信息安全原理復(fù)習(xí)題

1、1111.1.如何理解如何理解IpsecIpsec安全聯(lián)盟安全聯(lián)盟SASA的本地化和單向性？在同一個節(jié)點(diǎn)設(shè)備上的本地化和單向性？在同一個節(jié)點(diǎn)設(shè)備上AHAH和ESPESP能共享同一個能共享同一個SASA嗎？為什么？（嗎？為什么？（1515）安全關(guān)聯(lián)是兩個應(yīng)用IPsec實(shí)體（主機(jī)、路由器）間的一個單工連接，決定保護(hù)什么、如何保護(hù)以及誰來保護(hù)通信數(shù)據(jù)。它規(guī)定了用來保護(hù)數(shù)據(jù)報(bào)安全的安全協(xié)議、密碼算法、密鑰以及密鑰的生存期。SA是單向的，要么對數(shù)

2、據(jù)報(bào)進(jìn)行“進(jìn)入”保護(hù)，要么對數(shù)據(jù)報(bào)進(jìn)行“外出”保護(hù)。思考題.為什么IPSec要對進(jìn)入和外出兩個方向的SA進(jìn)行單獨(dú)的控制進(jìn)入和外出的數(shù)據(jù)的安全需求不同，一般對進(jìn)入的數(shù)據(jù)安全要求更高，因此它們的安全處理未必相同，需要用不同SA處理一個SA對IP數(shù)據(jù)報(bào)只能提供AH或ESP保護(hù)。補(bǔ)充：補(bǔ)充：若應(yīng)用IPsec，策略要包含使用的安全協(xié)議（AH、ESP）、模式、算法等參數(shù)以安全關(guān)聯(lián)的形式存儲在SAD(securityAssociationdataba

3、se)中。安全關(guān)聯(lián)的字段包括：安全關(guān)聯(lián)的字段包括：目的IP地址(SA的目的地址，可為終端防火墻、路由器、系統(tǒng)等網(wǎng)絡(luò)設(shè)備)、IPsec協(xié)議（標(biāo)識用的AH還是ESP）、序號計(jì)數(shù)器（用于產(chǎn)生AH或ESP頭的序號）、序號計(jì)數(shù)器溢出標(biāo)志（若溢出，則產(chǎn)生一個審計(jì)事件，并禁止用SA繼續(xù)發(fā)送數(shù)據(jù)報(bào)）、抗重放窗口（32bit計(jì)數(shù)器及位圖，決定進(jìn)入的AH或ESP數(shù)據(jù)報(bào)是否為重放的）、密碼算法和密鑰、安全關(guān)聯(lián)的生存期.AH對應(yīng)IPsec數(shù)據(jù)交互階段，AH只提

4、供認(rèn)證功能（數(shù)據(jù)源發(fā)認(rèn)證和完整性校驗(yàn)），ESP同時提供機(jī)密性和完整性保護(hù)（機(jī)密性和認(rèn)證服務(wù)），因?yàn)榧咏饷懿僮魇呛臅r的，所以在僅需要認(rèn)證的場合就可以使用AH。從部署方面看，IPsec有傳輸和隧道兩種模式，在網(wǎng)關(guān)上使用IPsec時，通常使用隧道模式，當(dāng)在兩臺主機(jī)上使用時，通常使用傳輸模式。2.2.分析分析SSLSSL防重放攻擊的安全機(jī)制，并比較分析其與防重放攻擊的安全機(jī)制，并比較分析其與ipsecipsec反重放機(jī)制的主要反重放機(jī)制的主要異

5、同點(diǎn)（異同點(diǎn)（2020）SSL防重放是通過客戶端（服務(wù)器）向服務(wù)器（客戶端）發(fā)送隨機(jī)數(shù)來實(shí)現(xiàn)，期待這個隨機(jī)數(shù)兩次是不同的，如果有兩次隨機(jī)數(shù)相同，則說明發(fā)生了重放攻擊。Ipsec防重放是使用AH或ESP中的序號，若兩次序號相同，則發(fā)生了重放攻擊。311客戶端想服務(wù)器發(fā)送ClientHello消息，其中包含了客戶端所支持的各種算法和一個隨機(jī)數(shù)，這個隨機(jī)數(shù)將用于各種密鑰的推導(dǎo)，并可以防止重放攻擊。服務(wù)器端返回ServerHello消息，隨機(jī)數(shù)

6、的功能與上述相同。警告協(xié)議警告協(xié)議包括兩種功能：一是提供了報(bào)錯機(jī)制，即通信雙方若某一方法發(fā)現(xiàn)了問題便會利用該協(xié)議通告對等段；二是提供了安全斷連機(jī)制，即以一種可認(rèn)證的方式關(guān)閉連接。3.3.從適用場景、安全機(jī)制、能對抗的安全威脅等方面（至少包括、但不限從適用場景、安全機(jī)制、能對抗的安全威脅等方面（至少包括、但不限于）于），具體比較分析，具體比較分析L2tpL2tp用戶認(rèn)證與用戶認(rèn)證與PGPPGP認(rèn)證的實(shí)現(xiàn)原理和安全性。認(rèn)證的實(shí)現(xiàn)原理和安全性

7、。（1515）LAC：L2TP接入集中器；LNS：L2TP網(wǎng)絡(luò)服務(wù)器遠(yuǎn)程系統(tǒng)的PPP幀首先發(fā)送給LAC，LAC將它作為L2TP協(xié)議報(bào)文的數(shù)據(jù)區(qū)封裝并發(fā)送給LNS，LNS則對報(bào)文進(jìn)行解封處理后發(fā)送給家鄉(xiāng)網(wǎng)絡(luò)中的主機(jī)。某些情況下，主機(jī)可以不依賴LAC，而是獨(dú)立運(yùn)行L2TP，并于LNS建立隧道。數(shù)據(jù)消息：通過數(shù)據(jù)通道傳輸，不保證數(shù)據(jù)的可靠傳輸，承載PPP幀?？刂葡ⅲ和ㄟ^控制通道傳輸，保證控制消息的可靠傳輸，用于L2TP隧道和會話的協(xié)商及維護(hù)