JAVA平台安全技术—结构、API设计和实现(上).pdf

下载 第1章 计算机与网络安全基础 确保计算机安全的三条黄金法则：不要拥有计算机；不要打开计算机；不要使用计算机。 ——R o b e r t ( B o b ) T. Morris 安全，就是确保不发生有危害的事情。这个简洁的阐述很容易使人迷惑。实际上，安全 有非常复杂的解释，对它们进行剖析有助于理解安全的真正含义。 通常情况下，某些经验性法比较适用于安全这个概念。首先，安全总是和效用有关。要 想不发生危险，最好就是什么事都不做。打个比方，存放在车库里的车不可能发生交通事故， 但是，汽车不跑路并不是我们的意图。我们真正的目的是保障有利的事情发生，而避免有危 害的事情。 其次，安全与危险是共存的。例如，前门加锁的有效性很大程度上取决于你所要防卫的 窃贼类型。对于小贼，有一定的防卫意义，而对工具齐全、熟于此道的老贼则是毫无意义的。 第三，必须从整个系统的角度去考虑安全问题。系统的安全程度由系统的最薄弱环节决 定。也就是说，只保证前门安全是不够的，狡猾的小偷会从所有可能疏于防备的地方潜入房 子，尤其是远离装有牢固的锁的那些地方。 第四，实施安全的措施必须简单。试想，如果你每次进门需花 3 0分钟的艰辛去打开一个 复杂的锁，你也许会不锁门。 第五，安全的实现必须注意性能价格比。例如，如果你加锁的费用比所防护的内容的价 值还昂贵，那是毫无意义的。由于每个人对价值的认定是不同的，事情就变得很复杂。 最后一点但也是很重要的一点就是，安全措施必须尽可能简单。正如专家所说，越复杂 的系统就容易出错。使安全系统既简单又可靠是我们的宗旨。 通过对本书的学习，你将会体会到这些符合计算机安全的经验法则。 1.1 密码学与计算机安全 在讨论特定话题之前，应先明确密码学 ( c r y p t o g r a p h y )与计算机安全(computer security)这两 个课题间的差别。密码学是一种以秘密的方式编码信息，使只有特定的接收者才可以访问被编 码的信息的方法。经过一段很长的时间，密码术的应用有了很大的发展，从古老的凯撒密码到 第二次世界大战时广泛应用的密码机，一直发展到用计算机软硬件实现的现代密码系统。 直到 1 9 6 0年，分时用户计算机操作系统，如剑桥大学早期的计算机系统 [ 8 0 ]和麻省理工大 学的M u l t i c s系统[ 6 9 ]初次问世，计算机安全才首次成为研究热点。但是自那以后，除了 7 0年代 中期，计算机安全技术一直未受到重视 [ 3、3 2 、3 6、7 5 ] ，而且在这段时期内，计算机安全大部分是基 于军事上的需求。到了 9 0年代，I n t e r n e t和电子商务得到广泛应用，尤其是 J a v a技术的发展才 使计算机安全在商业上广为应用并成为主流技术。 安全机制常常得益于密码学的应用，如基于网络的用户登录协议。不过，它也并不是必 须依赖于密码学的应用，例如 U N I X系统中对文件的访问控制。 反过来，密码学也依赖于系统的安全性。密码算法常常用软件或硬件实现，它们能否正 2使Java 2平台安全技术—结构、API 设计和实现 下载 常运作关键取决于是否有一个安全的系统。比如，如果系统缺乏访问控制的安全性，攻击者 可以修改密码系统的软件算法。可见，安全性的缺乏会直接影响密码术的效用。 1.2 危险和防护 在有关计算机安全的文献中，危险或攻击通常分为三类： (1) 秘密攻击 (secrecy attack) 。攻击者试图窃取口令、医疗记录、电子邮件 ( E - m a i l ) 日志、 薪水册等机密数据。其攻击手段很多，如贿赂安全卫士、寻求系统的安全漏洞和密码算法的 不足之处等。 (2) 完备性攻击(integrity attack) 。攻击者企图非法更改部分系统。例如，某位银行雇员为 了把顾客的资金存入自己的个人帐户，修改帐户系统从而危及整个交易系统安全性 [ 6 1 ] 。又如， 某位大学生侵入学校管理系统提高他的考试分数，导致危及整个数据安全。这类攻击者常常 会为了隐藏“脚印”而删除系统日志。 (3) 可得性攻击(availability attack) 。攻击