（系统工程专业论文）信息系统中信息安全技术的研究与应用.pdf

一 华中科技大学硕士学位论文 摘要 i 随麓企球信息化的飞速发展，提高我国企业信息系统的安全防护能力刻不容 缓。鉴于我国信息安全基础理论、技术和产业与发达国家存在较大的差距，应用 现有的较为成像 的信息安全技术，设计符合企业实际情况的安全解决方案是一条 可行之路。l 本文以上海市苏州河综合整治建设有限公司( 以下简称苏建公司) 集 成信息系统( s s r c c m i s ) 的建设为背景，研究了各种信息安全技术及其实际应用。 本文归纳了各种常见的身份认证的方法，分析了单重认证方案在安全、功能 等方面的缺陷，设计了一个更加安全的双重认证方案；针对苏建公司具体的业务 流程规划了一个基于公钥私钥的认证方案，以满足系统的安全需求，指出安全隐 患是企业信息化的重要瓶颈，安全的信息系统可以加速和促进企业的业务流程重 组。 本文综述了三种访问控制策略；针对苏建公司的管理特点在基于角色的访问 控制模型( r b a c ) 的基础上提出一种新的基于层次树型角色访问控制模型 ( t r b a c ) ，给出了模型结构，并说明了使用规则；分析了该模型的优点、缺点以 及适用范围：在s s r c c m i s 中实现了基于t r b a c 的访问控制管理模块，应用于 功能选项控制和客户机登录权限控制。 论文根据信息安全工程的特点、控制论的思路提出了信息系统安全控制模型， 将反馈、信息、系统、工程的概念引入信息安全管理，给出了安全控制各个步骤 的工作内容和工作方法，指出安全管理的动态性与周期性：提出安全损失安 全级别模型，用于确定信息系统的安全目标，并定性分析了各种因素对系统安全 目标的影响。 最后作者对全文的成果进行了总结并指出了信息系统安全研究领域发展的趋 势和若干有待进一步解决的问题。 华中科技大学硕士学位论文 关键词：信息安身份议锰公钥基湎锰施访问蕊。 焖了弛的雩安拶o - _ 一 i l 华中科技大学硕士学位论文 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fw o r l di n f o r m a t i o n i z a t i o np r o c e s s ，i th a sn ot i m et o d e l a yi m p r o v i n go u ra b i l i t y t od e f e n dt h e e n t e r p r i s e i n f o r m a t i o ns y s t e m si nc h i n a a g a i n s ti n c r e a s i n gs e c u r i t yt h r e a t e n s i ti sa f e a s i b l ea p p r o a c ht od e s i g ns e c u r i t ys o l u t i o n b ya d a p t i n ge x i s t i n gi n f o r m a t i o ns e c u r i t yt e c h n o l o g i e st ot h ee n t e r p r i s es i n c ew ea r e i n f e r i o rt of o r e i g n e r si ns e c u r i t yt h e o r t e c h n o l o g ya n di n d u s t r y t h i st h e s i sr e s e a r c h e s a n da p p l i e sv a r i o u si n f o r m a t i o ns e c u r i t yt e c h n o l o g i e so nt h eb a c k g r o u n do f i n t e g r a t e d i n f o r m a t i o ns y s t e mo fs h a n g h a is u z h o uc r e e kr e h a b i l i t a t i o n & c o n s t r u c t i o nc o l t d ( s s r c c m i s ) t h i st h e s i ss u m m a r i z e sf a m i l i a r i d e n t i t y a u t h e n t i c a t i o n m e t h o d s ，a n a l y z e st h e s e c u r i t yb u g s o fo n e s c h e m e i d e n t i t y a u t h e n t i c a t i o n sa n d d e s i g n s as a f e r d o u b l e d s c h e m e i d e n t i t y a u t h e n t i c a t i o n t h e nt h i st h e s i s p r e s e n t s a n i d e n t i t y a u t h e n t i c a t i o ns c h e m ei no r d e rt o s a t i s f yt h es e c u r i t yr e q u i r e m e n t so fs s r c c - m i s ， w h i c hu s e sp u b l i ck e yi n f r a s t r u c t u r ea n di n t e g r a t e sb u s i n e s sp r o c e s so fs s r c c f r o m t h ee x a m p l et h i st h e s i sp o i n t so u th i d d e n s e c u r i t yt r o u b l e sa r et h ei m p o r t a n tb o t t l e n e c k o f e m e r p r i s ei n f o r m a t i o n i z a t i o na n ds e e u r ei n f o r m a t i o ns y s t e mc a nf a c i l i t a t ee n t e r p r i s e b u s i n e s sp r o c e s s r e e n g i n e e r i n g t h i st h e s i si n t r o d u c e st h r e ek i n d so fa c c e s sc o n t r o ls t r a t e g i e s i no r d e rt os o l v et h e s p e c i a la c c e s sc o n t r o lp r o b l e m si ns s r c c m 1 s ，t h i sf l l e s i sp r e s e n t san e wm o d e ln a m e d t r e er o l eb a s e da c c e s sc o n t r o l ( t r b a c ) o nt h eb a s eo ft h er o l eb a s e da c c e s s c o n t r o l ( r b a c ) t h e a u t h o rn o t o n l yp r e s e n t s t r b a c s s t r u c t u r e ，r e g u l a t i o n s ， a d v a n t a g e s ，d i s a d v a n t a g e s a n d l i m i t a t i o n s ，b u t a l s o d e v e l o p s a c c e s sc o n t r o l m a n a g e m e n ts o f t w a r em o d u l eo ft r b a ci ns s r c c m i st oc o n t r o lt h ea c c e s so f s y s t e m sm e n u sa n dc l i e n t s i l l f f f f 华中科技大学硕- - 2 ：- 学位论文j j 一 。 f f b e i n ge n l i g h t e n e db yc o n t r o lt h e o r y ，t h i st h e s i so r i g i n a t e si n f o r m a t i o ns y s t e m f s e c u r i t y c o n t r 。lm o d e l c 。n s i d e r i n g t h ec h a r a c t e r i s t i c so f i n f o r m a t i o n s e c u r i t yj e n g i n e e r i n g t h i sm o d e li n d u c t st h ec o n c e p t i o n so f f e e d b a c k ，i n f o r m a t i o n ，s y s t e ma n df j 。“g i n e e r i n g “t oi 1 1 f o r m a t i o ns e c u r i t ym a n a g e m e n t f r o mt h em o d e lt h i st h e s i sp o i n t s j j o “h 。p e r i o d i c i t y 。fs e c u r i t yc o n t r o ia n di n f e r st h a ti ti sd y n a m i c a sa p a r to f c o n l x o l f f m o d e l ，t h i st h e s i sp r e s e n t ss e c u r i t yl 。s e s e c u r i t yl e v e lm 。d e l t 。p r o v i d ea na p p r 。a c b | j _ | d e c i d n g h eo b j e c “v eo f n f 0 r m a t i 。ns y s t c m ，a n da n a l y z e ss e v e r “f ；k t o r s i n n u e n c e 。n f f t h eo b j e c t i v e ，jj l l a s ta r et h es u m m a r i e so ft h ee n t i r et h e s i s t h ea u t h o r p o i n t so u ts e v e r a ld i r e c t i o n s f f r 0 ，f u t 。r el e s e a r c h j j f f f f j i j i k e y w o r d s ：i n f o r m a t i o n s e c u r i t y i d e n t i t ya u t h e n t i c a t i o n p k il l 1 i a 。8 8c o n c ir b a c s e c u r i t yc o n t r o l f j j 1 i 】j f f f f i j | i | j ) f i f i f f i _ 一j j i vf i f f f j 华中科技大学硕士学位论文 1 1 课题背景、目的和意义 1 绪论 抛：州f i l 综合摧治工程足上海人民造裥子孙历代f i j 人型耶保水利处设l 程，也 是为展现上海国际化大都市的形象，实施可持续发展战略的民心工程。上海市苏 州河综合整治建设有限公司( s s r c c ，以下简称苏建公司) 对苏州河综合整治工 程全面负责，从“水资源管理”、“污水处理”、“沿线景观改善”三个方面对苏州 河进行全面整治，具体任务可分为四项：建设资金的筹措与还贷；资金的统一运 作和骨干工程的管理；项目全过程的统管理；竣工项目的日常管理。 随着社会主义市场经济的需要，客观形势对苏建公司的现代化管理提出了更 高的要求。现代化的管理必须是管理思想的先进化，管理方法的科学化，管理手 段的现代化。作为实现企业现代管理的一项重要技术措施，“苏建公司管理信息系 统( s s r c cm i s ) ”是苏建公司组织和主持开发的用于苏州河综合整治工程建设 与营运的大型应用软件系统。它以苏建公司的内部网络( i n t r a n e t ) 和上海市的 i n t e r n e t 网络为信息交换平台，中心数据仓库和分布式数据库相结合，c s 结构和 b s 结构互为补充，使用现代化的管理模式和管理工具来规范和提升公司的管理 及决策过程，对外提供企业形象的展示窗口和方便快捷的信息服务。 华中科技大学系统工程研究所与苏建公司联合建立s s r c cm i s2 1 2 作小组，承 担了s s r c cm i s 的系统规划、系统分析、系统设计、系统实现和系统维护。项目 从2 0 0 0 年9 月启动，2 0 0 2 年1 月基本完成系统的开发任务。 研究信息系统的安全和建立信息系统同样重要和迫切“1 。工作小组在项目立项 阶段就将本系统的信息安全建设列为重点，并且将信息安全工程的思想和概念贯 彻到系统实施的全过程。因为充分保障s s r c cm i s 的安全是必要的： i ) s s r c cm i s 管理公司的大部分业务，涉及的招投标、合同审批、工程进 度审核、工程进度款支付、银行贷款、人事资料、财务报表等都是敏感 华中科技大学硕士学位论文 或绝密信息，一旦泄漏会给公司利益和国家利益造成重大损失。 2 1些公司累积的业务档案、工作文件如果被破坏、篡改，就会影f 1 日公司 的工作进度和工作效率。 3 ) 在信息流通c i 一的冒充和否认行为会妨甜公司全面信息化、自动化、无纸 化办公的进程，导致用户对信息系统失去信心，打击用户使用信息系统 的积极性，使信息系统的建设目标不能完全实现，甚至导致彻底失败。 4 ) 通过在s s r c cm i s 中应用信息安全技术可以促进公司业务流程重组， 提高工作效率，提高使用者的积极性。 5 ) 苏州河综合治理工程作为上海市政府乃至全国的环保形象工程， s s r c cm i s 将面向上级单位、乙方单位、全国人民开放，它的安全事故 将严重影l 响公司的声誉和信誉。 6 ) 虫今网络黑客猖獗，使用的技术手段高明，s s r c cm i s 又具有足够的攻 击价值。 同时，实现s s r c cm i s 的安全也是可行的： 1 1 苏建公司用于公司信息化的投资近千万，可以提供相应比例的信息安全 工程经费。 2 1 公司员工少而精。公司现有的6 6 名员工中，博士2 人，硕士5 人，大学 学历的员工比例超过9 0 ，是一个精英荟萃的群体。保证了安全工程的 j j 户素质，便于集中控制。 3 ) 信息安全技术发展迅猛，提供信息安全专业服务的公司数量也在增加， 。 有较成熟的信息系统信息安全全面解决方案提供借鉴。 4 ) 本系统从零开始建设，可以结合信息系统核心业务功能的开发全过程综 合设计和实施信息安全解决方案。 5 ) 华中科技大学系统工程研究所有大型信息系统的设计和开发经验。 信息安全技术现在是学术界的研究热点，但人多侧重- _ j ：删! 沦小身，较少涉及 其在具体企业具体业务中的应用；信息系统的歹i ：发人员又对信息安全技术的理解 2 华中科技大学硕士学位论文 不够深刻，常常生搬硬套，在安全性提高的m i j , 寸x 影响了系统的可用性和效率。 小文重点在于结合企业的实际业务流程，针列苏建公司的管理特点提出与 s s r c cm i s 有机结合、l ；u 实有效的安全解决方案，将信息安全技术应e f ；j 于信息 系统，形成较完善的信息安全机制，保证安全策略的实现，保障信息系统的安全 l 岛效运行，剥信息安全技术在信息系统中的综合应用做一些探索和尝试。另外信 息系统安全研究领域现在还没有较成熟的系统性的理论，本文将控制论引入信 息安全工程，提出一个初步的理论模型，旨在引导企业制定适合自身条件的安全 日标，规范信息系统安全管理的流程，适应复杂多变的信息安全环境，控制系统 达到相应的安全水平。 由于信息系统的广泛建立和规模化，使计算机的应用形式上升为网络形态。 这种网络化的信息系统在系统内纵向贯通，在系统间横向渗透，构成了集通信、 计算机和信息处理于一体的庞大复杂的巨系统，成为现代社会运转不可缺少的基 础。信息系统规模化发展势头强劲，这从一个侧面预示了信息革命的到来，同 时也深刻反映了当今社会对信息系统的巨大依赖性。信息系统安全无误的运转变 得空前重要，信息系统的安全已成为急待解决，影响国家大局和长远利益的重大 关键问题。因为它不但是发挥信息革命带来的高效率、高效益的有力保证，而且 是对抗霸权主义、抵御信息侵略的重要屏障。信息安全保障能力是2 1 世纪综合囡 力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国在奋力攀登 的制高点”1 ，信息系统的安全问题已经引起了各国政府和研究机构的高度重视。 与计算机安全保密不同，信息系统以网络化为特名矗成份多、环节多，既要解决 系统内的异构问题，又要满足元素问的互操作要求，因而用计算机安全保密的一 套办法来研究信息系统的安全保密不甚适宜。信息系统有自己独特的内在规定性， 因而把信息系统安全作为独立课题加以研究势在必行。所以研究本课题既有挑 战性，又有意义。 华中科技大学硕士学位论文 1 2 计算机信息系统的安全 汁钟挑信息系统的安全有广泛的含义，从信息保护的角度可概括为信息的保 密性、完整性和町用性( 含可控性和不可抵赖性) 。从信息系统运行的角度可以概 托为系统的运行安全和运行中的信息安全。信息安全所涉及的内容与信息系统的 助能密切牛关，其最终目标是在计算机信息系统提供的信，g j , 处理功能的范围内进 行信息保护和提供有效信息服务。3 。 按j ! 汁钟机俯息系统的组成，它的安全可以划分为i 个层次： 1 ) 物理层：硬件平台的安全； 2 ) 系统层：操作系统、数据库系统的安全； 3 ) 网络层：网络系统安全； 1 ) j 衄1 j 层：应用系统安全； 5 ) 管理层：系统安全管理。 这i ：个层次的安全构成计算机信息系统的整体安全。每个层次的安全有着自 身的特定内容，柏互之间又有i # n 的关系。 依据信息系统的安全需求制定相应的安全策略，然后在组成计算机信息系统 的各层次设置必要的安全机制来实现，而安全机制的顺利有效实施又需要信息安 全技术的史撑”1 。信息系统安全应用的抽象模型如图1 1 所示： 华中科技大学硕士学位论文 应用系统叫 吵 逗吵 安全策昭一安全淤汉：荇种机制的组合应用 批术的安全机制叫( 机密性) ( 身份认谴) ( 完控性) ( 不可雨认 基本操作 皋本的加常功能 加密解桁l签名验证 对称擀码i 公钏密码 系统i系统 图1 1 信息系统安全应用的抽象模型 1 3 信息安全技术概要 信息系统的组成成份复杂，覆盖面广；信息处理既有集中式，又有分布式； 构成其基础的计算机、操作系统和网络既可能是同构的，也可能是异构的；实现 汁算机联接的网络结构可能是多种拓朴结构的混合；所用的网络组件繁杂，通信 介质多种多样；信息出，入e l 多，且分布面广。因此，信息系统的安全保密具有无 所不包的内容广泛性，它的实现必然是多种信息安全技术的综合运用。常见的信 息安全技术有： 1 3 1 密码技术 密码技术是信息安全的核心和关键。根据密码算法所使用的加密密钥和解密 密钥是否相同，可将密码体制分成对称和非对称体制”。 对称密码体制是一种传统的密码体制，通信双方建立并共享密钥，该密钥用 华中科技大学硕士学位论文 j ：双力的j j u 密和解密。剥称密码体制的保密强度高，但开放性差，需要有可靠的 密钥传递渠道。应用最为广泛的对称密码体制包括d e s 、两个密钥和三个密钥的 t r i p l c d i ! s 、i d e a 、b l o w f i s h 、s a l v e r ( k 6 4 或k 1 2 8 ) 、c a s t 、r c 2 、r c 4 、r c 5 、 r c 6 以及即将被荚固固家标准与技术协会作为j ；玳川于代替d e s 的先进加密标准 算法a e s 。 躲限刘称密矾休制下加密和解密能力是分丌的；加密密钥公丌，解密密钥不 公丌，从一个密钥去推导另一个密钥是计算不可行的。非对称密码体制适用于丌 放的实用环境，密钥管理相刑简单，但工作效率一般低于对称密码体制。非对称 密码系统部是建立在一些目b 口很难解的数学困难问题上发展出来，n 血t 1 分解因子、 解离散剥数等，较著名的非对称密码算法有r s a 、e i g a m a l 、d i f f i e h e l l m a n 、 k n a p s a c k 、s c h n o t r 等。 j 以运川密码技术达到的功能有”1 ： 1 ) 机密性：数据不会被未授权的攻击者所窃取； 2 ) 可认证性：能够确认文件的来源，确实是传递者本人，不是别人伪造的； 3 ) 完整性：文件是真正的原文，并未被无意或是恶意的窜改； 4 ) 不可否认性：发送方在送出文件后，不可否认他曾送出这份文件。 一些新的密码概念和技术可能对今后的信息安全产生重要的影响，如盲签名、 遗忘传递、d n a 密码、量子密码、神经网络密码和未来弹性概念等等”1 。 1 3 2 数字签名技术 数字签名技术以加密技术为基础，其核心是采用加密技术的加解密算法体制 来实现对报文的数字签名。1 s o 对数字签名定义为：附加在数据单元上的一些数据， 或是对数据单元所做的密码变换，这种数据或变换容许数据单元的接收者用以确 认数据单元来源和数据单元的完整性，并保护数据，防止被人伪造”1 。因此一个安 全有效的数字签名方案必须满足以下要求： 1 1 要使签名有效，签名必须处于签署人的完全控制之下，即无人能够伪造另 6 华中科技大学硕士学位论文 一个签名： 2 1 发方发出签名的消息给对方后，不能否认他所签发的消息； 3 1 收方对已收到的签名消息不能否认； 4 ) 与签名联系的信息必须明确； + 5 1 第三者可以确认收发双方之间的消息传递，但不能伪造这一过程。 满足上述要求的数字签名能够实现以下功能。3 ： 1 ) 收方能够证实发方身份； 2 1 发方事后不能否认发送的报文： 3 ) 收方或非法者不能伪造、篡改报文。 h a s h 函数对于数字签名是一个很重要的工具。密码学上的h a s h 函数必须可以 将佰意长度的信息，加以浓缩转换为一固定长度的杂凑值，且杂凑值仍必须具备 可以分辨文件的特性。具有不可逆、抗冲突的特点。目前常见的安全h a s h 函数有 m d 2 、m d 4 、m d 5 ，美国国家标准局( n i s t ) 的s h a 、s h a 1 、与欧盟的r i p e m d 、 r i p e m d 1 2 8 、r i p e m d 一1 6 0 。 自从1 9 7 6 年d i f f i e 和h e l l m a n 提出数字签名的概念以来，数字签名技术引起 了学术界的高度重视，并得到了广泛的应用。1 s o 于1 9 8 4 年9 月专门为此立项， 制订标准。美国的n i s t 在1 9 9 1 年推出了美国数字签名算法标准_ d s d s s 。 在理论方面，1 9 8 9 年提出了不可否认的签名，没有签名者的帮助就不能验证签名。 1 9 9 1 年d a v i d 等人提出群签名理论。 1 3 3p k i 技术 p k i ( p u b l i c k e yi n f r a s t r u c t u r e ) “公钥基础设施”是一个包括硬件、软件、 人员、政策和手续的集合用来实现基于公钥密码体制的证书产生、管理存储、发 行和作废等功能。完整的p k i 系统必须具有权威认证机关( c a ) 、数字证书库、密 钥备份及恢复系统、证书作废系统、应用接口等基本构成部分“”。c a 是证书的签 发机构，它是p k i 的核心。数字证* 是公，i ：密钥体系的一利密例管脞媒介。它姓一 华中科技大学硕士学位论文 种权威性的电子文档，形同网络计算环境中的一种身份证，用于证明某一主体( 如 人、服务器等) 的身份以及其公开密钥的合法性，又称为数字i d 。数字证书由一 划密钥及j 户信息等数据共同组成，并写入一定的存储介质内，确保用户信息不 被= 作法读取及篡改。p k i 提供了访问控制服务、通信保密服务、完整性服务、认证 服务、源不可否认服务、目的不可否认服务、会话保密服务、密钥恢复服务和时。 阳j 日期戳服务等九大项信息安全必须的服务功能“。 1 3 4 防火墙技术 防火墙是指设置在不同网络( 如可信任的企业内部网和不可信的公共网) 或 网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之问信息的唯 一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流， 目本身具有较强的抗攻击能力”“。它是提供信息安全服务，实现网络和信息安全 的基础设施。防火墙按使用的技术原理可分为包过滤防火墙和应用层网关级防火 墙。 1 3 5 入侵检测技术 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员 的安全管理能力( 包括安全审计、监视、进攻识别和响应) ，提高了信息安全基础 结构的完整性“”。它从计算机网络系统中的若干关键点收集信息，并分析这些信 息，石石恻络i 灶西宵迎反安全策略的行为和迎剑袭a i - n j 迹织。 1 3 6 虚拟专用网技术 虚拟擘j h 网披术( v p n ) 是利用一定的隧道技术或配蜀披术刘公网的通信介质 进行某种逻辑上的分割，从而虚拟出私有的通信网络环境的技术。基本思想就是 利用i n t e r n e t 来传输私有信息而形成逻辑网络，、从而为企业级用户提供比专线价格 低廉和高安全性的资源共享和互连服务1 。 8 华中科技大学硕士学位论文 13 7 防病毒技术 防病毒技术是指利用专用的防病毒软件和硬件，发现、渗断和消灭各种计算 机病毒和网络病毒，保证i , t 算机和计算机网络的安全。目前的杀毒软件已经从单 机版发j 腥j ；l j 网络版，并向实叫杀毒过渡“。 1 4 全文内容安排 论文将在第二章归纳各种常见的身份认证的方法；在认证方式上，总结了单 重认证方案在安全、功能等方面的缺陷，设计了个更加安全的双重认证方案； 针对苏建公司具体的业务流程规划了一个基于公钥私钥的认证方案满足了系统 的安全需求，指出安全隐患是企业信息化的重要瓶颈，安全的信息系统可以加速 和促进企业的业务流程重组。 论文将在第三章综述三种访问控制策略；针剥苏建公司的管理特点在基于角 色的访问控制模型( r b a c ) 的基础上提出一种新的基于层次树型角色访问控制模 型( t r b a c ) ，给出模型结构，说明使用的规则，指出其优点、缺点及其适用范围； 并在s s r c c m i s 中实现了基于t r b a c 的访问控制管理软件模块，应用于功能选项 控制和客户机登录权限控制。 论文将在第四章介绍在s s r c c m i s 中应用的其他信息安全技术。 沦文将在第血章根据信息安全工程的特点、控制论的思路提出信息系统安全 控制模型，为信息安全工程的实施提供了一个宏观的理论框架；提出安全损失一 一安全级别模型，并根据模型提供了一种信息系统安全目标的决策分析过程，分 - 析了安全决策人员风险厌恶程度、信息系统资产价值对安全目标决策结果的影响。 论文将在第六章总结本文的主要工作指出有待进一步解决的问题和研究展 望。 9 华中科技大学硕士学位论文 2 身份认证 2 1 信息系统中常用的身份认证方法 信息系统中的认证技术包括身份认证和报文认汪。身份认证是保障信息系统 安全的筇一道防线。身份认证又包括单向认证( 认证b ) 和双向认证( 、b 棚 互认证) ，本章主要讨论信息系统中主要的认证方式：服务器端对客户端的单向认 证。身份认证一般包括两方面的内容“： 1 ) 身份识别：明确访问者的身份，要求可区分不同的用户； 2 ) 身份验证：对访问者的身份进行确认。 在分析和归纳目前主要的安全技术和网络应用系统的基础上，作者总结了四 种主要的身份认证方法“”“7 “”“： 2 1 1 基于用户名密码的身份认证 基于用户名密码的身份认证是最常用的身份认证方法，其基本原理如图2 1 所示： 客户机 u s e r n a m e , f ( p a s s w o r d ) 认证服务器 图2 1 基于用户名密码的身份认证原理图 认证服务器中保存了所有用户的用户名( u s e r n a m e ) 、用户密码的函数值 f ( p a s s w o r d ) 和用户权限信息。用户在客户机或终端输入用户名和密码，客户机端 的应用将 u s e r n a m e ，f ( p a s s w o r d ) ) 传输到认证服务器端进行匹配，若匹配成功， 返回用户权限信息，否则认证失败。 如果f ( p a s s w o r d ) = p a s s w o r d ，则称为明码认证。明码认证方法容易实现， 运行效率高；但安全性较差，黑客利用简单的网络抓包程序如s n i f f e r 、t c p d u m p 等都可以容易地截取到用户密码，然后冒充该用户登录客户端应用系统进行非法 1 0 华中科技大学硕士学位论文 操作。并且认证服务器端有所有用户的明文密码信息，一旦用户列表泄密或攻破， 黑客可以洲有系统的所有操作权限。该方法适用于规模较小且对安全性要求不高 的应用系统中。 常将r 选择为固定的单向函数，即使黑客通过网络窃听或攻击认证服务器获 墩了f ( p a s s w o r d ) ，也无法从f ( p a s s w o r d ) 推理出p a s s w o r d 后直接在客户端登录 应用系统，这种身份认证方式称为加密认证。显然加密认证比明码认证具有更高 的安全性，但对黑客的字典攻击和重放攻击较脆弱。 如果f 是动态的函数，分两种情况：一种是用户每次登录系统使用的f 确定， 如一次一密认证协议，需要用户和服务器按事先商定的吣议同步f ，这种方式可 以防御重放攻击和字典攻击；另一种是用户每次登录时与服务器通过握手协议临 时随机决定f 和f _ ，保证f 和f 1 不在网络上传递( 如d i f f i e h e l l m a n 算法) ， 这种认证方式称为安全连接认证，可以克服明码认证和加密认证在安全性上的一 些缺陷，但是传输数据前后都要进行加密解密操作，对系统的运行效率产生一定 的影响。 由于理论上没有不可解的加密方法，只是解密需要的时间长短不同，基于用 户名密码身份认证对一些关键应用的安全性还是不够的。 2 1 2 基于交流的身份认证 基于交流的身份认证的基本原理是：不将用户密码传输到服务器端，而是通 过客户端和服务器进行一个或多个来回的交流( c h a l l e n g e r e s p o n s e ) 来确定用户 的身份。在交流中双方各传一些数据，这些数据用只有该用户和认证服务器知道 的键值( 如用户密码h a s h 等) 进行加密，从而验证用户的身份。黑客不可能仅 仅通过截取一些网络包而得到用户的密码。基于交流的身份认证包括服务器主动 式交流和时间戳交流。 服务器主动式交流的基本原理如图2 2 所示： 华中科技大学硕士学位论文 h e l l 0 - i 口 r a n d o m s t r i n g 一 朐吐臣墨自 。，。，e k 。( 。d o m s t r t 。) 客户机 认证服务器 s “。3 8 f 8 i l “。 图2 2 服务器主动式交流的基本原理 其中r a n d o m s t r i n g 是服务器随机产生的固定长度的字符串，k c = f ( p a s s w o r d ) 。 e k c ( r a n d o m s t r i n g ) 表示客户机以k c 为密钥对r a n d o m s t r i n g 进行加密。认证服务 器的认证过程为：根据u s e r n a m e 从用户凭证数据库中找出f ( p a s s w o r d ) ，把 f ( p a s s w o r d ) 作为密钥对r a n d o m s t r i n g 进行加密，将加密结果与 e k e ( r a n d o m s t r i n g ) 进行比较，如果相同通过认证，否则认证失败。 在客户端和服务器间加密传输的是当前系统时间的用户认证方法称为时间戳 交流认证。由客户端先用用户密码h a s h 加密当前系统时问得到加密串后，将该加 密串和用户名一起通过网络传输给认证服务器。认证服务器收到用户名和加密串 后，从用户凭证数据库中取出该用户的密码h a s h ，并用此密码h a s h 解密收到的 加密串，取出系统时问，与认证服务器的系统时间比较，若差距在一个可以接受 的范围内就认为用户认证成功，否则认证失败。时阳：j 戳交流认证的最主要特点是 可以防止重放攻击。而且整个认证过程只需要与服务器交流一个来回，比服务器 生动式交流认证具有更高的运行效率。但由于每个客户端都必须和服务器保持一 致的系统时间才能确保时间戳交流认证正确，所以网络中要维护一台时间服务器。 21 3 基于公钥私钥的身份认证 在对称密码体制下，密钥的传递需要可靠通道；对于验证方来既，需要花费 较大的代价来管理合法用户的密码，防止用户账号信息的泄密、遗忘、丢失、篡 改；n 个人之间相互认证需要丛! 芈个密钥，密钥量呈非线性的增长趋势，难以 管理：并且在电子商务时代不能认证互不相识的用户，因此具有一定的局限性。 1 2 华中科技大学硕士学位论文 基于公钥私钥的身份认证与传统的用户名密码的认证不同，通过可信的第三方 米管耻认证各方的密钥，它将j | j 户从c a 申请到的讧e - 1 s 作为用户的身份凭证( 证 b 中含有用户名和用户公钥) ，通过公钥加密、私钥解密或私钥加密( 签名) 、公 钥解密，以确保数据的安全性。 基于公钥私钥的身份认证的基本原理见图2 3 图2 3 基于公钥私钥的身份认证的基本原理 其中c 代表客户端，s 代表服务器，k s p u b 是服务器的公钥，k s p r i 是服务器 的私钥，k c p u b 是客户端的公钥，k c p r i 是客户端的私钥，c e r t ( s ) 是服务器的 证书，c e r t ( c ) 是客户端的证书。客户端和服务器通过认证机构( c a ) 来查 淘、获取包括用户名和公钥的证书，证书都经过认证机构的签名，可通过认证机 构的公钥来检查证书的真实性。客户端将一个随机数用自己的私钥签名后和用户 名一起用服务器的公钥加密后传输到服务器，用服务器的公钥加密保证了只有认 证服务器能进行解密，用用户的密钥签名保证该数据是由用户发出的；服务器收 到客户端的数据后先用自己的私钥解密，通过c a 查询用户宣称的用户名的证书后 用用户的公钥进行解密，若成功则证明用户是其宣称的身份，还要到用户数据库 中检索该用户及其权限信息，才能将通过认证的信息和客户端传来的随机数用服 务器的私钥签名后用用户的公钥加密，传回客户端，客户端解密后得到认证成功 的信息。 用户很难记住长的密钥，常结合智能卡来实现基于公钥私钥的身份认汪，将 华中科技大学硕士学位论文 用户的密钥和证二b 存入一个有存储空间和处理器的硬件卡中，所有加密、签名和 解密处理全部在智能卡中进行，用户私钥从不调入计算机内存，进一步提高了系 统的安全性。智能卡用一个p i n 码保护，连续输入不正确p i n 超过若干次卡片就 会上锁，因此即使丢失卡片也不用担心。这种认证方法的成本较高，一般在安全 蛆求 卧硼0 系统i 使川。 。 2 1 4 基于生物特征的身份认证 ， 基于生物特征的身份认证以其准确性、安全性成为现在的研究热点，它通过 计算机利用人类自身的生理特征( 如虹膜、面部、指纹等) 和行为特征( 声音、 笔迹等) 来进行身份鉴别。 与传统的身份鉴定手段相比，基于生物特征识别的身份鉴定技术具有以下优 点： 1 ) 不易遗忘或丢失； 2 ) 防伪性能好，不易伪造或被盗； 3 ) ”随身携带”，随时随地可用。 但是，这种认证方式也有缺陷： 1 ) 还没有一个单生物特征能达到完美无错的要求。 2 ) 每种生物特征都有自己的适用范围。比如，有些人的指纹无法提取特征， 忠白内障的人虹膜会发生变化。在对安全有严格要求的应用领域中，人 们往往需要融合多生物特征来实现高精度的识别系统。 3 ) 成本较高。 2 2 一种新的双重认证方案 对于基于客户机服务器计算模式的信息系统而言，身份认证主要包括两个层 次1 ： 1 ) 应用级认证：认证用户是否能够登录到系统的前端应用工作站，属 1 4 华中科技大学硕士学位论文 于信息系统应用级的安全问题。 2 ) 数据库级认证：认证用户是否能够登录到系统的后端数据库，属于 系统级的安全问题。 s s r c c - m 1 s 的数据库管理系统( d b m s ) 选用m i c r o s o f ts o ls e r v e r2 0 0 0 企 业版，它的登录有两种模式：标准登录模式和与操作系统捆绑的集成登录模式。 虽然在s s r c c - m i s 中用户在进入客户机的操作系统w i n d o w s2 0 0 0 时需要进行 s s r c c 域认证，但用户习惯上班后开机一直到下班时关机为止，在此期间有可能 离外计算机，所以在本系统i _ i = i 必须要求日户采川标准登录模式进入数据库才能充 分保证安全。 为了达到操作简便的目的，大多刀：发商采用单重认证的方式：只在数据库端 进行认u e 或只在应用端进行认证。在目前国内的信息管理系统中，普遍存在重视 应用端的认证而忽略了数掘库级的安全性漏洞。下面主要从信息安全的角度分析 各种认证方案： 2 2 1 数据库端的单重认证方案 列于数据库端的单重认证方案，要求用户根据其数据库的账号先登录到数据 库服务器，一旦通过之后就直接进入应用系统，将应用级的安全建立在数抛库级 安全的基础上，用户的操作权限完全由d b m s 的数据实体的各用户存取控制设置方 案来决定。 这种方案可以实现较具体的数据访问控制策略，但是在一个大型的信息系统 中存在着大量的数据实体，拥有较多的不同操作权限( 新增、修改、删除、查询) 的用户，即使设置概括度很高的角色，授权工作也很复杂。 由于没有对应用级进行认证，无法对应用的功能设置权限，用户不能从菜单 项或命令按钮等应用部件的角度了解自己的操作权限范围，常常会碰到通过数据 库反馈的无权使用某功能的出错信息，会打击用户使用系统的热情，并且用户不 能从应用程序了解自己权限的变更。 华中科技大学硕士学位论文 岍1 ：应刚系统剥用户没有设防，而且客户端软件和数据库之问的连接过程对 用户公丌，用户可以绕过应用程序利用开发工具如p o w e r b u i l d e r 或d b m s 软件通 过o d b c 数据源接口或者数据库专用接口直接对数据库进行操作，这些不经过前台 应用软件控制的操作可能违反正常的操作逻辑和操作流程，不能利用应用系统中 的俅护模j 火进行维护和制止，有可能列数据库i l 数栅实体的完整性剃一致性j i ! f 成 破坏。 2 2 2 应用级的单重认证方案 在应用级的单重认证方案中，系统为每个用户设置一个针对前台应用的用户 账号，每个账号有相对应的唯一密码。对于后台数据库，系统一般设置一个统一 的管理员级别的帐号和密码，所有用户均以这个数据库账号登录数据库。如果用 户每次启动系统后需要亲自输入数据库的用户名和密码，称为显式登录，这种方 式所有用户都知道数据库管理员的密码，其安全漏洞比数据库端的单重认证方案 还要严重，因为任何一个用户都能够控制整个数据库。所以一般的开发思路是采 用隐式登录的方案，即在应用程序中利用开发工具的数据库接口程序根据固定的 数据库管理员账号和密码登录数据库，这个过程对用户来说是透明的。只要应用 程序的源代码不泄露，用户得不到数据库的直接操作权限，通过应用级的安全可 以保证系统级的安全；可以根据用户登录系统前端的身份设置用户对应用中具体 功能项( 菜单条，命令按钮等) 的操作权限，因为每个功能项涉及相应的若干数 据操作，实际上以一种较简便的对较少的应用功能选项的权限设置实现了较复杂 的数据实体存取控制，另外功能选项的设置更加直截了当，方便了系统管理员的 授权操作；并且功能选项是系统与用户之间的直接交流界面，用户可以通过软件 的特殊功能标识( 如用反白的菜单条表示用户对该操作没有权限) 获悉自己的操 作权限以及自己权限的变更情况。所以这种隐式登录的应用级单重认证方案相对 予数据库级的单重认证方案以及显式登录方案更加方便和安全。 但是该方案还是有较严重的安全漏洞： 1 6 华中科技大学硕士学位论文 固定的数据库管理员密码本身不符合信息系统的安全条例，况且一般用 户的密码都要求在使用一段时期后修改，对于统管所有数据实体操作权 限的管理员口