开源软件安全性研究.pdf

． ．．．．．． ： 开源软件安全性研究 孟祥宏 (呼伦贝尔学院信息科学分院，内蒙古 海拉尔021008) 摘要 ：开源软件 由于应用领域的 日益广泛 ，其安全性也备受关注。本文从技术层面对开源软件 的安全性进行 了详尽的分析 ，并提 出了 提高其安全性的方案。 关键词 ：软件 ；开源软件 ；网络安全 中图分类号：TP31 文献标识码：A 文章编号：1009—3044(2007)11—21322—02 TheResearchoftheSecurityofthe0penSource M ENG XJ；mg。。hong fTheSchoolofInformationScience，HulunbuirCoUege，Hailaer021008，China) ’ AbstraCt：Thesecurityoftheopensourceismorepaida~endonto，becausetheopensourceismorewidelyusedbymanyfields．Thepaper analyzestheopenSOUrcefrom htetechnologyaspectindetail，andsetsforthhtewaytoenhancehteSeCLlriyt ofhteopensouFce． ， Keywords：software；OpenSource；networksecuriyt 1引言 大都不需要解释，而只要求发生现象即达到 目的。很多系统被攻 开源软件 OSS(OpenSourceSoftware)已成为最近几年 IT业 击都是通过字典、穷举这些简单方法猜 出管理员 口令来实现 的。 关注的热点。现在 。无论是操作系统、数据库还是 中间件 ，都有开 近年来 ，黑客们一直在利用 “黑盒分析 ”而受益 ，现在甚至还有一 源软件的身影 。开源软件已给软件产业带来巨大的变化 。以Linux 些工具 自动进行 “黑盒”分析 ，考虑到任何可 以运行的代码都可以 l『1为例，它不仅改变了软件的生产方式 ，也改变了软件传统的商 被解开．因此我们就能得出封闭代码并不能达到有效安全性的 目 业模式：在全世界开源社区和各大主要厂商的努力之下，Linux已 的。 经打破 了微软 Windows操作系统一统天下的局面 ，Linux服务器 从密码学的基本原理来看，系统的安全性应当完全来 自算法 的市场份额从五年前的零 。高速发展到今天的 12％[21。 选择、协议设计等 内在机制。安全性应当依赖于像密码或密钥这 出于安全 、战略等方面 的考虑 ．自1999年 以来 ，我国也从政 样些 比较精简且容易改变的要素的保密 ，而不应依赖于攻击者 的 策和规划方面来支持推广和使用开源软件 ，《政府采购法》中就 明 无 知。 ， 确了政府支持 国产软件 的政策导 向，通过政府采购等手段支持 早在 l9世纪荷兰人，AKerekhoffs[3]就阐明了密码分析的一 Linux的推广应用 ：而 “十五 ”规划中也加大了对包括 Linux操作系 个基本假设 ．即秘密必须全部寓于密钥之 中。如果一个体系的安 统及其应用软件在 内的开源软件技术研发的支持 。同时 ，政府部 全强度依赖于攻击者不知道算法的内部机理，则这个系统注定是 门在 自身的信息化上也率先应用开源软件 ，这在很大程度上加快 失败的。著名密码学家BraceSchneier[4]认为聪明的设计者应当 了开源软件全世界范围内的应用。 “对任何有关安全的东西都