信息安全工程師案例分析當(dāng)天每日一練試題地址：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.xiexiliangjiufa.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/6/4）在線測試：m.xiexiliangjiufa.com/exam/ExamDayAL.aspx?t1=6&day=2020/6/4

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2020/6/4）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對(duì)應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識(shí)別對(duì)確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實(shí)現(xiàn)用戶B對(duì)用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對(duì)消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對(duì)Nb計(jì)算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請(qǐng)給出相應(yīng)的解決思路。

信管網(wǎng)denggh：
1.區(qū)別： 加密：確保數(shù)據(jù)的保密性，阻止對(duì)手的被動(dòng)攻擊 認(rèn)證：用以確保報(bào)文發(fā)送者和接受者的真實(shí)性以及報(bào)文的完整性，阻止對(duì)手的主動(dòng)攻擊 2.（1）nb是一個(gè)隨機(jī)值，起到抗重放攻擊 （2）應(yīng)滿足隨機(jī)性，不易被猜測 3.哈希算法具有單向性，經(jīng)過哈希值運(yùn)算之后的隨機(jī)數(shù)，即使被攻擊者接貨也無法對(duì)該隨機(jī)數(shù)進(jìn)行還原，獲取該隨機(jī)數(shù)nb的產(chǎn)生信息 4.攻擊者可以通過截獲h（nb）冒充用戶a的身份給用戶b發(fā)送h（nb） 解決思路：用戶a通過將a的標(biāo)識(shí)和隨機(jī)數(shù)nb進(jìn)行哈希運(yùn)算。

信管網(wǎng)ccl103600753：
【1】認(rèn)證是對(duì)訪問用戶進(jìn)行身份識(shí)別，確保對(duì)數(shù)據(jù)有操作權(quán)限。加密是對(duì)數(shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)的完整性 【2】補(bǔ)位、隨機(jī) 【3】加密 【4】

信管網(wǎng)nahaya：
1. 加密是對(duì)數(shù)據(jù)進(jìn)行加密處理，保證保密性；認(rèn)證是對(duì)雙方的身份進(jìn)行驗(yàn)證，保證真實(shí)性和完整性 2. （1）起到挑戰(zhàn)的作用，只有a利用私鑰才能獲得nb, 并對(duì)nb進(jìn)行數(shù)據(jù)處理 （2）隨機(jī)性，不可預(yù)測性 3. 利用hash的單向性，防止遭到篡改，保證消息的完整性 4.不能抵抗中間人攻擊， c可以截獲a的信息，將a修改為c發(fā)給b， 并利用sk（c）解出nb 解決思路：a->b: {a, a的簽名}pkb