任務3 軟件安全技術與應用

任務3軟件安全技術與應用實踐

軟件限制策略及應用；TCP/IP協(xié)議的安全性；加密文件系統(tǒng)（EFS）；Kerberos系統(tǒng)；IPSec系統(tǒng)

;定義軟件安全（SoftwareSecurity）就是使軟件在受到惡意攻擊的情形下依然能夠繼續(xù)正確運行的工程化軟件思想。3．1軟件安全策略

3.1.1軟件限制策略及應用

在企業(yè)網(wǎng)絡管理中，可利用域控制器實現(xiàn)對某些軟件的使用限制。當用戶利用域賬戶登錄到本機電腦的時候，系統(tǒng)會根據(jù)這個域賬戶的訪問權限，判斷其是否有某個應用軟件的使用權限。當確定其沒有相關權限時，操作系統(tǒng)就會拒絕用戶訪問該應用軟件，從而來管理企業(yè)員工的操作行為。這就是域環(huán)境中的軟件限制策略。1．軟件限制策略原則

(1)應用軟件與數(shù)據(jù)文件的獨立原則在使用軟件限制策略時，應堅持“應用軟件與數(shù)據(jù)文件獨立”的原則，即用戶即使具有數(shù)據(jù)文件的訪問權限，但若沒有其關聯(lián)軟件的訪問權限，仍然不能打開這個文件。(2)軟件限制策略的沖突處理原則軟件限制策略與其他組策略一樣，可以在多個級別上進行設置。即可將軟件限制策略看成是組策略中的一個特殊分支。所以，軟件限制策略可以在本地計算機、站點、域或組織單元等多個環(huán)節(jié)進行設置。每個級別又可以針對用戶與計算機進行設置。當在各個設置級別上的軟件限制策略發(fā)生沖突時，應考慮優(yōu)先性問題。優(yōu)先性的級別從高到低為“組織單元策略”、“域策略”、“站點策略”和“本地計算機策略”。(3)軟件限制的規(guī)則默認情況下，軟件限制策略提供了“不受限的”和“不允許的”兩種軟件限制規(guī)則?！安皇芟薜摹币?guī)則規(guī)定所有登錄的用戶都可以運行指定的軟件。“不允許的”規(guī)則規(guī)定所有登錄系統(tǒng)的賬戶，都不能運行這個應用軟件，無論其是否對數(shù)據(jù)文件具有訪問權限。系統(tǒng)默認的策略是所有軟件運行都是“不受限的”，即只要用戶對于數(shù)據(jù)文件有訪問權限，就可以運行對應的應用軟件。2．軟件限制策略的應用軟件限制策略是一種技術，通過這種技術，管理員可以決定哪些程序是可信賴的，哪些是不可信賴的。對于不可信賴的程序，系統(tǒng)會拒絕執(zhí)行。運行Gpedit.msc打開組策略編輯器，可以發(fā)現(xiàn)有“計算機配置”和“用戶設置”條目。如果希望對本地登錄到計算機的所有用戶生效，則使用“計算機配置”下的策略；如果希望對某個特定用戶或用戶組生效，則使用“用戶配置”下的策略。用戶應設計出一種最佳的策略，能使所有需要的軟件正確運行，所有不必要的軟件都無法運行。

具體操作：打開“計算機配置”→“Windows設置”→“安全設置”→“軟件限制策略”路徑，在“操作”菜單下選擇“創(chuàng)建新的策略”。請參考教材p1563.1.2TCP/IP協(xié)議的安全性

TCP/IP協(xié)議是由100多個協(xié)議組成的協(xié)議集，TCP和IP是其中兩個最重要的協(xié)議。TCP和IP兩個協(xié)議分別屬于傳輸層和網(wǎng)絡層，在Internet中起著不同的作用。1．TCP/IP協(xié)議的層次結構及主要協(xié)議

網(wǎng)絡接口層負責接收IP數(shù)據(jù)報，并把這些數(shù)據(jù)報發(fā)送到指定網(wǎng)絡中。它與OSI模型中的數(shù)據(jù)鏈路層和物理層相對應。網(wǎng)絡層要解決主機到主機的通信問題，該層的主要協(xié)議有IP和ICMP。傳輸層的基本任務是提供應用程序之間的通信，這種通信通常叫做端到端通信。傳輸層可提供端到端之間的可靠傳送，確保數(shù)據(jù)到達無差錯，不亂序。傳輸層的主要協(xié)議有TCP和UDP。應用層為協(xié)議的最高層，在該層應用程序與協(xié)議相互配合，發(fā)送或接收數(shù)據(jù)。應用層傳輸(TCP)層網(wǎng)絡(IP)層網(wǎng)絡接口層應用層表示層會話層傳輸層網(wǎng)絡層數(shù)據(jù)鏈路層物理層TCP/IPOSI圖3.5TCP/IP結構與OSI結構2．TCP／IP協(xié)議安全性分析(1)TCP協(xié)議TCP使用三次握手機制建立一條連接。攻擊者可利用這三次握手過程建立有利于自己的連接（破壞原連接），若他們再趁機插入有害數(shù)據(jù)包，則后果更嚴重。TCP協(xié)議把通過連接而傳輸?shù)臄?shù)據(jù)看成是字節(jié)流，用一個32位整數(shù)對傳送的字節(jié)編號。初始序列號(ISN)在TCP握手時產(chǎn)生，產(chǎn)生機制與協(xié)議實現(xiàn)有關。攻擊者只要向目標主機發(fā)送一個連接請求，即可獲得上次連接的ISN，再通過多次測量來回傳輸路徑，得到進攻主機到目標主機之間數(shù)據(jù)包傳送的來回時間（RTT）。已知上次連接的ISN和RTT，很容易就能預測下一次連接的ISN。若攻擊者假冒信任主機向目標主機發(fā)出TCP連接，并預測到目標主機的TCP序列號，攻擊者就能偽造有害數(shù)據(jù)包，使之被目標主機接受。

(2)IP協(xié)議和ICMP協(xié)議IP協(xié)議提供無連接的數(shù)據(jù)包傳輸機制，其主要功能有尋址、路由選擇、分段和組裝。傳送層把報文分成若干個數(shù)據(jù)包，每個包在網(wǎng)關中進行路由選擇，在傳輸過程中每個數(shù)據(jù)包可能被分成若干小段，每一小段都當作一個獨立的數(shù)據(jù)包被傳輸，其中只有第一個數(shù)據(jù)包含有TCP層的端口信息。在包過濾防火墻中根據(jù)數(shù)據(jù)包的端口號檢查是否合法，這樣后續(xù)數(shù)據(jù)包就可以不經(jīng)檢查而直接通過。攻擊者若發(fā)送一系列有意設置的數(shù)據(jù)包，以非法端口號為數(shù)據(jù)的后續(xù)數(shù)據(jù)包覆蓋前面的具有合法端口號的數(shù)據(jù)包，那么該路由器防火墻上的過濾規(guī)則被旁路，從而攻擊者便達到了進攻目的。

ICMP是在網(wǎng)絡層中與IP一起使用的協(xié)議。如果一個網(wǎng)關不為IP分組選擇路由、不能遞交IP分組或測試到某種不正常狀態(tài)，如網(wǎng)絡擁擠影響IP分組的傳遞，那么就需要ICMP來通知源端主機采取措施，避免或糾正這些問題。ICMP協(xié)議存在的安全問題有：攻擊者可利用不可達報文對某用戶節(jié)點發(fā)起拒絕服務攻擊。3．TCP/IP層次安全

(1)網(wǎng)絡接口層安全網(wǎng)絡接口層安全一般可以達到點對點間較強的身份驗證、保密性和連續(xù)的信道認證，在大多數(shù)情況下也可以保證數(shù)據(jù)流的安全。(2)網(wǎng)絡層的安全網(wǎng)絡層安全主要是基于以下幾點考慮：控制不同的訪問者對網(wǎng)絡和設備的訪問。劃分并隔離不同安全域。防止內(nèi)部訪問者對無權訪問區(qū)域的訪問和誤操作。網(wǎng)絡層非常適合提供基于主機對主機的安全服務。相應的安全協(xié)議可用來在Internet上建立安全的IP通道和VPN。(3)傳輸層的安全在傳輸層建立安全通信機制，為應用層提供安全保護。常見的傳輸層安全技術有SSL(4)應用層的安全應用層提供的安全服務，通常都是對每個應用（包括應用協(xié)議）分別進行修改和擴充，加入新的安全功能?；谛庞每ò踩灰追盏陌踩娮咏灰祝⊿ET）協(xié)議，基于信用卡提供電子商務安全應用的安全電子付費協(xié)議（SEPP），基于SMTP提供電子郵件安全服務的私用強化郵件（PEM），基于HTTP協(xié)議提供Web安全使用的安全性超文本傳輸協(xié)議（S-HTTP）等。3．2加密文件系統(tǒng)（EFS）

3.2.1EFS軟件加密文件系統(tǒng)（EncryptingFileSystem，EFS）是Windows文件系統(tǒng)的內(nèi)置文件加密工具，它以公共密鑰加密為基礎.EFS可對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行加密操作。

EFS系統(tǒng)具有如下特性：用戶加密或解密文件或文件夾很方便，訪問加密文件簡單容易在使用EFS加密一個文件或文件夾時，系統(tǒng)首先會生成一個由偽隨機數(shù)組成的FEK(文件加密密鑰)，然后利用FEK和數(shù)據(jù)擴展標準X算法創(chuàng)建加密文件，并把它存儲到硬盤上，同時刪除未加密的原文件。隨后系統(tǒng)利用用戶的公鑰加密FEK，并把加密后的FEK存儲在同一個加密文件中。當用戶訪問被加密的文件時，系統(tǒng)首先利用用戶的私鑰解密FEK，然后利用FEK解密原加密文件。在首次使用EFS時，如果用戶還沒有公鑰/私鑰對（統(tǒng)稱為密鑰），則會首先生成密鑰，然后再加密數(shù)據(jù)。EFS加密文件的時候，使用對該文件唯一的對稱加密密鑰，并使用文件擁有者EFS證書中的公鑰對這些對稱加密密鑰進行加密。因為只有文件的擁有者才能使用密鑰對中的私鑰，所以也只有他才能解密密鑰和文件。

EFS加密系統(tǒng)對用戶是透明的用戶加密了一些數(shù)據(jù)，那么他對這些數(shù)據(jù)的訪問將是完全允許的，并不會受到任何限制。如果用戶持有一個已加密NTFS文件的私鑰，那么他就能夠打開這個文件，并透明地將該文件作為普通文檔使用。而其他非授權用戶試圖訪問加密過的數(shù)據(jù)時，就會收到“訪問拒絕”的提示。這說明非授權用戶無法訪問經(jīng)過EFS加密后的文件。即使是有權訪問計算機及其文件系統(tǒng)的用戶，也無法讀取這些加密數(shù)據(jù)。加密后的數(shù)據(jù)無論怎樣移動都保持加密狀態(tài)把未加密的文件復制到經(jīng)過加密的文件夾中，那么這些文件將會被自動加密。若想將加密文件移出來，如果移動到NTFS分區(qū)上，文件依舊保持加密屬性。EFS加密機制和操作系統(tǒng)緊密結合，用戶不必為加密數(shù)據(jù)安裝額外軟件，可節(jié)約使用成本

EFS加密的用戶驗證過程是在登錄Windows時進行的，只要登錄到Windows，就可以打開任何一個被授權的加密文件，而并不像第三方加密軟件那樣在每次存取時都要求輸入密碼。

EFS與NTFS緊密地結合在一起。使用EFS加密功能要保證兩個條件，第一要保證操作系統(tǒng)是Windows2000/XP/2003，第二要保證文件所在的分區(qū)格式是NTFS格式（FAT32分區(qū)里的數(shù)據(jù)是無法加密的；如果要使用EFS對其進行加密，就必須將FAT32格式轉(zhuǎn)換為NTFS）。通過EFS加密敏感性文件，會增加更多層級的安全性防護對于重要文件，最佳的做法是綜合使用NTFS權限和EFS加密兩項安全措施。這樣，如果非法用戶沒有合適的權限，將不能訪問受保護的文件和文件夾，因此也就不能刪除文件了；而有些用戶即使擁有權限，沒有密鑰同樣還是打不開加密數(shù)據(jù)。3.2.2EFS加密和解密應用實踐1．EFS加密和解密操作p1632．EFS的其它操作

p1703．3Kerberos系統(tǒng)

Kerberos是一種提供網(wǎng)絡認證服務的系統(tǒng)，其設計目標是通過密鑰系統(tǒng)為Client/Server應用程序提供強大的認證服務。該認證過程的實現(xiàn)不依賴于主機操作系統(tǒng)的認證，無需基于主機地址的信任，不要求網(wǎng)絡上所有主機的物理安全，并假定網(wǎng)絡上傳送的數(shù)據(jù)包可以被任意地讀取、修改和插入數(shù)據(jù)。3.3.1Kerberos概述

Keberos是為TCP/IP網(wǎng)絡系統(tǒng)設計的一種基于對稱密鑰密碼體制的第三方認證協(xié)議。Kerberos認證協(xié)議定義了客戶端和密鑰分配中心（Key

Distribution

Center，KDC）的認證服務之間的安全交互過程。KDC由認證服務器AS和票證授權服務器TGS兩部分組成。Kerberos協(xié)議根據(jù)KDC的第三方服務中心來驗證網(wǎng)絡中計算機的身份，并建立密鑰以保證計算機間安全連接。Kerberos允許一臺計算機通過交換加密消息在整個非安全網(wǎng)絡上與另一臺計算機互相證明身份。一旦身份得到驗證，Kerberos協(xié)議將會給這兩臺計算機提供密鑰，以進行安全通信對話。Kerberos協(xié)議可以認證試圖登錄上網(wǎng)用戶的身份，并通過使用密鑰密碼為用戶間的通信加密。Kerberos以票證（ticket）系統(tǒng)為基礎，票證是KDC發(fā)出的一些加密數(shù)據(jù)包，它可標識用戶的身份及其網(wǎng)絡訪問權限。每個KDC負責一個領域（realm）的票證發(fā)放。KDC類似于發(fā)卡機構，“票證”類似通行“護照”，它帶有安全信息。在Windows2003中，每個域也是一個Kerberos領域，每個ActiveDirectory域控制器（DC）就是一個KDC。執(zhí)行基于Kerberos的事務時，用戶將透明地向KDC發(fā)送票證請求。KDC將訪問數(shù)據(jù)庫以驗證用戶的身份，然后返回授予用戶訪問其他計算機的權限的票證。Windows系統(tǒng)中采用多種措施提供對Kerberos協(xié)議的支持，在系統(tǒng)的每個域控制器中都應用了KDC認證服務。Windows系統(tǒng)中應用了Kerberos協(xié)議的擴展，除共享密鑰外，還支持基于公開密鑰密碼的身份認證機制。Kerberos公鑰認證的擴展允許客戶端在請求一個初始TGT（TGT稱為票據(jù)授權票證，是一個KDC發(fā)給驗證用戶的資格證）時使用私鑰，而KDC則使用公鑰來驗證請求，該公鑰是從存儲在活動目錄中用戶對象的X.509證書中獲取的。用戶的證書可以由權威的第三方發(fā)放，也可以由Windows系統(tǒng)中的微軟證書服務器產(chǎn)生。初始認證以后，就可以使用標準的Kerberos來獲取會話票證，并連接到相應的網(wǎng)絡服務。認證過程具體如下：客戶機向認證服務器（AS）發(fā)送請求，要求得到某服務器的證書，然后AS的響應包含這些用客戶端密鑰加密的證書。證書的構成為：1)服務器“ticket”；2)一個臨時加密密鑰（又稱為會話密鑰“sessionkey”）。客戶機將ticket（包括用服務器密鑰加密的客戶機身份和一份會話密鑰的拷貝）傳送到服務器上。會話密鑰可以（現(xiàn)已經(jīng)由客戶機和服務器共享）用來認證客戶機或認證服務器，也可用來為通信雙方以后的通訊提供加密服務，或通過交換獨立子會話密鑰為通信雙方提供進一步的通信加密服務。上述認證交換過程需要只讀方式訪問Kerberos數(shù)據(jù)庫。但有時，數(shù)據(jù)庫中的記錄必須進行修改，如添加新的規(guī)則或改變規(guī)則密鑰時。修改過程通過客戶機和第三方Kerberos服務器（Kerberos管理器KADM）間的協(xié)議完成。有關管理協(xié)議在此不作介紹。另外也有一種協(xié)議用于維護多份Kerberos數(shù)據(jù)庫的拷貝，這可以認為是執(zhí)行過程中的細節(jié)問題，并且會不斷改變以適應各種不同數(shù)據(jù)庫技術。3．4IPSec系統(tǒng)3.4.1IPSec概述IP安全協(xié)議（IPSecurity，IPSec）是網(wǎng)絡安全協(xié)議的一個工業(yè)標準，也是目前TCP/IP網(wǎng)絡的安全化協(xié)議標準。IPSec最主要的功能是為IP通信提供加密和認證，為IP網(wǎng)絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，有效抵御網(wǎng)絡攻擊，同時保持其易用性。IPSec的目標是為IP提供互操作高質(zhì)量的基于密碼學的一整套安全服務，其中包括訪問控制、無連接完整性、數(shù)據(jù)源驗證、抗重放攻擊、機密性和有限的流量保密。這些服務都在IP層提供，可以為IP和其上層協(xié)議提供保護。IPSec不是一個單獨的協(xié)議，它由一系列協(xié)議組成，包括網(wǎng)絡認證協(xié)議AH（也稱認證報頭）、封裝安全載荷協(xié)議ESP、密鑰管理協(xié)議IKE和用于網(wǎng)絡認證及加密的一些算法等。其中AH協(xié)議定義了認證的應用方法，提供數(shù)據(jù)源認證和完整性保證；ESP協(xié)議定義了加密和可選認證的應用方法，提供可靠性保證。在實際進行IP通信時，可以根據(jù)實際安全需求同時使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認證服務，不過，AH提供的認證服務要強于ESP。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上層提供訪問控制、數(shù)據(jù)源認證、數(shù)據(jù)加密等網(wǎng)絡安全服務。IPSec可應用于虛擬專用網(wǎng)絡(VPN)、應用級安全以及路由安全三個不同的領域，但目前主要用于VPN。IPSec既可以作為一個完整的VPN方案，也可以與其他協(xié)議配合使用，如PPTP、L2TP。它工作在IP層（網(wǎng)絡層），為IP層提供安全性，并可為上一層應用提供一個安全的網(wǎng)絡連接，提供基于一種端--端的安全模式。IPSec兩種工作模式:一種是隧道模式，在隧道模式中，整個IP數(shù)據(jù)包被加密或認證，成為一個新的更大的IP包的數(shù)據(jù)部分，該IP包有新的IP報頭，還增加了IPSec報頭。隧道模式主要用在網(wǎng)關和代理上，IPSec服務由中間系統(tǒng)實現(xiàn)，端節(jié)點并不知道使用了IPSec。一種是傳輸模式。在傳輸模式中，只對IP數(shù)據(jù)包的有效負載進行加密或認證，此時繼續(xù)使用原始IP頭部。在傳輸模式中，兩個端節(jié)點必須都實現(xiàn)IPSec，而中間系統(tǒng)不對數(shù)據(jù)包進行任何IPSec處理。3.4.2IPsec中加密與完整性驗證機制IPSec可對數(shù)據(jù)進行加密和完整性驗證。其中，AH協(xié)議只能用于對數(shù)據(jù)包包頭進行完整性驗證，而ESP協(xié)議可用于對數(shù)據(jù)的加密和完整性驗證。IPSec的認證機制使IP通信的數(shù)據(jù)接收方能夠確認數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。IPSec的加密機制通過對數(shù)據(jù)進行編碼來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被竊聽。為了進行加密和認證，IPSec還需要有密鑰的管理和交換功能，以便為加密和認證提供所需要的密鑰并對密鑰的使用進行管理。以上三方面的工作分別由AH、ESP和IKE三個協(xié)議規(guī)定。

1．安全關聯(lián)SAIPSec中一個重要概念就是SA，所謂安全關聯(lián)是指安全服務與它服務的載體之間的一個“連接”，即就是能為雙方之間的數(shù)據(jù)傳輸提供某種IPSec安全保障的一個簡單連接。SA可以看成是兩個IPSec對等端之間的一條安全隧道。SA是策略和密鑰的結合，它定義用來保護端--端通信的常規(guī)安全服務、機制和密鑰。SA可由AH或ESP提供，當給定了一個SA，就確定了IPSec要執(zhí)行的處理。2．認證協(xié)議AH為整個數(shù)據(jù)包提供身