信息安全工程師案例分析當天每日一練試題地址：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.jazzmuze.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2022/9/6）在線測試：www.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2022/9/6

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2022/9/6）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。

信管網(wǎng)趙孟姣0422：
重放攻擊和中間人攻擊 重放攻擊 引入時間戳、驗證碼等信息 中間人攻擊 加入針對身份的雙向認證

信管網(wǎng)cnitpm555643315010：
加密用以確保數(shù)據(jù)的保密性，阻止對手的被動攻擊；而認證用以確保報文發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊。 nb是一個隨機值，只有發(fā)送方b和a知道，起到抗重放攻擊作用，nb的取值應當隨機和不可預測。 計算哈希值是為了使中間人無法知道nb的產(chǎn)生信息。 存在重放攻擊和中間人攻擊的安全缺陷。針對生放攻擊的解決思路是加入時間戳，驗證碼等信息，針對中間人攻擊的解決思路是加入針對身份的雙向驗證。

信管網(wǎng)cnitpm555643315010：
1、認證是對聲稱者驗證的過程，加密是對數(shù)據(jù)保護措施 認證是防止非授權訪問，加密防止數(shù)據(jù)泄露 2、只有a才能解密出”nb”，是為防止身份偽造 是隨機數(shù)，防止被他人猜出 3、防止被第三方截獲 4、步驟3中，b收到消息b（nb）無法驗證來自源于a，a發(fā)送消息時應用b的公鑰被加密，

信管網(wǎng)趙孟姣0422：
加密用于阻止對手的被動攻擊，認證是用于阻止對手的主動攻擊 nb是一個隨機值，起抗重放攻擊的作用 nb隨機不可預測 為了使中間人無法知道nb的產(chǎn)生信息 重放攻擊，加入時間戳和驗證碼等信息 中間人攻擊加入針對身份的雙向認證

信管網(wǎng)趙孟姣0422：
1.加密用于確保數(shù)據(jù)的保密性，阻止對手的被動攻擊 認證用于確保報文發(fā)送者和接收者的真實性以及報文的完整性，阻止對手的主動攻擊 2.nb是一個隨機值，只有報文發(fā)送者b和a知道，起到抗重放攻擊的作用 nb隨機不可預測 3.為了使中間人無法知道nb的產(chǎn)生信息 4.重放攻擊 檢查用戶輸入口令的長度信息