計(jì)算機(jī)網(wǎng)絡(luò)課后題答案

1、計(jì)算機(jī)網(wǎng)絡(luò)課后題答案第七章第七章網(wǎng)絡(luò)安全7-01 計(jì)算機(jī)網(wǎng)絡(luò)都面臨哪幾種威脅？主動(dòng)攻擊和被動(dòng)攻擊的區(qū)別是什么？對于計(jì)算機(jī)網(wǎng) 絡(luò)的安全措施都有哪些？答：計(jì)算機(jī)網(wǎng)絡(luò)面臨以下的四種威脅：截獲（ interception ），中斷 （interruption） ，篡改 （modification）, 偽造（ fabrication ）。 網(wǎng)絡(luò)安全的威脅可以分為兩大類：即被動(dòng)攻擊和主 動(dòng)攻擊。 主動(dòng)攻擊是指攻擊者對某個(gè)連接中通過的 PDU 進(jìn)行各種處理。如有選擇地更改、 刪除、延遲這些PDU。甚至還可將合成的或偽造的 PDU送入到一個(gè)連接中去。主動(dòng)攻擊 又可進(jìn)一步劃分為三種，即更改報(bào)文流；拒絕報(bào)文服務(wù)；

2、偽造連接初始化。被動(dòng)攻擊是指觀察和分析某一個(gè)協(xié)議數(shù)據(jù)單元 PDU 而不干擾信息流。即使這些數(shù)據(jù)對攻 擊者來說是不易理解的，它也可通過觀察 PDU 的協(xié)議控制信息部分，了解正在通信的協(xié) 議實(shí)體的地址和身份，研究 PDU 的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質(zhì)。 這種被動(dòng)攻擊又稱為通信量分析。還有一種特殊的主動(dòng)攻擊就是惡意程序的攻擊。惡意程序種類繁多，對網(wǎng)絡(luò)安全威脅較大 的主要有以下幾種：計(jì)算機(jī)病毒；計(jì)算機(jī)蠕蟲；特洛伊木馬；邏輯炸彈。對付被動(dòng)攻擊可采用各種數(shù)據(jù)加密動(dòng)技術(shù)，而對付主動(dòng)攻擊，則需加密技術(shù)與適當(dāng)?shù)蔫b別 技術(shù)結(jié)合。7-02 試解釋以下名詞：（ 1）重放攻擊；（ 2）拒絕服務(wù)；（ 3

3、）訪問控制；（ 4）流量分 析；（ 5）惡意程序。（1）重放攻擊：所謂重放攻擊（ replay attack ）就是攻擊者發(fā)送一個(gè)目的主機(jī)已接收過 的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程。（2）拒絕服務(wù)：DoS（De nial of Service）指攻擊者向因特網(wǎng)上的服務(wù)器不停地發(fā)送大量分 組，使因特網(wǎng)或服務(wù)器無法提供正常服務(wù)。（3）訪問控制：（access control）也叫做存取控制或接入控制。必須對接入網(wǎng)絡(luò)的權(quán)限 加以控制，并規(guī)定每個(gè)用戶的接入權(quán)限。（4）流量分析：通過觀察 PDU 的協(xié)議控制信息部分，了解正在通信的協(xié)議實(shí)體的地址和 身份，研究 PDU 的長度和傳輸?shù)念l度，

4、以便了解所交換的數(shù)據(jù)的某種性質(zhì)。這種被動(dòng)攻 擊又稱為流量分析（ traffic analysis ）。5）惡意程序：惡意程序（ rogue program ）通常是指帶有攻擊意圖所編寫的一段程序7-03 為什么說，計(jì)算機(jī)網(wǎng)絡(luò)的安全不僅僅局限于保密性？試舉例說明，僅具有保密性的 計(jì)算機(jī)網(wǎng)絡(luò)不一定是安全的。答：計(jì)算機(jī)網(wǎng)絡(luò)安全不僅僅局限于保密性，但不能提供保密性的網(wǎng)絡(luò)肯定是不安全的。網(wǎng) 絡(luò)的安全性機(jī)制除為用戶提供保密通信以外，也是許多其他安全機(jī)制的基礎(chǔ)。例如，存取 控制中登陸口令的設(shè)計(jì)。安全通信協(xié)議的設(shè)計(jì)以及數(shù)字簽名的設(shè)計(jì)等，都離不開密碼機(jī)制。7-04 密碼編碼學(xué)、密碼分析學(xué)和密碼學(xué)都有哪些區(qū)別？

5、答：密碼學(xué) (cryptology) 包含密碼編碼學(xué) (Cryptography) 與密碼分析學(xué) (Cryptanalytics) 兩部 分內(nèi)容。密碼編碼學(xué)是密碼體制的設(shè)計(jì)學(xué),是研究對數(shù)據(jù)進(jìn)行變換的原理、手段和方法的技術(shù)和科學(xué)，而密碼分析學(xué)則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。是 為了取得秘密的信息，而對密碼系統(tǒng)及其流動(dòng)的數(shù)據(jù)進(jìn)行分析，是對密碼原理、手段和方 法進(jìn)行分析、攻擊的技術(shù)和科學(xué)。7-05 “無條件安全的密碼體制 ”和 “在計(jì)算上是安全的密碼體制 ”有什么區(qū)別？ 答：如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對應(yīng) 的明文，則這一密碼體制稱為無條

6、件安全的，或稱為理論上是不可破的。如果密碼體制中 的密碼不能被可使用的計(jì)算資源破譯，則這一密碼體制稱為在計(jì)算上是安全的。7-06破譯下面的密文詩。加密采用替代密碼。這種密碼是把26個(gè)字母(從a到z)中的每一個(gè)用其他某個(gè)字母替代(注意，不是按序替代)。密文中無標(biāo)點(diǎn)符號(hào)?？崭裎醇用?。the time has come theKfd ktbd fzm eubd kfd pzyiom mztx ku kzyg ur bzha kfthcm ur mfudm zhx ftnm zhx mdzythc pzq ur ezsszcdm zhx gthcm zhx pfa kfd mdz tm sutythc

7、 Fuk zhx pfdkfdi ntcm fzld pthcm sok pztk z stk kfd uamkdim eitdx sdruid Pd fzld uoi efzk rui mubd ur om zid uok ur sidzkf zhx zyy ur om zid rzk Hu foiia mztx kfd ezindhkdi kfda kfzhgdx ftb boef rui kfzk 答：單字母表是： 明文： a b c d e f g h I j k l m 密文：z s e x d r c f t g y b 明文： n o p q r s t u v w x y z

8、密文： h u n I m k o l p k a 根據(jù)該單字母表，可得到下列與與本題中給的密文對應(yīng)的明文： walrus said to talk of many thingsof shoes amd ships and sealing wax of cabbages and kings and why the sea is boiling hot and whether pigs have wings but wait a bit the oysters cried before we have our chatfor some of us are out of breath and al

9、l of us are fat no hurry said the carpenter they thanked him much for that7-07 對稱密鑰體制與公鑰密碼體制的特點(diǎn)各如何？各有何優(yōu)缺點(diǎn)？答：在對稱密鑰體制中，它的加密密鑰與解密密鑰的密碼體制是相同的，且收發(fā)雙方必須 共享密鑰，對稱密碼的密鑰是保密的，沒有密鑰，解密就不可行，知道算法和若干密文不 足以確定密鑰。公鑰密碼體制中，它使用不同的加密密鑰和解密密鑰，且加密密鑰是向公眾公開的，而解 密密鑰是需要保密的，發(fā)送方擁有加密或者解密密鑰，而接收方擁有另一個(gè)密鑰。兩個(gè)密 鑰之一也是保(1) 、密鑰對產(chǎn)生器產(chǎn)生出接收者的一對密

10、鑰：加密密鑰和解密密鑰；(2) 、發(fā)送者用接受者的公鑰加密密鑰通過加密運(yùn)算對明文進(jìn)行加密，得出密文，發(fā)送 給接受者；接受者用自己的私鑰解密密鑰通過解密運(yùn)算進(jìn)行解密，恢復(fù)出明文；因?yàn)闊o解密密鑰，解密是不可行的，所以公鑰可以公開，知道算法和其中一個(gè)密鑰以及若 干密文不能確定另一個(gè)密鑰。 7-10 試述數(shù)字簽名的原理答：數(shù)字簽名采用了雙重加密的方法來實(shí)現(xiàn)防偽、防賴。其原理為： 被發(fā)送文件用 SHA 編碼加密產(chǎn)生 128bit 的數(shù)字摘要。然后發(fā)送方用自己的私用密鑰對摘要再加密，這就形 成了數(shù)字簽名。將原文和加密的摘要同時(shí)傳給對方。對方用發(fā)送方的公共密鑰對摘要解密， 同時(shí)對收到的文件用 SHA 編碼加

11、密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收 方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改 過。否則不然。7-11 為什么需要進(jìn)行報(bào)文鑒別？鑒別和保密、授權(quán)有什么不同？報(bào)文鑒別和實(shí)體鑒別有 什么區(qū)別？(1) 使用報(bào)文鑒別是為了對付主動(dòng)攻擊中的篡改和偽造。當(dāng)報(bào)文加密的時(shí)候就可以達(dá)到報(bào) 文鑒別的目的，但是當(dāng)傳送不需要加密報(bào)文時(shí)，接收者應(yīng)該能用簡單的方法來鑒別報(bào)文的 真?zhèn)巍?2) 鑒別和保密并不相同。鑒別是要驗(yàn)證通信對方的確是自己所需通信的對象，而不是其他的冒充者。鑒別分為報(bào)文鑒別和實(shí)體鑒別。授權(quán)涉及到的問題是： 所進(jìn)行的過程是否被允許 (如是否可以對某文件進(jìn)行

12、讀或?qū)?)。(3) 報(bào)文鑒別和實(shí)體鑒別不同。報(bào)文鑒別是對每一個(gè)收到的報(bào)文都要鑒別報(bào)文的發(fā)送者， 而實(shí)體鑒別是在系統(tǒng)接入的全部持續(xù)時(shí)間內(nèi)對和自己通信的對方實(shí)體只需驗(yàn)證一次。7-12 試述實(shí)現(xiàn)報(bào)文鑒別和實(shí)體鑒別的方法。(1)報(bào)文摘要 MD 是進(jìn)行報(bào)文鑒別的簡單方法。 A 把較長的報(bào)文 X 經(jīng)過報(bào)文摘要算法運(yùn)算 后得出很短的報(bào)文摘要H。然后用自己的私鑰對H進(jìn)行D運(yùn)算，即進(jìn)行數(shù)字簽名。得出 已簽名的報(bào)文摘要D(H)后，并將其追加在報(bào)文X后面發(fā)送給Bo B收到報(bào)文后首先把已 簽名的D(H)和報(bào)文X分離。然后再做兩件事。第一，用 A的公鑰對D(H)進(jìn)行E運(yùn)算，得 出報(bào)文摘要H。第二，對報(bào)文X進(jìn)行報(bào)文摘要運(yùn)

13、算，看是否能夠得出同樣的報(bào)文摘要H。如一樣，就能以極高的概率斷定收到的報(bào)文是A產(chǎn)生的。否則就不是。A首先用明文發(fā)送身份A和一個(gè)不重?cái)?shù)RA給Bo接著，B響應(yīng)A的查問，用共享的密 鑰KAB對RA加密后發(fā)回給A,同時(shí)也給出了自己的不重?cái)?shù) RB。最后，A再響應(yīng)B的查 問，用共享的密鑰KAB對RB加密后發(fā)回給Bo由于不重?cái)?shù)不能重復(fù)使用，所以 C在進(jìn) 行重放攻擊時(shí)無法重復(fù)使用是喲截獲的不重?cái)?shù)。7-13報(bào)文的保密性與完整性有何區(qū)別？什么是 MD5？(1) 報(bào)文的保密性和完整性是完全不同的概念。保密性的特點(diǎn)是：即使加密后的報(bào)文被攻擊者截獲了，攻擊者也無法了解報(bào)文的內(nèi)容。完整性的特點(diǎn)是：接收者接收到報(bào)文后，知道

14、報(bào)文沒有被篡改或偽造。(2) MD5是RFC1321提出的報(bào)文摘要算法，目前已獲得了廣泛的應(yīng)用。它可以對任意長 的報(bào)文進(jìn)行運(yùn)算，然后得出128bit的MD報(bào)文摘要代碼。算法的大致過程如下： 先將任意長的報(bào)文按模264計(jì)算其余數(shù)(64bit)，追加在報(bào)文的后面。這就是說，最后 得出的MD5代碼已包含了報(bào)文長度的信息。 在報(bào)文和余數(shù)之間填充1512bit，使得填充后的總長度是512的整數(shù)倍。填充比特的 首位是 1 ，后面都是 0 o 將追加和填充的報(bào)文分割為一個(gè)個(gè) 512bit 的數(shù)據(jù)塊， 512bit 的報(bào)文數(shù)據(jù)分成 4 個(gè) 128bit 的數(shù)據(jù)依次送到不同的散列函數(shù)進(jìn)行 4 論計(jì)算。每一輪又都

15、按 32bit 的小數(shù)據(jù)塊進(jìn) 行復(fù)雜的運(yùn)算。一直到最后計(jì)算出 MD5 報(bào)文摘要代碼。這樣得出的 MD5 代碼中的每一 個(gè)比特，都與原來的報(bào)文中的每一個(gè)比特有關(guān)。 7-14 什么是重放攻擊？怎樣防止重放攻 擊？(1)入侵者 C 可以從網(wǎng)絡(luò)上截獲 A 發(fā)給 B 的報(bào)文。 C 并不需要破譯這個(gè)報(bào)文 (因?yàn)檫@可能很 花很多時(shí)間)而可以直接把這個(gè)由A加密的報(bào)文發(fā)送給B,使B誤認(rèn)為C就是A。然后B 就向偽裝是 A 的 C 發(fā)送許多本來應(yīng)當(dāng)發(fā)送給 A 的報(bào)文。這就叫做重放攻擊。(2) 為了對付重放攻擊,可以使用不重?cái)?shù)。不重?cái)?shù)就是一個(gè)不重復(fù)使用的大隨機(jī)數(shù),即 “一 次一數(shù) ”。7-15 什么是“中間人攻擊 ”

16、？怎樣防止這種攻擊？ 中間人攻擊(Man-in -the-Middle Attack，簡稱“ MIT M攻擊”是一種 間接”的入侵攻 擊這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺(tái)計(jì)算機(jī)虛擬放置在網(wǎng)絡(luò)連接中 的兩臺(tái)通信計(jì)算機(jī)之間，這臺(tái)計(jì)算機(jī)就稱為 “中間人”。然后入侵者把這臺(tái)計(jì)算機(jī)模擬一臺(tái) 或兩臺(tái)原始計(jì)算機(jī)，使 “中間人”能夠與原始計(jì)算機(jī)建立活動(dòng)連接并允許其讀取或篡改傳遞 的信息，然而兩個(gè)原始計(jì)算機(jī)用戶卻認(rèn)為他們是在互相通信，因而這種攻擊方式并不很容 易被發(fā)現(xiàn)。所以中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段，并且一直到今 天還具有極大的擴(kuò)展空間。(2) 要防范 MIT M 攻擊，

17、我們可以將一些機(jī)密信息進(jìn)行加密后再傳輸， 這樣即使被 “中間 人”截取也難以破解，另外，有一些認(rèn)證方式可以檢測到 MIT M 攻擊。比如設(shè)備或 IP 異常 檢測：如果用戶以前從未使用某個(gè)設(shè)備或 IP 訪問系統(tǒng)，則系統(tǒng)會(huì)采取 措施。還有設(shè)備或 IP 頻率檢測：如果單一的設(shè)備或 IP 同時(shí)訪問大量的用戶帳號(hào)， 系統(tǒng)也會(huì)采取措施。更有 效防范 MIT M 攻擊的方法是進(jìn)行帶外認(rèn)證。716 試討論 Kerberos 協(xié)議的優(yōu)缺點(diǎn)。IPSec 是 IETF (In ternet En gi neeri ng Task Force，In ternet 工程任務(wù)組)的 IPSec 小組建 立的一套安全協(xié)作的

18、密鑰管理方案，目的是盡量使下層的安全與上層的應(yīng)用程序及用戶獨(dú) 立，使應(yīng)用程序和用戶不必了解底層什么樣的安全技術(shù)和手段，就能保證數(shù)據(jù)傳輸?shù)目煽?性及安全性。IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、 數(shù)據(jù)完整性檢查和防止重放攻擊。7-18試簡述SSL和SET的工作過程。首先舉例說明SSL的工作過程。假定A有一個(gè)使用SSL的安全網(wǎng)頁，B上網(wǎng)時(shí)用鼠標(biāo)點(diǎn)擊 到這個(gè)安全網(wǎng)頁的鏈接。接著，服務(wù)器和瀏覽器就進(jìn)行握手協(xié)議，其主要過程如下。(1)瀏覽器向服務(wù)器發(fā)送瀏覽器的 SSL版本號(hào)和

19、密碼編碼的參數(shù)選擇(2) 服務(wù)器向?yàn)g覽器發(fā)送服務(wù)器的 SSL版本號(hào)、密碼編碼的參數(shù)選擇及服務(wù)器的證書。 證書包括服務(wù)器的RSA分開密鑰。此證書用某個(gè)認(rèn)證中心的秘密密鑰加密。( 3)瀏覽器有一個(gè)可信賴的 CA 表，表中有每一個(gè) CA 的分開密鑰。當(dāng)瀏覽器收到服務(wù)器 發(fā)來的證書時(shí)，就檢查此證書是否在自己的可信賴的 CA 表中。如不在，則后來的加密和 鑒別連接就不能進(jìn)行下去；如在，瀏覽器就使用 CA 的公開密鑰對證書解密，這樣就得到了服務(wù)器的公開密鑰。( 4)瀏覽器隨機(jī)地產(chǎn)生一個(gè)對稱會(huì)話密鑰，并用服務(wù)器的分開密鑰加密，然后將加密的 會(huì)話密鑰發(fā)送給服務(wù)器。( 5)瀏覽器向服務(wù)器發(fā)送一個(gè)報(bào)文，說明以后瀏

20、覽器將使用此會(huì)話密鑰進(jìn)行加密。然后 瀏覽器再向服務(wù)器發(fā)送一個(gè)單獨(dú)的加密報(bào)文，表明瀏覽器端的握手過程已經(jīng)完成。( 6)服務(wù)器也向?yàn)g覽器發(fā)送一個(gè)報(bào)文，說明以后服務(wù)器將使用此會(huì)話密鑰進(jìn)行加密。然 后服務(wù)器再向?yàn)g覽器發(fā)送一個(gè)單獨(dú)的加密報(bào)文，表明服務(wù)器端的握手過程已經(jīng)完成。(7)SSL的握手過程到此已經(jīng)完成，下面就可開始 SSL的會(huì)話過程。下面再以顧客 B到 公司A用SET購買物品為例來說明SET的工作過程。這里涉及到兩個(gè)銀行，即 A的銀行(公司 A 的支付銀行)和 B 的銀行(給 B 發(fā)出信用卡的銀行)。(1) B 告訴 A 他想用信用卡購買公司 A 的物品。( 2) A 將物品清單和一個(gè)唯一的交易標(biāo)

21、識(shí)符發(fā)送給 B。(3) A 將其商家的證書，包括商家的公開密鑰發(fā)送給 B。 A 還向 B 發(fā)送其銀行的證書， 包括銀行的公開密鑰。這兩個(gè)證書都用一個(gè)認(rèn)證中心 CA 的秘密密鑰進(jìn)行加密。( 4) B 使用認(rèn)證中心 CA 的公開密鑰對這兩個(gè)證書解密。( 5) B 生成兩個(gè)數(shù)據(jù)包：給 A 用的定貨信息 OI 和給 A 的銀行用的購買指令 PI。( 6) A 生成對信用卡支付請求的授權(quán)請求，它包括交易標(biāo)識(shí)符。(7) A 用銀行的公開密鑰將一個(gè)報(bào)文加密發(fā)送給銀行，此報(bào)文包括授權(quán)請求、從B 發(fā)過來的 PI 數(shù)據(jù)包以及 A 的證書。( 8) A 的銀行收到此報(bào)文，將其解密。 A 的銀行要檢查此報(bào)文有無被篡改，以及檢查在 授權(quán)請求中的交易標(biāo)識(shí)符是否與 B 的 PI 數(shù)據(jù)包給出的一致。9)A 的銀行通過傳統(tǒng)的銀行信用卡信道向 B 的銀行發(fā)送請求支付授權(quán)的報(bào)文 (10)一旦 B 的銀行準(zhǔn)許支付， A 的銀行就向 A 發(fā)送響應(yīng)(加密的)。此響應(yīng)包括交易 標(biāo)識(shí)符。(11)若此次交易被批準(zhǔn)，A就向B發(fā)送響應(yīng)報(bào)文。7-19電子郵件的安全協(xié)議PGP主要 都包含哪些措施？答：PGP是一種長期得到廣泛使用和安全郵件標(biāo)準(zhǔn)。PGP是RSA和傳統(tǒng)加密的雜合算法,因?yàn)镽SA算法計(jì)算量大，在速度上不適合加密大量數(shù)據(jù)，所以PG