信息安全工程师案例分析当天每日一练试题地址：http://www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：http://www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2017/11/23）在线测试：http://www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2017/11/23

信息安全工程师案例分析每日一练试题内容（2017/11/23）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网wwxxaq2017：
问题1： 认证防御主动攻击，如仿冒、篡改；加密防御被动攻击，如窃听、流量分析 认证侧重于身份验证，消息完整性验证；加密侧重于数据保密 问题2： 抗重放攻击 随机性 问题3：

信管网融意：
1.加密是对数据的隐蔽性处理，认证是对访问用户的身份认证 2.nb是防止别的用户仿冒用户进行访问，一个会话一个随机数 nb应保证随机性 3.保证数据的完整性，不被篡改 4.a未收到b的认证应答，b应给a一个值为nb+1的应答

信管网uuu：
1.认证确保接收者和发送者的真实性和数据的完整性，防止数据被篡改，重放，冒充。加密是确保数据的保密性，防止被窃听和截取 2.抗重放攻击 满足随机性，不易被猜测 3.哈希函数具有单向性，计算出来的哈希值不会被攻击者破解。 4.缺陷：攻击者通过截取h（nb）冒充用户a给用户b发送h（nb） 解决思路：用户a将标识a和nb经过哈希运算得到h（a，nb）发送给用户b，而用户b将保存的a标识和nb进行哈希运算加密，再将两者比较，观察是否一致。

信管网hutuyes：
问题1：认证保证资源的真实性和完整性，防止主动攻击，加密保证资源的保密性，防止被动攻击 问题2： 1.防止抗重放攻击 2.随机值，不易被猜测 问题3： 问题4：

信管网mr.holden：
1.认证确保接受者和发送者的真实性和数据的完整性，防止数据被篡改，重放.
加密是确保数据的安全性，防止被窃听和截取.
2.抗重放攻击作用.
满足随机性的条件，不易被猜测.
3.哈希函数具有单向性，计算出来的哈希值不会被攻击者破解.
4.缺陷：攻击者通过截取h（nb）冒充用户a给用户b发送h（nb）.
解决思路：用户a将标识a和nb经过哈希运算得到的哈希值h（a,nb）发送给用户b,而用户b将保存的a标识与nb进行哈希运算加密，再将两者比较，观察是否一致.