计算机网络安全基础第5版习题参考答案

1、计算机网络安全基础第5版习题参考答案doc计算机网络安全基础(第5版)习题参考答案第1章习题：1. 举出使用分层协议的两条理由？1通过分层，允许各种类型网络硬件和软件相互通信，每一层就像是与另一台计算机 对等层通信；2各层之间的问题相对独立，而且容易分开解决，无需过多的依赖外部信息；同时防 止对某一层所作的改动影响到其他的层：3通过网络组件的标准化，允许多个提供商进行开发。2. 有两个网络，它们都提供可靠的面向连接的服务。一个提供可靠的字节流，另一个提供 可靠的比特流。请问二者是否相同？为什么？不相同。在报文流中，网络保持对报文边界的跟踪：而在字节流中，网络不做这样的 跟踪。例如，一个进程向一

2、条连接写了 1024字节，稍后又写了另外1024字节。那么接收方 共读了 2048字节。对于报文流，接收方将得到两个报文，、每个报文1024字节。而对于字 石流，报文边界不被识别。接收方把全部的2048字节当作一个整体，在此已经体现不岀原 先有两个不同的报文的事实。3. 举出OSI参考模型和TCP/IP参考模型的两个相同的方面和两个不同的方面。0SI模型(开放式系统互连参考模型)：这个模型把网络通信工作分为7层，他们从低到 高分别是物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。第一层到第三 层属于低三层，负责创建网络通信链路；第四层到第七层为髙四层，具体负责端到端的数据 通信。每

3、层完成一定的功能，每层都直接为其上层提供服务，并且所有层次都互相支持。TCP/IP模型只有四个层次：应用层、传输层、网络层、网络接口层。与OSI功能相比， 应用层对应的是0SI的应用层、表示层、会话层；网络接口层对应着0SI的数据链路层和 物理层。两种模型的不同之处主要有：(1) TCP/IP在实现上力求简单高效，如IP层并没有实现可靠的连接，而是把它交给了 TCP层实现，这样保证了 IP层实现的简练性。0SI参考模型在各层次的实现上有所重复。(2) TCP/IP结构经历了十多年的实践考验，而0SI参考模型只是人们作为一种标准设计 的：再则TCP/IP有广泛的应用实例支持，而OSI参考模型并没

4、有。4. TCP和UDP之间的主要区别是什么？TCP,传输控制协议，提供的是而向连接的、可靠的字节流服务。当客户和服务器彼此 交换数据前，必须先在双方之间建立一个TCP连接，之后才能传输数据。TCP提供超时重 发，丢弃重复数据，检验数据，流量控制等功能，保证数据能从一端传到另一端。UDP,用户数据报协议，是一个简单的而向数据报的运输层协议。UDP不提供可靠性，它 只是把应用程序传给IP层的数据报发送岀去，但是并不能保证它们能到达目的地。由于UDP 在传输数据报前不用在客户和服务器之间建立一个连接，且没有超时重发等机制，故而传输 速度很快。5. 网桥、路由器、网关的主要区别是什么？网桥运行在数据

5、链路层，采用介质访问控制(MAC)地址数据的中继功能，从而完成 一个局域网到另一个局域网的数据包转发。网桥主要用于连接两个寻址方案兼容的局域网， 即同一种类型的局域网。用网桥连接起来的局域网不受MAC左时特性的限制，理论上可达 全球范围。路由器运行在网络层(分层模型的第三层)，它的网间数据包中继采用的是网络层地址 (如IP地址)。路由器的能力比网桥强大的多，它不仅具备流量控制能力，还可以提供诸如 帧中继的网络接口。用路由器连接起来的多个网络，它们仍保持各自的实体地位不变，即它 们各自都有自己独立的网络地址。网关用于实现不同体系结构网络之间的互联，它可以支持不同协议之间的转换，实现不 同协议网络

6、之间的通信和信息共享。6. 分析路由器的作用及适用场合？路由器是局域网和广域网之间进行互联的关键设备，用于连接多个逻辑上分开的网络。 通常的路由器都具有负载平衡、组织广播风無、控制网络流量以及提高系统容错能力等功能。 一般来说，路由器多数都可以支持多种协议，提供多种不同的物理接口。路由器的适用场合 包括局域网和广域网等多种类型网络之间的连接。在主干网上，路由器的主要作用是路由选 择，在地区网中，路由器的主要作用是网络连接和路由选择，在园区网内，路由器的作用是 分割子网。7. 因特网提供的主要服务有哪些？远程登录服务(Telnet)、文件传输服务(FTP)、电子邮件服务(E-Mail)、网络新闻

7、服务 (Usenet)、信息浏览服务(Gopher、WWW)、网络用戸信息查询服务、实时会议服务、DNS 服务、网络管理服务、NFS文件系统下的服务、X-Windows服务和网络打印服务。8. 电子邮件的头部主要包括哪几部分？(写出最重要的3个)电子邮件分成两部分，头部和主体。头部包含有关接收方、发送方、信息内容等方面的 信息。头部由若干行组成，每一行首先是一个关键字，一个冒号，然后是附加的信息。关键 字有：From. To. Cc, Bcc, Date, Subject.Reply-To. X-Charset, X-Mailer 等。9. 接入因特网需要哪些设备和条件？1 .计算机2.网卡,

8、或Modem或ISDN卡3.电话线10. 用路由器连接起来的网络和用网桥连接起来的网络其本质区别是什么？路由器可以连接不同的网络，是第三层的设备；网桥只能连接两个相同的网络，是第二 层设备。另外，路由器可以隔离广播而网桥不隔离。11. 将一个c类网络分成8个子网，若我们用的网络号为202.204.125。试写出网络划分的 方法和子网掩码。将一个C类网络划分成8个子网，掩码应占3位111,这样子网掩码是：24, 8 个子网主机号的范围是：00000001-00011110 , 00100001-00111110 , 01000001-01011110, 01100001

9、-01111110 , 10000001-10011110 , 10100001-10111110 , 11000001-11011110 , 11100001-11111110o 写成点分十进制后:-202.204.12530； 3- 2 ； 5-4 : 7-26 : 29-58； 61 -90； 202.20

10、4.124.19322； 202.20425.225-54。第2章习题：1. 网络安全的含义是什么？网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或者恶意的 原因而遭到破坏、更改和泄漏，系统连续、可靠、正常的运行，网络服务不中断。2. 网络安全有哪些特征？保密性、完整性、可用性和可控性。3. 什么是网络安全的最大威胁？网络安全主要而临的安全威胁有：非授权访问、信息泄露、拒绝服务4. 网络安全主要有哪些关键技术？主机安全技术；身份认证技术；访问控制技术、密码技术、防火墙技术、安全审计技术、 安全管理技术。5. 如何实施网络安

11、全的安全策略？实施安全策略要注意几个问题：安全局政策不要过于繁琐，不能只是一个决泄或者方针；安全政策一上要真正执行；策 略的实施不仅仅是管理人员的事，而且也是技术人员的事。安全策略应包括如下内容：网络用户的安全责任；系统管理员的安全责任；正确利用网络资源，规左谁可以使用网 络资源；检测到安全问题时的对策。6. 如何理解协议安全的脆弱性？il算机网络系统普遍使用的TCP/IP以及，NFS等都包含着许多影响网络安全的因素， 存在许多漏洞。7. 数据库管理系统有哪些不安全因素？主要从物理安全、网络安全、管理安全等方而进行论述。8. 解释网络信息安全模型。网络信息安全模型中，政策、法律、法规是基石，它

12、是建立安全管理的标准和方法；第 二部分是增强的用户认证，主要目的是提供访问控制。用户认证的方法主要有用户持有的证 件、用户知道的信息、用户特有的特征。第三部分是授权，主要是为特许用户提供合适的访 问权限，并监控用户的活动，时期不越权使用。之后是加密，加密主要满足认证、一致性、 隐秘性、不可抵赖的需求。模型的顶部是审计与监控，这是最后一道防线，包括数据的备份。9. 对因特网进行安全管理需要哪些措施？安全管理的目的是利用各种措施来支持安全政策的实施，需从安全立法、加强管理和发 展安全技术着手。4 / 14计算机网络安全基础第5版习题参考答案doc7. 怎样保护系统的口令？选择安全的口令、系统使用口

13、令的生命期控制、Windows XP系统的口令管理8. 什么是口令的生命周期？管理员可以为口令设泄一个时间，当到期后，系统会强制要求用户更改系统口令。9. 如何保护口令的安全？不要将口令告诉别人，不要用系统指泄的口令，最好不用e-mail传送口令，帐户长期不 用应暂停，限制用户的登录时间，限制用户的登录次数，记录最后登录时的情况，使用TFTP 获取口令文件，左期査看日志文件，确保除root外没有其它公共账号，使用特殊用户组限 制，关闭没有口令却可以运行命令的账号。10. 建立口令应遵循哪些规则？选择长口令，包括英文字母和数字的组合，不要使用英语单词，不要使用相同口令访问 多个系统，不要使用名字

14、，不选择难记忆口令，使用UNIX安全程序。第4章习题：1. 简述数据完整性的概念及影响数据完整性的主要因素。数据完整性泛指与损坏和丢失相对的数据的状态，它通常表明数据的可靠性与准确性是 可以信赖的，同时也意味着数据有可能是无效的或不完整的。影响数拯完整性的因素主要有：硬件故障、网络故障、逻辑问题、意外的灾难性事件和 人为的因素。2. 什么是容错与网络冗余技术，实现容错系统的主要方法有哪些？容错是指当系统出现某些指左的硬件或软件的错误时，系统仍能执行规立的一组程序。 或者说程序不会因系统中的故障而中断或被修改，并且执行结果也不包含系统中故障所引起 的差错。实现容错系统的主要方法有：1）空闲备件：

15、2）负载平衡：3）镜像：4）复现；5）冗 余系统配件：6）存储系统的冗余网络冗余技术是保证在网络系统中，作为传输数据介质的线路和其他的网络连接部件都 必须有维持正常运行时间的备用途径。3. 实现存储系统冗余的方法有哪些？1）磁盘镜像：这是最常见的，也是常用的实现存储系统容错的方法之一。磁盘镜像时 两个磁盘的格式需相同。2）磁盘双联：在镜像磁盘对中增加一个I/O控制器便称为磁盘双联。3）冗余磁盘阵列：是一种能够在不经历任何故障时间的情况下更换正在出错的磁盘或 已发生故障的磁盘的存储系统，它是保证磁盘子系统非故障时间的一条途径。4. 简述“镜像”的概念。镜像是物理上的镜像原理在il算机技术上的具体

16、应用，它所指的是将数据原样从一台计 算机（或服务器）上拷贝到另一台计算机（或服务器）上。5. 网络系统备份的主要目的是什么？网络系统备份的主要目的是尽可能快地恢复计算机或计算机网络系统所需要的数拯和 系统信息。6. 网络备份系统的主要部件有哪些？网络备份由如下四种基本部件组成：目标：目标是指被备份或恢复的任何系统；工具：工具是执行备份任务（如把数据从目标复制到磁带上）的系统；设备：设备通常指将数据写到可移动介质上的存储设备，一般指磁带；SCSI总线：SCSI总线是指将设备和联网讣算机连接在一起的电缆和接头。7. 简述磁带轮换的概念及模式。磁带轮换是指在备份过程中使用磁带的一种方法，它是根据某些

17、预先制立的方法决泄应 该使用哪些磁带。1）A/B轮换，在这种方式中，把一组磁带分为A、B两组。“A”在偶数日使用，“B”在奇数日使用，或反之。这种方式不能长时间保存数据。2）每周轮换，这种方法每周换一次磁带。这种方法当数据较少时很有效。3）每日轮换，它要求每一天都得更换磁带，即需要有七个标明星期一到星期日的磁带。这种方式，在联合使用全盘备份和差别备份或增量备份时较有效。4）每月轮换，它通常的实现方法是每月的开始进行一次全盘备份，然后在该月余下的 那些天里在其他的磁带上作增量备份。5）祖、父、孙轮换，它是前而所讲的每日、每周、每月轮换的组合。6）日历规则轮换方法，按照日历安排介质的轮换。7）混合

18、轮换，按需进行备份，作为日常备份的一种补充。8）无线增量，只需做一次全盘备份。&试分析数据库安全的重要性，说明数据库安全所面临的威胁。数据库是网络系统的核心部分，有价值的数据资源都存放其中，不允许受到恶意侵害， 或未经授权的存取与修改。所而临的威胁主要有篡改、损坏和窃取。9. 数据库中采用了哪些安全技术和保护措施？主要包括两个方而：支持数据库的操作系统，数据库管理系统（DBMS）。DBMS的安全 使用特性的几点要求：多用户、高可靠性、频繁更新、文件大。10. 数据库的安全策賂有哪些？简述其要点。（1）用户标识和鉴泄：通过核对用户的爼字或身份决圧该用户对系统的使用权。（2）存取控制：对用户权限进

19、行合法权检查。（3）数据分级：把数据分级，对每一级数据对象赋予一立的保密级。（4）数据加密：用密码存储口令、数据，对远程终端信息用密码传输。11. 数据库管理系统的主要职能有哪些？（1）有正确的编译功能，能正确执行规定的操作：（2）能正确执行数据库命令：（3）保证数据的安全性、完整性，能抵御一立程度的物理攻击，能维护和提交数据库内容:（4）能识别用户，分配授权和进行访问控制，包括身份识别和验证：（5）顺利执行数据库访问，保证网络通信功能。12. 简述常用数据库的备份方法。常用的数据库备份方法有冷备份、热备份和逻辑备份3种。冷备份需要关闭数据库系统，在没有任何用户对它进行访问的情况下备份。热备份

20、在系 统运行时进行备份,依赖于日志文件中更新或更改指令的堆叠，不是真正将数拯写入数据库。 逻辑备份是使用软件技术从数据库中提取数据，并将数据映像输出。13. 简述易地更新恢复技术。每个关系有一个页表，页表中的每一项是一个指针，指向关系中的每一页（块）。当更新 时，旧页保持不变，将新内容写入新页。在提交时，页表的指针从旧页指向新页。14. 简述介质失效后，恢复的一般步骤。（1）修复系统，必要时更换磁盘：（2）如果系统崩溃，则重新启动系统；（3）加载最近的备份；（4）用运行日志中的后像重做，取最近备份以后提交的所有事务。15. 什么叫“前像”，什么叫“后像” ？前像是指数据库被一个事务更新时，所涉

21、及的物理块更新后的影像，它以物理块为单位。 后像是指数据库被一个事务更新时，所涉及的物理块更新前的影像，同前像一样以物理块为 单位。第5章习题：1. 什么是计算机病毒？计算机病毒是一种“计算机程序”，它不仅能破坏计算机系统，而且还能够传播、感染到 其他系统。它通常隐藏在其他看起来无害的程序中，他能复制自身并将其插入到英他程序中 以执行恶意的行动。2. 计算病毒的基本特征是什么？可以编写人为破坏：自我复制；夺取系统控制权：隐蔽性：潜伏性：不可预见性。3. 简述计算机病毒攻击的对象及所造成的危害。（1）攻击系统数据区：受损数据不易恢复：（2）攻击文件：删除文件、改名、替换内容、丢失簇、对文件加密：

22、（3）攻击内存：大量占用、改变内存总量、禁止分配、蚕食内存；（4）干扰系统运行：不执行命令、干扰内部命令的执行、虚假警报等：（5干扰键盘、喇叭或屏幕：封锁键盘、喇叭发岀响声、滚屏等：（6）攻击CMOS：对CMOS进行写入操作，破坏CMOS中的数据；（7）干扰打印机：假报警、间断性打印等：（8）破坏网络系统：非法使用网络资源，破坏电子邮件等。4. 病毒按寄生方式分为哪几类？文件病毒、引导扇区病毒、多裂变病毒、秘密病毒、异形病毒、宏病毒5. 计算机病毒一般由哪几部分构成，各部分的作用是什么？计算机病毒的预防有哪几方 面？计算机病毒程序由引导模块、传染模块、干扰或破坏模块组成。预防：下载正规网站资源

23、，下载后扫描：安装正版杀毒软件和防火墙；关闭危险服务、 端口及共享：删除多余或停用的账户：使用移动存储设备前先扫描病毒；左期彻底全盘查毒, 定期备份重要文件等。6. 简述检测计算机病毒的常用方法。比较法：比较被检测对象与原始备份：扫描法：利用病毒特征代码串对被检测对象进行 扫描：计算特征字的识别法：也是基于特征串扫描：分析法：利用反汇编技术。7. 简述宏病毒的特征及其清除方法。宏病毒的特征：感染.doc文档及.dot模板文件：通常是Word在打开带宏病毒文档或模 板时进行传染：多数宏病毒包含AutoOpen. AutoClose等自动宏；含有对文档读写操作的宏 命令：在.doc文档及dot模板

24、中以.BFF格式存放。宏病毒的淸除：使用选项“提示保存Normal模板”：不要通过Shift键来禁止运行自动 宏：查看宏代码并删除：使用DisableAutoMacro宏；设程Nornial.dot的只读属性：Normal.dot 的密码保护。&什么是计算机病毒免疫？通过一上的方法，使计算机自身具有防御计算机病毒感染的能力。9. 简述计算机病毒的防治措施。使用合法原版的软件，将重要的资料备份，杀毒软件，注意观察一些现象等。10. 什么是网络病毒，防治网络病毒的要点是什么？计算机网络病毒是在计算机网络上传播扩散，专门攻击网络薄弱环节、破坏网络资源的 计算机病毒。防治：使用防毒软件保护客户机和服务

25、器，使用特左的优秀的防毒软件等。第6章习题：1. 什么是数据加密？简述加密和解密的过程。数据机密是基本的保证通信安全的方法。数据加密的基本过程包括对称为明文的可读信 息进行加处理，形成称为密文或密码的代码形式。该过程的逆过程为解密，即将该编码信息 转化为其原来形成的过程。加密的过程就是通过加密算法，用密钥对明文进行信息处理的过程。加密算法通常是公 开的，现在只有少数几种加密算法，如DES、RSA等。解密的过程就是加密的逆过程，通过加密算法将密文还原成明文信息。2. 在凯撒密码中令密钥k=8,制造一张明文字母与密文字母对照表。ABCDEFGHIJKLMNOPQRSTUVWXYZk=8IJKLMN

26、OPQRSTUVWXYZABCDEFGH3. 用维吉尼亚法加密下段文字：COMPUTER AND PASSWORD SYSTEM,密钥为 KEYWORD,可对照教材161页中的维吉尼亚表。由维吉尼亚表得密文为：MSKLIKHB ELZDRVCAMNR JBCXCL4. DES算法主要有哪几部分？DES算法采用56位的密钥，在16轮内完成对64位数据块的加密。每轮所用的子密钥 由初始密钥分解而来。DES算法主要分为两部分：置换（初始巻换、扩充世换及最终逆初 始宜换）和替代（S盒），另外还有基于密码的复杂计算。5. 在DES算法中，密钥Ki的生成主要分哪几步？略。6. 简述加密函数f的计算过程。D

27、ES对64位的明文进行16轮形同的运算，这些运算即为函数f,在运算过程中数据和 密钥结合。在每一轮中，密钥位移位，然后再从密钥的56位中选出48位。通过一个扩展巻 换将数据的右半部分扩展成48位，并通过一个异或操作与48位密钥结合，通过8个S盒 将这个48位替代成新的32位数据，再将貝置换一次。7. 简述DES算法中的依次迭代过程。略。&简述DES算法和RSA算法保密的关键所在。DES算法的密钥有56位，通过16轮操作进行最终加密。DES的安全性依赖于解密速 度。现在DES密钥的求解只有穷举，算法的安全性还是很可靠的。RSA算法的安全性依赖于大数分解。公钥和私钥都是两个大素数的函数，从一个密钥

28、 和密文推断岀明文的难度等同于分解两个大素数的积。9. 公开密钥体制的主要特点是什么？加密能力与解密能力是分开的；密钥分发简单：需要保存的密钥量大大减少，N个用户 只需要N个；可满足不相识的人之间保密通信：可以实现数字签名。10. 说明公开密钥体制实现数字签名的过程。数字签餌时至少要将数字证书的公共部分和苴他信息加在一起，才能确认信息的完整 性。在信息和数字证书发送之前，要先通过散列算法生成信息摘要，用发送者的私钥对信息 摘要加密，然后将这个数字签名作为附件和报文送给接收方。当接收方收到报文后，用发送 方的公钥解密信息摘要进行验证，然后通过散列算法汁算信息摘要比较结果，如果两个信息 摘要相同，

29、则可确认是由发送方签名的。11. RSA算法的密钥是如何选择的？给n = pq p和q是大素数，ed mod(p(n) = 1公开密钥为(n, e),秘密密钥为(n, d)加密:m e0, n-1, gcd(m. n) =1,则 c = me mod n解密：in = cd mod n = (me mod n )d mod n= m cd mod n = m签名：s = md mod n验证：ni = se mod n = (md mod n )e mod n= m ed mod n = in12. 13.略。14. 已知线性替代密码的变换函数为：f (a) =ak mod 26设已知明码字母

30、J (9)对应于密文字母P (15),即9k mod 26=15,试计算密钥k以破译此密码。由题知:9k mod 26=15,则k要满足的条件是：(9*k-15)%26=0o计算100以内的k有：19, 45, 71, 97o满足此条件 1000 以内的 k 有：19 45 71 97 123 149 175 201 227 253 279 305 331 357 383 409435 461 487 513 539 565 591 617 643 669 695 721 747 773 799 825 851 877 903 929 955 98115. 已知RSA密码体制的公开密码为n=5

31、5, e=7,试加密明文m=10,通过求解p、q和d 破译这种密码体制。设截获到密码文C=35,求出它对应的明码文。(1) n = p*q = 55, p、q 均为质数,e = 7 与(p-l)*(q-1)是互质的，得到 p = 5, q = 11由(d*e) mod (p-l)*(q-l)二 b 即(7*d) mod 40 二 1得 d = 23(2) 明文X二10,由公式C = JTmod n得密码文为C二10“(3) 密码文C = 35,由公式X = Cmod n得明码文为X = 30。16. -17.略C第7章习题：1. IPSec能对应用层提供保护吗？IPSec是一个工业标准网络安全

32、协议，为IP网络通信提供透明的安全服务，保护TCP/IP 通信免遭窃听和篡改。IPSec工作于网络层，对终端站点间所有传输数据进行保护。它对应 用层的保护是间接的，保护应用层可采用代理防火墙/保密网关技术。2. 按照IPSec协议体系框架，如果需要在AH或ESP中增加新的算法，需要对协议做些什 么修改工作？除修改AH和ESP外还要修改Internet密钥交换（IKE）协议。3. 简述防火墙的工作原理。防火墙是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件或软件，目的 是保护网络不被他人侵扰。本质上，它遵循的是一种允许或阻止业务来往的网络通信安全机 制，也就是提供可控的过滤网络通信，只

33、允许授权的通信。4. 防火墙的体系结构有哪些？目前防火墙的体系结构一般有三种：1）双重宿主主机体系结构2）主机过滤体系结构3）子网过滤体系结构5. 在主机过滤体系结构防火墙中，内部网的主机想要请求外网的服务，有几种方式可以实 现？两种，一种是使用已经由数据包过滤的服务，另一种是由堡垒主机使用代理服务。6. 安装一个简单的防火墙和一个代理服务的软件。略7. 简述黑客是如何攻击一个网站的。通常黑客攻击有三个阶段：1）信息收集。黑客会利用一些公开协议或工具，收集驻留在网络系统中的各个主机系 统的相关信息；2）系统安全弱点的探测。黑客可能使用自编程序或者利用公开的工具，自动扫描驻留 在网络上的主机，以

34、寻求该系统的安全漏洞或安全弱点：3）网络攻击。黑客一旦获得了对攻击的目标系统的访问权后，就可能通过各种方式进 行攻击，实施破坏活动。&简述入侵检测系统的工作原理，比较基于主机和基于网络应用的入侵检测系统的优缺点。 入侵检测系统（IDS）通过从计算机网络或il算机系统中的若干关键点收集信息并对英 进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹彖。优点：基于主机：有专门的检测代理，能提供更详尽的相关信息，误报率低，复杂性相对基于 网络的要低：基于网络应用：不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通 用的保护而无需顾及异构主机的不同架构。缺点：基于主机：依赖

35、于服务器固有的日志与监视能力，不能确保及时采集到审计；基于网络应用：由于要检测整个网段的流呈:，处理的信息量大，易遭受拒绝服务（DOS） 攻击。9.构建一个VPN系统需要解决哪些关键技术？这些关键技术各起什么作用？构建一个VPN系统需要解决的关键技术分别是隧道技术、加解密技术、密钥管理技术、身 份鉴别技术、访问控制技术。（1）隧道技术通过采用一种称为“隧道”的技术，建立点对点的连接，使数据包在公共网络 上的专用隧道内传输。主要利用网络隧道协议来实现这种功能。（2）加解密技术。VPN可直接利用现有技术提供足够的安全保障，同时又不带来太多的系统 开销。（3）密钥管理技术。密钥管理的主要任务是如何在

36、公用数据网中安全地传递密钥，而不被窃 取。（4）身份鉴别技术。在使用公共网络进行专用通信时，使用者和管理者最关心的主要问题就 是通信的安全性，它不仅包括传输的保密性，而且还需要对用户进行鉴别。（2分）（5）访问控制技术：确定合法用户对特左资源的访问权限，以实现对信息资源的最大限度保 护。10.用IPSec机制实现VPN时，如果企业内部网使用了私用IP地址怎么办？ IPSec该采用 何种模式？IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址, 实现异地网络的互通。IPSec应采用传输（transport）模式。第8章习题：1. 总结因特网上不安全的因素。

37、因特网的安全隐患有：1）电子邮件2）文件传输协议（FTP）3）远程登录4）用户新闻5）万维网（WWW）2. 简述无线局域网的安全漏洞及应对措施。无线局域网安全漏洞：（1）传输介质的脆弱性传统的有线局域网采用单一传输媒体）铜线与无源集线器，这些集线器端口和线缆 接头差不多都连接到具备一泄程度物理安全性的设备中，因而攻击者很难进入这类传输介 质。与此对照，无线局域网的传输媒体大气空间则脆弱得多，很多空间都在无线局域网所有 者的物理控制范国之外。网络基础架构的这些差别导致无线局域网与有线局域网的安全性不 在同一个级别上。（2）WEP机制所产生的无线局域网安全缺陷有线等效保密协议WEP是802. 11标准中用来保护WLAN安全传输的数据链路级协议。 但WEP并不能完全保证加密传输的有效性，它不具备全而的认证、访问控制和完整性校验 功能。而无线局域网的安全性机制是建立在WEP基础之上的，一旦WEP遭到破坏，整个 系统的安全性也就不复存