信息安全工程師案例分析當天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2023/3/5）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2023/3/5

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內(nèi)容（2023/3/5）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內(nèi)。
【說明】
用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。

信管網(wǎng)cnitpm594245345722：
（1）加密是保證信息在傳輸過程的安全性，防止被動攻擊，如：竊聽等 認證是保證發(fā)送方和接收方的真實性以及信息的完整性，防止主動攻擊，如：重傳，篡改等 （2）nb是個隨機數(shù)，只有a和b知道，就可以保證數(shù)據(jù)的機密性 nb要隨機選擇， （3）哈希函數(shù)具有單向性，經(jīng)過哈希函數(shù)計算后，得到的隨機數(shù)，即使被解獲也無法將其破解 （4）h（nb）可以被截獲后進行重傳，無法保證是由a發(fā)送過來的 a可以將消息和自己的標識經(jīng)過哈希計算后得到h（a,nb）發(fā)送給b，b收到消息后，用哈希函數(shù)對保存的a的標識進行哈希運算，如果相等，則確認a的身份，否則就認為不是a發(fā)送的

信管網(wǎng)hellotiantianxiangshang：
認證保證數(shù)據(jù)完整性，機密保證數(shù)據(jù)的機密性 抗重放攻擊 隨機性和不可預測性 保證機密性，防止nb被猜測出來

信管網(wǎng)cnitpm583213352985：
1.認證：對身份進行識別；防偽造；加密放篡改 2.防偽造 隨機性 3.哈希不可逆，防偽造 4.如果消息2被攔截，也可以偽造身份，建議a再給b回一個收到消息

信管網(wǎng)cnitpm571026563352：
認證是用戶認證，確定用戶身份，保護數(shù)據(jù)的完整性 加密是保護數(shù)據(jù)安全 作用是秘鑰 大質(zhì)數(shù)難分解

信管網(wǎng)工程新一：
認證是確保用戶能夠?qū)Y源擁有訪問權(quán)限的過程 加密采用一系列的算法將明文加密為密文，確保信息的機密性 認證過程中都會使用加密方法 防止重放攻擊 不會重復 為了校驗隨機值的完整性，沒有被篡改過 存在信息泄露缺陷。a回復給b的摘要一旦被竊取，則他人就取得了b的認證，因此還要驗證a的身份。a可以使用b的公鑰進行加密處理，將密文發(fā)送給b，然后b用自己的私鑰解密，得到摘要。