信息安全工程的概念
- 概念
口令
安全協(xié)議
- 中間人攻擊
訪問控制
訪問控制原理 : 訪問控制是在身份認證的基礎之上怎虫,依據(jù)身份對對資源的訪問請求加以控制
訪問控制是網絡安全防范和保護的主要策略褥伴,它可以限制對關鍵資源的訪問谅将,防止非法用戶的侵入或合法用戶的不慎操作所造成的破壞 。
訪問控制的層次
應用層
可實施靈活重慢,豐富和復雜的安全策略
中間件
維護基本的保護特性(簿記系統(tǒng)饥臂,數(shù)據(jù)庫系統(tǒng))
操作系統(tǒng)
對操作系統(tǒng)級的資源實施保護(文件,網絡等)
硬件
進程的物理保護(處理器和內存管理硬件)
根據(jù)Biba安全模型原則不下讀/不上寫來保證數(shù)據(jù)的完整性似踱。
通過Bell-Lapadula安全模型原則不上讀/不下寫來保證數(shù)據(jù)的保密性隅熙。(第8章多級安全)
-訪問控制的三要素
客體(Object):
接受其他實體訪問的被動實體。
可以被操作的信息核芽、資源囚戚、對象都可以認為是客體
信息、文件轧简、記錄等的集合體驰坊;網路上的硬件設施,無線通信中的終端
主體(Subject):
提出資源訪問請求或要求的實體哮独。
用戶或其它任何代理用戶行為的實體(例如進程拳芙、作業(yè)和程序
實體:計算機資源(物理設備、數(shù)據(jù)文件皮璧、內存或進程)或一個合法用戶
控制策略
一套規(guī)則舟扎,用以確定一個主體是否對客體擁有訪問能力,它定義了主體與客體可能的相互作用途徑悴务。
主體對客體的操作行為集和約束條件集睹限。
訪問控制根據(jù)主體和客體之間的訪問授權關系,對訪問過程做出限制惨寿。從數(shù)學角度來看邦泄,訪問控制本質上是一個矩陣,行表示資源裂垦,列表示用戶顺囊,行和列的交叉點表示某個用戶對某個資源的訪問權限(讀、寫蕉拢、執(zhí)行特碳、修改、刪除等)晕换。
- 訪問控制的基本原則
最小特權原則
最小特權是指在完整某種操作時所賦予網絡終每個主體(用戶和進程)必不可少的特權午乓。
最小特權原則是指應限定網絡中每個主體所必須的最小特權,確闭⒆迹可能的事故益愈、錯誤、網絡部件的篡改等原因造成的損失最小。
多人負責原則
即授權分散化蒸其,對于關鍵的任務必須在功能上進行劃分敏释,由多人來共同承擔,保證沒有任何個人具有完成任務的全部授權或信息摸袁。如將責任作分解使得沒有一個人具有重要密鑰的完全拷貝钥顽。職責分離原則
職責分離原則
指將不同的責任分派給不同的人員以期達到互相牽制,消除一個人執(zhí)行兩項不相容的工作的風險靠汁。例如收款員蜂大、出納員、審計員應由不同的人擔任蝶怔。計算機環(huán)境下也要有職責分離奶浦,為避免安全上的漏洞,有些許可不能同時被同一用戶獲得添谊。
- 自主訪問控制
自主訪問控制?任意訪問控制:根據(jù)主體身份或者主體所屬組的身份或者二者的結合, 對客體訪問進行限制的一種方法财喳。
自主:允許用戶自主地把自己所擁有的客體的訪問權限授予其它用戶。
LINUX斩狱,UNIX耳高、WindowsNT或是SERVER版本的操作系統(tǒng)都提供自主訪問控制的功能。
在實現(xiàn)上所踊,首先要對用戶的身份進行鑒別泌枪,然后就可以按照訪問控制列表所賦予用戶的權限允許和限制用戶使用客體的資源。
主體控制權限的修改通常由特權用戶或是特權用戶(管理員)組實現(xiàn)秕岛。
訪問控制模型
訪問控制矩陣
最初實現(xiàn)訪問控制機制的概念模型
二維矩陣規(guī)定了任意主體和任意客體間的訪問權限
訪問控制列表(按列差分)
以客體為中心的訪問權限表
權能表 (按行差分)
以主體為中心的訪問權限表
特點:
根據(jù)主體的身份及允許訪問的權限進行決策碌燕。
自主是指具有某種訪問能力的主體能夠自主地將訪問權的某個子集授予其它主體。
靈活性高继薛,被大量采用修壕。
缺點:
信息在移動過程中其訪問權限關系會被改變。如用戶A可將其對目標O的訪問權限傳遞給用戶B,從而使不具備對O訪問權限的B可訪問O遏考。
- 強制訪問控制
根據(jù)客體中信息的敏感標記和訪問敏感信息的主體的訪問級對客體訪問實行限制
用戶的權限和客體的安全屬性都是固定的
所謂“強制”就是安全屬性由系統(tǒng)管理員人為設置慈鸠,或由操作系統(tǒng)自動地按照嚴格的安全策略與規(guī)則進行設置,用戶和他們的進程不能修改這些屬性灌具。
所謂“強制訪問控制”是指訪問發(fā)生前青团,系統(tǒng)通過比較主體和客體的安全屬性來決定主體能否以他所希望的模式訪問一個客體。
在強制訪問控制中咖楣,它將每個用戶及文件賦于一個訪問級別督笆,如:絕密級(Top Secret)、機密級(Secret)诱贿、秘密級(Confidential)及普通級(Unclassified)娃肿。
其級別為T>S>C>U调窍,實現(xiàn)四種訪問控制讀寫關系:
下讀(read down):用戶級別大于文件級別的讀操作像寒;
上寫(Write up):用戶級別低于文件級別的寫操作围小;
下寫(Write down):用戶級別大于文件級別的寫操作们豌;
上讀(read up):用戶級別低于文件級別的讀操作;
自主訪問控制
配置的粒度小
配置的工作量大记罚,效率低
強制訪問控制
配置的粒度大
缺乏靈活性
- 計入角色的訪問控制
授權給用戶的訪問權限,通常由用戶在一個組織中擔當?shù)慕巧珌泶_定壳嚎。
“角色”指一個或一群用戶在組織內可執(zhí)行的操作的集合桐智。角色就充當著主體(用戶)和客體之間的關聯(lián)的橋梁。這是與傳統(tǒng)的訪問控制策略的最大的區(qū)別所在烟馅。
- 緩沖區(qū)溢出攻擊
函數(shù)調用的過程
Call:調用參數(shù)和返回地址
壓棧说庭,跳轉函數(shù)入口
保存當前棧基址
返回:恢復調用者原有棧
棧溢出的基本原理
通過緩沖區(qū)溢出修改棧中的返回地址(EIP)
函數(shù)調用返回郑趁,執(zhí)行EIP指向的代碼段
難點1:修改后的返回地址填到正確的位置
難點2:返回地址指向所要運行的代碼
寄存器的分段 : 代碼段(cs)刊驴、數(shù)據(jù)段(ds)、堆棧(ss)寡润、其他段
不安全的函數(shù) :
查詢集大小控制
不能查詢t或N-t條記錄
追蹤者攻擊
實驗室里有十個教授捆憎,其中一個是女教授
教授的工資是保密的
教授的平均工資
男教授的平均工資
更高級查詢控制
N響應,k%支配原則:小于n個樣本做出了大于k%的貢獻
最大順序控制和網格模型
基于審計的控制
隨機化
第五章
-安全模型
TCSEC將安全保護分成四等梭纹、八個級別躲惰,分別為D,C1变抽,C2础拨,B1,B2绍载,B3诡宗,A1,超A1击儡,安全級漸次增強塔沃。
不滿足任何較高級別安全可信條件的系統(tǒng)劃入D類。
C 類為自主型保護曙痘,由兩個級別組成芳悲。
C1級:具有一定的自主型存取控制機制。象UNIX的OWNER/GROUP/OTHER 存取控制边坤。
C2級:具有更細粒度(到每一個單獨用戶)的自主型存取機制名扛,而且引入審計機制。
B類為強制型保護茧痒,由三個級別組成:
B1級:滿足C2級所有的要求肮韧,而且需要有所用安全策略模型的非形式化描述,實施強制型存取控制。
B2級:系統(tǒng)的可信計算基(TCB)是基于明確定義的形式化模型弄企,并對系統(tǒng)中所有的主體和客體實施了自主型存取控制和強制型存取控制超燃。另外,具有可信通路機制拘领、系統(tǒng)結構化設計意乓、最小特權管理以及對隱通道的分析和處理等。
B3級:系統(tǒng)的TCB設計要滿足能對系統(tǒng)中所有的主體對客體的訪問進行控制约素,TCB不會被非法竄改届良,且TCB設計要非常的小巧和結構化以便于分析和測試其正確性。支持安全管理者的實現(xiàn)圣猎,審計機制能實時報告系統(tǒng)的安全性事件士葫,支持系統(tǒng)恢復。
A類為驗證型保護送悔,由兩個級別組成:
A1級:從實現(xiàn)的功能上看慢显,它等同于B3。它的特色在于形式化的頂層設計規(guī)格(FTDS)欠啤、形式化驗證FTDS與形式化模型的一致性和由此帶來的更高的可信度荚藻;
A1以上級:比A1級可信度更高的系統(tǒng)歸入該級。
安全目標
可用性(Availability)
完整性(Integrity)
保密性(Confidentiality)
安全模型
安全模型用于精確和形式地描述信息系統(tǒng)的安全特征跪妥,以及用于解釋系統(tǒng)安全相關行為的理由鞋喇。
按機制分類:訪問控制模型、信息流模型等眉撵。
按服務分類:機密性侦香、完整性、可用性模型等
但“安全模型”的表達能力有其局限性纽疟,通常的模型是形式語法多于形式語義罐韩,甚至只是自然語言的描述。
安全模型的作用
能準確描述安全的重要方面與系統(tǒng)行為的關系污朽。
能提高對成功實現(xiàn)關鍵安全需求的理解層次散吵。
開發(fā)出一套安全性評估準則和關鍵的描述變量。
多級模型
BLP模型 (1973)
該模型是可信系統(tǒng)的狀態(tài)-轉換模型蟆肆。
定義所有可以使系統(tǒng)獲得“安全”的狀態(tài)集合矾睦,檢查所有狀態(tài)的變化均開始于一個“安全狀態(tài)”并終止于另一個“安全狀態(tài)”,并檢查系統(tǒng)的初始狀態(tài)是否為“安全狀態(tài)”炎功。
該模型是一種機密性訪問控制的狀態(tài)機模型枚冗。
模型定義的主客體訪問規(guī)則
模型使用狀態(tài)來表示系統(tǒng)中主體對客體的訪問方式。
高級別的“可下讀蛇损,不可下寫”赁温;
低級別的“可上寫坛怪,不可上讀”
允許用戶讀取安全級別比他低的資源;相反地股囊,寫入對象的安全級別只能高于用戶級別袜匿。
簡言之,信息系統(tǒng)是一個由低到高的層次化結構稚疹。
- 缺陷
只注重考慮了機密性居灯,忽視了完整性需求
可用性方面,限制了高密級主體向非敏感客體的寫要求内狗。為了Bell后來引入了“可信主體”的概念穆壕,允許可信主體違反“向上寫”屬性,使得其訪問權過大
靈活性缺失其屏,-高水標原則
主體高水標:主體向下寫,主動降低密級
客體高水標:客體提升密級 - 隱通道問題
高密級主體可以通過間接方式跟客體通訊
時間隱通道
存儲隱通道 - 應用中的問題
內存管理能夠在所有級別進行讀和寫缨该,在實際應用中有悖于模型本身偎行。除了對它進行“可信假設”外別無他法。
文件管理中贰拿,重名導致的信息泄露問題蛤袒。而分立的系統(tǒng)使得BLP顯得多余。
當?shù)图墑e數(shù)據(jù)寫入高級別程序時(即上寫)膨更,由于模型的限制妙真,低級別主體無法得到任何反饋,仿佛碰到了“黑洞”一般荚守。
如果存在反饋珍德,可能產生隱通道問題
分隔
分離的機制
長城
集中的信息流動控制
BMA
分布式的信息流動控制
Biba模型 (1977)
Biba模型基于兩種規(guī)則來保障數(shù)據(jù)的完整性的保密性。
上讀屬性, 主體不能讀取安全級別低于它的數(shù)據(jù)
下寫屬性, 主體不能寫入安全級別高于它的數(shù)據(jù)
Biba與BLP模型的兩個屬性是相反的矗漾,BLP模型提供保密性锈候,而Biba模型對于數(shù)據(jù)的完整性提供保障。
Biba模型并沒有被用來設計安全操作系統(tǒng)敞贡,但大多數(shù)完整性保障機制都基于Biba模型的兩個基本屬性構建
面向主體的低水標(Low-Water Mark)
該策略中主體的完整性級別不是靜態(tài)的泵琳,主體可以讀較低完整性級別的客體,讀取后該主體的完整性級別也隨之降低為讀操作之前客體的完整性級別誊役,從而縮小了主體可以訪問的客體集获列。
面向客體的低水標(Low-Water Mark for Object)
該策略中主體可以寫較高完整性級別的客體,但寫后該客體的完整性級別降低蛔垢,從而導致了信息的泄漏击孩,并且一旦客體的完整性級別降低后再也不能恢復。
- 缺陷
在靈活性方面獲得了很多的提高啦桌,但可能引起低完整性級別與高完整性級別之間的不可靠信息流動
例:一個具有較低完整性級別的主體通過讀取較高完整性級別的客體的信息溯壶,然后將它們寫入同等完整性級別的客體中及皂,這樣,較高完整性級別客體中的信息就流入了較低完整性級別的客體中且改。
Clark-Wilson (1987)
通常被用在銀行系統(tǒng)中來保證數(shù)據(jù)的完整性验烧,是為現(xiàn)代數(shù)據(jù)存儲技術量身定制的。
其實現(xiàn)基于成形的事務處理機制
系統(tǒng)接受"自由數(shù)據(jù)條目 (UDI)"并將其轉換為 "受限數(shù)據(jù)條目 (CDI)"
"受限數(shù)據(jù)條目 (CDI)"僅能被"轉換程序(TP)"所改變
"轉換程序 (TP)" 保證"受限數(shù)據(jù)條目CDI"的完整性
每個受限數(shù)據(jù)條目(CDI) 擁有一個完整性檢查程序 (IVP)
訪問控制機制由三個元素組成 (主體, TP, CDI)
多邊模型
網格模型(Lattice model)
繼承自BLP模型
將主體和客體進行分組又跛,控制信息在不同分組之間的流動
一個主體可同時從屬于多個分組碍拆,而一個客體僅能位于一個分組。
在執(zhí)行訪問控制功能時慨蓝,BLP模型中的“下讀上寫”原則在此仍然適用感混,但前提條件必須是各對象位于相同的安全分組中。主體和客體位于不同的安全分組不具有可比性礼烈,因此在它們中沒有信息可以流通弧满。
長城模型(Chinese wall)
每個客體只能屬于1個COI
主體s只能訪問與已訪問信息不沖突的客體;
一個主體一旦已經訪問過一個客體此熬,只能訪問處于同一公司數(shù)據(jù)集中的客體庭呜;或在不同興趣沖突組中的信息;
在一個興趣沖突中犀忱,一個主體最多只能訪問一個公司數(shù)據(jù)集募谎。
最初的訪問是任意的
- 讀寫規(guī)則
讀規(guī)則
主體s∈S 可讀取o∈O,當且僅當o 和s 以前讀取的客體在同一個數(shù)據(jù)集(即o 在“墻內”)阴汇,或o屬于s以前從未讀過任何客體的COI類数冬;
寫規(guī)則
主體s∈S 可寫入o∈O,當且僅當s 能夠寫入按照Brewer-Nash 讀訪問規(guī)則訪問的數(shù)據(jù)搀庶,并任何與o 不在同一CD 集合中的客體都不能被s 讀訪問拐纱。 - 缺陷
一旦主體對數(shù)據(jù)集進行了讀寫操作,那么該主體永遠不能訪問與此數(shù)據(jù)集在同一沖突類的其它數(shù)據(jù)集地来,這不符合實際情況戳玫。
主體瑪麗在一家投資公司工作,她能讀中國銀行數(shù)據(jù)集中的信息未斑,但她一旦辭職咕宿,根據(jù)CWM 的讀寫安全規(guī)則,瑪麗就不能在任何與中國銀行在同一沖突類的投資公司工作蜡秽,這不符合實際情況府阀。 - 對主體相關性沒有約束。如果兩個利益相關用戶訪問同一沖突類中不同數(shù)據(jù)集的信息芽突,由于用戶之間存在特殊利益關系试浙,可能會造成信息泄漏,破壞數(shù)據(jù)集中信息的安全性寞蚌。
兩個利益相關用戶u1田巴,u2 對同一沖突類中不同數(shù)據(jù)集進行讀钠糊、寫操作,因為用戶u1 與u2 之間存在特殊利益關系壹哺,例如父子關系抄伍,那么父親可能會將讀取的信息泄露給兒子,反之亦然管宵,從而破壞了數(shù)據(jù)集中信息的安全性截珍。 - 根據(jù)讀寫規(guī)則,如某一沖突類COI 有Y 個數(shù)據(jù)集箩朴,那么每個客體均被訪問至少需Y 個主體岗喉。因此用戶數(shù)至少與最大沖突類中的最大數(shù)據(jù)集個數(shù)相等時,才有意義炸庞;且當用戶與數(shù)據(jù)集間的訪問關系不是一一對應時钱床,仍然難于確定合理的用戶個數(shù)。
沖突類X 中有3 個數(shù)據(jù)集y1埠居、y2诞丽、y3,現(xiàn)在有3 個用戶u1拐格、u2、u3可訪問該沖突類刑赶,如3 個用戶都訪問同一個數(shù)據(jù)集y1捏浊,使其它兩個數(shù)據(jù)集y2、y3 無用戶訪問撞叨,造成數(shù)據(jù)集可用性降低金踪。
BMA (1995)
是由客體同意主體可以有條件的查看并使用客體信息,目的是保證客體信息的完整性和可用性牵敷。
- 主要策略
訪問控制 – 有權訪問
病例都有訪問控制表標記胡岔,記錄讀取和添加標記的人,系統(tǒng)阻止列表之外的人訪問
創(chuàng)建記錄
醫(yī)生可以打開訪問控制列表中和他有關的病人的病例枷餐,但需要經過病人委托靶瘸。
控制 – 訪問有責
在每個訪問控制列表中必須有一個是可信的,只有他才能對病例進行寫入毛肋≡惯洌或可改變訪問控制鏈表,只能向相關專家開放
同意和通知 – 及時通知
公開或添加訪問控制表時润匙,必須及時通知
持久
沒人能刪除臨床醫(yī)生的信息诗眨,除非它已過期
歸屬– 記錄明確
訪問有記錄,以主題名字孕讳、日期匠楚、時間標記巍膘。審計必須追蹤所有的刪除信息
信息流動 – 往上寫
當且僅當記錄B的訪問控制表包含在A是,記錄A派生的信息可添加到B中
聚合控制
防止個人健康信息的聚合芋簿;防止某個人能接觸太多個人健康信息峡懈,病人需有通知
可信的計算基
包含一個子系統(tǒng),可以實施上述原則益咬,并獨立評估
推理控制
數(shù)據(jù)的二級應用
為研究逮诲、成本控制和診療審計提供的數(shù)據(jù)
醫(yī)生保護數(shù)據(jù)的難度要比律師大
基本問題
二級應用時數(shù)據(jù)已經匿名化了
姓名、住址等
剩余信息仍有可能定位到個人
1946年6月2號生的
1967年5月8號參加足球比賽時腿骨骨折
如何處理開放數(shù)據(jù)
保護個人隱私
維護數(shù)據(jù)的價值
分布式系統(tǒng)安全
分布式的定義
兩種定義
一個分布式系統(tǒng)是一組具有網絡連接和獨立功能的計算機幽告,在一套特殊的軟件管理下梅鹦,整個分布式系統(tǒng)在用戶面前呈現(xiàn)為一個透明的整體。
一個分布式系統(tǒng)是一組位于網絡計算機上的并發(fā)構件冗锁,這些構建之間的通信以及任務協(xié)調都只能通過信件傳遞進行齐唆,其目的就是實現(xiàn)資源共享。
特點
資源共享冻河、透明性箍邮、開放性、可調節(jié)性
標志符與地址及人性化名稱有什么不同叨叙?
無線安全
入侵檢測技術
- 誤用锭弊、異常檢測特性
密碼學
在DES算法中,需要進行16輪加密擂错,每一輪的子密鑰長度為 48 位
- RSA 的計算
要求輸入小于264位味滞,輸出為160位
無線安全
WPA和WEP的區(qū)別,4次握手钮呀,WPA的基本構成
移動通信網絡安全
SSE——CMM
