（光學(xué)工程專業(yè)論文）基于硬件加密設(shè)備的身份認(rèn)證與授權(quán)系統(tǒng)的研究與實(shí)現(xiàn).pdf

華中科技大學(xué)碩士學(xué)位論文 最初面向研究的i n t e m e t 和它的通信協(xié)議群是為種理想的環(huán)境而設(shè)計(jì)的。在那 種理想的環(huán)境里，使用i n t e m e t 的人就是創(chuàng)建i n t e m e t 的人，用戶和主機(jī)之間互相信任， 志在進(jìn)行自由開放的信息交換。然而，隨著時(shí)間的推移，i n t e m e t 變得越來越龐大，這 種理想的環(huán)境已經(jīng)蕩然無存1 2 j 。 今天，在i n t e m e t 的環(huán)境中，信任感已經(jīng)所剩無幾了。社會上能找到的所有的兇險(xiǎn)， 卑鄙和投機(jī)，i m e m e t 上應(yīng)有盡有，i n t c m e t 的開放性已經(jīng)成為一把雙刃劍。從i n t e m e t 誕生之日起，特別是2 0 世紀(jì)9 0 年代向公眾開放以來，它已經(jīng)成為眾矢之的。進(jìn)入2 1 世紀(jì)，網(wǎng)絡(luò)安全事件愈演愈烈，已經(jīng)成為一個(gè)越來越嚴(yán)重和值得關(guān)注的國際問題【3 】。 最近，美國計(jì)算機(jī)安全協(xié)會公布的“計(jì)算機(jī)犯罪及安全調(diào)查”表明：計(jì)算機(jī)領(lǐng)域有 太多的非法和侵權(quán)行為，這個(gè)數(shù)量遠(yuǎn)遠(yuǎn)大于企業(yè)與其客戶、股票持有人和生意合伙 人之間突出法律解決的糾紛數(shù)量【4 】。 1 1 2 網(wǎng)絡(luò)信息安全研究的國內(nèi)外文獻(xiàn)綜述 為了抵御非法的網(wǎng)絡(luò)犯罪活動的產(chǎn)生，我們在計(jì)算機(jī)科學(xué)領(lǐng)域不斷的嘗試使用各 種防御措施，如：利用密碼技術(shù)、身份認(rèn)證技術(shù)、授權(quán)訪問控制技術(shù)等純軟件加密 技術(shù)：或是使用硬件加密芯片為代表的嵌入式硬件加密設(shè)備等純硬件的加密技術(shù)。 據(jù)了解，目前基于w i n d o w s 操作系統(tǒng)的安全防護(hù)軟件雖有不少，但純軟件產(chǎn)品( 如： 軟件加密產(chǎn)品、軟件身份認(rèn)證產(chǎn)品、軟件授權(quán)管理產(chǎn)品) 或是純硬件產(chǎn)品( 如：智 能i c 卡、智能加密芯片、智能電子鑰匙k e y ) 的效果都不是太理想。這主要是由于 純軟件的加密技術(shù)有時(shí)只能防住一般的遠(yuǎn)程攻擊，防范的功能十分有限也有很多漏 洞；而純硬件的加密技術(shù)是功能很單一的防范措施，對現(xiàn)代各種應(yīng)用的操作系統(tǒng)的 兼容性不強(qiáng)，使用起來非常局限等缺點(diǎn)。下面就國內(nèi)外對純軟件的安全產(chǎn)品和純硬 件的安全產(chǎn)品的使用現(xiàn)狀加以說明： 1 1 2 1 純軟件的安全產(chǎn)品 1 、軟件加密產(chǎn)品 密碼技術(shù)是保護(hù)信息安全的主要手段之一。密碼技術(shù)自古有之，到目前為止，已 經(jīng)從外交和軍事領(lǐng)域走向公開，它并且是結(jié)合數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等諸 多學(xué)科于一身的交叉學(xué)科，它不僅具有保證信息機(jī)密性的信息加密功能，而且具有 數(shù)字簽名、身份驗(yàn)證、秘密分存、系統(tǒng)安全等功能陋】。所以，使用軟件加密產(chǎn)品不僅 可以保證信息的機(jī)密性，而且可以保證信息的完整性和確定性，防止信息被篡改、 華中科技大學(xué)碩士學(xué)位論文 1 2 4 應(yīng)用程序的安全性( a p p l i c a t i o ns e c u r i t ) ，) 主要技術(shù)：訪問控制技術(shù) 在這一層中我們需要回答的問題是：是否只有合法的用戶才能夠?qū)μ囟ǖ臄?shù)據(jù)進(jìn) 行合法的操作? 這其中涉及兩個(gè)方面的問題：一是應(yīng)用程序?qū)?shù)據(jù)的合法權(quán)限：二是應(yīng)用程序?qū)?用戶的合法權(quán)限。例如在公司內(nèi)部，上級部門的應(yīng)用程序應(yīng)該能夠存取下級部門的 數(shù)據(jù)，而下級部門的應(yīng)用程序一般不應(yīng)該允許存取上級部門的數(shù)據(jù)。同級部門的應(yīng) 用程序的存取權(quán)限也應(yīng)有所限制，例如同一部門不同業(yè)務(wù)的應(yīng)用程序也不應(yīng)該互相 訪問對方的數(shù)據(jù)，一方面可以避免數(shù)據(jù)的意外損壞，另一方面也是安全方面的考慮。 1 2 s 數(shù)據(jù)的安全性( a p p l i c a t i o nc o n f i d e n t i a i 時(shí)) 主要技術(shù)：密碼技術(shù) 數(shù)據(jù)的安全性問題所要回答的問題是：機(jī)密數(shù)據(jù)是否還處于機(jī)密狀態(tài)? 在數(shù)據(jù)的保存過程中，機(jī)密的數(shù)據(jù)即使處于安全的空間，也要對其進(jìn)行加密處理， 以保證萬一數(shù)據(jù)失竊，偷盜者( 如網(wǎng)絡(luò)黑客) 也讀不懂其中的內(nèi)容。這是一種比較 被動的安全手段，但往往能夠收到最好的效果。 上述的五層安全體系并非孤立分散。如果將網(wǎng)絡(luò)系統(tǒng)比作一幢辦公大樓的話，門 衛(wèi)就相當(dāng)于對網(wǎng)絡(luò)層的安全性考慮，他負(fù)責(zé)判斷每位來訪者是否能夠被允許進(jìn)入 辦公大樓，發(fā)現(xiàn)具有危險(xiǎn)性的來訪者則將其拒之門外，而不是讓所有人都能夠隨意 出入。操作系統(tǒng)的安全性在這里相當(dāng)于整個(gè)大樓的辦公制度，辦公流程的每一環(huán)節(jié) 緊密相連，環(huán)環(huán)相扣，不讓外人有可乘之機(jī)。如果對整個(gè)大樓的安全性有更高的要 求的話，還應(yīng)該在每一樓層中設(shè)罱警衛(wèi)，辦公人員只能進(jìn)入相應(yīng)的樓層，而如果要 進(jìn)入其它樓層，則需要獲得相應(yīng)的權(quán)限，這實(shí)際是對用戶的分組管理，類似于網(wǎng)絡(luò) 系統(tǒng)中對于用戶安全問題的考慮。應(yīng)用程序的安全性在這單相當(dāng)于部門與部門間的 分工，每一部門只做自己的工作，而不會干擾其它部門的工作。數(shù)據(jù)的安全性則類 似于使用保險(xiǎn)柜來存放機(jī)密文件，即使竊賊進(jìn)入了辦公室，也很難將保險(xiǎn)柜打開， 取得其中的文件。 華中科技大學(xué)碩士學(xué)位論文 1 3 課題的來源及其主要研究任務(wù) 1 3 1 課題的來源 本課題來源于信息安全國家重點(diǎn)實(shí)驗(yàn)室產(chǎn)品化項(xiàng)目。 目前，為了抵御網(wǎng)絡(luò)非法的犯罪活動的產(chǎn)生，我們在計(jì)算機(jī)科學(xué)領(lǐng)域不斷的嘗 試使用各種防御措施，如：利用密碼技術(shù)、身份認(rèn)證技術(shù)、授權(quán)訪問控制技術(shù)等純 軟件加密技術(shù)；或是使用硬件加密芯片為代表的嵌入式硬件加密設(shè)備等純硬件的加 密技術(shù)。據(jù)了解，目前基于w i n d o w s 操作系統(tǒng)的安全防護(hù)軟件雖有不少，但純軟件 或是純硬件的效果都不是太理想。這主要是由于純軟件的加密技術(shù)有時(shí)只能防住一 般的遠(yuǎn)程攻擊，防范的功能十分有限也有很多漏洞：而純硬件的加密技術(shù)是功能很 單一的防范措施，對現(xiàn)代各種應(yīng)用的操作系統(tǒng)的兼容性不強(qiáng)，使用起來非常局限等 缺點(diǎn)口9 j 。為了提高系統(tǒng)的安全防御能力、對現(xiàn)代應(yīng)用型操作系統(tǒng)的兼容性、使其功 能更加完善，本文提出了種采用軟件加密算法與硬件加密設(shè)備相結(jié)合的安全防護(hù) 方法一“基于k e y 的身份認(rèn)證和授權(quán)系統(tǒng)”。該方法很好的解決了上述由于純軟件和 純硬件加密所存在的缺點(diǎn)，【2 0 】它主要是采用加密鎖( k e y ) 作為硬件加密設(shè)備，并利 用w i n l o g o n ( w i n d o w sl o g o np r o c e s s ) 調(diào)用g i n a ( g r a p h i c a li d e m 訊c a t i o na 1 1 d a u t h e n t i c a t i o n ) 動態(tài)連接庫監(jiān)視安全認(rèn)證序列，通過軟硬件的有機(jī)結(jié)合，基于硬件 加密設(shè)備k e y 的g i n a 登錄技術(shù)可以實(shí)現(xiàn)用戶身份認(rèn)證、終端資源訪問控制以及安 全審計(jì)等工作，從而有效地提高了網(wǎng)絡(luò)系統(tǒng)的信息安全防御能力。 “基于硬件加密設(shè)備的身份認(rèn)證與授權(quán)系統(tǒng)”是在電子化辦公的需求下提出的，目 的是要求解決當(dāng)前曰常辦公中出現(xiàn)的資料外泄和用機(jī)管理混亂等情況【2 ”。這些問題 的存在極大的影響了日常辦公的效率和對機(jī)密資料的管理，所以，為了解決這些問題， 我們通過不斷的研究與實(shí)現(xiàn)，提出了在智能電子鑰匙k e y 的技術(shù)基礎(chǔ)上，結(jié)合用戶對 通用計(jì)算機(jī)上安全控制的普遍需求，通過硬件智能電子鑰匙k e y 、安全軟件包與 w i n d o w s 操作系統(tǒng)的有機(jī)結(jié)合，為現(xiàn)代通用的計(jì)算機(jī)在w i n d o w s 操作系統(tǒng)環(huán)境下建 立和提供了一套有效的、可靠的安全控制體系，使系統(tǒng)具有以智能電子鑰匙k e y 支 持的權(quán)限管理、身份認(rèn)證、外部設(shè)備使用控制、安全審計(jì)、系統(tǒng)安全掛起、私有文 件保密等安全控制功能。 通過對該系統(tǒng)的研究，更好的完善了硬件電子鑰匙在安全領(lǐng)域的應(yīng)用范圍，加強(qiáng) 了、i n d o w s 操作系統(tǒng)的安全性、可靠性、實(shí)用性等諸多適應(yīng)當(dāng)代科學(xué)計(jì)算機(jī)發(fā)展的 華中科技大學(xué)碩士學(xué)位論文 新優(yōu)點(diǎn)。也是即i b m 推出安全計(jì)算機(jī)以來又一個(gè)軟硬件相結(jié)合的安全計(jì)算平臺，故 從實(shí)際的應(yīng)用出發(fā)，研究該系統(tǒng)為以后的相應(yīng)研究提供一定的參考價(jià)值2 2 1 。 1 3 2 本文的主要研究任務(wù) 本文首先從各個(gè)方面對目前的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行探討；然后，分析了目前國際上 比較成熟的身份認(rèn)證和授權(quán)系統(tǒng)的相關(guān)技術(shù)( 密碼技術(shù)、身份認(rèn)證技術(shù)、授權(quán)訪問 控制技術(shù)等) 的實(shí)現(xiàn)方法和使用情況；并且，重點(diǎn)介紹了基于硬件加密鎖k e y 的身 份認(rèn)證和授權(quán)系統(tǒng)的具體設(shè)計(jì)思想和實(shí)現(xiàn)方法；其次，還討論了基于硬件加密鎖k i e y 的身份認(rèn)證和授權(quán)系統(tǒng)的實(shí)際應(yīng)用情況和系統(tǒng)的安全性：最后，作者對整個(gè)研究項(xiàng)目 進(jìn)行總結(jié)?，F(xiàn)將本文對基于硬件加密鎖k e y 的身份認(rèn)證和授權(quán)系統(tǒng)所做的相關(guān)研究 及實(shí)踐工作概括如下： l 、在繼承了當(dāng)前硬件加密鎖k e y 和身份認(rèn)證及授權(quán)軟件產(chǎn)品的所有功能的基礎(chǔ) 上，提出并實(shí)現(xiàn)基于硬件加密鎖k e y 的身份認(rèn)證和授權(quán)系統(tǒng)的解決方案。該系統(tǒng)克 服以往由純軟件和純硬件產(chǎn)品所不具備的更加完善的功能、更加強(qiáng)大的管理機(jī)制和 更加穩(wěn)定的系統(tǒng)性能等特點(diǎn)； 2 、軟件方面： ( 1 ) 利用w i n l o g o n ( w i n d o w sl o g o np r o c e s s ) 調(diào)用g i n a ( g r a p h i c a l i d e m 訊c a t i o na n d a u t l l e n t i c a t i o n ) 動態(tài)連接庫監(jiān)視安全認(rèn)證序列來實(shí)現(xiàn)用戶的身份認(rèn)證功能： ( 2 ) 全面地分析了客戶服務(wù)器模式和控制中心技術(shù)，并以動態(tài)鏈接庫技術(shù)為基礎(chǔ)，實(shí) 現(xiàn)穩(wěn)定、靈活的w i n d o w s 軟件開發(fā)環(huán)境，以此作為基于硬件加密鎖k e y 的身份認(rèn)證 和授權(quán)實(shí)現(xiàn)的軟件技術(shù)基礎(chǔ)； ( 3 ) 采用s i n g l ed e s 或t r i p l ed e s 完善的文件加解密技術(shù)實(shí)現(xiàn)對文件及數(shù)據(jù)的加解密 功能： ( 4 ) 采用虛擬磁盤區(qū)間存放加密文件，并且采取權(quán)限控制，防止非法用戶瀏覽和使用保 密文件。 3 、硬件方面：利用現(xiàn)在流行的加密技術(shù)集成芯片為基礎(chǔ)制作的智能電子鑰匙 k e y 與其現(xiàn)行的p c 機(jī)的u s b 接口相連，和上述的安全軟件包形成一套硬軟件相結(jié) 合的系統(tǒng)，在w i n d o w s 操作系統(tǒng)下實(shí)現(xiàn)了具有安全身份認(rèn)證、授權(quán)、審計(jì)等多項(xiàng)功 能； 4 、將g i n a 登錄技術(shù)融入系統(tǒng)身份認(rèn)證的工作中，并作為w i n d o w s 操作平臺的 用戶操作界面，該思想具有一定的新穎性。 華中科技大學(xué)碩士學(xué)位論文 2網(wǎng)絡(luò)信息安全的基本原理及技術(shù) 2 1 網(wǎng)絡(luò)信息安全的基本原理 信息安全系統(tǒng)以密碼技術(shù)為核心，以數(shù)據(jù)加密、數(shù)字簽名、訪問控制等安全技 術(shù)為基礎(chǔ)，充分考慮身份認(rèn)證機(jī)制、信息傳輸安全、權(quán)限控制等安全因素，在網(wǎng)絡(luò) 上實(shí)現(xiàn)了強(qiáng)有力的身份認(rèn)證和訪問控制功能。使合法用戶能夠訪問網(wǎng)絡(luò)上的所授權(quán) 的資源，將非法用戶拒絕于網(wǎng)絡(luò)之外。 身份認(rèn)證實(shí)現(xiàn)了網(wǎng)絡(luò)用戶與服務(wù)器之間的雙向身份認(rèn)證，又將砌，a c ( 基于角 色的訪問控制) 溶入到網(wǎng)絡(luò)協(xié)議代理中，對訪問網(wǎng)絡(luò)的用戶實(shí)施基于角色的訪問控 制。本系統(tǒng)代理了應(yīng)用系統(tǒng)的網(wǎng)絡(luò)協(xié)議，并代理用戶訪問系統(tǒng)的提供的服務(wù)，因而， 可對網(wǎng)絡(luò)用戶的行為進(jìn)行全面的審計(jì)，大大的提高了系統(tǒng)的安全性。 2 1 1 網(wǎng)絡(luò)用戶身份認(rèn)證 網(wǎng)絡(luò)用戶訪問網(wǎng)絡(luò)中的應(yīng)用服務(wù)器時(shí)，需完成用戶與客戶端認(rèn)證設(shè)備( k e y ) 之間 的認(rèn)證，并利用客戶端認(rèn)證設(shè)備( k e y ) 實(shí)現(xiàn)用戶與身份認(rèn)證服務(wù)器之間的單、雙向身 份認(rèn)證。再通過身份認(rèn)證服務(wù)器的認(rèn)證后，用戶才具有訪問應(yīng)用服務(wù)器的令牌。 2 1 2 重要服務(wù)器的訪問控制 除了用戶在訪問網(wǎng)絡(luò)中服務(wù)器時(shí)需要對其進(jìn)行身份認(rèn)證外，系統(tǒng)還對重要的服 務(wù)器進(jìn)行訪問控制限制。一方面是用戶是否有權(quán)限訪問服務(wù)器，另一方面是用戶能 訪問服務(wù)器提供的的哪些服務(wù)。例如：一些用戶能只能訪問服務(wù)器提供的w e b 服務(wù)， 另外一些用戶只能訪問服務(wù)器提供的f t p 服務(wù)：更進(jìn)一步，某些用戶可以訪問w e b 服務(wù)中的所有頁面，而某些用戶則只能訪問w e b 服務(wù)中的部分頁面。 2 1 3 對資源基于角色的訪問控制 i u 3 a c 是基于角色的訪問控制的英文縮寫，基于角色的訪問控制技術(shù)的特點(diǎn)是： 將對訪問者的控制轉(zhuǎn)換為對角色的控制，從而使授權(quán)管理更為方便實(shí)用、效率更高。 同時(shí)，角色與角色之間可以繼承權(quán)限，使各個(gè)角色的權(quán)限劃分更為清晰、明確，降低 1 0 華中科技大學(xué)碩士學(xué)位論文 了權(quán)限管理的復(fù)雜性。 角色可以對應(yīng)現(xiàn)實(shí)生活中的行政角色關(guān)系，不同角色的用戶可以訪問不同權(quán)限 級別的資源。 2 2 密碼技術(shù) 密碼技術(shù)是保護(hù)信息安全的主要手段之一?！? 3 1 密碼技術(shù)自古有之，到目前為止， 已經(jīng)從外交和軍事領(lǐng)域走向公開。它并且是結(jié)合數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等 諸多學(xué)科于一身的交叉學(xué)科，它不僅具有保證信息機(jī)密性的信息加密功能，而且具 有數(shù)字簽名、身份驗(yàn)證、秘密分存、系統(tǒng)安全等功能。所以，使用密碼技術(shù)不僅可 以保證信息的機(jī)密性，而且可以保證信息的完整性和確定性，防止信息被篡改、偽 造和假冒。 從密碼體制方面而言，密碼體制有對稱密鑰密碼技術(shù)和非對稱密鑰密碼技術(shù)。對 稱密鑰密碼技術(shù)要求加密解密雙方擁有相同的密鑰而非對稱密鑰密碼技術(shù)是加密 解密雙方擁有不相同的密鑰，在不知道門陷信息的情況下，加密密鑰和解密密鑰在 計(jì)算上是不能相互算出的1 2 4 1 。 2 2 1 對稱密鑰密碼技術(shù) 對稱( 傳統(tǒng)) 密碼體制是從傳統(tǒng)的簡單換位，代替密碼發(fā)展而來的，對稱密鑰密 碼體制從加密模式上可分為序列密碼和分組密碼兩大類f 2 5 】。 序列密碼的主要原理是，通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列，使用該序 列加密信息流，( 逐比特加密) 得到密文序列，所以，序列密碼算法的安全強(qiáng)度完全 決定于它所產(chǎn)生的偽隨機(jī)序列的好壞。產(chǎn)生好的序列密碼的主要途徑之一是利用移 位寄存器產(chǎn)生偽隨機(jī)序列。 分組密碼的工作方式是將明文分成固定長度的組( 塊) ，用同一密鑰和算法對每 一塊加密，輸出也是固定長度的密文。設(shè)計(jì)分組密碼算法的核心技術(shù)是：在相信復(fù) 雜函數(shù)可以通過簡單函數(shù)迭代若干圈得到的原則下，利用簡單圈函數(shù)及對合等運(yùn)算， 充分利用非線性運(yùn)算。 對稱密鑰算法的優(yōu)點(diǎn)是加解密速度快，適合對大數(shù)據(jù)量進(jìn)行加解密運(yùn)算。 缺點(diǎn)是密鑰的分發(fā)，管理復(fù)雜，在用戶群較大的情況下尤其困難【2 6 】。 華中科技大學(xué)碩士學(xué)位論文 2 2 2 非對稱密鑰密碼技術(shù) 1 9 7 6 年d i m e 和h e l l m a n 以及m e r k l e 分別提出了公開密鑰密碼體制的思想，這 不同于傳統(tǒng)的對稱密鑰密碼體制，它要求密鑰成對出現(xiàn)，一個(gè)為加密密鑰( e ) ，另一 個(gè)為解密密鑰( d ) ，且不可能從其中一個(gè)推導(dǎo)出另一個(gè)【2 “。 非對稱密鑰算法也稱公鑰加密算法，用兩對密鑰：一個(gè)公共密鑰和一個(gè)私有密鑰。 用戶要保障私有密鑰的安全：公共密鑰則可以發(fā)布出去。公共密鑰與私有密鑰是有 緊密關(guān)系的，用公共密鑰加密的信息只能用私有密鑰解密，反之亦然。除加密功能 外，公鑰算法還可以提供數(shù)字簽名。經(jīng)典的公共密鑰加密算法有：r s a 、d s a 、e c c 。 公開密鑰密碼體制的優(yōu)點(diǎn)就在于：由于加密密鑰是公開的，密鑰的分配和管理就 很簡單。公開密鑰加密算法能夠很容易地實(shí)現(xiàn)數(shù)字簽名，因此，最適合于電子商務(wù) 應(yīng)用需要。另外，由于基于尖端的數(shù)學(xué)難題，所以它有更好的安全性。 其缺點(diǎn)在于：非對稱密鑰算法較對稱密鑰算法運(yùn)算復(fù)雜的多，處理速度慢。因此， 通常把非對稱密鑰密碼技術(shù)與對稱密鑰密碼技術(shù)結(jié)合起來實(shí)現(xiàn)最佳性能。即用非對 稱密鑰密碼技術(shù)在通信雙方之間傳送對稱密鑰，而用對稱密鑰密碼技術(shù)來對實(shí)際傳 輸?shù)臄?shù)據(jù)加密解密。 2 3 身份認(rèn)證技術(shù)及方式 2 3 1 基于公共密鑰的認(rèn)證機(jī)制 目前在i m e m e t 上也使用基于公共密鑰的安全策略進(jìn)行身份認(rèn)證，具體而言，使 用符合x 5 0 9 的身份證明。使用這種方法必須有一個(gè)第三方的證明授權(quán)( c a ) 中心 為客戶簽發(fā)身份證明?？蛻艉头?wù)器各自從c a 獲取證明，并且信任該證明授權(quán)中 心。在會話和通訊時(shí)首先交換身份證明，其中包含了將各自的公鑰交給對方，然后 才使用對方的公鑰驗(yàn)證對方的數(shù)字簽名、交換通訊的加密密鑰等。在確定是否接受 對方的身份證明時(shí)，還需檢查有關(guān)服務(wù)器，以確認(rèn)該證明是否有效( 圖2 1 ) 【2 耵。 華中科技大學(xué)碩士學(xué)位論文 圈2 1 基于公共密鑰的認(rèn)證系統(tǒng) 2 3 2 公共密鑰管理服務(wù)器( p k m s ) 在一般的實(shí)現(xiàn)機(jī)制中，常將基于公共密鑰的s s l 策略集成在一起，多用在w 曲 應(yīng)用方面。認(rèn)證服務(wù)器通過公共密鑰管理服務(wù)器( p k m s ) 與s s l 連接起來。p k m s 實(shí)際是身份認(rèn)證網(wǎng)關(guān)和建立基于s s l 的加密通道，客戶端不必使用客戶端軟件，可 使用s s l 瀏覽器登錄到p k m s ，p k m s 將用戶的身份映射成系統(tǒng)用戶身份并且通過 r p c 迸行傳輸，也就是將s s l 的用戶標(biāo)識傳遞給認(rèn)證服務(wù)器。1 2 9 】p k m s 是用來與 i m e m e t 用戶之間臨時(shí)建立起相互信任的安全會話過程，然后將i n t e m e t 用戶身份映 射到系統(tǒng)訪問控制機(jī)制可以管理的用戶身份( 圖2 2 ) 。 l 囂蓬氣鬻藎堞 圖2 2s s l 瀏覽器、p k m s 、認(rèn)證服務(wù)器的交互 2 3 3 基于公共密鑰的認(rèn)證過程 在p k m s 和使用支持s s l 、s h t t p 的瀏覽器用戶之間的身份驗(yàn)證是建立在公開 密鑰加密數(shù)字簽名和授權(quán)證明之上的。數(shù)字簽名工作如下： 用戶產(chǎn)生一段文字信息然后對這段文字信息進(jìn)行單向不可逆的變換。用戶再 用自己的秘密密鑰對生成的文字變換進(jìn)行加密，并將原始的文字信息和加密后的文 字變換結(jié)果傳送給指定的接收者。這段經(jīng)過加密的文字變換結(jié)果就被稱作數(shù)字簽名。 文字信息和加密后的文字變換的接收者將收到的文字信息進(jìn)行同樣的單項(xiàng)不 可逆的變換。同時(shí)也用發(fā)送方的公開密鑰對加密的文字變換進(jìn)行解密。如果解密后 華中科技大學(xué)碩士學(xué)位論文 用戶擁有的東西，如智能卡； 用戶所具有的生物特征，如指紋、聲音、視網(wǎng)膜掃描等。 下面逐一進(jìn)行討論。 2 3 4 1 基于口令的認(rèn)證方式 基于口令的認(rèn)證方式是最常用的種技術(shù)，但它存在嚴(yán)重的安全問題。它是一 種單因素的認(rèn)證，安全性僅依賴于口令，口令一旦泄露，用戶即可被冒充。更嚴(yán)重 的是用戶往往選擇簡單、容易被猜測的口令，如：與用戶名相同的口令、生日、單 詞等。這個(gè)問題往往成為安全系統(tǒng)最薄弱的突破口?？诹钜话闶墙?jīng)過加密后存放在 口令文件中，如果口令文件被竊取，那么就可以進(jìn)行離線的字典式攻擊。這也是黑 客最常用的手段之一f 3 2 】。 2 3 4 2 基于智能卡的認(rèn)證方式 智能卡具有硬件加密功能，有較高的安全性。每個(gè)用戶持有張智能卡，智能 卡存儲用戶個(gè)性化的秘密信息，同時(shí)在驗(yàn)證服務(wù)器中也存放該秘密信息。進(jìn)行認(rèn)證 時(shí)，用戶輸入p i n ( 個(gè)人身份識別碼) ，智能卡認(rèn)證p i n ，成功后，即可讀出智能卡 中的秘密信息，進(jìn)而利用該秘密信息與主機(jī)之間進(jìn)行認(rèn)證。 基于智能卡的認(rèn)證方式是一種雙因素的認(rèn)證方式( p i n + 智能卡) ，即使p i n 或 智能卡被竊取，用戶仍不會被冒充。智能卡提供硬件保護(hù)措施和加密算法，可以利 用這些功能加強(qiáng)安全性能，例如：可以把智能卡設(shè)置成用戶只能得到加密后的某個(gè) 秘密信息，從而防止秘密信息的泄露f 3 3 】。 2 3 4 3 基于生物特征的認(rèn)證方式 這種認(rèn)證方式以人體惟一的、可靠的、穩(wěn)定的生物特征( 如指紋、虹膜、臉部、 掌紋等) 為依據(jù)，采用計(jì)算機(jī)的強(qiáng)大功能和網(wǎng)絡(luò)技術(shù)進(jìn)行圖像處理和模式識別。該 技術(shù)具有很好的安全性、可靠性和有效性，與傳統(tǒng)的身份確認(rèn)手段相比，無疑產(chǎn)生 了質(zhì)的飛躍。近幾年來，全球的生物識別技術(shù)己從研究階段轉(zhuǎn)向應(yīng)用階段，對該技 術(shù)的研究和應(yīng)用如火如荼，前景十分廣闊【3 4 】。 華中科技大學(xué)碩士學(xué)位論文 2 4 授權(quán)訪問控制技術(shù) 2 4 1 傳統(tǒng)訪問控制機(jī)制安全性的分析 傳統(tǒng)的訪問控制機(jī)制包括d a c 和m a c 兩種機(jī)制。d a c 機(jī)制主要用于商用系統(tǒng)， 兩m a c 機(jī)制主要用于軍用系統(tǒng)。這兩種機(jī)制也是目前研究最為成熟，應(yīng)用最為廣泛 的訪問控制機(jī)制。 ( 1 ) 自主性訪問控制( d a c ) 自主性訪問控制基于矩陣模型，它將系統(tǒng)中的實(shí)體分為主體s 和客體0 。在訪 問控制的矩陣模型下，主體s 要對客o 進(jìn)行訪問，訪問控制機(jī)制要檢查權(quán)利矩陣的 元素a ，看s 是否擁有對o 的訪問權(quán)力以決定是否可以對0 進(jìn)行訪問。而且對其他 主體具有授與某種訪問權(quán)力的主體能夠自主的將訪問特權(quán)或訪問特權(quán)的某以子集授 予其他主體。目前，大多數(shù)的u n i x 、l i n u x 系統(tǒng)都是基于自主性訪問控制。 ( 2 ) 強(qiáng)制性訪問控制( m a c ) 自主性訪問控制的矩陣模型是基于單級安全模型，而強(qiáng)制性訪問控制是基于多 級安全模型的。在這些安全模型中，最著名的的便是b e l l & l a p a d u l a 模型( 簡稱b l p 模型) ，它在軍事系統(tǒng)中有著廣泛的應(yīng)用。在b l p 模型中，每一個(gè)信息都有一個(gè)密 級，每個(gè)用戶也都擁有一個(gè)簽證。一個(gè)人是否允許閱讀某一個(gè)文件，通過比較該用 戶的簽證與該文件的密級要求是否相符來確定。 2 4 2 新興訪問控制i m a c 機(jī)制安全性的分析 科研人員在對傳統(tǒng)的d a c 和m a c 機(jī)制研究的基礎(chǔ)上，針對這兩種訪問控制機(jī) 制的不足提出了一種新的訪問控制機(jī)制r b a c 機(jī)制。 砌j a c 的基本思想是：授權(quán)給用戶訪問權(quán)限，通常由用戶在一個(gè)組織中擔(dān)任的 角色來確定。角色不同，擁有的權(quán)限也各不相同。i 強(qiáng)a c 根據(jù)用戶在系統(tǒng)內(nèi)所處的 角色作出訪問授權(quán)與控制，單用戶不能自主的將訪問權(quán)限傳給他人( 3 5 。用戶能夠?qū)?一個(gè)客體執(zhí)行訪問操作的必要條件是， x 華中科技大學(xué)碩士學(xué)位論文 l 、安全客戶端插件 安全客戶端插件設(shè)計(jì)為瀏覽器的安全插件，為b s 系統(tǒng)提供身份認(rèn)證、訪問控 制和安全通信的功能。該插件也支持v p n 通信方式，或客戶本地安全代理方式， 也可以為典型的c s 系統(tǒng)提供安全代理通信服務(wù)。同時(shí)，插件還提供了標(biāo)準(zhǔn)的a p i 接口，供b s 和c s 客戶端的嵌入式開發(fā)和附加功能開發(fā)。 2 、安全服務(wù)器插件 安全服務(wù)器插件直接安裝在應(yīng)用服務(wù)器上，協(xié)助應(yīng)用系統(tǒng)完成用戶認(rèn)證和訪問 控制，是為實(shí)現(xiàn)訪問控制規(guī)則、認(rèn)證和資源之間的聯(lián)接而設(shè)計(jì)的插件。在受保護(hù)的 應(yīng)用服務(wù)器上配置安全服務(wù)器插件，訪問控制體系可以適應(yīng)不同的系統(tǒng)環(huán)境，并為 應(yīng)用系統(tǒng)實(shí)現(xiàn)統(tǒng)一安全策略下的訪問控制。 用戶授權(quán)管理服務(wù)器 用戶授權(quán)管理服務(wù)器是一臺獨(dú)立主機(jī)，負(fù)責(zé)建立用戶信息、完成用戶集中管理、 建立訪問控制策略、設(shè)置認(rèn)證方法和數(shù)據(jù)，完成用戶的分組或角色定義，權(quán)限數(shù)據(jù) 的建立等。權(quán)限數(shù)據(jù)交用戶認(rèn)證服務(wù)器使用和提供服務(wù)。 3 、用戶認(rèn)證決策服務(wù)器 用戶認(rèn)證服務(wù)器是一臺獨(dú)立的服務(wù)器，包括l d a p 服務(wù)器和認(rèn)證決策模塊。數(shù) 據(jù)庫內(nèi)存放著從用戶管理服務(wù)器獲得的權(quán)限信息，依據(jù)安全服務(wù)器插件提供的用戶 信息完成用戶類型的認(rèn)證并就其訪問權(quán)限做出決策，決策結(jié)果交回給安全服務(wù)器插 件執(zhí)行。擁有多個(gè)應(yīng)用系統(tǒng)的大型網(wǎng)絡(luò)中心可以配備多個(gè)用戶認(rèn)證服務(wù)器，互為備 份，以便提高服務(wù)能力，構(gòu)成冗余配置和提高系統(tǒng)的可用性。 華中科技大學(xué)碩士學(xué)位論文 3 基于硬件加密設(shè)備的身份認(rèn)證與授權(quán)系統(tǒng)設(shè)計(jì)原理及實(shí)現(xiàn) 3 1 概述 目前各行各業(yè)對網(wǎng)絡(luò)應(yīng)用的需求已越來越多，隨之而來的網(wǎng)絡(luò)信息安全的管理也 變得越來越重要。如何對一個(gè)龐大網(wǎng)絡(luò)的用戶身份和信息資源進(jìn)行有效的安全的管 理，如：網(wǎng)絡(luò)用戶身份認(rèn)證的管理：用戶認(rèn)證后所能獲得的應(yīng)用訪問權(quán)限的管理， 特別是對跨地域、跨組織機(jī)構(gòu)、跨行業(yè)的網(wǎng)絡(luò)用戶身份認(rèn)證和授權(quán)訪問應(yīng)用權(quán)限的 管理等等。對于這些基于網(wǎng)絡(luò)信息安全的管理問題，國外的許多廠家利用當(dāng)前的網(wǎng) 絡(luò)先進(jìn)技術(shù)提出了一些很好的解決方案。 隨著計(jì)算機(jī)應(yīng)用的深入，各行各業(yè)迅速向電子化、網(wǎng)絡(luò)化發(fā)展。許多企業(yè)或機(jī)構(gòu) 相繼構(gòu)建了局域網(wǎng)。內(nèi)網(wǎng)的建立提高了企業(yè)工作效率，加強(qiáng)了內(nèi)部信息交流，降低 了公司運(yùn)營成本：但同時(shí)也給公司帶來了業(yè)務(wù)數(shù)據(jù)的保密性和安全性等問題，企業(yè) 不得不考患如何有效防止使用者通過網(wǎng)絡(luò)非法拷貝和利用電子郵件等手段輕易地獲 取公司的核心數(shù)據(jù)與文件。因此，建立一套在局域網(wǎng)環(huán)境下的計(jì)算機(jī)安全系統(tǒng)已成 為企業(yè)必須面對和亟待解決的重要問題【48 1 。 目前，基于w i n d o w s 操作系統(tǒng)的安全防護(hù)軟件雖有不少，但純軟件的效果有時(shí) 不是太理想。為了提高系統(tǒng)的安全防御能力，本文提出了一種采用軟件加密算法與 硬件加密設(shè)備相結(jié)合的安全防護(hù)方法。該方法采用加密鎖( u s b k e y ) 作為硬件加 密設(shè)備，并利用、m n l o g o n ( 、m n d o w sl o g o np r o c e s s ) 調(diào)用g i n a ( g r a p h i c a l i d e n t 湎c a t i o na n da u t h e n t i c a t i o n ) 動態(tài)連接庫監(jiān)視安全認(rèn)證序列，通過軟硬件的有機(jī) 結(jié)合，基于硬件加密設(shè)備的g i n a 登錄技術(shù)可以實(shí)現(xiàn)用戶身份認(rèn)證、終端資源訪問 控制以及安全審計(jì)等工作，從而有效地提高了網(wǎng)絡(luò)系統(tǒng)的信息安全防御能力。 3 2 基于硬件加密設(shè)備的身份認(rèn)證與授權(quán)系統(tǒng)的設(shè)計(jì)方案 3 2 1 系統(tǒng)功能 “基于硬件加密設(shè)備的身份認(rèn)證與授權(quán)系統(tǒng)”是在智能電子鑰匙k e y 的技術(shù)基礎(chǔ) 上，結(jié)合用戶對通用計(jì)算機(jī)上安全控制的普遍需求，通過硬件智能電子鑰匙k - e y 、 1 9 華中科技大學(xué)碩士學(xué)位論文 安全軟件包與w i n d o w s 操作系統(tǒng)的有機(jī)結(jié)合，為現(xiàn)代通用的計(jì)算機(jī)在w i n d o w s 操作 系統(tǒng)環(huán)境下建立和提供了一套有效的、可靠的安全控制體系，使系統(tǒng)具有以智能電 子鑰匙k e y 支持的權(quán)限管理、身份認(rèn)證、外部設(shè)備使用控制、安全審計(jì)、系統(tǒng)安全 掛起、私有文件保密等安全控制功能，本系統(tǒng)制作的安全產(chǎn)品所提供個(gè)人用戶對計(jì) 算機(jī)使用方面的安全控制，具體功能主要有： 1 、避免非法登陸、使用計(jì)算機(jī)； 2 、避免計(jì)算機(jī)丟失后，非法使用自己的保密信息： 3 、避免短暫離開，他人偷窺自己的信息： 4 、附加功能( 加強(qiáng)同一計(jì)算機(jī)多人使用時(shí)不同用戶的使用權(quán)限的控制，如將計(jì)算機(jī)短 暫借給朋友使用，家長需要控制自己子女對家里計(jì)算機(jī)的使用) 包括有： 避免他人對外部設(shè)備的非法訪問( 如：光驅(qū)、軟驅(qū)等) ； 避免他人對文件的非法訪問與操作，特別對可執(zhí)行文件的執(zhí)行權(quán)限的控制； 避免他人非法訪問網(wǎng)絡(luò)資源；包括： a 限制對指定網(wǎng)址( u r l ) 的訪問； b 限制上網(wǎng)時(shí)間； c 、對網(wǎng)頁內(nèi)容的過濾： d 對網(wǎng)上文件下載的限制； 避免他人在自己的計(jì)算機(jī)上非法安裝程序。 3 2 2 運(yùn)行環(huán)境 本系統(tǒng)的運(yùn)行環(huán)境兼容于w i n d o w s 的幾個(gè)當(dāng)前流行的操作系統(tǒng)，它們包括： w i n d o w s2 0 0 0 p r o ： w i n d o w s2 0 0 0 s e r ： w i n d o w s x p 3 2 3 系統(tǒng)結(jié)構(gòu) 3 2 3 1 系統(tǒng)模塊設(shè)計(jì) 根據(jù)系統(tǒng)的功能，如圖3 1 所示，系統(tǒng)模塊包括三個(gè)部分組成：控制中心軟件； 客戶端軟件；系統(tǒng)安全硬件。前面兩個(gè)是屬于軟件部分，后面的“系統(tǒng)安全硬件”是 屬于硬件部分，即電子鑰匙k e y 。其中控制中心軟件還包括：用戶管理模塊、資源 華中科技大學(xué)碩士學(xué)位論文 第二步：系統(tǒng)校驗(yàn)自動登錄密碼( 密碼就保存在k e y 中) 和k e y 的序列號； 第三步：如果校驗(yàn)結(jié)果正確( 密碼有效) ，則直接登錄到w i n d o w s 操作系統(tǒng)： 第四步；如果校驗(yàn)結(jié)果錯(cuò)誤( 密碼無效) ，則轉(zhuǎn)到閂常無k e y 時(shí)的w i n d o w s 登錄方 式進(jìn)行登錄：( 這時(shí)要繼續(xù)判斷是否登錄成功，若登錄成功，系統(tǒng)將立刻要求強(qiáng)制輸 入k e y 的登錄密碼，這時(shí)若輸入密碼正確，則可直接登錄系統(tǒng)；若登錄不成功，則 禁止登錄。) ( 2 ) 檢測到k e y ，密碼登錄方式流程如圖3 4 所示： 圖3 4 檢測到k e y 時(shí)密碼登錄方式流程 第一步：檢測到k e y ，以密碼登錄方式登錄( 出現(xiàn)用戶登錄界面，請求用戶輸入登 錄密碼) ； 第二步：判斷登錄用戶輸入的密碼是否正確，如果密碼正確，則直接登錄到w i n d o w s ： 如果密碼錯(cuò)誤，則轉(zhuǎn)到日常無k e y 時(shí)的登錄方式登錄： 第三步：判斷此時(shí)日常無k e y 時(shí)的登錄方式是否成功，若登錄成功，系統(tǒng)將立刻要 求強(qiáng)制輸入k e y 的登錄密碼，這時(shí)若輸入密碼正確，則可直接登錄系統(tǒng)；若登錄不 成功，則禁止登錄。) 2 、無k e y 登錄流程 無k e y 登錄流程如圖3 5 所示： 黧 華中科技大學(xué)碩士學(xué)位論文 無k e y ，采用 w i n d o w 萌斌登錄 ( i ) 鎖定。防刪除文件 ( 2 ) 鎖定外部設(shè)備 ( 3 ) 限制網(wǎng)址。并月 系統(tǒng)請求用戶 輸入密碼，驗(yàn) 證登錄權(quán)限 判斷用戶密碼是否過期? ! 竺竺皇效 一 登錄w i n d 。w s 禁止髓錄系統(tǒng) 圖3 5 無k e y 時(shí)的登錄流程圖 第一步：無k e y 登錄時(shí)，以w i n d o w s 方式登錄，首先將所有文件鎖定，啟動防刪除 功能保護(hù)文件；然后鎖定外部設(shè)備，不許非法用戶使用外部設(shè)備 _ 且+ ( 望些 一 稈預(yù)眄隔田 ( 數(shù)據(jù)庫) 備份數(shù)據(jù)庫 g i n a d l l 圖3 1 6 用戶k e y 發(fā)行流程圖 華中科技大學(xué)碩士學(xué)位論文 用戶k e y 的發(fā)行流程如圖3 1 6 所示，具體操作是：首先，開機(jī)，安裝基于k e y 的身份認(rèn)證和授權(quán)系統(tǒng)后，插入k e y 并使用格式化程序( 見安裝程序套間) ，將其初 始化，然后啟動該系統(tǒng)到主界面下，按照以下的四個(gè)步驟進(jìn)行： 第一步：啟動用戶k e y 發(fā)行程序： 第二步：判定用戶k _ e y 是否發(fā)行是通過數(shù)據(jù)庫中存在的紀(jì)錄來判斷是否已發(fā)行：若 已發(fā)行，直接退出用戶k e y 發(fā)行程序；若未發(fā)行用戶k e y ，甩戶在彈出的對話框中 輸入具有用戶身份認(rèn)證的用戶名和密碼； 第三步；檢測k e y 是否是具有發(fā)行用戶k e y 權(quán)限：若沒有此項(xiàng)權(quán)限，則直接退出用 戶k e y 發(fā)行程序；若有此項(xiàng)權(quán)限，則調(diào)用發(fā)行用戶k e y 功能項(xiàng)，進(jìn)行發(fā)行用戶k e y ； 第四步：判斷用戶k e y 是否發(fā)行成功：若發(fā)行成功，則寫發(fā)行成功標(biāo)志到數(shù)據(jù)庫中 保存、對數(shù)據(jù)庫進(jìn)行備份，并寫注冊表加入“g i n a d l l ”子項(xiàng)；若發(fā)行失敗，則退到發(fā) 行用戶k e y 之前的狀態(tài)。 華中科技大學(xué)碩士學(xué)位論文 字有缺陷時(shí)，比如口令字短、使用名字做口令字、使用個(gè)字( w o r d ) 做口令字( 可 以使用字典攻擊) 等。對付這種攻擊的辦法是使用一個(gè)很長的口令字，并避免使用 用戶名字中的字，避免使用一個(gè)字( w o r d ) 做口令字等。系統(tǒng)本身對口令字要求嚴(yán) 格，首先口令字必須取的足夠長( 至少8 字節(jié)) 。用戶的登記和修改口令字的程序強(qiáng) 制用戶的口令字長度。其次，離線的口令字檢查工具，將弱口令字標(biāo)記，強(qiáng)制用戶 限期修改。這樣，用戶的口令字就有足夠的抗攻擊強(qiáng)度。 4 2 密碼應(yīng)用的安全 軟件加解密在安全性、速度等方面都存在一些不可克服的問題。系統(tǒng)提供的加 密平臺，對密鑰進(jìn)行保護(hù)、對整個(gè)加密過程進(jìn)行控制。該系統(tǒng)采用一種安全的密鑰 生成算法，在可以控制的安全的部件上生成密鑰。密鑰也使用一種安全的信道來傳 輸?shù)酱鎯Σ考?。對于密鑰的訪問也進(jìn)行了控制，只有合法的用戶才能夠使用他們 的可以使用的密鑰。密鑰的更新要在特定的權(quán)限控制下才可以進(jìn)行。密鑰也要根據(jù) 一定的銷毀規(guī)則進(jìn)行銷毀。對密鑰的用途進(jìn)行了分類，密鑰的職責(zé)鑰分明。 數(shù)據(jù)加密所用的密鑰是和特定平臺相關(guān)的，而且密鑰的使用要求用戶授權(quán)，因 而攻擊者攻擊成功必須同時(shí)獲得密鑰文件，并且知道密鑰的授權(quán)( 如：p i n ) ，并且 這個(gè)密鑰僅在某一特定的上才可以起作用。 4 3 數(shù)據(jù)存儲安全 在計(jì)算機(jī)信息系統(tǒng)中存儲的信息主要包括純粹的數(shù)據(jù)信息和各種功能文件信息 兩大類。對純粹數(shù)據(jù)信息的安全保護(hù)，以數(shù)據(jù)庫信息的保護(hù)最為典型。而對各種功 能文件的保護(hù)，終端安全很重要。 身份認(rèn)證和授權(quán)系統(tǒng)的設(shè)計(jì)、實(shí)現(xiàn)、使用和管理等各個(gè)階段都遵循一套完整的 系統(tǒng)安全策略，實(shí)現(xiàn)了數(shù)據(jù)的存儲安全。 在計(jì)算機(jī)中有很多敏感數(shù)據(jù)需要保護(hù)，而現(xiàn)有的計(jì)算機(jī)無法對秘密信息進(jìn)行有 效的安全保護(hù)。單純的自主訪問控制顯然難以滿足要求。身份認(rèn)證和授權(quán)系統(tǒng)保護(hù) 秘密信息的手段是用文件加密的方式加強(qiáng)用戶信息的保護(hù)。對于要使用秘密信息的 實(shí)體提供一些安全屬性用于訪問控制，對于不能提供該安全屬性的實(shí)體將拒絕其訪 問。系統(tǒng)利用特殊的密碼機(jī)制，將密鑰和加密文件進(jìn)行有效的隔離，使加密文件只 華中科技大學(xué)碩士學(xué)位論文 能在本機(jī)上用合法用戶的密鑰進(jìn)行解密訪問，在其它計(jì)算機(jī)上將無法讀出此加密文 件，從而實(shí)現(xiàn)了敏感數(shù)據(jù)的加密存儲，使數(shù)據(jù)的機(jī)密性得到保障。 4 4 信息內(nèi)容審計(jì) 身份認(rèn)證和授權(quán)系統(tǒng)采用二級日志結(jié)構(gòu)，分別記錄主機(jī)活動的情況，實(shí)時(shí)對進(jìn) 出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計(jì)，以防止或追查可能的泄密行為。利用日志記錄可 以監(jiān)測關(guān)于硬件、軟件、系統(tǒng)問題和安全方面的信息?？梢酝ㄟ^查看這些日志，檢 測需要注意的活動和事件，日志還可以用來提供事件的歷史記錄。通過對日志信息 實(shí)行有效的審計(jì)，可以充分發(fā)揮日志的事后監(jiān)督作用。 本系統(tǒng)具有強(qiáng)大的審計(jì)功能，主要包括以下幾個(gè)主要方面： 系統(tǒng)審計(jì)：記錄了用戶訪問資源終端的時(shí)間，管理員可以很清晰的監(jiān)測到什么時(shí) 間是什么人在使用什么設(shè)備。 文件審計(jì)：在此功能里，記錄了用戶對什么文件進(jìn)行的哪些操作( 例如修改、新 建、刪除等) 。 窗口審計(jì)：可以看到資源終端上的進(jìn)程審計(jì)記錄及其打開、關(guān)閉窗口的時(shí)間。保 存用戶各種操作的審計(jì)記錄。 打印審計(jì)：記錄了用戶所打印的文件及其相關(guān)信息。 4 5 對外設(shè)的控制 身份認(rèn)證和授權(quán)系統(tǒng)提供用戶對外設(shè)進(jìn)行有效的控制，在用戶需要離開或者掛 起系統(tǒng)等各種安全操作的時(shí)候，可以控制其它非法用戶對計(jì)算機(jī)的非法使用，有一 套行之有效的對外設(shè)的控制手段，讓用戶離開或者進(jìn)行各種安全操作的時(shí)候可以控 制外設(shè)的使用。 系統(tǒng)掛起功能為用戶因?yàn)槟撤N原因而暫時(shí)離開時(shí)使系統(tǒng)進(jìn)入掛起狀態(tài)。系統(tǒng)掛 起的主要功能包括：鎖定系統(tǒng)輸入外設(shè)、系統(tǒng)不斷檢測是否有認(rèn)證密碼輸入、驗(yàn)證 密碼進(jìn)入操作界面。為了將因?yàn)橥蝗粩嚯姷仍蛟斐晌募G失，掛起模塊會在使系 統(tǒng)進(jìn)入掛起狀態(tài)前提示用戶將正在編輯的文件存盤。 華中科技大學(xué)碩士學(xué)位論文 4 6 系統(tǒng)安全性評估 身份認(rèn)證和授權(quán)系統(tǒng)的設(shè)計(jì)首先考慮的就是系統(tǒng)整體的安全性，從整體上構(gòu)建 出一個(gè)安全可信的p c 平臺。 首先，身份認(rèn)證和授權(quán)系統(tǒng)采用了強(qiáng)制性的身份認(rèn)證以確保用戶的身份，同時(shí) 設(shè)有分級的權(quán)限管理，只有相關(guān)人員才可以使用該系統(tǒng)。 其次，身份認(rèn)證和授權(quán)系統(tǒng)能夠提供數(shù)字簽名和身份認(rèn)證。在網(wǎng)絡(luò)中，許多重 要文件需要確定其真實(shí)性，用戶可以通過系統(tǒng)工具對文件進(jìn)行數(shù)字簽名，這樣就可 以獲得認(rèn)證，確保了文件的真實(shí)性、完整性和不可否認(rèn)性。同時(shí)也對文件傳輸者的 身份進(jìn)行了確認(rèn)。 第三，身份認(rèn)證和授權(quán)系統(tǒng)可以提供安全的計(jì)算環(huán)境和可靠的加解密運(yùn)算。通 過軟件控制操作系統(tǒng)關(guān)閉i 0 ，形成一個(gè)相對封閉的運(yùn)算環(huán)境，在此環(huán)境中可進(jìn)行安 全級別較高的特殊運(yùn)算。 通過使用文件加解密和數(shù)字簽名，可以防止機(jī)密信息和數(shù)據(jù)在傳輸過程中被非 法用戶截取，同時(shí)也保證了數(shù)據(jù)的完整型和不可抵賴性，從而給網(wǎng)絡(luò)提供了一個(gè)安 全可靠的內(nèi)部信息平臺。 第四，身份認(rèn)證和授權(quán)系統(tǒng)中認(rèn)證都采用證書機(jī)制，可以使用更可靠的p k i 認(rèn)證 手段。 第五，身份認(rèn)證和授權(quán)系統(tǒng)通過p k i 、分級管理等技術(shù)。結(jié)合安全增強(qiáng)的操作系 統(tǒng)，很大程度上解決了網(wǎng)絡(luò)信息系統(tǒng)中存在的脆弱性如：操作系統(tǒng)的安全漏洞、用 戶身份的假冒、應(yīng)用程序的非授權(quán)使用、損害或破壞性程序的引入以及數(shù)據(jù)庫安全 問題，建立了可靠安全網(wǎng)絡(luò)互聯(lián)。 最后，身份認(rèn)證和授權(quán)系統(tǒng)整合一個(gè)龐大網(wǎng)絡(luò)系統(tǒng)內(nèi)相互分散的用戶身份管理 子系統(tǒng)以及整合授權(quán)用戶訪問信息資源權(quán)限的管理【3 ”。整個(gè)系統(tǒng)產(chǎn)品的設(shè)計(jì)從網(wǎng)絡(luò) 基礎(chǔ)設(shè)施結(jié)構(gòu)和用戶實(shí)際應(yīng)用的角度出發(fā)，提出了一個(gè)滿足用戶需求的完整解決方 案。該系統(tǒng)在基于l d a p 標(biāo)準(zhǔn)協(xié)議的基礎(chǔ)上對一個(gè)企業(yè)網(wǎng)絡(luò)內(nèi)的用戶身份和信息資 源實(shí)現(xiàn)了集中與分布式的管理，使得網(wǎng)絡(luò)系統(tǒng)管理人員能夠很方便地對整個(gè)企事業(yè) 單位內(nèi)原來分散的、獨(dú)立的網(wǎng)絡(luò)用戶身份管理和信息資源管理采取了集中的認(rèn)證和 授權(quán)訪問管理，包括跨地域的內(nèi)聯(lián)網(wǎng)絡(luò)和外聯(lián)網(wǎng)絡(luò)用戶身份的認(rèn)證和授權(quán)訪問應(yīng)用 權(quán)限的管理【3 ”。參見圖4 2 ，除此之外，系統(tǒng)還具備對整個(gè)網(wǎng)絡(luò)內(nèi)用戶的各種行為采 華中科技大學(xué)碩士學(xué)位論文 5 1 應(yīng)用需求 5 本系統(tǒng)的實(shí)際應(yīng)用 s u n 陽光是在中國國家信息化建設(shè)浪潮和教育體制改革中發(fā)展起來的股份制教 育培訓(xùn)投資和運(yùn)營機(jī)構(gòu)。面向全社會提供信息化咨詢、培訓(xùn)、人刁教育及輸出的i t 服務(wù)型專業(yè)機(jī)構(gòu)。 置身于中國建立市場經(jīng)濟(jì)體制、完善現(xiàn)代企業(yè)制度的進(jìn)程中，立志于成為一家 股權(quán)清晰、管理規(guī)范、決策民主、市場導(dǎo)向的學(xué)習(xí)型企業(yè)。公司視“教育強(qiáng)國”為己 任，秉承專業(yè)精神和科學(xué)態(tài)度，誠信、嚴(yán)謹(jǐn)、篤實(shí)，以知識和智慧服務(wù)社會。在教 學(xué)體系和科學(xué)管理上銳意創(chuàng)新，致力于為國家和行業(yè)培養(yǎng)大批實(shí)用型人才，推動信 息化知識的普及和應(yīng)用。 陽光公司的需求是： 公司高層希望在內(nèi)部i n t r a n e t 開放一個(gè)共有資料夾來存放電子文件，使各辦事 人員皆能依其各自工作需要來進(jìn)行閱讀及修改，以降低信息傳遞的等待時(shí)間。 客戶資料及報(bào)價(jià)單屬于公司之機(jī)密資料，若將其存放在開放性的共有資料夾 中，會有被他人竊取之疑慮。 辦事人員經(jīng)常為了這些急用的機(jī)密資料，因?yàn)榈却龝r(shí)間過長而被壓得喘不過 氣來。 對于公司財(cái)務(wù)的管理方面，用傳統(tǒng)純操作系統(tǒng)軟件的方式來實(shí)現(xiàn)用戶身份認(rèn) 證，很容易被竊取及盜用，會導(dǎo)致財(cái)務(wù)數(shù)據(jù)的泄漏。 5 2 陽光公司身份認(rèn)證與授權(quán)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn) 5 2 1 系統(tǒng)軟件部分設(shè)計(jì) l 、控制中心軟件設(shè)計(jì) 控制中心軟件設(shè)計(jì)包括用戶管理模塊設(shè)計(jì)、資源管理模塊設(shè)計(jì)、授權(quán)管理模塊 設(shè)計(jì)和審計(jì)管理模塊設(shè)計(jì)四個(gè)部分組成，其主要設(shè)計(jì)思想如下： ( 1 ) 用戶管理模塊設(shè)計(jì) 華中科技大學(xué)碩士學(xué)位論文 用戶管理模塊設(shè)計(jì)，主要是為了有效地控制用戶登錄方式，本系統(tǒng)設(shè)計(jì)了套 切實(shí)可行的身份認(rèn)證方式，其設(shè)計(jì)的基本思路是：在w i n d o w s 安全子系統(tǒng)中， w i n l o g o n 調(diào)用g i n a d l l ，并監(jiān)視安全認(rèn)證序列；而g i n a d l l 則提供一個(gè)交互式的界 面為用戶登錄提供認(rèn)證請求。由于g r n a d i l 是一個(gè)獨(dú)立的動態(tài)連接庫，因此，我們 可以考慮采用硬件強(qiáng)制認(rèn)證的方式來替換g i n a d l l 認(rèn)證方式。w i n d o w s 系統(tǒng)進(jìn)行安 全認(rèn)證時(shí)，由w i n l o g o n 在注冊表中查找h k l m s o f t w a r e m i c r o s o 玳 w i n d o w s n t 、c u r r e m v e r s j o n w i n l o g o n ，如果存在g i n a d l l 鍵，w i n l o g o n 將使用該d l l ， 反之，w i n l o g o n 使用默認(rèn)的m s g i n a d 1 1 。為了使認(rèn)證機(jī)制更完善，可以通過對 w i n d o w s 的g i n a 登錄過程的二次開發(fā)實(shí)現(xiàn)具有安全防御功能的認(rèn)證體系。 系統(tǒng)身份認(rèn)證設(shè)計(jì)方案如圖5 ，l 所示，系統(tǒng)操作平臺為w i n d o w s2 0 0 0 ，編程語 言采用可視化編程語言v c + + ，后臺數(shù)據(jù)庫采用s q ls e r v e r2 0 0 0 ?；趉 e y 的g i n a 登錄系統(tǒng)包括一個(gè)后臺數(shù)據(jù)庫和一個(gè)文件存儲箱。以k e y 為硬件加密設(shè)備利用g i n a 登錄技術(shù)來完成安全認(rèn)證的方案其優(yōu)點(diǎn)是既可以充分利用g i n a d l l 對安全認(rèn)證的交 互式認(rèn)證界面直接構(gòu)建出與用戶交互的認(rèn)證機(jī)制，又可以直接利用其與注冊表項(xiàng)的 鍵值緊密結(jié)合的特點(diǎn)，以滿足不同系統(tǒng)對登錄認(rèn)證體系的需要。 下面，就將該系統(tǒng)的功能模塊組成和各個(gè)模塊之間的聯(lián)系來加以說明： 1 、系統(tǒng)身份認(rèn)證的組成 本g i n a 登錄共有1 5 個(gè)模塊組成，它們是： 1 ) 管理員k - e y 發(fā)行程序u s e r k e y e x e 2 ) 控制面板增加圖標(biāo)c p l c p i 3 ) 控制中心 c o n t r o l c e n t e l e x e 4 ) g i n a 登錄程序 g i n a d l l 5 ) 文件保密柜設(shè)置程序 s e c b o x d l l 6 1s h e u 程序 s h e l l e x t d l l 7 ) 文件保密柜驅(qū)動程序f i l e d i s k s y s 8 】外部設(shè)備控制d e v i c e l o c k d l l 9 ) 文件操作設(shè)置f i i e a c t i o n d l i lo 】網(wǎng)絡(luò)資源配置s p i d u 1 11 系統(tǒng)托盤程序i c o e x e 1 2 ) 安全模式解決 c h e c k p i n e x e 華中科技大學(xué)碩士學(xué)位論文 3 、安全性考慮 1 ) 三級用戶體系 安全管理員：超級用戶，持有母k _ e y ，對系統(tǒng)操作的權(quán)限為：安裝計(jì)算機(jī)安全加 固系統(tǒng)，操作本系統(tǒng)k e y 的發(fā)放管理，進(jìn)行用戶級別定義、對所有用戶的外部設(shè)備 操作權(quán)限進(jìn)行授權(quán)操作和管理、使用私人文件保密箱、可以進(jìn)行所有的i 0 操作。 安全審計(jì)員：審計(jì)用戶，持有安全審計(jì)用戶k e y ，可以操作本系統(tǒng)的安全審計(jì)管 理程序、使用私人文件保密箱、可以對授權(quán)的i ，o 進(jìn)行操作。 普通用戶：普通用戶，持有用戶k e y ，可以使用私人文件保密箱、對授權(quán)的i 0 進(jìn) 行操作。 各用戶的權(quán)限信息被存儲在智能電子鑰匙k e y 和安全加固軟件包中，除安全管 理員外，無法更改。使用單位可以嚴(yán)格按照分離原則建立各級用戶，同時(shí)也可按照 最小原則實(shí)現(xiàn)用戶劃分。如安全管理員可以兼任安全審計(jì)員。 2 ) 用戶身份認(rèn)證 g i n a 登錄系統(tǒng)的身份認(rèn)證是在原w i n d o w s 環(huán)境下身份認(rèn)證的基礎(chǔ)上引入了智 能電子鑰匙k e y 在身份認(rèn)證環(huán)節(jié)中的應(yīng)用。本系統(tǒng)將用戶掌握的用戶密碼與k e y 中 的卡i d 、用戶密碼、卡內(nèi)外部認(rèn)證密鑰、系統(tǒng)中的認(rèn)證文件信息綁定在一起。合法 用戶登錄系統(tǒng)時(shí)，必須首先將其所擁有的k e y 插入計(jì)算機(jī)的u