stk阅读器

计算机网络课后题含含答案第七章

1/8

计算机网络课后题答案第七章

第七章网络安全

7-01计算机网络都面对哪几种威迫？主动攻击和被动攻击的差别是什么？关于计算机网

络的安全举措都有哪些？

答：计算机网络面对以下的四种威迫：截获（interception），中止(interruption)，窜改

(modification),假造（fabrication）。网络安全的威迫能够分为两大类：即被动攻击和主

动攻击。主动攻击是指攻击者对某个连结中经过的PDU进行各样办理。若有选择地改正、

删除、延缓这些PDU。甚至还可将合成的或假造的PDU送入到一个连结中去。主动攻击

又可进一步区分为三种，即改正报文流；拒绝报文服务；假造连结初始化。

被动攻击是指察看和剖析某一个协议数据单元PDU而不扰乱信息流。即便这些数据对攻击

者来说是不易理解的，它也可经过察看PDU的协议控制信息部分，认识正在通讯的协议实

体的地点和身份，研究PDU的长度和传输的频度，以便认识所互换的数据的性质。这类被

动攻击又称为通讯量剖析。

还有一种特别的主动攻击就是歹意程序的攻击。歹意程序种类众多，对网络安全威迫较大

的主要有以下几种：计算机病毒；计算机蠕虫；特洛伊木马；逻辑炸弹。

应付被动攻击可采纳各样数据加密动技术，而应付主动攻击，则需加密技术与合适的鉴识

技术联合。

7-02试解说以下名词：（1）重放攻击；（2）拒绝服务；（3）接见控制；（4）流量剖

析；（5）歹意程序。

（1）重放攻击：所谓重放攻击（replayattack）就是攻击者发送一个目的主机已接收过

的包，来达到欺诈系统的目的，主要用于身份认证过程。

（2）拒绝服务：DoS(DenialofService)指攻击者向因特网上的服务器不断地发送大批

分组，使因特网或服务器没法供给正常服务。

（3）接见控制：（accesscontrol）也叫做存取控制或接入控制。一定对接入网络的权限

加以控制，并规定每个用户的接入权限。

（4）流量剖析：经过察看PDU的协议控制信息部分，认识正在通讯的协议实体的地点和

身份，研究PDU的长度和传输的频度，以便认识所互换的数据的某种性质。这类被动攻击

又称为流量剖析（trafficanalysis）。

（5）歹意程序：歹意程序（rogueprogram）往常是指带有攻击企图所编写的一段程序。

计算机网络课后题含含答案第七章

2/8

7-03为何说，计算机网络的安全不只是限制于保密性？试举例说明，仅拥有保密性的计

算机网络不必定是安全的。

答：计算机网络安全不只是限制于保密性，但不可以供给保密性的网络必定是不安全的。网络

的安全性体制除为用户供给保密通讯之外，也是很多其余安全体制的基础。比如，存取控制中

登岸口令的设计。安全通讯协议的设计以及数字署名的设计等，都离不开密码体制。

7-04密码编码学、密码剖析学和密码学都有哪些差别？

答：密码学(cryptology)包含密码编码学(Cryptography)与密码剖析学(Cryptanalytics)两部分

内容。密码编码学是密码系统的设计学,是研究对数据进行变换的原理、手段和方法的

技术和科学，而密码剖析学则是在未知密钥的状况下从密文推演出明文或密钥的技术。是

为了获得奥密的信息，而对密码系统及其流动的数据进行剖析，是对密码原理、手段和方

法进行剖析、攻击的技术和科学。

7-05“无条件安全的密码系统”和“在计算上是安全的密码系统”有什么差别？

答：假如无论截取者获取了多少密文，但在密文中都没有足够的信息来唯一地确立出对应

的明文，则这一密码系统称为无条件安全的，或称为理论上是不行破的。假如密码系统中

的密码不可以被可使用的计算资源破译，则这一密码系统称为在计算上是安全的。

7-06破译下边的密文诗。加密采纳代替密码。这类密码是把26个字母（从a到z）中的

每一个用其余某个字母代替（注意，不是按次代替）。密文中无标点符号。空格未加密。

Kfdktbdfzmeubdkfdpzyiommztxkukzygurbzhakfthcmurmfudmzhxftnmzhx

mdzythcpzqurezsszcdmzhxgthcmzhxpfakfdmdztmsutythcFukzhxpfdkfdintcm

fzldpthcmsokpztkzstkkfduamkdimeitdxsdruidPdfzlduoiefzkruimubduromziduok

ursidzkfzhxzyyuromzidrzkHufoiiamztxkfdezindhkdikfda

kfzhgdxftbboefruikfzk

答：单字母表是：

明文：abcdefghIjklm

密文：zsexdrcftgyb

明文：nopqrstuvwxyz

密文：hunImkolpka

依据该单字母表，可获取以下与与此题中给的密文对应的明文：thetimehascomethe

walrussaidtotalkofmanythings

计算机网络课后题含含答案第七章

3/8

ofshoesamdshipsandsealingwaxofcabbagesandkingsandwhytheseaisboiling

hotandwhetherpigshavewingsbutwaitabittheoysterscriedbeforewehaveourchat

forsomeofusareoutofbreathandallofusarefat

nohurrysaidthecarpentertheythankedhimmuchforthat

7-07对称密钥系统与公钥密码系统的特色各如何？各有何优弊端？

答：在对称密钥系统中，它的加密密钥与解密密钥的密码系统是相同的，且收发两方一定

共享密钥，对称密码的密钥是保密的，没有密钥，解密就不行行，知道算法和若干密文不

足以确立密钥。

公钥密码系统中，它使用不一样的加密密钥和解密密钥，且加密密钥是向民众公然的，而

解密密钥是需要保密的，发送方拥有加密或许解密密钥，而接收方拥有另一个密钥。两个

密钥之一也是保

（1）、密钥对产生器产生出接收者的一对密钥：加密密钥和解密密钥；

（2）、发送者用接受者的公钥加密密钥经过加密运算对明文进行加密，得出密文，发

送给接受者；接受者用自己的私钥解密密钥经过解密运算进行解密，恢复出明文；

因为无解密密钥，解密是不行行的，因此公钥能够公然，知道算法和此中一个密钥以及若

干密文不可以确立另一个密钥。7-10试述数字署名的原理

答：数字署名采纳了两重加密的方法来实现防伪、防赖。其原理为：被发送文件用SHA编码

加密产生128bit的数字纲要。而后发送方用自己的私用密钥对纲要再加密，这就形

成了数字署名。将原文和加密的纲要同时传给对方。对方用发送方的公共密钥对纲要解密，

同时对收到的文件用SHA编码加密产生又一纲要。将解密后的纲要和收到的文件在接收方

从头加密产生的纲要相互对照。如二者一致，则说明传递过程中信息没有被损坏或窜悔过。

不然不然。

7-11为何需要进行报文鉴识？鉴识和保密、受权有什么不一样？报文鉴识和实体鉴识有

什么差别？

(1)使用报文鉴识是为了应付主动攻击中的窜改和假造。当报文加密的时候就能够达到报

文鉴其余目的，可是当传递不需要加密报文时，接收者应当能用简单的方法来鉴识报文的

真伪。

(2)鉴识和保密其实不相同。鉴识是要考证通讯对方确实是自己所需

计算机网络课后题含含答案第七章

4/8

通讯的对象，而不是其余的假冒者。鉴识分为报文鉴识和实体鉴识。受权波及到的问题是：

所进行的过程能否被同意(如能否能够对某文件进行读或写)。

(3)报文鉴识和实体鉴识不一样。报文鉴识是对每一个收到的报文都要鉴识报文的发送

者，而实体鉴识是在系统接入的所有连续时间内对和自己通讯的对方实体只要考证一

次。

7-12试述实现报文鉴识和实体鉴其余方法。

(1)报文纲要MD是进行报文鉴其余简单方法。A把较长的报文X经过报文纲要算法运算后

得出很短的报文纲要H。而后用自己的私钥对H进行D运算，即进行数字署名。得出已署

名的报文纲要D(H)后，并将其追加在报文X后边发送给B。B收到报文后第一把已

署名的D(H)和报文X分别。而后再做两件事。第一，用A的公钥对D(H)进行E运算，得出

报文纲要H。第二，对报文X进行报文纲要运算，看能否能够得出相同的报文纲要H。如相

同，就能以极高的概率判定收到的报文是A产生的。不然就不是。

(2)A第一用明文发送身份A和一个不重数RA给B。接着，B响应A的盘问，用共享的密钥

KAB对RA加密后发回给A，同时也给出了自己的不重数RB。最后，A再响应B的盘问，

用共享的密钥KAB对RB加密后发回给B。因为不重数不可以重复使用，因此C在进行重放

攻击时没法重复使用是哟截获的不重数。7-13报文的保密性与完好性有何差别？

什么是MD5？

(1)报文的保密性和完好性是完好不一样的观点。

保密性的特色是：即便加密后的报文被攻击者截获了，攻击者也没法认识报文的内容。

完好性的特色是：接收者接收到报文后，知道报文没有被窜改或假造。

(2)MD5是[RFC1321]提出的报文纲要算法，当前已获取了宽泛的应用。它能够对随意长

的报文进行运算，而后得出128bit的MD报文纲要代码。算法的大概过程以下：

①先将随意长的报文按模264计算其余数(64bit)，追加在报文的后边。这就是说，最后得

出的MD5代码已包含了报文长度的信息。

②在报文和余数之间填补

1~512bit

，使得填补后的总长度是512的整数倍。填补比特的

首位是1，后边都是0。

③将追加和填补的报文切割为一个个512bit的数据块，512bit的报文数据分红4个128bit

的数据挨次送到不一样的散列函数进行4论计算。每一轮又都按32bit的小数据块进行复杂的

运算。向来到最后计算出MD5报文纲要代码。这样得出的MD5代码中的每一个比特，都与

本来的报文中的每一个比特相关。7-14什么是重放攻击？如何防备重放攻击？

计算机网络课后题含含答案第七章

5/8

(1)入侵者C能够从网络上截获A发给B的报文。C其实不需要破译这个报文(因为这可能很

花好多时间)而能够直接把这个由A加密的报文发送给B，使B误以为C就是A。而后B

就向假装

是A的C发送很多本来应当发送给A的报文。这就叫做重放攻击。

(2)为了应付重放攻击，能够使用不重数。不重数就是一个不重复使用的大随机数，即“一次

一数”。

7-15什么是“中间人攻击”？如何防备这类攻击？

(1)中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入

侵攻击这类攻击模式是经过各样技术手段将受入侵者控制的一台计算机虚构搁置在网络连结中

的两台通讯计算机之间，这台计算机就称为“中间人”。而后入侵者把这台计算机模拟一

台或两台原始计算机，使“中间人”能够与原始计算机成立活动连结并同意其读取或窜改

传达的信息，但是两个原始计算机用户却以为他们是在相互通讯，因此这类攻击方式其实不

很简单被发现。因此中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且向来到

今日还拥有极大的扩展空间。

(2)要防备MITM攻击，我们能够将一些机密信息进行加密后再传输，这样即便被“中间

人”截取也难以破解，此外，有一些认证方式能够检测到MITM攻击。比方设施或IP异样检

测：假如用户从前从未使用某个设施或IP接见系统，则系统会采纳举措。还有设施或

IP频次检测：假如单调的设施或IP同时接见大批的用户帐号，系统也会采纳举措。更有效

防备MITM攻击的方法是进行带外认证。

7－16试议论Kerberos协议的优弊端。

IPSec是IETF（InternetEngineeringTaskForce，Internet工程任务组）的IPSec小组建

立的一套安全协作的密钥管理方案，目的是尽量使基层的安全与上层的应用程序及用户独

立，使应用程序和用户不用认识基层什么样的安全技术和手段，就能保证数据传输的靠谱

性及安全性。

IPSec是集多种安全技术为一体的安全系统构造，是一组IP安全协议集。IPSec定义了在网

际层使用的安全服务，其功能包含数据加密、对网络单元的接见控制、数据源地点考证、数

据完好性检查和防备重放攻击。

7-18试简述SSL和SET的工作过程。

第一举例说明SSL的工作过程。假设A有一个使用SSL的安全网页，B上网时用鼠标点击

到这个安全网页的链接。接着，服务器和阅读器就进行握手协议，其主要过程以下。

计算机网络课后题含含答案第七章

6/8

（1）阅读器向服务器发送阅读器的SSL版本号和密码编码的参数选择。

（2）服务器向阅读器发送服务器的SSL版本号、密码编码的参数选择及服务器的证书。

证书包含服务器的RSA分开密钥。此证书用某个认证中心的奥密密钥加密。

（3）阅读器有一个可信任的CA表，表中有每一个CA的分开密钥。当阅读器收到服务器

发来的证书时，就检查此证书能否在自己的可信任的CA表中。如不在，则此后的加密和鉴

识连结就不可以进行下去；如在，阅读器就使用CA的公然密钥对质书解密，

这样就获取了服务器的公然密钥。

（4）阅读器随机地产生一个对称会话密钥，并用服务器的分开密钥加密，而后将加密

的会话密钥发送给服务器。

（5）阅读器向服务器发送一个报文，说明此后阅读器将使用此会话密钥进行加密。而

后阅读器再向服务器发送一个独自的加密报文，表示阅读器端的握手过程已经达成。

（6）服务器也向阅读器发送一个报文，说明此后服务器将使用此会话密钥进行加密。

而后服务器再向阅读器发送一个独自的加密报文，表示服务器端的握手过程已经达成。

（7）SSL的握手过程到此已经达成，下边便可开始SSL的会话过程。下边再以顾客B到

企业A用SET购置物件为例来说明SET的工作过程。这里波及到两个银行，即A的银行

（企业A的支付银行）和B的银行（给B发出信誉卡的银行）。

（1）B告诉A他想用信誉卡购置企业A的物件。

（2）A将物件清单和一个独一的交易表记符发送给B。

（3）A将其商家的证书，包含商家的公然密钥发送给

包含银行的公然密钥。这两个证书都用一个认证中心

B。A还向B发送其银行的证书，

CA的奥密密钥进行加密。

（4）B使用认证中心CA的公然密钥对这两个证书解密。

（5）B生成两个数据包：给A用的定货信息OI和给A的银行用的购置指令PI。

（6）A生成对信誉卡支付恳求的受权恳求，它包含交易表记符。

（7）A用银行的公然密钥将一个报文加密发送给银行，此报文包含受权恳求、

素来的PI数据包以及A的证书。

B发过

（8）A的银行收到此报文，将其解密。A的银行要检查此报文有无被窜改，以及检查在

受权恳求中的交易表记符能否与B的PI数据包给出的一致。

计算机网络课后题含含答案第七章

7/8

（9）A的银行经过传统的银行信誉卡信道向B的银行发送恳求支付受权的报文。

（10）一旦B的银行允许支付，A的银行就向A发送响应（加密的）。此响应包含交易

表记符。

（11）若此次交易被同意，A就向B发送响应报文。7-19电子邮件的安全协议PGP主要都

包含哪些举措？

答：PGP是一种长久获取宽泛使用和安全邮件标准。PGP是RSA和传统加密的杂合算法，因

为RSA算法计算量大，在速度上不合适加密大批数据，因此PGP实质上其实不使用RSA来加

密内容自己，而是采纳IDEA的传统加密算法。PGP用一个随机生成密钥及IDEA算法对明文

加密，而后再用RSA算法对该密钥加密。收信人相同是用RSA解密出这个随机密钥，再用

IDEA解密邮件明文。

7-20路加密与端到端加密各有何特色？各用在什么场合？

（1）链路加密

长处：某条链路遇到损坏不会致使其余链路上传递的信息被析出，能防备各样形式的通讯

量析出；不会减少网络系统的带宽；

相邻结点的密钥相同，因此密钥管理易于实现；链路加密对用户是透明的。

弊端：中间结点裸露了信息的内容；只是采纳链路加密是不行能实现通讯安全的；不合用

于广播网络。

（2）端到端加密

长处：报文的安全性不会因中间结点的不行靠而遇到影响；端到端加密更简单合适不一样

用户服务的要求，不单合用于互联网环境，并且相同也合用于广播网。

弊端：因为PDU的控制信息部分不可以被加密，因此简单遇到通讯量剖析的攻击。同时由

于各结点一定拥有与其余结点相同的密钥，需要在全网范围内进行密钥管理和分派.为了

获取更好的安全性，可将链路加密与端到端加密联合在一同使用。链路加密用来对PDU的目

的地点进行加密，而端到端加密则供给了对端到端数据的保护。

7-21试述防火墙的工作原理和所供给的功能。什么叫做网络级防火墙和应用级防火墙？

答：防火墙的工作原理：防火墙中的分组过滤路由器检查出入被保护网络的分组数据，依据

系统管理员预先设置好的防火墙规则来与分组进行般配，切合条件的分组就能经过，不然就

抛弃。防火墙供给的功能有两个：一个是阻挡，另一个是同意。阻挡就是阻挡某种

计算机网络课后题含含答案第七章

8/8

种类的通讯量经过防火墙。同意的功能与阻挡的恰巧相反。可是在大部分状况下防火墙的

主要功能是阻挡。