計算機網(wǎng)絡(luò)謝希仁第七版課后習(xí)題答案（第七章）

計算機?絡(luò)謝希仁第七版課后習(xí)題答案（第七章）1.計算機?絡(luò)都?臨哪?種威脅？主動攻擊和被動攻擊的區(qū)別是什么？對于計算機絡(luò)?的安全措施都有哪些？計算機?絡(luò)?臨以下的四種威脅：截獲（interception）；中斷(interruption)；篡改(modification)；偽造（fabrication）。?絡(luò)安全的威脅可以分為兩?類：即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU進?各種處理。如有選擇地更改、刪除、延遲這些PDU。甚?還可將合成的或偽造的PDU送?到?個連接中去。主動攻擊?可進?步劃分為三種，即更改報?流；拒絕報?服務(wù)；偽造連接初始化。被動攻擊是指觀察和分析某?個協(xié)議數(shù)據(jù)單元PDU?不?擾信息流。即使這些數(shù)據(jù)對攻擊者來說是不易理解的，它也可通過觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實體的地址和?份，研究PDU的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被動攻擊?稱為通信量分析。對付被動攻擊可采?各種數(shù)據(jù)加密動技術(shù)，?對付主動攻擊，則需加密技術(shù)與適當(dāng)?shù)蔫b別技術(shù)結(jié)合。2.試解釋以下名詞：（1）重放攻擊；（2）拒絕服務(wù)；（3）訪問控制；（4）流量分析；（5）惡意程序。重放攻擊：所謂重放攻擊（replayattack）就是攻擊者發(fā)送?個?的主機已接收過的包，來達到欺騙系統(tǒng)的?的，主要?于?份認證過程。拒絕服務(wù)：DoS(DenialofService訪問控制：（accesscontrol）也叫做存取控制或接?控制。必須對接??絡(luò)的權(quán)限加以控制，并規(guī)定每個?戶的接?權(quán)限。流量分析：通過觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實體的地址和?份，研究PDU的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的某種性質(zhì)。這種被動攻擊?稱為流量分析（trafficanalysis）惡意程序：惡意程序（rogueprogram）通常是指帶有攻擊意圖所編寫的?段程序。3.為什么說，計算機?絡(luò)的安全不僅僅局限于保密性？試舉例說明，僅具有保密性計的算機?絡(luò)不?定是安全的。4.密碼編碼學(xué)、密碼分析學(xué)和密碼學(xué)都有哪些區(qū)別？密碼學(xué)(cryptology)包含密碼編碼學(xué)(Cryptography)與密碼分析學(xué)(Cryptanalytics)兩部分內(nèi)容。密碼編碼學(xué)是密碼體制的設(shè)計學(xué)，是研究對數(shù)據(jù)進?變換的原理、?段和?法的技術(shù)和科學(xué)，?密碼分析學(xué)則是在未知密鑰的情況下從密?推演出明?或密鑰的技術(shù)。是為了取得秘密的信息，?對密碼系統(tǒng)及其流動的數(shù)據(jù)進?分析，是對密碼原理、?段和?法進?分析、攻擊的技術(shù)和科學(xué)。5.“?條件安全的密碼體制”和“在計算上是安全的密碼體制”有什么區(qū)別？（1）如果不論截取者獲得了多少密?，但在密?中都沒有?夠的信息來唯?地確定出對應(yīng)的明?，則這?密碼體制稱為?條件安全的，或稱為理論上是不可破的。（2）如果密碼體制中的密碼不能被可使?的計算資源破譯，則這?密碼體制稱為在計算上是安全的。6.試破譯下?的密?詩。加密采?替代密碼。這種密碼是把26個字母（從a到z）中的每?個?其他某個字母替代（注意，不是按序替代）。密?中?標點符號?？崭裎醇用?。KfdktbdfzmeubdkfdpzyiommztxkukzygurbzhakfthcmurmfudmzhxMftnmzhxmdzythcpzqurezsszcdmzhxgthcmzhxpfakfdmdztmsutythcFukzhxpfdkfdintcmfzldpthcmsokpztkzstkkfduamkdimeitdxsdruidPdfzlduoiefzkruimubduromziduokursidzkfzhxzyyuromzidrzkHufoiiamztxkfdezindhkdikfdakfzhgdxftbboefruikfzk明?abcdefghIjklm密?zsexdrcftgybs明?nopqrstuvwxyz密?hudimkopka1.1.thetimehascomethewalrussaidtotalkofmanythingsofshoesand2.shipsandsealingwaxofcabbagesandkingsandwhytheseaisboiling3.hotandwhetherpigshavewingsbutwaitabittheoysterscriedbefore4.wehaveourchatforsomeofusareoutofbreathandallofusarefat5.nohurrysaidthecarpentertheythankedhimmuch forthat7.對稱密鑰體制與公鑰密碼體制的特點各如何？各有何優(yōu)缺點？密鑰，?接收?擁有另?個密鑰。兩個密鑰之?也是保密的，?解密密鑰，解密不可?，知道算法和其中?個密鑰以及若?密?不能確定另?個密鑰。缺點：對稱密碼技術(shù)進?安全通信前需要以安全?式進?密鑰交換，且它的規(guī)模復(fù)雜。公鑰密鑰算法具有加解密速度慢的特點，密鑰尺??，發(fā)展歷史較短等特點。8.為什么密鑰分配是?個?常重要但??分復(fù)雜的問題？試舉出?種密鑰分配的?法。密鑰必須通過最安全的通路進?分配?？梢允???？煽康男攀箶y帶密鑰?配給互相通信的各?戶，但是?戶越來越多且?絡(luò)流量越來越?，密鑰更換過于頻繁，派信使的?法已不再適?。舉例：公鑰的分配，?先建??個值得信賴的機構(gòu)（認證中?CA），將公鑰與其對應(yīng)的實體進?綁定，每個實體都有CA發(fā)來的證書，??有公鑰及其擁有者的標識信息，此證書被CA進?了數(shù)字簽名，任何?戶都可從可信的地?獲得CA的公鑰，此公鑰可?來驗證某個公鑰是否為某個實體所擁有。9.公鑰密碼體制下的加密和解密過程是怎么的？為什么公鑰可以公開？如果不公開否是可以提?安全性？加密和解密過程如下：（1）密鑰對產(chǎn)?器產(chǎn)?出接收者的?對密鑰：加密密鑰和解密密鑰；（2）發(fā)送者?接受者的公鑰加密密鑰通過加密運算對明?進?加密，得出密?，發(fā)送給接受者；接受者???的私鑰解密密鑰通過解密運10.試述數(shù)字簽名的原理。數(shù)字簽名采?了雙重加密的?法來實現(xiàn)防偽、防賴。SHA128bit的數(shù)字摘要。然后發(fā)送????的私?密鑰對摘要再加密，這就形成了數(shù)字簽名。將原?和加密的摘要同時傳給對?。對??發(fā)送?的公共密鑰對摘要解密，同時對收到的?件?SHA編碼加密產(chǎn)???摘要。將解密后的摘要和收到的?件在接收?重新加密產(chǎn)?的摘要相互對?。如兩者?致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。11.為什么需要進?報?鑒別？鑒別和保密、授權(quán)有什么不同？報?鑒別和實體鑒別什有么區(qū)別？報?鑒別和實體鑒別不同。報?鑒別是對每?個收到的報?都要鑒別報?的發(fā)送者，?實體鑒別是在系統(tǒng)接?的全部持續(xù)時間內(nèi)對和??通信的對?實體只需驗證?次。12.試分別舉例說明以下情況：（1）指揮員下達的作戰(zhàn)命令，既要保密，也要確認是否是真正的指揮員下達的命令。（2）私?的銀?存款屬于個?隱私，需要保密。如果是??到銀?柜臺辦理的，就沒有必要鑒別存折或銀?卡是否是偽造的。），但要確認此?件是真的，是未經(jīng)過他?篡改的。13.A和B共同持有?個只有他們??知道的密鑰（使?對稱密鑰）。A收到了?這個密鑰加密的?份報?。A能否出?ft報?給第三?，使B不能否認發(fā)送了ft報?。不?。A如果出?ft報?給第三?，第三?可以對A說：“因為你也有和B同樣的密碼，因ft你也完全能夠編造出這樣的報?！”也就是說，A?法證明世界上只有B才是該報?的唯?發(fā)送?。14.圖7-5所?的具有保密性的簽名與使?報?鑒別碼相?較，哪?種?法更有利于進?鑒別？在這?插?圖?描述如果要傳送的報?很長（例如，?本很厚的書），7-5DE15.試述實現(xiàn)報?鑒別和實體鑒別的?法。MDAXH。然后???的私鑰對HDD(HXB。BXAD(HEHXA產(chǎn)?的。否則就不是。AARARARARARAR_ARARARARA作為??的不重數(shù)，A?看就應(yīng)當(dāng)知道，這不是???發(fā)來的報?。什么是“中間?攻擊”？怎樣防?這種攻擊？在這?插?圖?描述中間?攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是?種“間接”的?侵攻擊，這種攻擊模式是通過各種技術(shù)?段將臺或兩臺原始計算機，使“中間?”能夠與原始計算機建?活動連接并允許其讀取或篡改傳遞的信息，然?兩個原始計算機?戶卻認為他要防范MITM攻擊，我們可以將?些機密信息進?加密后再傳輸，這樣即使被“中間?”截取也難以破解，另外，有?些認證?式可以檢測到MITM攻擊。?如設(shè)備或IP異常檢測：如果?戶以前從未使?某個設(shè)備或IP訪問系統(tǒng)，則系統(tǒng)會采取措施。還有設(shè)備或IP頻率檢測：如果單?的設(shè)備或IP同時訪問?量的?戶帳號，系統(tǒng)也會采取措施。更有效防范MITM攻擊的?法是進?帶外認證。試討論Kerberos協(xié)議的優(yōu)缺點。Kerberos協(xié)議主要?于計算機?絡(luò)的?份鑒別(Authentication)，其特點是?戶只需輸??次?份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-grantingticketSSO(SingleSignOn)ClientServiceKerberos協(xié)議主要做了兩件事：Ticket的安全傳遞；SessionKey的安全發(fā)布。再加上時間戳的使?就很?程度上的保證了?戶鑒別的安全性。并且利?SessionKey，在通過鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality(機密性)，Integrity(完整性)的保證。不過由于沒有使??對稱密鑰?然也就?法具有抗否認性，這也限制了它的應(yīng)?。不過相對??它?X.509PKI的?份鑒別?式實施起來要簡單多了。互聯(lián)?的?絡(luò)層安全協(xié)議族IPsec都包含哪些主要協(xié)議？在IPsecAHESP。AH將每個數(shù)據(jù)報中的數(shù)據(jù)和?個變化的數(shù)字簽名結(jié)合起來，共同驗證發(fā)送??份，使得通信??能夠確認發(fā)送數(shù)據(jù)的另??的?份，并能夠確認數(shù)據(jù)在傳輸過程中沒有被篡改，防?受到第三?的攻擊。它提供源站鑒別和數(shù)據(jù)完整性，但不提供數(shù)據(jù)加密。ESP提供了?種對IP負載進?加密的機制，對數(shù)據(jù)報中的數(shù)據(jù)另外進?加密，因此它不僅提供源站鑒別、數(shù)據(jù)完整性，也提供保密性。IPsec是IETF（InternetEngineeringTaskForce，Internet?程任務(wù)組）的IPsec?組建?的?套安全協(xié)作的密鑰管理?案，?的是盡量使下層的安全與上層的應(yīng)?程序及?戶獨?，使應(yīng)?程序和?戶不必了解底層什么樣的安全技術(shù)和?段，就能保證數(shù)據(jù)傳輸?shù)目煽啃约鞍踩?。IPSecIPIPSecABIPsecAB6SA？不對。建??次安全關(guān)聯(lián)SA后，接著發(fā)送的6個分組都是?這同?個安全關(guān)聯(lián)。7-14TCPIPsecTCP報?段丟失了。后來再重傳該序號的報?段時，相應(yīng)的IPsec安全數(shù)據(jù)報是否也要使?同樣的IPsec序號呢？在這?插?圖?描述不是。IPsec每次發(fā)送?個IPsec數(shù)據(jù)報都要使??個新的序號，新的序號是“上次使?過的序號加1”試簡述SSL和SET的?作過程。?先舉例說明SSL的?作過程。假定A有?個使?SSL的安全?頁，B上?時??標點擊到這個安全?頁的鏈接。接著，服務(wù)器和瀏覽器就進?握?協(xié)議，其主要過程如下。瀏覽器向服務(wù)器發(fā)送瀏覽器的SSL版本號和密碼編碼的參數(shù)選擇。SSLRSAft證書?某個認證中?的秘密密鑰加密。CACAft證書是否在??的可信賴的CA表中。如不在，則后來的加密和鑒別連接就不能進?下去；如在，瀏覽器就使?CA的公開密鑰對證書解密，這樣就得到了服務(wù)器的公開密鑰。（4）瀏覽器隨機地產(chǎn)??個對稱會話密鑰，并?服務(wù)器的公開密鑰加密，然后將加密的會話密鑰發(fā)送給服務(wù)器。ft會話密鑰進?加密。然后瀏覽器再向服務(wù)器發(fā)送?個單獨的加密報?，表明瀏覽器端的握?過程已經(jīng)完成。SSL的握?過程到ft已經(jīng)完成，下?就可開始SSL的會話過程。下?再以顧客B到公司A?SET購買物品為例來說明SET的?作過程。這?涉及到兩個銀?，即A的銀?（公司A的?付銀?）和B的銀?（給B發(fā)出信?卡的銀?）。（1）B告訴A他想?信?卡購買公司A的物品。（2）A將物品清單和?個唯?的交易標識符發(fā)送給B。（3）A將其商家的證書，包括商家的公開密鑰發(fā)送給B。A還向B發(fā)送其銀?的證書，包括銀?的公開密鑰。這兩個證書都??個認證中?CA的秘密密鑰進?加密。（4）B使?認證中?CA的公開密鑰對這兩個證書解密。（5）B?成兩個數(shù)據(jù)包：給A?的定貨信息OI和給A的銀??的購買指令PI。（6）A?成對信?卡?付請求的授權(quán)請求，它包括交易標識符。（7）A?銀?的公開密鑰將?個報?加密發(fā)送給銀?，ft報?包括授權(quán)請求、從B發(fā)過來的PI數(shù)據(jù)包以及A的證書。（8）Aft報?，將其解密。AftBPI（9）A的銀?通過傳統(tǒng)的銀?信?卡信道向B的銀?發(fā)送請求?付授權(quán)的報?。?旦B的銀?準許?付，A的銀?就向A發(fā)送響應(yīng)（加密的）。ft響應(yīng)包括交易標識符。若ft次交易被批準，A就向B發(fā)送響應(yīng)報?。在教材上的圖7-18步驟。試問在報交互到第個步驟時，顧客可以發(fā)送對并不是真正的經(jīng)銷商？在這插圖描述顧客在第④步，CA發(fā)布的公約鑒別B的證書時，即可發(fā)現(xiàn)B是騙。電郵件的安全協(xié)議PGP主要都包含哪些措施？PGP是種長期得到泛使和安全郵件標準。PGP是RSA和傳統(tǒng)加密的雜合算法，因為RSA算法計算量，在速度上不適合加密量數(shù)據(jù)，所以PGP實際上并不使RSA來