìn)行加密，并不會(huì)考慮數(shù)據(jù)來源完整性以及是誰加密的問題 nb是用來檢驗(yàn)a確實(shí)得到了這個(gè)數(shù)字，用a的公鑰對nb進(jìn)行加密，那么只有a的私鑰可以解密，這樣保證了a是唯一可以讀取這個(gè)數(shù)字的人，從而判斷a是否就是對方。 1.不易猜測 2.不易偽造 3.足夠長 哈希值不容易被破解篡改，即使第三方拿到值也無法還原明文，而b可以計(jì)算nb得到哈希值對a發(fā)來的哈希進(jìn)行比對驗(yàn)證 存在被中間人攻擊的風(fēng)險(xiǎn)，當(dāng)?shù)谌浇孬@哈希值可以冒充a將哈希值傳給b，b以為對方就是a了。 a可以對哈希值再用a的私鑰進(jìn)行加密，這樣b可以用a的公鑰解密再算哈希了