信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2026/1/24）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2026/1/24

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2026/1/24）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网cnit**************：
认证是对用户身份的验证，用于保证用户身份真实性，一般使用非对称密码算法的数字签名技术实现。 加密是对数据等进行mim明密转换，保证数据不被泄露。放重放攻击 nb需满足随机，不重复哈希具有单向性，很难从哈希值推导出nb，保证nb不被泄露存在中间人攻击的风险，拦截a发给b的nb哈希值冒充a。 a可以用自己的私钥对发送的信息进行签名，将签名值发送于b，b使用a的公钥进行验签，对a的身份进行验证。

信管网cnit**************：
1.认证通常对实体或用户，加密对象是数据 2.可以基于加密算法实现认证1.通过nb随机数实现ab实体间身份的认证 2.具有随机性保证随机数在传输过程中没有被篡改单向身份认证，采用双向身份认证

信管网cnit**************：
认证用于确认用户的身份是否合法，加密则是将需要传递的信息经过算法转换为另一种形式，使得第三方无法获取到信息的原文。作为算法中的盐，起到混淆原有信息的作用 随机字符串

信管网cnit**************：
加密：保证数据的机密性，防止被动攻击 认证：保证发送方和接收方的真实性，保证数据的完整性，防止主动攻击抗重放攻击 随机选取，不易猜测哈希计算具有单向性，即使数据被截取，也不易泄露，发送，接收双方通过对相同的哈希计算确认对方的身份冒充攻击 把a的身份标识一起计算哈希值发送给b，b在通过存放的a的身份标识和nb哈希，确认a的身份

信管网gaoh****：
认证是保护报文发送者和接受者的真实性以及完整性，用以阻止对手的主动攻击， 加密是保护数据的保密性，用以阻止对手的被动攻击 nb是一个随机值，只有发送方b和a知道，起到抗重放攻击作用，其取值应当随机且不可预测 计算哈希值是为了不让中间人知道nb的产生信息 存在重放攻击和中间人攻击的安全缺陷，解决思路：加入时间戳、验证码等信息；加入对身份的双向验证