信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class27-6-1.aspx

信息安全工程师案例分析每日一练试题（2020/9/29）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2020/9/29

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2020/9/29）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网cnitpm57427373058：
认证是对发送方和接收＜br＞方双方身份的一个验证，确保数据的完整性，阻止主动攻击，加密是对信息的加密。确保信息的保密性。阻止被动攻击。＜br＞nb是一个随机值，只有a和b知道起到抗重放攻击的作用。nb具有随机性和不可预测性。＜br＞计算哈希值使中间人攻击无法获得nb产生的信息＜br＞存在重放攻击和中间人攻击的缺陷。抗重放攻击需要加入时间戳，验证码。抗中间人攻击需要加入一个验证双方身份的机制。＜br＞

信管网joneyin：
加密过程是可逆的，认证过程是不可逆的；加密能能够保证数据的机密性，但无法保证数据完整性，认证可以保证数据的完整性，无法保证数据的秘密性。加密是使用公钥进行加密，认证是使用私钥进行签名，公钥进行认证；

信管网北京市联通考友：
1 认证是基于双方已知的保密的信息进行的，认证不允许第三参与，加密是消息进行变换以达到隐藏真实信息的目的 2."nb"是用户b为了进行验证而生成的机数字，起到验证的目的，选择条件是随机的无法被猜种 3."随机数"是用a的公钥进行加密的只有a用自己的私钥才能解密还原，a借此证明自己的身份使用哈希是为此随机数生成指纹 4.存在的缺陷是a没有对b的身份进行验证，可以使用b的公钥对随机数哈希值进行加密后发送给b以增加安全性

信管网信管123221：
1.认证：双方共享秘密数据验证，不允许第三方验证，不一定能防止接受方抵赖，不一定能防止接受方伪造，不一定具有公证能力 加密：公开验证签名数据，允许第三方验证，能防止接受方抵赖，能防止接受方伪造，具有公证能力 2.