信息安全工程师案例分析当天每日一练试题地址：http://www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：http://www.cnitpm.com/class27-2-1.aspx

信息安全工程师案例分析每日一练试题（2017/4/2）在线测试：http://www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2017/4/2

信息安全工程师案例分析每日一练试题内容（2017/4/2）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网mr_cj1992：
1、认证：用于确保消息发送者和接受者的真实性和报文的完整性，防止对手的主动攻击，如冒充、篡改、重放等；加密：用于确保消息的保密性，防止对手的被动攻击，如截取、窃听等。
2、
（1）nb是一个随机值，只有用户a和b知道，用于防重放攻击。
（2）nb应满足随机性强、不易猜测的特点。
3、哈希计算是一个单向的过程，计算出的哈希值不能被还原。
4、缺陷：攻击者可以截取h（nb），然后冒充用户a给用户b发送。
解决思路：用户a将自身信息与nb通过哈希计算生成一个哈希值h（a，nb），然后将h（a，nb）发送给b，用户b将自己这边已知的a的信息与nb计算，得到的h（a,nb）与用户a发送过来的h（a，nb）比较，如果相同，则用户a的身份为真，否则为假。

信管网jamesby：
1.认证和加密的区别在于：加密用以确保数据的保密性，阻止对手的被动攻击，认证用于确定信息发送者和接收者的真实性和报文的完整性。
2.nb起到抗重放攻击作用，应该满足随机性，不容易猜测。
3.

信管网winser2008：
加密：是确保数据的保密性，防止被动攻击，如截取窃听等。认证是指确保报文发送方和接收方的真实性及报文完整性，防止主动攻击，比如重播、篡改、冒充等。
nb的实质是私钥加密，保障数据的真实性，防止抵赖。

 

信管网lewis11：
【问题1】
认证和加密的区别是：加密用以确保数据的保密性，阻止对手的被动攻击，如截获，窃听等；而认证用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击，如冒充，篡改，重播等。认证往往是许多应用安全保护中的第一道防线，及其重要
【问题2】
（1）a 首先选择随机数nb 并发送给 b。 b 收到 pa 后，产生随机数 rb“ 利用单向函数f 对其口令 pb和随机数 pa进行加密f（pbiipa）“ 并连同 rb一起发送给 aoa 利用单向函数 f对自己保存的 pb和 pa进行加密，并与接收到的f（pb 11 pa）进行比较。若两者相等，员h a 确认 b 的身份是真实的，否则认为 b 的身份是不真实的。然后 a 利用单向函数f对其 口令 pa 5flj随机数 rb加密后发送给 bob 利用单向函数f对自己保存的岛和 rb进行加密， 并与接收到的f（paiirb）进行比较。若两者相等，则 b 确认 a 的身份是真实的，否则认为 a 的身份是不真实的。
（2）不能被轻易破解出来
【问题3】
因为nb为了保障它的安全通常是比较大的数值，经过哈希后能够有效地较小，利于传输和验证。
【问题4】
缺陷：因为没有关于时间性的描述所以可能会遭到重播攻击
解决思路：  加入时间性参数

信管网867506922：
1.加密是对数据加密，认证是对数据加密的同时保证数据的完整性，还可以还来认证身份 2.（1）是b的摘要，用于核对完整性 （2）不能在其他报文推出一样的nb ,不能从nb推出源数据 3.要和发送来的摘要做对比以确保数据传送时违背修改等 4.没有验证b的身份 b可以用自己的私钥加密自己发送给a