论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 13 篇帖子 ] 
作者 内容
 文章标题 : 问个问题
帖子发表于 : 2007-04-18 12:17 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
73. Which of the following protocols provides non-repudiation in IPSec?
Authentication Header (AH)
Encapsulating Security Payload (ESP)
Secure Sockets Layer (SSL)
Secure Shell (SSH-2)


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-18 15:35 
离线
新手

注册: 2007-04-17 23:17
最近: 2007-07-23 21:06
拥有: 0.00 安全币

奖励: 0 安全币
在线: 157 点
帖子: 5
It should be SSL.

Should not be AH. The AH is intended to guarantee connectionless integrity and data origin authentication of IP datagrams. Not signature.

Should not be ESP. ESP is a mechanism for providing integrity and confidentiality to IP datagrams. It may also provide authentication, depending on which algorithm and algorithm mode are used. Non-repudiation and protection from traffic analysis are not provided by ESP.

Ref: http://www.faqs.org/rfcs/rfc1827.html


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : re
帖子发表于 : 2007-04-18 16:09 
离线
超级用户

注册: 2003-12-04 10:17
最近: 2016-02-24 18:30
拥有: 3,421.50 安全币

奖励: 958 安全币
在线: 4264 点
帖子: 302
地址: Shanghai
In my opinion, the best choice is A(AH)

1. C and D is not a part of IPsec protocal; while A and B is.
2. AH was designed for integrity, authentication, sequence integrity (replay resistance), and non-repudiation--but not for confidentiality for which the ESP was designed.


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-18 16:59 
离线
新手

注册: 2007-04-17 23:17
最近: 2007-07-23 21:06
拥有: 0.00 安全币

奖励: 0 安全币
在线: 157 点
帖子: 5
seablue, You are right. SSL is not one of IPsec protocal

The IP Authentication Header [#!ipauth!#] provides integrity and authentication and non-repudiation, if the appropriate choice of cryptographic algorithms is made.

http://en.wikipedia.org/wiki/IPsec


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-18 21:47 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
正确答案一定是A和B里面的一个,C和D都跟IPSEC无关可以排出,正确答案是A,但是不太明白AH如何能够实现抗否认,我感觉完整性是AH的主要用途,在它前面的IKE过程,也能够实现MESSAGE ORIGIN AUTHENTICATION,但是除非用证书认证,否则什么地方跟抗否认有关呢?请高手给指点一下。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-18 23:42 
离线
版主

注册: 2003-11-24 09:25
最近: 2012-02-02 22:33
拥有: 3,396.20 安全币

奖励: 1525 安全币
在线: 5456 点
帖子: 421
地址: London, UK
chinadoors 写道:
正确答案一定是A和B里面的一个,C和D都跟IPSEC无关可以排出,正确答案是A,但是不太明白AH如何能够实现抗否认,我感觉完整性是AH的主要用途,在它前面的IKE过程,也能够实现MESSAGE ORIGIN AUTHENTICATION,但是除非用证书认证,否则什么地方跟抗否认有关呢?请高手给指点一下。


首先,IKE提供identity authentication,A=X。然后AH提供的是MESSAGE ORIGIN AUTHENTICATION,即证明M是来自于X的。这样A无法否认M来自于A。但一般IKE提供的authentication是基于节点的,所以这个抗否认也是基于节点而非用户,即你能确定的是M来自于某台计算机,但你不能确定M来自于使用它的某个用户。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-19 02:08 
离线
版主

关注按钮

注册: 2004-08-03 11:20
最近: 2015-10-28 10:36
拥有: 24,445.80 安全币

奖励: 24026 安全币
在线: 12978 点
帖子: 1843
地址: 北京
ydld 写道:
chinadoors 写道:
正确答案一定是A和B里面的一个,C和D都跟IPSEC无关可以排出,正确答案是A,但是不太明白AH如何能够实现抗否认,我感觉完整性是AH的主要用途,在它前面的IKE过程,也能够实现MESSAGE ORIGIN AUTHENTICATION,但是除非用证书认证,否则什么地方跟抗否认有关呢?请高手给指点一下。


首先,IKE提供identity authentication,A=X。然后AH提供的是MESSAGE ORIGIN AUTHENTICATION,即证明M是来自于X的。这样A无法否认M来自于A。但一般IKE提供的authentication是基于节点的,所以这个抗否认也是基于节点而非用户,即你能确定的是M来自于某台计算机,但你不能确定M来自于使用它的某个用户。


假如说ESP使用的IKE过程,是通过PKI认证的方式,是不是说B也算正确选项呢?

我理解ESP是AH基础上,对CONFIDENTIALITY的扩展,所以A是答案,B也一定是答案。

有点诡辩的意思,但是真的搞不清这道题,在我看来,解决NONREPUDIATION,只能是DIGITAL SIGNATURE,但是IPSEC里面只有IKE会可能涉及到数字签名,AH和ESP都没有吧。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-19 02:21 
离线
版主

注册: 2003-11-24 09:25
最近: 2012-02-02 22:33
拥有: 3,396.20 安全币

奖励: 1525 安全币
在线: 5456 点
帖子: 421
地址: London, UK
ESP的authentication是optional。

另外DIGITAL SIGNATURE可以提供NONREPUDIATION,但NONREPUDIATION不一定非要通过DIGITAL SIGNATURE来实现。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-06 15:19 
离线
中级用户

注册: 2008-06-06 13:10
最近: 2013-03-16 20:46
拥有: 1,132.20 安全币

奖励: 43 安全币
在线: 392 点
帖子: 65
这个就涉及到AH具体的加密细节了。。。

AH头:
------------------------------------------------------------------------------------------------
Next Header | Payload Length | reserve | SPI | Serial Number | ICV (Integrate Checksum Value)
------------------------------------------------------------------------------------------------

用于抗抵赖的字段有:
SPI:由发送方设置的一个为此连接分配的4byte的唯一标实。可以唯一标实此设备的每个链接,也可以标实不同的实体设备。在IPSec实现中用于唯一标实一个单向的SA。
Serial Number:用于唯一标实发送方发送的每一个数据包。
ICV:它是由MD5或SHA-1 HMAC功能产生的一个数字签名。它是将完整的IP包的所有字段(包括IP头,AH头,不包括用户数据和可变字段及ICV字段)与一个共享的HMAC密码计算得来。由对端设备使用相同的HMAC对此值进行decode。


另外,prep guide也有相关说明:
The AH provides integrity, authentication, and
non-repudiation. An ESP primarily provides encryption, but it can also provide lim­ited authentication.


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-06 15:21 
离线
中级用户

注册: 2008-06-06 13:10
最近: 2013-03-16 20:46
拥有: 1,132.20 安全币

奖励: 43 安全币
在线: 392 点
帖子: 65
要不说AIO啰嗦嘛,说不到点上去,,,


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-11 20:05 
离线
初级用户

注册: 2008-03-01 20:27
最近: 2014-07-03 13:34
拥有: 17.40 安全币

奖励: 0 安全币
在线: 436 点
帖子: 28
ESP只是提供加密和解密


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-06-11 20:10 
离线
初级用户

注册: 2008-03-01 20:27
最近: 2014-07-03 13:34
拥有: 17.40 安全币

奖励: 0 安全币
在线: 436 点
帖子: 28
我的理解是如果他提供完整性,则他必然能提供抗否认性。否则数据在传输后的重组不可能完成吧?不知道理解对不对


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 问个问题
帖子发表于 : 2012-04-15 16:25 
离线
中级用户

注册: 2011-11-27 19:21
最近: 2013-10-02 10:02
拥有: 4,283.00 安全币

奖励: 934 安全币
在线: 8828 点
帖子: 69
.


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 13 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012