謝希仁計算機網(wǎng)絡(luò)第五版課后習題答案網(wǎng)絡(luò)安全

1、精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有第七章網(wǎng)絡(luò)安全7-01 計算機網(wǎng)絡(luò)都面臨哪幾種威脅？主動攻擊和被動攻擊的區(qū)別是什么？對于計算機網(wǎng) 絡(luò)的安全措施都有哪些？答：計算機網(wǎng)絡(luò)面臨以下白四種威脅：截獲( interception ),中斷(interruption) ,篡改 (modification), 偽造(fabrication )。網(wǎng)絡(luò)安全的威脅可以分為兩大類：即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU行各種處理。如有選擇地更改、刪除、延遲這些PDU甚至還可將合成的或偽造的 PDU1!入到一個連接中去。主動攻擊又可進一步

2、 劃分為三種，即更改報文流；拒絕報文服務(wù)；偽造連接初始化。被動攻擊是指觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。即使這些數(shù)據(jù)對攻擊者來說是不易理解的，它也可通過觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議 實體的地址和身份，研究PDU的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質(zhì)。這種被 動攻擊又稱為通信量分析。還有一種特殊的主動攻擊就是惡意程序的攻擊。惡意程序種類繁多，對網(wǎng)絡(luò)安全威脅 較大的主要有以下幾種：計算機病毒；計算機蠕蟲；特洛伊木馬；邏輯炸彈。對付被動攻擊可采用各種數(shù)據(jù)加密動技術(shù)，而對付主動攻擊，則需加密技術(shù)與適當?shù)?鑒別技術(shù)結(jié)合。7-02 試解釋以下名詞：(1)重放攻擊

3、；(2)拒絕服務(wù)；(3)訪問控制；(4)流量分析；(5) 惡意程序。答：(1)重放攻擊：所謂重放攻擊(replay attack )就是攻擊者發(fā)送一個目的主機已接收 過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程。(2)拒絕服務(wù)：DoS(Denial of Service)指攻擊者向因特網(wǎng)上的服務(wù)器不停地發(fā)送大量分組，使因特網(wǎng)或服務(wù)器無法提供正常服務(wù)。(3)訪問控制：(access control )也叫做存取控制或接入控制。必須對接入網(wǎng)絡(luò)的權(quán)限 加以控制，并規(guī)定每個用戶的接入權(quán)限。(4)流量分析：通過觀察 PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實體的地址和 身份，研究PDU的長度和

4、傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的某種性質(zhì)。這種被動攻擊又稱為流量分析(traffic analysis )。(5)惡意程序：惡意程序(rogue program )通常是指帶有攻擊意圖所編寫的一段程序。7-03 為什么說，計算機網(wǎng)絡(luò)的安全不僅僅局限于保密性？試舉例說明，僅具有保密性的 計算機網(wǎng)絡(luò)不一定是安全的。答：計算機網(wǎng)絡(luò)安全不僅僅局限于保密性，但不能提供保密性的網(wǎng)絡(luò)肯定是不安全的。 網(wǎng)絡(luò)的安全性機制除為用戶提供保密通信以外，也是許多其他安全機制的基礎(chǔ)。 例如，存取控制中登陸口令的設(shè)計。安全通信協(xié)議的設(shè)計以及數(shù)字簽名的設(shè)計等，都離不開密碼機制。7-04 密碼編碼學、密碼分析學和密碼學都有哪

5、些區(qū)別？答：密碼學(cryptology) 包含密碼編碼學 (Cryptography) 與密碼分析學(Cryptanalytics) 兩部分內(nèi)容。精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有密碼編碼學是密碼體制的設(shè)計學，是研究對數(shù)據(jù)進行變換的原理、手段和方法的技術(shù)和 科學，而密碼分析學則是在未知密鑰的情況下從密文推演出明文或密鑰的技術(shù)。是為了取得秘密的信息，而對密碼系統(tǒng)及其流動的數(shù)據(jù)進行分析，是對密碼原理、手段和方法進行分析、攻擊的技術(shù)和科學。 7-05 “無條件

6、安全的密碼體制”和“在計算上是安全的密碼體制”有什么區(qū)別？ 答：如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對應(yīng)的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。如果密碼體制中的密碼不能被可使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。7-06破譯下面的密文詩。加密采用替代密碼。這種密碼是把26個字母（從a到z）中的每一個用其他某個字母替代（注意，不是按序替代）。密文中無標點符號?？崭裎醇用?。Kfd ktbd fzm eubd kfd pzyiom mztx ku kzyg ur bzha kfthcm ur mfudm zhx Mftnm z

7、hx mdzythc pzq ur ezsszcdm zhx gthcm zhx pfa kfd mdz tm sutythc Fuk zhx pfdkfdi ntcm fzld pthcm sok pztk z stk kfd uamkdim eitdx sdruid Pd fzld uoi efzk rui mubd ur om zid uok ur sidzkf zhx zyy ur om zid rzk Hu foiia mztx kfd ezindhkdi kfda kfzhgdx ftb boef rui kfzk 答：單字母表是： 明文：abcdefghIjk l m密文:zse

8、xdrcftg y b明文：nopqrstuvwx y z密文:hunImkolpk a根據(jù)該單字母表，可得到下列與與本題中給的密文對應(yīng)的明文：the time has come the walrus said to talk of many things of shoes amd ships and sealing wax of cabbages and kings and why the sea is boiling hot and whether pigs have wings but wait a bit the oysters cried before we have our cha

9、t for some of us are out of breath and all of us are fatno hurry said the carpenter they thanked him much for that7-07對稱密鑰體制與公鑰密碼體制的特點各如何？各有何優(yōu)缺點？答：在對稱密鑰體制中，它的加密密鑰與解密密鑰的密碼體制是相同的，且收發(fā)雙方必須共享密鑰，對稱密碼的密鑰是保密的，沒有密鑰，解密就不可行，知道算法和若干密文不足以確定密鑰。公鑰密碼體制中，它使用不同的加密密鑰和解密密鑰，且加密密鑰是向公眾公開的，而解密密鑰是需要保密的，發(fā)送方擁有加密或者解密密鑰，而接收方擁有另

10、一個密鑰。 兩個密鑰之一也是保密的，無解密密鑰，解密不可行，知道算法和其中一個密鑰以及若干密文不能確定另一個密鑰。優(yōu)點：對稱密碼技術(shù)的優(yōu)點在于效率高，算法簡單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)C精品文檔就在這里 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有對稱密鑰算法具有加密處理簡單，加解密速度快，密鑰較短，發(fā)展歷史悠久等優(yōu)點。缺點：對稱密碼技術(shù)進行安全通信前需要以安全方式進行密鑰交換，且它的規(guī)模復雜。 公鑰密鑰算法具有加解密速度慢的特點，密鑰尺寸大，發(fā)展歷史較短等特點。7-08為什么

11、密鑰分配是一個非常重要但又十分復雜的問題？試舉出一種密鑰分配的方法。答：密鑰必須通過最安全的通路進行分配?？梢允褂梅浅？煽康男攀箶y帶密鑰非配給互相通信的各用戶，多少用戶越來越多且網(wǎng)絡(luò)流量越來越大，密鑰跟換過于頻繁，派信使的方法已不再適用。舉例：公鑰的分配，首先建立一個彳1得信賴的機構(gòu)(認證中心CA),將公鑰與其對應(yīng)的實體進行綁定，每個實體都有CA發(fā)來的證書，里面有公鑰及其擁有者的標識信息，此證書被CA進行了數(shù)字簽名，任何用戶都可從可信的地方獲得CA的公鑰，此公鑰可用來驗證某個公鑰是否為某個實體所擁有。7-09 公鑰密碼體制下的加密和解密過程是怎么的？為什么公鑰可以公開？如果不公開是 否可以提高

12、安全性？答：加密和解密過程如下：(1)、密鑰對產(chǎn)生器產(chǎn)生出接收者的一對密鑰：加密密鑰和解密密鑰；(2)、發(fā)送者用接受者的公鑰加密密鑰通過加密運算對明文進行加密，得出密文， 發(fā)送給接受者；接受者用自己的私鑰解密密鑰通過解密運算進行解密，恢復出明文；因為無解密密鑰，解密是不可行的，所以公鑰可以公開，知道算法和其中一個密鑰以 及若干密文不能確定另一個密鑰。7-10 試述數(shù)字簽名的原理答：數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。其原理為：被發(fā)送文件用SHA編碼加密產(chǎn)生128bit的數(shù)字摘要。然后發(fā)送方用自己的私用密鑰對摘要再加密，這就形成 了數(shù)字簽名。將原文和加密的摘要同時傳給對方。對方用發(fā)送方

13、的公共密鑰對摘要解密，同時對收到的文件用 SH廊碼加密產(chǎn)生又一摘要。 將解密后的摘要和收到的文件在接收方重新 加密產(chǎn)生的摘要相互對比。 如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。7-11 為什么需要進行報文鑒別？鑒別和保密、授權(quán)有什么不同？報文鑒別和實體鑒別有 什么區(qū)別？答：(1)使用報文鑒別是為了對付主動攻擊中的篡改和偽造。當報文加密的時候就可以 達到報文鑒別的目的， 但是當傳送不需要加密報文時，接收者應(yīng)該能用簡單的方法來鑒別報文的真?zhèn)巍?2)鑒別和保密并不相同。鑒別是要驗證通信對方的確是自己所需通信的對象，而不是 其他的冒充者。鑒別分為報文鑒別和實體鑒別。授權(quán)涉及到的問

14、題是： 所進行的過程是否被允許(如是否可以對某文件進行讀或?qū)?)。(3)報文鑒別和實體鑒別不同。 報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者， 而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內(nèi)對和自己通信的對方實體只需驗證一次。精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有7-12 試述實現(xiàn)報文鑒別和實體鑒別的方法。答：(1)報文摘要M皿進行報文鑒別白簡單方法。A把較長的報文 X經(jīng)過報文摘要算法運算后得出很短的報文摘要H。然后用自己的私鑰對 H進彳T D運算，即進行數(shù)字簽

15、名。得出已簽名的報文摘要 D(H)后，并將其追加在報文 X后面發(fā)送給B。B收到報文后首先把已簽名 的D(H)和報文X分離。然后再做兩件事。第一，用 A的公鑰對D(H)進彳T E運算，得出報文 摘要H。第二，對報文 X進行報文摘要運算，看是否能夠得出同樣的報文摘要H。如一樣，就能以極高的概率斷定收到的報文是A產(chǎn)生的。否則就不是。(2)A首先用明文發(fā)送身份 A和一個不重數(shù) R給B。接著，B響應(yīng)A的查問，用共享的密 鑰&b對R加密后發(fā)回給 A,同時也給出了自己的不重數(shù) R。最后，A再響應(yīng)B的查問，用 共享的密鑰Kab對B加密后發(fā)回給 B。由于不重數(shù)不能重復使用，所以 C在進行重放攻擊時 無法重復使用

16、是喲截獲的不重數(shù)。7-13 報文的保密性與完整性有何區(qū)別？什么是MD6答：(1)報文的保密性和完整性是完全不同的概念。保密性的特點是：即使加密后的報文被攻擊者截獲了，攻擊者也無法了解報文的內(nèi)容。 完整性的特點是：接收者接收到報文后，知道報文沒有被篡改或偽造。(2)MD5是RFC1321提出的報文摘要算法，目前已獲得了廣泛的應(yīng)用。它可以對任意長 的報文進行運算，然后得出128bit的M討艮文摘要代碼。算法的大致過程如下：先將任意長的報文按模 264計算其余數(shù)(64bit),追加在報文的后面。這就是說，最后 得出的MD5弋碼已包含了報文長度的信息。在報文和余數(shù)之間填充1512bit ,使得填充后的

17、總長度是 512的整數(shù)倍。填充比特的首位是1,后面都是0將追加和填充的報文分割為一個個512bit的數(shù)據(jù)塊，512bit的報文數(shù)據(jù)分成 4個128bit的數(shù)據(jù)依次送到不同的散列函數(shù)進行4論計算。每一輪又都按32bit的小數(shù)據(jù)塊進行復雜的運算。一直到最后計算出MD5m文摘要代碼。這樣得出的MD5弋碼中的每一個比特，都與原來的報文中的每一個比特有關(guān)。7-14 什么是重放攻擊？怎樣防止重放攻擊？答：(1)入侵者C可以從網(wǎng)絡(luò)上截獲 A發(fā)給B的報文。C并不需要破譯這個報文(因為這 可能很花很多時間)而可以直接把這個由 A加密的報文發(fā)送給 B,使B誤認為C就是A。然后 B就向偽裝是A的C發(fā)送許多本來應(yīng)當發(fā)

18、送給 A的報文。這就叫做重放攻擊。(2)為了對付重放攻擊，可以使用不重數(shù)。不重數(shù)就是一個不重復使用的大隨機數(shù)，即 “一次一數(shù)”。7-15 什么是“中間人攻擊”？怎樣防止這種攻擊？答：(1) 中間人攻擊(Man-in-the-Middle Attack ,簡稱 “ MITM 攻擊”)是一種 “間接”的入侵攻擊，這種攻擊模式是通過各種技術(shù)手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡(luò)連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。 然后入侵者把這臺計算機模擬一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或篡改傳遞的信息，然而兩個原始計算機用戶卻認為他精品文檔就在這

19、里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有們是在互相通信，因而這種攻擊方式并不很容易被發(fā)現(xiàn)。所以中間人攻擊很早就成為 了黑客常用的一種古老的攻擊手段，并且一直到今天還具有極大的擴展空間。(2)要防范 MITM攻擊，我們可以將一些機密信息進行加密后再傳輸，這樣即使 被“中間人”截取也難以破解，另外，有一些認證方式可以檢測到MITM攻擊。比如設(shè)備或IP異常檢測：如果用戶以前從未使用某個設(shè)備或IP訪問系統(tǒng)，則系統(tǒng)會采取措施。還有設(shè)備或IP頻率檢測：如果單一的設(shè)備或IP同時訪問大量的用

20、戶帳號，系統(tǒng)也會采取措施。更有效防范MITM攻擊的方法是進行帶外認證。716 試討論Kerberos協(xié)議的優(yōu)缺點。答：Kerberos協(xié)議主要用于計算機網(wǎng)絡(luò)的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-granting ticket) 訪問多個服務(wù)，即SSO(Single Sign On)。由于在每個 Client和Service 之間建立了共享密鑰，使 得該協(xié)議具有相當?shù)陌踩?。概括起來說Kerberos協(xié)議主要做了兩件事：Ticket的安全傳遞；Session Key 的安 全發(fā)布。再加上時間戳的使用就很大程度上的

21、保證了用戶鑒別的安全性。并且利用Session Key,在通過鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality( 機密性),Integrity( 完整性)的保證。不過由于沒有使用非對稱密鑰自然也就無法具有抗否認性，這 也限制了它的應(yīng)用。不過相對而言它比X.509 PKI的身份鑒別方式實施起來要簡單多了。717因特網(wǎng)的網(wǎng)絡(luò)層安全協(xié)議族Ipsec都包含哪些主要協(xié)議？答：在Ipsec中最主要的兩個部分就是：鑒別首部AH和封裝安全有效載荷ESRAH將每個數(shù)據(jù)報中的數(shù)據(jù)和一個變化的數(shù)字簽名結(jié)合起來，共同驗證發(fā)送方身份，使 得通信一方能夠確認發(fā)送數(shù)據(jù)的另一方的身份

22、，并能夠確認數(shù)據(jù)在傳輸過程中沒有被篡改， 防止受到第三方的攻擊。它提供源站鑒別和數(shù)據(jù)完整性，但不提供數(shù)據(jù)加密。ESP提供了一種對IP負載進行加密的機制，對數(shù)據(jù)報中的數(shù)據(jù)另外進行加密，因此它 不僅提供源站鑒別、數(shù)據(jù)完整性，也提供保密性。IPSec 是 IETF (Internet Engineering Task Force , Internet 工程任務(wù)組)的 IPSec 小組建立的一套安全協(xié)作的密鑰管理方案，目的是盡量使下層的安全與上層的應(yīng)用程序及用戶獨立，使應(yīng)用程序和用戶不必了解底層什么樣的安全技術(shù)和手段，就能保證數(shù)據(jù)傳輸?shù)目煽啃约鞍踩浴?IPSec是集多種安全技術(shù)為一體的安全體系結(jié)構(gòu)，

23、是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。7-18 試簡述SSL和SET的工作過程。答：首先舉例說明 SSL的工作過程。假定 A有一個使用SSL的安全網(wǎng)頁，B上網(wǎng)時用鼠標點 擊到這個安全網(wǎng)頁的鏈接。接著，服務(wù)器和瀏覽器就進行握手協(xié)議，其主要過程如下。(1)瀏覽器向服務(wù)器發(fā)送瀏覽器的SSL版本號和密碼編碼的參數(shù)選擇。(2)服務(wù)器向瀏覽器發(fā)送服務(wù)器的SSL版本號、密碼編碼的參數(shù)選擇及服務(wù)器的證書。證精品文檔就在這里 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品

24、文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有書包括服務(wù)器的 RSA分開密鑰。此證書用某個認證中心的秘密密鑰加密。(3)瀏覽器有一個可信賴的 CA表，表中有每一個 CA的分開密鑰。當瀏覽器收到服務(wù)器發(fā) 來的證書時，就檢查此證書是否在自己的可信賴的CA表中。如不在，則后來的加密和鑒別連接就不能進行下去；如在，瀏覽器就使用 CA的公開密鑰對證書解密，這樣就得到了服務(wù) 器的公開密鑰。(4)瀏覽器隨機地產(chǎn)生一個對稱會話密鑰，并用服務(wù)器的分開密鑰加密，然后將加密的會 話密鑰發(fā)送給服務(wù)器。(5)瀏覽器向服務(wù)器發(fā)送一個報文，說明以后瀏覽器將使用此會話密鑰進行加密。然后瀏

25、覽器再向服務(wù)器發(fā)送一個單獨的加密報文，表明瀏覽器端的握手過程已經(jīng)完成。(6)服務(wù)器也向瀏覽器發(fā)送一個報文，說明以后服務(wù)器將使用此會話密鑰進行加密。然后 服務(wù)器再向瀏覽器發(fā)送一個單獨的加密報文，表明服務(wù)器端的握手過程已經(jīng)完成。SSL的握手過程到此已經(jīng)完成，下面就可開始SSL的會話過程。下面再以顧客B到公司A用SET購買物品為例來說明 SET的工作過程。這里涉及到兩 個銀行，即A的銀行(公司A的支付銀行)和 B的銀行(給B發(fā)出信用卡的銀行)。 (1) B告訴A他想用信用卡購買公司 A的物品。A將物品清單和一個唯一的交易標識符發(fā)送給BoA將其商家的證書，包括商家的公開密鑰發(fā)送給Bo A還向B發(fā)送其銀

26、行的證書，包括銀行的公開密鑰。這兩個證書都用一個認證中心CA的秘密密鑰進行加密。B使用認證中心CA的公開密鑰對這兩個證書解密。B生成兩個數(shù)據(jù)包：給 A用的定貨信息 OI和給A的銀行用的購買指令 PI。A生成對信用卡支付請求的授權(quán)請求，它包括交易標識符。A用銀行的公開密鑰將一個報文加密發(fā)送給銀行，此報文包括授權(quán)請求、從 B發(fā)過來 的PI數(shù)據(jù)包以及 A的證書。A的銀行收到此報文，將其解密。A的銀行要檢查此報文有無被篡改，以及檢查在授權(quán)請求中的交易標識符是否與 B的PI數(shù)據(jù)包給出的一致。A的銀行通過傳統(tǒng)的銀行信用卡信道向B的銀行發(fā)送請求支付授權(quán)的報文。一旦B的銀行準許支付，A的銀行就向 A發(fā)送響應(yīng)(

27、加密的)。此響應(yīng)包括交易標識 符。(11)若此次交易被批準， A就向B發(fā)送響應(yīng)報文。7-19 電子郵件的安全協(xié)議 PGP主要都包含哪些措施？答：PGP是一種長期得到廣泛使用和安全郵件標準。PGP是RSA和傳統(tǒng)加密的雜合算法，因為RSA算法計算量大，在速度上不適合加密大量數(shù)據(jù)，所以PGP實際上并不使用RSA來加密 內(nèi)容本身，而是采用IDEA的傳統(tǒng)加密算法。PG明一個隨機生成密鑰及 IDEA算法對明文加 密，然后再用RSA算法對該密鑰加密。收信人同樣是用 RSA解密出這個隨機密鑰， 再用IDEA 解密郵件明文。7-20 路加密與端到端加密各有何特點？各用在什么場合？答：(1)鏈路加密優(yōu)點：某條鏈路

28、受到破壞不會導致其他鏈路上傳送的信息被析出，能防止各種形式精品文檔就在這里 各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有 精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有的通信量析出；不會減少網(wǎng)絡(luò)系統(tǒng)的帶寬；相鄰結(jié)點的密鑰相同，因而密鑰管理易于實現(xiàn)；鏈路加密對用戶是透明的。缺點：中間結(jié)點暴露了信息的內(nèi)容；僅僅采用鏈路加密是不可能實現(xiàn)通信安全的； 不適用于廣播網(wǎng)絡(luò)。(2)端到端加密優(yōu)點：報文的安全性不會因中間結(jié)點的不可靠而受到影響；端到端加密更容易適合 不同用戶服務(wù)的要求，不僅適用于互聯(lián)網(wǎng)環(huán)境，而且同樣也適用于廣播網(wǎng)。缺點：由于PD

29、U的控制信息部分不能被加密，所以容易受到通信量分析的攻擊。同時由于各結(jié)點必須持有與其他結(jié)點相同的密鑰，需要在全網(wǎng)范圍內(nèi)進行密鑰管理和分配.為了獲得更好的安全性，可將鏈路加密與端到端加密結(jié)合在一起使用。鏈路加密用來 對PDU的目的地址進行加密，而端到端加密則提供了對端到端數(shù)據(jù)的保護。7-21試述防火墻的工作原理和所提供的功能。什么叫做網(wǎng)絡(luò)級防火墻和應(yīng)用級防火墻？答：防火墻的工作原理： 防火墻中的分組過濾路由器檢查進出被保護網(wǎng)絡(luò)的分組數(shù)據(jù)，按照系統(tǒng)管理員事先設(shè)置好的防火墻規(guī)則來與分組進行匹配，符合條件的分組就能通過，否則就丟棄。防火墻提供的功能有兩個：一個是阻止，另一個是允許。阻止就是阻止某種類型

30、的通信量通過防火墻。允許的功能與阻止的恰好相反。不過在大多數(shù)情況下防火墻的主要功能是 阻止。網(wǎng)絡(luò)級防火墻：主要是用來防止整個網(wǎng)絡(luò)出現(xiàn)外來非法的入侵，屬于這類的有分組過濾和授權(quán)服務(wù)器。前者檢查所有流入本網(wǎng)絡(luò)的信息，然后拒絕不符合事先制定好的一套準則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。應(yīng)用級防火墻：從應(yīng)用程序來進行介入控制。通常使用應(yīng)用網(wǎng)關(guān)或代理服務(wù)器來區(qū)分 各種應(yīng)用。個人工作業(yè)務(wù)總結(jié)本人于2009年7月進入新疆中正鑫磊地礦技術(shù)服務(wù)有限公司 (前身為“西安中正礦業(yè)信息咨詢有限公司” )，主要從事測量技術(shù)工作，至今已有三年。在這寶貴的三年時間里，我邊工作、邊學習測繪相專業(yè)書籍，遇到不懂得問題積

31、極的請教工程師們，在他們耐心的教授和指導下，我的專業(yè)知識水平得到了很到的提高，并在實地測量工作中加以運用、總結(jié)，不斷的提高自己的專業(yè)技術(shù)水平。同時積極的參與技術(shù)培訓學習，加速自身知識的不斷更新和自身素質(zhì)的提高。努力使自己成為一名合格的測繪技術(shù)人員。在這三年中，在公司各領(lǐng)導及同事的幫助帶領(lǐng)下，按照崗位職責要求和行為規(guī)范，努力做好本職工作，認真完成了領(lǐng)導所交給的各項工作，在思想覺悟及工作能力方面有了很大的提高。在思想上積極向上，能夠認真貫徹黨的基本方針政策，積極學習政治理論，堅持四項基本原則，遵紀守法，愛崗敬業(yè)，具有強烈的責任感和事業(yè)心。積極主動學習專業(yè)知識，工作態(tài)度端正，認真負責，具有良好的思想

32、政治素質(zhì)、思想品質(zhì)和職業(yè)道德。在工作態(tài)度方面，勤奮敬業(yè)，熱愛本職工作，能夠正確認真的對待每一項工作，能夠主動尋找自己的不足并及時學習補充，始終保持嚴謹認真的工作態(tài)度和一絲不茍的工作作風。在公司領(lǐng)導的關(guān)懷以及同事們的支持和幫助下，我迅速的完成了職業(yè)角色的轉(zhuǎn)變。一、回顧這四年來的職業(yè)生涯，我主要做了以下工作：1、參與了新疆庫車縣新疆庫車縣胡同布拉克石灰?guī)r礦的野外測繪和放線工作、點之記的編寫工作、1:2000地形地質(zhì)圖修測、1:1000勘探剖面測量、測繪內(nèi)業(yè)資料的編寫工作，提交成果新疆庫車縣胡同布拉克石灰?guī)r礦普查報告已通過評審。2、參與了庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估項目的室內(nèi)地質(zhì)資料編寫工作，提交成果為庫車縣城北水廠建設(shè)項目用地壓覆礦產(chǎn)資源評估報告，現(xiàn)已通過評審。3、參與了新疆庫車縣巴西克其克鹽礦普查項目的野外地質(zhì)勘查工作，參與項目包括：1:2000地質(zhì)測圖、1:1000勘查線剖面測量、測繪內(nèi)業(yè)資料的編寫工作；最終提交的新疆庫車縣康村鹽礦普查報告已通過評審。精品文檔就在這里各類專業(yè)好文檔，值得你下載，教育，管理，論文，制度，方案手冊，應(yīng)有盡有精品文檔就在這里各