免费智能真题库 > 历年试卷 > 信息安全工程师 > 2022年下半年 信息安全工程师 上午试卷 综合知识
  第38题      
  知识点:   IPSec   IPSec VPN   VPN
  关键词:   VPN        章/节:   VPN 类型和实现技术   网络设备安全机制与实现技术       

 
IPSec VPN 的功能不包括()。
 
 
  A.  A.数据包过滤 
 
  B.  密钥协商 
 
  C.  安全报文封装
 
  D.  身份鉴别
 
 
 

 
  第55题    2019年上半年  
   59%
IPSec属于( )的安全解决方案。
  第15题    2021年下半年  
   38%
密码算法可以根据密钥属性的特点进行分类,其中发送方使用的加密密钥和接收方使用的解密密钥不相同,并且从其中一个密钥难以推导..
  第39题    2021年下半年  
   33%
按照VPN在TCP/IP协议层的实现方式,可以将其分为链路层VPN、网络层VPN、传输层VPN。以下属于网络层VPN实现方式的是()。
   知识点讲解    
   · IPSec    · IPSec VPN    · VPN
 
       IPSec
        IPSec是Internet Protocol Security的缩写。在TCP/IP协议网络中,由于IP协议的安全脆弱性,如地址假冒、易受篡改、窃听等,Internet工程组(IETF)成立了IPSec工作组,研究提出解决上述问题的安全方案。根据IP的安全需求,IPSec工作组制定了相关的IP安全系列规范:认证头(Authentication Header,简称AH)、封装安全有效负荷(Encapsulatin Security Payload,简称ESP)以及密钥交换协议。
               IPAH
               IP AH是一种安全协议,又称为认证头协议。其安全目的是保证IP包的完整性和提供数据源认证,为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。其基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算,生成一个完整性校验值,简称ICV(Integrity Check Value),同时把ICV附加在IP包中,如下图所示。
               
               IP AH协议包格式
               在TCP/IP通信过程中,IP包发送之前都事先计算好每个IP包的ICV,按照IP AH的协议规定重新构造包含ICV的新IP包,然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后,根据IP包的AH信息验证ICV,从而确认IP包的完整性和来源。IP认证头(AH)的信息格式如下图所示。
               
               IP认证头(AH)的信息格式
               IP ESP
               IP ESP也是一种安全协议,其用途在于保证IP包的保密性,而IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做加密处理,对整个IP包或IP的数据域进行安全封装,并生成带有ESP协议信息的IP包,然后将新的IP包发送到通信的接收方。接收方收到后,对ESP进行解密,去掉ESP头,再将原来的IP包或更高层协议的数据像普通的IP包那样进行处理。RFC 1827中对ESP的格式做了规定,AH与ESP体制可以合用,也可以分用。
               IP AH和IP ESP都有两种工作模式,即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保护IP包中的数据域(data payload),而隧道模式则保护IP包的包头和数据域。因此,在隧道模式下,将创建新的IP包头,并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。
               密钥交换协议
               基于IPSec技术的主要优点是它的透明性,安全服务的提供不需要更改应用程序。但是其带来的问题是增加网络安全管理难度和降低网络传输性能。
               IPSec还涉及密钥管理协议,即通信双方的安全关联已经事先建立成功,建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单,双方事先对AH的安全密钥、ESP的安全密钥等参数达成一致,然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由KDC(Key Distributed Center)和通信双方共同商定,共同商定的过程就必须遵循一个共同的协议,这就是密钥管理协议。目前,IPSec的相关密钥管理协议主要有互联网密钥交换协议IKE、互联网安全关联与密钥管理协议ISAKMP、密钥交换协议Oakley。
               9.2.6SSL
               SSL是Secure Sockets Layer的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。该协议由Netscape开发,包含握手协议、密码规格变更协议、报警协议和记录层协议。其中,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
               SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性,如下图所示。SSL的工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方,收方经验证无误后解密还原信息。
               
               SSL协议工作机制
               如下图所示,SSL协议是一个分层协议,最底层协议为SSL记录协议(SSL Record Protocol),其位于传输层(如TCP)之上,SSL记录协议的用途是将各种不同的较高层协议(如HTTP或SSL握手协议)封装后再传送。另一层协议为SSL握手协议(SSL Handshake Protocol),由3种协议组合而成,包含握手协议(Handshake Protocol)、密码规格变更协议(Change Cipher Spec)及报警协议(Alert protocol),其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥。
               
               SSL协议组成示意图
               SSL协议提供三种安全通信服务。
               (1)保密性通信。握手协议产生秘密密钥(secret key)后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如DES、AES等。
               (2)点对点之间的身份认证。采用非对称式密码算法,例如RSA、DSS等。
               (3)可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码(Message Authentication Code,简称MAC)。MAC的计算采用安全杂凑函数,例如SHA、MD5。
               SSL记录协议(record protocol)的数据处理过程如下图所示,其步骤如下:
               (1)SSL将数据(data)分割成可管理的区块长度。
               (2)选择是否要将已分割的数据压缩。
               (3)加上消息认证码(MAC)。
               (4)将数据加密,生成即将发送的消息。
               (5)接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(例如应用层),即完成接收。
               
               SSL记录协议数据处理示意图
 
       IPSec VPN
        网络设备若支持IPSec,则可以保证管理工作站和网络设备的网络通信内容是加密传输的,其主要配置步骤如下:
        (1)设置ISAKMP预共享密钥;
        (2)创建可扩展的ACL;
        (3)创建IPSec transforms;
        (4)创建crypto map;
        (5)应用crypto map到路由接口。
        假设管理工作站的IP地址是X.Y.Z.10,网络设备是路由器RouterOne,则路由器的IPsec配置过程如下表所示。
        
        IPsec配置过程示意表
 
       VPN
        VPN是一种建立在公网上的虚拟专用网络,它利用IPSec、PFTP、LZTP和建立在PKI基础上的加密与数字签名技术获得机密性保护。在VPN中使用PKI技术能增强VPN的身份认证能力,确保数据的完整性和不可否认性。使用PKI技术能够有效建立和管理信任关系,利用数字证书既能阻止非法用户访问VPN,又能够限制合法用户对VPN的访问,同时还能对用户的各种活动进行严格审计。
   题号导航      2022年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第38题    在手机中做本题