三种基本的身份验证 基于共享密钥的身份验证 使用密钥分发中心的身份验证 使用公钥加密的身份验证
该协议采用的一个基本原理：一方向 基
另一方质询一个响应，所以也称为质 于
询－响应协议
共
享
密
钥
的
身
份
验
证
使用密钥分发中心的身份验证
使用共享密钥进行身份验证的一个重要问 题是可扩展性，即系统维护的密钥可能会 数目庞大。
加密
密码实现理论基础：散列函数 一个散列函数H是这么一个函数，它将任意长度的 消息
m作为输入，产生一个 固定长度的位串h作为输出。 h = H(m)
应用于密码学的散列函数有三个基本特性： 单向性：正向计算非常容易高效，反向计算则不可能 弱抗冲突性：给出一消息x，找出一消息y使H(x)=H(y)
解决访问控制矩阵规模问题
对每个客体保存一个访问该客体的主体访问权 限表。称为访问控制列表（Aቤተ መጻሕፍቲ ባይዱL）。
另一种方法是对每个主体存储一个它对要访问 的对象的权能列表。
ACL好比邀请名单，而权能则好比电影票
a) 使用 ACL b) 使用权能
保护域
ACL尽管忽略了访问控制矩阵中的空项， 但依然有可能非常庞大。
使用公钥加密对消息进行数字签名
使用消息摘要对消息进行数字签名
安全性——访问控制
1、访问控制中的一般问题
访问控制：检验用户对指定资源的访问权限 授权：授予用户对指定资源的访问权限。 访问控制中一般采用下图所示的简单模型。该
模型的一个重要问题就是访问监控器本身应该 是不能被破坏的。
访 问 控 制 矩 阵
防火墙本身首先应该受到很好保护，它决 不应该出故障。
防火墙一般实现模型
防火墙
防火墙有两种不同类型： 数据包过滤网关 应用层网关。检查出站入站消息内容。例
如邮件网关
访问控制矩阵
访问控制矩阵
最普通的主体对客体的访问权限的模型 每个主体由一行表示 每个客体由一列表示 矩阵元素M[s, o]表示主体s对客体o的操作权限。
缺点
当系统中主、客体的数目庞大时，访问控制矩 阵的实现是不现实的
另一方面，访问控制矩阵一般是稀疏矩阵
访问控制列表与权能列表
多层逻辑结构与通用层与通信层的分离
安全性的设计
另外两个问题是安全机制的 分布 复杂程度
一般根据所需要的安全性，将服务分布在 不同的机器上，使得安全服务于其他类型 的服务分开。
安全机制的分布
4、加密
最基本的安全措施 加密和解密是通过以密钥为参数的加密算
法实现，发送的消息的原始格式叫明文， 已加密的格式叫密文。 三种针对密文的攻击： 窃听 修改消息 插入消息
是计算上不可行 强抗冲突性：找出任意两条消息x、y，使H(x)=H(y)也
是计算上不可行 三种应用广泛的加密系统：对称加密系统DES，公钥加
密系统RSA，散列函数MD5
二、安全通道
1、身份验证
对于一个安全可靠的通信通道来说，身份 验证和消息完整性缺一不可。
以下讨论都以一个用户Alice与另一个用户 Bob通信的假设场景为例。
原理如图所示，其中KA,B是进一步通信的会 话密钥。
2、消息完整性和机密性
消息的机密性确保消息不被窃听或截获 对消息简单加密即可实现 消息的完整性是保护消息免受修改 相对困难 两种重要实现手段： 数字签名：下页图示 会话密钥：与用于身份验证的长期密钥相
比具有廉价、临时特点
从不同层面上设置安全机制
安全性的设计
另一个重要问题是把安全机制部署在哪一层。 一般把通用服务与通信服务分离开来，通用服
务构建在高层协议上，通信服务则构建在底层 协议上。如下页图所示。 对应地，我们把信任和安全区分开来，纯粹考 虑一个系统的时候，我们说它是不是安全的， 而一个客户是否认为一个系统是否安全则是个 信任问题 安全机制放在哪一层，取决于客户对特定层中 服务的信任度。 分布式系统中，安全机制一般放在中间件层。
一个改进办法是采用一种集中式的方式， 使用一个密钥分发中心（KDC）来专门负 责分发密钥。
密钥分发中心与每台主机共享一个密钥， 其他主机之间无需相互共享密钥，他们之 间的身份认证都必须通过密钥分发中心。 这使得系统密钥数目大大减少。
a、基本KDC原理 b、使用票据的改进KDC原理
使用公钥加密的身份验证
通信中的入侵与窃听
加密
对加密系统的分类是基于加密解密密钥是 否相同。
加密和解密密钥相同的系统称为对称加密 系统或者共享密钥系统。
而非对称加密系统中，加密和解密使用的 密钥是不同的，但两个密钥一起构成了唯 一的一对。 非对称加密系统中，一个密钥是保密的， 称为私钥，另一个是公开的称为公钥。又 称公钥系统。
第八章 安全性
一、概念
1、安全性主题
分布式系统中的安全问题 通信安全：确保不同的机器上的不同用户、 不同的进程之间的通信是安全可靠的。一 般采用安全通道机制。 授权：确保进程或用户只能访问他（它） 已被授权的系统资源。
2、安全威胁、策略与机制
安全性与可靠性密切相关 一个可靠的系统是一个我们可以信赖其服
务的系统。 一个可以信任的计算机系统应该具有： 一般意义的可靠性 机密性：系统只将信息向授权用户公开 完整性：系统资源的变更只能以授权的方
式进行
安全威胁、策略与机制
从另一个角度上说，安全是保护系统提供 的服务和数据不受到安全威胁。
安全威胁一般有四种： 窃听：如包截获、非法侵入 中断：如拒绝服务攻击（DOS） 修改：未经授权修改数据或篡改服务 伪造
一种普遍的解决方式是利用保护域。保护 域是一组（对象，访问权限）对，每个对 确切指定了一个操作，执行一个操作总是 在一个域内发出。
最典型的实现方法是构造用户组。
保护域（用户组）
2、防火墙
访问控制矩阵、ACL、权能列表和保护 域——控制系统内部安全性
防火墙——控制分布式系统的外部访问的 监控程序。
安全威胁、策略与机制
建立一个安全可靠的系统
首先需要一个安全策略 然后在安全策略基础上考虑其安全机制
安全策略是指系统安全需求的描述。 安全策略实施的机制称为安全机制 几种重要的安全机制：
加密 身份验证 授权 审计
3、安全性的设计
首先需要明确的是控制的重点 数据的保护 操作的控制 用户层面的控制