信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2021/12/9）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2021/12/9

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2021/12/9）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网9abc123：
认证是对用户身份信息的检查核对，达到保密性的安全要求；加密是对信息的转化处理，达到保密性和完整性的安全要求。 nb起到随机数的作用，达到抗重放攻击的作用。 nb的选择应尽量随机、不易被猜测。 nb计算哈希值是为了避免被截取，避免重放攻击。 存在重放攻击的安全缺陷。 改进验证机制，实现ab双向验证和信息加密。

信管网cnitpm464475332462：
1.认证是为了确保用户是合法的，加密是为了确保数据在传输过程中的安全性 2.加盐，为了防止他人截获消息 3.为了确保消息没有被篡改 4.

信管网cnitpm479344739299：
问题1 认证 确认信息的有效性和来源的可靠性 加密 确保信息不被非法访问和破坏 问题2 生成数字证书，使a在接到消息后，可以进行确认，该消息为b所发生的 随机性够强 问题3 计算哈希值，与原值进行比对，确保该消息的真实性 问题4

信管网cnitpm472621274377：
问题1：认证和加密的区别在于，加密用以确保数据的保密性，阻止对手的被动攻击：而确认用以确保报文发送者和接受者的真实性以及报文的完整性，阻止对手的主动攻击。 问题2：nb是一个随机值，只有发送方b和a知道，起到抗重放攻击的作用。 nb的取值应当随机和不可预测 问题3：计算哈希值是为了使中间人无法知道nb的产生信息。 问题4 ：存在重放攻击和中间人攻击。针对重放攻击可以家人时间戳和验证码。针对中间人可以加入针对身份的双向验证。

信管网ipａｎｄa：
加密--保护机密性，防止对方被动攻击，窃听 认证--保护完整性，防止对方主动攻击，冒充 nb 随机值，只有ab知道，起到抗重放攻击作用 随机，不容易猜到 计算哈希值是为了中间人不知道nb产生的信息 存在抗重放攻击，中间人攻击，可以冒充 加入时间戳，验证等，进行双向验证