計算機安全學(xué)課件

第一章信息安全概述莊朝暉（參考上海交大王立斌和中科大楊壽保講義）第一章信息安全概述1信息的定義1948年，美國數(shù)學(xué)家、信息論的創(chuàng)始人仙農(nóng)在題為“通訊的數(shù)學(xué)理論”的論文中指出：“信息是用來消除隨機不定性的東西”。1948年，美國著名數(shù)學(xué)家、控制論的創(chuàng)始人維納在《控制論》一書中，指出：“信息就是信息，既非物質(zhì)，也非能量?！毙畔⑹鞘挛铿F(xiàn)象及其屬性標(biāo)識的集合.信息的定義2信息的特征普遍性：只要有事物的地方，就必然的存在信息。信息在自然界和人類社會活動中廣泛存在?？陀^性：信息的客觀現(xiàn)實的反映，不隨人的主觀意志而改變。動態(tài)性：事務(wù)是在不斷變化發(fā)展的，信息也必然的隨之運動發(fā)展，其內(nèi)容，形式，容量都會隨時間而改變。時效性：由于信息的動態(tài)性，那么一個固定的信息的使用價值必然會隨著時間的流逝而衰減?？勺R別性：人類可以通過感覺器官和科學(xué)儀器等方式來獲取，整理，認(rèn)知信息。這是人類利用信息的前提。可傳遞性：信息是可以通過各種媒介在人－人，人－物，物－物等之間傳遞。可共享性：信息與物質(zhì)，能量顯著不同的是。信息在傳遞過程中并不是“此消彼長”，同一信息可以在同一時間被多個主體共有，而且還能夠無限的復(fù)制、傳遞。信息的特征普遍性：只要有事物的地方，就必然的存在信息。信息在31.0信息安全中的一些概念安全的含義（Security)在線詞典對安全這個詞的闡述是：安全是避免危險、恐懼、憂慮的度量和狀態(tài)。信息安全的含義

信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務(wù)不中斷。信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。1.0信息安全中的一些概念安全的含義（Security)4安全的含義“如果把一封信鎖在保險柜中，把保險柜藏起來，然后告訴你去看這封信，這并不是安全，而是隱藏；相反，如果把一封信鎖在保險柜中，然后把保險柜及其設(shè)計規(guī)范和許多同樣的保險柜給你，以便你和世界上最好的開保險柜的專家能夠研究鎖的裝置，而你還是無法打開保險柜去讀這封信，這才是安全…”-BruceSchneier“故用兵之法，無恃其不來，恃吾有以待也；無恃其不攻，恃吾有所不可攻也”—孫子兵法,孫武安全的含義“如果把一封信鎖在保險柜中，把保險柜藏起來，然后告51.0信息安全中的一些概念(cont.)計算機安全網(wǎng)絡(luò)安全信息安全（如何定義它們？它們之間的關(guān)系如何？）但由此我們可以看出在安全領(lǐng)域的共性問題，在眾多的應(yīng)用中準(zhǔn)確把握分析問題、解決問題的思路。1.0信息安全中的一些概念(cont.)計算機安全6信息安全的技術(shù)特征可靠性可用性保密性完整性不可抵賴性可控性信息安全的技術(shù)特征可靠性7可靠性（Reliability)指信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完成規(guī)定的功能的特性。有三種度量指標(biāo)：抗毀性指系統(tǒng)在人為破壞下的可靠性生存性隨機破壞下系統(tǒng)的可靠性有效性是基于業(yè)務(wù)性能的可靠性可靠性（Reliability)8可用性（Availability)

指信息可被授權(quán)實體訪問并按需求使用的特性，是系統(tǒng)面向用戶的安全性能。一般用系統(tǒng)正常使用時間和整個工作時間之比來度量?？捎眯裕ˋvailability)9保密性(Confidentiality)

指信息不被泄露給非授權(quán)的用戶、實體或過程，或供其利用的特性。保密性是在可靠性和可用性基礎(chǔ)上，保障信息安全的重要手段。保密性(Confidentiality)10完整性(Integrity)

指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進行改變的特性，既信息在存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等破壞和丟失的特性。完整性(Integrity)11不可抵賴性(Non-repudiation)

指在信息交互過程中，確信參與者的真實同一性，既所有參與者都不可能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。不可抵賴性(Non-repudiation)12可控性(Controllability)

指對信息傳播及內(nèi)容具有控制能力的特性?？煽匦?Controllability)131.1RFC標(biāo)準(zhǔn)Internet社團（InternetSociety）是負責(zé)開發(fā)和發(fā)布Internet使用標(biāo)準(zhǔn)的組織它是由專業(yè)成員構(gòu)成的組織，管理與Internet開發(fā)和標(biāo)準(zhǔn)化有關(guān)的一些委員會和任務(wù)組成員。Internet社團是協(xié)調(diào)Internet設(shè)計、工程和管理的委員會。管轄的范圍包括Internet自身的運作和互操作性，在Internet上最終系統(tǒng)所使用協(xié)議的標(biāo)準(zhǔn)化。Internet社團下面的3個組織負責(zé)實際標(biāo)準(zhǔn)的開發(fā)和發(fā)布：★InternetArchitectureBoard（IAB，Internet體系結(jié)構(gòu)委員會）：負責(zé)定義Internet的體系結(jié)構(gòu)，為IETF提供指導(dǎo)和方向?！颕nternetEngineeringTaskForce（IETF，Internet工程特別任務(wù)組）：是一支Internet協(xié)議工程和開發(fā)的隊伍?！颕nternetEngineeringSteeringGroup（IESG，Internet工程指導(dǎo)組）：負責(zé)IETF活動和Internet標(biāo)準(zhǔn)處理的技術(shù)管理。1.1RFC標(biāo)準(zhǔn)Internet社團（InternetS14RFC標(biāo)準(zhǔn)RFC的發(fā)布RFC是Internet研究和開發(fā)組織的工作記錄。在這一系列中，文檔實質(zhì)上可能是與計算機通信有關(guān)的任何主題，也可能是從會議報告到某標(biāo)準(zhǔn)規(guī)范的任何東西。RFC的制訂工作是由IETF確立的工作小組進行的。工作組的成員是自愿的，任何有興趣的團體都可以加入。

1、在制訂規(guī)范的過程中，工作組可以制訂一個草案文檔來作為Internet草案（InternetDraft），它放在IETF的“InternetDraft”在線目錄中。

2、此文檔可以作為Internet草案保持6個月，感興趣的團體可以查看并做出評注。

3、在這段時間內(nèi)，IESG可能批準(zhǔn)草案作為RFC發(fā)布。如果草案在6個月中沒有達到RFC標(biāo)準(zhǔn)，就從目錄中刪除。工作組可以隨后發(fā)布草案的修訂版本。

負責(zé)發(fā)布RFC的是IETF，但要得到IESG的批準(zhǔn)。其中，RFC2828是關(guān)于互聯(lián)網(wǎng)安全術(shù)語的標(biāo)準(zhǔn)。RFC標(biāo)準(zhǔn)RFC的發(fā)布151.2OSI安全框架ITU-TX.800即OSI安全框架提供定義安全和刻畫安全措施的系統(tǒng)方法主要概念安全性攻擊：任何危及企業(yè)信息系統(tǒng)安全的活動。安全機制：用來檢測、阻止攻擊或者從攻擊狀態(tài)恢復(fù)到正常狀態(tài)的過程，或?qū)崿F(xiàn)該過程的設(shè)備。安全服務(wù)：加強數(shù)據(jù)處理系統(tǒng)和信息傳輸?shù)陌踩缘囊环N處理過程或通信服務(wù)。其目的在于利用一種或多種安全機制進行反攻擊。1.2OSI安全框架ITU-TX.800即OSI安全框161.3安全攻擊在X.800中，把安全攻擊分成兩大類。攻擊的分類被動攻擊：試圖了解或利用系統(tǒng)的信息但不影響系統(tǒng)資源。主動攻擊：試圖改變系統(tǒng)資源或影響系統(tǒng)動作。1.3安全攻擊在X.800中，把安全攻擊分成兩大類。17被動攻擊被動攻擊的特性是對傳輸進行竊聽和監(jiān)測。被動攻擊被動攻擊的特性是對傳輸進行竊聽和監(jiān)測。18被動攻擊被動攻擊19主動攻擊主動攻擊包括對數(shù)據(jù)流進行修改或偽造數(shù)據(jù)流，它可分為四類：偽裝、重放、消息修改和拒絕服務(wù)。偽裝是指某實體假裝別的實體［參見圖1.4(a)］。偽裝攻擊通常還包含其他形式的主動攻擊。例如，捕獲認(rèn)證信息，并在真的認(rèn)證信息之后進行重放。這樣，沒有權(quán)限的實體通過冒充有權(quán)限的實體，就可以獲得額外的權(quán)限。重放是指將獲得的信息再次發(fā)送以產(chǎn)生非授權(quán)的效果［參見圖1.4(b)］。消息修改指修改合法消息的一部分或延遲消息的傳輸或改變消息的順序以獲得非授權(quán)的效果［參見圖1.4(c)］。例如，將消息“AllowJohnSmithtoreadconfidentialfileaccounts”修改為“AllowFredBrowntoreadconfidentialfileaccounts”。拒絕服務(wù)阻止或禁止對通信設(shè)施的正常使用或管理［參見圖1.4(d)］。主動攻擊主動攻擊包括對數(shù)據(jù)流進行修改或偽造數(shù)據(jù)流，它可分為四201.4安全服務(wù)X.800將安全服務(wù)定義為通信開放系統(tǒng)協(xié)議層提供的服務(wù)，從而保證系統(tǒng)或數(shù)據(jù)傳輸有足夠的安全性。也許在RFC2828中可找到一種更清楚的定義：是一種由系統(tǒng)提供的對系統(tǒng)資源進行特殊保護的處理或通信服務(wù)；安全服務(wù)通過安全機制來實現(xiàn)安全策略。有五種通用服務(wù)：認(rèn)證（Authentication）訪問控制（AccessControl）保密（Encryption）數(shù)據(jù)完整（Integrity）不可否認(rèn)性（Non-repudiation）可用性服務(wù)（Availability）1.4安全服務(wù)X.800將安全服務(wù)定義為通信開放系統(tǒng)協(xié)議層提21認(rèn)證（Authentication）認(rèn)證服務(wù)與保證通信的真實性有關(guān)。在單條消息的情況下，如一條警告或報警信號，認(rèn)證服務(wù)功能是向接收方保證消息來自所聲稱的發(fā)送方。對于正在進行的交互，如終端和主機連接，就涉及兩個方面。首先，在連接的初始化階段，認(rèn)證服務(wù)保證兩個實體是可信的，也就是說，每個實體都是所聲稱的實體。其次，認(rèn)證服務(wù)必須保證該連接不受第三方的干擾：這種干擾是指，第三方能夠偽裝成兩個合法實體中的一個進行非授權(quán)傳輸或接收。認(rèn)證（Authentication）認(rèn)證服務(wù)與保證通信的真實22訪問控制（AccessControl）在網(wǎng)絡(luò)安全中，訪問控制(又稱存取控制)是一種限制和控制那些通過通信連接對主機和應(yīng)用進行存取的能力。為此，每個試圖獲得訪問控制的實體必須被識別或認(rèn)證后才能獲取其相應(yīng)的存取權(quán)限。訪問控制（AccessControl）在網(wǎng)絡(luò)安全中，訪問控23保密（Encryption）保密性是防止傳輸?shù)臄?shù)據(jù)遭到被動攻擊。關(guān)于數(shù)據(jù)傳輸，可以有幾層保護。最廣泛的服務(wù)在一段時間內(nèi)為兩個用戶間所傳輸?shù)乃杏脩魯?shù)據(jù)提供保護。例如，如果兩個系統(tǒng)間建立了TCP連接，則這種廣泛的保護將阻止在TCP連接上傳輸?shù)娜魏斡脩魯?shù)據(jù)的泄漏。也可以定義一種較窄的保密性服務(wù)，可以是對單條消息或?qū)螚l消息內(nèi)某個特定的范圍提供保護。這種細化比起廣泛的方法用處要少，而且實現(xiàn)起來更復(fù)雜、更昂貴。保密性的另一個方面是防止流量分析。這要求攻擊者不能觀察到消息的源和目的、頻率、長度或通信設(shè)施上的其他流量特征。保密（Encryption）保密性是防止傳輸?shù)臄?shù)據(jù)遭到被動24數(shù)據(jù)完整（Integrity）與保密性一樣，完整性可應(yīng)用于消息流、單條消息或消息的選定部分。同樣，最有用也最直接的方法是對整個數(shù)據(jù)流提供保護。處理消息流的面向連接的完整性服務(wù)保證收到的消息和發(fā)出的消息一致，沒有復(fù)制、插入、修改、更改順序或重放。該服務(wù)也涉及對數(shù)據(jù)的破壞。因此，面向連接的完整性服務(wù)處理消息流的修改和拒絕服務(wù)兩個問題。另一方面，無連接的完整性服務(wù)，僅僅處理單條消息，而不管大量的上下文信息，其通常僅僅防止對單條消息的修改。我們可以區(qū)分有恢復(fù)和無恢復(fù)的服務(wù)。因為完整性服務(wù)和主動攻擊有關(guān)，我們更關(guān)心檢測而不是阻止攻擊。如果檢測到完整性遭破壞，那么服務(wù)可以簡單地報告這種破壞，并通過軟件的其他部分或人工干預(yù)來恢復(fù)被破壞部分。另外，我們下面會看到，有些機制可用來恢復(fù)數(shù)據(jù)的完整性。通常，自動恢復(fù)機制是一種更具吸引力的選擇。數(shù)據(jù)完整（Integrity）與保密性一樣，完整性可應(yīng)用于消25不可否認(rèn)性（Non-repudiation）不可否認(rèn)性防止發(fā)送方或接收方否認(rèn)傳輸或接收過某條消息。因此，當(dāng)消息發(fā)出后，接收方能證明消息是由聲稱的發(fā)送方發(fā)出的。同樣，當(dāng)消息接收后，發(fā)送方能證明消息事實上確實由聲稱的接收方收到。不可否認(rèn)性（Non-repudiation）不可否認(rèn)性防止發(fā)26可用性服務(wù)（Availability）X.800和RFC2828都將可用性定義為：根據(jù)系統(tǒng)的性能說明，能夠按授權(quán)的系統(tǒng)實體的要求存取或使用系統(tǒng)或系統(tǒng)資源的性質(zhì)（即當(dāng)用戶請求服務(wù)時，若系統(tǒng)能夠提供符合系統(tǒng)設(shè)計的這些服務(wù)，則系統(tǒng)是可用的）。許多攻擊可導(dǎo)致可用性的損失或減少。一些自動防御措施，如認(rèn)證、加密，可對付某些攻擊。而其他的一些攻擊需要一些物理措施來阻止或恢復(fù)分布式系統(tǒng)中要素可用性的損失。X.800將可用性看做是和各種安全服務(wù)相關(guān)的性質(zhì)。但是，單獨說明可用性服務(wù)是頗有意義的?？捎眯苑?wù)使系統(tǒng)確?？捎眯?。這種服務(wù)處理由拒絕服務(wù)攻擊引起的安全問題。它依賴于對系統(tǒng)資源的恰當(dāng)管理和控制，因此依賴于訪問控制服務(wù)和其他安全服務(wù)?？捎眯苑?wù)（Availability）X.800和RFC2271.5安全機制安全機制可分成兩類：一類在特定的協(xié)議層實現(xiàn)，一類不屬于任何的協(xié)議層或安全服務(wù)。X.800區(qū)分可逆和不可逆加密機制?？赡婕用軝C制是一種簡單的加密算法，使數(shù)據(jù)可以加密和解密。不可逆加密機制包括散列(Hash)算法和消息認(rèn)證碼，用于數(shù)字簽名和消息認(rèn)證應(yīng)用。1.5安全機制安全機制可分成兩類：一類在特定的協(xié)議層實現(xiàn)281.5安全機制特定安全機制：可以并入適當(dāng)?shù)膮f(xié)議層以提供一些OSI安全服務(wù)加密：運用數(shù)學(xué)算法將數(shù)據(jù)轉(zhuǎn)換成不可知的形式。數(shù)據(jù)的變換和復(fù)原依賴于算法和零個或多個加秘密鑰數(shù)字簽名：附加于數(shù)據(jù)單元之后的一種數(shù)據(jù)，它是對數(shù)據(jù)單元的密碼變換，以使得（如接收方）可證明數(shù)據(jù)源和完整性，并防止偽造訪問控制：對資源行使訪問控制的各種機制數(shù)據(jù)完整性：用于保證數(shù)據(jù)單元或數(shù)據(jù)單元流的完整性的各種機制認(rèn)證交換：通過信息交換來保證實體身份的各種機制流量填充：在數(shù)據(jù)流空隙中插入若干位以阻止流量分析路由控制：能夠為某些數(shù)據(jù)選擇特殊的物理上安全的路線并允許路由變化（尤其是在懷疑有侵犯安全的行為時）公證：利用可信的第三方來保證數(shù)據(jù)交換的某些性質(zhì)