【说明】
某企业采用Windows Server2003操作系统部署企业虚拟专用网(VPN),将企业的两个异地网络通过公共Internet安全的互联起来。微软Windows Server 2003操作系统中对IPSec具备完善的支持,图1-16示出了基于Windows Server 2003系统部署IPSec VPN的网络结构图。
【问题2】
IPSec IETE以RFC形式公布的一组安全协议集,它工作在OSI/RM的 (1) 。该协议的 (2) 机制不支持保密服务。IPSec的密钥管理包括密钥的确定和分发,其支持的密钥管理方式是 (3) 。
(1)
- A.数据链路层
- B.网络层 C传输层D.应用层
(2)A.AHB.ESP - C.SA
- D.IKE
(3)A.手工密钥分配B.自动密钥分配C.动态密钥分配D.手工密钥分配和自动密钥分配
参考答案:(1)B,或网络层
(2)A,或AH
(3)D,或手工密钥分配和自动密钥分配
解析:[要点解析]
IPSec是IETE以RFC形式公布的一组安全协议集,提供访问控制、数据源认证、拒绝重放包、无连接完整性、保密性的服务。IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAKMP)等3个最基本的协议。其中,AH协议为IP包提供信息源验证和完整性保证,但不支持保密服务;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
IPSec体系结构文档要求支持手工密钥分配和自动密钥分配这两种密钥管理方式。其中手工密钥分配的优点是简单,缺点是安全性较低,应用于小规模、相对静止的环境:自动密钥分配的优点是安全性较高,缺点是算法实现、密钥管理等较复杂。
L2F、PPTP、L2TP等VPN协议工作在OSI/RM参考模型的数据链路层,IPSec协议工作在OSI/RM的网络层,SSL/TLS VPN协议工作在OSI/RM的传输层。