试题3：（17分）

只有系统验证用户的身份，而用户不能验证系统的身份，这种模式不全面。为确保安全，用户和系统应能相互平等的验证对方的身份。

假设A和B是对等实体，需要进行双方身份验证。所以，需要事先约定好并共享双方的口令。但A要求与B通信时，B要验证A的身份，往往遇到如下限制：

（1）首先A向B出示，表示自己身份的数据。

（2）但A尚未验证B的身份

（3）A不能直接将口令发送给B。

反之，B要求与A通信也存在上述问题。

【问题2】（2分）

由于f是单向函数，黑客拿到f (PA || RA)和RA不能推导出PA ；拿到f (PB || RB)和RB也不能推导出PB。

为了预防重放攻击，可在f (PB|| RA)和f (PA|| RB)中加入时间变量或者时间戳。

问题2主要考察身份验证机制中单向函数f的作用以及如何改进以防止重放攻击。单向函数f的主要作用是加密处理用户口令等数据，增强系统安全性。为了防止重放攻击，可以在生成的加密字符串中加入时间变量或时间戳，或者采用挑战-响应机制。