信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2022/5/31）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2022/5/31

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2022/5/31）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网cnitpm468441547356：
1、认证是保证消息的完整性，并不能保证消息的机密性；加密是保证消息的机密性 2、作用：可以防止重放攻击；随机 3、 4、中间人攻击，加上认证

信管网cnitpmsky：
1. 消息认证是使用发送方私钥加密，使用发送方公钥验证签名；保证了数据传输的真实性＜br＞加密是使用接收方公钥加密，使用接收方私钥解密；保证了数据在传输过程中的安全，即保密性＜br＞2. （1）nb是一个随机值，则保证了传输信息的保密性＜br＞（2）随机值长度足够长，避免穷举攻击＜br＞3. 哈希计算具有单向性，则保证了传输的安全性，即保密性＜br＞

信管网cnitpm490994635104：
1.认证是指对用户的身份进行确认 加密是指对数据或者信息进行加密处理，确保不被别人所识别具体内容 2.“nb”哈希值能确保数据传输接受双方是正确的 3.证明a已成功收到信息 接收方确认正确 可进行后面操作 4.不能保证数据的完整性

信管网cnitpm486949370532：
问题1： 认证包括标识和鉴别两个部分，鉴别者通过认证协议对声称者进行认证鉴别。确定声称者标识的真实性。加密主要是对信息进行保密处理，防止其机密性遭到破坏。确切的说， 问题2：（1）“nb”相当于b对a发起认证的随机数挑战，a需要响应这个挑战。（2）“nb“的选择应该满足nb 与a互素 问题3：a需要响应b的随机数挑战 问题4：b认证了a，但是a没有认证b。可以采用第三方认证挑战机制，来进行互认。

信管网9abc123：
认证是对用户身份信息的检查核对，达到保密性的安全要求；加密是对信息的转化处理，达到保密性和完整性的安全要求。 nb起到随机数的作用，达到抗重放攻击的作用。 nb的选择应尽量随机、不易被猜测。 nb计算哈希值是为了避免被截取，避免重放攻击。 存在重放攻击的安全缺陷。 改进验证机制，实现ab双向验证和信息加密。