1、第第6章章 开放系统互连安全体系结构开放系统互连安全体系结构6.1 网络体系结构及协议网络体系结构及协议6.2 OSI安全体系结构的安全体系结构的5 5类安全服务类安全服务6.3 OSI安全体系结构的安全机制安全体系结构的安全机制6.4 OSI安全服务与安全机制的关系安全服务与安全机制的关系6.5 在在OSI层中的安全服务配置层中的安全服务配置6.6 OSI安全体系的安全管理安全体系的安全管理6.7 本章小结本章小结习题习题网络体系结构是计算机之间相互通信的层次,以及网络体系结构是计算机之间相互通信的层次,以及各层中的协议和层次之间接口的集合。网络协议是各层中的协议和层次之间接口的集合。网络协
2、议是计算机网络和分布系统中互相通信的对等实体间交计算机网络和分布系统中互相通信的对等实体间交换信息时所必须遵守的规则的集合。换信息时所必须遵守的规则的集合。6.1 网络体系结构及协议网络体系结构及协议共享计算机网络的资源,以及在网络中交换信息,共享计算机网络的资源,以及在网络中交换信息,就需要实现不同系统中的实体的通信。实体包括用就需要实现不同系统中的实体的通信。实体包括用户应用程序、文件传送包、数据库管理系统、电子户应用程序、文件传送包、数据库管理系统、电子邮件设备以及终端等,系统包括计算机、终端和各邮件设备以及终端等,系统包括计算机、终端和各种设备等。一般来说,实体是能发送和接收信息的种设
3、备等。一般来说,实体是能发送和接收信息的任何东西,而系统是物理上明显的物体,它包含一任何东西,而系统是物理上明显的物体,它包含一个或多个实体。两个实体要想成功地通信,必须具个或多个实体。两个实体要想成功地通信,必须具有同样的语言。交流什么,怎样交流及何时交流,有同样的语言。交流什么,怎样交流及何时交流,都必须遵从实体间都能接受的一些规则,这些规则都必须遵从实体间都能接受的一些规则,这些规则的集合称为协议。的集合称为协议。6.1.1 分层和协议分层和协议协议包含如下关键成分:协议包含如下关键成分:(1)语法语法(syntax),包括数据格式、编码及信号,包括数据格式、编码及信号电平等。电平等。(
4、2)语义语义(semantics),包括用于协调和差错处理,包括用于协调和差错处理的控制信息。的控制信息。(3)定时定时(timing),包括速度匹配和排序。,包括速度匹配和排序。由于不同系统中的实体间通信的任务十分复杂,不由于不同系统中的实体间通信的任务十分复杂,不可能作为一个整体来处理,否则任何一方面发生变可能作为一个整体来处理,否则任何一方面发生变化,就要修改整个软件包。一种替代的办法是使用化,就要修改整个软件包。一种替代的办法是使用结构式的设计和实现技术,用分层或层次结构的协结构式的设计和实现技术,用分层或层次结构的协议集合。较低级别的、更原始的功能在较低级别的议集合。较低级别的、更原
5、始的功能在较低级别的实体上实现,而它们又向较高级别的实体提供服务。实体上实现,而它们又向较高级别的实体提供服务。图图6.1表示一般的结构或协议集合,并画出了两个表示一般的结构或协议集合,并画出了两个站经由多个交换网连接的情况。站经由多个交换网连接的情况。图图6.1 通信协议之间的关系通信协议之间的关系1号站和号站和2号站都有一个或多个希望通信的应用程序。号站都有一个或多个希望通信的应用程序。在图在图6.1中每一对通信协议之间的关系相似的实体中每一对通信协议之间的关系相似的实体中需要一种面向应用的协议,以协调两个应用模块中需要一种面向应用的协议,以协调两个应用模块的行动,并保证共同的语法和语义。
6、这一协议无须的行动,并保证共同的语法和语义。这一协议无须知道有关中间通信网络设施的情况,但是要利用网知道有关中间通信网络设施的情况,但是要利用网络服务实体所提供的服务。网络服务实体与另一个络服务实体所提供的服务。网络服务实体与另一个站中的相应实体要有一个进程的协议,这一协议要站中的相应实体要有一个进程的协议,这一协议要处理诸如信息流控制和差错控制之类的事务。在处理诸如信息流控制和差错控制之类的事务。在1号站和号站和A网之间以及网之间以及2号站和号站和B网之间也必须有协议。网之间也必须有协议。国际标准化组织国际标准化组织ISO在在1979年建立了一个分委员会年建立了一个分委员会来专门研究一种用于
7、开放系统的体系结构,提出了来专门研究一种用于开放系统的体系结构,提出了开放系统互连(开放系统互连(Open System Interconnection,OSI)模型,这是一个定义连接异种计算机的标准)模型,这是一个定义连接异种计算机的标准主体结构。由于主体结构。由于ISO组织的权威性,使组织的权威性,使OSI协议成协议成为广大厂商努力遵循的标准。为广大厂商努力遵循的标准。OSI为连接分布式应为连接分布式应用处理的用处理的“开放开放”系统提供了基础,系统提供了基础,“开放开放”这个这个词表示能使任何两个遵守参考模型的有关标准的系词表示能使任何两个遵守参考模型的有关标准的系统进行连接。统进行连接
8、。6.1.2 开放系统互连参考模型开放系统互连参考模型OSI采用了分层的结构化技术。采用了分层的结构化技术。ISO分委员会的任分委员会的任务是定义一组层次和每层所完成的服务。划分层次务是定义一组层次和每层所完成的服务。划分层次时应该从逻辑上对功能进行分组。层次应该足够多,时应该从逻辑上对功能进行分组。层次应该足够多,以使每一层小到易于管理,但是也不能太多,否则以使每一层小到易于管理,但是也不能太多,否则汇集各层的处理开销太大。汇集各层的处理开销太大。OSI参考模型共有参考模型共有7层:层:物理层、数据链路层、网络层、传输层、会话层、物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。如
9、图表示层和应用层。如图6.2所示。所示。图图6.2 OSI参考模型参考模型OSI参考模型具有如下特性:参考模型具有如下特性:它是一种将异构系统互连的分层结构;它是一种将异构系统互连的分层结构;它提供了控制互连系统交互规则的标准骨架;它提供了控制互连系统交互规则的标准骨架;它定义了一种抽象结构,而并非具体实现的描述;它定义了一种抽象结构,而并非具体实现的描述;不同系统上的相同层的实体为同等层实体;不同系统上的相同层的实体为同等层实体;同等层实体之间的通信由该层的协议管理;同等层实体之间的通信由该层的协议管理;相邻层间的接口定义了原语操作的低层向上层提供相邻层间的接口定义了原语操作的低层向上层提供
10、的服务;的服务;它所提供的公共服务是面向连接的或无连接的数据它所提供的公共服务是面向连接的或无连接的数据服务;服务;直接的数据传送仅在最低层实现;直接的数据传送仅在最低层实现;每层完成所定义的功能,修改本层的功能并不影响每层完成所定义的功能,修改本层的功能并不影响其他层。其他层。下面简要介绍各层的功能。下面简要介绍各层的功能。1.物理层物理层(1)提供为建立、维护和拆除物理链路所需要的提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。机械的、电气的、功能的和规程的特性。(2)提供有关在物理链路上传输非结构的位流以提供有关在物理链路上传输非结构的位流以及故障检测指示。及故
11、障检测指示。2.数据链路层数据链路层(1)在网络层实体间提供数据发送和接收的功能在网络层实体间提供数据发送和接收的功能和过程。和过程。(2)提供数据链路的流控。提供数据链路的流控。3.网络层网络层(1)控制分组传送系统的操作、路由选择、拥挤控制分组传送系统的操作、路由选择、拥挤控制、网络互联等功能,它的作用是将具体的物理控制、网络互联等功能,它的作用是将具体的物理传送对高层透明。传送对高层透明。(2)根据传输层的要求选择服务质量。根据传输层的要求选择服务质量。(3)向传输层报告未恢复的差错。向传输层报告未恢复的差错。4.传输层传输层(1)提供建立、维护和拆除传送连接的功能。提供建立、维护和拆除
12、传送连接的功能。(2)选择网络层提供最合适的服务。选择网络层提供最合适的服务。(3)在系统之间提供可靠的、透明的数据传送,在系统之间提供可靠的、透明的数据传送,提供端到端的错误恢复和流量控制。提供端到端的错误恢复和流量控制。5.会话层会话层(1)提供两进程之间建立、维护和结束会话连接提供两进程之间建立、维护和结束会话连接的功能。的功能。(2)提供交互会话的管理功能,如提供交互会话的管理功能,如3种数据流方种数据流方向的控制,即一路交互、两路交替和两路同时会话向的控制,即一路交互、两路交替和两路同时会话模式。模式。6.表示层表示层(1)代表应用进程协商数据表示。代表应用进程协商数据表示。(2)完
13、成数据转换、格式化和文本压缩。完成数据转换、格式化和文本压缩。7.应用层应用层提供提供OSI用户服务,例如事务处理程序、文件传送用户服务,例如事务处理程序、文件传送协议和网络管理等。协议和网络管理等。开放系统互连参考模型的基本构造技术是分层。每开放系统互连参考模型的基本构造技术是分层。每层的目的都是为上层提供某种服务,把这些层与提层的目的都是为上层提供某种服务,把这些层与提供服务的细节分开就形成结构化模型。供服务的细节分开就形成结构化模型。在互连的开放系统中,各子系统的同一层共同构成在互连的开放系统中,各子系统的同一层共同构成开放系统中的一层,一般表示为开放系统中的一层,一般表示为N层层某一特
14、定某一特定层;层;N+1层层相邻的高层;相邻的高层;N-1层层相邻的低相邻的低层。层。在在OSI参考模型中,对等实体的通信必须通过相邻参考模型中,对等实体的通信必须通过相邻低层以及下面各层通信来完成。从低层以及下面各层通信来完成。从N+1实体看,对实体看,对等等N+1实体间的通信只能通过相邻对等实体间的通信只能通过相邻对等N实体完成。实体完成。N实体向实体向N+1实体提供相互通信的能力称实体提供相互通信的能力称N服务,服务,即即N+1实体通过请求实体通过请求N服务完成对等实体通信。应服务完成对等实体通信。应注意的是,注意的是,N服务同时也要使用较低层提供的服务服务同时也要使用较低层提供的服务功
15、能。功能。OSI安全体系结构的研究始于安全体系结构的研究始于1982年,于年,于1988年完年完成,其成果标志是成,其成果标志是ISO发布了发布了ISO7498-2标准,作标准,作为为OSI基本参考模型的补充。这是基于基本参考模型的补充。这是基于OSI参考模参考模型的七层协议之上的信息安全体系结构。它定义了型的七层协议之上的信息安全体系结构。它定义了5类安全服务、类安全服务、8种特定的安全机制、种特定的安全机制、5种普遍性安种普遍性安全机制。它确定了安全服务与安全机制的关系以及全机制。它确定了安全服务与安全机制的关系以及在在OSI七层模型中安全服务的配置。它还确定了七层模型中安全服务的配置。它
16、还确定了OSI安全体系的安全管理。安全体系的安全管理。1.鉴别鉴别鉴别服务提供对通信中的对等实体和数据来源的鉴鉴别服务提供对通信中的对等实体和数据来源的鉴别,分述如下。别,分述如下。(1)对等实体鉴别对等实体鉴别确认有关的对等实体是所需的实体。这种服务由确认有关的对等实体是所需的实体。这种服务由N层提供时,将使层提供时,将使N+1层实体确信与之打交道的对等层实体确信与之打交道的对等实体正是它所需要的实体正是它所需要的N+1实体。实体。6.2 OSI安全体系结构的安全体系结构的5类安全服务类安全服务这种服务在连接建立或在数据传送阶段的某些时刻这种服务在连接建立或在数据传送阶段的某些时刻提供使用,
17、用以证实一个或多个连接实体的身份。提供使用,用以证实一个或多个连接实体的身份。使用这种服务可以(仅仅在使用时间内)确信:一使用这种服务可以(仅仅在使用时间内)确信:一个实体此时没有试图冒充(一个实体伪装为另一个个实体此时没有试图冒充(一个实体伪装为另一个不同的实体)别的实体,或没有试图将先前的连接不同的实体)别的实体,或没有试图将先前的连接作非授权地重放(出于非法的目的而重新发送截获作非授权地重放(出于非法的目的而重新发送截获的合法通信数据项的拷贝);实施单向或双向对等的合法通信数据项的拷贝);实施单向或双向对等实体鉴别也是可能的,可以带有效期检验,也可以实体鉴别也是可能的,可以带有效期检验,
18、也可以不带。这种服务能够提供各种不同程度的鉴别保护。不带。这种服务能够提供各种不同程度的鉴别保护。(2)数据原发鉴别数据原发鉴别确认接收到的数据的来源是所要求的。这种服务当确认接收到的数据的来源是所要求的。这种服务当由由N层提供时,将使层提供时,将使N+1实体确信数据来源正是所实体确信数据来源正是所要求的对等要求的对等N+1实体。数据原发鉴别服务对数据单实体。数据原发鉴别服务对数据单元的来源提供确认。这种服务对数据单元的重放或元的来源提供确认。这种服务对数据单元的重放或篡改不提供鉴别保护。篡改不提供鉴别保护。2.访问控制访问控制防止对资源的未授权使用,包括防止以未授权方式防止对资源的未授权使用
19、,包括防止以未授权方式使用某一资源。这种服务提供保护以对付开放系统使用某一资源。这种服务提供保护以对付开放系统互连可访问资源的非授权使用。这些资源可以是经互连可访问资源的非授权使用。这些资源可以是经开放系统互连协议访问到的开放系统互连协议访问到的OSI资源或非资源或非OSI资源。资源。这种保护服务可应用于对资源的各种不同类型的访这种保护服务可应用于对资源的各种不同类型的访问(例如,使用通信资源、读写或删除信息资源、问(例如,使用通信资源、读写或删除信息资源、处理资源的操作),或应用于对某种资源的所有访处理资源的操作),或应用于对某种资源的所有访问。问。这种访问控制要与不同的安全策略协调一致。这
20、种访问控制要与不同的安全策略协调一致。3.数据机密性数据机密性这种服务对数据提供保护,使之不被非授权地泄露。这种服务对数据提供保护,使之不被非授权地泄露。具体分为以下几种:具体分为以下几种:(1)连接机密性连接机密性这种服务为一次这种服务为一次N连接上的全部连接上的全部N用户数据保证其用户数据保证其机密性。但对于某些使用中的数据,或在某些层次机密性。但对于某些使用中的数据,或在某些层次上,将所有数据(例如加速数据或连接请求中的数上,将所有数据(例如加速数据或连接请求中的数据)都保护起来反而是不适宜的。据)都保护起来反而是不适宜的。(2)无连接机密性无连接机密性这种服务为单个无连接的这种服务为单
21、个无连接的NSDU(N层服务数据单层服务数据单元元)中的全部中的全部N用户数据提供机密性保护。用户数据提供机密性保护。(3)选择字段机密性选择字段机密性这种服务为那些被选择的字段保证其机密性,这些这种服务为那些被选择的字段保证其机密性,这些字段或处于字段或处于N连接的连接的N用户数据中,或为单个无连用户数据中,或为单个无连接的接的N-SDU中的字段。中的字段。(4)通信业务流机密性通信业务流机密性这种服务提供的保护,使得无法通过观察通信业务这种服务提供的保护,使得无法通过观察通信业务流推断出其中的机密信息。流推断出其中的机密信息。4.数据完整性数据完整性这种服务对付主动威胁。在一次连接上,连接
22、开始这种服务对付主动威胁。在一次连接上,连接开始时使用对某实体的鉴别服务,并在连接的存活期使时使用对某实体的鉴别服务,并在连接的存活期使用数据完整性服务就能联合起来为在此连接上传送用数据完整性服务就能联合起来为在此连接上传送的所有数据单元的来源提供确证,为这些数据单元的所有数据单元的来源提供确证,为这些数据单元的完整性提供确证,例如使用顺序号,可为数据单的完整性提供确证,例如使用顺序号,可为数据单元的重放提供检测。数据完整性可分为以下几种:元的重放提供检测。数据完整性可分为以下几种:(1)带恢复的连接完整性带恢复的连接完整性这种服务为这种服务为N连接上的所有连接上的所有N用户数据保证其完整用户
23、数据保证其完整性,并检测整个性,并检测整个SDU序列中的数据遭到的任何篡改、序列中的数据遭到的任何篡改、插入、删除或同时进行补救或恢复。插入、删除或同时进行补救或恢复。(2)无恢复的连接完整性无恢复的连接完整性与上款的服务相同,只是不做补救或恢复。与上款的服务相同,只是不做补救或恢复。(3)选择字段的连接完整性选择字段的连接完整性这种服务为在一次连接上传送的这种服务为在一次连接上传送的NSDU的的N用户用户数据中的选择字段保证其完整性,所取形式是确定数据中的选择字段保证其完整性,所取形式是确定这些被选字段是否遭受了篡改、插入、删除或不可这些被选字段是否遭受了篡改、插入、删除或不可用。用。(4)
24、无连接完整性无连接完整性这种服务当由这种服务当由N层提供时,对发出请求的那个层提供时,对发出请求的那个N+1实体提供了完整保护。实体提供了完整保护。这种服务为单个的无连接的这种服务为单个的无连接的SDU保证其完整性,所保证其完整性,所取形式可以是一个接收到的取形式可以是一个接收到的SDU是否遭受了篡改。是否遭受了篡改。此外,在一定程度上也能提供对连接重放的检测。此外,在一定程度上也能提供对连接重放的检测。(5)选择字段无连接完整性选择字段无连接完整性这种服务为单个连接上的这种服务为单个连接上的SDU中的被选字段保证其中的被选字段保证其完整性,所取形式为被选字段是否遭受了篡改。完整性,所取形式为
25、被选字段是否遭受了篡改。5.抗否认抗否认这种服务可取如下两种形式,或两者之一:这种服务可取如下两种形式,或两者之一:(1)有数据原发证明的抗否认有数据原发证明的抗否认为数据的接收者提供数据的原发证据。这将使发送为数据的接收者提供数据的原发证据。这将使发送者不承认未发送过这些数据或否认其内容的企图不者不承认未发送过这些数据或否认其内容的企图不能得逞。能得逞。(2)有交付证明的抗否认有交付证明的抗否认为数据的发送者提供数据交付证据。这将使接收者为数据的发送者提供数据交付证据。这将使接收者事后不承认收到过这些数据或否认其内容的企图不事后不承认收到过这些数据或否认其内容的企图不能得逞。能得逞。1.特定
26、的安全机制特定的安全机制本节所列的本节所列的8种安全机制可以设置在适当的种安全机制可以设置在适当的N层上,层上,以提供以提供6.2中所述的某些安全服务,分述如下。中所述的某些安全服务,分述如下。(1)加密加密对数据进行密码变换以产生密文。加密可以是不可对数据进行密码变换以产生密文。加密可以是不可逆的,在这种情况下,相应的解密过程便不能实现逆的,在这种情况下,相应的解密过程便不能实现了。了。加密既能为数据提供机密性,也能为通信业务加密既能为数据提供机密性,也能为通信业务流信息提供机密性,并且是其他安全机制中的一部流信息提供机密性,并且是其他安全机制中的一部分或对安全机制起补充作用。分或对安全机制
27、起补充作用。6.3 OSI安全体系结构的安全机制安全体系结构的安全机制大多数应用不要求在多个层加密,加密层的选取主大多数应用不要求在多个层加密,加密层的选取主要取决于下列几个因素:要取决于下列几个因素:如果要求全通信业务流机密性,那么将选取物理如果要求全通信业务流机密性,那么将选取物理层加密,或传输安全手段(例如,适当的扩频技层加密,或传输安全手段(例如,适当的扩频技术)。足够的物理安全,可信任的路由选择以及在术)。足够的物理安全,可信任的路由选择以及在中继上的类似机制能够满足所有的机密性要求。中继上的类似机制能够满足所有的机密性要求。如果要求细粒度保护(即对不同应用提供不同的密如果要求细粒度
28、保护(即对不同应用提供不同的密钥),和抗否认或选择字段保护,那么将选取表示钥),和抗否认或选择字段保护,那么将选取表示层加密。由于加密算法耗费大量的处理能力,所以层加密。由于加密算法耗费大量的处理能力,所以选择字段保护是很重要的。在表示层中的加密能提选择字段保护是很重要的。在表示层中的加密能提供不带恢复的完整性、抗否认以及所有的机密性。供不带恢复的完整性、抗否认以及所有的机密性。如果希望实现所有端系统到端系统通信的简单块保如果希望实现所有端系统到端系统通信的简单块保护,或希望有一个外部的加密设备(例如,为了给护,或希望有一个外部的加密设备(例如,为了给算法和密钥加物理保护,或防止错误软件),那
29、么算法和密钥加物理保护,或防止错误软件),那么将选取网络层加密。这能够提供机密性与不带恢复将选取网络层加密。这能够提供机密性与不带恢复的完整性。虽然在网络层不提供恢复,但传输层的的完整性。虽然在网络层不提供恢复,但传输层的正常的恢复机制能够恢复网络层检测到的攻击。正常的恢复机制能够恢复网络层检测到的攻击。如果要求带恢复的完整性,同时又具有细粒度保护,如果要求带恢复的完整性,同时又具有细粒度保护,那么将选取传输层加密。这能提供机密性、带恢复那么将选取传输层加密。这能提供机密性、带恢复的完整性或不带恢复的完整性。的完整性或不带恢复的完整性。对于今后的实施,不推荐在数据链路层上加密。对于今后的实施,
30、不推荐在数据链路层上加密。当关系到这些主要因素中的两项或多项时,可能需当关系到这些主要因素中的两项或多项时,可能需要在多个层上提供加密。要在多个层上提供加密。加密算法可以是可逆的,也可以是不可逆的。加密算法可以是可逆的,也可以是不可逆的。可逆加密算法有两大类:可逆加密算法有两大类:对称(即秘密密钥)加密。对于这种加密,知道了对称(即秘密密钥)加密。对于这种加密,知道了加密密钥也就意味着知道了解密密钥,反之亦然。加密密钥也就意味着知道了解密密钥,反之亦然。非对称(即公开密钥)加密。对于这种加密,知道非对称(即公开密钥)加密。对于这种加密,知道了加密密钥并不意味着也知道了解密密钥,反之亦了加密密钥
31、并不意味着也知道了解密密钥,反之亦然。然。不可逆加密算法可以使用密钥,也可以不使用。若不可逆加密算法可以使用密钥,也可以不使用。若使用密钥,密钥可以是公开的,也可以是秘密的。使用密钥,密钥可以是公开的,也可以是秘密的。除了某些不可逆加密算法的情况外,加密机制除了某些不可逆加密算法的情况外,加密机制的存在便意味着要使用密钥管理机制。密钥管理方的存在便意味着要使用密钥管理机制。密钥管理方法上的一些准则将在第法上的一些准则将在第18章中给出。章中给出。(2)数字签名机制数字签名机制数字签名是附加在数据单元上的一些数据,或是对数字签名是附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据
32、或变换允许数数据单元所作的密码变换,这种数据或变换允许数据单元的接收者确认数据单元来源和数据单元的完据单元的接收者确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)伪造。整性,并保护数据,防止被人(例如接收者)伪造。数字签名机制确定两个过程:对数据单元签名;验数字签名机制确定两个过程:对数据单元签名;验证签过名的数据单元。证签过名的数据单元。第一个过程使用签名者所私有的(即独有的和机密第一个过程使用签名者所私有的(即独有的和机密的)信息。第二个过程所用的规程与信息是公之于的)信息。第二个过程所用的规程与信息是公之于众的,但不能从它们推断出该签名者的私有信息。众的,但不能从它
33、们推断出该签名者的私有信息。数字签名机制具有如下特点:数字签名机制具有如下特点:签名过程使用签名者的私有信息作为私钥,或签名过程使用签名者的私有信息作为私钥,或对数据单元进行加密,或产生出该数据单元的一个对数据单元进行加密,或产生出该数据单元的一个密码校验值。密码校验值。验证过程使用公开的规程与信息来决定该签名验证过程使用公开的规程与信息来决定该签名是否是用签名者的私有信息产生的。是否是用签名者的私有信息产生的。签名机制的本质特征为该签名只有使用签名者签名机制的本质特征为该签名只有使用签名者的私有信息才能产生出来。因而,当该签名得到验的私有信息才能产生出来。因而,当该签名得到验证后,它能在事后
34、的任何时候向第三方(例如法官证后,它能在事后的任何时候向第三方(例如法官或仲裁人)证明只有那个私有信息的惟一拥有者才或仲裁人)证明只有那个私有信息的惟一拥有者才能产生这个签名。能产生这个签名。(3)访问控制机制访问控制机制为了决定和实施一个实体的访问权,访问控制机制为了决定和实施一个实体的访问权,访问控制机制可以使用该实体已鉴别的身份,或使用有关该实体可以使用该实体已鉴别的身份,或使用有关该实体的信息(例如它与一个已知的实体集的从属关系),的信息(例如它与一个已知的实体集的从属关系),或使用该实体的权利。如果这个实体试图使用非授或使用该实体的权利。如果这个实体试图使用非授权的资源,或者以不正当
35、方式使用授权资源,那么权的资源,或者以不正当方式使用授权资源,那么访问控制功能将拒绝这一企图,另外还可能产生一访问控制功能将拒绝这一企图,另外还可能产生一个报警信号或记录它作为安全审计跟踪的一个部分个报警信号或记录它作为安全审计跟踪的一个部分来报告这一事件。对于无连接数据传输,发给发送来报告这一事件。对于无连接数据传输,发给发送者的拒绝访问的通知只能作为强加于原发的访问控者的拒绝访问的通知只能作为强加于原发的访问控制结果而被提供。制结果而被提供。访问控制机制可以使用下列一种或多种手段。访问控制机制可以使用下列一种或多种手段。访问控制信息库:访问控制信息库:保存对等实体的访问权限。保存对等实体的
36、访问权限。信息可以由授权中心保存,或由正被访问的那个实信息可以由授权中心保存,或由正被访问的那个实体保存。信息的形式可以是一个访问控制表,或是体保存。信息的形式可以是一个访问控制表,或是等级结构的矩阵。使用这一手段要预先假定对等实等级结构的矩阵。使用这一手段要预先假定对等实体的鉴别已得到保证。体的鉴别已得到保证。鉴别信息:鉴别信息:例如口令,对这一信息的占有和出例如口令,对这一信息的占有和出示便证明正在进行访问的实体已被授权。示便证明正在进行访问的实体已被授权。权利:权利:对它的占有和出示便证明有权访问由该对它的占有和出示便证明有权访问由该权利所规定的实体或资源,权利应是不可伪造的并权利所规定
37、的实体或资源,权利应是不可伪造的并以可信赖的方式进行运送。以可信赖的方式进行运送。安全标记:安全标记:当与一个实体相关联时,这种安全当与一个实体相关联时,这种安全标记可用来表示同意或拒绝访问,通常根据安全策标记可用来表示同意或拒绝访问,通常根据安全策略而定。略而定。访问控制机制可应用于通信联系中的端点,或应用访问控制机制可应用于通信联系中的端点,或应用于任一中间点。涉及原发点或任一中间点的访问控于任一中间点。涉及原发点或任一中间点的访问控制,是用来决定发送者是否被授权与指定的接收者制,是用来决定发送者是否被授权与指定的接收者进行通信,或是否被授权使用所要求的通信资源。进行通信,或是否被授权使用
38、所要求的通信资源。在无连接数据传输目的端上的对等级访问控制机制在无连接数据传输目的端上的对等级访问控制机制的要求在原发点必须事先知道,还必须记录在安全的要求在原发点必须事先知道,还必须记录在安全管理信息库中。管理信息库中。(4)数据完整性机制数据完整性机制数据完整性有两个方面:单个数据单元或字段的完数据完整性有两个方面:单个数据单元或字段的完整性和数据单元流或字段流的完整性。一般来说,整性和数据单元流或字段流的完整性。一般来说,用来提供这两种类型完整性服务的机制是不相同的。用来提供这两种类型完整性服务的机制是不相同的。决定单个数据单元的完整性涉及两个过程,一个在决定单个数据单元的完整性涉及两个
39、过程,一个在发送实体上,一个在接收实体上。发送实体给数据发送实体上,一个在接收实体上。发送实体给数据单元附加一个量,这个量为该数据的函数。这个量单元附加一个量,这个量为该数据的函数。这个量可以是分组校验码那样的补充信息,或是一个密码可以是分组校验码那样的补充信息,或是一个密码校验值,而且它本身可以被加密。接收实体产生一校验值,而且它本身可以被加密。接收实体产生一个相应的量,确定这个量中的数据是否在传送中被个相应的量,确定这个量中的数据是否在传送中被篡改过。篡改过。单靠这种机制不能防止单个数据单元的重放。在网单靠这种机制不能防止单个数据单元的重放。在网络体系结构的适当层上,操作检测可能在本层或较
40、络体系结构的适当层上,操作检测可能在本层或较高层上起到恢复作用(例如,重传或纠错)。高层上起到恢复作用(例如,重传或纠错)。对于连接方式数据传送,保护数据单元序列的完整对于连接方式数据传送,保护数据单元序列的完整性(即防止乱序、数据的丢失、重放、插入或篡改)性(即防止乱序、数据的丢失、重放、插入或篡改)还另外需要某种明显的排序形式,例如,顺序号、还另外需要某种明显的排序形式,例如,顺序号、时间标记或密码链。时间标记或密码链。对于无连接数据传送,时间标记可以用来在一定程对于无连接数据传送,时间标记可以用来在一定程度上提供保护,防止个别数据单元的重放。度上提供保护,防止个别数据单元的重放。(5)鉴
41、别交换机制鉴别交换机制可用于鉴别交换的一些技术是:使用鉴别信息,例可用于鉴别交换的一些技术是:使用鉴别信息,例如口令,由发送实体提供而由接收实体验证;密码如口令,由发送实体提供而由接收实体验证;密码技术;使用该实体的特征或占有物。技术;使用该实体的特征或占有物。这种机制可设置在这种机制可设置在N层以提供对等实体鉴别。如果层以提供对等实体鉴别。如果在鉴别实体时,这一机制得到否定的结果,就会导在鉴别实体时,这一机制得到否定的结果,就会导致连接的拒绝或终止,也可能使在安全审计跟踪中致连接的拒绝或终止,也可能使在安全审计跟踪中增加一个记录,或给安全管理中心一个报告。增加一个记录,或给安全管理中心一个报
42、告。当采用密码技术时,这些技术可以与当采用密码技术时,这些技术可以与“握手握手”协议协议结合起来以防止重放(即确保存活期)。结合起来以防止重放(即确保存活期)。鉴别交换技术的选用取决于使用它们的环境。在许鉴别交换技术的选用取决于使用它们的环境。在许多场合,它们必须与下列各项结合使用:时间标记多场合,它们必须与下列各项结合使用:时间标记与同步时钟;双方握手和三方握手(分别对应于单与同步时钟;双方握手和三方握手(分别对应于单方鉴别和相互鉴别);由数字签名和公证机制实现方鉴别和相互鉴别);由数字签名和公证机制实现的抗否认服务。的抗否认服务。(6)通信业务填充机制通信业务填充机制通信业务填充机制能用来
43、提供各种不同级别的保护,通信业务填充机制能用来提供各种不同级别的保护,对抗通信业务分析。这种机制只有在通信业务填充对抗通信业务分析。这种机制只有在通信业务填充受到机制服务保护时才是有效的。受到机制服务保护时才是有效的。(7)路由选择控制机制路由选择控制机制路由选择控制机制具有以下特点:路由选择控制机制具有以下特点:路由能动态地或预定地选取,以便只使用物理路由能动态地或预定地选取,以便只使用物理上安全的子网络、中继站或链路。上安全的子网络、中继站或链路。在检测到持续的操作攻击时,端系统可以指示在检测到持续的操作攻击时,端系统可以指示网络服务的提供者经不同的路由建立连接。网络服务的提供者经不同的路
44、由建立连接。带有某些安全标记的数据可能被安全策略禁止带有某些安全标记的数据可能被安全策略禁止通过某些子网络、中继站或链路。连接的发起者通过某些子网络、中继站或链路。连接的发起者(或无连接数据单元的发送者)可以指定路由选择(或无连接数据单元的发送者)可以指定路由选择说明,由它请求回避某些特定的子网络、中继站或说明,由它请求回避某些特定的子网络、中继站或链路。链路。(8)公证机制公证机制有关在两个或多个实体之间通信的数据的性质,如有关在两个或多个实体之间通信的数据的性质,如它的完整性、原发、时间和目的地等能够借助公证它的完整性、原发、时间和目的地等能够借助公证机制得到确保。这种保证是由第三方公证人
45、提供的。机制得到确保。这种保证是由第三方公证人提供的。公证人为通信实体所信任,并掌握必要信息以一种公证人为通信实体所信任,并掌握必要信息以一种可证实方式提供所需的保证。每个通信事例可使用可证实方式提供所需的保证。每个通信事例可使用数字签名、加密和完整性机制以适应公证人提供的数字签名、加密和完整性机制以适应公证人提供的那种服务。当这种公证机制被用到时,数据便在参那种服务。当这种公证机制被用到时,数据便在参与通信的实体之间经由受保护的通信实体和公证方与通信的实体之间经由受保护的通信实体和公证方进行通信。进行通信。2.普遍性安全机制普遍性安全机制普遍性安全机制不是为任何特定的服务而特设的,普遍性安全
46、机制不是为任何特定的服务而特设的,因此在任一特定的层上,对它们都不作明确的说明。因此在任一特定的层上,对它们都不作明确的说明。某些普遍性安全机制可认为属于安全管理方面。普某些普遍性安全机制可认为属于安全管理方面。普遍性安全机制可分为以下几种。遍性安全机制可分为以下几种。(1)可信功能度可信功能度可信功能度可以扩充其他安全机制的范围,或建立可信功能度可以扩充其他安全机制的范围,或建立这些安全机制的有效性;可以保证对硬件与软件寄这些安全机制的有效性;可以保证对硬件与软件寄托信任的手段已超出本标准的范围,而且在任何情托信任的手段已超出本标准的范围,而且在任何情况下,这些手段随已察觉到的威胁的级别和被
47、保护况下,这些手段随已察觉到的威胁的级别和被保护信息的价值而改变。一般说来,这些手段的代价高信息的价值而改变。一般说来,这些手段的代价高而且难于实现。解决办法是选取一个体系结构,它而且难于实现。解决办法是选取一个体系结构,它允许安全功能在一些模块中实现,这些模块能与非允许安全功能在一些模块中实现,这些模块能与非安全功能分开来制作,并由非安全功能来提供。安全功能分开来制作,并由非安全功能来提供。应用于一个层而对该层之上的联系所作的任何保护应用于一个层而对该层之上的联系所作的任何保护必须由另外的手段来提供,例如通过适当的可信功必须由另外的手段来提供,例如通过适当的可信功能度。能度。(2)安全标记安
48、全标记安全标记是与某一资源(可以是数据单元)密切相安全标记是与某一资源(可以是数据单元)密切相关联的标记,为该资源命名或指定安全属性(这种关联的标记,为该资源命名或指定安全属性(这种标记或约束可以是明显的,也可以是隐含的)。标记或约束可以是明显的,也可以是隐含的)。包含数据项的资源可能具有与这些数据相关联的安包含数据项的资源可能具有与这些数据相关联的安全标记,例如指明数据敏感性级别的标记。常常必全标记,例如指明数据敏感性级别的标记。常常必须在传送中与数据一起运送适当的安全标记。安全须在传送中与数据一起运送适当的安全标记。安全标记可能是与被传送的数据相连的附加数据,也可标记可能是与被传送的数据相
49、连的附加数据,也可能是隐含的信息。例如,使用一个特定密钥加密数能是隐含的信息。例如,使用一个特定密钥加密数据所隐含的信息,或由该数据的上下文所隐含的信据所隐含的信息,或由该数据的上下文所隐含的信息。明显的安全标记必须是清晰可辨的,以便对它息。明显的安全标记必须是清晰可辨的,以便对它们作适当的验证。此外,它们还必须安全可靠地依们作适当的验证。此外,它们还必须安全可靠地依附于与之关联的数据。附于与之关联的数据。(3)事件检测事件检测与安全有关的事件检测包括对安全明显事件的检测,与安全有关的事件检测包括对安全明显事件的检测,也可以包括对也可以包括对“正常正常”事件的检测,例如,一次成事件的检测,例如
50、,一次成功的访问(或注册)。与安全有关的事件的检测可功的访问(或注册)。与安全有关的事件的检测可由由OSI内部含有安全机制的实体来做。构成一个事内部含有安全机制的实体来做。构成一个事件的技术规范由事件处置管理来维护。对各种安全件的技术规范由事件处置管理来维护。对各种安全事件的检测,可能引起一个或多个如下动作:在本事件的检测,可能引起一个或多个如下动作:在本地报告这一事件;远程报告这一事件;对事件作记地报告这一事件;远程报告这一事件;对事件作记录;进行恢复。这种安全事件的例子为:特定的安录;进行恢复。这种安全事件的例子为:特定的安全侵害;特定的选择事件;对事件发生次数计数的全侵害;特定的选择事件
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。