信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2020/6/28）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/6/28

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2020/6/28）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网denggh：
1.区别： 加密：确保数据的保密性，阻止对手的被动攻击 认证：用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击 2.（1）nb是一个随机值，起到抗重放攻击 （2）应满足随机性，不易被猜测 3.哈希算法具有单向性，经过哈希值运算之后的随机数，即使被攻击者接货也无法对该随机数进行还原，获取该随机数nb的产生信息 4.攻击者可以通过截获h（nb）冒充用户a的身份给用户b发送h（nb） 解决思路：用户a通过将a的标识和随机数nb进行哈希运算。

信管网ccl103600753：
【1】认证是对访问用户进行身份识别，确保对数据有操作权限。加密是对数据进行加密，确保数据的完整性 【2】补位、随机 【3】加密 【4】

信管网nahaya：
1. 加密是对数据进行加密处理，保证保密性；认证是对双方的身份进行验证，保证真实性和完整性 2. （1）起到挑战的作用，只有a利用私钥才能获得nb, 并对nb进行数据处理 （2）随机性，不可预测性 3. 利用hash的单向性，防止遭到篡改，保证消息的完整性 4.不能抵抗中间人攻击， c可以截获a的信息，将a修改为c发给b， 并利用sk（c）解出nb 解决思路：a->b: {a, a的签名}pkb