分布式安全
加密和解密密钥相同的系统称为对称加密系统 或者共享密钥系统
而非对称加密系统中,加密和解密使用的密钥 是不同的,但两个密钥一起构成了唯一的一对
非对称加密系统中,一个密钥是保密的,称为 私钥,另一个是公开的称为公钥。又称公钥系 统
2019/12/5
分布式系统安全
13
主要内容
概述 安全通道 访问控制 安全管理
2019/12/5
分布式系统安全
14
安全通道
通信的保护问题可以认为是在通信各方之 间建立一个安全通道的问题。安全通道保护发 送方和接收方免受对消息的窃听、修改和伪造 的攻击
实现安全通信的两个主要方面
通信双方需要验证身份 确保消息的完整性和机密性
2019/12/5
分布式系统安全
15
身份认证
2019/12/5
分布式系统安全
30
访问控制表与权力表
可以把ACM演化成一维表的形式。毫无 疑问,这种演化应该有两种不同的方案。
访问控主体制Z 表(ACL: 请求访问客体 K
A(Zc,cK)ess CAoCLntroKl List) 如果ACL[K]中有Z,
在这种方案中,(a) 基每于A一CL个客体则授都权 必须维护一张
20
使用密钥发布中心的身份验证 (2)
使用票据(ticket)让 Alice 建立与 Bob 的 通道
2019/12/5
分布式系统安全
21
使用公钥加密的身份验证
2019/12/5
分布式系统安全
22
消息的完整性和机密性
完整性:保护消息免受修改
数字签名 会话密钥
机密性:确保窃听者不能截获和读取消息
Globus安全体系结构
2019/12/5
分布式系统安全
6
安全性设计
控制的焦点
数据的保护 操作的控制 用户层面的控制
2019/12/5
分布式系统安全
7
安全性设计
安全机制的分层
一般把通用服务与通信服务分离开来,通用 服务构建在高层协议上,通信服务则构建在底层 协议上
对应地,我们把信任和安全区分开来 安全机制放在哪一层,取决于客户对特定层中
会话密钥
在身份验证完成后,通信双方一般使用唯一的 共享会话密钥以实现机密性,通信完毕后丢弃
也可以使用身份验证密钥 但使用会话密钥具有以下优点:
避免经常使用一个密钥 确保通信双方免受重发攻击 会话密钥的成本低:廉价且临时性强
2019/12/5
分布式系统安全
26
主要内容
概述 安全通道 访问控制 安全管理
31
保护域
保护域是一组(对象,访问权限)对,只要一 个主体对一个对象执行一个操作,访问监控程 序会找到相关联的保护域,检查是否允许执行 该请求
构造用户组:管理简单,支持很大的组;查找分布 式组成员数据代价高
使用访问监控程序:每个主体携带一个证书(通过 数字签名保护),列出所属的组。访问对象时,由 访问监控程序检查证书
2019/12/5
分布式系统安全
28
访问控制
建立安全通道后,客户就可以向服务器 发送执行的请求,该请求可能会涉及到访 问控制
访问控制矩阵 保护域 防火墙 保护移动代码
2019/12/5
分布式系统安全
29
访问控制矩阵
主体\客体 用户 1 用户 2 用户 3
文件 1 拥有 --
复制/读
分布式系统安全
4
安全策略与机制
建立一个安全可靠的系统前提
首先需要一个安全策略 然后在安全策略基础上考虑其安全机制
安全策略是指系统安全需求的描述。 安全策略实施的机制称为安全机制
2019/12/5
分布式系统安全
5
安全策略与机制
几种重要的安全机制:
加密 身份验证 授权 审计
身份认证和消息完整性相互之间不能脱离 要确保进行身份认证后交换数据的完整性,常
见的方法是依靠会话密钥使用密钥加密 会话密钥
会话密钥是一个共享密钥,常用于为完整 性和可能的机密性而对消息进行加密
2019/12/5
分布式系统安全
16
基于共享密钥的身份验证(1)
质询-响应协议:一方向另一方质询一个响 应,只有对方知道共享密钥时才能给予正 确的响应
只读状态 只追加状态 有选择地揭示状态:数据只允许特定的服务器访问
2019/12/5
分布式系统安全
34
保护移动代码
保护目标:保护主机防止恶意代理程序的 破坏
沙箱 运动场 通过身份验证
2019/12/5
分布式系统安全
35
沙箱
沙箱是一种技术,通过该技术下载的程序的每 条指令都能够被完全控制
的地址制定是否传送该包的决定
应用层网关:检查入站或出站的消息内容
2019/12/5
分布式系统安全
33
保护移动代码
保护代理:防止恶意主机盗窃或修改代理程序 所带的信息
攻击方式:
盗窃或修改代理程序所带的信息 恶意破坏代理程序 篡改代理程序以便在其返回时进行攻击或盗窃信息
至少可以检测出代理程序被修改
使用角色实现保护域:角色与一定的职能相联系
2019/12/5
分布式系统安全
32
防火墙
实际上,所发生的对分布式系统任何部分 的外部访问都通过一种称为防火墙的特殊类型 的访问监控程序来控制。
防火墙实现了将分布式系统的任意部分与外界 的分离
两种不同类型的防火墙
数据包过滤网关:基于数据包报头包含的原地址和目
行
2019/12/5
分布式系统安全
3
安全威胁
我们必须首先搞清有哪些外来的威胁然后 才能根据不同的威胁类别选择相应的对策 安全威胁一般有四种:
窃听:如包解惑、非法侵入 中断:如拒绝服务攻击(DOS) 修改:未经授权修改数据或篡改服务 伪造:产生通常不存在的附加数据或活动
2019/12/5
19
使用密钥发布中心的身份验证 (1)
共享密钥的身份验证存在可扩展性问题
N台主机,需要 N*(N-1)/2个密钥
使用 KDC(key distribution center)只需要 管理 N 个密钥
KDC与每台主机共享一个密钥;向通信的 两主机分发一个密钥通信
2019/12/5
分布式系统安全
2019/12/5
分布式系统安全
17
基于共享密钥的身份验证(2)
基于共享密钥的身份验证,用三个消息代 替五个
2019/12/5
分布式系统安全
18
基于共享密钥的身份验证(3)
反射攻击
原因:协议的双方在两个不同方向都使用相同的质询 解决:协议的双方永远使用不同的质询
2019/12/5
分布式系统安全
合的法一列主主请C体求,体L访Z 问但的客体其访K中问的权空限(Z项表, K都,,C已即L) 被一如删个果C除ALC中。L有相K,则当K授 于ACM中 权
权力表(CL:Cap(ab)b基于iClLity List)
以ACM的一行为单位,代表一个主体对客体的 访问权限。
2019/12/5
分布式系统安全
消息加密
采用共享密钥进行加密 使用接收者的公钥加密
2019/12/5
分布式系统安全
23
数字签名
如果消息签名检验为真,发送者不能否认消息 签名这一事实
消息与其签名的唯一关联防止了对消息进行修 改而未发现的可能
使用公钥加密对消息进行数字签名
2019/12/5
分布式系统安全
24
数字签名
2019/12/5
分布式系统安全
27
访问控制
在开放型分布式系统中,尽管我们允许信息在 系统结点间自由流动,但必须对信息的访问权 力施加控制。
理主论体 上,访问控制和访问授管理权器 是两个概念。访客体问控 制一般在被访问的客体一方进行,用来检验访 问的合法性访;问请而求 授权指得是主访体问授一权 方被赋予的 权力,用来代表主体的合法权限。然而,这两 个术语又是密切相关的,在没有二义性的场合 下可以交替使用。
2019/12/5
分Байду номын сангаас式系统安全
37
通过身份验证
要求每个下载的程序能通过身份验证,然 后基于该程序的来源执行制定的安全策略
2019/12/5
分布式系统安全
38
主要内容
概述 安全通道 访问控制 安全管理
2019/12/5
分布式系统安全
39
安全管理
密钥管理
密钥建立 密钥分发 证书的生存期
2019/12/5
分布式系统安全
11
加密
最基本的安全措施 加密和解密是通过以密钥为参数的加密算法实
现,发送的消息的原始格式叫明文,已加密的 格式叫密文 三种针对密文的攻击:
窃听 修改消息 插入消息
2019/12/5
分布式系统安全
12
加密
对加密系统的分类是基于加密解密密钥是否相 同
文件 2 读/写
读 拥有
文件 3 执行 拥有 --
文件 4 拥有 读/写 --
访问控制矩阵(ACM: Access Control Matrix) 。在一个 ACM中,每一行代表一个主体z,每一列代表一个客体k, 而矩阵元素ACM[z, k] 列举出z对k的合法操作。
ACM的实现直截了当,而且效率很高。但如果一个系统需 要管理成千上万的主体(客户)以及数百万计的客体(资源) ,ACM就可能是一个非常稀疏的矩阵,绝大多数矩阵单元 都被浪费了。
