（计算机系统结构专业论文）基于主机系统的电子商务安全体系结构及实施方案.pdf

摘要 摘要 安全方面的考虑对于企业应用来说至关重要。较高的安全性在为企业带来丰 厚回报的同时，还能够开拓新市场和增加用户体验。无论是在b 2 b 应用还是b 2 c 应用上，安全方面的考虑始终是放在第一位的。随着全球互联网的扩大和网络带 宽的增加，越来越多的商业活动转型给企业信息系统带来前所未有的访问量，来 自于安全方面的挑战无疑是摆在每位用户、企业管理员以及政府相关人员面前的 难题，同样也是摆在应用开发人员面前的新课题。 当我们在进行企业应用集成时，基于j 2 e e 和w e b 服务的松散耦合的分布式应 用方案已成为首选应用开发模型。j 2 e e 平台提供了很多基于标准的安全组件来构 建一个安全的基础框架。当主机为中心的企业对应用系统进行集成时，安全性方 面是关注的焦点。众所皆知，主机在过去是以其安全性和可用性著称，但是今天 的安全环境对主机的安全产生了很大的影响，各种非信任的对企业敏感数据和资 源的访闯将引入进主机环境。这样在开发一个应用之前先着手构建一个端到端的 安全框架就显得尤为重要。 本文首先介绍了在以主机为中心的企业在构建新的电子商务应用时所面临的 现实挑战。同时讲述了无论是在主机环境还是在开放平台上现有的各种安全技术。 接着着重阐述主机环境特有的安全模型和相关安全产品r a c f 和l d a p 。然后按不同 应用层次( w e b 层、e j b 层、e i s 层、w e b 服务层) 来阐述j 2 e e 平台上的各种安全 机制和相关安全组件。在此基础上提出一个新型基于主机端到端的安全解决方案， 并按照此方案来构建一个实际应用“用户积分消费服务”，从安全需求分析、安 全建模、安全设计，再到应用系统的设计、开发、集成、测试和部署。 文章最后对此方案的可行性和健壮性及安全性进行测试，结果显示此方案是 可行的。但在现有的安全体系架构上，还有些地方需要进一步做出改进，以达到 较高的安全性能。比如：在现有的w e b 服务安全框架中还未实现基于角色的安全 访问控制。 关键词：大型机、j 2 e e 、安全架构、w e b 服务安全 a b s t r a c t a p p l i c a t i o ns e c u r i t y i sa ni m p e r a t i v ef o rb u s i n e s s c o m p a n i e sw i t hb e t t e rs e c u r i t y w i l lg a i nc o m p e t i t i v er e v e n u e ，o p e n u pn e wm a r k e t s ，a n di m p r o v ee n d u s e re x p e r i e n c e t h i si st r u ef o rb o t hb 2 ba n db 2 ca p p l i c a t i o n s w i t hg l o b a ln e t w o r kc o n n e c t i v i t ya n d e v e r - i n c r e a s i n gb a n d w i d t h ，w eh a v es e e nb u s i n e s st r a n s f o r m a t i o na n du n p r e c e d e n t e d a c c e s st oe n t e r p r i s ei n f o r m a t i o na n dr e s o u r c e s s e c u r i t yi sn o wa tt h ef o r e f r o n to ft h e c h a l l e n g e sf a c i n gu s e r s ，e n t e r p r i s e s ，g o v e r n m e n t s ，a n da p p l i c a t i o np r o v i d e r sa n d d e v e l o p e r s w h e na ni n t e g r a t e d a p p l i c a t i o ni sd e v e l o p e d ，l o o s e l yc o u p l e dd i s t r i b u t e d a p p l i c a t i o n sb a s e do nj 2 e ea n dw e bs e r v i c e sh a v eb e c o m et h ep r e f e r r e dm o d e lf o r d e v e l o p e r m e a n w h i l e , j 2 e ep l a t f o r ms u p p l yal o to fs e c u r ec o m p o n e n t st oc o n s t r u c ta s e c u r i t yi n f r a s t r u c t u r e w h e ni n t e g r a t i n g w i t hm a i n f r a m e - c e n t r i ce n t e r p r i s ei n f o r m a t i o n s y s t e m ，s e c u r i t yi st h ef i r s tf o c u s b e c a u s es e c u f i t yi nam a i n f r a m e - c e n t r i ce n v i r o n m e n t i nt h ep a s th a sb e e ns t r a i g h t f o r w a r d 。b u tt h i ss i t u a t i o nh a sh a da ne n o r m o u si m p a c to n t o d a y ss e c u r i t yi n f r a s t r u c t u r e , a sa l l k i n d so fu n t r u s t e da c c e s sp o i n t sh a v eb e e n i n t r o d u c e dt ot h ei n f r a s t r u c t u r et h a th a v ea c c e s st ot h ee n t e r p r i s e ss e n s i t i v ep r o g r a m i o g i ca n dd a t ao nt h em a i n f r a m e t h e r e f o r e , b u i l d i n gae n d t o e n ds e c u r i t ya r c h i t e c t u r e i sv e r yi m p o r t a n ta n de s s e n t i a lb e f o r eg o i n ga n yf a r t h e rw i t ht h ed e p l o y m e n to fa n a p p l i c a t i o n t h i s p a p e r o u t l i n e st h er e a l c h a l l e n g e s w ea r e f a c i n gt o d a y i na m a i n f r a m e - o r i e n t e de n v i r o n m e n tw h e nb u i l d i n gn e we c o m n l e r c ca p p l i c a t i o n ，a n d s h o w st h a te x i s t i n gs e c u r i t yt e c h n o l o g yo nt h em a i n f r a m ec o m b i n e dw i t hn e ws e c u r i t y t e c h n o l o g yo u t s i d et h em a i n f r a m ec a nb eav e r yg o o df i tt oa d d r e s st h o s ec h a l l e n g e s a f t e r w a r d se l a b o r a t e sm a i n f r a m es e c u r i t ym o d e la n ds e c u r i t yp r o d u c tr a c f ，l d a p ， a n dp r e s e n t st h ej 2 e ep l a t f o r m sk e ys e c u r ec o m p o n e n t so nw e bt i e ，e j bt i e ，e i st i e , w e bs e r v i c et i e a tl a s ti tp r o v i d e san e ws e c u r i t ym u l t i t i e ss o l u t i o no nc o m n l o nj 2 e e p l a t f o r mi n t e f a t e d 嘶mm a i n f i m n ep l a t f o r m ，a n dt h e nb a s e do nt h a t ，t a k e st h es a m p l e a p p l i c a t i o n “u s e ra w a r dc o n s n m os c r v i c c t oe l a b o r a t et h es e c u r i t ym o d e l i n g , s e c u r i t y d e s i g n i n g , s e c u r i t ys e r v i c ea n dd e p l o y m e n t a tl a s tt h i sp a p e re l a b o r a t e ss o m et e s t sr e l a t e dt of e a s i b i l i t ya n ds e c u r i t y , b yw i t c h ， t t a b s t r a c t t h es o l u t i o ni sb e t t e rt ot a k es e c u r i t yp r o b l e m b u tt h e r ei ss o m e t h i n gt od of o rb e s t s e c u r i t y , s u c ha st h a ta c c e s sc o n t r o lm e c h a n i s mb a s e do nr o l eh a sn o ti n t r o d u c e dt ow e b s e r v i c ea r c h i t e c t u r e k e yw o r d s ：m a i n f r a m e ，j 2 e e ，s e c u r i t y a r c h i t e c t u r e ，w e bs e r v i c es e c u r i t y i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 躲逃 名扪 7 年二月万日 第一章绪论 1 1 电子商务的概述 第一章绪论 随着信息化时代的到来及i n t e r n e t 的迅速普及，企业信息化已经得到了长足 的发展，传统的商业模式正在经历一次大的变革，电子商务由此应运而生。 电子商务正是为了适应这种以全球为市场的变化而出现和发展起来的，它可 以使商家与供应商更紧密地联系，更快地满足客户的需求，也可以让商家在全球 范围内选择最佳供应商，在全球市场上销售产品。目前，越来越多的公司利用 i n t e r n e t 来开展商务活动，并己获得明显的投资回报。商务活动向i n t e r n e t 转 移的速度越来越快。利用先进的技术，提高企业的业务处理速度，降低运营成本， 扩大应用领域，能帮助企业解决一些棘手的问题，如保持市场优势，加快产品上 市速度，解决企业国际化问题，提高企业内部的工作效率等。 电子商务可以分为企业( b u s i n e s s ) 对终端客户( c u s t o m e r ) 的电子商务( 即 b 2 c ) 和企业对企业的电子商务( 即b 2 b ) 两种主要模式。 b 2 c 模式，大家可能更为熟悉一些，它是从企业到终端客户( 包括个人消费者 和组织消费者) 的业务模式。今天所谈的电子商务时代的b 2 c 是通过电子化、信 息化的手段，尤其是互联网技术把本企业或其它企业提供的产品和服务不经任何 渠道，直接传递给消费者的新型商务模式。 b 2 b 模式，企业与企业之间的业务模式被称作b 2 b ，电子商务b 2 b 的内涵是企 业通过内部信息系统平台和外部网站将面向上游的供应商的采购业务和下游代理 商的销售业务都有机地联系在一起，从而降低彼此之间的交易成本，提高满意度。 实际上面向企业闯交易的b 2 8 ，无论在交易额和交易领域的覆盖上，其规模比起 b 2 c 来都更为可观，其对于电子商务发展的意义也更加深远。 1 2 基于j 2 e e 的平台构建新的电子商务应用 使用多层分布式的应用模式j 2 e e 平台，为构建新一代的电子商务应用提供一 个好的体系架构。j 2 e e ( j a v a2e n t e r p r i s ee d i t i o n ) 是建立在j a v a2 平台上 的企业级应用的解决方案。j 2 e e 技术的基础便是j a v a2 平台，不但有j 2 s e 平台 电子科技大学硕士学位论文 的所有功能，冠时还提供了对e j b ，s e r v l e t ，j s p ，) ( m l 等技术的全面支持，其最 终目标是成为一个支持企业级应用开发的体系结构，简化企业解决方案的开发， 部署和管理等复杂问题。事实上，j 2 e e 已经成为企业级开发的工业标准和首选平 台。 j 2 e e 为搭建具有可伸缩性、灵活性、易维护性的商务系统提供了良好的机制， 主要表现在： 保留现存的i t 资产：由于企业必须适应新的商业需求，利用已有的企业信息 系统方面的投资，而不是重新制定全盘方案就交得很重要。这样，一个以渐进的 ( 而不是激进的，全盘否定的) 方式建立在已有系统之上的服务器端平台机制是 公司所需求的。j 2 e e 架构可以充分利用用户原有的投资，如一些公司使用的 b e at u x e d o、i b mc i c s ，i b me n c i n a ，、 i n o r i s ev i s i b r o k e r以及 n e t s c a p ea p p l i c a t i o ns e r v e r 。这之所以成为可能是因为j 2 9 9 拥有广泛的业界支 持和一些重要的“企业计算”领域供应商的参与。每一个供应商都对现有的客户 提供了不用废弃既有投资，进入可移植的j 2 e e 领域的升级途径。由于基于j 2 e e 平台的产品几乎能够在任何操作系统和硬件配置上运行，现有的操作系统和硬件 也能被保留使用。 高效的开发：j 2 e e 允许公司把一些通用的、很繁琐的服务端任务交给中间件 供应商去完成。这样开发人员可以集中耪力在如何创建商业逻辑上，相应地缩短 了开发时间。高级中间件供应商提供以下这些复杂的中间件服务： 状态管理服务一一让开发人员写更少的代码，不用关心如何管理状态，这样 能够更快地完成程序开发。 持续性服务一一让开发人员不用对数据访问逻辑进行编码就能编写应用程 序，能生成更轻巧，与数据库无关的应用程序，这种应用程序更易于开发与维护。 分布式共享数据对象c a c h e 服务一一让开发人员编制高性能的系统，极大提高 整体部署的伸缩性。 支持异构环境：j 2 e e 能够开发部署在异构环境中的可移植程序。基于j 2 e e 的 应用程序不依赖任何特定操作系统、中间件、硬件。因此设计合理的基于j 2 e e 的 程序只需开发一次就可部署到各种平台。这在典型的异构企业计算环境中是十分 关键的。j 2 e e 标准也允许客户订购与j 2 e e 兼容的第三方的现成的组件，把他们部 署到异构环境中，节省了由自己制订整个方案所需的费用。 可伸缩性：企业必须要选择一种服务器端平台，这种平台应能提供极佳的可伸 缩性去满足那些在他们系统上进行商业运作的大批新客户。基于j 2 平台的应用 2 第一章绪论 程序可被部署到各种操作系统上。例如可被部署到高端u n i x 与大型机系统，这种 系统单机可支持6 4 至2 5 6 个处理器。同时j 2 e e 领域的供应商提供了更为广泛的 负载平衡策略。能消除系统中的瓶颈，允许多台服务器集成部署。这种部署可达 数千个处理器，实现可高度伸缩的系统，满足未来商业应用的需要。 稳定的可用性：一个服务器端平台必须能全天候运转以满足公司客户、合作伙 伴的需要。因为z n t e r n e t 是全球化的、无处不在的，即使在夜间按计划停机也可 能造成严重损失。若是意外停机，那会有灾难性后果。j 2 e e 部署到可靠的操作环 境中，他们支持长期的可用性。一些j 2 e e 部署在w i n d o w s 环境中，客户也可选择 健壮性能更好的操作系统如s u ns o l a r i s 、i b m0 s 3 9 0 。最健壮的操作系统可达到 9 9 9 9 9 的可用性或每年只需5 分钟停机时间。这是实时性很强商业系统理想的选 择。 从以上可以看出，作为现代企业的业务发展的需要，本着从长远的打算出发， j 2 e e 平台已经成为企业信息化，打造新一代的电子商务应用的首先平台。 1 3 主机系统在现代电子商务中的角色及安全方面的挑战 快速实施电子商务的关键在于是否利用好企业现有稳定运行着的i t 资产。据 统计，超过7 0 的商业数据存在于i b m e 服务器上，它们中的绝大多数又存在于i b m z 系列服务器上。z 系列服务器是由传统的$ 3 9 0 系列发展而来的。它们在企事业 运算特别是事务处理方面取得很高的名声，以其高可靠性、高吞吐量、高并发性 及扩展性著称。其非开放的体系结构使得在安全性能方面更是独树一帜，成为企 业应用的坚强后盾。 随着电子商务时代的到来，为了适应商业模式的变化，面向i n t e r n e t 用户的 商业应用同时需要运行在主机上的传统应用的支撑，传统主机上的安全模型已经 不能满足需求，需要与开放平台及应用体系结构的现有安全模型进行一定的整合， 以适应企业对安全性能的需要。下面对z o s 系统对一个简单的介绍： z o s 是运行在z 系列服务器上的操作系统，它是由0 s 3 9 0 发展而来的。它在 很多传统商业应用中扮演着重要的角色，至今都有很多关键应用运行在z o s 上。 但随时电子商务时代的到来，这些传统的商业应用也要加入到现代商业活动之中， 才能使企业应用得到持续的、健康的发展。在对电子商务的支持上其主要的功能 子系统有t c p i p ，u n i xs y s t e m ss e r v i c e s ，h f s ，l d a p d b 2 ，w l m ，s e c u r i t y s s l ， r r s l o g g e r ，r a c f 等( 如图l 1 ) 。 电子科技大学硕士学位论文 图1 一lz o s 系统体系架构 其中在主机上的w e b s p h e r e 应用服务器是遵循j 2 e e 标准的企业级应用环境， 它是运行于主机的u n i xs y s t e m ss e r v i c e s 环境之上的。( u n i xs y s t e m ss e r v i c e s 是完全遵循p o s i x 标准，提供标准的编程接口和s h e l l 环境的u n i x 系统) w e b s p h e r e 应用服务器包括的功能组件有：h t t p 服务器，w e b s p h e r e 可插拔环境，h t t p 门户 服务器，w e b s p h e r e 应用服务器以及与后端系统c i c s 、d b 2 、i m s 的连接器等。同 时运行在传统主机上的安全组件有：r a c f 、l d a p 、防火墙等，它们在主机系统上 形成了一个独特的安全模型。r a c f 是运行于z o s 上的一款安全产品，它通过z o s 提供的s a f 系统资源访问框架来完成各种安全功能。l d a p 是运行于主机上的轻量 级目录访问服务器，它通过r a c f 和d b 2 提供数据后备支持，提供一套标准的服务 器及客户端编程接口。关于主机系统上的安全模型在第三章介绍。主机上的安全 模型与j 2 e e 的安全模型进行整合在基于主机的企业应用中最重要的任务之一，是 企业此类电子商务成功的关键。 1 4 本文的研究的主要内容及创新点 本文主要的研究内容包括： 首先是在介绍j 2 e e 与安全相关的组件及标准的基础上，分析现有的安全技术 及j 2 e e 安全模型；从j a v a 的安全机制、j a a s ( j a v a 认证和授权服务) 、到j 2 e e 基于角色的访问控制。系统地阐述其安全控制原理及实现机制。然后着重介绍主 机环境下的体系结构及相关安全产品，如：s a f 系统资源访问控制机制，r a c f 安 全服务器等，特别是与其它予系统一起构成的传统主机安全控制模型；最后落实 到实际应用中，结合构建多层分布式的电子商务系统，把开放平台的应用与传统 4 第一章绪论 的主机上的应用结合起来，阐述怎样形成一个统一的、易于扩展的，健壮的安全 平台，并提出一个较为详尽的实现方案。主机系统与开发平台有着完全不同的安 全模型，怎样才能把两者有效地集成在一起，保证开放平台的安全模型不会影响 到主机系统原有的安全模型。这是本文的关键点。通过分层安全机制及j 2 e e 环境 以及主机环境下特有的安全技术及安全组件创造性地提出了这一端到端的安全解 决方案，这是本文的主要创新点。 本文的组织结构如下： 前三章介绍了在以主机为中心的企业应用中所面临的现实挑战，同时讲述了 无论是在主机环境还是在开放平台上现有的各种安全技术。 第四章，“主机安全架构及相关安全产品”分析了主机上的安全架构及相关 安全产品。 第五章，“j 2 e e 安全概述”介绍了在构建多层应用时要用到的各种安全组件 和阐述了怎样来进行安全的w e b 服务。 第六章“主机集成安全解决方案及应用案例”更加详细地阐述了怎样来构 建一个合理的安全解决方案，然后通过一个样本应用“用户积分消费服务”来进 行安全建模、安全设计和安全服务创建等。 第七章总结与展望。 电子科技大学硕士学位论文 第二章电子商务的安全状况 2 1 电子商务现实的安全状况 2 0 0 5 年，美国著名信用卡公司v i s a 爆出了约4 0 0 0 万的信用卡用户资料被盗 的事件，还有2 0 0 6 年发生的工商银行“网银被盗”事件让人们看到了随着信息时 代的发展，信用卡，电子银行等在带给人们便利的同时，也带来了前所未有的安 全挑战。 今年以来，大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通 过窃取用户的卡号和密码，大量盗窃资金和冒用消费，因此虽然网上银行业务对 于银行和用户都有不少好处，但是发生这些情况使得银行在推广面临非常巨大的 风险，提高网上银行此类电子商务的安全性也是刻不容缓。 2 2 存在的安全隐患 存在的安全隐患按体系结构层次主要表现在以下几个方面： 系统层安全性漏洞：电子商务系统的运作必须以系统层的软硬件为基础，因 此系统层所使用的硬件设备、操作系统、系统软件及互联网的基础设施中的安全 性漏洞将直接造成电子商务中的安全性隐患。 应用层安全性问题：在构建新的应用，对新系统进行架构时，对安全方面的 要考虑得不够周全，存在一些设计上的缺陷和漏洞，给非法用户留下了可以利用 和攻击的后门。 网络层安全威胁：商业数据的机密性受到严重威胁，电子商务系统中的数据 在网络传输过程中可能受到恶意的截获。攻击者可能通过互联网、公共电话网、 搭线或在电磁波辐射范围内安装截收装置等方式，截获传输的机密信息，或通过 对信息量和流向、通信频度和长度等参数的分析，获取有用的信息，如消费者的 银行帐号、密码等。传输过程中的数据完整性极易遭到破坏：攻击者可能篡改原 始信息、在信息中添加或删除一些信息来从中获得非法利益，从而破坏信息的完 整性。通过冒充他人身份来欺骗系统，假冒他人的身份进行活动，取得不正当利 益或对他人造成经济损失，带来恶劣影响。在电子商务交易过程由于缺乏传统商 6 第二章电子商务的安全状况 业活动中的一些实物证件，合同。交易过程事后的抵赖经常发生。 第三方加入带来的威胁：在现实的在同一个电子商务网络中，可能同时存在 多个操作系统，有多种型号的电脑设备，使用多种数据传输介质，并要求同时支 持多国语言。如果平台之间的兼容性存在问题，有可能导致电子商务系统中数据 的丢失。特别是在不同体系结构、不同安全模型中进行交互时，应用从一个安全 域切换到另一个安全域，对应用系统的安全是一个极大的挑战。 2 3 电子商务安全需求 面对前面提到的电子商务面临的各种安全方面的风险和隐患，再考虑到应用 中遇到的实际情况，对电子商务应用的安全需求做一个简要的归纳，总结为以下 几点： 机密性：机密性是保护机密信息不被非法存取以及信息在传输过程中不被非 法窃取。 完整性：完整性是防止信息在传输过程中丢失和重复及非法用户对信息的恶 意篡改。 认证性：认证性是确保交易信息的真实性和交易双方身份的合法性。 可控性：可控性是指保证系统、数据和服务能由合法人员访问。 不可否认性：不可否认性指的是有效防止通信或交易双方对已进行的业务的 否认。 7 电子科技大学硕士学位论文 第三章相关安全技术、安全协议及安全设施 3 1 密码技术 由于数据在传输过程中有可能遭到侵犯者的窃听而失去保密信息，加密技术 是电子商务采取的主要保密安全措施，是最常用的保密安全手段。加密技术也就 是利用技术手段把重要的数据变为乱码( 加密) 传送，到达目的地后再用相同或 不同的手段还原( 解密) 。加密包括两个元素：算法和密钥。一个加密算法是将 普通的文本( 或者可以理解的信息) 与一窜数字( 密钥) 的结合，产生不可理解 的密文的步骤。密钥和算法对加密同等重要。密钥是用来对数据进行编码和解码 的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制，来保证网 络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体 毒4 两种。 在对称加密算法中，数据加密和解密采用的都是同一个密钥，因而其安全性 依赖于所持有密钥的安全性。对称加密算法的主要优点是加密和解密速度快，加 密强度高，且算法公开，但其最大的缺点是实现密钥的秘密分发困难，在大量用 户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开 放的环境中。目前最著名的对称加密算法有数据加密标准d e s 和欧洲数据加密标 准i d e a 等，目前加密强度最高的对称加密算法是高级加密标准a e s 。 对称加密算法、非对称加密算法和不可逆加密算法可以分别应用于数据加密、 身份认证和数据安全传输。 3 1 1 对称加密技术 对称加密算法是应用较早的加密算法，技术成熟。在对称加密算法中，数据 发信方将明文( 原始数据) 和加密密钥一起经过特殊加密算法处理后，使其变成 复杂的加密密文发送出去。收信方收到密文后，若想解读原文，则需要使用加密 用过的密钥及相同算法的逆算法对密文进行解密，才能使其恢复成可读明文。在 对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对数据进行 加密和解密，这就要求解密方事先必须知道加密密钥。对称加密算法的特点是算 第三章相关安全技术、安全协议及安全设施 法公开、计算量小、加密速度快、加密效率高。不足之处是，交易双方都使用同 样钥匙，安全性得不到保证。此外，每对用户每次使用对称加密算法时，都需要 使用其他人不知道的惟一钥匙，这会使得发收信双方所拥有的钥匙数量成几何级 数增长，密钥管理成为用户的负担。对称加密算法在分布式鼹络系统上使用较为 困难，主要是因为密钥管理困难，使用成本较高。在计算机专网系统中广泛使用 的对称加密算法有d e s 、i d e a 和a e s 。 传统的d e s 由于只有5 6 位的密钥，因此已经不适应当今分布式开放网络对数 据加密安全性的要求。1 9 9 7 年r s a 数据安全公司发起了一项“d e s 挑战赛”的活 动，志愿者四次分别用四个月、4 1 天、5 6 个小时和2 2 个小时破解了其用5 6 位密 钥d e s 算法加密的密文。即d e s 加密算法在计算机速度提升后的今天被认为是不 安全的。 a e s 是美国联邦政府采用的商业及政府数据加密标准，预计将在未来几十年里 代替d e s 在各个领域中得到广泛应用。a e s 提供1 2 8 位密钥，因此，1 2 8 位a e s 的 加密强度是5 6 位d e s 加密强度的1 0 2 1 倍还多。假设可以制造一部可以在1 秒内 破解d e s 密码的机器，那么使用这台机器破解一个1 2 8 位a e s 密码需要大约1 4 9 亿万年的时间。( 更深一步比较而言，宇宙一般被认为存在了还不到2 0 0 亿年) 因此可以预计，美国国家标准局倡导的a e s 即将作为新标准取代d e s 。 3 1 2 非对称加密技术 非对称加密算法使用两个完全不同但又是完全匹配的一对钥匙一公钥和私 钥。在使用非对称加密算法加密文件时，只有使用匹配的一对公钥和私钥，才能 完成对明文的加密和解密过程。加密明文时采用公钥加密，解密密文时使用私钥 才能完成，而且发信方( 加密者) 知道收信方的公钥，只有收信方( 解密者) 才 是唯一知道自己私钥的人。非对称加密算法的基本原理是，如果发信方想发送只 有收信方才能解读的加密信息，发信方必须首先知道收信方的公钥，然后利用收 信方的公钥来加密原文；收信方收到加密密文后，使用自己的私钥才能解密密文。 显然，采用非对称加密算法，收发信双方在通信之前，收信方必须将自己早已随 机生成的公钥送给发信方，而自己保留私钥。由于不对称算法拥有两个密钥，因 而特别适用于分布式系统中的数据加密。广泛应用的非对称加密算法有r s a 算法 和美国国家标准局提出的d s a 。以非对称加密算法为基础的加密技术应用非常广 泛。 9 电子科技大学硕士学位论文 3 1 3 不可逆加密算法 不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直 接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入 明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重 新识别后，才能真正解密。显然，在这类加密过程中，加密是自己，解密还得是 自己，而所谓解密，实际上就是重新加一次密，所应用的“密码”也就是输入的 明文。不可逆加密算法不存在密钥保管和分发问题，非常适合在分布式网络系统 上使用，但因加密计算复杂，工作量相当繁重，通常只在数据量有限的情形下使 用，如广泛应用在计算机系统中的口令加密，利用的就是不可逆加密算法。近年 来，随着计算机系统性能的不断提高，不可逆加密的应用领域正在逐渐增大。在 计算机网络中应用较多不可逆加密算法的有r s a 公司发明的m d 5 算法和由美国国 家标准局建议的不可逆加密标准s h s ( s e c u r eh a s hs t a n d a r d ：安全杂乱信息标准) 等。 3 2 身份认证技术 身份认证要求参与安全通信的双方在进行安全通信前，必须互相鉴别对方的 身份。保护数据不仅仅是要让数据正确、长久地存在，更重要的是，要让不该看 到数据的人看不到。这方面，就必须依靠身份认证技术来给数据加上一把锁。数 据存在的价值就是需要被合理访问，所以，建立信息安全体系的目的应该是保证 系统中的数据只能被有权限的入访问，未经授权的人刚无法访问到数据。如果没 有有效的身份认证手段，访问者的身份就很容易被伪造，使得未经授权的人仿冒 有权限人的身份，这样，任何安全防范体系就都形同虚设，所有安全投入就被无 情地浪费了。 在企业管理系统中，身份认证技术要能够密切结合企业的业务流程，阻止对 重要资源的非法访问。身份认证技术可以用于解决访问者的物理身份和数字身份 的一致性问题，给其他安全技术提供权限管理的依据。所以说，身份认证是整个 信息安全体系的基础。 由于网上的通信双方互不见面，必须在交易时( 交换敏感信息时) 确认对方 的真实身份；身份认证指的是用户身份的确认技术，它是网络安全的第一道防线， 也是最重要豹一道防线。 i o 第三章相关安全技术、安全协议及安全设施 在公共网络上的认证，从安全角度分有两类：一类是请求认证者的秘密信息 ( 例如：口令) 在网上传送的口令认证方式，另一类是使用不对称加密算法，而 不需要在网上传送秘密信息的认证方式，这类认证方式中包括数字签名认证方式。 3 2 1 口令认证方式 口令认证必须具备一个前提：请求认证者必须具有一个i d ，该i d 必须在认 证者的用户数据库( 该数据库必须包括i d 和口令) 中是唯一的。同时为了保证认 证的有效性必须考虑到以下问题： 请求认证者的口令必须是安全的。 在传输过程中，口令不能被窃看，替换。 请求认证者在向认证者请求认证前，必须确认认证者的真实身份。否则会把 口令发给冒充的认证者。 口令认证方式还有一个最大的安全问题就是系统的管理员通常都能得到所有 用户的口令。因此，为了避免这样的安全隐患，通常情况下会在数据库中保存口 令的h a s h 值，通过验证h a s h 值的方法来认证身份。 3 2 2 数字证书认证方式 数字证书认证的实现包括数字摘要、数字签名技术、数字证书技术和智能卡 等。 数字摘要( d i g i t a ld i g e s t ) 通过使用单向散列函数( h a s h ) 将需要传送的 信息处理成一个固定长度的摘要。该摘要同原来的信息一同发送，不同的原文应 该处理成不同的摘要。同样接收者也对接收到的信息进行处理，得到的新摘要与 接收到的摘要进行比较，从而来验证接收到的消息是否是初始的，是不未被篡改 过，从而保证数据的完整性和有效性。 数字签名( d i g i t a ls i g n a t u r e ) ：数字签名是非对称加密技术的一种应用， 其实现方式为：报文发送方从报文文本中生成一个散列值( 数字摘要) ，并用自 己的私钥进行加密，形成一个数字签名，这个数字签名作为报文的附件和报文一 起发送，报文接收方首先从原始报文中计算摘要，接着再用发送方的公钥对报文 的数字签名进行解密得到原始摘要。如果这两个摘要值相同，接收方就确认发送 方的身份，同时通过数字签名还能够实现对原始报文的不可否认性。 电子科技大学硕士学位论文 数字证书( d i g i t a lc e r t i f i c a t e ) ：是用电子手段来证实一个用户的身份和 对网络资源访问的权限。在电子交易中，交易双方都出示各自的数字证书，并用 它来进行交易操作。数字证书的发放等管理都是由第三方的认证机构( c a ， c e r t i f i c a t ea u t h o r i t y ) 来承担。c a 为用户签发证书，提供身份认证服务。数字 证书包含以下内容，凭证拥有者的姓名中、凭证拥有者的公钥、公钥的有效期、 颁发数字凭证的单位、数字凭证的序列号。 通过数字证书进行身份认证，认证双方互相传递自己的证书信息，发送方用 自己的私钥进行数字签名，并提供给对方自己的证书信息，接收方用发送方证书 中的公钥来进行身份认证。 其它的身份认证技术还有数字时间戳、智能卡等。 3 3 安全传输协议和交易协议 3 3 1 安全套接字层协议( s s l ) s s l 是网景( n e t s c a p e ) 公司提出的基于w e b 应用的安全协议。它位于传输 层与应用层之间，能很好地封装数据，不用改变位于应用层的应用程序，对用户 是透明的。同时，s s l 只需要通过次“握手”过程，双方协定通信所用的密钥，然 后在客户和服务器之间建立一条安全通信的通道，保证数据的安全传输。s s l 协议 可分为两层：s s l 记录协议( s s lr e c o r dp r o t o c 0 1 ) 和s s l 握手协议( s s l h a n d s h a k ep r o t o c 0 1 ) 。s s l 记录协议建立在可靠的传输协议( 如t c p ) 之上，为高 层协议提供数据封装、压缩、加密等基本功能的支持。s s l 握手协议主要是用来协 商密钥，协议的大部分内容就是通信双方如何利用它来安全地协商出一份密钥。 然后正式数据都是通过加密方式进行。 3 3 2 安全电子交易协议( s e t ) s e t 是由v i s a 公司和m a s t e rc a r d 公司联合开发设计的，用于划分与界定电 子商务活动中的消费者、商家、交易双方银行、信用卡组织之间的权利义务关系， 它可以对交易各方进行认证，防止商家欺诈。这里不对此协议进行详细介绍。 第三章相关安全技术、安全协议及安全设施 3 4p k i p k i 是“p u b l i ck e yi n f r a s t r u c t u r e ”的缩写，意为“公钥基础设施”。简单地 说，p k i 技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥 体制是目前应用最广泛的一种加密体制，在这一体制中，加密密钥与解密密钥各 不相同，发送信息的人利用接收者的公钥发送加密信息，接收者再利用自己专有 的私钥进行解密。这种方式既保证了信息的机密性，又能保证信息具有不可抵赖 性。目前，公钥体制广泛地用于c a 认证、数字签名和密钥交换等领域。p k i 主要 包括四个部分：x 5 0 9 格式的证书( x 5 0 9v 3 ) 和证书废止列表c r l ( x 5 0 9v 2 ) ； c a r a 操作协议；c a 管理协议；c a 政策制定。同时数字证书认证中心c a 、审核注 册中心r a ( r e g i s t r a t i o na u t h o r i t y ) 、密钥管理中心k m ( k e ym a n a g e r ) 都是组成 p k i 的关键组件。 3 5k e r b e r o s k e r b e r o s 是一种网络认证协议，主要用于计算机网络的身份鉴别 ( a u t h e n t i c a t i o n ) ，其特点是用户只需输入一次身份验证信息就可以凭借此验证 获得的票据( t i c k e t g r a n t i n gt i c k e t ) 访问多个服务，即s s o ( s i n g l es i g no n ) a 由于在每个c l i e n t 和s e r v i c e 之间建立了共享密钥，使得该协议具有相当的安全 性。 该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任， 不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读 取、修改和插入数据。在以上情况下，k e r b e r o s 作为一种可信任的第三方认证服 务，是通过传统的密码技术( 如：共享密钥) 执行认证服务的。 认证过程具体如下：客户机向认证服务器( a s ) 发送请求，要求得到某服务 器的证书，然后a s 的响应包含这些用客户端密钥加密的证书。证书的构成为：1 、 服务器“t i c k e t ”；2 、一个临时加密密钥( 又称为会话密钥“s e s s i o nk e y ”) 。客 户机将t i c k e t ( 包括用服务器密钥加密的客户机身份和一份会话密钥的拷贝) 传送到服务器上。会话密钥可以( 现已经由客户机和服务器共享) 用来认证客户 机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独 立子会话密钥为通信双方提供进一步的通信加密服务。 电子科技大学硕士学位论文 上述认证交换过程需要只读方式访问k e r b e r o s 数据库。但有时，数据库中 的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机 和第三方k e r b e r o s 服务器( k e r b e r o s 管理器k a d m ) 间的协议完成。另外也有 一种协议用于维护多份k e r b e r o s 数据库的拷贝，这可以认为是执行过程中的细 节问题，并且会不断改变以适应各种不同数据库技术。 1 4 第四章大型机环境安全体系及安全产品 第四章大型机环境安全体系及安全产品 4 1z o s 安全体系结构简介 图4 1z o s 安全体系结构 图4 1 描述了z o s 操作系统的主要安全组件：r a c f ( 资源访问与控制设施) ， d c e ( 分布计算环境安全服务器) ，l d a p ( 轻量级目录访问服务器) ，防火墙组件 等。其中r a c f 是最重要的组件，用来保护系统关键的数据及各种资源；同时它提 供的强大的安全基础平台，与其它的安全组件一起构建起一个安全的企业运算环 境，保障各种商业数据和应用的安全运行。下面我们分组件来分