2016下半年信息安全工程師下午案例分析真題試題4與答案

點(diǎn)擊查看：2016下半年信息安全工程師下午案例分析真題匯總

點(diǎn)擊查看：2016下半年信息安全工程師真題與查分專題（綜合與案例分析）

試題四（共18分）
閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題4，將解答寫(xiě)在答題紙的對(duì)應(yīng)欄內(nèi)。
【說(shuō)明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過(guò)程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過(guò)程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對(duì)消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對(duì)Nb計(jì)算哈希值。
【問(wèn)題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問(wèn)題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問(wèn)題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問(wèn)題4】（4分）
上述協(xié)議存在什么安全缺陷？請(qǐng)給出相應(yīng)的解決思路。

信管網(wǎng)參考答案：

【問(wèn)題一】
認(rèn)證和加密的區(qū)別在于：加密用以確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊，如截取，竊聽(tīng)等；而認(rèn)證用以確保報(bào)文發(fā)送者和接收者的真實(shí)性以及報(bào)文的完整性，阻止對(duì)手的主動(dòng)攻擊，如冒充、篡改、重播等。
【問(wèn)題二】
（1） Nb是一個(gè)隨機(jī)值，只有發(fā)送方B和A知道，起到抗重放攻擊作用。
（2） 應(yīng)具備隨機(jī)性，不易被猜測(cè)。
【問(wèn)題三】
哈希算法具有單向性，經(jīng)過(guò)哈希值運(yùn)算之后的隨機(jī)數(shù)，即使被攻擊者截獲也無(wú)法對(duì)該隨機(jī)數(shù)進(jìn)行還原，獲取該隨機(jī)數(shù)Nb的產(chǎn)生信息。
【問(wèn)題四】
攻擊者可以通過(guò)截獲h（Nb）冒充用戶A的身份給用戶B發(fā)送h（Nb）。
解決思路：用戶A通過(guò)將A的標(biāo)識(shí)和隨機(jī)數(shù)Nb進(jìn)行哈希運(yùn)算，將其哈希值h（A，Nb）發(fā)送給用戶B，用戶B接收后，利用哈希函數(shù)對(duì)自己保存的用戶標(biāo)識(shí)A和隨機(jī)數(shù)Nb進(jìn)行加密，并與接收到的h（A，Nb）進(jìn)行比較。若兩者相等，則用戶B確認(rèn)用戶A的身份是真實(shí)的，否則認(rèn)為用戶A的身份是不真實(shí)的。