第10章系統(tǒng)安全技術(shù)12024/3/312學習重點：2024/3/31

操作系統(tǒng)安全技術(shù)

數(shù)據(jù)庫系統(tǒng)安全技術(shù)

網(wǎng)絡(luò)系統(tǒng)安全技術(shù)310.1操作系統(tǒng)安全技術(shù)2024/3/3110.1.1操作系統(tǒng)安全的概念（1）操作系統(tǒng)及操作系統(tǒng)安全的概念如何確保在計算機系統(tǒng)中存儲和傳輸數(shù)據(jù)的保密性、完整性和可用性，已經(jīng)成為信息系統(tǒng)急待解決的重要問題。操作系統(tǒng)（OperatingSystem）是一組面向機器和用戶的程序，是用戶程序和計算機硬件之間的接口，其目的是最大限度地、高效地、合理地使用計算機資源，同時也對系統(tǒng)的所有資源（軟件和硬件資源）進行有效的管理。操作系統(tǒng)安全包括了對系統(tǒng)重要資源（存儲器、文件系統(tǒng)等）的保護和控制，即只有經(jīng)過授權(quán)的用戶和代表該用戶運行的進程才能對計算機系統(tǒng)的信息進行訪問。常見的操作系統(tǒng)有：MS-DOS,Windows系列圖形界面操作系統(tǒng)，UNIX/Linux等。42024/3/31操作系統(tǒng)卻面臨各式各樣的威脅：510.1.2操作系統(tǒng)安全機制2024/3/311.存儲保護

多用戶虛擬存儲技術(shù)：在主存中存放的有系統(tǒng)程序也有用戶程序，甚至是多個用戶的程序。為了防止各用戶程序之間訪問錯誤，保護系統(tǒng)程序免受破壞，就要設(shè)法使各用戶之間，用戶與系統(tǒng)程序之間隔離開。在虛擬存儲系統(tǒng)中，通常采用加界保護、鍵式保護、頁表保護和段表保護方法。（1）加界保護操作系統(tǒng)的段式管理方式中，程序段在內(nèi)存是連續(xù)存放的。因此需要在CPU中設(shè)置多個界限寄存器，每一個程序占用一對界限寄存器。當調(diào)入時，可以將其上界、下界存入界限寄存器中。當程序運行過程中，每當訪問主存時，首先將訪問地址與上下界寄存器進行比較，如果在此區(qū)域內(nèi)，則允許訪問，否則不允許訪問。這種保護方式是對存儲區(qū)的保護，運用于段式管理。62024/3/31在頁式或段頁式管理中，主存是按頁面管理的。將主存的每一頁都設(shè)置一個存儲鍵，分配一個鍵號，這個鍵號存放在快表的表目中。對于每個用戶程序的各頁，也設(shè)置一個程序鍵，分配一個鍵號。當該頁由輔存調(diào)入主存時，就將其調(diào)入的實頁號及其鍵號登記在快表中，將程序鍵號送入程序狀態(tài)字中。每次訪問主存，首先進行鍵號比較，如果鍵號相等才允許訪問。（2）鍵保護（3）頁表保護和段表保護

每個程序的段表和頁表本身都有自己的保護功能。每個程序的虛頁號是固定的，經(jīng)過虛地址向?qū)嵉刂纷儞Q后的實存頁號也就固定了。不論虛地址如何出錯，也只能影響到相對的幾個主存頁面，不會侵犯其他程序空間。此外，還有對主存信息的訪問方式的保護:讀(R)、寫(W)和執(zhí)行(E)。72024/3/312.用戶認證

WindowsNT采用的是NTLANManager（簡稱NTLM）安全技術(shù)進行身份認證。用戶記錄存儲在安全帳戶管理器(SAM)數(shù)據(jù)庫中或在ActiveDirectory數(shù)據(jù)庫中。每個用戶帳戶是與兩個密碼相關(guān)聯(lián)：兼容LAN管理器的密碼和Windows密碼。每個密碼被加密并存儲在SAM數(shù)據(jù)庫中或在ActiveDirectory數(shù)據(jù)庫中。NTLM工作流程：在Linux下，通過終端登錄Linux的過程賬號/密碼的認證方案普遍存在著安全的隱患和不足之處

Windows2000及以上版本對身份認證機制做了重大的改進，引入了新的認證協(xié)議：除了NTLM驗證協(xié)議以外，還增加了KerberosV5和TLS作為分布式的安全性協(xié)議(支持對smartcards的使用)。82024/3/313.訪問控制

目前，主流操作系統(tǒng)（Linux,Windows）均采用ACL機制保護系統(tǒng)對象。

如果系統(tǒng)用戶成功登錄，則安全性子系統(tǒng)將建立一個初始進程，并創(chuàng)建一個訪問令牌（WindowsNT的進程均有一個自己的訪問令牌），其中包含有安全性標識符（SID），該標識符可在系統(tǒng)中唯一標識一個用戶。

初始進程建立了其他進程之后，這些進程將繼承初始進程的訪問令牌。為了實現(xiàn)進程間的安全性訪問，WindowsNT采用了安全性描述符。安全性描述符的主要組成部分是訪問控制列表，ACL指定了不同的用戶和用戶組對某個對象的訪問權(quán)限。當某個進程要訪問一個對象時，進程的SID將和對象的訪問控制列表比較，決定是否運行訪問該對象。92024/3/31下圖給出了訪問令牌、安全標識符、安全性描述符以及訪問控制列表之間的關(guān)系。當WindowsNT根據(jù)進程的存取令牌確定訪問許可時，依據(jù)如下規(guī)則：P200102024/3/314.文件保護

Windows2000、XP和Server2003應(yīng)用了一個稱作Windows文件保護(WindowsFileProtection，WFP)機制，它可以防止關(guān)鍵的系統(tǒng)文件被改寫。WFP被設(shè)計用來保護Windows文件夾的內(nèi)容。WFP保護特定的文件類型，比如SYS、EXE、DLL、OCX、FON和TTF，而不是阻止對整個文件夾的任何修改。注冊表鍵值決定WFP保護的文件類型。

Windows文件保護并不僅僅通過拒絕修改來保護文件，它還可以拒絕刪除。如下頁圖所示，對于windows系統(tǒng)可以在“策略編輯器”中設(shè)置對文件的保護，只要在組策略中進行一下設(shè)置即可：單擊“開始→運行”，輸入“gpedit.msc”，然后依次展開“計算機配置→管理模板→系統(tǒng)→Windows文件保護”。112024/3/31122024/3/31

在Unix/Linux系統(tǒng)中，文件的保護主要是通過對文件賦予不同的操作權(quán)限或?qū)傩詠韺崿F(xiàn)的。

Linux中，每一個文件都具有特定的屬性：文件類型和文件權(quán)限。

有5種不同的文件類型：普通文件、目錄文件、鏈接文件、設(shè)備文件和管道文件。

所謂的文件權(quán)限，是指對文件的訪問權(quán)限，包括對文件的讀、寫、刪除、執(zhí)行，分別用r、w和x表示。不同的用戶具有不同的讀、寫和執(zhí)行的權(quán)限。由于在Linux系統(tǒng)中，用戶是按組分類的，一個用戶屬于一個或多個組。文件所有者以外的用戶又可以分為文件所有者的同組用戶和其它用戶。因此，Linux系統(tǒng)按文件所有者、文件所有者同組用戶和其它用戶三類規(guī)定不同的文件訪問權(quán)限。132024/3/315.內(nèi)核安全技術(shù)

操作系統(tǒng)經(jīng)常在內(nèi)核設(shè)置安全模塊來實施基本的安全操作。一方面可以將安全模塊與操作系統(tǒng)的其他部分以及用戶程序分割開來，減輕安全機制遭受攻擊的威脅；另一方面，任何系統(tǒng)操作、調(diào)用的執(zhí)行都需要通過內(nèi)核，這就避免繞過檢查的可能。再者，內(nèi)核調(diào)用可以以更一致的方法實施檢查。最典型的內(nèi)核安全模塊是引用監(jiān)控器（ReferenceMonitor）。這個模塊是與引用驗證機一起在1972年被提出的，可以實現(xiàn)對運行程序的安全控制，在用戶程序與系統(tǒng)資源之間實施授權(quán)訪問的機制。因為引用驗證機制需要滿足三個原則：必須有自我保護能力；必須總是處于活躍狀態(tài)；必須不能過于復雜，以便于驗證正確性。由于以上三個原因，當前多數(shù)操作系統(tǒng)在內(nèi)核實現(xiàn)這類功能。142024/3/316.安全審計操作系統(tǒng)的安全審計是指對系統(tǒng)中有關(guān)安全的活動進行記錄、檢查和審核。

主要目的就是檢測和阻止非法用戶對計算機的入侵。

安全審計是評測系統(tǒng)安全性的一個很重要的環(huán)節(jié)，能幫助安全人員審計系統(tǒng)的可靠性和安全性；對妨礙系統(tǒng)運行的明顯企圖及時報告給安全控制臺，及時采取措施。

對于windows系統(tǒng)而言具有日志記錄的功能，其它常見的操作也具有系統(tǒng)日志功能進行記錄，便于發(fā)現(xiàn)系統(tǒng)存在的問題以及跟蹤。對于Linux系統(tǒng)它的現(xiàn)有的審計機制是通過三個日志系統(tǒng)來實現(xiàn)的：系統(tǒng)日志、記賬日志和應(yīng)用程序日志。

Linux系統(tǒng)的審計機制只提供了一些必要的日志信息，用戶登錄退出信息以及進程統(tǒng)計日志信息等。常用的日志文件，見P203

1510.2數(shù)據(jù)庫系統(tǒng)安全技術(shù)2024/3/31計算機系統(tǒng)內(nèi)數(shù)據(jù)的組織形式主要有2種：一種為文件的形式；另一種為數(shù)據(jù)庫的形式。文件形式的數(shù)據(jù)缺乏數(shù)據(jù)的共享性，這種形式的數(shù)據(jù)組織方式在數(shù)據(jù)庫系統(tǒng)內(nèi)很少被使用。數(shù)據(jù)庫組織形式的這種數(shù)據(jù)組織方式以其數(shù)據(jù)具有共享性、獨立性、一致性、完整性和可控性的優(yōu)點，這種形式的數(shù)據(jù)組織方式在數(shù)據(jù)庫系統(tǒng)內(nèi)被廣泛應(yīng)用，成為了目前計算機系統(tǒng)存儲數(shù)據(jù)的主要形式。就目前的操作系統(tǒng)（OS）而言，操作系統(tǒng)對數(shù)據(jù)庫系統(tǒng)內(nèi)的數(shù)據(jù)文件沒有特殊的安全保護措施，數(shù)據(jù)庫文件的安全就只有通過數(shù)據(jù)庫管理系統(tǒng)自身來實現(xiàn)。162024/3/31

數(shù)據(jù)庫系統(tǒng)擔負著存儲和管理數(shù)據(jù)信息的任務(wù)數(shù)據(jù)庫的安全性，就是防止非法用戶使用數(shù)據(jù)庫造成數(shù)據(jù)泄露、更改或破壞，以達到保護數(shù)據(jù)庫的目的。數(shù)據(jù)庫中數(shù)據(jù)必須在數(shù)據(jù)庫管理系統(tǒng)（DBMS）統(tǒng)一的嚴格的控制之下，只允許有合法使用權(quán)限的用戶訪問，盡可能杜絕所有可能對數(shù)據(jù)庫的非法訪問。一個DBMS能否有效地保證數(shù)據(jù)庫的安全性是它的主要性能指標之一。1.數(shù)據(jù)庫安全面臨的威脅

數(shù)據(jù)庫面臨的安全威脅大致主要有兩個方面：一種為人為因素。另一種為自然因素。人為因素主要有六種：(1)非授權(quán)用戶的非法存取數(shù)據(jù)或篡改數(shù)據(jù);(2)授權(quán)用戶在輸入或處理數(shù)據(jù)過程中對發(fā)生了變動的數(shù)據(jù)進行了輸入或處理導致了數(shù)據(jù)庫內(nèi)部的數(shù)據(jù)不正確；(3)授權(quán)用戶的故意破壞數(shù)據(jù)或泄露機密、敏感的數(shù)據(jù)資料；172024/3/31(4)程序員設(shè)計安裝了木馬程序在裝有數(shù)據(jù)庫文件的計算機內(nèi)部導致數(shù)據(jù)庫內(nèi)的數(shù)據(jù)資料被竊??；(5)系統(tǒng)設(shè)計人員為了回避系統(tǒng)的安全功能安裝了不安全的系統(tǒng)在系統(tǒng)內(nèi)部；(6)存儲介質(zhì)的丟失。自然因素主要有三種：

（1）計算機硬件故障引起數(shù)據(jù)庫內(nèi)數(shù)據(jù)的丟失或破壞（例如，存儲設(shè)備故障造成數(shù)據(jù)信息的丟失或破壞）；（2）軟件保護功能失效造成的數(shù)據(jù)信息的泄露（例如，系統(tǒng)本身在設(shè)計上的缺陷，如缺少或破壞了存取控制機制，造成了數(shù)據(jù)信息的泄露）；（3）計算機病毒入侵數(shù)據(jù)庫系統(tǒng)破壞和修改數(shù)據(jù)庫軟件或數(shù)據(jù)。182024/3/312.數(shù)據(jù)庫系統(tǒng)安全的基本原則（特性）

就數(shù)據(jù)庫的而言，既要訪問控制方便，同時也要保證數(shù)據(jù)的安全，為此它具有如下的特性：（1）數(shù)據(jù)庫的完整性（數(shù)據(jù)庫系統(tǒng)的完整性主要包括物理完整性和邏輯完整性）

數(shù)據(jù)庫內(nèi)數(shù)據(jù)元素的完整性；

數(shù)據(jù)庫內(nèi)數(shù)據(jù)的一致性；

數(shù)據(jù)庫內(nèi)數(shù)據(jù)的穩(wěn)定性；

數(shù)據(jù)庫內(nèi)數(shù)據(jù)的可訪問控制。（2）保密性是指不允許未經(jīng)授權(quán)的用戶存取數(shù)據(jù)。一般要求對用戶的身份進行標識與鑒別，并采取相應(yīng)的存取控制策略以保證用戶僅能訪問授權(quán)數(shù)據(jù)，同一組數(shù)據(jù)的不同用戶可以被賦予不同的存取權(quán)限。同時，還應(yīng)能夠?qū)τ脩舻脑L問操作進行跟蹤和審計。192024/3/31（3）可用性

是指不應(yīng)拒絕授權(quán)用戶對數(shù)據(jù)庫的正常操作請求，保證系統(tǒng)的運行效率并提供用戶友好的人機交互。實際上，數(shù)據(jù)庫的保密性和可用性是一對矛盾，對這一矛盾的分析與解決構(gòu)成了數(shù)據(jù)庫系統(tǒng)的安全模型和一系列安全機制的主要目標。

3．數(shù)據(jù)庫安全的重要性

主要有以下幾方面的原因：（1）在一個數(shù)據(jù)庫內(nèi)有著大量的數(shù)據(jù)，這些數(shù)據(jù)可被所有的用戶共同使用（2）數(shù)據(jù)庫內(nèi)數(shù)據(jù)的冗余度很小，一旦對數(shù)據(jù)進行了修改，原來存儲的數(shù)值就會被破壞，而且?guī)缀鯖]有同等的數(shù)據(jù)來幫助恢復數(shù)據(jù)原來的值（3）通常情況下，數(shù)據(jù)庫是聯(lián)機工作的202024/3/31

4．數(shù)據(jù)庫安全需求

對用戶來說，最重要的是數(shù)據(jù)庫中的數(shù)據(jù)。數(shù)據(jù)庫的安全首先要保證數(shù)據(jù)的安全，數(shù)據(jù)的安全可分為物理介質(zhì)的安全和存儲介質(zhì)上數(shù)據(jù)的邏輯安全兩大類。物理介質(zhì)只要被破壞，那幾乎是無法再恢復的，只能小心保管和使用。數(shù)據(jù)庫的邏輯安全是指在不改變現(xiàn)有的DBMS的情況下，對現(xiàn)有數(shù)據(jù)的應(yīng)用或?qū)π聰?shù)據(jù)的應(yīng)用。它對數(shù)據(jù)庫系統(tǒng)的一個最為重要的要求是其應(yīng)用系統(tǒng)內(nèi)數(shù)據(jù)的獨立性。

212024/3/31數(shù)據(jù)庫安全性的要求主要有6種：

（1）數(shù)據(jù)庫的完整性（2）數(shù)據(jù)元素的完整性（3）審計性（4）可獲取性（5）訪問控制（6）用戶認證數(shù)據(jù)庫的安全功能、安全區(qū)域和安全過程

225.數(shù)據(jù)庫安全控制技術(shù)2024/3/31（1）身份認證技術(shù)

數(shù)據(jù)庫安全控制主要包含身份認證、訪問控制、權(quán)限管理和角色管理四方面。

方法是由系統(tǒng)提供一定的方式讓用戶標識自己的名字或身份。常用的方法有：用一個用戶名或者用戶標識號來標明用戶身份。系統(tǒng)內(nèi)部記錄著所有合法用戶的標識，系統(tǒng)驗證此用戶是否合法用戶。SQLServer系統(tǒng)身份認證方式示意圖SQLServer可以識別兩類的身份驗證方式，即：SQLServer身份認證（SQLServerAuthentication）方式和Windows身份認證（WindowsAuthentication）方式。232024/3/31（2）訪問控制(策略)

知需策略：根據(jù)用戶對數(shù)據(jù)庫內(nèi)數(shù)據(jù)的需求，讓用戶得到與自己身份相當?shù)膶?shù)據(jù)庫內(nèi)數(shù)據(jù)訪問控制權(quán)限。最大程度上的共享策略：數(shù)據(jù)庫系統(tǒng)由于安全的需要對數(shù)據(jù)的訪問控制有嚴格的控制和保護措施，但在這種共享策略的指導下，能使數(shù)據(jù)信息在最大可能的程度上給所有用戶共享，但也不是所有用戶都能對所有數(shù)據(jù)都能訪問控制，而是只有與其身份相當?shù)挠脩舨拍軐ζ錂?quán)限下的數(shù)據(jù)進行訪問控制。242024/3/31（3）權(quán)限管理

當用戶成為數(shù)據(jù)庫中的合法用戶之后，除了具有一些系統(tǒng)表的查詢權(quán)之外，并不對數(shù)據(jù)庫中的用戶對象具有任何操作權(quán)。下一步就需要為數(shù)據(jù)庫中的用戶授予適當?shù)牟僮鳈?quán)。在SQLserver2000中，權(quán)限分為對象權(quán)限、語句權(quán)限和隱含權(quán)限三種。對象權(quán)限是指用戶對數(shù)據(jù)庫中的表、視圖、存儲過程等對象的操作權(quán)。例如：是否允許查詢、增加、刪除、和修改數(shù)據(jù)等。具體包括以下三個方面：

對于表和視圖，可以使用select、insert、update、和delete權(quán)限；

對于表和視圖字段，可以使用select和update權(quán)限；

對于存儲過程，可以使用execute權(quán)限。252024/3/31

語句權(quán)限相當于數(shù)據(jù)定義語言的語句權(quán)限，這種權(quán)限專指是否允許執(zhí)行語句createtable等創(chuàng)建與數(shù)據(jù)庫對象有關(guān)的操作。隱含權(quán)限是由SQLserver預(yù)定義的服務(wù)器角色、數(shù)據(jù)庫角色、數(shù)據(jù)庫擁有者和數(shù)據(jù)庫對象擁有者所具有的權(quán)限，隱含權(quán)限相當于內(nèi)置權(quán)限，不再需要明確的授予這些權(quán)限。例如，數(shù)據(jù)庫擁有者自動的擁有對數(shù)據(jù)庫進行一切操作的權(quán)限。權(quán)限的管理包含以下三個內(nèi)容：

授予權(quán)限：允許用戶或角色具有某種操作權(quán)；

收回權(quán)限：不允許用戶或角色具有某種操作權(quán)，或者收回曾經(jīng)授予的權(quán)限；

拒絕訪問：拒絕某用戶或角色具有某種操作權(quán)，即使用戶或角色由于繼承而獲得這種操作權(quán)，也不允許執(zhí)行相應(yīng)操作。2024/3/31（4）角色管理

系統(tǒng)角色根據(jù)其作用范圍的不同，分為固定的服務(wù)器角色和固定的數(shù)據(jù)庫角色，服務(wù)器角色是為整個服務(wù)器設(shè)置的，而數(shù)據(jù)庫角色是為具體的數(shù)據(jù)庫設(shè)置的。在SQLserver2000中，角色分為系統(tǒng)預(yù)定義的固定角色和用戶根據(jù)自己需要定義的用戶角色。

2710.3網(wǎng)絡(luò)系統(tǒng)安全技術(shù)2024/3/311ISO/OSI安全體系結(jié)構(gòu)1982年，開放系統(tǒng)互聯(lián)（OSI）基本模型建立之初，就開始進行OSI安全體系結(jié)構(gòu)的研究。1989年12月ISO頒布了計算機信息系統(tǒng)互聯(lián)標準的第二部分，即ISO7498-2標準，并首次確定了開放系統(tǒng)互聯(lián)（OSI）參考模型的安全體系結(jié)構(gòu)。我國將其稱為GB／T9387-2標準，并予以執(zhí)行。ISO安全體系結(jié)構(gòu)包括了三部分內(nèi)容：安全服務(wù)、安全機制和安全管理。安全服務(wù):ISO安全體系結(jié)構(gòu)確定了五大類安全服務(wù)：1認證服務(wù)2訪問控制3數(shù)據(jù)保密性4數(shù)據(jù)完整性5不可否認（抗抵賴）性（1）認證服務(wù)提供某個實體的身份保證。該服務(wù)有兩種類型：

對等實體認證:這種安全服務(wù)由(N)層提供時，(N+1)層實體可確信對等實體是它所需要的(N+1)層實體。282024/3/31

該服務(wù)在建立連接或數(shù)據(jù)傳輸期間的某些時刻使用，以確認一個或多個其它實體連接的一個或多個實體的身份。該服務(wù)在使用期內(nèi)讓使用者確信：某個實體沒有試圖冒充別的實體，而且沒有試圖非法重放以前的某個連接。它們可以實施單向或雙向?qū)Φ葘嶓w的認證，既可以帶有效期校驗，也可以不帶，以提供不同程度的保護。

數(shù)據(jù)源認證

在通信的某個環(huán)節(jié)中，需要確認某個數(shù)據(jù)是由某個發(fā)送者發(fā)送的。當這種安全服務(wù)由(N)層提供時，可向(N+1)層實體證實數(shù)據(jù)源正是它所需要的對等(N+1)層實體。（2）訪問控制服務(wù)這種安全服務(wù)提供的保護，就是對某一些確知身份限制對某些資源（這些資源可能是通過OSI協(xié)議可訪問的OSI資源或非OSI資源）的訪問。這種安全服務(wù)可用于對某個資源的各類訪問（如通信資源的利用，信息資源的閱讀、書寫或刪除，處理資源的執(zhí)行等）或用于對某些資源的所有訪問。292024/3/31（3）數(shù)據(jù)保密性服務(wù)這種安全服務(wù)能夠提供保護，使得信息不泄漏、不暴露給那些未授權(quán)就想掌握該信息的實體。

連接保密性：向某個(N)連接的所有(N)用戶數(shù)據(jù)提供保密性。

無連接保密性：向單個無連接(N)安全數(shù)據(jù)單元(SDU)中的所有(N)用戶數(shù)據(jù)提供保密性。

選擇字段保密性：向(N)連接上的(N)用戶數(shù)據(jù)內(nèi)或單個無連接(N)SDU中的被選字段提供保密性。

業(yè)務(wù)流保密性：防止通過觀察業(yè)務(wù)流以得到有用的保密信息。（4）數(shù)據(jù)完整性服務(wù)這種安全服務(wù)保護數(shù)據(jù)在存儲和傳輸中的完整性。①帶恢復的連接完整性：這種安全服務(wù)向某個(N)連接上的所有(N)用戶數(shù)據(jù)保證其完整性。它檢測對某個完整的SDU序列內(nèi)任何一個數(shù)據(jù)遭到的任何篡改、插入、刪除或重放，同時還可以補救恢復。②不帶恢復的連接完整性：與帶恢復的連接完整性服務(wù)相同，但不能補救恢復。③選擇字段連接完整性：這種安全服務(wù)向在某個連接中傳輸?shù)哪硞€(N)SDU的(N)用戶數(shù)據(jù)內(nèi)的被選字段提供完整性保護，并能確定這些字段是否經(jīng)過篡改、插入、刪除或重放。④無連接完整性：這種安全服務(wù)由（N）層提供，向提出請求的（N+1）層實體提供無連接中的數(shù)據(jù)完整性保證。并能確定收到的SDU是否經(jīng)過篡改；另外，還可以對重放情況進行一定程度的檢測。⑤選擇字段無連接完整性：這種安全服務(wù)對單個無連接SDU中的被選字段的保證其完整性，并能確定被選字段是否被篡改、插入、刪除或重放。302024/3/31（5）不可否認服務(wù)（抗抵賴）通信系統(tǒng)不會遭到自系統(tǒng)中其它合法用戶的威脅，而不是來自未知攻擊者的威脅。①數(shù)據(jù)源的抗抵賴：向數(shù)據(jù)接收者提供數(shù)據(jù)來源的證據(jù)，以防止發(fā)送者否認發(fā)送該數(shù)據(jù)或其內(nèi)容的任何企圖。②傳遞過程的抗抵賴：向數(shù)據(jù)發(fā)送者提供數(shù)據(jù)已到目的地證據(jù)，以防止收信者否認接收該數(shù)據(jù)或其內(nèi)容的任何事后的企圖。312024/3/31安全機制為了支持ISO體系結(jié)構(gòu)定義的安全服務(wù)，ISO安全體系結(jié)構(gòu)定義了八大類安全機制，即：1加密機制2數(shù)據(jù)簽名機制3訪問控制機制4數(shù)據(jù)完整性機制5鑒別交換機制6業(yè)務(wù)填充機制7路由控制機制8公證機制以上這些安全機制可以設(shè)置在適當?shù)膶哟紊?，以便提供某些安全服?wù)。322024/3/31（1）加密機制加密可向數(shù)據(jù)或業(yè)務(wù)流信息提供保密性，并能對其他安全機制起作用或?qū)λ鼈冞M行補充。加密算法可以是可逆或不可逆的，可逆加密算法有以下兩大類：①對稱(單鑰)加密體制：對于這種加密體制，加密與解密用同一個密鑰；②非對稱(公鑰)加密體制：對于這種加密體制，加密與解密用不同的密鑰，這種加密系統(tǒng)的兩個密鑰有時被稱為“公鑰”和“私鑰”。332024/3/31（2）數(shù)字簽名機制

這種安全機制由兩個過程構(gòu)成：對數(shù)據(jù)單元簽名過程:該過程可以利用簽名者私有的（即獨有和保密的）信息。驗證簽名的數(shù)據(jù)單元過程：該過程則要利用公之于眾的規(guī)程和信息，但通過它們并不能推出簽名者的私有信息。

如果該實體試圖利用未被授權(quán)的資源或用不正當?shù)脑L問方式使用授權(quán)的資源，那么訪問控制功能將會拒絕這個企圖，另外還可能產(chǎn)生一個告警信號或把它作為安全審計線索的一部分記錄下來，并以此報告這一事件。對于無連接數(shù)據(jù)的傳輸，則只有在數(shù)據(jù)源強制實施訪問控制之后，才有可能向發(fā)信者提出任何拒絕訪問的通知。

342024/3/31（3）訪問控制機制①這種安全機制可以利用某個實體經(jīng)鑒別的身份或關(guān)于該實體的信息（比如，某個已知實體集里的一員），進行確定并實施實體的訪問權(quán)。②實現(xiàn)好的訪問控制規(guī)則可以建立在下列幾個方式之上。（a）訪問控制信息庫：它保存著對等實體對資源的訪問權(quán)限。（b）鑒別信息：對這種信息的占有和出示便證明正在訪問的實體已被授權(quán)352024/3/31（c）權(quán)力：實體對權(quán)力的占有和出示便證明有權(quán)訪問由權(quán)力規(guī)定的實體或資源（d）安全標記：當與某個實體相關(guān)聯(lián)時，可用于同意或拒絕訪問，通常根據(jù)安全策略而定（e）訪問時間：可以根據(jù)試圖訪問的時間建立規(guī)則（f）訪問路由：可以根據(jù)試圖訪問的路由建立規(guī)則（g）訪問持續(xù)期：還可以規(guī)定某次訪問不可超過一定的持續(xù)時間。③訪問控制機制可用于通信連接的任何一端或用在中間的任何位置。（4）數(shù)據(jù)完整性機制①數(shù)據(jù)完整性機制的兩個方面：單個的數(shù)據(jù)單元或字段的完整性數(shù)據(jù)單元串或字段串的完整性②確定單個數(shù)據(jù)單元的完整性：確定單個數(shù)據(jù)單元的完整性涉及到兩個處理：一個在發(fā)送實體中進行，而另一個在接收實體中進行。發(fā)送實體給數(shù)據(jù)單元附加一個由數(shù)據(jù)自己決定的量，而這個量可以是分組校驗碼或密碼校驗值之類的補充信息，而且它本身也可以被加密。接收實體則產(chǎn)生一個相當?shù)牧浚阉c收到的量進行比較，以確定該數(shù)據(jù)在傳輸過程中是否被篡改。但這個機制不能單獨防止對單個數(shù)據(jù)單元的重放。因此在OSI結(jié)構(gòu)的適當層，檢測操作就有可能導致在該層或更高一層的恢復行為（如重發(fā)或糾錯）。

362024/3/31372024/3/31③編序形式：對于連接方式的數(shù)據(jù)傳輸，保護數(shù)據(jù)單元序列的完整性(即防止擾亂、丟失、重放、插入或篡改數(shù)據(jù))還需要某種明顯的編序形式，如序號、時標式密碼鏈等。④保護形式：對于無連接的數(shù)據(jù)傳輸，時標可用于提供一種有限的保護形式，以防止單個數(shù)據(jù)單元的重放。（5）鑒別交換機制

該安全機制是通過信息交換以確保實體身份的一種機制。涉及：①鑒別交換技術(shù)：利用鑒別信息（如通信字），它由發(fā)送實體提供，并由接收實體進行檢驗；密碼技術(shù)；利用實體的特征或占有物。②對等實體鑒別：如果在鑒別實體時得到的是否定結(jié)果，那么將會導致拒絕連接或終止連接，而且還會在安全審計線索中增加一個記錄，或向安全管理中心進行報告。③確保安全：在利用密碼技術(shù)時，可以同“握手”協(xié)議相結(jié)合，以防止重放(即確保有效期)。382024/3/31④應(yīng)用環(huán)境：選擇鑒別交換技術(shù)取決于它們應(yīng)用的環(huán)境。在許多場合下，需要同下列各項結(jié)合起來使用：（a）時標和同步時鐘；（b）雙向和三向握手(分別用于單方和雙方鑒別)；（c）由數(shù)字簽名或公證機制實現(xiàn)的不可否認服務(wù)。（6）業(yè)務(wù)填充機制它是一種防止造假的通信實例、產(chǎn)生欺騙性數(shù)據(jù)單元或在數(shù)據(jù)單元中產(chǎn)生假數(shù)據(jù)的安全機制。該機制可用于提供對各種等級的保護，以防止業(yè)務(wù)分析。該機制只有在業(yè)務(wù)填充受到保密性服務(wù)保護時才有效。（7）路由控制機制

路由控制機制提供了這樣一種機制，它可以控制和過濾通過路由器的不同接口去往不同方向的信息流。主要涉及：①路由選擇：路由既可以動態(tài)選擇，也可以事先安排好，以便只利用物理上安全的子網(wǎng)、中繼站或鏈路。②路由連接：當檢測到持續(xù)操作攻擊時，端系統(tǒng)可望指示網(wǎng)絡(luò)服務(wù)提供者通過不同的路由以建立連接。③安全策略：攜帶某些安全標簽的數(shù)據(jù)可能被安全策略禁止通過某些子網(wǎng)、中繼站或鏈路。連接的發(fā)起者（或無連接數(shù)據(jù)單元的發(fā)送者）可以指定路由說明，以請求回避特定的子網(wǎng)的中繼站或鏈路。392024/3/31（8）公證機制在兩個或多個實體間進行通信的數(shù)據(jù)的性能，比如它的完整性、來源、時間和目的地等，可由公證機制來保證。保證由第三方公證人提供，公證人能夠得到通信實體的信任，而且可以掌握按照某種可證實方式提供所需保證的必要的信息。每個通信場合都可以利用數(shù)字簽名、加密和完整性機制以適應(yīng)公證人所提供的服務(wù)。在用到這樣一個公證機制時，數(shù)據(jù)便經(jīng)由受保護的通信場合和公證人在通信實體之間進行傳送。402024/3/31安全管理

OSI安全體系結(jié)構(gòu)的第三個主要部分就是安全管理。它的主要內(nèi)容是實施一系列的安全政策，對系統(tǒng)和網(wǎng)絡(luò)上的操作進行管理。它包括三部分內(nèi)容：系統(tǒng)安全管理安全服務(wù)管理安全機制管理412024/3/3110.3.2網(wǎng)絡(luò)層安全與IPsec

在網(wǎng)絡(luò)層實現(xiàn)安全服務(wù)有很多的優(yōu)點。首先，由于多種傳送協(xié)議和應(yīng)用程序可以共享由網(wǎng)絡(luò)層提供的密鑰管理架構(gòu)，密鑰協(xié)商的開銷被大大地削減了;其次，若安全服務(wù)在較低層實現(xiàn)，那么需要改動的程序就要少很多。

IPsec協(xié)議也就是網(wǎng)絡(luò)層安全協(xié)議，功能就是保護加密網(wǎng)絡(luò)層的信息。由IETF制定,面向TCMP,它足為IPv4和IPv6協(xié)議提供基于加密安全的協(xié)議?在TCP/IP協(xié)議棧中所處的層次如下圖：422024/3/31

IPSec協(xié)議族中有兩個主要協(xié)議：鑒別首部協(xié)議（AH）和封裝安全性載荷協(xié)議（ESP），前者提供源鑒別和數(shù)據(jù)完整性服務(wù)（不提供機密性服務(wù)）；后者提供鑒別、數(shù)據(jù)完整性和機密性服務(wù)。在這兩個協(xié)議中，從源主機向目標主機發(fā)送安全數(shù)據(jù)流之前，源主機和網(wǎng)絡(luò)主機握手并創(chuàng)建了一個網(wǎng)絡(luò)層的邏輯連接。

IPSec提供的主要功能：認證功能(AH)，認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性，包括數(shù)據(jù)源認證和可選的抗重傳服務(wù)；ESP分為兩部分，其中ESP頭提供數(shù)據(jù)機密性和有限抗流量分析服務(wù)，在ESP尾中可選地提供無連接完整性、數(shù)據(jù)源認證和抗重傳服務(wù)。432024/3/31

IPSec有兩個基本目標：保護IP數(shù)據(jù)包安全；為抵御網(wǎng)絡(luò)攻擊提供防護措施。IPSec結(jié)合密碼保護服務(wù)、安全協(xié)議組和動態(tài)密鑰管理，三者共同實現(xiàn)上述兩個目標，IPSec基于一種端對端的安全模式。IPSec提供三種不同的形式來保護通過公有或私有IP網(wǎng)絡(luò)來傳送的私有數(shù)據(jù)。

驗證:通過認證可以確定所接受的數(shù)據(jù)與所發(fā)送的數(shù)據(jù)是一致的，同時可以確定申請發(fā)送者在實際上是真實發(fā)送者，而不是偽裝的。數(shù)據(jù)完整驗證:通過驗證保證數(shù)據(jù)從原發(fā)地到目的地的傳送過程中沒有任何不可檢測的數(shù)據(jù)丟失與改變。保密:使相應(yīng)的接收者能獲取發(fā)送的真正內(nèi)容，而無關(guān)的接收者無法獲知數(shù)據(jù)的真正內(nèi)容。

注：IPSec通過支持DES,三重DES,IDEA,AES等確保通信雙方的機密性;身份認證用DSS或RSA算法;用消息鑒別算法HMAC計算MAC,以進行數(shù)據(jù)源驗證服務(wù)?

442024/3/31

IPSec應(yīng)用領(lǐng)域:網(wǎng)絡(luò)層安全協(xié)議IPSec可為各種分布式應(yīng)用,如遠程登錄?客戶,服務(wù)器?電了郵件?文件傳輸?web訪問等提供安全?可保證LAN?專用和公用WAN以及Internet的通信安全?目前主要應(yīng)用于VPN?路由器中?

IPSec優(yōu)點:IPSec可用來在多個防火墑和服務(wù)器間提供安全性,可確保運行在TCP/IP協(xié)議上的VPNs間的互操作性?它對于最終用戶和應(yīng)用程序是透明的?

IPSec缺點:IPSec系統(tǒng)復雜,且不能保護流量的隱蔽性;除TCP/IP外,不支持其它協(xié)議;IPSec與防火墻?NAT等的安全結(jié)構(gòu)也是一個復雜的問題?452024/3/3110.3.3.傳輸層安全與SSL/TLS

傳輸層安全協(xié)議的目的是為了保護傳輸層的安全，并在傳輸層上提供實現(xiàn)保密性、認證和完整性的方法。安全套接層（SecureSocketsLayer，SSL）及其繼任者傳輸層安全（TransportLayerSecurity，TLS）是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。1)SSLSSL(SecuresocketLayer)安全套接層協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護信息傳輸?shù)臋C密性和完整性，它不能保證信息的不可抵賴性，主要適用于點對點之間的信息傳輸，常用WebServer方式，即SSL通過在瀏覽器軟件（例如InternetExplorerNetscapeNavigator）和Web服務(wù)器之間建立在Internet中傳送的保密性。安全套接層協(xié)議（SSL，SecuritySocketLayer）是網(wǎng)景（Netscape）公司提出的基于WEB應(yīng)用的安全協(xié)議，它包括：服務(wù)器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。462024/3/31對于電子商務(wù)應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。但由于SSL不對應(yīng)用層的消息進行數(shù)字簽名，因此不能提供交易的不可否認性，這是SSL在電子商務(wù)中使用的最大不足。鑒于此，網(wǎng)景公司在從Communicator4.04版開始的所有瀏覽器中引入了一種被稱作“表單簽名（FormSigning）”的功能，在電子商務(wù)中，可利用這一功能來對包含購買者的訂購信息和付款指令的表單進行數(shù)字簽名，從而保證交易信息的不可否認性。目前，在電子商務(wù)中采用單一的SSL協(xié)議來保證交易的安全是不夠的，但采用“SSL+表單簽名”模式能夠為電子商務(wù)提供較好的安全性保證。由于SSL協(xié)議在Web上的廣泛應(yīng)用，IETF將SSL做了標準化，即RFC2246，并將其稱之為TLS（TransportLayerSecurity）。當前，從技術(shù)方面來講，TLS1.0與SSL3.0的差別非常小。47①SSL主要使用的安全技術(shù)2024/3/31482024/3/31492024/3/31502024/3/31

在TCP/IP協(xié)議族中，SSL位于TCP層之上、應(yīng)用層之下，并在TCP之上建立了一個安全通道。這使它可以獨立于應(yīng)用層，從而使應(yīng)用層協(xié)議（如HTTP等）可以直接建立在SSL之上。此外，SSL提供了具有三個基本屬性的連接安全性（使得通過這一層的數(shù)據(jù)得到了加密，達到了保密效果）：

身份驗證：可以使用不對稱的或公用的密鑰或加密系統(tǒng)對連接進行驗證。TLS支持基于RSA和帶有X.509v3證書的Diffie-Hellman/DSS的身份認證。

保密性：連接是保密的。在首次握手后，密鑰用于定義密鑰。將對稱密碼系統(tǒng)用于數(shù)據(jù)加密（例如DES、TripleDES、RC4、IDEA等。支持不同的加密程度，其中包括40位、56位、128位和168位加密。完整性：連接是可靠的。消息傳輸中包括了使用鍵控消息身份認證代碼(MAC)進行的消息完整性檢查。將安全哈希函數(shù)（例如，SHA1、MD5）用于MAC計算。51（2）SSL的體系結(jié)構(gòu)如下圖所：2024/3/31SSL協(xié)議包括子協(xié)議有：SSL記錄協(xié)議建立在可靠的傳輸協(xié)議（如TCP）上，用來封裝高層的協(xié)議。SSL握手協(xié)議準許服務(wù)器與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。SSL警告協(xié)議。從上圖可以看到，SSL協(xié)議主要分為：HandshakeProtocol（還包括SSLChangeCipherSpecProtocol（服務(wù)器要求客戶端使用加密模式。）、SSLAlertProtocol

）和RecordProtocol。

HandshakeProtocol用來協(xié)商密鑰，協(xié)調(diào)客戶和服務(wù)器使用的安全級別，并進行身份驗證?？蛻艉头?wù)器使用的由第三方證書機構(gòu)提供的的證書是SSL安全功能的基礎(chǔ)。

RecordProtocol定義了傳輸?shù)膫鬏數(shù)母袷胶图?解密應(yīng)用程序協(xié)議的字節(jié)流。52⑤SSL的不足2024/3/31

從前面的討論可知，利用SSL協(xié)議，通信雙方在交換證書后，通過證書內(nèi)容來驗證對方的身份，身份驗證成功后創(chuàng)建一個會話密鑰；在通常情況下，會話密鑰由客戶端產(chǎn)生，并利用服務(wù)器的公鑰加密后傳送；客戶和服務(wù)器在通信過程中都使用這個會話密鑰來加密和解密雙方的消息流，保證了通信過程中數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?/p>

因此，SSL也被認為是Internet上Web瀏覽器和服務(wù)器安全的標準，而且在大量需要安全認證的站點服務(wù)上得到了廣泛應(yīng)用。但是SSL也有一些不足之處：

利用SSL的攻擊無法被入侵系統(tǒng)IDS（IntrusionDetectionSystem）檢測到。IDS是一種用于監(jiān)測攻擊服務(wù)器企圖的技術(shù)和方法。典型的IDS監(jiān)視網(wǎng)絡(luò)通信是將其與保存在數(shù)據(jù)庫中的已知“攻擊特征”進行比較，如果網(wǎng)絡(luò)通信是加密的，IDS將無法監(jiān)視其行為，這反而可能會使攻擊更為隱蔽。SSL使用復雜的數(shù)學公式進行數(shù)據(jù)加密和解密，這些公式的復雜性根據(jù)密碼的強度不同而不同。高強度的計算會使多數(shù)服務(wù)器停頓，并導致性能下降。多數(shù)Web服務(wù)器在執(zhí)行SSL相關(guān)任務(wù)時，吞吐量會顯著下降，相比只執(zhí)行Http1.0連接時的速度可能會慢50多倍。另外，雖然對消費者而言，SSL已經(jīng)解決了大部分的問題，但是對電子商務(wù)來說，問題并沒有完全解決。因為SSL只能做到資料保密，廠商無法確定是誰填下了這份資料，即不可否認性無法實現(xiàn)。532024/3/3110.3.4應(yīng)用層安全與SET

電子商務(wù)在提供機遇和便利的同時，也面臨著一個最大的挑戰(zhàn)，即交易的安全問題。在網(wǎng)上購物的環(huán)境中，持卡人希望在交易中保密自己的帳戶信息，使之不被人盜用；商家則希望客戶