信息安全工程師案例分析當天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/6/26）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2021/6/26

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2021/6/26）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數據的安全保密及其重要，以下過程給出了實現用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。

信管網cnitpm416421245189：
【問題一】 認證：是確認發(fā)送消息的是不是真實的。 加密：是將消息進行加密。 【問題二】 （1）起到 （2）應具有隨機性 【問題三】 計算哈希值具有單向性，能更好的加密 【問題四】 攻擊者通過截取a的nb可攻擊b

信管網2121816301：
1.認證用于確保雙方的真實性和報文的完整性，加密用于確保數據的機密性 2.nb是一個隨機值，起到抗重放攻擊 nb的取值應該隨機和不可預測 3.計算哈希值是為了防止中間人知道nb的產生消息 4.存在重放攻擊和中間人攻擊，針對重放攻擊是加入時間戳和驗證碼，針對中間人攻擊是加入針對身份的雙方驗證。

信管網2121816301：
1.認證和加密的區(qū)別是加密用于確保數據的保密性，阻止對手的被動攻擊，認證是確保雙方的真實性與數據的完整性，防止對手的主動攻擊。 2.nb是一個隨機值，起到抗重放攻擊的作用 nb應該具有隨機性和不可預測 3.計算哈希值是為了使中間人無法知道nb的產生信息。 4.存在重放攻擊和中間人攻擊缺陷，針對重放攻擊應該加入時間戳和驗證碼等信息，針對中間人攻擊應該加入身份的雙向驗證。

信管網2121816301：
1.加密用于確保消息的保密性，防止攻擊者的被動攻擊，認證是用于確保消息雙方的真實性和消息的完整性，防止攻擊者的主動攻擊＜br＞2.防重放攻擊，隨機性和不可預測性＜br＞3.使中間人無法得知nb的消息＜br＞4.重放攻擊和中間人攻擊，在消息里面加入時間戳和驗證碼，給雙方進行雙向認證

信管網lwj010：
問題一：加密用于保護數據機密性防御被動攻擊。認證用于報文發(fā)送者和接收者的真實性和信息完整性，防御主動攻擊。＜br＞問題二：nb是隨機數只有a和b知道用于防御重放攻擊。＜br＞＜br＞問題三：nb應該具有隨機性和不可預測性。＜br＞問題四： 會被中間人攻擊。可以采用雙向認證和第三方認證