第四章 網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全技術(shù)

1、 網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全技術(shù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全技術(shù) 問題的提出問題的提出n網(wǎng)絡(luò)環(huán)境的特點(diǎn) 開放型 資源共享n引發(fā)的問題 安全性較差 安全性目標(biāo)（安全性目標(biāo)（1 1）n保密性 只向已授權(quán)用戶提供信息，對(duì)未授權(quán)用戶，這些信息是不可獲得的或不可理解的；n完整性 只允許授權(quán)用戶修改信息，以保證提供給用戶的信息資源是完整的、正確的； 安全性目標(biāo)（安全性目標(biāo)（2 2）n可用性 可隨時(shí)向用戶提供他們各自應(yīng)得到的信息資源服務(wù)；n可審查性 使系統(tǒng)內(nèi)所發(fā)生的所有與安全有關(guān)的動(dòng)作均有說明性記錄可查。安全機(jī)制安全機(jī)制ISO 7498-2ISO 7498-2建議建議n加密機(jī)制：加密數(shù)據(jù)信息n數(shù)字簽名機(jī)制：由簽名與證實(shí)兩

2、個(gè)過程組成n訪問控制機(jī)制：控制實(shí)體的訪問權(quán)限n數(shù)據(jù)完整性機(jī)制：通過校驗(yàn)方式n認(rèn)證交換機(jī)制：利用實(shí)體特征或口令n防業(yè)務(wù)流分析機(jī)制：填充冗余信息n路由控制機(jī)制：規(guī)定路由要求n公證機(jī)制：由第三方參加的簽名機(jī)制網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全的威脅網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全的威脅 及應(yīng)對(duì)策略及應(yīng)對(duì)策略n由于網(wǎng)絡(luò)應(yīng)用系統(tǒng)是面向Internet的，所以網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全所面臨的威脅和攻擊來自很多方面。信息安全威脅和攻擊的方法種類繁多，層出不窮，并且隨著時(shí)間的變化而變化。對(duì)于企業(yè)公司來說，應(yīng)用系統(tǒng)受到的威脅和攻擊會(huì)造成各種嚴(yán)重的后果。網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全的威脅網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全的威脅 及應(yīng)對(duì)策略及應(yīng)對(duì)策略n問題的源頭-這

3、些威脅和攻擊是如何實(shí)施的n問題的表現(xiàn)形式-威脅和攻擊主要有哪些種類及具體表現(xiàn)形式n問題的解決-如何應(yīng)對(duì)這些威脅和攻擊 威脅和攻擊問題 的三個(gè)方面：攻擊的一般過程攻擊的一般過程 n第一步：收集被攻擊方的有關(guān)信息，分析被攻擊方可能的漏洞 n第二步：系統(tǒng)安全弱點(diǎn)的探測(cè)n第三步：建立模擬環(huán)境，進(jìn)行模擬攻擊n第四步：具體實(shí)施網(wǎng)絡(luò)攻擊 實(shí)施攻擊的一般過程主要包括四個(gè)步驟：攻擊的種類攻擊的種類n由于網(wǎng)絡(luò)計(jì)算機(jī)信息的共享性和易于擴(kuò)散等特性，它在處理、存儲(chǔ)、傳輸和使用上有著嚴(yán)重的脆弱性，很容易被干擾、濫用和丟失，威脅和攻擊來自各個(gè)方面種類繁多，并且隨著時(shí)間的變化而變化，所以人們對(duì)威脅計(jì)算機(jī)系統(tǒng)信息安全形式的分類

4、也日益復(fù)雜和困難。 攻擊的種類攻擊的種類通常將威脅和攻擊分成三類：n保密性攻擊：指造成信息和其它資源的丟失和泄漏。攻擊者試圖竊取口令、信用卡資料等重要機(jī)密數(shù)據(jù)。n完整性攻擊：指造成信息和其它資源的破壞。攻擊者往往試圖非法改變部分系統(tǒng)。n可用性攻擊：指造成信息服務(wù)的中斷。攻擊者往往試圖破壞系統(tǒng)的正常運(yùn)行。 常見攻擊形式常見攻擊形式n網(wǎng)絡(luò)嗅探攻擊n用戶帳號(hào)和口令攻擊n拒絕服務(wù)攻擊n重放攻擊n假冒偽裝攻擊n非授權(quán)注冊(cè)和訪問攻擊對(duì)攻擊行為的應(yīng)對(duì)策略對(duì)攻擊行為的應(yīng)對(duì)策略 n信息安全威脅的應(yīng)對(duì)策略通常是通過使用各種各樣的安全服務(wù)來體現(xiàn)。國際標(biāo)準(zhǔn)化組織ISO在網(wǎng)絡(luò)安全體系設(shè)計(jì)標(biāo)準(zhǔn)(IS07498-2)中，提

5、出了層次型的安全體系結(jié)構(gòu)，并定義了五大安全服務(wù)功能，包括：身份認(rèn)證服務(wù)，訪問控制服身份認(rèn)證服務(wù)，訪問控制服務(wù)，數(shù)據(jù)保密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可務(wù)，數(shù)據(jù)保密性服務(wù)，數(shù)據(jù)完整性服務(wù)，不可否認(rèn)服務(wù)否認(rèn)服務(wù)。n安全服務(wù)與安全機(jī)制并不完全是一一對(duì)應(yīng)關(guān)系，一種服務(wù)可能需要多種機(jī)制來實(shí)現(xiàn)，而有的機(jī)制可用于多種服務(wù)。安全服務(wù)體現(xiàn)了安全系統(tǒng)的功能；而安全機(jī)制則是用來實(shí)現(xiàn)安全服務(wù)的。 信息安全的關(guān)鍵技術(shù)和機(jī)制信息安全的關(guān)鍵技術(shù)和機(jī)制n密碼技術(shù)密碼技術(shù)n身份認(rèn)證機(jī)制身份認(rèn)證機(jī)制n基于角色的訪問控制機(jī)制（基于角色的訪問控制機(jī)制（RBAC）密碼技術(shù)密碼技術(shù)n密碼技術(shù)是網(wǎng)絡(luò)安全中最有效最重要的技術(shù)之一。 n按照收發(fā)雙

6、方密鑰是否相同來分類，可以將加密技術(shù)分為對(duì)稱密鑰加密技術(shù)和對(duì)稱密鑰加密技術(shù)和非對(duì)稱密鑰加密技術(shù)非對(duì)稱密鑰加密技術(shù) 。常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（1 1）也稱為對(duì)稱密鑰密碼體系，此時(shí)，對(duì)稱密鑰密碼體系，此時(shí)，加密與解密的機(jī)制相同。n替代密碼 對(duì)明文中的數(shù)字或字母進(jìn)行替換。常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（1 1）替代密碼n替代密碼替代密碼(substitution cipher)的原理的原理可用一個(gè)例子來說明。可用一個(gè)例子來說明。abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明

7、文密文明文 c 變成了密文 F常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（1 1）替代密碼n替代密碼替代密碼(substitution cipher)的原理的原理可用一個(gè)例子來說明。可用一個(gè)例子來說明。abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesar cipherFDHVDU FLSKHU明文密文明文 a 變成了密文 DCIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼n置換密碼置換密碼(transposition cipher)是按照某一規(guī)則是按照某一規(guī)則重新排列消息中

8、的比特或字符順序。重新排列消息中的比特或字符順序。 密鑰順序明文根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對(duì)先后順序?yàn)?145326。CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼n置換密碼置換密碼(transposition cipher)是按照某一規(guī)則是按照某一規(guī)則重新排列消息中的比特或字符順序。重新排列消息中的比特或字符順序。 密鑰順序明文根據(jù)英文字母在 26

9、 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對(duì)先后順序?yàn)?145326。CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼n置換密碼置換密碼(transposition cipher)是按照某一規(guī)則是按照某一規(guī)則重新排列消息中的比特或字符順序。重新排列消息中的比特或字符順序。 密鑰順序明文根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。因?yàn)槊荑€中沒有

10、A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。于是得出密鑰字母的相對(duì)先后順序?yàn)?145326。 CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼n置換密碼置換密碼(transposition cipher)是按照某一規(guī)則是按照某一規(guī)則重新排列消息中的比特或字符順序。重新排列消息中的比特或字符順序。 密鑰順序明文根據(jù)英文字母在 26 個(gè)字母中的先后順序，我們可以得出密鑰中的每一個(gè)字母的相對(duì)先后順序。因?yàn)槊荑€中沒有 A 和 B，因此 C 為第 1。同理，E 為第 2，H 為第 3,，R 為第 6。

11、于是得出密鑰字母的相對(duì)先后順序?yàn)?145326。CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文先讀順序?yàn)?1 的明文列，即 aba CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文再讀順序?yàn)?2 的明文列，即 cnu CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文最后讀順序?yàn)?6 的明文列，即 ksr 因此密文就是：abacnua

12、iotettgfksr CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文先寫下第 1 列密文 aba 收到的密文：abacnuaiotettgfksr CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文再寫下第 2 列密文 cnu 收到的密文：abacnuaiotettgfksr CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼密文的得出密鑰順序明文最后寫下

13、第 6 列密文 ksr 收到的密文：abacnuaiotettgfksr CIPHER145326attackbeginsatfour常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（2 2） 置換密碼解出明文密鑰順序明文最后按行讀出明文收到的密文：abacnuaiotettgfksr 得出明文：attackbeginsatfour 常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（3 3）n從得到的密文序列結(jié)構(gòu)來劃分：從得到的密文序列結(jié)構(gòu)來劃分： 序列密碼：即一位一位數(shù)據(jù)進(jìn)行加密序列密碼：即一位一位數(shù)據(jù)進(jìn)行加密（密鑰中的第（密鑰中的第i i位對(duì)明文中的第位對(duì)明文中的第i i位進(jìn)行運(yùn)位進(jìn)行運(yùn)算形成密文中的第算形成密文中的

14、第i i位）。位）。 分組密碼：即一組一組數(shù)據(jù)進(jìn)行加密。分組密碼：即一組一組數(shù)據(jù)進(jìn)行加密。常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（3 3）序列密碼體制 密鑰序列產(chǎn)生器種子 I0發(fā)端ki密鑰序列產(chǎn)生器種子 I0收端ki密文序列明文序列明文序列xixiyiyi在開始工作時(shí)種子 I0 對(duì)密鑰序列產(chǎn)生器進(jìn)行初始化。對(duì)Xi的加密按照模 2 進(jìn)行運(yùn)算，得出： yE (x )xkikiiii常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（3 3）序列密碼體制密鑰序列產(chǎn)生器種子 I0發(fā)端ki密鑰序列產(chǎn)生器種子 I0收端ki密文序列明文序列明文序列xixiyiyi在收端，對(duì) yi 的解密算法為： D (y )yk(xk )kx

15、kiiiiiiii常規(guī)密鑰密碼體系（常規(guī)密鑰密碼體系（3 3）分組密碼體制輸入輸出加密算法密鑰明文輸入輸出解密算法密鑰n bitn bitn bitn bit密文密文明文公開密鑰密碼體系（公開密鑰密碼體系（1 1）即非對(duì)稱密鑰密碼體系，此時(shí)，加即非對(duì)稱密鑰密碼體系，此時(shí)，加密與解密的密鑰不同，保證由加密與解密的密鑰不同，保證由加密密鑰推不出解密密鑰。密密鑰推不出解密密鑰。公開密鑰密碼體系（公開密鑰密碼體系（2 2）n數(shù)字簽名數(shù)字簽名 發(fā)方發(fā)方A: A: 用私用解密密鑰對(duì)明文進(jìn)行簽名，用私用解密密鑰對(duì)明文進(jìn)行簽名，形成簽名報(bào)文；形成簽名報(bào)文； 收方收方B: B: 用用A A的公開加密密鑰進(jìn)行核實(shí)

16、簽名。的公開加密密鑰進(jìn)行核實(shí)簽名。公開密鑰密碼體系（公開密鑰密碼體系（3 3）數(shù)字簽名的實(shí)現(xiàn) DSKPK用公開密鑰 核實(shí)簽名用秘密密鑰 進(jìn)行簽名X發(fā)送者 A接收者 BDSK(X)XE公開密鑰密碼體系（公開密鑰密碼體系（4 4）具有保密性的具有保密性的數(shù)字簽名的實(shí)現(xiàn)DSKAPKA用公開密鑰 核實(shí)簽名用秘密密鑰 簽名X發(fā)送者 A接收者 BDSKA(X)XEEPKB用公開密鑰 加密EPKB(DSKA(X)DSKB用秘密密鑰 解密DSKA(X)密文 密鑰分配密鑰分配n密鑰分配中心密鑰分配中心KDCKDC ABKDC在在KDC中中保存有保存有A、B自己的密自己的密鑰，作為鑰，作為注冊(cè)用戶，注冊(cè)用戶，這些

17、密鑰這些密鑰是是KDC分分配給用戶配給用戶A和和B的。的。報(bào)告申請(qǐng)與報(bào)告申請(qǐng)與B通信的密鑰通信的密鑰轉(zhuǎn)交轉(zhuǎn)交B的的密鑰密鑰告知告知A的密鑰并的密鑰并轉(zhuǎn)交轉(zhuǎn)交B的密鑰的密鑰 身份認(rèn)證機(jī)制身份認(rèn)證機(jī)制n簡單認(rèn)證機(jī)制 只有名字和口令被服務(wù)系統(tǒng)所接受。由于明文的密碼在網(wǎng)上傳輸非常容易被竊聽截取，一般的解決辦法是使用動(dòng)態(tài)口令機(jī)制動(dòng)態(tài)口令機(jī)制。 動(dòng)態(tài)口令是隨機(jī)變化的一種口令形式，每次登錄將使用不同的口令。在一定時(shí)間間隔內(nèi)，一個(gè)口令只能使用一次，重復(fù)使用的口令將被拒絕接受。 身份認(rèn)證機(jī)制身份認(rèn)證機(jī)制 常用的動(dòng)態(tài)口令認(rèn)證系統(tǒng)主要由兩部分組成：客戶端操作認(rèn)證的功能是通過將用戶口令和某種變化的因素作為給定算法的輸

18、入?yún)?shù)，經(jīng)過運(yùn)算獲得的結(jié)果處理值即為動(dòng)態(tài)口令，并將其作為用戶登錄口令使用。 在服務(wù)器認(rèn)證端進(jìn)行同樣類似的操作，將計(jì)算結(jié)果作為認(rèn)證方口令保存并和客戶端送來的登錄信息比較，若兩者匹配則允許的登錄，否則拒絕登錄。動(dòng)態(tài)口令認(rèn)證的實(shí)現(xiàn)機(jī)制主要有兩種：時(shí)間同步方式的認(rèn)證機(jī)制和挑戰(zhàn)-應(yīng)答方式的認(rèn)證機(jī)制。 身份認(rèn)證機(jī)制身份認(rèn)證機(jī)制n強(qiáng)認(rèn)證機(jī)制 強(qiáng)認(rèn)證機(jī)制一般要運(yùn)用多種加密手段來保護(hù)認(rèn)證過程中相互交換的信息。其中，Kerberos協(xié)議是此類認(rèn)證協(xié)議中比較完善的協(xié)議，它使用對(duì)稱密鑰加密算法來實(shí)現(xiàn)通過可信第三方KDC的認(rèn)證服務(wù)，提供了網(wǎng)絡(luò)通信方之間相互的身份認(rèn)證手段，而且不依賴于主機(jī)操作系統(tǒng)和地址。 挑戰(zhàn)挑戰(zhàn)/應(yīng)答

19、方式的身份認(rèn)證機(jī)制應(yīng)答方式的身份認(rèn)證機(jī)制基于挑戰(zhàn)/應(yīng)答方式的身份認(rèn)證機(jī)制在每次認(rèn)證時(shí)認(rèn)證服務(wù)器端都給客戶端發(fā)送一個(gè)不同的“挑戰(zhàn)”字串，客戶端程序收到這個(gè)“挑戰(zhàn)”字串后，做出相應(yīng)的“應(yīng)答”。挑戰(zhàn)/應(yīng)答方式的認(rèn)證系統(tǒng)選擇單項(xiàng)散列函數(shù)作為口令生成算法，采用這種認(rèn)證方案，客戶端操作和服務(wù)器端認(rèn)證需要進(jìn)行三次數(shù)據(jù)傳輸。認(rèn)證過程如圖所示。挑戰(zhàn)挑戰(zhàn)/ /應(yīng)答方式的身份認(rèn)證機(jī)制應(yīng)答方式的身份認(rèn)證機(jī)制n單向散列函數(shù)又稱為單向Hash函數(shù)，它不是加密算法，卻在密碼學(xué)中有著廣泛的應(yīng)用，被廣泛地應(yīng)用于數(shù)字簽名、消息的完整性鑒別等，另外也和各種密碼算法一起構(gòu)成混合密碼系統(tǒng)。挑戰(zhàn)挑戰(zhàn)/ /應(yīng)答方式的身份認(rèn)證機(jī)制應(yīng)答方式的

20、身份認(rèn)證機(jī)制單向散列函數(shù)的特點(diǎn)包括：n單向散列函數(shù)能夠處理任意長度的明文，其生成的消息摘要數(shù)據(jù)塊長度具有固定的大小，而且對(duì)同一個(gè)消息反復(fù)執(zhí)行該函數(shù)總是得到相同的消息摘要。 n單向散列函數(shù)生成的消息摘要是不可預(yù)見的，消息摘要看起來和原始的數(shù)據(jù)沒有任何關(guān)系。原始數(shù)據(jù)的任何變化都會(huì)對(duì)生成的消息摘要產(chǎn)生很大影響。n通過生成的消息摘要要得到原始數(shù)據(jù)的任何信息在計(jì)算上都是完全不可行的。挑戰(zhàn)挑戰(zhàn)/ /應(yīng)答方式的身份認(rèn)證機(jī)制的改進(jìn)應(yīng)答方式的身份認(rèn)證機(jī)制的改進(jìn) 挑戰(zhàn)應(yīng)答方式的缺點(diǎn)缺點(diǎn)：n無法防范假冒的服務(wù)器欺騙合法用戶。n用戶的口令是以明文存放在數(shù)據(jù)庫中的，一旦攻擊者攻破了數(shù)據(jù)庫，便可以獲得用戶的密碼。 改進(jìn)的

21、措施：改進(jìn)的措施：n對(duì)服務(wù)器發(fā)送的隨機(jī)數(shù)進(jìn)行加密處理，增加攻擊者的截取數(shù)據(jù)的難度。n將用戶的密碼進(jìn)行K次散列運(yùn)算放在數(shù)據(jù)庫中，即使服務(wù)器端的散列值被竊取，因?yàn)閱蜗蛏⒘泻瘮?shù)的特性，攻擊者也很難由散列值求得用戶的口令。基于角色的訪問控制機(jī)制基于角色的訪問控制機(jī)制（RBAC）nRBAC基本思想基本思想是將整個(gè)訪問控制過程分為兩個(gè)部分，即角色與用戶相關(guān)聯(lián)和訪問權(quán)限與角色相關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，使安全訪問控制的管理更靈活。n系統(tǒng)安全管理員可以根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色，實(shí)現(xiàn)為不同的用戶分配不同的權(quán)限來達(dá)到對(duì)系統(tǒng)的訪問控制?；?/p>

22、于角色的訪問控制機(jī)制基于角色的訪問控制機(jī)制（RBAC）n在RBAC的體系中，一個(gè)用戶可以被賦予多個(gè)角色，一個(gè)角色也可以被賦予多個(gè)用戶；同樣，一個(gè)角色可以擁有多項(xiàng)權(quán)限，一個(gè)權(quán)限可以分配給多個(gè)角色。系統(tǒng)管理員根據(jù)組織中不同崗位定義不同的角色，用戶根據(jù)其職能和責(zé)任被賦予相應(yīng)的角色，而權(quán)限被授權(quán)給角色。這樣，系統(tǒng)可以通過用戶具有角色的權(quán)限，判斷他可以訪問的系統(tǒng)資源和對(duì)該資源可進(jìn)行的操作權(quán)限。基于角色的訪問控制機(jī)制基于角色的訪問控制機(jī)制（RBAC） 用戶-角色-權(quán)限關(guān)系圖 RBAC特點(diǎn)特點(diǎn) RBAC的特點(diǎn)包括以下幾個(gè)方面：n訪問權(quán)限與角色相關(guān)聯(lián)，不同角色有不同權(quán)限。用戶以什么樣的角色對(duì)資源進(jìn)行訪問，決定

23、了用戶擁有的權(quán)限以及可執(zhí)行何種操作。n最小權(quán)限原則，指用戶所擁有的權(quán)力不能超過他執(zhí)行工作時(shí)所需的權(quán)限。實(shí)現(xiàn)最小特權(quán)原則需要分清用戶的工作職責(zé)，確定完成該工作的最小權(quán)限集，然后把用戶限制在這個(gè)權(quán)限結(jié)合的范圍之內(nèi)。n角色繼承，角色之間可能有互相重疊的職責(zé)和權(quán)力，屬于不同角色的用戶可能需要執(zhí)行一些相同的操作。 RBAC特點(diǎn)特點(diǎn)n職責(zé)分離，例如在銀行業(yè)務(wù)中，授權(quán)付款與實(shí)施付款應(yīng)該是分開的職能操作，否則可能發(fā)生欺騙行為。n角色容量，在一個(gè)特定的時(shí)間段內(nèi)，有一些角色只能由一定人數(shù)的用戶占用。在創(chuàng)建新的角色時(shí)應(yīng)該指定角色的容量。n互斥角色，組織中的有些角色是互斥的，一個(gè)用戶最多只能屬于一組互斥角色中的某一個(gè)

24、，否則會(huì)破壞職責(zé)分離。權(quán)限分配也有互斥約束，同一權(quán)限只能授予互斥角色中的某一個(gè)。 網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計(jì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型設(shè)計(jì)n總體設(shè)想總體設(shè)想n設(shè)計(jì)原則設(shè)計(jì)原則 n信息安全模型總體設(shè)計(jì)信息安全模型總體設(shè)計(jì)總體設(shè)想總體設(shè)想n網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全問題歸根到底是一種對(duì)系統(tǒng)面臨危險(xiǎn)的分析，是Internet訪問帶來的益處和疏漏導(dǎo)致的后果的權(quán)衡。n分析和權(quán)衡危險(xiǎn)應(yīng)該是建立在一定安全模型的基礎(chǔ)之上。 總體設(shè)想總體設(shè)想n兩道防線兩道防線 第一道防線:系統(tǒng)信息資源訪問和使用者的身份認(rèn)證 第二道防線: 對(duì)系統(tǒng)信息資源訪問控制 n一個(gè)貫穿一個(gè)貫穿 對(duì)敏感信息資源的傳輸和存儲(chǔ)的保護(hù) n一個(gè)理念一個(gè)理念

25、“融合融合” 融合五大服務(wù)下的安全技術(shù)和機(jī)制，融合安全需求和可用性，成本等特性 網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型圖網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全模型圖 總體設(shè)想總體設(shè)想n一個(gè)安全的系統(tǒng)信息安全模型是一系列事物妥協(xié)的結(jié)果，它要求對(duì)保護(hù)的數(shù)據(jù)的價(jià)值，身份認(rèn)證機(jī)制和訪問控制機(jī)制有深入的了解。n在構(gòu)建一個(gè)安全系統(tǒng)時(shí)也應(yīng)該充分考慮系統(tǒng)的安全性價(jià)比。即對(duì)安全需求與可用性、成本、系統(tǒng)效率、靈活性和友好用戶界面等特性之間進(jìn)行權(quán)衡。n計(jì)算機(jī)安全領(lǐng)域常講的一個(gè)規(guī)則是：如果破解如果破解系統(tǒng)的代價(jià)比系統(tǒng)本身內(nèi)容的價(jià)值高，則系統(tǒng)系統(tǒng)的代價(jià)比系統(tǒng)本身內(nèi)容的價(jià)值高，則系統(tǒng)是安全的。是安全的。 設(shè)計(jì)原則設(shè)計(jì)原則 n實(shí)用性原則n可靠性原則n簡單

26、性原則n精確性原則 信息安全模型總體設(shè)計(jì)信息安全模型總體設(shè)計(jì)n身份認(rèn)證層設(shè)計(jì)身份認(rèn)證層設(shè)計(jì)n訪問控制層設(shè)計(jì)訪問控制層設(shè)計(jì)n敏感信息資源傳輸和存儲(chǔ)安全保護(hù)設(shè)計(jì)敏感信息資源傳輸和存儲(chǔ)安全保護(hù)設(shè)計(jì)n安全審計(jì)部分設(shè)計(jì)安全審計(jì)部分設(shè)計(jì) 身份認(rèn)證層的設(shè)計(jì)身份認(rèn)證層的設(shè)計(jì)n身份認(rèn)證層在整個(gè)模型中處于非常重要的地位，它是網(wǎng)絡(luò)應(yīng)用系統(tǒng)信息安全的第一道防線第一道防線，是實(shí)現(xiàn)其它安全技術(shù)和安全機(jī)制的基礎(chǔ)。n只有實(shí)現(xiàn)了有效的身份認(rèn)證，才能保證訪問控制、安全審計(jì)等安全技術(shù)和機(jī)制的有效實(shí)施。 身份認(rèn)證層的設(shè)計(jì)身份認(rèn)證層的設(shè)計(jì)n身份認(rèn)證層的主要目的主要目的是對(duì)用戶身份的進(jìn)行認(rèn)證從而判斷用戶所擁有的身份。 身份認(rèn)證層主要包括

27、兩個(gè)部分：n用戶身份認(rèn)證n用戶注冊(cè)信息管理基于改進(jìn)基于改進(jìn)MD5算法的動(dòng)態(tài)口令機(jī)制算法的動(dòng)態(tài)口令機(jī)制身份身份認(rèn)證層認(rèn)證層設(shè)計(jì)設(shè)計(jì) 目前在密碼學(xué)上已經(jīng)設(shè)計(jì)出了大量的單向散列函數(shù)，實(shí)際系統(tǒng)中用得最多的單向散列函數(shù)是報(bào)文摘要算法MD5和安全散列算法SHA。 MD5報(bào)文摘要算法是由Ron Rivest在麻省理工學(xué)院提出的，該算法以一個(gè)任意長度的報(bào)文作為輸入，按512Bit的分組進(jìn)行處理，最后產(chǎn)生一個(gè)128Bit的報(bào)文摘要作為輸出。 身份身份認(rèn)證層工作流程分解認(rèn)證層工作流程分解1) 服務(wù)器端口令的保存：當(dāng)用戶在服務(wù)器端錄入注冊(cè)信息時(shí)，將用戶的密碼進(jìn)行K次MD5散列運(yùn)算放在數(shù)據(jù)庫中。 2) 當(dāng)用戶通過發(fā)送

28、請(qǐng)求登錄服務(wù)器時(shí)，Web服務(wù)器在把登錄頁面送出的同時(shí)由服務(wù)器端產(chǎn)生一個(gè)隨機(jī)數(shù)并通過敏感數(shù)據(jù)加密傳輸通道發(fā)給客戶端。如圖。 身份身份認(rèn)證層工作流程分解認(rèn)證層工作流程分解3) 客戶端MD5口令生成：首先重復(fù)調(diào)用與服務(wù)器端同樣的MD5運(yùn)算K次，得到與保存在服務(wù)器端數(shù)據(jù)庫中口令一致的消息摘要。然后，將從服務(wù)器傳送過來的隨機(jī)數(shù)與這個(gè)已經(jīng)過散列運(yùn)算的口令相加后再調(diào)用一次客戶端的MD5散列運(yùn)算函數(shù)，將結(jié)果（MD5口令）通過敏感數(shù)據(jù)加密傳輸通道傳送給服務(wù)器。身份身份認(rèn)證層工作流程分解認(rèn)證層工作流程分解4）服務(wù)器端對(duì)MD5口令的驗(yàn)證：服務(wù)器端收到客戶端傳來的用戶名和MD5散列運(yùn)算結(jié)果后，查詢數(shù)據(jù)庫得到已存儲(chǔ)的經(jīng)

29、過K次MD5散列運(yùn)算的口令，在服務(wù)器端將它和隨機(jī)數(shù)相加同樣進(jìn)行MD5散列運(yùn)算，比較所得結(jié)果和客戶端傳送過來的結(jié)果是否相同，如相同，通過驗(yàn)證，不同則拒絕請(qǐng)求。如圖。 身份認(rèn)證層的設(shè)計(jì)身份認(rèn)證層的設(shè)計(jì)改進(jìn)MD5算法的動(dòng)態(tài)口令認(rèn)證機(jī)制具有以下特點(diǎn)：n網(wǎng)絡(luò)上傳輸?shù)目诹钍墙?jīng)過MD5加密過的，可以有效防御網(wǎng)絡(luò)偵聽攻擊，安全性比較高。n不管用戶輸入的口令多長，經(jīng)單向散列函數(shù)散列運(yùn)算后都得到固定長度摘要，便于存放及傳輸。n用隨機(jī)數(shù)彌補(bǔ)用戶口令的長度，每次用戶會(huì)話過程產(chǎn)生的隨機(jī)數(shù)都是不同的，登錄請(qǐng)求信息不可重復(fù)使用，可以防止重放攻擊和假冒偽裝攻擊。身份認(rèn)證層的設(shè)計(jì)身份認(rèn)證層的設(shè)計(jì)n口令是經(jīng)過K次散列運(yùn)算后以密文

30、的形式存放在數(shù)據(jù)庫中,一定程度上防范了對(duì)數(shù)據(jù)庫攻擊。n網(wǎng)絡(luò)上傳輸?shù)挠脩裘蚆D5口令是在敏感數(shù)據(jù)通道中經(jīng)過對(duì)稱密鑰算法3DES加密的，可以進(jìn)一步有效防御網(wǎng)絡(luò)偵聽攻擊。n服務(wù)器僅需要接收客戶端處理過后傳送過來的已加密字符串即可，實(shí)現(xiàn)方法簡單，充分利用了客戶端的計(jì)算資源。n沒有諸如SSL等加密方法的握手協(xié)議過程，連接速度比較快。 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì) 訪問控制層是網(wǎng)絡(luò)應(yīng)用系統(tǒng)安全第二道第二道防線防線。n一方面，一方面，雖然用戶身份認(rèn)證可以將非法用戶拒之于系統(tǒng)之外，但合法用戶進(jìn)入系統(tǒng)后，不能不受任何限制地訪問系統(tǒng)中的所有資源；n另一方面另一方面，即使非法用戶通過盜取口令等

31、方式侵入系統(tǒng)也不可能為所欲為。 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì)n訪問控制層的目的目的是提供對(duì)不同類型不同敏感級(jí)別系統(tǒng)信息資源的訪問控制，它使用認(rèn)證之后的用戶標(biāo)識(shí)和安全訪問控制策略來判斷和授予用戶對(duì)特定保護(hù)資源的請(qǐng)求訪問權(quán)限。 訪問控制層主要應(yīng)該包括兩個(gè)部分：n權(quán)限的驗(yàn)證和授權(quán)n對(duì)資源限制訪問 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì) 考慮到網(wǎng)絡(luò)環(huán)境下應(yīng)用系統(tǒng)用戶的不同需求，根據(jù)系統(tǒng)敏感信息資源的劃分，可以簡單地將企業(yè)應(yīng)用系統(tǒng)所有用戶的角色主要分為三類三類：n系統(tǒng)管理員類角色n企業(yè)員工類角色n客戶類角色 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì) 約束機(jī)制的設(shè)計(jì)主

32、要包括以下幾個(gè)方面：n限制一個(gè)角色可以支持的最大用戶容量。比如超級(jí)管理員這個(gè)角色只允許授權(quán)給一個(gè)用戶，該角色的用戶容量就是1。n設(shè)置互斥角色。在進(jìn)行用戶授權(quán)時(shí)，不允許將互相排斥的角色授權(quán)給同一個(gè)用戶。如客戶類的角色和管理員類的角色是互斥的。n設(shè)置互斥功能權(quán)限。在進(jìn)行角色授權(quán)時(shí)，不允許將互相排斥的功能權(quán)限授權(quán)給同一個(gè)角色。比如對(duì)于客戶類角色來說，查看自己銀行賬戶余額信息的權(quán)限與修改自己賬戶余額的權(quán)限就是互斥的。 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì) Yes Yes用戶訪問請(qǐng)求用戶訪問請(qǐng)求敏感資源敏感資源? ?非敏感公共資源非敏感公共資源登錄驗(yàn)證界面登錄驗(yàn)證界面 認(rèn)證錯(cuò)誤處理頁面認(rèn)證錯(cuò)

33、誤處理頁面獲取用戶角色獲取用戶角色獲取用戶角色對(duì)應(yīng)的權(quán)限獲取用戶角色對(duì)應(yīng)的權(quán)限是否授權(quán)訪問是否授權(quán)訪問敏感資源？敏感資源？ Yes Yes授權(quán)錯(cuò)誤處理頁面授權(quán)錯(cuò)誤處理頁面NoNoNoNo Yes Yes No No敏感資源敏感資源認(rèn)證成功？認(rèn)證成功？ 客戶端訪問系統(tǒng)敏感信息客戶端訪問系統(tǒng)敏感信息資源的工作流程資源的工作流程基于基于RBAC的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)n數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)是實(shí)現(xiàn)RBAC的重要環(huán)節(jié)，良好的數(shù)據(jù)庫結(jié)構(gòu)設(shè)計(jì)本身就可以表述RBAC的要求。n需要涉及的數(shù)據(jù)庫表主要有：用戶信息用戶信息表，角色信息表，用戶表，角色信息表，用戶/角色信息表，角色信息表，權(quán)限信息表，角色權(quán)限信息表

34、，角色/權(quán)限信息表，角色權(quán)限信息表，角色繼承關(guān)系表，資源秘密級(jí)別表，權(quán)限互繼承關(guān)系表，資源秘密級(jí)別表，權(quán)限互斥表。斥表。基于基于RBAC的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)用戶信息表用戶信息表 角色信息表角色信息表 基于基于RBAC的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)的數(shù)據(jù)庫詳細(xì)設(shè)計(jì) 用戶用戶/ /角色關(guān)系信息表角色關(guān)系信息表 權(quán)限表權(quán)限表 角色角色/ /權(quán)限信息表權(quán)限信息表 基于基于RBAC的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)的數(shù)據(jù)庫詳細(xì)設(shè)計(jì)系統(tǒng)信息資源秘密級(jí)別表系統(tǒng)信息資源秘密級(jí)別表 角色繼承關(guān)系表角色繼承關(guān)系表 權(quán)限互斥表權(quán)限互斥表 基于基于RBAC訪問控制層的設(shè)計(jì)訪問控制層的設(shè)計(jì)基于角色安全控制的訪問控制層具有以下特點(diǎn)：n降低了管理的復(fù)雜度，極大地簡化了系統(tǒng)管理員的管理工作n能夠方便地描述復(fù)雜的安全策略n大大降低了管理中的錯(cuò)誤n能有效地實(shí)現(xiàn)安全代理n系統(tǒng)的可擴(kuò)展性強(qiáng) 敏感信息資源傳輸和敏感信息資源傳輸和 存儲(chǔ)安全保護(hù)的