第九章系銳安筌魅||

第九章余統安全性

9.1引言

9.2數據加密技術

9.3認證技術

9.4訪問控制技術

9.5防火墻技術

||「工第九章系疫妥合嘏

9.1引言

9.1.1系統安全性的內容和性質

1.系統安全性的內容

系統安全性包括三個方面的內容，即物理安全、邏輯

安全和安全管理。物理安全是指系統設備及相關設施受到

物理保護，使之免遭破壞或丟失；安全管理包括各種安全

管理的政策和機制；而邏輯安全則是指系統中信息資源的

安全，它又包括以下三個方面：

(1)保密性(Secrecy)。

(2)完整性(Integrity)。

第九章系疙安公槌J

2.系統安全的性質

系統安全問題涉及面較廣，它不僅與系統中所用的

硬、軟件設備的安全性能有關，而且與構造系統時所采

用的方法有關，從而導致了系統安全問題的性質更為復

雜，主要表現為如下幾點：

(1)多面性。

(2)動態性。

(3)層次性。

(4)適度性。

第九章系統要小植■

9.1.2對系統安全威脅的類型

(1)假冒(Masquerading)。

(2)數據截取(DataInterception)o

(3)拒絕服務(DenialofServer)o

(4)修改(Modification):

(5)偽造(Fabrication)。

(6)否認(Repudiation)。

(7)中斷(Interruption)。

(8)通信量分析(TrafficAnalysis)o

眶》第九章系疙安全槌服

9.1.3對各類資源的威脅

1.對硬件的威脅

(1)電源掉電。

(2)設備故障和丟失。

在Novell公司的Netware網絡OS中，提供了三級容錯

技術，此即SFT?I、SFTJI和SFT-III；在WindowsNT網

絡OS中所采用的是磁盤陣列技術。止匕外，還必須加強對

計算機系統的管理和日常維護，以保證硬件的正常運行

和杜絕設備被竊事件的發生。

第九章系疙安小嘏

2.對軟件的威脅

(1)刪除軟件。

(2)拷貝軟件。

(3)惡意修改。

第九章系疙安小嘏

3.對數據的威脅

(1)竊取機密信息。

⑵破壞數據的可用性。

(3)破壞數據的完整性。

第九章系徒安全促M

4.對遠程通信的威脅

(1)被動攻擊方式。

對于有線信道，攻擊者可以用在通信線路上進行搭接的

方法，去截獲在線路上傳輸的信息，以了解其中的內容或數

據的性質。這種攻擊方式，一般不會干擾信息在通信線中

的正常傳輸，因而也不易被檢測出來。通常把這種攻擊方式

稱為被動攻擊。對付被動攻擊的最有效方法，是對所傳輸的

數據進行加密，這樣，攻擊者只能獲得被加密過的密文，但

卻無法了解密文的含義；對于無線信道，如微波信道、衛

星信道，防范攻擊的有效方法也同樣是對數據進行加密處理。

匚?第九章系疫要企桃

(2)主動攻擊方式。

主動攻擊方式通常具有更大的破壞性。這里，攻

擊者不僅要截獲系統中的數據，而且還可能冒充合法

用戶，對網絡中的數據進行刪除、修改，或者制造虛

假數據。主動攻擊，主要是攻擊者通過對網絡中各類

結點中的軟件和數據加以修改來實現的，這些結點可

以是主機、路由器或各種交換器。

第九章系銳安筌觸

9.1.4信息技術安全評價公共準則

1.CC的由來

對一個安全產品(系統)進行評估，是件十分復雜的

事。它對公正性和一致性要求很嚴。因此，需要有一個

能被廣泛接受的評估標準。為此，美國國防部在80年代

中期制訂了一組計算機系統安全需求標準，共包括20多

個文件，每個文件都使用了彼此不同顏色的封面，統稱

為“彩虹系列”。其中最核心的是具有橙色封皮的“可

信任計算機系統評價標準(TCSEC)”，簡稱為“橙皮書”。

第九支盍莖叁色空」

一2L^S底前麗簟機I系統的安全程度劃分為8個等級，有

D［、C］、C2>BpB2>B3>A］和A2。在橙皮書中，對每個

評價級別的資源訪問控制功能和訪問的不可抵賴性、信任度

及產品制造商應提供的文檔，作了一系列的規定，其中以D1

級為安全度最低級，稱為安全保護欠缺級。常見的無密碼

保護的個人計算機系統便屬于D］級。C］級稱為自由安全保護

級，通常具有密碼保護的多用戶工作站便屬于Ci級。C2級

稱為受控存取控制級，當前廣泛使用的軟件，如UNIX操作

系統、ORACLE數據庫系統等，都能達到C2級。從B級開始,

要求具有強制存取控制和形式化模型技術的應用。B3>A1級

進一步要求對系統中的內核進行形式化的最高級描述和驗證。

一個網絡所能達到的最高安全等級，不超過網絡上其安全性

臺匕/必7二刀Z芻￡右岸，/7二/^盒/遼乙-■■■?-一_-—

第九章系疙安小嘏

?二—?n.y-BWW

2.CC的組成

CC由兩部分組成，一部分是信息技術產品的安全功

能需求定義，這是面向用戶的，用戶可以按照安全功能

需求來定義“產品的保護框架”（PP）,CC要求對PP進行

評價以檢查它是否能滿足對安全的要求；CC的另一部分

是安全保證需求定義，這是面向廠商的，廠商應根據PP文

件制定產品的“安全目標文件”（ST）,CC同樣要求對ST

進行評價，然后根據產品規格和ST去開發產品。

'、:》第九章系疙安小嘏||

部分，包括一系列的安全功能定義，

它們是按層次式結構組織起來的，其最高層為類(Class)。

CC將整個產品(系統)的安全問題分為H類，每一類側重于

一個安全主題。中間層為幀(Family),在一類中的若干個

簇都基于相同的安全目標，但每個簇各側重于不同的方

面。最低層為組件(Component),這是最小可選擇的安全

功能需求。安全保證需求部分，同樣是按層次式結構組

織起來的。

須指出的是，保障計算機和系統的安全性，將涉及到

許多方面，其中有工程問題、經濟問題、技術問題、管

理問題、甚至涉及到國家的立法問題。但在此，我們僅

限于介紹用來保障計算機和系統安全的基本技術，包括認

證技術、訪問控制技術？密碼技術、數字簽名技術、防

火墻技術套＞=?1^=軍士J二h：

陽。；第九章系徒安全植

■■二一?^■—^^2?一一-~W"TL--1"----BnW

9.2數據加密技術

9.2.1數據加密的基本概念

1.數據加密技術的發展

直至進入20世紀60年代，由于電子技術和計算機技術

的迅速發展，以及結構代數、可計算性理論學科研究成果

的出現，才使密碼學的研究走出困境而進入了一個新的發

展時期；特別是美國的數據加密標準DES和公開密鑰密碼

體制的推出，又為密碼學的廣泛應用奠定了堅實的基礎。

第九章系銳安筌觸

2.數據加密模型

加密鑰匙Ke解密鑰匙Kd

圖9-1數據加密模型

，：第九幸系統安企植11

(1)明文(plaintext)。被加密的文本，稱為明文P。

(2)密文(ciphertext)。加密后的文本，稱為密文Y。

(3)加密(解密)算法E(D)。用于實現從明文(密文)

到密文(明文)轉換的公式、規則或程序。

(4)密鑰K。密鑰是加密和解密算法中的關鍵參數。

第九章系疙安小嘏

?二—?n.y-BWW

加密過程可描述為：在發送端利用加密算法E和加密

密鑰Ke對明文P進行加密，得到密文丫=￡心化)。密文Y被傳

送到接收端后應進行解密。解密過程可描述為：接收端利

用解密算法D和解密密鑰Kd對密文Y進行解密，將密文恢

復為明文P=DKd(Y)。

在密碼學中，把設計密碼的技術稱為密碼編碼，把破

譯密碼的技術稱為密碼分析。密碼編碼和密碼分析合起來

稱為密碼學。在加密系統中，算法是相對穩定的。為了加

密數據的安全性，應經常改變密鑰，例如，在每加密一

個新信息時改變密鑰，或每天、甚至每個小時改變一次密

鑰。.

3.加密算法的類型

1)按其對稱性分類

(1)對稱加密算法。在這種方式中，在加密算法和解密

算法之間，存在著一定的相依關系，即加密和解密算法往往

使用相同的密鑰；或者在知道了加密密鑰Ke后，就很容易

推導出解密密鑰Kd。在該算法中的安全性在于雙方能否妥

善地保護密鑰。因而把這種算法稱為保密密鑰算法。

(2)非對稱加密算法。這種方式的加密密鑰Ke和解密密

鑰Kd不同，而且難以從Ke推導出Kd來?？梢詫⑵渲械囊粋€

密鑰公開而成為公開密鑰，因而把該算法稱為公開密鑰算法。

第九章系疙安小嘏

?二—?n.y-BWW

2)按所變換明文的單位分類

(1)序列加密算法。該算法是把明文P看作是連續的比

特流或字符流Pi、P2>P3…，在一個密鑰序列K=K1、K2>

K3…的控制下，逐個比特(或字符)地把明文轉換成密文?？?/p>

表達成：

EK(P)=EK1(P1)EK2(P2)EK3(P3)...

這種算法可用于對明文進行實時加密O

(2)分組加密算法。該算法是將明文P劃分成多個固定

長度的比特分組，然后，在加密密鑰的控制下，每次變換

一個明文分組。最著名的DES算法便是以64位為一個分組

,為第九章系瘍安小嘏

4.基本加密方法

1）易位法

易位法是按照一定的規則，重新安排明文中的比特或

字符的順序來形成密文，而字符本身保持不變。按易位單

位的不同又可分成比特易位和字符易位兩種易位方式。前

者的實現方法簡單易行，并可用硬件實現，主要用于數字

通信中；而后者即字符易位法則是利用密鑰對明文進行易

位后形成密文，具體方法是：假定有一密鑰MEGABUCK,

其長度為8,則其明文是以8個字符為一組寫在密文的下面,

如圖9-2所示。

’3第九章系疫要企植

MEGABUCK原文

7452836Pleasetransferone

P1esetrmilliondollarstomy

anseronSwissBankaccountsix

emi1iontwotwo???

do1arst密文

omywissAFLLSKSOSELAWAIA

banaccoTOOSSCTCLNMOMANT

unt1■XtwESILYNTWRNNTSOWD

twabedFAEDOBNO…

留9-2老

13第九章系饒要第九

二一”，~■—"Tr--"■■二~""-

按密鑰中字母在英文字母表中的順序來確定明文排列后

的列號。如密鑰中的A所對應的列號為1,B為2,C為3,

E為4等。然后再按照密鑰所指示的列號，先讀出第一列

中的字符，讀完第1列后，再讀出第2列中的字符，……,

這樣，即完成了將明文pleasetransfer……轉換為密文

AFLLSKSOSELAWAIA的加密過程。

第九章系疙安小嘏

?二—?n.y-BWW

2）置換法

置換法是按照一定的規則，用一個字符去置換（替代）

另一個字符來形成密文。最早由朱葉斯?凱撒Qulius

caeser）提出的算法，非常簡單，它是將字母a、b、c、…、

x、y、z循環右移三位后，形成d、e>f、…、a、b、c

字符序列，再利用移位后的序列中的字母去分別置換未

移位序列中對應位置的字母，即利用d置換a,用e置換b

等。凱撒算法的推廣是移動K位。單純移動K位的置換算

法很容易被破譯，比較好的置換算法是進行映像。例如,

將26個英文字母映像到另外26個特定字母中，見圖9-3

所示。利用置換法可將attack加密，變為QZZQEA。

口》第九章系統安全植

abcdefghijkImnopqrstuvwxyz

QWERTYUIOPASDFGHJKLZXCVBNM

9-326個字母的映像

<4第九章系銳安筌性

9.2.2對稱加密算法與非對稱加密算法

L對稱加密算法

現代加密技術所用的基本手段，仍然是易位法和置換

法，但它與古典方法的重點不同。在古典法中通常采用的

算法較簡單，而密鑰則較長；現代加密技術則采用十分復

雜的算法，將易位法和置換法交替使用多次而形成乘積密

碼。最有代表性的對稱加密算法是數據加密標準DES(Data

EncryptionStandard)。該算法原來是IBM公司于1971?1972

年研制成功的，它旨在保護本公司的機密產品，后被美國

國家標準局選為數據加密標準，并于1977年頒布使用。ISO

現在已將DES作為數據加密標準。隨著VLSI的發展，現在

可利用VLSI芯片來實現DES算法，并用它做成數據加密處

二，；第九章系疫妥小植冊

.~~LTT^.na~~」-*Zr-.

在DES中所使用的密鑰長度為64位，它由兩部分組成,

一部分是實際密鑰，占56位；另一部分是8位奇偶校驗碼。

DES屬于分組加密算法，它將明文按64位一組分成若干個

明文組，每次利用56位密鑰對64位的二進制明文數據進行

加密，產生64位密文數據。DES算法的總框圖如圖9-4（a）

所示。整個加密處理過程可分為四個階段（共19步），見圖9-

4（切所示。

;第九章案院安全嵯

64位明文

Lj—1R[i

56

位

鑰

匙

K

—

還原易位

64位密文

(Q)DES算法總框圖S)迭代過程示意圖

圖9-4DES加密標準

，；第九章系徒安必桃||

第一階段：先將明文分出64位的明文段，然后對64

位明文段做初始易位處理，得到X。，將其左移32位，記

為L。，右移32位，記為凡。

第二階段：對初始易位結果X。進行16次迭代處理(相

應于第2?17步)，每一次使用56位加密密鑰Kj。第2?17步

的迭代過程如圖9-4(b)所示。由圖可以看出，輸出的左

32位L是輸入右32位R「i的拷貝；而輸出的右32位R〃則

是在密鑰Kj的控制下，對輸入右32位R「i做函數f的變換

后的結果，再與輸入左32位L1」進行異或運算而形成的,

即

心二第九”饒安反m

4=&一1

&=f—$小

第三階段：把經過16次迭代處理的結果（64位）的左

32位與右32位互易位置。

第四階段：進行初始易位的逆變換。

第九章系疙安小嘏

2.非對稱加密算法

DES加密算法屬于對稱加密算法。加密和解密所使用的

密鑰是相同的。DES的保密性主要取決于對密鑰的保密程度。

加密者必須用非常安全的方法（如通過個人信使）將密鑰送給接

收者（解密者）。如果通過計算機網絡傳送密鑰，則必須先對密

鑰本身予以加密后再傳送，通常把這種算法稱為對稱保密密

鑰算法。

1976年美國的Diffie和Hallman提出了一個新的非對稱密碼

體制。其最主要的特點是在對數據進行加密和解密時，使用

不同的密鑰。每個用戶都保存著一對密鑰，每個人的公開密

鑰都對外公開。假如某用戶要與另一用戶通信，他可用公開

密鑰對數據進行加密，而收信者則用自己的私用密鑰進行解

木至口，1二自/、1——---

第九章系銳安筌觸

公開密鑰算法的特點如下:

(1)設加密算法為E、加密密鑰為Ke,可利用它們對明

文P進行加密，得到Ej&P)密文。設解密算法為D、解密密

鑰為Kd,可利用它們將密文恢復為明文，即

DKd(EKe(P)>P

(2)要保證從Ke推出Kd是極為困難的，或者說，從

Ke推出Kd實際上是不可能的。

(3)在計算機上很容易產生成對的Ke和Kd。

(4)加密和解密運算可以對調，即利用D注對明文進行

加密形成密文，然后用E”對密文進行解密，即

Eke(Dkd(P))=P

心里第九章系多安合秋M

在曲福祈丁W密密鑰或加密密鑰公開也無妨。因而這

種加密方法稱為公開密鑰法(PublieKey)o在公開密鑰體制中,

最著名的是RSA體制，它已被ISO推薦為公開密鑰數據加密

標準。

由于對稱加密算法和非對稱加密算法各有優缺點，即非

對稱加密算法要比對稱加密算法處理速度慢，但密鑰管理簡

單，因而在當前新推出的許多新的安全協議中，都同時應

用了這兩種加密技術。一種常用的方法是利用公開密鑰技術

傳遞對稱密碼，而用對稱密鑰技術來對實際傳輸的數據進行

加密和解密，例如，由發送者先產生一個隨機數，此即對稱

密鑰，用它來對欲傳送的數據進行加密；然后再由接收者

的公開密鑰對對稱密鑰進行加密。接收者收到數據后，先用

私用密鑰對對殛密鑰進行解電然后再用對稱密呵斤收到

的數據進而黯=匚等二fl一二h]

9.2.3數字簽名和數字證明書

1.數字簽名

在金融和商業等系統中，許多業務都要求在單據上加

以簽名或加蓋印章，證實其真實性，以備日后查驗。在利

用計算機網絡傳送報文時，可將公開密鑰法用于電子(數字)

簽名來代替傳統的簽名。為使數字簽名能代替傳統的簽名,

必須滿足下述三個條件：

(1)接收者能夠核實發送者對報文的簽名。

(2)發送者事后不能抵賴其對報文的簽名。

第九章系瘍安小嘏

1）簡單數字簽名

在這種數字簽名方式中，發送者A可使用私用密鑰Kda對明

文P進行加密，形成口岫化）后傳送給接收者B。B可利用A的公

開密鑰Kea對口岫位）進行解密，得到尸P，如圖9-

5（。）所示。

圖9-5數字簽名示意圖

n

,為第九章系銳安筌性

我們按照對數字簽名的三點基本要求進行分析后可得知:

(1)接收者能利用A的公開密鑰Kea對DKda(P)進行解密，這

便證實了發送者對報文的簽名。

(2)由于只有發送者A才能發送出DKda(P)密文，故不容A

進行抵賴。

(3)由于B沒有A所擁有的私用密鑰，故B無法偽造對報文

的簽名。

由此可見，圖9-5(a)所示的簡單方法可以實現對傳送

的數據進行簽名，但并不能達到保密的目的，因為任何人都

能接收DKda(P)，且可用A的公開密鑰Kea對DKda(P)進行解密。

2)保密數字簽名

為了實現在發送者A和接收者B之間的保密數字簽名，要求

A和B都具有密鑰，再按照圖9-5(6)所示的方法進行加密和解密。

(1)發送者A可用自己的私用密鑰Kda對明文P加密，得到密

文Ada(P)。

(2)A再用B的公開密鑰Keb對DKda(P)進行加密，得到

EKeb(DKda(P))后送B。

(3)B收到后，先用私用密鑰Kdb進行解密，即

DKdb(EKeb(DKda(P))尸DKda(P)°

(4)B再用A的公開密鑰Kea對口.什)進行解密，得到

?Kea(^Kda(P))=P°

2.數字證明書(Certificate)

(1)用戶A在使用數字證明書之前，應先向認證機構CA

申請數字證明書，此時A應提供身份證明和希望使用的公開

密鑰A。

(2)CA在收到用戶A發來的申請報告后，若決定接受其

申請，便發給A一份數字證明書，在證明書中包括公開密

鑰A和CA發證者的簽名等信息，并對所有這些信息利用CA

的私用密鑰進行加密(即CA進行數字簽名)。

(3)用戶A在向用戶B發送報文信息時，由A用私用密鑰

對報文加密(數字簽名)，并連同已加密的數字證明書一起發

o-.—-一一――二二—一—

<力第九章系統要小植■

?■二一~>”--"■■~二—■--—

(4)為了能對所收到的數字證明書進行解密，用戶B須向

CA機構申請獲得CA的公開密鑰B。CA收到用戶B的申請后,

可決定將公開密鑰B發送給用戶B。

(5)用戶B利用CA的公開密鑰B對數字證明書加以解密，

以確認該數字證明書確系原件，并從數字證明書中獲得公開

密鑰A,并且也確認該公開密鑰A確系用戶A的。

(6)用戶B再利用公開密鑰A對用戶A發來的加密報文進

行解密，得到用戶A發來的報文的真實明文。

'、:》第九章系瘍安小嘏

?."TTZrTr--n--.二~T-■~~^IBffM

9.2.4網絡加密技術

1.鏈路力口密(LinkEncryption)

鏈路加密，是對在網絡相鄰結點之間通信線路上傳輸的數

據進行加密。鏈路加密常采用序列加密算法，它能有效地防止

搭線竊聽所造成的威脅。兩個數據加密設備分別置于通信線路

的兩端，它們使用相同的數據加密密鑰。

如果在網絡中只采用了鏈路加密，而未使用端一端加密，那

么，報文從最高層（應用層）到數據鏈路層之間，都是以明文的形

式出現的，只是從數據鏈路層進入物理層時，才對報文進行了

加密，并把加密后的數據通過傳輸線路傳送到對方結點上。為

了防止攻擊者對網絡中的信息流進行分析，在鏈路加密方式中,

不僅對正文做了加密，而且對所有各層的控制信息也進行了加

第九章系疙安全喉

二-T^TT----■二一"》.

接收結點在收到加密報文后，為了能對報文進行轉發，

必須知道報文的目標地址。為此，接收結點上的數據加密設

備應對所接收到的加密報文進行解密，從中找出目標地址并

進行轉發。當該報文從數據鏈路層送入物理層（轉發）時，須

再次對報文進行加密。由上所述得知，在鏈路加密方式中，

在相鄰結點間的物理信道上傳輸的報文是密文，而在所有中

間結點中的報文則是明文，這給攻擊者造成了可乘之機，使

其可從中間結點上對傳輸中的信息進行攻擊。這就要求能對

所有各中間結點進行有效的保護。

"6第九章系瘍安小嘏

?."TTZrTr--n--.二~T-■~~^IBffE

此外，在鏈路加密方式中，通常對每一條鏈路都分別

采用不同的加密密鑰。圖9-6示出了鏈路加密時的情況。在

圖中，結點2的DEE使用密鑰Kd2將密文EKei(P)解密為明文P

后，又用密鑰Ke2將P變換為密文￡心2位)。可見，對于一個

稍具規模的網絡，將需要非常多的加密硬件，這是必要的。

第九章系疙安小嘏

?二—?---n.y-BWW

2.端一端力口密(End-to-EndEncryption)

在單純采用鏈路加密方式時，所傳送的數據在中間

結點將被恢復為明文，因此，鏈路加密方式尚不能保證

通信的安全性；而端-端加密方式是在源主機或前端機

FEP中的高層(從傳輸層到應用層)對所傳輸的數據進行加

密。在整個網絡的傳輸過程中，不論是在物理信道上，

還是在中間結點，報文的正文始終是密文，直至信息到

達目標主機后，才被譯成明文，因而這樣可以保證在中

間結點不會出現明文。

'、第九章系瘍安小嘏

ACCKDC

主機A主機B

圖9-7端一端加密方式

‘為第九章系徒安必桃||

■Q■--T」~「"■「?-1匚?-W-_一BTOI

在端-端加密方式中，只要密鑰沒有泄漏，數據在

傳輸過程中就不怕被竊取，也無須對網絡中間結點的操

作人員提出特殊要求。但在這種加密方式中，不能對報

頭中的控制信息（如目標地址、路由信息等）進行加密，

否則中間結點將無法得知目標地址和有關的控制信息。

顯然，報頭不能加密，也將會直接或間接地受到攻擊，

比如，攻擊者可能根據報頭中的源地址和目標地址，了

解到某些部門的通信情況，甚至還可以發起諸如篡改報

文的目標地址和路由信息之類的主動攻擊。

第九章系瘍安小嘏

上述兩種加密方式各有優缺點。一種比較好的網

絡加密方式是，同時采用鏈路加密和端-端加密，以取

長補短。如利用端一端加密方式來使用戶數據以密文形

式穿越各個中間結點，以保障用戶數據的安全；而利用

鏈路加密方式則可使報頭中的控制信息以密文形式在通

信信道中傳輸，使之不易受到攻擊。

9.3認證技術

9.3.1基于口令的身份認證技術

1.口令

利用口令來確認用戶的身份，是當前最常用的認證技術。

通常，每當用戶要上機時，系統中的登錄程序都首先要求用

戶輸入用戶名，登錄程序利用用戶輸入的名字去查找一張用

戶注冊表或口令文件。在該表中，每個已注冊用戶都有一個

表目，其中記錄有用戶名和口令等。登錄程序從中找到匹配

的用戶名后，再要求用戶輸入口令，如果用戶輸入的口令也

與注冊表中用戶所設置的口令一致，系統便認為該用戶是合

第九章系銳安筌觸

口令是由字母或數字、或字母和數字混合組成的,

它可由系統產生，也可由用戶自己選定。系統所產生

的口令不便于用戶記憶，而用戶自己規定的口令則通

常是很容易記憶的字母、數字，例如生日、住址、電

話號碼，以及某人或寵物的名字等等。這種口令雖便

于記憶，但也很容易被攻擊者猜中。

第九章系疙妥全槌||

2.對口令機制的基本要求

基于用戶標識符和口令的用戶認證技術，其最主要

的優點是簡單易行，因此，在幾乎所有需要對數據加以保

密的系統中，都引入了基于口令的機制。但這種機制也

很容易受到別有用心者的攻擊，攻擊者可能通過多種方式

來獲取用戶標識符和口令，或者猜出用戶所使用的口令。

為了防止攻擊者猜出口令，在這種機制中通常應滿足以下

幾點要求：

'工'第九章系瘍安會但

(1)口令長度要適中。

通常的口令是由一串字母和數字組成。如果口令太

短，則很容易被攻擊者猜中。例如，一個由四位十進制

數所組成的口令，其搜索空間僅為1。4,在利用一個專門

的程序來破解時，平均只需5000次即可猜中口令。假如每

猜一次口令需花費0.1ms的時間，則平均每猜中一個口令

僅需0.5s。而如果采用較長的口令，假如口令由ASCII碼

組成，則可以顯著地增加猜中一個口令的時間。例如，口

令由7位ASCII碼組成，其搜索空間變為957(95是可打印的

ASCII碼)，大約是7X1013,此時要猜中口令平均需要幾十

;第九章系統妥企榴■

(2)自動斷開連接。

為了給攻擊者猜中口令增加難度，在口令機制中還應

引入自動斷開連接的功能，即只允許用戶輸入有限次數的

不正確口令，通常規定3?5次。如果用戶輸入不正確口令

的次數超過規定的次數時，系統便自動斷開該用戶所在終

端的連接。當然，此時用戶還可能重新撥號請求登錄，

但若在重新輸入指定次數的不正確口令后，仍未猜中，系

統會再次斷開連接。這種自動斷開連接的功能，無疑又給

攻擊者增加了猜中口令的難度。

《為第九章系疣安金促

M—^z~i—1一■■■—?

(3)不回送顯示。

在用戶輸入口令時，登錄程序不應將該口令回送到屏

幕上顯示，以防止被就近的人發現。

(4)記錄和報告。

該功能用于記錄所有用戶登錄進入系統和退出系統的

時間；也用來記錄和報告攻擊者非法猜測口令的企圖及所

發生的與安全性有關的其它不軌行為，這樣便能及時發現

有人在對系統的安全性進行攻擊。

3.一次性口令(OnetimePassward)

為了把由于口令泄露所造成的損失減到最小，用戶應當

經常改變口令。例如，一個月改變一次，或者一個星期改變

一次。一種極端的情況是采用一次性口令機制。在利用該機

制時，用戶必須提供記錄有一系列口令的一張表，并將該表

保存在系統中。系統為該表設置一指針用于指示下次用戶登

錄時所應使用的口令。這樣，用戶在每次登錄時，登錄程序

便將用戶輸入的口令與該指針所指示的口令相比較，若相同,

便允許用戶進入系統，并將指針指向表中的下一個口令。在

采用一次性口令的機制時，即使攻擊者獲得了本次用戶上機

時所使用的口令，他也無法進入系統。必須注意，用戶所使

第九章系疙要全槌

4.口令文件

通常在口令機制中，都配置有一份口令文件，用于

保存合法用戶的口令和與口令相聯系的特權。該文件的

安全性至關重要，一旦攻擊者成功地訪問了該文件，攻

擊者便可隨心所欲地訪問他感興趣的所有資源，這對整

個計算機系統的資源和網絡，將無安全性可言。顯然，

如何保證口令文件的安全性，已成為系統安全性的頭等

重要問題。

『為第九章系疙安小嘏

保證口令文件安全性的最有效的方法是，利用加密技術,

其中一個行之有效的方法是選擇一個函數來對口令進行加密,

該函數f(x)具有這樣的特性：在給定了X值后，很容易算出

f(x)；然而，如果給定了f(x)的值，卻不能算出X的值。利用

f(x)函數去編碼(即加密)所有的口令，再將加密后的口令存入

口令文件中。當某用戶輸入一個口令時，系統利用函數f(x)對

該口令進行編碼，然后將編碼(加密)后的口令與存儲在口令

文件中的已編碼的口令進行比較，如果兩者相匹配，便認為

是合法用戶。順便說明一下，即使攻擊者能獲取口令文件中

的已編碼口令，他也無法對它們進行譯碼，因而不會影響到

系統的安全性。

'、第九章系瘍安小嘏

圖9-8對加密口令的驗證方法

3第九章系疙安全促肅

盡管對口令進行加密是一個很好的方法，但它也不

是絕對的安全可靠。其主要威脅來自于兩個方面：

(1)當攻擊者已掌握了口令的解密密鑰時，就可用它

來破譯口令。

(2)利用加密程序來破譯口令，如果運行加密程序的

計算機速度足夠快，則通常只要幾個小時便可破譯口令o

因此，人們還是應該妥善保管好已加密的口令文件,

來防止攻擊者輕意地獲取該文件。

L2；第九章系疙安小嘏

9.3.2基于物理標志的認證技術

1.基于磁卡的認證技術

根據數據記錄原理，可將當前使用的卡分為磁卡和IC卡

兩種。磁卡是基于磁性原理來記錄數據的，目前世界各國使

用的信用卡和銀行現金卡等，都普遍采用磁卡。這是一塊其

大小和名片大小相仿的塑料卡，在其上貼有含若干條磁道的

磁條。一般在磁條上有三條磁道，每條磁道都可用來記錄不

同標準和不同數量的數據。磁道上可有兩種記錄密度，一種

是每英寸含有15比特的低密度磁道；另一種是每英寸含有

210比特的高密度磁道。如果在磁條上記錄了用戶名、賬號

和金額，這就是金融卡或銀行卡；而如果在磁條上記錄的是

第九章系揚安全植I。

在磁卡上所存儲的信息，可利用磁卡讀寫器將之讀出:

只要將磁卡插入或劃過磁卡讀寫器，便可將存儲在磁卡中

的數據讀出，并傳送到相應的計算機中。用戶識別程序便

利用讀出的信息去查找一張用戶信息表（該表中包含有若干

個表目，每個用戶占有一個表目，表目中記錄了有關該用

戶的信息），若找到匹配的表目，便認為該用戶是合法用戶;

否則便認為是非法用戶。為了保證持卡者是該卡的主人，

通常在基于磁卡認證技術的基礎上，又增設了口令機制，

每當進行用戶身份認證時，都要求用戶輸入口令。

第九章系疙安小嘏

?二—?---n.y-BWW

2.基于IC卡的認證技術

IC卡即集成電路卡的英文縮寫。在外觀上IC卡與磁

卡并無明顯差別，但在IC卡中可裝入CPU和存儲器芯片,

使該卡具有一定的智能，故又稱為智能卡或靈巧卡。IC

卡中的CPU用于對內部數據的訪問和與外部數據進行交

換，還可利用較復雜的加密算法，對數據進行處理，這

使IC卡比磁卡具有更強的防偽性和保密性，因而IC卡會

逐步取代磁卡。根據在磁卡中所裝入芯片的不同可把IC

卡分為以下三種類型：

"6第九章系瘍安小嘏

?."TTZrTr--n--.二~T-■~~^IBffE

(1)存儲器卡。在這種卡中只有一個E2PR0M(可電擦、

可編程只讀存儲器)芯片，而沒有微處理器芯片。它的智能

主要依賴于終端，就像IC電話卡的功能是依賴于電話機一樣。

由于此智能卡不具有安全功能，故只能用來存儲少量金額的

現金與信息。常見的智能卡有電話卡、健康卡，其只讀存

儲器的容量一般為4?20KBo

(2)微處理器卡。它除具有E2PROM外，還增加了一個

微處理器。只讀存儲器的容量一般是數千字節至數萬字節；

處理器的字長主要是8位的。在這種智能卡中已具有一定的

加密設施，增強了IC卡的安全性。

；第九章系疫要公保M

.-—Ti^p-yw一EW

(3)密碼卡。在這種卡中又增加了加密運算協處理

器和RAM。之所以把這種卡稱為密碼卡，是由于它能支

持非對稱加密體制RSA；所支持的密鑰長度可長達1024

位，因而極大地增強了IC卡的安全性。一種專門用于確

保安全的智能卡，在卡中存儲了一個很長的用戶專門密

鑰和數字證明書，完全可以作為一個用戶的數字身份證

明。當前在Internet上所開展的電子交易中，已有不少密

碼卡是使用了基于RSA的密碼體制。

『為第九章系疙安小嘏

將IC卡用于身份識別的方法，明顯地優于使用磁卡。這

一方面是因為，磁卡是將數據存儲在磁條上，比較易于用一

般設備將其中的數據讀出、修改和進行破壞；而IC卡則是將

數據保存在存儲器中，使用一般設備難于讀出，這使IC卡具

有更好的安全性。另一方面，在IC卡中含有微處理器和存儲

器，可進行較復雜的加密處理，因此，IC卡具有非常好的防

偽性和保密性；此外，還因為IC卡所具有的存儲容量比磁卡

的大得多，通?？纱蟮?00倍以上，因而可在IC卡中存儲更多

的信息，從而做到“一卡多用”，換言之，一張IC卡，既可

作為數字身份證，又可作為信用卡、電話卡及健康卡等等。

13第九章系饒要第九

二一”，~■—"Tr--"■■二~""-

3.指紋識別技術

(1)指紋。

指紋有著“物證之首”的美譽。盡管目前全球已有近

60億人口，但絕對不可能找到兩個完全相同的指紋。因

而利用指紋來進行身份認證是萬無一失的，而且非常方便。

又因為它不會像其它一些物理標志那樣出現用戶忘記攜帶

或丟失等問題，而且使用起來也特別方便，因此，利用指

紋來進行身份識別是有廣闊前景的一種識別技術，世界上

已有愈來愈多的國家開展了對指紋識別技術的研究。

第九章系疙安小嘏

?二—?n.y-BWW

(2)指紋識別系統。

早在80年代，美國及其它發達國家便開始了對指紋

識別技術的研究，并取得了一定的進展。在所構成的指

紋識別系統中包括：指紋輸入、指紋圖像壓縮、指紋自

動比較等8個子系統。但他們的指紋識別系統是建立在

大型計算機系統的基礎上的，而且由于系統的龐大、價

格的昂貴，始終使該技術難于普及；直至近幾年，隨著

VLSI的迅速發展，才使指紋識別系統小型化，使該技

術進入了廣泛應用的階段。

H,.N第九章系統要企嘏

9.3.3基于公開密鑰的認證技術

1.申請數字證書

由于SSL所提供的安全服務，是基于公開密鑰證明書(數

字證書)的身份認證，因此，凡是要利用SSL的用戶和服務器,

都必須先向認證機構(CA)申請公開密鑰證明書。

(1)服務器申請數字證書。

首先由服務管理器生成一密鑰對和申請書，服務器一方

面將密鑰和申請書的備份保存在安全之處；另一方面則向CA

提交包括密鑰對和簽名證明書申請(即CSR)的加密文件，通

常以電子郵件方式發送。CA接收并檢查該申請的合法性后,

將會把數字證書以電子郵件方式寄給服務器。

佛力第九章祭痛要公植I■

(2)客戶申請數字證書。

首先由瀏覽器生成一密鑰對，私有密鑰被保存在客

戶的私有密鑰數據庫中，將公開密鑰連同客戶提供的其

它信息，一起發往CA。如果該客戶符合CA要求的條件,

CA將會把數字證書以電子郵件方式寄給客戶。

，；第九章系疙安全促肅

2.SSL握手協議

(1)身份認證。

SSL協議要求通信的雙方都利用自己的私用密鑰對

所要交換的數據進行數字簽名，并連同數字證書一起發

送給對方，以便雙方相互檢驗。如上節所述，通過數字

簽名和數字證書的驗證可以認證對方的身份是否真實。

第九章系銳安筌性

?~~~f~TJ.?■■，?■T~~—-1

(2)協商加密算法。

為了增加加密系統的靈活性，SSL協議允許采用多種加

密算法?？蛻艉头掌髟谕ㄐ胖?，應首先協商好所使用的

某一種加密算法。通常先由客戶提供自己能支持的所有加密

算法清單，然后由服務器從中選擇出一種最有效的加密算法,

并通知客戶，此后，雙方便可利用該算法對所傳送的信息進

行加密。

(3)協商加密密鑰。

先由客戶機隨機地產生一組密鑰，再利用服務器的公開

密鑰對這組密鑰進行加密后，送往服務器，由服務器從中選

擇4個密鑰，并通知客戶機，將之用于對所傳輸的信息進行加

,為第九章系瘍安小嘏

3.數據加密和檢查數據的完整性

(1)數據加密。

在客戶機和服務器間傳送的所有信息，都應利用協商后

所確定的加密算法和密鑰進行加密處理，以防止被攻擊。

(2)檢查數據的完整性。

為了保證經過長途傳輸后所收到的數據是可信任的，

SSL協議還利用某種算法對所傳送的數據進行計算，以產生

能保證數據完整性的數據識別碼(MAC),再把MAC和業務數

據一起傳送給對方；而收方則利用MAC來檢查所收到數據的

完整性。

?，為第九章系疣安全世?，

9.4訪問控制技術

9.4.1訪問矩陣(AccessMatrix)

1)訪問權

為了對系統中的對象加以保護，應由系統來控制進程對

對象的訪問。我們把一個進程能對某對象執行操作的權力稱

為訪問權(Accessright)o每個訪問權可以用一個有序對(對象

名，權集)來表示，例如，某進程有對文件F1執行讀和寫操

作的權力，這時，可將該進程的訪問權表示成(F-

第九章系疙安小嘏

?二—?n.y-BWW

2）保護域

為了對系統中的資源進行保護而引入了保護域的概念,

保護域簡稱為“域”。“域”是進程對一組對象訪問權的

集合，進程只能在指定域內執行操作，這樣，“域”也

就規定了進程所能訪問的對象和能執行的操作。在圖9-

9中示出了三個保護域。在域1中有兩個對象，即文件Fi和

F2,只允許進程對F1讀，而允許對F2讀和寫；而對象

Printerl同時出現在域2和域3中，這表示在這兩個域中運

行的進程都能使用打印機。

二。；第九章系統妥合植

域1

圖9—9三個保護域

第九章系統妥小植

■Q■--T」.?~——「,「"■「?-1匚?-W-_一BITOII

3）進程和域間的靜態聯系方式

在進程和域之間，可以一一對應，即一個進程只聯系

著一個域。這意味著，在進程的整個生命期中，其可用資

源是固定的，我們把這種域稱為“靜態域”。在這種情況

下，進程運行的全過程都是受限于同一個域，這將會使

賦予進程的訪問權超過了實際需要。例如，某進程在運

行開始時需要磁帶機輸入數據；而在進程快結束時，又需

要用打印機打印數據。在一個進程只聯系著一個域的情況

下，則需要在該域中同時設置磁帶機和打印機這兩個對象,

這將超過進程運行的實際需要。

第九章系就安全嘏

4）進程和域間的動態聯系方式

在進程和域之間，也可以是一對多的關系，即一個進程

可以聯系著多個域。在此情況下，可將進程的運行分為若干

個階段，其每個階段聯系著一個域，這樣便可根據運行的實

際需要，來規定在進程運行的每個階段中所能訪問的對象。

用上述的同一個例子，我們可以把進程的運行分成三個階段:

進程在開始運行的階段聯系著域D1,其中包括用磁帶機輸入;

在運行快結束的第三階段聯系著域D3,其中是用打印機輸出;

中間運行階段聯系著域D2,其中既不含磁帶機，也不含打印

機。我們把這種一對多的聯系方式稱為動態聯系方式，在采

用這種方式的系統中，應增設保護域切換功能，以使進程能

在不二國的運益除除=從一

了為第九章系疙安小嘏

—?-TOl?r~1―--一，?丁-W~~—-BWM

2.訪問矩陣

我們可以利用一個矩陣來描述系統的訪問控制，并把該矩

陣稱為訪問矩陣(AccessMatrix)o訪問矩陣中的行代表域，列

代表對象，矩陣中的每一項是由一組訪問權組成的。因為對象

已由列顯式地定義，故可以只寫出訪問權而不必寫出是對哪個

對象的訪問權，每一項訪問權access(ij)定義了在域Dj中執行的

進程能對對象烏所施加的操作集。

訪問矩陣中的訪問權，通常是由資源的擁有者或者管理者

所決定的。當用戶創建一個新文件時，創建者便是擁有者，系

統在訪問矩陣中為新文件增加一列，由用戶決定在該列的某個

項中應具有哪些訪問權，而在另一項中又具有哪些訪問權。當

用戶刪除此文件時，系統也要相應地在訪問矩陣中將該文件對

第九章系統妥小植

圖9-9的訪問矩陣如圖9-10所示。它是由三個域和

8個對象所組成的。當進程在域Di中運行時，它能讀文件

Fi、讀和寫文件F2。進程在域D2中運行時，它能讀文件F3、

F4和F5,以及寫文件F4、F5和執行文件F,，此外還可以使

用打印機1。只有當進程在域D3中運行時，才可使用繪圖

儀2。

第九章余院要公植■

、\^寸象

瑪.為；FsF4F打印機1繪圖儀2

域s

D】RR,W

D2RR,W,ER,WW

D3R,W,EwW

注：R一讀，W一寫，E一執行

圖9-10一個訪問矩陣

,為第九章系瘍安小嘏

3.具有域切換權的訪問矩陣

為了實現在進程和域之間的動態聯系，應能夠將進程從

一個保護域切換到另一個保護域。為了能對進程進行控制，

同樣應將切換作為一種權力，僅當進程有切換權時，才能進

行這種切換。為此，在訪問矩陣中又增加了幾個對象，分別

把它們作為訪問矩陣中的幾個域；當且僅當switcheaccess(ij)

時，才允許進程從域i切換到域j。例如，在圖9[CD*2]H中,

由于域Di和D2所對應的項目中，有一個S即Switch,故而允許

在域D]中的進程切換到域D2中。類似地，在域D2和對象D3所

對應的項中，也有Switch,這表示在D2域中運行的進程，可

以更瞥II強4%但不允i咨gg更冬域23到域里鼻

第九章系瘍安小嘏

象打印打印

域D1域4域4

FiF2F3F5

域X.機1機2

域D1RR,WS

域D?RR,W,ER,WWS

域D3R,W,EwW

注：R一讀，W一寫，E—執行，S一切換

圖9-H具有切換權的訪問控制矩陣

肥力第九章系就安全促I。

M^KiO-二一"--f—，-^2：.-T~~w~—^D~^ir--L—ffffl

9.4.2訪問矩陣的修改

1.拷貝權(CopyRight)

\^象\^象

域、^FiFFFI理瑪

23域

DlEw*D】EW*

D2ER*ED2ER*E

D3ED3ERW

(a)⑹

圖9—12具有拷貝權的訪問控制矩陣

在圖9-12中，凡是在訪問權(access(ij))上加星號(*)者,

都表示在i域中運行的進程能將其對對象j的訪問權，復制成

在任何域中對同一對象的訪問權。例如，圖中在域口2中對文

件F2的讀訪問權上加有*號時，表示運行在D2域中的進程可

以將他對文件F2的讀訪問權擴展到域D3中去。又如，在域DI

中對文件F3的寫訪問權上加有*號時，可以使運行在域D1中

的進程，可以將他對文件F3的寫訪問權擴展到域D3中去，使

在域D3中運行的進程，也具有對文件F3的寫訪問權。

應注意的是，把帶有*號的拷貝權如R*,由access(ij)拷

貝成access(kj)后，其所建立的訪問權只是R而不是R*,這使

在域DK上運行的進程，不能再將其拷貝權進行擴散，從而限

1g;第九幸系徒要企健，

■BK^B-CW--Tjn二一.-?—~h—~i「■??■w~一—BffU

2.所有權(OwnerRight)

人們不僅要求能將已有的訪問權進行有控制的擴散，而

且同樣需要能增加某種訪問權，或者能刪除某種訪問權。此

時，可利用所有權(0)來實現這些操作。如果在access(ij)中

包含所有訪問權，則在域Dj上運行的進程，可以增加或刪除

其在j列上任何項中的訪問權。換言之，進程可以增加或刪除

在任何其它域中運行的進程對對象j的訪問權。例如，在圖9-

13(a)中，在域D1中運行的進程(用戶)是文件F1的所有者，他

能增加或刪除在其它域中運行進程對文件F1的訪問權；類似

地，在域D2中運行的進程(用戶)是文件F2和文件F3的擁有者，

該進程可以增加或刪除在其它域中運行的進程對這兩個文件

的訪問權。在圖9-13(b)中示出了在域D］中運行的進程刪除

了在域D3中運行的進程對文件F1的執行權；在域D2中運行的

■

第九章系瘍安小嘏

、^象

象

FiF，F3-jF[}FF

域2域23

D10,EWD】0,E

D2R*,0R*,0,WD20,R*,W*R",0,W

D3ED3WW

(?)⑹

圖9-13帶所有權的訪問矩陣

3.控制權(ControlRight)

拷貝權和所有權都是用于改變矩陣內同一列中的各項

訪問權的，或者說，是用于改變在不同域中運行的進程對

同一對象的訪問權?？刂茩鄤t可用于改變矩陣內同一行中

(域中)的各項訪問權，亦即，用于改變在某個域中運行進

程對不同對象的訪問權。如果在access(i,j)中包含了控制權,

則在域Dj中運行的進程可以刪除在域Dj中運行進程對各對

象的任何訪問權。例如在圖9-14中，在access(D2,D3)中包

括了控制權，則一個在域D2中運行的進程能夠改變對域D3

內各項的訪問權。比較圖9-11和圖9-14可以看出，在D3

中已無對文件F6和Ploter2叫號訪問也

_—---一???,一____一―--_

cz.

__-^--——L

第九章系瘍安小嘏

象打印繪圖

FiFF必：FF域D]域D2域

域2356機1儀2

DIRR,W

D2RR,W,ER,WWControl

D3R,EW

圖9-14具有控制權的訪問矩陣

口）第九章系疣安全楹

9.4.3訪問控制矩陣的實現

1.訪問控制表（AccessControlList）

這是指對訪問矩陣按列（對象）劃分，為每一列建立一張

訪問控制表ACL。在該表中，已把矩陣中屬于該列的所有空

項刪除，此時的訪問控制表是由一有序對（域，權集）所組成。

由于在大多數情況下，矩陣中的空項遠多于非空項，因而使

用訪問控制表可以顯著地減少所占用的存儲空間，并能提高

查找速度。在不少系統中，當對象是文件時，便把訪問控制

表存放在該文件的文件控制表中，或放在文件的索引結點中,

作為該文件的存取控制信息。

第九章系瘍安小嘏

域是一個抽象的概念，可用各種方式實現。最常見

的一種情況是每一個用戶是一個域，而對象則是文件。此

時，用戶能夠訪問的文件集和訪問權限，取決于用戶的身

份。通常，在一個用戶退出而另一個用戶進入時，即用

戶發生改變時，要進行域的切換；另一種情況是，每個

進程是一個域，此時，能夠訪問的對象集中的各訪問權，

取決于進程的身份。

訪問控制表也可用于定義缺省的訪問權集，即在該

表中列出了各個域對某對象的缺省訪問權集。在系統中配

置了這種表后，當某用戶（進程）要訪問某資源時，通常是

首先由系統到缺省的訪問控制表中，去查找該用戶（進程）

是否具有對指定資源進行訪問的權力。如果找不到，再到

卜力第九章系疙安小嘏||

—■~T0■—■[―--一二?一-W~~_一-

2.訪問權限（Capabilities）表

如果把訪問矩陣按行（即域）劃分，便可由每一行構成一張

訪問權限表。換言之，這是由一個域對每一個對象可以執行的

一組操作所構成的表。表中的每一項即為該域對某對象的訪問

權限。當域為用戶（進程）、對象為文件時，訪問權限表便可用

來描述一個用戶（進程）對每一個文件所能執行的一組操作。

圖9-15示出了對應于圖9-H中域D2的訪問權限表。在

表中共有三個字段。其中類型字段用于說明對象的類型；權

力字段是指域D2對該對象所擁有的訪問權限；對象字段是一個

指向相應對象的指針，對UNIX系統來說，它就是索引結點的

編號。由該表可以看出，域D2可以訪問的對象有4個，即文件3、

4、5和打印機，對文件3的訪問權限是只讀；對文件4的訪問

第九章系統要小植