（系统工程专业论文）网络应用系统的信息安全模型研究和应用.pdf

硕士论文网络应用系统的信息安全模型研究和应田 摘要 本文结合理论探讨和实际应用两个方面对网络环境下应用系统信息安全进行了 研究。首先，从信息安全面临的威胁和攻击分析入手，针对一般网络应用系统的特征， 对支持i s o 提出的安全服务下不同安全技术和安全机制，尤其是对经过实践检验、应 用广泛的安全技术和安全机制( 数据加密、身份认证和访问控制) 进行了详细的分析， 并提出了一些改进措施。然后，在吸收这些安全技术和安全机制优点的基础上，有机 地组织这些安全技术和安全机制，并充分考虑系统安全性需求与可用性、成本等特性 之间的平衡，提出了一个以信息资源传输和存储安全保护，身份认证安全管理和资源 访问的安全控制为基本要素的网络应用系统信息安全模型，为加强网络应用系统安全 性提供了一个比较简单可行的方案。最后，基于j 2 e e 平台设计了一个网络银行公共 服务系统实现了模型各个具体部分，并对系统进行了安全性测试，从而验证了模型的 可靠性和实用性。 关键词一信息安全，安全服务，安全机制，身份认证，访问控制，数据加密 硕士论文网络应用系统的售息安全模型研究和应用 a b s t r a c t i nt h i sp a p e r , t h ea u t h o rd i s c u s s e si n f o r m a t i o ns e c u r i t yi nt h e o r ya n ds t u d i e si t sa p p l i c a t i o n o i li n m n e t f l r s t l y , t h ea u t h o rm a k e sa na n a l y s i so ft h ea t t a c k so nt h ei n t e m e t , w i t h i nt h e f r a m e w o r ko fi n f o r m a t i o ns e c u r i t ys e r v i c e si s op r ；0 “d e s 。t h ea u t h o rr e s e a r c h e s0 1 1t h e i n f o r m a t i o ns e c u r i t yt e c h n o l o g i e sa n dm e c h a n i s m s ，e s p e c i a l l yt h ew i d e l yu s e do n e , sl i k e c r y p t o g r a p h ， a u t h e n t i c a t i o na n da u t h o r i z a t i o n ，a n d i m p r o v e s t h e mt os o f t i e d e g r e e t h e n ，w h e nw e i g h r i n gt h et e c h n o l o g y sa n dm e c h a n i s m sm e r i t sa n dd e m e r i t s 。p l u s c o s t , a v a i l a b i l i t y , c o m p l e x i t y , t h ea u t h o rp r e s e n t sap r o p o s a lo ff i l l i n t e m e ta p p l i c a t i o n s y s t e m i n f o r m a t i o n s e c u r i t ym o d e l ，c o n s i s t i n g o ft h r e eb a s i c a s p e c t s ：s a f e a u t h e n t i c a t i o n , s a f ea u t h o r i z a t i o na n dt h es e c u r i t yc o n c e r n i n gt h es t o r a g ea n dt r a n s i t i o no f v a l u a b l ei n f o r m a t i o n t h em o d e la i m sa ts t r e n g t h e ：i l i n gt h es e c u r i t yo fm e d i u m - s i z e d e n t e r p r i s ea p p i i c a 矗0 ns y s t e mo nt h ei n t e m e t j m a n y , t h ea u t h o rd e s i g n saw e ba p p l i c a t i o n s y s t e mb a s e do nt h ej 2 e ep l a t f o r ma n dd o e s8 0 m es y s t e ms e c u r i t yt e s t i n g ，w h i c ht e s t i f yt h e a v a i l a b i l i t ya n ds e c u r i t yo ft h em o d e l k e y w o r d s ：i n f o r m a t i o ns e c u r i 哆, s e c u r i t ys e r v i c e s ，s e c u r i t ym e c h a n i s m , a u t h e n t i c a t i o n , a u t h o r i z a t i o n ，d a t ae n c r y p t n 硬士论文 同络应甩系统的信息安全模型研究和应用 1 绪论 1 1 前言 在现代信息社会中，信息是人类最宝贵的资源，信息是社会发展的重要战略资源， 信息是维持社会活动和经济活动的重要资源，它贯穿于当今人类的一切活动当中，成 为政治、经济、社会、文化等一切领域的基础。信息就是时间，信息就是财富，信息 就是生命。随着信息技术发展的日新月异，信息在人类社会活动、经济活动中起着越 来越重要的作用，掌握和控制信息这一重要资源，就能取得信息社会的主动权。 随着网络信息化的发展，计算机和网络系统的开放性带来的信息的安全问题拓展 到前所未有的程度， n t e r n e t 恰似一把锋利的双刃剑，它在为科学研究、经济建设、 商业活动和日常生活提供高效、经济、方便平台的同时，也为信息攻击和信息犯罪提 供了土壤，日益增多的信息攻击和信息犯罪正以惊人的速度在全世界蔓延，给各国信 息系统带来巨大的经济损失和安全威胁。据权威资料显示，全球信息安全问题正以每 年3 0 的速度增加，平均2 0 秒钟就有一起黑客事件发生。目前全球约有8 0 的网站均不 同程度地存在着安全隐患，互联网的防火墙超过三分之一被攻破。信息安全问题已经 变得空前重要，各国政府和研究机构对信息安全的重视程度显然也达到了空前的高 度。以信息产业发展最先进的美国为例，2 0 0 5 年政府预算用于信息安全的投资就超过 y 7 0 亿美元。在美国联邦调查局所发布的一份题为关于网络空间安全的国家战略 的报告中，第一次明确地将网络信息安全提升到了关系国家安全的战略高度，第一次 将网络信息安全融合迸了关于国家安全的总体思路之中。 1 2 论文研究背景 1 2 1 信息安全的理论和发展 那么到底什么是信息安全呢? 随着信息技术的迅速发展，信息安全的概念和实践 在不断深化和延拓。信息安全逐渐从二战后军方和政府专享的通讯保密，发展到2 0 世纪7 0 年代的数据保护、9 0 年代的信息安全直至当今的信息保障。信息安全的概念 已经不局限于信息的使用者，而是更加关注信息的保密、完整、可用、可控和不可否 认的信息安全。随着i n t e r n e t 的快速发展，信息安全与网络系统安全并重，人们需 要的是对整个网络应用系统的保护和防御，需要保证系统能够安全、可靠、不间断地 运行，以提供必要的服务今天，信息安全概念已经进一步发展到了信息保障和信息 保障体系。信息保障体系是一个社会系统工程，它不仅涉及到信息技术体系本身还包 括信息安全的法律法规体系和组织管理体系【矧。 概括来说，信息安全的要旨应当是向合法的服务对象提供准确、及时、可靠的信 息服务；而对其它任何人员和组织包括内部、外部乃至于敌对方，都要保持最大限度 l 硕士论文 的信息的不透明性、不可获取性、不可接触性、不可于扰性、不可破坏性，不论信息 所处的状态是静态的还是动态的。这里动态安全性是指对数据信息进行存取操作过程 中的控制措施；而静态安全性是指对信息的传输、存储过程中的加密措施。 在网络环境下，信息安全主要是指保护网络应用系统，使其没有危险、不受威胁、 不出事故。从技术的角度来看，信息安全的核心就是通过计算机、网络、密码技术和 其它安全技术，保护信息在网络应用系统中传输、交换和存储的保密性、完整性、可 用性、可靠性和不可抵赖性。 1 2 2 构建信息安全模型的必要性 由于网络的开放性带来的许多安全隐患已经威胁到信息服务的安全使用，如何更 有效地保护系统信息资源，使之不被窃取、篡改或破坏，从而提高网络应用系统的安 全性以已经成为所有计算机网络应用必须考虑和解决的一个重要课题。 网络应用系统信息安全的威胁和攻击主要分为保密性攻击，完整性攻击和可用性 攻击三类：具体形式包括网络嗅探攻击，用户帐号和口令攻击，非授权注册和访问攻 击，篡改或破坏信息攻击，拒绝服务攻击，假冒伪装攻击等等。 面对网络应用系统信息安全的威胁和攻击应对策略通常通过使用各种安全服务 来体现。国际标准化组织i s o 在网络安全体系设计标准( i s 0 7 4 9 8 2 ) 中，提出了层次型 的安全体系结构，并定义了安全服务功能，包括：身份认证服务，访问控制服务，数 据保密性服务，数据完整性服务，可用性服务，不可否认服务1 4 1 。 在实践过程中，信息安全所面临的攻击通常是相互关联的，因此这些服务中的任 何一种都不能完全同其他服务相分离或独立，每种服务是相互交互并互相依赖。安全 服务一般是通过向信息系统中加入一些安全机制，建立一个防攻击的堡垒来实现信息 安全，这些安全机制包括加密、身份认证、访问控制技术和机制等。 从应用系统整体安全的需求来看，不同安全技术和机制( 尤其是经过实践检验的 技术如数据加密、身份认证和访问授权等) 的融合能够构筑的牢固系统安全基础，提 供完善的系统信息安全解决方案。不同安全技术融合的源动力是来自于网络攻防手段 是越来越多样化和综合化，也可以说信息安全技术和机制的融合就是越来越激烈，越 来越成熟的网络攻击的产物。针对信息安全的攻击，防范技术和机制之间应该是紧密 相关的，单单依靠一种防护机制或一种安全技术是不可能实现保护系统安全的。例如， 如果不使用某种前期的认证处理，信息保密性的价值将变得有限。如果不能决定正 在通信的用户是否是经过授权的，则不可能保护系统信息资源。当然安全技术的融合 并不是不同技术的简单堆砌，一个网络应用系统的信息安全不但依赖单一安全技术自 身的性能，也同样依赖于各种安全技术之间的协作所发挥的功效。通过相互之间的协 作，充分发挥不同安全技术的优势，从而达到1 + 1 2 的效果。 2 硕士论文网络应用系统的信息安全模型研究和应用 同时，很重要的一点是安全的系统应该是一系列事物妥协的结果翻即系统可以 合理地使用多种安全技术和控制安全粒度，使系统在安全性需求与其它特性之间求得 平衡。这些特性包括了可用性、成本、系统效率、灵活性和友好的用户界面等等。问 题的关键是做出正确的妥协。例如在对资源提供方系统的安全需求和来访者权益的安 全性及操作的简捷性之间。一个好的系统将提供很多默认方式，甚至于让用户根本感 觉不到安全系统的存在。反之，如果系统的安全措施过于复杂，用户将为了方便而寻 求越过安全措施的方法。 所以，当前主要的问题就是：应该在这些安全服务的框架下，有机地组织和融合 各种防护机制和安全技术，吸收各种安全技术的优点，尽可能地在系统的可能存在安 全威胁各个环节上进行信息保护，并在安全需求和可用性等特性之间找到一定平衡， 提高应用系统安全性价比，从而构建网络应用系统信息安全模型，达到系统信息安全 整体防护效果。 在后面章节本文将详细分析信息安全攻击的过程和可能遭受的攻击过程和类型， 以及在安全服务框架下的一系列安全技术和机制，从而构建一个网络应用系统信息安 全模型。 1 3 论文所做的主要工作 计算机信息安全是- f - j 融合现代密码学、计算机网络安全和保密通信理论的综合 交叉性新兴学科，它具有较深的理论课题和广泛的应用需求。信息安全方面涉及面是 比较很广的，包括管理层面，应用层面，网络层面，系统层面及物理层面，管理层面。 本文主要从应用技术层面在理论探讨和实际应用两个方面对其进行了研究。 计算机信息安全最主要的其实就是信息资源的安全问题。保护系统敏感数据这个 目标是显而易见的，也是大部分人在考虑计算机安全时应该想到的问题。目前，对于 企业内部计划以及个人的隐私等敏感信息，现有的很多应用系统还不能做到提供足够 的信息安全保护。虽然当前这个问题已经引起了大家的重视，防火墙、入侵检测和防 病毒等信息安全保护的技术和产品也得到了广泛的了解和应用，但这些技术主要侧重 于边界的安全或者点防御，离应该重点保护的系统信息资源越来越远。信息安全的防 御应该越靠近数据越好，而不是相反。 另外一方面，对企业来说，什么人能够访问什么系统中的数据已成为保障应用系 统安全、企业业务安全的一个重要方面随着电子商务、网上支付、网上银行等网络 业务的相继开展，账户被盗用的事件频繁发生，用户对于使用网络进行商务和支付缺 少安全感，使得网络在这些领域很难普及和发展。因此，如何在网络应用系统中对各 种用户的身份和对各种系统信息资源的访问进行安全管理，也是一个越来越重要的问 题。 3 绪论硕士论文 国内有一些文章对信息安全方面己做了很多相关研究，它们更多地是独立地考虑 信息资源保护，身份认证或访问控制某一个方面，但对如何构建一个相对完善的网络 应用系统信息安全解决方案研究不多。 本文提出的网络应用系统信息安全模型主要具有三个基本要素：信息资源传输和 存储安全保护，身份认证安全管理和用户对资源的访问的安全控制。敏感信息资源是 信息安全攻击和威胁的主攻核心，本文的模型将信息资源分为敏感信息资源和非敏感 信息资源两类，对敏感信息资源加以重点安全保护。只有信息资源的传输和存储受到 保护，才能对这些信息资源进行使用。而系统信息资源的安全使用必须基于严格的控 制之下，这主要由两道防线来实现，即第一道防线对使用系统信息资源用户的身份认 证和第二道防线对系统信息资源访问控制。 针对模型的三个部分，在基于安全服务框架下，本文对不同安全机制及它们面对 不同攻击时的安全性进行了详细分析和讨论并且提出了一些改进措施，包括密码技术 体系，身份认证技术各种机制和基于角色的访问控制机制( r b a c ，r o l e - b a s e da c c e s s c o n t r 0 1 ) ，最终提出了一个比较简单可行的，对加强中小型企业网络应用系统安全性 有一定参考价值的网络应用系统信息安全模型。 1 4 论文的组织结构 l 本文第一章首先论述了信息安全的需求，信息安全概念的内涵及网络环境下信息 安全的核心问题。然后从网络应用系统整体安全的需求和存在的威胁入手，说明在安 全服务体系框架下融合各项安全技术和机制，乎衡安全需求与可用性、成本等特性， 从而构建一个系统信息安全整体解决方案，是解决网络系统信息安全问题的一个重要 方面。 第二章主要是详细分析了网络应用系统信息安全所面临的威胁和攻击的过程以 及常见攻击的类型。对每一种安全服务进行了概述和定义，同时对支持每种服务的安 全机制进行了探讨。 第三章主要是对支持几大安全服务的不同安全机制及它们的安全性进行了分析 和讨论并提出了一些改进措施。其中包括密码技术体系中对称密钥加密技术和非对称 密钥加密技术，以及单向散列函数的具体概念；身份认证技术各种机制及安全性分析； r b a c 访问控制机制基本思想，几种常见的r b a c 模型，以及关于r b a c 的进一步讨论。 第四章主要是在考虑现实信息安全威胁的基础上，针对安全服务框架下各种安全 技术和机制，提出了一种支持实现适当安全服务目标的，以信息资源传输和存储安全 保护，身份认证安全管理和资源访问的安全控制作为三个基本要素的网络应用系统信 息安全模型。 第五章主要是针对第四章提出的网络应用系统信息安全模型给出了一个基于 4 硕士论文 同络应用系统的信息安全模型研究和应用 j 2 e e 平台的实现，并对系统进行了安全性测试，从而验证了模型的可靠性和实用性 最后本文对所研究的内容进行了归纳和总结，并提出了需要进一步深入研究的展 望。 5 硕士论文 网络应用系统的信息安全模型研究和应用 2 网络信息安全面临的威胁及应对策略 信息安全的威胁和攻击主要是指对信息保密性，完整性，可用性的攻击。由于网 络应用系统是面向i n t e r n e t 的，所以网络应用系统信息安全所面临的威胁和攻击来 自很多方面。信息安全威胁和攻击的方法种类繁多，层出不穷，并且随着时间的变化 而变化。对于企业公司来说，应用系统受到的威胁和攻击会造成各种严重的后果，如 信誉受损及财产损失，客户转投竞争对手。因此我们自然就会关心威胁和攻击这个问 题三个方面：问题的源头一这些威胁和攻击是如何实施的，问题的表现形式威胁和 攻击主要有哪些种类及具体表现形式，问题的解决一如何应对这些威胁和攻击。下面 将就这些方面做一一介绍。 2 1 常见攻击行为分析 2 1 1 攻击的一般过程 目前，攻击者实施攻击的一般过程主要包括了四个步骤： 第一步：收集被攻击方的有关信息，分析被攻击方可能的漏洞。 信息的收集并不对目标产生危害，只是为迸一步的入侵提供有用信息。攻击者可 能会利用公开协议或工具，收集驻留在网络系统中的各个主机系统的相关信息( 包括 目标及其所在网络类型，目标机i p 地址，操作系统类型，系统管理员邮件地址等) 。 主要使用的工具有：t r a c e r o u t e 程序，s n m p 协议，d n s 服务器，w h o i s 协议。 第二步：系统安全弱点的探测 在收集到一些准备要攻击目标的信息后，攻击者们会探测目标网络上的每台主 机，来寻求系统内部的安全漏洞，主要探测的方式包括： 攻击者利用安全漏洞自编程序进入到系统进行破坏； 攻击者利用一些特殊的数据包传送给目标主机，使其做出相对应的响应来探 测系统体系结构，如系统所用的版本及其他相关信息； 攻击者利用公开的安全分析工具s a t a n 、电子安全扫描程序i i s 等一些工具对 整个网络或子网进行扫描，寻找安全方面的漏洞。 第三步：建立模拟环境，进行模拟攻击 根据前面两个步骤所得的信息，建立一个类似攻击对象的模拟环境，然后对此模 拟目标进行一系列的攻击。在此期间，通过检查被攻击方的日志，观察检测工具对攻 击的反应，可以迸一步了解在攻击过程中可能会留下的“痕迹”及被攻击方的状态， 以此来制定一个较为周密的攻击策略。 第四步：具体实施网络攻击 入侵者根据前几步所获得的信息，同时结合自身的水平及经验总结出相应的攻击 7 网络信息安全面临的威胁及应对策略 硕士论文 方法，在进行模拟攻击的实践后，将等待时机以备实施真正的网络攻击。 2 1 2 攻击的种类及具体形式 由于网络计算机信息的共享性和易于扩散等特性，它在处理、存储、传输和使用 上有着严重的脆弱性，很容易被干扰、滥用和丢失，威胁和攻击来自各个方面种类繁 多，并且随着时间的变化而变化，所以人们对威胁计算机系统信息安全形式的分类也 日益复杂和困难。在大多数有关计算机安全的文献中，根据系统信息安全研究的目的 和内容，通常主要将威胁和攻击分成三类1 2 j ： 1 ) 保密性攻击( s e c r e c ya t t a c k ) ：指造成信息和其它资源的丢失和泄漏。攻击 者试图窃取口令，电子邮件，信用卡资料，医疗记录等重要机密数据。其攻击的方式 多样，主要包括寻找系统的安全漏洞或密码算法的脆弱性等。 2 ) 完整性攻击( i n t e g r i t ya t t a c k ) ：指造成信息和其它资源的破坏。攻击者往 往试图非法改变部分系统。如某位银行雇员为了把顾客的资金存入自己的个人账户， 修改账户系统从而危及整个交易系统的安全性。 3 ) 可用性攻击( a v a i l a b i l i t ya t t a c k ) ；指造成信息服务的中断。攻击者往往 试图破坏系统的正常运行。这通常主要是指拒绝服务类的攻击。例如，攻击者用大量 的i p 包轰击系统，使得系统与网络的其他部分隔开。 在实际网络环境中，这三类攻击通常是相互关联的，也就是说，通常攻击者会综 合上述三类的攻击或用一类攻击方式来辅助另一种攻击方式。例如攻击者通过保密性 攻击获得口令，然后通过访问和修改系统信息资源完成拒绝服务攻击。 具体的常见攻击包括以下一些形式： 嗅探攻击( s n i f f e r ) ：攻击者利用以太网数据传输中“共享”的原理，将以太网 的“过滤器”关闭掉，将网卡设置为“混杂模式”，对网上流通的所有数据报进行侦 听，并将复合一定条件的数据包( 如包含了用户名和密码的数据包) 记录到日志文件 中以捕获口令，密码以及机密的敏感信息。 用户帐号和口令攻击( a c c o u n ta n dp a s s w o r dc o m p r o m i s e ) ：攻击者获得用户帐 号和口令有三种途径：一是通过上面所述的网络侦听非法得到用户口令；二是在已知 用户的账号情况下，利用一些专门软件反复试探，强行破解用户口令；三是在获得一 个服务器上存储的用户口令文件后，破解程序从而得到用户口令。 拒绝服务攻击( d e n i a lo fs e r v i c e ，d o s ) 攻击者通过发送一定数量一定序列 的报文，使得网络服务器中充斥了大量要求回复的信息，消耗网络带宽或系统资源， 导致网络或系统不胜负荷以至于瘫痪，以至于停止正常的网络服务。 重放攻击( r e p l a ya t t a c k ) ：攻击者利用身份鉴别机制中的漏洞截获网络上传输 的报文( 如认证所需的用户名和密码) ，过一段时间向目标主机重复发送一份报文或 硕士论文同络应用系统的信息安全模型研究和应用 报文的一部分，以便产生一个被授权效果以实现非法访问。 假冒伪装攻击( p s e u d o n y ma t t a c k ) ：当一个实体假扮成另一个实体时，就发生 了假冒。一个非授权节点或不被信任的、有危险的授权节点冒充一个授权节点，如通 过指定路由或伪造假w e b 页地址，从用户处骗得口令，信用卡卡号等敏感数据。目前 危害性极大的“钓鱼”攻击就属于假冒伪装攻击。 非授权注册和访问攻击( u n a u t h o r i z e dl o g i na n da c c e s sa t t a c k ) ：访问计算机 及其系统信息资源需要授权，用户为得到访问的权力需要注册，非注册用户对系统和 网络的访问属于非授权访问。 2 2 对攻击行为的应对策略 随着信息安全技术的不断迅速发展，鉴于以上网络应用系统信息安全所面l 临的种 种的攻击和威胁，有必要对其应对策略进行深入的研究。 信息安全威胁的应对策略通常通过使用各种各样的安全服务来体现。国际标准化 组织i s o 在网络安全体系设计标准( i s 0 7 4 9 8 - 2 ) 中，提出了层次型的安全体系结构， 并定义了五大安全服务功能，包括：身份认证服务，访问控制服务，数据保密性服务， 数据完整性服务，不可否认服务1 4 】。 本节根据每种服务基本功能要素描述了每种服务的特征，在第三章本文还将详细 讨论了有助于实施服务要素的一系列重要机制。要注意的是安全服务与安全机制并不 是完全是一一对应关系，一种服务可能需要多种机制来实现，而有的机制可用于多种 服务。 2 乞1 身份认证服务 身份认证服务就是让主体安全地向系统证明自己的身份。主体主要是指个人、公 司、或消息发送者和接收者。标志在安全系统中提供了唯一区分主体的方法。主体标 志是许多其他安全保护机制使用的基础性安全操作。例如，要确定是否允许访问特定 资源之前，必须先确定主体标志。身份认证服务有两方面的含义：一是识别，即对系 统所有合法主体具有识别功能，任何两个不同的主体不能有相同的标识。二是鉴别。 即系统对访问者的身份进行鉴别，以防止非法访问者假冒。 一般而言，网络应用身份认证的机制可以分为两类：简单认证机制和强认证机制 【4 1 i 。在简单认证机制中只有名字和口令被服务系统所接受。由于明文的密码在网上传 输非常容易被窃听截取，一般的解决办法是使用动态口令机制。而强认证机制一般将 运用多种加密手段来保护认证过程中相互交换的信息。其中，k e r b e r o s 协议是此类 认证协议中比较完善的协议，已得到了广泛的应用。好的身份认证服务能有效防御网 络侦听，重放攻击，口令字猜测，假冒伪装攻击等攻击。本文将在第三章详细讨论以 上这几种身份认证机制。 9 网络信息安全面临的威胁及应对案略硕士论文 2 2 2 访问控铆服务 访问控制服务是实现信息安全的一种重要手段，对访问控制技术的研究一直是国 内外信息安全界的一个热点。访问控制( a c c e s sc o n t r 0 1 ) 是指控制用户对文件目录 协议等资源的访问，它是用来决定一个主体是否有权对特定对象执行一个特定的操 作。访问控制决定了用户能“做什么”，也决定代表一定用户利益的程序能“做什么”。 一个好的访问控制服务可以提供数据保密性，防止非授权注册和访问攻击，抵制拒绝 服务攻击。 访问控制现有的访问控制主要有3 种模式；自主访问控制( d a c ，d i s c r e t i o n a r y a c c e s sc o n t r 0 1 ) 、强制访问控制( m a c ，m a n d a t o r ya c c e s sc o n t r 0 1 ) 和基于角色的访 问控制( r b a c ) 。 1 ) 自主访问控制 自主访问控制是由i lb w l a m p s o n 于1 9 7 4 年首次提出的，它是基于访问者身份或 所属工作组来进行访问控制的一种模型。其基本思想是系统中的主体可以完全自主地 把其享有对客体的访问权限授予其它主体，获得访问权限的主体能够对相应客体执行 权限所允许的访问操作。任何主体可以把其拥有的访问权限再传播授权给其它主体， 从而形成了访问授权传播链式结构，主体随时可以撤消其传播出去的访问权限。 2 ) 强制访问控制 强制访问控制是由d e b e l l 和j l a p a d u l l a 于1 9 7 3 年首次提出的，它是根据客体 中信息的敏感标记和访问敏感信息的主体的访问级对客体访问实行限制的一种模型。 它使不同级别和类别的用户只能访问到相关的、指定范围的信息，从根本上防止信息 的泄密和访问混乱现象，适用于军事、政府重要部门和金融领域。 3 ) 角色访问 基于角色的访问控制( r b a c ) 是目前广泛应用于商业环境和企业管理系统中的先 进的安全管理控制方法。该技术主要研究将用户划分成与其在组织结构体系相一致的 角色，以减少授权管理的复杂性，降低管理开销和为管理员提供一个比较好的实现复 杂安全政策的环境。基于角色访问控制引入与现实联系紧密的角色概念，用角色标志 用户具有的职责和权限，把现实和计算机访问控制策略更好的结合起来，并且易于实 现复杂、动态的安全访问控制策略。本文将在第三章对角色访问控制机制详细讨论。 2 2 3 致据保密性服务 保密性安全服务被定义为防止存储和通信中的数据的未授权公开。此定义与对访 问控制的描述类似，实际上可以认为访问控制在很大程度上提供了数据保密性。保密 性服务能防止数据在存储、网络中传输和流经公共互连网时的泄露。如果没有提供访 问控制服务，所存储的数据易遭到攻击。而传输中的数据因为不受所使用的应用程序 1 0 硕士论文网络应用系统的信息安全模型研究和应用 的直接影响更易遭到攻击。 加密在任何情况下总是有用的，数据加密是安全机制中最重要的一种，数据加密 一般通过加密算法来实现对所存储数据和所传输数据的加密功能。现代数据加密算法 根据所使用的加密密钥和解密密钥是否相同，能否由加密过程推导出解密过程( 或者 由解密过程推导出加密过程) ，可将加密算法分为对称密钥体制和非对称密钥体制。 保密性的度量与加密数据所使用的算法和对加密时使用的密钥的保护是直接相关的。 对提供保密性安全服务的要求主要取决下面几个变化因素： 需保护数据的价值一被保护的数据的敏感性和脆弱性会影响安全服务提供， 尤其是影响机制实施力度。 需保护数据的位置一数据可能存在于计算机中不同硬盘目录下或流经一个 局域网的线路上 需保护数据的类型一数据元素可以是本地文件( 如口令或密钥) 、网络协议所 携带的数据或网络协议的信息交换等。 2 2 4 数据完整性服务 这种服务用来防止非法用户的主动攻击( 如对正在交换的数据进行修改、插入， 使数据延时以及丢失数据或接收到错误数据等) ，以保证数据接收方收到的信息与发 送方发送的信息完全一致。 数据完整性服务一般是结合如( m e s s a g e d i g e s t ) 和安全散列算法s h a ( s e c u r i t y h a s ha l g o r i t h m ) 等信息摘要算法，消息验证码( m e s s a g e a u t h e n t i c a t i o nc o d em a c ) 和加密技术实现。信息摘要是用单向散列函数对任意长度的输入数据产生唯一的固定 长度的输出，即信息的“指纹”，该指纹与输入数据一一对应。把明文数据产生的信 息摘要与明文一起加密传送，接受者解密之后，对明文部分用同样的信息摘要算法算 出摘要，与解密所得摘要值比较，如果一致，说明收到的信息是准确完整的。 2 2 5 不可否认服务 不可否认性安全服务提供了向第三方证明该实体确实参与了那次通信的能力。其 包括：向数据接收者提供有关数据发送者身份及原始发送时间的证据；向数据发送者 提供证据用以证明数据被交付给了预期的接收者；利用审计服务提供了信息交换中各 涉及方的可审计性。 确保不可否认性的具体安全机制就是使用数字签名和审计机制。数字签名的认证 特性可以提供不可否认性。数字签名是验证数据源合法性的一个有效方法，发送者将 数据摘要用自己的私钥加密，再连同原信息块用接收者的公钥一起加密；接收者用自 己的私钥解密后，要用发送者的公钥对数据摘要解密，并与自己计算的校验数据比较。 通过这种数字签名，发送者就不能抵赖信息是自己发出的数据元素上的数据签名不 1 1 网络信息安全面临的威胁及应对镶略 硕士论文 可逆转地将该数据元素同包含在公钥证书中的身份相绑定，该证书同产生签名的私钥 相关联。而审计机制完整地记录了日后可作为证据的记录并且保证了记录的完整性。 审计是一种有效的保护措施，可以在一定意义上阻止威胁信息系统的一些行为在检 测可疑行为和对可疑行为做出响应方面，审计都发挥了重要作用。 2 3 本章小结 本章主要是详细分析了网络应用系统信息安全所面临的威胁和攻击的过程和类 型，对每一种安全服务进行了概述和定义，同时对支持每种服务的安全机制进行了讨 论。下面本文就这些安全服务中可用的一些安全机制和它们抵御威胁和攻击的能力进 行深入的讨论，并利用它们构建一个网络应用系统信息安全模型。 硕士论文 同络应用系统的信息安全模型研究和应用 3 信息安全关键技术和机制的研究 构建网络应用系统信息安全模型，所选用安全机制和安全技术应该是理论上研究 比较深入和成熟并且在实际应用上经过实践检验的，这样构建的模型才能具有较高的 安全可靠性。就目前而言，密码技术、身份认证和访问控制机制和技术是网络应用系 统信息安全中最重要的也是应用非常广泛三项技术和机制，国内外学者已经在这些方 面也已经做了深入的研究，取得了较大进展。因此，选用这三方面的具体安全机制和 安全技术来构建网络应用系统信息安全模型在理论和实际应用两个方面都是具有一 定可信度的。下面本文就这些内容加以讨论。 3 1 密码技术 密码技术是网络安全中最有效最重要的技术之一。一个加密的网络，不仅可以防 止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。到目前为 止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分 类，可以将这些加密技术分为对称密钥加密技术和非对称密钥加密技术【1 4 1 。 3 1 1 对称密钥加密技术 对称密钥加密又称作私钥加密，因为加密和解密使用相同密钥，并且密钥是 保密的，不对外公布。对称密钥加解密过程如图3 1 1 所示。 发送方 安全信道 接收方 图3 1 1 对称密钥技术加解密过程 这种加密技术的特点是密钥相同，发送方用密钥对数据( 明文) 进行加密，接收方 收到数据后，用同一个密钥进行解密，实现容易，速度快。对称密钥加密方法中，比 较典型的是美国d e s ( 数据加密标准) 算法。 然而，d e s 算法存在密钥太短( 只有5 6 b i t ) 的问题，已经可以通过“穷举法”将 其攻破，故需对d e s 算法加以改进。3 d e s 以d e s 算法为基础，加密数据分组长度为 8 b y t e ，加密和解密的密钥相同。加密时对原始明文进行3 次d e s 处理，采用k l 、 蚝个不同密钥( 长度均为8 b y t e ) ，即先用k 1 加密，再用磁解密，最后用磁加密，形成 信息安全关键技术和机制的研究 硕士论文 最终的密文；解密时对密文按照相反的顺序，即先用k 。解密，再用磁加密，最后用 k i 解密，还原成原始明文【”。为了减少系统在生成和管理密钥方面的开销，可以将 k t 、i ( 3 设为相同值，这样实际只使用了k 。、磁两个密钥。但k 、l 【2 绝不能相同，否则 3 d e s 将失去意义。 采用双密钥的3 d e s 加密解密算法，密钥长度为1 1 2 b i t ，比d e s 算法增加了1 倍。 虽然在一定程度上降低了运算速度，但安全性得到了极大增强。目前，3 d e s 算法已 成为一种国际公认的加密标准。 3 1 2 非对称密钥加密技术 非对称密钥加密技术又称为公开密钥加密技术。它有两个不同的密钥：一个公布 于众的公钥，一个是只有解密人自己才知道的私钥。在进行数据加密时，发送方用公 开密钥将数据加密，对方收到数据后使用私钥进行解密。非法使用者根据公开的加密 密钥在理论计算上并不能推算出解密密钥。在非对称密钥加密方法中，比较典型的是 r s a 算法。公开密钥加解密过程如图3 1 2 所示。 明文密文 a 地发送方- 叫加密模块i r 。o 。1 - _ _ - _ _ _ ，_ _ _ _ _ _ _ _ _ _ _ _ - _ _ - _ _ _ _ 一 f 公开信道 公开密钥p k b 明文 二三三至于b 地接收方 f 私有密钥s k b 图3 1 2 非对称密钥技术n 解密过程 非对称密钥加密技术与对称加密技术相比，有明显的优点： 用户将用于加密的密钥公开地分发给任何需要的其它用户，除了持有私有密 钥的合法用户外，没有人能解开密文，这样就解决了在对称加密方法中代价 沉重的密钥分发问题。 非对称密钥加密系统允许用户事先把公钥公布出来，这样可用于身份鉴别和 数字签名。 但是，非对称密钥加密技术也有一些缺点，这包括了算法复杂，加密数据的速率 较低等。在实际应用中人们通常将对称密钥加密和非对称密码算法结合在一起使用， 对称密钥加密( 如d e s ) 来加密信息，而采用非对称密码算法( 如r s a ) 来传递会话密 钥。 3 1 3 单向数列函数 单向散列函数又称为单向h a s h 函数，它不是加密算法，却在密码学中有着广泛 1 4 硕士论文网络应用系统的信息安全模型研究和应用 的应用，与各种加密算法有着密切的关系，它被广泛地应用于数字签名、消息的完整 性鉴别等，另外也和各种密码算法一起构成混合密码系统闭。 单向散列函数的特点包括： 单向散列函数能够处理任意长度的明文，其生成的消息摘要数据块长度具有 固定的大小，而且对同一个消息反复执行该函数总是得到相同的消息摘要。 单向散列函数生成的消息摘要是不可预见的，消息摘要看起来和原始的数据 没有任何关系。原始数据的任何变化都会对生成的消息摘要产生很大影响。 通过生成的报文摘要得到原始数据任何信息在计算上是完全不可行的。 目前在密码学上已经设计出了大量的单向散列函数，实际系统中用得最多的单向 散列函数是消息摘要算法m d 5 和安全散列算法s p a 。如5 报文摘要算法是由r o n r i v e s t 在麻省理工学院提出的，该算法以一个任意长度的报文作为输入，按5 1 2 b i t 的分组 进行处理，最后产生一个1 2 8 b i t 的报文摘要作为输出。安全散列算法( s h a ) 由美国国 家标准和技术协会n i s t ( n a t i o ni n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ) 提出， 并作为联邦信息处理标准在1 9 9 3 年公布。s h a 是基于m d 4 算法的，并且在设计上很 大程度模仿m d 4 。该算法输入报文的最大长度不超过2 6 4 位，产生一个1 6 0 位的输出， 且输入是按照5 1 2 位的分组进行处理的。 ： 3 2 身份认证机制 对企业网络应用系统来说，什么人能够访问什么系统、数据，正在成为保障系统 安全、业务安全的一个重要方面。随着电子商务、网上支付、网上银行等网络业务的 相继开展，账户被盗用的事件频繁发生，用户对于使用网络进行商务和支付缺少安全 感，因此如何在系统的内外部对各种用户的身份进行管理，是一个越来越重要的问题。 找到安全的身份认证方法是解决这些问题的关键。 网络应用身份认证的机制一般可以分为两类：简单认证机制和强认证机制。在简 单认证机制中只有名字和口令被服务系统所接受。一般的解决办法是使用动态口令机 制。常见动态口令机制包括基于时间同步和基于挑战应答方式。而强认证机制一般 将运用多种加密手段来保护认证过程中相互交换的信息。其中，k e r b e r o s 协议是此 类认证协议中比较完善、较具优势的协议，得到了广泛的应用。 3 乏l 口令认证身份认证机制 口令认证法是最简单最有效且使用最广泛的一种用户身份识别方式。随着网络信 息应用系统安全需求的变化，口令认证技术也不断发展变化，从早期的静态口令发展 到动态口令，出现了各种各样的口令认证方法与技术。不同口令认证方法与技术因使 用对象不同采用的技术手段不同，其使用的安全性能也不同。 静态口令认证配置简单，使用方便，目前还有很多应用系统采用这种方式，但这 1 5 信息安全关键技术和机制的研究硕士论文 种方式存在很多安全隐患和缺陷。这主要包括：用户使用的短口令易受口令穷举攻击； 用户习惯长期使用统一口令，保存周期偏长，被破解的可能性与日俱增；通信双方缺 少相互认证。 为了解除以上的安全威胁，就需要一种不易猜测、经常变化、一次性使用的动态 口令来提高口令认证的安全性，以满足应用系统对安全性的要求。 动态口令是随机变化的一种口令形式，每次登录将使用不同的口令。在一定时间 间隔内，一个口令只能使用一次，重复使用的口令将被拒绝接受。在现代网络应用系 统中，常用的动态口令认证系统主要由两部分组成：客户端操作和服务器端认证。客 户端操作认证的功能是通过将用户口令和某种变化的因素作为给定算法的输入参数， 经过运算获得的结果处理值即为动态口令，并将其作为用户登录口令使用。在服务器 认证端进行同样类似的操作，将计算结果作为认证方口令保存并和客户端送来的登录 信息比较，若两者匹配则允许登录，否则拒绝登录。 动态口令生成的方法很多，主要采用数学手段实现，根据动态口令的生成方式不 同有不同的动态口令认证方案，其安全性也有所不同。动态口令认证的实现机制主要 有两种：时间同步( t i m es y n c h r o n i z a t i o n ) 方式的认证机制和挑战一应答 ( c h a l l e n g e r e s p o n s e ) 方式的认证机制。目前，挑战一应答机制使用最多。 基于挑战应答方式的身份认证机制就是每次认证时认证服务器端都给客户端发 送一个不同的“挑战”字串，客户端程序收到这个“挑战”字串后，做出相应的应 答。与基于时间同步机制的认证方式一样，挑战应答方式的认证系统也选择单项散 列函数作为口令生成算法，采用这种认证方案，客户端操作和服务器端认证需要进行 三次数据传输。整个机制的过程如图3 2 1 所示。 客 服 户 随机数 务 端 器 口令登录 端 图3 2 1 基于挑战应答方式的认证过程 主要的步骤如下： 1 ) 客户端发起登录请求，登录请求包含用户的身份标识i d 。 2 ) 服务器端检查用户i d 是否合法，不合法就不做进一步处理，否则继续。 3 ) 服务器端发送一个随机数给客户端。 4 ) 客户端将收到的随机数和用户i d ，口令输入单向散列函数中，将计算所得的 结果作为登录口令，发送给服务器。 1 6 硕士论文 网络应用系统的信息安全模型研究和应用 5 ) 服务器端运行相同的单向散列函数，输入随机数和用户对应的密码，得到一 个运算结果值，将这个结果值和客户端送来的登录口令相比较，如果匹配就 允许用户登录。否则拒绝登录。 在挑战应答方式的身份认证机制中，由于每次用户会话过程产生的随机数都是 不同的，而且在身份认证得到通过之后马上从会话中把这次认证所用到的随机数抛 弃，这个随机数值只在这一个口令的散列运算中有效，其他口令使用的是其他的随机 数，因此攻击者对每个口令都要进行一次攻击，攻击者的计算量非常大。即便攻击者 拦截并记录了口令和散列值，该散列值与下一次登录请求的正确散列值也是不同的， 这样就可以防止网络侦听攻击，重放攻击和字典式口令攻击。挑战应答方式和时闯 同步机制相比不需要客户端和服务器端保持时间同步，这在具体操作中相对比较容易 实现，所以应用比较普遍。 挑战应答方式的缺点在于无法防范假冒的服务器欺骗合法用户。当用户向服务 器清求认证时，