第一章信息安全概述莊朝暉（參考上海交大王立斌和中科大楊壽保講義）第一章信息安全概述1信息的定義1948年，美國數(shù)學(xué)家、信息論的創(chuàng)始人仙農(nóng)在題為“通訊的數(shù)學(xué)理論”的論文中指出：“信息是用來消除隨機(jī)不定性的東西”。1948年，美國著名數(shù)學(xué)家、控制論的創(chuàng)始人維納在《控制論》一書中，指出：“信息就是信息，既非物質(zhì)，也非能量?！毙畔⑹鞘挛铿F(xiàn)象及其屬性標(biāo)識(shí)的集合.信息的定義2信息的特征普遍性：只要有事物的地方，就必然的存在信息。信息在自然界和人類社會(huì)活動(dòng)中廣泛存在。客觀性：信息的客觀現(xiàn)實(shí)的反映，不隨人的主觀意志而改變。動(dòng)態(tài)性：事務(wù)是在不斷變化發(fā)展的，信息也必然的隨之運(yùn)動(dòng)發(fā)展，其內(nèi)容，形式，容量都會(huì)隨時(shí)間而改變。時(shí)效性：由于信息的動(dòng)態(tài)性，那么一個(gè)固定的信息的使用價(jià)值必然會(huì)隨著時(shí)間的流逝而衰減。可識(shí)別性：人類可以通過感覺器官和科學(xué)儀器等方式來獲取，整理，認(rèn)知信息。這是人類利用信息的前提。可傳遞性：信息是可以通過各種媒介在人－人，人－物，物－物等之間傳遞?？晒蚕硇裕盒畔⑴c物質(zhì)，能量顯著不同的是。信息在傳遞過程中并不是“此消彼長”，同一信息可以在同一時(shí)間被多個(gè)主體共有，而且還能夠無限的復(fù)制、傳遞。信息的特征普遍性：只要有事物的地方，就必然的存在信息。信息在31.0信息安全中的一些概念安全的含義（Security)在線詞典對(duì)安全這個(gè)詞的闡述是：安全是避免危險(xiǎn)、恐懼、憂慮的度量和狀態(tài)。信息安全的含義

信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。1.0信息安全中的一些概念安全的含義（Security)4安全的含義“如果把一封信鎖在保險(xiǎn)柜中，把保險(xiǎn)柜藏起來，然后告訴你去看這封信，這并不是安全，而是隱藏；相反，如果把一封信鎖在保險(xiǎn)柜中，然后把保險(xiǎn)柜及其設(shè)計(jì)規(guī)范和許多同樣的保險(xiǎn)柜給你，以便你和世界上最好的開保險(xiǎn)柜的專家能夠研究鎖的裝置，而你還是無法打開保險(xiǎn)柜去讀這封信，這才是安全…”-BruceSchneier“故用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也”—孫子兵法,孫武安全的含義“如果把一封信鎖在保險(xiǎn)柜中，把保險(xiǎn)柜藏起來，然后告51.0信息安全中的一些概念(cont.)計(jì)算機(jī)安全網(wǎng)絡(luò)安全信息安全（如何定義它們？它們之間的關(guān)系如何？）但由此我們可以看出在安全領(lǐng)域的共性問題，在眾多的應(yīng)用中準(zhǔn)確把握分析問題、解決問題的思路。1.0信息安全中的一些概念(cont.)計(jì)算機(jī)安全6信息安全的技術(shù)特征可靠性可用性保密性完整性不可抵賴性可控性信息安全的技術(shù)特征可靠性7可靠性（Reliability)指信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。有三種度量指標(biāo)：抗毀性指系統(tǒng)在人為破壞下的可靠性生存性隨機(jī)破壞下系統(tǒng)的可靠性有效性是基于業(yè)務(wù)性能的可靠性可靠性（Reliability)8可用性（Availability)

指信息可被授權(quán)實(shí)體訪問并按需求使用的特性，是系統(tǒng)面向用戶的安全性能。一般用系統(tǒng)正常使用時(shí)間和整個(gè)工作時(shí)間之比來度量?？捎眯裕ˋvailability)9保密性(Confidentiality)

指信息不被泄露給非授權(quán)的用戶、實(shí)體或過程，或供其利用的特性。保密性是在可靠性和可用性基礎(chǔ)上，保障信息安全的重要手段。保密性(Confidentiality)10完整性(Integrity)

指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，既信息在存儲(chǔ)或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性(Integrity)11不可抵賴性(Non-repudiation)

指在信息交互過程中，確信參與者的真實(shí)同一性，既所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。不可抵賴性(Non-repudiation)12可控性(Controllability)

指對(duì)信息傳播及內(nèi)容具有控制能力的特性?？煽匦?Controllability)131.1RFC標(biāo)準(zhǔn)Internet社團(tuán)（InternetSociety）是負(fù)責(zé)開發(fā)和發(fā)布Internet使用標(biāo)準(zhǔn)的組織它是由專業(yè)成員構(gòu)成的組織，管理與Internet開發(fā)和標(biāo)準(zhǔn)化有關(guān)的一些委員會(huì)和任務(wù)組成員。Internet社團(tuán)是協(xié)調(diào)Internet設(shè)計(jì)、工程和管理的委員會(huì)。管轄的范圍包括Internet自身的運(yùn)作和互操作性，在Internet上最終系統(tǒng)所使用協(xié)議的標(biāo)準(zhǔn)化。Internet社團(tuán)下面的3個(gè)組織負(fù)責(zé)實(shí)際標(biāo)準(zhǔn)的開發(fā)和發(fā)布：★InternetArchitectureBoard（IAB，Internet體系結(jié)構(gòu)委員會(huì)）：負(fù)責(zé)定義Internet的體系結(jié)構(gòu)，為IETF提供指導(dǎo)和方向?！颕nternetEngineeringTaskForce（IETF，Internet工程特別任務(wù)組）：是一支Internet協(xié)議工程和開發(fā)的隊(duì)伍?！颕nternetEngineeringSteeringGroup（IESG，Internet工程指導(dǎo)組）：負(fù)責(zé)IETF活動(dòng)和Internet標(biāo)準(zhǔn)處理的技術(shù)管理。1.1RFC標(biāo)準(zhǔn)Internet社團(tuán)（InternetS14RFC標(biāo)準(zhǔn)RFC的發(fā)布RFC是Internet研究和開發(fā)組織的工作記錄。在這一系列中，文檔實(shí)質(zhì)上可能是與計(jì)算機(jī)通信有關(guān)的任何主題，也可能是從會(huì)議報(bào)告到某標(biāo)準(zhǔn)規(guī)范的任何東西。RFC的制訂工作是由IETF確立的工作小組進(jìn)行的。工作組的成員是自愿的，任何有興趣的團(tuán)體都可以加入。

1、在制訂規(guī)范的過程中，工作組可以制訂一個(gè)草案文檔來作為Internet草案（InternetDraft），它放在IETF的“InternetDraft”在線目錄中。

2、此文檔可以作為Internet草案保持6個(gè)月，感興趣的團(tuán)體可以查看并做出評(píng)注。

3、在這段時(shí)間內(nèi)，IESG可能批準(zhǔn)草案作為RFC發(fā)布。如果草案在6個(gè)月中沒有達(dá)到RFC標(biāo)準(zhǔn)，就從目錄中刪除。工作組可以隨后發(fā)布草案的修訂版本。

負(fù)責(zé)發(fā)布RFC的是IETF，但要得到IESG的批準(zhǔn)。其中，RFC2828是關(guān)于互聯(lián)網(wǎng)安全術(shù)語的標(biāo)準(zhǔn)。RFC標(biāo)準(zhǔn)RFC的發(fā)布151.2OSI安全框架ITU-TX.800即OSI安全框架提供定義安全和刻畫安全措施的系統(tǒng)方法主要概念安全性攻擊：任何危及企業(yè)信息系統(tǒng)安全的活動(dòng)。安全機(jī)制：用來檢測(cè)、阻止攻擊或者從攻擊狀態(tài)恢復(fù)到正常狀態(tài)的過程，或?qū)崿F(xiàn)該過程的設(shè)備。安全服務(wù)：加強(qiáng)數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N處理過程或通信服務(wù)。其目的在于利用一種或多種安全機(jī)制進(jìn)行反攻擊。1.2OSI安全框架ITU-TX.800即OSI安全框161.3安全攻擊在X.800中，把安全攻擊分成兩大類。攻擊的分類被動(dòng)攻擊：試圖了解或利用系統(tǒng)的信息但不影響系統(tǒng)資源。主動(dòng)攻擊：試圖改變系統(tǒng)資源或影響系統(tǒng)動(dòng)作。1.3安全攻擊在X.800中，把安全攻擊分成兩大類。17被動(dòng)攻擊被動(dòng)攻擊的特性是對(duì)傳輸進(jìn)行竊聽和監(jiān)測(cè)。被動(dòng)攻擊被動(dòng)攻擊的特性是對(duì)傳輸進(jìn)行竊聽和監(jiān)測(cè)。18被動(dòng)攻擊被動(dòng)攻擊19主動(dòng)攻擊主動(dòng)攻擊包括對(duì)數(shù)據(jù)流進(jìn)行修改或偽造數(shù)據(jù)流，它可分為四類：偽裝、重放、消息修改和拒絕服務(wù)。偽裝是指某實(shí)體假裝別的實(shí)體［參見圖1.4(a)］。偽裝攻擊通常還包含其他形式的主動(dòng)攻擊。例如，捕獲認(rèn)證信息，并在真的認(rèn)證信息之后進(jìn)行重放。這樣，沒有權(quán)限的實(shí)體通過冒充有權(quán)限的實(shí)體，就可以獲得額外的權(quán)限。重放是指將獲得的信息再次發(fā)送以產(chǎn)生非授權(quán)的效果［參見圖1.4(b)］。消息修改指修改合法消息的一部分或延遲消息的傳輸或改變消息的順序以獲得非授權(quán)的效果［參見圖1.4(c)］。例如，將消息“AllowJohnSmithtoreadconfidentialfileaccounts”修改為“AllowFredBrowntoreadconfidentialfileaccounts”。拒絕服務(wù)阻止或禁止對(duì)通信設(shè)施的正常使用或管理［參見圖1.4(d)］。主動(dòng)攻擊主動(dòng)攻擊包括對(duì)數(shù)據(jù)流進(jìn)行修改或偽造數(shù)據(jù)流，它可分為四201.4安全服務(wù)X.800將安全服務(wù)定義為通信開放系統(tǒng)協(xié)議層提供的服務(wù)，從而保證系統(tǒng)或數(shù)據(jù)傳輸有足夠的安全性。也許在RFC2828中可找到一種更清楚的定義：是一種由系統(tǒng)提供的對(duì)系統(tǒng)資源進(jìn)行特殊保護(hù)的處理或通信服務(wù)；安全服務(wù)通過安全機(jī)制來實(shí)現(xiàn)安全策略。有五種通用服務(wù)：認(rèn)證（Authentication）訪問控制（AccessControl）保密（Encryption）數(shù)據(jù)完整（Integrity）不可否認(rèn)性（Non-repudiation）可用性服務(wù)（Availability）1.4安全服務(wù)X.800將安全服務(wù)定義為通信開放系統(tǒng)協(xié)議層提21認(rèn)證（Authentication）認(rèn)證服務(wù)與保證通信的真實(shí)性有關(guān)。在單條消息的情況下，如一條警告或報(bào)警信號(hào)，認(rèn)證服務(wù)功能是向接收方保證消息來自所聲稱的發(fā)送方。對(duì)于正在進(jìn)行的交互，如終端和主機(jī)連接，就涉及兩個(gè)方面。首先，在連接的初始化階段，認(rèn)證服務(wù)保證兩個(gè)實(shí)體是可信的，也就是說，每個(gè)實(shí)體都是所聲稱的實(shí)體。其次，認(rèn)證服務(wù)必須保證該連接不受第三方的干擾：這種干擾是指，第三方能夠偽裝成兩個(gè)合法實(shí)體中的一個(gè)進(jìn)行非授權(quán)傳輸或接收。認(rèn)證（Authentication）認(rèn)證服務(wù)與保證通信的真實(shí)22訪問控制（AccessControl）在網(wǎng)絡(luò)安全中，訪問控制(又稱存取控制)是一種限制和控制那些通過通信連接對(duì)主機(jī)和應(yīng)用進(jìn)行存取的能力。為此，每個(gè)試圖獲得訪問控制的實(shí)體必須被識(shí)別或認(rèn)證后才能獲取其相應(yīng)的存取權(quán)限。訪問控制（AccessControl）在網(wǎng)絡(luò)安全中，訪問控23保密（Encryption）保密性是防止傳輸?shù)臄?shù)據(jù)遭到被動(dòng)攻擊。關(guān)于數(shù)據(jù)傳輸，可以有幾層保護(hù)。最廣泛的服務(wù)在一段時(shí)間內(nèi)為兩個(gè)用戶間所傳輸?shù)乃杏脩魯?shù)據(jù)提供保護(hù)。例如，如果兩個(gè)系統(tǒng)間建立了TCP連接，則這種廣泛的保護(hù)將阻止在TCP連接上傳輸?shù)娜魏斡脩魯?shù)據(jù)的泄漏。也可以定義一種較窄的保密性服務(wù)，可以是對(duì)單條消息或?qū)螚l消息內(nèi)某個(gè)特定的范圍提供保護(hù)。這種細(xì)化比起廣泛的方法用處要少，而且實(shí)現(xiàn)起來更復(fù)雜、更昂貴。保密性的另一個(gè)方面是防止流量分析。這要求攻擊者不能觀察到消息的源和目的、頻率、長度或通信設(shè)施上的其他流量特征。保密（Encryption）保密性是防止傳輸?shù)臄?shù)據(jù)遭到被動(dòng)24數(shù)據(jù)完整（Integrity）與保密性一樣，完整性可應(yīng)用于消息流、單條消息或消息的選定部分。同樣，最有用也最直接的方法是對(duì)整個(gè)數(shù)據(jù)流提供保護(hù)。處理消息流的面向連接的完整性服務(wù)保證收到的消息和發(fā)出的消息一致，沒有復(fù)制、插入、修改、更改順序或重放。該服務(wù)也涉及對(duì)數(shù)據(jù)的破壞。因此，面向連接的完整性服務(wù)處理消息流的修改和拒絕服務(wù)兩個(gè)問題。另一方面，無連接的完整性服務(wù)，僅僅處理單條消息，而不管大量的上下文信息，其通常僅僅防止對(duì)單條消息的修改。我們可以區(qū)分有恢復(fù)和無恢復(fù)的服務(wù)。因?yàn)橥暾苑?wù)和主動(dòng)攻擊有關(guān)，我們更關(guān)心檢測(cè)而不是阻止攻擊。如果檢測(cè)到完整性遭破壞，那么服務(wù)可以簡單地報(bào)告這種破壞，并通過軟件的其他部分或人工干預(yù)來恢復(fù)被破壞部分。另外，我們下面會(huì)看到，有些機(jī)制可用來恢復(fù)數(shù)據(jù)的完整性。通常，自動(dòng)恢復(fù)機(jī)制是一種更具吸引力的選擇。數(shù)據(jù)完整（Integrity）與保密性一樣，完整性可應(yīng)用于消25不可否認(rèn)性（Non-repudiation）不可否認(rèn)性防止發(fā)送方或接收方否認(rèn)傳輸或接收過某條消息。因此，當(dāng)消息發(fā)出后，接收方能證明消息是由聲稱的發(fā)送方發(fā)出的。同樣，當(dāng)消息接收后，發(fā)送方能證明消息事實(shí)上確實(shí)由聲稱的接收方收到。不可否認(rèn)性（Non-repudiation）不可否認(rèn)性防止發(fā)26可用性服務(wù)（Availability）X.800和RFC2828都將可用性定義為：根據(jù)系統(tǒng)的性能說明，能夠按授權(quán)的系統(tǒng)實(shí)體的要求存取或使用系統(tǒng)或系統(tǒng)資源的性質(zhì)（即當(dāng)用戶請(qǐng)求服務(wù)時(shí)，若系統(tǒng)能夠提供符合系統(tǒng)設(shè)計(jì)的這些服務(wù)，則系統(tǒng)是可用的）。許多攻擊可導(dǎo)致可用性的損失或減少。一些自動(dòng)防御措施，如認(rèn)證、加密，可對(duì)付某些攻擊。而其他的一些攻擊需要一些物理措施來阻止或恢復(fù)分布式系統(tǒng)中要素可用性的損失。X.800將可用性看做是和各種安全服務(wù)相關(guān)的性質(zhì)。但是，單獨(dú)說明可用性服務(wù)是頗有意義的?？捎眯苑?wù)使系統(tǒng)確保可用性。這種服務(wù)處理由拒絕服務(wù)攻擊引起的安全問題。它依賴于對(duì)系統(tǒng)資源的恰當(dāng)管理和控制，因此依賴于訪問控制服務(wù)和其他安全服務(wù)?？捎眯苑?wù)（Availability）X.800和RFC2271.5安全機(jī)制安全機(jī)制可分成兩類：一類在特定的協(xié)議層實(shí)現(xiàn)，一類不屬于任何的協(xié)議層或安全服務(wù)。X.800區(qū)分可逆和不可逆加密機(jī)制?？赡婕用軝C(jī)制是一種簡單的加密算法，使數(shù)據(jù)可以加密和解密。不可逆加密機(jī)制包括散列(Hash)算法和消息認(rèn)證碼，用于數(shù)字簽名和消息認(rèn)證應(yīng)用。1.5安全機(jī)制安全機(jī)制可分成兩類：一類在特定的協(xié)議層實(shí)現(xiàn)281.5安全機(jī)制特定安全機(jī)制：可以并入適當(dāng)?shù)膮f(xié)議層以提供一些OSI安全服務(wù)加密：運(yùn)用數(shù)學(xué)算法將數(shù)據(jù)轉(zhuǎn)換成不可知的形式。數(shù)據(jù)的變換和復(fù)原依賴于算法和零個(gè)或多個(gè)加秘密鑰數(shù)字簽名：附加于數(shù)據(jù)單元之后的一種數(shù)據(jù)，它是對(duì)數(shù)據(jù)單元的密碼變換，以使得（如接收方）可證明數(shù)據(jù)源和完整性，并防止偽造訪問控制：對(duì)資源行使訪問控制的各種機(jī)制數(shù)據(jù)完整性：用于保證數(shù)據(jù)單元或數(shù)據(jù)單元流的完整性的各種機(jī)制認(rèn)證交換：通過信息交換來保證實(shí)體身份的各種機(jī)制流量填充：在數(shù)據(jù)流空隙中插入若干位以阻止流量分析路由控制：能夠?yàn)槟承?shù)據(jù)選擇特殊的物理上安全的路線并允許路由變化（尤其是在懷疑有侵犯安全的行為時(shí)）公證：利用可信的第三方來保證數(shù)據(jù)交換的某些性質(zhì)