首页
外语
计算机
考研
公务员
职业资格
财经
工程
司法
医学
专升本
自考
实用职业技能
登录
计算机
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。 [说明] 用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据的安全保密极其重要。以下过程给出了实现用户B对用户A身份的认证过程。 1.A->B:A 2.B->A:{B,Nb}p
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。 [说明] 用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据的安全保密极其重要。以下过程给出了实现用户B对用户A身份的认证过程。 1.A->B:A 2.B->A:{B,Nb}p
admin
2017-11-28
57
问题
阅读下列说明,回答问题1至问题4,将解答写在答题纸的对应栏内。
[说明]
用户的身份认证是许多应用系统的第一道防线,身份识别对确保系统和数据的安全保密极其重要。以下过程给出了实现用户B对用户A身份的认证过程。
1.A->B:A
2.B->A:{B,Nb}pk(A)
3.A->B:h(Nb)
此处A和B是认证实体,Nb是一个随机值,pk(A)表示实体A的公钥,{B,Nb}pk(A)表示用A的公钥对消息B,Nb进行加密处理,h(Nb)表示用哈希算法h对Nb计算哈希值。
[问题4]
上述协议存在什么安全缺陷?请给出相应的解决思路。
选项
答案
存在重放攻击和中间人攻击的安全缺陷。针对重放攻击的解决思路是加入时间戳、验证码等信息;针对中间人攻击的解决思路是加入针对身份的双向验证。
解析
本题主要考查密码协议的安全性,要求对密码协议所要求完成的各项安全功能有明确的设计思路,例如双方身份的相互确认、数据如何加密、如何防止各种重放或者中间人劫持攻击等等。
[问题1]
认证主要是对参与双方身份信息的核实和验证,而加密则是对数据的一种变换,确保实现保密性、完整性和可用性的安全目的。
[问题2]
Nb是一个随机值,一方面确保B发给A的数据包无法预测,另一方面使用用户A的公钥加密,确保只有用户A才能解开,攻击者无法解开。
[问题3]
用户A收到2号数据包以后回复h(Nb),用于告诉用户B用户A已经收到上述消息,而且能得到Nb说明用户A的身份是真实的。用哈希值h(Nb)回复也可以确保攻击者无法恢复Nb。攻击者无法得知№的任何信息。
[问题4]
上述协议只有用户A的身份是经过验证的,攻击者可以重复发送第二个数据包给A消耗计算资源。攻击者可以截获第一个包,伪造A的身份,给B发送包声称自己是C,结果用户B会以用户C的公钥来加密,攻击者以C的私钥解出数据包内容,得到Nb的产生信息。
转载请注明原文地址:https://kaotiyun.com/show/7wTZ777K
本试题收录于:
信息安全工程师下午应用技术考试题库软考中级分类
0
信息安全工程师下午应用技术考试
软考中级
相关试题推荐
(2009下项管)广义理解,运作管理是对系统______。
(2012下集管)对成本和进度进行权衡,确定如何尽量少增加费用的前提下最大限度地缩短项目所需要的时间,称为______。
(2013下项管)业务流程管理信息化是将生产流程、业务流程、各类行政审批流程、人事处理流程、财务管理流程等需要多人协作实施的任务,全部或部分交由计算机处理的过程。对于企业来说,一般将业务流程分为四个层次,其中资源能力计划和相关预算属于______层次。
(2009上软评)软件工程每一个阶段结束前,应该着重对可维护性进行复审。在系统设计阶段的复审期间,应该从______出发,评价软件的结构和过程。
(2011上集管)软件设计包括软件架构设计和软件详细设计。架构设计属于高层设计,主要描述软件的结构和组织,标识各种不同的组件。由此可知,在信息系统开发中,______属于软件架构设计师要完成的主要任务之一。
(2010下网工)使用PERT图进行进度安排,不能清晰地描述______(1),但可以给出哪些任务完成后才能开始另一些任务。下面PERT图所示工程从A到K的关键路径______(2)(图中省略了任务的开始和结束时刻)。(1)
(2011上集管)在某信息化项目建设过程中,客户对于最终的交付物不认可,给出的原因是系统信号强度超过用户设备能接受的上限。请问在项目执行过程中,如果客户对于项目文件中的验收标准无异议,则可能是_____(1)环节出了问题;如果客户对于项目文件中的验收标准有
(2010下监理)如果380V电力电缆(承载功率<2kVA)与综合布线电缆都在接地的线槽中,且平行长度<10m,则两条电缆间最小敷设间距______mm。
(2007上系分)在信息系统建设中,为了使开发出来的目标系统能满足实际需要,在着手编程之前应认真考虑以下问题:1)系统所要求解决的问题是什么?2)为解决该问题,系统应干些什么?3)系统应该怎样去干?其中第2个问题的解决是____(1)的任务,第3个
(2007下项管)为了对计算机信息系统的安全威胁有更全面、更深刻的认识,信息应用系统安全威胁的分类方法一般用______三种“综合分类”方法。
随机试题
简述桡神经的支配及损伤后的表现。
Suchbeingthecase,wehavenochoicebuttorequestyoutoamend(修改)relativecontractterms.
下列关于围绝经期生理心理特点说法正确的是
建设工程项目管理规划大纲的编制依据不包括()。
广州利浦公司3月份发生以下经济业务:(1)生产产品领用B材料20000元,车间一般耗用B材料10000元。(2)借入期限为5年的一笔借款100000元,存入银行。(3)摊销应由本月负担的报纸杂志费2000元。(4)结转完工人库产品成本30000元。
从事代理记账工作的人员应遵守以下规则()。
长城股份有限公司(以下简称“长城公司”)系增值税一般纳税人,适用增值税税率17%,所得税税率33%。该公司的有关资料如下:(1)为扩大生产规模,长城公司决定建造甲厂房一幢,所需资金通过向银行借款和发行企业债券解决。2000年11月1日与银行签定贷款
无论正强化还是负强化,其作用都是降低同类反应在将来发生的概率。()
制发公文的目的和要求一般取决于()。
A、 B、 C、 A
最新回复
(
0
)