信息安全工程師案例分析當天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2021/8/13）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2021/8/13

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2021/8/13）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統的第一道防線、身份識別對確保系統和數據的安全保密及其重要，以下過程給出了實現用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協議存在什么安全缺陷？請給出相應的解決思路。

信管網q1104290674：
認證是對通信方身份進行認證，達到真實性目的；加密是為了不讓消息泄露，完成保密性目的 ＜br＞ ＜br＞起到隨機性的作用，抵抗重放攻擊，不可預測，每次都隨機 ＜br＞ ＜br＞防止中間人攻擊，獲取到nb的值 ＜br＞ ＜br＞a發(fā)送消息給b，沒有對哈希值進行加密，應使用加密對哈希值加密

信管網lili-5514：
1：加密保證數據的保密性；認證能認證發(fā)送者跟接受者雙方的真實性，保證數據的完整性；2：nb是個隨機值，只有a跟b知道，起抗重放攻擊作用；必須是隨機不可預測；3：哈希值是為了使中間人無法知道nb的產生信息。4：存在重放攻擊和中間人攻擊的安全缺陷，針對重放攻擊應加入時間戳、驗證碼等信息；針對中間人攻擊應加入針對身份的雙向認證。

信管網cnitpm431027238456：
問題1 認證是對身份實體的判斷，分別判斷是a，還是b。加密是對發(fā)送信息nb的處理。兩者處理的的對像不同。 問題2： 1，nb是一個隨機值，起到一個認證作用，nb選擇擇應滿足 問題3： 保證信息的完整性 問題4： 上述協議存在被竊獲的安全性，應進行加密處理。

信管網cnitpm416421245189：
【問題一】 認證：是確認發(fā)送消息的是不是真實的。 加密：是將消息進行加密。 【問題二】 （1）起到 （2）應具有隨機性 【問題三】 計算哈希值具有單向性，能更好的加密 【問題四】 攻擊者通過截取a的nb可攻擊b

信管網2121816301：
1.認證用于確保雙方的真實性和報文的完整性，加密用于確保數據的機密性 2.nb是一個隨機值，起到抗重放攻擊 nb的取值應該隨機和不可預測 3.計算哈希值是為了防止中間人知道nb的產生消息 4.存在重放攻擊和中間人攻擊，針對重放攻擊是加入時間戳和驗證碼，針對中間人攻擊是加入針對身份的雙方驗證。