第09章 信息安全防護(hù)基本原理

第九章信息安全防護(hù)基本原理《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全》第九章信息安全防護(hù)基本原理本章學(xué)習(xí)目標(biāo)掌握?qǐng)?bào)文認(rèn)證與數(shù)字簽名的基本原理與過程；掌握身份認(rèn)證基本原理與過程；掌握密鑰分發(fā)與證書認(rèn)證的基本原理與過程；掌握訪問控制的概念、方法、技術(shù)、功能及應(yīng)用；掌握內(nèi)容保護(hù)與內(nèi)容監(jiān)管策略、技術(shù)與方法；理解物理安全的概念、意義、主要內(nèi)容與防護(hù)措施。主要內(nèi)容第一節(jié)消息完整性與

數(shù)字簽名第二節(jié)

身份認(rèn)證第三節(jié)

密鑰管理與分發(fā)第四節(jié)

訪問控制第五節(jié)

內(nèi)容安全第六節(jié)物理安全2本章重點(diǎn)與難點(diǎn)本章重點(diǎn)消息完整性驗(yàn)證報(bào)文認(rèn)證數(shù)字簽名身份認(rèn)證方法密鑰分發(fā)方法KDC與CA訪問控制概念與方法訪問控制應(yīng)用內(nèi)容保護(hù)與監(jiān)管方法物理安全主要內(nèi)容本章難點(diǎn)消息完整性驗(yàn)證原理報(bào)文認(rèn)證的應(yīng)用數(shù)字簽名原理身份認(rèn)證過程密鑰分發(fā)原理密鑰分發(fā)中心（KDC）證書認(rèn)證機(jī)構(gòu)（CA）公鑰基礎(chǔ)設(shè)施（PKI）訪問控制策略與應(yīng)用內(nèi)容安全的數(shù)字水印算法3李全龍第一節(jié)消息完整性與數(shù)字簽名報(bào)文完整性？報(bào)文/消息完整性(messageintegrity)，也稱為報(bào)文/消息認(rèn)證（或報(bào)文鑒別），目標(biāo)：證明報(bào)文確實(shí)來自聲稱的發(fā)送方驗(yàn)證報(bào)文在傳輸過程中沒有被篡改預(yù)防報(bào)文的時(shí)間、順序被篡改預(yù)防報(bào)文持有期被修改預(yù)防抵賴發(fā)送方否認(rèn)接收方否認(rèn)第一節(jié)消息完整性與

數(shù)字簽名5密碼散列函數(shù)密碼散列函數(shù)(CryptographicHashFunction)：H(m)散列算法公開H(m)能夠快速計(jì)算對(duì)任意長度報(bào)文進(jìn)行多對(duì)一映射，均產(chǎn)生定長輸出對(duì)于任意報(bào)文無法預(yù)知其散列值不同報(bào)文不能產(chǎn)生相同的散列值單向性：無法根據(jù)散列值倒推出報(bào)文對(duì)于給定散列值h，無法計(jì)算找到滿足h=H(m)的報(bào)文m抗弱碰撞性(WeakCollisionResistence-WCR)對(duì)于給定報(bào)文x，計(jì)算上不可能找到y(tǒng)且y≠x，使得H(x)=H(y)抗強(qiáng)碰撞性(StrongCollisionResistence-SCR)在計(jì)算上，不可能找到任意兩個(gè)不同報(bào)文x和y(x≠y)，使得H(x)=H(y)第一節(jié)消息完整性與

數(shù)字簽名6散列函數(shù)算法MD5：被廣泛應(yīng)用的散列函數(shù)(RFC1321)通過4個(gè)步驟，對(duì)任意長度的報(bào)文輸入，計(jì)算輸出128位散列值MD5不是足夠安全1996年，Dobbertin找到了兩個(gè)不同的512-bit塊，在MD5計(jì)算下產(chǎn)生了相同的散列值SHA-1(SecureHashAlgorithm)：另一個(gè)正在使用的散列算法US標(biāo)準(zhǔn)[NIST,FIPSPUB180-1]SHA-1要求輸入消息長度<264SHA-1的散列值為160位速度慢于MD5，安全性優(yōu)于MD5第一節(jié)消息完整性與

數(shù)字簽名7報(bào)文摘要(Messagedigests)對(duì)報(bào)文m應(yīng)用散列函數(shù)H，得到一個(gè)固定長度的散列碼，稱為報(bào)文摘要(messagedigest),記為H(m)可以作為報(bào)文m的數(shù)字指紋(fingerprint)。第一節(jié)消息完整性與

數(shù)字簽名8報(bào)文mH:散列函數(shù)H(m)報(bào)文認(rèn)證簡單方案：報(bào)文+報(bào)文摘要→擴(kuò)展報(bào)文(m,H(m))第一節(jié)消息完整性與

數(shù)字簽名9報(bào)文mH:散列函數(shù)H(m)II報(bào)文mH:散列函數(shù)H(m)h相等?擴(kuò)展報(bào)文(m,H(m))擴(kuò)展報(bào)文(m,h)缺陷？報(bào)文認(rèn)證報(bào)文認(rèn)證碼MAC(MessageAuthenticationCode)：報(bào)文m+認(rèn)證密鑰s+密碼散列函數(shù)H→擴(kuò)展報(bào)文(m,H(m+s))第一節(jié)消息完整性與

數(shù)字簽名10報(bào)文mH:散列函數(shù)H(m+s)II報(bào)文mH:散列函數(shù)H(m+s)h相等?擴(kuò)展報(bào)文(m,H(m+s))擴(kuò)展報(bào)文(m,h)缺陷？認(rèn)證密鑰s認(rèn)證密鑰s數(shù)字簽名Q:如何解決下列與報(bào)文完整性相關(guān)的問題？否認(rèn)：發(fā)送方不承認(rèn)自己發(fā)送過某一報(bào)文偽造：接收方自己偽造一份報(bào)文，并聲稱來自發(fā)送方冒充：某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送報(bào)文篡改：接收方對(duì)收到的信息進(jìn)行篡改A:數(shù)字簽名(Digitalsignatures)！數(shù)字簽名技術(shù)是實(shí)現(xiàn)安全電子交易的核心技術(shù)之一可驗(yàn)證性(verifiable)不可偽造性(unforgeable)不可抵賴性(non-repudiation)第一節(jié)消息完整性與

數(shù)字簽名11數(shù)字簽名對(duì)報(bào)文m的簡單數(shù)字簽名:報(bào)文加密技術(shù)是數(shù)字簽名的基礎(chǔ)Bob通過利用私鑰

對(duì)m進(jìn)行加密，創(chuàng)建簽名報(bào)文，第一節(jié)消息完整性與

數(shù)字簽名12簽名報(bào)文摘要13第一節(jié)消息完整性與

數(shù)字簽名報(bào)文mH:散列函數(shù)H(m)數(shù)字簽名(加密)Bob的私鑰KB-IIBob發(fā)送數(shù)字簽名的報(bào)文:Alice核實(shí)簽名以及數(shù)字簽名報(bào)文的完整性：KB(H(m))-加密的報(bào)文摘要KB(H(m))-加密的報(bào)文摘要報(bào)文mH:散列函數(shù)H(m)數(shù)字簽名(解密)H(m)Bob的公鑰KB+相等?李全龍第二節(jié)身份認(rèn)證身份認(rèn)證(Authentication)15第二節(jié)身份認(rèn)證目標(biāo)：Bob希望Alice“證明”她的身份協(xié)議ap1.0:

Alice聲明“IamAlice”失效場(chǎng)景??“IamAlice”身份認(rèn)證(Authentication)16第二節(jié)身份認(rèn)證目標(biāo)：Bob希望Alice“證明”她的身份協(xié)議ap1.0:

Alice聲明“IamAlice”在網(wǎng)絡(luò)中,Bob“看”不到Alice,因此Trudy可以簡單地聲明她就是

Alice！“IamAlice”身份認(rèn)證(Authentication)17第二節(jié)身份認(rèn)證協(xié)議ap2.0:Alice在IP分組中聲明“IamAlice”，

IP分組包含Alice的源IP地址失效場(chǎng)景??“IamAlice”Alice’sIPaddress身份認(rèn)證(Authentication)18第二節(jié)身份認(rèn)證協(xié)議ap2.0:Alice在IP分組中聲明“IamAlice”，

IP分組包含Alice的源IP地址Trudy可以構(gòu)造一個(gè)分組，“欺騙”為Alice的IP地址“IamAlice”Alice’sIPaddress身份認(rèn)證19第二節(jié)身份認(rèn)證協(xié)議ap3.0:Alice聲明“IamAlice”的同時(shí)，發(fā)送她的秘密口令進(jìn)行“證明”.“I’mAlice”Alice’sIPaddrAlice’spasswordOKAlice’sIPaddr失效場(chǎng)景??身份認(rèn)證20第二節(jié)身份認(rèn)證協(xié)議ap3.0:Alice聲明“IamAlice”的同時(shí)，發(fā)送她的秘密口令進(jìn)行“證明”.嗅探(sniffing):Trudy嗅探Alice的分組，提取口令“I’mAlice”Alice’sIPaddrAlice’spassword“I’mAlice”Alice’sIPaddrAlice’spasswordOKAlice’sIPaddr身份認(rèn)證21第二節(jié)身份認(rèn)證協(xié)議ap3.1:Alice聲明“IamAlice”的同時(shí)，發(fā)送她的加密的秘密口令進(jìn)行“證明”.“I’mAlice”Alice’sIPaddrencryptedpasswordOKAlice’sIPaddr失效場(chǎng)景??身份認(rèn)證22第二節(jié)身份認(rèn)證協(xié)議ap3.1:Alice聲明“IamAlice”的同時(shí)，發(fā)送她的加密的秘密口令進(jìn)行“證明”.“I’mAlice”Alice’sIPaddrencryptedpassword“I’mAlice”Alice’sIPaddrencryptedpasswordOKAlice’sIPaddr回放攻擊(playbackattack):Trudy記錄Alice的分組，稍后“回放”給Bob身份認(rèn)證23第二節(jié)身份認(rèn)證目標(biāo):避免回放攻擊失效、缺點(diǎn)?一次性隨機(jī)數(shù)(nonce):一個(gè)生命期內(nèi)只用一次的數(shù)Rap4.0:為了證明是“真實(shí)的”Alice，Bob向Alice發(fā)送一個(gè)隨機(jī)數(shù)R，Alice必須返回R，并利用共享密鑰進(jìn)行加密“IamAlice”RK(R)A-BAlice是“真實(shí)的”，并且只有Alice知道加密隨機(jī)數(shù)的共享密鑰，因此對(duì)方一定是Alice!身份認(rèn)證:ap5.024第二節(jié)身份認(rèn)證ap4.0需要共享密鑰！

是否可以利用公鑰技術(shù)那？ap5.0:

利用一次性隨機(jī)數(shù)以及公鑰加密技術(shù)“IamAlice”RK(R)A-“給我你的公鑰”KA+Bob計(jì)算：(K(R))=RA-KA+并已知只有Alice擁有加密R的私鑰，因此：(K(R))=RA-KA+失效?ap5.0:安全漏洞25第二節(jié)身份認(rèn)證中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。IamAliceIamAliceRTK(R)-給我你的公鑰TK+AK(R)-給我你的公鑰AK+TK(m)+Tm=K(K(m))+T-Trudy截獲明文利用Alice的公鑰加密明文m并發(fā)送給AliceAK(m)+Am=K(K(m))+A-Rap5.0:安全漏洞26第二節(jié)身份認(rèn)證中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。很難檢測(cè):Bob與Alice可以收到彼此發(fā)送的所有信息。問題是Trudy也收到了所有信息！李全龍第三節(jié)密鑰管理與分發(fā)回顧身份認(rèn)證協(xié)議：ap4.028第三節(jié)密鑰管理與分發(fā)目標(biāo):避免回放攻擊如何共享對(duì)稱密鑰？

一次性隨機(jī)數(shù)(nonce):一個(gè)生命期內(nèi)只用一次的數(shù)Rap4.0:為了證明是“真實(shí)的”Alice，Bob向Alice發(fā)送一個(gè)隨機(jī)數(shù)R，Alice必須返回R，并利用共享密鑰進(jìn)行加密“IamAlice”RK(R)A-BAlice是“真實(shí)的”，并且只有Alice知道加密隨機(jī)數(shù)的共享密鑰，因此對(duì)方一定是Alice!對(duì)稱密鑰問題？對(duì)稱密鑰問題:兩個(gè)實(shí)體在網(wǎng)上如何建立共享秘密密鑰？解決方案:可信任的密鑰分發(fā)中心(KeyDistributionCenter-KDC)作為實(shí)體間的中介(intermediary)29第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)Alice與Bob需要共享對(duì)稱密鑰.KDC：一個(gè)服務(wù)器每個(gè)注冊(cè)用戶(很多用戶)共享其與KDC的秘密密鑰Alice和Bob只知道自己與KDC之間的對(duì)稱密鑰，用于分別與KDC進(jìn)行秘密通信.

30第三節(jié)密鑰管理與分發(fā)KDCKB-KDCKX-KDCKY-KDCKZ-KDCKO-KDCKB-KDCKA-KDCKA-KDCKO-KDC密鑰分發(fā)中心(KDC)方式一：通信發(fā)起方生成會(huì)話密鑰31第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)方式二：由KDC為A、B生成通信的會(huì)話密鑰32第三節(jié)密鑰管理與分發(fā)密鑰分發(fā)中心(KDC)33第三節(jié)密鑰管理與分發(fā)Alice獲知R1Bob獲知將使用Ks與Alice通信Alice與Bob通信:Ks作為會(huì)話密鑰(sessionkey)用于共享對(duì)稱加密Q:KDC還有其他方式為Alice和Bob的彼此通信產(chǎn)生共享對(duì)稱密鑰嗎？KDC產(chǎn)生KsKB-KDC(A,Ks)KA-KDC(A,B)KA-KDC(Ks,KB-KDC(A,Ks))回顧身份認(rèn)證協(xié)議：ap5.034第三節(jié)密鑰管理與分發(fā)中間人攻擊(maninthemiddleattack):Trudy向Bob假扮Alice,

向Alice假扮Bob。IamAliceIamAliceRTK(R)-給我你的公鑰TK+AK(R)-給我你的公鑰AK+TK(m)+Tm=K(K(m))+T-Trudy截獲明文利用Alice的公鑰加密明文m并發(fā)送給AliceAK(m)+Am=K(K(m))+A-R比薩惡作劇Trudy針對(duì)Bob實(shí)施“比薩惡作劇”Trudy創(chuàng)建郵件訂單:

DearPizzaStore,Pleasedelivertomefourpepperonipizzas.Thankyou,BobTrudy利用她的私鑰簽名訂單Trudy向比薩店發(fā)送訂單Trudy向比薩店發(fā)送她的公鑰，但聲稱是Bob的公鑰比薩店核實(shí)簽名；然后向Bob遞送4個(gè)臘腸比薩Bob根本就不喜歡臘腸35第三節(jié)密鑰管理與分發(fā)公鑰問題？公鑰問題:當(dāng)Alice獲得了Bob的公鑰(通過web網(wǎng)站、

e-mail、磁盤等)，她怎么確認(rèn)這真的是Bob的公鑰而不是Trudy的?解決方案:公鑰基礎(chǔ)設(shè)施(PublicKeyInfrastructure,PKI)可信任的認(rèn)證中心(CertificationAuthority-CA)36第三節(jié)密鑰管理與分發(fā)公鑰基礎(chǔ)設(shè)施PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。PKI提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系。PKI用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)-CA認(rèn)證中心，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息捆綁在一起，在互聯(lián)網(wǎng)上驗(yàn)證用戶身份。PKI是基于公鑰算法和技術(shù)，為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施，是創(chuàng)建、頒發(fā)、管理、注銷公鑰證書所涉及的所有軟件、硬件的集合體。PKI核心元素是數(shù)字證書，核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案。PKI具有非常廣闊的市場(chǎng)應(yīng)用前景。37第三節(jié)密鑰管理與分發(fā)PKI的基本組成PKI基本組成部分：權(quán)威認(rèn)證機(jī)構(gòu)(CA)數(shù)字證書的申請(qǐng)及簽發(fā)機(jī)關(guān)，CA必須具備權(quán)威性的特征CA是證書的簽發(fā)機(jī)構(gòu)，也是PKI的核心數(shù)字證書庫存儲(chǔ)已簽發(fā)的數(shù)字證書及公鑰，用戶可由此獲得所需的其他用戶的證書及公鑰密鑰備份及恢復(fù)系統(tǒng)密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)來完成密鑰備份與恢復(fù)只能針對(duì)解密密鑰，簽名私鑰為確保其唯一性不能作備份證書作廢系統(tǒng)支持密鑰介質(zhì)丟失或用戶身份變更等應(yīng)用接口(APD)使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)38第三節(jié)密鑰管理與分發(fā)認(rèn)證中心(CA)數(shù)字證書是各實(shí)體(持卡人/個(gè)人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明。數(shù)字證書具有唯一性。數(shù)字證書需符合X.509國際標(biāo)準(zhǔn)。需要一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu)，專門負(fù)責(zé)數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，即CA認(rèn)證機(jī)構(gòu)。證書機(jī)制是目前被廣泛采用的一種安全機(jī)制，使用證書機(jī)制的前提是建立CA（CertificationAuthority，認(rèn)證中心）以及配套的RA（RegistrationAuthority，注冊(cè)審批機(jī)構(gòu)）系統(tǒng)。CA中心為每個(gè)使用公開密鑰的用戶發(fā)放一個(gè)數(shù)字證書，數(shù)字證書的作用是證明證書列出的用戶名稱與證書中列出的公開密鑰相對(duì)應(yīng)。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。39第三節(jié)密鑰管理與分發(fā)認(rèn)證中心的功能(1)接受驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。(2)確定是否接受最終用戶數(shù)字證書的申請(qǐng)—證書的審批。(3)向申請(qǐng)者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。(4)接受、處理最終用戶數(shù)字證書更新請(qǐng)求—證書的更新。(5)接受最終用戶數(shù)字證書的查詢、撤銷。(6)產(chǎn)生和發(fā)布證書廢止列表(CRL)。(7)數(shù)字證書的歸檔。(8)密鑰歸檔。(9)歷史數(shù)據(jù)歸檔。40第三節(jié)密鑰管理與分發(fā)認(rèn)證中心認(rèn)證中心(CA)核心任務(wù):實(shí)現(xiàn)實(shí)體E與其公鑰的綁定每個(gè)實(shí)體E(如人、路由器等)在CA上注冊(cè)其公鑰。E向CA提供“身份證明”

CA創(chuàng)建綁定E及其公鑰的證書(certificate)證書包含由CA簽名的E的公鑰–CA聲明：“這是E的公鑰”41第三節(jié)密鑰管理與分發(fā)Bob的公鑰KB+Bob的識(shí)別信息數(shù)字簽名(加密)CA的私鑰KCA-KB+由CA簽發(fā)的Bob公鑰證書CA數(shù)字證書的使用當(dāng)Alice想要Bob的公鑰時(shí):首先或取Bob的公鑰證書(從Bob或者其他地方)應(yīng)用CA的公鑰，解密證書中簽名的公鑰，獲得Bob公鑰42第三節(jié)密鑰管理與分發(fā)Bob的公鑰KB+數(shù)字簽名(解密)CA的公鑰KCA+KB+公鑰證書主要內(nèi)容43第三節(jié)密鑰管理與分發(fā)序列號(hào)(唯一發(fā)行號(hào))證書持有者信息，包括算法和密鑰值(未顯示)證書發(fā)行者信息有效期發(fā)行者數(shù)字簽名李全龍第四節(jié)訪問控制訪問控制訪問控制(AccessControl，AC)是指系統(tǒng)對(duì)用戶身份及其所屬的預(yù)先定義策略組限制其使用數(shù)據(jù)資源能力的手段。訪問控制的目標(biāo)是防止對(duì)任何計(jì)算機(jī)資源、通信資源或信息資源進(jìn)行未授權(quán)的訪問。訪問控制是在保障授權(quán)用戶獲取所需資源的同時(shí)拒絕非授權(quán)用戶的安全機(jī)制，是信息安全理論基礎(chǔ)的重要組成部分訪問控制既是通信安全的問題，又是計(jì)算機(jī)操作系統(tǒng)安全的問題。訪問控制應(yīng)具有以下3個(gè)功能：(1)識(shí)別和確認(rèn)訪問系統(tǒng)的用戶。(2)資源訪問權(quán)限控制功能，決定用戶對(duì)系統(tǒng)資源的訪問權(quán)限。(3)審計(jì)功能，記錄系統(tǒng)資源被訪問的時(shí)間和訪問者信息。45第四節(jié)訪問控制訪問控制訪問控制和身份認(rèn)證的區(qū)別：訪問控制是在身份認(rèn)證的基礎(chǔ)上，根據(jù)用戶的身份對(duì)提出的資源訪問請(qǐng)求加以控制。訪問控制是為了保證網(wǎng)絡(luò)資源受控、合法地被使用。合法用戶只能根據(jù)自身權(quán)限來訪問系統(tǒng)資源，不能越權(quán)訪問。身份認(rèn)證是防止非法用戶進(jìn)入系統(tǒng)，而訪問控制是防止合法用戶對(duì)系統(tǒng)資源進(jìn)行非法使用。訪問控制的三要素：主體、客體和訪問控制策略46第四節(jié)訪問控制訪問控制訪問控制的主要過程包括以下內(nèi)容。(1)規(guī)定需要保護(hù)的資源，即確定客體。(2)規(guī)定可以訪問該資源的主體。(3)規(guī)定可以對(duì)該資源執(zhí)行的操作。(4)通過確定每個(gè)實(shí)體可對(duì)哪些資源執(zhí)行哪些動(dòng)作來確定安全方案。訪問控制策略是指實(shí)施訪問控制所采用的基本思路和方法主流的訪問控制策略：自主訪問控制(DiscretionaryAccessControl，DAC)強(qiáng)制訪問控制(MandatoryAccessControl，MAC)基于角色的訪問控制(RoleBasedAccessControl，RBAC)47第四節(jié)訪問控制訪問控制自主訪問控制（DAC）基于行的自主訪問控制在每個(gè)主體上都附加一個(gè)該主體可訪問的客體的明細(xì)表：權(quán)力表(CapabilitiesList)、前綴表(Profiles)和口令(Password)?；诹械淖灾髟L問控制對(duì)每個(gè)客體附加一份可訪問它的主體的明細(xì)表：保護(hù)位(ProtectionBits)和訪問控制表(AccessControlList)。DAC根據(jù)用戶的身份及允許訪問權(quán)限決定其訪問操作。DAC靈活性高，安全性低。DAC的缺點(diǎn)是訪問權(quán)的授予是可以傳遞的，一旦訪問權(quán)被傳遞出去將難以控制，訪問權(quán)的管理是很困難的，可能帶來嚴(yán)重的安全問題。DAC不保護(hù)受保護(hù)的客體產(chǎn)生的副本在大型系統(tǒng)中，主、客體的數(shù)量巨大，DAC所帶來的系統(tǒng)開銷都是很大的，效率較低，難以滿足大型應(yīng)用系統(tǒng)的需求。48第四節(jié)訪問控制訪問控制強(qiáng)制訪問控制(MAC)MAC通過無法回避的訪問限制來阻止直接或間接的非法入侵。MAC系統(tǒng)為所有主體和客體制定安全級(jí)別強(qiáng)制訪問控制機(jī)制，將安全級(jí)別進(jìn)行排序。屬于某一個(gè)安全級(jí)的主體可以讀本級(jí)和本級(jí)以上的客體，可以寫本級(jí)和本級(jí)以下客體。低級(jí)別主體不可以讀高級(jí)別的信息(保密)，但低級(jí)別主體可以寫高級(jí)別的客體(完整性可能破壞)，因此采用的是下讀/上寫策略。實(shí)際應(yīng)用中，往往將DAC和MAC結(jié)合在一起使用。自主訪問控制較弱，強(qiáng)制訪問控制又太強(qiáng)，會(huì)給用戶帶來許多不便。49第四節(jié)訪問控制訪問控制基于角色的訪問控制(RBAC)在傳統(tǒng)的訪問控制中，主體始終是和特定的實(shí)體捆綁對(duì)應(yīng)的。隨著用戶量大量增加系統(tǒng)管理復(fù)雜、不易實(shí)現(xiàn)層次化管理、用戶權(quán)限修改不方便等。RBAC以角色為中介對(duì)用戶進(jìn)行授權(quán)和訪問控制，主體對(duì)客體的訪問控制權(quán)限通過角色實(shí)施，即訪問權(quán)限是針對(duì)角色而不是直接針對(duì)用戶的。核心思想是將訪問權(quán)限與角色相聯(lián)系，通過給用戶分配合適的角色，讓用戶與訪問權(quán)限相關(guān)聯(lián)，不同的角色被賦予不同的訪問權(quán)限，系統(tǒng)的訪問控制機(jī)制只看到角色，而看不到用戶用戶在訪問系統(tǒng)前，經(jīng)過角色認(rèn)證而充當(dāng)相應(yīng)的角色。用戶獲得特定角色后，系統(tǒng)依然可以按照DAC或MAC控制角色的訪問能力。50第四節(jié)訪問控制訪問控制基于角色的訪問控制(RBAC)RBAC的特點(diǎn)：1）提供3種授權(quán)管理的控制途徑，包括改變客體的訪問權(quán)限、改變角色的訪問權(quán)限、改變主體所擔(dān)任的角色。2）系統(tǒng)中所有角色的關(guān)系結(jié)構(gòu)可以是層次化的，以便于管理。角色的定義是從現(xiàn)實(shí)出發(fā)，所以可以用面向?qū)ο蟮姆椒▉韺?shí)現(xiàn)，運(yùn)用類和繼承等概念表示角色之間的層次關(guān)系非常自然且實(shí)用。3）具有較好的提供最小權(quán)力的能力，從而提高了安全性。由于對(duì)主體的授權(quán)是通過角色定義的，因此調(diào)整角色的權(quán)限粒度可以做到更有針對(duì)性，不容易出現(xiàn)多余權(quán)限。4）具有責(zé)任分離的能力。定義角色的人不一定是擔(dān)任角色的人，這樣，不同角色的訪問權(quán)限可以相互制約，因而具有更高的安全性。51第四節(jié)訪問控制訪問控制的應(yīng)用訪問控制策略是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，其任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問各種網(wǎng)絡(luò)安全策略必須相互配合才能真正起到保護(hù)作用，而訪問控制是保證網(wǎng)絡(luò)安全最重要的核心策略之一訪問控制策略包括：入網(wǎng)訪問控制策略操作權(quán)限控制策略目錄安全控制策略屬性安全控制策略網(wǎng)絡(luò)服務(wù)器安全控制策略網(wǎng)絡(luò)監(jiān)測(cè)與鎖定控制策略防火墻控制策略52第四節(jié)訪問控制訪問控制的應(yīng)用訪問控制與其他安全服務(wù)的關(guān)系在計(jì)算機(jī)系統(tǒng)中，認(rèn)證、訪問控制和審計(jì)共同建立了保護(hù)系統(tǒng)安全的基礎(chǔ)身份認(rèn)證是用戶進(jìn)入系統(tǒng)的第一道防線，訪問控制是在鑒別用戶的合法身份后，控制用戶對(duì)客體信息的訪問，它通過訪問控制器實(shí)施這種訪問控制，訪問控制器通過進(jìn)一步查詢授權(quán)數(shù)據(jù)庫中的控制策略來判定用戶是否可以合法操作相應(yīng)的目標(biāo)或客體審計(jì)是指產(chǎn)生、記錄并檢查按時(shí)間順序排列的系統(tǒng)事件記錄的過程。審計(jì)是其他安全機(jī)制的有力補(bǔ)充，它貫穿計(jì)算機(jī)安全機(jī)制實(shí)現(xiàn)的整個(gè)過程，從身份認(rèn)證到訪問控制都離不開審計(jì)。審計(jì)控制主要關(guān)注系統(tǒng)所有用戶的請(qǐng)求和活動(dòng)的事后分析。通過審計(jì)，一方面有助于分析系

統(tǒng)中用戶的行為活動(dòng)來發(fā)現(xiàn)可能

的安全隱患：另一方面可以跟蹤

記錄用戶的請(qǐng)求，在一定程度上

起到了震懾作用，使用戶不敢進(jìn)

行非法嘗試。53第四節(jié)訪問控制李全龍第五節(jié)內(nèi)容安全內(nèi)容安全？信息內(nèi)容安全主要包含有兩方面內(nèi)容：一方面是指針對(duì)合法的信息內(nèi)容加以安全保護(hù)；另一方面是指針對(duì)非法的信息內(nèi)容實(shí)施監(jiān)管。信息隱藏技術(shù)常用于版權(quán)保護(hù)內(nèi)容保護(hù)技術(shù)大多數(shù)都是基于密碼學(xué)和隱寫術(shù)發(fā)展起來的如數(shù)據(jù)鎖定、隱寫標(biāo)記、數(shù)字水印和數(shù)字版權(quán)管理(DRM)等技術(shù)，其中最具有發(fā)展前景和實(shí)用價(jià)值的是數(shù)字水印和數(shù)字版權(quán)管理。數(shù)字水印是鑲嵌在數(shù)據(jù)中，并且不影響合法使用的具有可鑒別性的數(shù)據(jù)。一般應(yīng)當(dāng)具有不可察覺性、抗擦除性、穩(wěn)健性和可解碼性。DRM(DigitalRightsManagement)技術(shù)是專門用來保護(hù)數(shù)字化版權(quán)的產(chǎn)品。DRM的核心是數(shù)據(jù)加密和權(quán)限管理。面向網(wǎng)絡(luò)信息內(nèi)容監(jiān)管主要涉及兩類：一類是靜態(tài)信息；另一類是動(dòng)態(tài)信息。靜/動(dòng)態(tài)信息內(nèi)容監(jiān)管主要包括網(wǎng)站數(shù)據(jù)獲取技術(shù)、內(nèi)容分析技術(shù)、控管技術(shù)第五節(jié)內(nèi)容安全55版權(quán)保護(hù)數(shù)字版權(quán)保護(hù)技術(shù)DRM(DigitalRightsManagement)就是以一定安全算法實(shí)現(xiàn)對(duì)數(shù)字內(nèi)容的保護(hù)，包括電子書(eBook)、視頻、音頻、圖片等數(shù)字內(nèi)容。DRM技術(shù)的目的是從技術(shù)上防止數(shù)字內(nèi)容的非法復(fù)制，或者在一定程度上使非法復(fù)制變得很困難，最終，用戶必須在得到授權(quán)后才能使用數(shù)字內(nèi)容。DRM涉及的主要技術(shù)包括數(shù)字標(biāo)識(shí)技術(shù)、安全和加密技術(shù)以及安全存儲(chǔ)技術(shù)等。DRM技術(shù)方法主要有兩類：一類是采用數(shù)字水印技術(shù)，另一類是以數(shù)據(jù)加密和防復(fù)制為核心的DRM技術(shù)。DRM所保護(hù)的內(nèi)容主要分為三類：電子書、音視頻文件和電子文檔。第五節(jié)內(nèi)容安全56數(shù)字水印數(shù)字水印也是DRM經(jīng)常使用的數(shù)字版權(quán)保護(hù)技術(shù)可見數(shù)字水印和不可見數(shù)字水印一個(gè)數(shù)字水印方案一般包括三個(gè)基本方面：水印的形成、水印的嵌人和水印的檢測(cè)。水印的檢測(cè)一般分為兩部分工作：檢測(cè)水印是否存在和提取水印信息。水印的檢測(cè)方式：盲水印檢測(cè)和非盲水印檢測(cè)數(shù)字水印基本特征：隱蔽性魯棒性安全性易用性第五節(jié)內(nèi)容安全57數(shù)字水印算法面向文本的水印算法純文本文檔很難嵌入秘密信息格式化的文檔可以把水印信息嵌人到文字格式化編排中常見方法：基于文檔結(jié)構(gòu)微調(diào)的文本水印算法基于語法的文本水印算法一類按照語法規(guī)則對(duì)載體文本中的詞匯進(jìn)行替換來隱藏水印信息另一類是按照語法規(guī)則對(duì)載體文本中的標(biāo)點(diǎn)符號(hào)進(jìn)行修改來隱藏水印信息基于語義的文本水印算法基于漢字特點(diǎn)的文本水印算法第五節(jié)內(nèi)容安全58數(shù)字水印算法面向圖像的水印算法空域水印算法變換域水印算法空域水印算法空域數(shù)字圖像水印算法主要是在圖像的像素上直接進(jìn)行的，通過修改圖像的像素值來嵌入數(shù)字水印?？沼驍?shù)字圖像水印算法嵌入的水印容量較大、實(shí)現(xiàn)簡單、計(jì)算效率高。經(jīng)典的最低有效位（LeastSignificantBits，LSB)空域水印算法該算法的優(yōu)勢(shì)是可嵌入的水印容量大不足是嵌入的水印信息很容易被移除第五節(jié)內(nèi)容安全59數(shù)字水印算法變換域水印算法變換域數(shù)字水印算法是在圖像的變換域進(jìn)行水印嵌入的，也就是將原始圖像經(jīng)過給定的正交變換，將水印嵌入到圖像的變換系數(shù)中去常用的變換：離散傅里葉變換（DiscreteFourierTransform，DFT）離散余弦變換（DiscreteCosineTransform，DCT）離散小波變換（DiscreteWaveletTransform，DWT）在變換域中嵌入的數(shù)字水印可以擴(kuò)展到空間域的所有像素上，有利于實(shí)現(xiàn)水印的不可感知性，還可以增強(qiáng)水印的魯棒性。第五節(jié)內(nèi)容安全60數(shù)字水印算法面向音視頻的水印算法音視頻水印嵌入方法主要集中于時(shí)間域和空間域兩方面根據(jù)音頻水印載體類型，音頻水印技術(shù)可以分為基于原始音頻和基于壓縮音頻兩種?；谠家纛l方法是在未經(jīng)編碼壓縮的音頻信號(hào)中直接嵌入水印基于壓縮音頻方法是指音頻信號(hào)在壓縮編碼過程中嵌入水印信息，輸出的是含水印的壓縮編碼的音頻信號(hào)優(yōu)點(diǎn)在于無須進(jìn)行輸人比特流的解碼和再編碼過程，對(duì)音頻信號(hào)的影響較小數(shù)字視頻水印主要包括基于原始視頻的水印、基于視頻編碼的水印和基于壓縮視頻的水印。第五節(jié)內(nèi)容安全61數(shù)字水印算法NEC算法NEC算法是由NEC實(shí)驗(yàn)室的Cox等提出的，在數(shù)字水印算法中占有重要地位。Cox認(rèn)為水印信號(hào)應(yīng)該嵌入到那些人感覺最敏感的源數(shù)據(jù)部分，在頻譜空間中，這種重要部分就是低頻分量。攻擊者在破壞水印的過程中，會(huì)引起圖像質(zhì)量的嚴(yán)重下降。水印信號(hào)應(yīng)該由具有高斯分布的獨(dú)立同分布隨機(jī)實(shí)數(shù)序列構(gòu)成。這使得水印抵抗多拷貝聯(lián)合攻擊的能力大大增強(qiáng)。具體實(shí)現(xiàn)方法：首先以密鑰為種子來產(chǎn)生偽隨機(jī)序列該序列具有高斯N(0,1)分布，密鑰可以由作者的標(biāo)識(shí)碼和圖像的哈希值組成對(duì)整幅圖像作DCT變換用偽隨機(jī)高斯序列來疊加該圖像的1000個(gè)最大的DCT系數(shù)(除直流分量外)NEC算法具有較強(qiáng)的魯棒性、安全性、透明性第五節(jié)內(nèi)容安全62數(shù)字水印算法生理模型算法人的生理模型包括人類視覺系統(tǒng)(HumanVisualSystem，HVS)和人類聽覺系統(tǒng)(HumanAuditorySystem，HAS)等。生理模型算法的基本思想：利用人類視覺的掩蔽現(xiàn)象，從HVS模型導(dǎo)出的可覺察差異（JustNoticeableDifference，JND)。利用JND描述來確定圖像的各個(gè)部分所能容忍的數(shù)字水印信號(hào)的最大強(qiáng)度。人類視覺對(duì)物體的亮度和紋理具有不同程度的感知性，利用這一特點(diǎn)可以調(diào)節(jié)嵌入水印信號(hào)的強(qiáng)度。一般來說，背景越亮，所嵌入水印的可見性越低，即所謂亮度掩蔽特性；背景的紋理越復(fù)雜，嵌入的水印可見性越低，即所謂的紋理掩蔽特性?？紤]這些因素，在水印嵌入前應(yīng)該利用視覺模型來確定與圖像相關(guān)的調(diào)制掩模，然后再利用其來嵌入水印。第五節(jié)內(nèi)容安全63內(nèi)容監(jiān)管內(nèi)容監(jiān)管是內(nèi)容安全的另一重要方面，如果監(jiān)管不善，會(huì)對(duì)社會(huì)造成極大的影響，其重要性不言而喻。內(nèi)容監(jiān)管涉及到很多領(lǐng)域，其中基于網(wǎng)絡(luò)的信息已經(jīng)成為內(nèi)容監(jiān)管的首要目標(biāo)。一般來說病毒、木馬、色情、反動(dòng)、嚴(yán)重的虛假欺騙以及垃圾郵件等有害的網(wǎng)絡(luò)信息都需要進(jìn)行監(jiān)管。網(wǎng)絡(luò)信息內(nèi)容監(jiān)管內(nèi)容監(jiān)管首先需要解決的就是如何制定監(jiān)管的總體策略總體策略主要包括監(jiān)管的對(duì)象、監(jiān)管的內(nèi)容、對(duì)違規(guī)內(nèi)容如何處理等。首先如何界定違規(guī)內(nèi)容（那些需要禁止的信息），既能夠禁止違規(guī)內(nèi)容，又不會(huì)殃及到合法應(yīng)用。其次對(duì)于可能存在一些違規(guī)信息的網(wǎng)站如何處理一種方法是通過防火墻禁止對(duì)該網(wǎng)站的全部訪問，這樣比較安全，但也會(huì)禁止掉其他有用內(nèi)容；另一種方法是允許網(wǎng)站部分訪問，只是對(duì)那些有害網(wǎng)頁信息進(jìn)行攔截，但此種方法存在攔截失敗的可能性。第五節(jié)內(nèi)容安全64內(nèi)容監(jiān)管內(nèi)容監(jiān)管系統(tǒng)模型第五節(jié)內(nèi)容安全65內(nèi)容監(jiān)管策略內(nèi)容監(jiān)管需求是制定內(nèi)容監(jiān)管策略的依據(jù)內(nèi)容監(jiān)管策略是內(nèi)容監(jiān)管需求的形式化表示數(shù)據(jù)獲取策略主要確定監(jiān)管對(duì)象的范圍、采用何種方式獲取需要檢測(cè)的數(shù)據(jù)；敏感特征定義是指用于判斷網(wǎng)絡(luò)信息內(nèi)容是否違規(guī)的特征值，如敏感字符串、圖片等；違規(guī)定義是指依據(jù)網(wǎng)絡(luò)信息內(nèi)容中包含敏感特征值的情況判斷是否違規(guī)的規(guī)則；違規(guī)處理策略是指對(duì)于違規(guī)載體（網(wǎng)站或網(wǎng)絡(luò)連接）的處理方法，如禁止對(duì)該網(wǎng)站的訪問、攔截有關(guān)網(wǎng)絡(luò)連接等。第五節(jié)內(nèi)容安全66數(shù)據(jù)獲取數(shù)據(jù)獲取技術(shù)分為主動(dòng)式和被動(dòng)式兩種形式。主動(dòng)式數(shù)據(jù)獲取是指通過訪問有關(guān)網(wǎng)絡(luò)連接而獲得其數(shù)據(jù)內(nèi)容；網(wǎng)絡(luò)爬蟲是典型的主動(dòng)式數(shù)據(jù)獲取技術(shù)第五節(jié)內(nèi)容安全67網(wǎng)絡(luò)爬蟲是如何工作的？數(shù)據(jù)獲取被動(dòng)式數(shù)據(jù)獲取是指在網(wǎng)絡(luò)的特定位置設(shè)置探針（，獲取流經(jīng)該位置的所有數(shù)據(jù)。被動(dòng)式數(shù)據(jù)獲取主要解決兩個(gè)方面的問題，探針位置的選擇，對(duì)出入數(shù)據(jù)報(bào)文的采集。第五節(jié)內(nèi)容安全68網(wǎng)絡(luò)報(bào)文處理流程第五節(jié)內(nèi)容安全69數(shù)據(jù)調(diào)整數(shù)據(jù)調(diào)整主要指針對(duì)數(shù)據(jù)獲取模塊（主要是協(xié)議棧）提交的應(yīng)用層數(shù)據(jù)進(jìn)行篩選、組合、解碼以及文本還原等工作數(shù)據(jù)調(diào)整的輸出結(jié)果用于敏感特征搜索等。70第五節(jié)內(nèi)容安全敏感特征搜索敏感特征搜索實(shí)際上就是依據(jù)實(shí)現(xiàn)定義好的敏感特征策略，在待查內(nèi)容中識(shí)別所包含的敏感特征值，搜索的結(jié)果可以作為違規(guī)判定的依據(jù)。敏感特征值可以是文本字符串、圖像特征、音頻特征等，它們分別用于不同信息載體的內(nèi)容的敏感特征識(shí)別。基于文本內(nèi)容的識(shí)別已經(jīng)比較成熟并達(dá)到可實(shí)用化，而圖像、音頻特征的識(shí)別還存在著一些問題，難以實(shí)現(xiàn)全面有效的程序自動(dòng)監(jiān)管，更多時(shí)候需要人的介入。71第五節(jié)內(nèi)容安全違規(guī)判定及處理違規(guī)判定程序的設(shè)計(jì)思想將敏感特征搜索結(jié)果與違規(guī)定義相比較，判斷該網(wǎng)絡(luò)信息內(nèi)容是否違規(guī)。違規(guī)定義是說明違規(guī)內(nèi)容應(yīng)具有的特征，即敏感特征。每個(gè)敏感特征由敏感特征值和特征值敏感度（某特征值對(duì)違規(guī)的影響程度，也可以看作權(quán)重）兩個(gè)屬性來描述。敏感特征的搜索結(jié)果具有敏感特征值的廣度（包含相異敏感特征值的數(shù)量）和敏感特征值的深度（包含同一個(gè)特征值的數(shù)量）兩個(gè)指標(biāo)。違規(guī)處理目前主要采用的方法與入侵檢測(cè)相似，報(bào)警就是通知有關(guān)人員違規(guī)事件的具體情況，封鎖IP一般是指利用防火墻等網(wǎng)絡(luò)設(shè)備阻斷對(duì)有關(guān)IP地址的訪問，攔截連接則是針對(duì)某個(gè)特定訪問連接實(shí)施阻斷，向通訊雙方發(fā)送RST數(shù)據(jù)包阻斷TCP連接就是常用的攔截方法。72第五節(jié)內(nèi)容安全垃圾郵件處理目前主要采用的技術(shù)有過濾、驗(yàn)證查詢和挑戰(zhàn)。過濾（Filter）技術(shù)是相對(duì)來說最簡單、又最直接的垃圾郵件處理技術(shù)，主要用于郵件接收系統(tǒng)來辨別和處理垃圾郵件。驗(yàn)證查詢技術(shù)主要指通過密碼驗(yàn)證及查詢等方法來判斷郵件是否為垃圾郵件包括反向查詢、雅虎的DKIM（DomainKeysIdentifiedMail）技術(shù)、Microsoft的SenderID技術(shù)、IBM的FairUCE（FairuseofUnsolicitedCommercialEmail）技術(shù)以及郵件指紋技術(shù)等?；谔魬?zhàn)的反垃圾技術(shù)是指通過延緩郵件處理過程，來阻礙發(fā)送大量郵件。73第五節(jié)內(nèi)容安全基于過濾技術(shù)的反垃圾郵件系統(tǒng)74第五節(jié)內(nèi)容安全李全龍第六節(jié)物理安全物理安全物理安全的目的是保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)服務(wù)器、交換機(jī)、路由器、打印機(jī)等硬件實(shí)體和通信設(shè)施免受自然災(zāi)害、人為失誤、犯罪行為的破壞，確保系統(tǒng)有一個(gè)良好的電磁兼容的工作環(huán)境并能隔離有害的攻擊。物理安全：環(huán)境安全、電磁保護(hù)、物理隔離及安全管理。解決兩個(gè)方面問題:對(duì)信息系統(tǒng)實(shí)體的保護(hù)；對(duì)可能造成信息泄漏的物理問題進(jìn)行防范。物理安全技術(shù)包括:防盜、防火、防靜電、防雷擊、防信息泄漏、物理隔離；基于物理環(huán)境的容災(zāi)技術(shù)和物理隔離技術(shù)也屬于物理安全技術(shù)范疇。物理安全是信息安全的必要前提如果不能保證信息系統(tǒng)的物理安全，其他一切安全內(nèi)容均沒有意義。第六節(jié)物理安全76環(huán)境安全機(jī)房建筑和結(jié)構(gòu)從安全的角度，應(yīng)考慮以下幾點(diǎn)：(1)電梯和樓梯不能直接進(jìn)入機(jī)房。(2)建筑物周圍應(yīng)有足夠亮度的照明設(shè)施和防止非法進(jìn)入的設(shè)施。(3)