下载文档原格式
郑州大学现代远程教育《计算机网络》课程学习指导书林予松编课程内容与基本要求课程内容:计算机网络是计算机专业的一个重要的基础学科,是一门交叉学科,包含计算机应用、数据通信原理等多方面的内容,同时也是交换机与路由器配置、综合布线技术、网络安全和管理等学科的前导课程。
基本要求:通过系统介绍计算机网络的发展,理解计算机体系结构、物理层、数据链路层、网络层、运输层、应用层、网络安全、因特网上的音频/视频服务、无线网络和下一代因特网等内容,使学生掌握计算机网络系统的基本原理、基本技能和基本分析方法。
课程学习进度与指导章节课程内容学时分配学习指导*第一章概述4学时以课件学习为主理解计算机网络的相关概念、发展过程和具体分类,掌握因特网的组成、计算机网络的性能指标以及计算机网络体系结构。
*第二章物理层2学时理解物理层的相关概念和数据通信的基础知识,熟悉物理层下面的传输媒体,掌握信道复用技术,理解数字传输系统和宽带接入技术,会利用香农定理进行计算。
*第三章数据链路层6学时理解并掌握数据链路层的基本概念,三个基本问题,点对点协议PPP以及使用广播信道的数据链路层和以太网,掌握在物理层和数据链路层扩展以太第一章概述一、章节学习目标与要求1、了解计算机网络发展的过程以及因特网的标准化工作,掌握计算机网络的相关概念、功能。
2、理解两种通信方式:客户服务器方式(C/S方式)和对等方式(P2P方式)的特点和区别。
3、掌握三种交换方式:电路交换、报文交换和分组交换的原理及特点,并会进行简单计算。
4、了解计算机网络在我国的发展,熟悉计算机网络的类别。
5、熟练掌握计算机网络的性能指标:速率、带宽、吞吐量、时延、时延带宽积、往返时间RTT以及利用率,并会利用公式进行相关计算。
6、理解计算机网络五层协议体系结构参考模型,掌握计算机网络协议的相关概念。
二、本章重点、难点1.计算机网络的重要作用;2.客户服务器方式(C/S方式)以及对等方式(P2P方式)的特点与区别;3.因特网核心部分中的三种交换方式:电路交换、报文交换和分组交换的特点和各自的优缺点;4.为什么要对网络进行分层;5.TCP/IP五层协议体系中各层的特点及功能;6.实体、协议、服务和服务访问点等重要概念。
第1章网络安全概述与环境配置一、选择题1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标CIA指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护(Protect),检测(Detect),反应(React),恢复(Restore)。
2. TCG目的是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台Trusted Computing Platform,以提高整体的安全性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些安全事件的主要因素是系统和网络安全脆弱性(Vulnerability)层出不穷,这些安全威胁事件给Internet带来巨大的经济损失。
4. B2级,又叫结构保护(Structured Protection)级别,它要求计算机系统中所有的对象都要加上标签,而且给设备(磁盘、磁带和终端)分配单个或者多个安全级别。
5. 从系统安全的角度可以把网络安全的研究内容分成两大体系:攻击和防御。
三、简答题1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:安全操作系统和操作系统的安全配置,加密技术,防火墙技术,入侵检测,网络安全协议。
2. 从层次上,网络安全可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络安全分为4个层次上的安全:(1)物理安全特点:防火,防盗,防静电,防雷击和防电磁泄露。
(2)逻辑安全特点:计算机的逻辑安全需要用口令、文件许可等方法实现。
(3)操作系统特点:操作系统是计算机中最基本、最重要的软件。
计算机网络安全教程复习资料一、选择题第1章(P27)1. 狭义上说的信息安全,只是从自然科学的角度介绍信息安全的研究内容。
2. 信息安全从总体上可以分成5个层次,密码技术是信息安全中研究的关键点。
3. 信息安全的目标CIA指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
第2章(P56)1. OSI参考模型是国际标准化组织制定的模型,把计算机与计算机之间的通信分成7个互相连接的协议层。
2. 表示层服务的一个典型例子是用一种一致选定的标准方法对数据进行编码。
3. 子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网络的根据。
4. 通过ICMP协议,主机和路由器可以报告错误并交换相关的状态信息。
5. 常用的网络服务中,DNS使用UDP协议。
第4章(P124)1. 踩点就是通过各种途径对所要攻击的目标进行多方面的了解(包括任何可得到的蛛丝马迹,但要确保信息的准确),确定攻击的时间和地点。
2. 对非连续端口进行的,并且源地址不一致、时间间隔长而没有规律的扫描,称之为慢速扫描。
第5章(P157)1. 打电话请求密码属于社会工程学攻击方式。
2. 一次字典攻击能否成功,很大因素上决定于字典文件。
3. SYN风暴属于拒绝服务攻击攻击。
4. 下面不属于DoS攻击的是TFN攻击。
第6章(P192)1. 网络后门的功能是保持对目标主机长久控制。
2. 终端服务是Windows操作系统自带的,可以通过图形界面远程操纵服务器。
在默认的情况下,终端服务的端口号是3389。
3. 木马是一种可以驻留在对方服务器系统中的一种程序。
第7章(P208)1. 黑客们在编写编写扰乱社会和他人的计算机程序,这些代码统称为恶意代码。
2. 2003 年,SLammer 蠕虫在10 分钟内导致90%互联网脆弱主机受到感染。
3. 造成广泛影响的1988年Morris蠕虫事件,就是利用邮件系统的脆弱性作为其入侵的最初突破点的。
计算机网络平安教程复习资料第1章(P27)一、选择题1. 狭义上说的信息平安,只是从自然科学的角度介绍信息平安的研究内容。
2. 信息平安从总体上可以分成5个层次,密码技术是信息平安中研究的关键点。
3. 信息平安的目标CIA 指的是机密性,完整性,可用性。
4. 1999年10月经过国家质量技术监视局批准发布的计算机信息系统平安保护等级划分准则将计算机平安保护划分为以下5个级别。
二、填空题1. 信息保障的核心思想是对系统或者数据的4个方面的要求:保护〔Protect〕,检测〔Detect〕,反响〔React〕,恢复〔Restore〕。
2. TCG目的是在计算和通信系统中广泛使用基于硬件平安模块支持下的可信计算平台Trusted Computing Platform,以提高整体的平安性。
3. 从1998年到2006年,平均年增长幅度达50%左右,使这些平安事件的主要因素是系统和网络平安脆弱性〔Vulnerability〕层出不穷,这些平安威胁事件给Internet带来巨大的经济损失。
4. B2级,又叫构造保护〔Structured Protection〕级别,它要求计算机系统中所有的对象都要加上标签,而且给设备〔磁盘、磁带和终端〕分配单个或者多个平安级别。
5. 从系统平安的角度可以把网络平安的研究内容分成两大体系:攻击和防御。
三、简答题●1. 网络攻击和防御分别包括哪些内容?答:①攻击技术:网络扫描,网络监听,网络入侵,网络后门,网络隐身②防御技术:平安操作系统和操作系统的平安配置,加密技术,防火墙技术,入侵检测,网络平安协议。
●2. 从层次上,网络平安可以分成哪几层?每层有什么特点?答:从层次体系上,可以将网络平安分为4个层次上的平安:〔1〕物理平安特点:防火,防盗,防静电,防雷击和防电磁泄露。
〔2〕逻辑平安特点:计算机的逻辑平安需要用口令、文件许可等方法实现。
〔3〕操作系统特点:操作系统是计算机中最根本、最重要的软件。
练习题集第7章计算机网络安全及管理技术1.名词解释(1)PKI;(2)防火墙;(3)网络代理;(4)拒绝服务攻击;(5)LDAP。
2.填空题(1)802.1X系统由、和 3个实体组成。
(2)网络管理的主要任务分为、、、、、和 7个方面。
(3)对MIB值的存放有和两种方式。
(4)常用的负载均衡技术有、、、和 5种方式。
3.选择题(1)在路由器上,通过访问列表对进出内部网的IP地址进行限制的技术,从技术特点上更类似于()。
A)网络层防火墙B)应用层防火墙C)代理服务器D)A、B、C都不是(2)操作目录数据库的语言称为()。
A)DIT B)RDN C)LDIF D)SQL4.简答题(1)防火墙技术分为哪两种?试分析它们的优缺点。
(2)简述防火墙与入侵检测系统的区别。
(3)请绘出远程访问系统模型。
(4)简要分析RADIUS与TACACS+的主要区别。
(5)请绘出SNMP v1的网络管理模型,并简述其中各部分的功能。
(6)请绘出3大主流存储技术的模型图,并分析他们的特点。
5.案例分析在互联网上,IP地址是一种有限的资源,对于一个企业来说申请大量的合法IP地址是不可能的,而随着企业的发展,企业内部需要上网计算机数越来越多,出现IP地址不够用的问题。
那么怎样来解决企业内部IP地址不够的问题?练习题集参考答案及解析第7章计算机网络安全及管理技术1.名词解释(1)PKI;答:PKI(公钥基础设施)利用公钥理论和技术建立的提供信息安全服务的基础设施,是CA认证、数字证书、数字签名以及相关安全应用组件模块的集合。
作为一种技术体系,PKI可以作为支持认证完整性、机密性和不可否认性的技术基础,从技术上解决网上身份认证、信息完整性和抗抵賴等安全问题,为网络应用提供可靠地安全保障。
作为提供信息安全服务的公共基础设施,PKI是目前公认的保障网络安全的最佳体系。
(2)防火墙;答:防火墙是一个位于局域网和外网之间,或计算机和它所接的网络之间执行访问控制策略的一个或一组软硬件设备。
计算机网络安全(04751)第一章绪论 P2第二章物理安全 P6第三章信息加密与 P9第四章防火墙技术 P14第五章入侵检测技术 P18第六章网络安全检测技术 P21第七章计算机病毒与恶意代码防范技术 P23第八章网络安全解决方案 P27第1章绪论1.1.1计算机网络面临的主要威胁:/非恶意)典型的网络安全威胁:1.2.1计算机网络的不安全主要因素:(1误等。
(2(3可分为几个方面:①被动攻击②主动攻击③邻近攻击④分发攻击⑤内部人员攻击1.2.2不安全的主要原因1.3计算机网络安全的基本概念1.3.1计算机网络安全的定义网络的安全问题包括两方面内容:的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④可控性⑤不可否认性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③联网安全④操作系统安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2 OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务对付典型网络威胁的安全服务安全威胁安全服务假冒攻击鉴别服务非授权侵犯访问控制服务窃听攻击数据机密性服务完整性破坏数据完整性服务服务否认抗抵赖服务拒绝服务鉴别服务、访问控制服务和数据完整性服务等八种基本的安全机制:加密机制、数字签名机制、访问控制机制、数据完整性机制、鉴别交换机制、通信业务流填充机制、路由控制和公证机制1.4.3 PPDR模型(P30)包含四个主要部分:Policy(安全策略)、Protection(防护)、Detection(检测)和Response(响应)。
防护、检测和响应组成了一个完整的、动态的安全循环。
PPDR模型通过一些典型的数学公式来表达安全的要求:①P t>D t+R t②E t=D t+R t,如果P t=0Pt:防护时间,入侵者攻击安全目标花费时间;Dt:入侵开始到系统检测到入侵行为花费时间;Rt:发现入侵到响应,并调整系统到正常状态时间;Et:系统晨露时间;安全的全新定义:及时的检测和响应就是安全;及时的检测和恢复就是安全;解决安全问题的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
问题7-1:用一个例子说明置换密码的加密和解密过程。
假定密钥为CIPHER,而明文为attack begins at four,加密时明文中的空格去除。
答:在英文26个字母中,密钥CIPHER这6个字母在26个英文字母中出现的位置用红色a b然后按行问题7-2答:(1)向一个特定服务器非常快地发送大量任意的分组,使得该服务器过负荷因而无法正常工作。
(2)向一个特定服务器发送大量的TCP SYN报文段(即建立TCP连接的三次握手中的第一个报文段)。
服务器还误以为是正常的因特网用户的请求,于是就响应这个请求,并分配了数据结构和状态。
但攻击者不再发送后面的报文段,因而永远不能够完成TCP连接的建立。
这样可以浪费和耗尽服务器的大量资源。
这种攻击方式又称为SYN flooding(意思是使用同步标志进行洪泛)。
(3)重复地和一个特定服务器建立TCP连接,然后发送大量无用的报文段。
(4)将IP数据报分片后向特定服务器发送,但留一些数据报片不发送。
这就使得目的主机永远无法组装成完整的数据报,一直等待着,浪费了资源。
(5)向许多网络发送ICMP回送请求报文(就是使用应用层的PING程序),结果使许多主机都向攻击者返回ICMP回送回答报文。
无用的、过量的ICMP报文使网络的通信量急剧增加,甚至使网络瘫痪。
这种攻击方式被称为smurf攻击。
Smurf就是能够对网络自动发送这种ICMP报文攻击的程序名字。
分布式拒绝服务DDOS的特点就是攻击者先设法得到因特网上的大量主机的用户账号。
然后攻击者设法秘密地在这些主机上安装从属程序(slave program),如图所示。
一时刻在拒绝服务和分布式拒绝服务都是很难防止的。
使用分组过滤器并不能阻止这种攻击,因为攻击者的IP地址是事先不知道的。
当主机收到许多攻击的数据报时,很难区分开哪些是好的数据报,而哪些是坏的数据报。
例如,当服务器收到请求建立TCP连接的SYN报文时,很难区分这是真的请求建立TCP连接,还是恶意消耗服务器资源的连接请求。
第一章计算机网络概述1、什么是计算机网络?它有哪些功能?计算机网络是将分布在不一样地理位置上旳计算机通过有线旳或无线旳通信链路链接起来,不仅能使网络中旳各个计算机之间旳互相通信,并且还能通过服务器节点为网络中其他节点提供共享资源服务。
功能应用:1.实现计算机系统旳资源共享2.实现信息旳迅速传递3.提高可靠性4.提供负载均衡与分布式处理能力5.集中管理6.综合信息服务计算机网络应用:1.办公室自动化2.管理信息系统3.过程控制4.Internet应用2、试举几种计算机网络应用旳实例。
办公自动化管理信息系统过程控制Internet应用:电子邮件、信息公布、电子商务、远程音频、视频应用。
3、论述通信子网和顾客资源子网旳关系?从逻辑功能上计算机网络则是由资源子网和通信子网构成旳。
详细答案请参照书本P6。
资源子网提供访问网络和处理数据旳能力,由主机系统,终端控制器,和终端构成,主机系统负责当地或全网旳数据处理,运行多种应用程序或大型数据库,向网络顾客提供多种软硬件资源和网络服务,终端控制器把一组终端连入通信子网,并负责终端控制及终端信息旳接受和发送,中断控制器。
通过资源子网,顾客可以以便旳使用当地计算机或远程计算机旳资源,由于他将通信网旳工作对顾客屏蔽起来,是旳顾客使用远程计算机资源就如同使用当地资源同样以便。
通信子网是计算机网络中负责数据通信旳部分,,重要完毕数据旳传播,互换以及通信控制。
4.经典旳计算机网络拓扑构造包括哪几种?各自特点是什么?试画图阐明。
答:1、星状拓扑、2、环状拓扑3、总线型拓扑4、树状拓扑5、网状拓扑1.星状拓扑星状拓扑是由中央节点和通过点到到通信链路接到中央节点旳各个站点构成。
星形拓扑构造具有如下长处:(1)控制简朴。
(2)故障诊断和隔离轻易。
(3)以便服务。
星形拓扑构造旳缺陷:(1)电缆长度和安装工作量可观。
(2)中央节点旳承担较重,形成瓶颈。
(3)各站点旳分布处理能力较低。
2、总线拓扑2. 总线拓扑总线拓扑构造采用一种信道作为传播媒体,所有站点都通过对应旳硬件接口直接连到这一公共传播媒体上,该公共传播媒体即称为总线。
网络安全问答题第一章:1.网络攻击和防御分别包括哪些内容?攻击技术主要包括:1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现。
防御技术主要包括;1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。
3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络安全协议:保证传输的数据不被截获和监听。
2.从层次上,网络安全可以分成哪几层?每层有什么特点?4个层次上的安全:物理安全、逻辑安全、操作系统安全和联网安全。
物理安全:防盗、防火、防静电、防雷击和防电磁泄漏。
逻辑安全:计算机的逻辑安全需要用口令、文件许可等方法来实现。
操作系统安全:操作系统是计算机中最基本、最重要的软件。
联网安全通过以下两方面的安全服务来达到:a:访问控制服务:用来保护计算机和联网资源不被非授权使用。
b:通信安全服务:用来认证数据机要性与完整性,以及各通信的可信赖性。
第四章:2、黑客在进攻的过程中需要经过哪些步骤?目的是什么?隐藏IP:通常有两种方式实现IP的隐藏:第一种方法是首先入侵互联网上的一台计算机(俗称“肉鸡”),利用这台计算进行攻击,这样即使被发现了,也是“肉鸡”的IP地址;第二种方式是做多级跳板“Sock代理”,这样在入侵的计算机上留下的是代理计算机的IP地址。
踩点扫描:通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。
第1章绪论1.1.1计算机网络面临的主要威胁:/非恶意)典型的网络安全威胁:1.2.1计算机网络的不安全主要因素:(1误等。
(2(3可分为几个方面:①被动攻击②主动攻击③邻近攻击④分发攻击⑤内部人员攻击1.2.2不安全的主要原因1.3计算机网络安全的基本概念1.3.1计算机网络安全的定义网络的安全问题包括两方面内容:的)。
1.3.2计算机网络安全的目标:①保密性②完整性③可用性④可控性⑤不可否认性1.3.3计算机网络安全的层次:①物理安全②逻辑安全③联网安全④操作系统安全1.3.4网络安全包括三个重要部分:①先进的技术②严格的管理③威严的法律1.4计算机网络安全体系结构1.4.1网络安全基本模型:(P27图)1.4.2 OSI安全体系结构:①术语②安全服务③安全机制五大类安全服务,也称安全防护措施(P29):①鉴别服务②数据机密性服务③访问控制服务④数据完整性服务⑤抗抵赖性服务对付典型网络威胁的安全服务1.4.3 PPDR模型(P30)包含四个主要部分环。
PPDR模型通过一些典型的数学公式来表达安全的要求:①P t>D t+R t②E t=D t+R t,如果P t=0Pt:防护时间,入侵者攻击安全目标花费时间;Dt:入侵开始到系统检测到入侵行为花费时间;Rt:发现入侵到响应,并调整系统到正常状态时间;Et:系统晨露时间;安全的全新定义:及时的检测和响应就是安全;及时的检测和恢复就是安全;解决安全问题的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间Rt。
1.4.4网络安全的典型技术:①物理安全措施1.6.1网络安全威胁的发展趋势:①②③④⑤⑥⑦⑧⑨⑩11)网络管理安全问题日益突出。
1.6.2网络安全主要实用技术的发展:①物理隔离②逻辑隔离③身份认证④防御网络上的病毒⑤防御来自网络的攻击⑥加密通信和虚拟专用网⑦入侵检测和主动防卫⑧网管、审计和取证课后题:1、计算机网络面临的典型安全威胁有哪些?①窃听(传输中的敏感信息被窃听)②重传(事先获得部分或全部信息再发送给接收者)③伪造(伪造信息发送给接收者)④篡改(修改、删除或插入后再发送给接收者)⑤非授权访问(假冒、身份攻击、系统漏洞手段获取访问权,读取、删除、修改和插入信息)⑥拒绝服务攻击(使系统响应减慢或瘫痪,阻止合法用户获取服务)⑦行为否认(否认已经发生的行为)⑧旁路控制(发掘系统缺陷或脆弱性)⑨电磁/射频截获(无线射频或电磁辐射提取信息)⑩人员疏忽(利益或粗心泄秘)。
问题7-1:用一个例子说明置换密码的加密和解密过程。
假定密钥为CIPHER,而明文为attack begins at four,加密时明文中的空格去除。
答:在英文26个字母中,密钥CIPHER这6个字母在26个英文字母中出现的位置用红色a b然后按行问题7-2答:(1)向一个特定服务器非常快地发送大量任意的分组,使得该服务器过负荷因而无法正常工作。
(2)向一个特定服务器发送大量的TCP SYN报文段(即建立TCP连接的三次握手中的第一个报文段)。
服务器还误以为是正常的因特网用户的请求,于是就响应这个请求,并分配了数据结构和状态。
但攻击者不再发送后面的报文段,因而永远不能够完成TCP连接的建立。
这样可以浪费和耗尽服务器的大量资源。
这种攻击方式又称为SYN flooding(意思是使用同步标志进行洪泛)。
(3)重复地和一个特定服务器建立TCP连接,然后发送大量无用的报文段。
(4)将IP数据报分片后向特定服务器发送,但留一些数据报片不发送。
这就使得目的主机永远无法组装成完整的数据报,一直等待着,浪费了资源。
(5)向许多网络发送ICMP回送请求报文(就是使用应用层的PING程序),结果使许多主机都向攻击者返回ICMP回送回答报文。
无用的、过量的ICMP报文使网络的通信量急剧增加,甚至使网络瘫痪。
这种攻击方式被称为smurf攻击。
Smurf就是能够对网络自动发送这种ICMP报文攻击的程序名字。
分布式拒绝服务DDOS的特点就是攻击者先设法得到因特网上的大量主机的用户账号。
然后攻击者设法秘密地在这些主机上安装从属程序(slave program),如图所示。
一时刻在拒绝服务和分布式拒绝服务都是很难防止的。
使用分组过滤器并不能阻止这种攻击,因为攻击者的IP地址是事先不知道的。
当主机收到许多攻击的数据报时,很难区分开哪些是好的数据报,而哪些是坏的数据报。
例如,当服务器收到请求建立TCP连接的SYN报文时,很难区分这是真的请求建立TCP连接,还是恶意消耗服务器资源的连接请求。
当攻击者使用IP地址欺骗时,要确定攻击者真正的IP地址也是很难的。
问题7-3:报文的保密性和报文的完整性有何不同?保密性和完整性能否只要其中的一个而不要另一个?答:报文的保密性和完整性是完全不同的概念。
保密性的特点是:即使加密后的报文被攻击者截获了,攻击者也无法了解报文的内容。
完整性的特点是:接收者收到报文后,知道报文没有被篡改。
保密性和完整性都很重要。
有保密性而没有完整性的例子:收到一份加密的报文“明日6时发起进攻”。
攻击者破译不了被截获的报文,但随意更改了一些比特(攻击者也不知道更改后的密文将会使解码后得出的明文变成什么样子)。
接收者收到的还是密文。
他认为别人不会知道密文的内容,于是用密钥将收到的密文进行解码,但得到的明文已经不再是原来的明文了。
假定原来的明文是“明日8时发起进攻”,现在却变成了“明日6时发起进攻”,提前了2小时。
当然也可能将被篡改的密文解码后变得看不懂意思的明文,在这种情况下也许还不致产生有危害的后果。
有完整性而没有保密性的例子是对明文加上保证其完整性的措施。
接收者收到明文后,就可以相信这就是发送者发送的、没有被篡改的报文。
这个报文可以让所有的人都知道(不保密),但必须肯定这个报文没有被人篡改过。
可见保密性并不是永远都需要的,但完整性往往总是需要的。
这样的例子很多。
大家都知道,人民日报所登载的新闻对全世界的所有人都是公开的,没有什么秘密可言。
但报纸上的新闻必须保证其完整性(读者不会怀疑报纸的印刷单位擅自改动了新闻的内容)。
如果新闻被恶意地篡改了就会产生极其严重的后果。
现在有些情况不允许使用电子邮件(例如导师给某个学校发送为某学生写的正式推荐信),并不是因为推荐信有多大的机密,而是因为没有使用数字签名的普通电子邮件,不能证明对方收到的电子邮件的确是某个导师写的并且没有被篡改过。
而从邮局寄送的、写在纸上(特别是有水印的、只供单位使用的信纸上)有导师亲笔签名的推荐信,则一般都认为是可信赖的。
以上这些都说明了保密性和完整性不是一个概念。
总之,保密性是防止报文被攻击者窃取,而完整性是防止报文被篡改。
☞问题7-4:常规密钥体制与公钥体制最主要的区别是什么?答:常规密钥体制的密钥是对称的。
发送方使用的加密密钥和接收方使用的解密密钥是一样的,也都必须是秘密的。
公钥体制的密钥是不对称的。
发送方使用的加密密钥是公开的(向全世界公开),但接收方的解密密钥是秘密的,只有接收者才知道。
☞问题7-5:能否举一个实际的RSA加密和解密的例子?答:不行。
我们知道,在RSA公钥密码体制中,加密密钥和解密密钥中都有一个大整数n,而n为两个大素数p和q的乘积(素数p和q一般为100位以上的十进数)。
因此加密和解密的运算需要非常大的运算量。
我们可以用一个能说明RSA工作原理的小例子使读者体会一下RSA计算量有多大。
假定选择p= 5, q= 7。
(显然这样小的素数是根本不能用于实用的RSA的加密计算中。
)这时,计算出n=pq= 5 ⨯ 7 = 35。
算出φ(n) = (p- 1)(q- 1) = 24。
从[0, 23]中选择一个与24互素的数e。
现在我们选e= 5。
然后根据公式ed= 1 mod φ(n),得出ed= 5d= 1 mod 24找出d= 29, 因为ed= 5 ⨯ 29 = 145 = 6 ⨯ 24 + 1 = 1 mod 24。
这样,公钥PK = (e, n) = {5, 35}, 而秘钥SK = {29, 35}。
明文必须能够用小于n的数来表示。
现在n=35。
因此每一个英文字母可以用1至26的数字来表示。
假定明文是英文字母o,它是第15个字母。
因此明文X = 15。
加密后得到的密文Y = X e mod n = 155 mod 35 = 759375 mod 35= (21696 ⨯ 35 + 15) mod 35 = 15。
以上的计算还是很简单的。
现在看一下解密的过程。
在用秘钥SK = {29, 35}进行解密时,先计算Y d= 1529。
这个数的计算已经需要不少时间了。
它等于12783403948858939111232757568359375。
进行模35运算,得出1529 mod 35 = 15,而第15个英文字母就是o。
原来发送的明文就是这个字母。
从以上例子可以体会到使用的RSA加密算法的计算量是很大的。
☞问题7-6:要进一步理解RSA密码体制的原理,需要知道哪一些数论的基本知识?答:数论研究的重点是素数。
下面是与进一步理解RSA密码体制原理有关的一些基本概念。
有了以下的一些基本知识,我们就能够进一步理解RSA密码体制的原理。
整除和因子:如果a = mb,其中a、b、m为整数,则当b≠ 0时,可以说b能整除a。
换句话说,a 除以b余数为0。
符号b|a常用作表示b能整除a。
当b|a时,b是a的一个因子。
素数:素数p是大于1且因子仅为± 1和±p的整数。
为简单起见,下面仅涉及非负整数。
互为素数:整数a和b互素,如果它们之间没有共同的素数因子(即它们只有一个公因子1)。
例如,8和15互素,因为1是8和15仅有的公因子(8的因子是1,2,4和8,而15的因子是1,3,5和15,可见8和15的公因子是1)。
模运算:给定任一正整数n 和任一整数a,如果用a除以n,得到的商q和余数r,则以下关系成立:a = qn + r0 ≤r < n; q = ⎣a/n⎦其中⎣x⎦表示小于或等于x的最大整数。
如果a是一个整数,而n是一个正整数,则定义a mod n为a除以n的余数。
a mod n也可记为“a (模n)”。
例如,30除以7的余数是2(30 = 4 ⨯ 7 + 2),可记为30 mod 7 = 2。
注意:如果a mod n = 0,则n是的a一个因子。
因为在模n运算下,余数一定在0到(n- 1)之间。
因此,模n运算将所有整数映射到整数集合{0, 1. …, (n– 1)}。
这个整数集合又称为模n的余数集合Z n。
因此余数集合Z n= {0, 1. …, (n–1)} (1) 如果(a mod n)=(b mod n),则称整数a和b模n同余,记为a≡b (mod n)。
但通常mod n不必用括号括起来,也就是说,可以记为a≡b mod n。
显然,a≡b mod n等价于b≡a mod n。
例如,73 ≡ 4 mod 23。
显然,这里mod 23一定不能省略不写。
模运算有一个性质很有用,即:如果n|(a–b)(即n能够整除(a–b)),则a≡b mod n。
反之,如果a≡b mod n,则n能够整除(a–b),即n|(a–b)。
例如:23 – 8 = 15,而15能够被5整除,因此23 ≡ 8 mod 5,即23和8是模5同余的。
模运算的一些性质:1. [(a mod n) + (b mod n)] mod n = (a + b) mod n(2)2. [(a mod n) - (b mod n)] mod n = (a-b) mod n(3)3. [(a mod n) ⨯ (b mod n)] mod n = (a⨯b) mod n(4) 以上的这些性质的证明都很简单,这里从略。
下面举出一些例子。
例如:11 mod 8 = 3; 15 mod 8 = 7[(11 mod 8) + (15 mod 8)] mod 8 = [3 + 7] mod 8 = 10 mod 8 = 2(11 + 15) mod 8 = 26 mod 8 = 2[(11 mod 8) - (15 mod 8)] mod 8 = [3 – 7] mod 8 = -4 mod 8 = 4(11 - 15) mod 8 = -4 mod 8 = 4[(11 mod 8) ⨯ (15 mod 8)] mod 8 = [3 ⨯ 7] mod 8 = 21 mod 8 = 5(11 ⨯ 15) mod 8 = 165 mod 8 = 5指数运算可看作是多次重复乘法。
例如,计算1723 mod 55 = 1716+4+2+1 mod 55= (1716 ⨯ 174 ⨯ 172 ⨯ 17) mod 55= [(1716 mod 55) ⨯ (174 mod 55) ⨯ (172 mod 55) ⨯ (17 mod 55)] mod 55 172 mod 55 = 289 mod 55 = 14174 mod 55 = [(172 mod 55) ⨯ (172 mod 55)] mod 55= [14 ⨯ 14] mod 55 = 196 mod 55 = 311716 mod 55 = [(174 mod 55) ⨯ (174 mod 55) ⨯ (174 mod 55) ⨯ (174 mod 55)] mod 55= [31 ⨯ 31 ⨯ 31 ⨯ 31] mod 55= [923521] mod 55= [16791 ⨯ 55 + 16] mod 55= 16因此1723 mod 55 = [16 ⨯ 31 ⨯ 14 ⨯ 17] mod 55= [118048] mod 55= [2146 ⨯ 55 + 18] mod 55= 18下面的一个公式也很有用,读者可自行证明。
