信息安全工程師案例分析當(dāng)天每日一練試題地址：www.iosrock.com/exam/ExamDayAL.aspx?t1=6

往期信息安全工程師每日一練試題匯總：www.iosrock.com/class/27/e6_1.html

信息安全工程師案例分析每日一練試題（2026/1/24）在線測試：www.iosrock.com/exam/ExamDayAL.aspx?t1=6&day=2026/1/24

點擊查看：更多信息安全工程師習(xí)題與指導(dǎo)

信息安全工程師案例分析每日一練試題內(nèi)容（2026/1/24）

閱讀下列說明，回答問題1至問題4，將解答寫在答題紙的對應(yīng)欄內(nèi)。
【說明】
用戶的身份認證是許多應(yīng)用系統(tǒng)的第一道防線、身份識別對確保系統(tǒng)和數(shù)據(jù)的安全保密及其重要，以下過程給出了實現(xiàn)用戶B對用戶A身份的認證過程。
1.B –> B：A
2.B –> A：{B，Nb}pk（A）
3.A –> B：b（Nb）
此處A和B是認證實體，Nb是一個隨機值，pk（A）表示實體A的公鑰、{B，Nb}pk（A）表示用A的公鑰對消息BNb進行加密處理，b（Nb）表示用哈希算法h對Nb計算哈希值。
【問題1】（5分）
認證和加密有哪些區(qū)別？
【問題2】（6分）
（1）包含在消息2中的“Nb”起什么作用？
（2）“Nb”的選擇應(yīng)滿足什么條件？
【問題3】（3分）
為什么消息3中的Nb要計算哈希值？
【問題4】（4分）
上述協(xié)議存在什么安全缺陷？請給出相應(yīng)的解決思路。

信管網(wǎng)cnit**************：
認證是對用戶身份的驗證，用于保證用戶身份真實性，一般使用非對稱密碼算法的數(shù)字簽名技術(shù)實現(xiàn)。 加密是對數(shù)據(jù)等進行mim明密轉(zhuǎn)換，保證數(shù)據(jù)不被泄露。放重放攻擊 nb需滿足隨機，不重復(fù)哈希具有單向性，很難從哈希值推導(dǎo)出nb，保證nb不被泄露存在中間人攻擊的風(fēng)險，攔截a發(fā)給b的nb哈希值冒充a。 a可以用自己的私鑰對發(fā)送的信息進行簽名，將簽名值發(fā)送于b，b使用a的公鑰進行驗簽，對a的身份進行驗證。

信管網(wǎng)cnit**************：
1.認證通常對實體或用戶，加密對象是數(shù)據(jù) 2.可以基于加密算法實現(xiàn)認證1.通過nb隨機數(shù)實現(xiàn)ab實體間身份的認證 2.具有隨機性保證隨機數(shù)在傳輸過程中沒有被篡改單向身份認證，采用雙向身份認證

信管網(wǎng)cnit**************：
認證用于確認用戶的身份是否合法，加密則是將需要傳遞的信息經(jīng)過算法轉(zhuǎn)換為另一種形式，使得第三方無法獲取到信息的原文。作為算法中的鹽，起到混淆原有信息的作用 隨機字符串

信管網(wǎng)cnit**************：
加密：保證數(shù)據(jù)的機密性，防止被動攻擊 認證：保證發(fā)送方和接收方的真實性，保證數(shù)據(jù)的完整性，防止主動攻擊抗重放攻擊 隨機選取，不易猜測哈希計算具有單向性，即使數(shù)據(jù)被截取，也不易泄露，發(fā)送，接收雙方通過對相同的哈希計算確認對方的身份冒充攻擊 把a的身份標識一起計算哈希值發(fā)送給b，b在通過存放的a的身份標識和nb哈希，確認a的身份

信管網(wǎng)gaoh****：
認證是保護報文發(fā)送者和接受者的真實性以及完整性，用以阻止對手的主動攻擊， 加密是保護數(shù)據(jù)的保密性，用以阻止對手的被動攻擊 nb是一個隨機值，只有發(fā)送方b和a知道，起到抗重放攻擊作用，其取值應(yīng)當(dāng)隨機且不可預(yù)測 計算哈希值是為了不讓中間人知道nb的產(chǎn)生信息 存在重放攻擊和中間人攻擊的安全缺陷，解決思路：加入時間戳、驗證碼等信息；加入對身份的雙向驗證