免费智能真题库 > 历年试卷 > 信息安全工程师 > 2016年下半年 信息安全工程师 上午试卷 综合知识
  第58题      
  知识点:   IPSec   隧道技术
  关键词:   隧道技术        章/节:   VPN 类型和实现技术       

 
以下关于隧道技术说法不正确的是(58)。
 
 
  A.  隧道技术可以用来解决TCP/IP协议的某些安全威胁问题
 
  B.  隧道技术的本质是用一种协议来传输另一种协议
 
  C.  IPSec协议中不会使用隧道技术
 
  D.  虚拟专用网中可以采用隧道技术
 
 
 

 
  第55题    2016年下半年  
   53%
以下关于IPSec协议的叙述中,正确的是(55)。
  第58题    2017年上半年  
   42%
属于第二层的VPN隧道协议是()。
  第26题    2017年上半年  
   68%
下列各种协议中,不属于身份认证协议的是()。
   知识点讲解    
   · IPSec    · 隧道技术
 
       IPSec
        IPSec是Internet Protocol Security的缩写。在TCP/IP协议网络中,由于IP协议的安全脆弱性,如地址假冒、易受篡改、窃听等,Internet工程组(IETF)成立了IPSec工作组,研究提出解决上述问题的安全方案。根据IP的安全需求,IPSec工作组制定了相关的IP安全系列规范:认证头(Authentication Header,简称AH)、封装安全有效负荷(Encapsulatin Security Payload,简称ESP)以及密钥交换协议。
               IPAH
               IP AH是一种安全协议,又称为认证头协议。其安全目的是保证IP包的完整性和提供数据源认证,为IP数据报文提供无连接的完整性、数据源鉴别和抗重放攻击服务。其基本方法是将IP包的部分内容用加密算法和Hash算法进行混合计算,生成一个完整性校验值,简称ICV(Integrity Check Value),同时把ICV附加在IP包中,如下图所示。
               
               IP AH协议包格式
               在TCP/IP通信过程中,IP包发送之前都事先计算好每个IP包的ICV,按照IP AH的协议规定重新构造包含ICV的新IP包,然后再发送到接收方。通信接收方在收到用IP AH方式处理过的IP包后,根据IP包的AH信息验证ICV,从而确认IP包的完整性和来源。IP认证头(AH)的信息格式如下图所示。
               
               IP认证头(AH)的信息格式
               IP ESP
               IP ESP也是一种安全协议,其用途在于保证IP包的保密性,而IP AH不能提供IP包的保密性服务。IP ESP的基本方法是将IP包做加密处理,对整个IP包或IP的数据域进行安全封装,并生成带有ESP协议信息的IP包,然后将新的IP包发送到通信的接收方。接收方收到后,对ESP进行解密,去掉ESP头,再将原来的IP包或更高层协议的数据像普通的IP包那样进行处理。RFC 1827中对ESP的格式做了规定,AH与ESP体制可以合用,也可以分用。
               IP AH和IP ESP都有两种工作模式,即透明模式(Transport mode)和隧道模式(Tunnel Mode)。透明模式只保护IP包中的数据域(data payload),而隧道模式则保护IP包的包头和数据域。因此,在隧道模式下,将创建新的IP包头,并把旧的IP包(指需做安全处理的IP包)作为新的IP包数据。
               密钥交换协议
               基于IPSec技术的主要优点是它的透明性,安全服务的提供不需要更改应用程序。但是其带来的问题是增加网络安全管理难度和降低网络传输性能。
               IPSec还涉及密钥管理协议,即通信双方的安全关联已经事先建立成功,建立安全关联的方法可以是手工的或是自动的。手工配置的方法比较简单,双方事先对AH的安全密钥、ESP的安全密钥等参数达成一致,然后分别写入双方的数据库中。自动的配置方法就是双方的安全关联的各种参数由KDC(Key Distributed Center)和通信双方共同商定,共同商定的过程就必须遵循一个共同的协议,这就是密钥管理协议。目前,IPSec的相关密钥管理协议主要有互联网密钥交换协议IKE、互联网安全关联与密钥管理协议ISAKMP、密钥交换协议Oakley。
               9.2.6SSL
               SSL是Secure Sockets Layer的缩写,是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道。该协议由Netscape开发,包含握手协议、密码规格变更协议、报警协议和记录层协议。其中,握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
               SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性,如下图所示。SSL的工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方,收方经验证无误后解密还原信息。
               
               SSL协议工作机制
               如下图所示,SSL协议是一个分层协议,最底层协议为SSL记录协议(SSL Record Protocol),其位于传输层(如TCP)之上,SSL记录协议的用途是将各种不同的较高层协议(如HTTP或SSL握手协议)封装后再传送。另一层协议为SSL握手协议(SSL Handshake Protocol),由3种协议组合而成,包含握手协议(Handshake Protocol)、密码规格变更协议(Change Cipher Spec)及报警协议(Alert protocol),其用途是在两个应用程序开始传送或接收数据前,为其提供服务器和客户端间相互认证的服务,并相互协商决定双方通信使用的加密算法及加密密钥。
               
               SSL协议组成示意图
               SSL协议提供三种安全通信服务。
               (1)保密性通信。握手协议产生秘密密钥(secret key)后才开始加、解密数据。数据的加、解密使用对称式密码算法,例如DES、AES等。
               (2)点对点之间的身份认证。采用非对称式密码算法,例如RSA、DSS等。
               (3)可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码(Message Authentication Code,简称MAC)。MAC的计算采用安全杂凑函数,例如SHA、MD5。
               SSL记录协议(record protocol)的数据处理过程如下图所示,其步骤如下:
               (1)SSL将数据(data)分割成可管理的区块长度。
               (2)选择是否要将已分割的数据压缩。
               (3)加上消息认证码(MAC)。
               (4)将数据加密,生成即将发送的消息。
               (5)接收端将收到的消息解密、验证、解压缩,再重组后传送至较高层(例如应用层),即完成接收。
               
               SSL记录协议数据处理示意图
 
       隧道技术
        所谓隧道技术,就是把IPv6分组封装到IPv4分组中,通过IPv4网络进行转发的技术。根据隧道端节点的不同,可以分为4种不同的隧道:主机到主机的隧道、主机到路由器的隧道、路由器到路由器的隧道、路由器到主机的隧道。
               隧道中介技术
               隧道中介技术是要求隧道端点必须运行双协议栈,两个端点之间不能使用NAT技术,因为IPv4地址必须是全局可路由的。对于IPv4/IPv6双栈主机,可以配置一条默认的隧道,以便把不能连接到任何IPv6路由器的分组发送出去。双栈边界路由器的IPv4地址必须是已知的,这是隧道端点的地址。这种默认隧道建立后,所有的IPv6目标地址都可以通过隧道传送。
               自动隧道
               两个双栈主机可以通过自动隧道在IPv4网络中进行通信。实现自动隧道的节点必须采用IPv4兼容的IPv6地址。当分组进入双栈路由器时,如果目标地址是IPv4兼容的地址,分组就被重定向,并自动建立一条隧道。如果目标地址是当地的IPv6地址,则不会建立自动隧道。被传送的分组决定了隧道的端点,目标IPv4地址取自IPv6地址的低32位,源地址是发送分组的接口的IPv4地址。
               6to4隧道
               6to4隧道技术是一种支持IPv6站点通过IPv4网络进行通信的技术,这种技术不需要显式地建立隧道,可以使得一个原生的IPv6站点通过中继路由器连接到IPv6网络中。
               IANA在可聚合全球单播地址范围内指定了一个格式前缀0x2002来表示6to4地址。通常把带有16位前缀"2002"的IPv6地址称为6to4地址,而把不使用这个前缀的IPv6地址称为原生地址。
               中继路由器是一种经过特别配置的路由器,用于在原生IPv6地址与6to4地址之间进行转换。6to4技术都是在边界路由器中实现的,不需要对主机的路由配置做任何改变。6to4路由器应该配置双协议栈,应该具有全局IPv4地址,并能实现6to4地址转换。这种方法对IPv4路由表不增加任何选项,只是在IPv6路由表中引入了一个新的选项。
               6to4路由器应该向本地网络公告它的6to4前缀2002:IPv4::/48,其中,IPv4是路由器的全局IPv4地址。在本地IPv6网络中的6to4主机要使用这个前缀,可以用作自动的地址赋值,或用作IPv6路由,或用在6over4机制中。
               6to4技术也支持原生IPv6站点到6to4站点的通信,还可以支持6to4站点到原生IPv6站点的通信。
               6over4隧道
               RFC 2529定义的6over4是一种由IPv4地址生成IPv6链路本地地址的方法。IPv4主机的接口标识符是在该接口的IPv4地址前面加32个"0"形成的64位标识符。IPv6链路本地地址的格式前缀为FE80::/64,在其后面加上64位的IPv4接口标识符就形成了完整的IPv6链路本地地址。
               RFC 2529规定,IPv6组播分组要封装在目标地址为239.192.x.y的IPv4分组中发送,其中x和y是IPv6组播地址的最后两个字节。由于239.192.0.0/16是IPv4机构本地范围内的组播地址块,所以实现6over4的主机都要位于同一IPv4组播区域内。
               IPv6邻居发现的过程如下:首先是IPv6主机组播ICMPv6邻居邀请报文,然后是收到对方的邻居公告报文,其中包含了64位的链路层地址。当IPv6主机获得了对方主机的IPv4地址后,就可以用无状态自动配置方式构造源和目标的链路本地地址,向通信对方发送IPv6分组了。当然,IPv6分组还是要封装在IPv4分组中传送的。
               ISATAP
               RFC 4214定义了一种自动隧道技术——ISATAP, ISATAP意味着通过IPv4地址自动生成IPv6站点本地地址或链路本地地址,IPv4地址作为隧道的端点地址,把IPv6分组封装在IPv4分组中进行传送。
               一般来说,ISATAP地址有64位的格式前缀,FEC0::/64表示站点本地地址,FE80::/64表示链路本地地址。在格式前缀之后要加上修改的EUI-64地址,其形式如下:
               24位的IANA OUI+40位的扩展标识符
               如果40位扩展标识符的前16位是OxFFFE,则后面是24位的制造商标识符;如果40位扩展标识符的前8位是0xFE,则后面是32位的IPv4地址。
   题号导航      2016年下半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第58题    在手机中做本题