信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2023/7/17）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2023/7/17

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2023/7/17）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网rockyxie：
认证是识别主体，控制主体对客体资源的控制访问， 认证使用不同的认证方式来区分主体。 加密则是对数据进行变换，以保证数据的不被泄漏 问题2 作为会话的key来使用，区别不同的会话、 nb的选择应该保证足够的长度 问题3 对于握手的key，只传送对应的hash值，以区分是否同一会话 问题4 2，3之间确认对应的a的识别过程，和a利用b的公钥的验证的过程

信管网cnitpm608010681303：
问题一： 加密：用以确保数据的保密性,阻止对手的被动攻击 认证：用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击 问题二：

信管网renshengrumeng：
问题1：认证是为了校验身份的真伪，以保证用户身份的可靠性， 加密是为了数据传输的安全，保证数据仅被合法的用户访问，而不会泄露给非法的用户访问，或供其利用 问题2：1、作用是保证安全性，使密文更不易被破解 2、应满足随机数 问题3：为了保证安全、、 问题4：上述协议身份容易被伪造，解决方式是对a的内容先先用b的私钥进行加密，然后再用a的公钥对加签名的密文，数据 还有随机数进行加密，以防止身份伪造

信管网cnitpm594245345722：
（1）加密是保证信息在传输过程的安全性，防止被动攻击，如：窃听等 认证是保证发送方和接收方的真实性以及信息的完整性，防止主动攻击，如：重传，篡改等 （2）nb是个随机数，只有a和b知道，就可以保证数据的机密性 nb要随机选择， （3）哈希函数具有单向性，经过哈希函数计算后，得到的随机数，即使被解获也无法将其破解 （4）h（nb）可以被截获后进行重传，无法保证是由a发送过来的 a可以将消息和自己的标识经过哈希计算后得到h（a,nb）发送给b，b收到消息后，用哈希函数对保存的a的标识进行哈希运算，如果相等，则确认a的身份，否则就认为不是a发送的

信管网hellotiantianxiangshang：
认证保证数据完整性，机密保证数据的机密性 抗重放攻击 随机性和不可预测性 保证机密性，防止nb被猜测出来