信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2022/9/6）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2022/9/6

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2022/9/6）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网赵孟姣0422：
重放攻击和中间人攻击 重放攻击 引入时间戳、验证码等信息 中间人攻击 加入针对身份的双向认证

信管网cnitpm555643315010：
加密用以确保数据的保密性，阻止对手的被动攻击；而认证用以确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击。 nb是一个随机值，只有发送方b和a知道，起到抗重放攻击作用，nb的取值应当随机和不可预测。 计算哈希值是为了使中间人无法知道nb的产生信息。 存在重放攻击和中间人攻击的安全缺陷。针对生放攻击的解决思路是加入时间戳，验证码等信息，针对中间人攻击的解决思路是加入针对身份的双向验证。

信管网cnitpm555643315010：
1、认证是对声称者验证的过程，加密是对数据保护措施 认证是防止非授权访问，加密防止数据泄露 2、只有a才能解密出”nb”，是为防止身份伪造 是随机数，防止被他人猜出 3、防止被第三方截获 4、步骤3中，b收到消息b（nb）无法验证来自源于a，a发送消息时应用b的公钥被加密，

信管网赵孟姣0422：
加密用于阻止对手的被动攻击，认证是用于阻止对手的主动攻击 nb是一个随机值，起抗重放攻击的作用 nb随机不可预测 为了使中间人无法知道nb的产生信息 重放攻击，加入时间戳和验证码等信息 中间人攻击加入针对身份的双向认证

信管网赵孟姣0422：
1.加密用于确保数据的保密性，阻止对手的被动攻击 认证用于确保报文发送者和接收者的真实性以及报文的完整性，阻止对手的主动攻击 2.nb是一个随机值，只有报文发送者b和a知道，起到抗重放攻击的作用 nb随机不可预测 3.为了使中间人无法知道nb的产生信息 4.重放攻击 检查用户输入口令的长度信息