登录   |   注册
    准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
您现在的位置:  首页 > 软考学苑 > 信息安全工程师 > 信安下午案例分析 > 信安案例分析题一 >> 正文
正文
安全案例真题4:用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要
来源: 作者: 时间;2018-05-29 09:48:08 点击数: 尚大软考交流群:376154208
2016下半年信息安全工程师下午案例分析真题试题4与答案点击查看:2016下半年信息安全工程师下午案例分析真题汇总点击查看:2016下半年信息安全工程师真题与查分专题(综合与案例分析)试题四(共18分)
<尚大教育,教育至上,人才为大:sdedu.cc>

2016下半年信息安全工程师下午案例分析真题试题4与答案

点击查看:2016下半年信息安全工程师下午案例分析真题汇总

点击查看:2016下半年信息安全工程师真题与查分专题(综合与案例分析)

试题四(共18分)
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。
【说明】
用户的身份认证是许多应用系统的第一道防线、身份识别对确保系统和数据的安全保密及其重要,以下过程给出了实现用户B对用户A身份的认证过程。
1.B –> B:A
2.B –> A:{B,Nb}pk(A)
3.A –> B:b(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥、{B,Nb}pk(A)表示用A的公钥对消息BNb进行加密处理,b(Nb)表示用哈希算法h对Nb计算哈希值。
【问题1】(5分)
认证和加密有哪些区别?
【问题2】(6分)
(1)包含在消息2中的“Nb”起什么作用?
(2)“Nb”的选择应满足什么条件?
【问题3】(3分)
为什么消息3中的Nb要计算哈希值?
【问题4】(4分)
上述协议存在什么安全缺陷?请给出相应的解决思路。

尚大参考答案:

【问题一】
认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取,窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。
【问题二】
(1) Nb是一个随机值,只有发送方B和A知道,起到抗重放攻击作用。
(2) 应具备随机性,不易被猜测。
【问题三】
哈希算法具有单向性,经过哈希值运算之后的随机数,即使被攻击者截获也无法对该随机数进行还原,获取该随机数Nb的产生信息。
【问题四】
攻击者可以通过截获h(Nb)冒充用户A的身份给用户B发送h(Nb)。
解决思路:用户A通过将A的标识和随机数Nb进行哈希运算,将其哈希值h(A,Nb)发送给用户B,用户B接收后,利用哈希函数对自己保存的用户标识A和随机数Nb进行加密,并与接收到的h(A,Nb)进行比较。若两者相等,则用户B确认用户A的身份是真实的,否则认为用户A的身份是不真实的。

<尚大教育,教育至上,人才为大:sdedu.cc>
 
   各省软考办 
 
来顶一下
返回首页
返回首页
上一篇:安全案例真题5:某一本地口令验证函数(C语言环境,X86_32指令集)包含如下关键代码:某用户的口令保存在字
下一篇:安全案例真题3:防火墙是一种广泛应用的网络安全防御技术,它阻挡对网络的非法访问和不安全的数据传递,保
 相关文章
 
 
跟贴共
笔 名 :   验证码:
网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
距离2023年05月27-28日软考考试还有
尚大软考交流群:376154208
软考各地考务机构
历年真题汇总




各省市软考报名简章