返回
网络安全第十一章IP安全与Web安全.doc

网络安全第十一章IP安全与Web安全.doc

ID:59134841

大小:6.15 MB

页数:6页

时间:2020-09-12

网络安全第十一章IP安全与Web安全.doc_第1页
网络安全第十一章IP安全与Web安全.doc_第2页
网络安全第十一章IP安全与Web安全.doc_第3页
网络安全第十一章IP安全与Web安全.doc_第4页
网络安全第十一章IP安全与Web安全.doc_第5页
资源描述:

《网络安全第十一章IP安全与Web安全.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第十一章IP安全与Web安全1.说明IP安全的必要性。答:大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构,除了数据链路层外,TCP/IP的所有协议的数据都是以IP数据报的形式传输的,目前占统治地位的是IPv4。IPv4在设计之初没有考虑安全性,IP包本身并不具备任何安全特性,导致在网络上传输的数据很容易受到各式各样的攻击:比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此,通信双方不能保证收到IP数据报的真实性。所以说,IP安全具有很大的必

2、要性。2.简述IP安全的作用方式。答:IPSec是IPv6的一个组成部分,是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。IPSec定义了一种标准的、健壮的以及包容广泛的机制,可用它为IP以及上层协议(比如TCP或者UDP)提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能,在IP层实现多种安全服务,包括访问控制、数据完整性、机密性等。IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。IPSec的实现方式有两种:传输模式和隧道模式,都可用于保护通信。传

3、输模式用于两台主机之间,保护传输层协议头,实现端到端的安全性。当数据包从传输层传送给网络层时,AH和ESP会进行拦截,在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时,应该先应用ESP,再应用AH。隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。将整个IP数据包进行封装(称为内部IP头),然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPSec头。3.图示验证头AH和封装安全有效载荷ESP的结构。答:4.简述IKE协议的组成以及两个阶段。答:整个IKE协议规范主要由3个文档定义:RFC2407、RFC2408和RFC2

4、409。RFC2407定义了因特网IP安全解释域。RFC2408描述了因特网安全关联和密钥管理协议(InternetSecurityAssociationandKeyManangementProtocol,KSAKMP)。RFC2409描述了IKE协议如何利用Oakley,SKEME和ISAKMP进行安全关联的协商。IKE基于两个阶段的ISAKMP来建立安全关联SA,第一阶段建立IKESA,第二阶段利用IKESA建立IPSec的SA。对于第一阶段,IKE交换基于两种模式:主模式(MainMode)和野蛮模式(AggressiveMode)。主模式是一种身份保护交换,野蛮模式基于ISAKM

5、P的野蛮交换方法。在第二阶段中,IKE提供一种快速交换(QuickMode),作用是为除IKE之外的协议协商安全服务。5.说明Web安全性中网络层、传输层和应用层安全性的实现机制。答:第一,网络层。网络层上,虽然IP包本身不具备任何安全特性,很容易被修改、伪造、查看和重播,但是IPSec可提供端到端的安全性机制,可在网络层上对数据包进行安全处理。IPSec可以在路由器、防火墙、主机和通信链路上配置,实现端到端的安全、虚拟专用网络和安全隧道技术等。第二,传输层。在TCP传输层之上实现数据的安全传输是另一种安全解决方案,安全套接层SSL和TLS(TransportLayerSecurity)

6、通常工作在TCP层之上,可以为更高层协议提供安全服务。第三,应用层。将安全服务直接嵌入在应用程序中,从而在应用层实现通信安全。如SET(SecureElectronicTransaction,安全电子交易)是一种安全交易协议,S/MIME、PGP是用于安全电子邮件的一种标准。它们都可以在相应的应用中提供机密性、完整性和不可抵赖性等安全服务。6.图示SSL的体系结构。7.从OpenSSL网站下载最新的软件包,配置并实现SSL功能。是否在编译过程中使用汇编代码加快编译过程。enable-sse2no-sse2启用/禁用SSE2指令集加速。如果你的CPU支持SSE2指令集,就可以打开,否则就要

7、关闭。gmpno-gmp启用/禁用GMP库rfc3779no-rfc3779启用/禁用实现X509v3证书的IP地址扩展krb5no-krb5启用/禁用Kerberos5支持sslno-sslssl2ssl3no-ssl2no-ssl3tlsno-tls启用/禁用SSL(包含了SSL2/SSL3)TLS协议支持。dsono-dso启用/禁用调用其它动态链接库的功能。[提示]no-dso仅在no-shared的前提下可用。[提示]为了

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。