计算机导论：网络与系统安全

1、计算机导论(Introduction to Computers),网络与系统安全,北京语言大学 信息科学学院 徐燕,这次课的主要内容,引言(从一个例子说起) 计算机网络与互联网 系统安全,两军问题与计算机网络,一个新的领域的出现：网络计算 20世纪90年代因特网迅速发展 操作系统已经不能包含有关资源共享的所有内容了 两军问题,两军问题,两军问题,不存在蓝军必胜的协议的证明,从两军问题我们看到的,共享资源 网络连接层中的释放连接的要点 一般用的是一个三步握手协议 这样使用实际应用中不是完全没有错误，而是实际应用已经足够 释放一个有数据丢失的实际网络不是人们想象的那么简单 实际通讯中还有保密的问题

2、 有安全隐患，所以提出系统安全的问题,计算机网络与互联网,计算机网络,相互连接的、共享着信息与资源的多台计算机及软件，以及支持连接、通信和共享的那些设备。 为什么需要计算机网络？ 共享外设与软件许可证（License） 共享大规模（通常是昂贵的）存储设备与信息资源 不再需要许多数据存储设备（节省硬件成本） 减少了冗余的数据存储与服务支持 提供电子邮件（E-mail）与消息（Message）服务 与其他网络互联,计算机网络,基本术语： 带宽（Bandwidth）：网络数据传输容量（bits/秒，bps） 结点（Node）：连接到网络上的设备 客户机（Client）：请求并使用其他结点可用资源的结

3、点 服务器（Server）：允许其他结点共享自己资源的结点 网络操作系统：对网络中结点之间的活动进行控制与协调的系统软件 分布处理（Distributed processing）：分散在不同结点、可以被共享的协同计算能力,网络协议,两个人要进行对话，至少需要： 都能理解对方所使用的语言； 在同一时刻，不能都在说话而无法听到对方（除非是在吵架），因此需要有对话的顺序规则。 计算机网络采用的是数字通信，在网络上实际传送的都是二进制数据，因此更需要事先规定对话的规则，这就是网络协议（Network protocol） 。 网络结点之间常用的一种网络协议是 TCP/IP。 互联网用户一般用（TCP/I

4、P之上的）http 协议来获取信息。,网络体系结构,体系结构：协议分几层，每一层完成什么样的功能 网络中的每个结点是分层的（如通信设施、计算机硬件、系统软件、应用软件），因此网络协议也是分层的。 例:甲乙两个人通电话 语法：电话号码； 语义：响铃（表示有电话打进），乙接电话，通话等一系列的动作； 同步：甲先拨电话，响铃，乙接听电话，等一系列的通话时序。,类比：信件寄送过程的实现,分层实现,分层实现后的数据传输,概念上可以认为通信是水平的，但是事实上水平通信要依赖垂直通信来实现 网络协议被分解成若干相互有联系的简单协议，这些简单协议的集合称为协议栈,协议分层实现,发送端：封装；接收端：解封。,协

5、议分层实现后的数据传输,例子 ISO/OSI参考模型 TCP/IP体系结构,计算机网络体系结构,计算机网络体系结构是计算机网络的各层及其协议的集合，即：这个计算机网络及其部件所应完成的功能的精确定义。,双向箭头线表示概念上的通信线路，空心箭头表示实际通信线路。,通 信 子 网,资 源 子 网,各层的任务 处理网络应用 数据如何表示 主机间的通信 端到端的连接 路由寻址 介质访问接入 比特流的传输,目的是实现异种机互连。 与OSI参考模型相关的协议已经很少使用，但是该模型本身是非常通用的，并且仍然有效，在每一层上讨论到的特性也仍然非常重要。,ISO/OSI参考模型,在实际应用中,对OSI进行简化

6、TCP/IP TCP（Transmission Control Protocol）用于保证被传送信息的完整性 IP（Internet Protocol）负责将消息从一个地方传送到另一个地方。,是Internet所使用的体系结构，目的是网络互连。本模型本身并不非常有用，但是协议却被广泛使用开了。,TCP/IP体系结构,网络的拓扑结构,网络结点的组织结构。影响到： 网络中通信信道（Communication channel）的分配模式； 网络中资源的协调与共享方式。 不同的网络体系结构有着不同的拓扑（Topology）结构： 星形（Star）结构 总线（Bus）结构 环形（Ring）结构 层次（H

7、ierarchical）结构,星形结构与总线结构,客户机使用专门的、只与服务器相连的信道，客户机之间的通信需服务器转发。,结点使用公共的信道相互连接，可以直接通信。,环形结构与层次结构,相邻的结点可以直接通信，不相邻的结点需其他结点转发。,树形结构、分级服务与控制。每个分枝结点是一台服务器，同时又是其上层结点的客户机。,网络的类别,网络以其地理范围的不同而分为： 局域网（Local Area Network，LAN）：其连接范围在同一幢大楼内，采用双绞线（Twisted pair wire）通过集线器（Hub）或网络交换机（Switch）互联，并通过网桥（Network bridge）或网关（

8、Network gateway）与其他网络相连。 城域网（Metropolitan Area Network，MAN）：其连接范围通常在一座城市内，采用光缆（Fiber-optic cable）在楼房之间互联。 广域网（Wide Area Network，WAN）：是城市之间、乃至世界范围内的网络，采用微波中继（Microwave relay）、卫星互联。Internet 是最大的广域网。,The Internet: The Network of Networks!,互联网的起源,以 1969 年建立的 ARPANet（Advanced Research Project Agency Netw

9、ork）为基础。当时在 ARPANet 上只能获取文本信息。 1992 年，欧洲原子能研究中心发明了 World Wide Web（简称 WWW），提供了多媒体（Multimedia）的界面。 WWW 是当今互联网的代名词。,互联网改变了人们的生活方式,廉价、方便的通信 查找信息 购物 娱乐 教育 医疗 ,怎样获取互联网上的信息？,用户通过安装在自己计算机上的浏览器（Browser）软件（如Microsoft IE，Internet Explorer），从所在的网络进入互联网。 输入 URL（Uniform Resource Locator），来给出所要访问的网站（Web site）或主页（H

10、ome page）。 建立连接后，对方传回的网页（Web page）在用户的计算机上展示。网页用 HTML（Hypertext Markup Language，超文本标记语言）或 XML（Extensible Markup Language，可扩展的标记语言）编制，含有文本、图形、图像和超链接（Hyperlinks）。 用户可以用鼠标点击超链接，来继续获得相关的网页。,http:/www.Blcu ,怎样获取互联网上的信息？,怎样获取互联网上的信息？,怎样获取互联网上的信息？,很多情况下，我们不知道应当用什么 URL 来找到信息所在的网页。这时，可利用搜索引擎（Search engine）。

11、搜索引擎根据我们给出的搜索关键字（Keyword），在它的数据库中迅速地查出所有含有搜索关键字的网页的目录和概要说明，再由我们选择，通过超链接找到对应的网页。 当然，我们必须知道搜索引擎的 URL 。 常用的搜索引擎：,怎样获取互联网上的信息？,E-mail 使信纸、信封和邮票离我们而去,电子邮件提供了一种廉价、快速的全球通信模式。 电子邮件的基本元素： 对方地址、邮件主题、附件名称。 主体：就象我们在信纸上写的那样。 签名（包括加密）。 要求：用户计算机上安装了电子邮件软件（如 Microsoft Outlook），并与对应的邮件服务器相连。 自己和对方的邮件地址，必须遵循一定的书写规定：,

12、E-mail 使信纸、信封和邮票离我们而去,电子商务,互联网正在改变传统的商务模式，电子商务（Electronic Commerce）应运而生。 电子商务的主要类别： Business-to-consumer (B2C) Consumer-to-consumer (C2C) Business-to-business (B2B),系统安全,计算机伦理,计算机网络（特别是互联网）带来的信息高度共享，引发了与计算机系统有关的伦理与法律问题。 伦理（Ethics）：道德的行为标准。 计算机伦理：使用计算机系统时的道德底线。 涉及： 隐私权：不能破坏其他人的隐私权。 准确性：只承认事实，不能加入任何感情

13、色彩。 所有权：不能侵犯他人所拥有的法定权利。 访问权：未经他人许可，不能读取相应的信息。,威胁计算机系统安全（Security）的主要来源,计算机病毒（Virus） 非法的电子手段进入（Electronic break-in） 自然灾害与其他危害 恐怖活动,什么是计算机病毒？,Fred Cohen 给出的一个定义： “A computer virus is a computer program that can infect other computer programs by modifying them in such way as to include a (possibly evol

14、ved) copy of itself.” 计算机病毒是一种程序，在未征得其用户许可的情况下侵入一个计算机系统，并蔓延至该系统的文件乃至其他计算机系统。 广义地讲，未经授权即进入计算机系统、并引发了麻烦的任何程序，都可以称为计算机病毒。,计算机病毒的主要传播途径,盗版软件 从互联网下载的、已被感染的可执行程序文件 E-mail 的附件 从其计算机系统已被感染的销售商那里购买的正版软件 公用计算机房 ,计算机病毒可能造成的后果,破坏文件和目录 使磁盘、程序不可用 中断正在正常执行的程序 根据通信录中的邮件地址，向其他机器偷发病毒邮件 在屏幕上乱写乱画 通过扬声器胡说八道 破坏主板！ ,计算机病毒

15、的防治手段,只使用从正规途径获得的软件 不使用盗版软件 不从没有安全保障的机器中复制文件（特别是可执行程序） 在自己的机器上安装防病毒软件，并经常更新病毒信息 绝不打开来历不明的邮件中的附件 ,计算机犯罪（Computer Criminals）,犯罪嫌疑人的主要类别： 本单位的员工 外界的用户 “黑客”（Hacker） “精神错乱者”（Cracker） 犯罪组织 恐怖分子 计算机犯罪的手段： 病毒、恶意服务请求攻击，以破坏计算机、程序和文件。 偷窃硬件、数据、计算机时间；软件盗版。 通过网络控制对方的计算机。,别把计算机犯罪 当作开国际玩笑！,其他灾难,除了要面对计算机犯罪以外，计算机系统还必

16、须面对各种灾难，包括： 自然灾害：地震、火灾、水灾、台风等； 民事冲突：战争、暴乱等； 技术故障：停电、灯火管制等； 人为错误：数据输入错误、程序错误等。,安全性措施,保护信息系统中信息、硬件和软件的措施。 可以采用的方法： 信息加密（Encrypt） 如：对网络中传输的、数据库中存储的信息进行加密等。 访问限制 如：口令（Password）、防火墙（Firewall）等手段。 防范灾难 如：制定灾难恢复计划、实施灾难防范手段等。 数据备份 在以上措施因某种原因没有达到预期效果时，保证数据不会丢失与损坏。,保护信息系统中信息、硬件和软件的措施。 可以采用的方法： 信息加密（Encrypt） 如

17、：对网络中传输的、数据库中存储的信息进行加密等。 访问限制 如：口令（Password）、防火墙（Firewall）等手段。 防范灾难 如：制定灾难恢复计划、实施灾难防范手段等。 数据备份 在以上措施因某种原因没有达到预期效果时，保证数据不会丢失与损坏。,安全性措施,一个具体的实例RSA加密算法,RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美国麻省理工学院）开发的。RSA取名来自开发他们三者的名字。 RSA是目前最有影响力的公钥加密算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。 在公钥加密标准和电子商业

18、中RSA被广泛使用 RSA算法基于一个十分简单的数论事实：将两个大素数相乘十分容易，但那时想要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。,公钥和私钥的产生,假设Alice想要通过一个不可靠的媒体接收Bob的一条私人讯息。她可以用以下的方式来产生一个公钥和一个私钥： 随意选择两个大的质数p和q，p不等于q，计算N=pq。 根据欧拉函数，不大于N且与N互质的整数个数为(p-1)(q-1) 选择一个整数e与(p-1)(q-1)互质，并且e小于(p-1)(q-1) 用以下这个公式计算d：d e 1 (mod (p-1)(q-1) 将p和q的记录销毁。 （N,e)是公钥，(N,d)

19、是私钥。(N,d)是秘密的。Alice将她的公钥(N,e)传给Bob，而将她的私钥(N,d)藏起来。,加密消息与解密信息,(N,e)是公钥，(N,d)是私钥。 利用公钥进行加密 利用私钥进行解密 安全性 假设偷听者乙获得了甲的公钥N和e以及丙的加密消息c，但她无法直接获得甲的密钥d。要获得d，最简单的方法是将N分解为p和q 至今为止还没有人找到一个多项式时间的算法来分解一个大的整数的因子,已公开的或已知的攻击方法,1999年，RSA-155（512 bits）被成功分解，花了五个月时间（约8000 MIPS 年）和224 CPU hours 在一台有3.2G中央内存的Cray C916计算机上完成 。 2002年，RSA-158也被成功因数分解。 RSA-158表示如下： 39505874583265144526419767800614481996020776460304936454139376051579355626529450683609727842468219535093544305870490251995655335710209799226484977949442955603= 3388495837466721394368393204672181522815830368604993048084925840555281177116588234066