《计算机操作系统》课件第9章.ppt

1、9第九章系 统 安 全 性 第九章系 统 安 全 性 9.1系统安全的基本概念系统安全的基本概念9.2数据加密技术数据加密技术9.3认证技术认证技术9.4访问控制技术访问控制技术 9.5 计算机病毒计算机病毒 9第九章系 统 安 全 性 9.1系统安全的基本概念系统安全的基本概念 9.1.19.1.1系统安全性的内容和性质系统安全性的内容和性质1 1系统安全性的内容系统安全性的内容(1)数据机密性(Data Secrecy)：指将机密的数据置于保密状态，仅允许被授权的用户访问计算机系统中的信息(访问包括显示和打印文件中的信息)。9第九章系 统 安 全 性(2)数据完整性(Data Integr

2、ity)：指未经授权的用户不能擅自修改系统中所保存的信息，且能保持系统中数据的一致性。这里的修改包括建立和删除文件以及在文件中增加新内容和改变原有内容等。(3)系统可用性(System Availability)：指授权用户的正常请求能及时、正确、安全地得到服务或响应。或者说，计算机中的资源可供授权用户随时进行访问，系统不会拒绝服务。但是系统拒绝服务的情况在互联网中却很容易出现，因为连续不断地向某个服务器发送请求就可能会使该服务器瘫痪，以致系统无法提供服务，表现为拒绝服务。9第九章系 统 安 全 性 2 2系统安全的性质系统安全的性质系统安全问题涉及面较广，它不仅与系统中所用的硬、软件设备的安

3、全性能有关，而且也与构造系统时所采用的方法有关，这就导致了系统安全问题的性质更为复杂，主要表现为如下几点：(1)多面性。在较大规模的系统中，通常都存在着多个风险点，在这些风险点处又都包括物理安全、逻辑安全以及安全管理三方面的内容，其中任一方面出现问题，都可能引起安全事故。9第九章系 统 安 全 性(2)动态性。由于信息技术的不断发展和攻击者的攻击手段层出不穷，使得系统的安全问题呈现出动态性。例如，在今天还是十分紧要的信息，到明天可能就失去了作用，而同时可能又产生了新的紧要信息；又如，今天还是多数攻击者所采用的攻击手段，到明天却又较少使用，而又出现了另一种新的攻击手段。这种系统安全的动态性，导致

4、人们无法找到一种能将安全问题一劳永逸地解决的方案。9第九章系 统 安 全 性(3)层次性。系统安全是一个涉及诸多方面、且相当复杂的问题，因此需要采用系统工程的方法来解决。如同大型软件工程一样，解决系统安全问题通常也采用层次化方法，将系统安全的功能按层次化方式加以组织，即首先将系统安全问题划分为若干个安全主题(功能)作为最高层；然后再将其中一个安全主题划分成若干个子功能作为次高层；此后，再进一步将一个子功能分为若干孙功能；其最低一层是一组最小可选择的安全功能，它不可再分解。这样，利用多个层次的安全功能来覆盖系统安全的各个方面。9第九章系 统 安 全 性(4)适度性。当前几乎所有的企、事业单位在实

5、现系统安全工程时，都遵循了适度安全的准则，即根据实际需要，提供适度的安全目标加以实现。这是因为：一方面，由于系统安全的多面性和动态性，使得对安全问题的全面覆盖难于实现；另一方面，即使是存在着这样的可能，其所需的资源和成本之高，也是难以令人接受的。这就是系统安全的适度性。9第九章系 统 安 全 性 9.1.29.1.2系统安全威胁的类型系统安全威胁的类型(1)假冒(Masquerading)用户身份。这种类型也称为身份攻击，指用户身份被非法窃取，亦即，攻击者伪装成一个合法用户，利用安全体制所允许的操作去破坏系统安全。在网络环境下，假冒者又可分为发方假冒和收方假冒两种。为防止假冒，用户在进行通信或

6、交易之前，必须对发方和收方的身份进行认证。9第九章系 统 安 全 性(2)数据截取(Data Interception)。未经核准的人可能通过非正当途径截取网络中的文件和数据，由此造成网络信息的泄漏。截取方式可以是直接从电话线上窃听，也可以是利用计算机和相应的软件来截取信息。(3)拒绝服务(Denial of Server)。这是指未经主管部门的许可，而拒绝接受一些用户对网络中的资源进行访问。比如，攻击者可能通过删除在某一网络连接上传送的所有数据包的方式，使网络表现为拒绝接收某用户的数据；还可能是攻击者通过修改合法用户的名字，使之成为非法用户，从而使网络拒绝向该用户提供服务。9第九章系 统 安

7、 全 性(4)修改(Modification)信息。未经核准的用户不仅可能从系统中截获信息，而且还可以修改数据包中的信息，比如，可以修改数据包中的协议控制信息，使该数据包被传送到非指定的目标；也可修改数据包中的数据部分，以改变传送到目标的消息内容；还可能修改协议控制信息中数据包的序号，以搅乱消息内容。(5)伪造(Fabrication)信息。未经核准的人可将一些经过精心编造的虚假信息送入计算机，或者在某些文件中增加一些虚假的记录，这同样会威胁到系统中数据的完整性。9第九章系 统 安 全 性(6)否认(Repudiation)操作。这种类型又称为抵赖，是指某人不承认自己曾经做过的事情。如某人在向

8、某目标发出一条消息后却又矢口否认；类似地，也指某人在收到某条消息或某笔汇款后不予承认的做法。(7)中断(Interruption)传输。这是指系统中因某资源被破坏而造成信息传输的中断。这将威胁到系统的可用性。中断可能由硬件故障引起，如磁盘故障、电源掉电和通信线路断开等；也可能由软件故障引起。9第九章系 统 安 全 性(8)通信量分析(Traffic Analysis)。攻击者通过窃听手段窃取在线路中传输的信息，再考察数据包中的协议控制信息，可以了解到通信者的身份、地址；通过研究数据包的长度和通信频度，攻击者可以了解到所交换数据的性质。9第九章系 统 安 全 性 9.1.39.1.3信息技术安全

9、评价公共准则信息技术安全评价公共准则1 1CCCC的由来的由来对一个安全产品(系统)进行评估，是件十分复杂的事，它对公正性和一致性要求很严。因此，需要有一个能被广泛接受的评估标准。为此，美国国防部在20世纪80年代中期制定了一组计算机系统安全需求标准，共包括20多个文件，每个文件都使用了彼此不同颜色的封面，统称为“彩虹系列”。其中最核心的是具有橙色封皮的“可信任计算机系统评价标准(TCSEC)”，简称为“橙皮书”。9第九章系 统 安 全 性 该标准中将计算机系统的安全程度划分为8个等级，有D1、C1、C2、B1、B2、B3、A1和A2。在橙皮书中，对每个评价级别的资源访问控制功能和访问的不可抵

10、赖性、信任度及产品制造商应提供的文档作了一系列的规定，其中以D1级为安全度最低级，称为安全保护欠缺级。常见的无密码保护的个人计算机系统便属于D1级。C1级称为自由安全保护级，通常具有密码保护的多用户工作站便属于C1级。C2级称为受控存取控制级，当前广泛使用的软件，如UNIX操作系统、ORACLE数据库系统等，都能达到C2级。从B1级开始，要求具有强制存取控制和形式化模型技术的应用。B3、A1级进一步要求对系统中的内核进行形式化的最高级描述和验证。一个网络所能达到的最高安全等级，不超过网络上其安全性能最低的设备(系统)的安全等级。9第九章系 统 安 全 性 2 2CCCC的组成的组成CC由两部分

11、组成，一部分是信息技术产品的安全功能需求定义，这是面向用户的，用户可以按照安全功能需求来定义“产品的保护框架(PP)”，CC要求对PP进行评价以检查它是否能满足对安全的要求；CC的另一部分是安全保证需求定义，这是面向厂商的，厂商应根据PP文件制定产品的“安全目标文件”(ST)，CC同样要求对ST进行评价，然后根据产品规格和ST去开发产品。9第九章系 统 安 全 性 CC的安全功能需求部分包括一系列的安全功能定义，它们是按层次式结构组织起来的，其最高层为类(Class)。CC将整个产品(系统)的安全问题分为11类，每一类侧重于一个安全主题。中间层为簇(Family)，在一类中的若干个簇都基于相同

12、的安全目标，但每个簇各侧重于不同的方面。最低层为组件(Component)，这是最小可选择的安全功能需求。安全保证需求部分同样是按层次式结构组织起来的。必须指出的是，保障计算机和系统的安全性将涉及到许多方面，其中有工程问题、经济问题、技术问题、管理问题，甚至涉及到国家的立法问题。但在此，我们仅限于介绍用来保障计算机和系统安全的基本技术，包括认证技术、访问控制技术、密码技术、数字签名技术、防火墙技术等等。9第九章系 统 安 全 性 9.2数据加密技术数据加密技术 9.2.19.2.1数据加密的基本概念数据加密的基本概念1 1数据加密技术的发展数据加密技术的发展密码学是一门既古老又年轻的学科。说它

13、古老，是因为早在几千年前，人类就已经有了通信保密的思想，并先后出现了易位法和置换法等加密方法。到了1949年，信息论的创始人香农(C.E.Shannon)论证了由传统的加密方法所获得的密文几乎都是可攻破的，这使得密码学的研究面临着严重的危机。9第九章系 统 安 全 性 2 2数据加密模型数据加密模型一个数据加密模型如图9-1 所示。它由下述四部分组成。(1)明文(plain text)。准备加密的文本，称为明文P。(2)密文(cipher text)。加密后的文本，称为密文Y。(3)加密(解密)算法E(D)。用于实现从明文(密文)到密文(明文)转换的公式、规则或程序。(4)密钥K。密钥是加密和

14、解密算法中的关键参数。9第九章系 统 安 全 性 图9-1数据加密模型 加密算法EKe解密算法DKd干扰密 文干扰明文P明文P加密钥匙Ke解密钥匙KdYY9第九章系 统 安 全 性 加密过程可描述为：在发送端利用加密算法EKe和加密密钥Ke对明文P进行加密，得到密文Y=EKe(P)。密文Y被传送到接收端后应进行解密。解密过程可描述为：接收端利用解密算法DKd和解密密钥Kd对密文Y进行解密，将密文恢复为明文P=DKd(Y)。在密码学中，把设计密码的技术称为密码编码，把破译密码的技术称为密码分析。密码编码和密码分析合起来称为密码学。在加密系统中，算法是相对稳定的。为了加密数据的安全性，应经常改变密

15、钥，例如，在每加密一个新信息时改变密钥，或每天、甚至每个小时改变一次密钥。9第九章系 统 安 全 性 3 3加密算法的类型加密算法的类型1)按其对称性分类(1)对称加密算法。在这种方式中，在加密算法和解密算法之间存在着一定的相依关系，即加密和解密算法往往使用相同的密钥；或者在知道了加密密钥Ke后，就很容易推导出解密密钥Kd。该算法中的安全性在于双方能否妥善地保护密钥，因而把这种算法称为保密密钥算法。该算法的优点是加密速度快，但密钥的分配与管理复杂。9第九章系 统 安 全 性(2)非对称加密算法。这种方式的加密密钥Ke和解密密钥Kd不同，而且难以从Ke推导出Kd来。可以将其中的一个密钥公开而成为

16、公开密钥，因而把该算法称为公开密钥算法。用公开密钥加密后，能用另一把专用密钥解密；反之亦然。该算法的优点是密钥管理简单，但加密算法复杂。9第九章系 统 安 全 性 2)按所变换明文的单位分类按所变换明文的单位分类(1)序列加密算法。该算法是把明文P看做是连续的比特流或字符流P1，P2，P3，在一个密钥序列K=K1，K2，K3，的控制下，逐个比特(或字符)地把明文转换成密文。具体可表达成：EK(P)=EK1(P1)，EK2(P2)，EK3(P3)，这种算法可用于对明文进行实时加密。9第九章系 统 安 全 性(2)分组加密算法。该算法是将明文P划分成多个固定长度的比特分组，然后，在加密密钥的控制下

17、，每次变换一个明文分组。最著名的DES算法便是以64位为一个分组进行加密的。9第九章系 统 安 全 性 4 4基本加密方法基本加密方法1)易位法易位法是指按照一定的规则，重新安排明文中的比特或字符的顺序来形成密文，而字符本身保持不变。按易位单位的不同又可分成比特易位和字符易位两种易位方式。前者的实现方法简单易行，并可用硬件实现，主要用于数字通信中；而后者即字符易位法则是利用密钥对明文进行易位后形成密文。字符易位的具体方法是：假定有一密钥MEGABUCK，其长度为8，则其明文是以8个字符为一组写在密钥的下面，如图9-2 所示。按密钥中字母在英文字母表中的顺序来确定明文排列后的列号。如密钥中的A所

18、对应的列号为1，B为2，C为3，E为4等。然后再按照密钥所指示的列号，先读出第1列中的字符，读完第1列之后，再读出第2列中的字符。这样，即完成了将明文Please transfer 转换为密文AFLLSKSOSELAWAIA 的加密过程。9第九章系 统 安 全 性 图9-2按字符易位加密算法 1afllskso5esilyntw4lnmomant7paedobuoGEMACUBK3toossctc8eriricxb2selawaia6rnntsowdESIL YNTWRNNTSOWDFAEDOBNO TOOSSCTCLNMOMANTAFLLSKSOSELAWAIA 密 文two two Swi

19、ss Bank account sixmillion dollars to myPlease transfer one 原 文9第九章系 统 安 全 性 2)置换法置换法是按照一定的规则，用一个字符去置换(替代)另一个字符来形成密文。最早由朱叶斯凯撒(Julius Caeser)提出的算法非常简单，它是将字母a，b，c，x，y，z循环右移三位后，形成d，e，f，a，b，c字符序列，再利用移位后的序列中的字母去分别置换未移位序列中对应位置的字母，即利用d置换a，用e置换b等。凯撒算法的推广是移动K位。单纯移动K位的置换算法很容易被破译，比较好的置换算法是进行映像。例如，将26个英文字母映像到另外

20、26个特定字母中，见图9-3所示。利用置换法可对attack进行加密，使其变为QZZQEA。9第九章系 统 安 全 性 图9-326个字母的映像 abcdefghijklm nopqrstuvwxyzQ W ERTY UIO PA SD FG HJK LZX C V B N M9第九章系 统 安 全 性 9.2.29.2.2对称加密算法与非对称加密算法对称加密算法与非对称加密算法1 1对称加密算法对称加密算法现代加密技术所用的基本手段，仍然是易位法和置换法，但它们与古典方法的重点不同。在古典法中通常采用的算法较简单，而密钥则较长；现代加密技术则采用十分复杂的算法，将易位法和置换法交替使用多次而

21、形成乘积密码。最有代表性的对称加密算法是数据加密标准DES(Data Eneryption Standard)。该算法原来是IBM公司于19711972年研制成功的，它旨在保护本公司的机密产品，后被美国国家标准局选为数据加密标准，并于1977年颁布使用。ISO现在已将DES作为数据加密标准。随着VLSI的发展，现在可利用VLSI芯片来实现DES算法，并用它做成数据加密处理器DEP。9第九章系 统 安 全 性 在DES中所使用的密钥长度为64位，它由两部分组成，一部分是实际密钥，占56位；另一部分是8位奇偶校验码。DES属于分组加密算法，它将明文按64位一组分成若干个明文组，每次利用56位密钥对

22、64位的二进制明文数据进行加密，产生64位密文数据。DES算法的总框图如图9-4(a)所示。整个加密处理过程可分为四个阶段(共19步)，见图9-4(b)所示。9第九章系 统 安 全 性 图9-4DES加密标准 初始易位处理迭代处理i左右互换还原易位56位钥匙Kii11664位密文Li1Ri1LiRif(a)DES算法总框图(b)迭代过程示意图64位明文9第九章系 统 安 全 性 第一阶段：先将明文分出64位的明文段，然后对64位明文段做初始易位处理，得到X0，将其左移32位，记为L0，右移32位，记为R0。第二阶段：对初始易位结果X0进行16次迭代处理(相应于第217步)，每一次使用56位加密

23、密钥Ki。第217步的迭代过程如图9-4(b)所示。由图可以看出，输出的左32位Li是输入右32位Ri-1的拷贝；而输出的右32位Ri，则是在密钥Ki的控制下，对输入右32位Ri-1做函数f的变换后的结果，再与输入左32位Li-1进行异或运算而形成的，即 Li=Ri-1Ri=f(Ri-1，Ki)Li-1 9第九章系 统 安 全 性 第三阶段：把经过16次迭代处理的结果(64位)的左32位与右32位互易位置。第四阶段：进行初始易位的逆变换。9第九章系 统 安 全 性 2 2非对称加密算法非对称加密算法DES加密算法属于对称加密算法。加密和解密所使用的密钥是相同的。DES的保密性主要取决于对密钥的

24、保密程度。加密者必须用非常安全的方法(如通过个人信使)将密钥送给接收者(解密者)。如果通过计算机网络传送密钥，则必须先对密钥本身予以加密后再传送，通常把这种算法称为对称保密密钥算法。9第九章系 统 安 全 性 1976年美国的Diffie和Hallman提出了一个新的非对称密码体制。其最主要的特点是：在对数据进行加密和解密时，使用不同的密钥。每个用户都保存着一对密钥，每个人的公开密钥都对外公开。假如某用户要与另一用户通信，他可用公开密钥对数据进行加密，而收信者则用自己的私用密钥进行解密。这样就可以保证信息不会外泄。9第九章系 统 安 全 性 公开密钥算法的特点如下：(1)设加密算法为E、加密密

25、钥为Ke，可利用它们对明文P进行加密，得到EKe(P)密文。设解密算法为D，解密密钥为Kd，可利用它们将密文恢复为明文，即 DKd(EKe(P)=P(2)要保证从Ke推出Kd是极为困难的，或者说，从Ke推出Kd实际上是不可能的。(3)在计算机上很容易产生成对的Ke和Kd。9第九章系 统 安 全 性(4)加密和解密运算可以对调，即利用DKd对明文进行加密形成密文，然后用EKe对密文进行解密，即 EKe(DKd(P)=P 在此情况下，将解密密钥或加密密钥公开也无妨。因而这种加密方法称为公开密钥法(Public Key)。在公开密钥体制中，最著名的是RSA体制，它已被ISO推荐为公开密钥数据加密标准

26、。9第九章系 统 安 全 性 9.2.39.2.3数字签名和数字证明书数字签名和数字证明书1 1数字签名数字签名在金融和商业等系统中，许多业务都要求在单据上加以签名或加盖印章，以证实其真实性，备日后查验。在利用计算机网络传送报文时，可将公开密钥法用于电子(数字)签名，来代替传统的签名。而为使数字签名能代替传统的签名，必须满足下述三个条件：(1)接收者能够核实发送者对报文的签名。(2)发送者事后不能抵赖其对报文的签名。(3)接收者无法伪造对报文的签名。9第九章系 统 安 全 性 1)简单数字签名简单数字签名在这种数字签名方式中，发送者A可使用私用密钥Kda对明文P进行加密，形成DKda(P)后传

27、送给接收者B。B可利用A的公开密钥Kea对DKda(P)进行解密，得到EKea(DKda(P)=P，如图9-5(a)所示。9第九章系 统 安 全 性 图9-5数字签名示意图 DPDKda(P)YEEKea(DKda(P)PKdaKea(a)DPDKda(P)EEKeb(DKda(P)KdaKeb(b)DKdbDKda(P)EKeaP9第九章系 统 安 全 性 我们按照对数字签名的三点基本要求进行分析后可以得知：(1)接收者能利用A的公开密钥Kea对DKda(P)进行解密，这便证实了发送者对报文的签名。(2)由于只有发送者A才能发送出DKda(P)密文，故不容A进行抵赖。(3)由于B没有A所拥有

28、的私用密钥，故B无法伪造对报文的签名。由此可见，图9-5(a)所示的简单方法可以实现对传送的数据进行签名，但并不能达到保密的目的，因为任何人都能接收DKda(P)，且可用A的公开密钥Kea对DKda(P)进行解密。为使A所传送的数据只能为B所接收，必须采用保密数字签名。9第九章系 统 安 全 性 2)保密数字签名为了实现在发送者A和接收者B之间的保密数字签名，要求A和B都具有密钥，再按照图9-5(b)所示的方法进行加密和解密。(1)发送者A可用自己的私用密钥Kda对明文P加密，得到密文DKda(P)。(2)A再用B的公开密钥Keb对DKda(P)进行加密，得到EKeb(DKda(P)后送B。(

29、3)B收到后，先用私用密钥Kdb进行解密，即DKdb(EKeb(DKda(P)=DKda(P)。(4)B再用A的公开密钥Kea对DKda(P)进行解密，得到EKea(DKda(P)=P。9第九章系 统 安 全 性 2 2数字证明书数字证明书(Certificate)(Certificate)虽然可以利用公开密钥方法进行数字签名，但事实上又无法证明公开密钥的持有者是合法的持有者。为此，必须有一个大家都信得过的认证机构CA(Certification Authority)，由该机构为公开密钥发放一份公开密钥证明书，又把该公开密钥证明书称为数字证明书，用于证明通信请求者的身份。在网络上进行通信时，数

30、字证明书的作用如同司机的驾驶执照、出国人员的护照、学生的学生证。在ITU制定的X.509标准中，规定了数字证明书的内容应包括：用户名称、发证机构名称、公开密钥、公开密钥的有效日期、证明书的编号以及发证者的签名。下面通过一个具体的例子来说明数字证明书的申请、发放和使用过程。9第九章系 统 安 全 性(1)用户A在使用数字证明书之前，应先向认证机构CA申请数字证明书，此时A应提供身份证明和希望使用的公开密钥A。(2)CA在收到用户A发来的申请报告后，若决定接受其申请，便发给A一份数字证明书，在证明书中包括公开密钥A和CA发证者的签名等信息，并对所有这些信息利用CA的私用密钥进行加密(即对CA进行数

31、字签名)。(3)用户A在向用户B发送报文信息时，由A用私用密钥对报文加密(数字签名)，并连同已加密的数字证明书一起发送给B。9第九章系 统 安 全 性(4)为了能对所收到的数字证明书进行解密，用户B须向CA机构申请获得CA的公开密钥B。CA收到用户B的申请后，可决定将公开密钥B发送给用户B。(5)用户B利用CA的公开密钥B对数字证明书加以解密，以确认该数字证明书确系原件，并从数字证明书中获得公开密钥A，并且也确认该公开密钥A确系用户A的密钥。(6)用户B再利用公开密钥A对用户A发来的加密报文进行解密，得到用户A发来的报文的真实明文。9第九章系 统 安 全 性 9.2.49.2.4网络加密技术网

32、络加密技术1 1链路加密链路加密(Link Encryption)(Link Encryption)链路加密，是对在网络相邻结点之间通信线路上传输的数据进行加密。链路加密常采用序列加密算法，它能有效地防止由搭线窃听所造成的威胁。两个数据加密设备分别置于通信线路的两端，它们使用相同的数据加密密钥。9第九章系 统 安 全 性 如果在网络中只采用了链路加密，而未使用端端加密，那么，报文从最高层(应用层)到数据链路层之间，都是以明文的形式出现的，只是从数据链路层进入物理层时，才对报文进行了加密，并把加密后的数据通过传输线路传送到对方结点上。为了防止攻击者对网络中的信息流进行分析，在链路加密方式中，不仅

33、对正文做了加密，而且对所有各层的控制信息也进行了加密。9第九章系 统 安 全 性 接收结点在收到加密报文后，为了能对报文进行转发，必须知道报文的目标地址。为此，接收结点上的数据加密设备应对所接收到的加密报文进行解密，从中找出目标地址并进行转发。当该报文从数据链路层送入物理层(转发)时，须再次对报文进行加密。由上所述得知，在链路加密方式中，在相邻结点间的物理信道上传输的报文是密文，而在所有中间结点中的报文则是明文，这给攻击者造成了可乘之机，使其可从中间结点上对传输中的信息进行攻击。这就要求能对所有各中间结点进行有效的保护。9第九章系 统 安 全 性 图9-6链路加密方式 EEDEDP结点1Ke1

34、EKe1(P)Kd2Ke2结点2EKe2(P)结点3EKe3(P)Kd3Ke3P9第九章系 统 安 全 性 2 2端端端加密端加密(End to End Encryption)(End to End Encryption)在单纯采用链路加密方式时，所传送的数据在中间结点中将被恢复为明文，因此，链路加密方式尚不能保证通信的安全性；而端端加密方式是在源主机或前端机FEP中的高层(从传输层到应用层)对所传输的数据进行加密。在整个网络的传输过程中，不论是在物理信道上，还是在中间结点中，报文的正文始终是密文，直至信息到达目标主机后才被译成明文，因而这样可以保证在中间结点不会出现明文。图9-7 示出了端端

35、加密的情况。9第九章系 统 安 全 性 图9-7端端加密方式 ACCFEPKDCFEP主机AFFEPFEP主机B123459第九章系 统 安 全 性 9.3认认 证证 技技 术术 9.3.19.3.1基于口令的身份认证基于口令的身份认证1 1口令口令当一个用户要登录某台计算机时，操作系统通常都要认证用户的身份。而利用口令来确认用户的身份是当前最常用的认证技术。9第九章系 统 安 全 性 通常，每当用户要上机时，系统中的登录程序都首先要求用户输入用户名，登录程序利用用户输入的名字去查找一张用户注册表或口令文件。在该表中，每个已注册用户都有一个表目，其中记录有用户名和口令等。登录程序从中找到匹配的

36、用户名后，再要求用户输入口令，如果用户输入的口令也与注册表中用户所设置的口令一致，系统便认为该用户是合法用户，于是允许该用户进入系统；否则将拒绝该用户登录。9第九章系 统 安 全 性 口令是由字母或数字、或字母和数字混合组成的，它可由系统产生，也可由用户自己选定。系统所产生的口令不便于用户记忆，而用户自己规定的口令则通常是很容易记忆的字母、数字，例如生日、住址、电话号码，以及某人或宠物的名字等。这种口令虽便于记忆，但也很容易被攻击者猜中。9第九章系 统 安 全 性 2 2对口令机制的基本要求对口令机制的基本要求1)口令长度适中通常的口令是由一串字母和数字组成。如果口令太短，则很容易被攻击者猜中

37、。例如，一个由四位十进制数所组成的口令，其搜索空间仅为104，在利用一个专门的程序来破解时，平均只需5000次即可猜中口令。假如每猜一次口令需花费0.1 ms的时间，则平均每猜中一个口令仅需0.5 s。而如果采用较长的口令，假如口令由ASCII码组成，则可以显著地增加猜中一个口令的时间。例如，口令由7位ASCII码组成，其搜索空间变为957(95是可打印的ASCII码)，大约是71013，此时要猜中口令平均需要几十年。因此建议口令长度不少于7个字符，而且在口令中应包含大写和小写字母及数字，最好还能引入特殊符号。9第九章系 统 安 全 性 2)自动断开连接为了给攻击者猜中口令增加难度，在口令机制

38、中还应引入自动断开连接的功能，即只允许用户输入有限次数的不正确口令，通常规定35次。如果用户输入不正确口令的次数超过了规定的次数，系统便自动断开该用户所在终端的连接。当然，此时用户还可能重新拨号请求登录，但若在重新输入指定次数的不正确口令后仍未猜中，系统会再次断开连接。这种自动断开连接的功能，无疑又会给攻击者增加猜中口令的难度，从而会增加猜中口令所需的时间。9第九章系 统 安 全 性 3)隐蔽回送显示在用户输入口令时，登录程序不应将该口令回送到屏幕上显示，以防止被就近的人发现。在Windows 2000系统中，将每一个输入字符显示为星号；在UNIX系统中，在输入口令时没有任何显示。从保密角度看

39、，攻击者可从Windows 2000的回送显示了解到口令的长度，而在UNIX中则什么也看不出。还有另一种情况值得注意，在有的系统中，只要看到非法登录名就禁止登录，这样攻击者就知道登录名是错误的。而有的系统，即使看到非法登录名后也不作任何表示，仍要求其输入口令，等输完口令才显示禁止登录信息。这样攻击者只是知道登录名和口令的组合是错误的。9第九章系 统 安 全 性 4)记录和报告该功能用于记录所有用户登录进入系统和退出系统的时间；也用来记录和报告攻击者非法猜测口令的企图，以及所发生的与安全性有关的其它不轨行为，这样便能及时发现有人在对系统的安全性进行攻击。9第九章系 统 安 全 性 3 3一次性口

40、令一次性口令(One Time Password)(One Time Password)为了把由于口令泄露所造成的损失减到最小，用户应当经常改变口令。例如，一个月改变一次，或者一个星期改变一次。一种极端的情况是采用一次性口令机制，即口令被使用一次后，就换另一个口令。在采用该机制时，用户必须提供记录有一系列口令的一张表，并将该表保存在系统中。系统为该表设置一指针用于指示下次用户登录时所应使用的口令。这样，用户在每次登录时，登录程序便将用户输入的口令与该指针所指示的口令相比较，若相同，便允许用户进入系统，并将指针指向表中的下一个口令。在采用一次性口令的机制时，即使攻击者获得了本次用户上机时所使用的

41、口令，他也无法进入系统。必须注意，用户所使用的口令表要妥善保存好。9第九章系 统 安 全 性 4 4口令文件口令文件通常在口令机制中，都配置有一份口令文件，用于保存合法用户的口令和与口令相联系的特权。该文件的安全性至关重要，一旦攻击者成功地访问了该文件，攻击者便可随心所欲地访问他感兴趣的所有资源，这对整个计算机系统的资源和网络将无安全性可言。显然，如何保证口令文件的安全性，已成为系统安全性的头等重要问题。9第九章系 统 安 全 性 保证口令文件安全性的最有效的方法是，利用加密技术，其中一个行之有效的方法是选择一个函数来对口令进行加密，该函数f(x)具有这样的特性：在给定了x值后，很容易算出f(

42、x)；然而，如果给定了f(x)的值，却不能算出x的值。利用f(x)函数去编码(即加密)所有的口令，再将加密后的口令存入口令文件中。当某用户输入一个口令时，系统利用函数f(x)对该口令进行编码，然后将编码(加密)后的口令与存储在口令文件中的已编码的口令进行比较，如果两者相匹配，便认为是合法用户。顺便说明一下，即使攻击者能获取口令文件中的已编码口令，他也无法对它们进行译码，因而不会影响到系统的安全性。图9-8示出了一种对加密口令进行验证的方法。9第九章系 统 安 全 性 图9-8对加密口令的认证方法 超过规定次数？口令合法？进入系统拒绝进入否是否口令文件进行口令比较f(x)f(x)加密函数存入口令

43、用户输入口令是9第九章系 统 安 全 性 尽管对口令进行加密是一个很好的方法，但它也不是绝对的安全可靠。其主要威胁来自于两个方面：(1)当攻击者已掌握了口令的解密密钥时，就可用它来破译口令。(2)利用加密程序来破译口令，如果运行加密程序的计算机速度足够快，则通常只要几个小时便可破译口令。因此，人们还是应该妥善保管好已加密的口令文件，来防止攻击者轻意地获取该文件。9第九章系 统 安 全 性 5 5挑战挑战响应验证响应验证在该方法中，由用户自己选择一个算法，算法可以很简单，也可以比较复杂，如X2运算。该算法也需告知服务器。每当用户登录时，服务器就给用户发来一个随机数，如12，用户收到后便对该数据进

44、行平方运算得到144，用户就用它作为口令。服务器将所收到的口令与自己计算(利用X2算法)的结果进行比较，如相同，则允许用户上机，否则，拒绝用户登录。由于该方法所使用的口令不是一个固定数据，而是基于服务器随机产生的数据，再经过计算得到的，因此攻击者难于猜测。如果再频繁地改变算法，就会令攻击者更加难于猜测。9第九章系 统 安 全 性 9.3.29.3.2基于物理标志的认证技术基于物理标志的认证技术1 1基于磁卡的认证技术基于磁卡的认证技术根据数据记录原理，可将当前使用的卡分为磁卡和IC卡两种。磁卡是基于磁性原理来记录数据的，目前世界各国使用的信用卡和银行现金卡等，都普遍采用磁卡。这是一块其大小和名

45、片大小相仿的塑料卡，在其上贴有含若干条磁道的磁条。一般在磁条上有三条磁道，每条磁道都可用来记录不同标准和不同数量的数据。磁道上可有两种记录密度，一种是每英寸含有15 bit信息的低密度磁道；另一种是每英寸含有210 bit信息的高密度磁道。如果在磁条上记录了用户名、用户密码、账号和金额，这就是金融卡或银行卡；而如果在磁条上记录的是有关用户的信息，则该卡便可作为识别用户身份的物理标志。9第九章系 统 安 全 性 在磁卡上所存储的信息，可利用磁卡读写器将之读出：只要将磁卡插入或划过磁卡读写器，便可将存储在磁卡中的数据读出，并传送到相应的计算机中。用户识别程序便利用读出的信息去查找一张用户信息表(该

46、表中包含有若干个表目，每个用户占有一个表目，表目中记录了有关该用户的信息)。若找到匹配的表目，便认为该用户是合法用户；否则便认为是非法用户。为了保证持卡者是该卡的主人，通常在基于磁卡认证技术的基础上，又增设了口令机制，每当进行用户身份认证时，都先要求用户输入口令。9第九章系 统 安 全 性 2 2基于基于ICIC卡的认证技术卡的认证技术IC卡即集成电路卡的英文缩写。在外观上IC卡与磁卡并无明显差异，但在IC卡中可装入CPU和存储器芯片，使该卡具有一定的智能，故又称为智能卡或灵巧卡。IC卡中的CPU用于对内部数据的访问和与外部数据进行交换，还可利用较复杂的加密算法，对数据进行处理，这使IC卡比磁

47、卡具有更强的防伪性和保密性，因而IC卡会逐步取代磁卡。根据在磁卡中所装入芯片的不同可把IC卡分为以下三种类型：9第九章系 统 安 全 性(1)存储器卡。在这种卡中只有一个E2PROM(可电擦、可编程只读存储器)芯片，而没有微处理器芯片。它的智能主要依赖于终端，就像IC电话卡的功能是依赖于电话机一样。由于此智能卡不具有安全功能，故只能作为储值卡，用来存储少量金额的现金与信息。常见的这类智能卡有电话卡、健康卡，其只读存储器的容量一般为420 KB。9第九章系 统 安 全 性(2)微处理器卡。它除具有E2PROM外，还增加了一个微处理器。只读存储器的容量一般是数千字节至数万字节；处理器的字长多为8位

48、。在这种智能卡中已具有一定的加密设施，增强了IC卡的安全性，因此有着更为广泛的用途，被广泛用作信用卡。用户可以在商场把信用卡插入读卡机后，授权进行一定数额的转账，信用卡将一段加密后的信息发送到商场，商场再将该信息转发到银行，从用户在该银行中的账户中扣除所需付出的金额。9第九章系 统 安 全 性(3)密码卡。在这种卡中又增加了加密运算协处理器和RAM。之所以把这种卡称为密码卡，是由于它能支持非对称加密体制RSA；所支持的密钥长度可长达1024位，因而极大地增强了IC卡的安全性。一种专门用于确保安全的智能卡，在卡中存储了一个很长的用户专门密钥和数字证明书，完全可以作为用户的数字身份证明。当前在In

49、ternet上所开展的电子交易中，已有不少密码卡使用了基于RSA的密码体制。9第九章系 统 安 全 性 9.3.39.3.3基于生物标志的认证技术基于生物标志的认证技术1 1常用于身份识别的生理标志常用于身份识别的生理标志被选用的生理标志应具有这样三个条件：(1)足够的可变性，系统可根据它来区别成千上万的不同用户；(2)被选用的生理标志应保持稳定，不会经常发生变化；(3)不易被伪装。9第九章系 统 安 全 性 1)指纹指纹有着“物证之首”的美誉。尽管目前全球已有近60亿人口，但绝对不可能找到两个完全相同的指纹，而且它的形状不会随时间而改变，因而利用指纹来进行身份认证是万无一失的。又因为它不会像

50、其它一些物理标志那样出现用户忘记携带或丢失等问题，而且使用起来也特别方便，因此，指纹验证很早就用于契约签证和侦查破案，既准确又可靠。人的手指的纹路可分为两大类，一类是环状，另一类是涡状，每一类又可进一步分为50200种不同的图样。以前是依靠专家进行指纹鉴别，随着计算机技术的发展，人们已成功地开发出指纹自动识别系统。利用指纹来进行身份识别是有广阔前景的一种识别技术，世界上已有愈来愈多的国家开展了对指纹识别技术的研究和应用。9第九章系 统 安 全 性 2)视网膜组织视网膜组织通常又简称为眼纹。它与指纹一样，世界上也绝对不可能找到两个人有完全相同的视网膜组织，因而利用视网膜组织来进行身份认证同样是非