网络安全--安全认证、IPSEC技术

目录

[1. 什么是数据认证，有什么作用，有哪些实现的技术手段？](#1. 什么是数据认证，有什么作用，有哪些实现的技术手段？)

[2. 什么是身份认证，有什么作用，有哪些实现的技术手段？](#2. 什么是身份认证，有什么作用，有哪些实现的技术手段？)

[3. 什么是VPN技术？](#3. 什么是VPN技术？)

[4. VPN技术有哪些分类？](#4. VPN技术有哪些分类？)

[5. IPSEC技术能够提供哪些安全服务？](#5. IPSEC技术能够提供哪些安全服务？)

[6. IPSEC的技术架构是什么？](#6. IPSEC的技术架构是什么？)

[7. AH与ESP封装的异同？](#7. AH与ESP封装的异同？)

[8. IKE的作用是什么？](#8. IKE的作用是什么？)

[9. 详细说明IKE的工作原理？](#9. 详细说明IKE的工作原理？)

[10. IKE第一阶段有哪些模式？有什么区别，使用场景是什么？](#10. IKE第一阶段有哪些模式？有什么区别，使用场景是什么？)

---

1. 什么是数据认证，有什么作用，有哪些实现的技术手段？

**数字认证：**是一种权威性的电子文档。它提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构----CA证书授权(Certificate Authority)中心发行的，

**作用：**人们可以在互联网交往中用它来识别对方的身份。

**技术手段：**证书认证中心（CA）作为权威的、公正的、可信赖的第三方。

2. 什么是身份认证，有什么作用，有哪些实现的技术手段？

**身份认证：**通过标识和鉴别用户身份，防止攻击者假冒合法用户来获取访问权限。

**作用：**是计算机网络中确认操作者身份的过程而产生的有效解决方法。

**实现手段：**基于信息秘密的身份认证、基于信任物体的身份认证、基于生物特征的身份认证。

3. 什么是 VP N 技术？

虚拟专用网络(Virtual Private Network，VPN)是专用网络的延伸，它包含了类似Internet的共享或公共网络链接。通过VPN可以模拟点对点通过隧道的方式在公共网络在两台计算机之间发送数据。VPN的"线路"并不是物理存在的，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道"，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接。

4. VP N 技术有哪些分类？

5. IPSEC 技术能够提供哪些安全服务？

机密性、完整性、数据源鉴别、重传保护机制、不可否认性。

6. IPSEC 的技术架构是什么？

1）、IPSEC有两种安全封装协议

①、ESP（encapsulation security header）--封装安全载荷

加密算法；鉴别算法：机密性、完整性、可用性。

②、AH（ authenticition header）--鉴别头

鉴别算法：可用性、完整性。

2）、IKE

①、IKE协商

协商封装协议以及工作模式--esp ah；

协商加密和鉴别算法；

密钥参数的协商--密钥产生算法、密钥有效期、密钥分发者身份认证、密钥长度、认证算法。

②、密钥管理

阶段1---主模式、野蛮模式

阶段2---快速模式

3）、两种工作模式

传输模式、隧道模式。

4）、两个数据库

安全策略数据库--SPD

安全管理数据库--SAD

5）、解释域

负责运行

7. AH 与 ESP 封装的异同？

相同：

AH和ESP都支持认证功能；

AH和ESP都支持数据源验证；

AH和ESP都支持防报文放攻击；

不同：

AH不支持加密功能，ESP支持加密功能；

AH协议号51，ESP协议号50;

AH不支持IPSec NAT-T，ESP支持IPSec NAT-T。

8. IKE 的作用是什么？

IKE（internet key exchange）自动协商安全联盟建立密钥交换过程

为ipsec通信双方，动态的建立安全联盟SA，对SA进行管理与维护。

为ipsec生成密钥，提供AH/ESP加解密和验证使用

9. 详细说明 IKE 的工作原理？

IKE经过两个阶段为ipsec进行密钥协商并建立安全联盟：

**第一个阶段：**通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道，交换建立一个iskmp安全联盟---iskmp sa。分为主模式和野蛮模式。

**第二个阶段：**用已经建立的安全联盟 iskmp sa(ike sa)的安全通道为ipsec协商安全服务，建

立ipsec sa，产生用于业务数据加密的密钥。

10. IKE 第一阶段有哪些模式？有什么区别，使用场景是什么？

IKE第一阶段模式

主模式是一种较为安全的模式，交换的信息较多，需要进行三次通信。其中，第一次通信是由Initiator发起，目的是建立一个安全的隧道；第二次通信是由Responder回复，回答Initiator的问题，并向其发送自己的公钥；第三次通信则是Initiator使用Responder发送的公钥来验证其身份，并生成共享密钥。

野蛮模式是一种快速的模式，交换的信息比主模式少，只需要进行两次通信。其中，第一次通信是由Initiator发起，同时将自己的身份验证信息发送给Responder，Responder在收到消息后会返回自己的身份验证信息和公钥；第二次通信则是Initiator使用Responder发送的公钥来验证其身份，并生成共享密钥。

**区别：**主模式相对较为安全，但交换的信息较多，野蛮模式则是快速且交换信息较少，但相对不够安全。

**使用场景：**一般情况下，如果安全性要求较高，建议使用主模式；如果要求较低或需要快速建立连接，则可以选择使用野蛮模式。