任务3 软件安全技术与应用

1、任务3 3 软件安全技术与应用实践 软件限制策略及应用软件限制策略及应用 ；TCP/IPTCP/IP协议的安全性协议的安全性 ；加密文件系统（加密文件系统（EFSEFS） ；KerberosKerberos系统系统 ；IPSecIPSec系统系统 ;定义软件安全（Software Security）就是使软件在受到恶意攻击的情形下依然能够继续正确运行的工程化软件思想。3 31 1软件安全策略 .1软件限制策略及应用软件限制策略及应用 在企业网络管理中，可利用域控制器实现对某些软件的使用限制。当用户利用域账户登录到本机电脑的时候，系统会根据这个域账户的访问权限，判断其是否有某个应

2、用软件的使用权限。当确定其没有相关权限时，操作系统就会拒绝用户访问该应用软件，从而来管理企业员工的操作行为。这就是域环境中的软件限制策略。 1 1软件限制策略原则软件限制策略原则 (1) (1) 应用软件与数据文件的独立原则应用软件与数据文件的独立原则在使用软件限制策略时，应坚持“应用软件与数据文件独立”的原则，即用户即使具有数据文件的访问权限，但若没有其关联软件的访问权限，仍然不能打开这个文件。(2) (2) 软件限制策略的冲突处理原则软件限制策略的冲突处理原则 软件限制策略与其他组策略一样，可以在多个级别上进行设置。即可将软件限制策略看成是组策略中的一个特殊分支。所以，软件限制策略可以在本

3、地计算机、站点、域或组织单元等多个环节进行设置。每个级别又可以针对用户与计算机进行设置。 当在各个设置级别上的软件限制策略发生冲突时，应考虑优先性问题。优先性的级别从高到低为“组织单元策略”、“域策略”、“站点策略”和“本地计算机策略”。 (3) (3) 软件限制的规则软件限制的规则默认情况下，软件限制策略提供了“不受限的”和“不允许的”两种软件限制规则。 “不受限的”规则规定所有登录的用户都可以运行指定的软件。 “不允许的”规则规定所有登录系统的账户，都不能运行这个应用软件，无论其是否对数据文件具有访问权限。 系统默认的策略是所有软件运行都是“不受限的”，即只要用户对于数据文件有访问权限，就

4、可以运行对应的应用软件。 2 2软件限制策略的应用软件限制策略的应用 软件限制策略是一种技术，通过这种技术，管理软件限制策略是一种技术，通过这种技术，管理员可以决定哪些程序是可信赖的，哪些是不可信赖的。员可以决定哪些程序是可信赖的，哪些是不可信赖的。对于不可信赖的程序，系统会拒绝执行。对于不可信赖的程序，系统会拒绝执行。 运行运行Gpedit.mscGpedit.msc打开组策略编辑器，可以发现有打开组策略编辑器，可以发现有“计算机配置计算机配置”和和“用户设置用户设置”条目。如果希望对本地条目。如果希望对本地登录到计算机的所有用户生效，则使用登录到计算机的所有用户生效，则使用“计算机配置计算

5、机配置”下的策略；如果希望对某个特定用户或用户组生效，则下的策略；如果希望对某个特定用户或用户组生效，则使用使用“用户配置用户配置”下的策略。下的策略。 用户应设计出一种最佳的策略，能使所有需要的软件正确运行，所有不必要的软件都无法运行。 具体操作： 打开“计算机配置”“Windows设置”“安全设置”“软件限制策略”路径，在“操作”菜单下选择“创建新的策略” 。请参考教材p1563.1.2 TCP/IP3.1.2 TCP/IP协议的安全性 TCP/IP协议是由100多个协议组成的协议集，TCP和IP是其中两个最重要的协议。TCP和IP两个协议分别属于传输层和网络层，在Internet中起着不

6、同的作用。1 1TCP/IPTCP/IP协议的层次结构及主要协议协议的层次结构及主要协议 网络接口层负责接收IP数据报，并把这些数据报发送到指定网络中。它与OSI模型中的数据链路层和物理层相对应。网络层要解决主机到主机的通信问题，该层的主要协议有IP和ICMP。传输层的基本任务是提供应用程序之间的通信，这种通信通常叫做端到端通信。传输层可提供端到端之间的可靠传送，确保数据到达无差错，不乱序。传输层的主要协议有TCP和UDP。 应用层为协议的最高层，在该层应用程序与协议相互配合，发送或接收数据。 应用层传输(TCP)层网络(IP)层网络接口层应用层表示层会话层传输层网络层数据链路层物理层TCP/

7、IP OSI图3.5 TCP/IP结构与OSI结构2 2TCPTCPIPIP协议安全性分析协议安全性分析(1) TCP(1) TCP协议协议TCPTCP使用三次握手机制建立一条连接。攻击者可利用这三次握手过程使用三次握手机制建立一条连接。攻击者可利用这三次握手过程建立有利于自己的连接（破坏原连接），若他们再趁机插入有害数据建立有利于自己的连接（破坏原连接），若他们再趁机插入有害数据包，则后果更严重。包，则后果更严重。TCPTCP协议把通过连接而传输的数据看成是字节流，用一个协议把通过连接而传输的数据看成是字节流，用一个3232位整数对位整数对传送的字节编号。初始序列号传送的字节编号。初始序列号

8、(ISN)(ISN)在在TCPTCP握手时产生，产生机制与协握手时产生，产生机制与协议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上议实现有关。攻击者只要向目标主机发送一个连接请求，即可获得上次连接的次连接的ISNISN，再通过多次测量来回传输路径，得到进攻主机到目标，再通过多次测量来回传输路径，得到进攻主机到目标主机之间数据包传送的来回时间（主机之间数据包传送的来回时间（RTTRTT）。已知上次连接的）。已知上次连接的ISNISN和和RTTRTT，很容易就能预测下一次连接的，很容易就能预测下一次连接的ISNISN。若攻击者假冒信任主机向目标。若攻击者假冒信任主机向目标主机发出主机

9、发出TCPTCP连接，并预测到目标主机的连接，并预测到目标主机的TCPTCP序列号，攻击者就能伪造序列号，攻击者就能伪造有害数据包，使之被目标主机接受。有害数据包，使之被目标主机接受。 (2) IP(2) IP协议和协议和ICMPICMP协议协议IPIP协议提供无连接的数据包传输机制，其主要功能有寻协议提供无连接的数据包传输机制，其主要功能有寻址、路由选择、分段和组装。传送层把报文分成若干个址、路由选择、分段和组装。传送层把报文分成若干个数据包，每个包在网关中进行路由选择，在传输过程中数据包，每个包在网关中进行路由选择，在传输过程中每个数据包可能被分成若干小段，每一小段都当作一个每个数据包可能

10、被分成若干小段，每一小段都当作一个独立的数据包被传输，其中只有第一个数据包含有独立的数据包被传输，其中只有第一个数据包含有TCPTCP层层的端口信息。在包过滤防火墙中根据数据包的端口号检的端口信息。在包过滤防火墙中根据数据包的端口号检查是否合法，这样后续数据包就可以不经检查而直接通查是否合法，这样后续数据包就可以不经检查而直接通过。攻击者若发送一系列有意设置的数据包，以非法端过。攻击者若发送一系列有意设置的数据包，以非法端口号为数据的后续数据包覆盖前面的具有合法端口号的口号为数据的后续数据包覆盖前面的具有合法端口号的数据包，那么该路由器防火墙上的过滤规则被旁路，从数据包，那么该路由器防火墙上的

11、过滤规则被旁路，从而攻击者便达到了进攻目的。而攻击者便达到了进攻目的。 ICMPICMP是在网络层中与是在网络层中与IPIP一起使用的协议。一起使用的协议。如果一个网关不为如果一个网关不为IPIP分组选择路由、不能分组选择路由、不能递交递交IPIP分组或测试到某种不正常状态，如分组或测试到某种不正常状态，如网络拥挤影响网络拥挤影响IPIP分组的传递，那么就需要分组的传递，那么就需要ICMPICMP来通知源端主机采取措施，避免或纠来通知源端主机采取措施，避免或纠正这些问题。正这些问题。 ICMP ICMP协议存在的安全问协议存在的安全问题有：攻击者可利用不可达报文对某用户题有：攻击者可利用不可达

12、报文对某用户节点发起拒绝服务攻击。节点发起拒绝服务攻击。3 3TCP/IPTCP/IP层次安全层次安全 (1) (1) 网络接口层安全网络接口层安全 网络接口层安全一般可以达到点对点间较强的身份验证、保密性和连续的信道认证，在大多数情况下也可以保证数据流的安全。 (2) (2) 网络层的安全网络层的安全网络层安全主要是基于以下几点考虑：控制不同的访问者对网络和设备的访问。划分并隔离不同安全域。防止内部访问者对无权访问区域的访问和误操作。网络层非常适合提供基于主机对主机的安全服务。相应的安全协议可用来在Internet上建立安全的IP通道和VPN。 (3) (3) 传输层的安全传输层的安全在传输

13、层建立安全通信机制，为应用层提供安全保护。常见的传输层安全技术有SS L(4) 应用层的安全 应用层提供的安全服务，通常都是对每个应用（包括应用协议）分别进行修改和扩充，加入新的安全功能。基于信用卡安全交易服务的安全电子交易（SET）协议，基于信用卡提供电子商务安全应用的安全电子付费协议（SEPP），基于SMTP提供电子邮件安全服务的私用强化邮件（PEM），基于HTTP协议提供Web安全使用的安全性超文本传输协议（S-HTTP）等。 3 32 2 加密文件系统（EFSEFS） 3.2.1 EFS3.2.1 EFS软件软件 加密文件系统（加密文件系统（Encrypting File Encryp

14、ting File SystemSystem，EFSEFS）是）是 Windows Windows 文件系统的内置文件系统的内置文件加密工具，它以公共密钥加密为基础文件加密工具，它以公共密钥加密为基础. . EFSEFS可对存储在可对存储在NTFSNTFS磁盘卷上的文件和文件夹磁盘卷上的文件和文件夹执行加密操作。执行加密操作。 EFS系统具有如下特性：用户加密或解密文件或文件夹很方便，访问加密文件简单容易 在使用EFS加密一个文件或文件夹时，系统首先会生成一个由伪随机数组成的FEK (文件加密密钥)，然后利用FEK和数据扩展标准X算法创建加密文件，并把它存储到硬盘上，同时删除未加密的原文件。随

15、后系统利用用户的公钥加密FEK，并把加密后的FEK存储在同一个加密文件中。当用户访问被加密的文件时，系统首先利用用户的私钥解密FEK，然后利用FEK解密原加密文件。在首次使用EFS时，如果用户还没有公钥/私钥对（统称为密钥），则会首先生成密钥，然后再加密数据。 EFS加密文件的时候，使用对该文件唯一的对称加密密钥，并使用文件拥有者EFS证书中的公钥对这些对称加密密钥进行加密。因为只有文件的拥有者才能使用密钥对中的私钥，所以也只有他才能解密密钥和文件。 EFSEFS加密系统对用户是透明的加密系统对用户是透明的 用户加密了一些数据，那么他对这些数据的访问将是完全允许的，并不会受到任何限制。如果用户

16、持有一个已加密 NTFS 文件的私钥，那么他就能够打开这个文件，并透明地将该文件作为普通文档使用。而其他非授权用户试图访问加密过的数据时，就会收到“访问拒绝”的提示。这说明非授权用户无法访问经过EFS加密后的文件。即使是有权访问计算机及其文件系统的用户，也无法读取这些加密数据。 加密后的数据无论怎样移动都保持加密状态加密后的数据无论怎样移动都保持加密状态 把未加密的文件复制到经过加密的文件夹中，那么这些文件将会被自动加密。若想将加密文件移出来，如果移动到NTFS分区上，文件依旧保持加密属性。 EFSEFS加密机制和操作系统紧密结合，用户不加密机制和操作系统紧密结合，用户不必为加密数据安装额外软

17、件，可节约使用必为加密数据安装额外软件，可节约使用成本成本 EFS EFS加密的用户验证过程是在登加密的用户验证过程是在登录录WindowsWindows时进行的，只要登录到时进行的，只要登录到WindowsWindows，就可以打开任何一个被授权的加密文件，就可以打开任何一个被授权的加密文件，而并不像第三方加密软件那样在每次存取而并不像第三方加密软件那样在每次存取时都要求输入密码。时都要求输入密码。 EFS 与 NTFS 紧密地结合在一起。 使用EFS加密功能要保证两个条件，第一要保证操作系统是Windows 2000/XP/2003，第二要保证文件所在的分区格式是NTFS格式（FAT32分

18、区里的数据是无法加密的；如果要使用EFS对其进行加密，就必须将FAT32格式转换为NTFS）。 通过EFS加密敏感性文件，会增加更多层级的安全性防护 对于重要文件，最佳的做法是综合使用NTFS权限和EFS加密两项安全措施。这样，如果非法用户没有合适的权限，将不能访问受保护的文件和文件夹，因此也就不能删除文件了；而有些用户即使拥有权限，没有密钥同样还是打不开加密数据。 3.2.2 EFS3.2.2 EFS加密和解密应用实践1 1EFSEFS加密和解密操作加密和解密操作p163p1632 2EFSEFS的其它操作的其它操作 p1703 33 Kerberos3 Kerberos系统 Kerbero

19、s是一种提供网络认证服务的系统，其设计目标是通过密钥系统为Client/Server应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。3.3.1 Kerberos3.3.1 Kerberos概述 Keberos是为TCP/IP网络系统设计的一种基于对称密钥密码体制的第三方认证协议。 Kerberos认证协议定义了客户端和密钥分配中心（Key Distribution Center，KDC）的认证服务之间的安全交互过程。KDC由认证服务器AS和票证授权服务器TG

20、S两部分组成。Kerberos协议根据KDC的第三方服务中心来验证网络中计算机的身份，并建立密钥以保证计算机间安全连接。Kerberos允许一台计算机通过交换加密消息在整个非安全网络上与另一台计算机互相证明身份。一旦身份得到验证，Kerberos协议将会给这两台计算机提供密钥，以进行安全通信对话。Kerberos协议可以认证试图登录上网用户的身份，并通过使用密钥密码为用户间的通信加密。Kerberos以票证（ticket）系统为基础，票证是KDC发出的一些加密数据包，它可标识用户的身份及其网络访问权限。每个KDC负责一个领域（realm）的票证发放。KDC类似于发卡机构，“票证”类似通行“护照

21、”，它带有安全信息。在Windows 2003中，每个域也是一个Kerberos领域，每个Active Directory域控制器（DC）就是一个KDC。执行基于Kerberos的事务时，用户将透明地向KDC发送票证请求。KDC将访问数据库以验证用户的身份，然后返回授予用户访问其他计算机的权限的票证。Windows系统中采用多种措施提供对Kerberos协议的支持，在系统的每个域控制器中都应用了KDC认证服务。Windows系统中应用了Kerberos协议的扩展，除共享密钥外，还支持基于公开密钥密码的身份认证机制。Kerberos公钥认证的扩展允许客户端在请求一个初始TGT（TGT称为票据授权

22、票证，是一个KDC发给验证用户的资格证）时使用私钥，而KDC则使用公钥来验证请求，该公钥是从存储在活动目录中用户对象的X.509证书中获取的。用户的证书可以由权威的第三方发放，也可以由Windows系统中的微软证书服务器产生。初始认证以后，就可以使用标准的Kerberos来获取会话票证，并连接到相应的网络服务。认证过程具体如下：客户机向认证服务器（AS）发送请求，要求得到某服务器的证书，然后 AS 的响应包含这些用客户端密钥加密的证书。证书的构成为： 1) 服务器 “ticket” ； 2) 一个临时加密密钥（又称为会话密钥 “session key”） 。客户机将 ticket （包括用服务

23、器密钥加密的客户机身份和一份会话密钥的拷贝）传送到服务器上。会话密钥可以（现已经由客户机和服务器共享）用来认证客户机或认证服务器，也可用来为通信双方以后的通讯提供加密服务，或通过交换独立子会话密钥为通信双方提供进一步的通信加密服务。上述认证交换过程需要只读方式访问 Kerberos 数据库。但有时，数据库中的记录必须进行修改，如添加新的规则或改变规则密钥时。修改过程通过客户机和第三方 Kerberos 服务器（Kerberos 管理器 KADM）间的协议完成。有关管理协议在此不作介绍。另外也有一种协议用于维护多份 Kerberos 数据库的拷贝，这可以认为是执行过程中的细节问题，并且会不断改变

24、以适应各种不同数据库技术。 3 34 IPSec4 IPSec系统3.4.1 IPSec3.4.1 IPSec概述概述 IP IP安全协议（安全协议（IP SecurityIP Security，IPSecIPSec）是网络安全协议的一个工业标准，）是网络安全协议的一个工业标准，也是目前也是目前TCP/IPTCP/IP网络的安全化协议标准。网络的安全化协议标准。IPSecIPSec最主要的功能是为最主要的功能是为IPIP通信提供加密和通信提供加密和认证，为认证，为IPIP网络通信提供透明的安全服务网络通信提供透明的安全服务，保护，保护TCP/IPTCP/IP通信免遭窃听和篡改，有效通信免遭窃听

25、和篡改，有效抵御网络攻击，同时保持其易用性。抵御网络攻击，同时保持其易用性。IPSec的目标是为IP提供互操作高质量的基于密码学的一整套安全服务，其中包括访问控制、无连接完整性、数据源验证、抗重放攻击、机密性和有限的流量保密。这些服务都在IP层提供，可以为IP和其上层协议提供保护。 IPSec不是一个单独的协议，它由一系列协议组成，包括网络认证协议AH（也称认证报头）、封装安全载荷协议ESP、密钥管理协议IKE和用于网络认证及加密的一些算法等。其中AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供可靠性保证。在实际进行IP通信时，可以根据实

26、际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。IPSec规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上层提供访问控制、数据源认证、数据加密等网络安全服务。IPSec可应用于虚拟专用网络(VPN)、应用级安全以及路由安全三个不同的领域，但目前主要用于VPN。 IPSec既可以作为一个完整的VPN方案，也可以与其他协议配合使用，如PPTP、L2TP。它工作在IP层（网络层），为IP层提供安全性，并可为上一层应用提供一个安全的网络连接，提供基于一种端-端的安全模式。 IPSec两种工作模式:一种是隧道模式，在

27、隧道模式中，整个IP数据包被加密或认证，成为一个新的更大的IP包的数据部分，该IP包有新的IP报头，还增加了IPSec报头。隧道模式主要用在网关和代理上，IPSec服务由中间系统实现，端节点并不知道使用了IPSec。一种是传输模式。在传输模式中，只对IP数据包的有效负载进行加密或认证，此时继续使用原始IP头部。在传输模式中，两个端节点必须都实现IPSec，而中间系统不对数据包进行任何IPSec处理。3.4.2 3.4.2 IPsecIPsec中加密与完整性验证机制IPSecIPSec可对数据进行加密和完整性验证。其中，可对数据进行加密和完整性验证。其中，AHAH协议协议只能用于对数据包包头进行

28、完整性验证，而只能用于对数据包包头进行完整性验证，而ESPESP协议可协议可用于对数据的加密和完整性验证。用于对数据的加密和完整性验证。IPSecIPSec的认证机制使的认证机制使IPIP通信的数据接收方能够确认数据通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改发送方的真实身份以及数据在传输过程中是否遭篡改。IPSecIPSec的加密机制通过对数据进行编码来保证数据的的加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被窃听。为了进行加机密性，以防数据在传输过程中被窃听。为了进行加密和认证，密和认证，IPSecIPSec还需要有密钥的管理和交换功能，以还需要有密钥的管理和交换功能，以便为加密和认证提供所需要的密钥并对密钥的使用进便为加密和认证提供所需要的密钥并对密钥的使用进行管理。以上三方面的工作分别由行管理。以上三方面的工作分别由AHAH、ESPESP和和IKEIKE三个三个协议规定。协议规定。 1 1安全关联安全关联SASAIPSec中一个重要概念就是SA，所谓安全关联是指安全服务与它服务的载体之间的一个“连接”，即就是能为双方之间的数据传输提供某种IPSec安全保障的一个简单连接。SA可以看成是两个IPSec对等端之间的一条安全隧道。SA是策略和密钥的结合，它定义用来保护端-端通信的常规安全服务