分布式安全培訓(xùn)教學(xué)課件(54p)

1、 分布式安全第1頁，共55頁。主要內(nèi)容概述安全通道訪問控制安全管理2022/8/32分布式系統(tǒng)安全第2頁，共55頁。安全威脅安全性與可靠性密切相關(guān)一個可靠的系統(tǒng)是一個我們可以信賴其服務(wù)的系統(tǒng)。一個可以信任的計算機(jī)系統(tǒng)應(yīng)該具有：一般意義的可靠性機(jī)密性：系統(tǒng)只將信息向授權(quán)用戶公開完整性：系統(tǒng)資源的變更只能以授權(quán)的方式進(jìn)行2022/8/3分布式系統(tǒng)安全3第3頁，共55頁。安全威脅我們必須首先搞清有哪些外來的威脅然后才能根據(jù)不同的威脅類別選擇相應(yīng)的對策 安全威脅一般有四種：竊聽：如包解惑、非法侵入中斷：如拒絕服務(wù)攻擊（DOS）修改：未經(jīng)授權(quán)修改數(shù)據(jù)或篡改服務(wù)偽造：產(chǎn)生通常不存在的附加數(shù)據(jù)或活動2022

2、/8/3分布式系統(tǒng)安全4第4頁，共55頁。安全策略與機(jī)制建立一個安全可靠的系統(tǒng)前提首先需要一個安全策略然后在安全策略基礎(chǔ)上考慮其安全機(jī)制安全策略是指系統(tǒng)安全需求的描述。安全策略實施的機(jī)制稱為安全機(jī)制2022/8/3分布式系統(tǒng)安全5第5頁，共55頁。安全策略與機(jī)制幾種重要的安全機(jī)制： 加密身份驗證授權(quán)審計Globus安全體系結(jié)構(gòu)2022/8/3分布式系統(tǒng)安全6第6頁，共55頁。安全性設(shè)計控制的焦點數(shù)據(jù)的保護(hù)操作的控制用戶層面的控制2022/8/3分布式系統(tǒng)安全7第7頁，共55頁。安全性設(shè)計安全機(jī)制的分層一般把通用服務(wù)與通信服務(wù)分離開來，通用服務(wù)構(gòu)建在高層協(xié)議上，通信服務(wù)則構(gòu)建在底層協(xié)議上 對應(yīng)地

3、，我們把信任和安全區(qū)分開來安全機(jī)制放在哪一層，取決于客戶對特定層中服務(wù)的信任度分布式系統(tǒng)中，安全機(jī)制一般放在中間件層。2022/8/3分布式系統(tǒng)安全8第8頁，共55頁。安全性設(shè)計安全機(jī)制的分布性一般根據(jù)所需的安全性，將服務(wù)分布在不同的機(jī)器上，使得安全服務(wù)于其他類型的服務(wù)分開2022/8/3分布式系統(tǒng)安全9第9頁，共55頁。安全性設(shè)計安全性設(shè)計的簡單性背景如果一個系統(tǒng)設(shè)計者可以使用一些易于理解且可靠的的簡單機(jī)制，那么系統(tǒng)的安全性設(shè)計工作就會較容易實現(xiàn)引入安全會使系統(tǒng)變的更加復(fù)雜，因此，用于實現(xiàn)安全協(xié)議的基本機(jī)制要相對簡單且易于理解意義有助于最終用戶對應(yīng)用程序的信任設(shè)計者易于確信是否存在安全漏洞2

4、022/8/3分布式系統(tǒng)安全10第10頁，共55頁。加密2022/8/3分布式系統(tǒng)安全11真正意義上的密碼要追溯到古歐洲的斯巴達(dá)，為了保密，斯巴達(dá)人采用一種獨特的方式書寫軍事情報。他們將一根皮帶螺旋式地繞在一根圓木棍上，然后把情報書寫在皮帶上。當(dāng)皮帶被打開時，出現(xiàn)在帶子上的只是一些毫不相干的斷斷續(xù)續(xù)的字母。要重新得到秘密情報，只要將皮帶卷在一根直徑與原來一樣的木棍上就行了。 第11頁，共55頁。加密最基本的安全措施加密和解密是通過以密鑰為參數(shù)的加密算法實現(xiàn)，發(fā)送的消息的原始格式叫明文，已加密的格式叫密文三種針對密文的攻擊：竊聽修改消息插入消息2022/8/3分布式系統(tǒng)安全12第12頁，共55頁

5、。加密對加密系統(tǒng)的分類是基于加密解密密鑰是否相同加密和解密密鑰相同的系統(tǒng)稱為對稱加密系統(tǒng)或者共享密鑰系統(tǒng)而非對稱加密系統(tǒng)中，加密和解密使用的密鑰是不同的，但兩個密鑰一起構(gòu)成了唯一的一對非對稱加密系統(tǒng)中，一個密鑰是保密的，稱為私鑰，另一個是公開的稱為公鑰。又稱公鑰系統(tǒng)2022/8/3分布式系統(tǒng)安全13第13頁，共55頁。主要內(nèi)容概述安全通道訪問控制安全管理2022/8/314分布式系統(tǒng)安全第14頁，共55頁。安全通道通信的保護(hù)問題可以認(rèn)為是在通信各方之間建立一個安全通道的問題。安全通道保護(hù)發(fā)送方和接收方免受對消息的竊聽、修改和偽造的攻擊實現(xiàn)安全通信的兩個主要方面通信雙方需要驗證身份確保消息的完整

6、性和機(jī)密性2022/8/3分布式系統(tǒng)安全15第15頁，共55頁。身份認(rèn)證身份認(rèn)證和消息完整性相互之間不能脫離要確保進(jìn)行身份認(rèn)證后交換數(shù)據(jù)的完整性，常見的方法是依靠會話密鑰使用密鑰加密會話密鑰會話密鑰是一個共享密鑰，常用于為完整性和可能的機(jī)密性而對消息進(jìn)行加密2022/8/3分布式系統(tǒng)安全16第16頁，共55頁?；诠蚕砻荑€的身份驗證（1）質(zhì)詢-響應(yīng)協(xié)議：一方向另一方質(zhì)詢一個響應(yīng)，只有對方知道共享密鑰時才能給予正確的響應(yīng)2022/8/3分布式系統(tǒng)安全17第17頁，共55頁。基于共享密鑰的身份驗證（2）基于共享密鑰的身份驗證，用三個消息代替五個2022/8/3分布式系統(tǒng)安全18第18頁，共55頁。

7、基于共享密鑰的身份驗證（3）反射攻擊2022/8/3分布式系統(tǒng)安全19原因：協(xié)議的雙方在兩個不同方向都使用相同的質(zhì)詢解決：協(xié)議的雙方永遠(yuǎn)使用不同的質(zhì)詢第19頁，共55頁。使用密鑰發(fā)布中心的身份驗證 (1)共享密鑰的身份驗證存在可擴(kuò)展性問題N臺主機(jī)，需要 N*(N-1)/2個密鑰使用 KDC（key distribution center）只需要管理 N 個密鑰KDC與每臺主機(jī)共享一個密鑰；向通信的兩主機(jī)分發(fā)一個密鑰通信2022/8/3分布式系統(tǒng)安全20第20頁，共55頁。使用密鑰發(fā)布中心的身份驗證 (2)使用票據(jù)（ticket）讓 Alice 建立與 Bob 的通道2022/8/3分布式系統(tǒng)安

8、全21第21頁，共55頁。使用公鑰加密的身份驗證2022/8/3分布式系統(tǒng)安全22第22頁，共55頁。消息的完整性和機(jī)密性完整性：保護(hù)消息免受修改數(shù)字簽名會話密鑰機(jī)密性：確保竊聽者不能截獲和讀取消息消息加密采用共享密鑰進(jìn)行加密使用接收者的公鑰加密2022/8/3分布式系統(tǒng)安全23第23頁，共55頁。數(shù)字簽名如果消息簽名檢驗為真，發(fā)送者不能否認(rèn)消息簽名這一事實消息與其簽名的唯一關(guān)聯(lián)防止了對消息進(jìn)行修改而未發(fā)現(xiàn)的可能使用公鑰加密對消息進(jìn)行數(shù)字簽名2022/8/3分布式系統(tǒng)安全24第24頁，共55頁。數(shù)字簽名采用公鑰加密實現(xiàn)數(shù)字簽名存在的問題：Alice可以聲稱她的私鑰在消息發(fā)送前被盜了Alice可

9、能會改變她的私鑰使用私鑰加密整個消息開銷可能很大使用消息摘要解決，消息摘要是固定長度的位串 h= H(m), m是任意長度的消息，H是加密散列函數(shù)2022/8/3分布式系統(tǒng)安全25第25頁，共55頁。會話密鑰在身份驗證完成后，通信雙方一般使用唯一的共享會話密鑰以實現(xiàn)機(jī)密性，通信完畢后丟棄也可以使用身份驗證密鑰但使用會話密鑰具有以下優(yōu)點：避免經(jīng)常使用一個密鑰確保通信雙方免受重發(fā)攻擊會話密鑰的成本低：廉價且臨時性強(qiáng)2022/8/3分布式系統(tǒng)安全26第26頁，共55頁。主要內(nèi)容概述安全通道訪問控制安全管理2022/8/327分布式系統(tǒng)安全第27頁，共55頁。訪問控制 在開放型分布式系統(tǒng)中，盡管我們允

10、許信息在系統(tǒng)結(jié)點間自由流動，但必須對信息的訪問權(quán)力施加控制。 理論上，訪問控制和授權(quán)是兩個概念。訪問控制一般在被訪問的客體一方進(jìn)行，用來檢驗訪問的合法性；而授權(quán)指得是主體一方被賦予的權(quán)力，用來代表主體的合法權(quán)限。然而，這兩個術(shù)語又是密切相關(guān)的，在沒有二義性的場合下可以交替使用。 2022/8/3分布式系統(tǒng)安全28 主體訪問管理器 客體 訪問請求 訪問授權(quán)第28頁，共55頁。訪問控制建立安全通道后，客戶就可以向服務(wù)器發(fā)送執(zhí)行的請求，該請求可能會涉及到訪問控制訪問控制矩陣保護(hù)域防火墻保護(hù)移動代碼2022/8/3分布式系統(tǒng)安全29第29頁，共55頁。訪問控制矩陣 訪問控制矩陣(ACM: Access

11、 Control Matrix) 。在一個ACM中，每一行代表一個主體z，每一列代表一個客體k，而矩陣元素ACMz, k 列舉出z對k的合法操作。ACM的實現(xiàn)直截了當(dāng)，而且效率很高。但如果一個系統(tǒng)需要管理成千上萬的主體(客戶)以及數(shù)百萬計的客體(資源) ，ACM就可能是一個非常稀疏的矩陣，絕大多數(shù)矩陣單元都被浪費(fèi)了。 2022/8/3分布式系統(tǒng)安全30主體客體文件 1文件 2文件 3文件 4用戶 1擁有讀/寫執(zhí)行擁有用戶 2-讀擁有讀/寫用戶 3復(fù)制/讀擁有-第30頁，共55頁。訪問控制表與權(quán)力表可以把ACM演化成一維表的形式。毫無疑問，這種演化應(yīng)該有兩種不同的方案。訪問控制表(ACL: Ac

12、cess Control List)在這種方案中，每一個客體都必須維護(hù)一張合法主體的訪問權(quán)限表，即一個ACL相當(dāng)于ACM中的一列，但其中的空項都已被刪除。權(quán)力表(CL：Capability List) 以ACM的一行為單位，代表一個主體對客體的訪問權(quán)限。2022/8/3分布式系統(tǒng)安全31第31頁，共55頁。保護(hù)域保護(hù)域是一組（對象，訪問權(quán)限）對，只要一個主體對一個對象執(zhí)行一個操作，訪問監(jiān)控程序會找到相關(guān)聯(lián)的保護(hù)域，檢查是否允許執(zhí)行該請求構(gòu)造用戶組：管理簡單，支持很大的組；查找分布式組成員數(shù)據(jù)代價高使用訪問監(jiān)控程序：每個主體攜帶一個證書（通過數(shù)字簽名保護(hù)），列出所屬的組。訪問對象時，由訪問監(jiān)控程

13、序檢查證書使用角色實現(xiàn)保護(hù)域：角色與一定的職能相聯(lián)系2022/8/3分布式系統(tǒng)安全32第32頁，共55頁。防火墻實際上，所發(fā)生的對分布式系統(tǒng)任何部分的外部訪問都通過一種稱為防火墻的特殊類型的訪問監(jiān)控程序來控制。防火墻實現(xiàn)了將分布式系統(tǒng)的任意部分與外界的分離兩種不同類型的防火墻數(shù)據(jù)包過濾網(wǎng)關(guān)：基于數(shù)據(jù)包報頭包含的原地址和目的地址制定是否傳送該包的決定應(yīng)用層網(wǎng)關(guān)：檢查入站或出站的消息內(nèi)容2022/8/3分布式系統(tǒng)安全33第33頁，共55頁。保護(hù)移動代碼保護(hù)代理：防止惡意主機(jī)盜竊或修改代理程序所帶的信息攻擊方式：盜竊或修改代理程序所帶的信息惡意破壞代理程序篡改代理程序以便在其返回時進(jìn)行攻擊或盜竊信息

14、至少可以檢測出代理程序被修改只讀狀態(tài)只追加狀態(tài)有選擇地揭示狀態(tài)：數(shù)據(jù)只允許特定的服務(wù)器訪問2022/8/3分布式系統(tǒng)安全34第34頁，共55頁。保護(hù)移動代碼保護(hù)目標(biāo)：保護(hù)主機(jī)防止惡意代理程序的破壞沙箱運(yùn)動場通過身份驗證2022/8/3分布式系統(tǒng)安全35第35頁，共55頁。沙箱沙箱是一種技術(shù)，通過該技術(shù)下載的程序的每條指令都能夠被完全控制訪問一些指令、某些寄存器或內(nèi)存空間將被禁止通過沙箱模型, 用戶可以有效地阻止那些具有潛在危險性的活動, 如對本地硬盤讀寫, 創(chuàng)建新進(jìn)程, 連接動態(tài)鏈接庫等。2022/8/3分布式系統(tǒng)安全36第36頁，共55頁。運(yùn)動場運(yùn)動場：為運(yùn)行移動代碼專門保留指定的機(jī)器，可使

15、用這些機(jī)器的本地資源；但不能訪問其他機(jī)器的資源2022/8/3分布式系統(tǒng)安全37第37頁，共55頁。通過身份驗證要求每個下載的程序能通過身份驗證，然后基于該程序的來源執(zhí)行制定的安全策略2022/8/3分布式系統(tǒng)安全38第38頁，共55頁。主要內(nèi)容概述安全通道訪問控制安全管理2022/8/339分布式系統(tǒng)安全第39頁，共55頁。安全管理密鑰管理密鑰建立密鑰分發(fā)證書的生存期授權(quán)管理權(quán)能和屬性證書委派2022/8/3分布式系統(tǒng)安全40第40頁，共55頁。密鑰建立Diffie-Hellman 建立共享密鑰的原理：首先，Alice和Bob雙方約定2個大整數(shù)n和g,其中1gn，這兩個整數(shù)無需保密，然后，執(zhí)

16、行下面的過程：Alice隨機(jī)選擇一個大整數(shù)x (保密)，并計算X=gx mod n Bob隨機(jī)選擇一個大整數(shù)y (保密)，并計算Y=gy mod n Alice把X發(fā)送給B,B把Y發(fā)送給ALICE Alice計算K=Yx mod n = gxy mod nBob計算K=Xy mod n = gxy mod nK即是共享的密鑰。 監(jiān)聽者在網(wǎng)絡(luò)上只能監(jiān)聽到X和Y，但無法通過X，Y計算出x和y，因此，無法計算出K2022/8/3分布式系統(tǒng)安全41第41頁，共55頁。密鑰分發(fā) (1)共享密鑰分發(fā)必須有提供身份驗證和機(jī)密性的安全通道帶外分發(fā)：電話、郵遞2022/8/3分布式系統(tǒng)安全42第42頁，共55頁

17、。密鑰分發(fā) (2)公鑰分發(fā)私鑰發(fā)送使用提供身份驗證和機(jī)密性的安全通道公鑰發(fā)送使用提供身份驗證的安全通道：接收者能夠確信該密鑰肯定可以與聲明的一個私鑰配對公鑰證書：（公鑰，公鑰關(guān)聯(lián)的實體（用戶等），由認(rèn)證機(jī)構(gòu)簽發(fā)，使用該機(jī)構(gòu)的私鑰進(jìn)行數(shù)字簽名2022/8/3分布式系統(tǒng)安全43第43頁，共55頁。證書的生存期終生證書吊銷證書CLR（certificate revocation list）證書吊銷表限制證書的生存期縮短證書的生存期為零，客戶需要一直聯(lián)系證書頒發(fā)機(jī)構(gòu)以檢驗公鑰的有效性2022/8/3分布式系統(tǒng)安全44第44頁，共55頁。權(quán)能和屬性證書權(quán)能是對于指定資源的一種不可偽造的數(shù)據(jù)結(jié)構(gòu)，它確切指

18、定它的擁有者關(guān)于該資源的訪問權(quán)限。屬性證書是對分布式系統(tǒng)中使用的權(quán)能的一種概括。屬性證書由屬性證書頒發(fā)機(jī)構(gòu)來分發(fā)。2022/8/3分布式系統(tǒng)安全45第45頁，共55頁。委派委派：將某些訪問權(quán)限從一個進(jìn)程傳遞給另一個進(jìn)程Alice可以構(gòu)造證書：Bob具有權(quán)限R此證書的持有者具有權(quán)限R2022/8/3分布式系統(tǒng)安全46第46頁，共55頁。2022/8/3分布式系統(tǒng)安全47實例: KerberosKerberos是MIT大學(xué)在20世紀(jì)80年代開發(fā)的為MIT校園網(wǎng)和其他企業(yè)內(nèi)部的網(wǎng)提供的一系列認(rèn)證和安全措施。Windows 2000包含的Kerberos的實現(xiàn)名稱來源于希臘神話，Kerberos是地獄

19、入口的守護(hù)者，通常有三個頭。設(shè)計者的設(shè)計初衷是要用Kerberos的三個頭來守衛(wèi)網(wǎng)絡(luò)之門。Kerberos的核心概念是：Ticket, Authenticator, Session key第47頁，共55頁。2022/8/3分布式系統(tǒng)安全48Kerberos 要解決的問題在一個開放的分布式網(wǎng)絡(luò)環(huán)境中，用戶通過工作站訪問服務(wù)器提供的服務(wù)。存在很多問題：工作站上的用戶可以冒充另一用戶操作。用戶可以改變工作站地址冒充另一臺工作站。用戶可以竊聽并回放他人的信息交換，獲得對于某種服務(wù)的訪問權(quán)或中斷服務(wù)的運(yùn)行。使用假冒服務(wù)器從而騙得用戶的機(jī)密信息。第48頁，共55頁。2022/8/3分布式系統(tǒng)安全49Ke

20、rberos 的解決方案在一個分布式的Client/Server體系機(jī)構(gòu)中，引入一個可信任的第三方（Kerberos身份驗證服務(wù)器），讓其提供認(rèn)證服務(wù)。采用共享密鑰加密技術(shù)。第49頁，共55頁。2022/8/3分布式系統(tǒng)安全50Kerberos 基本性質(zhì)安全：使網(wǎng)絡(luò)竊聽者不能獲得必要的信息來偽裝成另一客戶。可靠：對所有以Kerberos進(jìn)行訪問控制的服務(wù)來說，客戶無法通過Kerberos身份驗證服務(wù)器的認(rèn)證就意味著無法獲得所需要的服務(wù)。透明：用戶除了需要輸入一個口令外，不必知道鑒別過程的存在以及細(xì)節(jié)?？缮炜s：可支持大量用戶和服務(wù)器。（采用模塊化、Client/Server結(jié)構(gòu)）第50頁，共55

21、頁。Kerberos的身份驗證身份驗證服務(wù)器AS ：處理客戶的登錄請求； AS對用戶身份驗證并提供一個建立安全通道的密鑰票據(jù)授予服務(wù)TGS：建立安全通道；分發(fā)稱為票據(jù)的特殊信息，用于使服務(wù)器確信該客戶正是其所聲稱的那個客戶2022/8/3分布式系統(tǒng)安全51第51頁，共55頁。2022/8/3分布式系統(tǒng)安全52功能特性分析TGS降低用戶口令的使用頻度，提供更好的口令保護(hù)減輕AS負(fù)擔(dān)，提高系統(tǒng)效率Session Key防止非法用戶竊得Ticket進(jìn)行重放攻擊提供了對服務(wù)器的鑒別時間戳防止對Ticket和鑒別符的重放攻擊第52頁，共55頁。2022/8/3分布式系統(tǒng)安全53局限性分析Kerberos

22、服務(wù)器易受攻擊它的安全性決定了整個系統(tǒng)得安全性，若此關(guān)鍵環(huán)節(jié)發(fā)生問題，危害是災(zāi)難性的?？诹罟魧κ纸孬@基于口令的密鑰加密的內(nèi)容，采用暴力破解成功后，得到口令也就到該用戶的全部資源域間鑒別復(fù)雜第53頁，共55頁。2022/8/3分布式系統(tǒng)安全54參考資源掌握Kerberos概念的簡單方法請參考：/kerberos/www/dialogue.htmlMIT Kerberos 站點/kerberos/USC/ISI Kerberos 站點/gost/info/kerberos/ 第54頁，共55頁。46凡事不要說我不會或不可能，因為你根本還沒有去做！47成功不是靠夢想和希望，而是靠努力和實踐48只有在天空最暗的時候，才可以看到天上的星星49上帝說：你要什么便取什么，但是要付出相當(dāng)?shù)拇鷥r50現(xiàn)在站在什么地方不重要，重要的是你往什么方向移動。51寧可辛苦一陣子，不要苦一輩子52為成功找方法，不為失敗找借口53不斷反思自己的弱點，是讓自己獲得更好成功的優(yōu)良習(xí)慣。54垃圾桶哲學(xué)：別人不要做的事，我揀來做！55不一定要做最大的，但要做最好的56死的方式由上帝決定，活的方式由自己決定！57成