包邮计算机安全学原书第二版

nbsp; 者  序
    计算机的安全问题已经成为世界性关注的问题，计算机用户在使用计算机的过程中几乎无
一幸免地受到过各种病毒、恶意软件、流氓软件的骚扰或攻击。这些攻击轻则造成系统的工作不
稳定，影响工作的正常进行；重则造成系统崩溃，保密资料被窃。据统计，电脑病毒对全世界企
业造成的损失呈逐年上升趋势。2001年造成的损失为llO亿美元，但到了2003年造成的损失已
达到550亿美元。新病毒，新攻击的破坏方式层出不穷。无论反病毒公司的动作有多快，他们始
终滞后于病毒发展的速度，可见，解决计算机安全问题已经迫在眉睫。从普通用户的角度讲，树
立计算机安全使用意识是必须解决的问题；从计算机安全专业技术人员的角度讲，设计并实现
更加安全的计算机系统架构也是目前安全现状提出的进一步要求。而这两者都必须从源头入手，
即需要了解计算机安全的基本概念和原理，本书即是从技术原理的角度介绍了计算机安全领域
*基本和*重要的原理，对于希望全面掌握了解计算机安全原理的人而言，这是一本非常有用
的书。
    全书分为17章，从计算机安全的基本的定义和概念开始，覆盖了网络安全、操作系统安全
以及数据库安全等方面的主题，内容几乎涉及了目前计算机安全领域的所有方面，从基于口令
访问控制的基本模型到操作系统完整性和内存访问控制保护机制，从计算机安全模型到计算机
安全评估，从密码学和密钥管理协议到网络安全，从软件漏洞到基于代码的访问控制，从移动服
务安全机制到数据库安全，内容丰富，深入浅出。
    本书适合作为高等学校信息安全专业本科或工程硕士的《信息安全概论》、《计算机安全》等
基础课程的参考教材，也可作为其他学科在安全类课程方面的参考教材，还可以作为信息专业
技术人员的参考用书，是信息安全方面较理想的教学参考书籍。
    本书的翻译工作由潘小会、邵林、王巧、谢飞、刘飞、陈亮、刘智、王东、龙小书、姜毅完
成，*终由张小松统稿。
    在翻译过程中，译者在不偏离作者原意的原则下，尽量运用流畅、准确的文句表达原书内
容。由于译者水平有限，难免存在译误，敬请读者指正。
    译者
    2007年12月
前 言
   
    本书源于笔者的课程讲义，笔者曾在有关信息安全的为期一年的研究生项目中讲授。在这
个项目头一年讨论产业配置的引用术语时，主管安全的管理者强调了阐明非项目目标的重要性。
因此我们将非课程目标列举如下：
    ·这不是一本计算机安全手册
    ·这不是关于计算机安全的百科全书
    ·这不是计算机安全的历史书
    当然，本书会参考计算机安全中的历史事件，讲到很多背景知识。书中涵盖该领域中的众多
材料，笔者希望安全实施人员会从中得到有用的观点和内容。不过，*初本书是作为计算机安全
教科书而写的，主旨是为那些有计算机科学背景的学生提供一些评定和比较安全产品技术优势
的基础。
    本书第1版的前言也作了上述介绍，接着解释了笔者所选择的主题和书的结构。第1版的材
料编于数年前，这段时间里因特网已经对商业用途开放，在此之前，万维网也早已经存在了，但
这些事件带来的变化还没有广及今天的程度。回顾一下，从20世纪90年代中期至90年代末的
这一段时间里，很多人都相信通信安全特别是强密码学可以保障因特网和万维网的安全访问。
    如今，通过广泛部署令人满意的通信安全协议，这些问题已经得到解决。但是，安全仍然是
一个难题。人们的关注又回到了终端系统。缓冲区溢出、一般性的代码漏洞引起了人们的注意。
访问控制不再是主要由操作系统实施，中间层和应用层也都实施了访问控制。基于代码的访问
控制已经替代了传统的基于用户身份的替代。
    本书第2版试图客观评价计算机安全领域中的这些发展，并增加了分布式系统的认证、移
动、软件安全以及访问控制中新的范例等章节。Unix安全、Windows 2000安全、网络安全等章
节的内容都已经更新。另外，本书还重新安排了安全模型方面的材料，并将其分为两章。第8章
讲述了如何构建一个形式化的安全模型，比如Bell-LaPadula模型，以及如何将它应用于计算机
系统的分析。第9章说明其他重要安全模型的概况。时下流行的一些问题，比如可信计算，本书
只略提一二。其他方面，如网络安全服务，在这一版中删掉了，因为(但不局限于此)这个领域
仍在不断发展，技术细节很快就过时了!
    与本书第1版一样，第2版也很关注计算机安全，如现在信息技术应用中使用的终端系统的
技术安全问题。经过深思熟虑，笔者决定将重点放在技术方面。总的来说，这不是一本有关信息
安全的书，虽然书中包括了风险分析和安全管理的概论性章节。这些章节可供那些教授信息安
全课程的讲师作为背景教材使用。本书没有在这些章节上长篇大论并不意味着它们对计算机安
全不重要。相反，没有技术安全应用的参考背景，就不能制定安全决策；如果管理不当，或者部
署错误，即使*好的技术措施也会失效。在上面提到的研究生项目中，有关技术主题的课程就是
与安全管理方面的课程一起讲授的，这些有关安全管理的课程会讲到围绕计算机安全的非技术
安全问题。即使在关注技术问题时，如果在本书讲完后，读者在搞清系统目的前仍把“这个系统
是安全的吗”这个问题当成一个有意义的问题，那么笔者会觉得自己很失败。
    在整本书中，笔者始终尝试着从书中各方面的主题讨论中提取出通用的安全原则。在讲述
具体的安全系统时，也展示了诸如Unix和Windows 2000中的安全特征。它们主要作为这些一般
性观点的例证，而不作为对这些系统的全面介绍。其～，这是由于篇幅的限制，很多章节涉及的
主题都可以单独写成一本书；再者是因为计算机安全系统的不断变化的特质，对技术细节的解
释很快会过时；*后是因为这样一个经常会听到的抱怨：安全实施者已悉知系统是如何工作的，
但是并不知道如何让它们更好地工作。因此，本书尝试提醒读者如何让系统工作得更出色。
    本书的每一章都配置了练习，但笔者不能说对所有的练习都很满意。不能说计算机安全像
一堆菜谱一样，可以在一本典型的教材练习限定的范围内逐一展示完全。在某些领域中，如密码
安全或密码学，编写有精确答案的练习十分容易，而且只要执行正确的操作步骤即可找出准确
答案。有些领域则更适合项目、论文或讨论。虽然，大家很自然地会联想到提供一个有实际系统
实验的计算机安全课题，但笔者在本书中并没有提出实验环节的建议。操作系统、数据库管理系
统或者防火墙是实践练习的主要来源。讲师可根据实际工作中使用的特定系统收集具体实例。
针对具体的系统，还有很多优秀的讲解如何使用系统的安全机制的书籍。
    由于这是一本教材，所以有时候我会在练习中收集一些很重要的材料，这些材料可能在一
些计算机安全手册的主体部分有收录。
    笔者很感谢那些鼓励本书出版并为第1版提供反馈意见的同事们，他们对本书中哪些地方很
有用，哪些地方用处不大提出了合理建议。然而，并非所有的建议都被第2版采纳。笔者还要特
别感谢Jason Crampton，他提了很多详细而有用的建议，并修正了很多章节。感谢Tuomas Aura
和Kai Rannenberg，笔者曾就一些章节中的专业技术问题向他们讨教过，他们提供了很详细的
建议。
    Dieter Gollmann
    2005年8月于汉堡

第12章分布式系统cp的认证
    密码学可把安全问题转换为密钥管理问题。为了使用加密、数字签名或是消息认证码
(MAC)，参与者必须持有正确的密钥。在公钥算法中，参与者需要拥有可信公钥。在对称密钥
算法中，参与者需要共享密钥。这可以通过邮件送信来实现——一个常见的信用卡分发PINs的
方法，或者通过信使在地点之间往返和递送密钥来实现。这些建议都是非常不可靠或者是相当
昂贵的。理想的情况是，我们能够在现有的通信基础框架上执行密钥管理机制。
    当双方商谈一个新密钥的时候，因为这是它们**次通信或是它们开始了一个新的会话，
此时它们可能都必须证明它们是谁。证明身份和建立密钥曾经都叫做认证。本章将讨论并区分
这两个行为。
    目标   
    ·澄清认证可能的含义。
    ·阐述一些主要的密钥建立协议。
    ·讨论怎样将公钥链接到用户身份认证上。
    ·说明密码协议如何应用到计算机安全中。
1 2．1  引言
    公钥推算起来比对称密钥花费更昂贵。花费的原因包括推算时间和带宽。这两者都取决于
密钥的长度。用长期密钥来减少“攻击面”更为可取。这可以预防那些需要收集大量加密材料的
攻击。作为这两个问题的一个解决方法，可以使用长期密钥来建立短期的会话密钥(session
key)。
    将密钥的使用限制于一个专门的目的不失为很好的密码学实践。在密钥管理中，我们可能
会用到密钥加密密码和数据加密密码。密钥使用(key usage)的例子有加密、解密、数字签名(用
于认证)和通信安全中的认可等。在公钥加密中，我们强烈推荐不要对加密和数字签名使用一个
单一的密钥对。密钥使用的其他例子为：在分等级的密钥管理方案中掌握密钥和交易密钥。
12．2密钥建立和认证
    建立会话密钥协议曾被称为认证协议。毕竟，它们的目的也是让你知道“你在和谁谈话”。
在文献中，特别是在旧的著作中，你可能仍然可以找到这些协定。今天，密码学中的术语区分了
认证和密钥建立。从认证逐步分离出密钥建立在国际标准化组织的发展过程中有所体现。20世纪
80年代，ISO／OSI框架(ISO 7498．2；国际标准化组织，1989)仍然有面向会话的实体认证观点。
    对等实体认证确认连接中的对等实体就是其所声名的身份。在创建连接的数据传输
    阶段时或者期间，这项服务被用来确认一个或多个相连实体的身份。
    在19世纪90年代早期，国际标准化组织ISO／IEC 9798—1(国际标准化组织，1991)用一种方
法定义了实体认证，该方法不再包含安全会话的建立。
    实体认证  实体认证机制允许一个实体核实另一个实体声称的身份。实体认证仅能在
   认证交换的例子中被确定。
    在该解释中，实体认证就是核实一个实体是否是活动的。在通信网络中，该属性与对方失效
探测(dead peer detection)相关联。
    在单方认证中，仅一方实体被认证。在相互认证中，实体双方都要被认证。
12．2．1  远程认证
    任何时候想改变的环境，都必须重新评估已建立的安全机制是否适合。从一个集中式系统
中移到一个分布式系统显然对安全会有很大影响。想要看看这个改变对你的影响有多大，可以
参看通过口令的认证(第3章)。当用户在与一台主机有固定连接的终端上工作时，口令是很有
用的。这里，你可以有充分的理由相信在终端和主机之间的连接是安全的，并且窃听口令，更改
或者插入信息，或者控制一个会话都是不可能的。而在一个分布式设置中，这种关于通信连接安
全方面的基本假设不容易被证实。
    在网络上无保护的口令传送显然是一个漏洞，很容易利用该漏洞。口令嗅探器(password
sniffer)是程序，这些程序监听网络通信量，并且选出包含口令和其他安全相关信息的数据包。
口令仍是一个在分布式系统中受欢迎的认证机制。这里以http协议作为例子。它在客户机和服务
器上运行。客户端发送http请求给服务器。为了验证这个客户端，http协议有一个基于客户和服
务器都知道的共享密钥(口令)内置认证机制。有两种认证，基本访问认证(Basic Access Authenti—
cation)和摘要访问认证(Digest Access Authentication)。
    在基本访问认证中，客户端必须提供口令。当客户端请求一个受保护的资源，服务器就回复
401未授权的回应码。然后客户端将认证信息(基本的64位编码密码)发送给服务器，服务器再
核实客户端是否已被授权访问资源。所有的认证数据都以明文方式发送。协议像这样运行。
    ·客户端：GET／index．html HTTP／1．0
    ·服务器端：HTTP／1．1 401 unauthorized
    WWW—authenticate Basic realm=”SecureArea”
    ·客户端：GET／index．html HTTP／1．0
    Authorization：Basic am91dXNlcjphLmIuQy5E
    ·服务器端：HTTP／1．1 200 Ok(以及被请求文档)
    相反，分类访问认证并不以明文发送口令。在一个质询一回应(challenge—response)协议中使
用了一个加密hash函数(一般是MD5)。由服务器发送的WWW认证参数包括一个独立的质
询，即所谓的序列号(nonce)。服务器负责保证每一个401回复都伴随一个独立的、先前没使用
过的序列号值。客户端用一个授权的回应回复，这个回应包括了明文用户名、刚接收到的序列号
值以及所谓的“请求一摘要”(request-digest)，计算如下：
    请求一摘要=((用户名领域lI密码)lI序列号lI丘(方法 digest—uri))
其中“digest．uti,,涉及所请求的URI和给予http请求方法的“方法”。在RFC 2617中详细给出了这
个协议的所有选项的详细描述。
    术语序列号是由Needham and Schroeder(l978)提出的，用来表示只被使用一次的独立值。
序列号在协议设计中扮演很重要的角色。序列号可以是一个计数值、一个时间戳或是一个随机
数。序列号没有必要一定是无法预知的，但一些协议要求使用无法预知的序列号。它根据不同的
安全目标来决定应该需要哪种类型的序列号。
    RADIUS协议(远程认证拨入用户服务器，RFC 2865)就是一个通过口令来实现远程用户认
证的例子。与http摘要访问认证相似，RADIUS包含了一个挑战一回应选择，其中口令不会以明
文方式传送。
12．2．2  密钥建立
    为两个或更多的参与者建立以后共同使用的密钥的过程现在叫做密钥建立(key establish—
ment)。这个过程包括愿意建立共享密钥的双方，通常叫做主角(principal)，另外可能还有像认
证服务器那样的第三方。在密钥建立协议中的主角可以不用和访问控制(第4章)中的主角一样。
当第三方能够操作协议的安全目标时，它叫做可信第三方(trusted third party，TrP)。当主角调
用它的服务时，它们必须信任TIP。
    有时，对一个密码学协议的数学细节分析揭示了存在这样一个弱密钥(weak key)的子集，这
个子集将允许入侵者进行欺骗。在设计一个密钥交换协议的时候，你应该回答下面两个问题。
    ·如果建立了一个弱密钥，哪一方参与者会受攻击?
    ·哪些参与者可以控制密钥的选择?
    如果内部人员的误用行为能够影响密钥的产生，使得能够选择出一个弱密钥，这便给内部
人员攻击留出了余地。这种情况被认为是密钥控制。因此，密钥建立服务可以根据每一个主角对
新密钥和提供的实际安全保证所作的贡献进一步区分开来(Menezes，Oorschot and Vanstone，
1997)。
    ·密钥传输：参与者一方创建一个秘密值，然后把它安全地传送给另一方(另外几方)。
    ·密钥一致：双方都参与秘密值的生成以便没有哪一方能够预知输出的结果。
    ·密钥认证：参与者一方确信除了专门确认过的第二参与方之外，没有其余的参与方能够
    访问特定的密钥。
    ·密钥确认：参与者一方确信第二参与方(可能无法辨别其身份)拥有一个特定的密钥。
    ·显式密钥认证：双方都持有密钥认证和密钥确认。
显示了实体认证的意义是如何随着时间的推移发展的。评估一个协议时所考虑的其
他因素是第三方要求。它包括TIP吗?它是离线的还是在线的?
1 2．3密钥建立协议
    为其他协议使用而建立密钥的密码协议称为密钥建立协议。今天，研究文献提供了对这些
协议的更广泛的选择。我们选择下面的这些协议来阐述重要的设计技术。