AI智能推荐题库-试题通 AI智能整理导入题库-试题通
×
首页 题库中心 工作簿一 题目详情
CB5C46D138800001C0543900FD8F1375
工作簿一
4,803
判断题

测评人员在对某三级信息系统的网络和通信安全层面抓包分析时发现,通信过程中IPSec协议通信双方均发送其签名证书和加密证书,双证书分别用于身份鉴别和会话加密。

A
正确
B
错误

答案解析

正确答案:B

解析:

该题答案为B:错误。 解析如下: 题目描述中提到“IPSec协议通信双方均发送其签名证书和加密证书,双证书分别用于身份鉴别和会话加密”,这一说法存在概念性错误,关键问题在于对IPSec协议中证书使用机制的理解偏差。 核心知识点讲解: 1. IPSec协议基本架构: IPSec(Internet Protocol Security)是一组用于保障IP层通信安全的协议套件,主要包括两个核心协议: - AH(Authentication Header):提供数据源认证、数据完整性校验和抗重放攻击,但不提供加密。 - ESP(Encapsulating Security Payload):提供数据加密、数据完整性、身份认证和抗重放功能。 IPSec运行在两种模式下:传输模式和隧道模式。 2. 密钥管理与身份认证机制: IPSec通常依赖IKE(Internet Key Exchange)协议来协商安全参数、建立安全关联(SA)并交换密钥。IKE分为两个阶段: - IKE阶段一:建立安全通道(IKE SA),用于保护后续的协商过程。 - IKE阶段二:在已建立的安全通道内协商IPSec SA,用于保护实际的数据通信。 在IKE协商过程中,支持多种身份认证方式,包括预共享密钥、数字证书、公钥加密等。 3. 数字证书在IPSec中的应用: 当使用数字证书进行身份认证时,通信双方可以使用X.509证书来证明自己的身份。然而,在标准的IPSec/IKE实现中,并不要求或普遍支持“双证书”机制,即一个用于签名(身份鉴别)、一个用于加密(密钥交换)的独立证书对。 虽然在某些PKI体系中,确实存在将签名密钥和加密密钥分离的做法(例如遵循X.509 v3扩展字段中的Key Usage和Extended Key Usage),例如: - 一个证书用于数字签名(如keyUsage=digitalSignature) - 另一个证书用于密钥加密(如keyUsage=keyEncipherment) 但在实际IPSec部署中,通常一个X.509证书即可同时支持身份认证(通过签名)和密钥交换(通过加密),尤其是在IKEv1或IKEv2中,证书主要用于身份验证,而会话密钥是通过DH(Diffie-Hellman)密钥交换算法协商生成的,并非直接使用证书中的公钥进行“会话加密”。 更准确地说: - 签名用于身份鉴别(如IKE中的SIGNATURE认证方法); - 加密功能主要依赖于对称加密算法(如AES),而非证书本身直接加密会话数据; - 公钥加密可能用于密钥传输(在某些密钥交换方式中),但现代IPSec多采用DH交换实现前向安全性,避免直接加密传输密钥。 4. “双证书”机制并非IPSec标准要求: 尽管在特定高安全等级系统(如中国商用密码体系)中可能存在“双证书”设计(如SM2算法支持签名与加密密钥对分离),但这属于特定密码策略的应用扩展,并非IPSec协议本身的通用机制。题目未说明是在特定密码体制背景下,因此应基于通用IPSec标准判断。 结论: 题目中“通信双方均发送其签名证书和加密证书,双证书分别用于身份鉴别和会话加密”的表述,混淆了IPSec中证书用途与密钥管理机制,夸大或误解了“双证书”的普遍性和功能分工。在标准IPSec实现中,并不要求分别发送签名证书和加密证书,且会话加密密钥由DH协商产生,而非由加密证书直接完成。 因此,该说法错误,正确答案为B。
题目纠错
工作簿一

扫码进入小程序
随时随地练习

关闭登录弹窗
专为自学备考人员打造
勾选图标
自助导入本地题库
勾选图标
多种刷题考试模式
勾选图标
本地离线答题搜题
勾选图标
扫码考试方便快捷
勾选图标
海量试题每日更新
波浪装饰图
欢迎登录试题通
可以使用以下方式扫码登陆
APP图标
使用APP登录
微信图标
使用微信登录
试题通小程序二维码
联系电话:
400-660-3606
试题通企业微信二维码