安全基础设施的设计原理

《安全基础设施的设计原理》由会员分享，可在线阅读，更多相关《安全基础设施的设计原理（147页珍藏版）》请在装配图网上搜索。

1、单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第第18章章 安全基础设施设计原理安全基础设施设计原理18.1 安全基础设施概述安全基础设施概述18.2 安全基础设施的目标安全基础设施的目标18.3 安全基础设施的的设计指南安全基础设施的的设计指南18.4 密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施18.5 证书管理证书管理18.6 对称密钥管理对称密钥管理单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式18.7 基础设施目录服务基础设施目录服务18.8 信息系统安全工程信息

2、系统安全工程18.9 本章小结本章小结习题习题单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式一个安全基础设施应提供很多安全组件的协同使用，一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个安其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基础设全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。施的设计和特性。18.1 安全基础设施概述安全基础设施概述 18.1.1 安全基础设施概述安全基础设施概述单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处

3、编辑母版副标题样式单击此处编辑母版副标题样式以防火墙为例，使用防火墙可以很好地实施安全策略，以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很好地连但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，这个防火接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联系、互相作墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安全基础设施的用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再一部分。这就是安全基础设施定义中的协同组件。再

4、如，假如从防火墙能发送报警至事件管理站，由事件如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心（管理站处理成通知网络运行中心（Network Operations Center,NOC）的报警，那么，防火墙可）的报警，那么，防火墙可能成为基础设施的一部分。能成为基础设施的一部分。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式反之，如防火墙本身做得很好，其屏幕可显示大部分反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通知其入侵的通信，且能在搜集后做日志，但它不能通知其他任何组件

5、，那防火墙的作用是不完全的。如果将防他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道火墙和入侵检测、强的身份鉴别、加密的隧道（VPN）等组件协同作用，就能设计成一个基本的安）等组件协同作用，就能设计成一个基本的安全基础设施。全基础设施。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施的主要组成有安全基础设施的主要组成有4部分：网络、平台、物部分：网络、平台、物理设施、处理过程。理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设备网络类包括防火墙、路由器、交换机、远程访问设备（如（如

6、VPN和拨号和拨号modem池）以及基于网络的入侵检池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特性。测，它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据，或保护在应用中通过、使保护在网络中通过的数据，或保护在应用中通过、使用的数据。用的数据。18.1.2 安全基础设施的组成安全基础设施的组成单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑

7、母版副标题样式平台类包括服务器、客户端软件（例如，执行操作系平台类包括服务器、客户端软件（例如，执行操作系统和安全应用的控制）。执行一些电子操作（如智能统和安全应用的控制）。执行一些电子操作（如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备）的设备也属于这一类。平台类还包括应用级访问备）的设备也属于这一类。平台类还包括应用级访问控制，如产生凭证的软件程序、数字证书、基于主机控制，如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别

8、、授权、基于软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。要基础设施边界的应用。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施的物理组成包括标准的门钥匙和锁、钥安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等

9、。根据人的生物特警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类，如指纹读出器、面部形征检测的设备也属于这一类，如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是通过自状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源（如电缆和后备电源（如UPS系统和自备发电机）。物理系统和自备发电机）。物理安全设施的基本目的是防止非授权者进入以及保护安安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。全基础设施的电力供应和网络连接。单击此处编辑母版

10、标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式处理过程包括企业安全策略和过程文档，用来管理企处理过程包括企业安全策略和过程文档，用来管理企业数据的生成、使用、存储和销毁，以及管理这些数业数据的生成、使用、存储和销毁，以及管理这些数据所在的系统和网络。企业安全策略的目的是定义企据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成，制。企业安全过程是企业安全策略文档的一个组成，用来指导员工在特定环境下的行动。企业安全策略和用来指导员

11、工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策过程是安全基础设施的重要组成。有了综合的安全策略和过程文档，安全设计师就能明白什么样的资产是略和过程文档，安全设计师就能明白什么样的资产是企业需要保护的，以及如何保护这些资产。企业需要保护的，以及如何保护这些资产。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式虽然安全策略文档提供数据、系统和网络的保护策略，虽然安全策略文档提供数据、系统和网络的保护策略，但它对厂商选择、设计或实施并不规定所需的详细战但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件

12、的成功实施需要了解安全基础设施术。这些安全组件的成功实施需要了解安全基础设施目标，否则可能会不合适地保护或完全疏忽那些关键目标，否则可能会不合适地保护或完全疏忽那些关键资产。资产。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式安全基础设施设计的基本目标是保护企业的资产。保安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括硬件、织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根

13、据软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是企业安全目标和企业安全策略文档。虽然提到的只是数据的保护，实际上保护数据及其可用性也意味着保数据的保护，实际上保护数据及其可用性也意味着保护执行的系统和网络。护执行的系统和网络。根据选择的数据等级分类体制，每种数据保护目标应根据选择的数据等级分类体制，每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡按数据机密性、数据完整性和数据可行性来表示和衡量。量。18.2 安全基础设施的目标安全基础设施的目标单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版

14、副标题样式当设计一个安全基础设施时，把应用的最好结果作为当设计一个安全基础设施时，把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数存储。将设计目标放在数据机密性、数据完整性和数据可用性上，会发现这不仅使应用得到安全，而且企据可用性上，会发现这不仅使应用得到安全，而且企业也得到安全。这个概念如图业也得到安全。这个概念如图18.1所示。所示。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式图图18.1 以应用为目标的安全设计概念以应用为目

15、标的安全设计概念单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式数据机密性的前提是防止非授权者看到非公共使用的数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和离线存性要求的典型技术包括数据传输、安全在线和离线存储的加密。储的加密。单击

16、此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式数据完整性是关于对数据的任何非授权改变或破坏的数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法性。保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数据集检查和同复制的数据进行比较的通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常解决方案程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略，例如前面讲到的是使用通用的加密策略，例如前面讲到的IPSec，使，使用这样的检查和策略来保证发送的数据等于接收的数

17、用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏，可以用类似反病毒这据。保护数据不被更改或破坏，可以用类似反病毒这样的简单解决方法，也可以用部署关键通路存储解决样的简单解决方法，也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理方案、高可用性的防火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏，鉴等复杂的解决方案。为了防止非授权使用或破坏，鉴别和授权控制是最合适的方法。别和授权控制是最合适的方法。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式最后，数据可用性也是需要十分关

18、注的。数据可用性最后，数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。对某的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性，高达些系统需要高可用性，高达99.999%，而有些系统可，而有些系统可用性要求就较低。提供高可用性系统保护的典型方法用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统，通常包括冗余的电源、数据访问和是使用冗余系统，通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗余并不能满存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题，尤其是近年来增多的拒绝服足全部数据可行性问题，尤其是近年来

19、增多的拒绝服务（务（DOS）和分布式拒绝服务（）和分布式拒绝服务（DDOS）的攻击。）的攻击。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式首先，设计指南中最重要的是要保证企业安全策略和首先，设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致，在设过程与当前经营业务目标相一致。如有不一致，在设计和构造安全基础设施之前，应对这些策略和过程做计和构造安全基础设施之前，应对这些策略和过程做必要的修改。如果设计指南没有被企业的最高管理层必要的修改。如果设计指南没有被企业的最高管理层接受和全力支持，那么安全设计不可能完全

20、达到它的接受和全力支持，那么安全设计不可能完全达到它的功能，事实上有可能因缺少最高管理层的支持而失败。功能，事实上有可能因缺少最高管理层的支持而失败。18.3 安全基础设施的的设计指南安全基础设施的的设计指南单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第二步是开发一个计算机事故响应组（第二步是开发一个计算机事故响应组（Computer Incident Response Team,CIRT）,其职责是在安全报其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应组警事件中采取必要的行动和预防措施。为了使响应组成员能熟练地处理事件（如

21、安全破坏或灾难恢复），成员能熟练地处理事件（如安全破坏或灾难恢复），应尽可能多地进行实际培训。在很多情况下，把它当应尽可能多地进行实际培训。在很多情况下，把它当作有目的的测试场景，在那里能测试作有目的的测试场景，在那里能测试CIRT成员的行成员的行动在给定安全事件下的响应、效率、完整性以及恢复动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进能力。这样的测试目标对改进CIRT成员的能力是十成员的能力是十分重要的。分重要的。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第三步是设计基础设施安全服务以直接支持指南和需第三步

22、是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问控制求。这些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和运行应和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定义了包括评估、设计、部署和遵循专门的方法。它定义了包括评估、设计、部署和管理管理4个步骤的生命周期。在评估阶段，分析现存的个步骤的生命周期。在评估阶段，分析现存的经营业务和安全需求，以决定大部分实际的、有效的经营业务和安全需求，以决定大部分实际的、有效的安全解决方案现在是否已可行，否则必须重新设计和安全解决方案现在是否已可行，否则必须重新设计和构造。在设

23、计阶段，针对评估中发现的问题，设计安构造。在设计阶段，针对评估中发现的问题，设计安全解决方案。部署阶段包括安全解决方案的实施和设全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段，保证安全基础设施正常运备安装。最后是管理阶段，保证安全基础设施正常运行，功能正常。行，功能正常。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式鉴别服务于鉴别服务于Internet资源、外联网资源、内部网资源资源、外联网资源、内部网资源的用户，相应于它们内在的风险，需要不同级别的安的用户，相应于它们内在的风险，需要不同级别的安全。内部网用户愿意基于

24、他们登录的全。内部网用户愿意基于他们登录的ID自动进行身自动进行身份鉴别，而对外联网和份鉴别，而对外联网和Internet用户，需要使用赋予用户，需要使用赋予的硬件或软件的标记和个人标识号的硬件或软件的标记和个人标识号PIN登录。登录。通用的鉴别用户的方法包括静态用户名（通用的鉴别用户的方法包括静态用户名（UID）和口）和口令、强的两因子鉴别、一次性口令鉴别以及单点登录令、强的两因子鉴别、一次性口令鉴别以及单点登录（Single Sign-On,SSO）鉴别。可能的话，为企业部）鉴别。可能的话，为企业部署至少两种鉴别方法的组合，用于需要不同保护级别署至少两种鉴别方法的组合，用于需要不同保护级别

25、的不同等级数据。对给定类别的数据选择合适的鉴别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。方法是十分重要的。18.3.1 鉴别鉴别单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式最普通的鉴别方式是静态最普通的鉴别方式是静态UID和口令的组合。因为静和口令的组合。因为静态口令不能经常更改，因此提供的数据保护能力是很态口令不能经常更改，因此提供的数据保护能力是很小的。静态小的。静态UID和口令的组合不能成功地抵御很多方和口令的组合不能成功地抵御很多方式的攻击，包括回答攻击和蛮力攻击。在回答攻击中，式的攻击，包括回答攻击和蛮力攻

26、击。在回答攻击中，假冒者从以前的鉴别会话中获取假冒者从以前的鉴别会话中获取UID和口令的组合，和口令的组合，依靠偷得的依靠偷得的UID和口令给鉴别服务器回答，以得到访和口令给鉴别服务器回答，以得到访问权。在蛮力攻击中，攻击者只知道问权。在蛮力攻击中，攻击者只知道UID，或使用一，或使用一个默认系统账户，用很多口令和已知个默认系统账户，用很多口令和已知UID组合来企图组合来企图登录，以得到访问权。这两种方式的攻击都广泛使用，登录，以得到访问权。这两种方式的攻击都广泛使用，从而削弱了静态方法的完整性。由于这个原因，只有从而削弱了静态方法的完整性。由于这个原因，只有公共数据或内部数据的访问基于静态鉴

27、别方法。公共数据或内部数据的访问基于静态鉴别方法。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式对更高等级的数据，需要更严格的解决方法，例如，对更高等级的数据，需要更严格的解决方法，例如，可使用强的鉴别方法和一次性口令。强的鉴别方法可可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如使用诸如PIN这类的知识因子和智能卡、标记产生卡、这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程序使用标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有一个算法产生通常有6个数字的号码，最后的口令码个数字的号码，最

28、后的口令码是该是该6个数字码和个数字码和PIN的组合。智能卡一般包含标识的组合。智能卡一般包含标识其拥有的权利的信息，如数字其拥有的权利的信息，如数字ID或私钥。虽然这种或私钥。虽然这种鉴别方法优于静态方法，可以不再有必要用一次性口鉴别方法优于静态方法，可以不再有必要用一次性口令，但大部分标记产生卡和标记软件程序利用一次性令，但大部分标记产生卡和标记软件程序利用一次性口令，使用一次后就不再有效了。口令，使用一次后就不再有效了。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式很显然，强鉴别和一次性口令的组合能力大大优于静很显然，强鉴别和一次性口

29、令的组合能力大大优于静态态UID和口令的组合，它既不会受回答攻击的影响，和口令的组合，它既不会受回答攻击的影响，也不会受蛮力攻击的影响。像智能卡这些设备，当若也不会受蛮力攻击的影响。像智能卡这些设备，当若干次非法企图后会自己失效，因此这些可携带的卡即干次非法企图后会自己失效，因此这些可携带的卡即使丢失或被偷窃，也不会有很大风险。使丢失或被偷窃，也不会有很大风险。为了改进使用静态鉴别方法，可以建立一个口令老化为了改进使用静态鉴别方法，可以建立一个口令老化的过程，规定在口令使用一定时期后必须更改。也可的过程，规定在口令使用一定时期后必须更改。也可以在安全策略文档中规定口令加强的需求，并且在鉴以在安

30、全策略文档中规定口令加强的需求，并且在鉴别服务器中进行设定，大部分操作系统支持这种特性。别服务器中进行设定，大部分操作系统支持这种特性。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式另一个设计鉴别体制时需考虑的问题是选择分布式或另一个设计鉴别体制时需考虑的问题是选择分布式或集中式的鉴别。分布式鉴别在业界是最流行的，对每集中式的鉴别。分布式鉴别在业界是最流行的，对每一个要访问的系统，用户有不同的一个要访问的系统，用户有不同的UID和口令，有时和口令，有时甚至对给定系统访问的每个应用都有不同的甚至对给定系统访问的每个应用都有不同的UID和口和口

31、令。令。与上述方法相反的是单点登录（与上述方法相反的是单点登录（SSO）。）。SSO准许用准许用户使用单一账号和口令的组合来访问企业中的很多资户使用单一账号和口令的组合来访问企业中的很多资源。源。SSO对用户提供方便的优点是显而易见的。它也对用户提供方便的优点是显而易见的。它也减轻了管理的负担，管理员需跟踪的账户大大减少，减轻了管理的负担，管理员需跟踪的账户大大减少，由于用户忘记自己的口令而需要重新设置的负担也减由于用户忘记自己的口令而需要重新设置的负担也减轻了。轻了。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式然而，然而，SSO不是没有

32、一点麻烦。将不是没有一点麻烦。将SSO引入环境，使引入环境，使其在异构环境中有效地运行需要管理员付出新的努力。其在异构环境中有效地运行需要管理员付出新的努力。这些新的努力包括兼容的问题、部署和功能操作的问这些新的努力包括兼容的问题、部署和功能操作的问题，以及管理的问题等。如应用适当的智力和资源解题，以及管理的问题等。如应用适当的智力和资源解决了大部分问题，引入决了大部分问题，引入SSO解决方案，就能成功地处解决方案，就能成功地处理大部分企业范围的鉴别需求。理大部分企业范围的鉴别需求。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式授权是基于一

33、个人或一个组的标识，允许或拒绝规定授权是基于一个人或一个组的标识，允许或拒绝规定的特权的行为。授权应从应用的周围世界来处理。从的特权的行为。授权应从应用的周围世界来处理。从根本上讲，应用安全是所有努力的目标。这些努力包根本上讲，应用安全是所有努力的目标。这些努力包括了解你的应用，以及如何和客户机、数据库通信，括了解你的应用，以及如何和客户机、数据库通信，以及其他服务器处理过程。以及其他服务器处理过程。18.3.2 授权授权单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式应用通常使用一个静态的端口集以及和其他实体通信应用通常使用一个静态的端口集

34、以及和其他实体通信的协议。端口用来处理通信的发送和接收。决定使用的协议。端口用来处理通信的发送和接收。决定使用什么样的端口和什么样的协议。有了这些信息，就可什么样的端口和什么样的协议。有了这些信息，就可明白在使用哪一种应用会话方式（例如明白在使用哪一种应用会话方式（例如TCP会话），会话），还是通过没有会话的突发数据的应用通信（例如还是通过没有会话的突发数据的应用通信（例如UDP或或HTTP）。明白这些应用通信类型以及如何通）。明白这些应用通信类型以及如何通信有助于设计有效的、适当的授权控制。信有助于设计有效的、适当的授权控制。对应用功能及其如何实现有了很好的了解后，下一步对应用功能及其如何实

35、现有了很好的了解后，下一步是决定谁应该在什么时间访问哪些数据，还应决定谁是决定谁应该在什么时间访问哪些数据，还应决定谁能得到对应用服务器、数据库或它们常驻网络段的物能得到对应用服务器、数据库或它们常驻网络段的物理访问权。这样就能防止入侵者得到访问控制。将应理访问权。这样就能防止入侵者得到访问控制。将应用访问限制在特定的群体和一天中的特定时间，就能用访问限制在特定的群体和一天中的特定时间，就能减少受攻击的可能。减少受攻击的可能。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式根据赋予的资源特权将用户分成组，通过按资源将用根据赋予的资源特权将用户

36、分成组，通过按资源将用户分组的方法，用赋予的组标签在应用级进行授权控户分组的方法，用赋予的组标签在应用级进行授权控制来控制组成员的活动。这样的策略是基于角色的访制来控制组成员的活动。这样的策略是基于角色的访问控制（问控制（role based access control,RBAC）。虽然）。虽然RBAC控制很好，适合于具有大量用户和大量公共或控制很好，适合于具有大量用户和大量公共或内部数据资源的服务，但是对标有机密或严格限制的内部数据资源的服务，但是对标有机密或严格限制的数据保护需要更严格的控制。基于用户的访问控制数据保护需要更严格的控制。基于用户的访问控制（User Based Acces

37、s Control,UBAC）是根据各个用）是根据各个用户的特权而不是赋予的角色来决定的访问控制。户的特权而不是赋予的角色来决定的访问控制。UBAC需要对每个用户分别进行鉴别和授权。需要对每个用户分别进行鉴别和授权。UBAC控制从其本性看可提供更细粒度的控制，因为它直接控制从其本性看可提供更细粒度的控制，因为它直接应用至每个用户或单个实体，而不是组或多个实体。应用至每个用户或单个实体，而不是组或多个实体。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式账户管理涉及日志和行为的监控、事件以及满足某些账户管理涉及日志和行为的监控、事件以及满足某些

38、条件引起的报警。大部分操作系统能配置生成账户日条件引起的报警。大部分操作系统能配置生成账户日志，对各种系统里发生的事件向管理者发出报警。最志，对各种系统里发生的事件向管理者发出报警。最流行的操作系统日志程序是用于流行的操作系统日志程序是用于UNIX系统的系统的Syslog和用于和用于Microsoft NT的的NT事件日志。事件日志。UNIX Syslog或或NT事件日志设置报警事件日志设置报警,在日志文件中产生报警级报文，在日志文件中产生报警级报文，或更高级的报文。然而，情况可能更为复杂，如若干或更高级的报文。然而，情况可能更为复杂，如若干个相关的、协同的、不一样的事件从不同的代理源发个相关

39、的、协同的、不一样的事件从不同的代理源发生，其结果是发出更严重的报警信息。不论复杂性如生，其结果是发出更严重的报警信息。不论复杂性如何，账户管理结果都能提供以下信息：何，账户管理结果都能提供以下信息：18.3.3 帐户帐户单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式操作系统使用的详细情况；操作系统使用的详细情况；应用使用的详细情况；应用使用的详细情况；Internet、外联网或内部网的活动；、外联网或内部网的活动；用于法庭分析的数据；用于法庭分析的数据；趋势分析数据；趋势分析数据；生成报告的数据。生成报告的数据。单击此处编辑母版标题样式单

40、击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式这些结果对企业都是很有价值的。除了提供性能预测这些结果对企业都是很有价值的。除了提供性能预测和趋势分析之外，这些事件还能确定它的安全轮廓、和趋势分析之外，这些事件还能确定它的安全轮廓、标识存在的或可能的威胁。操作系统事件能提示安全标识存在的或可能的威胁。操作系统事件能提示安全职员下列情况：失败的登录企图、企图得到根或管理职员下列情况：失败的登录企图、企图得到根或管理员的访问、文件系统是否已被安全送出。员的访问、文件系统是否已被安全送出。事件的时间界限和事件覆盖的范围一样重要。当管理事件的时间界限和事件覆盖的范围一样重要。

41、当管理员只是每周一次用人工方法考查事件日志时，从操作员只是每周一次用人工方法考查事件日志时，从操作系统、关键应用以及在网络段上的通信监控安全事件系统、关键应用以及在网络段上的通信监控安全事件到底有多少价值呢？当管理员周期地考查这些事件日到底有多少价值呢？当管理员周期地考查这些事件日志，查看一段历史时，黑客和漏洞的跟踪有可能早已志，查看一段历史时，黑客和漏洞的跟踪有可能早已离开了，一些关键数据也可能已被取走。离开了，一些关键数据也可能已被取走。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式在在Internet年代，事情发生得很快。即使是黑客新

42、手年代，事情发生得很快。即使是黑客新手也可能用大量黑客工具来攻击企业资产。这些新手从也可能用大量黑客工具来攻击企业资产。这些新手从专门黑客那里得到好处，裁剪黑客工具对企业施加严专门黑客那里得到好处，裁剪黑客工具对企业施加严重的破坏。重的破坏。因此，不仅需要连续的访问和鉴别控制，还需要实时因此，不仅需要连续的访问和鉴别控制，还需要实时的事件管理和入侵检测（的事件管理和入侵检测（ID）解决方法。将入侵检）解决方法。将入侵检测也作为账户管理解决方案的一个组成部分，因为它测也作为账户管理解决方案的一个组成部分，因为它的自然特性是事件检测、分析，还有防止，十分类似的自然特性是事件检测、分析，还有防止，十

43、分类似于事件管理的目的。以往只是将事件管理当作一种静于事件管理的目的。以往只是将事件管理当作一种静态搜集信息的工具，在这里将事件管理作为一种实时态搜集信息的工具，在这里将事件管理作为一种实时安全报警机制。安全报警机制。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式物理访问控制有关安全基础设施的组件，和其他安全物理访问控制有关安全基础设施的组件，和其他安全设施一起减少资源滥用的效应。物理控制的操作是物设施一起减少资源滥用的效应。物理控制的操作是物理的。理的。通用物理访问控制包括标准的门钥匙、钥匙卡、标识通用物理访问控制包括标准的门钥匙、钥匙卡

44、、标识标志、安全照相机、活动传感器、声像报警、安全警标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。使用这些组件的方法决定了卫和系统、设备标签等。使用这些组件的方法决定了物理访问控制策略的质量。企业安全策略和过程文档物理访问控制策略的质量。企业安全策略和过程文档定义的操作应定义如何保护专门等级的数据及执行的定义的操作应定义如何保护专门等级的数据及执行的系统。这些过程还应陈述在灾难事件中通知相应的人系统。这些过程还应陈述在灾难事件中通知相应的人员采取哪些行动，对应用重要的数据影响，定义相应员采取哪些行动，对应用重要的数据影响，定义相应的法庭过程以及如何降低相关的风险。的法庭过

45、程以及如何降低相关的风险。18.3.4 物理访问控制物理访问控制单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式除了减少安全漏洞的风险和影响外，服务的破坏也必除了减少安全漏洞的风险和影响外，服务的破坏也必须计入物理保护策略。服务破坏保护策略包括正确的须计入物理保护策略。服务破坏保护策略包括正确的组件放置以及冗余。安全基础设施放置和冗余是一样组件放置以及冗余。安全基础设施放置和冗余是一样重要的。例如，某公司需要一个高可用性的系统和数重要的。例如，某公司需要一个高可用性的系统和数据为客户服务，为此公司需安装一条冗余的据为客户服务，为此公司需安装一

46、条冗余的T-1电缆电缆接到提供客户服务的数据中心，同时需要安装冗余的接到提供客户服务的数据中心，同时需要安装冗余的UPS设备。由于施工土建工作量较小，施工过程未同设备。由于施工土建工作量较小，施工过程未同土建安全部门联系。但这种疏忽有可能会引起水、电土建安全部门联系。但这种疏忽有可能会引起水、电等事故，这类事故在安装物理基础设施组件时本来是等事故，这类事故在安装物理基础设施组件时本来是完全可以避免的。完全可以避免的。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式逻辑访问控制是所有安全基础设施控制中最引人注目逻辑访问控制是所有安全基础设施控制

47、中最引人注目的。这些控制包括防火墙、路由器、交换机、的。这些控制包括防火墙、路由器、交换机、VPN和和应用层控制，用来限制系统和网络的使用。如前所述，应用层控制，用来限制系统和网络的使用。如前所述，逻辑访问控制有时使用鉴别和授权信息来决定准予或逻辑访问控制有时使用鉴别和授权信息来决定准予或拒绝访问。另外，这些决定取决于正在使用的端口和拒绝访问。另外，这些决定取决于正在使用的端口和协议。这些控制最好先集中在应用上，然后再控制低协议。这些控制最好先集中在应用上，然后再控制低层协议。层协议。18.3.5 逻辑访问控制逻辑访问控制单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样

48、式单击此处编辑母版副标题样式下面举例说明，假定有一个下面举例说明，假定有一个HealthApp的应用，此应的应用，此应用利用端口用利用端口8111上的上的TCP和和HealthApp客户通信，而客户通信，而TCP8104处理服务器对服务器的通信。首先需明白应处理服务器对服务器的通信。首先需明白应用的功能，而不是一开始就访问控制不希望的端口和用的功能，而不是一开始就访问控制不希望的端口和协议。在本例中，协议。在本例中，HealthApp服务器和其他服务器通服务器和其他服务器通信首先执行一个域名系统（信首先执行一个域名系统（DNS）的查找来发现要同）的查找来发现要同它通信的服务器的它通信的服务器的

49、IP地址，地址，HealthApp服务器和服务器和DNS服务器之间的服务器之间的DNS询问必须是允许的。询问必须是允许的。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式在本例中，下一步是对不是和在本例中，下一步是对不是和HealthApp应用相联系应用相联系的操作，拒绝所有访问控制设备（例如防火墙、路由的操作，拒绝所有访问控制设备（例如防火墙、路由器、交换机）上的通信，并对应用进行测试。这样以器、交换机）上的通信，并对应用进行测试。这样以应用为目标，导出可用的、最安全的逻辑访问控制集。应用为目标，导出可用的、最安全的逻辑访问控制集。可以发现

50、，使用这个策略是保护应用数据及其执行的可以发现，使用这个策略是保护应用数据及其执行的系统的最有效方法。系统的最有效方法。逻辑访问控制能应用不同的方法来限制系统和网络的逻辑访问控制能应用不同的方法来限制系统和网络的使用。对应用访问的保护，逻辑访问控制通常使用在使用。对应用访问的保护，逻辑访问控制通常使用在应用本身。基于鉴别和授权准则，可设计成明确的限应用本身。基于鉴别和授权准则，可设计成明确的限制或允许一定用户或用户组的访问。网络访问控制根制或允许一定用户或用户组的访问。网络访问控制根据试图经过一个网络段的端口号和协议来决定允许还据试图经过一个网络段的端口号和协议来决定允许还是拒绝通信。很多防火

51、墙、路由器、交换机、是拒绝通信。很多防火墙、路由器、交换机、VPN网网关和关和ID系统可以根据它的类型（系统可以根据它的类型（TCP、UDP或或IPX）、）、源、目的甚至载荷来限制通信。源、目的甚至载荷来限制通信。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式逻辑访问控制通常最后使用入侵检测系统，包括发送逻辑访问控制通常最后使用入侵检测系统，包括发送一个一个TCP RESET（RST）分组给非授权网络通信的）分组给非授权网络通信的发送源。这个发送源。这个RST分组通知发送源（冒犯者）的主机分组通知发送源（冒犯者）的主机该数据会话没有接收到。

52、虽然这个冒犯者的主机可能该数据会话没有接收到。虽然这个冒犯者的主机可能继续再试，但它的非授权通信经过给定的网络段，入继续再试，但它的非授权通信经过给定的网络段，入侵检测系统将重新设置这个会话，因此阻止了该通信侵检测系统将重新设置这个会话，因此阻止了该通信到达目的站。到达目的站。实践证明，最好的逻辑访问控制实施策略是包括周边实践证明，最好的逻辑访问控制实施策略是包括周边的建立、内部应用和基于网络的控制、基础设施的保的建立、内部应用和基于网络的控制、基础设施的保护。周边的建立将决定哪些系统和网络是最可信的护。周边的建立将决定哪些系统和网络是最可信的（内部的），哪些系统和网络有点可信（内部的），哪些

53、系统和网络有点可信（DMZ），），哪些系统和网络根本不可信。图哪些系统和网络根本不可信。图18.2表示建立可信域表示建立可信域的模型。的模型。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式图图18.2 可信域的模型可信域的模型单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式设计分开的可信区域，就能使用访问控制，以适合不设计分开的可信区域，就能使用访问控制，以适合不同可信区域内网络和系统的经营业务的目的。同可信区域内网络和系统的经营业务的目的。Internet需要和内部网和外联网不同的访问控

54、制水平，需要和内部网和外联网不同的访问控制水平，不仅必须选择合适的访问控制技术，还必须包括基础不仅必须选择合适的访问控制技术，还必须包括基础设施的正确部署位置。入侵检测系统安装在周边防火设施的正确部署位置。入侵检测系统安装在周边防火墙内和防火墙外结果不同。不仅重要的事件及其内容墙内和防火墙外结果不同。不仅重要的事件及其内容不同，而且使用的数据机密性、完整性和可用性的需不同，而且使用的数据机密性、完整性和可用性的需求也不同，事件着重点的改变也相当大。求也不同，事件着重点的改变也相当大。当实施这些控制时，应尽可能少地牺牲企业的生产力当实施这些控制时，应尽可能少地牺牲企业的生产力和利益，这是必须考虑

55、的因素，虽然要做到这点不容和利益，这是必须考虑的因素，虽然要做到这点不容易。易。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式支撑性基础设施是能够提供安全服务的一套相互关联支撑性基础设施是能够提供安全服务的一套相互关联的活动与基础设施。有两个十分重要的支撑性基础设的活动与基础设施。有两个十分重要的支撑性基础设施：施：密钥管理基础设施密钥管理基础设施/公钥基础设施，用于产生、公布公钥基础设施，用于产生、公布和管理密钥与证书等安全凭证。和管理密钥与证书等安全凭证。检测与响应，用于预警、检测、识别可能的网络攻击，检测与响应，用于预警、检测、识别可

56、能的网络攻击，做出有效响应以及对攻击行为进行调查分析。做出有效响应以及对攻击行为进行调查分析。18.4 密钥管理基础设施密钥管理基础设施/公钥基础设施公钥基础设施单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式本节阐述密钥基础设施与公钥基础设施本节阐述密钥基础设施与公钥基础设施（KMI/PKI），），KMI/PKI作为一种支撑性基础设施，作为一种支撑性基础设施，其本身并不能直接为用户提供安全服务，但其本身并不能直接为用户提供安全服务，但KMI/PKI是其他安全应用的基础。是其他安全应用的基础。KMI/PKI是安全是安全服务所必需的组件，其体系

57、结构依赖于其支持的应用。服务所必需的组件，其体系结构依赖于其支持的应用。表表18-1列出了不同用户类型对列出了不同用户类型对KMI/PKI的需求。例如，的需求。例如，在为两个用户提供端到端加密隧道的虚拟专用网在为两个用户提供端到端加密隧道的虚拟专用网（VPN）中，）中，KMI/PKI为实现认证和加密功能的加为实现认证和加密功能的加密设备提供密钥和证书，还为用户提供密钥恢复服务密设备提供密钥和证书，还为用户提供密钥恢复服务以及证书查询的目录服务。以及证书查询的目录服务。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式表表18-1 KMI/PKI

58、支持不同类型的用户服务支持不同类型的用户服务用户类型KMI/PKI服务VPN密钥产生证书管理密钥恢复目录服务网络访问控制 密钥产生证书管理增值服务目录服务远程访问服务 密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式用户类型用户类型KMI/PKI服务服务VPN密钥产生证书管理密钥密钥产生证书管理密钥恢复目录服务网络访问控制密钥产生证书管理增值服恢复目录服务网络访问控制密钥产生证书管理增值服务目录服务远程访问服务密钥产生证书管理密钥恢复务目录服务远程访问服务密钥产生证书管理密钥恢复

59、目录服务多级安全密钥产生证书管理目录服务与其他目录服务多级安全密钥产生证书管理目录服务与其他基础设施解决方案不同的是，基础设施解决方案不同的是，KMI/PKI将它的安全将它的安全分布在一组独立的组件上。这些组件本身比用户应用分布在一组独立的组件上。这些组件本身比用户应用要求更高的安全性，以保证用户证书和密钥的安全性。要求更高的安全性，以保证用户证书和密钥的安全性。同样，基础设施中的安全策略管理、信息保障的水平同样，基础设施中的安全策略管理、信息保障的水平等都要高于用户应用的安全级别。等都要高于用户应用的安全级别。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处

60、编辑母版副标题样式为了减少用户获取服务的成本和需花费的人力资源，为了减少用户获取服务的成本和需花费的人力资源，要求将提供不同服务的支撑性基础设施组合在一起，要求将提供不同服务的支撑性基础设施组合在一起，形成一个能为用户提供多种服务的多组件基础设施。形成一个能为用户提供多种服务的多组件基础设施。KMI/PKI支持支持4种服务，其中每一种服务都使用了多种服务，其中每一种服务都使用了多种机制来满足用户应用对安全的不同要求。前两种服种机制来满足用户应用对安全的不同要求。前两种服务能直接支持用户应用，后两种服务是用户应用正常务能直接支持用户应用，后两种服务是用户应用正常工作所必需的。工作所必需的。18.

61、4.1 KMI/PKI服务服务单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第一种服务是对称密钥的产生和分发。对称密钥的产第一种服务是对称密钥的产生和分发。对称密钥的产生和分发仍然是政府部门、金融部门和密钥管理机制生和分发仍然是政府部门、金融部门和密钥管理机制中最主要的部分。尽管许多应用正在使用非对称密钥中最主要的部分。尽管许多应用正在使用非对称密钥管理代替对称密钥管理，但对称密钥管理仍然有用武管理代替对称密钥管理，但对称密钥管理仍然有用武之地。对称密钥中，多个用户的密钥的产生、分发和之地。对称密钥中，多个用户的密钥的产生、分发和管理由一个

62、中心（可能是一个用户或一个独立的第三管理由一个中心（可能是一个用户或一个独立的第三方）完成。在应用对称密钥的团体中，一个成员在其方）完成。在应用对称密钥的团体中，一个成员在其密钥的生命周期中只使用同一个密钥与其他成员进行密钥的生命周期中只使用同一个密钥与其他成员进行保密通信。保密通信。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第二种服务是支持非对称密钥技术及与其相关的证书第二种服务是支持非对称密钥技术及与其相关的证书管理。非对称密钥通常使用数字证书来鉴别公管理。非对称密钥通常使用数字证书来鉴别公/私钥私钥对中公钥部分的真实性。这种鉴别很

63、重要，因为非对对中公钥部分的真实性。这种鉴别很重要，因为非对称密码提供的安全服务要依赖于公钥用户确保公钥已称密码提供的安全服务要依赖于公钥用户确保公钥已与特定的用户绑定。数字证书（与特定的用户绑定。数字证书（X.509证书）恰恰能证书）恰恰能将公将公/私密钥对中的公钥部分与其拥有者的身份绑定私密钥对中的公钥部分与其拥有者的身份绑定在一起，并使用密码技术保证这种绑定关系的安全性。在一起，并使用密码技术保证这种绑定关系的安全性。公钥基础设施由多个部分组成，包括组成基础设施的公钥基础设施由多个部分组成，包括组成基础设施的组件、使用并操作基础设施的人员、基础设施提供的组件、使用并操作基础设施的人员、基

64、础设施提供的服务、基础设施运行的策略以及对公钥证书的管理。服务、基础设施运行的策略以及对公钥证书的管理。公钥基础设施可以产生、管理数字证书以保证数据的公钥基础设施可以产生、管理数字证书以保证数据的真实性、完整性及不可否认性，也可产生、管理密钥真实性、完整性及不可否认性，也可产生、管理密钥协商证书以保护数据的机密性。协商证书以保护数据的机密性。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式第三种服务是目录服务。通过目录服务，用户可获得第三种服务是目录服务。通过目录服务，用户可获得PKI提供的公开信息，如公钥证书、相关基础设施的提供的公开信息，

65、如公钥证书、相关基础设施的证书、受损的密钥信息等。目录服务可以由全球的分证书、受损的密钥信息等。目录服务可以由全球的分布目录集提供，如布目录集提供，如X.500DMS(Defense Message System),也可以由单一站点组成的在线存储库提供。也可以由单一站点组成的在线存储库提供。目录服务一般与目录服务一般与PKI结合在一起使用，但也可以用来结合在一起使用，但也可以用来提供其他服务。提供其他服务。第四种服务是对基础设施本身的管理。基础设施是由第四种服务是对基础设施本身的管理。基础设施是由多个组件协同工作为用户提供服务的，这种分布特性多个组件协同工作为用户提供服务的，这种分布特性增加了

66、对增加了对KMI/PKI的功能和操作上的要求。同时应的功能和操作上的要求。同时应用安全需求的敏感性也对用安全需求的敏感性也对KMI/PKI提出了更多的安提出了更多的安全需求。全需求。KMI/PKI的内部结构也受其支持的应用的的内部结构也受其支持的应用的影响。影响。单击此处编辑母版标题样式单击此处编辑母版标题样式单击此处编辑母版副标题样式单击此处编辑母版副标题样式KMI/PKI能支持不同的安全应用，这取决于应用使能支持不同的安全应用，这取决于应用使用的密码技术。对称密码技术一般保护信息在传输和用的密码技术。对称密码技术一般保护信息在传输和存储中的机密性，如传输机密性、文件加密、密钥协存储中的机密性，如传输机密性、文件加密、密钥协商。对称密钥技术与其他机制相结合也可保证交易过商。对称密钥技术与其他机制相结合也可保证交易过程中数据的完整性和真实性，从而确保交易安全，如程中数据的完整性和真实性，从而确保交易安全，如鉴别、完整性、不可否认等安全应用。与对称密码不鉴别、完整性、不可否认等安全应用。与对称密码不同，非对称密码技术可以保护信息在传输和存储中的同，非对称密码技术可以保护信息在传输和存储中