君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
WEB应用系统安全方案设计与实现
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口网络安全协议考试题库_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
网络安全协议考试题库
上传于||文档简介
&&河​南​理​工​大​学​考​试​资​料
阅读已结束，如果下载本文需要使用3下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩5页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢篇一：安全协议作业 第一次 安全协议作业《第一章》 张诗阳
1. 什么是可信任的计算机系统？ TCG 的定义：如果网络中的行为与结果总是预期和可控的，那么网络是可信的。1 法国的 Jean-Claude Laprie法国的 Jean-Claude Laprienis1995 年提出可信计算（Dependable Computing）的概念。其思路是：在 PC 机硬件平台上引入安全芯片架构，通过提供的安全特性来提高终端系统的安全性。可信计算平台基于可信平台模块（TPM)，以密码技术为支持、安全操作系统为核心，涉及到身份认证、软硬件配置、应用程序、平台间验证和管理等内容。可信计算平台(Trusted Computing Module, TCM)通常包括：可信计算构架、移动计算、服务器、软件存储、存储设备、可信网络连接六个部分。 2. 如何评测一个系统的安全等级，主要采用哪些评测方法？ 信息安全产品必须经过权威认证机构的评估和认证，权威机构在评估和认证安全产品时必须遵循被广泛认可的评估标准和准则。 TCSEC: TCSEC标准是计算机系统安全评估的第一个正式标准。该准则于1970年由美国国防科学委员会提出，并于1985年12月由美国国防部公布。TCSEC将计算机系统的安全划分为4个等级、7个级别。 ITSEC: ITSEC是欧洲多国安全评价方法的综合产物，应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1～F10共分10级。 1～5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。 与TCSEC不同, ITSEC并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。 CTCPEC: 加拿大的评价标准(Canadian Trusted Computer Product Evaluation Criteria)，CTCPEC专门针对政府需求而设计。与ITSEC类似，该标准将安全分为功能性需求和保证性需要两部分。功能性需求共划分为四大类：机密性、完整性、可用性和可控性。每种安全需求又可以分成很多小类，来表示安全性上的差别，分级条数为0～5级。 FC: 美国联邦准则（FC），FC是对TCSEC的升级，并引入了“保护轮廓”（PP）的概念。每个轮廓都包括功能、开发保证和评价三部分。FC充分吸取了ITSEC和CTCPEC的优点，在美国的政府、民间和商业领域得到广泛应用。 CC: CC(The Common Criteria for Information Technology Security Evaluation)，CC并不涉及管理细节和信息安全的具体实现、算法和评估方法等，也不作为安全协议、安全鉴定等。CC的目的是形成单一的信息安全国际标准，为相同信息安全产品的评价提供了可比性，从而使信息安全开发者和信息安全产品能够在全世界范围内得到认可。 ISO 15408: 在TCSEC中的研究中心是TCB，而在ITSEC、cc和ISO/IEC 15408信息技术安全评估准则中讨论的是toe（target of evaluation，评估对象）。ISO/IEC 15408评估准则中讨论的是TOE的安全功能（toe security function，缩写为TSF），是安全的核心，类似TCSEC的TCB。TCF安全功能执行的是toe的安全策略（toe security policy，缩写为tsp）。TSP是由多个安全功能策略（security function policies ，缩写为SFPS）所组成，1《可信计算系统(TCG)》冉小平 重庆工商大学计算机科学与信息工程学院而每一个SFP是由安全功能（SF）实现的。实现TSF的机制与TCSEC的相同，即“引用监控器”和其它安全功能实现机制。 GB 17859: 计算机信息系统安全保护等级划分准则
3. 目前流行的UNIX和WINDOWS操作系统分别达到那种安全等级？2 TCSEC标准：UNIX:C2 WINDOWS NT:C2 CC标准：WINDOWS 2000,XP(SP2),2003均为EAL4
4. 什么是自主访问控制和强制访问控制？3 自主访问控制（DAC）是一个接入的控制服务，它用来执行基于系统实体和它们的系统资源的授权情况，主要的对象可以包含文件、文件夹等各个可以使用的资源，自主访问控制需要在这些被访问对象中设置相关的许可，需要使用这些资源时，按照相应的许可进行访问。 强制访问控制（MAC）的主要特征是对所有主体及其所控制的客体（例如 ：进程、文件、段、设备）实施强制访问控制。为这些主体及客体指定敏感标记，这些标记是等级分类和非等级类别的组合，它们是实施强制访问控制的依据。系统通过比较主体和客体的敏感标记来决定一个主体是否能够访问某个客体。 2 3 《网络安全协议》赖英旭，杨震，刘静等
《强制访问控制和自主访问控制应用区别浅析》李广（广东电网公司惠州供电局，广东 惠州 516001）篇二：网络安全协议考试题库 1.网络安全的定义是指网络信息系统的安全，其内涵是网络安全体系结构中的安全服务。 2.安全协议的分类认证协议、密钥管理协议、不可否认协议、信息安全交换协议。 3.安全协议的安全性质认证性、机密性、完整性和不可否认性。 4.IP协议是网络层使用的最主要的通信协议，以下是IP数据包的格式，请填入表格中缺少的元素 5.对点协议（ppp）是为同等单元之间传输数据包而设计的链路层协议。 6.PPP协议的目的主要是用来通过拨号或专线方式建立点对点连接发送数据，使其成为各种主机、网桥和路由器之间简单连接的一种共同的解决方案。 7.连接过程中的主要状态填入下图 1建立 2认证 3网络 4 打开 5终止 6静止 8.IPsec的设计目标是为IPv4和IPv6提供可互操作的，高质量的，基于密码学的安全性传输IPsec协议【AH和ESP】支持的工作模式有传输模式和隧道模式。 9.IPsec传输模式的一个缺点是内网中的各个主机只能使用公有IP地址，而不能使用私有IP地址。11.IPsec主要由AH协议、ESP协议、负责密钥管理的IKE协议组成。 12.IPsec工作在IP层，提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护、抗重放攻击等安全服务。 13.AH可以为IP数据流提供高强度的密码认证，以确保被修改过的数据包可以被检查出来。 14.ESP提供和AH类似的安全服务，但增加了数据机密性保护、 有限的流机密性保护等两个额外的安全服务。 15.客户机与服务器交换数据前，先交换初始握手信息，在握手信息中采用了各种加密技术，以保证其机密性、数据完整性。 16. SSL维护数据完整性采用的两种方法是散列函数、机密共享。 17. 握手协议中客户机服务器之间建立连接的过程分为4个阶段：建立安全能力、服务器身份认证和密钥交换、客户机认证和密钥交换、完成。 18. SSL支持三种验证方式：客户和服务器都验证、只验证服务器、完全匿名。 19.SSL提供的安全措施能够抵御重放攻击／中间人攻击／部分流量分析／syn flooding攻击等攻击方法 20. 握手协议由一系列客户机与服务器的交换消息组成，每个消息都有三个字段：类型、长度、内容。 21.SSL位于TCP\IP层和应用层之间，为应用层提供安全的服务，其目标是保证两个应用之间通信的机密性、可靠性,可以在服务器和客户机两端同时实现支持。 22.SSL协议分为两层，低层SSL记录协议层高层是SSL握手协议层。 23. SSL协议全称为安全套接字协议。 24. SSL协议中采用的认证算法是通过RSA算法进行数字签名来实现。 25.密钥交换的目的是创造一个通信双方都知道但攻击者不知道的预主秘密，预主秘密用于生成主秘密，主秘密用于产生Certificate_Verify消息、Finished消息、加密密钥和MAC消息。 选择题 1．S-HTTP是在（应用层）的HTTP协议 2.下列哪一项不是SSL所提供的服务：（D ） A 用户和服务器的合法认证 B 加密数据以隐藏被传送的数据 C 维护数据完整性 D 保留通信双方的通信时的基本信息 3.SSL握手协议有（10）种消息类型： 4.在密钥管理方面，哪一项不是SSL题：（Ａ）Ａ 数据的完整性未得到保护 Ｂ 客户机和服务器互相发送自己能够支持的加密算法时，是以明文传送的存在被攻击修改的可能Ｃ 为了兼容以前的版本，可能会降低安全性Ｄ 所有的会话密钥中都将生成主密钥，握手协议的安全完全依赖于对主密钥的保护 5.下列哪项说法是错误的（Ｂ） Ａ SSL的密钥交换包括匿名密钥交换和非匿名密钥交换两种 B SSL3.0使用AH作为消息验证算法，可阻止重放攻击和截断连接攻击 C SSL支持3种验证方式 D 当服务器被验证时，就有减少完全匿名会话遭受中间人攻击的可能 6．在ssl的认证算法中，下列哪对密钥是一个公/私钥对（ A ） A 服务器方的写密钥和客户方的读密钥。 B服务器方的写密钥和服务器方的读密钥。 C 服务器方的写密钥和客户方的写密钥。 D服务器方的读密钥和客户方的读密钥。 7.CipherSuite字段中的第一个元素密钥交换模式中，不支持的密钥交换模式是哪个（ D ）A 固定的Differ―Hellman B 短暂的Differ―Hellman C 匿名的Differ―Hellman D长期的Differ―Hellman 8.哪一项不是决定客户机发送Client―Key―Exchang消息的密钥交换类型：（长期的Differ―Hellman） 9.下列哪种情况不是服务器需要发送Server―Key―Exchange消息的情况：（C） A 匿名的Differ―Hellman B 短暂的Differ―Hellman C 更改密码组并完成握手协议 D RSA密钥交换 10 .下列哪个不是SSL现有的版本（D） A SSL 1.0 B SSL 2.0 C SSL 3.0 D SSL 4.0 11.设计AH协议的主要目的是用来增加IP数据包（完整性）的认证机制。 12. 设计ESP协议的主要目的是提高IP数据包的（安全性）。 13. ESP数据包由（4）个固定长度的字段和（3）个变长字段组成。 14.AH头由（5）个固定长度字段和（1）个变长字段组成。 15. IPsec是为了弥补（TCP/IP）协议簇的安全缺陷，为IP层及其上层协议提护而设计的。 16.在ESP数据包中，安全参数索引【SPI】和序列号都是（ 32）位的整数。 17. IKE包括（ 2）个交换阶段，定义了（4）种交换模式。 18. ISAKMP的全称是（Internet安全关联和密钥管理协议）。19. AH的外出处理过程包括：①检索（ ）； ②查找对应的（ ）； ③构造（ ）载荷； ④为载荷添加IP头； ⑤其他处理。 正确的是（SPD，SA，AH）。 20.IKE的基础是（ISAKMP，Oakley，SKEM）等三个协议。 21.下列哪种协议是为同等单元之间传输数据包而设计的链路层协议（PPP协议） 22. 下列哪个不是PPP在连接过程中的主要状态。（ C ） A 静止 B 建立 C 配置 D 终止 23.目前应用最为广泛的第二层隧道协议是（PPTP 协议） 24.___协议兼容了 PPTP协议和L2F协议。（L2TP协议） 判断题 1. SSL是位于TCP/IP层和数据链路层的安全通信协议。 （错）（应是位于TCP/IP和应用层） 2. SSL采用的加密技术既有对称密钥，也有公开密钥。（对） 3. MAC算法等同于散列函数，接收任意长度消息，生成一个固定长度输出。 （错）（MAC算法除接收一个消息外，还需要接收一个密钥） 4. SSL记录协议允许服务器和客户机相互验证，协商加密和MAC算法以及保密密钥。（错）（应是SSL握手协议） 5. SSL的客户端使用散列函数获得服务器的信息摘要，再用自己的私钥加密形成数字签名的目的是对服务器进行认证。（错）（应是被服务器认证） 6. IPsec传输模式具有优点：即使是内网中的其他用户，也不能理 解在主机A和主机B之间传输的数据的内容。 （对） 7.IPsec传输模式中，各主机不能分担IPsec处理负荷。 （错） 8.IPsec传输模式不能实现对端用户的透明服务。用户为了获得IPsec提供的安全服务，必须消耗内存，花费处理时间。 （对） 9.IPsec传输模式不会暴露子网内部的拓扑结构。 （错） 10.IPsec隧道模式能够保护子网内部的所有用户透明地享受安全网关提供的安全保护。 （对） 11.IPsec隧道模式中，IPsec主要集中在安全网关，增加了安全网关的处理负担，容易造成通信瓶颈。 （对） 12.L2TP通过隧道技术实现在IP网络上传输的PPP分组。 （错） （L2TP通过隧道技术实现在IP网络或非IP网络的公共网络上传输PPP分组） 13.L2TP协议利用AVP来构造控制消息，比起PPTP中固化的消息格式来说，L2TP的消息格式更灵活。（对）14.L2TP是一种具有完善安全功能的协议。（错）（不具有完善安全功能） 15.PPTP协议对隧道上传输的的数据不提供机密性保护，因此公共网络上传输的数据信息或控制信息完全有可能被泄露。（对） 名词解释 1、IPsec的含义 答：IPsec是为了弥补TCP/IP协议簇的安全缺陷，为IP层及其上层协议提供保护而设计的。它是一组基于密码学的安全的开放网络安全协议，总称IP安全（IP security）体系结构，简称IPsec。 2、安全关联（SA）的含义 答：所谓SA是指通信对等方之间为了给需要受保护的数据流提供安全服务而对某些要素的一种协定。 3、电子SPD的含义 答：SPD是安全策略数据库。SPD指定了应用在到达或者来自某特定主机或者网络的数据流的策略。 4、SAD的含义 答：SAD是安全关联数据库。SAD包含每一个SA的参数信息 5、目的IP地址 答：可以是一个32位的IPv4地址或者128位的IPv6地址。 6、路径最大传输单元 答：表明IP数据包从源主机到目的主机的过程中，无需分段的IP数据包的最大长度。 简述题 1 、安全协议的缺陷分类及含义 答：（1）基本协议缺陷，基本协议缺陷是由于在安全协议的设计中没有或很少防范攻击者而引发的协议缺陷。 （2）并行会话缺陷，协议对并行会话攻击缺乏防范，从而导致攻击者通过交换适当的协议消息能够获得所需要的信息。 （3）口令/密钥猜测缺陷，这类缺陷主要是用户选择常用词汇或通过一些随即数生成算法制造密钥，导致攻击者能够轻易恢复密钥。 （4）陈旧消息缺陷，陈旧消息缺陷是指协议设计中对消息的新鲜性没有充分考虑，从而致使攻击者能够消息重放攻击，包括消息愿的攻击、消息目的的攻击等。 （5）内部协议缺陷，协议的可达性存在问题，协议的参与者至少有一方不能完成所需要的动作而导致的缺陷。 （6）密码系统缺陷，协议中使用密码算法和密码协议导致协议不能完全满足所需要的篇三：基于http协议安全攻防技术 Web安全攻防实验 【实验原理】 一、 WEB攻击的常用方式 (1) 下载数据库 由于现有的很多网站都采用了使用整站程序的搭建方式，因此导致黑客可以很容易的知道该程序的默认数据库路径，从而对网站最核心的数据库进行下载然后进行本地的破解，从而达到入侵的目的。 (2) 上传漏洞 最典型的莫过于动易2006整站系统，由于Win2003存在着一个文件解析路径的漏动，即当文件夹名为类似xxx.asp的时候(即文件夹名看起来像一个ASP文件的文件名)，此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。而动易2006整站系统在注册用户时，会默认的为该用户生成一个以该用户名为文件名的目录，因此黑客可以通过利用Win2003文件解析路径的漏洞，来上传文件从而达到入侵的目的。 (3) SQL注入 网站在通过脚本调用数据库时，由于对调用语句的过滤不严格，导致黑客可以通过构造特殊语句来访问数据库，从而得到网站的重要信息，比如：管理员账号、管理员密码等。 (4) 旁注 由于目标站点不存在漏洞，所以黑客会对与目标站点同一个主机或同一网段的站点进行入侵，入侵成功之后再对目标站点进行渗透，从而达到入侵目标站点的目的。 二、 攻击过程中运用的知识 (1) MD5 MD5的全称是Message-Digest Algorithm 5(信息-摘要算法)，MD5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。 在MD5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于448。因此，信息的字节长度(Bits Length)将被扩展至N*512+448，即N*64+56个字节(Bytes)，N为一个正整数。填充的方法如下，在信息的后面填充一个1和无数个0，直到满足上面的条件时才停止用0对信息的填充。然后，在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字节长度=N*512+448+64=(N+1)*512，即长度恰好是512的整数倍。这样做的原因是为满足后面处理中对信息长度的要求。 MD5的典型应用是对一段信息(Message)产生信息摘要(Message-Digest)，以防止被篡改。MD5还广泛用于加密和解密技术上。比如在UNIX系统中用户的密码就是以MD5(或其它类似的算法)经加密后存储在文件系统中。 (2) ASP木马 ASP编写的网站程序。它和其它ASP程序没有本质区别，只要是能运行ASP的空间就能运行它，这种性质使得ASP木马非常不易被发觉。 ASP木马入侵原理为：先将木马上传到目标空间，然后直接在客户端浏览器里面运行木马，接着就可以进行文件修改、目录删除等等具有破坏性的工作。 ASP木马本身就是个ASP文件。所以很关键的一点是限制ASP文件的上传。一般ASP网站本身就有文件上传功能，并且默认是限制了ASP文件的上传，不过黑客能够想方设法上传它们的木马文件。 三、 防御过程中运用的知识 (1) 用户权限、文件夹权限 (2) IIS设置 【实验环境】 客户端 图5.2.4-1 实验的网络拓扑如图5.2.4-1所示。 WEB攻防中的WEB主机可以是互联网的WEB服务器，也可以是本地局域网的服务器。实验过程中建议学生使用我们提供的虚拟机测试平台。
【实验步骤】 一、 攻击实验一 (一) 扫描主机 首先得到主机的IP地址，对主机进行常用端口扫描。查看主机开放了那些服务，例如ftp，Web，Sql等服务。再针对不同服务的漏洞，对其进行攻击。 常用的扫描工具如X-scan。 使用X-scan对主机进行扫描。从如图5.2.4-2所示的扫描结果可以看到，远程主机开放80端口，80端口为WEB服务。图5.2.4-2 或者直接访问主机的Web页面，寻找漏洞点。例如当网站采用常见开源BBS，则可利用BBS的公开漏洞进行测试和学习。 (二) 扫描漏洞 尝试默认数据库下载（http://实验台IP/page6/data/dvbbs6），如图5.2.4-3所示。 图5.2.4-3 如果BBS管理员采用默认的数据库存放位置，则很容易被攻击者获得，从而得到系统所有用户的用户名信息。 扫描得到的漏洞通常为：默认用户与密码；默认的数据库位置，例如：data/dvbbs6.mdb；BBS漏洞。 (三) 破解口令 数据库中保存了用户名与密码，但密码是经过md5算法加密的，所以我们需要使用md5反向破解软件，或者通过网站查询的形式。得到最终的管理员的真实密码。 在地址栏中输入http://实验台IP/Page6/tongji.asp?orders=2&N=10%20userpassWord，（注意逗号）显示2个用户的密码，被MD5进行了加密，如图5.2.4-4所示。 图5.2.4-4 得到用户密码的MD5值，登陆MD5破解网站（例如/），输入MD5值，得到密码，如图5.2.4-5所示，即默认用户名 admin 密码 admin888。 图5.2.4-5 (四) 上传后门 修改asp木马（在工具箱里下载save.asp木马）的文件名为XX.jpg。然后发表话题（必需先建好板块，然后才能发表新帖），上传改名后的jpg文件，如图5.2.4-6所示。
图5.2.4-6 (五) 登录后台 使用破解后的论坛管理员密码登录管理后台，管理界面如图5.2.4-7所示；首先以admin角色登录，点击“管理”。 图5.2.4-7 (六) 修改木马文件 上传的木马文件改后缀为jpg，所以无法直接访问，要使asp运行，必须将文件后缀改为asp，并访问运行asp脚本。点击“文件管理”，查看上传后的jpg文件路径，如图5.2.4-8所示，并将文件路径复制下来。
图5.2.4-8 利用数据库备份漏洞对上传的jpg文件进行改名，点击“备份数据库”，输入已上传的jpg文件，备份数据库名称须填写为改后缀为asp的文件，如图5.2.4-9所示。 图5.2.4-9 点击确定，jpg文件将会被修改为asp文件，根据路径，将会访问asp木马，如图5.2.4-10所示，达到进一步控制主机的目的。相关热词搜索：IP网络安全可信技术西电捷通TISec应用场景详解_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
IP网络安全可信技术西电捷通TISec应用场景详解
上传于||文档简介
&&无​论​是​端​点​鉴​别​协​议​、​数​据​封​装​,​还​是​数​据​转​交​,​T​I​S​e​c​从​协​议​设​计​层​面​克​服​以​往​I​P​安​全​协​议​的​诸​多​问​题​,​从​而​满​足​多​层​次​应​用​场​景​的​I​P​数​据​安​全​需​求​。​为​了​充​分​使​用​T​I​S​e​c​所​提​供​的​安​全​服​务​,​并​使​用​T​I​S​e​c​为​用​户​构​建​安​全​的​业​务​网​络​,​可​以​通​过​以​下​三​种​业​务​应​用​场​景​进​行​说​明​。
阅读已结束，如果下载本文需要使用0下载券
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩2页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢}