第九章系統(tǒng)安全性

1、第九章系統(tǒng)平安性9.1弓I言1. 系統(tǒng)平安性的內(nèi)容系統(tǒng)平安性包括物理平安、邏輯平安和平安管理三方 面的內(nèi)容。邏輯平安那么包括：保密性、完整性、可用性2.系統(tǒng)平安的性質(zhì)(1)多面性(2)動(dòng)態(tài)性(3)層次性(4)適度性對(duì)系統(tǒng)平安威脅的類型(1) 假冒(Masquerading)(2) 數(shù)據(jù)截取(Data Interception)(3) 拒絕效勞(Denial of Server)(4) 修改(Modification)(5) 偽造(Fabrication)(6) 否認(rèn)(Repudiation)(7) 中斷(In terruptio n)(8) 通信量分析(Traffic Analysis)對(duì)各類

2、資源的威脅1. 對(duì)硬件的威脅電源掉電；設(shè)備故障和喪失2. 對(duì)軟件的威脅刪除軟件；拷貝軟件；惡意修改3. 對(duì)數(shù)據(jù)的威脅竊取機(jī)密信息；破壞數(shù)據(jù)的可用性 ；破壞數(shù)據(jù)的完整性4. 對(duì)遠(yuǎn)程通信的威脅被動(dòng)攻擊方式；主動(dòng)攻擊方式信息技術(shù)平安評(píng)價(jià)公共準(zhǔn)那么(CQTCSEC中平安程度分：D、C、C2、B2、R、A、A八級(jí)。? D?a?a平安保護(hù)欠缺級(jí)最低? C?a?a自由平安保護(hù)級(jí)? C2?a?a受控存取控制級(jí)ORACLEUNIX皆到達(dá)此級(jí)? B?a?a有強(qiáng)制存取控制和形式化模式技術(shù)的應(yīng)用? B3, A?a?a對(duì)內(nèi)核進(jìn)行形式化的最高級(jí)描述和驗(yàn)證。9.2數(shù)據(jù)加密技術(shù)直至進(jìn)入20世紀(jì)60年代，由于電子技術(shù)和計(jì)算機(jī)技

3、術(shù)的迅速開(kāi)展， 以及結(jié)構(gòu)代數(shù)、可計(jì)算性理論學(xué)科研究成果的出現(xiàn)，才使密碼學(xué)的研究走出困 境而進(jìn)入了一個(gè)新的開(kāi)展時(shí)期；特別是美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn)DES公開(kāi)密鑰密碼 體制的推出，又為密碼學(xué)的廣泛應(yīng)用奠定了堅(jiān)實(shí)的根底。數(shù)據(jù)加密模型密碼技術(shù)彈鑰加密與雙鑰加密?傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，或從一個(gè)可以推出另一個(gè)，被稱為單鑰或?qū)ΨQ密碼體制。假設(shè)加密密鑰和 解密密鑰不相同，從一個(gè)難以推出另一個(gè)，那么稱為雙鑰或非對(duì) 稱密碼體制。?單鑰密碼的優(yōu)點(diǎn)是加、解密速度快。缺點(diǎn)是隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，密鑰的管理成為一個(gè)難點(diǎn)；無(wú)法解決消息確認(rèn)問(wèn)題； 缺乏自動(dòng)檢測(cè)密鑰泄露的能力。雙鑰加密?采用雙鑰體制的每個(gè)用戶都有一

4、對(duì)選定的密鑰：一個(gè)是可以公開(kāi)的，可以像 號(hào)碼一樣進(jìn)行注冊(cè)公布；另一個(gè) 那么是秘密的，因此雙鑰體制又稱作公鑰體制。由于雙鑰密碼 體制的加密和解密不同，且能公開(kāi)加密密鑰，而僅需保密解 密密鑰，所以雙鑰密碼不存在密鑰管理問(wèn)題。雙鑰密碼還有 一個(gè)優(yōu)點(diǎn)是可以擁有數(shù)字簽名等新功能。雙鑰密碼的缺點(diǎn)是 雙鑰密碼算法一般比擬復(fù)雜，加、解密速度慢。加密算法的類型1按其對(duì)稱性分類1對(duì)稱加密算法。2非對(duì)稱加密算法。2) 按所變換明文的單位分類(1) 序列加密算法(2) 分組加密算法根本加密方法1) 易位法易位法是按照一定的規(guī)那么，重新安排明文中的比特或字 符的順序來(lái)形成密文，而字符本身保持不變。2) 置換法置換法是按

5、照一定的規(guī)那么，用一個(gè)字符去置換另一個(gè)字符來(lái)形 成密文。比擬好的置換算法是進(jìn)行映像。例如，將 26個(gè)英文字母映 像到另外26個(gè)特定字母中。利用置換法可將attack加密，變?yōu)镼ZZQEA9.2.3數(shù)字簽名和數(shù)字證明書(shū)1. 數(shù)字簽名為使數(shù)字簽名能代替?zhèn)鹘y(tǒng)的簽名，必須滿足三個(gè)條件：(1) 接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名。(2) 發(fā)送者事后不能抵賴其對(duì)報(bào)文的簽名。(3) 接收者無(wú)法偽造對(duì)報(bào)文的簽名。1)簡(jiǎn)單數(shù)字簽名在這種數(shù)字簽名方式中， 發(fā)送者A可使用私用密 鑰Kda對(duì)明文P進(jìn)行加密，形成DKda(P)后傳送給接收者B。 B可利用A的公開(kāi)密鑰Kea對(duì)DKda(P)進(jìn)行解密，得到EKea(DKda(

6、P)=P，如下圖2)保密數(shù)字簽名為了實(shí)現(xiàn)在發(fā)送者A和接收者B之間的保密數(shù)字簽名，要求A和B都具有密鑰，再按照?qǐng)D9-4(b)所示的方法進(jìn)行加密和解密。(1)發(fā)送者A可用自己的私用密鑰 Kda對(duì)明文P加密，得到密文D K d a ( P )。(2) A再用B的公開(kāi)密鑰Keb對(duì)DKda( P)進(jìn)行加密，得到E K e b ( D K d a ( P )后送 B 。(3 ) B收到后，先用私用密鑰Kd b進(jìn)行解密，即D K d b ( E K e b ( D Kd a ( P ) ) ) = D K d a ( P )。(4) B再用A的公開(kāi)密鑰Kea對(duì)DKda( P)進(jìn)行解密，得到E K e a (

7、 D K d a ( P )= P 。2.數(shù)字證明書(shū)(Certificate)(1) 可使用數(shù)字證書(shū)進(jìn)行對(duì)郵件進(jìn)行簽名和加密。用戶 A在使用數(shù)字證明書(shū)之 前，應(yīng)先向認(rèn)證機(jī)構(gòu)C/申請(qǐng)數(shù)字證明書(shū)，此時(shí)A應(yīng)提供身份證明和希望使用的公 開(kāi)密鑰Ao(2) CA在收到用戶A發(fā)來(lái)的申請(qǐng)報(bào)告后，假設(shè)決定接受其申請(qǐng)， 便發(fā)給A份數(shù)字 證明書(shū)，在證明書(shū)中包括公開(kāi)密鑰A和CA發(fā)證者的簽名等信息，并對(duì)所有這些信 息利用CA勺私用密鑰進(jìn)行加密(即CAS行數(shù)字簽名)。(3) 用戶A在向用戶B發(fā)送報(bào)文信息時(shí)，由A用私用密鑰對(duì)報(bào)文加密(數(shù)字簽名)， 并連同已加密的數(shù)字證明書(shū)一起發(fā)送給 Bo(4) 為了能對(duì)所收到的數(shù)字證明書(shū)進(jìn)

8、行解密，用戶 B須向CA機(jī)構(gòu)申請(qǐng)獲得C/的 公開(kāi)密鑰Bo CA攵到用戶B的申請(qǐng)后，可決定將公開(kāi)密鑰B發(fā)送給用戶B。(5) 用戶B利用CA勺公開(kāi)密鑰B對(duì)數(shù)字證明書(shū)加以解密，以確認(rèn)該數(shù)字證明書(shū)確系原件，并從數(shù)字證明書(shū)中獲得公開(kāi)密鑰A,并且也確認(rèn)該公開(kāi)密鑰A確系用戶A 的。(6) 用戶B再利用公開(kāi)密鑰A對(duì)用戶A發(fā)來(lái)的加密報(bào)文進(jìn)行解密，得到用戶 A發(fā)來(lái) 的報(bào)文的真實(shí)明文。9.2.4 網(wǎng)絡(luò)加密技術(shù)1. 鏈路加密(Link Encryption)鏈路加密，是對(duì)在網(wǎng)絡(luò)相鄰結(jié)點(diǎn)之間通信線路上傳輸?shù)臄?shù)據(jù)進(jìn) 行加密。2. 端一端加密在單純采用鏈路加密方式時(shí)，所傳送的數(shù)據(jù)在中間結(jié)點(diǎn)將被恢 復(fù)為明文，因此，鏈路加密方

9、式尚不能保證通信的平安性；而端？a端加密方式是在源主機(jī)或前端機(jī) FEP中的高層(從傳輸層到應(yīng)用層) 對(duì)所傳輸?shù)臄?shù)據(jù)進(jìn)行加密。這樣可以保證在中間結(jié)點(diǎn)不會(huì)出現(xiàn)明文。9.3 認(rèn)證技術(shù)1. 口令利用口令來(lái)確認(rèn)用戶的身份，是當(dāng)前最常用的認(rèn)證技術(shù)。2. 對(duì)口令機(jī)制的根本要求? 口令長(zhǎng)度要適中(2) 自動(dòng)斷開(kāi)連接不回送顯示(4) 記錄和報(bào)告3. 一次性口令4. 口令文件基于物理標(biāo)志的認(rèn)證技術(shù)指紋識(shí)別技術(shù)(1)指紋指紋有著物證之首的美譽(yù)。盡管目前全球已有近 60億人口，但 絕對(duì)不可能找到兩個(gè)完全相同的指紋。因而利用指紋來(lái)進(jìn)行身份認(rèn) 證是萬(wàn)無(wú)一失的，而且非常方便。利用指紋來(lái)進(jìn)行身份識(shí)別是有廣 闊前景的一種識(shí)別技

10、術(shù)，世界上已有愈來(lái)愈多的國(guó)家開(kāi)展了對(duì)指紋 識(shí)別技術(shù)的研究。(2)指紋識(shí)別系統(tǒng)9.3.3基于公開(kāi)密鑰的認(rèn)證技術(shù)1. 申請(qǐng)數(shù)字證書(shū)由于SSL所提供的平安效勞，是基于公開(kāi)密鑰證明書(shū)(數(shù)字證書(shū))的身份認(rèn) 證，因此，但凡要利用SS啲用戶和效勞器，都必須先向認(rèn)證機(jī)構(gòu)(CA)申請(qǐng)公開(kāi)密鑰證明書(shū)。(1) 效勞器申請(qǐng)數(shù)字證書(shū)(2) 客戶申請(qǐng)數(shù)字證書(shū)2. SSL 握手協(xié)議(1) 身份認(rèn)證(2) 協(xié)商加密算法。(3) 協(xié)商加密密鑰。3. 數(shù)據(jù)加密和檢查數(shù)據(jù)的完整性(1) 數(shù)據(jù)加密在客戶機(jī)和效勞器間傳送的所有信息，都應(yīng)利用協(xié)商后所確定的加密算法 和密鑰進(jìn)行加密處理，以防止被攻擊。(2) 檢查數(shù)據(jù)的完整性為了保證經(jīng)過(guò)長(zhǎng)

11、途傳輸后所收到的數(shù)據(jù)是可信任的，SSL協(xié)議還利用某種算 法對(duì)所傳送的數(shù)據(jù)進(jìn)行計(jì)算，以產(chǎn)生能保證數(shù)據(jù)完整性的數(shù)據(jù)識(shí)別碼(MAC),再 把MA和業(yè)務(wù)數(shù)據(jù)一起傳送給對(duì)方；而收方那么利用 MA來(lái)檢查所收到數(shù)據(jù)的完整 性。9.4訪問(wèn)控制技術(shù)1) 訪問(wèn)權(quán)為了對(duì)系統(tǒng)中的對(duì)象加以保護(hù)，應(yīng)由系統(tǒng)來(lái)控制進(jìn)程對(duì)對(duì)象的 訪問(wèn)。我們把一個(gè)進(jìn)程能對(duì)某對(duì)象執(zhí)行操作的權(quán)力稱為訪問(wèn)權(quán) (Access right)。每個(gè)訪問(wèn)權(quán)可以用一個(gè)有序?qū)?對(duì)象名，權(quán)集)來(lái) 表示.2) 保護(hù)域3) 進(jìn)程和域間的靜態(tài)聯(lián)系方式4) 進(jìn)程和域間的動(dòng)態(tài)聯(lián)系方式圖9 9 一個(gè)訪問(wèn)矩陣942訪問(wèn)矩陣的修改博*FtFlFi打印機(jī)L繪咼儀書(shū)D,RR.WRrt

12、w,eRtWwww注R讀，W-寫(xiě)，E執(zhí)行帶所有權(quán)的訪問(wèn)矩陣%Faf4Fs打印機(jī)1打印機(jī)2域U域4域DRR,WsRRNER.WWS3R,W,EwW注 R罠 W寫(xiě)，E執(zhí)行飛一切換具有控制權(quán)的訪問(wèn)矩陣943訪問(wèn)控制矩陣的實(shí)現(xiàn)1.訪問(wèn)控制表(Access Control List)這是指對(duì)訪問(wèn)矩陣按列(對(duì)象)劃分，為每一列建立一張?jiān)L問(wèn)控 制表ACL在該表中，已把矩陣中屬于該列的所有空項(xiàng)刪除，此時(shí)的 訪問(wèn)控制表是由一有序?qū)?域，權(quán)集)所組成。由于在大多數(shù)情況 下，矩陣中的空項(xiàng)遠(yuǎn)多于非空項(xiàng)，因而使用訪問(wèn)控制表可以顯著地 減少所占用的存儲(chǔ)空間，并能提咼查找速度。訪問(wèn)控制表也可用于定義缺省的訪問(wèn)權(quán)集2. 訪問(wèn)

13、權(quán)限(Capabilities)表把訪問(wèn)矩陣按行劃分，便可由每一行構(gòu)成一張?jiān)L問(wèn)權(quán)限表。表中的每一 項(xiàng)即為該域?qū)δ硨?duì)象的訪問(wèn)權(quán)限。當(dāng)域?yàn)橛脩?進(jìn)程)、對(duì)象為文件時(shí)，訪問(wèn)權(quán)限表便可用來(lái)描述一個(gè)用戶(進(jìn)程)對(duì)每一個(gè)文件所能執(zhí)行的一組操作。圖9 - 14給出對(duì)應(yīng)于圖9-10中域D2的訪問(wèn)權(quán)限表。9.5 防火墻技術(shù)用于實(shí)現(xiàn)防火墻功能的技術(shù)可分為兩類：(1) 包過(guò)濾技術(shù)?；谠摷夹g(shù)所構(gòu)建的防火墻簡(jiǎn)單、價(jià)廉。(2) 代理效勞技術(shù)?；谠摷夹g(shù)所構(gòu)建的防火墻平安可靠。上述兩者之間有很強(qiáng)的互補(bǔ)性，因而在Intranet上經(jīng)常是同時(shí) 米用這兩種防火墻技術(shù)來(lái)保障網(wǎng)絡(luò)的平安。9.5.1 包過(guò)濾防火墻1.包過(guò)濾防火墻的根

14、本原理所謂包過(guò)濾技術(shù)是指：將一個(gè)包過(guò)濾防火墻軟件置于Intranet 的適當(dāng)位置，通常是在路由器或效勞器中，使之能對(duì)進(jìn)出In tra net的所有數(shù)據(jù)包按照指定的過(guò)濾規(guī)那么進(jìn)行檢查，僅對(duì)符合指定規(guī)那么的 數(shù)據(jù)包才準(zhǔn)予通行，否那么將之拋棄。圖中示出了基于包過(guò)濾技術(shù)的包過(guò)濾防火墻丨規(guī)那么源地址目標(biāo)地址(僉旬)功作A135.75.30*0123.45*6.0permitB1123* 45. & 0permitc 1123,permit1 D123.45.札 0deny丄0,0.6 00,6 0,0deny過(guò)濾規(guī)那么集2.包過(guò)濾防火墻的優(yōu)缺點(diǎn) 優(yōu)點(diǎn)：(1)有效靈活(2)簡(jiǎn)單

15、易行防火墻機(jī)制本身存在固有的缺陷：(1)不能防止假冒(2)只在網(wǎng)絡(luò)層和傳輸層實(shí)現(xiàn)(3)缺乏可審核性(4)不能防止來(lái)自內(nèi)部人員造成的威脅代理效勞技術(shù)1. 代理效勞的根本原理為了防止在In ternet上的其他用戶能直接獲得Intranet中的信息， 在 Intranet中設(shè)置了一個(gè)代理效勞器，并將外部網(wǎng)與內(nèi)部網(wǎng)之間的連接分為兩段， 一段是從In ternet上的主機(jī)引到代理效勞器；另一段是由代理效勞器連到內(nèi)部 網(wǎng)中的某一個(gè)主機(jī)(效勞器)。2. 應(yīng)用層網(wǎng)關(guān)的類型應(yīng)用層網(wǎng)關(guān)可分三種類型： 雙穴主機(jī)網(wǎng)關(guān)； 屏蔽主機(jī)網(wǎng)關(guān)； 屏蔽子 網(wǎng)網(wǎng)關(guān)。這三種網(wǎng)關(guān)都要求有一臺(tái)主機(jī)，通常稱為橋頭堡主機(jī)(Bastion Host)， 它起著防火墻的作用，也起著In ternet與Intra