信管网每日一练

信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2020/12/23）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/12/23

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2020/12/23）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网cnitpm439753710：
【1】加密：确保数据的保密性，防止攻击者的被动攻击 认证：确保发送者的真实性以及数据的真实性，防止攻击者的主动攻击 【2】 （1）＂nb＂起 （2）＂nb＂的选择应满足 随机性，不可预测性 【3】 【4】

信管网cnitpm439753710：
【1】加密：对数据进行加密，确保数据的保密性，防止攻击者的被动攻击； 认证：验证报文发送者和接收者的真实性以及报文内容的完整性，防止攻击者的主动攻击。 【2】（1）nb是一个随机值，除了用户a和b知道，起到抗重放攻击 （2）nb的选择应满足随机性和不可预测 【3】计算nb的哈希值，防止中间人攻击，使中间人无法得知nb产生的内容 【4】上述协议存在重放攻击和中间人攻击； 重放攻击：加入时间戳、验证码和序列号等信息； 中间人攻击：加入身份的双向验证。

信管网cnitpm439753710：
【1】认证：可验证报文发送者和报文接收者的真实性以及确认报文内容的完整性，防止攻击者的主动攻击； 加密：对信息数据进行加密并确保数据的保密性，防止攻击者的被动攻击。 【2】（1）nb起到验证 （2）随机性，不可预测性 【3】 【4】

信管网中国移动考友：
问题1： 认证保护了消息的完整性、加密保护了消息的机密性。 问题2： （1）防止该认证消息被重复使用。 （2）必须是随机数、且每一次都不相同。 问题3： 防止消息在传播过程中出现错误或者被篡改，保证了消息的完整性。

信管网18889641753：
问题1： 认证是保证可用性，可以抵挡主动攻击；加密是保证机密性，是抵挡被动攻击。 问题2： （1）防止信息传输中被重放攻击。 （2）应满足随机数足够大且不容易被推算出来。 问题3： 以防被攻击者直接截获到随机值，若不进行哈希计算且被攻击者截获，让接受者b无法区分哪个是a发来的随机数和发送者的身份。 问题4： 无法判断接收方a的身份；需增加一组实体b的公钥，消息3回传时应该使用pkb进行加密传输。