安全基礎(chǔ)設(shè)施設(shè)計原理PPT通用課件

1、安全基礎(chǔ)設(shè)施設(shè)計原理18.7 基礎(chǔ)設(shè)施目錄服務(wù)18.8 信息系統(tǒng)安全工程18.9 本章小結(jié)習(xí)題18.1 安全基礎(chǔ)設(shè)施概述 18.1.1 安全基礎(chǔ)設(shè)施概述一個安全基礎(chǔ)設(shè)施應(yīng)提供很多安全組件的協(xié)同使用，其體系結(jié)構(gòu)可改進整個的安全特性，而不僅是各個安全組件的特性。使用這個定義，可推論出安全基礎(chǔ)設(shè)施的設(shè)計和特性。以防火墻為例，使用防火墻可以很好地實施安全策略，但是，如果它不能和體系結(jié)構(gòu)中的其他組件很好地連接，就不能構(gòu)成一個安全基礎(chǔ)設(shè)施。例如，這個防火墻不能和安全基礎(chǔ)設(shè)施的其他方面互相聯(lián)系、互相作用，那它只是一個安全組件，而不是安全基礎(chǔ)設(shè)施的一部分。這就是安全基礎(chǔ)設(shè)施定義中的協(xié)同組件。再如，假如從防火墻

2、能發(fā)送報警至事件管理站，由事件管理站處理成通知網(wǎng)絡(luò)運行中心（Network Operations Center, NOC）的報警，那么，防火墻可能成為基礎(chǔ)設(shè)施的一部分。反之，如防火墻本身做得很好，其屏幕可顯示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何組件，那防火墻的作用是不完全的。如果將防火墻和入侵檢測、強的身份鑒別、加密的隧道（VPN）等組件協(xié)同作用，就能設(shè)計成一個基本的安全基礎(chǔ)設(shè)施。18.1.2 安全基礎(chǔ)設(shè)施的組成安全基礎(chǔ)設(shè)施的主要組成有4部分：網(wǎng)絡(luò)、平臺、物理設(shè)施、處理過程。網(wǎng)絡(luò)類包括防火墻、路由器、交換機、遠程訪問設(shè)備（如VPN和撥號modem池）以及基于網(wǎng)絡(luò)的入侵檢測

3、，它們分別在整個安全設(shè)計中增加某些安全特性。這些組件通過其網(wǎng)絡(luò)接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。這些安全組件的作用是監(jiān)控和保護在網(wǎng)絡(luò)中通過的數(shù)據(jù)，或保護在應(yīng)用中通過、使用的數(shù)據(jù)。平臺類包括服務(wù)器、客戶端軟件（例如，執(zhí)行操作系統(tǒng)和安全應(yīng)用的控制）。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設(shè)備）的設(shè)備也屬于這一類。平臺類還包括應(yīng)用級訪問控制，如產(chǎn)生憑證的軟件程序、數(shù)字證書、基于主機的入侵檢測、病毒掃描和清除、事件搜集代理和分析軟件程序。應(yīng)用級訪問控制能提供鑒別、授權(quán)、基于主機的入侵檢測和分析、病毒檢測和清除、事件賬戶管理和分析等功能。這些安全功能用來保護常

4、駐在主要基礎(chǔ)設(shè)施邊界的應(yīng)用。安全基礎(chǔ)設(shè)施的物理組成包括標準的門鑰匙和鎖、鑰匙卡、標識標志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標簽等。根據(jù)人的生物特征檢測的設(shè)備也屬于這一類，如指紋讀出器、面部形狀照相機、視網(wǎng)膜掃描器等。這些仿生組件是通過自然本質(zhì)來標識和鑒別用戶的。屬于這一類的還有網(wǎng)絡(luò)電纜和后備電源（如UPS系統(tǒng)和自備發(fā)電機）。物理安全設(shè)施的基本目的是防止非授權(quán)者進入以及保護安全基礎(chǔ)設(shè)施的電力供應(yīng)和網(wǎng)絡(luò)連接。處理過程包括企業(yè)安全策略和過程文檔，用來管理企業(yè)數(shù)據(jù)的生成、使用、存儲和銷毀，以及管理這些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡(luò)。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護的范圍以及對這些資產(chǎn)所

5、需的專門保護機制。企業(yè)安全過程是企業(yè)安全策略文檔的一個組成，用來指導(dǎo)員工在特定環(huán)境下的行動。企業(yè)安全策略和過程是安全基礎(chǔ)設(shè)施的重要組成。有了綜合的安全策略和過程文檔，安全設(shè)計師就能明白什么樣的資產(chǎn)是企業(yè)需要保護的，以及如何保護這些資產(chǎn)。雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡(luò)的保護策略，但它對廠商選擇、設(shè)計或?qū)嵤┎⒉灰?guī)定所需的詳細戰(zhàn)術(shù)。這些安全組件的成功實施需要了解安全基礎(chǔ)設(shè)施目標，否則可能會不合適地保護或完全疏忽那些關(guān)鍵資產(chǎn)。18.2 安全基礎(chǔ)設(shè)施的目標安全基礎(chǔ)設(shè)施設(shè)計的基本目標是保護企業(yè)的資產(chǎn)。保護這些資產(chǎn)的方法是適當(dāng)?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎(chǔ)設(shè)施中。這些資產(chǎn)包括硬件、軟件、

6、網(wǎng)絡(luò)組件以及知識財產(chǎn)。保護這些資產(chǎn)應(yīng)根據(jù)企業(yè)安全目標和企業(yè)安全策略文檔。雖然提到的只是數(shù)據(jù)的保護，實際上保護數(shù)據(jù)及其可用性也意味著保護執(zhí)行的系統(tǒng)和網(wǎng)絡(luò)。根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護目標應(yīng)按數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示和衡量。當(dāng)設(shè)計一個安全基礎(chǔ)設(shè)施時，把應(yīng)用的最好結(jié)果作為目標。因為應(yīng)用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交換和存儲。將設(shè)計目標放在數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應(yīng)用得到安全，而且企業(yè)也得到安全。這個概念如圖18.1所示。圖18.1 以應(yīng)用為目標的安全設(shè)計概念數(shù)據(jù)機密性的前提是防止非授權(quán)者看到非公共使用的數(shù)據(jù)。數(shù)據(jù)機密性應(yīng)用于本書所定義的具有內(nèi)部的

7、、機密的、嚴格限制的標記的數(shù)據(jù)。通過安全數(shù)據(jù)存儲和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機密性保護。滿足數(shù)據(jù)機密性要求的典型技術(shù)包括數(shù)據(jù)傳輸、安全在線和離線存儲的加密。數(shù)據(jù)完整性是關(guān)于對數(shù)據(jù)的任何非授權(quán)改變或破壞的保護。這個目標的基本點是數(shù)據(jù)的準確性和合法性。通過產(chǎn)生原始數(shù)據(jù)集檢查和同復(fù)制的數(shù)據(jù)進行比較的程序來管理完整性。提供數(shù)據(jù)完整性的通常解決方案是使用通用的加密策略，例如前面講到的IPSec，使用這樣的檢查和策略來保證發(fā)送的數(shù)據(jù)等于接收的數(shù)據(jù)。保護數(shù)據(jù)不被更改或破壞，可以用類似反病毒這樣的簡單解決方法，也可以用部署關(guān)鍵通路存儲解決方案、高可用性的防火墻簇以及企業(yè)范圍的變更管理等復(fù)雜的解決方案。為了防止非授權(quán)

8、使用或破壞，鑒別和授權(quán)控制是最合適的方法。最后，數(shù)據(jù)可用性也是需要十分關(guān)注的。數(shù)據(jù)可用性的目標范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。對某些系統(tǒng)需要高可用性，高達99.999%，而有些系統(tǒng)可用性要求就較低。提供高可用性系統(tǒng)保護的典型方法是使用冗余系統(tǒng)，通常包括冗余的電源、數(shù)據(jù)訪問和存儲、網(wǎng)絡(luò)以及應(yīng)用服務(wù)器處理等。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的拒絕服務(wù)（DOS）和分布式拒絕服務(wù)（DDOS）的攻擊。18.3 安全基礎(chǔ)設(shè)施的的設(shè)計指南首先，設(shè)計指南中最重要的是要保證企業(yè)安全策略和過程與當(dāng)前經(jīng)營業(yè)務(wù)目標相一致。如有不一致，在設(shè)計和構(gòu)造安全基礎(chǔ)設(shè)施之前，應(yīng)對這些策略和過程做必要的修改

9、。如果設(shè)計指南沒有被企業(yè)的最高管理層接受和全力支持，那么安全設(shè)計不可能完全達到它的功能，事實上有可能因缺少最高管理層的支持而失敗。第二步是開發(fā)一個計算機事故響應(yīng)組（Computer Incident Response Team, CIRT）,其職責(zé)是在安全報警事件中采取必要的行動和預(yù)防措施。為了使響應(yīng)組成員能熟練地處理事件（如安全破壞或災(zāi)難恢復(fù)），應(yīng)盡可能多地進行實際培訓(xùn)。在很多情況下，把它當(dāng)作有目的的測試場景，在那里能測試CIRT成員的行動在給定安全事件下的響應(yīng)、效率、完整性以及恢復(fù)能力。這樣的測試目標對改進CIRT成員的能力是十分重要的。第三步是設(shè)計基礎(chǔ)設(shè)施安全服務(wù)以直接支持指南和需求。這

10、些服務(wù)包括鑒別、授權(quán)、賬戶、物理訪問控制和邏輯訪問控制。對安全服務(wù)的設(shè)計、部署和運行應(yīng)遵循專門的方法。它定義了包括評估、設(shè)計、部署和管理4個步驟的生命周期。在評估階段，分析現(xiàn)存的經(jīng)營業(yè)務(wù)和安全需求，以決定大部分實際的、有效的安全解決方案現(xiàn)在是否已可行，否則必須重新設(shè)計和構(gòu)造。在設(shè)計階段，針對評估中發(fā)現(xiàn)的問題，設(shè)計安全解決方案。部署階段包括安全解決方案的實施和設(shè)備安裝。最后是管理階段，保證安全基礎(chǔ)設(shè)施正常運行，功能正常。18.3.1 鑒別鑒別服務(wù)于Internet資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應(yīng)于它們內(nèi)在的風(fēng)險，需要不同級別的安全。內(nèi)部網(wǎng)用戶愿意基于他們登錄的ID自動進行身份鑒別，而對外

11、聯(lián)網(wǎng)和Internet用戶，需要使用賦予的硬件或軟件的標記和個人標識號PIN登錄。通用的鑒別用戶的方法包括靜態(tài)用戶名（UID）和口令、強的兩因子鑒別、一次性口令鑒別以及單點登錄（Single Sign-On, SSO）鑒別。可能的話，為企業(yè)部署至少兩種鑒別方法的組合，用于需要不同保護級別的不同等級數(shù)據(jù)。對給定類別的數(shù)據(jù)選擇合適的鑒別方法是十分重要的。最普通的鑒別方式是靜態(tài)UID和口令的組合。因為靜態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護能力是很小的。靜態(tài)UID和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。在回答攻擊中，假冒者從以前的鑒別會話中獲取UID和口令的組合，依靠偷得的

12、UID和口令給鑒別服務(wù)器回答，以得到訪問權(quán)。在蠻力攻擊中，攻擊者只知道UID，或使用一個默認系統(tǒng)賬戶，用很多口令和已知UID組合來企圖登錄，以得到訪問權(quán)。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。由于這個原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問基于靜態(tài)鑒別方法。對更高等級的數(shù)據(jù)，需要更嚴格的解決方法，例如，可使用強的鑒別方法和一次性口令。強的鑒別方法可使用諸如PIN這類的知識因子和智能卡、標記產(chǎn)生卡、標記軟件程序等的組合。標記卡或標記軟件程序使用一個算法產(chǎn)生通常有6個數(shù)字的號碼，最后的口令碼是該6個數(shù)字碼和PIN的組合。智能卡一般包含標識其擁有的權(quán)利的信息，如數(shù)字ID或私鑰。雖然這種鑒

13、別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標記產(chǎn)生卡和標記軟件程序利用一次性口令，使用一次后就不再有效了。很顯然，強鑒別和一次性口令的組合能力大大優(yōu)于靜態(tài)UID和口令的組合，它既不會受回答攻擊的影響，也不會受蠻力攻擊的影響。像智能卡這些設(shè)備，當(dāng)若干次非法企圖后會自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會有很大風(fēng)險。為了改進使用靜態(tài)鑒別方法，可以建立一個口令老化的過程，規(guī)定在口令使用一定時期后必須更改。也可以在安全策略文檔中規(guī)定口令加強的需求，并且在鑒別服務(wù)器中進行設(shè)定，大部分操作系統(tǒng)支持這種特性。另一個設(shè)計鑒別體制時需考慮的問題是選擇分布式或集中式的鑒別。分布式鑒別在業(yè)

14、界是最流行的，對每一個要訪問的系統(tǒng)，用戶有不同的UID和口令，有時甚至對給定系統(tǒng)訪問的每個應(yīng)用都有不同的UID和口令。與上述方法相反的是單點登錄（SSO）。SSO準許用戶使用單一賬號和口令的組合來訪問企業(yè)中的很多資源。SSO對用戶提供方便的優(yōu)點是顯而易見的。它也減輕了管理的負擔(dān)，管理員需跟蹤的賬戶大大減少，由于用戶忘記自己的口令而需要重新設(shè)置的負擔(dān)也減輕了。然而，SSO不是沒有一點麻煩。將SSO引入環(huán)境，使其在異構(gòu)環(huán)境中有效地運行需要管理員付出新的努力。這些新的努力包括兼容的問題、部署和功能操作的問題，以及管理的問題等。如應(yīng)用適當(dāng)?shù)闹橇唾Y源解決了大部分問題，引入SSO解決方案，就能成功地處理

15、大部分企業(yè)范圍的鑒別需求。18.3.2 授權(quán)授權(quán)是基于一個人或一個組的標識，允許或拒絕規(guī)定的特權(quán)的行為。授權(quán)應(yīng)從應(yīng)用的周圍世界來處理。從根本上講，應(yīng)用安全是所有努力的目標。這些努力包括了解你的應(yīng)用，以及如何和客戶機、數(shù)據(jù)庫通信，以及其他服務(wù)器處理過程。應(yīng)用通常使用一個靜態(tài)的端口集以及和其他實體通信的協(xié)議。端口用來處理通信的發(fā)送和接收。決定使用什么樣的端口和什么樣的協(xié)議。有了這些信息，就可明白在使用哪一種應(yīng)用會話方式（例如TCP會話），還是通過沒有會話的突發(fā)數(shù)據(jù)的應(yīng)用通信（例如UDP或HTTP）。明白這些應(yīng)用通信類型以及如何通信有助于設(shè)計有效的、適當(dāng)?shù)氖跈?quán)控制。對應(yīng)用功能及其如何實現(xiàn)有了很好的了

16、解后，下一步是決定誰應(yīng)該在什么時間訪問哪些數(shù)據(jù)，還應(yīng)決定誰能得到對應(yīng)用服務(wù)器、數(shù)據(jù)庫或它們常駐網(wǎng)絡(luò)段的物理訪問權(quán)。這樣就能防止入侵者得到訪問控制。將應(yīng)用訪問限制在特定的群體和一天中的特定時間，就能減少受攻擊的可能。根據(jù)賦予的資源特權(quán)將用戶分成組，通過按資源將用戶分組的方法，用賦予的組標簽在應(yīng)用級進行授權(quán)控制來控制組成員的活動。這樣的策略是基于角色的訪問控制（role based access control, RBAC）。雖然RBAC控制很好，適合于具有大量用戶和大量公共或內(nèi)部數(shù)據(jù)資源的服務(wù)，但是對標有機密或嚴格限制的數(shù)據(jù)保護需要更嚴格的控制?；谟脩舻脑L問控制（User Based Acce

17、ss Control, UBAC）是根據(jù)各個用戶的特權(quán)而不是賦予的角色來決定的訪問控制。UBAC需要對每個用戶分別進行鑒別和授權(quán)。UBAC控制從其本性看可提供更細粒度的控制，因為它直接應(yīng)用至每個用戶或單個實體，而不是組或多個實體。18.3.3 帳戶賬戶管理涉及日志和行為的監(jiān)控、事件以及滿足某些條件引起的報警。大部分操作系統(tǒng)能配置生成賬戶日志，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報警。最流行的操作系統(tǒng)日志程序是用于UNIX系統(tǒng)的Syslog和用于Microsoft NT的NT事件日志。UNIX Syslog或NT事件日志設(shè)置報警,在日志文件中產(chǎn)生報警級報文，或更高級的報文。然而，情況可能更為復(fù)雜，

18、如若干個相關(guān)的、協(xié)同的、不一樣的事件從不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴重的報警信息。不論復(fù)雜性如何，賬戶管理結(jié)果都能提供以下信息：操作系統(tǒng)使用的詳細情況；應(yīng)用使用的詳細情況；Internet、外聯(lián)網(wǎng)或內(nèi)部網(wǎng)的活動；用于法庭分析的數(shù)據(jù)；趨勢分析數(shù)據(jù)；生成報告的數(shù)據(jù)。這些結(jié)果對企業(yè)都是很有價值的。除了提供性能預(yù)測和趨勢分析之外，這些事件還能確定它的安全輪廓、標識存在的或可能的威脅。操作系統(tǒng)事件能提示安全職員下列情況：失敗的登錄企圖、企圖得到根或管理員的訪問、文件系統(tǒng)是否已被安全送出。事件的時間界限和事件覆蓋的范圍一樣重要。當(dāng)管理員只是每周一次用人工方法考查事件日志時，從操作系統(tǒng)、關(guān)鍵應(yīng)用以及在網(wǎng)

19、絡(luò)段上的通信監(jiān)控安全事件到底有多少價值呢？當(dāng)管理員周期地考查這些事件日志，查看一段歷史時，黑客和漏洞的跟蹤有可能早已離開了，一些關(guān)鍵數(shù)據(jù)也可能已被取走。在Internet年代，事情發(fā)生得很快。即使是黑客新手也可能用大量黑客工具來攻擊企業(yè)資產(chǎn)。這些新手從專門黑客那里得到好處，裁剪黑客工具對企業(yè)施加嚴重的破壞。因此，不僅需要連續(xù)的訪問和鑒別控制，還需要實時的事件管理和入侵檢測（ID）解決方法。將入侵檢測也作為賬戶管理解決方案的一個組成部分，因為它的自然特性是事件檢測、分析，還有防止，十分類似于事件管理的目的。以往只是將事件管理當(dāng)作一種靜態(tài)搜集信息的工具，在這里將事件管理作為一種實時安全報警機制。1

20、8.3.4 物理訪問控制物理訪問控制有關(guān)安全基礎(chǔ)設(shè)施的組件，和其他安全設(shè)施一起減少資源濫用的效應(yīng)。物理控制的操作是物理的。通用物理訪問控制包括標準的門鑰匙、鑰匙卡、標識標志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設(shè)備標簽等。使用這些組件的方法決定了物理訪問控制策略的質(zhì)量。企業(yè)安全策略和過程文檔定義的操作應(yīng)定義如何保護專門等級的數(shù)據(jù)及執(zhí)行的系統(tǒng)。這些過程還應(yīng)陳述在災(zāi)難事件中通知相應(yīng)的人員采取哪些行動，對應(yīng)用重要的數(shù)據(jù)影響，定義相應(yīng)的法庭過程以及如何降低相關(guān)的風(fēng)險。除了減少安全漏洞的風(fēng)險和影響外，服務(wù)的破壞也必須計入物理保護策略。服務(wù)破壞保護策略包括正確的組件放置以及冗余。安全基礎(chǔ)設(shè)施

21、放置和冗余是一樣重要的。例如，某公司需要一個高可用性的系統(tǒng)和數(shù)據(jù)為客戶服務(wù)，為此公司需安裝一條冗余的T-1電纜接到提供客戶服務(wù)的數(shù)據(jù)中心，同時需要安裝冗余的UPS設(shè)備。由于施工土建工作量較小，施工過程未同土建安全部門聯(lián)系。但這種疏忽有可能會引起水、電等事故，這類事故在安裝物理基礎(chǔ)設(shè)施組件時本來是完全可以避免的。18.3.5 邏輯訪問控制邏輯訪問控制是所有安全基礎(chǔ)設(shè)施控制中最引人注目的。這些控制包括防火墻、路由器、交換機、VPN和應(yīng)用層控制，用來限制系統(tǒng)和網(wǎng)絡(luò)的使用。如前所述，邏輯訪問控制有時使用鑒別和授權(quán)信息來決定準予或拒絕訪問。另外，這些決定取決于正在使用的端口和協(xié)議。這些控制最好先集中在應(yīng)

22、用上，然后再控制低層協(xié)議。下面舉例說明，假定有一個HealthApp的應(yīng)用，此應(yīng)用利用端口8111上的TCP和HealthApp客戶通信，而TCP8104處理服務(wù)器對服務(wù)器的通信。首先需明白應(yīng)用的功能，而不是一開始就訪問控制不希望的端口和協(xié)議。在本例中，HealthApp服務(wù)器和其他服務(wù)器通信首先執(zhí)行一個域名系統(tǒng)（DNS）的查找來發(fā)現(xiàn)要同它通信的服務(wù)器的IP地址，HealthApp服務(wù)器和DNS服務(wù)器之間的DNS詢問必須是允許的。在本例中，下一步是對不是和HealthApp應(yīng)用相聯(lián)系的操作，拒絕所有訪問控制設(shè)備（例如防火墻、路由器、交換機）上的通信，并對應(yīng)用進行測試。這樣以應(yīng)用為目標，導(dǎo)出可用

23、的、最安全的邏輯訪問控制集?？梢园l(fā)現(xiàn)，使用這個策略是保護應(yīng)用數(shù)據(jù)及其執(zhí)行的系統(tǒng)的最有效方法。邏輯訪問控制能應(yīng)用不同的方法來限制系統(tǒng)和網(wǎng)絡(luò)的使用。對應(yīng)用訪問的保護，邏輯訪問控制通常使用在應(yīng)用本身。基于鑒別和授權(quán)準則，可設(shè)計成明確的限制或允許一定用戶或用戶組的訪問。網(wǎng)絡(luò)訪問控制根據(jù)試圖經(jīng)過一個網(wǎng)絡(luò)段的端口號和協(xié)議來決定允許還是拒絕通信。很多防火墻、路由器、交換機、VPN網(wǎng)關(guān)和ID系統(tǒng)可以根據(jù)它的類型（TCP、UDP或IPX）、源、目的甚至載荷來限制通信。邏輯訪問控制通常最后使用入侵檢測系統(tǒng)，包括發(fā)送一個TCP RESET（RST）分組給非授權(quán)網(wǎng)絡(luò)通信的發(fā)送源。這個RST分組通知發(fā)送源（冒犯者）的主

24、機該數(shù)據(jù)會話沒有接收到。雖然這個冒犯者的主機可能繼續(xù)再試，但它的非授權(quán)通信經(jīng)過給定的網(wǎng)絡(luò)段，入侵檢測系統(tǒng)將重新設(shè)置這個會話，因此阻止了該通信到達目的站。實踐證明，最好的邏輯訪問控制實施策略是包括周邊的建立、內(nèi)部應(yīng)用和基于網(wǎng)絡(luò)的控制、基礎(chǔ)設(shè)施的保護。周邊的建立將決定哪些系統(tǒng)和網(wǎng)絡(luò)是最可信的（內(nèi)部的），哪些系統(tǒng)和網(wǎng)絡(luò)有點可信（DMZ），哪些系統(tǒng)和網(wǎng)絡(luò)根本不可信。圖18.2表示建立可信域的模型。圖18.2 可信域的模型設(shè)計分開的可信區(qū)域，就能使用訪問控制，以適合不同可信區(qū)域內(nèi)網(wǎng)絡(luò)和系統(tǒng)的經(jīng)營業(yè)務(wù)的目的。Internet需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，不僅必須選擇合適的訪問控制技術(shù)，還必須包括

25、基礎(chǔ)設(shè)施的正確部署位置。入侵檢測系統(tǒng)安裝在周邊防火墻內(nèi)和防火墻外結(jié)果不同。不僅重要的事件及其內(nèi)容不同，而且使用的數(shù)據(jù)機密性、完整性和可用性的需求也不同，事件著重點的改變也相當(dāng)大。當(dāng)實施這些控制時，應(yīng)盡可能少地犧牲企業(yè)的生產(chǎn)力和利益，這是必須考慮的因素，雖然要做到這點不容易。18.4 密鑰管理基礎(chǔ)設(shè)施/公鑰基礎(chǔ)設(shè)施支撐性基礎(chǔ)設(shè)施是能夠提供安全服務(wù)的一套相互關(guān)聯(lián)的活動與基礎(chǔ)設(shè)施。有兩個十分重要的支撐性基礎(chǔ)設(shè)施：密鑰管理基礎(chǔ)設(shè)施/公鑰基礎(chǔ)設(shè)施，用于產(chǎn)生、公布和管理密鑰與證書等安全憑證。檢測與響應(yīng)，用于預(yù)警、檢測、識別可能的網(wǎng)絡(luò)攻擊，做出有效響應(yīng)以及對攻擊行為進行調(diào)查分析。本節(jié)闡述密鑰基礎(chǔ)設(shè)施與公鑰基

26、礎(chǔ)設(shè)施（KMI/PKI），KMI/PKI作為一種支撐性基礎(chǔ)設(shè)施，其本身并不能直接為用戶提供安全服務(wù)，但KMI/PKI是其他安全應(yīng)用的基礎(chǔ)。KMI/PKI是安全服務(wù)所必需的組件，其體系結(jié)構(gòu)依賴于其支持的應(yīng)用。表18-1列出了不同用戶類型對KMI/PKI的需求。例如，在為兩個用戶提供端到端加密隧道的虛擬專用網(wǎng)（VPN）中，KMI/PKI為實現(xiàn)認證和加密功能的加密設(shè)備提供密鑰和證書，還為用戶提供密鑰恢復(fù)服務(wù)以及證書查詢的目錄服務(wù)。表18-1 KMI/PKI支持不同類型的用戶服務(wù)用戶類型KMI/PKI服務(wù)VPN密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰產(chǎn)生證書管理增值服務(wù)目錄服務(wù)遠程訪問服務(wù)密鑰

27、產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)用戶類型KMI/PKI服務(wù)VPN密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)網(wǎng)絡(luò)訪問控制密鑰產(chǎn)生證書管理增值服務(wù)目錄服務(wù)遠程訪問服務(wù)密鑰產(chǎn)生證書管理密鑰恢復(fù)目錄服務(wù)多級安全密鑰產(chǎn)生證書管理目錄服務(wù)與其他基礎(chǔ)設(shè)施解決方案不同的是，KMI/PKI將它的安全分布在一組獨立的組件上。這些組件本身比用戶應(yīng)用要求更高的安全性，以保證用戶證書和密鑰的安全性。同樣，基礎(chǔ)設(shè)施中的安全策略管理、信息保障的水平等都要高于用戶應(yīng)用的安全級別。18.4.1 KMI/PKI服務(wù)為了減少用戶獲取服務(wù)的成本和需花費的人力資源，要求將提供不同服務(wù)的支撐性基礎(chǔ)設(shè)施組合在一起，形成一

28、個能為用戶提供多種服務(wù)的多組件基礎(chǔ)設(shè)施。KMI/PKI支持4種服務(wù)，其中每一種服務(wù)都使用了多種機制來滿足用戶應(yīng)用對安全的不同要求。前兩種服務(wù)能直接支持用戶應(yīng)用，后兩種服務(wù)是用戶應(yīng)用正常工作所必需的。第一種服務(wù)是對稱密鑰的產(chǎn)生和分發(fā)。對稱密鑰的產(chǎn)生和分發(fā)仍然是政府部門、金融部門和密鑰管理機制中最主要的部分。盡管許多應(yīng)用正在使用非對稱密鑰管理代替對稱密鑰管理，但對稱密鑰管理仍然有用武之地。對稱密鑰中，多個用戶的密鑰的產(chǎn)生、分發(fā)和管理由一個中心（可能是一個用戶或一個獨立的第三方）完成。在應(yīng)用對稱密鑰的團體中，一個成員在其密鑰的生命周期中只使用同一個密鑰與其他成員進行保密通信。第二種服務(wù)是支持非對稱密

29、鑰技術(shù)及與其相關(guān)的證書管理。非對稱密鑰通常使用數(shù)字證書來鑒別公/私鑰對中公鑰部分的真實性。這種鑒別很重要，因為非對稱密碼提供的安全服務(wù)要依賴于公鑰用戶確保公鑰已與特定的用戶綁定。數(shù)字證書（X.509證書）恰恰能將公/私密鑰對中的公鑰部分與其擁有者的身份綁定在一起，并使用密碼技術(shù)保證這種綁定關(guān)系的安全性。公鑰基礎(chǔ)設(shè)施由多個部分組成，包括組成基礎(chǔ)設(shè)施的組件、使用并操作基礎(chǔ)設(shè)施的人員、基礎(chǔ)設(shè)施提供的服務(wù)、基礎(chǔ)設(shè)施運行的策略以及對公鑰證書的管理。公鑰基礎(chǔ)設(shè)施可以產(chǎn)生、管理數(shù)字證書以保證數(shù)據(jù)的真實性、完整性及不可否認性，也可產(chǎn)生、管理密鑰協(xié)商證書以保護數(shù)據(jù)的機密性。第三種服務(wù)是目錄服務(wù)。通過目錄服務(wù)，用

30、戶可獲得PKI提供的公開信息，如公鑰證書、相關(guān)基礎(chǔ)設(shè)施的證書、受損的密鑰信息等。目錄服務(wù)可以由全球的分布目錄集提供，如X.500DMS(Defense Message System),也可以由單一站點組成的在線存儲庫提供。目錄服務(wù)一般與PKI結(jié)合在一起使用，但也可以用來提供其他服務(wù)。第四種服務(wù)是對基礎(chǔ)設(shè)施本身的管理?；A(chǔ)設(shè)施是由多個組件協(xié)同工作為用戶提供服務(wù)的，這種分布特性增加了對KMI/PKI的功能和操作上的要求。同時應(yīng)用安全需求的敏感性也對KMI/PKI提出了更多的安全需求。KMI/PKI的內(nèi)部結(jié)構(gòu)也受其支持的應(yīng)用的影響。KMI/PKI能支持不同的安全應(yīng)用，這取決于應(yīng)用使用的密碼技術(shù)。對稱

31、密碼技術(shù)一般保護信息在傳輸和存儲中的機密性，如傳輸機密性、文件加密、密鑰協(xié)商。對稱密鑰技術(shù)與其他機制相結(jié)合也可保證交易過程中數(shù)據(jù)的完整性和真實性，從而確保交易安全，如鑒別、完整性、不可否認等安全應(yīng)用。與對稱密碼不同，非對稱密碼技術(shù)可以保護信息在傳輸和存儲中的完整性和真實性，如鑒別、完整性和不可否認等安全應(yīng)用。公開密鑰密碼技術(shù)與證書管理相結(jié)合可以為應(yīng)用提供全方位的安全服務(wù)。公開密鑰密碼技術(shù)對數(shù)據(jù)進行加密、解密的速度比較慢，因此一般都使用對稱密碼算法對數(shù)據(jù)進行加密和解密。18.4.2 KMI/PKI過程KMI/PKI包含一系列過程。這些過程需要正確地協(xié)同工作，以保護用戶服務(wù)的安全。這些過程列舉如下

32、： 注冊。在系統(tǒng)中登記已經(jīng)過認證的用戶，使其可以使用KMI/PKI。 申請。用戶向KMI/PKI請求密鑰或證書。 密鑰生成。由基礎(chǔ)設(shè)施的一個組件產(chǎn)生對稱密鑰或不對稱密鑰。 證書生成。將用戶的信息和用戶的公開密鑰綁定在一個證書中。 分發(fā)。通過一種安全的可認證方式將密鑰和證書分發(fā)給用戶。 審計。記錄密鑰和證書的位置和狀態(tài)。 受損恢復(fù)。通過一種可驗證的方式將無效的密鑰和證書從系統(tǒng)中刪除。 密鑰更新。以一種安全的可認證方式周期性地更新密鑰和證書。 銷毀。銷毀失效的私鑰。 密鑰恢復(fù)。不直接訪問用戶私鑰的拷貝而恢復(fù)用戶私鑰的能力。制定策略：定義上述操作的應(yīng)用需求。管理：運行基礎(chǔ)設(shè)施。增值PKI過程。提供一

33、些可增值的服務(wù)，如備份、時間戳、公證等。這部分不是必須的。在PKI中，由不同的組件負責(zé)處理不同的操作。上述的操作可以有多種方法進行組合，為用戶提供安全服務(wù)，具體的實現(xiàn)方式依賴于具體的應(yīng)用和用戶愿意投入的成本。KMI/PKI的整體安全由各個操作的安全性構(gòu)成，每一個操作都面臨著不同的攻擊威脅并有相應(yīng)的防范措施。表18-2定義了4種KMI/PKI服務(wù)對實現(xiàn)每一個操作的基本要求。（見書中表18-2 KMI/PKI操作）18.4.3 用戶和基礎(chǔ)設(shè)施需求1. 用戶需求（1） 對稱密碼密鑰的來源應(yīng)該是可信的、權(quán)威的、可鑒別的；在分發(fā)過程中應(yīng)該對密鑰進行保護。（2） 非對稱密碼由用戶或KMI/PKI來產(chǎn)生公/

34、私密鑰對；證書信息是準確、有效的，并反映了與可識別的惟一用戶之間有效的綁定關(guān)系；證書將用戶私鑰對應(yīng)的公鑰與用戶身份綁定在一起；可信基礎(chǔ)設(shè)施組件的證書通過可鑒別的方式傳遞給用戶；用戶可以周期性檢查證書中信息的有效性；KMI/PKI只為在策略中定義的經(jīng)過認證的實體（如用戶或用戶組織）提供數(shù)據(jù)恢復(fù)服務(wù)，例如提供私鑰的一個拷貝。驗證密鑰產(chǎn)生請求接收公鑰驗證申請密鑰請求驗證信息請求 驗證改變信任模型的過程接收基礎(chǔ)設(shè)施組件的公鑰產(chǎn)生 產(chǎn)生公/私密鑰對產(chǎn)生證書產(chǎn)生密鑰向目錄中增加信息 產(chǎn)生根公/私密鑰對產(chǎn)生根證書產(chǎn)生基礎(chǔ)設(shè)施組件的公/私密鑰對產(chǎn)生基礎(chǔ)設(shè)施組件的證書產(chǎn)生交叉認證證書分發(fā) 向用戶提供證書驗證獲取

35、證書的用戶是否具有相應(yīng)的私鑰將策略批準權(quán)威（PAA）的公鑰證書通過可認證的途徑發(fā)送給用戶 將密鑰發(fā)送給用戶將密鑰裝入到加密設(shè)備中向用戶提供信息 通過安全的途徑將根證書提供給基礎(chǔ)設(shè)施的各個組件為每個基礎(chǔ)設(shè)施組件提供證書確保每個基礎(chǔ)設(shè)施組件擁有公鑰對應(yīng)的私鑰通過安全的方式向基礎(chǔ)設(shè)施組件提供域內(nèi)的加密參數(shù)受損恢復(fù) 對失效的密鑰提供失效密鑰列表（CKL）對處于有效期內(nèi)的證書提供在線認證機制取消所有使用失效的密鑰的密碼設(shè)備修復(fù)一個受到攻擊的目錄提供整個基礎(chǔ)設(shè)施或組件失效或遇到災(zāi)難后的重建步驟續(xù)表操作證書（公鑰）管理對稱密鑰管理基礎(chǔ)設(shè)施目錄服務(wù)基礎(chǔ)設(shè)施管理審計在密鑰和證書整個生命周期內(nèi)跟蹤其位置和狀態(tài)在密

36、鑰的整個生命周期內(nèi)跟蹤其位置和狀態(tài)記錄何人何時修改目錄中的信息確保對基礎(chǔ)設(shè)施的組件的操作符合PAA定義的策略和操作流程密鑰恢復(fù)適當(dāng)?shù)拿荑€恢復(fù)機制N/AN/A根簽名密鑰可能需要密鑰恢復(fù)密鑰更新新證書新密鑰密碼設(shè)備的密鑰更新N/A改變根密鑰的過程銷毀到達私鑰使用期限后將其置0達到密鑰使用期限后將密鑰置0將信息從目錄中刪除到達基礎(chǔ)設(shè)施組件的私鑰使用期限后將其置0管理N/AN/AN/A安全地使用基礎(chǔ)設(shè)施組件和運用系統(tǒng)策略的操作步驟2. 基礎(chǔ)設(shè)施管理需求（1） 對稱密碼確保密鑰產(chǎn)生和分發(fā)的請求者經(jīng)過認證；密鑰產(chǎn)生過程是安全、強健的；在密鑰分發(fā)過程中保證密鑰的安全性；密鑰只分發(fā)給經(jīng)過認證的用戶；系統(tǒng)要對密

37、鑰整個生命周期進行審計（申請、產(chǎn)生、分發(fā)、使用、更新以及銷毀）；系統(tǒng)要將失效的密鑰從系統(tǒng)中刪除。（2） 非對稱密碼確保證書申請的發(fā)起者經(jīng)過認證；產(chǎn)生證書之前確保證書申請中的信息與用戶的實際情況相符合；CA要保證將正確的公鑰寫入證書中；如果系統(tǒng)為用戶產(chǎn)生公鑰，則要保證密鑰產(chǎn)生的安全性并安全地傳遞給用戶；基礎(chǔ)設(shè)施要確保其證書的完整性，并以可鑒別的、不可否認的方式傳遞給用戶；基礎(chǔ)設(shè)施必須周期地為用戶提供證書撤銷信息；基礎(chǔ)設(shè)施必須保證其組件的高可用性；系統(tǒng)對密鑰的生命周期進行審計（申請、產(chǎn)生、分發(fā)、應(yīng)用、更新、撤銷和歸檔）；基礎(chǔ)設(shè)施只對已認證的用戶或用戶組織提供私鑰的恢復(fù)機制；基礎(chǔ)設(shè)施存儲的密鑰要使用

38、密鑰恢復(fù)機制保護密鑰；保證恢復(fù)的密鑰在分發(fā)給用戶的過程中的安全。18.5 證書管理KMI/PKI的一個主要功能就是對使用公鑰的應(yīng)用提供密鑰和證書的產(chǎn)生、分發(fā)和管理服務(wù)。在KMI/PKI的分工中，PKI的目的就是管理密鑰和證書。本節(jié)從用戶的角度出發(fā)介紹PKI的功能及其體系結(jié)構(gòu)。為了給各種基于公鑰的應(yīng)用提供服務(wù)，PKI的組成包括一系列的軟件、硬件和協(xié)議。PKI的主要組成部分包括證書授權(quán)（Certification Authority, CA）、注冊授權(quán)（Registration Authority, RA）以及證書存儲庫（Certificate Repository, CR）。PKI管理的對象有密

39、鑰、證書以及證書撤銷列表（Certificate Revocation List, CRL）。下面簡要介紹這些組件。CA。被一個或多個用戶信任并負責(zé)創(chuàng)建、分發(fā)證書，操作CA的人稱為管理員。RA。負責(zé)認證CA申請證書的用戶身份的實體。RA并不簽發(fā)證書，一般位于離用戶比較近的地方。完成RA認證用戶這項任務(wù)的人稱為RA操作員在大多數(shù)PKI中，完成認證用戶身份的任務(wù)一般由分散的、離用戶較近的局域注冊授權(quán)（Local Registration Authority, LRA）完成。CR。CA發(fā)布證書和CRL的地點。存儲庫有多種實現(xiàn)方式，包括數(shù)據(jù)庫、Web服務(wù)器，但一般用戶都使用LDAP協(xié)議訪問目錄服務(wù)。非

40、對稱密鑰。非對稱密鑰算法中需要一對密鑰，一個用來加密、簽字，一個用來進行解密、驗證。密鑰對中有一個是由密鑰擁有者秘密保存的，稱為秘密密鑰，另外一個由密鑰按照一個不可逆的數(shù)字函數(shù)計算得到，并可公開，稱為公開密鑰。根據(jù)數(shù)學(xué)原理，由公開密鑰不可能推導(dǎo)出秘密密鑰，所以公開密鑰不會影響秘密密鑰的安全性。證書。將用戶的身份信息及其公鑰用一種可信的方式綁定在一起的一條計算機記錄。證書中包括簽發(fā)者名稱、用戶身份信息、用戶公鑰以及CA對這些信息的簽字。目前多數(shù)證書格式都遵循ITU X.509標準定義的證書格式，凡符合X.509標準的證書稱為X.509證書。CRL。包含尚處于有效期內(nèi)、但證書內(nèi)的用戶身份信息及其公

41、鑰的綁定關(guān)系已經(jīng)失效的證書列表。CRL由CA簽發(fā)，CRL可以通過多種方式發(fā)布，如發(fā)布到目錄服務(wù)器中，利用Web方式發(fā)布或通過E-mail方式發(fā)布。同其他PKI相聯(lián)系的、處于不同保護地址中的通信實體，如果信任報文發(fā)送者的證書簽發(fā)者CA，那么可以對報文發(fā)送者的證書進行鑒別。如果用戶相信CA能將用戶身份信息與公鑰正確地綁定在一起，那么用戶可以將該CA的公鑰裝入到用戶的加密設(shè)備中。可以用用戶信任的CA公鑰驗證其簽字的，并且不在CA簽發(fā)的撤銷列表中的任何證書都是有效證書。這意味著用戶可以從該證書中解析出公鑰，并相信該公鑰確實屬于證書中標明的用戶。大型公鑰基礎(chǔ)設(shè)施往往包含多個CA，當(dāng)一個CA相信其他的公鑰

42、證書時，也就信任該CA簽發(fā)的所有證書。多數(shù)PKI中的CA是按照層次結(jié)構(gòu)組織在一起的，在一個PKI中，只有一個根CA，在這種方式中，用戶總可能通過根CA找到一條連接任意一個CA的信任路徑。在采用層次結(jié)構(gòu)的組織中，層次結(jié)構(gòu)的CA組織方式非常有效，但對于內(nèi)部不采用層次結(jié)構(gòu)的組織以及組織之間，則很難使用層次結(jié)構(gòu)的CA組織方式。解決這個問題的一個很通用的方法是，將多個CA證書結(jié)構(gòu)內(nèi)受信任的證書安裝到驗證證書的應(yīng)用中，大多數(shù)商用瀏覽器中包含有50個以上的受信任的CA證書，并且用戶可以向瀏覽器中增加受信任的CA證書，也可以從中刪除不受信任的證書。當(dāng)接收一個證書時，只要瀏覽器能在待驗證證書與其受信任的CA證書

43、之間建立起一個信任鏈路，瀏覽器就可以驗證證書。另一種方法是雙向地交叉認證證書。采用交叉認證不像層次結(jié)構(gòu)組織CA的PKI那樣，需要在CA之間建立上下級的信任關(guān)系。為了區(qū)別于層次結(jié)構(gòu)的PKI，采用雙向交叉認證機制的PKI稱為網(wǎng)狀PKI。層次結(jié)構(gòu)的PKI可以同網(wǎng)狀結(jié)構(gòu)的PKI組合在一起。在層次PKI與網(wǎng)狀PKI之間進行互操作可采用橋CA的概念，橋CA為多個PKI中的關(guān)鍵CA簽發(fā)交叉認證證書。不論是采用層次結(jié)構(gòu)還是采用網(wǎng)狀結(jié)構(gòu)的PKI，簽字的驗證者必須建立一條從簽字者到驗證者信任的CA之間的證書鏈，驗證者必須驗證證書鏈中的每一個證書的簽字，并檢查該證書是否已經(jīng)撤銷，如果證書鏈中的每個證書都是有效的，那

44、么驗證者可以確認簽字者的公鑰是有效的。不使用證書鏈對證書進行驗證的方法稱為在線證書驗證。在線證書驗證的過程是將證書傳遞給網(wǎng)絡(luò)上的服務(wù)器，讓該服務(wù)器根據(jù)其驗證規(guī)則來實現(xiàn)對證書有效性的驗證。圖18.3表示PKI互操作中的分層信任列表與網(wǎng)狀方法。圖18.4表示基于雙向交叉認證、橋CA和在線狀態(tài)檢查互操作模型的PKI。在多個PKI間進行互操作的方法都各有其優(yōu)缺點，必須仔細考慮選用互操作方法，以防降低系統(tǒng)的安全性。圖18.3 PKI互操作中的分層信任列表與網(wǎng)狀方法圖18.4 基于雙向交叉認證、橋CA和在線狀態(tài)檢查互操作模型的PKIPKI在密鑰和證書的產(chǎn)生、分發(fā)和管理中起著關(guān)鍵作用，密鑰和證書的產(chǎn)生、分發(fā)

45、和管理是實現(xiàn)基于公鑰的安全服務(wù)所必須的。PKI本身使用機密性安全服務(wù)保護私鑰在存儲和分發(fā)中的安全性，使用完整性安全服務(wù)對公鑰進行認證，PKI對公鑰的數(shù)字簽名保證了公鑰與證書中的用戶身份信息的綁定關(guān)系，同時確保了證書中公鑰的完整性。18.6 對稱密鑰管理盡管PKI有很多優(yōu)點，正在得到廣泛應(yīng)用，但在現(xiàn)實世界中，對稱密鑰管理仍然是一種重要技術(shù)。很多現(xiàn)存的系統(tǒng)惟一地使用對稱密碼。甚至隨著非對稱密碼技術(shù)應(yīng)用的不斷發(fā)展，許多新出現(xiàn)的應(yīng)用，例如多點傳送，將仍然要求安全的對稱密鑰和非對稱密碼系統(tǒng)。在對稱密碼算法中，加密密鑰可以從解密密鑰求得，反之亦然。這一點和公鑰密碼算法不同，從加密密鑰難以計算出解密密鑰。在

46、大多數(shù)對稱密碼系統(tǒng)中，加密和解密密鑰是相同的，這要求發(fā)送者和接收者在相互傳送加密報文時約定一個密鑰。如果密鑰系統(tǒng)所用的密鑰管理很脆弱，密碼算法的健壯性就為零。對稱密鑰應(yīng)用要求所有用戶擁有一個共同的安全密鑰，正確安全地分發(fā)、管理密鑰會十分復(fù)雜和昂貴。18.6.1 對稱密鑰管理的關(guān)鍵因素對稱密鑰管理的許多方面對于維護安全都是至關(guān)重要的。對稱密鑰的管理涉及整個的密鑰存活期，必須建立密鑰定購、產(chǎn)生、分配、存儲、記錄、銷毀的可控過程，圖18.5是對稱密鑰管理活動的關(guān)鍵因素。必須有檢測受到篡改的密鑰以及使系統(tǒng)恢復(fù)安全的方法和規(guī)定，并能有效地確定受到的危害程度。圖18.5 對稱密鑰管理活動的關(guān)鍵因素 定購。

47、只有授權(quán)的個體才允許定購密鑰，只有得到明確授權(quán)的密鑰才可以定購。定購者必須具有對通信網(wǎng)絡(luò)管理的訪問權(quán)限，定購密鑰是為了在需要密鑰之前將密鑰分發(fā)給所有的用戶。密鑰管理系統(tǒng)將保證定購者具有定購密鑰的權(quán)限以及接收者具有接收密鑰的權(quán)限。 產(chǎn)生。必須在安全環(huán)境中產(chǎn)生密鑰以防止對密鑰的非授權(quán)訪問。對于特定的加密算法，產(chǎn)生過程將能產(chǎn)生一組可公認的密鑰。對稱密鑰通常是隨機的比特流，因此需要一個性質(zhì)控制過程保證比特流的隨機性。 分配。對稱密鑰可以通過可信的人或一些保護技術(shù)（如抗竄擾裝置），以物理形式進行分發(fā)。對一些非常敏感的密鑰，可以使用兩人控制來得到更多的保障。然而，這些技術(shù)只能在密鑰的存活期提供最小的保護。

48、可以訪問密鑰的人越多，篡改的可能性就越大。因此，安全分配的目標是通過良好的分發(fā)技術(shù)將密鑰從產(chǎn)生器通過電子手段傳送到用戶設(shè)備。公鑰技術(shù)可以支持良好的分發(fā)技術(shù)，允許用戶設(shè)備產(chǎn)生一個授權(quán)的會話密鑰，由產(chǎn)生器傳送對稱密鑰。 存儲。密鑰在等待分發(fā)給用戶或偶然使用時，必須存儲起來。當(dāng)一個連接失敗時，需要有一種機制來保證恢復(fù)未經(jīng)加密的對稱密鑰的存儲區(qū)。對這些密鑰的保護十分關(guān)鍵，必須安全地存儲。以物理形式分發(fā)的密鑰只能通過嚴格的物理和人員安全性進行保護。電子形式的密鑰應(yīng)以加密的形式進行存儲，同時應(yīng)采取物理的、人員的和計算機的安全機制來限制對密鑰的加密和訪問。 保密應(yīng)用。在密碼系統(tǒng)的應(yīng)用中注入密碼需要一個保護接

49、口，在接口處對密鑰進行物理保護，對于防止密鑰的篡改十分關(guān)鍵，因為可以在接口處對密鑰進行復(fù)制和替換。盡管注入加密密鑰只需要最少的保護，但對于相應(yīng)的解密密鑰卻需要非常高的保護來限制它注入的頻度。 銷毀。可以有多種可能的介質(zhì)存放對稱密鑰，包括紙（例如手工代碼本、密鑰帶）和電子器件（例如隨機訪問存儲器（RAM）、電子可擦寫可編程只讀存儲器（EEPROM）、可編程只讀存儲器（PROM）。由于對稱密鑰篡改具有能夠恢復(fù)以前加密的通信流的特性，所以密鑰的存儲期不能長于必需的任務(wù)執(zhí)行期是十分必要的。在密鑰周期結(jié)束后，安全的密鑰必須在所有位置進行銷毀，包括偶然存儲及伴隨的電子存儲等。 篡改。對稱密鑰易受到密鑰篡改

50、的攻擊（例如物理分發(fā)、大規(guī)模加密網(wǎng)、長加密周期），因此密鑰篡改的檢測和恢復(fù)是十分關(guān)鍵的。目前尚無完善的機制來控制密鑰篡改對網(wǎng)絡(luò)造成的危害。安全密鑰的篡改可能會暴露所有它加密的通信流，使假定的對于未來通信流的認證失效。為了恢復(fù)密鑰的篡改，需要通知每一個用戶并提供新的密鑰。但對于大規(guī)模的加密網(wǎng)，這種方法很難做到使用戶同時得到通知和替換密鑰。 審計。必須采取附加的機制來跟蹤密鑰的整個存活期。有效的審計可以改進對于密鑰的跟蹤，如誰得到授權(quán)訪問密鑰、密鑰在什么時間分發(fā)到什么地方、密鑰什么時候銷毀。18.6.2 對稱密鑰技術(shù)的優(yōu)缺點1. 對稱密鑰技術(shù)的優(yōu)點 通信網(wǎng)絡(luò)中的每一個人可以盡可能長久地使用一個密鑰

51、，在安全策略允許的情況下，可以經(jīng)?；蚝苌俑淖兠荑€；密鑰在本地產(chǎn)生可以使采購的分發(fā)的問題最小化，不需要和中心權(quán)威機構(gòu)通信；對稱密鑰的結(jié)構(gòu)相當(dāng)簡單，主要是一系列隨機數(shù)；對稱密鑰處理通常比非對稱密鑰處理要快得多，在很多情況下，非對稱密鑰用于在網(wǎng)絡(luò)中安全地向其他用戶分發(fā)對稱密鑰；支持網(wǎng)狀的點對點的操作；對稱密鑰限制對特殊密鑰的擁有權(quán)，因而，不需要額外的訪問控制機制來控制誰和誰通信； 對稱密鑰在使用前不需要廣泛地確認；在采購和分發(fā)路徑中需要信任的人更少；非授權(quán)密鑰的產(chǎn)生只有當(dāng)攻擊者使某人替代正確密鑰使用時才是危險的，它自身是沒有危害的。2. 對稱密鑰技術(shù)的問題一個丟失的密鑰將會危及全網(wǎng)的安全，從而要求更

52、換每一個用戶的密鑰；提供有限的密碼服務(wù)（例如沒有抗否認、隱含認證等）；對于使用共同密鑰的密碼系統(tǒng)的網(wǎng)絡(luò)規(guī)模有一個上限，很難擴展到大的團體；使用共同的對稱密鑰的操作員人數(shù)越多，密鑰篡改的危險就越大；為了對付可能的危害和偶然的使用，需要產(chǎn)生大量的對稱密鑰，這些密鑰必須被安全地傳送和在本地存儲；分配延遲使得密鑰在使用之前就要產(chǎn)生并分發(fā)出去，所以在延遲時間較長時，會允許對于密鑰的有害訪問；網(wǎng)絡(luò)必須是預(yù)先確定的，很難產(chǎn)生動態(tài)的通信網(wǎng)絡(luò)；密鑰必須在所有時間保密；對于每一次會話通信，密鑰的存活期不能太長；沒有固定的方式能夠知道誰產(chǎn)生了密鑰；沒有后向的通信業(yè)務(wù)保護，從密鑰周期的開始，任何時間密鑰受到的危害都會

53、使使用該密鑰加密的通信業(yè)務(wù)暴露。18.7 基礎(chǔ)設(shè)施目錄服務(wù)基礎(chǔ)設(shè)施目錄服務(wù)是通過一個結(jié)構(gòu)化的命名服務(wù)，提供在分布環(huán)境中定位和管理資源的能力。目錄也提供對這一分布信息服務(wù)中所表示的所有客體的訪問控制。目錄的設(shè)計可以根據(jù)客體的內(nèi)容范圍和服務(wù)范圍進行分類。圖18.6是目錄服務(wù)模型，它提供對稱及非對稱密鑰以及整個企業(yè)的保密性、完整性、標識和鑒別的管理數(shù)據(jù)。圖18.6 目錄服務(wù)模型基礎(chǔ)設(shè)施目錄服務(wù)提供了信息的多個元素與特殊的人與設(shè)備相關(guān)聯(lián)的方式。這一關(guān)聯(lián)在分層組織中進行管理，并由名字關(guān)聯(lián)進行索引。最常見的例子是電話簿支持地址和電話號碼的名字解析關(guān)聯(lián)。在分布式網(wǎng)絡(luò)環(huán)境中，需要管理更多的信息，要求更通用的目

54、錄功能。18.7.1 基礎(chǔ)設(shè)施目錄服務(wù)的特性基礎(chǔ)設(shè)施目錄服務(wù)具有以下幾個重要特性：定義的名字空間。目錄服務(wù)通常調(diào)用一分層的名字空間，它在邏輯結(jié)構(gòu)上是一棵倒轉(zhuǎn)的樹。這一命名格式可用于加強訪問和減少用戶的位置信息?？梢允褂肵.500的可辨別名、RFC822電子郵件的命名和DNS的域名。高度的分布性。目錄服務(wù)將數(shù)據(jù)可靠地分布于多個目錄，不管它們分布于整個企業(yè)還是位于一個局域環(huán)境中。提供了允許信息分割以及訪問約束和適時的訪問機制。此外，通過目錄服務(wù)復(fù)制數(shù)據(jù)的能力使系統(tǒng)能更好地抗失效和保持可訪問性。優(yōu)化的數(shù)據(jù)恢復(fù)。目錄服務(wù)提供了根據(jù)客體的個體屬性進行搜索的能力。該設(shè)計支持很高的讀寫運算比。大多數(shù)目錄產(chǎn)品

55、假定訪問目錄信息庫中99%是查找或搜索，而沒有改變、添加、刪除。基礎(chǔ)設(shè)施目錄服務(wù)能提供對多種應(yīng)用的訪問。一些重要的訪問目錄應(yīng)用如X.500目錄訪問協(xié)議DAP和LDAP、電子郵件（S/MIMI V3）和以Web為基礎(chǔ)的訪問（http）。訪問目錄服務(wù)的客戶類型有3類：（1） 查詢客戶，執(zhí)行對用戶信息的一般查詢。（2） 修改客戶，執(zhí)行查詢，并且能執(zhí)行很強的認證綁定和對選定用戶屬性的修改。（3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項和操作信息。圖18.7從目錄用戶和管理者的角度描述了目錄信息庫（Directory Information Base, DIB）的邏輯結(jié)構(gòu)。目錄服務(wù)

56、定義了客體、屬性和相關(guān)句法的關(guān)系。用戶信息部分包括關(guān)于目錄客體的信息，這些信息對DIB的訪問是可見的。DIB的操作和管理部分包括用于跟蹤目錄操作的信息元素，如訪問控制信息與數(shù)據(jù)拷貝的有關(guān)信息。圖18.7 目錄信息庫的邏輯結(jié)構(gòu)目錄系統(tǒng)是一組定義了目錄信息樹（Directory Information Tree, DIT）如何構(gòu)造的規(guī)則集合，定義了DIB中保存的特定信息類型以及用于訪問信息的句法。目錄系統(tǒng)由3部分組成：（1） 類，所包含客體的集合。（2） 每一客體類的屬性，某類客體所允許的屬性集合。（3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。18.7.2 目錄服務(wù)的實現(xiàn)考慮目錄服務(wù)必

57、須具有實際的性能特性，性能可從以下幾方面考慮：易用性、健壯性、服務(wù)恢復(fù)的及時性和響應(yīng)速度。易用性是指系統(tǒng)設(shè)計和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標、窗口、腳本和狀態(tài)信息等。健壯性指產(chǎn)品和系統(tǒng)的可靠性和完整性，并根據(jù)平均失效時間MTBF和平均修復(fù)時間MTTR來說明?？捎眯阅繕耸翘峁┤魏文夸浄?wù)要1周7天、1天24小時的可用。在證書管理中，在需要時，吊銷信息的操作必須可用。服務(wù)的恢復(fù)涉及單個的目錄存儲代理（Directory Storage Agent, DSA）為達到某一操作狀態(tài)從客戶（和別的附屬DSA）到另一DSA之間轉(zhuǎn)換的恢復(fù)時間。如果DSA在戰(zhàn)略環(huán)境中，不應(yīng)超過5分鐘，在戰(zhàn)術(shù)

58、環(huán)境中應(yīng)小于1分鐘。對于響應(yīng)速度的戰(zhàn)術(shù)要求，目錄系統(tǒng)提供兩種類型的訪問特性。一種是人的訪問要求，通過人機接口處理信息的獲?。ɡ绨醉撔畔ⅲ?。另一種是通過特定的系統(tǒng)函數(shù)（例如在報文轉(zhuǎn)送時，需要名字到地址的解析功能），這一接口是機器至機器的接口。上述兩種訪問都有性能要求，但是，它們的特征和表示方法卻差別很大。18.8 信息系統(tǒng)安全工程信息系統(tǒng)安全工程（Information System Security Engineering, ISSE）的含義是為實現(xiàn)客戶信息保護需求而進行的某種過程。ISSE是由美國國家安全局發(fā)布的信息保障技術(shù)框架（IATF）3.0版本中提出的設(shè)計和實施信息系統(tǒng)安全工程方法。

59、圖188表明系統(tǒng)工程過程的主要行為，也反映了進程中各行為之間的關(guān)系。箭頭表明各行為間的信息流向，而不是行為的順序或時限?！坝行栽u估”對各行為的產(chǎn)物（產(chǎn)品）進行評估，使之在指定的環(huán)境中依照質(zhì)量需求標準執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。圖18.8 系統(tǒng)工程過程圖18.8所描述的系統(tǒng)工程行為的流程是按照下述一般方式進行的：挖掘任務(wù)或業(yè)務(wù)需求，定義系統(tǒng)功能，設(shè)計系統(tǒng)，實施系統(tǒng)，有效性評估。該系統(tǒng)工程的過程執(zhí)行原則是：從“解決方案空間”中分離出“問題的空間”。問題空間表示“解決方案”這一概念的約束條件、風(fēng)險、策略和一些界限（值）。解決方案空間代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已結(jié)束的行為和

60、創(chuàng)造出的產(chǎn)品。由解決方案空間所代表的、面向已定義的或一致的目標的系統(tǒng)工程行為和產(chǎn)品在開發(fā)的過程中必須不斷地接受有效性評估，并確定該方案是否違背問題空間所形成的條件。這些評估是對問題空間和解決方案空間進行必要修正的基礎(chǔ)。從解決方案空間分離出問題空間這一原則允許創(chuàng)造并且定義與既成的法律和人為制定的政策保持一致的有效解決方案。ISSE支持系統(tǒng)產(chǎn)品的開發(fā)-生產(chǎn)-銷售全過程的進展、驗證和確認，以便滿足用戶的信息保護需求。同時，ISSE也識別和接受信息保護風(fēng)險并對其進行優(yōu)化。ISSE行為主要用于以下情況：描述信息保護需求；根據(jù)系統(tǒng)工程的前期需要產(chǎn)生信息保護的具體需求；在一個可以接受的信息保護風(fēng)險下滿足信息