信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2023/12/16）在線測(cè)試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2023/12/16

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2023/12/16）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對(duì)消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對(duì)Nb計(jì)算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請(qǐng)給出相應(yīng)的解決思路。

信管網(wǎng)cnitpm668520423635：
認(rèn)證：需要雙方互相確認(rèn)身份，可以通過hash單向加密和非對(duì)稱加密實(shí)現(xiàn) 加密：對(duì)信息進(jìn)行加密，加密方法可以采用對(duì)稱或非對(duì)稱加密，但不能使用hash單向加密 防消息重放 盡可能大，不易被猜測(cè) 防止消息被篡改

信管網(wǎng)cnitpm682877399050：
問題1答：認(rèn)證可以包含加密手段。＜br＞問題2答：nb作為身份的唯一憑證，nb選擇應(yīng)滿足為素?cái)?shù)的條件。＜br＞問題3答：防止nb泄露＜br＞問題4答：上述協(xié)議只是單向認(rèn)證，缺少雙向認(rèn)證。

信管網(wǎng)cnitpm677383714756：
＜div class=＂box＂＞＜span style=＂color:#003399＂＞cnitpm591534930925的原帖： ＜／span＞＜span style=＂color:#999999＂＞2023／11／1 7:39:42＜／span＞＜br＞＜span class=＂style5＂＞認(rèn)證保證數(shù)據(jù)的真實(shí)性，加密保證數(shù)據(jù)的完整性＜／span＞＜／div＞認(rèn)證-》完整性，加密-〉機(jī)密性！

信管網(wǎng)cnitpm092449040：
1.1加密用于確保數(shù)據(jù)的機(jī)密性，阻止對(duì)手的被動(dòng)攻擊，如：截取，竊聽等， 1.2認(rèn)證用于確保豹紋發(fā)送著和接收者的真實(shí)性，以及報(bào)文的完整性，阻止對(duì)手的主動(dòng)攻擊，如：冒充，篡改，重播等 2.1消息中引入隨機(jī)數(shù)，是為了確保消息的唯一性 2.2nb應(yīng)滿足唯一性的條件 3可以生成唯一的hash值，用于驗(yàn)證消息的完整性，消息是否被篡改 4.1攻擊者可以通過偽造或竊取密鑰，繞過認(rèn)證機(jī)制 4.2采用多因素身份認(rèn)證，除了消息認(rèn)證外，還可以使用其他方式來驗(yàn)證用戶信息，如：短信驗(yàn)證，生物識(shí)別等

信管網(wǎng)azhangg：
1加密是對(duì)數(shù)據(jù)進(jìn)行加密，防止被泄露。是數(shù)據(jù)的。保密性認(rèn)證是發(fā)送方和接收方的身份認(rèn)證?？梢苑乐怪胤殴?。 2nb是一個(gè)隨機(jī)數(shù)，起的作用是防止重放攻擊。 3. 4.存在重放攻擊的安全隱患，解決辦法是加時(shí)間戳或序號(hào)