信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2021/8/22）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/8/22

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2021/8/22）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网安全最重要吧：
问题1:＜br＞加密是确保信息的保密性，防止对手的被动攻击。如截取，窃听等。＜br＞而认证是为了保证通信双方的真实性以及报文的完整性。防止对手的主动攻击，如冒充，篡改，重播等。认证往往是许多应用系统中安全保护的第一道防线，及其重要＜br＞＜br＞问题2＜br＞（1）nb起的作用是保证每次的认证过程是一次性的，别人不能通过截取这个值来进行冒充用户认证＜br＞（2）nb应该是安全随机数，不能够被猜测。长度也要满足至少24byte＜br＞问题3：＜br＞计算的哈希值是计算出摘要，用来比较发送方跟接收方的摘要是不是一样，用来检验是不是真实的发送方＜br＞问题是：＜br＞公钥没有经过权威认证。可能会被仿冒。

信管网q1104290674：
认证是对通信方身份进行认证，达到真实性目的；加密是为了不让消息泄露，完成保密性目的 ＜br＞ ＜br＞起到随机性的作用，抵抗重放攻击，不可预测，每次都随机 ＜br＞ ＜br＞防止中间人攻击，获取到nb的值 ＜br＞ ＜br＞a发送消息给b，没有对哈希值进行加密，应使用加密对哈希值加密

信管网lili-5514：
1：加密保证数据的保密性；认证能认证发送者跟接受者双方的真实性，保证数据的完整性；2：nb是个随机值，只有a跟b知道，起抗重放攻击作用；必须是随机不可预测；3：哈希值是为了使中间人无法知道nb的产生信息。4：存在重放攻击和中间人攻击的安全缺陷，针对重放攻击应加入时间戳、验证码等信息；针对中间人攻击应加入针对身份的双向认证。

信管网cnitpm431027238456：
问题1 认证是对身份实体的判断，分别判断是a，还是b。加密是对发送信息nb的处理。两者处理的的对像不同。 问题2： 1，nb是一个随机值，起到一个认证作用，nb选择择应满足 问题3： 保证信息的完整性 问题4： 上述协议存在被窃获的安全性，应进行加密处理。