信息安全工程師案例分析當(dāng)天每日一練試題地址：http://www.shc2b.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：http://www.shc2b.com/class27-6-1.aspx

信息安全工程師案例分析每日一練試題（2017/6/18）在線測試：http://www.shc2b.com/exam/ExamDayAL.aspx?t1=6&day=2017/6/18

信息安全工程師案例分析每日一練試題內(nèi)容（2017/6/18）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實體，Nb是一個隨機(jī)值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)wwxxaq2017：
問題1： 認(rèn)證防御主動攻擊，如仿冒、篡改；加密防御被動攻擊，如竊聽、流量分析 認(rèn)證側(cè)重于身份驗證，消息完整性驗證；加密側(cè)重于數(shù)據(jù)保密 問題2： 抗重放攻擊 隨機(jī)性 問題3：

信管網(wǎng)融意：
1.加密是對數(shù)據(jù)的隱蔽性處理，認(rèn)證是對訪問用戶的身份認(rèn)證 2.nb是防止別的用戶仿冒用戶進(jìn)行訪問，一個會話一個隨機(jī)數(shù) nb應(yīng)保證隨機(jī)性 3.保證數(shù)據(jù)的完整性，不被篡改 4.a未收到b的認(rèn)證應(yīng)答，b應(yīng)給a一個值為nb+1的應(yīng)答

信管網(wǎng)uuu：
1.認(rèn)證確保接收者和發(fā)送者的真實性和數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改，重放，冒充。加密是確保數(shù)據(jù)的保密性，防止被竊聽和截取 2.抗重放攻擊 滿足隨機(jī)性，不易被猜測 3.哈希函數(shù)具有單向性，計算出來的哈希值不會被攻擊者破解。 4.缺陷：攻擊者通過截取h（nb）冒充用戶a給用戶b發(fā)送h（nb） 解決思路：用戶a將標(biāo)識a和nb經(jīng)過哈希運算得到h（a，nb）發(fā)送給用戶b，而用戶b將保存的a標(biāo)識和nb進(jìn)行哈希運算加密，再將兩者比較，觀察是否一致。

信管網(wǎng)hutuyes：
問題1：認(rèn)證保證資源的真實性和完整性，防止主動攻擊，加密保證資源的保密性，防止被動攻擊 問題2： 1.防止抗重放攻擊 2.隨機(jī)值，不易被猜測 問題3： 問題4：

信管網(wǎng)mr.holden：
1.認(rèn)證確保接受者和發(fā)送者的真實性和數(shù)據(jù)的完整性，防止數(shù)據(jù)被篡改，重放.
加密是確保數(shù)據(jù)的安全性，防止被竊聽和截取.
2.抗重放攻擊作用.
滿足隨機(jī)性的條件，不易被猜測.
3.哈希函數(shù)具有單向性，計算出來的哈希值不會被攻擊者破解.
4.缺陷：攻擊者通過截取h（nb）冒充用戶a給用戶b發(fā)送h（nb）.
解決思路：用戶a將標(biāo)識a和nb經(jīng)過哈希運算得到的哈希值h（a,nb）發(fā)送給用戶b,而用戶b將保存的a標(biāo)識與nb進(jìn)行哈希運算加密，再將兩者比較，觀察是否一致.