分布式系统之11、安全性1.ppt

一、概念 1、安全性主题 分布式系统中的安全问题 通信安全：确保不同的机器上的不同用户、不同的进程之间的通信是安全可靠的。一般采用安全通道机制。 授权：确保进程或用户只能访问他（它）已被授权的系统资源。 2、安全威胁、策略与机制 安全性与可靠性密切相关 一个可靠的系统是一个我们可以信赖其服务的系统。 一个可以信任的计算机系统应该具有： 一般意义的可靠性 机密性：系统只将信息向授权用户公开 完整性：系统资源的变更只能以授权的方式进行 安全威胁、策略与机制 从另一个角度上说，安全是保护系统提供的服务和数据不受到安全威胁。 安全威胁一般有四种： 窃听：如包解惑、非法侵入 中断：如拒绝服务攻击（DOS） 修改：未经授权修改数据或篡改服务 伪造 安全威胁、策略与机制 建立一个安全可靠的系统 首先需要一个安全策略 然后在安全策略基础上考虑其安全机制 安全策略是指系统安全需求的描述。 安全策略实施的机制称为安全机制 几种重要的安全机制： 加密 身份验证 授权 审计 3、安全性的设计 首先需要明确的是控制的重点 数据的保护 操作的控制 用户层面的控制 从不同层面上设置安全机制 安全性的设计 另一个重要问题是把安全机制部署在哪一层。 一般把通用服务与通信服务分离开来，通用服务构建在高层协议上，通信服务则构建在底层协议上。如下页图所示。 对应地，我们把信任和安全区分开来，纯粹考虑一个系统的时候，我们说它是不是安全的，而一个客户是否认为一个系统是否安全则是个信任问题 安全机制放在哪一层，取决于客户对特定层中服务的信任度。 分布式系统中，安全机制一般放在中间件层。 多层逻辑结构与通用层与通信层的分离 安全性的设计 另外两个问题是安全机制的 分布 复杂程度 一般根据所需要的安全性，将服务分布在不同的机器上，使得安全服务于其他类型的服务分开。 安全机制的分布 4、加密 最基本的安全措施 加密和解密是通过以密钥为参数的加密算法实现，发送的消息的原始格式叫明文，已加密的格式叫密文。 三种针对密文的攻击： 窃听 修改消息 插入消息 通信中的入侵与窃听 加密 对加密系统的分类是基于加密解密密钥是否相同。 加密和解密密钥相同的系统称为对称加密系统或者共享密钥系统。 而非对称加密系统中，加密和解密使用的密钥是不同的，但两个密钥一起构成了唯一的一对。 非对称加密系统中，一个密钥是必威体育官网网址的，称为私钥，另一个是公开的称为公钥。又称公钥系统。 加密 密码实现理论基础：散列函数 一个散列函数H是这么一个函数，它将任意长度的 消息m作为输入，产生一个 固定长度的位串h作为输出。 h = H(m) 应用于密码学的散列函数有三个基本特性： 单向性：正向计算非常容易高效，反向计算则不可能 弱抗冲突性：给出一消息x，找出一消息y使H(x)=H(y)是计算上不可行 强抗冲突性：找出任意两条消息x、y，使H(x)=H(y)也是计算上不可行 三种应用广泛的加密系统：对称加密系统DES，公钥加密系统RSA，散列函数MD5 二、安全通道 1、身份验证 对于一个安全可靠的通信通道来说，身份验证和消息完整性缺一不可。 以下讨论都以一个用户Alice与另一个用户Bob通信的假设场景为例。 三种基本的身份验证 基于共享密钥的身份验证 使用密钥分发中心的身份验证 使用公钥加密的身份验证 基于共享密钥的身份验证 该协议采用的一个基本原理：一方向另一方质询一个响应，所以也称为质询－响应协议 使用密钥分发中心的身份验证 使用共享密钥进行身份验证的一个重要问题是可扩展性，即系统维护的密钥可能会数目庞大。 一个改进办法是采用一种集中式的方式，使用一个密钥分发中心（KDC）来专门负责分发密钥。 密钥分发中心与每台主机共享一个密钥，其他主机之间无需相互共享密钥，他们之间的身份认证都必须通过密钥分发中心。这使得系统密钥数目大大减少。 a、基本KDC原理 b、使用票据的改进KDC原理 使用公钥加密的身份验证 原理如图所示，其中KA,B是进一步通信的会话密钥。 2、消息完整性和机密性 消息的机密性确保消息不被窃听或截获 对消息简单加密即可实现 消息的完整性是保护消息免受修改 相对困难 两种重要实现手段： 数字签名：下页图示 会话密钥：与用于身份验证的长期密钥相比具有廉价、临时特点 使用公钥加密对消息进行数字签名 使用消息摘要对消息进行数字签名