信息安全工程师案例分析当天每日一练试题地址：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程师每日一练试题汇总：www.cnitpm.com/class/27/e6_1.html

信息安全工程师案例分析每日一练试题（2024/3/27）在线测试：www.cnitpm.com/exam/ExamDayAL.aspx?t1=6&day=2024/3/27

点击查看：更多信息安全工程师习题与指导

信息安全工程师案例分析每日一练试题内容（2024/3/27）

阅读下列说明，回答问题1至问题4，将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要，以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此处A和B是认证实体，Nb是一个随机值，pk（A）表示实体A的公钥、{B，Nb}pk（A）表示用A的公钥对消息BNb进行加密处理，b（Nb）表示用哈希算法h对Nb计算哈希值。
【问题1】（5分）
认证和加密有哪些区别？
【问题2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的选择应满足什么条件？
【问题3】（3分）
为什么消息3中的Nb要计算哈希值？
【问题4】（4分）
上述协议存在什么安全缺陷？请给出相应的解决思路。

信管网cnitpm695815694231：
认证是保障了用户发送信息的抗抵赖性 加密是保障信息的保密性填充位数，增加随机性，使得计算难度增大 保证认证过程中消息的完整性无法保证消息在传输过程中未被篡改

信管网cnitpm668520423635：
认证：需要双方互相确认身份，可以通过hash单向加密和非对称加密实现 加密：对信息进行加密，加密方法可以采用对称或非对称加密，但不能使用hash单向加密 防消息重放 尽可能大，不易被猜测 防止消息被篡改

信管网cnitpm682877399050：
问题1答：认证可以包含加密手段。＜br＞问题2答：nb作为身份的唯一凭证，nb选择应满足为素数的条件。＜br＞问题3答：防止nb泄露＜br＞问题4答：上述协议只是单向认证，缺少双向认证。

信管网cnitpm677383714756：
＜div class=＂box＂＞＜span style=＂color:#003399＂＞cnitpm591534930925的原帖： ＜／span＞＜span style=＂color:#999999＂＞2023／11／1 7:39:42＜／span＞＜br＞＜span class=＂style5＂＞认证保证数据的真实性，加密保证数据的完整性＜／span＞＜／div＞认证-》完整性，加密-〉机密性！

信管网cnitpm092449040：
1.1加密用于确保数据的机密性，阻止对手的被动攻击，如：截取，窃听等， 1.2认证用于确保豹纹发送着和接收者的真实性，以及报文的完整性，阻止对手的主动攻击，如：冒充，篡改，重播等 2.1消息中引入随机数，是为了确保消息的唯一性 2.2nb应满足唯一性的条件 3可以生成唯一的hash值，用于验证消息的完整性，消息是否被篡改 4.1攻击者可以通过伪造或窃取密钥，绕过认证机制 4.2采用多因素身份认证，除了消息认证外，还可以使用其他方式来验证用户信息，如：短信验证，生物识别等