第4章网络信息安全服务4.6Kerberos鉴别
4.7公钥基础设施
4.8访问控制
本章小结
习题
机密性服务提供信息的保密。正确地使用该服务，就可防止非授权用户访问信息。为了正确地实施该服务，机密性服务必须和可审性服务配合工作，后者用来标识各个访问者的身份，实施该功能，机密性服务能对抗访问攻击。机密性服务应考虑信息所在的形式和状态，比如，是物理形式的纸面文件、电子形式的电子文件，还是在传输中的文件。文件的存在形式不同，文件的机密性服务的方式也相应不同。
对纸面文件，主要是存放这类文件的物理位置必须是可控的，通过物理位置的访问控制来保护文件的机密性。对电子文件，有几种情况。首先文件可能同时存放在不同位置，如后备磁带、软盘或CD等。其次对电子文件的保护有些也需要物理位置的访问控制，如同保护纸面文件一样，例如，对磁带、磁盘需要物理访问控制。对于存放在计算机系统中的电子文件，则需要某些类型的计算机访问控制，也可能包括文件的加密。计算机访问控制要依靠合适的身份标识和身份鉴别（一种可审性服务）以及正确的系统配置，这样可防止非授权用户旁路身份标识和身份鉴别功能而成为合法用户。为实现文件机密性服务，所需提供的机制包括物理安全机制、计算机文件访问控制以及文件加密。文件机密性的要求包括身份标识和身份鉴别、正确的计算机系统配置，如使用加密则还需合适的密钥管理。仅仅保护存储在文件中的信息是远远不够的。信息有可能在传输过程中受到攻击，因此必须同时保护在传输中的信息机密性，图4.1表示使用加密来完成信息传输的机密性。
可基于每个报文信息进行加密保护，也可以对链路上的所有通信进行加密。加密能阻止窃听，但不能完全阻止信息的截获。为了保护被截获的信息，需要合适的身份标识和身份鉴别，它可决定远程端点的身份，如图4.2所示。图4.1使用加密保护传输中的信息图4.2加密和身份标识、身份鉴别的结合完整性服务提供信息的正确性。正确地使用完整性服务，就可使用户确信信息是正确的，未经非授权者修改过。如同机密性服务一样，该服务必须和可审性服务配合工作。完整性服务能对抗篡改攻击。完整性服务同样应考虑信息所在的形式和状态。
文件的存在形式不同，文件的完整性服务方式也相应不同。一般来说，纸面文件的完整性较易识别，而纸面文件的修改要通过检查，修改者需要掌握一定技巧。而对于电子文件只要能访问它，任何人都能方便地对其进行修改。
为了防止修改纸面文件，可采用多种方法，包括在每一页上签名、装订成册、分发多个文件复制本等。这些完整性机制使修改变得十分困难，因为仿造签名技术、增加或删除装订成册的文件以及对一个文件的多个复制本同时进行修改都有很大难度。另一种方法是使用与机密性服务相同的机制，完全阻止非授权者访问文件。对电子文件进行修改比较容易，使用字处理工具进行。保护电子信息完整性的最基本的方法是采用与保护信息机密性一样的方法，即计算机文件访问控制。然而不同的是，并不要求将访问控制机制配置成完全拒绝访问，而只需配置成只允许读文件，不允许写文件。如同机密性服务，十分重要的是必须正确识别那些企图修改文件的访问者。这只有通过身份标识和身份鉴别来实现。假如文件驻留在单个计算机系统或者组织控制的网络中，对其进行计算机文件访问控制能达到很好的效果。如果需要将文件复制到其他部门或单位，那么只在单个计算机或可控网络上进行计算机文件访问控制就不足以提供充分的保护。因此需要有一种机制来识别非授权者对文件的改变。一种有效的机制就是数字签名，它必须与特定用户的识别一起工作。因此完整性服务也必须和身份标识、身份鉴别功能结合在一起。信息在传输中也可能被修改，然而如果不实施截获攻击就很难对传输中的信息进行修改。通常用加密方法可阻止大部分的篡改攻击。当加密和强身份标识、身份鉴别功能结合在一起时，截获攻击便难以实现，如图4.2所示。
由上述分析可知，完整性服务可成功地阻止篡改攻击和否认攻击。任何篡改攻击都可能改变文件或传输中的信息，当完整性服务能检测到非授权者的访问，篡改攻击就不能成功进行。当完整性服务和身份标识、身份鉴别服务很好地结合，即使组织以外的文件被改变也能被检测出来。如果没有好的完整性服务以及好的身份标识、身份鉴别服务，那么否认攻击也不可能被成功阻止。而检测这种攻击的机制是数字签名。可用性服务提供的信息是可用的。可用性使合法用户能访问计算机系统，存取该系统上的信息，运行各种应用程序。可用性还提供两个计算机系统之间可用的传输信息的通信系统。当我们谈及信息和能力的可用性时，通常指的是电子信息。后备是最简单的可用性服务，是指对重要信息复制一份拷贝，并将其存储在安全的地方。后备可以是纸文件，如重要文本的拷贝；也可以是电子的，如计算机后备磁带。后备的作用是防止意外事件发生或文件被恶意破坏造成的信息完全丢失。
用于后备的安全位置