第1章 计算机系统安全概论
第1章计算机系统安全概论
本章主要内容
?计算机信息系统安全问题
?信息安全概念的发展
?计算机系统安全研究的内容
1.1 计算机信息系统安全问题
?1.1.1 计算机信息系统的基本概念
?1.1.2 安全威胁
?对计算机信息系统的威胁是指:潜在的、对信息系统造成危害的因素。
?对信息系统安全的威胁是多方面的,目前还没有统一的方法对各种威胁加以区别和进行准确的分类。而且不同威胁的存在及其重要性是随环境的变化而变化的。下面是对现代信息系统及网络通信系统常遇到的一些威胁及其来源的概述。
?设信息是从源地址流向目的地址,那么正常的信息流向是:
?中断(Interruption)威胁使得在用的信息系统毁坏或不能使用,即破坏可用性(Availability)。?攻击者可以从下列几个方面破坏信息系统的可用性:
?使合法用户不能正常访问网络资源。
?使有严格时间要求的服务不能及时得到响应。
?摧毁系统。物理破坏网络系统和设备组件使网络不可用,或者破坏网络结构使之瘫痪等。如硬盘等硬件的毁坏,通信线路的切断,文件管理系统的瘫痪等。
?最常见的中断威胁是造成系统的拒绝服务,即信息或信息系统资源的被利用价值或服务能力下降或丧失。
?截获(Interception)威胁:是指一个非授权方介入系统,使得信息在传输中被丢失或泄露的攻击,它破坏了保密性(Confidentiality)。非授权方可以是一个人、一个程序或一台计算机。
?这种攻击主要包括:
?利用电磁泄露或搭线窃听等方式可截获机密信息,通过对信息流向、流量、通信频度和长度等参数的分析,推测出有用信息,如用户口令、账号等。
?非法复制程序或数据文件。
?篡改(Modification)威胁以非法手段窃得对信息的管理权,通过未授权的创建、修改、删除和重放等操作而使信息的完整性(Integrity)受到破坏。
?这些攻击主要包括:
?改变数据文件,如修改数据库中的某些值等。
?替换某一段程序使之执行另外的功能,设置修改硬件。
?伪造(Fabrication)威胁中一个非授权方将伪造的客体插入系统中,破坏信息的可认证性(Authenticity)。
?例如在网络通信系统中插入伪造的事务处理或者向数据库中添加记录。
?1.1.3 脆弱点与安全控制
?脆弱点(Vulnerability)是指信息系统中的缺陷,实际上脆弱点就是安全问题的根源所在,如原理设计及实现中的缺陷,它能被攻击者利用来进行破坏活动。
?物理安全
?软件系统
?网络和通信协议
?人的因素
?攻击者利用信息系统的脆弱点对系统进行攻击(Attack)。我们使用控制(Control)进行安全防护。控制是一些动作、装置、程序或技术,它能消除或减少脆弱点。
?可以这样描述威胁、控制和脆弱点的关系:―通过控制脆弱点来阻止或减少威胁。‖
?本书后续篇幅将主要介绍各种安全控制原理及技术。
?1.1.4 计算机信息系统的安全需求
–保密性
–是指确保信息资源仅被合法的用户、实体或进程访问,使信息不泄漏给未授权的用户、实体或进程。
–实现保密性的方法一般是通过信息的加密、对信息划分密级,并为访问者分配访问权限,系统根据用户的身份权限控制对不同密级信息的访问。
–特别要说明的是,对计算机的进程、中央处理器、存储、打印设备的使用也必须实施严格的保密技术措施,以避免产生电磁泄露等安全问题。
?1.1.4 计算机信息系统的安全需求
–完整性
–是指信息资源只能由授权方或以授权的方式修改,在存储或传输过程中不丢失、不被破坏。完整性的破坏一般来自3个方面:未授权、未预期、无意。
–目前对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包。不仅仅要考虑数据的完整性,还要考虑操作系统的逻辑正确性和可靠性,要实现保护机制的硬件和软件的逻辑完备性、数据结构和存储的一致性。
?1.1.4 计算机信息系统的安全需求
–可用性
–是指信息可被合法用户访问并按要求的特性使用而不遭拒绝服务。可用的对象包括:信息、服务和IT资源。
–例如在网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。信息的可用性与保密性之间存在一定的矛盾。系统为了控制非法访问可以采取许多安全措施,但系统不应该阻止合法用户对系统中信息的利用。
?1.1.4 计算机信息系统的安全需求
–可控性
–是指保证信息和信息系统的认证授权和监控管理,确保某个实体(人或系统)身份的真实性,确保信息内容的安全性和合法性,确保系统状态可被授权方所控制。
?1.1.4 计算机信息系统的安全需求
–不可抵赖性通常又称为不可否认性
–是指信息的发送者无法否认已发出的信息或信息的部分内容,信息的接收者无法否认已经接收的信息或信息的部分内容。
–不可否认性措施主要有:数字签名,可信第三方认证技术等。
?1.1.4 计算机信息系统的安全需求
–可存活性是近年来学术界提出的一个安全概念。
–可存活性是指计算机系统的这样一种能力:它能在面对各种攻击或错误的情况下继续提供核心的服务,而且能够及时地恢复全部的服务。
–这是一个新的融合计算机安全和业务风险管理的课题,它的焦点不仅是对抗计算机入侵者,还要保证在各种网络攻击的情况下业务目标得以实现,关键的业务功能得以保持。提高对网络攻击的系统可存活性,同时也提高了业务系统在面对一些并非恶意的事故与故障的可存活性。?1.1.4 计算机信息系统的安全需求
–计算机安全专家又在已有计算机系统安全需求的基础上增加了可认证性(Authenticity)、实用性(Utility),认为这样才能解释各种网络安全问题。
–信息的可认证性是指信息的可信度,主要是指对信息的完整性、准确性和对信息所有者或发送者身份的确认。可认证性比鉴别(Authentication)有更深刻的含义,它包含了对传输、消息和消息源的真实性进行核实。
–信息的实用性是指信息加密密钥不可丢失(不是泄密),丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。
?1.1.4 计算机信息系统的安全需求
–总之,计算机信息系统安全的最终目标集中体现为系统保护和信息保护两大目标。
–1)系统保护。保护实现各项功能的技术系统的完整性、可用性和可控性等。
–2)信息保护。保护系统运行中有关敏感信息的保密性、完整性、可用性和可控性。
1.2 信息安全概念的发展
?信息安全的最根本属性是防御性的,主要目的是防止己方信息的完整性、保密性与可用性遭到破坏。
?信息安全的概念与技术是随着人们的需求、随着计算机、通信与网络等信息技术的发展而不断发展的。
?1、单机系统的信息保密阶段
–20世纪50年代,计算机应用范围很小,安全问题并不突出,计算机系统并未考虑安全防护的问题。
–后来发生了袭击计算中心的事件,才开始对机房采取实体防护措施。但这时计算机的应用主要是单机,计算机安全主要是实体安全防护和硬、软件防护。
–多用户使用计算机时,将各进程所占存储空间划分成物理或逻辑上相互隔离的区域,使用户的进程并发执行而互不干扰,即可达到安全防护的目的。
?1、单机系统的信息保密阶段
–20世纪70年代,出现了计算机安全的法律、法规和各种防护手段,如防止非法访问的口令、身份卡、指纹识别等措施。
–这时计算机已由单机应用发展到计算机网络,除存储和数据处理外,发展到信息的远程传输,使网络受到攻击的部件增多,特别是传输线路和网络终端最为薄弱。
–这时,针对网络安全防护,出现了强制性访问控制机制、完善的鉴别机制和可靠的数据加密传输措施。
?1、单机系统的信息保密阶段
–主要开发的密码算法有:
?DES:1977年美国国家标准局采纳的分组加密算法DES(数据加密标准)。DES是密码学历史
上的一个创举,也是运用最广泛的一种算法。
?IDEA:国际数据加密算法,是对DES的改进算法。
?1、单机系统的信息保密阶段
–主要开发的密码算法有:
?RSA:双密钥的公开密钥体制,该体制是根据1976年Diffie,Hellman在―密码学新方向‖开创性论文中提出来的思想由Rivest,Shamir,Adleman三个人创造的
?1985年N.koblitz和https://www.wendangku.net/doc/4511352326.html,ler提出了椭圆曲线离散对数密码体制(ECC)。该体制的优点是可以利用更小规模的软件、硬件实现有限域上同类体制的相同安全性。
?1、单机系统的信息保密阶段
–主要开发的密码算法有:
?还创造出一批用于实现数据完整性和数字签名的杂凑函数。如,数字指纹、消息摘要(MD)、安全杂凑算法(SHA——用于数字签名的标准算法)等,当然,其中有的算法是90年代中提出的。
?1、单机系统的信息保密阶段
–主要开发的密码算法有:
?还创造出一批用于实现数据完整性和数字签名的杂凑函数。如,数字指纹、消息摘要(MD)、安全杂凑算法(SHA——用于数字签名的标准算法)等,当然,其中有的算法是90年代中提出的。
?1、单机系统的信息保密阶段
–在七、八十年代期间,信息安全理论、安全模型和安全评价准则,重点研究:
–信息系统安全理论
?Ⅰ三大控制理论
–访问控制:基于访问矩阵与访问监控器
–信息流控制:基于数学的格理论
–推理控制:基于逻辑推理,防数据库泄漏保护系统安全模型
?Ⅱ安全操作系统的设计
–安全核技术,分层结构,环型结构
?1、单机系统的信息保密阶段
–系统安全模型
?Ⅰ访问矩阵与监控器模型
?Ⅱ信息流多级安全模型,基于格理论
–1)保密性模型(BLP模型)
–2)完整性模型(Biba模型)
–3)军用安全模型:适用于军事部门与政府部门
?1、单机系统的信息保密阶段
–安全性评价准则
?1985年美国开发了可信计算机系统评估准则(TCSEC)把计算机安全划分为7个等级:D,C1,C2,B1,B2,B3,A1
?为信息系统的安全性评价提供了概念、方法与思路,是开创性的。为后来的通用评估准则(CC
标准)打下基础
?2、网络信息安全阶段
–1988年11月3日莫里斯―蠕虫‖事件引起了人们对网络信息安全的关注与研究,并与第二年成立了计算机紧急事件处理小组负责解决Internet的安全问题,从而开创了网络信息安全的新阶段。
–在该阶段中,除了采用和研究各种加密技术外,还开发了许多针对网络环境的信息安全与防护技术,这些防护技术是以被动防御为特征的。
?TCP/IP协议族包括4个功能层:应用层、传输层、网络层和网络接口层。这4层概括了相对于OSI参考模型中的7层。
?从安全角度来看,一个单独的层次无法提供全部的网络安全服务,各层都能提供一定的安全手段,针对不同层的安全措施是不同的。
?图1-7给出了一个网络保密安全基本模型,通信双方要传递某个消息,需要建立一个逻辑信息通道包括:确定从发送方到接受方的路由以及两方协同使用诸如TCP/IP协议。
?为了在开放网络环境中保护信息的传输,需要提供安全机制和安全服务,主要包含两个部分:–(1)消息的安全传输,包括对消息的加密与认证。例如,消息的加密,使开放网络对加密的
消息不可读;又如附加一些基于消息内容的编码,用来验证发送者的身份。
–(2)双方共享秘密信息的分发。例如,用于发送前的加密密钥和接收后的解密密钥。
?为了完成安全的消息传递,常常需要可信的第三方。其作用是负责为通信双方分发秘密信息,或者是在双方有争议时进行仲裁。
?归纳起来,该网络保密安全模型必须包含4个基本内容:
–1)建立一种加密算法。
–2)产生一个用于加密算法的密钥。
–3)开发一个分发和共享秘密信息的方法。
–4)使用加密算法与秘密信息以得到特定安全服务所需的协议。
?图1-7的网络保密安全模型虽是一个通用的模型,但它着重保护信息的机密性和可认证性,不能涵盖所有安全需求。
?图1-8给出了一个网络访问安全模型,该模型考虑了黑客攻击、病毒与蠕虫等的非授权访问。?黑客攻击可以形成两类威胁:
–一类是信息访问威胁,即非授权用户截获或修改数据;
–另一类是服务威胁,即服务流激增以禁止合法用户使用。
–病毒和蠕虫是软件攻击的两个实例,这类攻击通常是通过移动存储介质引入系统,并隐藏在有用软件中,也可通过网络接入系统。
?在图1-8中,对非授权访问的安全机制可分为两道防线:
?第一道防线是守卫功能,包括基于口令的登录过程以拒绝所有非授权访问以及屏蔽逻辑以检测、拒绝病毒、蠕虫和其他类似攻击;
?第二道防线由内部的一些安全控制构成,用于管理系统内部的各项操作和所存储的信息分析,以检查对付未授权的入侵者。
?2、网络信息安全阶段
–在网络信息安全阶段中,人们还开发了许多网络加密、认证、数字签名的算法、信息系统安全评价准则(如CC通用评价准则)。
–这一阶段的主要特征是对于自己部门的网络采用各种被动的防御措施与技术,目的是防止内部网络受到攻击,保护内部网络的信息安全。
?3、信息保障阶段
–信息保障(IA--Information Assurace)这一概念最初是由美国国防部长办公室提出来的,后被写入命令《DoD Directive S-3600.1:Information Operation》中,在1996年12月9日以国防部的名义发表。
?3、信息保障阶段
–在这个命令中信息保障被定义为:通过确保信息和信息系统的可用性、完整性、可验证性、保密性和不可否认性来保护信息系统的信息作战行动,包括综合利用保护、探测和响应能力以恢复系统的功能。
–1998年1月30日美国防部批准发布了《国防部信息保障纲要》(DIAP),认为信息保障工作是持续不间断的,它贯穿于平时、危机、冲突及战争期间的全时域。信息保障不仅能支持战争时期的国防信息攻防,而且能够满足和平时期国家信息的安全需求。
?3、信息保障阶段
–1998年5月美国公布了由国家安全局NSA起草的1.0版本《信息保障技术框架》(Information Assurance Technical Framework, IATF),旨在为保护美国政府和工业界的信息与信息技术设施提供技术指南。
–在1999年8月31日IATF论坛发布了IATF 2.0版本,2000年9月22日又推出了IATF 3.0版本。
?3、信息保障阶段
–IATF从整体、过程的角度看待信息安全问题,其代表理论为―纵深防护战略(Defense-in-Depth)‖,
–就是信息保障依赖人、技术、操作三个因素实现组织的任务/业务运作。通过有效结合当前已有成熟技术,充分考虑人员、技术、操作三方面的影响,并衡量防护能力、防护性能、防护耗费、易操作性等各方面因素,得到系统防护的最有效实用的方案。
–稳健的信息保障状态意味着信息保障的政策、步骤、技术与机制在整个组织的信息基础设施的所有层面上均得以有效实施。
–IATF强调人、技术、操作这三个核心要素。人,借助技术的支持,实施一系列的操作过程,最终实现信息保障目标,这就是IATF最核心的理念之一。
?3、信息保障阶段
–人(People):
–人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。
–正是基于这样的认识,信息安全管理在安全保障体系中就显得尤为重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括意识培养、培训、组织管理、技术管理和操作管理等多个方面。
?3、信息保障阶段
–技术(Technology):
–技术是实现信息保障的具体措施和手段,信息保障体系所应具备的各项安全服务是通过技术来实现的。
–这里所说的技术,已经不单是以防护为主的静态技术体系,而是保护(Protection)、检测
(Detection)、响应(Reaction)、恢复(Restore)有机结合的动态技术体系,这就是所谓的PDRR(或称PDR2)模型(如图1-9所示)。
?3、信息保障阶段
–操作(Operation):或者叫运行,
–操作将人和技术紧密地结合在一起,涉及到风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。
?说明IATF的目的与作用——帮助用户确定信息安全需求和实现他们的需求;
?说明信息基础设施及其边界、IA框架的范围及威胁的分类和纵深防御策略DiD;
?DiD的深入介绍;
?信息系统的安全工程过程(ISSE)的主要内容;各种网络威胁与攻击的反制技术或反措施;?信息基础设施、计算环境与飞地的防御;
?信息基础设施的支撑(如密钥管理/公钥管理,KMI/PKI)、检测与响应以及战术环境下的信息保障问题。
1.3 计算机系统安全研究的内容
?计算机网络环境下的信息系统可以用层次结构来描述。
?计算机硬件安全
–主要介绍PC机物理防护、基于硬件的访问控制技术、可信计算与安全芯片、硬件防电磁辐射技术和计算机运行环境安全问题。
?操作系统安全
–主要介绍操作系统的主要安全机制,包括存储保护、用户认证和访问控制技术,并介绍了Windows XP/Vista系统的安全机制。
?计算机网络安全
–主要介绍网络安全框架、防火墙和入侵检测系统,网络隔离技术,网络安全协议以及公钥基础设施PKI/PMI等内容。
?数据库系统安全
–主要介绍数据库的安全性、完整性、并发控制、备份和恢复等安全机制。
?应用系统安全
–主要介绍应用系统可能受到的恶意程序攻击,因编程不当引起的缓冲区漏洞,开发安全的应用系统的编程方法、软件保护的技术措施以及安全软件工程技术。
?计算机系统应急响应与灾难恢复的概念、内容及相关计算机取证、攻击源追踪技术。
?介绍安全评估的国内外标准、评估的主要方法、工具、过程,最后给出一个信息系统风险度的模糊综合评估实例。
?介绍计算机信息系统安全管理的目的、任务,安全管理的程序和方法,信息系统安全管理标准及其实施办法,以及我国有关信息安全的法律法规,并系统介绍了我国计算机知识产权的法律保护措施。
思考与练习
1.1计算机信息系统常常面临的安全威胁有哪些?安全威胁的根源在哪里?
1.2计算机系统的安全需求有哪些?在网络环境下有哪些特殊的安全需求?
1.3 什么是系统可存活性?它有哪些主要属性?
1.4网络环境中的信息系统各个层次中的安全问题主要有哪些?请各列举三个。
1.5 信息安全概念发展的3个主要阶段是什么?各个阶段中主要的安全思想与所开发的主要安全技术有哪些?
1.6 查阅资料,进一步了解PDR、P2DR、PDR2以及P2DR2各模型中每个部分的含义。这些模型的发展说明了什么?
第二章
第2章密码学基础
本章主要内容
?密码学基本概念
?对称密码体制
?公钥密码体制
?散列函数
?数字签名
?信息隐藏与数字水印
2.1 概述
2.2 密码学基本概念
?2.2.1 现代密码系统的组成
?现代密码系统(通常简称为密码体制)一般由五个部分组成:
–明文空间M
–密文空间C
–密钥空间K
–加密算法E
–解密算法D
?则五元组(M,C,K,E,D)称为一个密码体制。
2.2 密码学基本概念
?2.2.2 密码体制
?对称密钥体制:
?非对称密钥体制
?根据密码算法对明文信息的加密方式,对称密码体制常分为两类:
–分组密码(Block cipher,也叫块密码)
DES、IDEA 、BLOWFISH
–序列密码(Stream cipher,也叫流密码)。A5 、FISH 、PIKE
2.2 密码学基本概念
?2.2.3 密码算法设计的两个重要原则
–1.混乱性
?加密算法应该从明文中提取信息并将其转换,以使截取者不能轻易识别出明文。当明文中的字符变化时,截取者不能预知密文会有何变化。我们把这种特性称为混乱性(Confusion)。
?混乱性好的算法,其明文、密钥对和密文之间有着复杂的函数关系。这样,截取者就要花很长时间才能确定明文、密钥和密文之间的关系,从而要花很长的时间才能破译密码。
?在传统加密算法中,大家熟知的恺撒密码的混乱性就不好,因为只要推断出几个字母的移位方式,不需要更多的信息就能预测出其他字母的转换方式。相反,一次一密乱码本(具有同报文长度一样长的有效密钥)则提供了很好的混乱性。因为在不同的输出场合,一个明文字母可以转换成任何的密文字母,转换单一明文字母时并没有明显的模式。
2.2 密码学基本概念
?2.2.3 密码算法设计的两个重要原则
–2.扩散性
?密码还应该把明文的信息扩展到整个密文中去,这样,明文的变化就可以影响到密文的很多部分,该原则称为扩散性(Difusion)。
?这是一种将明文中单一字母包含的信息散布到整个输出中去的特性。好的扩散性意味着截取者需要获得很多密文,才能去推测算法。
2.2 密码学基本概念
?2.2.4 密码分析学
–穷举攻击:又称作蛮力攻击,是指密码分析者用试遍所有密钥的方法来破译密码对可能的密钥或明文的穷举
–统计分析攻击:指密码分析者通过分析密文和明文的统计规律来破译密码。
–数学分析攻击:指密码分析者针对加密算法的数学依据,通过数学求解的方法来破译密码。
2.2 密码学基本概念
?2.2.4 密码分析学
–根据密码分析者掌握明、密文的程度密码分析可分类为:
?1、唯密文攻击:仅根据密文进行的密码攻击;
?2、已知明文攻击:根据一些相应的明、密文对进行的密码攻击。
?3、选择明文攻击:可以选择一些明文,并获取相应的密文,这是密码分析者最理想的情形。例如,在公钥体制中。
?4、选择密文攻击:密码分析者能选择不同的被加密的密文,并可得到对应的解密的明文,密码分析者的任务是推出密钥。
?5、选择密钥攻击:这种攻击并不表示密码分析者能够选择密钥,它只表示密码分析者具有不同密钥之间关系的有关知识。
?6、软磨硬泡攻击:密码分析者威胁、勒索,或者折磨某人,直到他给出密钥为止。
2.2 密码学基本概念
?2.2.5 密码算法的安全性
–密码算法的安全性:
?理论上,除一文一密外,没有绝对安全的密码体制,通常,称一个密码体制是安全的是指计算上安全的,即:密码分析者为了破译密码,穷尽其时间、存储资源仍不可得,或破译所耗资材已超出因破译而获得的获益。
2.3 对称密码体制
?1973.5.15:美国国家标准局(NSA)公开征求密码体制的联邦注册;
?1975.3.17:DES首次在《联邦记事》公开,它由IBM开发,它是LUCIFER的改进;?1977.2.15:DES被采用作为非国家机关使用的数据加密标准,此后,大约每五年对DES进行依次审查,1992年是最后一次审查,美国政府已声明,1998年后对DES不再审查了;?1977.2.15:《联邦信息处理》标准版46(FIPS PUB46)给出了DES的完整描述。
2.3.1 DES分组密码系统
?DES密码体制:它是应用56位密钥,加密64比特明文分组的分组秘钥密码体制?DES加密算法:
(一)初始置换:x0=L0R0=IP(x);
(二)16次迭代:x i-1=L i-1R i-1,
L i=R i,R i=L i ⊕f(R i-1,k i)
i=1,2, (16)
(三)逆置换:x16=L16R16,y=IP-1(x16)。
?密钥生成器:密钥k
i 是由56位系统密钥k生成的32位子密钥。
?函数f及S盒:f(R
i-1
,k i)=P(S(E(R i-1)⊕k i))
其中E,P是两个置换,⊕表示比特的“异或”,S是一组八个变换S1,S2,S3,… ,S8 ,称为S盒,每个盒以6位输入,4位输出,S盒构成了DES 安全的核心。
?DES算法流程图
?函数f及S盒的示意图
关于DES的讨论
?S盒是唯一非线性组件:有人认为其中可能含有某种“陷门”,国家安全机关可以解密。?DES的密钥量太小:密钥量为256
?1977年:Diffie.Hellman提出制造一个每秒测试106的VLSI芯片,则一天就可以搜索完整个密钥空间,当时造价2千万美圆。
?CRYPTO’93:R.Session,M.Wiener提出并行密钥搜索芯片,每秒测试5x107个密钥,5760片这种芯片,造价10万美圆,平均一天即可找到密钥。
?Internet的超级计算能力:1997年1月28日,美国RSA数据安全公司在Internet上开展了一项“秘密密钥挑战”的竞赛,悬赏一万美圆,破解一段DES密文。计划公布后,得到了许多网络用户的强力相应。科罗拉州的程序员R.Verser设计了一个可以通过互联网分段运行的密钥搜索程序,组织了一个称为DESCHALL的搜索行动,成千上万的的志愿者加入到计划中。?第96天,即竞赛公布后的第140天,1997年6月17日晚上10点39分,美国盐湖城Inetz 公司职员M.Sanders成功地找到了密钥,解密出明文:The unknown Message is:“Stronge cryptography makes the word a safer place”(高强度密码技术使世界更安全)。Internet仅仅利用闲散资源,毫无代价就破译了DES密码,这是对密码方法的挑战,是Internet超级计算能力的显示.
?差分分析法:除去穷举搜索密钥外,还有其他形式的攻击方法,最著名的有Biham,Shamir 的差分分析法。这是一个选择明文攻击方法。虽然对16轮DES没有攻破,但是,如果迭代的轮数降低,则它可成功地被攻破。例如,8轮DES在一个个人计算机上只需要2分钟即可被攻破。
DES扩展形式
?多重DES
?S盒可选择的DES
?具有独立子密钥的DES
?G-DES
2.3.2 高级加密标准AES
?在攻击面前,虽然多重DES表现良好。不过,考虑到计算机能力的持续增长,人们需要一种新的、更加强有力的加密算法。1995年,美国国家标准技术研究所NIST开始寻找这种算法。最终,美国政府采纳了由密码学家Rijmen和Daemen发明的Rijindael算法,使其成为了高级加密标准AES(Advanced Encryption Standard)。
?Rijindael算法之所以最后当选,是因为它集安全性、效率、可实现性及灵活性于一体。
2.3.2 高级加密标准AES
?AES算法是具有分组长度和密钥长度均可变的多轮迭代型加密算法。分组长度一般为128比特位,密钥长度可以是128/192/256位。实际上,AES算法的密钥长度可以扩展为64的任意整数倍,尽管AES标准中只有128,192和256被认可。
?AES的128位块可以很方便地考虑成一个4×4矩阵,这个矩阵称为―状态‖(state)。例如,假设输入为16字节b0,b1,…,b15,这些字节在状态中的位置及其用矩阵的表示如表2-8所示。注意,这些状态用输入数据逐列填充。
2.3.2 高级加密标准AES
?AES算法步骤
–AES加密算法具有Nr次替换-置换迭代,其中替换提供混乱性,置换提供了扩散性。Nr依赖于密钥长度,密钥长度为128比特,Nr=10;密钥长度为192比特,Nr=12;密钥长度为256比特,Nr=14。
–AES的加密与解密流程如图2-7所示。
2.4 公钥密码体制
?一个安全的对称密钥密码系统,可以达到下列功能:
保护信息机密
认证发送方之身份
确保信息完整性
?对称密钥密码系统具有下列缺点:
收发双方如何获得其加密密钥及解密密钥?
密钥的数目太大
无法达到不可否认服务
?现代密码学修正了密钥的对称性,1976年,Diffie,Hellmann提出了公开密钥密码体制(简称公钥体制),它的加密、解密密钥是不同的,也是不能(在有效的时间内)相互推导。所以,它可称为双钥密码体制。它的产生,是密码学革命性的发展,它一方面,为数据的保密性、完整性、真实性提供了有效方便的技术。另一方面,科学地解决了密码技术的瓶颈──密钥的分配问题。
?第一个公钥体制是1977年由Rivest,Shamir,Adleman提出的,称为RSA公钥体制,其安全性是基于整数的因子分解的困难性。RSA公钥体制已得到了广泛的应用。其后,诸如基于背包问题的Merkle-Hellman背包公钥体制,基于有限域上离散对数问题的EIGamal公钥体制,基于椭圆曲线的密码体制等等公钥体制不断出现,使密码学得到了蓬勃的发展,
2.4.2 公钥密码体制介绍
?公钥密码体制加解密过程主要有以下几步:
?安全的公开密钥密码可以达到下列功能:
–(1)简化密钥分配及管理问题
?公钥体制用于数据加密时:用户将自己的公开(加密)密钥登记在一个公开密钥库或实时公开,秘密密钥则被严格保密。信源为了向信宿发送信息,去公开密钥库查找对方的公开密钥,或临时向对方索取公钥,将要发送的信息用这个公钥加密后在公开信道上发送给对方,对方收到信息(密文)后,则用自己的秘密(解密)密钥解密密文,从而,读取信息。可见,这里省去了从秘密信道传递密钥的过程。这是公钥体制的一大优点。
?安全的公开密钥密码可以达到下列功能:
–(2)保护信息机密
?任何人均可将明文加密成密文,此后只有拥有解密密钥的人才能解密。
?安全的公开密钥密码可以达到下列功能:
–(3)实现不可否认功能
?公钥体制用于数字签名时:
?信源为了他人能够验证自己发送的消息确实来自本人,他将自己的秘密(解密)密钥公布,而将公开(加密)密钥严格保密。与别人通信时,则用自己的加密密钥对消息加密──称为签名,将原消息与签名后的消息一起发送.
?对方收到消息后,为了确定信源的真实性,用对方的解密密钥解密签名消息──称为(签名)验证,如果解密后的消息与原消息一致,则说明信源是真实的,可以接受,否则,拒绝接受。
2.4.3 加密与签名的顺序问题
?假定用户A想给用户B发送一个消息M,出于机密性以及确保完整性和不可否认性的考虑,A需要在发送前对消息进行签名和加密,那么A是先签名后加密好还是先加密后签名好呢?2.4.3 加密与签名的顺序问题
?考虑下面的重放攻击情况,假设Alice决定发送消息:
M=―I love you‖
先签名再加密,她发送E PKB(E SKA (M))给B。出于恶意,B收到后解密获得签名的消息E SKA (M),并将其加密为E PKC(E SKA (M)),将该消息发送给C,于是C以为A爱上了他。
2.4.3 加密与签名的顺序问题
?再考虑下面的中间人攻击情况,A将一份重要的研究成果发送给B。这次她的消息是先加密再签名,即发送E SKA(E PKB (M))给B。
?然而C截获了A和B之间的所有通信内容并进行中间人攻击。C使用A的公钥来计算出E PKB (M),并且用自己的私钥签名后发给B,从而使得B认为该成果是C的。
2.4.3 加密与签名的顺序问题
?从上面的两种情况我们能够意识到公钥密码的局限性。对于公钥密码,任何人都可以进行公钥操作,即任何人都可以加密消息,任何人都可以验证签名。
?在现实世界里要想使用公钥密码,必须解决一系列的问题。公钥基础设施PKI(Public Key Infrastructure)是安全地使用公钥密码所需要的所有事物的统称。本书在后面的章节中将对此详细介绍。
2.4.4 基本数学概念
?群
?模逆元
?费尔马小定理
?Euler函数
?生成元
2.4.5 RSA算法
?1976年:Diffie,Hellman在“New Direction in Cryptography”(密码学新方向)一文中首次提出公开密钥密码体制的思想。
?1977年:Rivest,Shamir,Adleman第一次实现了公开密钥密码体制,现称为RSA公钥体制。?基本算法:
①生成两个大素数p和q(保密);
②计算这两个素数的乘积n=pq(公开);
③计算小于n并且与n互素的整数的个数,即欧拉函数φ(n)=(p–1)(q–1) (保密);
④选取一个随机整数e满足1 ⑤计算d,满足de=1 mod φ(n)(保密); 一个利用RSA算法的加密实例 ?算法分析: ?该体制的数学依据是Euler定理及大数分解的困难性,体制中使用的是Z n 中的计算。 ?设是两个不同奇素数p,q的乘积,对于这样的正整数,其Euler函数值是容易计算的,它是φ(n) =(p-1)(q-1)。对于给定的明文x ?作Z n 中的指数运算,将明文以指数形式x b表示出来,即以指数形式将明文隐藏起来。即使知道一个明、密文对(x,y),y=x b mod n, 要得到密钥b,必须求解离散对数问题:b=log x y,在Z n 中这也是一个困难问题。可见这种加密思想是简单、明确的。 ?RSA 安全性分析 –RSA的安全性依赖于大数分解,但是否等同于大数分解一直未能得到理论上的证明,因为没有证明破解RSA就一定需要作大数分解。假设存在一种无须分解大数的算法,那它肯定可以修改成为大数分解算法。 –目前,RSA的一些变种算法已被证明等价于大数分解。 –RSA算法是第一个能同时用于加密和数字签名的算法,也易于理解和操作。RSA是被研究得最广泛的公钥算法,从提出到现在已逾20年,经历了各种攻击的考验,逐渐为人们接受,普遍认为它是目前最优秀的公钥方案之一。 ?大数分解是一个NP问题,目前已知的最好的算法需要进行e x次算术运算。假设我们用一台每秒运算(即:一亿)次的计算机来分解一个200位十进制的数 ?要分解一个200位十进制的数,需要3.8×107年,类似地,可算出要分解一个300位的十进制整数,则需要年4.86 ×1013。可见,增加的位数,将大大地提高体制的安全性。 ?由以上分析可见,从直接分解大数来破译RSA是计算上不可能的,那么是否存在一种破译方法不依赖于的分解呢?虽然现在还没有发现,但是也没有严格的论证。 ?直接分解一个大素数的强力攻击的一个实例是:1994年4月分解的RSA密钥RSA-129,即分解了一个129位十进制,425比特的大素数。分解时启用了1600台计算机,耗时8个月,处理了4600MIPS年的数据。1MIPS年是1MIPS的机器一年所能处理数据量。Pentium100大约是125MIPS,它分解RSA-129需要37年。100台Pentium100需要4个月。 ?硬件实现时,RSA比DES要慢大约1000倍,软件实现时,RSA比DES要慢大约100倍。可见,用RSA直接加密信息有诸多不便,所以,很多实际系统中,只用RSA来交换DES的密钥,而用DES来加密主体信息。 2.5 散列函数 ?散列函数没有密钥,散列函数就是把可变输入长度串(叫做预映射,Pre-image)转换成固定长度输出串(叫做散列值)的一种函数。 ?散列函数又可称为压缩函数、杂凑函数、消息摘要、指纹、密码校验和、信息完整性检验(DIC)、操作认证码(Message Authentication Code,MAC)。 2.5 散列函数 ?散列函数有4个主要特点: –(1)它能处理任意大小的信息,并将其信息摘要生成固定大小的数据块(例如128位,即16字节),对同一个源数据反复执行Hash函数将总是得到同样的结果。 –(2)它是不可预见的。产生的数据块的大小与原始信息的大小没有任何联系,同时源数据和产生的数据块的数据看起来没有明显关系,但源信息的一个微小变化都会对数据块产生很大的影响。 –(3)它是完全不可逆的,即散列函数是单向的,从预映射的值很容易计算其散列值,没有办法通过生成的散列值恢复源数据。 –(4)它是抗碰撞的,即寻找两个输入得到相同的输出值在计算上是不可行的。 2.5 散列函数 ?假设单向散列函数H(M)作用于任意长度的消息M,它返回一个固定长度的散列值h,其中h 的长度为定数m,该函数必须满足如下特性: –给定M,很容易计算h; –给定h,计算M很难; –给定M,要找到另一消息M’并满足H(M’)=H(M)很难。 2.5 散列函数 ?常用的消息摘要算法有: –(1)MD2算法。 –(2)MD4和MD5算法。 –(3)SHA算法。 –(4)RIPEMD算法。 2.5 散列函数 ?SHA (Secure Hash Algorithm)由美国国家标准和技术局NIST设计,1993年被作为联邦信息处理标准(FIPS PUB 180)公布,1995年又公布了修订版FIPS PUB 180-1,通常称为SHA-1。?就当前的情况来看,SHA-1由于其安全强度及运算效率方面的优势已经成为使用最为广泛的散列函数。 ?该算法输入消息的最大长度为264-1位,产生的输出是一个160位的消息摘要。输入按512 位的分组进行处理。 2.5 散列函数 ?利用散列函数设计一个数据文件完整性检测的程序。 2.6 数字签名 ?数字签名最早被建议用来对禁止核试验条律的验证。禁止核试验条律的缔约国为了检测对方的核试验,需要把地震测试仪放在对方的地下,而把测试的数据送回,自然这里有一个矛盾:东道主需要检查发送的数据是否仅为所需测试的数据;检测方需要送回的数据是真实的检测数据,东道主没有篡改。 2.6 数字签名 ?数字签名(Digital Signatures)技术是实现交易安全的核心技术之一,其实现基础就是加密技术。 ?一般书信或文件传送根据亲笔签名或印章来证明真实性,在计算机网络中传送的报文是使用数字签名来证明其真实性的。 ?数字签名可以保证实现以下几点: –发送者事后不能否认对发送报文的签名。 –接收者能够核实发送者发送的报文签名。 –接收者或其他人不能伪造发送者的报文签名。 –接收者不能对发送者的报文进行部分篡改。 2.6 数字签名 ?使用对称和非对称密码算法都可以实现数字签名。 ?目前采用较多的是公钥加密技术使用公钥加密技术的签名和验证过程是: –1)发送方(甲)先用单向散列函数对某个信息(如合同的电子文件)A进行计算,得到128位的结果B,再用私钥SK对B进行加密,得到C,该数据串C就是甲对合同A的签名。 –2)他人(乙)的验证过程为:乙用单向散列函数对A进行计算,得到结果B1,对签名C用甲的公钥PK进行解密,得到数据串B2,如果B1=B2,则签名是真的,反之签名则为假的。 2.6 数字签名 1、Elgamal算法:ElGamal签名方案基于离散对数问题 ?离散对数问题:设p是一个素数,b∈Z* ,寻找整数d,0 p 的问题称为离散对数问题。 ?选取p至少150位十进制数,p-1至少有一个“大”素因子,则离散对数问题称为困难问题,困难问题不存在多项式时间算法 2.6 数字签名 2、DSA算法:DSA是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS。 ?数字签名标准DSS: 设p是一个512比特的素数,Z p中的离散对数是困难 问题,q是一个60比特的素数,q|p-1,a ∈Z*p是p模 q的单位根。则定义: 签名算法:Sig k(x,t)=(γ,δ),γ≡(a t mod p) mod q , δ≡(x+aγ)t-1 mod q; 验证算法: Ver(x,(γ,δ))=true?(a l b m mod p) mod q ≡γ, 其中:l≡xδ-1 mod q,m≡γδ-1 mod q。 2.6 数字签名 DSS与ElGamal签名方案的差别: ElGamal签名方案中模p至少有512比特,但这样会产生1024比特的签名。这样的膨胀率对于象灵巧卡之类的应用是一个难题。而DSS使用512比特模素数,签名一个160比特的消息,产生320比特的签名,即:模素数不变,但签名消息的比特数减少了,而离散对数是基于Z*p 的每个阶为2160的子群,从而,安全性是可以保证的。 2.7 信息隐藏与数字水印 ?信息隐藏不同于传统的密码学技术。密码技术主要是研究如何将机密信息进行特殊的编码,以形成不可识别的密码形式(密文)进行传递;而信息隐藏则主要研究如何将某一机密信息秘密隐藏于另一公开的信息中,然后通过公开信息的传输来传递机密信息。 2.7 信息隐藏与数字水印 ?信息隐藏模型 2.7.1 信息隐藏 ?信息隐藏特点 –鲁棒性(Robustness) –不可检测性(Undetectability) –透明性(Invisibility) –安全性(Security) –自恢复性(Self-recovery) 2.7.2 数字水印 ?典型的数字水印系统模型 2.7.2 数字水印 ?数字水印的分类 –(1)按水印的可见性划分:可将水印分为可见水印和不可见水印 –(2)按水印的所附载体划分:可以把水印划分为图像水印、音频水印、视频水印、文本水印以及用于三维网络模型的网格水印等。 –(3)按水印的检测过程划分:可以将水印划分非盲水印(Nonblid Watermark),半盲水印(Seminonblind Watermark)和盲水印(Bind Watermark)。 2.7.2 数字水印 ?数字水印的分类 –(4)按水印的内容划分:可以将水印分为有意义水印和无意义水印。 –(5)按水印的用途划分:可以将数字水印划分为票据防伪水印、版权标识水印、篡改提示水印和隐蔽标识水印等。 –(6)按水印的隐藏位置划分:可以将其划分为时(空)域数字水印、变换域数字水印。 2.7.2 数字水印 ?数字水印的基本特性 –(1)隐藏信息的鲁棒性 –(2)不易察觉性 –(3)安全可靠性 –(4)抗攻击性 –(5)水印调整和多重水印 –(6)可证明性 2.7.2 数字水印 ?数字水印的主要用途 –(1)数字媒体的版权保护和跟踪 –(2)图像认证 –(3)篡改提示 –(4)数字广播电视分级控制 –(5)标题与注释 2.7.2 数字水印 ?数字水印的制作方法 –(1)空间域水印算法 –(2)变换域算法 –(3)压缩域算法 –(4)NEC算法 –(5)生理模型算法 小结 ?密码学尽管在信息安全中具有举足轻重的地位,但密码学绝不是确保信息安全的唯一工具,它也不能解决所有的安全问题。同时,密码编码和密码分析是一对矛和盾的关系,它们在发展中始终处于一种动态平衡。在后面的章节中还将介绍计算机系统安全的其他技术。 思考与练习 1.什么是密码学?什么是密码编码学和密码分析学? 2.现代密码系统的五个组成部分是什么? 3.密码分析主要有哪些形式?各有何特点? 4.对称密码体制和非对称密码体制各有何优缺点? 5.假设Alice想发送消息M给Bob。出于机密性以及确保完整性和不可否认性的考虑,Alice 可以在发送前对消息进行签名和加密,她的操作顺序对安全性有无影响? 6.简述用RSA及DES算法保护的机密性、完整性和抗否认性的原理。 7.在使用RSA公钥中如果截取了发送给其他用户的密文C=10,若此用户的公钥为e=5,n =35,请问明文的内容是什么? 8.已知有明文public key encryptions,先将明文以2个字母为组分成10块,如果利用英文字母表的顺序,即a=00,b=01…,将明文数据化。现在令p=53,q=58,请计算得出RSA的加密密文。 9.请简要比较DES算法和RSA算法的优缺点。 10.查找资料,了解散列(消息摘要)算法还有哪些应用。 11.什么是数字签名?常用的算法有哪些? 12.进一步阅读数字水印有关文献(见本书参考文献),了解数字水印的攻击方法和对抗策略,了解软件水印的概念。 13.访问书生电子印章中心网站http://estamp. https://www.wendangku.net/doc/4511352326.html,,了解电子印章的最新应用。14.访问中国电子签名网站https://www.wendangku.net/doc/4511352326.html,,了解电子签名的研究动态和最新应用。15.访问网站https://www.wendangku.net/doc/4511352326.html,,了解完整性校验工具Tripwire的更多信息。 第三章 第3章计算机硬件与环境安全 本章主要内容 ?对计算机硬件的安全威胁 ?计算机硬件安全技术 ?环境安全技术 计算机硬件及其运行环境是计算机网络信息系统运行的基础,它们的安全直接影响着网络信息的安全。由于自然灾害、设备自然损坏和环境干扰等自然因素以及人为的窃取与破坏等原因,计算机设备和其中信息的安全受到很大的威胁。 本章讨论计算机设备及其运行环境以及计算机中的信息面临的各种安全威胁和防护方法,并介绍利用硬件技术实现信息安全的一些方法。 3.1 对计算机硬件的安全威胁 ?3.1.1 计算机硬件安全缺陷 ?3.1.2 环境对计算机的安全威胁 3.1.1 计算机硬件安全缺陷 重点讨论PC机的安全 ?PC机的一个重要用途是建立个人办公环境。PC机硬件的尺寸越来越小,容易搬移,尤其是笔记本电脑、超级移动PC(UMPC)以及―易PC‖(Easy to Work)更是如此。这既是优点也是弱点。这样小的机器并未设计固定装置,使机器能方便地放置在桌面上,于是盗窃者能够很容易地搬走整个机器,其中的各种文件也就谈不上安全了。 ?即使有保护机制也很简单,或者很容易被绕过。例如,CMOS中的口令机制可以通过把CMOS 的供电电池短路,使CMOS电路失去记忆功能,而绕过口令的控制。由于PC机的机箱很容易打开(有的机器甚至连螺丝刀也不需要),做到这一点是很容易。 ?PC机的硬件是很容易安装和拆卸的,硬盘容易被盗,其中的信息自然也就不安全了。而且存储在硬盘上的文件几乎没有任何保护措施,DOS的文件系统存储结构与管理方法几乎是人所皆知的,对文件附加的安全属性,如隐藏、只读、存档等属性,很容易被修改,对磁盘文件目录区的修改既没有软件保护也没有硬件保护。掌握磁盘管理工具的人,很容易更改磁盘文件目录区,造成整个系统的信息紊乱。 ?在硬盘或软盘的磁介质表面的残留磁信息也是重要的信息泄漏渠道,文件删除操作仅仅在文件目录中作了一个标记,并没有删除文件本身数据存储区,有经验的用户可以很容易恢复被删除的文件。保存在软盘上的数据也很容易因不小心划坏、各种硬物碰伤或受潮霉变而无法读取。?内存空间之间没有保护机制,即使简单的界限寄存器也没有,也没有只可供操作系统使用的监控程序或特权指令,任何人都可以编制程序访问内存的任何区域,甚至连系统工作区(如系统的中断向量区)也可以修改,用户的数据区得不到硬件提供的安全保障。 ?有些软件中包含用户身份认证功能,如口令、软件狗等都很容易被有经验的程序员绕过或修改认证数据。有的微机处理器芯片虽然提供硬件保护功能,但这些功能还未被操作系统有效利用。?计算机的外部设备是不受操作系统安全控制的,任何人都可以利用系统提供的输出命令打印文件内容,输出设备是最容易造成信息泄漏或被窃取的地方。 ?计算机中的显示器、中央处理器(CPU)和总线等部件在运行过程中能够向外部辐射电磁波,电磁波反映了计算机内部信息的变化。经实际仪器测试,在几百米以外的距离可以接受与复现显示器上显示的信息,计算机屏幕上的信息可以在其所有者毫不知晓的情况下泄漏出去。计算机电磁泄漏是一种很严重的信息泄漏途径。 ?计算机的中央处理器(CPU)中常常还包括许多未公布的指令代码,例如DOS操作系统中就利用了许多未公开的80X86系列的指令。这些指令常常被厂家用于系统的内部诊断或可能被作为探视系统内部的信息的―陷门‖,有的甚至可能被作为破坏整个系统运转的―炸弹‖。 ?计算机硬件及网络设备故障也会对计算机中的信息造成威胁,硬件故障常常会使正常的信息流中断,在实时控制系统中,这将造成历史信息的永久丢失。 ?2006年12月26日晚8时26分至40分间,我国台湾屏东外海发生地震。台湾地区的地震影响到大陆出口光缆,中美海缆、亚太1号等至少6条海底通信光缆发生中断,造成我国大陆至 台湾地区、美国、欧洲的通信线路大量中断,互联网大面积瘫痪,除我国外,日本、韩国、新加坡网民均受到影响。这是计算机系统物理安全遭到破坏的一个典型例子。 3.1.2 环境对计算机的安全威胁 ?1.温度 ?2.湿度 ?3.灰尘 ?4.电磁干扰 ?计算机的电子元器件、芯片都密封在机箱中,有的芯片工作时表面温度相当高,例如586CPU 芯片需要带一个小风扇散热,电源部件也是一个大的热源,虽然机箱后面有小型排风扇,但计算机工作时,箱内的温度仍然相当的高,如果周边温度也比较高的话,机箱内的温度很难降下来。 ?一般电子元器件的工作温度的范围是0℃~45℃,当环境温度超过60℃时,计算机系统就不能正常工作,温度每升高10℃,电子元器件的可靠性就会降低25%。元器件可靠性降低无疑将影响计算机的正确运算,影响结果的正确性。 ?温度对磁介质的导磁率影响很大,温度过高或过低都会使导磁率降低,影响磁头读写的正确性。温度还会使磁带、磁盘表面热胀冷缩发生变化,造成数据的读写错误,影响信息的正确性。温度过高会使插头、插座、计算机主版、各种信号线腐蚀速度加快,容易造成接触不良,温度过高也会使显示器各线圈骨架尺寸发生变化,使图象质量下降。温度过低会使绝缘材料变硬、变脆,使漏电流增大,也会使磁记录媒体性能变差,也会影响显示器的正常工作。计算机工作的环境温度最好是可调节的,一般控制在21℃±3℃。 ?环境的相对湿度若低于40%时,环境相对是干燥的;若相对湿度若高于60%时,环境相对是潮湿的。湿度过高过低对计算机的可靠性与安全性都有影响。当相对湿度超过65%以后,就会在元器件的表面附着一层很薄的水膜,会造成元器件各引脚之间的漏电,甚至可能出现电弧现象。当水膜中含有杂质时,它们会附着在元器件引脚、导线、接头表面,会造成这些表面发霉和触点腐蚀。磁性介质是多孔材料,在相对湿度高的情况下,它会吸收空气中的水分变潮,使其导磁率发生明显变化,造成磁介质上的信息读写错误。 ?在高湿度的情况下,打印纸会吸潮变厚,也会影响正常的打印操作。当相对湿度低于20%时,空气相当干燥,这种情况下极易产生很高的静电(实验测量可达10kV),如果这时有人去碰MOS器件,会造成这些器件的击穿或产生误动作。过分干燥的空气也会破坏磁介质上的信息,会使纸张变脆、印刷电路板变形。如果对计算机运行环境没有任何控制,温度与湿度高低交替大幅度变化,会加速对计算机中的各种器件与材料腐蚀与破坏作用,严重影响计算机的正常运行与寿命。计算机正常的工作湿度应该是40%与60%之间。 ?空气中的灰尘对计算机中的精密机械装置,如磁盘、光盘驱动器影响很大,磁盘机与光盘机的读头与盘片之间的距离很小,不到一个微米。在高速旋转过程各种灰尘,其中包括纤维性灰尘会附着在盘片表面,当读头靠近盘片表面读信号的时候,就可能擦伤盘片表面或者磨损读头,造成数据读写错误或数据丢失。放在无防尘措施空气中平滑的光盘表面经常会带有许多看不见的灰尘,即使用干净的布梢微用点力去擦抹,也会在盘面上形成一道道划痕。 ?如果灰尘中还包括导电尘埃和腐蚀性尘埃的话,它们会附着在元器件与电子线路的表面,此时 机房若空气湿度较大的话,会造成短路或腐蚀裸露的金属表面。灰尘在器件表面的堆积,会降低器件的散热能力。因此,对进入机房的新鲜空气应进行一次或两次过滤,要采取严格的机房卫生制度,降低机房灰尘含量。 ?电气与电磁干扰是指电网电压和计算机内外的电磁场引起的干扰。常见的电气干扰是指电压的瞬间较大幅度的变化、突发的尖脉冲或电压不足甚至掉电。例如,计算机房内使用较大功率的吸尘器、电钻,机房外使用电锯、电焊机等大用电量设备,这些情况都容易在附近的计算机电源中产生电气噪音信号干扰。 ?这些干扰一般容易破坏信息的完整性,有时还会损坏计算机设备。防止电气干扰的办法是采用稳压电源或不间断电源,为了防止突发的电源尖脉冲,对电源还要增加滤波和隔离措施。?对计算机正常运转影响较大的电磁干扰是静电干扰与周边环境的强电磁场干扰。由于计算机中的芯片大部分都是MOS器件,静电电压过高会破坏这些MOS器件,据统计50%以上的计算机设备的损害直接或间接与静电有关。 ?防静电的主要方法有:机房应该按防静电要求装修(如使用防静电地板),整个机房应该有一个独立的和良好的接地系统,机房中各种电气和用电设备都接在统一的地线上。周边环境的强电磁场干扰主要指可能的无线电发射装置、微波线路、高压线路、电气化铁路、大型电机、高频设备等产生的强电磁干扰。这些强电磁干扰轻则会使计算机工作不稳定,重则对计算机造成损坏。 3.2 计算机硬件安全技术 ?计算机硬件安全是所有单机计算机系统和计算机网络系统安全的基础,计算机硬件安全技术是指用硬件的手段保障计算机系统或网络系统中的信息安全的各种技术,其中也包括为保障计算机安全可靠运行对机房环境的要求,有关环境安全技术将在3.3节中介绍。 ?本节将介绍用硬件技术实现的PC机防护技术、访问控制技术、可信计算和安全芯片技术以及防电磁泄露技术。 3.2.1 PC 机物理防护 ?机箱锁扣(明基) –这个锁扣实现的方式非常简单。在机箱上固定一个带孔的金属片,然后在机箱侧板上打一个孔,当侧板安装在机箱上时,金属片刚好穿过锁孔,此时用户在锁孔上加装一把锁就实现了防护功能。 ?特点: –这种方式实现简单,制造成本低。但由于这种方式防护强度有限,安全系数也较低。 ?Kensington锁孔(Acer) –Kensington锁孔需要配合Kensington线缆锁来实现防护功能。这个锁由美国的Kensington公司发明。Kensington锁实现的原理很简单。锁孔为一个加固的方形孔,而Kensington线缆锁是一根带有锁头的钢缆(图片左上方)。使用时将钢缆的一头固定在桌子或其他固定装置上,另一头将锁头固定在机箱上的Kensington锁孔内,就实现了防护功能。 ?特点: –这种固定方式灵活,对于一些开在机箱侧板上的Kensington锁孔,不仅可以锁定机箱侧板,而且钢缆还能防止机箱被人挪动或搬走。 ?机箱电磁锁(浪潮) –机箱电磁锁主要出现在一些高端的商用PC产品上。这种锁是安装在机箱内部的,并且借助嵌 计算机网络习题及答案 This manuscript was revised on November 28, 2020 计算机网络习题及答案 第一章计算机网络的基本概念 一、选择题 √1、完成路径选择功能是在OSI模型的()。 A.物理层 B.数据链路层 C.网络层 D.运输层 2、在TCP/IP协议簇的层次中,保证端-端的可靠性是在哪层上完成的() A.网络接口层 B.互连层 C.传输层 D.应用层 √3、在TCP/IP体系结构中,与OSI参考模型的网络层对应的是()。 A.网络接口层 B.互联层 C.传输层 D.应用层 4、在OSI七层结构模型中,处于数据链路层与传输层之间的是()。 A.物理层 B.网络层 C.会话层 D.表示层 √5、计算机网络中可以共享的资源包括()。 A.硬件、软件、数据 B.主机、外设、软件 C.硬件、程序、数据 D.主机、程序、数据 √6、网络协议组成部分为()。 A.数据格式、编码、信号电平 B.数据格式、控制信息、速度匹配 C.语法、语义、定时关系 D.编码、控制信息、定时关系 二、填空题 √1、按照覆盖的地理范围,计算机网络可以分为________、________和________。 √2、Internet采用_______协议实现网络互连。 3、ISO/OSI中OSI的含义是________。 √4、计算机网络是利用通信线路将具有独立功能的计算机连接起来,使其能够和 ________ 和________。 5、TCP/IP协议从上向下分为________、________、________和________4层。 6、为了实现对等通信,当数据需要通过网络从一个节点传送到到另一个节点前,必须在数据的头部(和尾部) 加入____________,这种增加数据头部(和尾部)的过程叫做____________或 ____________。 √7、计算机网络层次结构划分应按照________和________的原则。 8、ISO/OSI参考模型将网络分为从低到高的________、________、________、 ________、________、________和 ________七层。 9、建立计算机网络的目的是___________和____________。 三、问答题 1、什么是计算机网络 2、ISO/OSI与TCP/IP有和区别 3、什么是数据的封装、拆包 √4、TCP/IP各层之间有何关系 √5、画出ISO/OSI参考模型和 TCP/IP协议的对应关系,并说明为什么采用层次化的体系结构 第一章习题 一、选择题 1.世界上第一台通用电子数字计算机诞生于( )。 A、1950年 B、1945年 C、1946年 D、1948年 2.与二进制数(10111.101)2等值的十进制数是( )。 A、23.625 B、23.5 C、39.5 D、39.625 3.与十进制数(101.1)10等值的二进制数是( )。 A、5.5 B、110010.00011 C、11000101.0011 D、1100101.000110011… 4.与十六进制数(1AE.5D)16等值的八进制数是( )。 A、(647.272)8 B、(565.727)8 C、(656.272)8 14 160 16 2 ‘ D、(656.235)8 5.与二进制数(1111111111)2等值的十六进制数是( )。 A、FF3H B、3FFH C、210-1 D、1777O 6. 在PC机中,1MB准确等于( )。 A、1000×1000KB B、1024×1024KB C、1024×1024B D、1000×1000B 7.已知真值X= 11101010,则其补码[X]补等于( )。 A、00010110 B、01101010 C、10010110 D、0010110 8.已知机器数[X]反=11111111,则其真值X为( )。 A、00000000 B、+0000000 C、10000000 D、-0000000 9.已知[X]原=10011110,则其对应的[X]补为( )。 A、01100010 B、11100001 C、-0011110 D、11100010 10.已知A =01011101,B =11101010,则A○+B为( )。 A、10110111 B、01001000 C、11111111 D、10100010 11.1MB等于( )字节? A、10K B、100K C、1024K D、10000K 12.把十进制数215转换成二进制数,结果为( )。 A、10010110 B、11011001 C、11101001 D、11010111 13.ASCII是( )。 A、条形码 B、二~十进制编码 C、二进制码 D、美国信息交换标准码 14.已知3×4=10,则5×6=( )。 A、24 B、26 C、30 D、36 15.已知“B”的ASCII码值是66,则码值为1000100的字符为( )。 A、“C” B、“D” C、“E” D、“F” 16.一个汉字字形采用( )点阵时,其字形码要占72B。 A、16×16 B、24×24 C、32×32 D、48×48 17.已知内存条的容量为16MB,则其对应的地址寄存器最少应有( )。 A、8位 B、16位 C、24位 D、36位 18.MIPS是表示计算机运行速度的一种单位,其含义是( )。 第1章练习题参考答案 一、判断题(正确Y,错误N) 1.信息是认识主体所感知或所表述的事物运动及其变化方式的形式、内容和效用。Y 2.信息就是数据。N 3.知识来源于信息。Y 4.信息是可以交换的。N 5.信息处理的本质是数据处理。Y 6.经加工后的信息一定比原始的信息更能反映现实的最新状态。N 7.信息技术是指用来取代人们信息器官功能,代替人类进行信息处理的一类信息技术。N 8.集成电路芯片的集成度越高,其工作速度就越快。Y 9.集成电路按用途可分为通用和专用两类,PC机中的存储器芯片属于专用集成电路。N 10.现代微处理器都是大规模集成电路。N 11.现代通信指的是使用电波或光波传递信息的技术。通信的任务就是传递信息。Y 12.通信就是传递信息,因此书、报、磁带、唱片等都是现代通信的媒介。N 13.通信系统中的发送与接收设备称之为“终端”。Y 14.在通信系统中,计算机既可以用作信源也可以用作信宿,接收和发送的都是数字信号。Y 15.通信系统中信源和信宿之间必须存在信道,才能实现信息的传输。Y 16.光纤是绝缘体,不受外部电磁波的干扰。Y 17.微波可以按任意曲线传播。N 18.微波可以经电离层反射传播。N 19.与同轴电缆相比,双绞线容易受到干扰,误码率较高,通常只在建筑物内部使用。Y 20.光纤通信、微波通信、卫星通信、移动通信,它们的任务都是传递信息,只是其传输介质和技术各有不同。Y 21.微波中继站之间的距离大致与塔高平方成正比。一般为50公里左右。Y 22.中低轨道通信卫星相对于地面是静止的。N 23.同步轨道上的卫星数目是有限的。Y 24.卫星通信是微波接力通信向太空的延伸。Y 25.传输信息量与传输速率是相同的概念。N 26.模拟信号是随时间而连续变化的物理量,包含无穷多个值。Y 27.信道的带宽总是指信道上所能通过的信号的频带宽度。N 28.FDM和TDM是指将任意多路信号复合在同一个信道中传输。Y 29.无线电广播中的中波段和短波段都采用调幅方式调制声音信号,而且都利用电离层反射传输信号。N 30.调频广播比调幅广播的声音质量好,原因是调频广播的传输频带较宽,且外界信号不会对声音的频率形成干扰。Y 31.光纤通信是利用光纤传导光信号来实现的,因此光纤不能弯曲。 N 32. 与有线通信相比,地面微波接力通信具有容量大、建设费用省、抗灾能力强等优点。Y 33.电视广播的图像信号和伴音信号都采用调幅方式发送。N 34.在有线电视系统中,通过同轴电缆传输多路模拟电视信号所采用的信道复用技术是频分 第一章计算机网络的基本概念 一、选择题 1、完成路径选择功能是在OSI模型的()。 A.物理层 B.数据链路层 C.网络层 D.运输层 2、在TCP/IP协议簇的层次中,保证端-端的可靠性是在哪层上完成的() A.网络接口层 B.互连层 C.传输层 D.应用层 3、在TCP/IP体系结构中,与OSI参考模型的网络层对应的是()。 A.网络接口层 B.互联层 C.传输层 D.应用层 4、在OSI七层结构模型中,处于数据链路层与传输层之间的是()。 A.物理层 B.网络层 C.会话层 D.表示层 5、计算机网络中可以共享的资源包括()。 A.硬件、软件、数据 B.主机、外设、软件 C.硬件、程序、数据 D.主机、程序、数据 6、网络协议组成部分为()。 A.数据格式、编码、信号电平 B.数据格式、控制信息、速度匹配 C.语法、语义、定时关系 D.编码、控制信息、定时关系 二、填空题 1、按照覆盖的地理范围,计算机网络可以分为________、________和________。 2、Internet采用_______协议实现网络互连。 3、ISO/OSI中OSI的含义是________。 4、计算机网络是利用通信线路将具有独立功能的计算机连接起来,使其能够和________ 和________。 5、TCP/IP协议从上向下分为________、________、________和________4层。 6、为了实现对等通信,当数据需要通过网络从一个节点传送到到另一个节点前,必须在数据的头部(和尾部) 加入____________,这种增加数据头部(和尾部)的过程叫做____________或____________。 7、计算机网络层次结构划分应按照________和________的原则。 8、ISO/OSI参考模型将网络分为从低到高的________、________、________、________、________、________和 ________七层。 9、建立计算机网络的目的是___________和____________。 三、问答题 1、什么是计算机网络 2、ISO/OSI与TCP/IP有和区别 3、什么是数据的封装、拆包 4、TCP/IP各层之间有何关系 四川警安职业学院标准教案纸 课程名称计算机组成原理(第二讲)任课教师陈平授课时间地点多媒体授课班级人数 教学目标1.掌握计算机系统组成 2.了解计算机的层次结构 教学重点计算机系统组成 教学难点计算机系统的层次结构 教学时数2节教学方法讲授法、演示法、实践操作法教学手段多媒体教学 教学内容: 第一章计算机系统概述(二) 1.3.1计算机硬件系统 计算机硬件系统是指构成计算机的所有实体部件的集合,通常这些部件由电路(电子元件)、机械等物理部件组成,它们都是看得见摸得着的,故通常称为硬件,它是计算机系统的物质基础。 绝大多数计算机都是根据冯·诺依曼计算机体系结构的思想来设计的。故具有共同的基本配置,即由五大部件组成:主机部分由运算器、控制器、存储器组成,外设部分由输入设备和输出设备组成,其中核心部件是运算器。这种硬件结构也可称为冯·诺依曼结构,如图1-3所示。 图1-3计算机硬件的基本组成 计算机硬件的基本组成演示 计算机各部件之间的联系是通过两股信息流动而实现的,宽的一股代表数据流,窄的代表控制流。数据由输入设备输入至运算器,再存于存储器中,在运算处理过程中,数据从存储器读入运算器进行运算,运算的中间结果存入存储器,或由运算器经输出设备输出。指令也以数据形式存于存储器中,运算时指令由存储器送入控制器,由控制器产生控制流控制数据流的流向并控制各部件的工作,对数据流进行加工处理。 1.运算器 运算器是完成二进制编码的算术或逻辑运算的部件。运算器由累加器(用符号A表示)、通用寄存器(用符号B表示)和算术逻辑单元(用符号ALU表示)组成,其结构如图1-4所示,其核心是算术逻辑单元。 图1-4运算器结构示意图 第1章 计算机系统概论参考答案 1.什么是计算机系统、计算机硬件和计算机软件?硬件和软件哪个更重要? 答:计算机系统是能按照人的要求接受和存储信息,自动进行数据处理和计算,并输出结果信息的机器系统。计算机系统由两大部分组成:硬件(子)系统和软件(子)系统,其中硬件子系统是系统赖以工作的实体,它是有关的各种物理部件的有机的结合。软件子系统由各种程序以及程序所处理的数据组成,这些程序的主要作用是协调各个硬件部件,使整个计算机系统能够按照指定的要求进行工作。 硬件子系统包括中央处理器、主存存储器、输人输出控制系统和各种外围设备。 软件子系统包括系统软件、支援软件、应用软件三个部分。 都很重要,,,硬件是基础,软件是灵魂 2.如何理解计算机系统的层次结构? 答:计算机系统存在着层次结构,从功能上看,现代计算机系统可分为五个层次级别,每一层都能进行程序设计,如图所示。 1. 微程序设计级 这一级是由硬件直接实现的,是计算机系统最底层的硬件系统。由机器硬件直接执行微指令。只有采用微程序设计的计算机系统,才有这一级。如果某一个应用程序直接用微指令来编写,那么可在这一级上运行应用程序。 2. 一般机器级 也称为机器语言级,它由微程序解释机器指令系统。这一级也是硬件级,是软件系统和硬件系统之间的纽带。硬件系统的操作由此级控制,软件系统的各种程序,必须转换成此级的形式才能执行。 3. 操作系统级 由操作系统程序实现。这些操作系统由机器指令和广义指令组成,广义指令是操作系统定义和解释的软件指令,所以这一级也称为混合级。计算机系统中硬件和软件资源由此级管理和统一调度,它支撑着其它系统软件和应用软件,使计算机能够自动运行,发挥高效率的特性。 4. 汇编语言级 给程序人员提供一种符号形式语言,以减少程序编写的复杂性。这一级由汇编程序支持和执行。 第一章概述 1-01 计算机网络向用户可以提供那些服务 答:连通性和共享 1-02 简述分组交换的要点。 答:(1)报文分组,加首部 (2)经路由器储存转发 (3)在目的地合并 1-03 试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。 答:(1)电路交换:端对端通信质量因约定了通信资源获得可靠保障,对连续传送大量数据效率高。 (2)报文交换:无须预约传输带宽,动态逐段利用传输带宽对突发式数据通信效率高,通信迅速。 (3)分组交换:具有报文交换之高效、迅速的要点,且各分组小,路由灵活,网络生 存性能好。 1-04 为什么说因特网是自印刷术以来人类通信方面最大的变革 答:融合其他通信网络,在信息化过程中起核心作用,提供最好的连通性和信息共享 ,第一次提供了各种媒体形式的实时交互能力。 1-05 因特网的发展大致分为哪几个阶段请指出这几个阶段的主要特点。 答:从单个网络APPANET向互联网发展;TCP/IP协议的初步成型 建成三级结构的Internet;分为主干网、地区网和校园网; 形成多层次ISP结构的Internet;ISP首次出现。 1-06 简述因特网标准制定的几个阶段 答:(1)因特网草案(Internet Draft) ——在这个阶段还不是RFC 文档。 (2)建议标准(Proposed Standard) ——从这个阶段开始就成为RFC 文档。 (3)草案标准(Draft Standard) (4)因特网标准(Internet Standard) 1-07小写和大写开头的英文名字internet 和Internet在意思上有何重要区别 答:(1)internet(互联网或互连网):通用名词,它泛指由多个计算机网络 互连而成的网络。;协议无特指 (2)Internet(因特网):专用名词,特指采用TCP/IP 协议的互联网络 区别:后者实际上是前者的双向应用 1-08 计算机网络都有哪些类别各种类别的网络都有哪些特点 答:按范围:(1)广域网WAN:远程、高速、是Internet的核心网。 (2)城域网:城市范围,链接多个局域网。 (3)局域网:校园、企业、机关、社区。 (4)个域网PAN:个人电子设备 按用户:公用网:面向公共营运。专用网:面向特定机构。 1-09 计算机网络中的主干网和本地接入网的主要区别是什么 答:主干网:提供远程覆盖\高速传输\和路由器最优化通信 本地接入网:主要支持用户的访问本地,实现散户接入,速率低。 1-10 试在下列条件下比较电路交换和分组交换。要传送的报文共x(bit)。从源点到终点共。在 1、请简述冯诺依曼计算机体系结构 (1)机器以运算器为中心 (2)采用存储程序原理 (3)存储器是按地址访问的、线性编址的空间。 2、什么是操作系统? 答:操作系统是管理计算机硬件资源,控制其他程序运行并为用户提供交互操作界面的系统软件的集合。操作系统是计算机系统的关键组成部分,负责管理与配置内存、决定系统资源供需的优先次序、控制输入与输出设备、操作网络与管理文件系统等基本任务。操作系统的种类很多,各种设备安装的操作系统可从简单到复杂,可从手机的嵌入式操作系统到超级计算机的大型操作系统。 3、什么是数据库管理系统? 答:数据库管理系统(Database Management System)是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。用户通过DBMS访问数据库中的数据,数据库管理员也通过dbms 进行数据库的维护工作。它可使多个应用程序和用户用不同的方法在同时或不同时刻去建立,修改和询问数据库。 4、存储器的主要功能是什么? 答:(1)存储器是具有“记忆”功能的设备,它采用具有两种稳定状态的物理器件来存储信息。这些器件也称为记忆元件。在计算机中采用只有两个数码“0”和“1”的二进制来表示数据。记忆元件的两种稳定状态分别表示为“0”和“1”。日常使用的十进制数必须转换成等值的二进制数才能存入存储器中。计算机中处理的各种字符,例如英文字母、运算符号等,也要转换成二进制代码才能存储和操作。 5、计算机硬件有哪些部件,各部件的作用是什么? 电子计算机硬件由运算器、控制器、存储器、输入设备和输出设备组成,运算器和控制器集成在一起统称为中央处理器(CPU)。计算机各部件通过总线连接形成有机整体,微机总线有三种:地址总线、控制总线和数据总线。 (1)、运算器的主要功能是:完成算术运算和逻辑运算; (2)、控制器的功能是:协调指挥计算机各部件工作; (3)、存储器的主要作用是:存储程序和数据,实现记忆的功能。 (4)、输入设备的功能是:输入数据并转换为机内信息存储; (5)、输出设备的作用是:将机内信息转换为便于识别、处理和使用的字符、图形,并输出显示。 第一章概述 1-01 计算机网络向用户可以提供那些服务? 答: 连通性与共享 1-02 简述分组交换得要点、 答:(1)报文分组,加首部 (2)经路由器储存转发 (3)在目得地合并 1-03试从多个方面比较电路交换、报文交换与分组交换得主要优缺点。 答:(1)电路交换:端对端通信质量因约定了通信资源获得可靠保障,对连续传送大量数据效率高、 (2)报文交换:无须预约传输带宽,动态逐段利用传输带宽对突发式数据通信效率高,通信迅速、 (3)分组交换:具有报文交换之高效、迅速得要点,且各分组小,路由灵活,网络生 存性能好。 1—04 为什么说因特网就是自印刷术以来人类通信方面最大得变革? 答: 融合其她通信网络,在信息化过程中起核心作用,提供最好得连通性与信息共享 ,第一次提供了各种媒体形式得实时交互能力。 1-05因特网得发展大致分为哪几个阶段?请指出这几个阶段得主要特点。 答:从单个网络APPANET向互联网发展;TCP/IP协议得初步成型 建成三级结构得Internet;分为主干网、地区网与校园网; 形成多层次ISP结构得Internet;ISP首次出现。 1-06简述因特网标准制定得几个阶段? 答:(1)因特网草案(Internet Draft)—-在这个阶段还不就是RFC 文档、 (2)建议标准(ProposedStandard) —-从这个阶段开始就成为RFC文档。 (3)草案标准(DraftStandard) (4) 因特网标准(Internet Standard) 1-07小写与大写开头得英文名字internet与Internet在意思上有何重要区别? 答:(1) internet(互联网或互连网):通用名词,它泛指由多个计算机网络 互连而成得网络。;协议无特指 (2)Internet(因特网):专用名词,特指采用TCP/IP协议得互联网络 区别:后者实际上就是前者得双向应用 1—08 计算机网络都有哪些类别?各种类别得网络都有哪些特点? 答:按范围:(1)广域网WAN:远程、高速、就是Internet得核心网、 (2)城域网:城市范围,链接多个局域网。 (3)局域网:校园、企业、机关、社区。 (4)个域网PAN:个人电子设备 按用户:公用网:面向公共营运、专用网:面向特定机构、 1-09计算机网络中得主干网与本地接入网得主要区别就是什么? 答:主干网:提供远程覆盖\高速传输\与路由器最优化通信 本地接入网:主要支持用户得访问本地,实现散户接入,速率低。 1-10试在下列条件下比较电路交换与分组交换、要传送得报文共x(bit)、从源点到终点共经过k段链路,每段链路得传播时延为d(s),数据率为b(b/s)。在电路交换时电路得建立时间为s(s)。在分组交换时分组长度为p(bit),且各结点得排队等待时间可忽略不计、问在怎样得条件下,分组交换得时延比电路交换得要小?(提示:画一下草图观察k段链路共有几个结点。) 1.1节 1. 上面的两个输入中有且只有一个必须为1,且最下面的输入必须为1。 2. 下面的输入1被NOT门取反为0,使得AND门的输出变为0。因此,OR门的2个输入均为0(记 住,触发器上面的输入保持为0),因此OR门的输出变成0。这就意味着,当触发器下面的输入变回0,AND门的输出仍将保持0。 3. 上面的OR门的输出将变为1,使得上面的NOT门得到一个输出0。这会使得下面的OR门得到 一个输出0,并使得下面的NOT门得到一个输出1。这个1被看作是触发器的输出,同时反馈给了上面的OR门,这时,它将该门的输出保持为1,即使在触发器的输入已经变回0。 4. 当时钟为0时,触发器将屏蔽掉电路的输入值。当时钟为1时,触发器将响应电路的输入值。 5. a. 整个电路等同于单个XOR门。 b. 这个电路也等同于单个XOR门。 6. a. 6AF2 b. E85517 c. 48 7. a. 01011111110110010111 b. 0110000100001010 c. 1010101111001101 d. 0000000100000000 1.2节 1. 在第一种情况下,地址为6的存储单元最后结果为值5。在第二种情况下,它的最后结果值为8。 2. 在步骤1当新值写入3号存储单元时,该单元的原始值被擦去了。因此,步骤2并没有将3号存 储单元中原始值存入2号存储单元中。结果是:两个存储单元最后的值都是最初2号存储单元中的值。正确的步骤如下: 步骤1,将2号存储单元中的内容移到1号存储单元。 步骤2,将3号存储单元中的内容移到2号存储单元。 步骤3,将1号存储单元中的内容移到3号存储单元。 3. 32768位。 1.3节 1. 有较快的数据检索速度以及较高的传输速率。 2. 这里要记住的一点是,与计算机内部运作速度相比较,机械动作的缓慢表明:我们应该把必 须移动读/写磁头的次数减到最少。如果我们要在写满磁盘的一面后再开始下一面,那么当我们在写满一个道时都必须移动一次读/写磁头。因此磁头移动的次数就大约等于磁盘两个盘面所有道的总和。不过,如果我们通过电子方式在磁盘表面之间切换读/写磁头,我们就只需要在每个柱面写满时才移动一次读/写磁头了。 3. 在这个应用中,必须从海量存储系统中随机地检索信息,而对于CD和DVD等设备中使用的螺 旋系统,这种方法是很耗时的。(而且,现在的技术还无法使CD和DVD设备中的某部分数据进行更新。) 4. 存储空间是以物理扇区为单元分配的(事实上,在大多数情况下是以扇区组为单元)。如果最 后一个物理扇区没有被写满,可以再填加新的文本,而不需要增加此文档的存储空间。如果最后一个物理扇区已经被写满,那么无论要给该文档填加什么内容,都需要分配额外的物理扇区。 5. 闪存驱动器不需要物理运动,因此所需要的响应时间比较短,而且不会有物理损耗。 6. 缓冲区是一个临时的数据存储区域,通常用作解决数据源与最终目的地不一致性的手段。1.4节 第1章计算机系统概论 本章系统地介绍计算机系统的基本知识,要求学生了解计算机的分类与应用,掌握计算机的硬件组成,软件与硬件的关系以及计算机系统的层次结构。 重点提示: ●计算机系统的工作原理 ●计算机硬件系统的几大部件及其功能 ●计算机软件系统 1-1重点难点指导 1-1-1计算机系统简介 ENIAC(电子数字积分计算机,Electronic Numerical Integrator And Computer)是第一台正式运转的通用电子计算机。自从这台计算机问世以来,从使用的元器件角度来看,计算机的发展大致经历了4代的变化。 ●第一代(1946~1954)电子管计算机; ●第二代(1955~1964)晶体管计算机; ●第三代(1965~1973)集成电路计算机; ●第四代(1974~现在)大规模和超大规模集成电路计算机。 在计算机系统发展历史中,摩尔定律(Moore’s Law)是一个很重要的概念。Intel的创始人之一高登·摩尔(Gordon Moore)于1965年提出了著名的摩尔定律,预言单位平方英寸芯片的晶体管数目每过18到24个月就将增加一倍。 计算机的分类方法有很多种,主要的分类方式有: 按所处理的信号分类:⑴模拟计算机;⑵数字计算机。 按硬件的组合及用途分类:⑴专用计算机;⑵通用计算机。 按计算机的规模分类:⑴微型计算机;⑵工作站;⑶小型计算机;⑷主机;⑸小巨型计算机;⑹巨型计算机。 现实中的分类:⑴服务器;⑵工作站;⑶台式机;⑷便携机;⑸手持机。 计算机系统就是按人的要求接收和存储信息,自动地进行数据处理和计算,并输出结果信息的系统。计算机系统由硬件(子)系统和软件(子)系统组成。前者是借助电、磁、光、机械等原理构成的各种物理部件的有机组合,是系统赖以工作的实体。后者是各种程序和文 第一章作业参考答案 1-02试简述分组交换的要点。 答:分组交换最主要的特点是采用存储转发技术。 通常把要发送的整块数据称为一个报文。在发送报文之前,先把较长的报文划分成一个个更小的等长数据段,在每一个数据段前面添加首部构成分组,每一个分组的首部都含有地址等控制信息。 因特网的核心部分是由许多网络和把它们互连起来的路由器组成,而主机处在因特网的边缘部分。主机是为用户进行信息处理的,并且可以和其他主机通过网络交换信息。路由器是用来转发分组的,即进行分组交换。路由器每收到一个分组,先暂时存储,再检查其首部,查找转发表,按照首部中的目的地址,找到合适的接口转发出去,把分组转交给下一个路由器。这样一步步地经过若干个路由器,以存储转发的方式,把分组交付最终目的主机。 各路由器之间必须经常交换彼此掌握的路由信息,以便创建和维持在路由表中的转发表,使得转发表能够在整个网络拓扑发生变化时及时更新。 1-07小写和大些开头的英文名字internet和Internet在意思上有何重要区别? 答:以小写字母i开始的internet(互联网或互连网)是一个通用名词,它泛指由多个计算机网络互连而成的网络。在这些网络之间的通信协议(即通信规则)可以是任意的。 以大写字母I开始的Internet(因特网)则是一个专用名词,它指当前全球最大的、开放的、由众多网络相互连接而成的特定计算机网络,它采用TCP/IP 协议族作为通信的规则,其前身是美国的ARPANET。 1-08计算机网络都有哪些类别?各种类别的网络都有哪些特点? 答:按网络的作用范围划分: (1)广域网WAN,作用范围通常为几十到几千公里,也称为远程网,是Internet的核心部分。 计算机概论平时作业参考答案 1、简述人工智能。 答:人工智能,英文缩写为AI。它是研究、开发用于模拟、延伸和扩展人的智能的理论、方法、技术及应用系统的一门新的技术科学。 2、简述虚拟内存。 答:虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存(一个连续完整的地址空间),而实际上,它通常是被分隔成多个物理内存碎片,还有部分暂时存储在外部磁盘存储器上,在需要时进行数据交换。目前,大多数操作系统都使用了虚拟内存,如Windows家族的“虚拟内存”;Linux的“交换空间”等。 3、简述计算机总线工作原理。 答:计算机系统总线在微型计算机中的地位,如同人的神经中枢系统,CPU通过系统总线对存储器的内容进行读写,同样通过总线,实现将CPU内数据写入外设,或由外设读入CPU。微型计算机都采用总线结构。总线就是用来传送信息的一组通信线。微型计算机通过系统总线将各部件连接到一起,实现了微型计算机内部各部件间的信息交换。一般情况下,CPU提供的信号需经过总线形成电路形成系统总线。系统总线按照传递信息的功能来分,分为地址总线、数据总线和控制总线。这些总线提供了微处理器(CPU)与存储器、输入输出接口部件的连接线。可以认为,一台微型计算机就是以CPU为核心,其它部件全“挂接”在与CPU 相连接的系统总线上。这种总线结构形式,为组成微型计算机提供了方便。人们可以根据自己的需要,将规模不一的内存和接口接到系统总线上,很容易形成各种规模的微型计算机。 4、简述计算机编码及常用编码。 答:在计算机中,所有的数据在存储和运算时都要使用二进制数表示(因为计算机用高电平和低电平分别表示1和0),例如,像a、b、c、d这样的52个字母(包括大写)、以及0、1等数字还有一些常用的符号(例如*、#、@等)在计算机中存储时也要使用二进制数来表示,而具体用哪些二进制数字表示哪个符号,当然每个人都可以约定自己的一套(这就叫编码),而大家如果要想互相通信而不造成混乱,那么大家就必须使用相同的编码规则。常用编码有:ASCII、Unicode、UTF-8等。 5、简述冯诺依曼计算机体系结构。 答:冯·诺伊曼体系结构冯·诺伊曼理论的要点是:计算机的数制采用二进制;计算机应该按照程序顺序执行。人们把冯·诺伊曼的这个理论称为冯·诺伊曼体系结构 6、什么是操作系统? 答:操作系统是管理计算机硬件与软件资源的计算机程序,同时也是计算机系统的内核与基石。操作系统需要处理如管理与配置内存、决定系统资源供需的优先次序、控制输入设备与输出设备、操作网络与管理文件系统等基本事务。操作系统也提供一个让用户与系统交互的操作界面。操作系统的类型非常多样,不同机器安装的操作系统可从简单到复杂,可从移动电话的嵌入式系统到超级计算机的大型操作系统。许多操作系统制造者对它涵盖范畴的定义也不尽一致,例如有些操作系统集成了图形用户界面,而有些仅使用命令行界面,而将图形用户界面视为一种非必要的应用程序。 7、什么是数据库管理系统? 计算机网络――第一章习题及答案 一. 名词解释 1. ______A 广域网 2. ___D___ 城域网 3. _____C_ 局域网 4. B______ 通信子网 5. _____E_ ARPAnet 6. ______ H计算机网络 7. ___G___ 分布式系统8. ___F___ 公用数据网 广域网A. 覆盖范围从几十公里到几千公里,可以将一个国家、地区或横跨几个洲的计算机和网络互连起来的网络。 通信子网B. 有各种通信控制处理机、通信线路与其它通信设备组成,负责全网的通信处理任务。 局域网C. 用于有限地理范围(例如一幢大楼),将各种计算机、外设互连起来的网络。 城域网D. 可以满足几十公里范围内的大量企业、机关、公司的多个局域网互连的需要,并能实现大量用户与数据、语音、图像等多种信息传输的网络。 ARPAnet E. 对Internet的形成与发展起到奠基作用的计算机网络。 公用数据网F. 由邮电部门或通信公司统一组建与管理,向社会用户提供数据通信服务的网络。 分布式系统G. 存在着一个能为用户自动管理资源的网络操作系统,有它来自动调用完成用户任务所需的资源,整个网络系统对用户来说就像是一个大的计算机系统一样。 计算机网络H. 以能够相互共享资源的方式互连起来的自治计算机系统的集合。 二. 单项选择 1.随着微型计算机的广泛应用,大量的微型计算机是通过局域网连入广域网,而局域网域广域网的互连是通过 ___B____ 实现的。 A. 通信子网 B. 路由器 C. 城域网 D. 电话交换网 2.网络是分布在不同地理位置的多个独立的 ____D___ 的集合。 A. 局域网系统 B. 多协议路由器 C. 操作系统 D. 自治计算机 3.电信业一般认为宽带骨干网的数据传输速率达到 C。 A. 10Mb/s B. 100Mb/s C. 2Gb/s D. 10Gb/s 4.计算机网络拓扑是通过网中节点与通信线路之间的几何关系表示网络结构,它反映出网络中各实体间的 ____A___ 。 A. 结构关系 B. 主从关系 C. 接口关系 D. 层次关系 5.建设宽带网络的两个关键技术是骨干网技术和 B_______ 。 A. Internet技术 B. 接入网技术 第一章计算机网络概述 一、选择题 1.在网络上只要有一个结点故障就可能会使整个网络瘫痪的网络结构是()。 A.星型B、总线型C、环型D、分布式网络 2.一般来说,用来组织广域网的拓扑方案是()。 A.总线型网 B.星型网 C.环型 D.分布式网 3.以下关于星型网说法正确的是(假定集中区所用设备是集线器)()。 A.一旦集线器出现故障,则整个网络就会崩溃 B.如果有一段网络介质断裂了,则整个网路不能正常工作 C.因为网络的唯一集中区位于集线器处,所以星型拓扑结构易于维护 D.星型网络消除了端用户对中心系统的依赖性 4.以下关于局域网叙述不正确的是()。 A.局域网覆盖的地理范围是有限的 B.局域具有较高的就数据传输速率和误码率 C.局域网的主要技术要素是:网络拓扑结构、传输介质和介质访问控制方法 D.局域网易于建立、维护和扩展 5.最先出现的计算机网络是()。 A.ARPANET B.E thernet C.B ITNET D.Internet 6.计算机网络的主要目的是实现()。 A.数据通信B、资源共享C、远程登录D、分布式处理 7.计算机网络与计算机通信网络的根本区别是使用了()。 A.通信控制处理机 B.调制解调器 C.网络操作系统软件 D.集中器 8.消息服务的典型应用是()。 A.天气预报 B.文件归档 C.电子邮件 D.数据移动 9.组件计算机网络的目的是为了能够相互共享资源,这里的计算机资源主要是指硬件、软 件与()。 A.大型机 B.通信系统 C.服务器 D.数据 10.下面哪一项不是局域网的拓扑结构?() A.总线型 B.环型 C.星型 D.全互联性 11.一个拥有80个职员的公司,不久的将来将扩展到100多人,每个员工拥有一台计算机,现要求将这些计算机连网,实现资源共享,最能满足此公司要求的网络类型是()。 A.主机/终端 B.对等方式 C.客户/服务器方式 D.Internet 12.计算机网络拓扑结构主要取决于它的()。 A.资源子网 B.F DDI网 C.通信子网 D.城域网 13.广域网通常比局域网慢的主要原因是()。 A.广域网要更多的中转,而每个中转需要花费时间 B.广域网为了覆盖大的范围,通常采用慢速的公众交换网络 C.广域网的硬件技术没有局域网的硬件技术先进 D.广域网的软件技术没有局域网的软件技术先进 14.局域网最基本的网络拓扑类型主要有()。 A.总线型 B.总线型、环型、星型 C.总线型、环型 D.总线型、星型、网状型 15.()是连接网络基本模块的桥梁,提供各种连接技术的信息交换技术。 A.计算机系统 B.数据通信系统 C.网络操作系统 D.通信控制处理机 16.在计算机网络发展过程中,()对计算机网络的形成与发展影响最大。 A.OCTOPUS B.Newhall C.DA TAPAC D.ARPANET 17.在计算机网络组成结构中,()负责完成网络数据传输、转发等任务。 A.资源子网 B.局域网 C.通信子网 D.广域网 18.在计算机网络中完成通信控制功能的计算机是()。 A.通信控制处理机 B.通信线路 C.主机算计 D.终端 计算机网络第版第一章习题答案 计算机网络(第五版)课后习题答案(第一章)专业学习——网络基础 2009-12-21 20:44:51 阅读798 评论 2 字号:大中小 计算机网络(第五版)课后习题答案(第一章) 第一章概述 1-01 计算机网络向用户可以提供那些服务? 答:连通性和共享 1-02 简述分组交换的要点。 答:(1)报文分组,加首部 (2)经路由器储存转发 (3)在目的地合并 1-03 试从多个方面比较电路交换、报文交换和分组交换的主要优缺点。 答:(1)电路交换:端对端通信质量因约定了通信资源获得可靠保障,对连续传送大量数据效率高。 (2)报文交换:无须预约传输带宽,动态逐段利用传输带宽对突发式数据通信效率高,通信迅速。 (3)分组交换:具有报文交换之高效、迅速的要点,且各分组小,路由灵活,网络生存性能好。 1-04 为什么说因特网是自印刷术以来人类通信方面最大的变革? 答:融合其他通信网络,在信息化过程中起核心作用,提供最好的连通性和信息共享,第一次提供了各种媒体形式的实时交互能力。 1-05 因特网的发展大致分为哪几个阶段?请指出这几个阶段的主要特点。 答:从单个网络APPANET向互联网发展;TCP/IP协议的初步成型 建成三级结构的Internet;分为主干网、地区网和校园网; 形成多层次ISP结构的Internet;ISP首次出现。 1-06 简述因特网标准制定的几个阶段? 答:(1)因特网草案(Internet Draft) ——在这个阶段还不是 RFC 文档。 (2)建议标准(Proposed Standard) ——从这个阶段开始就成为 RFC 文档。 (3)草案标准(Draft Standard) (4)因特网标准(Internet Standard) 1-07小写和大写开头的英文名字 internet 和Internet在意思上有何重要区别? 答:(1) internet(互联网或互连网):通用名词,它泛指由多个计算机网络互连而成的网络。;协议无特指 (2)Internet(因特网):专用名词,特指采用 TCP/IP 协 计算机导论课后习题答案汇编 第一章一、简答题 1、什么是计算机? 计算机系统是一种能够按照事先存储的程序,自动、高速的对数据进行输入、处理、输出和存储的系统。一个计算机系统包括硬件和软件两大部分。2、解释冯·诺依曼所提出的\存储程序\概念。 把程序和数据都以二进制的形式同意存放在存储器中,由机器自动执行。不同的程序解决不同的问题,实现了计算机通用计算的功能,3、计算机有哪些主要的特点?运算速度快`精度高 计算机的字长越长,其精度越高,现在世界上最快的计算机每秒可以运算几十万次以上。一般计算机可以有市纪委甚至几十位(二进制)有效数字,计算精度可由千分之几到百万分之几,是任何计算工具所望尘莫及的。具有逻辑判断和记忆能力 计算机有准确的逻辑判断能力和高超的记忆能力。能够进行各种逻辑判断,并根据判断的结果自动决定下一步应该执行的指令。高度的自动化和灵活性 计算机采取存储程序方式工作,即把编号的程序输入计算机,机器便可依次逐条执行,这就使计算机实现了高度的自动化和灵活性。 4、计算机有哪些主要的用途?(1)科学计算(2)数据处理(3) 实时控制(4)人工智能 (5)计算机辅助工程和辅助教育(6)娱乐和游戏 5、计算机发展中各个阶段的主要特点是什么?第一代计算机特征是采用电子管作为主要元器件第二代计算机特征是采用晶体管作为主要器件第三代计算机特征是半导体中小规模集成电路第四代计算机特征是大规模和超大规模集成电路6信息化社会的主要特点是什么?1·建立完善的信息基础设施2·采用现金的信息技术3·建立广泛的信息产业4·拥有高素质的信息人才5·构建良好的信息环境 7、信息化社会对计算机人才的素质和知识结构有哪些要求? 在信息化社会中所需要的计算机人才是多方位的,不仅需要研究型、设计型的人才,而且需要应用型的人才;不仅需要开发型人才而且需要维护型、服务型、操作型的人才。要求计算机人才具有较高的综合素质和创新能力,并对于新技术的发展具有良好的适应性。8、说明计算机科学与技术学科的知识体系及知识领域、知识单元和知识点的含义。 9计算机科学的研究范畴主要包括哪些? 计算机科学技术的研究范畴主要包括计算机理论、硬件、软件、网络及其应用等。 第二章一简答题 1 什么是数制?采用位权表示法的数制具有哪3个特点?按进位的原则进行计数称为进位计数制,简称数制。特点:(1)数字的总个数等于基数。(2)最大的数字比基数小1 (3)每个数都要乘以基数的幂次,该幂次由每个数字所在的为止决定。 2 二进制的加法和乘法的运算规则是什么? (1)加法运算规则:0+0=0 0+1=1 1+0=1 1+1=10 (2)乘法运算法则0*0=0 0*1=0 1*0=0 1*1=1 3 十进制整数转换为非十进制证书的规则是什么? (1)十进制整数转换为非十进制整数除基取余,先余为低,后余为高。(2)乘基取整,先整为高,后整为低。 4 将下列的十进制数转换成二进制数:6,12,286,1024,0.25,7.125,2.62 5 答:(6) 1、在计算机中,常用的数制是_________。 A、十六进制 B、二进制 C、八进制 D、十进制 你的回答:B (√) 参考答案:B 2、在微型计算机系统中,微处理器又称为_________。 A、RAM B、ROM C、CPU D、VGA 你的回答:C (√) 参考答案:C 3、计算机的硬件系统由______各部分组成。 A、控制器、运算器、存储器、输入输出设备。 B、控制器、显示器、打印机、主机、键盘。 C、CPU、主机、显示器、打印机、硬盘、键盘。 D、主机箱、集成块、显示器、电源、键盘 你的回答:A (√) 参考答案:A 4、下面几个数中,最小的数是_________。 A、二进制数100010010 B、八进制数420 C、十进制数273 D、十六进制数10F 你的回答:D (√) 参考答案:D 5、软磁盘和硬磁盘都是()。 A、海量存储器 B、计算机的外存储器 C、计算机的内存储器 D、备用存储器 你的回答:B (√) 参考答案:B 6、在下列设备中,()不能作为微型计算机的输出设备。 A、绘图仪 B、键盘 C、打印机 你的回答:B (√) 参考答案:B 7、十进制数10.125转换为二进制数为___________。 A、1011.010 B、1001.111 C、1010.001 D、1100.101 你的回答:C (√) 参考答案:C 8、计算机病毒是一种___________。 A、特殊的芯片 B、人为编制地特殊程序 C、微生物 D、能传染的生物病毒 你的回答:B (√) 参考答案:B 9、计算机的发展经历了机械式计算机、()式计算机和电子计算机三个阶段。计算机网络习题及答案
计算机导论试卷第1章 课后习题及参考答案
计算机系统概论第一章测验及答案
计算机网络第一章习题及答案
第一章 计算机系统概述(二)
第1章计算机系统概论参考答案
计算机网络第一章习题答案
计算机概论第一次作业
计算机网络第一章习题答案
计算机导论第一章课后练习答案
第1章-计算机系统概论
《计算机网络》第一章 作业参考答案
计算机概论 平时作业参考答案
计算机网络第一章 作业及答案
第一章计算机网络概论习题
计算机网络第版第一章复习题答案
计算机专业导论课后习题答案汇编(第三版).doc
新版计算机概论第一章作业
- 第一章计算机系统概论汇编
- 第一章计算机系统概论
- 计算机系统概论第一章测验及答案
- 第1章计算机系统概论参考答案
- 第一章 计算机系统概论
- 计算机系统概论_随堂练习与答案考试用
- 第一章 计算机系统概论PPT课件
- 数字逻辑与计算机组成原理:第一章 计算机系统概论
- 第一章计算机系统概论习题参考答案
- ch1计算机系统概论
- 计算机系统概论测试题
- 计算机系统概论第一章测验及答案
- 计算机组成原理-第一章-计算机系统概论
- 第一章 计算机系统概论习题
- 计算机系统概论测试题
- 第1章-计算机系统概论
- 第一章 计算机系统概论
- 313_第1章计算机系统概论参考详解参考
- 计算机组成和结构第1章_计算机系统概论
- 第一章 计算机系统概述