計算機網絡課后問題總結

第一章TCP/IP協(xié)議族：第1部分?網絡協(xié)議分層的優(yōu)缺點。優(yōu)點：簡化問題，分而治之，有利于升級更新；缺點：各層之間相互獨立，都要對數(shù)據(jù)進行分別處理；每層處理完畢都要加一個頭結構，增加了通信數(shù)據(jù)量。?了解一些進行協(xié)議分析的工具?？稍诨ヂ?lián)網上搜索獲取適用于不同操作系統(tǒng)工具，比如snifferpro、wireshark以及tcpdump等。利用這些工具，可以截獲網絡中的各種協(xié)議報文，并進一步分析協(xié)議的流程、報文格式等。?你認為一個路由器最基本的功能應該包括哪些？對于網橋、網關、路由器等設備的分界已經逐漸模糊?，F(xiàn)代路由器通常具有不同類型的接口模塊并具有模塊可擴展性，由此可以連接不同的物理網絡；路由表的維護、更新以及IP數(shù)據(jù)報的選路轉發(fā)等，都是路由器的基本功能。此外，路由器廠商應為使用者提供管理功能。槪奄棋型 層間數(shù)據(jù)流傳粉協(xié)這分組物理接口盡|特定于韌趣陰珞的林?列出TCP/IP參考模型中各層間的接口數(shù)據(jù)單元(IDU)。槪奄棋型 層間數(shù)據(jù)流傳粉協(xié)這分組物理接口盡|特定于韌趣陰珞的林?比較OSI參考模型和Internet參考模型的異同點。1、 相同點：OSI參考模型和TCP/IP參考模型都采用了層次結構的方法。2、 不同點：OSI參考模型是劃分為7層結構：物理層、數(shù)據(jù)鏈路層、網絡層、傳輸層、會話層、表示層和應用層，其中應用環(huán)境是開放系統(tǒng)環(huán)境；而TCP/IP參考模型卻劃分為4層結構：應用層、傳輸層、IP層和網絡接口層，其中應用層協(xié)議是標準化的。OSI參考模型是制定的適用于全世界計算機網絡的統(tǒng)一標準，是一種理想狀態(tài)，它結構復雜，實現(xiàn)周期長，運行效率低；而TCP/IP參考模型是獨立于特定的計算機硬件和操作系統(tǒng),可移植性好，獨立于特定的網絡硬件，可以提供多種擁有大量用戶的網絡服務，并促進Internet的發(fā)展，成為廣泛應用的網絡模型。第2部分?PPP協(xié)議的對等端和PPP協(xié)議的工作流程。在建立PPP鏈路前，發(fā)起方必須通過電話網絡呼叫回應方。呼叫成功后雙方建立了一條物理連接；利用LCP創(chuàng)建PPP鏈路；用PAP或者CHAP驗證客戶身份；用IPCP配置IP層參數(shù)；通信完成后，雙方利用LCP斷開PPP鏈路；之后，斷開物理連接。?分析PAP和CHAP的優(yōu)缺點。pap簡單，但安全性差；chap相對安全，但開銷較大，且需要通信雙方首先共享密鑰。?當你攜帶筆記本電腦出差時，可能希望所在地的電話網絡建立一條虛擬的點對點鏈路。L2TP和L2F為該問題提供了解決方案。查找并閱讀這兩個標準，了解它們的思想及應用。這兩個協(xié)議把PPP的兩個端點延伸到互聯(lián)網的任何角落，相當于在TCP/IP的應用層擴展了PPP的范圍。其思想是發(fā)送方把PPP幀封裝到L2F或L2TP報文中，接收方則對其解封以還原PPP幀，這樣對于通信的兩端來說看到的是PPP幀，相當于在互聯(lián)網上架設了一條虛擬的PPP鏈路。它們主要用于構建VPN（虛擬專用網）。第3部分?在理想情況下，可以有多少個A類地址，每個A類地址中包含多少個可以配置給主機的IP地址？有126個A類地址。每個A類網絡理論上可連接2人24-2臺主機第4部分?IP只對數(shù)據(jù)報首部計算校驗和，不對數(shù)據(jù)計算校驗和，有什么優(yōu)缺點？優(yōu)點：簡化IP軟件的計算量，提高處理速度。對于路由器等轉發(fā)設備，這點對于提高其性能很重要。此外，某些高層（或需要由IP封裝）的協(xié)議已經有計算校驗和的功能，即IP數(shù)據(jù)報的數(shù)據(jù)區(qū)已經被計算校驗和，IP僅針對首部計算校驗和可以避免重復勞動。缺點：高層（或需要由IP封裝）協(xié)議若需要保證可靠性，必須實現(xiàn)校驗功能。?IP規(guī)定數(shù)據(jù)報的重組地點是目的主機，有什么優(yōu)缺點？優(yōu)點：簡化中間路由器的操作，提高效率；避免重復分片；每個分片獨立選路，增加了靈活性。缺點：中間經過MTU較大的網絡時，可能會浪費帶寬。?對于包含記錄路由選項的數(shù)據(jù)報進行分片時，是否應該將選項復制到各分片中？為什么？對于包含時間戳選項的數(shù)據(jù)報呢？不必。每個分片獨自選路，即便記錄，每個分片記錄的信息也不一致。?參考PPT中的例子，掌握等長子網劃分和變長子網劃分。?參考PPT中的例子，掌握IP數(shù)據(jù)報分片的方法和相關標志位的設置?為什么中間路由器轉發(fā)數(shù)據(jù)報之前要重新計算校驗和？因為路由器對數(shù)據(jù)報進行了處理，部分字段值發(fā)生了變化：TTL值減‘1'，包含選項時選項的內容也要發(fā)生更改。因此，必須針對變化后的內容重新計算校驗和。?為什么一個數(shù)據(jù)報在傳輸過程中可能會被多次分片？在IP數(shù)據(jù)報的投遞過程中可能會經過多個物理網絡，每個物理網絡的MTU不全相同，只要后一個物理網絡的MTU小于前一個網絡的MTU,數(shù)據(jù)報就會被分片。?IP分組經過路由器進行傳輸時如果不被分段，則其首部的基本信息部分會發(fā)生變化的字段有哪些？TTL字段和校驗和字段值均會發(fā)生變化。?某網絡的IP地址為192.168.5.0/24采用長子網劃分，子網掩碼為255.255.255.248，則每個子網內的最大可分配地址個數(shù)為多少？?在子網192.168.4.0/30中，能接收目的地址為192.168.4.3的IP分組的最大主機數(shù)是多少？第5部分?路由器是否應該優(yōu)先處理ICMP報文？不。ICMP報文封裝在IP報文中，和其它IP報文一樣在路由器的隊列中進行排隊，路由器則按照先入先出的規(guī)則處理報文。對路由器而言，與優(yōu)先權有關的不是IP數(shù)據(jù)報中封裝的報文類型，而是IP首部中的QoS字段。?如果攜帶ICMP報文的IP數(shù)據(jù)報出現(xiàn)差錯，則不應產生新的ICMP報文。試解釋其原因。如果這個數(shù)據(jù)報再出現(xiàn)差錯呢,這樣規(guī)定是防止無休止地循環(huán)發(fā)送差錯報告報文?設計一個使用ICMP時戳請求和應答報文進行時鐘同步的算法。假設初始時戳為％接收時戳為tf,傳送時戳是比發(fā)送方收到回應的時間是th,則傳輸時延dt的估算方法如下匕ch=(th-tiltt-lr)o其中(th-li展整個往返的延時.W(tt-ti■堤接收方的竝理時間"如果認為兩個方向的通信時間大致相等「則單向傳輸時延應為dt/2則發(fā)送方與接收方的時差應為gcit/2-ti由此可以進行時鐘同步.?為什么僅能向源站報告差錯？路由器收到IP數(shù)據(jù)報時，如果該數(shù)據(jù)報不包含記錄路由、源路由選項，則不體現(xiàn)任何中間路由器信息，僅能體現(xiàn)源IP信息。因此，必須向源端報告差錯。此外，路由器發(fā)現(xiàn)數(shù)據(jù)報發(fā)生差錯時，無法判斷究竟是在投遞過程中的哪一步發(fā)生差錯，因此，僅能向源站報告差錯。?為什么路由器通告報文的發(fā)送周期是10分鐘，而一條路由的存活時間是30分鐘？考慮到通告報文可能丟失，存活時間必須大于發(fā)送周期。?在ICMP目的站不可達報文中，有一類錯誤是濡要分片但DF置位(不能進行分片)”?；诖?，請給出一個路徑MTU的測量算法。思想:發(fā)送IP數(shù)據(jù)報并強制該數(shù)據(jù)報不能分片，如果收到該類錯誤報告，說明該報文尺寸過大，則繼續(xù)調小尺寸并繼續(xù)發(fā)送該種IP數(shù)據(jù)報;如果未收到該類報告，說明尺寸偏小或正好，此時可以增大IP數(shù)據(jù)報的尺寸。為了較快地逼近實際值，可以首先將第一個探測報文的尺寸設置為最大IP數(shù)據(jù)報長度，之后利用二分算法的思想調整探測報文尺寸。?若路由器R因為擁塞丟棄IP分組，則此時R可以向發(fā)出該IP分組的源主機發(fā)送的ICMP報文件類型是什么？源抑制。若路由器或目的主機緩沖資源耗盡而必須丟棄數(shù)據(jù)報，則每丟棄一個數(shù)據(jù)報就向源主機發(fā)送一個ICMP源抑制報文，此時，源主機必須減小發(fā)送速度。另外一種情況是系統(tǒng)的緩沖區(qū)已用完，并預感到將發(fā)生擁塞，則發(fā)送源抑制報文。第6部分?分析傳輸層的作用。加強和彌補IP層的服務?！凹訌姟敝柑峁┛煽啃?，而TCP/IP的傳輸層則提供了不同的可靠性級別以適應不同的應用需求;彌補指提供端到端的服務，并通過不同的端口號區(qū)分不同的上層應用。?利用端口號而不是進程標識符來指定一臺機器的目的進程，有什么優(yōu)點？進程標識符是動態(tài)變化的，每次應用程序重啟都會對應不同的標識符，而端口號是相對固定的。網絡通信中的客戶端需要主動與服務器建立連接，其連接的目標必須是固定的，因此，必須用端口號來標識。?為什么UDP校驗和獨立于IP校驗和？你是否反對這樣一個協(xié)議：對包括UDP報文在內的整個IP數(shù)據(jù)報使用一個校驗和？IP僅針對首部計算校驗和，UDP報文封裝在IP數(shù)據(jù)報中作為數(shù)據(jù)報的數(shù)據(jù)區(qū)，因此單獨計算校驗和。這樣整個IP數(shù)據(jù)報都可以被校驗。反對。IP和UDP屬于不同的協(xié)議模塊和層次，合并校驗不利于區(qū)分錯誤來源。此外，在數(shù)據(jù)報投遞過程中，對于目標不是自身的數(shù)據(jù)報，路由器則僅處理IP部分，不關注高層，分開計算時，當發(fā)現(xiàn)IP發(fā)生差錯就可進行相應處理，合并計算校驗和則不便于這種處理。在目的端，數(shù)據(jù)在接收過程中則是沿著協(xié)議棧逐層向上遞交的，分開計算時當IP首部發(fā)生差錯，數(shù)據(jù)報就不會遞交給UDP模塊，合并時則無法實現(xiàn)這一點。?假定一臺主機連接在以太網上，它要發(fā)送總長度為8192字節(jié)的UDP報文。該報文最終被分成多少個IP數(shù)據(jù)報投遞？以太網MTU為1500字節(jié)。假設IP不使用選項，則其長度為20字節(jié)，所以預留給UDP的長度為1480字節(jié)。所以最終的分片數(shù)為|8192/1480|+1=6，其中“||”標識取整。?從網絡安全的角度看，使用知名端口號會不會存在安全風險？單看這種行為，不會存在風險。但是知名端口與一些知名應用相關，這些應用可能存在安全缺陷，比如協(xié)議本身有缺陷，或者實現(xiàn)有安全漏洞。因此，黑客攻擊的第一步往往是實施端口掃描，為隨后的攻擊步驟奠定基礎。?TCP/IP協(xié)議中，通過什么能標識目的主機和該主機上的進程？TCP/IP協(xié)議中，通過（IP）和（端口）進行標識?為什么需要UDP?為什么用戶不能直接使用IP進行訪問？UDP由于無連接、無重傳確認，所以傳輸效率高、延時??；由于不用維持大的并發(fā)量，所以適合巨量服務的server，加上合適的時間控制，可以用來設計更大的并發(fā)服務器；UDP可以更高效的利用網絡帶寬。一個IP地址可能對應著多個web站點，單單依靠IP地址是不知道如何匹配到哪個web站點的。?什么是通信五元組？源IP地址，源端口，目的IP地址，目的端口和傳輸層協(xié)議。第7部分?在什么樣的時延、帶寬、負載以及報文丟失的情況下，TCP沒有必要重傳大量的數(shù)據(jù)？時延低且穩(wěn)定，帶寬高，負載低，分組丟失率低的情況下。?主機A和B使用TCP通信。在B發(fā)送過的報文段中，有這樣兩個先后到達的報文段:ACK=120和ACK=100，即前一個報文段的確認序號大于后一個。試解釋原因。這完全可能。設想A連續(xù)發(fā)送兩個數(shù)據(jù)報，（SEQ=92,DATA共8字節(jié)），（SEQ=100,DATA共20字節(jié)），均正確到達B。B連續(xù)發(fā)送兩個確認（ACK=100）和（ACK=120）。但前者在傳送時丟失，于是A超時重傳第一個報文段并被B收到，然后B發(fā)送（ACK=100）到達A。?建立TCP連接時，通信雙方要交換ISN。ISN可各自隨機選取，但不能為1。為什么？TCP初始化序號不能是一個固定值，因為這樣容易被攻擊者猜出后續(xù)序列號，從而遭到攻擊。?你認為TCP協(xié)議軟件應該自動關閉長時間的空閑連接（未傳送數(shù)據(jù)）嗎？TCP協(xié)議中有長連接和短連接之分。短連接在數(shù)據(jù)包發(fā)送完成后就會自己斷開，長連接在發(fā)包完畢后，會在一定的時間內保持連接，即我們通常所說的Keepalive（存活定時器）功能。?解釋為什么突然釋放傳輸連接有可能會丟失數(shù)據(jù)，而使用TCP的連接釋放協(xié)議則能保證不丟失數(shù)據(jù)。當主機1和主機2之間連接建立后，主機1發(fā)送了一個TCP數(shù)據(jù)段并正確抵達主機2,接著主機1發(fā)送另一個TCP數(shù)據(jù)段，這次很不幸，主機2在收到第二個TCP數(shù)據(jù)段之前發(fā)出了釋放連接請求，如果就這樣突然釋放連接，顯然主機1發(fā)送的第二個TCP報文段會丟失。而使用TCP的連接釋放方法，主機2發(fā)出了釋放連接的請求，那么即使收到主機1的確認后，只會釋放主機2到主機1方向的連接，即主機2不再向主機1發(fā)送數(shù)據(jù)，而仍然可接受主機1發(fā)來的數(shù)據(jù)，所以可保證不丟失數(shù)據(jù)。?總結TCP使用的窗口及時鐘?；瑒哟翱?允許發(fā)送方不必等確認到來就可繼續(xù)發(fā)送下面的分組，但規(guī)定一個上限。若多個分組的確認未到時，則暫停發(fā)送。擁塞窗口:只要網絡沒有出現(xiàn)擁塞，擁塞窗口就再增大一些，以便把更多的分組發(fā)送出去。但只要網絡出現(xiàn)擁塞，擁塞窗口就減少一些，以減少注入到網絡中的分組數(shù)。實際的發(fā)送窗口為擁塞窗口和通告窗口中的較小值。重傳計時器：TCP為了保證數(shù)據(jù)可靠傳輸，就規(guī)定在重傳的“時間片”到了以后，如果還沒有收到對方的ACK，就重發(fā)此包，以避免陷入無限等待中。堅持計時器:當發(fā)送TCP收到窗口大小為0的確認時，就啟動堅持計時器。當堅持計時器期限到時，發(fā)送TCP就發(fā)送一個特殊的報文段，叫做探測報文。探測報文段提醒接收TCP：確認已丟失，必須重傳。保活計時器：每當服務器收到客戶的信息，就將計時器復位。通常設置為兩小時。若服務器過了兩小時還沒有收到客戶的信息，他就發(fā)送探測報文段。若發(fā)送了10個探測報文段（每一個相隔75秒）還沒有響應，就假定客戶出了故障，因而就終止了該連接。時間等待計時器：時間等待計時器用于TCP“四次揮手”階段。當客戶端向服務器發(fā)送最后一次確認報文時，就設定一個時間等待計時器，等待2MSL時間后再結束連接。?假設要判斷某臺機器打開了哪些TCP端口，該如何設計端口掃描程序？有幾種方法？這些方法的優(yōu)缺點是什么？TCP實現(xiàn)的基本規(guī)則：若SYN或者FIN數(shù)據(jù)包到達一個關閉的端口,TCP丟棄數(shù)據(jù)包同時發(fā)送一個RST數(shù)據(jù)包。（1） 全連接掃描：掃描主機用三次握手與目的機指定端口建立正規(guī)連接。優(yōu)點：實現(xiàn)簡單。缺點：很容易被發(fā)現(xiàn)，目前通常禁止。（2） 半開掃描（SYN掃描）：發(fā)SYN報文到目的主機的目標端口；若目標返回SYN+ACK，則端口開放；否則回RST。優(yōu)點：不容易被發(fā)現(xiàn)了。缺點：不能用socket編程實現(xiàn)。（3） Fin掃描：發(fā)送FIN報文到目標主機的目標端口；若返回RST，則端口關閉，否則端口打開。優(yōu)點：不容易被發(fā)現(xiàn)。缺點：不能用socket編程實現(xiàn)。?主機甲和主機乙間已建立一個TCP連接，主機甲向主機乙發(fā)送了兩個連續(xù)的TCP段,分別包含300字節(jié)和500字節(jié)的有效載荷，第一個段的序列號為200,主機乙正確接收到兩個段后，發(fā)送給主機甲的確認序列號是什么？確認序列號=原始序列號+TCP段的長度，所以第一次的確認序列號為200+300=500,第二次確認序列號為500+500=1000。?一個TCP連接總是以1KB的最大段發(fā)送TCP段，發(fā)送方有足夠多的數(shù)據(jù)要發(fā)送。當擁塞窗口為16KB時發(fā)生了超時，如果接下來的4個RTT（往返時間）時間內的TCP段的傳輸都是成功的，那么列出接下來4個RTT時間擁塞窗口大小的變化情況。1 2 4 8 9?主機甲和主機乙之間已建立一個TCP連接，TCP最大段長度為1000字節(jié)，若主機甲的當前擁塞窗口為4000字節(jié)，在主機甲向主機乙連接發(fā)送2個最大段后，成功收到主機乙發(fā)送的第一段的確認段，確認段中通告的接收窗口大小為2000字節(jié)，則此時主機甲還可以向主機乙發(fā)送的最大字節(jié)數(shù)是多少？闡明原因。1000 發(fā)送窗口變成2000字節(jié)發(fā)送緩存里面還有1000字節(jié)?主機甲和主機乙新建一個TCP連接，甲的擁塞控制初始閾值為32KB，甲向乙始終以MSS=1KB大小的段發(fā)送數(shù)據(jù)，并一直有數(shù)據(jù)發(fā)送；乙為該連接分配16KB接收緩存，并對每個數(shù)據(jù)段進行確認，忽略段傳輸延遲。若乙收到的數(shù)據(jù)全部存入緩存，不被取走，則甲從連接建立成功時刻起，未發(fā)生超時的情況下，經過4個RTT后，甲的發(fā)送窗口是什么？闡明原因。通.忤底檢細錚II畑期口尢創(chuàng)畑Ifi11ffiW-'WTT2fllfl臨2MffiBSZtRTT15-2-13虐irtn(i5.4i-4煙0W三6m13-4^93rrin^,8)=BM-i161G|=1KB?什么是RTT？往返時延。是指數(shù)據(jù)從網絡一端傳到另一端所需的時間。通常，時延由發(fā)送時延、傳播時延、排隊時延、處理時延四個部分組成。?什么是TCP中的累計確認?如果發(fā)送方發(fā)了包1,包2,包3,包4；接受方成功收到包1,包2,包3。那么接受方可以發(fā)回一個確認包，序號為4(4表示期望下一個收到的包的序號；當然你約定好用3表示也可以)，那么發(fā)送方就知道包1到包3都發(fā)送接收成功，必要時重發(fā)包4。一個確認包確認了累積到某一序號的所有包。而不是對每個序號都發(fā)確認包。?TCP發(fā)現(xiàn)分組丟失有哪兩種方法？發(fā)生超時和接收到重復的確認。?為什么TCP采用三次握手，而不是兩次或四次握手?第10部分?什么是AS?劃分AS有什么意義？出于選路目的，處于一個管理機構控制之下的一組網絡和路由器。AS自治的主要內容是選路自治，AS可自由地選擇路由算法。?一個AS應該廣播到它內部的所有路由信息嗎？如果不需要，舉出一個例子?簡述距離矢量路由算法的基本原理。以跳數(shù)作為度量值，通過交換路由表，計算出所有已知的最短路由，更新路由表。?簡述鏈路狀態(tài)路由算法的基本原理。通過交換鏈路狀態(tài)，讓AS中的每個路由器都有一張該AS的網絡拓撲結構圖。使用Dijkstra算法求最短路徑，計算該路由器到其它目的站的最短路徑，然后更新路由表。第二章ipv6及其過渡技術：第1部分?說明IPv6的特征及其主要優(yōu)勢。128位地址空間；簡化協(xié)議報頭；完善的QoS；良好的安全性；高效的路由；?IPv6的頭部不再包含協(xié)議字段，為什么?IPv6的地址有多少位？一個IPv4的地址202.224.120.9,其IPv6的地址標識可以是什么？128位。映射地址：：ffff：202.224.120.9 兼容地址 ：：202.224.120.9第三章網絡安全：第1部分?信息安全關注的重要屬性是什么？機密性；完整性；可用性；可控性；不可否認性第2部分?什么是VPN？VPN是利用Internet等公共網絡的基礎設施，通過隧道技術，為用戶提供的與專用網絡具有相同通信功能的安全數(shù)據(jù)通道。?VPN涉及到的重要技術有哪些？VPN是在Internet等公共網絡基礎上，綜合利用隧道技術、加解密技術、密鑰管理技術和身份認證技術實現(xiàn)的。?提高WiFi安全性的一些方法？修改admin密碼；WEP加密傳輸；禁用DHCP服務；修改SNMP字符串；禁止遠程管理；修改SSID標識；禁止SSID廣播；過濾MAC地址（定義網絡設備的位置）；WPA用戶認證?簡述IEEE802.1x身份認證過程？（1） 無線客戶端向AP發(fā)送請求，嘗試與AP進行通信。（2） AP將加密數(shù)據(jù)發(fā)送給驗證服務器進行用戶身份認證。（3） 驗證服務器確認用戶身份后，AP允許該用戶接入。（4） 建立網絡連接后授權用戶通過AP訪問網絡資源。第3部分?簡述公鑰加密和私鑰加密算法的優(yōu)缺點？如何將兩者結合起來使用？1、 私鑰加密算法優(yōu)點：加解密的高速度和使用長密鑰時的難破解性。缺點：私鑰加密算法的安全性取決于加密密鑰的保存情況，但要求企業(yè)中每一個持有密鑰的人都保守秘密是不可能的，他們通常會有意無意的把密鑰泄漏出去。如果一個用戶使用的密鑰被入侵者所獲得，入侵者便可以讀取該用戶密鑰加密的所有文檔，如果整個企業(yè)共用一個加密密鑰，那整個企業(yè)文檔的保密性便無從談起。2、 公鑰加密算法優(yōu)點：而非對稱加密使用一對秘鑰，一個用來加密，一個用來解密，而且公鑰是公開的，秘鑰是自己保存的，不需要像對稱加密那樣在通信之前要先同步秘鑰。缺點：非對稱加密的缺點是加密和解密花費時間長、速度慢，只適合對少量數(shù)據(jù)進行加密混合使用：兩者結合使他們的優(yōu)缺點可以互補，即DES加密速度快，適用于加密較長的報文。RSA加密速度慢，安全性好，應用于DES秘鑰的加密可解決DES秘鑰匹配的問題。?簡述使用私鑰加密算法實現(xiàn)數(shù)據(jù)完整性的方法?什么是柯克霍夫原則？即使非數(shù)學上不可破解，系統(tǒng)也應在實質（實用）程度上無法破解。系統(tǒng)內不應含任何機密物，即使落入敵人手中也不會造成困擾。密鑰必須易于溝通和記憶，而無需寫下，且雙方可以很容易的改變密鑰。系統(tǒng)應可以用于電訊。系統(tǒng)應可以攜帶，不應需要兩個人或兩個人以上才能使用（應只要一個人就能使用）。系統(tǒng)應容易使用，不致讓使用者的腦力過分操勞，也無須記得長串的規(guī)則。?為什么說一次一密在實際中不可行？秘鑰長度：至少和消息一樣長；只能使用一次，沒有適配的軟件。?DES的主要特點和缺點？特點：DES算法是一種采用傳統(tǒng)的代替和置換操作加密的分組密碼，明文以64比特為分組，密鑰長度為64比特，有效密鑰長度為56比特，其中加密密鑰有8比特是奇偶校驗，包括初始置換IP，16輪加密。缺點：分組比較短、密鑰太短、密碼生命周期短、運算速度較慢。?AES幾種加密模式的共同點和區(qū)別？ECB：是一種基礎的加密方式，密文被分割成分組長度相等的塊(不足補齊)，然后單獨一個個加密，一個個輸出組成密文。CBC：是一種循環(huán)模式，前一個分組的密文和當前分組的明文異或操作后再加密，這樣做的目的是增強破解難度。CFB/OFB:實際上是一種反饋模式，目的也是增強破解的難度。FCB和CBC的加密結果是不一樣的，兩者的模式不同，而且CBC會在第一個密碼塊運算時加入一個初始化向量。?Hash函數(shù)的特點？輸入x可以是任意長度的字符串；輸出結果即H(x)的長度是固定的；計算H(x)的過程是高效的；免碰撞：即不會出現(xiàn)輸入x#y，但是H(x)=H(y)的情況；隱匿性：對于一個給定的輸出結果H(x)，想要逆推出輸入x，在計算上是不可能的?簡述PaddedRSA的原理。?假設在一個安全系統(tǒng)中總共有N個節(jié)點，這些節(jié)點間都會要進行通信，為此需要對通信進行加密。如果采用非對稱加密算法，需要多少個密鑰對？如果采用對稱加密算法，需要多少個密鑰？如果采用非對稱加密算法，只需要N個密鑰對；如果采用對稱加密算法，需要N(N-1)/2個密鑰對。?以移位密碼、替換密碼和Vigenere密碼為例，說明現(xiàn)代密碼學的柯克霍夫原則。第4部分?簡述數(shù)字簽名的主要原理？發(fā)送方：-用公開的Hash函數(shù)對報文進行一次變換，得到消息摘要-利用私有密鑰對消息摘要進行加密后接收方-用發(fā)送方的公開密鑰對數(shù)字簽名進行解密，得到一個消息摘要-接收方將得到的消息通過Hash函數(shù)進行計算，同樣得到一個消息摘要-將兩個數(shù)字簽名進行對比：相同，簽名有效不相同，簽名無效?用私鑰加密實現(xiàn)數(shù)字簽名的主要挑戰(zhàn)？該簽名不屬于強計算密集型算法，速度快；接收方必須持有用戶密鑰的副本以檢驗簽名?使用RSA實現(xiàn)數(shù)字簽名時，為什么要對原始的明文求摘要？第5部分?防火墻的基本作用？強化網絡安全策略；監(jiān)控網絡存取和訪問；防止內部信息的外泄；實現(xiàn)數(shù)據(jù)庫安全的實時防護；5.支持具有Internet服務特性的企業(yè)內部網絡技術體系VPN?簡述主要的防火墻類型及其特。從軟、硬件形式上分為：“軟件防火墻”“硬件防火墻”以及“芯片級防火墻”。從防火墻技術分為：“包過濾型”和“應用代理型”兩大類。從防火墻結構分為：“單一主機防火墻”“路由器集成式防火墻”和“分布式防火墻”三種。按防火墻的應用部署位置分為：“邊界防火墻”、“個人防火墻”和“混合防火墻”三大類。按防火墻性能分為：“百兆級防火墻”和“千兆級防火墻”兩類。?入侵檢測系統(tǒng)的2個重要性能指標是什么？為什么它們之間有折中的關系？誤報：合法行為觸發(fā)警報；漏報：違法行為未觸發(fā)警報。?基于異常的入侵檢測原理是什么？其面臨的困難和挑戰(zhàn)是什么？原理：異常檢測原理根據(jù)假設攻擊和正常的活動的很大的差異來識別攻擊。首先收集