第09章 信息安全防護基本原理

第九章信息安全防護基本原理《計算機網(wǎng)絡(luò)與信息安全》第九章信息安全防護基本原理本章學(xué)習(xí)目標(biāo)掌握報文認(rèn)證與數(shù)字簽名的基本原理與過程；掌握身份認(rèn)證基本原理與過程；掌握密鑰分發(fā)與證書認(rèn)證的基本原理與過程；掌握訪問控制的概念、方法、技術(shù)、功能及應(yīng)用；掌握內(nèi)容保護與內(nèi)容監(jiān)管策略、技術(shù)與方法；理解物理安全的概念、意義、主要內(nèi)容與防護措施。主要內(nèi)容第一節(jié)消息完整性與

數(shù)字簽名第二節(jié)

身份認(rèn)證第三節(jié)

密鑰管理與分發(fā)第四節(jié)

訪問控制第五節(jié)

內(nèi)容安全第六節(jié)物理安全2本章重點與難點本章重點消息完整性驗證報文認(rèn)證數(shù)字簽名身份認(rèn)證方法密鑰分發(fā)方法KDC與CA訪問控制概念與方法訪問控制應(yīng)用內(nèi)容保護與監(jiān)管方法物理安全主要內(nèi)容本章難點消息完整性驗證原理報文認(rèn)證的應(yīng)用數(shù)字簽名原理身份認(rèn)證過程密鑰分發(fā)原理密鑰分發(fā)中心（KDC）證書認(rèn)證機構(gòu)（CA）公鑰基礎(chǔ)設(shè)施（PKI）訪問控制策略與應(yīng)用內(nèi)容安全的數(shù)字水印算法3李全龍第一節(jié)消息完整性與數(shù)字簽名報文完整性？報文/消息完整性(messageintegrity)，也稱為報文/消息認(rèn)證（或報文鑒別），目標(biāo)：證明報文確實來自聲稱的發(fā)送方驗證報文在傳輸過程中沒有被篡改預(yù)防報文的時間、順序被篡改預(yù)防報文持有期被修改預(yù)防抵賴發(fā)送方否認(rèn)接收方否認(rèn)第一節(jié)消息完整性與

數(shù)字簽名5密碼散列函數(shù)密碼散列函數(shù)(CryptographicHashFunction)：H(m)散列算法公開H(m)能夠快速計算對任意長度報文進行多對一映射，均產(chǎn)生定長輸出對于任意報文無法預(yù)知其散列值不同報文不能產(chǎn)生相同的散列值單向性：無法根據(jù)散列值倒推出報文對于給定散列值h，無法計算找到滿足h=H(m)的報文m抗弱碰撞性(WeakCollisionResistence-WCR)對于給定報文x，計算上不可能找到y(tǒng)且y≠x，使得H(x)=H(y)抗強碰撞性(StrongCollisionResistence-SCR)在計算上，不可能找到任意兩個不同報文x和y(x≠y)，使得H(x)=H(y)第一節(jié)消息完整性與

數(shù)字簽名6散列函數(shù)算法MD5：被廣泛應(yīng)用的散列函數(shù)(RFC1321)通過4個步驟，對任意長度的報文輸入，計算輸出128位散列值MD5不是足夠安全1996年，Dobbertin找到了兩個不同的512-bit塊，在MD5計算下產(chǎn)生了相同的散列值SHA-1(SecureHashAlgorithm)：另一個正在使用的散列算法US標(biāo)準(zhǔn)[NIST,FIPSPUB180-1]SHA-1要求輸入消息長度<264SHA-1的散列值為160位速度慢于MD5，安全性優(yōu)于MD5第一節(jié)消息完整性與

數(shù)字簽名7報文摘要(Messagedigests)對報文m應(yīng)用散列函數(shù)H，得到一個固定長度的散列碼，稱為報文摘要(messagedigest),記為H(m)可以作為報文m的數(shù)字指紋(fingerprint)。第一節(jié)消息完整性與

數(shù)字簽名8報文mH:散列函數(shù)H(m)報文認(rèn)證簡單方案：報文+報文摘要→擴展報文(m,H(m))第一節(jié)消息完整性與

數(shù)字簽名9報文mH:散列函數(shù)H(m)II報文mH:散列函數(shù)H(m)h相等?擴展報文(m,H(m))擴展報文(m,h)缺陷？報文認(rèn)證報文認(rèn)證碼MAC(MessageAuthenticationCode)：報文m+認(rèn)證密鑰s+密碼散列函數(shù)H→擴展報文(m,H(m+s))第一節(jié)消息完整性與

數(shù)字簽名10報文mH:散列函數(shù)H(m+s)II報文mH:散列函數(shù)H(m+s)h相等?擴展報文(m,H(m+s))擴展報文(m,h)缺陷？認(rèn)證密鑰s認(rèn)證密鑰s數(shù)字簽名Q:如何解決下列與報文完整性相關(guān)的問題？否認(rèn)：發(fā)送方不承認(rèn)自己發(fā)送過某一報文偽造：接收方自己偽造一份報文，并聲稱來自發(fā)送方冒充：某個用戶冒充另一個用戶接收或發(fā)送報文篡改：接收方對收到的信息進行篡改A:數(shù)字簽名(Digitalsignatures)！數(shù)字簽名技術(shù)是實現(xiàn)安全電子交易的核心技術(shù)之一可驗證性(verifiable)不可偽造性(unforgeable)不可抵賴性(non-repudiation)第一節(jié)消息完整性與

數(shù)字簽名11數(shù)字簽名對報文m的簡單數(shù)字簽名:報文加密技術(shù)是數(shù)字簽名的基礎(chǔ)Bob通過利用私鑰

對m進行加密，創(chuàng)建簽名報文，第一節(jié)消息完整性與

數(shù)字簽名12簽名報文摘要13第一節(jié)消息完整性與

數(shù)字簽名報文mH:散列函數(shù)H(m)數(shù)字簽名(加密)Bob的私鑰KB-IIBob發(fā)送數(shù)字簽名的報文:Alice核實簽名以及數(shù)字簽名報文的完整性：KB(H(m))-加密的報文摘要KB(H(m))-加密的報文摘要報文mH:散列函數(shù)H(m)數(shù)字簽名(解密)H(m)Bob的公鑰KB+相等?李全龍第二節(jié)身份認(rèn)證身份認(rèn)證(Authentication)15第二節(jié)身份認(rèn)證目標(biāo)：Bob希望Alice“證明”她的身份協(xié)議ap1.0:

Alice聲明“IamAlice”失效場景??“IamAlice”身份認(rèn)證(Authentication)16第二節(jié)身份認(rèn)證目標(biāo)：Bob希望Alice“證明”她的身份協(xié)議ap1.0:

Alice聲明“IamAlice”在網(wǎng)絡(luò)中,Bob“看”不到Alice,因此Trudy可以簡單地聲明她就是

Alice！“IamAlice”身份認(rèn)證(Authentication)17第二節(jié)身份認(rèn)證協(xié)議ap2.0:Alice在IP分組中聲明“IamAlice”，

IP分組包含Alice的源IP地址失效場景??“IamAlice”Alice’sIPaddress身份認(rèn)證(Authentication)18第二節(jié)身份認(rèn)證協(xié)議ap2.0:Alice在IP分組中聲明“IamAlice”，

IP分組包含Alice的源IP地址Trudy可以構(gòu)造一個分組，“欺騙”為Alice的IP地址“IamAlice”Alice’sIPaddress身份認(rèn)證19第二節(jié)身份認(rèn)證協(xié)議ap3.0:Alice聲明“IamAlice”的同時，發(fā)送她的秘密口令進行“證明”.“I’mAlice”Alice’sIPaddrAlice’spasswordOKAlice’sIPaddr失效場景??身份認(rèn)證20第二節(jié)身份認(rèn)證協(xié)議ap3.0:Alice聲明“IamAlice”的同時，發(fā)送她的秘密口令進行“證明”.嗅探(sniffing):Trudy嗅探Alice的分組，提取口令“I’mAlice”Alice’sIPaddrAlice’spassword“I’mAlice”Alice’sIPaddrAlice’spasswordOKAlice’sIPaddr身份認(rèn)證21第二節(jié)身份認(rèn)證協(xié)議ap3.1:Alice聲明“IamAlice”的同時，發(fā)送她的加密的秘密口令進行“證明”.“I’mAlice”Alice’sIPaddrencryptedpasswordOKAlice’sIPaddr失效場景??身份認(rèn)證22第二節(jié)身份認(rèn)證協(xié)議ap3.1:Alice聲明“IamAlice”的同時，發(fā)送她的加密的秘密口令進行“證明”.“I’mAlice”Alice’sIPaddrencryptedpassword“I’mAlice”Alice’sIPaddrencryptedpasswordOKAlice’sIPaddr回放攻擊(playbackattack):Trudy記錄Alice的分組，稍后“回放”給Bob身份認(rèn)證23第二節(jié)身份認(rèn)證目標(biāo):避免回放攻擊失效、缺點?一次性隨機數(shù)(nonce):一個生命期內(nèi)只用一次的數(shù)Rap4.0:為了證明是“真實的”Alice，Bob向Alice發(fā)送一個隨機數(shù)R，Alice必須返回R，并利用共享密鑰進行加密“IamAlice”RK(R)A-BAlice是“真實的”，并且只有Alice知道加密隨機數(shù)的共享密鑰，因此對方一定是Alice!身份認(rèn)證:ap5.024第二節(jié)身份認(rèn)證ap4.0需要共享密鑰！

是否可以利用公鑰技術(shù)那？ap5.0:

利用一次性隨機數(shù)以及公鑰加密技術(shù)“IamAlice”RK(R)A-“給我你的公鑰”KA+Bob計算：(K(R))=RA-KA+并已知只有Alice擁有加密R的私鑰，因此：(K(R))=RA-KA+失效?ap5.0:安全漏洞25第二節(jié)身份認(rèn)證中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。IamAliceIamAliceRTK(R)-給我你的公鑰TK+AK(R)-給我你的公鑰AK+TK(m)+Tm=K(K(m))+T-Trudy截獲明文利用Alice的公鑰加密明文m并發(fā)送給AliceAK(m)+Am=K(K(m))+A-Rap5.0:安全漏洞26第二節(jié)身份認(rèn)證中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。很難檢測:Bob與Alice可以收到彼此發(fā)送的所有信息。問題是Trudy也收到了所有信息！李全龍第三節(jié)密鑰管理與分發(fā)回顧身份認(rèn)證協(xié)議：ap4.028第三節(jié)密鑰管理與分發(fā)目標(biāo):避免回放攻擊如何共享對稱密鑰？

一次性隨機數(shù)(nonce):一個生命期內(nèi)只用一次的數(shù)Rap4.0:為了證明是“真實的”Alice，Bob向Alice發(fā)送一個隨機數(shù)R，Alice必須返回R，并利用共享密鑰進行加密“IamAlice”RK(R)A-BAlice是“真實的”，并且只有Alice知道加密隨機數(shù)的共享密鑰，因此對方一定是Alice!對稱密鑰問題？對稱密鑰問題:兩個實體在網(wǎng)上如何建立共享秘密密鑰？解決方案:可信任的密鑰分發(fā)中心(KeyDistributionCenter-KDC)作為實體間的中介(intermediary)29第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)Alice與Bob需要共享對稱密鑰.KDC：一個服務(wù)器每個注冊用戶(很多用戶)共享其與KDC的秘密密鑰Alice和Bob只知道自己與KDC之間的對稱密鑰，用于分別與KDC進行秘密通信.

30第三節(jié)密鑰管理與分發(fā)KDCKB-KDCKX-KDCKY-KDCKZ-KDCKO-KDCKB-KDCKA-KDCKA-KDCKO-KDC密鑰分發(fā)中心(KDC)方式一：通信發(fā)起方生成會話密鑰31第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)方式二：由KDC為A、B生成通信的會話密鑰32第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)33第三節(jié)密鑰管理與分發(fā)Alice獲知R1Bob獲知將使用Ks與Alice通信Alice與Bob通信:Ks作為會話密鑰(sessionkey)用于共享對稱加密Q:KDC還有其他方式為Alice和Bob的彼此通信產(chǎn)生共享對稱密鑰嗎？KDC產(chǎn)生KsKB-KDC(A,Ks)KA-KDC(A,B)KA-KDC(Ks,KB-KDC(A,Ks))回顧身份認(rèn)證協(xié)議：ap5.034第三節(jié)密鑰管理與分發(fā)中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。IamAliceIamAliceRTK(R)-給我你的公鑰TK+AK(R)-給我你的公鑰AK+TK(m)+Tm=K(K(m))+T-Trudy截獲明文利用Alice的公鑰加密明文m并發(fā)送給AliceAK(m)+Am=K(K(m))+A-R比薩惡作劇Trudy針對Bob實施“比薩惡作劇”Trudy創(chuàng)建郵件訂單:

DearPizzaStore,Pleasedelivertomefourpepperonipizzas.Thankyou,BobTrudy利用她的私鑰簽名訂單Trudy向比薩店發(fā)送訂單Trudy向比薩店發(fā)送她的公鑰，但聲稱是Bob的公鑰比薩店核實簽名；然后向Bob遞送4個臘腸比薩Bob根本就不喜歡臘腸35第三節(jié)密鑰管理與分發(fā)公鑰問題？公鑰問題:當(dāng)Alice獲得了Bob的公鑰(通過web網(wǎng)站、

e-mail、磁盤等)，她怎么確認(rèn)這真的是Bob的公鑰而不是Trudy的?解決方案:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)可信任的認(rèn)證中心(CertificationAuthority-CA)36第三節(jié)密鑰管理與分發(fā)公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。PKI用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI采用證書管理公鑰，通過第三方的可信任機構(gòu)-CA認(rèn)證中心，把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在互聯(lián)網(wǎng)上驗證用戶身份。PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施，是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及的所有軟件、硬件的集合體。PKI核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機構(gòu)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機制、數(shù)字信封、雙重數(shù)字簽名等。目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案。PKI具有非常廣闊的市場應(yīng)用前景。37第三節(jié)密鑰管理與分發(fā)PKI的基本組成PKI基本組成部分：權(quán)威認(rèn)證機構(gòu)(CA)數(shù)字證書的申請及簽發(fā)機關(guān)，CA必須具備權(quán)威性的特征CA是證書的簽發(fā)機構(gòu)，也是PKI的核心數(shù)字證書庫存儲已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰密鑰備份及恢復(fù)系統(tǒng)密鑰的備份與恢復(fù)必須由可信的機構(gòu)來完成密鑰備份與恢復(fù)只能針對解密密鑰，簽名私鑰為確保其唯一性不能作備份證書作廢系統(tǒng)支持密鑰介質(zhì)丟失或用戶身份變更等應(yīng)用接口(APD)使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)38第三節(jié)密鑰管理與分發(fā)認(rèn)證中心(CA)數(shù)字證書是各實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明。數(shù)字證書具有唯一性。數(shù)字證書需符合X.509國際標(biāo)準(zhǔn)。需要一個網(wǎng)上各方都信任的機構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，即CA認(rèn)證機構(gòu)。證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立CA（CertificationAuthority，認(rèn)證中心）以及配套的RA（RegistrationAuthority，注冊審批機構(gòu)）系統(tǒng)。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。39第三節(jié)密鑰管理與分發(fā)認(rèn)證中心的功能(1)接受驗證最終用戶數(shù)字證書的申請。(2)確定是否接受最終用戶數(shù)字證書的申請—證書的審批。(3)向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。(4)接受、處理最終用戶數(shù)字證書更新請求—證書的更新。(5)接受最終用戶數(shù)字證書的查詢、撤銷。(6)產(chǎn)生和發(fā)布證書廢止列表(CRL)。(7)數(shù)字證書的歸檔。(8)密鑰歸檔。(9)歷史數(shù)據(jù)歸檔。40第三節(jié)密鑰管理與分發(fā)認(rèn)證中心認(rèn)證中心(CA)核心任務(wù):實現(xiàn)實體E與其公鑰的綁定每個實體E(如人、路由器等)在CA上注冊其公鑰。E向CA提供“身份證明”

CA創(chuàng)建綁定E及其公鑰的證書(certificate)證書包含由CA簽名的E的公鑰–CA聲明：“這是E的公鑰”41第三節(jié)密鑰管理與分發(fā)Bob的公鑰KB+Bob的識別信息數(shù)字簽名(加密)CA的私鑰KCA-KB+由CA簽發(fā)的Bob公鑰證書CA數(shù)字證書的使用當(dāng)Alice想要Bob的公鑰時:首先或取Bob的公鑰證書(從Bob或者其他地方)應(yīng)用CA的公鑰，解密證書中簽名的公鑰，獲得Bob公鑰42第三節(jié)密鑰管理與分發(fā)Bob的公鑰KB+數(shù)字簽名(解密)CA的公鑰KCA+KB+公鑰證書主要內(nèi)容43第三節(jié)密鑰管理與分發(fā)序列號(唯一發(fā)行號)證書持有者信息，包括算法和密鑰值(未顯示)證書發(fā)行者信息有效期發(fā)行者數(shù)字簽名李全龍第四節(jié)訪問控制訪問控制訪問控制(AccessControl，AC)是指系統(tǒng)對用戶身份及其所屬的預(yù)先定義策略組限制其使用數(shù)據(jù)資源能力的手段。訪問控制的目標(biāo)是防止對任何計算機資源、通信資源或信息資源進行未授權(quán)的訪問。訪問控制是在保障授權(quán)用戶獲取所需資源的同時拒絕非授權(quán)用戶的安全機制，是信息安全理論基礎(chǔ)的重要組成部分訪問控制既是通信安全的問題，又是計算機操作系統(tǒng)安全的問題。訪問控制應(yīng)具有以下3個功能：(1)識別和確認(rèn)訪問系統(tǒng)的用戶。(2)資源訪問權(quán)限控制功能，決定用戶對系統(tǒng)資源的訪問權(quán)限。(3)審計功能，記錄系統(tǒng)資源被訪問的時間和訪問者信息。45第四節(jié)訪問控制訪問控制訪問控制和身份認(rèn)證的區(qū)別：訪問控制是在身份認(rèn)證的基礎(chǔ)上，根據(jù)用戶的身份對提出的資源訪問請求加以控制。訪問控制是為了保證網(wǎng)絡(luò)資源受控、合法地被使用。合法用戶只能根據(jù)自身權(quán)限來訪問系統(tǒng)資源，不能越權(quán)訪問。身份認(rèn)證是防止非法用戶進入系統(tǒng)，而訪問控制是防止合法用戶對系統(tǒng)資源進行非法使用。訪問控制的三要素：主體、客體和訪問控制策略46第四節(jié)訪問控制訪問控制訪問控制的主要過程包括以下內(nèi)容。(1)規(guī)定需要保護的資源，即確定客體。(2)規(guī)定可以訪問該資源的主體。(3)規(guī)定可以對該資源執(zhí)行的操作。(4)通過確定每個實體可對哪些資源執(zhí)行哪些動作來確定安全方案。訪問控制策略是指實施訪問控制所采用的基本思路和方法主流的訪問控制策略：自主訪問控制(DiscretionaryAccessControl，DAC)強制訪問控制(MandatoryAccessControl，MAC)基于角色的訪問控制(RoleBasedAccessControl，RBAC)47第四節(jié)訪問控制訪問控制自主訪問控制（DAC）基于行的自主訪問控制在每個主體上都附加一個該主體可訪問的客體的明細(xì)表：權(quán)力表(CapabilitiesList)、前綴表(Profiles)和口令(Password)?；诹械淖灾髟L問控制對每個客體附加一份可訪問它的主體的明細(xì)表：保護位(ProtectionBits)和訪問控制表(AccessControlList)。DAC根據(jù)用戶的身份及允許訪問權(quán)限決定其訪問操作。DAC靈活性高，安全性低。DAC的缺點是訪問權(quán)的授予是可以傳遞的，一旦訪問權(quán)被傳遞出去將難以控制，訪問權(quán)的管理是很困難的，可能帶來嚴(yán)重的安全問題。DAC不保護受保護的客體產(chǎn)生的副本在大型系統(tǒng)中，主、客體的數(shù)量巨大，DAC所帶來的系統(tǒng)開銷都是很大的，效率較低，難以滿足大型應(yīng)用系統(tǒng)的需求。48第四節(jié)訪問控制訪問控制強制訪問控制(MAC)MAC通過無法回避的訪問限制來阻止直接或間接的非法入侵。MAC系統(tǒng)為所有主體和客體制定安全級別強制訪問控制機制，將安全級別進行排序。屬于某一個安全級的主體可以讀本級和本級以上的客體，可以寫本級和本級以下客體。低級別主體不可以讀高級別的信息(保密)，但低級別主體可以寫高級別的客體(完整性可能破壞)，因此采用的是下讀/上寫策略。實際應(yīng)用中，往往將DAC和MAC結(jié)合在一起使用。自主訪問控制較弱，強制訪問控制又太強，會給用戶帶來許多不便。49第四節(jié)訪問控制訪問控制基于角色的訪問控制(RBAC)在傳統(tǒng)的訪問控制中，主體始終是和特定的實體捆綁對應(yīng)的。隨著用戶量大量增加系統(tǒng)管理復(fù)雜、不易實現(xiàn)層次化管理、用戶權(quán)限修改不方便等。RBAC以角色為中介對用戶進行授權(quán)和訪問控制，主體對客體的訪問控制權(quán)限通過角色實施，即訪問權(quán)限是針對角色而不是直接針對用戶的。核心思想是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相關(guān)聯(lián)，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機制只看到角色，而看不到用戶用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照DAC或MAC控制角色的訪問能力。50第四節(jié)訪問控制訪問控制基于角色的訪問控制(RBAC)RBAC的特點：1）提供3種授權(quán)管理的控制途徑，包括改變客體的訪問權(quán)限、改變角色的訪問權(quán)限、改變主體所擔(dān)任的角色。2）系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，以便于管理。角色的定義是從現(xiàn)實出發(fā)，所以可以用面向?qū)ο蟮姆椒▉韺崿F(xiàn)，運用類和繼承等概念表示角色之間的層次關(guān)系非常自然且實用。3）具有較好的提供最小權(quán)力的能力，從而提高了安全性。由于對主體的授權(quán)是通過角色定義的，因此調(diào)整角色的權(quán)限粒度可以做到更有針對性，不容易出現(xiàn)多余權(quán)限。4）具有責(zé)任分離的能力。定義角色的人不一定是擔(dān)任角色的人，這樣，不同角色的訪問權(quán)限可以相互制約，因而具有更高的安全性。51第四節(jié)訪問控制訪問控制的應(yīng)用訪問控制策略是網(wǎng)絡(luò)安全防范和保護的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護作用，而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一訪問控制策略包括：入網(wǎng)訪問控制策略操作權(quán)限控制策略目錄安全控制策略屬性安全控制策略網(wǎng)絡(luò)服務(wù)器安全控制策略網(wǎng)絡(luò)監(jiān)測與鎖定控制策略防火墻控制策略52第四節(jié)訪問控制訪問控制的應(yīng)用訪問控制與其他安全服務(wù)的關(guān)系在計算機系統(tǒng)中，認(rèn)證、訪問控制和審計共同建立了保護系統(tǒng)安全的基礎(chǔ)身份認(rèn)證是用戶進入系統(tǒng)的第一道防線，訪問控制是在鑒別用戶的合法身份后，控制用戶對客體信息的訪問，它通過訪問控制器實施這種訪問控制，訪問控制器通過進一步查詢授權(quán)數(shù)據(jù)庫中的控制策略來判定用戶是否可以合法操作相應(yīng)的目標(biāo)或客體審計是指產(chǎn)生、記錄并檢查按時間順序排列的系統(tǒng)事件記錄的過程。審計是其他安全機制的有力補充，它貫穿計算機安全機制實現(xiàn)的整個過程，從身份認(rèn)證到訪問控制都離不開審計。審計控制主要關(guān)注系統(tǒng)所有用戶的請求和活動的事后分析。通過審計，一方面有助于分析系

統(tǒng)中用戶的行為活動來發(fā)現(xiàn)可能

的安全隱患：另一方面可以跟蹤

記錄用戶的請求，在一定程度上

起到了震懾作用，使用戶不敢進

行非法嘗試。53第四節(jié)訪問控制李全龍第五節(jié)內(nèi)容安全內(nèi)容安全？信息內(nèi)容安全主要包含有兩方面內(nèi)容：一方面是指針對合法的信息內(nèi)容加以安全保護；另一方面是指針對非法的信息內(nèi)容實施監(jiān)管。信息隱藏技術(shù)常用于版權(quán)保護內(nèi)容保護技術(shù)大多數(shù)都是基于密碼學(xué)和隱寫術(shù)發(fā)展起來的如數(shù)據(jù)鎖定、隱寫標(biāo)記、數(shù)字水印和數(shù)字版權(quán)管理(DRM)等技術(shù)，其中最具有發(fā)展前景和實用價值的是數(shù)字水印和數(shù)字版權(quán)管理。數(shù)字水印是鑲嵌在數(shù)據(jù)中，并且不影響合法使用的具有可鑒別性的數(shù)據(jù)。一般應(yīng)當(dāng)具有不可察覺性、抗擦除性、穩(wěn)健性和可解碼性。DRM(DigitalRightsManagement)技術(shù)是專門用來保護數(shù)字化版權(quán)的產(chǎn)品。DRM的核心是數(shù)據(jù)加密和權(quán)限管理。面向網(wǎng)絡(luò)信息內(nèi)容監(jiān)管主要涉及兩類：一類是靜態(tài)信息；另一類是動態(tài)信息。靜/動態(tài)信息內(nèi)容監(jiān)管主要包括網(wǎng)站數(shù)據(jù)獲取技術(shù)、內(nèi)容分析技術(shù)、控管技術(shù)第五節(jié)內(nèi)容安全55版權(quán)保護數(shù)字版權(quán)保護技術(shù)DRM(DigitalRightsManagement)就是以一定安全算法實現(xiàn)對數(shù)字內(nèi)容的保護，包括電子書(eBook)、視頻、音頻、圖片等數(shù)字內(nèi)容。DRM技術(shù)的目的是從技術(shù)上防止數(shù)字內(nèi)容的非法復(fù)制，或者在一定程度上使非法復(fù)制變得很困難，最終，用戶必須在得到授權(quán)后才能使用數(shù)字內(nèi)容。DRM涉及的主要技術(shù)包括數(shù)字標(biāo)識技術(shù)、安全和加密技術(shù)以及安全存儲技術(shù)等。DRM技術(shù)方法主要有兩類：一類是采用數(shù)字水印技術(shù)，另一類是以數(shù)據(jù)加密和防復(fù)制為核心的DRM技術(shù)。DRM所保護的內(nèi)容主要分為三類：電子書、音視頻文件和電子文檔。第五節(jié)內(nèi)容安全56數(shù)字水印數(shù)字水印也是DRM經(jīng)常使用的數(shù)字版權(quán)保護技術(shù)可見數(shù)字水印和不可見數(shù)字水印一個數(shù)字水印方案一般包括三個基本方面：水印的形成、水印的嵌人和水印的檢測。水印的檢測一般分為兩部分工作：檢測水印是否存在和提取水印信息。水印的檢測方式：盲水印檢測和非盲水印檢測數(shù)字水印基本特征：隱蔽性魯棒性安全性易用性第五節(jié)內(nèi)容安全57數(shù)字水印算法面向文本的水印算法純文本文檔很難嵌入秘密信息格式化的文檔可以把水印信息嵌人到文字格式化編排中常見方法：基于文檔結(jié)構(gòu)微調(diào)的文本水印算法基于語法的文本水印算法一類按照語法規(guī)則對載體文本中的詞匯進行替換來隱藏水印信息另一類是按照語法規(guī)則對載體文本中的標(biāo)點符號進行修改來隱藏水印信息基于語義的文本水印算法基于漢字特點的文本水印算法第五節(jié)內(nèi)容安全58數(shù)字水印算法面向圖像的水印算法空域水印算法變換域水印算法空域水印算法空域數(shù)字圖像水印算法主要是在圖像的像素上直接進行的，通過修改圖像的像素值來嵌入數(shù)字水印?？沼驍?shù)字圖像水印算法嵌入的水印容量較大、實現(xiàn)簡單、計算效率高。經(jīng)典的最低有效位（LeastSignificantBits，LSB)空域水印算法該算法的優(yōu)勢是可嵌入的水印容量大不足是嵌入的水印信息很容易被移除第五節(jié)內(nèi)容安全59數(shù)字水印算法變換域水印算法變換域數(shù)字水印算法是在圖像的變換域進行水印嵌入的，也就是將原始圖像經(jīng)過給定的正交變換，將水印嵌入到圖像的變換系數(shù)中去常用的變換：離散傅里葉變換（DiscreteFourierTransform，DFT）離散余弦變換（DiscreteCosineTransform，DCT）離散小波變換（DiscreteWaveletTransform，DWT）在變換域中嵌入的數(shù)字水印可以擴展到空間域的所有像素上，有利于實現(xiàn)水印的不可感知性，還可以增強水印的魯棒性。第五節(jié)內(nèi)容安全60數(shù)字水印算法面向音視頻的水印算法音視頻水印嵌入方法主要集中于時間域和空間域兩方面根據(jù)音頻水印載體類型，音頻水印技術(shù)可以分為基于原始音頻和基于壓縮音頻兩種?；谠家纛l方法是在未經(jīng)編碼壓縮的音頻信號中直接嵌入水印基于壓縮音頻方法是指音頻信號在壓縮編碼過程中嵌入水印信息，輸出的是含水印的壓縮編碼的音頻信號優(yōu)點在于無須進行輸人比特流的解碼和再編碼過程，對音頻信號的影響較小數(shù)字視頻水印主要包括基于原始視頻的水印、基于視頻編碼的水印和基于壓縮視頻的水印。第五節(jié)內(nèi)容安全61數(shù)字水印算法NEC算法NEC算法是由NEC實驗室的Cox等提出的，在數(shù)字水印算法中占有重要地位。Cox認(rèn)為水印信號應(yīng)該嵌入到那些人感覺最敏感的源數(shù)據(jù)部分，在頻譜空間中，這種重要部分就是低頻分量。攻擊者在破壞水印的過程中，會引起圖像質(zhì)量的嚴(yán)重下降。水印信號應(yīng)該由具有高斯分布的獨立同分布隨機實數(shù)序列構(gòu)成。這使得水印抵抗多拷貝聯(lián)合攻擊的能力大大增強。具體實現(xiàn)方法：首先以密鑰為種子來產(chǎn)生偽隨機序列該序列具有高斯N(0,1)分布，密鑰可以由作者的標(biāo)識碼和圖像的哈希值組成對整幅圖像作DCT變換用偽隨機高斯序列來疊加該圖像的1000個最大的DCT系數(shù)(除直流分量外)NEC算法具有較強的魯棒性、安全性、透明性第五節(jié)內(nèi)容安全62數(shù)字水印算法生理模型算法人的生理模型包括人類視覺系統(tǒng)(HumanVisualSystem，HVS)和人類聽覺系統(tǒng)(HumanAuditorySystem，HAS)等。生理模型算法的基本思想：利用人類視覺的掩蔽現(xiàn)象，從HVS模型導(dǎo)出的可覺察差異（JustNoticeableDifference，JND)。利用JND描述來確定圖像的各個部分所能容忍的數(shù)字水印信號的最大強度。人類視覺對物體的亮度和紋理具有不同程度的感知性，利用這一特點可以調(diào)節(jié)嵌入水印信號的強度。一般來說，背景越亮，所嵌入水印的可見性越低，即所謂亮度掩蔽特性；背景的紋理越復(fù)雜，嵌入的水印可見性越低，即所謂的紋理掩蔽特性?？紤]這些因素，在水印嵌入前應(yīng)該利用視覺模型來確定與圖像相關(guān)的調(diào)制掩模，然后再利用其來嵌入水印。第五節(jié)內(nèi)容安全63內(nèi)容監(jiān)管內(nèi)容監(jiān)管是內(nèi)容安全的另一重要方面，如果監(jiān)管不善，會對社會造成極大的影響，其重要性不言而喻。內(nèi)容監(jiān)管涉及到很多領(lǐng)域，其中基于網(wǎng)絡(luò)的信息已經(jīng)成為內(nèi)容監(jiān)管的首要目標(biāo)。一般來說病毒、木馬、色情、反動、嚴(yán)重的虛假欺騙以及垃圾郵件等有害的網(wǎng)絡(luò)信息都需要進行監(jiān)管。網(wǎng)絡(luò)信息內(nèi)容監(jiān)管內(nèi)容監(jiān)管首先需要解決的就是如何制定監(jiān)管的總體策略總體策略主要包括監(jiān)管的對象、監(jiān)管的內(nèi)容、對違規(guī)內(nèi)容如何處理等。首先如何界定違規(guī)內(nèi)容（那些需要禁止的信息），既能夠禁止違規(guī)內(nèi)容，又不會殃及到合法應(yīng)用。其次對于可能存在一些違規(guī)信息的網(wǎng)站如何處理一種方法是通過防火墻禁止對該網(wǎng)站的全部訪問，這樣比較安全，但也會禁止掉其他有用內(nèi)容；另一種方法是允許網(wǎng)站部分訪問，只是對那些有害網(wǎng)頁信息進行攔截，但此種方法存在攔截失敗的可能性。第五節(jié)內(nèi)容安全64內(nèi)容監(jiān)管內(nèi)容監(jiān)管系統(tǒng)模型第五節(jié)內(nèi)容安全65內(nèi)容監(jiān)管策略內(nèi)容監(jiān)管需求是制定內(nèi)容監(jiān)管策略的依據(jù)內(nèi)容監(jiān)管策略是內(nèi)容監(jiān)管需求的形式化表示數(shù)據(jù)獲取策略主要確定監(jiān)管對象的范圍、采用何種方式獲取需要檢測的數(shù)據(jù)；敏感特征定義是指用于判斷網(wǎng)絡(luò)信息內(nèi)容是否違規(guī)的特征值，如敏感字符串、圖片等；違規(guī)定義是指依據(jù)網(wǎng)絡(luò)信息內(nèi)容中包含敏感特征值的情況判斷是否違規(guī)的規(guī)則；違規(guī)處理策略是指對于違規(guī)載體（網(wǎng)站或網(wǎng)絡(luò)連接）的處理方法，如禁止對該網(wǎng)站的訪問、攔截有關(guān)網(wǎng)絡(luò)連接等。第五節(jié)內(nèi)容安全66數(shù)據(jù)獲取數(shù)據(jù)獲取技術(shù)分為主動式和被動式兩種形式。主動式數(shù)據(jù)獲取是指通過訪問有關(guān)網(wǎng)絡(luò)連接而獲得其數(shù)據(jù)內(nèi)容；網(wǎng)絡(luò)爬蟲是典型的主動式數(shù)據(jù)獲取技術(shù)第五節(jié)內(nèi)容安全67網(wǎng)絡(luò)爬蟲是如何工作的？數(shù)據(jù)獲取被動式數(shù)據(jù)獲取是指在網(wǎng)絡(luò)的特定位置設(shè)置探針（，獲取流經(jīng)該位置的所有數(shù)據(jù)。被動式數(shù)據(jù)獲取主要解決兩個方面的問題，探針位置的選擇，對出入數(shù)據(jù)報文的采集。第五節(jié)內(nèi)容安全68網(wǎng)絡(luò)報文處理流程第五節(jié)內(nèi)容安全69數(shù)據(jù)調(diào)整數(shù)據(jù)調(diào)整主要指針對數(shù)據(jù)獲取模塊（主要是協(xié)議棧）提交的應(yīng)用層數(shù)據(jù)進行篩選、組合、解碼以及文本還原等工作數(shù)據(jù)調(diào)整的輸出結(jié)果用于敏感特征搜索等。70第五節(jié)內(nèi)容安全敏感特征搜索敏感特征搜索實際上就是依據(jù)實現(xiàn)定義好的敏感特征策略，在待查內(nèi)容中識別所包含的敏感特征值，搜索的結(jié)果可以作為違規(guī)判定的依據(jù)。敏感特征值可以是文本字符串、圖像特征、音頻特征等，它們分別用于不同信息載體的內(nèi)容的敏感特征識別?；谖谋緝?nèi)容的識別已經(jīng)比較成熟并達到可實用化，而圖像、音頻特征的識別還存在著一些問題，難以實現(xiàn)全面有效的程序自動監(jiān)管，更多時候需要人的介入。71第五節(jié)內(nèi)容安全違規(guī)判定及處理違規(guī)判定程序的設(shè)計思想將敏感特征搜索結(jié)果與違規(guī)定義相比較，判斷該網(wǎng)絡(luò)信息內(nèi)容是否違規(guī)。違規(guī)定義是說明違規(guī)內(nèi)容應(yīng)具有的特征，即敏感特征。每個敏感特征由敏感特征值和特征值敏感度（某特征值對違規(guī)的影響程度，也可以看作權(quán)重）兩個屬性來描述。敏感特征的搜索結(jié)果具有敏感特征值的廣度（包含相異敏感特征值的數(shù)量）和敏感特征值的深度（包含同一個特征值的數(shù)量）兩個指標(biāo)。違規(guī)處理目前主要采用的方法與入侵檢測相似，報警就是通知有關(guān)人員違規(guī)事件的具體情況，封鎖IP一般是指利用防火墻等網(wǎng)絡(luò)設(shè)備阻斷對有關(guān)IP地址的訪問，攔截連接則是針對某個特定訪問連接實施阻斷，向通訊雙方發(fā)送RST數(shù)據(jù)包阻斷TCP連接就是常用的攔截方法。72第五節(jié)內(nèi)容安全垃圾郵件處理目前主要采用的技術(shù)有過濾、驗證查詢和挑戰(zhàn)。過濾（Filter）技術(shù)是相對來說最簡單、又最直接的垃圾郵件處理技術(shù)，主要用于郵件接收系統(tǒng)來辨別和處理垃圾郵件。驗證查詢技術(shù)主要指通過密碼驗證及查詢等方法來判斷郵件是否為垃圾郵件包括反向查詢、雅虎的DKIM（DomainKeysIdentifiedMail）技術(shù)、Microsoft的SenderID技術(shù)、IBM的FairUCE（FairuseofUnsolicitedCommercialEmail）技術(shù)以及郵件指紋技術(shù)等?；谔魬?zhàn)的反垃圾技術(shù)是指通過延緩郵件處理過程，來阻礙發(fā)送大量郵件。73第五節(jié)內(nèi)容安全基于過濾技術(shù)的反垃圾郵件系統(tǒng)74第五節(jié)內(nèi)容安全李全龍第六節(jié)物理安全物理安全物理安全的目的是保護計算機、網(wǎng)絡(luò)服務(wù)器、交換機、路由器、打印機等硬件實體和通信設(shè)施免受自然災(zāi)害、人為失誤、犯罪行為的破壞，確保系統(tǒng)有一個良好的電磁兼容的工作環(huán)境并能隔離有害的攻擊。物理安全：環(huán)境安全、電磁保護、物理隔離及安全管理。解決兩個方面問題:對信息系統(tǒng)實體的保護；對可能造成信息泄漏的物理問題進行防范。物理安全技術(shù)包括:防盜、防火、防靜電、防雷擊、防信息泄漏、物理隔離；基于物理環(huán)境的容災(zāi)技術(shù)和物理隔離技術(shù)也屬于物理安全技術(shù)范疇。物理安全是信息安全的必要前提如果不能保證信息系統(tǒng)的物理安全，其他一切安全內(nèi)容均沒有意義。第六節(jié)物理安全76環(huán)境安全機房建筑和結(jié)構(gòu)從安全的角度，應(yīng)考慮以下幾點：(1)電梯和樓梯不能直接進入機房。(2)建筑物周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進入的設(shè)施。(3)