任務(wù)3 軟件安全技術(shù)與應(yīng)用

任務(wù)3軟件安全技術(shù)與應(yīng)用實踐

軟件限制策略及應(yīng)用；TCP/IP協(xié)議的安全性；加密文件系統(tǒng)（EFS）；Kerberos系統(tǒng)；IPSec系統(tǒng)

;定義軟件安全（SoftwareSecurity）就是使軟件在受到惡意攻擊的情形下依然能夠繼續(xù)正確運行的工程化軟件思想。3．1軟件安全策略

3.1.1軟件限制策略及應(yīng)用

在企業(yè)網(wǎng)絡(luò)管理中，可利用域控制器實現(xiàn)對某些軟件的使用限制。當(dāng)用戶利用域賬戶登錄到本機電腦的時候，系統(tǒng)會根據(jù)這個域賬戶的訪問權(quán)限，判斷其是否有某個應(yīng)用軟件的使用權(quán)限。當(dāng)確定其沒有相關(guān)權(quán)限時，操作系統(tǒng)就會拒絕用戶訪問該應(yīng)用軟件，從而來管理企業(yè)員工的操作行為。這就是域環(huán)境中的軟件限制策略。1．軟件限制策略原則

(1)應(yīng)用軟件與數(shù)據(jù)文件的獨立原則在使用軟件限制策略時，應(yīng)堅持“應(yīng)用軟件與數(shù)據(jù)文件獨立”的原則，即用戶即使具有數(shù)據(jù)文件的訪問權(quán)限，但若沒有其關(guān)聯(lián)軟件的訪問權(quán)限，仍然不能打開這個文件。(2)軟件限制策略的沖突處理原則軟件限制策略與其他組策略一樣，可以在多個級別上進(jìn)行設(shè)置。即可將軟件限制策略看成是組策略中的一個特殊分支。所以，軟件限制策略可以在本地計算機、站點、域或組織單元等多個環(huán)節(jié)進(jìn)行設(shè)置。每個級別又可以針對用戶與計算機進(jìn)行設(shè)置。當(dāng)在各個設(shè)置級別上的軟件限制策略發(fā)生沖突時，應(yīng)考慮優(yōu)先性問題。優(yōu)先性的級別從高到低為“組織單元策略”、“域策略”、“站點策略”和“本地計算機策略”。(3)軟件限制的規(guī)則默認(rèn)情況下，軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規(guī)則。“不受限的”規(guī)則規(guī)定所有登錄的用戶都可以運行指定的軟件?！安辉试S的”規(guī)則規(guī)定所有登錄系統(tǒng)的賬戶，都不能運行這個應(yīng)用軟件，無論其是否對數(shù)據(jù)文件具有訪問權(quán)限。系統(tǒng)默認(rèn)的策略是所有軟件運行都是“不受限的”，即只要用戶對于數(shù)據(jù)文件有訪問權(quán)限，就可以運行對應(yīng)的應(yīng)用軟件。2．軟件限制策略的應(yīng)用軟件限制策略是一種技術(shù)，通過這種技術(shù)，管理員可以決定哪些程序是可信賴的，哪些是不可信賴的。對于不可信賴的程序，系統(tǒng)會拒絕執(zhí)行。運行Gpedit.msc打開組策略編輯器，可以發(fā)現(xiàn)有“計算機配置”和“用戶設(shè)置”條目。如果希望對本地登錄到計算機的所有用戶生效，則使用“計算機配置”下的策略；如果希望對某個特定用戶或用戶組生效，則使用“用戶配置”下的策略。用戶應(yīng)設(shè)計出一種最佳的策略，能使所有需要的軟件正確運行，所有不必要的軟件都無法運行。

具體操作：打開“計算機配置”→“Windows設(shè)置”→“安全設(shè)置”→“軟件限制策略”路徑，在“操作”菜單下選擇“創(chuàng)建新的策略”。請參考教材p1563.1.2TCP/IP協(xié)議的安全性

TCP/IP協(xié)議是由100多個協(xié)議組成的協(xié)議集，TCP和IP是其中兩個最重要的協(xié)議。TCP和IP兩個協(xié)議分別屬于傳輸層和網(wǎng)絡(luò)層，在Internet中起著不同的作用。1．TCP/IP協(xié)議的層次結(jié)構(gòu)及主要協(xié)議

網(wǎng)絡(luò)接口層負(fù)責(zé)接收IP數(shù)據(jù)報，并把這些數(shù)據(jù)報發(fā)送到指定網(wǎng)絡(luò)中。它與OSI模型中的數(shù)據(jù)鏈路層和物理層相對應(yīng)。網(wǎng)絡(luò)層要解決主機到主機的通信問題，該層的主要協(xié)議有IP和ICMP。傳輸層的基本任務(wù)是提供應(yīng)用程序之間的通信，這種通信通常叫做端到端通信。傳輸層可提供端到端之間的可靠傳送，確保數(shù)據(jù)到達(dá)無差錯，不亂序。傳輸層的主要協(xié)議有TCP和UDP。應(yīng)用層為協(xié)議的最高層，在該層應(yīng)用程序與協(xié)議相互配合，發(fā)送或接收數(shù)據(jù)。應(yīng)用層傳輸(TCP)層網(wǎng)絡(luò)(IP)層網(wǎng)絡(luò)接口層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IPOSI圖3.5TCP/IP結(jié)構(gòu)與OSI結(jié)構(gòu)2．TCP／IP協(xié)議安全性分析(1)TCP協(xié)議TCP使用三次握手機制建立一條連接。攻擊者可利用這三次握手過程建立有利于自己的連接（破壞原連接），若他們再趁機插入有害數(shù)據(jù)包，則后果更嚴(yán)重。TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生，產(chǎn)生機制與協(xié)議實現(xiàn)有關(guān)。攻擊者只要向目標(biāo)主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進(jìn)攻主機到目標(biāo)主機之間數(shù)據(jù)包傳送的來回時間（RTT）。已知上次連接的ISN和RTT，很容易就能預(yù)測下一次連接的ISN。若攻擊者假冒信任主機向目標(biāo)主機發(fā)出TCP連接，并預(yù)測到目標(biāo)主機的TCP序列號，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標(biāo)主機接受。

(2)IP協(xié)議和ICMP協(xié)議IP協(xié)議提供無連接的數(shù)據(jù)包傳輸機制，其主要功能有尋址、路由選擇、分段和組裝。傳送層把報文分成若干個數(shù)據(jù)包，每個包在網(wǎng)關(guān)中進(jìn)行路由選擇，在傳輸過程中每個數(shù)據(jù)包可能被分成若干小段，每一小段都當(dāng)作一個獨立的數(shù)據(jù)包被傳輸，其中只有第一個數(shù)據(jù)包含有TCP層的端口信息。在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號檢查是否合法，這樣后續(xù)數(shù)據(jù)包就可以不經(jīng)檢查而直接通過。攻擊者若發(fā)送一系列有意設(shè)置的數(shù)據(jù)包，以非法端口號為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號的數(shù)據(jù)包，那么該路由器防火墻上的過濾規(guī)則被旁路，從而攻擊者便達(dá)到了進(jìn)攻目的。

ICMP是在網(wǎng)絡(luò)層中與IP一起使用的協(xié)議。如果一個網(wǎng)關(guān)不為IP分組選擇路由、不能遞交IP分組或測試到某種不正常狀態(tài)，如網(wǎng)絡(luò)擁擠影響IP分組的傳遞，那么就需要ICMP來通知源端主機采取措施，避免或糾正這些問題。ICMP協(xié)議存在的安全問題有：攻擊者可利用不可達(dá)報文對某用戶節(jié)點發(fā)起拒絕服務(wù)攻擊。3．TCP/IP層次安全

(1)網(wǎng)絡(luò)接口層安全網(wǎng)絡(luò)接口層安全一般可以達(dá)到點對點間較強的身份驗證、保密性和連續(xù)的信道認(rèn)證，在大多數(shù)情況下也可以保證數(shù)據(jù)流的安全。(2)網(wǎng)絡(luò)層的安全網(wǎng)絡(luò)層安全主要是基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡(luò)和設(shè)備的訪問。劃分并隔離不同安全域。防止內(nèi)部訪問者對無權(quán)訪問區(qū)域的訪問和誤操作。網(wǎng)絡(luò)層非常適合提供基于主機對主機的安全服務(wù)。相應(yīng)的安全協(xié)議可用來在Internet上建立安全的IP通道和VPN。(3)傳輸層的安全在傳輸層建立安全通信機制，為應(yīng)用層提供安全保護(hù)。常見的傳輸層安全技術(shù)有SSL(4)應(yīng)用層的安全應(yīng)用層提供的安全服務(wù)，通常都是對每個應(yīng)用（包括應(yīng)用協(xié)議）分別進(jìn)行修改和擴充，加入新的安全功能?；谛庞每ò踩灰追?wù)的安全電子交易（SET）協(xié)議，基于信用卡提供電子商務(wù)安全應(yīng)用的安全電子付費協(xié)議（SEPP），基于SMTP提供電子郵件安全服務(wù)的私用強化郵件（PEM），基于HTTP協(xié)議提供Web安全使用的安全性超文本傳輸協(xié)議（S-HTTP）等。3．2加密文件系統(tǒng)（EFS）

3.2.1EFS軟件加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows文件系統(tǒng)的內(nèi)置文件加密工具，它以公共密鑰加密為基礎(chǔ).EFS可對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。

EFS系統(tǒng)具有如下特性：用戶加密或解密文件或文件夾很方便，訪問加密文件簡單容易在使用EFS加密一個文件或文件夾時，系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK(文件加密密鑰)，然后利用FEK和數(shù)據(jù)擴展標(biāo)準(zhǔn)X算法創(chuàng)建加密文件，并把它存儲到硬盤上，同時刪除未加密的原文件。隨后系統(tǒng)利用用戶的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。當(dāng)用戶訪問被加密的文件時，系統(tǒng)首先利用用戶的私鑰解密FEK，然后利用FEK解密原加密文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統(tǒng)稱為密鑰），則會首先生成密鑰，然后再加密數(shù)據(jù)。EFS加密文件的時候，使用對該文件唯一的對稱加密密鑰，并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進(jìn)行加密。因為只有文件的擁有者才能使用密鑰對中的私鑰，所以也只有他才能解密密鑰和文件。

EFS加密系統(tǒng)對用戶是透明的用戶加密了一些數(shù)據(jù)，那么他對這些數(shù)據(jù)的訪問將是完全允許的，并不會受到任何限制。如果用戶持有一個已加密NTFS文件的私鑰，那么他就能夠打開這個文件，并透明地將該文件作為普通文檔使用。而其他非授權(quán)用戶試圖訪問加密過的數(shù)據(jù)時，就會收到“訪問拒絕”的提示。這說明非授權(quán)用戶無法訪問經(jīng)過EFS加密后的文件。即使是有權(quán)訪問計算機及其文件系統(tǒng)的用戶，也無法讀取這些加密數(shù)據(jù)。加密后的數(shù)據(jù)無論怎樣移動都保持加密狀態(tài)把未加密的文件復(fù)制到經(jīng)過加密的文件夾中，那么這些文件將會被自動加密。若想將加密文件移出來，如果移動到NTFS分區(qū)上，文件依舊保持加密屬性。EFS加密機制和操作系統(tǒng)緊密結(jié)合，用戶不必為加密數(shù)據(jù)安裝額外軟件，可節(jié)約使用成本

EFS加密的用戶驗證過程是在登錄Windows時進(jìn)行的，只要登錄到Windows，就可以打開任何一個被授權(quán)的加密文件，而并不像第三方加密軟件那樣在每次存取時都要求輸入密碼。

EFS與NTFS緊密地結(jié)合在一起。使用EFS加密功能要保證兩個條件，第一要保證操作系統(tǒng)是Windows2000/XP/2003，第二要保證文件所在的分區(qū)格式是NTFS格式（FAT32分區(qū)里的數(shù)據(jù)是無法加密的；如果要使用EFS對其進(jìn)行加密，就必須將FAT32格式轉(zhuǎn)換為NTFS）。通過EFS加密敏感性文件，會增加更多層級的安全性防護(hù)對于重要文件，最佳的做法是綜合使用NTFS權(quán)限和EFS加密兩項安全措施。這樣，如果非法用戶沒有合適的權(quán)限，將不能訪問受保護(hù)的文件和文件夾，因此也就不能刪除文件了；而有些用戶即使擁有權(quán)限，沒有密鑰同樣還是打不開加密數(shù)據(jù)。3.2.2EFS加密和解密應(yīng)用實踐1．EFS加密和解密操作p1632．EFS的其它操作

p1703．3Kerberos系統(tǒng)

Kerberos是一種提供網(wǎng)絡(luò)認(rèn)證服務(wù)的系統(tǒng)，其設(shè)計目標(biāo)是通過密鑰系統(tǒng)為Client/Server應(yīng)用程序提供強大的認(rèn)證服務(wù)。該認(rèn)證過程的實現(xiàn)不依賴于主機操作系統(tǒng)的認(rèn)證，無需基于主機地址的信任，不要求網(wǎng)絡(luò)上所有主機的物理安全，并假定網(wǎng)絡(luò)上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。3.3.1Kerberos概述

Keberos是為TCP/IP網(wǎng)絡(luò)系統(tǒng)設(shè)計的一種基于對稱密鑰密碼體制的第三方認(rèn)證協(xié)議。Kerberos認(rèn)證協(xié)議定義了客戶端和密鑰分配中心（Key

Distribution

Center，KDC）的認(rèn)證服務(wù)之間的安全交互過程。KDC由認(rèn)證服務(wù)器AS和票證授權(quán)服務(wù)器TGS兩部分組成。Kerberos協(xié)議根據(jù)KDC的第三方服務(wù)中心來驗證網(wǎng)絡(luò)中計算機的身份，并建立密鑰以保證計算機間安全連接。Kerberos允許一臺計算機通過交換加密消息在整個非安全網(wǎng)絡(luò)上與另一臺計算機互相證明身份。一旦身份得到驗證，Kerberos協(xié)議將會給這兩臺計算機提供密鑰，以進(jìn)行安全通信對話。Kerberos協(xié)議可以認(rèn)證試圖登錄上網(wǎng)用戶的身份，并通過使用密鑰密碼為用戶間的通信加密。Kerberos以票證（ticket）系統(tǒng)為基礎(chǔ)，票證是KDC發(fā)出的一些加密數(shù)據(jù)包，它可標(biāo)識用戶的身份及其網(wǎng)絡(luò)訪問權(quán)限。每個KDC負(fù)責(zé)一個領(lǐng)域（realm）的票證發(fā)放。KDC類似于發(fā)卡機構(gòu)，“票證”類似通行“護(hù)照”，它帶有安全信息。在Windows2003中，每個域也是一個Kerberos領(lǐng)域，每個ActiveDirectory域控制器（DC）就是一個KDC。執(zhí)行基于Kerberos的事務(wù)時，用戶將透明地向KDC發(fā)送票證請求。KDC將訪問數(shù)據(jù)庫以驗證用戶的身份，然后返回授予用戶訪問其他計算機的權(quán)限的票證。Windows系統(tǒng)中采用多種措施提供對Kerberos協(xié)議的支持，在系統(tǒng)的每個域控制器中都應(yīng)用了KDC認(rèn)證服務(wù)。Windows系統(tǒng)中應(yīng)用了Kerberos協(xié)議的擴展，除共享密鑰外，還支持基于公開密鑰密碼的身份認(rèn)證機制。Kerberos公鑰認(rèn)證的擴展允許客戶端在請求一個初始TGT（TGT稱為票據(jù)授權(quán)票證，是一個KDC發(fā)給驗證用戶的資格證）時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權(quán)威的第三方發(fā)放，也可以由Windows系統(tǒng)中的微軟證書服務(wù)器產(chǎn)生。初始認(rèn)證以后，就可以使用標(biāo)準(zhǔn)的Kerberos來獲取會話票證，并連接到相應(yīng)的網(wǎng)絡(luò)服務(wù)。認(rèn)證過程具體如下：客戶機向認(rèn)證服務(wù)器（AS）發(fā)送請求，要求得到某服務(wù)器的證書，然后AS的響應(yīng)包含這些用客戶端密鑰加密的證書。證書的構(gòu)成為：1)服務(wù)器“ticket”；2)一個臨時加密密鑰（又稱為會話密鑰“sessionkey”）?？蛻魴C將ticket（包括用服務(wù)器密鑰加密的客戶機身份和一份會話密鑰的拷貝）傳送到服務(wù)器上。會話密鑰可以（現(xiàn)已經(jīng)由客戶機和服務(wù)器共享）用來認(rèn)證客戶機或認(rèn)證服務(wù)器，也可用來為通信雙方以后的通訊提供加密服務(wù)，或通過交換獨立子會話密鑰為通信雙方提供進(jìn)一步的通信加密服務(wù)。上述認(rèn)證交換過程需要只讀方式訪問Kerberos數(shù)據(jù)庫。但有時，數(shù)據(jù)庫中的記錄必須進(jìn)行修改，如添加新的規(guī)則或改變規(guī)則密鑰時。修改過程通過客戶機和第三方Kerberos服務(wù)器（Kerberos管理器KADM）間的協(xié)議完成。有關(guān)管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護(hù)多份Kerberos數(shù)據(jù)庫的拷貝，這可以認(rèn)為是執(zhí)行過程中的細(xì)節(jié)問題，并且會不斷改變以適應(yīng)各種不同數(shù)據(jù)庫技術(shù)。3．4IPSec系統(tǒng)3.4.1IPSec概述IP安全協(xié)議（IPSecurity，IPSec）是網(wǎng)絡(luò)安全協(xié)議的一個工業(yè)標(biāo)準(zhǔn)，也是目前TCP/IP網(wǎng)絡(luò)的安全化協(xié)議標(biāo)準(zhǔn)。IPSec最主要的功能是為IP通信提供加密和認(rèn)證，為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)，保護(hù)TCP/IP通信免遭竊聽和篡改，有效抵御網(wǎng)絡(luò)攻擊，同時保持其易用性。IPSec的目標(biāo)是為IP提供互操作高質(zhì)量的基于密碼學(xué)的一整套安全服務(wù)，其中包括訪問控制、無連接完整性、數(shù)據(jù)源驗證、抗重放攻擊、機密性和有限的流量保密。這些服務(wù)都在IP層提供，可以為IP和其上層協(xié)議提供保護(hù)。IPSec不是一個單獨的協(xié)議，它由一系列協(xié)議組成，包括網(wǎng)絡(luò)認(rèn)證協(xié)議AH（也稱認(rèn)證報頭）、封裝安全載荷協(xié)議ESP、密鑰管理協(xié)議IKE和用于網(wǎng)絡(luò)認(rèn)證及加密的一些算法等。其中AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證和完整性保證；ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供可靠性保證。在實際進(jìn)行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù)，不過，AH提供的認(rèn)證服務(wù)要強于ESP。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上層提供訪問控制、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。IPSec可應(yīng)用于虛擬專用網(wǎng)絡(luò)(VPN)、應(yīng)用級安全以及路由安全三個不同的領(lǐng)域，但目前主要用于VPN。IPSec既可以作為一個完整的VPN方案，也可以與其他協(xié)議配合使用，如PPTP、L2TP。它工作在IP層（網(wǎng)絡(luò)層），為IP層提供安全性，并可為上一層應(yīng)用提供一個安全的網(wǎng)絡(luò)連接，提供基于一種端--端的安全模式。IPSec兩種工作模式:一種是隧道模式，在隧道模式中，整個IP數(shù)據(jù)包被加密或認(rèn)證，成為一個新的更大的IP包的數(shù)據(jù)部分，該IP包有新的IP報頭，還增加了IPSec報頭。隧道模式主要用在網(wǎng)關(guān)和代理上，IPSec服務(wù)由中間系統(tǒng)實現(xiàn)，端節(jié)點并不知道使用了IPSec。一種是傳輸模式。在傳輸模式中，只對IP數(shù)據(jù)包的有效負(fù)載進(jìn)行加密或認(rèn)證，此時繼續(xù)使用原始IP頭部。在傳輸模式中，兩個端節(jié)點必須都實現(xiàn)IPSec，而中間系統(tǒng)不對數(shù)據(jù)包進(jìn)行任何IPSec處理。3.4.2IPsec中加密與完整性驗證機制IPSec可對數(shù)據(jù)進(jìn)行加密和完整性驗證。其中，AH協(xié)議只能用于對數(shù)據(jù)包包頭進(jìn)行完整性驗證，而ESP協(xié)議可用于對數(shù)據(jù)的加密和完整性驗證。IPSec的認(rèn)證機制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。IPSec的加密機制通過對數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。為了進(jìn)行加密和認(rèn)證，IPSec還需要有密鑰的管理和交換功能，以便為加密和認(rèn)證提供所需要的密鑰并對密鑰的使用進(jìn)行管理。以上三方面的工作分別由AH、ESP和IKE三個協(xié)議規(guī)定。

1．安全關(guān)聯(lián)SAIPSec中一個重要概念就是SA，所謂安全關(guān)聯(lián)是指安全服務(wù)與它服務(wù)的載體之間的一個“連接”，即就是能為雙方之間的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接。SA可以看成是兩個IPSec對等端之間的一條安全隧道。SA是策略和密鑰的結(jié)合，它定義用來保護(hù)端--端通信的常規(guī)安全服務(wù)、機制和密鑰。SA可由AH或ESP提供，當(dāng)給定了一個SA，就確定了IPSec要執(zhí)行的處理。2．認(rèn)證協(xié)議AH為整個數(shù)據(jù)包提供身