信息安全工程師案例分析當天每日一練試題地址：m.jazzmuze.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：m.jazzmuze.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2020/9/3）在線測試：m.jazzmuze.com/exam/ExamDayAL.aspx?t1=6&day=2020/9/3

點擊查看：更多信息安全工程師習題與指導

信息安全工程師案例分析每日一練試題內容（2020/9/3）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應欄內。
【說明】
用戶的身份認證是許多應用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數據的安全保密及其重要，以下過程給出了實現用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應的解決思路。

信管網joneyin：
加密過程是可逆的，認證過程是不可逆的；加密能能夠保證數據的機密性，但無法保證數據完整性，認證可以保證數據的完整性，無法保證數據的秘密性。加密是使用公鑰進行加密，認證是使用私鑰進行簽名，公鑰進行認證；

信管網北京市聯通考友：
1 認證是基于雙方已知的保密的信息進行的，認證不允許第三參與，加密是消息進行變換以達到隱藏真實信息的目的 2."nb"是用戶b為了進行驗證而生成的機數字，起到驗證的目的，選擇條件是隨機的無法被猜種 3."隨機數"是用a的公鑰進行加密的只有a用自己的私鑰才能解密還原，a借此證明自己的身份使用哈希是為此隨機數生成指紋 4.存在的缺陷是a沒有對b的身份進行驗證，可以使用b的公鑰對隨機數哈希值進行加密后發(fā)送給b以增加安全性

信管網信管123221：
1.認證：雙方共享秘密數據驗證，不允許第三方驗證，不一定能防止接受方抵賴，不一定能防止接受方偽造，不一定具有公證能力 加密：公開驗證簽名數據，允許第三方驗證，能防止接受方抵賴，能防止接受方偽造，具有公證能力 2.

信管網denggh：
1.區(qū)別： 加密：確保數據的保密性，阻止對手的被動攻擊 認證：用以確保報文發(fā)送者和接受者的真實性以及報文的完整性，阻止對手的主動攻擊 2.（1）nb是一個隨機值，起到抗重放攻擊 （2）應滿足隨機性，不易被猜測 3.哈希算法具有單向性，經過哈希值運算之后的隨機數，即使被攻擊者接貨也無法對該隨機數進行還原，獲取該隨機數nb的產生信息 4.攻擊者可以通過截獲h（nb）冒充用戶a的身份給用戶b發(fā)送h（nb） 解決思路：用戶a通過將a的標識和隨機數nb進行哈希運算。