【文章內(nèi)容簡(jiǎn)介】 息，而其他人都無法解密消息。 盡管對(duì)稱密碼有一些很好的特性，如運(yùn)行占用空間小、加 /解密速度能達(dá)到數(shù)十兆 /秒或更多，但對(duì)稱密碼在某些情況下也有明顯的缺陷，包括： （ 1）密鑰交換。 （ 2）規(guī)模復(fù)雜。 （ 3）未知實(shí)體間通信困難。 （ 4）對(duì)稱中心服務(wù)結(jié)構(gòu)。 ?三、公鑰密碼體制 公鑰密碼體制與以前的所有方法截然不同。一方面，公鑰密碼算法是基于數(shù)學(xué)函數(shù)而不是替代和置換；更重要的是，公鑰密碼體制是非對(duì)稱的，它用到兩個(gè)不同的密鑰，而對(duì)稱的常規(guī)加密則只使用一個(gè)密鑰。 公鑰密碼體制算法用一個(gè)密鑰進(jìn)行加密，而用另一個(gè)不同但是有關(guān)的密鑰進(jìn)行解密。這些算法有以下特性：僅僅知道密碼算法和加密密鑰，要確定解密密鑰在計(jì)算上是不可能的。 公鑰密碼體制有兩種基本的模型：一種是加密模型；另一種是認(rèn)證模型。如下圖所示： 加密模型：通過一個(gè)包含各通信方的公鑰的公開目錄，任何一方都可以使用這些密鑰向另一方發(fā)送機(jī)密信息。其具體辦法是，發(fā)送者獲得接收者的公開密鑰并且使用該公開密鑰加密消息，擁有該公開密鑰對(duì)應(yīng)的私鑰的接收者解讀加密的消息。 認(rèn)證模型：通過將公開的密鑰用作解密密鑰，公鑰密碼技術(shù)可用于數(shù)據(jù)起源的認(rèn)證，并且可確保信息的完整性。在這種情況下，任何人均可以從目錄中獲得解密密鑰，從而可解讀消息。只有擁有相應(yīng)的私鑰的人才能產(chǎn)生該消息。 ? 公鑰密碼的優(yōu)勢(shì)包括： （ 1）密鑰交換。非對(duì)稱密碼不再需要一個(gè)安全的信道來初始發(fā)布密鑰，也不需要一個(gè)密鑰管理中心來協(xié)調(diào)管理密鑰的使用。 （ 2）未知實(shí)體間通信。正是由于非對(duì)稱的性質(zhì)，當(dāng)需要的時(shí)候， Bob可以將他的公開密鑰告訴許多人，這樣許多人都可以給 Bob發(fā)送加密消息，而其他人都無法解密。同時(shí)， Bob也可以讓其他人驗(yàn)證自己而不必?fù)?dān)心驗(yàn)證者假冒自己，因?yàn)轵?yàn)證者只知道 Bob的公開密鑰，無法得到 Bob的私有密鑰。 （ 3）保密服務(wù)。公開密鑰密碼可以提供保密服務(wù)。利用自己的私有密鑰和對(duì)方的公開密鑰可以直接進(jìn)行保密通信，也可以進(jìn)行密鑰協(xié)商，然后用對(duì)稱密碼進(jìn)行通信，從而有效實(shí)現(xiàn)保密性。 （ 4）認(rèn)證服務(wù)。公開密鑰密碼可以提供認(rèn)證服務(wù)，這種認(rèn)證服務(wù)是任何其他技術(shù)都不能替代的。它使得驗(yàn)證者能夠正確地進(jìn)行驗(yàn)證而又不具備假冒的能力。這種方式的認(rèn)證正是大規(guī)模網(wǎng)絡(luò)上所需要的。 第二節(jié) 完整性校驗(yàn)與數(shù)字簽名 通信過程中除了對(duì)信息有加密性要求之外，還需要能夠了解信息在傳輸過程中是否被破壞了。 我們把對(duì)信息的這種防篡改、防刪除、防插入的特性稱為數(shù)據(jù)完整性保護(hù)。密碼技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)完整性保護(hù)，為了實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)通常需要在傳送的消息后面增加一些額外的數(shù)據(jù)，就像是消息的附件，這些數(shù)據(jù)能夠用來驗(yàn)證接收者收到的數(shù)據(jù)是否是發(fā)送者發(fā)出的數(shù)據(jù)。 完整性校驗(yàn)的原理如下圖所示： 對(duì)消息的數(shù)據(jù)完整性或數(shù)據(jù)起源認(rèn)證可按以下方法進(jìn)行： （ 1）消息的發(fā)送者對(duì)所要發(fā)送的消息產(chǎn)生一個(gè)附件，并將該附件和消息傳輸給接收者； （ 2）消息的接收者在將消息作為真實(shí)消息接收之前，檢查接收到的消息內(nèi)容和附件是否是一致的； （ 3）如果不對(duì)該附件進(jìn)行保護(hù)，攻擊者很容易進(jìn)行主動(dòng)攻擊，即先對(duì)數(shù)據(jù)內(nèi)容進(jìn)行修改，然后基于修改后的數(shù)據(jù)產(chǎn)生一個(gè)附件。為避免這種攻擊，需利用一個(gè)密鑰來產(chǎn)生一個(gè)附件。只有知道密鑰的人才能打開附件，從而驗(yàn)證其真實(shí)性。一旦攻擊者修改了消息，必將被檢測(cè)出來。 實(shí)現(xiàn)數(shù)據(jù)完整性必須滿足兩個(gè)要求：一是數(shù)據(jù)完整性應(yīng)該能被消息的接收者所驗(yàn)證；二是數(shù)據(jù)完整性應(yīng)該與消息相關(guān)，即消息不同，產(chǎn)生的附件數(shù)據(jù)也應(yīng)該不同。 ?一、 Hash函數(shù) Hash函數(shù)是將任意長(zhǎng)度的輸入串變化成固定長(zhǎng)度的輸出串的一種函數(shù)。 Hash函數(shù)有這樣一個(gè)性質(zhì)，如果改變了輸入消息中的任何內(nèi)容，甚至只有一位，輸出消息摘要將會(huì)發(fā)生不可預(yù)測(cè)的改變，也就是說輸入消息的每一位對(duì)輸出消息摘要都有影響。 Hash函數(shù)可用于保證信息的完整性，防止在傳輸過程中有人改變信息的內(nèi)容。最常用的 Hash函數(shù)有 MD MD MD5以及SHA等。 ?二、 HMAC函數(shù) Hash函數(shù)的一個(gè)重要應(yīng)用就是產(chǎn)生消息的附件。我們把利用帶密鑰的 Hash函數(shù)實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的方法稱為 HMAC。 ? 三、數(shù)字簽名 在通信過程中我們還常常需要知道信息來自誰？還是舉打仗的例子，將軍可以發(fā)號(hào)施令，但是如何確認(rèn)命令來自于將軍呢？可以采用一些特殊的東西來標(biāo)識(shí)，如令牌、印章、個(gè)人簽名等。對(duì)應(yīng)到數(shù)字世界，我們稱之為數(shù)字簽名。數(shù)字簽名是一段附加數(shù)據(jù)，它主要用來證實(shí)消息的真實(shí)來源。數(shù)字簽名與數(shù)據(jù)完整性校驗(yàn)很類似，不同點(diǎn)在于數(shù)據(jù)完整性校驗(yàn)強(qiáng)調(diào)數(shù)據(jù)本身是否被破壞，而數(shù)字簽名強(qiáng)調(diào)數(shù)據(jù)來源。 對(duì)稱密碼體制和公鑰密碼體制都可以用來實(shí)現(xiàn)數(shù)字簽名。 數(shù)字簽名可以用對(duì)稱密碼體制實(shí)現(xiàn)，但除了文件簽字者和文件接收者雙方，還需要第三方認(rèn)證但是這種方法太復(fù)雜，安全性難以保證。 公鑰密碼體制實(shí)現(xiàn)數(shù)字簽名的基本原理很簡(jiǎn)單，假設(shè) A要發(fā)送一個(gè)電子文件給 B， A、 B雙方只需經(jīng)過下面三個(gè)步驟即可，如下圖所示： （ 1） A用其私鑰加密文件，這便是簽名過程； （ 2） A將加密的文件和未加密的文件都發(fā)送到 B； （ 3） B用 A的公鑰解開 A傳送來的文件，將解密得到的文件與明文文件進(jìn)行比較，如果二者相同就可以認(rèn)為文件的確來自 A，否則認(rèn)為文件并非來自A，這就是簽名驗(yàn)證過程。 上述的簽名方法是符合可靠性原則的，即簽名是可以被確認(rèn)的，無法被偽造、無法重復(fù)使用，文件被簽名以后無法被篡改，簽名具有非否認(rèn)性。 我們注意到，上述的基本數(shù)字簽名產(chǎn)生方法是對(duì)原始的消息進(jìn)行加密，如果不是直接加密消息而是加密對(duì)消息 Hash運(yùn)算后的值，即消息摘要，就可以大大減小附件的大小。實(shí)際上，基于 Hash的數(shù)字簽名方法是目前最常用的，如下圖所示： 第三節(jié) PKI技術(shù) ?一、 PKI的概念 20世紀(jì) 80年代，美國學(xué)者提出了公開密鑰基礎(chǔ)設(shè)施（ PublicKeyInfrastructure，簡(jiǎn)稱 PKI）的概念。 （一） PKI的定義 PKI是利用公開密鑰技術(shù)所構(gòu)建的、解決網(wǎng)絡(luò)安全問題的、普遍適用的一種基礎(chǔ)設(shè)施。美國的部分學(xué)者也把提供全面安全服務(wù)的基礎(chǔ)設(shè)施，包括軟件、硬件、人和策略的集合稱作 PKI。但我們的理解更偏重于公開密鑰技術(shù)，公開密鑰技術(shù)即利用非對(duì)稱算法的技術(shù)。 ? （二） PKI的組成 簡(jiǎn)單地講， PKI就是一個(gè)為實(shí)體發(fā)證的系統(tǒng)，它的核心是將實(shí)體的身份信息和公鑰信息綁定在一起，并且利用認(rèn)證機(jī)構(gòu)（ Certification Authority，簡(jiǎn)稱 CA）的簽名來保證這種綁定關(guān)系不被破壞，從而形成一種數(shù)據(jù)結(jié)構(gòu)，即數(shù)字證書（簡(jiǎn)稱證書）。 可以說 PKI中最活躍的元素就是數(shù)字證書，所有安全的操作主要通過它來實(shí)現(xiàn)。 PKI的部件包括簽發(fā)這些證書的 CA、登記和批準(zhǔn)證書簽署的注冊(cè)機(jī)構(gòu)（ Registration Authority，簡(jiǎn)稱 RA）以及存儲(chǔ)和發(fā)布這些證書的數(shù)據(jù)庫（ Certificate Repository）。 PKI中還包括證書策略（ Certificate Policy，簡(jiǎn)稱 CP）、證書路徑等元素以及證書的使用者。所有這些都是 PKI的基本組件，許多這樣的基本組件有機(jī)地結(jié)合在一起就構(gòu)成了 PKI。 典型的 PKI系統(tǒng)的結(jié)構(gòu)圖： （ Entity） 終端實(shí)體常常被認(rèn)為就是終端用戶，雖然大多數(shù)的情況如此，但實(shí)際上終端實(shí)體這一術(shù)語包括的對(duì)象很廣泛。 終端實(shí)體可以分為： （ 1） PKI證書的使用者； （ 2）終端用戶或者系統(tǒng)，它們是 PKI證書的主體。 （ CA） 證書和證書撤銷列表的簽發(fā)者，是 PKI系統(tǒng)安全的核心。 （ RA） RA在 PKI系統(tǒng)中是一個(gè)可選的組件，主要是完成 CA的一些管理功能。 （ Certificate Revocation List Issuer，簡(jiǎn)稱CRLIssuer）證書撤銷列表發(fā)布者在 PKI系統(tǒng)中也是一個(gè)可選的組件，它接受 CA的授權(quán)發(fā)布 CRL。 （ Certificat eRepository） 證書資料庫是一個(gè)通用的術(shù)語，用來指代存儲(chǔ)證書和 CRL的任何方法。 數(shù)字證書就是一個(gè)公開密鑰和身份信息綁在一起、用 CA的私鑰簽名后得到的數(shù)據(jù)結(jié)構(gòu)。 （ Key Management Center，簡(jiǎn)稱 KMC） PKI系統(tǒng)的一個(gè)重要功能就是管理密鑰對(duì)。 ?（三）數(shù)字證書 數(shù)字證書是將主體信息和主體的公開密鑰通過 CA的數(shù)字簽名綁定在一起的一種數(shù)據(jù)結(jié)構(gòu)。數(shù)字證書本身是可驗(yàn)證的，而且數(shù)字證書具有標(biāo)準(zhǔn)的格式。 ? 二、 PKI部署與應(yīng)用 （一） PKI提供的服務(wù) PKI提供的服務(wù)包括兩個(gè)部分：一部分為 PKI提供的核心服務(wù)，或稱為基本服務(wù)；另一部分為PKI支持的安全服務(wù)，屬于簡(jiǎn)單的 PKI應(yīng)用所能提供的。 PKI提供的核心服務(wù)包括認(rèn)證、完整性、密鑰管理、簡(jiǎn)單機(jī)密性和非否認(rèn)。這幾項(xiàng)核心服務(wù)囊括了信息安全中的四個(gè)重要的要求，即真實(shí)性、完整性、保密性和不可否認(rèn)性。 認(rèn)證是 PKI提供的最基本的服務(wù)，這種服務(wù)可以在未曾謀面的雙方之間進(jìn)行。 PKI提供的完整性可以通過數(shù)字簽名來完成，而這種完整性還提供了對(duì)稱密碼方法等不能提供的不可否認(rèn)保障。 PKI提供的服務(wù)包括了由加密設(shè)備提供的更強(qiáng)更快的加密服務(wù)，在這種加密服務(wù)中利用了PKI提供的密鑰交換和密鑰恢復(fù)服務(wù)。 ?（二） PKI的應(yīng)用 這里主要介紹當(dāng)前使用 PKI技術(shù)的幾個(gè)比較典型的應(yīng)用實(shí)例，以下都是目前已經(jīng)成熟并得到普及的應(yīng)用。 Web服務(wù) ?（三） PKI在組織中的部署 PKI部署是一個(gè)復(fù)雜的問題，一般而言，證書認(rèn)證系統(tǒng)通常會(huì)采用兩種方式為組織提供服務(wù)：一是為組織中的資源（人、設(shè)備等）發(fā)放數(shù)字證書；二是提供技術(shù)為組織建立專用的 PKI系統(tǒng)。究竟采用何種方式部署自身需要的 PKI系統(tǒng)，需要重點(diǎn)考慮以下因素： 第五章 系統(tǒng)安全 ?本章學(xué)習(xí)目的 了解通用操作系統(tǒng)的安全要素、操作系統(tǒng)的安全等級(jí) 掌握 Windows系統(tǒng)帳號(hào)、資源和網(wǎng)絡(luò)安全管理 掌握 UNIX/linux帳號(hào)、訪問機(jī)制、資源和網(wǎng)絡(luò)安全管理 了解數(shù)據(jù)庫的基本安全機(jī)制、安全管理 掌握主流數(shù)據(jù)庫安全基本知識(shí) 本章概覽 ? 本章我們將重點(diǎn)討論兩類系統(tǒng)的安全：操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)。 ? 操作系統(tǒng)安全部分：首先，介紹了操作系統(tǒng)安全的原理。然后，分別闡述了 Windows操作系統(tǒng)和 UNIX/Linux操作系統(tǒng)提供的各類安全機(jī)制和功能。作為兩類流行的操作系統(tǒng)，它們都提供了許多類似的安全功能，如帳號(hào)管理、資源管理、網(wǎng)絡(luò)管理等。最后，簡(jiǎn)要介紹了安全操作系統(tǒng)的概念。 ? 數(shù)據(jù)庫系統(tǒng)安全部分：首先，概括介紹了數(shù)據(jù)庫系統(tǒng)安全的原理和機(jī)制。然后，重點(diǎn)闡述了當(dāng)前主流數(shù)據(jù)庫系統(tǒng)的安全，包括 Oracle、 MSSQLServer、 Sybase、MySQL；介紹了國內(nèi)安全數(shù)據(jù)庫研究的現(xiàn)狀；介紹了常見的數(shù)據(jù)庫攻擊與防范技術(shù)。最后，闡述了數(shù)據(jù)庫恢復(fù)的概念和原理，并列舉了 Oracle數(shù)據(jù)庫中的安全恢復(fù)機(jī)制。 第一節(jié) 操作系統(tǒng)安全基礎(chǔ) ?一、操作系統(tǒng)概述 用戶使用計(jì)算機(jī)時(shí)，直接操作計(jì)算機(jī)系統(tǒng)硬件是不方便也不現(xiàn)實(shí)的，這就需要一種計(jì)算機(jī)使用者和計(jì)算機(jī)硬件間的中間媒介，操作系統(tǒng)就是這一媒介。操作系統(tǒng)一方面管理著所有的計(jì)算機(jī)系統(tǒng)資源；另一方面，為用戶提供了一個(gè)抽象概念上的計(jì)算機(jī)。 操作系統(tǒng)的功能一般包括處理器管理、存儲(chǔ)管理、文件管理、設(shè)備管理和作業(yè)管理等。當(dāng)多個(gè)程序同時(shí)運(yùn)行時(shí)，操作系統(tǒng)負(fù)責(zé)規(guī)劃以優(yōu)化每個(gè)程序的處理時(shí)間。 （ 1）處理器管理功能是根據(jù)一定的策略將處理器交替地分配給系統(tǒng)內(nèi)等待運(yùn)行的程序； （ 2）存儲(chǔ)管理功能是管理內(nèi)存資源，主要實(shí)現(xiàn)內(nèi)存的分配與回收、存儲(chǔ)保護(hù)以及內(nèi)存擴(kuò)充； （ 3）文件管理功能是向用戶提供創(chuàng)建文件、撤銷文件、讀寫文件、打開和關(guān)閉文件等； （ 4）設(shè)備管理功能負(fù)責(zé)分配和回收外部設(shè)備，以及控制外部設(shè)備按用戶程序的要求進(jìn)行操作； （ 5）作業(yè)管理功能為用戶提供一個(gè)使用系統(tǒng)的良好環(huán)境，使用戶能有效地組織自己的工作流程，并使整個(gè)系統(tǒng)高效地運(yùn)行。 ? 二、操作系統(tǒng)的安全要素 計(jì)算機(jī)系統(tǒng)安全是備受研究領(lǐng)域關(guān)注的課題，而操作系統(tǒng)的安全是計(jì)算機(jī)系統(tǒng)安全的基礎(chǔ)。高安全性操作系統(tǒng)要求自身在任何環(huán)境下都能安全可靠地運(yùn)行，對(duì)安全性的要求非常嚴(yán)格。實(shí)際上，操作系統(tǒng)也有很多必需的安全性功能，主要有： （ 1）用戶認(rèn)證（ Authentication of Users） （ 2）存儲(chǔ)器保護(hù)（ Protectionof Memory） （ 3）文件和 I/O設(shè)備的訪問控制（ File and I