《计算机网络课后题答案第七章.docx》由会员分享,可在线阅读,更多相关《计算机网络课后题答案第七章.docx(12页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第七章网络平安7-01 计算机网络都面临哪几种威逼?主动攻击和被动攻击的区分是什么?对于计算机网络的平安措施都有哪些?答:计算机网络面临以下的四种威逼:截获,中断(),篡改(),伪造。网络平安的威逼可以分为两大类:即被动攻击和主动攻击。主动攻击是指攻击者对某个连接中通过的 进展各种处理。如有选择地更改, 删除, 延迟这些。甚至还可将合成的或伪造的 送入到一个连接中去。主动攻击又可进一步划分为三种,即更改报文流;拒绝报文效劳;伪造连接初始化。被动攻击是指视察和分析某一个协议数据单元 而不干扰信息流。即使这些数据对攻击者来说是不易理解的,它也可通过视察 的协议限制信息局部,了解正在通信的协议实体的
2、地址和身份,探讨 的长度和传输的频度,以便了解所交换的数据的性质。这种被动攻击又称为通信量分析。还有一种特别的主动攻击就是恶意程序的攻击。恶意程序种类繁多,对网络平安威逼较大的主要有以下几种:计算机病毒;计算机蠕虫;特洛伊木马;逻辑炸弹。应付被动攻击可采纳各种数据加密动技术,而应付主动攻击,那么需加密技术及适当的鉴别技术结合。7-02 试说明以下名词:1重放攻击;2拒绝效劳;3访问限制;4流量分析;5恶意程序。答:1重放攻击:所谓重放攻击 就是攻击者发送一个目的主机已接收过的包,来到达欺瞒系统的目的,主要用于身份认证过程。2拒绝效劳:( )指攻击者向因特网上的效劳器不停地发送大量分组,使因特网
3、或效劳器无法供应正常效劳。3访问限制: 也叫做存取限制或接入限制。必需对接入网络的权限加以限制,并规定每个用户的接入权限。4流量分析:通过视察 的协议限制信息局部,了解正在通信的协议实体的地址和身份,探讨 的长度和传输的频度,以便了解所交换的数据的某种性质。这种被动攻击又称为流量分析 。5恶意程序:恶意程序 通常是指带有攻击意图所编写的一段程序。7-03 为什么说,计算机网络的平安不仅仅局限于保密性?试举例说明,仅具有保密性的计算机网络不确定是平安的。答:计算机网络平安不仅仅局限于保密性,但不能供应保密性的网络确定是不平安的。网络的平安性机制除为用户供应保密通信以外,也是很多其他平安机制的根底
4、。例如,存取限制中登陆口令的设计。平安通信协议的设计以及数字签名的设计等,都离不开密码机制。7-04 密码编码学, 密码分析学和密码学都有哪些区分?答:密码学()包含密码编码学()及密码分析学()两局部内容。密码编码学是密码体制的设计学,是探讨对数据进展变换的原理, 手段和方法的技术和科学,而密码分析学那么是在未知密钥的状况下从密文推演出明文或密钥的技术。是为了取得隐私的信息, 而对密码系统及其流淌的数据进展分析,是对密码原理, 手段和方法进展分析, 攻击的技术和科学。7-05 “无条件平安的密码体制和“在计算上是平安的密码体制有什么区分?答:假如不管截取者获得了多少密文,但在密文中都没有足够
5、的信息来惟一地确定出对应的明文,那么这一密码体制称为无条件平安的,或称为理论上是不行破的。假如密码体制中的密码不能被可运用的计算资源破译,那么这一密码体制称为在计算上是平安的。7-06 破译下面的密文诗。加密采纳替代密码。这种密码是把26 个字母从a 到z中的每一个用其他某个字母替代留意,不是按序替代。密文中无标点符号。空格未加密。 ur ur ur z ur ur ur 答:单字母表是:明文:a b c d e f g h I j k l m密文:z s e x d r c f t g y b明文:n o p q r s t u v w x y z密文:h u n I m k o l p k
6、 a依据该单字母表,可得到以下及及此题中给的密文对应的明文: a 7-07 对称密钥体制及公钥密码体制的特点各如何?各有何优缺点?答:在对称密钥体制中,它的加密密钥及解密密钥的密码体制是一样的,且收发双方必须共享密钥,对称密码的密钥是保密的,没有密钥,解密就不行行,知道算法和假设干密文不足以确定密钥。公钥密码体制中,它运用不同的加密密钥和解密密钥,且加密密钥是向公众公开的,而解密密钥是须要保密的,发送方拥有加密或者解密密钥,而接收方拥有另一个密钥。两个密钥之一也是保密的,无解密密钥,解密不行行,知道算法和其中一个密钥以及假设干密文不能确定另一个密钥。优点:对称密码技术的优点在于效率高,算法简洁
7、,系统开销小,适合加密大量数据。对称密钥算法具有加密处理简洁,加解密速度快,密钥较短,开展历史悠久等优点。缺点:对称密码技术进展平安通信前须要以平安方式进展密钥交换,且它的规模困难。公钥密钥算法具有加解密速度慢的特点,密钥尺寸大,开展历史较短等特点。7-08 为什么密钥安排是一个特别重要但又特别困难的问题?试举出一种密钥安排的方法。答:密钥必需通过最平安的通路进展安排。可以运用特别牢靠的信使携带密钥非配给互相通信的各用户,多少用户越来越多且网络流量越来越大,密钥跟换过于频繁,派信使的方法已不再适用。举例:公钥的安排,首先建立一个值得信任的机构认证中心,将公钥及其对应的实体进展绑定,每个实体都有
8、 发来的证书,里面有公钥及其拥有者的标识信息,此证书被 进展了数字签名,任何用户都可从可信的地方获得 的公钥,此公钥可用来验证某个公钥是否为某个实体所拥有。7-09 公钥密码体制下的加密和解密过程是怎么的?为什么公钥可以公开?假如不公开是否可以提高平安性?答:加密和解密过程如下:1, 密钥对产生器产生出接收者的一对密钥:加密密钥和解密密钥;2, 发送者用承受者的公钥加密密钥通过加密运算对明文进展加密,得出密文,发送给承受者;承受者用自己的私钥解密密钥通过解密运算进展解密,复原出明文;因为无解密密钥,解密是不行行的,所以公钥可以公开,知道算法和其中一个密钥以及假设干密文不能确定另一个密钥。7-1
9、0 试述数字签名的原理答:数字签名采纳了双重加密的方法来实现防伪, 防赖。其原理为: 被发送文件用编码加密产生128 的数字摘要。然后发送方用自己的私用密钥对摘要再加密,这就形成了数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密,同时对收到的文件用 编码加密产生又一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互比照。如两者一样,那么说明传送过程中信息没有被破坏或篡改正。否那么不然。7-11 为什么须要进展报文鉴别?鉴别和保密, 授权有什么不同?报文鉴别和实体鉴别有什么区分?答:(1)运用报文鉴别是为了应付主动攻击中的篡改和伪造。当报文加密的时候就可以到
10、达报文鉴别的目的,但是当传送不须要加密报文时,接收者应当能用简洁的方法来鉴别报文的真伪。(2)鉴别和保密并不一样。鉴别是要验证通信对方的确是自己所需通信的对象,而不是其他的冒充者。鉴别分为报文鉴别和实体鉴别。授权涉及到的问题是:所进展的过程是否被允许(如是否可以对某文件进展读或写)。(3)报文鉴别和实体鉴别不同。报文鉴别是对每一个收到的报文都要鉴别报文的发送者,而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。7-12 试述实现报文鉴别和实体鉴别的方法。答:(1)报文摘要 是进展报文鉴别的简洁方法。A 把较长的报文X 经过报文摘要算法运算后得出很短的报文摘要H。然后用自
11、己的私钥对H 进展D 运算,即进展数字签名。得出已签名的报文摘要D(H)后,并将其追加在报文X 后面发送给B。B 收到报文后首先把已签名的D(H)和报文X 别离。然后再做两件事。第一,用A 的公钥对D(H)进展E 运算,得出报文摘要H。第二,对报文X 进展报文摘要运算,看是否能够得出同样的报文摘要H。如一样,就能以极高的概率断定收到的报文是A 产生的。否那么就不是。(2)A 首先用明文发送身份A 和一个不重数 给B。接着,B 响应A 的查问,用共享的密钥对加密后发回给A,同时也给出了自己的不重数。最终,A 再响应B 的查问,用共享的密钥对 加密后发回给B。由于不重数不能重复运用,所以C 在进展
12、重放攻击时无法重复运用是哟截获的不重数。7-13 报文的保密性及完整性有何区分?什么是5?答:(1)报文的保密性和完整性是完全不同的概念。保密性的特点是:即使加密后的报文被攻击者截获了,攻击者也无法了解报文的内容。完整性的特点是:接收者接收到报文后,知道报文没有被篡改或伪造。(2)5 是1321提出的报文摘要算法,目前已获得了广泛的应用。它可以对随意长的报文进展运算,然后得出128 的 报文摘要代码。算法的大致过程如下:先将随意长的报文按模264计算其余数(64),追加在报文的后面。这就是说,最后得出的5 代码已包含了报文长度的信息。在报文和余数之间填充1512,使得填充后的总长度是512 的
13、整数倍。填充比特的首位是1,后面都是0。将追加和填充的报文分割为一个个512 的数据块,512 的报文数据分成4 个128 的数据依次送到不同的散列函数进展4 论计算。每一轮又都按32 的小数据块进行困难的运算。始终到最终计算出5 报文摘要代码。这样得出的5 代码中的每一个比特,都及原来的报文中的每一个比特有关。7-14 什么是重放攻击?怎样防止重放攻击?答:(1)入侵者C 可以从网络上截获A 发给B 的报文。C 并不须要破译这个报文(因为这可能很花很多时间)而可以干脆把这个由A 加密的报文发送给B,使B 误认为C 就是A。然后B 就向伪装是A 的C 发送很多原来应当发送给A 的报文。这就叫做
14、重放攻击。(2)为了应付重放攻击,可以运用不重数。不重数就是一个不重复运用的大随机数,即“一次一数。7-15 什么是“中间人攻击?怎样防止这种攻击?答:(1) 中间人攻击 ,简称“ M 攻击是一种“间接 的入侵攻击, 这种攻击模式是通过各种技术手段将受入侵者限制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人能够及原始计算机建立活动连接并允许其读取或篡改传递的信息,然而两个原始计算机用户却认为他们是在相互通信,因而这种攻击方式并不很简洁被发觉。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段,并且始
15、终到今日还具有极大的扩展空间。(2) 要防范 M 攻击,我们可以将一些机密信息进展加密后再传输, 这样即使被“中间人截取也难以破解,另外,有一些认证方式可以检测到 M 攻击。比方设备或 异样检测:假如用户以前从未运用某个设备或 访问系统,那么系统会实行措施。还有设备或 频率检测:假如单一的设备或 同时访问大量的用户帐号, 系统也会实行措施。更有效防范 M 攻击的方法是进展带外认证。716 试探讨 协议的优缺点。答: 协议主要用于计算机网络的身份鉴别(), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据( )访问多个效劳,即( )。由于在每个 和 之间建立了共享密钥,使得该协议具
16、有相当的平安性。概括起来说 协议主要做了两件事: 的平安传递; 的安全发布。再加上时间戳的运用就很大程度上的保证了用户鉴别的平安性。并且利用,在通过鉴别之后 和 之间传递的消息也可以获得(机密性), (完整性)的保证。不过由于没有运用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言它比X.509 的身份鉴别方式实施起来要简洁多了。717 因特网的网络层平安协议族 都包含哪些主要协议?答:在 中最主要的两个局部就是:鉴别首部 和封装平安有效载荷。 将每个数据报中的数据和一个改变的数字签名结合起来,共同验证发送方身份,使得通信一方能够确认发送数据的另一方的身份,并能够确认数据在
17、传输过程中没有被篡改,防止受到第三方的攻击。它供应源站鉴别和数据完整性,但不供应数据加密。 供应了一种对 负载进展加密的机制,对数据报中的数据另外进展加密,因此它不仅供应源站鉴别, 数据完整性,也供应保密性。 是 , 工程任务组的小组建立的一套平安协作的密钥管理方案,目的是尽量使下层的平安及上层的应用程序及用户独立,使应用程序和用户不必了解底层什么样的平安技术和手段,就能保证数据传输的可靠性及平安性。 是集多种平安技术为一体的平安体系构造,是一组 平安协议集。 定义了在网际层运用的平安效劳,其功能包括数据加密, 对网络单元的访问限制, 数据源地址验证, 数据完整性检查和防止重放攻击。7-18
18、试简述 和 的工作过程。答:首先举例说明 的工作过程。假定A 有一个运用 的平安网页,B 上网时用鼠标点击到这个平安网页的链接。接着,效劳器和阅读器就进展握手协议,其主要过程如下。1阅读器向效劳器发送阅读器的 版本号和密码编码的参数选择。2效劳器向阅读器发送效劳器的 版本号, 密码编码的参数选择及效劳器的证书。证书包括效劳器的 分开密钥。此证书用某个认证中心的隐私密钥加密。3阅读器有一个可信任的 表,表中有每一个 的分开密钥。当阅读器收到效劳器发来的证书时,就检查此证书是否在自己的可信任的 表中。如不在,那么后来的加密和鉴别连接就不能进展下去;如在,阅读器就运用 的公开密钥对证书解密,这样就得
19、到了效劳器的公开密钥。4阅读器随机地产生一个对称会话密钥,并用效劳器的分开密钥加密,然后将加密的会话密钥发送给效劳器。5阅读器向效劳器发送一个报文,说明以后阅读器将运用此会话密钥进展加密。然后浏览器再向效劳器发送一个单独的加密报文,说明阅读器端的握手过程已经完成。6效劳器也向阅读器发送一个报文,说明以后效劳器将运用此会话密钥进展加密。然后效劳器再向阅读器发送一个单独的加密报文,说明效劳器端的握手过程已经完成。7 的握手过程到此已经完成,下面就可开场 的会话过程。下面再以顾客B 到公司A 用 购置物品为例来说明 的工作过程。这里涉及到两个银行,即A 的银行公司A 的支付银行和B 的银行给B 发出
20、信用卡的银行。1B 告知A 他想用信用卡购置公司A 的物品。2A 将物品清单和一个唯一的交易标识符发送给B。3A 将其商家的证书,包括商家的公开密钥发送给B。A 还向B 发送其银行的证书,包括银行的公开密钥。这两个证书都用一个认证中心 的隐私密钥进展加密。4B 运用认证中心 的公开密钥对这两个证书解密。5B 生成两个数据包:给A 用的定货信息 和给A 的银行用的购置指令。6A 生成对信用卡支付恳求的授权恳求,它包括交易标识符。7A 用银行的公开密钥将一个报文加密发送给银行,此报文包括授权恳求, 从B 发过来的 数据包以及A 的证书。8A 的银行收到此报文,将其解密。A 的银行要检查此报文有无被
21、篡改,以及检查在授权恳求中的交易标识符是否及B 的 数据包给出的一样。9A 的银行通过传统的银行信用卡信道向B 的银行发送恳求支付授权的报文。10一旦B 的银行准许支付,A 的银行就向A 发送响应加密的。此响应包括交易标识符。11假设此次交易被批准,A 就向B 发送响应报文。7-19 电子邮件的平安协议 主要都包含哪些措施?答: 是一种长期得到广泛运用和平安邮件标准。 是 和传统加密的杂合算法,因为 算法计算量大,在速度上不适合加密大量数据,所以 事实上并不运用 来加密内容本身,而是采纳 的传统加密算法。 用一个随机生成密钥及 算法对明文加密,然后再用 算法对该密钥加密。收信人同样是用 解密出
22、这个随机密钥,再用解密邮件明文。7-20 路加密及端到端加密各有何特点?各用在什么场合?答:1链路加密优点:某条链路受到破坏不会导致其他链路上传送的信息被析出,能防止各种形式的通信量析出;不会削减网络系统的带宽;相邻结点的密钥一样,因而密钥管理易于实现;链路加密对用户是透亮的。缺点:中间结点暴露了信息的内容;仅仅采纳链路加密是不行能实现通信平安的;不适用于播送网络。2端到端加密优点:报文的平安性不会因中间结点的不行靠而受到影响;端到端加密更简洁适合不同用户效劳的要求,不仅适用于互联网环境,而且同样也适用于播送网。缺点:由于 的限制信息局部不能被加密,所以简洁受到通信量分析的攻击。同时由于各结点
23、必需持有及其他结点一样的密钥,须要在全网范围内进展密钥管理和安排.为了获得更好的平安性,可将链路加密及端到端加密结合在一起运用。链路加密用来对 的目的地址进展加密,而端到端加密那么供应了对端到端数据的爱护。7-21 试述防火墙的工作原理和所供应的功能。什么叫做网络级防火墙和应用级防火墙?答:防火墙的工作原理:防火墙中的分组过滤路由器检查进出被爱护网络的分组数据,依据系统管理员事先设置好的防火墙规那么来及分组进展匹配,符合条件的分组就能通过,否那么就丢弃。防火墙供应的功能有两个:一个是阻挡,另一个是允许。阻挡就是阻挡某种类型的通信量通过防火墙。允许的功能及阻挡的恰好相反。不过在大多数状况下防火墙的主要功能是阻挡。网络级防火墙:主要是用来防止整个网络出现外来非法的入侵,属于这类的有分组过滤和授权效劳器。前者检查全部流入本网络的信息,然后拒绝不符合事先制定好的一套准那么的数据,而后者那么是检查用户的登录是否合法。应用级防火墙:从应用程序来进展介入限制。通常运用应用网关或代理效劳器来区分各种应用。
黑公网安备:91230400333293403D