信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2023/4/30）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2023/4/30

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2023/4/30）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實體，Nb是一個隨機(jī)值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)cnitpm594245345722：
（1）加密是保證信息在傳輸過程的安全性，防止被動攻擊，如：竊聽等 認(rèn)證是保證發(fā)送方和接收方的真實性以及信息的完整性，防止主動攻擊，如：重傳，篡改等 （2）nb是個隨機(jī)數(shù)，只有a和b知道，就可以保證數(shù)據(jù)的機(jī)密性 nb要隨機(jī)選擇， （3）哈希函數(shù)具有單向性，經(jīng)過哈希函數(shù)計算后，得到的隨機(jī)數(shù)，即使被解獲也無法將其破解 （4）h（nb）可以被截獲后進(jìn)行重傳，無法保證是由a發(fā)送過來的 a可以將消息和自己的標(biāo)識經(jīng)過哈希計算后得到h（a,nb）發(fā)送給b，b收到消息后，用哈希函數(shù)對保存的a的標(biāo)識進(jìn)行哈希運算，如果相等，則確認(rèn)a的身份，否則就認(rèn)為不是a發(fā)送的

信管網(wǎng)hellotiantianxiangshang：
認(rèn)證保證數(shù)據(jù)完整性，機(jī)密保證數(shù)據(jù)的機(jī)密性 抗重放攻擊 隨機(jī)性和不可預(yù)測性 保證機(jī)密性，防止nb被猜測出來

信管網(wǎng)cnitpm583213352985：
1.認(rèn)證：對身份進(jìn)行識別；防偽造；加密放篡改 2.防偽造 隨機(jī)性 3.哈希不可逆，防偽造 4.如果消息2被攔截，也可以偽造身份，建議a再給b回一個收到消息

信管網(wǎng)cnitpm571026563352：
認(rèn)證是用戶認(rèn)證，確定用戶身份，保護(hù)數(shù)據(jù)的完整性 加密是保護(hù)數(shù)據(jù)安全 作用是秘鑰 大質(zhì)數(shù)難分解

信管網(wǎng)工程新一：
認(rèn)證是確保用戶能夠?qū)Y源擁有訪問權(quán)限的過程 加密采用一系列的算法將明文加密為密文，確保信息的機(jī)密性 認(rèn)證過程中都會使用加密方法 防止重放攻擊 不會重復(fù) 為了校驗隨機(jī)值的完整性，沒有被篡改過 存在信息泄露缺陷。a回復(fù)給b的摘要一旦被竊取，則他人就取得了b的認(rèn)證，因此還要驗證a的身份。a可以使用b的公鑰進(jìn)行加密處理，將密文發(fā)送給b，然后b用自己的私鑰解密，得到摘要。