（计算机软件与理论专业论文）基于linux的安全软件平台在电信短信系统中的应用.pdf

摘要 本文详细讨论了在l i n u x 操作系统下 构建安全软件平台的主要方法与策略 由于软件平台具有系统性 根据著名的 木桶理论 系统的安全性是由系统内 最薄弱的一环所决定的 本文着眼于整个系统的安全性 主要考虑操作系统的安 全性 数据库的安全性 网络通信的安全性三个方面 由于操作系统的复杂程度相当高 所以难免会存在一些相应的漏洞和缺陷 开放源代码的l i n u x 也不例外 现在l i n u x 面临主要的问题是 超级用户权限过大 文件系统不安全 文件访问控制简单 系统内核可以轻易插入模块 系统文档可 以被任意地修改 账号管理简单 系统日志保护功能较弱等 对此文中提出了实 现l i n u x 安全机制的关键技术 以此来提高l i n u x 的安全性和可靠性 数据库是信息系统里面非常重要的一环 里面存放着用户最重要的资源 如 何保护好这些资源 是工程实际中必须考虑的问题 文中分析了数据库安全的基 本需求和数据库的安全策略 并以常用的数据库o r a c l e 为例子 讨论了实际应用 中的安全问题 计算机网络的发展给信息技术带来了巨大的机遇 同时也带来了相当高的安 全风险 目前 主要的渗入威胁有 假冒 旁路控制和授权侵犯 主要的植入威 胁有 特洛伊木马和陷门 文中列出了网络安全策略 w e b 安全传输和实现安全 服务的具体方法来对付各种网络上的威胁 文中还以一个实际的项目 电信短信平台来介绍各种理论和技术在实际 运用时的方法 通过理论与实际相结合 提高软件项目中人们对于软件安全性方 面的重视程度 以及提供了各种可行的方法来保证软件系统的安全性 关键词 l i n u x 信息安全 网络安全 短信平台 l i n u x b a s e d s e c u r i t yf o r t e l e c o m m e s s a g i n gs y s t e m b yw e i f e n gz h u s u p e r v i s e db yz h i g u oz h a n g m a j o ri ns o f t w a r ea n dt h e o r e t i c a lc o m p u t e rs c i e n c e s u ny a t s e nu n i v e r s i t y a b s t r a c t t h i st h e s i sw i l ld i s c u s ss o m ei m p o r t a n tw a y sa n ds t r a t e g i e so f b u i l d i n gt h es a f e s o f t w a r ej nt h el i n u xs y s t e mi nd e t a i l b e e a u s es o f t w a r ei sas y s t e m se n g i n e e n n g t h e r e f o r ei t ss a f e t yb a s e so nt h ef l i m s i e s tp a r to ft h es y s t e m d u et ot h ef a m o u s c a s k t h e o r y i ti st h o u 曲to v e rs a f e t yo ft h ew h o l es y s t e m m a i n l yi n c l u d et h eo p e r a t i o n s y s t e ms a f e t y t h ed a t a b a s es a f e t ya n d t h en e t w o r kc o m m u n i c a t i o n s a f e t y t h e o p e r a t i o ns y s t e m s a r eh a r dt oa v o i ds o m e b u g s f o rt h e ya r et o oc o i e l p l e xt o b ec o n t r o l l e da b s o l u t e l y t h eo p e nc o d ep r o j e c tl i n u xi si nt h es a m e w a y i n t h i st i m e i tf a c e sm a n ym a t t e rs u c ha st h ea d m i n i s t r a t o rh a st o om a n y p o w e r t h ef i l es y s t e mi s n o ts a f e t h ef i l ec o n t r o li st o os i m p l e t h ek e r n e lc a n p l u g i ns o m em o d u l e se a s i l y t h e s y s t e mf i l e s c a nb ea m e n do p t i o n a l l y t h em a n a g e m e n to fu s e r sa n dp a s s w o r d si s o r d i n a r ya n d s oo n t h i st h e s i sp u t sf o r w a r ds o m e t e c h n o l o g yt or a i s et h es a f e t ya n d r e l i a b i l i t yo f t h el i n u x d a t a b a s ei s n e c e s s a r yt oas u c c e s s f u li n f o r m a t i o ns y s t e m b e c a u s ei t s t o r e st h e v a l u a b l ed a t ao ft h eu s e r s h o wt op r o t e c tt h e s eg r e a td a t ai sa ne s s e n t i a lj o bi nt h e p r a c t i c e t h i st h e s i sa n a l y s i st h eb a s i ss a f er e q u i r e m e n ta n ds t r a t e g yo ft h ed a t a b a s e a n d g i v e ss o m e m e t h o d so ft h ep o p u l a rb u s i n e s sd a t a b a s eo r a c l et os o l u t et h em a t t e r s i nt h es o f t w a r e p r a c t i c e s t h e d e v e l o p m e n t o f c o m p u t e r n e t w o r k b r i n g s a g o o dc h a n c e a tt h es a m e t i m ei t a l s ob r i n g sap o t e n t i a ld a n g e r o u sp r o b l e m n o wt h em a i nt h r e a t sa r et o r j a nh o r s e t r a pa n d s oo n t h i st h e s i sg i v e sn e t w o r ks a f es t r a t e g ya n ds e v e r a lw a y so fw e bs a f e c o m m u n i c a t i o na n ds a f es e r v i c er e a l i z a t i o nt od e a lw i t ht h et h r e a t sf r o mt h en e t w o r k t h i st h e s i sc o m b i n e sa l la c t u a lp r o i e c t 1 1 m et e l e c o ms h o r tm e s s a g es y s t e mt o p r e s e n t v a r i o u st h e o r i e sa n d t e c h n o l o g i e s t or e a l i z ei nt h e p r a c t i c e a b o v ea l l w ew a n t t om a k ep e o p l et h i n km u c ho ft h es o f t w a r es a f e t ya n dg i v et h e ms o m ew a y st o a c c o m p l i s h i t k e yw o r d s l i n u x i n f o r m a t i o ns e c u r i t y n e t w o r ks e c u r i t y s h o r tm e s s a g es y s t e m 3 第1 章概述 1 1 信息系统安全的概念和基本需求 国际标准化组织i s o 对信息安全提出的定义是 为数据处理系统建立和采 取的技术和管理的安全保护 保护计算机硬件 软件 数据不因偶然的或恶意的 原因而遭受破坏 更改 泄漏 具体地说 信息系统安全包含以下两个方面的 内容 运行系统的安全包括 法律 政策的保护 硬件运行安全 操作系统安 全 防止电磁泄漏等 系统信息安全包括 用户身份认证 存取权限控制 审计跟踪 数据加 密等 人们对信息安全的需求主要是三个方面 第一方面是保密性 即未经授权 者不能理解相关信息 第二方面是完整性 即传输或储存的信息未经篡改 重放 或延迟的原始真实信息 第三方面是非否定性 即消息的发送方不能否认消息的 发送 消息的接收方不能否认消息的接收等 我们可以通过信息系统的安全性衡量标准 4 a 的完善程度来衡量 4 a 是指 a u t l l e m i c a t i o n 用户身份认证 a u t h o r i z a t i o n 授权 a c c o u n t a b i l i t y 审计 a s s u r a n c e 保证 对用户身份进行认证 是指在用户获取信息 访闯系统资源 之前对其身份标识进行确认和验证 保证用户的合法性 针对不同用户进行授权 使用户能够以合适的权限合法地访问各种不同的信息及系统资源 审计是对各种 信息安全事件的检查 跟踪和记录 提供信息系统中信息安全事件的证明与根据 保证的作用在于能够确保系统安全策略的实施 保证信息被完整 准确地解释 以及在意外故障中保证信息资源不被破坏 1 2 操作系统安全的威胁 操作系统作为计算机系统的基础软件是用来管理计算机资源的 它直接利 用计算机硬件并为用户提供使用和编程接口 各种应用软件均建立在操作系统提 供的系统软件平台之上 上层的应用软件要想获得运行的高可靠性和信息的完整 性 保密性 必须依赖于操作系统提供的系统软件基础 在网络环境中 网络系 统的安全性依赖于网络中各主机系统的安全性 而主机系统的安全性正是由其操 作系统的安全性所决定的 没有安全的操作系统的支持 网络安全也毫无根基可 言 所以 操作系统安全是计算机网络系统安全的基础 目前 主流操作系统面临的威胁主要有以下几点 访问机制不能有效地防御恶意代码 而且不能保护重要文件不被非法修 改 超级用户拥有一切可能的特权 而且免受访问控制权限检查 违背了 最 小特权原则 和 完全仲裁原则 系统日志功能不过全面 体系结构不够完善 容易被各种黑客入侵和病毒破坏 1 3数据库安全的威胁 许多重要部门和机构都将大量的信息储存在计算机数据库内 被当作主要 资源 这些信息的价值是非比寻常的 因此 计算机数据库的安全性越来越受到 重视 目前 对于数据库系统的威胁主要有以下几点 非法访问数据库 恶意破坏数据库或未经授权非法修改数据库内的数据 用户通过网络进行数据库访问时 受到各种攻击 如搭线窃听等 对数据库的不正确访问 引起数据库数据错误 1 4 网络安全的威胁 由于多种的原因 i n t e r n e t 具有固有的安全弱点 因此网络安全面临诸多的 威胁 例如 计算机病毒 黑客入侵 d o s 拒绝服务攻击 和d d o s 分布式 拒绝服务攻击 等 当一个信息从一个源 发送方 流至 目的地 接收方 时可 能会受到以下四种类型的攻击 中断 是指通信系统的资产被破坏 如软件系统失效 硬件毁坏 一条 线路被切断 这是对系统可用性的攻击 截获 在网络上搭线窃听 非授权复制文件或程序等 这是对系统机密 性的攻击 篡改 非法入侵者不但窃听了用户的通信而且还篡改了消息的内容 改 变文件或程序的内容 将被篡改的文件发给接收者 这是对系统完整性的攻击 伪造 非法入侵者将伪造的对象插入系统实行破坏发送方和接受方为目的的 传输消息 这是对系统真实性的攻击 第2 章l i n u x 操作系统安全 2 1 l i n u x 操作系统现状 虽然u n u x 的应用越来越广泛 但它的安全问题一直得不到第三方的验证和 评估 这个问题在个人用户使用时 并不明显 但是在政府部门 金融部门准备 大规模应用这种操作系统的时候 却成为最大的阻碍 它的安全问题主要有 2 1 1 超级用户权限过大 系统管理员拥有其他用户所没有的特权 权限太大 一旦获得超级管理员的 权限 就获得对计算机系统的完全控制 外部对超级用户的攻击和系统管理员内 部的威胁 都对超级用户的权限进行分割提出了要求 2 1 2 文件系统不安全 l i n u x 操作系统的文件系统同w i n d o w s u n i x 等操作系统的文件系统一样 存放的数据都是明文信息 无任何安全保护措施 在i j n u x 操作系统工作站上 可使用大量的外接硬盘 l i n u x 操作系统只需通过m o u n t 命令即可把硬盘作为 l i n u x 的文件系统 硬盘上所有的信息便可共享 而硬盘一旦丢失 硬盘上所有 的重要信息都将被泄露 2 1 3 文件访问控制简单 用户进入系统便获得使用系统文件的权利 文件的访问仅依靠设置文件访问 权限 r w x 方式来控制 系统没有强制的安全访问控制机制 使得系统的重要 信息可能被用户访问 从而对系统安全造成攻击 2 1 4 系统内核可以轻易插入模块 系统内核允许插入模块 使用户能够扩展l i n u x 操作系统的功能 使l i n u x 系 统更加模块化 但这样做是十分危险的 模块插入内核后 就成为内核的一部分 可以做原来内核所能做的任何事情 2 1 5 系统文档可以被任意地修改 在l i n u x 操作系统中 有许多的重要文件 比如 b i i l i o g i n 如果入侵者修改该文 件 就可以轻易地再次登录 2 1 6 账号管理简单 l i n u x 操作系统口令破译工具很多 且十分有效 使l i n u x 操作系统的用户 口令形同虚设 对入侵者而言 进入系统最直接的途径就是获取用户账号 2 1 7 系统日志保护功能较弱 虽然l i n u x 操作系统也提供日志审计功能 但对日志数据的访问几乎不做任 何限制 可以自由查询并允许修改 尤其缺乏对日志数据的完整性保护 2 2安全l i n u x 操作系统所必需的基本要素 安全l i n u x 操作系统 应采用加密技术 从系统内核安全 文件系统安全 系统日志安全 网络传输安全 用户登录安全 访问控制安全等方面加入安全机 制 做到 难进来 难看懂 难取走 改不了 毁不掉 跑不掉 安全l i n u x 操 作系统应提供以下方面的系统安全机制 合法实体鉴别 网络传输信息加密 文 件系统加密保护 用户访问权限控制 系统进程权限控制 系统文件完整性保 护 系统日志完整性保护 系统入侵检测等 2 3 实现l i n u x 操作系统安全性机制的关键技术 针对目前l i n u x 操作系统中存在的安全隐患 研究以下技术 以改善l i n u x 操 作系统的安全性 2 3 1 身份认证技术 身份认证是对系统中的主体进行验证 目的是防止数据被非法用户访问 除了口 令认证外 采用数字签名技术可大大提高访问控制的力度 采用生理特征认证技 术可获得最好的验证效果 通常有以下三种方法验证主体身份 1 基于主体的口令或密钥的验证 可以使用口令机制 目前有两种方法可编 制传统的 可存储非重用口令 一是k e r b e r ov 5 使用的包括加密时间戳方法 二是盘问响应方法 2 基于智能卡的验证 这种验证是基于 你知道某事 等 登录时必须使用 该卡 3 生物识别技术 即基于指纹 声音 视网膜等独一无二的特征的验证 由 于人体特征具有不可复制的特性 因而这一技术的安全系数较传统的身份验证机 制高得多 2 3 2 加密技术 对称加密和非对称加密技术仍是2 l 世纪的加密技术主流 对称加密是加密运算与 解密运算使用同样的密钥 非对称加密是加密密钥不同于解密密钥 加密密钥公 开 称为公开密钥 解密密钥只有自己知道 称为私有密钥 目前 广为采用的一种对称加密方式是数据加密标准 d e s 另一个系统是国 际数据加密算法 i d e s 它比d e s 的加密性好 而且它对计算机的运算功能也 不需要那么强 2 3 3 r o o t 权限分割控制技术 1 安全的分割r 0 0 r r 权限 定义谁可以运行 具有什么权限 什么时问 从哪 里 由谁许可等 2 完整的审查r 0 0 珩为 审核所有的r o o t 访问和控制对安全防护的机器的 使用 将原有r o o t 具有的特权 按其功能的不同分为不同类型 单独加以控制 1 0 按照最小特权安全策略 对系统的用户权限和系统进程权限进行控制 将r o o t 用户具有的系统所有特权分类细化 使系统中没有一个用户的权限是 超级 的 参照p o s i x 1 e 特权思想 可将l i n u x 操作系统系统调用分为受控制的和不受控制 的两类 既满足控制特权 又方便用户使用 由特权控制管理程序管理用户特权 和文件特权 系统进程的特权在执行程序后由进程特权计算公式计算它的新特 权 2 3 4 信息完整性保护技术 分析保护信息完整性的伯巴模型 建立完整性保护机制 检测系统被保护文 件是否遭到恶意的破坏 提供系统臼志文件的自动完整性保护 给系统审计分析 提供可信 真实的数据 2 3 5 入侵检测技术 入侵检测是防火墙的合理补充 帮助系统对付网络攻击 扩展系统管理员的 安全管理能力 包括安全审计 监视 进攻识别和响应等 提高信息安全的完 整性 它从计算机网络系统中的若干关键点收集信息 并分析这些信息 查看网 络中是否有违反安全策略的行为和遭到袭击的迹象 入侵检测在不影响系统性能 的情况下能对网络进行监测 从而提供对内部 外部攻击以及误操作的实时保护 这些都通过执行以下任务来实现 1 监视 分析用户及系统活动 2 系统构造和弱点的审计 3 识别反映已知进攻的活动模式并向相关人士报警 4 异常行为模式的统计分析 5 评估重要系统和数据文件的完整性 6 操作系统的审计跟踪管理 并识别用户违反安全策略的行为 入侵检测利用的信息一般来自以下四个方面 1 系统和网络日志文件 2 目录和文件中的不期望的改变 3 程序执行中的不期望行为 4 物理形式的入侵信息 对上述四类收集到的有关系统 网络 数据及用户活动的状态和行为等信息 一般通过三种技术手段进行分析 模式匹配 统计分析和完整性分析 其中前两 种方法用于实时的入侵检测 而完整性分析则用于事后分析 a 模式匹配 模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进 行比较 从而发现违背安全策略的行为 该过程可以很简单 如通过字符串匹配 以寻找一个简单的条目或指令 也可以很复杂 如利用正规的数学表达式来表 示安全状态的变化 b 统计分析 统计分析方法首先给系统对象 如用户 文件 目录和设备等 创建一个统 计描述 统计正常使用时的一些测量属性 如访问次数 操作失败次数和延时等 测量属性的平均值将被用来与网络 系统的行为进行比较 任何观察值在正常范 围之外时 就认为有入侵发生 c 完整性分析 完整性分析主要关注某个文件或对象是否被更改 这包括文件和目录的内容 及属性 它在发现被更改的 被特洛伊化的应用程序方面特别有效 完整性分析 利用强有力的加密机制 称为消息摘要函数 例如m d 5 它能识别非常微小的 变化 2 3 6 安全文件系统 安全文件系统要求做到在硬盘丢失的情况下 也不会泄漏系统任何信息 这 样就有效地保障了系统数据的安全 文件系统的加密采用高效的核心加密技术 只有知道文件系统保护口令的管理员才能利用特定的命令 自己编制的程序 使 用加密的文件系统 2 3 7 内核封装 保护内核 使用户不能对内核进行模块插入 实现的关键技术就是限制系 统管理员的权限 使其权限的使用处于保护之下 即使误操作或蓄意破环 也不 至于对系统造成致命打击 第3 章数据库系统安全 3 1数据库安全的基本需求 3 1 1数据库的完整性与可靠性 数据库的完整性与可靠性指保证数据的正确性 它涉及到数据库内容的正确 性 有效性和一致性 保证数据库的完整性 总的来说是数据库管理系统d b m s 操作系统及计算 系统管理程序的职责 从操作系统和系统管理程序的角度来看 数据库和d b m s 分别是文件和程序 因此 对数据库的一种形式的保护大抵可采取定期备份系统 中所有文件和方法 定期备份数据库足以防止灾难性故障 另外 可以使用单向 函数的密码算法对数据加密 确保数据的完整性 为了实现数据的正确性 数据 库管理系统应能保证 能检测各种操作的有效性和是否违反对这些数据所定义的 完整性约束 在检测出错误操作以后 要做出适当的反应如拒绝该操作 返回错 误信息等 一个系统保证单个事务处理时的数据有效性是容易的 然而在一个多用户数 据库系统中 各个事务不可能总是互相隔离地顺序运行 这就产生了并行事务互 相干扰的问题 这种干扰有可能影响系统正常运行 这就需要并发控制机制 3 1 2存取控制 数据库通常通过用户的存取特权在逻辑上将数据分离 数据库管理程序指定 用户允许存取的字段或记录或元素的数据 d b m s 必须实施这一策略 授权存取 所有指定数据或禁止存取所指定的数据 而且 存取的方式是很多的 用户或程 序有权读取 修改 删除或加入值 增加或删除整个字段或记录或组织整个数据 库 1 4 3 1 3数据库加密 在数据库中 记录的长度一般比较短 数据存储的时间比较长 相应密钥的 保存时问也随数据的生命周期而定 若在数据库内使用同一密钥 保密性差 若 不同记录使用不同密钥 则密钥太多 管理相当复杂 因此 不能简单采用一般 通用的加密技术 而必须针对数据库的特点 研究相应的加密方法和密钥管理方 法 1 数据库加密的要求 对数据库加密主要有以下几方面的要求 加密系统应该是实际上不可破的 因为与传统的通信加密相比 它的保 存时间长 不可能采用一次一密的方法 数据加密后 存储量没有明显的增加 加密和解密的速度应该足够快 不能让用户使用时有明显的感觉 对数 据库来说 解密速度尤为重要 因为这种操作很频繁 加密系统应提供一套安全的 使用灵活的密钥管理机制 数据库加密系 统的密钥管理与一般通信加密的密钥管理有所不同 它的管理更复杂 如果管理得不好 不仅不能起到保密的作用 而且可能会使得整个数据 库瘫痪 加密后对数据库的查询 检索 修改 更新要灵活简便 为了使数据库中的数据能够充分而灵活地共享 加密后 应当允许用户 以不同的粒度进行访问 2 数据库加密的方式 根据数据库的特点 对数据库加密有下面3 种方式 1 库外加密 数据库的管理系统与操作系统的接口方式大致有三种 其一是直接利用 文件系统功能 其二是直接利用操作系统的i o 模块 其三是直接调用存储 管理模块 因此 可以将数据在库外加密 然后纳入数据库内 如数据在文 件系统内加密 采用文件加密的方法 形成储存块 然后文件系统每次交 给数据库管理系统d b m s 一个完整的模块 将数据块存入数据库内 文件系 统把整个数据库当作一个文件 每一个储存块当作文件的一个记录 文件系 统与d b m s 交换的信息就是块号 当d b m s 要求组装数据库或插入记录时 就向文件系统申请一块 以便建立索引 d b m s 为了更好地管理这个储存块 需要确定如下的参数 块的大小 块号 块头信息标志位 对于库外加密 密钥管理相对简单 可采取文件加密的密钥管理方法 但它涉及到公共数据字典 c d d 因为将数据纳入数据库时 要对数据进 行完整性约束 而加密后数据可能要超出它的约束范围 因此必须在算法或 数据库内做些必要的工作 2 库内加密 根据数据的结构 要对数据加密 可增设一个数据加密模式实现数据的 加解密 该加密模式所在的位置应当在模式与存储模式之间 加密的单位 粒 度 可以是记录 域或者数据元素 3 硬件加密 上述加密方式可以用软件实现 也可以用硬件实现 但这里的硬件加密 指在物理存储器 磁盘 与数据库之间加上硬件装置 与实际数据库系统脱 离 这种方式首先要求数据库数据存放在专一的盘上 对进入盘的控制信息 不加密 只对数据加密 3 数据库系统的密钥管理 一般来说 数据库密级有多级 基于用户的密钥为用户密钥 它是可变 的 基于数据库级的密钥为数据库密钥 基于记录级 域级 的密钥为记录 1 6 域 密钥 为了保证用户在访问相应数据项时不能看到其他的数据项 通 常要求每个数据项有 个密钥 数据项密钥 这些特点与通信中的一次 密技术全然不同 它使得数据库系统密钥产生 更新和管理的密钥管理技术 必须适应上述特点 并有相应的密钥保护手段 1 集中密钥管理 集中密钥管理方法是设立数据库安全管理 密钥管理 中 t l 在建立数 据库时 密钥管理中心负责产生加密密钥并对数据加密 当 用户访问数据 库时 密钥管理机构核对用户识别符和用户密码 通过另一途径产生并分发 给用户 通过核对 认为该用户时合法用户 刚允许访问 但必须由密钥 管理机构找到或计算出相应的数据加密密钥 并由他们利用数据加密算法解 出相应的数据 这种方式 其使用的密钥统一由安全管理中心复杂管理 由 于加密粒度不同 密钥的种类和密钥数量不同 若记录加密 则每个记录一 个加密密钥 这些密钥存储在一张表中 这张表通过密钥加密密钥 主密钥 对其加密保存 当密钥管理中心产生数据加密密钥以后 形成一张密钥表 此时 密钥 表还是以明文的形式存在 因此 需要有一算法在主密钥的控制下对其加密 以密文形式存储在计算机内 在建库时 使用同一主密钥对密钥表解密 得 到相应的数据加密密钥k 再用k 对明文数据加密 若用户想访问数据库数据 必须输入用户密钥和用户识别符 i d 由 安全核实机构对其核实 看是否有访问权 若无访问权 系统拒绝服务 若 有权访问 则提供相应的数据加密密钥 对所需数据解密后 供用户使用 这种密钥管理方式 用户使用方便 但由于这些密钥一般都是由安全管 理人员控制 权力过分集中 2 子密钥数据库加密的密钥管理 子密钥是由主密钥生成的 它对主密钥有很多要求 如不同的用户不同 子密钥的输入应产生相同的主密钥 这种方法同样存在一个问题 即不能防 止管理员去访问数据库 也不能防止它去生成一个新的用户密钥k 为了解 决这个问题 可采取公开密钥密码 如r s a 算法对存储的用户密钥文件加 密 其公开和秘密密钥由专门负责安全的人员产生 并将公开密钥交给安全 管理员管理 由他使用公开密钥对用户文件加密 而秘密密钥则交由用户掌 握 在用户进行访问时 将用户密钥和秘密密钥一同输入系统 由系统利用 秘密密钥将用户文件解密后生成主密钥 4 用户身份签定 d b m s 要求严格的用户身份鉴定 例如 d b m s 可能要求用户同时通过 口令 证书及时间检查 这种身份鉴定是操作系统所完成的身份鉴定的一种 补充 3 2 数据库的安全策略 3 2 1数据库安全策略 1 安全管理策略 一个基本的选择是集中还是分布式控制 对于集中式控制 一个授权管理员 控制着系统所有的安全 在一个分布式系统中 不同的管理员控制着数据库的不 同部分 一种策略涉及到数据库拥有者和管理者的概念 数据库拥有者负担着建立数据库 的责任 然而对于许多共享数据库 拥有者并不是唯一的 但无论如何都需要有 管理功能 管理功能的目的是定义用户共享数据和控制它的使用 这种功能可由 拥有者完成 也可由数据库管理员实现 这两种管理的区别是 拥有者可以访问 所有可能的数据类型 而管理员只有控制数据的权限 2 访问控制分类策略 1 最小特权策略 一种重要的高级策略是把信息局限在为y i 作确实需要的那些人的范围内 1 8 一 这种策略对于数据库主体尤为重要 这样可把信息泄露限制在最小范围内 同时 数据库的完整性也能得到加强 这种策略称为最小特权策略 2 最大共享 另一种策略是最大共享 其目的是展大限度地利用信息 但这并不意味着每 个人都能访问所有的信息 因为还有一个保密要求 这里只是在满足保密的前提 下 实现最大限度的共享 3 开放和封闭系统 在一个封闭系统内 只有明确授权的用户才能访问指定的信息 但在一个开 放的系统中 所有的信息一般都允许访问 除非明确禁止访问的信息 4 访问控制 a 与名字有关的访问控制 最小特权镱略根据访问控制规则可能有多种实现方 法 但最基本的一点是我们应该能够指定用户可以访问的数据客体 在访问规则 中 数据客体的粒度是另 种策略决策 最小特权策略一个明确的要求是客体有 数据库管理系统允许的最小粒度 b 与内容有关的访问控制 通过指定访问规则 最小特权策略可扩展为与数据 项内容有关的控制 该控制称为与内容有关的访问控制 这种控制产生较少的控 制粒度 c 与上下文有关的访问控制 上下文有关的访问策略可扩展为与数据项内容有 关的控制 该控制称为与内容有关的访问控制 这种控制产生较小的控制粒度 d 与历史有关的访问控制 如果要想防止用户作某种推理 仅仅控制当时请求 的上下文一般是无效的 防止这类推理就要求与历史有关的控制 它不仅考虑当 时请求的上下文 而且也考虑过去请求的上下文关系 这样可根据过去的访问控 制目前的访问 3 2 2信息流控制策略 上面已经讨论了如何控制人员去访问数据 但如何控制一个程序去使用数 据 这也是访问控制的一个重要方面 在自主控制方式中 信息拥有者可以授予其他用户访问权 若是将使用的系 统分隔 属于一个部门或一个类别的数据不能让别的部门或非一个级别的用户访 问 这种方法称为非自主访问 也称多级控制策略 信息除有类别外还有等级 如秘密 机密 绝密 一个安全级别定义为一个等级 安全级别高的要包含安全 级别低的 安全级别低的用户不能访问安全级别高的数据 当写入时安全级别高 的数据不能写入安全级别低的数据容器中 2 0 4 1 网络安全策略 4 1 1授权 第4 章网络安全 授权 a u t h o r i z a t i o n 是一个安全策略的基本组成部分 所谓授权是赋予 主体 用户 终端 程序 对客体 数据 程序等 的支配权力 它等于规 定了谁可以对什么对象做些什么事情 例如在一个有机密 秘密和绝密的多 级安全系统中 只有所持有许可证级别等于或高于此密级的人员 才有权访 问此密级中的信息 在计算机和通信系统中 主要的要求是通过一种被称作 访问控制策略 的系统安全策略反映出来 4 1 2 访问控制策略 访问控制策略 a c a e s sc o n t r o lp o l i c i e s 隶属于系统安全策略 它迫使计 算机系统和网络中自动地执行授权 以上有关授权的描述的 1 2 和 3 分别对应于以下不同的访问控制策略 1 基于身份的策略 该策略允许或拒绝对明确区分的个体或群体进行访 问 2 基于角色的策略 该策略是基于身份的策略的一种变形 它给每个个 体分配角色 并基于这些角色 并基于这些焦色来使用授权机制 3 多级策略 该策略是基于信息敏感性的等级以及工作人员许可证等级 而制定的一般规则 访问控制策略有时也被分成强制访问控制策略和自主访问控制策略两类 强 制访问控制策略是由安全区域的权威机构强制实施的 任何用户都不能回避 它 强制访问控制策略在政府和军事上应用最普遍 上述策略 3 就是一 个例子 自主访问控制策略为一些特殊的用户提供了对资源的访问权 这些 用户可以利用此权限控制对资源进行访问 上述策略 1 和 2 就是自主访问控制策略的两个例子 在机密环境中 自主访问控制策略用于强制执行 须知 n e e d t o k n o w 最小特权策略 1 e a s t p r i v i l e g ep o l i c y 或最小泄漏策略 1 e a s te x p o s u r ep o l i c y 前者之授予主体为 执行任务所必需的信息或处理能力 后者按原则向主体提供机密信息 并且 主体承担保护信息的责任 4 1 3 责任 支撑所有安全策略的一个根本原则是责任 a c c o u n t a b i l i t y 受到安全 策略制约的任何个体在执行任务时 需要对它们的行为负责任 这与认识人 事安全有十分重要的关联 某些网络防护措施 包括认证工作人员的身份以 及与这种身份相关的活动 都直接地支持这一原则 4 2 w e b 的安全传输 4 2 1s s l 1 协议本身 s s l s e c u r i t y s o c k e t l a y e r 安全套接字层 处于t c p 协议层和应用层之间 为上层协议 如 h t r p f t p 等 提供服务和加密方案 如下图所示 s s l 作为t l s t r a n s p o r tl a y e rs e c u r i t y 传输层安全 协议的草案标准提交给i e t f i n t e r a c te n g i n e e r i n g t a s kf o r c e e e e s s l 层 t c p i p 层 s s l 协议的目标是提供两个应用间通信的保密和可靠性 可在服务器和客 户端同时实现支持 s s l 可提供三种基本的安全服务 信息保密 信息完整 性 互相认证 s s l 协议使用r s a 加密方案 提供如下功能 服务器认证 客户端核对服务器的身份 和 可选的 客户认证 服 务器核对客户端的身份 加密的数据传输 可靠的数据传输 所有传输的信息都包含一段它自身的完整性校验 和m a c s s l 协议的操作分为两个阶段 第一阶段 握手阶段 发送方和接受方协商并确定加密算法和密钥 第二阶段 数据加密传输阶段 以第一阶段商定的密钥加密数据 2 s s l 在实际应用中安全性的实现 s s l 使用公钥加密方法来在客户机和服务器之间交换会话密钥 这个会话 密钥用于对w e b 服务器和浏览器之间的信息传输进行加密 每一个会话过程 都使用不同的会话密钥 即使有人成功地对一个会话过程进行解密 不一定 意味他们已经发现了服务器的密钥 如果他们要对另一个会话过程进行解密 必须重头开始 4 2 2t l s 2 3 t s l 协议的目的在于为基于网络传输的应用提供私有性和数据完整性 它 由两个协议层构成 1 t l s 记录协议层 用以封装t l s 握手协议等上层协议 由t l s 记录协议提供具有两个特性 的联接安全 联接是私有的 它使用通过其他协议 如t l s 握手协议 商定对称密钥对 传输信道中的数据进行加密 t l s 记录协议也可以不使用加密技术 联接是可靠的 所有传送的信息都附带一段完整性校验信息 m a c m a c 的产生可以使用s h a m d 5 等算法 如果t l s 记录协议被其他协议用来传 输所协商的安全参数 则可以没有m a c 2 t l s 握手协议层 提供服务器和客户机之间相互认证的机制 并允许双方在应用层协议传 输或接受之前协商加密算法和交换密钥 t l s 握手协议提供具有三个基本特 征的安全联接 通信双方的身份可以通过非对称加密技术进行认证 双方的共享机密的协商过程是秘密的 不能被窃听 协商的过程是可靠的 任何对协商信息的非授权篡改都将被发现 t l s 协议的目的在于 加密的安全性 t l s 可以被网络通信双方用以建立一个安全的联接 互操作性 使用t l s 进行独立开发的各个应用在不了解对方编码的情况下 能够互相操作 可扩展性 t l s 努力提供一个技术框架 是公钥和其他加密算法在必要的 时候能够相互配合使用 高效性 提供可选会话c a c h i n g 方案 以减少联接建立的次数 4 2 3s h r r p s h t t p s e c u r e h t r p 是由e n t e r p r i s ei n t e g r a t i o n t e c h n o l o g i e s e i t 设计 的方案 该协议是一个高层次的协议 向后兼容i t i q t 协议 s h l t r p 提供多种机制确保信息的杌密性 完整性和可认证性 s h t f p 的设 计允许w e b 服务器或浏览器使用不同的信息加密方案 包括p e m p g p 和 p k c s 7 不支持s h t t p 的w e b 服务器或浏览器也可以通过s h t t p 与支持 s i 1 t y p 的服务器或浏览器通信 不过这时s h t r p 与普通h t i t 没有区掰了 除非其中一方请求获取受保护的文件 s h i t p 不要求w e b 浏览器提供公开密钥 这就是说 用户无需事先建立自 己的密钥对就可以进行安全传输 4 3 实现安全服务的方法 4 3 1 认证 1 非密码认证机制 a 口令杌制 在某种程度上 口令或个人识别号 p i n 机制是最实用的认证系统 所依赖一种机制 主要面对的威胁有外部泄露和口令猜测 还有线路窃听 危及验证者和重放攻击 1 对付外部泄露的措施 对用户和系统管理者进行教育 增强他们的安全意识 建立严格的组织管理办法和执行手续 确保口令必须定期地改变 保证每个口令只与一个人有关i 确保口令从来不被再出现在终端上 使用易记口令 p 2 对付口令猜测的措施 严格限制从一个给定终端或接入通道进行非法认证的次数 把具体的实时延迟插入到口令验证过程之中 以阻碍一个计算 机自动化口令猜测者的生产率 防止用户选择太短的口令以及与用户 帐号名或别的用户特征 相关的口令 也要防止从一个固定的地方选取口令 取消安装系统时所用的预先设定的口令 使用机器产生的而不是用户选择的口令 3 对付线路窃听的措施 使用单向函数可以对付窃听口令这种攻击 如果给定x 计算f 伍 是容易的 但如果给定y f x 求x f 1 y 是计算上不可行的 单向 函数细节是公开的 而且无需秘密密码 下图是一个基本的口令保护方案 假定身份i d 的正确口令是p 在 认证请求发起的终端 将身份i d 和口令p 输入 计算q f p i d 并将q 和i d 发送给验证者 验证系统中拥有i d 和q f i d 验证者 比较q 和q 如果两者一致 则认为输入的是正确的口令 因此 身 份得到认证 d 声称者 验证者 l l t 医t 习 一 l l7 f l l dl j 弋 二一 图4 3 1 口令保护方案 2 6 4 对付危及验证者的措施 对口令系统的另一个潜在威胁是通过内部攻击危及验证者的口 令文件或数据库 因为这种攻击或许会危及到系统所能验证的所有 口令 所以应避免这种攻击 如果我们进一步加上攻击者能在线路 上产生一个认证请求信息 那么知道q 的攻击者显然能够容易地假 冒验证者所需要的信息 下图为针对这种情况设计的机制 p 声称者 验证者 阳 专 九j 叫t r 图4 3 2 对抗危及验证者的机制 5 对付重放攻击的措旌 在上面介绍的机制都不能抵挡对通信线路的主动攻击 重 放攻击 如果一个用户的口令没有被改变 那么攻击者可用它所观 察到的认证交换信息很容易地假冒该用户 保护口令方案可被扩展 为抵挡重放攻击的方案 如下图所示 单向函数f x 和g x 可能 样也可能不一样 如前所述 终端计算q 然后将q 和值n r v 作 为g x 的输入值r 最后将r i d 和n r v 都发送给验证者 验 证者计算1 g q n r v 并与r 比较以确定是否认证被正确地检测 值n i v 规定为一个非重复值 验证者将检查n r v 是否在以前被使 用过 如果验证者确信n r v 在以前已被使用过 则认证请求作为重 p 放讲被拒绝 非重复值可用各种方法实现 例如 时戳 随机数等 验证者 图4 3 3 抵抗重放的保护口令机制 b 一次口令机制 一次口令机制与上述的防止重放攻击的口令保护机制有关 主 要目的是确保在每次认证中所使用的口令不同 以便对付重放攻击 确定口令的方法有以下几种 1 两端共同拥有一串随机口令 在该串的某一位置保持同步 2 两端共同使用一个随机序列生成器 在该序列生成器的初态保持同 步 3 使用时戳 两端位置同步的时钟 方法1 被限制用于人工控制的环境中 方法2 和3 在现代网络 环境中有潜在的应用 下图示出了一个可能的口令机制 每个用户有一个带有输入字 母的键和显示屏的个人认证器件 一个秘密的特定器件值d s v 被储存 在器件之中 这里假定该器件是一个物理防窜扰器件 不容易泄露 2 8 d d s v 该器件与使用该器件的一个或多个验证系统保持时钟同步 当 器件拥有者想对 个验证者进行验证时 他将口令p 输入到该器件 中 器件显示值r r 是通过单向函数f 和g 应用于值p d s v 和t s 当前的时戳 而计算出来的 将值q f p d s v 一旦认证请求被 接收 验证者计算r g q d s v t s 通过比较r 和r 是否一致来确定 认证是否被接收 验证g 图4 3 4 一次口令认证机制 关于上述机制的强度有以下一些事实 没有器件而知道口令p 不能导致一个简单的攻击 拥有器件而不知道口令p 不能导致一个简单的攻击 除非攻击者也能进行时间同步 否则重放不是一个简单的攻击 知道q 例如通过浏览器验证系统文件 而不知道d s v 不能导 致一个简单的攻击 当前所应用的非密码个人认证器件大都是上述机制的不同变形 c 询问一应答机制 通过询问一应答原理可以扩张基于口令的方案 询问一应答能大 大提高抵抗重放攻击的能力 但通常通信代价很高 上述的抵抗重放的保护口令机制存在两个重要的问题 一个是为 了两端都知道i i i v 值需要维持同步 另一个是验证者要知道n l v 值是 否被重复使用过是比较困难的 询问 应答方法克服了这些问