（计算机应用技术专业论文）一个小型内网安全产品的研究与实现.pdf

湖北工业大学硕士学位论文 i 摘要 人类已经进入信息化社会，随着i n t e r n e t 在全世界日益普及，政府、军队、 企业等部门越来越需要利用网络传输与管理信息。网络的快速普及、客户端软件 多媒体化、协同计算、资源共享、开放、远程管理化、电子商务、金融电子化、 电子政务等已成为网络时代必不可少的产物。网络化、信息化已成为现代社会的 一个重要特征。特别是随着全球信息基础设施和各国信息基础设施的逐渐形成， 国与国之间变得。近在咫尺”。网络信息本身就是时间，就是财富，就是生命，就 是生产力。 虽然计算机与网络技术为信息的获取、传输与处理利用提供了越来越先进的 手段，但也为好奇者与入侵者提供了方便之门，使得计算机与网络中的信息变得 越来越不安全了。由于网络“黑客”与“入侵者”的活动越来越频繁，人们对计 算机与网络中信息的安全越来越担心了。不仅金融、商业、政府部门担心，军事 部门更为担心。网络安全的主要矛盾是电子信息管理和通信技术正在以一个非凡 的速度增长，同时这种增长是以减少固有的安全性为代价的。信息技术发展到今 天，保证网络上信息的安全已经成为一项重要的研究课题。 据美国联邦调查局( f b i ) 和计算机安全机构( c s i ) 等权威机构的研究：超 过8 0 的信息安全隐患来自组织内部，这些隐患直接导致了信息被内部人员所窃取 和破坏。因此相较于外网安全而言，内网安全更具有实际的意义也更加重要。 本文实现的内网安全方案以内网安全理论为基础，以数据安全为核心，通过 采用密码学技术、p k i 技术、操作系统核心技术和自有创新技术，从数据安全管理、 网络安全管理、设备安全管理、用户身份管理和综合安全审计等方面对数据的存 储、传输和使用整个生命周期进行控制、保护和审计，确保数据的完整性和保密 性，从而达到保护敏感信息的内网安全管理系统。 方案所提供的安全策略模板及组织自定义安全策略，使组织进行两络信息安 全主动防御，构建主动的网络信息安全防御体系成为可能。组织的主动安全防御 体系能够做到网络信息安全的事前防范、事中发现并以事后的审计作为信息安全 事件发现有效手段，从全方位确保了网络信息的安全，给用户提供了构筑网络信 息安全最大的自由度和灵活性。 关键词：内网安全g i n a ，虚拟磁盘，o p e n s s l ，电子钥匙 湖北工业大学硕士学位论文 a b s t r a c t m a n k i n dh a v ea k e a d ym o v e df o r w a r di n t oa ni n f o r m a f i o n - b a s e ds o c i e t y g m d u a l l y ， w j t ht h ep o p u l a r i z a t i o no fi n t e r n e ti nt h ew h o l ew o r l d g o v e m m e n t s a r m ya n d e n t e r p r i s e sn e e dt on e et h en e t w o r kt r a n s m i s s i o na n dt h ea d m i i n s t r a t i o ni n f o r m a t i o n t h e w j d e s p r e a do fi n t e r n e t , c l i e n tm u l t i m e d i a l l z a t i o n , i d e n t i c a lc o m p u t a t i o n ，r e s o u r c e s h a r i n g , t h eo p e n i n g , l o n g - d i s t a n c em a n a g e m e n t , e l e c t r o n i cc o m m e r c e , c o m p u t e r i z e f m a n c l a ls e r v i c e sa n de - g o v e m m e n th a v eb e c o m et h ee s s e n t i o r dp a r to fo u rs o c i e t y n e t w o r k i n ga n di n f o r m a t i o n z a t i o nh a v eb e c o m et h em a i nc h a r a c t c r i s t i c so ft h em o d e r n s o c i e t y w i t ht h ef o u n d a t i o no fb a s i ci n f o r m a t i o ni n f r a s t r u c t u r e a l lo v e rt h ew o r l d ， c o u n t r i e sb r c o m eb ew i l lw i t h i nr e a c h i n t e r n e t - b a s e e li n f o r m a t i o ni t s e l fi st i m e ，w e a l t h ， l l f ea n dp r o d u c t i o nc a p a b i u tv a 1 t h o u 曲c o m p u t e ra n dn e t w o r kt e c h n o l o g y h a v e p r o v i d e d m o r ea d v a n c e d m e t h o d sf o rt h er e p u i r e m e n t ，t r a n s m i s s i o na n dp r o c e s s i n go fi n f o r m a t i o n ，t h e ya l s og a v e c h a n c e st op r i e sa n di n t r u d e r s ，m a k i n gt h ec o m p u t e r sa n di n t e r a c t - b a s e di n f o r m a t i o n u 1 1 s i c u l e w i t hm o r ea n dm o l e 。h a c k e r ”a n d 。i n t r a d e r ”o ni n t e r n e t , a ud e p a r t m e n t s i n c l u d i n gf i n a n c i a l ，c o m m e r c i a l ，t h eg o v e r n m e n td e p a r t m e n t ，e s p e c i a l l yt h em i l i t a r y b r a n c hp a l e dg l e a t e ra t t e n t i o nt ot h es e c u r i t yo fc o m p u t e r sa n dt h ei n t e r a c t - b a s e d i n f o r m a t i o n t og u a r a n t e et h es “：u r i t yo fn e t w o r kh a sa l l e a d yb e c a m ea ni m p o r t a n t l e s c a r c ht o p i c a c c o r d i n gt o t h er e s e a r c ho fu sf e d e r a lb u r e a uo fi n v e s t i g a t i o n o 珥d ， c o m p u t e r s e c u r i t yo r g a n i z a t i o n ( c s l ) a n do t h e ra u t h o r i t a t i v eo r g a n i z a t i o n s ：o v e r8 0 o f t h ej n f o r m a t i o n gi n s e c u r i t yc o m ef r o mt h ei n t e m a l , w k i c hm e a n sd a t a sa n dk e y i n f o r m a t i o nw e r ep l a g i a r i z e da n ds t o l e n t h e r e f o r ec o m p a r i n gt oe x t e r n a ls r c u r i t y , t h ej n t e m a ls a f e t yi sa l s oo fg r e a t i m p o r t a n c e t h ef i n a lg o a li st og u a r a n t e et h eo r g a n i z a t i o ni n t e r i o rd a t as e c u r i t ya n dt h e o p e r a t i o n a le h a n n u l ，t h u sg r e a ta t t e n t i o ns h o u l da l s ob ep a i dt ot h ei n t e r n a ln e ts e c u r i t y t h i se s s a yb a s e so nt h et h e o r yo fi n t e m a ls e c u r i t y a n dt a k e st h ed a t as e c u r i t y 如 t h ec o r e ，w i t hc r y p t o l o g yt e c h n o l o g y , p i gt e c h n o l o g y , o p e r a t i n gs y s t e mc o r et e c h n o l o g y a n di n n a t ei n n o v a t i o nt e c h n o l o g y , f r o md a t as e e u d t ym a n a g e m e n t , n e t w o r ks e c u r i t y m a n a g e m e n t ，e q u i p m e n ts a f e t yc o n t r o l ，u s e rs t a t u sm a n a g e m e n ta n ds y n t h e s i ss a f e a u d i t i o na n do t h e ra s p e c t st oc o n t r o l , p r o t e c ta n da u d i td a t as y s t e m ，o l lp u r p o s eo f p r o t e c t i n gk e yi n f o r m a t i o ni ni n t e r n a ln e ts v s t e m t h es e c u r i t yt e m p l a t ea n dt h es e l f - d e f i n e ds e c u r i t yp o l i c yo f f e r e db yt h ep l a nm a k e t h en e t w o r ki n f o r m a t i o ns e c u r i t yd e f c u s ea c t i v e l y t h es e c u r i t ys y s t e mc a np r o t e c t b e f o r e ，g u a r dd u r i n ga n da u d i ta f t e rt h ep r o c e s s ，w h i c hp r o v i d ee f f e c t i v em e i sf o r p r o t e c t i n gt h eo n - l i n ei m f o r m a t i o n g i ta l s of a c i l i r a t ec u s t o m e r sw i t i it h eg r e a t e s t f z e c d o ma n df l e m b i l i t yw h e nc o n s t r u c t i n gt h en e t w o r ki n f o r m a t i o ns e c a r i t y k e y w o r d s ：s m a r tc a r d , p k i , o l n a , o i n s s l , v h t u a ld i s k n 讯 l 童工繁失港 学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工 作所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个 人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体， 均已在文中以明确方式标明。本声明的法律结果由本人承担。 学位论文作者签名：狮氩日期：砷年月苫日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权湖北工业大学可以将本学位论文的全部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 学位论文作者签名洳赶指导教师签名：枷 日期：m 年占月5 日 湖北工业大学硕士学位论文 1 1 背景 第1 章绪论 计算机和计算机网络已经成为企业、政府和其它各种组织的重要信息载体和 传输渠道。很明显，计算机、计算机网络和其所带来的信息数字化大幅度提高了 工作效率，也使得海量的信息存储和处理成为了现实。但是，在享受到计算机以 及计算机网络所带来的方便性的同时，也出现了目前受到广泛关注的信息安全问 题。 信息安全之所以比传统的数据文件安全更加受到关注，一方面是由于信息本 身具有易于复制的特性，利用这个特性，信息更易于受到难以控制和追溯的盗取 威胁；另一方面是由于计算机网络所具有的远程信息存取功能，网络使信息更容 易受到破坏、更改和盗取的威胁。很明显，能否最大限度确保企业、政府或者其 它组织内部信息的安全性已经关系到了计算机和计算机网络能否真正成为有实质 意义大规模应用的关键因素。 信息安全关注的是信息系统的保密性( c o n t = i d e n t i a l i t y ) 、完整性( i n t e g r a i t y ) 和可用性( a v a i l a b i l i t y ) ，其中信息的可用性可以通过各种数据备份和保护系统来 实现，本白皮书所描述系统关注的是保密性和完整性。一个组织内部的计算机通 常都以网络的形式相互连接，甚至跟外部的公共网络相连以提供和获取更加丰富 的信息和更加广泛的应用，所以，对信息安全的关注也就自然而然的演变为对网 络安全的关注， 1 2 引言 但事实上，传统网络安全和信息安全关注的重点是不一样的，传统网络安全 关注更多的是系统安全，而信息安全关注更多的是数据安全。系统安全关注的对 象是整个网络系统、网络子系统、计算机系统和应用系统所组成的运行环境的安 全性，它关注的是系统以及所提供服务的稳定性和可靠性。数据安全关注的则是 数据本身，包括数据的保密性、完整性和可用性，相比于系统安全来说，数据安 全是一种更细粒度的控制。 信息安全所关注的问题可以概况为阱下两个方面： 湖北工业大学硕士学位论文 1 信息的保密性( c o n f i d e n t i a l i t y ) ：必须确保信息在存储、传输和使用的过 程中都是保密的，不能受到未授权的阅读、窃听、破坏和仿造等攻击。 2 信息的完整性( i n t e g r a l i t y ) ：必须确保存储和获取的信息是完整的，即保 证信息的合法性和真实性，确保信息没有受到破坏或者未授权的改动。 针对上述两种信息安全的需求，许多的专家、学者和机构从不同角度提出了 各种解决方案和技术方案，从关注信息访问控制的对象和区域的侧重点来划分， 基本上可以分为内部网络安全和外部网络安全两种。 外部网络安全( 简称外网安全) 基于这样一种信任模型：网络内部的用户都 是可信的。在这种信任模型下，假设所有可能的对信息安全造成威胁的攻击都来 自于组织外部，并且是通过网络从外部使用各种攻击手段进入内部网络信息系统 的。在这种模型基础上衍生出了众多的网络安全产品，如防火墙、，、侵检测( i d s ) 、 内外网隔离以及其它针对外部网络的访问控制系统等等。但是，很明显，外网安 全的这种信任模型假设是存在巨大的漏洞的，它必然难以解决所有的网络安全问 题。 。 内部网络安全( 简称内网安全) 基于这样一种信任模型：所有的用户都是不 可信的。在这种信任模型中，假设所有用户( 无论内部网络用户还是外部网络用 户) 都可能对信息安全造成威胁，并且可以使用各种更加方便的手段对信息安全 造成威胁，比如内部人员直接对重要的服务器进行操控从而破坏信息，或者从内 部网络访问服务器，下载机密信息并盗取出去。内部网络安全的这种信任模型更 符合现实的状况。据美国联邦调查局( f 即) 和计算机安全机构( c s i ) 等权威机 构的研究：超过8 0 的信息安全隐患来自组织内部，这些隐患直接导致了信息被内 部人员所窃取和破坏。因此相较于外网安全而言，内网安全更具有实际的意义也 更加重要，因为所有的网络安全最终目的是保证组织内部数据的安全，保证组织 业务系统正常运行并不被破坏，因此内网安全应引起足够的重视。 另一方面，目前相关的内网安全产品基本以c s 架构为主，也就是说要以台 或多台服务器为中心，进行大规模的部署。这种方式适合大型企事业单位，但对 于小型企业，无论是产品规模还是产品价格都是无法承受的。他们需要的是一种 既能满足保护数据安全的需要，又能适应企业规模的内网安全产品。 1 3 论文结构 本文提出了一个小型化的内网安全产品。正如前面所提到的，这个产品有现 实需求，同时这更是一次完整的对安全系统设计原则的实践。 2 湖北工业大学硕士学位论文 本文在第二章，以计算机安全学的基本理念为基础，提出了一套成体系的安 全系统设计原则。这套原则是本文的总纲。 从第三章到第六章，依次介绍了本文所使用的四个核心技术：o p e n s s l - s m a r t c a r d ，( 3 1 n a ，v i r t u a ld i s k 。他们都是目前主流且比较成熟的技术。本文基于自身 的需要对他们做了一定的扩展。 第七章描述了本文实现的一个小型内网安全产品的设计与实现。 湖北工业大学硕士学位论文 2 1 基本安全服务 第2 章安全系统基础 计算机安全的基础是保密性，完整性和可用性。对他们的解释随环境的不同 而不同。在特定环境中，对其中某种安全服务的解释也是由个体，习惯和法律所 决定。 2 l 1 保密性 保密性：对信息或资源的隐藏。敏感领域对计算机的应用是保密性的主要需 求来源。军事，民事机构经常对获取信息的人群进行访问限制。军事部门试图实 现基于“需要知道”( n e e d t o k n o w ) 原则的控制机制，由此产生了最早的形式化 研究。 访问控制机制支持保密性。其中密码技术通过对数据进行编码，使数据变得 难以理解，以达到保密性的访问控制机制。密钥拥有非编码数据的访问权。 还有一些依赖于系统的机制能够防止信息的非法访问。不同于加密数据的是， 这些受保护数据只有在控制失效时才可以读取。这些机制与密码技术相比能更安 全的保护数据，但如果机制被破解，则数据就毫无安全性可言了。 保密性也同样能够保护数据的存在性，存在性有时比数据本身更能暴露信息， 访问控制机制可以仅仅隐藏数据的存在性，以免存在性暴露本应受到保护的资源。 所有实施保密性的机制都需要系统的支持。前提条件是：安全服务可以依赖 于内核或代理服务提供正确的数据。因此，假设和信任就成为保密机制的基础- 2 1 2 完整性 完整性：数据或资源的可信度，包括数据完整性和来源完整性。完整性通常 以防止非法的数据改变来表达。来源完整性通常涉及来源的准确性和可信性。 完整性机制分为：预防机制和检测机制。预防机制通过阻止任何非法的数据 改变企图和通过未经授权的方法改变数据的企图。前者发生在用户非法改写未经 授权的数据时，后者这是在已授权修改数据时，用户企图使用其他手段来修改数 据。检测机制并不阻止对完整性的破坏，他只是记录数据完整性的破坏。检测机 制通常使用两种方式进行工作：通过系统日志来分析用户或系统的行为以检测出 4 湖北工业大学硕士学位论文 问题：通过对数据本身的分析来判断期望的约束或条件是否满足。检测机制可咀 表明数据破坏的真实原因或仅仅报告数据己被破坏。 与保密性相比对完整性的处理有很大不同。保密性并不关心数据是否遭到 破坏而完整性同时要求数据的正确性与可信性。如何获取数据，从何处获取， 数据在到达目的前所受的保护程度以及在目标机器中所受的保护程度都将影响完 整性。完整性评估依赖于数据源的假设以及数据源的可信任假设，这两个通常被 忽视的安全基础，所以完整性的评价是很困难的。 2 1 3 可用性 可用性：信息或资源的期望使用能力。可用性是系统可靠性与系统设计中的 一个重要方面。可用性与安全相联系的原因在于，有人可能会恶意使数据或服务 失效，以此来使对系统的访问被拒绝。 系统设计中通常使用一个统计模型来分析期望的系统使用模式，当该统计模 型持续有效时，多种机制能够保证系统的可用性，但是一旦有人可以操纵系统的 使用，使得统计模型存在的假设失效，就意味着用于保证可用性的机制没有工作 在设定的环境中，结果是这些机制全部失效。 破坏系统可用性的攻击称为拒绝服务攻击( d o s ) ，这是一种很难检测的攻击， 这要求能够判断异常的访问是否属于对资源的恶意破坏。统计模型的本质使得这 种判断恨复杂。即使精确描述了环境，异常事件也仅对统计学的数学特征起作用。 恶意攻击可能看起来只是异常事件或者可能就是异常事件甚至在某些条件下表 现为正常事件。 2 2 策略与机制 安全策略：对允许什么，禁止什么的规定。 安全机制：实施安全策略的方法，工具与规范。 机制可以是非技术性的，实际上，策略的实施经常需要一些技术所无法解决 的过程性机制。 假设任何给定策略都对安全状态和非安全状态做了形式化描述，则数学方式 可以表达策略，将其表示为允许或不允许的状态列表。但实际上，策略很少会如 此精确，通常情况下，策略使用人类语言来描述，由此产生的歧义性导致某些状 态无法归于“允许”或者“不允许”。 湖北工业大学硕士学位论文 两个不同的单位进行通信时，他们所组成的系统会使用一种新的安全策略， 这种策略建立在两个单位的安全策略之上。如果两种策略不同，则必须由其中一 个单位或者两个单位同时决定复合的安全策略。这种不一致性破坏了安全。 2 2 1 安全的目的 安全策略对“安全”和“非安全”行为进行了描述，安全机制就能够阻止攻 击，检测攻击或在遭到攻击后恢复工作。 阻止攻击就是使攻击失败。这要求所实现的机制是用户所无法逾越的，同时 也相信机制是通过正确的，不可变更的方式实现，使得攻击者无法通过改变机制 来攻破系统阻止机制一般非常繁琐，复杂，会干扰系统的运行，咀至于阻碍系 统的正常使用。但一些简单的阻止机制，如口令等已被广泛接受。阻止机制能防 止系统的不同部分受到攻击。理论上，一旦这个机制被正确实现，他所保护的数 据就无需因为安全因素再受到监控。 当无法阻止攻击时，检测是最有效的方法。他基于如下理念：攻击一直都在发 生，关键是要判断攻击是正在进行还是已经发生，并做出报告。攻击可能无法阻 止，但攻击行为可以被监控，以获取攻击的性质，手段，目的，结果咀及严重性 等方面的数据。一般，检测系统需要监控系统的各个方面，记录攻击的行为与信 息。检测机制不能阻止攻击是一个很大的缺陷。受保护的数据只能持续不断的受 到监控。 恢复分为两种：第一种是阻止攻击，并且评估，修复攻击所造成的损害。第 二种是攻击正在发生时，系统仍能正常工作。 对于第一种方式，因为攻击方式多种多样，很难完整的描述每种损害的类型 与程度，所以实践中，这种方式十分的复杂。此外，如果攻击再次发生，恢复的 功能应该能够辨识和修复系统的脆弱部分。在某些情况下，通过攻击攻击者的系 统或通过合法程序使得攻击者对自己的行为负责也是恢复机制的一部分。在所有 这些情况下，系统功能都因攻击而受到限制。同时，恢复还应具有还原正确操作 的功能。 由于计算机系统的复杂性，第二种恢复方式很难实现。这种机制同时利用容 错技术和安全技术，一般使用于关键系统。与第一类方法的不同在于，任何时候 这种系统都不会出现功能错误，而只是仅用非关键功能。这种恢复机制通常以一 种较弱的方式出现，由此，系统可以自动检测出错的功能，并试图修正错误。 湖北工业大学硕士学位论文 2 2 2 假设和信任 如何判断策略是否正确描述了特定的安全等级和安全类型是所有安全领域的 中心问题。安全需要以特定的假设为基础，这种假设明确指出了安全所要求的安 全类型及安全所在的系统环境。 策略包括一系列的公理，策略的制定者相信他们能被实现，他们基于一下两 点假设：首先，策略准确的把系统分为“安全”与“非安全”两类状况；其次， 安全机制能防止系统进入“非安全”状态。如果以上两点有一个错误的话，系统 就是不安全的。 这两条假设有本质上的不同。第一条假设对“安全”系统的组成做了正确的 描述：第二条假设认为安全策略由安全机制实施。这些机制是安全，精确，广泛 的。p 表示所有可能的状态集合，0 表示安全状态集合，安全机制将系统限定在状 态集r 内。若r _ c o ，则机制是安全的；若r ：- q ，则机制是精确的i 若存在状态r 使得r e r 但畦q ，则机制是广泛的。 理论上，系统中所有安全机制的并集会生成一个独立的精确的机制( 即r = o ) 。 实际上，安全机制是广泛的，即它允许系统进入非安全状态。要确保这些机制能 确保安全，需要一下假设： l 每种机制都被设计用于安全策略的一个或多个部分。 2 各种安全机制的并集实现了安全策略的所有规定。 3 机制都被正确实现。 4 机制都被正确安装和管理。 2 3 安全保障 信度不能精确量化。系统的设计，规范和实现为判断系统的可信度提供依据。 这中信任称为安全保障。需要采取以下步骤来确保计算机的正常运行： 1 对期望( 不期望) 的行为制定详细的规范。 2 对硬件，软件和其他部件进行分析，以显示系统是否符合规范。 3 证明系统的实现，运作和维护过程将产生可以预期的行为。 2 3 1 规范 规范是对系统所期望的功能的描述。规范可以是数学化的，可以使用以形式 化规范为目的的语言进行描述；规范可以是非形式化；规范可以是低层次的，将 ， 湖北工业大学硕士学位论文 程序代码与逻辑关系以及时态相结合，以描述实事件的有序性。规范中定义的性 质是对系统可以做什么或不可以做什么的规定。 2 3 2 设计 设计将规范转化为实现该规范的系统构件例。如果在相关环境下，设计不允许 系统违反规范，则称设计满足了规范。 分析者可以通过不同的方法来判断制定的设计是否满足规范。如果使用数学 语言来描述，则分析者必须证明所设计的公式表达与规范一致。尽管自动化的手 段可以帮助完成很多工作，人工对违反规范的设计进行分析和修改仍然是不可或 缺的。如果没有使用形式化的方法进行设计，则必须做出严格，正确的论证。设 计依赖于对规范含义的假设会导致系统的脆弱性。 2 3 3 实现 给定一个设计，实现就是要创建符合该设计的系统。如果这个设计符合规范， 则实现同样符合规范。 实现的困难在于，证明程序正确的实现了设计是复杂的，因而证明程序正确 实现了规范也是复杂的。证明程序的正确性需要对每一行源代码进行验证。每一 行代码都被视为一个函数，它把输入映射为输出。每一个子函数都表现为函数的 组合，而每一个函数都可回溯到代码行。与这些函数一样，与子函数相对应的函 数也有输入和输出。使用于函数的组合可以构建程序并进行形式化的验证，进而 通过对程序集合进行组合可验证系统的正确性。 这有三个方面的困难： 1 程序的复杂性使得对其的数学验证变得非常复杂。初次之外，程序自身也 存在源于系统环境的先决条件。这些条件非常微妙而难以规范，除非形式化工具 可以精确表达他们，否则程序的验证就可能无效。 2 程序的验证常常假设程序经过正确的编译，连接和加载，然后被正确执行。 但是，硬件错误，代码错误，还有其他工具的错误使用都可能导致这个假设无效。 3 如果验证依赖于输入条件，则程序必须拒绝所有不能满足条件的输入，否 则程序只能得到部分验证。 由于正确性的形式化验证非常消耗时间，所以测试得到广泛应用。在测试过 程中，测试者使用特定数据来执行程序，以此判断输出是否符合要求以及程序出 错的几率。测试技术包括：给出大量输入，覆盖所有操作路径；引入错误输出， 观察这些错误如何影响程序的输出；制定期望列表，对比测试结果，以确定程序 湖北工业大学硕士学位论文 输出是否符合期望。尽管这些技术比形式化方法简单但他们并不能提供形式化 方法所拥有的严谨与保障。此外，测试依赖于测试过程与测试文档，这两者产生 的错误也会使测试结果失效。 尽管安全保障技术不能确保系统的正确性或安全性，但这种技术为系统评估 提供了基础。他们的价值在于可以消除可能出现的，常见的错误，迫使设计者更 精确的定义系统行为。 2 4 运作 任何实用的策略和机制都必须在安全保护的效益与设计，实现和使用该机制 的成本之间取得平衡。这可以通过分析安全破坏的风险及其发生的概率来确定。 某种程度上，这种分析是主观的，因为风险几乎不可能量化。另外，法律，惯例 以及社会因素也会对风险分析产生约束，从而使得风险分析更加复杂。实际上， 当这些因素变化时，安全机制，甚至安全策略都会相应变化。 2 4 ，1 成本效益分析 像复杂系统中的其他因素一样计算机安全的效益要与安全的代价( 包括系 统被破坏时所带来的损失) 相权衡。如果与保护机制相比，数据的价值低于安全 机制的代价，则增加安全机制就不值得了。 一次投资重复收益是另一种考虑。假设可以快速，廉价的扩充完整性保护机 制，以提供数据安全，则安全机制的开销将大幅降低。这说明对特定安全服务的 成本评估既依赖于实现该安全服务的机制，也依赖于实现其他安全服务的机制a 成本效益分析应将尽可能多的机制纳入考虑范围。在现有系统中增加安全机制， 常常比一开始就把安全机制设计到系统中开销更大。 2 4 2 风险分析 判断一种资产是否应受到保护以及应受的保护等级需要对资产面临的潜在威 胁和威胁转变为现实的可能性进行分析。保护等级是关于攻击发生的概率以及攻 击所造成的影响的函数。若攻击发生的可能性不大，则防止这种攻击的优先权就 不如防止另一种更可能发生的攻击的优先权大。若这种很少发生的攻击所造成的 损失比发生可能性更大的攻击所造成的损失大的多，则防止发生概率较小的攻击 的优先级方而更高。这些情况的判断都比较主观。 9 湖北工业大学硕士学位论文 风险是以环境为参数的函数。如果系统没有接入网络，则外部攻击者对系统 并不构成威胁。外部攻击者想要闯入系统，首先要在物理上进入系统内部。 其次，风险会随时间而改变。如果一个系统没有接入网络，好像不存在来自 网络上其他主机的攻击威胁。然而，某人会将调制解调器安装到公司的一台机器 上，然后通过调制解调器接入网络，尽管存在禁止这种行为的安全策略。如果这 种情况发生了，那么基于与网络隔离的假设的风险分析都不再准确。尽管策略能 够禁止这种行为，但除非责任部门能够保证这种情况不再发生否则这种风险不会 消除。 再次，虽然很多风险很小，但他们依然存在。责任部门可以将调制解调器接 入网络的风险降到最低，因而可以接受这种风险，但他不是不存在。实际上，需 要担心的不是可接受的风险，而是风险可能变得无法接受。 最后，“分析停顿”问题，他指的是进行了风险分析，却没有按照分析结果采 取对策。假设管理员对系统进行了一次风险分析，责任部门认为他们不清楚是否 所有的风险都已被找到，从而要求再进行一次分析以验证第一次的结果。责任部 门协调了两次分析的结果，然后等上一段时间再针对这些结果采取措施。但此时 系统环境不再是风险分析完成时的状态。不得不重新进行分析，再次等待，再次 分析，而不能针对风险采取对策。 2 4 3 法律与惯例 法律限制了技术的使用和可用性，并影响规程的制定。因此任何策略的制定 和机制的选择都必须将合法性纳入考虑范围。 例如：2 0 世纪9 0 年代，涉及密码使用的法国法律与美国法律是大不一样的 法国法律规定，向国外发送加密数据的公司必须在政府注册他们的密钥。如果一 家美国公司要向其在法国的分支机构发送加密数据，则在设计安全机制时必须考 虑两国法律间的差异。 法律并不是对制定策略和选用机制的唯一约束。实际运用中还要区分“合法” 与“可接受”行为的区别。采集员工的指纹作为身份标识，这是合法的，但却不 能被社会所接受。这种行为提供了安全，但却建立在无法被公众接受的代价之上， 这促使用户想要避开安全机制，或者干脆攻克安全系统。 法律与惯例所提出的问题就是一种心理承受性的问题。安全机制把合法的风 险强加于用户的同时，也为他们增加了他们所不愿承受的负担。这种机制不会被 使用，而不被使用的机制比不存在的机制更糟糕，因为他表现了一种假象，好像 1 0 湖北工业大学硕士学位论文 存在某种有效的安全机制，用户会依赖这种机制来保护他们的系统，但实际上， 他们的系统并没有得到保护。 2 5 人为因素 计算机安全机制的实现很复杂，在大型系统中，规程控制常常变得含糊不清 或非常笨重。无论技术的作用有多大，如果非技术因素影响了技术的实现与应用， 那么他对安全的影响是巨大的。此外，如果对技术使用不当，即便是最好的安全 机制也是无用的。因此，安全系统的设计者，实现者和维护者必须能正确运用这 些操作。 2 5 1 机构问题 安全没有为用户带来直接的经济利益，他只是减少了损失，但同时他也需要 消耗资源。通常，人们并不重视安全，不愿意在安全上进行投资，除非损失已经 发生，此时，安全的价值才得到重视。此外，安全机制常常将简单操作复杂化， 导致生产率降低。 即使采用了安全保护，损失也还是会发生，但要比没有安全机制的情况下的 损失小。关键在于：这种损失加上生产效率下降而引起的损失是否比在没有安全 保护的情况下，因受到攻击而导致的损失更大? 对系统安全负责的人员必须综合考虑这个问题。安全控制没有实现，是因为 那些能清楚认识安全措施必要性和负责实现安全机制的人员不能去做这方面的工 作。 一旦建立了清晰的责任和权力关系，安全需求就能在同等条件下和系统的其 他需求进行竞争。一个常见的问题是，缺乏接受过安全培训的人员，另一个问题 是经验丰富的人员负担过重。通常情况下，安全管理员还同时承担系统管理，系 统开发或其他一些次要责任，实际工作中，安全常常处于次要地位。问题是，安 全问题所表现出来的迹象常常不明显，需要时间和技巧来发现问题。对攻击做好 准备就不会在攻击发生时慌乱，但这种准备也需要充足的时间和精力。因而，如 果把安全视为次要工作就意味着安全不会产生预期的效果。 资源缺乏是另一个常见问题。保护系统安全需要资源，也需要人力。安全需 要时间：设计出能够提供适当安全等级保护的安全系统，实现该结构并管理相应 的系统都需要时间；安全需要资金：购买用于构建足够安全的系统所需的产品， 为设计和实现安全机制的人员支付工资都需要资金；安全需要计算机资源。用于 1 1 湖北工业大学硕士学位论文 实现安全机制和执行安全规程；安全还需要员工培训，以确保员工懂得如何使用 安全工具，如何解释安全工具产生的结果，如伺实现非技术方面的安全策略。 2 5 2 人员问题 任何安全系统的核心都是人。在计算机安全领域，这个观点尤为正确，因为 计算机安全主要处理的是技术控制，而这些控制常常因为人的干预而被绕开。比 如说，一个系统需要用户名和密码来确认用户身份，如果授权用户向其他人透露 了他的用户名和密码，这个非授权用户就能进入系统，而几乎不被发觉。 那些有攻击系统的动机，但却无权使用该系统的人称为“外部人员”，他们会 对系统安全产生重大威胁，然而，事实上，被授权使用计算机的心怀不满的员工 等“内部人员”产生的威胁要大的多。内部人员清楚系统的组织方式和操作员及 用户所遵循的操作规程通常也知道足够多的口令，因而能够绕开许多安全控制， 尽管这些控制能够检测来自外部的攻击。内部人员对已有权跟的滥用是很难解决 的问题。 未经训练的人员同样对系统安全构成威胁。比如，操作员并没有认识到在封 存备份数据前，需要对数据进行校验。当攻击者删除一些关键性的文件时，操作 员才发现这些数据全部无法读取。 系统管理员误读安全机制的输出结果，或者没有对输出结果进行分析，这些 都会增加系统被攻击的可能性。同样，管理员错误的配置系统中与安全相关的部 分会消弱系统的安全能力。用户错误的使用安全机制( 比如使用弱口令) 同样如 此。 缺乏培训不仅仅体现在技术领域，因为许多成功入侵系统的人采用的是所谓 “社会工程”的方法。比如，操作员a 没有读取文件x 的相应权限的密码，于是他 向拥有该密码的操作员b 谎称急需这份文件，操作员b 无法拒绝这个请求，而向操 作员a 透露了密码，操作员a 从而可以正常登录系统窃取数据。社会工程攻击法总 能获得巨大成功，且常常带来毁灭性的打击。 2 6 总结 本章所讨论的各个方面体现为一种线性流程( 见图2 1 ) 。人为因素遍及循环的 每个阶段。此外，循环的每个阶段都需要向他的前一个阶段作出反馈，并通过这 个阶段影响之前的所有阶段。运作与维护是整个周期中最关键的阶段。图2 1 将运 作与维护阶段的反馈分为多个流向，以强调他对其他所有阶段的影响。 湖北工业大学硕士学位论文 o 运作与维护 图2 1 安全生命周期 来自运作阶段的反馈非常关键。无论程序是否经过测试，操作环境总是会引 入意想不到的问题。如果安全保障阶段做得好，则额外的困难和问题就会减小到 最小程度，分析者也能够快速的解决这些问题，否则就需要完全重新评估系统。 反馈使用的工具包括审计，通过审计对系统操作进行分析，由此确定发生的问题。 li11 舳0瓣0艚甜0觌 一 一 一 一 一 湖北工业大学硕士学位论文 3 1 什么是密码学 第3 章o p e n s s l 密码学是从希腊文“秘密书写”演化而来，他是- i q 隐匿消息的艺术和科学。 密码分析就是破解密码。密码学的基础组件是密码系统。 密码系统是一个5 元组( e ，d ，m ，k ，c ) ，m 是明文集，k 是密钥集，c 是密 文集，e ：m x k c 是加密函数集，d ：c x k - - m 是解密函数集。 密码学的目标是保持加密信息的机密性。假设一个攻击者希望破解一段密文， 一般性的假设是，攻击者知道加密算法而不知道密钥。他可能采用以下三种攻击 方法： 1 唯密文攻击攻击者只拥有消息的密文。他的目的是获得相应的明文。如 果可能，他也尝试寻找密钥。 2 已知明文攻击，攻击者通过密文和相应的明文，找出对明文所使用的密钥。 3 选择明文攻击。攻击者对特定明文进行加密获得相应的密文，通过分析找 出对明文使用的密钥。 攻击会用到数学和统计学知识。统计方法假设明文语言的统计特性，并且检 查密文的统计特性是否符台这些假设。这些假设称为语言模型。表3 1 描述的英语 模型是基于字母模型。其他模型包括双字母模型，m a l - k o v 模型和单词模型等。 表3 1 英语字母频率表i l 】 3 2 密码学分类 密码学大体分为：古典密码学与公钥密码学。 1 4 湖北工业大学硕士学位论文 3 2 1 古典密码学 古典密码系统( 也称单密钥密码系统或对称密码系统) 是加密和解密使用相 同密钥的密码系统。在这种系统里，对所有e ，e 和k e k ，有d i e d ，其中 d 。- e ；1 。古典密码有两种基本类型：换位密码和替代密码。 换位密码通过重新编排明文中的字母顺序得到密文，而所有字母并没有改变。 从数学意义上来看，换位密码中的密钥相当于一个置换函数。因为置换不会改变 明文字母出现频率，所以通过比较密文中的字母频率与明文语言模型，可以检测 出换位密码来。 攻击换位密码要求对密文的字母重新编排。这个过程称为“猜字法”，即使用 n 字母组合频率表确定n ，攻击者通过编排字母，使在密文中的字母以最高出现频 率形成一些n 字母组合。这个过程重复使用不同的n ，直到找到换位密码的换位模 式。 替代密码通过改变明文中的字符产生密文。 目前使用较多的是：a e s ，b l o w f i s h ，t w o f i s h ，1 1 认和i d e a 等。 3 2 2 公钥密码学 1 9 7 6 年，d i f f i e 和h e l l m a n f 2 1 提出了一种新型的密码学方法，他的加密，解密不 再使用同一密钥。加密，解密的密钥的其中一个被公开，另一个由使用者保密。 如果公开加密密钥，那么只需使用接受者的公钥加密消息，然后发送给接受者。 接受者使用自己的私钥解密密文。 因为有一个密钥是公开的，并且他对应的私钥必须保密，所以公钥密码系统 必须满足以下的三个条件： 1 给定正确的密钥，加密和解密都必须是易于计算的。， 2 从公钥计算出私钥是不可行的。 3 通过选择明文攻击确定私钥是计算不可行的。 满足以上要求的第一个密码系统用于生成共享会话密钥；第二个密码系统则 提供了机密性和认证。 目前比较流行的公钥算法有；d i r g e h e l l m a n ，r s a l 3 l ，r a b i n ，i j j 和m c e u c 等算法。 湖北工业大学硕士学位论文 3 3 什么是o p c n s s l o p e n s s l 晨一个开放源代码，实现了s s l 及其相关加密技术