任務3軟件安全技術與應用實踐

軟件限制策略及應用；TCP/IP協議的安全性；加密文件系統（EFS）；Kerberos系統；IPSec系統

;定義軟件安全（SoftwareSecurity）就是使軟件在受到惡意攻擊的情形下依然能夠繼續正確運行的工程化軟件思想。3．1軟件安全策略

3.1.1軟件限制策略及應用

在企業網絡管理中，可利用域控制器實現對某些軟件的使用限制。當用戶利用域賬戶登錄到本機電腦的時候，系統會根據這個域賬戶的訪問權限，判斷其是否有某個應用軟件的使用權限。當確定其沒有相關權限時，操作系統就會拒絕用戶訪問該應用軟件，從而來管理企業員工的操作行為。這就是域環境中的軟件限制策略。1．軟件限制策略原則

(1)應用軟件與數據文件的獨立原則在使用軟件限制策略時，應堅持“應用軟件與數據文件獨立”的原則，即用戶即使具有數據文件的訪問權限，但若沒有其關聯軟件的訪問權限，仍然不能打開這個文件。(2)軟件限制策略的沖突處理原則軟件限制策略與其他組策略一樣，可以在多個級別上進行設置。即可將軟件限制策略看成是組策略中的一個特殊分支。所以，軟件限制策略可以在本地計算機、站點、域或組織單元等多個環節進行設置。每個級別又可以針對用戶與計算機進行設置。當在各個設置級別上的軟件限制策略發生沖突時，應考慮優先性問題。優先性的級別從高到低為“組織單元策略”、“域策略”、“站點策略”和“本地計算機策略”。(3)軟件限制的規則默認情況下，軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規則。“不受限的”規則規定所有登錄的用戶都可以運行指定的軟件。“不允許的”規則規定所有登錄系統的賬戶，都不能運行這個應用軟件，無論其是否對數據文件具有訪問權限。系統默認的策略是所有軟件運行都是“不受限的”，即只要用戶對于數據文件有訪問權限，就可以運行對應的應用軟件。2．軟件限制策略的應用軟件限制策略是一種技術，通過這種技術，管理員可以決定哪些程序是可信賴的，哪些是不可信賴的。對于不可信賴的程序，系統會拒絕執行。運行Gpedit.msc打開組策略編輯器，可以發現有“計算機配置”和“用戶設置”條目。如果希望對本地登錄到計算機的所有用戶生效，則使用“計算機配置”下的策略；如果希望對某個特定用戶或用戶組生效，則使用“用戶配置”下的策略。用戶應設計出一種最佳的策略，能使所有需要的軟件正確運行，所有不必要的軟件都無法運行。

具體操作：打開“計算機配置”→“Windows設置”→“安全設置”→“軟件限制策略”路徑，在“操作”菜單下選擇“創建新的策略”。請參考教材p1563.1.2TCP/IP協議的安全性

TCP/IP協議是由100多個協議組成的協議集，TCP和IP是其中兩個最重要的協議。TCP和IP兩個協議分別屬于傳輸層和網絡層，在Internet中起著不同的作用。1．TCP/IP協議的層次結構及主要協議

網絡接口層負責接收IP數據報，并把這些數據報發送到指定網絡中。它與OSI模型中的數據鏈路層和物理層相對應。網絡層要解決主機到主機的通信問題，該層的主要協議有IP和ICMP。傳輸層的基本任務是提供應用程序之間的通信，這種通信通常叫做端到端通信。傳輸層可提供端到端之間的可靠傳送，確保數據到達無差錯，不亂序。傳輸層的主要協議有TCP和UDP。應用層為協議的最高層，在該層應用程序與協議相互配合，發送或接收數據。應用層傳輸(TCP)層網絡(IP)層網絡接口層應用層表示層會話層傳輸層網絡層數據鏈路層物理層TCP/IPOSI圖3.5TCP/IP結構與OSI結構2．TCP／IP協議安全性分析(1)TCP協議TCP使用三次握手機制建立一條連接。攻擊者可利用這三次握手過程建立有利于自己的連接（破壞原連接），若他們再趁機插入有害數據包，則后果更嚴重。TCP協議把通過連接而傳輸的數據看成是字節流，用一個32位整數對傳送的字節編號。初始序列號(ISN)在TCP握手時產生，產生機制與協議實現有關。攻擊者只要向目標主機發送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進攻主機到目標主機之間數據包傳送的來回時間（RTT）。已知上次連接的ISN和RTT，很容易就能預測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發出TCP連接，并預測到目標主機的TCP序列號，攻擊者就能偽造有害數據包，使之被目標主機接受。

(2)IP協議和ICMP協議IP協議提供無連接的數據包傳輸機制，其主要功能有尋址、路由選擇、分段和組裝。傳送層把報文分成若干個數據包，每個包在網關中進行路由選擇，在傳輸過程中每個數據包可能被分成若干小段，每一小段都當作一個獨立的數據包被傳輸，其中只有第一個數據包含有TCP層的端口信息。在包過濾防火墻中根據數據包的端口號檢查是否合法，這樣后續數據包就可以不經檢查而直接通過。攻擊者若發送一系列有意設置的數據包，以非法端口號為數據的后續數據包覆蓋前面的具有合法端口號的數據包，那么該路由器防火墻上的過濾規則被旁路，從而攻擊者便達到了進攻目的。

ICMP是在網絡層中與IP一起使用的協議。如果一個網關不為IP分組選擇路由、不能遞交IP分組或測試到某種不正常狀態，如網絡擁擠影響IP分組的傳遞，那么就需要ICMP來通知源端主機采取措施，避免或糾正這些問題。ICMP協議存在的安全問題有：攻擊者可利用不可達報文對某用戶節點發起拒絕服務攻擊。3．TCP/IP層次安全

(1)網絡接口層安全網絡接口層安全一般可以達到點對點間較強的身份驗證、保密性和連續的信道認證，在大多數情況下也可以保證數據流的安全。(2)網絡層的安全網絡層安全主要是基于以下幾點考慮：控制不同的訪問者對網絡和設備的訪問。劃分并隔離不同安全域。防止內部訪問者對無權訪問區域的訪問和誤操作。網絡層非常適合提供基于主機對主機的安全服務。相應的安全協議可用來在Internet上建立安全的IP通道和VPN。(3)傳輸層的安全在傳輸層建立安全通信機制，為應用層提供安全保護。常見的傳輸層安全技術有SSL(4)應用層的安全應用層提供的安全服務，通常都是對每個應用（包括應用協議）分別進行修改和擴充，加入新的安全功能。基于信用卡安全交易服務的安全電子交易（SET）協議，基于信用卡提供電子商務安全應用的安全電子付費協議（SEPP），基于SMTP提供電子郵件安全服務的私用強化郵件（PEM），基于HTTP協議提供Web安全使用的安全性超文本傳輸協議（S-HTTP）等。3．2加密文件系統（EFS）

3.2.1EFS軟件加密文件系統（EncryptingFileSystem，EFS）是Windows文件系統的內置文件加密工具，它以公共密鑰加密為基礎.EFS可對存儲在NTFS磁盤卷上的文件和文件夾執行加密操作。

EFS系統具有如下特性：用戶加密或解密文件或文件夾很方便，訪問加密文件簡單容易在使用EFS加密一個文件或文件夾時，系統首先會生成一個由偽隨機數組成的FEK(文件加密密鑰)，然后利用FEK和數據擴展標準X算法創建加密文件，并把它存儲到硬盤上，同時刪除未加密的原文件。隨后系統利用用戶的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。當用戶訪問被加密的文件時，系統首先利用用戶的私鑰解密FEK，然后利用FEK解密原加密文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統稱為密鑰），則會首先生成密鑰，然后再加密數據。EFS加密文件的時候，使用對該文件唯一的對稱加密密鑰，并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進行加密。因為只有文件的擁有者才能使用密鑰對中的私鑰，所以也只有他才能解密密鑰和文件。

EFS加密系統對用戶是透明的用戶加密了一些數據，那么他對這些數據的訪問將是完全允許的，并不會受到任何限制。如果用戶持有一個已加密NTFS文件的私鑰，那么他就能夠打開這個文件，并透明地將該文件作為普通文檔使用。而其他非授權用戶試圖訪問加密過的數據時，就會收到“訪問拒絕”的提示。這說明非授權用戶無法訪問經過EFS加密后的文件。即使是有權訪問計算機及其文件系統的用戶，也無法讀取這些加密數據。加密后的數據無論怎樣移動都保持加密狀態把未加密的文件復制到經過加密的文件夾中，那么這些文件將會被自動加密。若想將加密文件移出來，如果移動到NTFS分區上，文件依舊保持加密屬性。EFS加密機制和操作系統緊密結合，用戶不必為加密數據安裝額外軟件，可節約使用成本

EFS加密的用戶驗證過程是在登錄Windows時進行的，只要登錄到Windows，就可以打開任何一個被授權的加密文件，而并不像第三方加密軟件那樣在每次存取時都要求輸入密碼。

EFS與NTFS緊密地結合在一起。使用EFS加密功能要保證兩個條件，第一要保證操作系統是Windows2000/XP/2003，第二要保證文件所在的分區格式是NTFS格式（FAT32分區里的數據是無法加密的；如果要使用EFS對其進行加密，就必須將FAT32格式轉換為NTFS）。通過EFS加密敏感性文件，會增加更多層級的安全性防護對于重要文件，最佳的做法是綜合使用NTFS權限和EFS加密兩項安全措施。這樣，如果非法用戶沒有合適的權限，將不能訪問受保護的文件和文件夾，因此也就不能刪除文件了；而有些用戶即使擁有權限，沒有密鑰同樣還是打不開加密數據。3.2.2EFS加密和解密應用實踐1．EFS加密和解密操作p1632．EFS的其它操作

p1703．3Kerberos系統

Kerberos是一種提供網絡認證服務的系統，其設計目標是通過密鑰系統為Client/Server應用程序提供強大的認證服務。該認證過程的實現不依賴于主機操作系統的認證，無需基于主機地址的信任，不要求網絡上所有主機的物理安全，并假定網絡上傳送的數據包可以被任意地讀取、修改和插入數據。3.3.1Kerberos概述

Keberos是為TCP/IP網絡系統設計的一種基于對稱密鑰密碼體制的第三方認證協議。Kerberos認證協議定義了客戶端和密鑰分配中心（Key

Distribution

Center，KDC）的認證服務之間的安全交互過程。KDC由認證服務器AS和票證授權服務器TGS兩部分組成。Kerberos協議根據KDC的第三方服務中心來驗證網絡中計算機的身份，并建立密鑰以保證計算機間安全連接。Kerberos允許一臺計算機通過交換加密消息在整個非安全網絡上與另一臺計算機互相證明身份。一旦身份得到驗證，Kerberos協議將會給這兩臺計算機提供密鑰，以進行安全通信對話。Kerberos協議可以認證試圖登錄上網用戶的身份，并通過使用密鑰密碼為用戶間的通信加密。Kerberos以票證（ticket）系統為基礎，票證是KDC發出的一些加密數據包，它可標識用戶的身份及其網絡訪問權限。每個KDC負責一個領域（realm）的票證發放。KDC類似于發卡機構，“票證”類似通行“護照”，它帶有安全信息。在Windows2003中，每個域也是一個Kerberos領域，每個ActiveDirectory域控制器（DC）就是一個KDC。執行基于Kerberos的事務時，用戶將透明地向KDC發送票證請求。KDC將訪問數據庫以驗證用戶的身份，然后返回授予用戶訪問其他計算機的權限的票證。Windows系統中采用多種措施提供對Kerberos協議的支持，在系統的每個域控制器中都應用了KDC認證服務。Windows系統中應用了Kerberos協議的擴展，除共享密鑰外，還支持基于公開密鑰密碼的身份認證機制。Kerberos公鑰認證的擴展允許客戶端在請求一個初始TGT（TGT稱為票據授權票證，是一個KDC發給驗證用戶的資格證）時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權威的第三方發放，也可以由Windows系統中的微軟證書服務器產生。初始認證以后，就可以使用標準的Kerberos來獲取會話票證，并連接到相應的網絡服務。認證過程具體如下：客戶機向認證服務器（AS）發送請求，要求得到某服務器的證書，然后AS的響應包含這些用客戶端密鑰加密的證書。證書的構成為：1)服務器“ticket”；2)一個臨時加密密鑰（又稱為會話密鑰“sessionkey”）。客戶機將ticket（包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝）傳送到服務器上。會話密鑰可以（現已經由客戶機和服務器共享）用來認證客戶機或認證服務器，也可用來為通信雙方以后的通訊提供加密服務，或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。上述認證交換過程需要只讀方式訪問Kerberos數據庫。但有時，數據庫中的記錄必須進行修改，如添加新的規則或改變規則密鑰時。修改過程通過客戶機和第三方Kerberos服務器（Kerberos管理器KADM）間的協議完成。有關管理協議在此不作介紹。另外也有一種協議用于維護多份Kerberos數據庫的拷貝，這可以認為是執行過程中的細節問題，并且會不斷改變以適應各種不同數據庫技術。3．4IPSec系統3.4.1IPSec概述IP安全協議（IPSecurity，IPSec）是網絡安全協議的一個工業標準，也是目前TCP/IP網絡的安全化協議標準。IPSec最主要的功能是為IP通信提供加密和認證，為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，有效抵御網絡攻擊，同時保持其易用性。IPSec的目標是為IP提供互操作高質量的基于密碼學的一整套安全服務，其中包括訪問控制、無連接完整性、數據源驗證、抗重放攻擊、機密性和有限的流量保密。這些服務都在IP層提供，可以為IP和其上層協議提供保護。IPSec不是一個單獨的協議，它由一系列協議組成，包括網絡認證協議AH（也稱認證報頭）、封裝安全載荷協議ESP、密鑰管理協議IKE和用于網絡認證及加密的一些算法等。其中AH協議定義了認證的應用方法，提供數據源認證和完整性保證；ESP協議定義了加密和可選認證的應用方法，提供可靠性保證。在實際進行IP通信時，可以根據實際安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務，不過，AH提供的認證服務要強于ESP。IPSec規定了如何在對等層之間選擇安全協議、確定安全算法和密鑰交換，向上層提供訪問控制、數據源認證、數據加密等網絡安全服務。IPSec可應用于虛擬專用網絡(VPN)、應用級安全以及路由安全三個不同的領域，但目前主要用于VPN。IPSec既可以作為一個完整的VPN方案，也可以與其他協議配合使用，如PPTP、L2TP。它工作在IP層（網絡層），為IP層提供安全性，并可為上一層應用提供一個安全的網絡連接，提供基于一種端--端的安全模式。IPSec兩種工作模式:一種是隧道模式，在隧道模式中，整個IP數據包被加密或認證，成為一個新的更大的IP包的數據部分，該IP包有新的IP報頭，還增加了IPSec報頭。隧道模式主要用在網關和代理上，IPSec服務由中間系統實現，端節點并不知道使用了IPSec。一種是傳輸模式。在傳輸模式中，只對IP數據包的有效負載進行加密或認證，此時繼續使用原始IP頭部。在傳輸模式中，兩個端節點必須都實現IPSec，而中間系統不對數據包進行任何IPSec處理。3.4.2IPsec中加密與完整性驗證機制IPSec可對數據進行加密和完整性驗證。其中，AH協議只能用于對數據包包頭進行完整性驗證，而ESP協議可用于對數據的加密和完整性驗證。IPSec的認證機制使IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭篡改。IPSec的加密機制通過對數據進行編碼來保證數據的機密性，以防數據在傳輸過程中被竊聽。為了進行加密和認證，IPSec還需要有密鑰的管理和交換功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。以上三方面的工作分別由AH、ESP和IKE三個協議規定。

1．安全關聯SAIPSec中一個重要概念就是SA，所謂安全關聯是指安全服務與它服務的載體之間的一個“連接”，即就是能為雙方之間的數據傳輸提供某種IPSec安全保障的一個簡單連接。SA可以看成是兩個IPSec對等端之間的一條安全隧道。SA是策略和密鑰的結合，它定義用來保護端--端通信的常規安全服務、機制和密鑰。SA可由AH或ESP提供，當給定了一個SA，就確定了IPSec要執行的處理。2．認證協議AH為整個數據包提供身