物理安全與身份認證

1、1回回 顧顧l在第2講，主要介紹了密碼學的基礎知識、密碼與密碼學的分類、古典替換密碼、對稱密鑰密碼、公開密鑰密碼、數(shù)據(jù)加密標準DES、高級加密標準規(guī)范AES ，另外還介紹了消息認證、散列函數(shù)與數(shù)字簽名等。2提提 問問數(shù)據(jù)的機密性、完整性、不可否認性以及身份識別等。物理層、鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層、應用層。對稱密鑰密碼是指加密過程和解密過程使用同一個密鑰來完成，而后者使用兩個不同的密鑰來完成。對兩個文檔分別進行散列函數(shù)的求值。第第3章章 物理安全技術物理安全技術本章學習目標：本章學習目標：了解物理安全的定義、目的和內(nèi)容了解物理安全的定義、目的和內(nèi)容 掌握計算機房場地環(huán)境的安全要求掌

2、握計算機房場地環(huán)境的安全要求 掌握電源安全技術的實現(xiàn)方法掌握電源安全技術的實現(xiàn)方法 掌握電磁防護的常用方掌握電磁防護的常用方法法 了解容錯與容災的相關知識了解容錯與容災的相關知識43.1 3.1 物理安全技術概述物理安全技術概述 物理安全又叫實體安全（物理安全又叫實體安全（Physical Security），是保護），是保護計算機設備、設施（網(wǎng)絡及通信線路）免遭地震、水災、計算機設備、設施（網(wǎng)絡及通信線路）免遭地震、水災、火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的火災、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。措施和過程。 3.1.1 3.1.1 引言引言 物理物理安全

3、技術主要是指對計算機及網(wǎng)絡系統(tǒng)的環(huán)境、安全技術主要是指對計算機及網(wǎng)絡系統(tǒng)的環(huán)境、場地、設備和通信線路等采取的安全技術措施。場地、設備和通信線路等采取的安全技術措施。 物理安全技術實施的目的是保護計算機及通信線路免物理安全技術實施的目的是保護計算機及通信線路免遭水、火、有害氣體和其他不利因素遭水、火、有害氣體和其他不利因素( (人為失誤、犯罪行人為失誤、犯罪行為為 ) )的損壞。的損壞。 53.1 3.1 物理安全技術概述物理安全技術概述 影響計算機網(wǎng)絡實體安全的主要因素如下：影響計算機網(wǎng)絡實體安全的主要因素如下： 1 1）計算機及其網(wǎng)絡系統(tǒng)自身存在的脆弱性因素。）計算機及其網(wǎng)絡系統(tǒng)自身存在的脆

4、弱性因素。 2 2）各種自然災害導致的安全問題。）各種自然災害導致的安全問題。 3 3）由于人為的錯誤操作及各種計算機犯罪導致的）由于人為的錯誤操作及各種計算機犯罪導致的安全問題。安全問題。 3.1.2 3.1.2 影響物理安全的因素影響物理安全的因素 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設備物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設備安全和通信線路安全。安全和通信線路安全。 63.1 3.1 物理安全技術概述物理安全技術概述 3.1.3 3.1.3 物理安全的內(nèi)容物理安全的內(nèi)容 1) 1)環(huán)境安全：應具備消防報警、安全照明、不間斷供環(huán)境安全：應具備消防報警、安全照明、不間斷供電、溫濕度控制系

5、統(tǒng)和防盜報警。電、溫濕度控制系統(tǒng)和防盜報警。 2)2)電源系統(tǒng)安全：電源安全主要包括電力能源供應、電源系統(tǒng)安全：電源安全主要包括電力能源供應、輸電線路安全、保持電源的穩(wěn)定性等。輸電線路安全、保持電源的穩(wěn)定性等。 3)3)設備安全：要保證硬件設備隨時處于良好的工作狀設備安全：要保證硬件設備隨時處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設備運行日志。同態(tài)，建立健全使用管理規(guī)章制度，建立設備運行日志。同時要注意保護存儲媒體的安全性，包括存儲媒體自身和數(shù)時要注意保護存儲媒體的安全性，包括存儲媒體自身和數(shù)據(jù)的安全。據(jù)的安全。 4)4)通信線路安全：包括防止電磁信息的泄漏、線路截通信線路安全：包括

6、防止電磁信息的泄漏、線路截獲，以及抗電磁干擾。獲，以及抗電磁干擾。 7 物理安全包括以下主要內(nèi)容物理安全包括以下主要內(nèi)容: 1 1）計算機機房的場地、環(huán)境及各種因素對計算機設）計算機機房的場地、環(huán)境及各種因素對計算機設備的影響。備的影響。 2 2）計算機機房的安全技術要求。）計算機機房的安全技術要求。 3 3）計算機的實體訪問控制。）計算機的實體訪問控制。 4 4）計算機設備及場地的防火與防水。）計算機設備及場地的防火與防水。 5 5）計算機系統(tǒng)的靜電防護。）計算機系統(tǒng)的靜電防護。 6 6）計算機設備及軟件、數(shù)據(jù)的防盜防破壞措施。）計算機設備及軟件、數(shù)據(jù)的防盜防破壞措施。 7 7）計算機中重要

7、信息的磁介質的處理、存儲和處理）計算機中重要信息的磁介質的處理、存儲和處理手續(xù)的有關問題。手續(xù)的有關問題。 3.1 3.1 物理安全技術概述物理安全技術概述 3.1.3 3.1.3 物理安全的內(nèi)容物理安全的內(nèi)容( (續(xù)續(xù)) ) 83.1 3.1 物理安全技術概述物理安全技術概述 3.1.4 3.1.4 物理安全涉及的主要技術標準物理安全涉及的主要技術標準 （1 1）GB/T 2887-2000GB/T 2887-2000 電子計算機場地通用規(guī)范電子計算機場地通用規(guī)范 （2 2）GB/T 9361-1988GB/T 9361-1988 計算站場地安全要求計算站場地安全要求 （3 3）GB/T 1

8、4715-1993GB/T 14715-1993 信息技術設備用信息技術設備用UPSUPS通用技術條件通用技術條件 （4 4）GB 50174-GB 50174-19199393 電子計算機機房設計規(guī)范電子計算機機房設計規(guī)范 計算機機房建設至少應遵循國標計算機機房建設至少應遵循國標GB/T 2887-2000GB/T 2887-2000和和GB/T GB/T 9361-19889361-1988，滿足防火、防磁、防水、防盜、防電擊、防蟲害，滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求，并配備相應的設備。等要求，并配備相應的設備。 93.2 3.2 環(huán)境安全技術環(huán)境安全技術 安全保衛(wèi)技術安全

9、保衛(wèi)技術是環(huán)境安全技術的重要一環(huán)，主要的安全技是環(huán)境安全技術的重要一環(huán)，主要的安全技術措施包括：防盜報警、實時監(jiān)控、安全門禁等。術措施包括：防盜報警、實時監(jiān)控、安全門禁等。 計算機機房的溫度、濕度計算機機房的溫度、濕度等環(huán)境條件保持技術可以通過加等環(huán)境條件保持技術可以通過加裝通風設備、排煙設備、專業(yè)空調設備來實現(xiàn)。裝通風設備、排煙設備、專業(yè)空調設備來實現(xiàn)。 計算機機房的用電安全技術計算機機房的用電安全技術主要包括不同用途電源分離技主要包括不同用途電源分離技術、電源和設備有效接地技術、電源過載保護技術和防雷擊技術、電源和設備有效接地技術、電源過載保護技術和防雷擊技術等。術等。 計算機機房安全管理

10、技術計算機機房安全管理技術是指制定嚴格的計算機機房工作是指制定嚴格的計算機機房工作管理制度，并要求所有進入機房的人員嚴格遵守管理制度，將管理制度，并要求所有進入機房的人員嚴格遵守管理制度，將制度落到實處。制度落到實處。 10表表3-1 3-1 計算機機房安全要求計算機機房安全要求( (十：要求，十：要求，：有要求或增加要求：有要求或增加要求) )3.2 3.2 環(huán)境安全技術環(huán)境安全技術 安全類別A類機房B類機房C類機房場地選擇- - - 防火- - - -內(nèi)部裝修+ +- - 供配電系統(tǒng)+ +- - -空調系統(tǒng)+ +- - -火災報警和消防設施+ +- - -防水+ +- - 防靜電+ +-

11、- 防雷擊+ +- - 防鼠害+ +- - 防電磁泄漏- - - 場地選擇- - - 113.2 3.2 環(huán)境安全技術環(huán)境安全技術 3.2.1 3.2.1 機房安全要求機房安全要求 如何減少無關人員進入機房的機會是計算機機房設計如何減少無關人員進入機房的機會是計算機機房設計時首先要考慮的問題。時首先要考慮的問題。 計算機機房最好不要安排在底層或頂層，這是因為底計算機機房最好不要安排在底層或頂層，這是因為底層一般較潮濕，而頂層有漏雨、穿窗而入的危險。在較大層一般較潮濕，而頂層有漏雨、穿窗而入的危險。在較大的樓層內(nèi)，計算機機房應靠近樓梯的一邊。的樓層內(nèi)，計算機機房應靠近樓梯的一邊。 外來人員進入辦

12、理相關手續(xù)。外來人員進入辦理相關手續(xù)。 計算機機房所在建筑物的結構安全計算機機房所在建筑物的結構安全。 123.2 3.2 環(huán)境安全技術環(huán)境安全技術 3.2.2 3.2.2 機房防盜要求機房防盜要求 視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設備視頻監(jiān)視系統(tǒng)是一種更為可靠的防盜設備，能對計算機網(wǎng)能對計算機網(wǎng)絡系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時全程監(jiān)控。對重要絡系統(tǒng)的外圍環(huán)境、操作環(huán)境進行實時全程監(jiān)控。對重要的機房，還應采取特別的防盜措施，如值班守衛(wèi)、出入口的機房，還應采取特別的防盜措施，如值班守衛(wèi)、出入口安裝金屬探測裝置等。安裝金屬探測裝置等。 在需要保護的重要設備、存儲媒體和硬件上貼上特殊標簽在需要保護

13、的重要設備、存儲媒體和硬件上貼上特殊標簽（如磁性標簽），當有人非法攜帶這些重要設備或物品外（如磁性標簽），當有人非法攜帶這些重要設備或物品外出時，檢測器就會發(fā)出報警信號。出時，檢測器就會發(fā)出報警信號。 將每臺重要的設備通過光纖電纜串接起來，并使光束沿光將每臺重要的設備通過光纖電纜串接起來，并使光束沿光纖傳輸，如果光束傳輸受阻，則自動報警。纖傳輸，如果光束傳輸受阻，則自動報警。 133.2 3.2 環(huán)境安全技術環(huán)境安全技術 3.2.3 3.2.3 機房三度要求機房三度要求 溫度、濕度和潔凈度并稱為三度，為保證計算機網(wǎng)絡系溫度、濕度和潔凈度并稱為三度，為保證計算機網(wǎng)絡系統(tǒng)的正常運行，對機房內(nèi)的三度

14、都有明確的要求。為使機房統(tǒng)的正常運行，對機房內(nèi)的三度都有明確的要求。為使機房內(nèi)的三度達到規(guī)定的要求，空調系統(tǒng)、去濕機、除塵器是必內(nèi)的三度達到規(guī)定的要求，空調系統(tǒng)、去濕機、除塵器是必不可少的設備。重要的計算機系統(tǒng)安放處還應配備專用的空不可少的設備。重要的計算機系統(tǒng)安放處還應配備專用的空調系統(tǒng)，它比公用的空調系統(tǒng)在加濕、除塵等方面有更高的調系統(tǒng)，它比公用的空調系統(tǒng)在加濕、除塵等方面有更高的要求。要求。 溫度：溫度：機房溫度一般應控制在機房溫度一般應控制在18182828 濕度：濕度：相對濕度一般控制在相對濕度一般控制在40406565為宜為宜 潔凈度：潔凈度：塵埃顆粒直徑塵埃顆粒直徑 0.5m0.

15、5m，含塵量，含塵量 35003500顆顆/ /升升143.2 3.2 環(huán)境安全技術環(huán)境安全技術 3.2.4 3.2.4 防火與防水要求防火與防水要求 計算機機房的火災一般是由電氣原因、人為事故或外部計算機機房的火災一般是由電氣原因、人為事故或外部火災蔓延引起的?；馂穆右鸬?。 計算機機房的水災一般是由機房內(nèi)有滲水、漏水等原因計算機機房的水災一般是由機房內(nèi)有滲水、漏水等原因引起的。引起的。 為避免火災、水災，應采取如下具體措施為避免火災、水災，應采取如下具體措施: : （1 1）隔離）隔離 （2 2）火災報警系統(tǒng)）火災報警系統(tǒng) （3 3）滅火設施）滅火設施 (4(4）管理措施）管理措施 15

16、3.3 3.3 電源系統(tǒng)安全技術電源系統(tǒng)安全技術 3.3.1 3.3.1 供電系統(tǒng)安全供電系統(tǒng)安全 電源是計算機網(wǎng)絡系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠電源是計算機網(wǎng)絡系統(tǒng)的命脈，電源系統(tǒng)的穩(wěn)定可靠是計算機網(wǎng)絡系統(tǒng)正常運行的先決條件。電源系統(tǒng)電壓的是計算機網(wǎng)絡系統(tǒng)正常運行的先決條件。電源系統(tǒng)電壓的波動、浪涌電流和突然斷電等意外情況的發(fā)生還可能引起波動、浪涌電流和突然斷電等意外情況的發(fā)生還可能引起計算機系統(tǒng)存儲信息的丟失、存儲設備的損壞等情況的發(fā)計算機系統(tǒng)存儲信息的丟失、存儲設備的損壞等情況的發(fā)生，電源系統(tǒng)的安全是計算機系統(tǒng)物理安全的一個重要組生，電源系統(tǒng)的安全是計算機系統(tǒng)物理安全的一個重要組成部分。

17、成部分。 GB/T 2887-2000 GB/T 2887-2000將供電方式分為三類將供電方式分為三類: : 一類供電：需要建立不間斷供電系統(tǒng)。一類供電：需要建立不間斷供電系統(tǒng)。 二類供電：需要建立帶備用的供電系統(tǒng)。二類供電：需要建立帶備用的供電系統(tǒng)。 三類供電：按一般用戶供電考慮。三類供電：按一般用戶供電考慮。 163.3 3.3 電源系統(tǒng)安全技術電源系統(tǒng)安全技術 3.3.2 3.3.2 防靜電措施防靜電措施 不同物體間的相互摩擦、接觸會產(chǎn)生能量不大但電壓不同物體間的相互摩擦、接觸會產(chǎn)生能量不大但電壓非常高的靜電。如果靜電不能及時釋放，就可能產(chǎn)生火花，非常高的靜電。如果靜電不能及時釋放，就

18、可能產(chǎn)生火花，容易造成火災或損壞芯片等意外事故。計算機系統(tǒng)的容易造成火災或損壞芯片等意外事故。計算機系統(tǒng)的CPUCPU、ROMROM、RAMRAM等關鍵部件大都采用等關鍵部件大都采用MOSMOS工藝的大規(guī)模集成電路，工藝的大規(guī)模集成電路，對靜電極為敏感，容易因靜電而損壞。對靜電極為敏感，容易因靜電而損壞。 機房的內(nèi)裝修材料一般應避免使用掛毯、地毯等吸塵、機房的內(nèi)裝修材料一般應避免使用掛毯、地毯等吸塵、容易產(chǎn)生靜電的材料，而應采用乙烯材料。為了防靜電，容易產(chǎn)生靜電的材料，而應采用乙烯材料。為了防靜電，機房一般要安裝防靜電地板機房一般要安裝防靜電地板。 機房內(nèi)應保持一定濕度，特別是在干燥季節(jié)應適當

19、增機房內(nèi)應保持一定濕度，特別是在干燥季節(jié)應適當增加空氣濕度，以免因干燥而產(chǎn)生靜電。加空氣濕度，以免因干燥而產(chǎn)生靜電。 173.3 3.3 電源系統(tǒng)安全技術電源系統(tǒng)安全技術 3.3.3 3.3.3 接地與防雷要求接地與防雷要求 接地與防雷是保護計算機網(wǎng)絡系統(tǒng)和工作場所安全的接地與防雷是保護計算機網(wǎng)絡系統(tǒng)和工作場所安全的重要安全措施。接地是指整個計算機系統(tǒng)中各處電位均以重要安全措施。接地是指整個計算機系統(tǒng)中各處電位均以大地電位為零參考電位。接地可以為計算機系統(tǒng)的數(shù)字電大地電位為零參考電位。接地可以為計算機系統(tǒng)的數(shù)字電路提供一個穩(wěn)定的路提供一個穩(wěn)定的0V0V參考電位，從而可以保證設備和人身參考電位，

20、從而可以保證設備和人身的安全，同時也是防止電磁信息泄漏的有效手段。的安全，同時也是防止電磁信息泄漏的有效手段。 要求良好接地的設備有：各種計算機外圍設備、多相要求良好接地的設備有：各種計算機外圍設備、多相位變壓器的中性線、電纜外套管、電子報警系統(tǒng)、隔離變位變壓器的中性線、電纜外套管、電子報警系統(tǒng)、隔離變壓器、電源和信號濾波器、通信設備等。壓器、電源和信號濾波器、通信設備等。 計算機房的接地系統(tǒng)計算機房的接地系統(tǒng)要按要按計算機系統(tǒng)本身和場地的各計算機系統(tǒng)本身和場地的各種地線系統(tǒng)的設計種地線系統(tǒng)的設計要求進行要求進行具體實施。具體實施。 183.4 3.4 電磁防護與設備安全技術電磁防護與設備安全

21、技術 3.4.1 3.4.1 硬件設備的維護和管理硬件設備的維護和管理 1 1硬件設備的使用管理硬件設備的使用管理 1 1）要根據(jù)硬件設備的具體配置情況，制定切實可行的）要根據(jù)硬件設備的具體配置情況，制定切實可行的硬件設備的操作使用規(guī)程，并嚴格按操作規(guī)程進行操作。硬件設備的操作使用規(guī)程，并嚴格按操作規(guī)程進行操作。 2 2）建立設備使用情況日志，并嚴格登記使用過程的情）建立設備使用情況日志，并嚴格登記使用過程的情況。況。 3 3）建立硬件設備故障情況登記表，詳細記錄故障性質）建立硬件設備故障情況登記表，詳細記錄故障性質和修復情況。和修復情況。 4 4）堅持對設備進行例行維護和保養(yǎng)，并指定專人負責

22、。）堅持對設備進行例行維護和保養(yǎng)，并指定專人負責。 2 2常用硬件設備的維護和保養(yǎng)常用硬件設備的維護和保養(yǎng) 定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常。定期檢查供電系統(tǒng)的各種保護裝置及地線是否正常。 對設備的物理訪問權限限制在最小范圍內(nèi)。對設備的物理訪問權限限制在最小范圍內(nèi)。193.4 3.4 電磁防護與設備安全技術電磁防護與設備安全技術 3.4.2 3.4.2 電磁兼容和電磁輻射的防護電磁兼容和電磁輻射的防護 計算機網(wǎng)絡系統(tǒng)的各種設備都屬于電子設備，在工作計算機網(wǎng)絡系統(tǒng)的各種設備都屬于電子設備，在工作時都不可避免地會向外輻射電磁波，同時也會受到其他電時都不可避免地會向外輻射電磁波，同時也會

23、受到其他電子設備的電磁波干擾，當電磁干擾達到一定的程度就會影子設備的電磁波干擾，當電磁干擾達到一定的程度就會影響設備的正常工作。這就是電磁輻射泄密的危險響設備的正常工作。這就是電磁輻射泄密的危險。 電磁輻射防護的措施電磁輻射防護的措施： (1)(1)一類是對傳導發(fā)射的防護一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合；性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合； (2)(2)對輻射的防護對輻射的防護可分為可分為：1)1)采用各種電磁屏蔽措施采用各種電磁屏蔽措施，如對設備，如對設備的金屬屏蔽和各種接插件的屏

24、蔽，同時對機房的下水管、暖氣管和金的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；屬門窗進行屏蔽和隔離；2)2)干擾的防護措施干擾的防護措施，即在計算機系統(tǒng)工作的，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。 203.4 3.4 電磁防護與設備安全技術電磁防護與設備安全技術 3.4.3 3.4.3 信息存儲媒體的安全管理信息存儲媒體的安全管理 計算機網(wǎng)絡系統(tǒng)的信息要存儲在某種媒體上，

25、常用的計算機網(wǎng)絡系統(tǒng)的信息要存儲在某種媒體上，常用的存儲媒體有：硬盤、磁盤、磁帶、打印紙、光盤等。存儲媒體有：硬盤、磁盤、磁帶、打印紙、光盤等。 1 1）存放有業(yè)務數(shù)據(jù)或程序的磁盤、磁帶或光盤，必須注意防磁、防潮、防）存放有業(yè)務數(shù)據(jù)或程序的磁盤、磁帶或光盤，必須注意防磁、防潮、防火、防盜?；?、防盜。 2 2）對硬盤上的數(shù)據(jù)，要建立有效的級別、權限，并嚴格管理，必要時要對）對硬盤上的數(shù)據(jù)，要建立有效的級別、權限，并嚴格管理，必要時要對數(shù)據(jù)進行加密，以確保硬盤數(shù)據(jù)的安全。數(shù)據(jù)進行加密，以確保硬盤數(shù)據(jù)的安全。 3 3）存放業(yè)務數(shù)據(jù)或程序的磁盤、磁帶或光盤，管理必須落實到人，并分類）存放業(yè)務數(shù)據(jù)或程序

26、的磁盤、磁帶或光盤，管理必須落實到人，并分類建立登記簿。建立登記簿。 4 4） 5 5）打印有業(yè)務數(shù)據(jù)或程序的打印紙，要視同檔案進行管理，）打印有業(yè)務數(shù)據(jù)或程序的打印紙，要視同檔案進行管理， 6 6）凡超過數(shù)據(jù)保存期的磁盤、磁帶、光盤，必須經(jīng)過特殊的數(shù)據(jù)清除處理）凡超過數(shù)據(jù)保存期的磁盤、磁帶、光盤，必須經(jīng)過特殊的數(shù)據(jù)清除處理，視同空白磁盤、磁帶、光盤。，視同空白磁盤、磁帶、光盤。 7 7）凡不能正常記錄數(shù)據(jù)的磁盤、磁帶、光盤，必須經(jīng)過測試確認后銷毀。）凡不能正常記錄數(shù)據(jù)的磁盤、磁帶、光盤，必須經(jīng)過測試確認后銷毀。 8 8）對需要長期保存的有效數(shù)據(jù)，應在磁盤、磁帶、光盤的質量保證期內(nèi)進）對需要長

27、期保存的有效數(shù)據(jù)，應在磁盤、磁帶、光盤的質量保證期內(nèi)進行轉儲，轉儲時應確保內(nèi)容正確。行轉儲，轉儲時應確保內(nèi)容正確。 213.5 3.5 容錯與容災容錯與容災 為了保證系統(tǒng)的可靠性，人們總結出了三條途徑：避為了保證系統(tǒng)的可靠性，人們總結出了三條途徑：避錯、糾錯、容錯。容錯是第三條途徑，其基本思想是即使錯、糾錯、容錯。容錯是第三條途徑，其基本思想是即使出現(xiàn)了錯誤，系統(tǒng)也可以執(zhí)行一組規(guī)定的程序，讓系統(tǒng)具出現(xiàn)了錯誤，系統(tǒng)也可以執(zhí)行一組規(guī)定的程序，讓系統(tǒng)具有抵抗錯誤帶來的能力。有抵抗錯誤帶來的能力。 容錯系統(tǒng)可以分為五種類型：容錯系統(tǒng)可以分為五種類型： 高可用度系統(tǒng)、長壽命系統(tǒng)、延遲維修系統(tǒng)、高性能高可

28、用度系統(tǒng)、長壽命系統(tǒng)、延遲維修系統(tǒng)、高性能系統(tǒng)、關鍵任務系統(tǒng)。系統(tǒng)、關鍵任務系統(tǒng)。 常用的數(shù)據(jù)容錯技術主要有以下四種：常用的數(shù)據(jù)容錯技術主要有以下四種：空閑設備：就是備份兩套相同的部件?？臻e設備：就是備份兩套相同的部件。鏡像：把一份工作交給兩個相同的部件同時執(zhí)行。鏡像：把一份工作交給兩個相同的部件同時執(zhí)行。復現(xiàn)：延遲鏡像。復現(xiàn)：延遲鏡像。負載均衡：將一個任務分解成多個子任務分配給不同的服負載均衡：將一個任務分解成多個子任務分配給不同的服務器執(zhí)行。務器執(zhí)行。 3.5.1 3.5.1 容錯容錯 223.5 3.5 容錯與容災容錯與容災 容災的真正含義是對偶然事故的預防和恢復。容災的真正含義是對偶然

29、事故的預防和恢復。 對付災難的解決方案有兩類：一是對服務的維護和恢對付災難的解決方案有兩類：一是對服務的維護和恢復，二是保護或恢復丟失的、被破壞的或被刪除的信息。復，二是保護或恢復丟失的、被破壞的或被刪除的信息。 采用災難恢復的策略主要包括以下的內(nèi)容：采用災難恢復的策略主要包括以下的內(nèi)容： （1 1）做最壞的打算。）做最壞的打算。 （2 2）充分利用現(xiàn)有的資源。）充分利用現(xiàn)有的資源。 （3 3）既重視災后恢復也注意災前措施。）既重視災后恢復也注意災前措施。 3.5.2 3.5.2 容災容災 23232424 又稱作識別(Identification)、實體認證(Entity Authentic

30、ation)、身份證實(Identity Verification)等。它在于：身份認證一般都是實時的，而消息認證本身不提供時間性；另一方面，身份認證通常證實身份本身，而消息認證除了認證消息的合法性和完整性外，還要知道消息的含義。 2525 1 1）身份證明系統(tǒng)組成）身份證明系統(tǒng)組成一方是出示證件的人，稱作示證者P（Prover），提出某種要求；另一方為驗證者V（Verifier），檢驗示證者提出的證件的正確性和合法性，決定是否滿足其要求； 第三方是攻擊者，可以竊聽和偽裝示證者，騙取驗證者的信任。認證系統(tǒng)在必要時也會有第四方，即可信賴者參與調解糾紛。 此類技術為身份證明技術。 2626（1）驗

31、證者正確識別合法示證者的概率極大化。（2）不具可傳遞性，驗證者B不可能重用示證者A提供給他的信息來偽裝示證者A，而成功地騙取其他人的驗證，從而得到信任。（3）攻擊者偽裝示證者欺騙驗證者成功的概率要小到可以忽略的程度，特別是要能抗擊已知密文攻擊，即能抗攻擊者在截獲到示證者和驗證者多次（多次式表示）通信下偽裝示證者欺騙驗證者。2 2）對身份證明系統(tǒng)的要求）對身份證明系統(tǒng)的要求2727（4）計算有效性，為實現(xiàn)身份證明所需的計算量要小。（5）通信有效性，為實現(xiàn)身份證明所需通信次數(shù)和數(shù)據(jù)量要小。（6）秘密參數(shù)能安全存儲。（7）交互識別，有些應用中要求雙方能互相進行身份認證。（8）第三方的實時參與，如在線

32、公鑰檢索服務。（9）第三方的可信賴性。（10）可證明安全性。 28283 3）身份證明分兩大類）身份證明分兩大類（1）身份證實 即只對個人身份進行肯定或否定。一般方法是輸入個人信息，經(jīng)運算所得的結果與從卡上或庫中存的信息經(jīng)公式和算法運算所得結果進行比較，得出結論。（2）身份識別 一般方法是輸入個人信息，經(jīng)處理提取成模板信息、試著在存儲數(shù)據(jù)庫中搜索找出一個與之匹配的模板，而后給出結論。29294 4）實現(xiàn)身份證明的基本途徑）實現(xiàn)身份證明的基本途徑 所有所有（Possesses Possesses ）所知所知（KnowledgeKnowledge）個人特征個人特征（characteristicsc

33、haracteristics）q 所知。個人所知道的或所掌握的知識，如密碼、口令等。q 所有。個人所具有的東西，如身份證、護照、信用卡、鑰匙等。q 個人特征。身份證明的基本途徑：指紋、筆跡、聲紋、手型、臉型、血型、視網(wǎng)膜、虹膜、DNA以及個人一些動作方面的特征等。 根據(jù)安全水平、系統(tǒng)通過率、用戶可接受性、成本等因素，可以選擇適當?shù)慕M合設計實現(xiàn)一個自動化身份證明系統(tǒng)。3030 最簡單、最普遍的身份識別技術，如：各類系統(tǒng)的登錄等口令具有共享秘密的屬性，口令有時由用戶選擇，有時由系統(tǒng)分配。通常情況下，用戶先輸入某種標志信息，比如用戶名和ID號，然后系統(tǒng)詢問用戶口令，若口令與用戶文件中的相匹配，用戶即

34、可進入訪問。口令有多種，如一次性口令；還有基于時間的口令。 3131這種方法的缺點是：1、安全性僅僅基于用戶口令的保密性安全性僅僅基于用戶口令的保密性，而用戶口令一般較短且容易猜測，因此這種方案不能抵御口令猜測攻擊。2、大多數(shù)系統(tǒng)的口令是明文傳送口令是明文傳送到驗證服務器的，容易被截獲。3、口令維護的成本較高口令維護的成本較高。為保證安全性口令應當經(jīng)常更換。為避免對口令的字典攻擊，口令應當保證一定的長度，并且盡量采用隨機的字符。但缺點是難于記憶。4、口令容易在輸入時被攻擊者偷窺輸入時被攻擊者偷窺，且用戶無法及時發(fā)現(xiàn)。3232 網(wǎng)絡通過用戶擁有什么東西來識別的方法，一般是用智能卡或其它特殊形式的

35、標志，這類標志可以從連接到計算機上的讀取器讀出來。訪問不但需要口令，也需要使用物理智能卡。 智能卡技術將成為用戶接入和用戶身份認證等安全要求的首選技術。用戶將從持有認證執(zhí)照的可信發(fā)行者手里取得智能卡安全設備，也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。這樣智能卡的讀取器必將成為用戶接入和認證安全解決方案的一個關鍵部分。3333ICIC卡基本原理卡基本原理3434ICIC卡操作系統(tǒng)的典型模塊結構卡操作系統(tǒng)的典型模塊結構 IC卡接口設備卡接口設備 3535 IC卡認證是IC卡和應用終端之間通過相應的認證過程來相互確認合法性，目的在于防止偽造應用終端及相應的IC卡。 它一般有三種認證方式：內(nèi)部認證

36、內(nèi)部認證(Internal Authentication)： 應用終端驗證IC卡的合法性； 外部認證外部認證(External Authentication)： IC卡驗證應用終端的合法性；相互認證相互認證(Mutual Authentication)： IC卡和應用終端相互驗證合法性。 36363737 目前已有的設備包括：視網(wǎng)膜掃描儀、聲音驗證設備、手型識別器等。安全性高。例如：系統(tǒng)中存儲了他的指紋，他接入網(wǎng)絡時，就必須在連接到網(wǎng)絡的電子指紋機上提供他的指紋（這就防止他以假的指紋或其它電子信息欺騙系統(tǒng)），只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜膜血管分布圖來識別，原理與指紋識別相

37、同，聲波紋識別也是商業(yè)系統(tǒng)采用的一種識別方式。 3838 在安全性要求較高的系統(tǒng)，由護字符和持證等所提供的安全保障不夠完善。護字符可能被泄露，證件可能丟失或被偽造。更高級的身份驗證是根據(jù)被授權用戶的個人特征來進行的確證，它是一種可信度高而又難以偽造的驗證方法，這種方法在刑事案件偵破中早就采用了。指紋驗證 語音驗證 視網(wǎng)膜圖樣驗證 臉型驗證 3939弓型紋箕型紋斗型紋傷殘紋4040指紋圖象指紋圖象采集儀采集儀圖象輸入圖象輸入通道通道指紋細節(jié)指紋細節(jié)匹配匹配認證結果認證結果 指紋識別系統(tǒng)利用人類指紋的特性，通過特殊的光電掃描和計算機圖像處理技術，對活體指紋進行采集、分析和比對，自動、迅速、準確地認

38、證出個人身份。自動指紋認證的過程是按照用戶和姓名等信息將其存在指紋數(shù)據(jù)庫中的模板指紋調出來，然后再用用戶輸入的指紋與該模板的指紋相匹配，以確定這兩幅指紋是否出于同一幅指紋。4141 每個人的說話聲音都各有其特點，人對于語音的識別能力是很強的，即使在強干擾下、也能分辨出某個熟人的話音。在軍事和商業(yè)通信中常?？柯爩Ψ降恼Z音實現(xiàn)個人身份認證。例如，可將由每個人講的一個短語所分析出來的全部特征參數(shù)存儲起來，如果每個人的參數(shù)都不完全相同就可實現(xiàn)身份認證。這種存儲的語音稱作為語音聲紋(Voice-print)。 電話和計算機的盜用是相當嚴重的問題，語音聲紋識別技術可用于防止黑客進入語音函件和電話服務系統(tǒng)。

39、4242 人的視網(wǎng)膜血管（即視網(wǎng)膜脈絡）的圖樣具有良好的個人特征。這種識別系統(tǒng)已在研制中；其基本方法是利用光學和電子儀器將視網(wǎng)膜血管圖樣記錄下來，一個視網(wǎng)膜血管的圖樣可壓縮為小于35字節(jié)的數(shù)字信息?？筛鶕?jù)對圖樣的節(jié)點和分支的檢測結果進行分類識別。被識別人必須合作允許采樣。研究表明，識別驗證的效果相當好。如果注冊人數(shù)小于200萬時，錯誤率為0，所需時間為秒級，在要求可靠性高的場合可以發(fā)揮作用，已在軍事和銀行系統(tǒng)中采用，其成本比較高。4343利用圖像識別、神經(jīng)網(wǎng)絡和紅外掃描探測，對人臉的“熱點”進行采樣、處理和提取圖樣信息。通過臉型自動驗證系統(tǒng)進行身份認證。將用于銀行等的身份識別系統(tǒng)中。也可將面部

40、識別系統(tǒng)用于網(wǎng)絡環(huán)境中其軟件開發(fā)，與其它信息系統(tǒng)的軟件集成，作為金融、接入控制、電話會議、安全監(jiān)視、護照管理、社會福利發(fā)放等系統(tǒng)的應用軟件。4444一、Kerberos 簡介 Kerberos：希臘神話“三個頭的狗地獄之門守護者” 有三個功能：身份認證、記賬、審核。Kerberos針對分布式環(huán)境，一些工作站可能安裝于不安全場所，而且用戶也并非是完全可信的。 客戶在登錄時，需要認證。用戶必須獲得由認證服務器發(fā)行的許可證，才能使用目標服務器上的服務。許可證提供被認證的用戶訪問一個服務時所需的授權資格。所有客戶和服務器間的會話都是暫時的。45451、Kerberos的產(chǎn)生背景用戶需要從多臺計算機得到

41、服務，控制訪問的方法有三種： a) 認證工作由用戶登錄的計算機來管理，服務程序不負責認證，這對于封閉式網(wǎng)絡是可行的方案。 b) 收到服務請求時，對發(fā)來請求的主機進行認證，對每臺認證過的主機的用戶不進行認證。每個服務選擇自己信任的計算機，在認證時檢查主機地址來實現(xiàn)認證。 c) 在開放式系統(tǒng)中，主機不能控制登錄它的每一個用戶，另外還有來自系統(tǒng)外部的假冒等情況發(fā)生，以上兩種方法都不能保證用戶身份的真實性，必須對每一個服務請求，都要認證用戶的身份。4646開放式系統(tǒng)的認證的要求：1)安全性：沒有攻擊的薄弱環(huán)節(jié)。2)可靠性：認證服務是其他服務的基礎，要可靠，不能癱瘓。3)透明性：用戶覺察不到認證服務，只

42、是輸入口令。4)可擴展性：支持加入更多的服務器。47472、什么是Kerberos Kerberos是網(wǎng)絡通信提供可信第三方服務的面向開放系統(tǒng)的認證機制。每當用戶C申請得到某服務程序S的服務時，用戶和服務程序會首先向Kerberos要求認證對方的身份，認證建立在用戶和服務程序對Kerberos信任基礎上。 Kerberos Kerberos Client ClientServerServer認證雙方與Kerberos的關系 4848在申請認證時，C和S都是Kerberos認證服務的用戶，為了和其它服務的用戶區(qū)別，Kerberos用戶統(tǒng)稱為當事人(principle)，principle可以是用

43、戶或者某項服務，當用戶登錄到工作站時，Kerberos對用戶進行初始認證，此后用戶可以在整個登錄時間得到相應的服務。Kerberos不依賴用戶的終端或請求服務的安全機制，認證工作由認證服務器完成。4949 Kerberos保存當事人及其密鑰的數(shù)據(jù)庫。共享密鑰只被當事人和Kerberos知道，當事人在登記時與Kerberos商定。使用共享密鑰，Kerberos可以創(chuàng)建消息使一個當事人相信另一個當事人的真實性。Kerberos還產(chǎn)生一種臨時密鑰(對話密鑰)，通信雙方用在具體的通信中。 KerberosKerberos提供三種安全等級：提供三種安全等級：只在網(wǎng)絡開始連接時進行認證，認為連接建立起來后

44、的通信是可靠的。 安全消息傳遞：對每次消息都進行認證工作，但是不保證每條消息不被泄露。 私有消息傳遞：不僅對每條消息進行認證，而且對每條消息進行加密。Kerberos在發(fā)送密碼時就采用私有消息模式。5050 整個Kerberos的協(xié)議都嚴重地依賴于時鐘，而實際證明，要求在分步式系統(tǒng)環(huán)境中實現(xiàn)良好的時鐘同步，是一個很難的課題。 口令沒有進行額外的特殊處理，以至于即使用強力攻擊（即窮舉法）的時間復雜度僅和口令的長度成比例，這將形成一個兩難的局面：或是增加密鑰長度換取更高的安全，但這會造成用戶的使用困難和增加系統(tǒng)加/解密開銷。5151 認證域之間的多級跳躍過程復雜且不明確，相互信任和協(xié)調不方便。若各

45、Kerberos區(qū)域形成復雜或不規(guī)則的網(wǎng)狀結構，則要求方便的域間服務，將付出極大的代價，即系統(tǒng)的可擴充性不強。針對這種無序的狀況，應有規(guī)劃有目的地建立起全球一體化的分層（樹狀）結構，形成良好的信任鏈條。5252長票的生存期較長，容易被重放攻擊；對短票而言，如果攻擊者技術高明，也有機會重放攻擊，況且攻擊者可以著手破壞系統(tǒng)的時鐘同步性。我們建議，在Kerberos引入序列號循環(huán)機制，即讓傳送的消息帶上一定的序列號，這些序列號在由系統(tǒng)循環(huán)地賦予消息，再結合系統(tǒng)原有的生存期控制，將有效地保證一定的時間段里只能存在唯一的合法消息，從而消除了重放的可能性。當然，這必須付出一定的系統(tǒng)開銷代價。5353 Kerberos認證中心要求保存大量的共享私鑰，無論是管理還是更新都有很大的困難，需要特別細致的安全保護措施（甚至應采用硬件/物理方法），將付出極大的系統(tǒng)代價。 對Kerberos系統(tǒng)程序進行攻擊，特別是惡意篡改登錄程序，是有效的攻擊方法。所以，必須花一定的系統(tǒng)代價去防范對認證系統(tǒng)本身的集中攻擊。其中，建立高性能的防火墻和進行日志是必要的。54 PKI即公開密鑰體系，是一種遵循既定標準的密鑰管理平臺，它能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系，PKI技術是