信息安全工程師案例分析當(dāng)天每日一練試題地址：www.wzdaizi.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.wzdaizi.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2026/1/24）在線測試：www.wzdaizi.com/exam/ExamDayAL.aspx?t1=6&day=2026/1/24

點(diǎn)擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2026/1/24）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認(rèn)證是許多應(yīng)用系統(tǒng)的第一道防線、身份識(shí)別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實(shí)現(xiàn)用戶B對用戶A身份的認(rèn)證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認(rèn)證實(shí)體，Nb是一個(gè)隨機(jī)值，pk（A）表示實(shí)體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進(jìn)行加密處理，b（Nb）表示用哈希算法h對Nb計(jì)算哈希值。
【問題1】（5分）
認(rèn)證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計(jì)算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)cnit**************：
認(rèn)證是對用戶身份的驗(yàn)證，用于保證用戶身份真實(shí)性，一般使用非對稱密碼算法的數(shù)字簽名技術(shù)實(shí)現(xiàn)。 加密是對數(shù)據(jù)等進(jìn)行mim明密轉(zhuǎn)換，保證數(shù)據(jù)不被泄露。放重放攻擊 nb需滿足隨機(jī)，不重復(fù)哈希具有單向性，很難從哈希值推導(dǎo)出nb，保證nb不被泄露存在中間人攻擊的風(fēng)險(xiǎn)，攔截a發(fā)給b的nb哈希值冒充a。 a可以用自己的私鑰對發(fā)送的信息進(jìn)行簽名，將簽名值發(fā)送于b，b使用a的公鑰進(jìn)行驗(yàn)簽，對a的身份進(jìn)行驗(yàn)證。

信管網(wǎng)cnit**************：
1.認(rèn)證通常對實(shí)體或用戶，加密對象是數(shù)據(jù) 2.可以基于加密算法實(shí)現(xiàn)認(rèn)證1.通過nb隨機(jī)數(shù)實(shí)現(xiàn)ab實(shí)體間身份的認(rèn)證 2.具有隨機(jī)性保證隨機(jī)數(shù)在傳輸過程中沒有被篡改單向身份認(rèn)證，采用雙向身份認(rèn)證

信管網(wǎng)cnit**************：
認(rèn)證用于確認(rèn)用戶的身份是否合法，加密則是將需要傳遞的信息經(jīng)過算法轉(zhuǎn)換為另一種形式，使得第三方無法獲取到信息的原文。作為算法中的鹽，起到混淆原有信息的作用 隨機(jī)字符串

信管網(wǎng)cnit**************：
加密：保證數(shù)據(jù)的機(jī)密性，防止被動(dòng)攻擊 認(rèn)證：保證發(fā)送方和接收方的真實(shí)性，保證數(shù)據(jù)的完整性，防止主動(dòng)攻擊抗重放攻擊 隨機(jī)選取，不易猜測哈希計(jì)算具有單向性，即使數(shù)據(jù)被截取，也不易泄露，發(fā)送，接收雙方通過對相同的哈希計(jì)算確認(rèn)對方的身份冒充攻擊 把a(bǔ)的身份標(biāo)識(shí)一起計(jì)算哈希值發(fā)送給b，b在通過存放的a的身份標(biāo)識(shí)和nb哈希，確認(rèn)a的身份

信管網(wǎng)gaoh****：
認(rèn)證是保護(hù)報(bào)文發(fā)送者和接受者的真實(shí)性以及完整性，用以阻止對手的主動(dòng)攻擊， 加密是保護(hù)數(shù)據(jù)的保密性，用以阻止對手的被動(dòng)攻擊 nb是一個(gè)隨機(jī)值，只有發(fā)送方b和a知道，起到抗重放攻擊作用，其取值應(yīng)當(dāng)隨機(jī)且不可預(yù)測 計(jì)算哈希值是為了不讓中間人知道nb的產(chǎn)生信息 存在重放攻擊和中間人攻擊的安全缺陷，解決思路：加入時(shí)間戳、驗(yàn)證碼等信息；加入對身份的雙向驗(yàn)證