信息安全原理复习题.doc

如何理解Ipsec 安全联盟SA的本地化和单向性？在同一个节点设备上AH和ESP能共享同一个SA吗？为什么？（15） 安全关联是两个应用、密钥以及密钥的生存期。“外出”保护。 一个补充：若应用Psec，策略要包含使用的安全协议（）、模式、算法等参数以安全关联的形式存储在(security Association database)中。 安全关联的字段包括： 目的P地址、SP同时提供机密性和完整性保护（机密性和认证服务），因为加解密操作是耗时的，所以在仅需要认证的场合就可以使用 从部署方面看，IPsec有传输和隧道两种模式，在网关上使用IPsec时，通常使用隧道模式，当在两台主机上使用时，通常使用传输模式。 分析SSL防重放攻击的安全机制，并比较分析其与ipsec反重放机制的主要异同点（20） SSL防重放是通过客户端（服务器）向服务器（客户端）发送随机数来实现，期待这个随机数两次是不同的，如果有两次随机数相同，则说明发生了重放攻击。 Ipsec防重放是使用 补充： 使用AH（ESP）保护数据发送接收数据的处理过程： 发送数据 (报文加密) 生成序号 计算认证数据 构造 接收数据： 根据SPI，目 使用滑动窗口机制验证序号，防止重放攻击 验证认证数据，若通过验证，则还原数据并递交给相应的协议模块或转发，否则丢弃报文（验证认证数据，验证失败则丢弃报文） 递交给相应的协议模块或转发，解密失败则丢弃报文 SSL（安全套接层）标准规定了4个协议：握手协议（与SSL协商有关）、更改密码规范协议（与ssl协商有关）、警告协议（同时包含）、记录协议（数据封装和处理）。SSL提供的安全服务：机密性、完整性、服务器认证以及可选的客户端认证。 客户端想服务器发送ClientHello消息，其中包含了客户端所支持的各种算法和一个随机数，这个随机数将用于各种密钥的推导，并可以防止重放攻击。 服务器端返回ServerHello消息，随机数的功能与上述相同。警告协议包括两种功能：一是提供了报错机制，即通信双方若某一方法发现了问题便会利用该协议通告对等段；二是提供了安全断连机制，即以一种可认证的方式关闭连接。 LAC：接入集中器；LNS：网络服务器 远程系统的 数据消息：通过数据通道传输，不保证数据的可靠传输，承载PPP帧。 控制消息：通过控制通道传输，保证控制消息的可靠传输，用于L2TP隧道和会话的协商及维护。 L2TP基于UDP。L2TP包括两种消息，数据消息和控制消息，分别通过数据通道和控制通道传输，L2TP不保证数据消息的可靠传输，但保证控制消息的可靠传输。L2TP不提供对PP数据的机密性和完整性保护，若使用HAP，则可体现端点身份认证的功能。 每个 L2TP使用肯定确认防止报文丢弃，即接收方收到报文后发回确认。发送发若在一段时间之内没有手动啊确认则重发 L2TP使用慢启动策略防止拥塞 PGP的安全业务 数字签名:DSS/SHA或RSA/SHA 完整性：RSA、MD5 消息加密:CAST-128或IDEA或3DES + Diffie-Hellman或RSA 数据压缩:ZIP 邮件兼容:Radix 64(将任意二进制输入，转换成可打印的字符输出的编码技术) 数据分段：大邮件自动分段并在接收时自动恢复。 ·身份鉴别 ·必威体育官网网址性 发生在签名后、加密前。 压缩 压缩发生在签名后，加密前 4.上图所示网络环境中，请注意B所在网段有网关A和无线网关W两个出口。 需要从B-C建立端-gate的IPSEC通道、并屏蔽W带来的不确定性，如何建立B-C的ipsec SA安全联盟？ （1）请给出各种可能的sa组合； （2）并从中挑选出符合要求的ipsec sa隧道配置方案，并给出理由； （3）比较分析各种可能的组合各自存在的主要安全风险、以及对抗安全威胁能力的区别。（25）  考虑如下图所示的原始应用环境，A是远程工作前端网络的接入网关，C是后台业务资源网的接入网关。前述两个网内部IP分配均是独立的私网地址，A与C之间为第三方IP网络，其间可能存在NAT、或代理、或端口控制等环节。 5.考虑基于PGP和pop3/SMTP基本邮件服务以附件形态从B到D传输大数据文件，基于PGP保证其间数据的机密性和完整性， 考虑把B端CPU序列号和操作系统及用户注册信息等本地软硬件环境参数的md5值作为端端识别参量，如何与大数据文件一起打包后（请具体画出封包形式）经pgp处理后传到D端以认证B设备？ 画出从B端原始文件、到发送端处理、邮件发送、D端接收、接收端认证和数据还原处理等主要操作流程，以及发送端和接收端对应的端认证过程。（25） PGP的实际操作由五种服务组成：鉴别、机密性、电子邮件的兼容性、压缩、分段和重装 PGP（ Prett