- 1、本文档共6页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第十一章 IP安全与Web安全
1. 说明IP安全的必要性。
答:大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的,目前占统治地位的是IPv4。IPv4在设计之初没有考虑安全性,IP包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真实性。所以说,IP安全具有很大的必要性。
2. 简述IP安全的作用方式。
答:IPSec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。IPSec定义了一种标准的、健壮的以及包容广泛的机制,可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。
IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。
传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。
隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。将整个IP数据包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。
3. 图示验证头AH和封装安全有效载荷ESP的结构。
答:
4. 简述IKE协议的组成以及两个阶段。
答:整个IKE协议规范主要由3个文档定义:RFC2407、RFC2408和RFC2409。RFC2407定义了因特网IP安全解释域。RFC2408描述了因特网安全关联和密钥管理协议(Internet Security Association and Key Manangement Protocol,KSAKMP)。RFC2409描述了IKE协议如何利用Oakley,SKEME和ISAKMP进行安全关联的协商。
IKE基于两个阶段的ISAKMP来建立安全关联SA,第一阶段建立IKE SA,第二阶段利用IKE SA建立IPSec的SA。对于第一阶段,IKE交换基于两种模式:主模式(Main Mode)和野蛮模式(Aggressive Mode)。主模式是一种身份保护交换,野蛮模式基于ISAKMP的野蛮交换方法。在第二阶段中,IKE提供一种快速交换(Quick Mode),作用是为除IKE之外的协议协商安全服务。
5. 说明Web安全性中网络层、传输层和应用层安全性的实现机制。
答:第一,网络层。网络层上,虽然IP包本身不具备任何安全特性,很容易被修改、伪造、查看和重播,但是IPSec可提供端到端的安全性机制,可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置,实现端到端的安全、虚拟专用网络和安全隧道技术等。
第二,传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案,安全套接层SSL和TLS(Transport Layer Security)通常工作在TCP层之上,可以为更高层协议提供安全服务。
第三,应用层。将安全服务直接嵌入在应用程序中,从而在应用层实现通信安全。如SET(Secure Electronic Transaction,安全电子交易)是一种安全交易协议,S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。
6. 图示SSL的体系结构。
7. 从OpenSSL网站下载必威体育精装版的软件包,配置并实现SSL功能。
是否在编译过程中使用汇编代码加快编译过程。
enable-sse2
no-sse2
启用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集,就可以打开,否则就要关闭。
gmp
no-gmp
启用/禁用GMP库
rfc3779
no-rfc3779
启用/禁用实现X509v3证书的IP地址扩展
krb5
no-krb5
启用/禁用 Kerberos 5 支持
ssl
no-ssl
ssl2
ssl3
no-ssl2
no-ssl3
tls
no-tls
启用/禁用 SSL(包含了SSL2/SS
文档评论(0)