安全基礎設施設計原理1.ppt

1、第18章 安全基礎設施設計原理,18.1 安全基礎設施概述 18.2 安全基礎設施的目標 18.3 安全基礎設施的的設計指南 18.4 密鑰管理基礎設施/公鑰基礎設施 18.5 證書管理 18.6 對稱密鑰管理,18.7 基礎設施目錄服務 18.8 信息系統(tǒng)安全工程 18.9 本章小結(jié) 習題,一個安全基礎設施應提供很多安全組件的協(xié)同使用，其體系結(jié)構可改進整個的安全特性，而不僅是各個安全組件的特性。使用這個定義，可推論出安全基礎設施的設計和特性。,18.1 安全基礎設施概述 18.1.1 安全基礎設施概述,以防火墻為例，使用防火墻可以很好地實施安全策略，但是，如果它不能和體系結(jié)構中的其他組件很好

2、地連接，就不能構成一個安全基礎設施。例如，這個防火墻不能和安全基礎設施的其他方面互相聯(lián)系、互相作用，那它只是一個安全組件，而不是安全基礎設施的一部分。這就是安全基礎設施定義中的協(xié)同組件。再如，假如從防火墻能發(fā)送報警至事件管理站，由事件管理站處理成通知網(wǎng)絡運行中心（Network Operations Center, NOC）的報警，那么，防火墻可能成為基礎設施的一部分。,反之，如防火墻本身做得很好，其屏幕可顯示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何組件，那防火墻的作用是不完全的。如果將防火墻和入侵檢測、強的身份鑒別、加密的隧道（VPN）等組件協(xié)同作用，就能設計成一個基本的安

3、全基礎設施。,安全基礎設施的主要組成有4部分：網(wǎng)絡、平臺、物理設施、處理過程。 網(wǎng)絡類包括防火墻、路由器、交換機、遠程訪問設備（如VPN和撥號modem池）以及基于網(wǎng)絡的入侵檢測，它們分別在整個安全設計中增加某些安全特性。這些組件通過其網(wǎng)絡接口或在軟件中定義的邏輯來監(jiān)控、過濾或限制通信。這些安全組件的作用是監(jiān)控和保護在網(wǎng)絡中通過的數(shù)據(jù)，或保護在應用中通過、使用的數(shù)據(jù)。,18.1.2 安全基礎設施的組成,平臺類包括服務器、客戶端軟件（例如，執(zhí)行操作系統(tǒng)和安全應用的控制）。執(zhí)行一些電子操作（如智能卡和讀卡器、產(chǎn)生憑證的硬件卡、基于硬件的加密設備）的設備也屬于這一類。平臺類還包括應用級訪問控制，如產(chǎn)

4、生憑證的軟件程序、數(shù)字證書、基于主機的入侵檢測、病毒掃描和清除、事件搜集代理和分析軟件程序。應用級訪問控制能提供鑒別、授權、基于主機的入侵檢測和分析、病毒檢測和清除、事件賬戶管理和分析等功能。這些安全功能用來保護常駐在主要基礎設施邊界的應用。,安全基礎設施的物理組成包括標準的門鑰匙和鎖、鑰匙卡、標識標志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設備標簽等。根據(jù)人的生物特征檢測的設備也屬于這一類，如指紋讀出器、面部形狀照相機、視網(wǎng)膜掃描器等。這些仿生組件是通過自然本質(zhì)來標識和鑒別用戶的。屬于這一類的還有網(wǎng)絡電纜和后備電源（如UPS系統(tǒng)和自備發(fā)電機）。物理安全設施的基本目的是防止非授權者

5、進入以及保護安全基礎設施的電力供應和網(wǎng)絡連接。,處理過程包括企業(yè)安全策略和過程文檔，用來管理企業(yè)數(shù)據(jù)的生成、使用、存儲和銷毀，以及管理這些數(shù)據(jù)所在的系統(tǒng)和網(wǎng)絡。企業(yè)安全策略的目的是定義企業(yè)資產(chǎn)保護的范圍以及對這些資產(chǎn)所需的專門保護機制。企業(yè)安全過程是企業(yè)安全策略文檔的一個組成，用來指導員工在特定環(huán)境下的行動。企業(yè)安全策略和過程是安全基礎設施的重要組成。有了綜合的安全策略和過程文檔，安全設計師就能明白什么樣的資產(chǎn)是企業(yè)需要保護的，以及如何保護這些資產(chǎn)。,雖然安全策略文檔提供數(shù)據(jù)、系統(tǒng)和網(wǎng)絡的保護策略，但它對廠商選擇、設計或?qū)嵤┎⒉灰?guī)定所需的詳細戰(zhàn)術。這些安全組件的成功實施需要了解安全基礎設施目標

6、，否則可能會不合適地保護或完全疏忽那些關鍵資產(chǎn)。,安全基礎設施設計的基本目標是保護企業(yè)的資產(chǎn)。保護這些資產(chǎn)的方法是適當?shù)夭渴鸶鱾€安全組件于有組織的、協(xié)同的安全基礎設施中。這些資產(chǎn)包括硬件、軟件、網(wǎng)絡組件以及知識財產(chǎn)。保護這些資產(chǎn)應根據(jù)企業(yè)安全目標和企業(yè)安全策略文檔。雖然提到的只是數(shù)據(jù)的保護，實際上保護數(shù)據(jù)及其可用性也意味著保護執(zhí)行的系統(tǒng)和網(wǎng)絡。 根據(jù)選擇的數(shù)據(jù)等級分類體制，每種數(shù)據(jù)保護目標應按數(shù)據(jù)機密性、數(shù)據(jù)完整性和數(shù)據(jù)可行性來表示和衡量。,18.2 安全基礎設施的目標,當設計一個安全基礎設施時，把應用的最好結(jié)果作為目標。因為應用最靠近數(shù)據(jù)以及數(shù)據(jù)的處理、交換和存儲。將設計目標放在數(shù)據(jù)機密性、

7、數(shù)據(jù)完整性和數(shù)據(jù)可用性上，會發(fā)現(xiàn)這不僅使應用得到安全，而且企業(yè)也得到安全。這個概念如圖18.1所示。,圖18.1 以應用為目標的安全設計概念,數(shù)據(jù)機密性的前提是防止非授權者看到非公共使用的數(shù)據(jù)。數(shù)據(jù)機密性應用于本書所定義的具有內(nèi)部的、機密的、嚴格限制的標記的數(shù)據(jù)。通過安全數(shù)據(jù)存儲和安全數(shù)據(jù)傳輸提供數(shù)據(jù)機密性保護。滿足數(shù)據(jù)機密性要求的典型技術包括數(shù)據(jù)傳輸、安全在線和離線存儲的加密。,數(shù)據(jù)完整性是關于對數(shù)據(jù)的任何非授權改變或破壞的保護。這個目標的基本點是數(shù)據(jù)的準確性和合法性。通過產(chǎn)生原始數(shù)據(jù)集檢查和同復制的數(shù)據(jù)進行比較的程序來管理完整性。提供數(shù)據(jù)完整性的通常解決方案是使用通用的加密策略，例如前面講

8、到的IPSec，使用這樣的檢查和策略來保證發(fā)送的數(shù)據(jù)等于接收的數(shù)據(jù)。保護數(shù)據(jù)不被更改或破壞，可以用類似反病毒這樣的簡單解決方法，也可以用部署關鍵通路存儲解決方案、高可用性的防火墻簇以及企業(yè)范圍的變更管理等復雜的解決方案。為了防止非授權使用或破壞，鑒別和授權控制是最合適的方法。,最后，數(shù)據(jù)可用性也是需要十分關注的。數(shù)據(jù)可用性的目標范圍是根據(jù)數(shù)據(jù)可用的重要性而變化的。對某些系統(tǒng)需要高可用性，高達99.999%，而有些系統(tǒng)可用性要求就較低。提供高可用性系統(tǒng)保護的典型方法是使用冗余系統(tǒng)，通常包括冗余的電源、數(shù)據(jù)訪問和存儲、網(wǎng)絡以及應用服務器處理等。但冗余并不能滿足全部數(shù)據(jù)可行性問題，尤其是近年來增多的

9、拒絕服務（DOS）和分布式拒絕服務（DDOS）的攻擊。,首先，設計指南中最重要的是要保證企業(yè)安全策略和過程與當前經(jīng)營業(yè)務目標相一致。如有不一致，在設計和構造安全基礎設施之前，應對這些策略和過程做必要的修改。如果設計指南沒有被企業(yè)的最高管理層接受和全力支持，那么安全設計不可能完全達到它的功能，事實上有可能因缺少最高管理層的支持而失敗。,18.3 安全基礎設施的的設計指南,第二步是開發(fā)一個計算機事故響應組（Computer Incident Response Team, CIRT）,其職責是在安全報警事件中采取必要的行動和預防措施。為了使響應組成員能熟練地處理事件（如安全破壞或災難恢復），應盡可能

10、多地進行實際培訓。在很多情況下，把它當作有目的的測試場景，在那里能測試CIRT成員的行動在給定安全事件下的響應、效率、完整性以及恢復能力。這樣的測試目標對改進CIRT成員的能力是十分重要的。,第三步是設計基礎設施安全服務以直接支持指南和需求。這些服務包括鑒別、授權、賬戶、物理訪問控制和邏輯訪問控制。對安全服務的設計、部署和運行應遵循專門的方法。它定義了包括評估、設計、部署和管理4個步驟的生命周期。在評估階段，分析現(xiàn)存的經(jīng)營業(yè)務和安全需求，以決定大部分實際的、有效的安全解決方案現(xiàn)在是否已可行，否則必須重新設計和構造。在設計階段，針對評估中發(fā)現(xiàn)的問題，設計安全解決方案。部署階段包括安全解決方案的實

11、施和設備安裝。最后是管理階段，保證安全基礎設施正常運行，功能正常。,鑒別服務于Internet資源、外聯(lián)網(wǎng)資源、內(nèi)部網(wǎng)資源的用戶，相應于它們內(nèi)在的風險，需要不同級別的安全。內(nèi)部網(wǎng)用戶愿意基于他們登錄的ID自動進行身份鑒別，而對外聯(lián)網(wǎng)和Internet用戶，需要使用賦予的硬件或軟件的標記和個人標識號PIN登錄。 通用的鑒別用戶的方法包括靜態(tài)用戶名（UID）和口令、強的兩因子鑒別、一次性口令鑒別以及單點登錄（Single Sign-On, SSO）鑒別?？赡艿脑?，為企業(yè)部署至少兩種鑒別方法的組合，用于需要不同保護級別的不同等級數(shù)據(jù)。對給定類別的數(shù)據(jù)選擇合適的鑒別方法是十分重要的。,18.3.1 鑒

12、別,最普通的鑒別方式是靜態(tài)UID和口令的組合。因為靜態(tài)口令不能經(jīng)常更改，因此提供的數(shù)據(jù)保護能力是很小的。靜態(tài)UID和口令的組合不能成功地抵御很多方式的攻擊，包括回答攻擊和蠻力攻擊。在回答攻擊中，假冒者從以前的鑒別會話中獲取UID和口令的組合，依靠偷得的UID和口令給鑒別服務器回答，以得到訪問權。在蠻力攻擊中，攻擊者只知道UID，或使用一個默認系統(tǒng)賬戶，用很多口令和已知UID組合來企圖登錄，以得到訪問權。這兩種方式的攻擊都廣泛使用，從而削弱了靜態(tài)方法的完整性。由于這個原因，只有公共數(shù)據(jù)或內(nèi)部數(shù)據(jù)的訪問基于靜態(tài)鑒別方法。,對更高等級的數(shù)據(jù)，需要更嚴格的解決方法，例如，可使用強的鑒別方法和一次性口令

13、。強的鑒別方法可使用諸如PIN這類的知識因子和智能卡、標記產(chǎn)生卡、標記軟件程序等的組合。標記卡或標記軟件程序使用一個算法產(chǎn)生通常有6個數(shù)字的號碼，最后的口令碼是該6個數(shù)字碼和PIN的組合。智能卡一般包含標識其擁有的權利的信息，如數(shù)字ID或私鑰。雖然這種鑒別方法優(yōu)于靜態(tài)方法，可以不再有必要用一次性口令，但大部分標記產(chǎn)生卡和標記軟件程序利用一次性口令，使用一次后就不再有效了。,很顯然，強鑒別和一次性口令的組合能力大大優(yōu)于靜態(tài)UID和口令的組合，它既不會受回答攻擊的影響，也不會受蠻力攻擊的影響。像智能卡這些設備，當若干次非法企圖后會自己失效，因此這些可攜帶的卡即使丟失或被偷竊，也不會有很大風險。 為

14、了改進使用靜態(tài)鑒別方法，可以建立一個口令老化的過程，規(guī)定在口令使用一定時期后必須更改。也可以在安全策略文檔中規(guī)定口令加強的需求，并且在鑒別服務器中進行設定，大部分操作系統(tǒng)支持這種特性。,另一個設計鑒別體制時需考慮的問題是選擇分布式或集中式的鑒別。分布式鑒別在業(yè)界是最流行的，對每一個要訪問的系統(tǒng)，用戶有不同的UID和口令，有時甚至對給定系統(tǒng)訪問的每個應用都有不同的UID和口令。 與上述方法相反的是單點登錄（SSO）。SSO準許用戶使用單一賬號和口令的組合來訪問企業(yè)中的很多資源。SSO對用戶提供方便的優(yōu)點是顯而易見的。它也減輕了管理的負擔，管理員需跟蹤的賬戶大大減少，由于用戶忘記自己的口令而需要重

15、新設置的負擔也減輕了。,然而，SSO不是沒有一點麻煩。將SSO引入環(huán)境，使其在異構環(huán)境中有效地運行需要管理員付出新的努力。這些新的努力包括兼容的問題、部署和功能操作的問題，以及管理的問題等。如應用適當?shù)闹橇唾Y源解決了大部分問題，引入SSO解決方案，就能成功地處理大部分企業(yè)范圍的鑒別需求。,授權是基于一個人或一個組的標識，允許或拒絕規(guī)定的特權的行為。授權應從應用的周圍世界來處理。從根本上講，應用安全是所有努力的目標。這些努力包括了解你的應用，以及如何和客戶機、數(shù)據(jù)庫通信，以及其他服務器處理過程。,18.3.2 授權,應用通常使用一個靜態(tài)的端口集以及和其他實體通信的協(xié)議。端口用來處理通信的發(fā)送和

16、接收。決定使用什么樣的端口和什么樣的協(xié)議。有了這些信息，就可明白在使用哪一種應用會話方式（例如TCP會話），還是通過沒有會話的突發(fā)數(shù)據(jù)的應用通信（例如UDP或HTTP）。明白這些應用通信類型以及如何通信有助于設計有效的、適當?shù)氖跈嗫刂啤?對應用功能及其如何實現(xiàn)有了很好的了解后，下一步是決定誰應該在什么時間訪問哪些數(shù)據(jù)，還應決定誰能得到對應用服務器、數(shù)據(jù)庫或它們常駐網(wǎng)絡段的物理訪問權。這樣就能防止入侵者得到訪問控制。將應用訪問限制在特定的群體和一天中的特定時間，就能減少受攻擊的可能。,根據(jù)賦予的資源特權將用戶分成組，通過按資源將用戶分組的方法，用賦予的組標簽在應用級進行授權控制來控制組成員的活動

17、。這樣的策略是基于角色的訪問控制（role based access control, RBAC）。雖然RBAC控制很好，適合于具有大量用戶和大量公共或內(nèi)部數(shù)據(jù)資源的服務，但是對標有機密或嚴格限制的數(shù)據(jù)保護需要更嚴格的控制?；谟脩舻脑L問控制（User Based Access Control, UBAC）是根據(jù)各個用戶的特權而不是賦予的角色來決定的訪問控制。UBAC需要對每個用戶分別進行鑒別和授權。UBAC控制從其本性看可提供更細粒度的控制，因為它直接應用至每個用戶或單個實體，而不是組或多個實體。,賬戶管理涉及日志和行為的監(jiān)控、事件以及滿足某些條件引起的報警。大部分操作系統(tǒng)能配置生成賬戶日志

18、，對各種系統(tǒng)里發(fā)生的事件向管理者發(fā)出報警。最流行的操作系統(tǒng)日志程序是用于UNIX系統(tǒng)的Syslog和用于Microsoft NT的NT事件日志。UNIX Syslog或NT事件日志設置報警,在日志文件中產(chǎn)生報警級報文，或更高級的報文。然而，情況可能更為復雜，如若干個相關的、協(xié)同的、不一樣的事件從不同的代理源發(fā)生，其結(jié)果是發(fā)出更嚴重的報警信息。不論復雜性如何，賬戶管理結(jié)果都能提供以下信息：,18.3.3 帳戶,操作系統(tǒng)使用的詳細情況； 應用使用的詳細情況； Internet、外聯(lián)網(wǎng)或內(nèi)部網(wǎng)的活動； 用于法庭分析的數(shù)據(jù)； 趨勢分析數(shù)據(jù)； 生成報告的數(shù)據(jù)。,這些結(jié)果對企業(yè)都是很有價值的。除了提供性能

19、預測和趨勢分析之外，這些事件還能確定它的安全輪廓、標識存在的或可能的威脅。操作系統(tǒng)事件能提示安全職員下列情況：失敗的登錄企圖、企圖得到根或管理員的訪問、文件系統(tǒng)是否已被安全送出。 事件的時間界限和事件覆蓋的范圍一樣重要。當管理員只是每周一次用人工方法考查事件日志時，從操作系統(tǒng)、關鍵應用以及在網(wǎng)絡段上的通信監(jiān)控安全事件到底有多少價值呢？當管理員周期地考查這些事件日志，查看一段歷史時，黑客和漏洞的跟蹤有可能早已離開了，一些關鍵數(shù)據(jù)也可能已被取走。,在Internet年代，事情發(fā)生得很快。即使是黑客新手也可能用大量黑客工具來攻擊企業(yè)資產(chǎn)。這些新手從專門黑客那里得到好處，裁剪黑客工具對企業(yè)施加嚴重的破

20、壞。 因此，不僅需要連續(xù)的訪問和鑒別控制，還需要實時的事件管理和入侵檢測（ID）解決方法。將入侵檢測也作為賬戶管理解決方案的一個組成部分，因為它的自然特性是事件檢測、分析，還有防止，十分類似于事件管理的目的。以往只是將事件管理當作一種靜態(tài)搜集信息的工具，在這里將事件管理作為一種實時安全報警機制。,物理訪問控制有關安全基礎設施的組件，和其他安全設施一起減少資源濫用的效應。物理控制的操作是物理的。 通用物理訪問控制包括標準的門鑰匙、鑰匙卡、標識標志、安全照相機、活動傳感器、聲像報警、安全警衛(wèi)和系統(tǒng)、設備標簽等。使用這些組件的方法決定了物理訪問控制策略的質(zhì)量。企業(yè)安全策略和過程文檔定義的操作應定義如

21、何保護專門等級的數(shù)據(jù)及執(zhí)行的系統(tǒng)。這些過程還應陳述在災難事件中通知相應的人員采取哪些行動，對應用重要的數(shù)據(jù)影響，定義相應的法庭過程以及如何降低相關的風險。,18.3.4 物理訪問控制,除了減少安全漏洞的風險和影響外，服務的破壞也必須計入物理保護策略。服務破壞保護策略包括正確的組件放置以及冗余。安全基礎設施放置和冗余是一樣重要的。例如，某公司需要一個高可用性的系統(tǒng)和數(shù)據(jù)為客戶服務，為此公司需安裝一條冗余的T-1電纜接到提供客戶服務的數(shù)據(jù)中心，同時需要安裝冗余的UPS設備。由于施工土建工作量較小，施工過程未同土建安全部門聯(lián)系。但這種疏忽有可能會引起水、電等事故，這類事故在安裝物理基礎設施組件時本來

22、是完全可以避免的。,邏輯訪問控制是所有安全基礎設施控制中最引人注目的。這些控制包括防火墻、路由器、交換機、VPN和應用層控制，用來限制系統(tǒng)和網(wǎng)絡的使用。如前所述，邏輯訪問控制有時使用鑒別和授權信息來決定準予或拒絕訪問。另外，這些決定取決于正在使用的端口和協(xié)議。這些控制最好先集中在應用上，然后再控制低層協(xié)議。,18.3.5 邏輯訪問控制,下面舉例說明，假定有一個HealthApp的應用，此應用利用端口8111上的TCP和HealthApp客戶通信，而TCP8104處理服務器對服務器的通信。首先需明白應用的功能，而不是一開始就訪問控制不希望的端口和協(xié)議。在本例中，HealthApp服務器和其他服務

23、器通信首先執(zhí)行一個域名系統(tǒng)（DNS）的查找來發(fā)現(xiàn)要同它通信的服務器的IP地址，HealthApp服務器和DNS服務器之間的DNS詢問必須是允許的。,在本例中，下一步是對不是和HealthApp應用相聯(lián)系的操作，拒絕所有訪問控制設備（例如防火墻、路由器、交換機）上的通信，并對應用進行測試。這樣以應用為目標，導出可用的、最安全的邏輯訪問控制集?？梢园l(fā)現(xiàn)，使用這個策略是保護應用數(shù)據(jù)及其執(zhí)行的系統(tǒng)的最有效方法。 邏輯訪問控制能應用不同的方法來限制系統(tǒng)和網(wǎng)絡的使用。對應用訪問的保護，邏輯訪問控制通常使用在應用本身。基于鑒別和授權準則，可設計成明確的限制或允許一定用戶或用戶組的訪問。網(wǎng)絡訪問控制根據(jù)試圖經(jīng)

24、過一個網(wǎng)絡段的端口號和協(xié)議來決定允許還是拒絕通信。很多防火墻、路由器、交換機、VPN網(wǎng)關和ID系統(tǒng)可以根據(jù)它的類型（TCP、UDP或IPX）、源、目的甚至載荷來限制通信。,邏輯訪問控制通常最后使用入侵檢測系統(tǒng)，包括發(fā)送一個TCP RESET（RST）分組給非授權網(wǎng)絡通信的發(fā)送源。這個RST分組通知發(fā)送源（冒犯者）的主機該數(shù)據(jù)會話沒有接收到。雖然這個冒犯者的主機可能繼續(xù)再試，但它的非授權通信經(jīng)過給定的網(wǎng)絡段，入侵檢測系統(tǒng)將重新設置這個會話，因此阻止了該通信到達目的站。 實踐證明，最好的邏輯訪問控制實施策略是包括周邊的建立、內(nèi)部應用和基于網(wǎng)絡的控制、基礎設施的保護。周邊的建立將決定哪些系統(tǒng)和網(wǎng)絡是

25、最可信的（內(nèi)部的），哪些系統(tǒng)和網(wǎng)絡有點可信（DMZ），哪些系統(tǒng)和網(wǎng)絡根本不可信。圖18.2表示建立可信域的模型。,圖18.2 可信域的模型,設計分開的可信區(qū)域，就能使用訪問控制，以適合不同可信區(qū)域內(nèi)網(wǎng)絡和系統(tǒng)的經(jīng)營業(yè)務的目的。Internet需要和內(nèi)部網(wǎng)和外聯(lián)網(wǎng)不同的訪問控制水平，不僅必須選擇合適的訪問控制技術，還必須包括基礎設施的正確部署位置。入侵檢測系統(tǒng)安裝在周邊防火墻內(nèi)和防火墻外結(jié)果不同。不僅重要的事件及其內(nèi)容不同，而且使用的數(shù)據(jù)機密性、完整性和可用性的需求也不同，事件著重點的改變也相當大。 當實施這些控制時，應盡可能少地犧牲企業(yè)的生產(chǎn)力和利益，這是必須考慮的因素，雖然要做到這點不容易。

26、,支撐性基礎設施是能夠提供安全服務的一套相互關聯(lián)的活動與基礎設施。有兩個十分重要的支撐性基礎設施： 密鑰管理基礎設施/公鑰基礎設施，用于產(chǎn)生、公布和管理密鑰與證書等安全憑證。 檢測與響應，用于預警、檢測、識別可能的網(wǎng)絡攻擊，做出有效響應以及對攻擊行為進行調(diào)查分析。,18.4 密鑰管理基礎設施/公鑰基礎設施,本節(jié)闡述密鑰基礎設施與公鑰基礎設施（KMI/PKI），KMI/PKI作為一種支撐性基礎設施，其本身并不能直接為用戶提供安全服務，但KMI/PKI是其他安全應用的基礎。KMI/PKI是安全服務所必需的組件，其體系結(jié)構依賴于其支持的應用。表18-1列出了不同用戶類型對KMI/PKI的需求。例如，

27、在為兩個用戶提供端到端加密隧道的虛擬專用網(wǎng)（VPN）中，KMI/PKI為實現(xiàn)認證和加密功能的加密設備提供密鑰和證書，還為用戶提供密鑰恢復服務以及證書查詢的目錄服務。,表18-1 KMI/PKI支持不同類型的用戶服務,用戶類型KMI/PKI服務VPN密鑰產(chǎn)生證書管理密鑰恢復目錄服務網(wǎng)絡訪問控制密鑰產(chǎn)生證書管理增值服務目錄服務遠程訪問服務密鑰產(chǎn)生證書管理密鑰恢復目錄服務多級安全密鑰產(chǎn)生證書管理目錄服務與其他基礎設施解決方案不同的是，KMI/PKI將它的安全分布在一組獨立的組件上。這些組件本身比用戶應用要求更高的安全性，以保證用戶證書和密鑰的安全性。同樣，基礎設施中的安全策略管理、信息保障的水平等都

28、要高于用戶應用的安全級別。,為了減少用戶獲取服務的成本和需花費的人力資源，要求將提供不同服務的支撐性基礎設施組合在一起，形成一個能為用戶提供多種服務的多組件基礎設施。KMI/PKI支持4種服務，其中每一種服務都使用了多種機制來滿足用戶應用對安全的不同要求。前兩種服務能直接支持用戶應用，后兩種服務是用戶應用正常工作所必需的。,18.4.1 KMI/PKI服務,第一種服務是對稱密鑰的產(chǎn)生和分發(fā)。對稱密鑰的產(chǎn)生和分發(fā)仍然是政府部門、金融部門和密鑰管理機制中最主要的部分。盡管許多應用正在使用非對稱密鑰管理代替對稱密鑰管理，但對稱密鑰管理仍然有用武之地。對稱密鑰中，多個用戶的密鑰的產(chǎn)生、分發(fā)和管理由一個

29、中心（可能是一個用戶或一個獨立的第三方）完成。在應用對稱密鑰的團體中，一個成員在其密鑰的生命周期中只使用同一個密鑰與其他成員進行保密通信。,第二種服務是支持非對稱密鑰技術及與其相關的證書管理。非對稱密鑰通常使用數(shù)字證書來鑒別公/私鑰對中公鑰部分的真實性。這種鑒別很重要，因為非對稱密碼提供的安全服務要依賴于公鑰用戶確保公鑰已與特定的用戶綁定。數(shù)字證書（X.509證書）恰恰能將公/私密鑰對中的公鑰部分與其擁有者的身份綁定在一起，并使用密碼技術保證這種綁定關系的安全性。公鑰基礎設施由多個部分組成，包括組成基礎設施的組件、使用并操作基礎設施的人員、基礎設施提供的服務、基礎設施運行的策略以及對公鑰證書的

30、管理。公鑰基礎設施可以產(chǎn)生、管理數(shù)字證書以保證數(shù)據(jù)的真實性、完整性及不可否認性，也可產(chǎn)生、管理密鑰協(xié)商證書以保護數(shù)據(jù)的機密性。,第三種服務是目錄服務。通過目錄服務，用戶可獲得PKI提供的公開信息，如公鑰證書、相關基礎設施的證書、受損的密鑰信息等。目錄服務可以由全球的分布目錄集提供，如X.500DMS(Defense Message System),也可以由單一站點組成的在線存儲庫提供。目錄服務一般與PKI結(jié)合在一起使用，但也可以用來提供其他服務。 第四種服務是對基礎設施本身的管理?；A設施是由多個組件協(xié)同工作為用戶提供服務的，這種分布特性增加了對KMI/PKI的功能和操作上的要求。同時應用安全

31、需求的敏感性也對KMI/PKI提出了更多的安全需求。KMI/PKI的內(nèi)部結(jié)構也受其支持的應用的影響。,KMI/PKI能支持不同的安全應用，這取決于應用使用的密碼技術。對稱密碼技術一般保護信息在傳輸和存儲中的機密性，如傳輸機密性、文件加密、密鑰協(xié)商。對稱密鑰技術與其他機制相結(jié)合也可保證交易過程中數(shù)據(jù)的完整性和真實性，從而確保交易安全，如鑒別、完整性、不可否認等安全應用。與對稱密碼不同，非對稱密碼技術可以保護信息在傳輸和存儲中的完整性和真實性，如鑒別、完整性和不可否認等安全應用。公開密鑰密碼技術與證書管理相結(jié)合可以為應用提供全方位的安全服務。公開密鑰密碼技術對數(shù)據(jù)進行加密、解密的速度比較慢，因此一

32、般都使用對稱密碼算法對數(shù)據(jù)進行加密和解密。,KMI/PKI包含一系列過程。這些過程需要正確地協(xié)同工作，以保護用戶服務的安全。這些過程列舉如下： 注冊。在系統(tǒng)中登記已經(jīng)過認證的用戶，使其可以使用KMI/PKI。 申請。用戶向KMI/PKI請求密鑰或證書。 密鑰生成。由基礎設施的一個組件產(chǎn)生對稱密鑰或不對稱密鑰。 證書生成。將用戶的信息和用戶的公開密鑰綁定在一個證書中。,18.4.2 KMI/PKI過程, 分發(fā)。通過一種安全的可認證方式將密鑰和證書分發(fā)給用戶。 審計。記錄密鑰和證書的位置和狀態(tài)。 受損恢復。通過一種可驗證的方式將無效的密鑰和證書從系統(tǒng)中刪除。 密鑰更新。以一種安全的可認證方式周期性

33、地更新密鑰和證書。 銷毀。銷毀失效的私鑰。 密鑰恢復。不直接訪問用戶私鑰的拷貝而恢復用戶私鑰的能力。,制定策略：定義上述操作的應用需求。 管理：運行基礎設施。 增值PKI過程。提供一些可增值的服務，如備份、時間戳、公證等。這部分不是必須的。 在PKI中，由不同的組件負責處理不同的操作。上述的操作可以有多種方法進行組合，為用戶提供安全服務，具體的實現(xiàn)方式依賴于具體的應用和用戶愿意投入的成本。KMI/PKI的整體安全由各個操作的安全性構成，每一個操作都面臨著不同的攻擊威脅并有相應的防范措施。表18-2定義了4種KMI/PKI服務對實現(xiàn)每一個操作的基本要求。（見書中表18-2 KMI/PKI操作）,

34、1. 用戶需求 （1） 對稱密碼 密鑰的來源應該是可信的、權威的、可鑒別的； 在分發(fā)過程中應該對密鑰進行保護。 （2） 非對稱密碼 由用戶或KMI/PKI來產(chǎn)生公/私密鑰對； 證書信息是準確、有效的，并反映了與可識別的惟一用戶之間有效的綁定關系；,18.4.3 用戶和基礎設施需求,證書將用戶私鑰對應的公鑰與用戶身份綁定在一起； 可信基礎設施組件的證書通過可鑒別的方式傳遞給用戶； 用戶可以周期性檢查證書中信息的有效性； KMI/PKI只為在策略中定義的經(jīng)過認證的實體（如用戶或用戶組織）提供數(shù)據(jù)恢復服務，例如提供私鑰的一個拷貝。,驗證密鑰產(chǎn)生請求 接收公鑰驗證申請密鑰請求驗證信息請求 驗證改變信任

35、模型的過程 接收基礎設施組件的公鑰產(chǎn)生 產(chǎn)生公/私密鑰對 產(chǎn)生證書產(chǎn)生密鑰向目錄中增加信息 產(chǎn)生根公/私密鑰對 產(chǎn)生根證書 產(chǎn)生基礎設施組件的公/私密鑰對 產(chǎn)生基礎設施組件的證書 產(chǎn)生交叉認證證書分發(fā) 向用戶提供證書,驗證獲取證書的用戶是否具有相應的私鑰 將策略批準權威（PAA）的公鑰證書通過可認證的途徑發(fā)送給用戶 將密鑰發(fā)送給用戶 將密鑰裝入到加密設備中向用戶提供信息 通過安全的途徑將根證書提供給基礎設施的各個組件 為每個基礎設施組件提供證書 確保每個基礎設施組件擁有公鑰對應的私鑰,通過安全的方式向基礎設施組件提供域內(nèi)的加密參數(shù)受損恢復 對失效的密鑰提供失效密鑰列表（CKL） 對處于有效期內(nèi)

36、的證書提供在線認證機制取消所有使用失效的密鑰的密碼設備修復一個受到攻擊的目錄提供整個基礎設施或組件失效或遇到 災難后的重建步驟續(xù)表,操作證書（公鑰）管理對稱密鑰管理基礎設施目錄服務基礎設施管理審計在密鑰和證書整個生命周期內(nèi)跟蹤其位置和狀態(tài)在密鑰的整個生命周期內(nèi)跟蹤其位置和狀態(tài)記錄何人何時修改目錄中的信息確保對基礎設施的組件的操作符合PAA定義的策略和操作流程密鑰恢復適當?shù)拿荑€恢復機制N/AN/A根簽名密鑰可能需要密鑰恢復密鑰更新新證書 新密鑰密碼設備的密鑰更新N/A改變根密鑰的過程銷毀到達私鑰使用期限后將其置0達到密鑰使用期限后將密鑰置0將信息從目錄中刪除到達基礎設施組件的私鑰使用期限后將其置

37、0管理N/AN/AN/A安全地使用基礎設施組件和運用系統(tǒng)策略的操作步驟,2. 基礎設施管理需求 （1） 對稱密碼 確保密鑰產(chǎn)生和分發(fā)的請求者經(jīng)過認證； 密鑰產(chǎn)生過程是安全、強健的； 在密鑰分發(fā)過程中保證密鑰的安全性； 密鑰只分發(fā)給經(jīng)過認證的用戶； 系統(tǒng)要對密鑰整個生命周期進行審計（申請、產(chǎn)生、分發(fā)、使用、更新以及銷毀）； 系統(tǒng)要將失效的密鑰從系統(tǒng)中刪除。,（2） 非對稱密碼 確保證書申請的發(fā)起者經(jīng)過認證； 產(chǎn)生證書之前確保證書申請中的信息與用戶的實際情況相符合； CA要保證將正確的公鑰寫入證書中； 如果系統(tǒng)為用戶產(chǎn)生公鑰，則要保證密鑰產(chǎn)生的安全性并安全地傳遞給用戶； 基礎設施要確保其證書的完整

38、性，并以可鑒別的、不可否認的方式傳遞給用戶； 基礎設施必須周期地為用戶提供證書撤銷信息； 基礎設施必須保證其組件的高可用性；,系統(tǒng)對密鑰的生命周期進行審計（申請、產(chǎn)生、分發(fā)、應用、更新、撤銷和歸檔）； 基礎設施只對已認證的用戶或用戶組織提供私鑰的恢復機制； 基礎設施存儲的密鑰要使用密鑰恢復機制保護密鑰； 保證恢復的密鑰在分發(fā)給用戶的過程中的安全。,KMI/PKI的一個主要功能就是對使用公鑰的應用提供密鑰和證書的產(chǎn)生、分發(fā)和管理服務。在KMI/PKI的分工中，PKI的目的就是管理密鑰和證書。本節(jié)從用戶的角度出發(fā)介紹PKI的功能及其體系結(jié)構。,18.5 證書管理,為了給各種基于公鑰的應用提供服務，

39、PKI的組成包括一系列的軟件、硬件和協(xié)議。PKI的主要組成部分包括證書授權（Certification Authority, CA）、注冊授權（Registration Authority, RA）以及證書存儲庫（Certificate Repository, CR）。PKI管理的對象有密鑰、證書以及證書撤銷列表（Certificate Revocation List, CRL）。下面簡要介紹這些組件。,CA。被一個或多個用戶信任并負責創(chuàng)建、分發(fā)證書，操作CA的人稱為管理員。 RA。負責認證CA申請證書的用戶身份的實體。RA并不簽發(fā)證書，一般位于離用戶比較近的地方。完成RA認證用戶這項任務的人

40、稱為RA操作員在大多數(shù)PKI中，完成認證用戶身份的任務一般由分散的、離用戶較近的局域注冊授權（Local Registration Authority, LRA）完成。 CR。CA發(fā)布證書和CRL的地點。存儲庫有多種實現(xiàn)方式，包括數(shù)據(jù)庫、Web服務器，但一般用戶都使用LDAP協(xié)議訪問目錄服務。,非對稱密鑰。非對稱密鑰算法中需要一對密鑰，一個用來加密、簽字，一個用來進行解密、驗證。密鑰對中有一個是由密鑰擁有者秘密保存的，稱為秘密密鑰，另外一個由密鑰按照一個不可逆的數(shù)字函數(shù)計算得到，并可公開，稱為公開密鑰。根據(jù)數(shù)學原理，由公開密鑰不可能推導出秘密密鑰，所以公開密鑰不會影響秘密密鑰的安全性。 證書。

41、將用戶的身份信息及其公鑰用一種可信的方式綁定在一起的一條計算機記錄。證書中包括簽發(fā)者名稱、用戶身份信息、用戶公鑰以及CA對這些信息的簽字。目前多數(shù)證書格式都遵循ITU X.509標準定義的證書格式，凡符合X.509標準的證書稱為X.509證書。,CRL。包含尚處于有效期內(nèi)、但證書內(nèi)的用戶身份信息及其公鑰的綁定關系已經(jīng)失效的證書列表。CRL由CA簽發(fā)，CRL可以通過多種方式發(fā)布，如發(fā)布到目錄服務器中，利用Web方式發(fā)布或通過E-mail方式發(fā)布。,同其他PKI相聯(lián)系的、處于不同保護地址中的通信實體，如果信任報文發(fā)送者的證書簽發(fā)者CA，那么可以對報文發(fā)送者的證書進行鑒別。如果用戶相信CA能將用戶身

42、份信息與公鑰正確地綁定在一起，那么用戶可以將該CA的公鑰裝入到用戶的加密設備中。可以用用戶信任的CA公鑰驗證其簽字的，并且不在CA簽發(fā)的撤銷列表中的任何證書都是有效證書。這意味著用戶可以從該證書中解析出公鑰，并相信該公鑰確實屬于證書中標明的用戶。,大型公鑰基礎設施往往包含多個CA，當一個CA相信其他的公鑰證書時，也就信任該CA簽發(fā)的所有證書。多數(shù)PKI中的CA是按照層次結(jié)構組織在一起的，在一個PKI中，只有一個根CA，在這種方式中，用戶總可能通過根CA找到一條連接任意一個CA的信任路徑。,在采用層次結(jié)構的組織中，層次結(jié)構的CA組織方式非常有效，但對于內(nèi)部不采用層次結(jié)構的組織以及組織之間，則很難

43、使用層次結(jié)構的CA組織方式。解決這個問題的一個很通用的方法是，將多個CA證書結(jié)構內(nèi)受信任的證書安裝到驗證證書的應用中，大多數(shù)商用瀏覽器中包含有50個以上的受信任的CA證書，并且用戶可以向瀏覽器中增加受信任的CA證書，也可以從中刪除不受信任的證書。當接收一個證書時，只要瀏覽器能在待驗證證書與其受信任的CA證書之間建立起一個信任鏈路，瀏覽器就可以驗證證書。,另一種方法是雙向地交叉認證證書。采用交叉認證不像層次結(jié)構組織CA的PKI那樣，需要在CA之間建立上下級的信任關系。為了區(qū)別于層次結(jié)構的PKI，采用雙向交叉認證機制的PKI稱為網(wǎng)狀PKI。層次結(jié)構的PKI可以同網(wǎng)狀結(jié)構的PKI組合在一起。在層次P

44、KI與網(wǎng)狀PKI之間進行互操作可采用橋CA的概念，橋CA為多個PKI中的關鍵CA簽發(fā)交叉認證證書。,不論是采用層次結(jié)構還是采用網(wǎng)狀結(jié)構的PKI，簽字的驗證者必須建立一條從簽字者到驗證者信任的CA之間的證書鏈，驗證者必須驗證證書鏈中的每一個證書的簽字，并檢查該證書是否已經(jīng)撤銷，如果證書鏈中的每個證書都是有效的，那么驗證者可以確認簽字者的公鑰是有效的。 不使用證書鏈對證書進行驗證的方法稱為在線證書驗證。在線證書驗證的過程是將證書傳遞給網(wǎng)絡上的服務器，讓該服務器根據(jù)其驗證規(guī)則來實現(xiàn)對證書有效性的驗證。,圖18.3表示PKI互操作中的分層信任列表與網(wǎng)狀方法。圖18.4表示基于雙向交叉認證、橋CA和在線

45、狀態(tài)檢查互操作模型的PKI。在多個PKI間進行互操作的方法都各有其優(yōu)缺點，必須仔細考慮選用互操作方法，以防降低系統(tǒng)的安全性。,圖18.3 PKI互操作中的分層信任列表與網(wǎng)狀方法,圖18.4 基于雙向交叉認證、橋CA和在線狀態(tài)檢查互操作模型的PKI,PKI在密鑰和證書的產(chǎn)生、分發(fā)和管理中起著關鍵作用，密鑰和證書的產(chǎn)生、分發(fā)和管理是實現(xiàn)基于公鑰的安全服務所必須的。PKI本身使用機密性安全服務保護私鑰在存儲和分發(fā)中的安全性，使用完整性安全服務對公鑰進行認證，PKI對公鑰的數(shù)字簽名保證了公鑰與證書中的用戶身份信息的綁定關系，同時確保了證書中公鑰的完整性。,盡管PKI有很多優(yōu)點，正在得到廣泛應用，但在現(xiàn)

46、實世界中，對稱密鑰管理仍然是一種重要技術。很多現(xiàn)存的系統(tǒng)惟一地使用對稱密碼。甚至隨著非對稱密碼技術應用的不斷發(fā)展，許多新出現(xiàn)的應用，例如多點傳送，將仍然要求安全的對稱密鑰和非對稱密碼系統(tǒng)。 在對稱密碼算法中，加密密鑰可以從解密密鑰求得，反之亦然。這一點和公鑰密碼算法不同，從加密密鑰難以計算出解密密鑰。在大多數(shù)對稱密碼系統(tǒng)中，加密和解密密鑰是相同的，這要求發(fā)送者和接收者在相互傳送加密報文時約定一個密鑰。,18.6 對稱密鑰管理,如果密鑰系統(tǒng)所用的密鑰管理很脆弱，密碼算法的健壯性就為零。對稱密鑰應用要求所有用戶擁有一個共同的安全密鑰，正確安全地分發(fā)、管理密鑰會十分復雜和昂貴。,對稱密鑰管理的許多方

47、面對于維護安全都是至關重要的。對稱密鑰的管理涉及整個的密鑰存活期，必須建立密鑰定購、產(chǎn)生、分配、存儲、記錄、銷毀的可控過程，圖18.5是對稱密鑰管理活動的關鍵因素。必須有檢測受到篡改的密鑰以及使系統(tǒng)恢復安全的方法和規(guī)定，并能有效地確定受到的危害程度。,18.6.1 對稱密鑰管理的關鍵因素,圖18.5 對稱密鑰管理活動的關鍵因素, 定購。只有授權的個體才允許定購密鑰，只有得到明確授權的密鑰才可以定購。定購者必須具有對通信網(wǎng)絡管理的訪問權限，定購密鑰是為了在需要密鑰之前將密鑰分發(fā)給所有的用戶。密鑰管理系統(tǒng)將保證定購者具有定購密鑰的權限以及接收者具有接收密鑰的權限。 產(chǎn)生。必須在安全環(huán)境中產(chǎn)生密鑰以

48、防止對密鑰的非授權訪問。對于特定的加密算法，產(chǎn)生過程將能產(chǎn)生一組可公認的密鑰。對稱密鑰通常是隨機的比特流，因此需要一個性質(zhì)控制過程保證比特流的隨機性。, 分配。對稱密鑰可以通過可信的人或一些保護技術（如抗竄擾裝置），以物理形式進行分發(fā)。對一些非常敏感的密鑰，可以使用兩人控制來得到更多的保障。然而，這些技術只能在密鑰的存活期提供最小的保護?？梢栽L問密鑰的人越多，篡改的可能性就越大。因此，安全分配的目標是通過良好的分發(fā)技術將密鑰從產(chǎn)生器通過電子手段傳送到用戶設備。公鑰技術可以支持良好的分發(fā)技術，允許用戶設備產(chǎn)生一個授權的會話密鑰，由產(chǎn)生器傳送對稱密鑰。, 存儲。密鑰在等待分發(fā)給用戶或偶然使用時，必

49、須存儲起來。當一個連接失敗時，需要有一種機制來保證恢復未經(jīng)加密的對稱密鑰的存儲區(qū)。對這些密鑰的保護十分關鍵，必須安全地存儲。以物理形式分發(fā)的密鑰只能通過嚴格的物理和人員安全性進行保護。電子形式的密鑰應以加密的形式進行存儲，同時應采取物理的、人員的和計算機的安全機制來限制對密鑰的加密和訪問。 保密應用。在密碼系統(tǒng)的應用中注入密碼需要一個保護接口，在接口處對密鑰進行物理保護，對于防止密鑰的篡改十分關鍵，因為可以在接口處對密鑰進行復制和替換。盡管注入加密密鑰只需要最少的保護，但對于相應的解密密鑰卻需要非常高的保護來限制它注入的頻度。, 銷毀?？梢杂卸喾N可能的介質(zhì)存放對稱密鑰，包括紙（例如手工代碼本、

50、密鑰帶）和電子器件（例如隨機訪問存儲器（RAM）、電子可擦寫可編程只讀存儲器（EEPROM）、可編程只讀存儲器（PROM）。由于對稱密鑰篡改具有能夠恢復以前加密的通信流的特性，所以密鑰的存儲期不能長于必需的任務執(zhí)行期是十分必要的。在密鑰周期結(jié)束后，安全的密鑰必須在所有位置進行銷毀，包括偶然存儲及伴隨的電子存儲等。, 篡改。對稱密鑰易受到密鑰篡改的攻擊（例如物理分發(fā)、大規(guī)模加密網(wǎng)、長加密周期），因此密鑰篡改的檢測和恢復是十分關鍵的。目前尚無完善的機制來控制密鑰篡改對網(wǎng)絡造成的危害。安全密鑰的篡改可能會暴露所有它加密的通信流，使假定的對于未來通信流的認證失效。為了恢復密鑰的篡改，需要通知每一個用戶

51、并提供新的密鑰。但對于大規(guī)模的加密網(wǎng)，這種方法很難做到使用戶同時得到通知和替換密鑰。 審計。必須采取附加的機制來跟蹤密鑰的整個存活期。有效的審計可以改進對于密鑰的跟蹤，如誰得到授權訪問密鑰、密鑰在什么時間分發(fā)到什么地方、密鑰什么時候銷毀。,1. 對稱密鑰技術的優(yōu)點 通信網(wǎng)絡中的每一個人可以盡可能長久地使用一個密鑰，在安全策略允許的情況下，可以經(jīng)?；蚝苌俑淖兠荑€； 密鑰在本地產(chǎn)生可以使采購的分發(fā)的問題最小化，不需要和中心權威機構通信； 對稱密鑰的結(jié)構相當簡單，主要是一系列隨機數(shù)； 對稱密鑰處理通常比非對稱密鑰處理要快得多，在很多情況下，非對稱密鑰用于在網(wǎng)絡中安全地向其他用戶分發(fā)對稱密鑰；,18.

52、6.2 對稱密鑰技術的優(yōu)缺點,支持網(wǎng)狀的點對點的操作； 對稱密鑰限制對特殊密鑰的擁有權，因而，不需要額外的訪問控制機制來控制誰和誰通信； 對稱密鑰在使用前不需要廣泛地確認； 在采購和分發(fā)路徑中需要信任的人更少； 非授權密鑰的產(chǎn)生只有當攻擊者使某人替代正確密鑰使用時才是危險的，它自身是沒有危害的。,2. 對稱密鑰技術的問題 一個丟失的密鑰將會危及全網(wǎng)的安全，從而要求更換每一個用戶的密鑰； 提供有限的密碼服務（例如沒有抗否認、隱含認證等）； 對于使用共同密鑰的密碼系統(tǒng)的網(wǎng)絡規(guī)模有一個上限，很難擴展到大的團體； 使用共同的對稱密鑰的操作員人數(shù)越多，密鑰篡改的危險就越大； 為了對付可能的危害和偶然的使

53、用，需要產(chǎn)生大量的對稱密鑰，這些密鑰必須被安全地傳送和在本地存儲；,分配延遲使得密鑰在使用之前就要產(chǎn)生并分發(fā)出去，所以在延遲時間較長時，會允許對于密鑰的有害訪問； 網(wǎng)絡必須是預先確定的，很難產(chǎn)生動態(tài)的通信網(wǎng)絡； 密鑰必須在所有時間保密； 對于每一次會話通信，密鑰的存活期不能太長； 沒有固定的方式能夠知道誰產(chǎn)生了密鑰； 沒有后向的通信業(yè)務保護，從密鑰周期的開始，任何時間密鑰受到的危害都會使使用該密鑰加密的通信業(yè)務暴露。,基礎設施目錄服務是通過一個結(jié)構化的命名服務，提供在分布環(huán)境中定位和管理資源的能力。目錄也提供對這一分布信息服務中所表示的所有客體的訪問控制。目錄的設計可以根據(jù)客體的內(nèi)容范圍和服務

54、范圍進行分類。圖18.6是目錄服務模型，它提供對稱及非對稱密鑰以及整個企業(yè)的保密性、完整性、標識和鑒別的管理數(shù)據(jù)。,18.7 基礎設施目錄服務,圖18.6 目錄服務模型,基礎設施目錄服務提供了信息的多個元素與特殊的人與設備相關聯(lián)的方式。這一關聯(lián)在分層組織中進行管理，并由名字關聯(lián)進行索引。最常見的例子是電話簿支持地址和電話號碼的名字解析關聯(lián)。在分布式網(wǎng)絡環(huán)境中，需要管理更多的信息，要求更通用的目錄功能。,基礎設施目錄服務具有以下幾個重要特性： 定義的名字空間。目錄服務通常調(diào)用一分層的名字空間，它在邏輯結(jié)構上是一棵倒轉(zhuǎn)的樹。這一命名格式可用于加強訪問和減少用戶的位置信息?？梢允褂肵.500的可辨別

55、名、RFC822電子郵件的命名和DNS的域名。 高度的分布性。目錄服務將數(shù)據(jù)可靠地分布于多個目錄，不管它們分布于整個企業(yè)還是位于一個局域環(huán)境中。提供了允許信息分割以及訪問約束和適時的訪問機制。此外，通過目錄服務復制數(shù)據(jù)的能力使系統(tǒng)能更好地抗失效和保持可訪問性。,18.7.1 基礎設施目錄服務的特性,優(yōu)化的數(shù)據(jù)恢復。目錄服務提供了根據(jù)客體的個體屬性進行搜索的能力。該設計支持很高的讀寫運算比。大多數(shù)目錄產(chǎn)品假定訪問目錄信息庫中99%是查找或搜索，而沒有改變、添加、刪除。 基礎設施目錄服務能提供對多種應用的訪問。一些重要的訪問目錄應用如X.500目錄訪問協(xié)議DAP和LDAP、電子郵件（S/MIMI

56、V3）和以Web為基礎的訪問（http）。 訪問目錄服務的客戶類型有3類： （1） 查詢客戶，執(zhí)行對用戶信息的一般查詢。 （2） 修改客戶，執(zhí)行查詢，并且能執(zhí)行很強的認證綁定和對選定用戶屬性的修改。,（3） 管理用戶，除了具有修改客戶所有的重要特性外，還允許管理用戶項和操作信息。 圖18.7從目錄用戶和管理者的角度描述了目錄信息庫（Directory Information Base, DIB）的邏輯結(jié)構。目錄服務定義了客體、屬性和相關句法的關系。用戶信息部分包括關于目錄客體的信息，這些信息對DIB的訪問是可見的。DIB的操作和管理部分包括用于跟蹤目錄操作的信息元素，如訪問控制信息與數(shù)據(jù)拷貝的

57、有關信息。,圖18.7 目錄信息庫的邏輯結(jié)構,目錄系統(tǒng)是一組定義了目錄信息樹（Directory Information Tree, DIT）如何構造的規(guī)則集合，定義了DIB中保存的特定信息類型以及用于訪問信息的句法。目錄系統(tǒng)由3部分組成： （1） 類，所包含客體的集合。 （2） 每一客體類的屬性，某類客體所允許的屬性集合。 （3） 屬性句法，描繪了句法形式和那一屬性使用的匹配規(guī)則。,目錄服務必須具有實際的性能特性，性能可從以下幾方面考慮：易用性、健壯性、服務恢復的及時性和響應速度。 易用性是指系統(tǒng)設計和提供給目錄用戶的工具能方便使用，如單擊、指向、圖標、窗口、腳本和狀態(tài)信息等。 健壯性指產(chǎn)品

58、和系統(tǒng)的可靠性和完整性，并根據(jù)平均失效時間MTBF和平均修復時間MTTR來說明。 可用性目標是提供任何目錄服務要1周7天、1天24小時的可用。在證書管理中，在需要時，吊銷信息的操作必須可用。,18.7.2 目錄服務的實現(xiàn)考慮,服務的恢復涉及單個的目錄存儲代理（Directory Storage Agent, DSA）為達到某一操作狀態(tài)從客戶（和別的附屬DSA）到另一DSA之間轉(zhuǎn)換的恢復時間。如果DSA在戰(zhàn)略環(huán)境中，不應超過5分鐘，在戰(zhàn)術環(huán)境中應小于1分鐘。 對于響應速度的戰(zhàn)術要求，目錄系統(tǒng)提供兩種類型的訪問特性。一種是人的訪問要求，通過人機接口處理信息的獲?。ɡ绨醉撔畔ⅲ?。另一種是通過特定的

59、系統(tǒng)函數(shù)（例如在報文轉(zhuǎn)送時，需要名字到地址的解析功能），這一接口是機器至機器的接口。上述兩種訪問都有性能要求，但是，它們的特征和表示方法卻差別很大。,信息系統(tǒng)安全工程（Information System Security Engineering, ISSE）的含義是為實現(xiàn)客戶信息保護需求而進行的某種過程。ISSE是由美國國家安全局發(fā)布的信息保障技術框架（IATF）3.0版本中提出的設計和實施信息系統(tǒng)安全工程方法。圖188表明系統(tǒng)工程過程的主要行為，也反映了進程中各行為之間的關系。箭頭表明各行為間的信息流向，而不是行為的順序或時限?！坝行栽u估”對各行為的產(chǎn)物（產(chǎn)品）進行評估，使之在指定的環(huán)境

60、中依照質(zhì)量需求標準執(zhí)行功能需求并以此確保系統(tǒng)能夠滿足用戶需求。,18.8 信息系統(tǒng)安全工程,圖18.8 系統(tǒng)工程過程,圖18.8所描述的系統(tǒng)工程行為的流程是按照下述一般方式進行的：挖掘任務或業(yè)務需求，定義系統(tǒng)功能，設計系統(tǒng)，實施系統(tǒng)，有效性評估。該系統(tǒng)工程的過程執(zhí)行原則是：從“解決方案空間”中分離出“問題的空間”。問題空間表示“解決方案”這一概念的約束條件、風險、策略和一些界限（值）。解決方案空間代表了在開發(fā)系統(tǒng)以滿足用戶需求時所有已結(jié)束的行為和創(chuàng)造出的產(chǎn)品。由解決方案空間所代表的、面向已定義的或一致的目標的系統(tǒng)工程行為和產(chǎn)品在開發(fā)的過程中必須不斷地接受有效性評估，并確定該方案是否違背問題空間