湖南省檢察院信息安全保障系統(tǒng)研究_碩士學(xué)位論文（pdf格式可編輯）.pdf

原創(chuàng)性聲明 本人聲明 所呈交的學(xué)位論文是本人在導(dǎo)師指導(dǎo)下進(jìn)行的研究 工作及取得的研究成果 盡我所知 除了論文中特J 爭(zhēng)J D H 以標(biāo)注和致謝 的地方外 論文中不包含其他人已經(jīng)發(fā)表或撰寫過(guò)的研究成果 也不 包含為獲得中南大學(xué)或其他單位的學(xué)位或證書而使用過(guò)的材料 與我 共同工作的同志對(duì)本研究所作的貢獻(xiàn)均已在論文中作了明確的說(shuō)明 作者簽名 盈L 嗍雄年玉月 日 學(xué)位論文版權(quán)使用授權(quán)書 本人了解中南大學(xué)有關(guān)保留 使用學(xué)位論文的規(guī)定 即 學(xué)校 有權(quán)保留學(xué)位論文并根據(jù)國(guó)家或湖南省有關(guān)部門規(guī)定送交學(xué)位論文 允許學(xué)位論文被查閱和借閱 學(xué)校可以公布學(xué)位論文的全部或部分內(nèi) 容 可以采用復(fù)印 縮印或其它手段保存學(xué)位論文 同時(shí)授權(quán)中國(guó)科 學(xué)技術(shù)信息研究所將本學(xué)位論文收錄到 中國(guó)學(xué)位論文全文數(shù)據(jù)庫(kù) 并通過(guò)網(wǎng)絡(luò)向社會(huì)公眾提供信息服務(wù) 作者虢肆聊躲避吼難年 哆日 摘要 我國(guó)檢察專線網(wǎng)經(jīng)過(guò)多年的發(fā)展 已經(jīng)建成了覆蓋全國(guó)的高速以 太網(wǎng) 并利用網(wǎng)絡(luò)開展了一系列信息化應(yīng)用 而檢察專線網(wǎng)絡(luò)中存在 的種種安全威脅卻制約了檢察信息系統(tǒng)的進(jìn)一步發(fā)展 本文分析了湖南省檢察院信息系統(tǒng)面臨的安全問(wèn)題及需求 在簡(jiǎn) 要介紹國(guó)內(nèi)外信息安全發(fā)展的現(xiàn)狀后 著重?cái)⑹隽薘 S A 算法 訪問(wèn) 控制以及P K I 身份認(rèn)證等方面的基本理論知識(shí) 并從通信網(wǎng)絡(luò)安全保 障和統(tǒng)一身份認(rèn)證兩方面來(lái)設(shè)計(jì)湖南省檢察院的安全保障系統(tǒng) 在通信網(wǎng)絡(luò)平臺(tái)安全方面 本文主要結(jié)合湖南省檢察院實(shí)際情 況 從物理層和網(wǎng)絡(luò)層兩個(gè)方面進(jìn)行了分析 在物理層本文主要考慮 如何防止信息泄露 在網(wǎng)絡(luò)層則主要利用A C L 防火墻和入侵防御 技術(shù)實(shí)現(xiàn)數(shù)據(jù)的多層過(guò)濾 檢察系統(tǒng)身份證書管理系統(tǒng)的建設(shè)則試圖利用P K I 技術(shù)搭建一 個(gè)覆蓋全國(guó)范圍的統(tǒng)一身份認(rèn)證系統(tǒng) 本文對(duì)此證書管理系統(tǒng)的C A R A 以及證書撤銷列表進(jìn)行了一一設(shè)計(jì) 通過(guò)使用R S A 算法制作了身 份證書 并設(shè)計(jì)了證書的申請(qǐng) 撤銷 更新和恢復(fù)四個(gè)流程 此證書 管理系統(tǒng)將與檢察系統(tǒng)各應(yīng)用軟件相結(jié)合來(lái)阻止在應(yīng)用層的非法用 戶訪問(wèn) 最后 本文探討了此安全保障系統(tǒng)將來(lái)還需進(jìn)一步完善的地方 關(guān)鍵詞訪問(wèn)控制 入侵保護(hù) 身份認(rèn)證 認(rèn)證機(jī)構(gòu) 注冊(cè)機(jī)構(gòu) A B S T R A C T A f t e ry e a r so f d e v e l o p m e n t C h i n e s ep r o s e c u t o r i a lN e t w o r k h a sb u i l t an a t i o n w i d eh i g h s p e e dn e t w o r k a n dc a r r i e so u tas e r i e so f a p p l i c a t i o n H o w e v e r t h ep o t e n t i a ls e c u r i t yp r o b l e m si np r o s e c u t o r i a ln e t w o r kh a v e h a m p e r e dt h ed e v e l o p i n go ft h ei n f o r m a t i o ns y s t e m T h i sp a p e ra n a l y z e st h es e c u r i t yb a c k g r o u n da n d r e q u i r e m e n to ft h e p r o s e c u t o r i a li n f o r m a t i o ns y s t e m b r i e fi n t r o d u c e st h ed e v e l o p m e n to f i n f o r m a t i o ns e c u r i t y f o c u s e so nt h eR S A a l g o r i t h m a c c e s sc o n t r o la n d P K Ia u t h e n t i c a t i o na n do t h e rb a s i ct h e o r e t i c a lk n o w l e d g e s d e s i g n st h e s e c u r i t ys y s t e mi nH u n a n Sp r o c u r a t o r a t ef r o mt w oa s p e c t sa b o u tt h e c o m m u n i c a t i o n sn e t w o r k s e c u r i t ya n du n i f i e da u t h e n t i c a t i o n S e c u r i t yi nt h ec o m m u n i c a t i o na n dn e t w o r kp l a t f o r m t h i sp a p e r c o m b i n e sw i t ht h ea c t u a ls i t u a t i o ni nH u n a n SP r o c u r a t o r a t e a n a l y z e st h e p h y s i c a ll a y e ra n dt h en e t w o r kl a y e r I nt h ep h y s i c a ll a y e r t h ep a p e r c o n s i d e r sh o wt op r e v e n ti n f o r m a t i o nl e a k a g e I nt h en e t w o r kl a y e r t h e p a p e ra c h i e v e st h eM u l t i l a y e rf i l t e r i n go fd a t ab yu s i n gA C L f i r e w a l l a n di n t r u s i o np r e v e n t i o nt e c h n o l o g i e s T h e p r o s e c u t o r i a li d e n t i t yc e r t i f i c a t em a n a g e m e n ts y s t e mi st r y i n gt o b u i l dau n i f i e da u t h e n t i c a t i o ns y s t e mt h r o u g h o u tt h ec o u n t r yb yu s i n g P K It e c h n o l o g y T h e p a p e rd e s i g n s t h eC A R Aa n dC R Li nt h e a u t h e n t i c a t i o n s y s t e m p r o d u c e si d e n t i t y c e r t i f i c a t e b yu s i n gR S A a l g o r i t h m A n d t h e p a p e r a l s o d e s i g n s t h e p r o c e s s e s a b o u tt h e a p p l i c a t i o n r e v o c a t i o n r e n e w a la n dr e s u m eo ft h ec e r t i f i c a t e s I nt h e A p p l i c a t i o nl a y e r t h ea u t h e n t i c a t i o ns y s t e mw i l lc o m b i n e sw i t ht h e a p p l i c a t i o ns o f t w a r et op r e v e n tt h eu n a u t h o r i z e du s e r sa c c e s s F i n a l l y t h i sp a p e ra n a l y z e ss o m ef u r t h e rt o p i c st h a tt h es e c u r i t y I l s y s t e mm u s tb ei m p r o v e d K E YW O R D SA c c e s sC o n t r o l I n t r u s i o nP r e v e n t i o nS y s t e m P K I C A R A I l l 目錄 摘要 I A B S l R A C T I I 第一章緒論 1 1 1 研究意義 1 1 2國(guó)內(nèi)外研究現(xiàn)狀與水平 2 1 2 1 國(guó)外研究現(xiàn)狀與水平 2 1 2 2 國(guó)內(nèi)研究現(xiàn)狀與水平 5 1 2 3 湖南省檢察系統(tǒng)專線網(wǎng)絡(luò)現(xiàn)狀分析 6 1 3 本文的結(jié)構(gòu)概要和內(nèi)容安排 8 第二章信息安全的基本理論 9 2 1對(duì)計(jì)算機(jī)信息系統(tǒng)安全的威脅 9 2 2 A C L 技術(shù) 1O 2 3 防火墻和入侵防御技術(shù) 11 2 3 1 防火墻技術(shù) 1 1 2 3 2 入侵防御技術(shù) 1 2 2 4 公鑰基礎(chǔ)設(shè)施P K I 概述 一13 2 4 1R S A 算法概述 1 3 2 4 2P 的構(gòu)成 15 2 4 3L D A P 目錄協(xié)議 18 2 5本章小結(jié) 21 第三章湖南省檢察院通信網(wǎng)絡(luò)平臺(tái)安全建設(shè) 2 2 3 1 物理環(huán)境安全保障 2 2 3 2V L A N 的劃分 2 3 3 3 網(wǎng)絡(luò)數(shù)據(jù)安全 2 4 3 3 1 防火墻系統(tǒng)的實(shí)施和部署 2 5 3 3 2N I P S 系統(tǒng)實(shí)施和部署 2 7 3 4 安全管理制度建設(shè) 3 0 3 5 本章小結(jié) 3 2 第四章檢察系統(tǒng)身份證書管理系統(tǒng)建設(shè) 3 3 4 1檢察系統(tǒng)身份證書管理系統(tǒng)的設(shè)計(jì)思想及功能 3 3 I V 4 2 身份證書管理系統(tǒng)的構(gòu)成 3 4 4 2 1 身份證書管理系統(tǒng)C A 的設(shè)計(jì) 3 5 4 2 2 身份證書管理系統(tǒng)R A 的設(shè)計(jì) 3 5 4 2 3 身份證書管理系統(tǒng)證書的設(shè)計(jì) 3 6 4 2 4 身份證書管理系統(tǒng)證書撤銷列表 C R L 的設(shè)計(jì) 3 8 4 3 身份證書的管理 3 9 4 4 身份證書管理系統(tǒng)的部署 4 3 4 5 本章小結(jié) 4 5 第五章結(jié)束語(yǔ) 4 7 5 1 本文總結(jié) 4 7 5 2 后續(xù)展望 4 7 參考文獻(xiàn) 4 9 致謝 5 3 攻讀工程碩士研究生期間的主要研究成果及發(fā)表論文 5 4 V 碩士學(xué)位論文第一章緒論 第一章緒論弟一早三百y 匕 近年來(lái) 隨著網(wǎng)絡(luò)的普及 各大公司企業(yè)以及政府機(jī)構(gòu)都建成了網(wǎng)絡(luò)信息系 統(tǒng) 大量信息開始在網(wǎng)絡(luò)上傳輸 同時(shí)安全事故也層出不窮 這使得網(wǎng)絡(luò)安全保 障體系的建設(shè)顯得極為緊迫 1 9 9 9 年至2 0 0 8 年 國(guó)家出臺(tái)了一系列的規(guī)章與標(biāo) 準(zhǔn) 逐步開始重視信息安全保障體系的建設(shè) 2 0 0 7 年6 月四部委聯(lián)合出臺(tái)了 信 息安全等級(jí)保護(hù)管理辦法 公通字 2 0 0 7 1 4 3 號(hào) 1 明確了信息安全等級(jí)保護(hù)制 度的基本內(nèi)容 流程及工作要求 明確了信息系統(tǒng)運(yùn)營(yíng)使用單位和主管部門 監(jiān) 管部門在信息安全等級(jí)保護(hù)工作中的職責(zé) 任務(wù) 2 0 0 7 年7 月 四部委又聯(lián)合 下發(fā)了 關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知 公信安 2 0 0 7 1 8 6 1 號(hào) 就定級(jí)范圍 定級(jí)工作主要內(nèi)容 定級(jí)工作要求等事項(xiàng)進(jìn)行了通 知 隨著全國(guó)各級(jí)檢察機(jī)關(guān)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)的基本完成 信息化為檢察機(jī)關(guān)提 升司法水平 增強(qiáng)法律監(jiān)督能力提供了很大的幫助 與此同時(shí) 信息安全也日益 成為各級(jí)檢察機(jī)關(guān)非常關(guān)注的問(wèn)題 建設(shè)一個(gè)可靠的信息安全保障體系成為檢察 系統(tǒng)信息安全等級(jí)保護(hù)的主要內(nèi)容 1 1 研究意義 網(wǎng)絡(luò)攻擊的方式多種多樣 D D O S D i s t r i b u t e dD e n i a lo fS e r v i c e 分布式拒絕 服務(wù) 攻擊 燦R P A d d r e s sR e s o l u t i o nP r o t o c o l 地址解析協(xié)議 欺騙 蠕蟲病毒等 攻擊方式都是目前比較流行的幾種攻擊方式 還有少部分人利用網(wǎng)絡(luò)后門及系統(tǒng) 安全漏洞竊取內(nèi)部信息 隨著全國(guó)各級(jí)檢察機(jī)關(guān)基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)的基本完成 建設(shè)一個(gè)適合檢察系統(tǒng)的信息安全保障體系非常必要 為了達(dá)到國(guó)家相關(guān)法規(guī)的 要求 檢察系統(tǒng)安全保障體系必須從信息加密 身份認(rèn)證 訪問(wèn)控制等多方面入 手 對(duì)整個(gè)網(wǎng)絡(luò)安全狀況進(jìn)行全面監(jiān)控管理 各類安全設(shè)備應(yīng)該要能做到實(shí)時(shí)聯(lián) 動(dòng) 以此來(lái)提供最大的安全保障 在路由與交換技術(shù)方面 V L A N V i r t u a lL o c a l A r e aN e t w o r k 虛擬局域網(wǎng) 和A C L A c c e s sC o n t r o lL i s t 訪問(wèn)控制列表 技術(shù)能很 好的限制數(shù)據(jù)包的流動(dòng) 對(duì)病毒 木馬等惡意程序能起到很好的控制作用 防火 墻技術(shù)可以根據(jù)I P 地址來(lái)篩選掉包含可疑地址的數(shù)據(jù)包 入侵檢測(cè)和防御技術(shù) 可以根據(jù)數(shù)據(jù)包的I P 地址 端口等特征來(lái)判斷數(shù)據(jù)包是否具有危險(xiǎn)性 入侵防 御系統(tǒng)與防火墻的聯(lián)動(dòng)往往能起到很好的對(duì)木馬病毒等惡意數(shù)據(jù)包的阻斷作用 研究A C L 入侵防御和防火墻技術(shù) 可以實(shí)現(xiàn)網(wǎng)絡(luò)的動(dòng)態(tài)安全防護(hù) 具有重要 碩士學(xué)位論文 第一章緒論 的研究意義和實(shí)用價(jià)值 在身份認(rèn)證方面 P K I P u b l i cK e yI n f r a s t r u c t u r e 公鑰 密碼設(shè)施 提出了一套完善的網(wǎng)絡(luò)身份認(rèn)證體系 其內(nèi)容包括設(shè)立 C A C e r t i f i c a t i o nA u t h o r i t y 認(rèn)證機(jī)構(gòu) 服務(wù)器 R A R e g i s t e rA u t h o r i t y 注冊(cè)機(jī)構(gòu) 服務(wù)器等設(shè)備以及使用L D A P L i g h t w e i g h tD i r e c t o r yA c c e s sP r o t o c o l 輕量目錄訪 問(wèn)協(xié)議 等協(xié)議進(jìn)行身份標(biāo)識(shí)和查詢 研究P K I 體系對(duì)保障網(wǎng)絡(luò)信息在傳遞過(guò)程 中的完整性 機(jī)密性 不可否認(rèn)性有重要的實(shí)際意義 1 2 國(guó)內(nèi)外研究現(xiàn)狀與水平 1 2 1 國(guó)外研究現(xiàn)狀與水平 早期的信息安全主要是側(cè)重保護(hù)信息本身安全 特別是信息在傳輸過(guò)程中的 安全 從模型上看 信息系統(tǒng)安全的經(jīng)典概念要求系統(tǒng)無(wú)安全漏洞 這種系統(tǒng)安 全的概念在于不斷地追求消滅漏洞 從概念上說(shuō) 屬于靜態(tài)安全范疇和基于空間 的安全范疇 這種模型的最大問(wèn)題在于把系統(tǒng)漏洞看成是靜態(tài)出現(xiàn)的 完全沒有 考慮系統(tǒng)在運(yùn)行中產(chǎn)生的安全漏洞 目前 在信息安全評(píng)估方面 國(guó)際上最具有 權(quán)威和歷史上起過(guò)作用的評(píng)估標(biāo)準(zhǔn)有5 個(gè) 其一是美國(guó)國(guó)防部公布的可信計(jì)算機(jī) 系統(tǒng)評(píng)估準(zhǔn) 貝l J T r u s t e dC o m p u t e rS y s t e mE v a l u a t i o nC r i t e r i a T C S E C 1 2 1 其二是歐 洲一些國(guó)家制訂的信息技術(shù)安全評(píng)估準(zhǔn)則 I n f o r m a t i o nT e c h n o l o g yS e c u r i t y E v a l u a t i o nC r i t e r i a I T S E C 其三是國(guó)際信息安全專家在1 9 9 9 年提出了可以量 化的 并且由數(shù)學(xué)家證明的基于時(shí)間的新的安全方案模型P D R R P r o t e c t i o n D e t e c t i o nR e a c t i o nR e s t o r e 防護(hù) 檢測(cè) 反應(yīng) 恢復(fù) 3 1 另外還有國(guó)際標(biāo)準(zhǔn)化組織 提出的I S O I E C l 5 4 0 8 t 4 和I S O I E C l 7 7 9 9 x 5 1 信息技術(shù)安全評(píng)估準(zhǔn)則 而在信息安全 防護(hù)技術(shù)發(fā)展方面 目前國(guó)際上主要采用的技術(shù)有訪問(wèn)控制 入侵保護(hù) 身份認(rèn) 證等幾方面 訪問(wèn)控制技術(shù)起源于2 0 世紀(jì)7 0 年代 當(dāng)時(shí)是為了滿足管理大型主機(jī)系統(tǒng)上共 享數(shù)據(jù)授權(quán)訪問(wèn)的需要 最早由L a m p s o n f 6 提出了訪問(wèn)控制的形式化和機(jī)制描述 引入了主體 客體和訪問(wèn)矩陣的概念 它們是訪問(wèn)控制的基本概念 隨著計(jì)算機(jī) 技術(shù)和應(yīng)用的發(fā)展 特別是網(wǎng)絡(luò)應(yīng)用的發(fā)展 這一技術(shù)的思想和方法迅速應(yīng)用于 信息系統(tǒng)的各個(gè)領(lǐng)域 在3 0 多年的發(fā)展過(guò)程中 先后出現(xiàn)了多種重要的訪問(wèn)控制 技術(shù) 目前國(guó)際上使用較多的主要有三種 即自主訪問(wèn)控制 強(qiáng)制訪問(wèn)控制和 R B A C r o l e b a s e da c c e s sc o n t r o l 基于角色的訪問(wèn)控制 它們的基本目標(biāo)都是防 止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用 自主訪問(wèn)控制是目前國(guó) 內(nèi)外使用得最多的訪問(wèn)控制機(jī)制 其核心思想是主體的擁有者主動(dòng)授權(quán)給其他人 訪問(wèn)來(lái)該主體 其實(shí)現(xiàn)方法一般是建立基于主體或客體的訪問(wèn)控制方法 A C L 2 碩士學(xué)位論文 第一章緒論 就是實(shí)現(xiàn)自主訪問(wèn)控制最好的方法 訪問(wèn)控制系統(tǒng)可以通過(guò)檢測(cè)A C L 來(lái)決定訪問(wèn) 是否被授權(quán)或拒絕 7 1 強(qiáng)制訪問(wèn)控制的核心思想是建立擁有包含等級(jí)列表的許 可 列表定義了可以訪問(wèn)哪個(gè)級(jí)別的客體 其訪問(wèn)策略是由授權(quán)中心決定的 其 最早被應(yīng)用在軍方系統(tǒng)中 目前也主要應(yīng)用在軍事和安全部門中 而相比之下 基于角色的訪問(wèn)控制則提出的較晚 1 9 9 2 年最早的R B A C 模型被提出i 舯 之后則 一直處于研究階段 2 0 0 1 年8 月N I S T 發(fā)表了R B A C 建議標(biāo)準(zhǔn)1 9 J 此建議標(biāo)準(zhǔn)綜合 了該領(lǐng)域眾多研究者的研究成果 描述了R B A C 系統(tǒng)最基本的特征 旨在提供一 個(gè)權(quán)威的 可用的R B A C 參考規(guī)范 為R B A C 的進(jìn)一步研究指明方向 目前 針 對(duì)R B A C 的應(yīng)用正在逐步開展 1 9 8 8 年 M o r r i s 蠕蟲造成的網(wǎng)絡(luò)癱瘓事件導(dǎo)致了業(yè)界對(duì)漏洞攻擊入侵的真 正認(rèn)識(shí)和深入關(guān)注 當(dāng)時(shí)的網(wǎng)絡(luò)技術(shù)人員提出了簡(jiǎn)單模型的I D S I n t r u s i o n D e t e c t i o nS y s t e m 入侵偵聽系統(tǒng) 1 0 1 9 9 5 年 I D S 逐步從研究性 嘗試性的產(chǎn) 品逐漸發(fā)展到了市場(chǎng)化的產(chǎn)品 逐漸得到了廣泛的應(yīng)用 但隨著網(wǎng)絡(luò)技術(shù)和計(jì)算 機(jī)技術(shù)飛速發(fā)展 網(wǎng)絡(luò)技術(shù)人員逐漸發(fā)現(xiàn)I D S 在應(yīng)對(duì)不斷翻番的網(wǎng)絡(luò)流量和不 斷出現(xiàn)的網(wǎng)絡(luò)復(fù)雜應(yīng)用時(shí)已力不從心 如出現(xiàn)了海量攻擊事件 檢測(cè)性能不夠 檢測(cè)精度不夠 分析攻擊事件困難 無(wú)法有效阻斷攻擊等 因此 業(yè)界也在不停 地探討利用新的軟 硬件技術(shù)來(lái)實(shí)現(xiàn)一個(gè)更高級(jí)的入侵檢測(cè)防御的I P S I n t r u s i o n p r e v e n t i o ns y s t e m 模型 不同于I D S 該模型與生俱來(lái)的設(shè)計(jì)思想就是精確檢測(cè) 實(shí)時(shí)阻斷 1 l J 2 l 隨后國(guó)際上各廠商紛紛推出I P S 產(chǎn)品 并在各行各業(yè)形成了規(guī)模 應(yīng)用 2 0 0 3 年 國(guó)際著名咨詢機(jī)構(gòu)G a r t n e r 副總裁在大量的數(shù)據(jù)分析后 發(fā)表了 I D Si sd e a d 判斷I l 引 并逐漸在美國(guó) 日本等互聯(lián)網(wǎng)發(fā)達(dá)的國(guó)家得到驗(yàn)證 國(guó) 際上的廠商逐漸開始專注于研發(fā)銷售I P S 同時(shí)通過(guò)將各種先進(jìn)的軟 硬件技術(shù) 引入到I P S 的開發(fā)中 如多核技術(shù) A S I C A p p l i c a t i o nS p e c i f i cI n t e r g r a t e dC i r c u i t s 專用集成電路 技術(shù)等 使得I P S 的檢測(cè)性能與日俱增 身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程 其主要功能為保證 操作者的數(shù)字身份與其真實(shí)身份是一致的 早期的身份認(rèn)證技術(shù)一般是采用口令 認(rèn)證的方式 當(dāng)被用戶要求訪問(wèn)應(yīng)用系統(tǒng)時(shí) 應(yīng)用系統(tǒng)要求用戶提交該口令 應(yīng) 用系統(tǒng)收到口令后 將其與用戶存儲(chǔ)在自己數(shù)據(jù)庫(kù)中的口令進(jìn)行比較 若一致則 通過(guò)認(rèn)證 反之則拒絕 這種認(rèn)證方法的優(yōu)點(diǎn)在于簡(jiǎn)單實(shí)用 但基于口令的認(rèn)證 方法最大的問(wèn)題在于口令容易竊取和丟失 而目前 國(guó)際上較常用的身份認(rèn)證技 術(shù)則包括下面四種技術(shù) 基于智能卡的認(rèn)證1 1 4 l 智能卡可以被看成是一個(gè)防篡改的小型計(jì)算機(jī) 它 包含一個(gè)小型C P U 和一個(gè)小容量的非易失性存儲(chǔ)單元 智能卡內(nèi)存儲(chǔ)了某些用 戶信息 如用戶名 口令以及用戶在認(rèn)證服務(wù)器上存儲(chǔ)的隨機(jī)數(shù) 當(dāng)用戶用智能 3 碩士學(xué)位論文 第一章緒論 卡進(jìn)行身份驗(yàn)證時(shí) 需要輸入用戶名和口令 首先由智能卡來(lái)辨別用戶身份的合 法性 然后智能卡再將存儲(chǔ)在卡中的隨機(jī)數(shù)發(fā)給認(rèn)證服務(wù)器做進(jìn)一步驗(yàn)證 這種 類型的身份驗(yàn)證既驗(yàn)證用戶持有的智能卡 又驗(yàn)證用戶知曉的信息 如用戶名和 密碼 因此也被稱作 二元身份驗(yàn)證 基于挑戰(zhàn) 應(yīng)答的認(rèn)證 基于挑戰(zhàn) 應(yīng)答 C h a l l e n g e R e s p o n s e 的認(rèn)證方式就 是每次認(rèn)證過(guò)程服務(wù)端給客戶端發(fā)送一個(gè)不同的 挑戰(zhàn) 字符串 客戶端基于自 己和服務(wù)端共享的知識(shí) 通常情況下是用戶的口令 對(duì) 挑戰(zhàn) 做出相應(yīng)的 應(yīng)答 1 1 5 1 認(rèn)證過(guò)程為 S t e p l 客戶向認(rèn)證服務(wù)器發(fā)出請(qǐng)求 要求進(jìn)行身份認(rèn)證 S t e p 2 認(rèn)證服務(wù)器從用戶數(shù)據(jù)庫(kù)中查詢用戶是否是合法的用戶 若不是 則 不做進(jìn)一步處理 S t e p 3 認(rèn)證服務(wù)器內(nèi)部產(chǎn)生一個(gè)隨機(jī)數(shù) 作為 提問(wèn) 發(fā)送給客戶 S t e p 4 客戶將用戶名字和隨機(jī)數(shù)合并 使用單向H a s h 函數(shù)生成一個(gè)摘要信 息作為應(yīng)答 S t e p 5 認(rèn)證服務(wù)器將應(yīng)答信息與自己的計(jì)算結(jié)果比較 若二者相同 則通過(guò) 一次認(rèn)證 否則認(rèn)證失敗 S t e p 6 認(rèn)證服務(wù)器通知客戶認(rèn)證成功或失敗 著名的R a d i u s 就是采用這種認(rèn) 證機(jī)制 基于數(shù)字證書的認(rèn)證 數(shù)字證書是一種權(quán)威性的電子文檔 由權(quán)威公正的 第三方機(jī)構(gòu)簽發(fā) 采用公鑰密碼體制進(jìn)行加解密 目前 許多網(wǎng)絡(luò)安全應(yīng)用都可 以使用數(shù)字證書 如I P S e c I n t e m e tP r o t o c o lS e c u r i t y l S S L S e c u r eS o c k e t sL a y e r S E T S e c u r eE l e c t r o n i cT r a n s a c t i o n 等1 1 6 1 7 1 在國(guó)內(nèi) 基于數(shù)字證書的身份認(rèn)證是 目前在各種軟件系統(tǒng)中使用頻率最高的認(rèn)證方式 一般情況下 基于X 5 0 9 的數(shù) 字證書被采用得最多 而P K I 就是基于數(shù)字證書的身份認(rèn)證技術(shù)的一種廣泛應(yīng) 用 用戶在使用數(shù)字證書時(shí) 擁有一對(duì)屬于自己的公鑰和私鑰 同時(shí)用戶在認(rèn)證 服務(wù)器上事先存儲(chǔ)了一個(gè)散列值 數(shù)字證書的身份驗(yàn)過(guò)程如下 1 8 1 9 S t e p l 用戶向服務(wù)器a 發(fā)出請(qǐng)求 要求進(jìn)行身份認(rèn)證 并提交數(shù)字證書 S t e p 2 服務(wù)器a 收到用戶的數(shù)字證書后 用用戶的公鑰進(jìn)行解密 得到散列 值A(chǔ) S t e p 3 服務(wù)器a 向認(rèn)證服務(wù)器發(fā)送身份驗(yàn)證申請(qǐng) S t e p 4 認(rèn)證服務(wù)器將用戶事先存儲(chǔ)的散列值B 用自己的私鑰加密并將其發(fā) 送給服務(wù)器a S t e p 5 服務(wù)器a 使用認(rèn)證服務(wù)器的公鑰解密 得到散列值B S t e p 6 服務(wù)器對(duì)比散列值A(chǔ) 和B 若二者相等 則通過(guò)驗(yàn)證 4 碩士學(xué)位論文 第一章緒論 由于這種認(rèn)證技術(shù)中采用了公鑰密碼體制 認(rèn)證服務(wù)器和用戶的私鑰都不會(huì) 在網(wǎng)絡(luò)上傳輸 攻擊者即使截獲了用戶的證書 但由于無(wú)法獲得用戶的私鑰 也 就無(wú)法解讀服務(wù)器傳給用戶的信息 基于K e r b e r o s 的認(rèn)證1 2 0 l K e r b e r o s 是由美國(guó)麻省理工學(xué)院提出的基于可信 賴的第三方的高效認(rèn)證機(jī)制 它與數(shù)字證書不同的是 使用的是對(duì)稱密鑰體制進(jìn) 行信息的加密 并且需要一個(gè)可信賴的第三方 K e r b e r o s 的設(shè)計(jì)主要是針對(duì)客戶 服務(wù)器模型 并且它提供了一系列交互的認(rèn)證方式使用戶和服務(wù)器都能驗(yàn)證對(duì) 方的身份 當(dāng)用戶試圖連接服務(wù)器時(shí) 服務(wù)器需要對(duì)用戶進(jìn)行初始認(rèn)證 通過(guò)認(rèn) 證的用戶可以在整個(gè)登錄期間得到相應(yīng)的服務(wù) 在此期間用戶和服務(wù)器的通信都 使用由可信賴的第三方提供的一個(gè)對(duì)稱密鑰進(jìn)行加密 1 2 2 國(guó)內(nèi)研究現(xiàn)狀與水平 2 0 0 7 年7 月2 0 日 全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作電視電話會(huì)議 召開之后 電信 廣電 民航 鐵路 稅務(wù) 海關(guān) 銀行 電力 證券 保險(xiǎn)等 國(guó)家重要信息系統(tǒng)的運(yùn)營(yíng)使用單位及其主管部門認(rèn)真組織積極落實(shí)等級(jí)保護(hù)工 作 目前基本完成了全國(guó)重要信息系統(tǒng)的定級(jí)工作任務(wù) 隨著等級(jí)保護(hù)工作的不 斷深入和開展 圍繞著國(guó)家頒布的文件和標(biāo)準(zhǔn) 各重點(diǎn)行業(yè)也加強(qiáng)了對(duì)等級(jí)保護(hù) 工作的研究力度 頒布了一些行業(yè)文件和標(biāo)準(zhǔn) 如 原信息產(chǎn)業(yè)部2 0 0 8 年1 月 2 9 日 下發(fā)了 電信網(wǎng)和互聯(lián)網(wǎng)安全防護(hù)管理指南 等3 2 項(xiàng)通信行業(yè)標(biāo)準(zhǔn) 其 中等級(jí)保護(hù)作為其中重要一部分內(nèi)容 2 國(guó)家電網(wǎng)公司發(fā)布了 國(guó)家電網(wǎng)公司信 息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南 試行 針對(duì)國(guó)內(nèi)各部門各企業(yè)大力加強(qiáng)網(wǎng)絡(luò)安 全體系建設(shè)的情況 國(guó)家也已經(jīng)制定了相應(yīng)的等級(jí)保護(hù)標(biāo)準(zhǔn) 即G B l 7 8 5 9 1 9 9 9 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 2 2 捌 其規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全 保護(hù)能力的五個(gè)等級(jí) 其保護(hù)等級(jí)從弱到強(qiáng)分別為用戶自主保護(hù)級(jí) 系統(tǒng)審計(jì)保 護(hù)級(jí) 安全標(biāo)記保護(hù)級(jí) 機(jī)構(gòu)化保護(hù)級(jí)和訪問(wèn)驗(yàn)證保護(hù)船 M 1 在制定各項(xiàng)標(biāo)準(zhǔn)的同時(shí) 國(guó)內(nèi)也有不少學(xué)者在研究各項(xiàng)安全防護(hù)技術(shù) 但大 多數(shù)集中在將國(guó)外的各項(xiàng)技術(shù)應(yīng)用于國(guó)內(nèi)的實(shí)踐環(huán)境當(dāng)中 在訪問(wèn)控制 防火墻 入侵保護(hù)技術(shù)方面 學(xué)者朱革娟 2 5 J 曾對(duì)網(wǎng)絡(luò)安全形勢(shì) 也新型防火墻技術(shù)進(jìn)行過(guò)闡述 其指明的新型防火墻實(shí)際上就是混合級(jí)防火墻 學(xué)者鮮繼清 2 6 l 曾對(duì)防火墻與入侵檢測(cè)技術(shù)的聯(lián)動(dòng)方面做出過(guò)闡述 但未設(shè)涉及侵 保護(hù)技術(shù) 而學(xué)者王輝1 2 7 l 就對(duì)主動(dòng)式入侵保護(hù)技術(shù)進(jìn)行過(guò)分析 但其研究也主要 是依據(jù)了國(guó)外的已有的技術(shù) 學(xué)者孫衛(wèi)目2 8 1 曾經(jīng)在大慶市公安信息體系設(shè)計(jì)中采 用了訪問(wèn)控制 入侵檢測(cè)等措施 在身份認(rèn)證技術(shù)方面 學(xué)者郭東軍1 2 9 1 就曾在已 有的理論基礎(chǔ)上對(duì)身份認(rèn)證體系中的認(rèn)證機(jī)構(gòu)進(jìn)行過(guò)設(shè)計(jì) 但其設(shè)計(jì)僅僅圍繞著 集中統(tǒng)一認(rèn)證進(jìn)行的 學(xué)者索紅軍 3 0 l 在其論文中也曾分析過(guò)基于身份認(rèn)證技術(shù)的 5 碩士學(xué)位論文第一章緒論 企業(yè)安全信任體系 學(xué)者吳健 3 1 1 在對(duì)企業(yè)安全風(fēng)險(xiǎn)的防范措施方面曾闡述過(guò)訪問(wèn) 控制技術(shù)的應(yīng)用 學(xué)者嚴(yán)偉1 3 2 I 將訪問(wèn)控制技術(shù)應(yīng)用到了成都市保密專用網(wǎng)的設(shè)計(jì) 中 學(xué)者胡坤i 3 3 1 將訪問(wèn)控制和身份認(rèn)證技術(shù)應(yīng)用到了公安系統(tǒng)網(wǎng)路安全設(shè)計(jì)中 學(xué)者王征強(qiáng) 3 4 l 曾經(jīng)在校園網(wǎng)中試圖搭建身份認(rèn)證平臺(tái) 1 2 3 湖南省檢察系統(tǒng)專線網(wǎng)絡(luò)現(xiàn)狀分析 湖南省檢察系統(tǒng)從2 0 0 3 年來(lái)開始加快信息化建設(shè)進(jìn)程 6 年來(lái) 已經(jīng)建成 了覆蓋全省1 4 個(gè)市級(jí)院 1 2 7 個(gè)縣級(jí)院的信息通信網(wǎng)絡(luò) 從全國(guó)的角度來(lái)看 整個(gè)檢察專線網(wǎng)絡(luò)是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò) 與國(guó)際互聯(lián)網(wǎng)等外網(wǎng)均實(shí)現(xiàn)了嚴(yán)格的 隔離 整個(gè)網(wǎng)絡(luò)分為三層 最高檢至湖南省院的網(wǎng)絡(luò)為一級(jí)網(wǎng) 各省院之間的互 聯(lián)需通過(guò)最高檢中轉(zhuǎn) 省院與各市級(jí)院之間相連的網(wǎng)絡(luò)為二級(jí)網(wǎng) 各市院之間的 互聯(lián)需通過(guò)省院中轉(zhuǎn) 市級(jí)院至縣級(jí)院的網(wǎng)絡(luò)為三級(jí)網(wǎng) 各縣院之間的互聯(lián)需通 過(guò)市院中轉(zhuǎn) 整個(gè)檢察系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1 1 所示 圖l 一1全國(guó)檢察系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖 就湖南省院的網(wǎng)絡(luò)連接情況來(lái)看 湖南省院通過(guò)兩臺(tái)華為的路由器 H U A W E IS R 6 6 0 8 與最高檢一級(jí)專線網(wǎng)相連接 兩臺(tái)路由器分別連接電信的線 路和聯(lián)通的線路 兩條線路互為熱備份 湖南省院通過(guò)一臺(tái)路由器 C I S C 0 7 2 0 6 與各市級(jí)院相連 湖南省院內(nèi)局域網(wǎng)的網(wǎng)絡(luò)地址分為四大類 一是網(wǎng)管專用 用 于配置每個(gè)二級(jí)網(wǎng)節(jié)點(diǎn)中心交換機(jī)的網(wǎng)管地址 二是語(yǔ)音類網(wǎng)絡(luò)地址 用于P 6 碩士學(xué)位論文第一章緒論 語(yǔ)音應(yīng)用 在路由器上配置Q o S Q u a l i t yo f S e r v i c e 保證其應(yīng)用 三是視頻類網(wǎng)絡(luò) 地址 由最高檢統(tǒng)一規(guī)劃 用于全國(guó)視頻會(huì)議應(yīng)用 不通過(guò)核心交換機(jī) 通過(guò)一 個(gè)二層交換直接聯(lián)入路由器 同樣在路由器上配置Q o S 保證其應(yīng)用 四是服務(wù) 器和終端電腦的網(wǎng)絡(luò)地址 用于各類專線網(wǎng)上的數(shù)據(jù)應(yīng)用 湖南省專線網(wǎng)內(nèi)采用 O S P F 路由協(xié)議與靜態(tài)路由協(xié)議相結(jié)合的方式連接 湖南省院內(nèi)網(wǎng)的網(wǎng)絡(luò)拓?fù)淙?圖1 2 所示 圖1 2 湖南省檢察院網(wǎng)絡(luò)拓?fù)鋱D 目前 檢察技術(shù)處作為省院信息化工作的管理部門 保存有絕大部分各業(yè)務(wù) 部門的數(shù)據(jù) 而部分業(yè)務(wù)部門也存有自己的業(yè)務(wù)數(shù)據(jù) 目前省院有D N S D o m a i n N a m eS y s t e m 服務(wù)器 郵件服務(wù)器 辦公辦案服務(wù)器 視頻服務(wù)器 法律法規(guī)服 務(wù)器等多臺(tái)服務(wù)器 為全省提供法律法規(guī)查詢 D N S 查詢 視頻會(huì)議管理等服 務(wù) 為省院各內(nèi)設(shè)部門提供郵件傳輸 網(wǎng)上辦公 案件管理等服務(wù) 這些信息系 統(tǒng)中最主要的是辦公辦案系統(tǒng) 而由于職責(zé)的不同 各部門在辦公系統(tǒng)中的工作 流程與應(yīng)用數(shù)據(jù)也有很大的區(qū)別 另外 湖南省的檢察專線網(wǎng)還為全省1 萬(wàn)多名干警提供信息化服務(wù) 在專線 網(wǎng)中運(yùn)行著2 0 余個(gè)檢察應(yīng)用系統(tǒng) 業(yè)務(wù)范圍涵蓋了辦公 辦案 警務(wù)督查 監(jiān) 所管理 同步錄音錄像等多個(gè)領(lǐng)域 同時(shí)眾多的應(yīng)用系統(tǒng)也正在大力推廣使用 在這些應(yīng)用系統(tǒng)中存在較多的敏感信息 而這些信息通常是控制在一定范圍內(nèi)的 人員才可查看的 如辦案干警 主管領(lǐng)導(dǎo)等 因此對(duì)系統(tǒng)的保密性要求很高 7 碩士學(xué)位論文 第一章緒論 一旦對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)行非法訪問(wèn)與操作 會(huì)造成很大的影響 應(yīng)用系統(tǒng)中的 數(shù)據(jù)信息將決定業(yè)務(wù)工作能否順利開展 例如案卡信息等數(shù)據(jù)一旦被篡改會(huì)對(duì)辦 案干警的工作造成重大影響 甚至可能出現(xiàn)錯(cuò)案 因此對(duì)應(yīng)用系統(tǒng)的數(shù)據(jù)完整性 要求也很高 1 3 本文的結(jié)構(gòu)概要和內(nèi)容安排 本章簡(jiǎn)單介紹了我國(guó)檢察專線網(wǎng)的結(jié)構(gòu)與湖南省檢察院目前的網(wǎng)絡(luò)運(yùn)行狀 況 并闡述了研究湖南省信息安全保障系統(tǒng)的重要性 分析了國(guó)內(nèi)外目前對(duì)信息 安全的研究狀況 并提出了本文的組織結(jié)構(gòu) 本文共五章 其組織結(jié)構(gòu)如下 第一章主要是簡(jiǎn)述我省檢察專線網(wǎng)信息化發(fā)展?fàn)顩r 重點(diǎn)介紹我省檢察專線 網(wǎng)絡(luò)應(yīng)用現(xiàn)狀 分析了存在的問(wèn)題 闡述了建設(shè)我省檢察專線網(wǎng)絡(luò)安全保障體系 的背景和意義 第二章主要是分析目前網(wǎng)絡(luò)上主要存在的一些攻擊手段和技術(shù) 并闡述訪問(wèn) 控制 入侵保護(hù) R S A 算法 P K I 等信息安全技術(shù)理論基礎(chǔ) 第三章主要是根據(jù)湖南省檢察院的實(shí)際情況 針對(duì)物理環(huán)境安全以及網(wǎng)絡(luò)數(shù) 據(jù)安全兩方面提出安全保障方案 并提出一些安全管理的建議 第四章則根據(jù)檢察專線網(wǎng)信息系統(tǒng)的實(shí)際應(yīng)用要求 提出一套全國(guó)統(tǒng)一的身 份認(rèn)證系統(tǒng)的設(shè)計(jì)方案 設(shè)計(jì)了所使用的身份證書 并詳細(xì)介紹身份認(rèn)證系統(tǒng)應(yīng) 實(shí)現(xiàn)的功能 第五章是對(duì)本文所做的設(shè)計(jì) 研究工作進(jìn)行總結(jié) 根據(jù)在實(shí)際工作中的體會(huì) 總結(jié)所做工作的不足 指出今后研究工作中要繼續(xù)深入的環(huán)節(jié) 8 碩士學(xué)位論文 第二章信息安全的基本理論 第二章信息安全的基本理論 信息安全是指信息網(wǎng)絡(luò)的硬件 軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù) 不受偶然 的或者惡意的原因而遭到破壞 更改 泄露 系統(tǒng)連續(xù)可靠地運(yùn)行 信息服務(wù)不 中斷 信息安全是涉及了計(jì)算機(jī)科學(xué) 網(wǎng)絡(luò)技術(shù) 通信技術(shù) 密碼技術(shù) 信息安 全技術(shù) 應(yīng)用數(shù)學(xué) 信息論等多種學(xué)科 其基本目標(biāo)是實(shí)現(xiàn)信息的機(jī)密性 完整 性 可用性和資源的合法使用 2 1 對(duì)計(jì)算機(jī)信息系統(tǒng)安全的威脅 計(jì)算機(jī)網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種 一是對(duì)網(wǎng)絡(luò)本身的威脅 二是 對(duì)網(wǎng)絡(luò)中信息的威脅 對(duì)網(wǎng)絡(luò)本身的威脅包括對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)軟件系統(tǒng)平臺(tái)的 威脅 對(duì)網(wǎng)絡(luò)中信息的威脅除了包括對(duì)網(wǎng)絡(luò)中數(shù)據(jù)的威脅外 還包括對(duì)處理這些 數(shù)據(jù)的信息系統(tǒng)應(yīng)用軟件的威脅 影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素很多 對(duì)網(wǎng)絡(luò)安全 的威脅主要來(lái)自內(nèi)部的攻擊和來(lái)自外部的攻擊兩方面 來(lái)自內(nèi)部的攻擊一般是內(nèi)部操作不當(dāng)和內(nèi)部管理不嚴(yán)引起的 這是目前一般 信息面臨的最主要的威脅 據(jù)報(bào)道 有7 0 的安全事故都是由內(nèi)部人員的操作引 起的 如果信息系統(tǒng)內(nèi)部工作人員操作不當(dāng) 特別是系統(tǒng)管理和安全管理員出現(xiàn) 管理配置的操作失誤 則可能造成重大安全事故 內(nèi)部管理不嚴(yán)的主要表現(xiàn)為信 息系統(tǒng)內(nèi)部缺乏健全的管理制度或制度執(zhí)行不力 給內(nèi)部工作人員違規(guī)和犯罪留 下縫隙 其中以系統(tǒng)管理員和安全管理員的惡意違規(guī)和犯罪造成的危害最大 其 他的情形 如內(nèi)部人員私自安裝撥號(hào)上網(wǎng)設(shè)備 繞過(guò)系統(tǒng)安全管理控制點(diǎn) 內(nèi)部 人員利用隧道技術(shù)與外部人員實(shí)施內(nèi)外勾結(jié)的犯罪等等 也是防火墻和監(jiān)控系統(tǒng) 難以防范的 此外 內(nèi)部工作人員的惡意違規(guī)則可能造成網(wǎng)絡(luò)和站點(diǎn)擁塞 無(wú)序 運(yùn)行甚至網(wǎng)絡(luò)癱瘓 如采用禁止服務(wù)攻擊形式等口習(xí) 來(lái)自外部的攻擊主要有三種 即身份欺騙 破壞信息的可用性和完整性 這 三種攻擊都來(lái)自于外部人員的有意識(shí)的惡意行為 身份欺騙1 3 6 1 指某個(gè)未授權(quán)的實(shí)體假裝成另一個(gè)不同的實(shí)體 使其相信 它是一個(gè)合法的用戶 比如攻擊者截收有效信息 以后在攻擊時(shí)重放這些消息 達(dá)到假冒合法用戶的目的 進(jìn)而非法獲取系統(tǒng)訪問(wèn)權(quán)限 冒充行為通常與某些別 的主動(dòng)攻擊形式一起使用 特別是消息的重放與篡改 攻擊者可以假冒管理者發(fā) 布命令 或者假冒主機(jī)欺騙合法用戶 然后套取使用權(quán)限 口令 密鑰等信息 9 碩士學(xué)位論文第二章信息安全的基本理論 越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源甚至接管合法用戶欺騙系統(tǒng) 破壞系統(tǒng)的可用性 破壞系統(tǒng)的可用性指攻擊者通過(guò)使合法用戶不能正常 訪問(wèn)網(wǎng)絡(luò)資源 使有嚴(yán)格時(shí)間要求的服務(wù)不能及時(shí)得到響應(yīng)等方法破壞信息系統(tǒng) 的可用性 直至使整個(gè)系統(tǒng)癱瘓 惡意的發(fā)送大量的無(wú)用連接請(qǐng)求給某臺(tái)機(jī)器以 及大量發(fā)送連接測(cè)試數(shù)據(jù)包都是比較常見的破壞系統(tǒng)可用性的攻擊方式 如 D D O S 攻擊等f(wàn) 一 破壞信息的完整性 破壞信息的完整性是影響信息安全的常用手段 其一 般的做法就是改變信息流的次序 時(shí)序 流向 內(nèi)容和形式 刪除消息全部或其 一部分 或是在消息中插入一些無(wú)意義或有害消息等 通過(guò)破壞信息的完整性即 可達(dá)到植入木馬 探測(cè)口令等攻擊行為 除了以上介紹的威脅以外 還有一種行為對(duì)網(wǎng)絡(luò)安全的威脅也比較大 即抵 賴行為 抵賴可能來(lái)自于在網(wǎng)絡(luò)內(nèi)部也可能來(lái)自于在網(wǎng)絡(luò)外部 其并非來(lái)自于攻 擊者 而是來(lái)自于網(wǎng)絡(luò)的通信雙方 在某種時(shí)候 通信雙方中的某一方可能出于 某種目的而否認(rèn)自己曾經(jīng)做過(guò)的動(dòng)作 比如發(fā)信者事后否認(rèn)曾經(jīng)發(fā)送過(guò)某些消息 或收信者事后否認(rèn)曾經(jīng)接收過(guò)某些消息等 這種行為對(duì)網(wǎng)絡(luò)信任體系的建立威脅 尤其大 抵賴行為也是身份認(rèn)證技術(shù)需要解決的問(wèn)題 2 2A C L 技術(shù) A C L A c c e s sC o n t r o lL i s t 訪問(wèn)控制列表 技術(shù)在路由器中被廣泛采用 它是 一種基于包過(guò)濾的流控制技術(shù) 訪問(wèn)控制列表通過(guò)把源地址 目的地址及端口號(hào) 作為數(shù)據(jù)包檢查的基本元素 并可以規(guī)定符合條件的數(shù)據(jù)包是否允許通過(guò) 建立 訪問(wèn)控制列表后 可以限制網(wǎng)絡(luò)流量 提高網(wǎng)絡(luò)性能 對(duì)通信流量起到控制的手 段 這也是對(duì)網(wǎng)絡(luò)訪問(wèn)的基本安全手段 A C L 通常應(yīng)用在企業(yè)的出口控制上 通過(guò)實(shí)施A C L 可以有效的部署企業(yè)網(wǎng)絡(luò)出網(wǎng)策略 A C L 技術(shù)可以有效的在網(wǎng)絡(luò) 層上控制網(wǎng)絡(luò)用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn) 它可以具體到兩臺(tái)網(wǎng)絡(luò)設(shè)備間的網(wǎng)絡(luò)應(yīng) 用 也可以按照網(wǎng)段進(jìn)行大范圍的訪問(wèn)控制管理 為網(wǎng)絡(luò)應(yīng)用提供了一個(gè)有效的 安全手段 下面是對(duì)幾種訪問(wèn)控制列表的簡(jiǎn)要總結(jié) 3 7 1 標(biāo)準(zhǔn)I P 訪問(wèn)控制列表 一個(gè)標(biāo)準(zhǔn)I P 訪問(wèn)控制列表匹配I P 包中的源地址 或源地址中的一部分 可對(duì)匹配的包采取拒絕或允許兩個(gè)操作 編號(hào)范圍是從l 到9 9 的訪問(wèn)控制列表是標(biāo)準(zhǔn)I P 訪問(wèn)控制列表 擴(kuò)展I P 訪問(wèn)控制列表 擴(kuò)展I P 訪問(wèn)控制列表比標(biāo)準(zhǔn)I P 訪問(wèn)控制列表具 有更多的匹配項(xiàng) 包括協(xié)議類型 源地址 目的地址 源端口 目的端口 建立 連接的I P 優(yōu)先級(jí)等 編號(hào)范圍是從1 0 0 到1 9 9 的訪問(wèn)控制列表是擴(kuò)展I P 訪問(wèn)控 l O 碩士學(xué)位論文第二章信息安全的基本理論 制列表 命名的I P 訪問(wèn)控制列表 所謂命名的I P 訪問(wèn)控制列表是以列表名代替列 表編號(hào)來(lái)定義I P 訪問(wèn)控制列表 同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表 定義過(guò)濾的語(yǔ) 句與編號(hào)方式相似 標(biāo)準(zhǔn)I P X 訪問(wèn)控制列表 標(biāo)準(zhǔn)I P X 訪問(wèn)控制列表的編號(hào)范圍是8 0 0 8 9 9 它檢查I P X 源網(wǎng)絡(luò)號(hào)和目的網(wǎng)絡(luò)號(hào) 同樣可以檢查源地址和目的地址的節(jié)點(diǎn)號(hào) 部分 擴(kuò)展I P X 訪問(wèn)控制列表 擴(kuò)展I P X 訪問(wèn)控制列表在標(biāo)準(zhǔn)I P X 訪問(wèn)控制列 表的基礎(chǔ)上 增加了對(duì)I P X 報(bào)頭中以下幾個(gè)字段的檢查 它們是協(xié)議類型 源 S o c k e t 目標(biāo)S o c k e t 擴(kuò)展I P X 訪問(wèn)控制列表的編號(hào)范圍是9 0 0 9 9 9 命名的I P X 訪問(wèn)控制列表 與命名的I P 訪問(wèn)控制列表一樣 命名的I P X 訪問(wèn)控制列表是使用列表名取代列表編號(hào) 從而方便定義和引用列表 同樣有標(biāo) 準(zhǔn)和擴(kuò)展之分 2 3 防火墻和入侵防御技術(shù) 2 3 1 防火墻技術(shù) 防火墻用于對(duì)網(wǎng)絡(luò)之間交換的信息流進(jìn)行過(guò)濾 執(zhí)行每個(gè)網(wǎng)絡(luò)的訪問(wèn)控制策 略 防火墻常常保護(hù)內(nèi)部的 可信 網(wǎng)絡(luò) 使之免遭 不可信 的外來(lái)者的攻擊 它是信息的唯一出入口 能根據(jù)安全政策控制 允許 拒絕 監(jiān)測(cè) 出入網(wǎng)絡(luò)的 信息流 且本身具有較強(qiáng)的抗攻擊能力 它是提供信息安全服務(wù) 實(shí)現(xiàn)網(wǎng)絡(luò)和信 息安全的基礎(chǔ)設(shè)施 防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問(wèn)隔離 以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來(lái) 自其它網(wǎng)絡(luò)的入侵者 防火墻按實(shí)現(xiàn)的技術(shù)手段總的來(lái)說(shuō)可以分為以下幾種類 型 包過(guò)濾防火墻 通過(guò)檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址 目的地址 所 用端口號(hào) 協(xié)議狀態(tài)等因素 或它們的組合來(lái)確定是否允許該數(shù)據(jù)包通過(guò) 其特 點(diǎn)是 速度快 費(fèi)用低 并且對(duì)用戶透明 但是對(duì)網(wǎng)絡(luò)的保護(hù)很有限 因?yàn)樗?檢查地址和端口 對(duì)網(wǎng)絡(luò)更高協(xié)議層的信息無(wú)理解能力 應(yīng)用級(jí)防火墻 工作在應(yīng)用層 又稱為應(yīng)用級(jí)網(wǎng)關(guān) 它此時(shí)也起到一個(gè)網(wǎng) 關(guān)的作用 應(yīng)用級(jí)防火墻檢查進(jìn)出的數(shù)據(jù)包 通過(guò)自身復(fù)制傳遞數(shù)據(jù) 防止在受 信主機(jī)與非受信主機(jī)間直接建立聯(lián)系 其特點(diǎn)是 訪問(wèn)控制能力強(qiáng) 但對(duì)每種應(yīng) 用協(xié)議都需提供相應(yīng)的代理程序 同時(shí)網(wǎng)絡(luò)性能比較低 混合型防火墻 既具有包過(guò)濾防火墻以及應(yīng)用級(jí)防火墻的特點(diǎn) 同時(shí)增加 了一些其它功能 如具有狀態(tài)檢測(cè)技術(shù) 應(yīng)用代理 N A T V P N 等功能 碩士學(xué)位論文 第二章信息安全的基本理論 無(wú)論何種類型防火墻 從總體上看 都應(yīng)具有以下基本功能 過(guò)濾進(jìn) 出網(wǎng) 絡(luò)的數(shù)據(jù) 管理進(jìn) 出網(wǎng)絡(luò)的訪問(wèn)行為 封堵某些禁止的業(yè)務(wù)和端口 網(wǎng)絡(luò)地址 轉(zhuǎn)換 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng) 對(duì)網(wǎng)絡(luò)攻擊的檢測(cè)和告警 2 3 2 入侵防御技術(shù) 入侵防御系統(tǒng) I n t r u s i o nP r e v e n t i o nS y s t e m s I P S 是根據(jù)已有的 最新的攻擊 手段的信息代碼對(duì)進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控 記錄 并按制定的策 略實(shí)行及時(shí)報(bào)警 并提供主動(dòng)防護(hù) 其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò) 流量進(jìn)行攔截 避免其造成損失 而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā) 出警報(bào) I P S 是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的 即通過(guò)一個(gè)網(wǎng)絡(luò)端 口接收來(lái)自外部系統(tǒng)的流量 經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后 再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中 這樣一來(lái) 有問(wèn)題的數(shù)據(jù)包 以及 所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包 都能在I P S 設(shè)備中被清除掉 一般來(lái)說(shuō) I P S 都具有幾個(gè)特點(diǎn) 其一 由于I P S 是嵌入到網(wǎng)絡(luò)中的 而且 可以對(duì)數(shù)據(jù)包進(jìn)行很深層次的過(guò)濾 則對(duì)其的性能要求都比較高 一旦其性能下 降則很有可能成為網(wǎng)絡(luò)的瓶頸 其二 I P S 能夠提供針對(duì)各類攻擊的實(shí)時(shí)檢測(cè)和 防御功能 同時(shí)具備豐富的訪問(wèn)控制能力 在任何未授權(quán)活動(dòng)開始前發(fā)現(xiàn)攻擊 避免或減緩攻擊可能帶來(lái)的損失 其功能相當(dāng)于防火墻與I D S 的一個(gè)集合體 但這就同時(shí)要求I P S 要能準(zhǔn)確識(shí)別各種網(wǎng)絡(luò)流量 降低漏報(bào)和誤報(bào)率 避免影響 正常的業(yè)務(wù)通訊 目前 I P S 通常采用特征匹配 協(xié)議分析和異常檢測(cè)幾種方法 對(duì)數(shù)據(jù)包進(jìn)行分析 特征檢測(cè)是利用已知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)攻擊模式來(lái)檢測(cè) 入侵 這一檢測(cè)是假設(shè)入侵者的活動(dòng)可以用一種模式來(lái)表示 系統(tǒng)的目標(biāo)是檢測(cè) 主體活動(dòng)是否符合這些模式 所有已知的入侵方法都可以用特征檢測(cè)的方法發(fā) 現(xiàn) 其關(guān)鍵是如何表達(dá)入侵的模式 把真正的入侵與正常行為區(qū)分開來(lái) 協(xié)議分 析則提供了一種高級(jí)的網(wǎng)絡(luò)入侵解決方案 它可以在不同的上層應(yīng)用協(xié)議上對(duì)每 一個(gè)用戶命令作出詳細(xì)分析 如T e l n e t F T P H T T P S M T P S N M P D N S 等 等 另外 由于協(xié)議分析對(duì)各個(gè)層次的協(xié)議都做到了非常了解 它可以帶來(lái)其他 兩種方法都沒有的好處 當(dāng)即系統(tǒng)解析某個(gè)數(shù)據(jù)包時(shí) 它可以用已獲得的知識(shí)來(lái) 消除在數(shù)據(jù)包結(jié)構(gòu)中不可能出現(xiàn)的攻擊 如協(xié)議分析如果確定這個(gè)數(shù)據(jù)包是T C P 包 那它就不會(huì)再搜索其他第四層協(xié)議如U D P 上形成的攻擊 如果協(xié)議分析確 定這個(gè)數(shù)據(jù)包是S N M P 包 那它就不會(huì)再去尋找T e l n e t 或H T T P 攻擊 這樣做 的結(jié)果就是使設(shè)備的性能得到明顯改善 異常檢測(cè)的假設(shè)是入侵者活動(dòng)異常于正 常主體的活動(dòng) 根據(jù)這一理念建立主體正?；顒?dòng)的 活動(dòng)簡(jiǎn)檔 將當(dāng)前主體的 活動(dòng)狀況與 活動(dòng)簡(jiǎn)檔 相比較 當(dāng)違反其統(tǒng)計(jì)規(guī)律時(shí) 認(rèn)為該活動(dòng)可能是入侵 行為 大體上 目前的I P S 可以分為兩類 1 2 碩士學(xué)位論文第二章信息安全的基本理論 H I P S H o s t b a s e dI n t r u s i o nP r e v e n t i o nS y s t e m 基于主機(jī)的入侵防護(hù) 其主 要功能一般是保護(hù)網(wǎng)絡(luò)中的服務(wù)器或者個(gè)別主機(jī)免受各種威脅的破壞 基于主機(jī) 的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來(lái)阻斷對(duì)服務(wù)器 主機(jī)發(fā)起的惡意入侵 H I P S 可以阻斷緩沖區(qū)溢出 改變登錄口令 改寫動(dòng)態(tài)鏈 接庫(kù)以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為 整體提升主機(jī)的安全水 平 N I P S N e t b a s e dI n t r u s i o nP r e v e n t i o nS y s t e m 基于網(wǎng)絡(luò)的入侵防護(hù) N I P S 一般架設(shè)在網(wǎng)絡(luò)的進(jìn)出口 其主要功能為過(guò)濾流經(jīng)設(shè)備的所有數(shù)據(jù) 根據(jù)定制的 策略決定數(shù)據(jù)包的流向 在技術(shù)上 N I P S 吸取了目前I D S 所有的成熟技術(shù) 包 括特征匹配 協(xié)議分析和異常檢測(cè) 與H I P S 相比 N I P S 工作在網(wǎng)絡(luò)上 直接對(duì) 數(shù)據(jù)包進(jìn)行檢測(cè)和阻斷 與具體的主機(jī)或服務(wù)器無(wú)關(guān) 2 4 公鑰基礎(chǔ)設(shè)施P K I 概述 P K